本文主要是介绍电子取证平航杯的复现,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
闻早起部分:
一、闻早起的windows10电脑
(1).“闻早起”所使用的笔记本电脑使用何种加密程式?
1.在EFI文件中找到加密程式
(2) 教徒“闻早起”所使用的笔记本电脑中安装了一款还原软件,其版本号为?
1.用火眼防真取证创建虚拟机,注意:启动参数不能勾选,网络配置勾选NAT模式,
观察检材的照片,得到密码和pim分别为5FlowerMa)(ThousandGoldQiu]'/[;.和88
2.打开虚拟机,输入密码和pim,进入闻早起的电脑
(3)教徒“闻早起”所使用的U盘中,共有几份邪教文档?
1.根据其U盘上的信息可得密码和pim
2.使用磁盘虚拟挂载工具和vc容器进行挂载解密
4.找到4个邪教文件
(4)教徒“闻早起”所使用的U盘中,有一份文档明显提到了自焚时间,其时间为?
(yyyy年mm月dd日,月日中0不保留)
1.在U盘的一个文档中发现自焚时间为2001年1月23日
(5)教徒“闻早起”所使用的笔记本电脑中名为“2023年Q4飞天五子棋教部门规
章.docx”的下载地址为?
1.在闻早起的电脑中找到history文件
2.将此文件复制粘贴到自己的电脑上,再用工具DB来查看数据库,发现在downloads中找到下载的网址
(6)教徒“闻早起”所使用的笔记本电脑中浏览器保存的聊天系统密码为?
1.将webbrowserpassview文件粘贴到闻早起的电脑上
2.打开这个软件,发现存在密码
(7)教徒“闻早起”所使用的笔记本电脑中安装了一款还原软件,其版本型号为?
(8)教徒“闻早起”所使用的笔记本电脑中登录的微信内部id为?
玉文直部分
一、介质取证
(1)介质取证 玉王直所使用的windows电脑中,VeraCryptBootLoader所使用的版本号
为?
1.使用火眼仿真,打开虚拟机,发现vc版本号为1.26.7
(2)玉王直所使用的windows电脑中,系统安装时间为?
密码信息在笔记本检材账面上,pim被撕去一角,1开头,手工爆破至18时解开
[]\BadQianMingMoonGuang14DSS,./
18
密码音为“床前明月光,疑是地上霜。”
(2)玉王直所使用的标签为“飞天五子棋教”的u盘密码为?
在手机检材中,data文件中发现vccrypt.txt,在里面发现U盘密码和pim
(3) 玉王直所使用的标签为“飞天五子棋教”的u盘中“(内部)(机密)飞天五子
棋教福音传播资料”中的“P5_4”集的md5值为?
1.由上题可知其U盘密码
2.使用磁盘虚拟挂载工具和vc容器进行挂载解密,pim为30
3.根据题目,并使用工具计算出它的哈希值
(4)玉王直所使用的标签为“飞天五子棋教”的u盘中共有几个文件?
通过对其U盘的观察,可知有58个文件
(5)玉王直所使用的标签为“飞天五子棋教”的u盘中在“(高层)(绝密)飞天五
子棋教创飞全世界阶段性成果2023Q1-2023Q4”目录中,md5哈希值为“9949205C1999C47A053C53F3C58E852C”的文件名为?
对其中的文件进行计算md5值,发现该文件为为【万宁五子棋】 琉璃秘
境.mp4
(6)玉王直所使用的标签为“IT”的u盘中结尾为.pem的文件md5值为?
密码:Sudden11SpringFengLai,./THTreeLiHuaOpen/., pim:22
使用vc挂载成功之后,计算其md5值,md5值为BCE0BEE4D9F6EC6172AD51F64223924C
(7) 玉王直所使用的标签为“IT”的u盘中结尾为.enc的文件md5值为?
在U盘中找到该文件,计算其MD5值,其值为2F1C257AF6ED99B55540115C7D0845C0
(8)玉王直所使用的标签为“IT”的u盘中提到的云服务器提供商的联系电话为?
在服务器管理平台.txt文件中找到联系方式
(9)玉王直所使用的标签为“IT”的u盘中提到的登录云服务器平台登录密码为?
由上提可知Ywz@qzbw.zj.2024
(10)玉王直所使用的标签为“IT”的u盘中结尾为.xsh的文件有几个?
通过在Users文件夹中寻找,找到了五个结尾为.xsh文件
(11)玉王直所使用的windows电脑中,曾经挂过U盘的盘符为?
(12)玉王直所使用的windows电脑中,使用的系统版本Build号为?
(13)玉王直所使用的windows电脑中,玉王直实际登录次数为?
这篇关于电子取证平航杯的复现的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
