23盘古石决赛

一，流量分析

1. 计算流量包文件的SHA256值是？[答案：字母小写][★☆☆☆☆]

答案：2d689add281b477c82b18af8ab857ef5be6badf253db1c1923528dd73b3d61a9

解压出来流量包计算

2. 流量包长度在“640 - 1279”之间的的数据包总共有多少？[答案：100][★☆☆☆☆]

答案：179

统计-长度分组

3. 黑客使用的计算机操作系统是？[答案：windows7 x32][★★☆☆☆]

答案：win10x64

解压流量包的时候看到有一个key.log，结合流量用的是http，需要用到TLS解密，在编辑-首选项-Protocols里面有

解开以后打开一条http的流量，看user-agent，看到里面有

4. 黑客上传文件到哪个网盘？[答案：xx网盘][★★☆☆☆]

答案：百度网盘

看统计里面的http下的请求

这里有请求百度网盘的记录

或者在导出里面看http的记录 ，也可以看到是百度网盘

5. 黑客上传网盘的中间件是？[答案：xxxx][★★☆☆☆]

答案：nginx

接上题，看到百度网盘请求的第一个分组是699，去追踪一下

注意：客户端到服务器红色，反之蓝色

6. 黑客首次登陆网盘时间是？[答案：2000 - 01 - 01 01：00：33][★★☆☆☆]

答案：2023 -05 -11 12:03:55

Thu, 11 May 2023 04:03:55 GMT

来源同上

7. 黑客上传到网盘的txt文件的md5值是？[答案：字母小写][★★★☆☆]

答案： 6a5aff7bec78dd1e4fc23e571b664b50

过滤器http contains “txt”

得到几条流量，在其中一条流量里面可以发现txt文件的内容

8. 黑客上传到网盘的txt文件第8行的内容是？[答案：XXX][★★★★☆]

答案：$$

传输文件过程中，webkit头与文件内容会空一行，所有从空一行后开始数，答案为$$

9. 被入侵主机的计算机名是？[答案：XXXXXXXXXXX][★★★☆☆]

答案：WIN-BFA1TO8PTNP

统计ipv4，按数量排序，第一个是本机的，第二个，第三个是百度的，那么第四个就有可能是了，找一下

这里有FTP的记录

 过滤一下看看，找到了

10. 被入侵电脑的数据回传端口是？[答案：11][★★★☆☆]

答案：8000

过滤以后就可以看到后面的被入侵电脑回联了8000的端口

11. 流量包中ftp服务器的用户密码是？[答案：abcd][★★☆☆☆]

答案:ftp

在后面的记录中可以看到用户名为www，密码为ftp的登录成功

12. 流量包中ftp服务器中的木马文件的md5值是？[答案：字母小写][★★☆☆☆]

答案：2a49a00a1f0b898074be95a5bbc436e3

按传输来看，大概率是setup.exe，追踪tcp流看到后面有木马文件的数据，将原始数据作为exe导出，计算MD5

13. 木马文件伪造的软件版本是？[答案：0. 0. 0. 0][★★☆☆☆]

答案：7.5.0.1039

14.黑客上传到网盘的压缩包解压密码是？[答案：XXXXXXXXXXX]

答案：

15.黑客上传到网盘的压缩包内文件的内容是？[答案：xxxxxxx]

答案：

16.分析技术人员电脑内的手机流量包，给出技术人员的虚拟身份账号是？[答案格式:13039456655]

17.分析技术人员电脑内的手机流量包，给出技术人员的虚拟身份密码是？[答案格式:b3039456655]

18.分析技术人员电脑内的手机流量包，分析技术人员的看过几段短视频？[答案格式:3]

19.分析技术人员电脑内的手机流量包，分析技术人员最后打开的软件的程序名称是？[答案格式:微信]

20.分析技术人员电脑内的手机流量包，分析安全防护的服务器地址是？[答案格式:127.0.0.1] 

二，移动智能终端取证

1. 分析卡农手机，给出手机的SDK版本？[答案格式：28][★☆☆☆☆]

答案：30

2. 分析卡农手机，给出手机最近开机的时间？[答案格式：2023 - 05 - 18 - 19：09：59][★★☆☆☆]

答案：2023/05/15 10:09:29 +08:00

1

开关机日志

False

Plugins.Models.Sys.PoweringEvent

开机

2023/05/15 10:09:29 +08:00

3. 分析卡农手机，给出高德地图关联的手机号是？[答案格式：13011221234][★★☆☆☆]

答案：18317041122

4. 分析卡农手机，给出卡农内部聊天工具的昵称是？[答案格式：李多余][★★☆☆☆]

答案：

5. 分析卡农手机，给出卡农的真实名字可能是？[答案格式：李多余][★★☆☆☆]

答案：徐鹏坤

三，计算机取证

1. 黑客计算机系统安装时间是？[答案格式：2000/ 01/ 01 01：00：01][★☆☆☆☆☆]

答案：2023/05/10 13:31:47

2. 黑客计算机磁盘0的总磁道数？[答案格式：数字中无标点][★★☆☆☆☆]

答案：3328770

3. 黑客计算机的产品密钥是？[答案格式：字母大写][★★☆☆☆]

答案：VK7JG-NPHTM-C97JM-9MPGT-3V66T

4. 黑客计算机共有几次卷影拷贝服务关闭事件？[答案格式：1][★★☆☆☆]

答案：2

在日志文件中过滤关键字vss的事件id，8193

常见的卷影拷贝服务关闭事件

 事件ID 8224：卷影拷贝服务在完成其任务后，因没有更多的操作而进入空闲状态并自动关闭

• 事件ID 8193：表示卷影复制服务无法启动某个组件，通常是因为系统正在关机。

• 事件ID 12291：表示卷影复制服务在创建或使用COM+ Writers发布者接口时遇到意外错误。

• 事件ID 8230：表示卷影复制服务无法解析某个账户，通常与SharePoint服务相关。

火眼分析只有一个

 去事件查看器里面有2个

5. 黑客计算机的vc容器解密密码是？[答案格式：字母小写][★★★★☆]

答案：byebyedisco

在文件里面搜索vc得到一个vc密码文件

总共有这几个文件

用个小工具

右键分解模数，把N的值复制进输入，本地DB查询分解p、q，把分解的值复制进第一个框中，逗号是英文

然后右键计算私钥

导入密文m

右键计算明文，明文转字符，得到密码

6. 黑客计算机加密容器中共有几个docx文件？[答案格式：x][★★☆☆☆]

答案：3

E盘是加密容器，veracrypt选择设备输入密码即可

7. 黑客计算机加密容器中记录的bt币地址有几个？[答案格式：x][★★★☆☆]

答案：4

直接在表格里面没有东西，应该是数据缺失了，用vc挂起来进行数据恢复，然后看到一个tmp文件，修改后缀为zip，进去里面就可以看到bt地址.txt，里面有4个地址

8. 黑客计算机加密容器中记录的受害人共有多少人？[答案格式：xx][★★☆☆☆]

答案：29

9. 黑客计算机中win7虚拟机中www用户的登陆密码是？[答案格式：xxxxxxxx][★★☆☆☆]

答案：

10. 黑客计算机中win7虚拟机中chrome浏览“bjh.com”网站保存的密码是？[答案格式：xx][★★★☆☆]

答案：

四，服务器取证

1. 分析技术人员电脑，请给出电脑系统安装时间（UTC - 0）？[答案格式：20000 - 01 - 01 00：00：00][★★☆☆☆]

2. 分析技术人员电脑，请给出电脑内用户John的SID？[答案格式：x - x - x - x - x - x - x - x][★★★☆☆]

3. 据技术人员交代，其电脑连接过nas服务器，请给出该nas服务器的iqn名称？[答案格式：iqn.xxx][★★★☆☆]

4. 分析技术人员电脑，请给出该技术人员使用的隐写工具名称？[答案格式：xx][★★☆☆☆]

5. 接上题，请给出使用该隐写工具隐写文件所使用的密码？[答案格式：xx][★★★☆☆]

6. 据技术人员交代，其电脑内存过一个名为“财务流水.rar”的文件，请给出该文件的SHA - 1？[答案格式：字母小写][★★★★☆]

7. 分析技术人员的模拟手机，给出安全防护的验证码是？[答案格式：11226655][★★★★★]

8. 分析技术人员的模拟手机，给出安全防护的推送服务的调证值是？[答案格式：11226655][★★★★★]

9. 分析技术人员的模拟手机，给出老板的联系方式是？[答案格式：11226655][★★☆☆☆]

10. 分析技术人员的模拟手机，给出办公场所是？[答案格式：北京市朝阳区中山路25555号][★★★☆☆]

五，物联取证

1. 分析技术人员的模拟手机，给出技术人员聊天工具的用户ID是？[答案格式：QN11AATT][★★★☆☆]

2. 分析黑客电脑，控制端程序传输协议是什么协议？[答案格式：http][★★☆☆☆]

3. 分析黑客电脑，控制端程序接收数据缓冲区大小是多少？[答案格式：100][★★☆☆☆]

4. 分析黑客电脑，控制端程序接收并判断几种指令？[答案格式：1][★★★☆☆]

5. 分析黑客电脑，控制端程序连接结束指令是什么？[答案格式：xxx][★★★☆☆]

6. 分析黑客电脑，控制端程序配置文件解密函数是什么？[答案格式：x_ x][★★★☆☆]

7. 分析黑客的木马程序，该程序控制端ip是？[答案格式：127. 0. 0. 1][★★★☆☆]

8. 分析黑客的木马程序，程序在地址0x00410CA4处调用了Sleep函数，请问该函数会暂停几秒？[答案格式：3][★★★☆☆]

9. 分析黑客的木马程序，该程序“png”型资源下有两张图片，程序图标对应图片的MD5值是？[答案格式：字母小写][★★★☆☆]

10. 分析黑客的木马程序，哪个函数直接调用了HOST型资源？[答案格式：sub_ 1234][★★★☆☆]

六，二进制文件分析

1. 分析黑客的木马程序，该程序会绕过哪个杀毒软件？[答案格式：腾讯][★★★★★]

2. 分析扫地机器人数据，robot 1.bin采用的压缩算法是？[答案格式：xxxx][★★☆☆☆☆]

3. 扫地机器人使用的软件版本是？[答案格式：0. 0. 0][★★☆☆☆☆]

4. 扫地机器人id是？[答案格式：21243245838790][★★☆☆☆]

5. 扫地机器人云证书的前6位是？[答案格式：sdfead][★★☆☆☆]

6. 扫地机器人连接过的wifi的ssid是（channl 1）？[答案格式：xx_ xx_ xx][★★☆☆☆]

7. 扫地机器人连接过的wifi的密码是（channl 1）？[答案格式：xxxx][★★☆☆☆]

8. 扫地机器人的时区是？[答案格式：xx/ xx][★★☆☆☆]

9. 扫地机器人的名称是？[答案格式：xxxxx][★★☆☆☆]

10. 无人机飞行纬度前两位是？[答案格式：xx][★☆☆☆☆]

七，数据分析

1. 无人机的快门速度是？[答案格式：x/ xxx][★☆☆☆☆]

2. 分析智能门锁数据包，请给出用户“wonderful”首次开门时间？[答案格式：2000 - 01 - 01 00：00 - 00：00][★★☆☆☆]

3. 分析智能门锁数据包，请给出智能门锁MAC地址？[答案格式：字母大写][★★☆☆☆]

4. 请分析服务器，给出NAS服务器系统账号密码？[答案格式：xx@xx][★★★☆☆☆]

5. 请分析服务器，给出NAS服务器的版本信息？[答案格式：xx - xx - xx][★★☆☆☆☆]

6. 请分析服务器，给出NAS服务器内用户SMB的邮箱？[答案格式：xx@xx][★★☆☆☆☆]

7. 请分析服务器，给出NAS服务器系统告警服务使用的邮箱？[答案格式：xx@xx][★★☆☆☆☆]

8. 请分析服务器，给出NAS服务器内存储池名？[答案格式：xxx][★★☆☆☆]

9. 请分析服务器，给出NAS服务器内有几个数据集和几个Zvol？[答案格式：0, 0][★★★☆☆]

10. 请分析服务器，给出该NAS服务器存储监听IP和端口？[答案格式：192. 168. 1. 1: 8080][★★★☆☆]

八，APK分析

1. 请分析服务器，给出NAS服务器内iSCSI目标为web的连接所使用的启动器组ID？[答案格式：xx][★★★☆☆]

2. 请分析服务器，给出web服务器连接NAS服务器所使用的iqn？[答案格式：iqn.xxx][★★★☆☆]

3. 请分析服务器，给出web服务器连接NAS服务器所使用的账号和密码？[答案格式：root/ 123][★★★★★]

4. 请分析服务器，给出redis所使用的配置文件？[答案格式：/home/1.conf][★☆☆☆☆]

5. 请分析服务器，给出跑分网站后台根目录？[答案格式：/xx/xx][★★☆☆☆]

6. 请分析服务器，嫌疑人所使用的跑分系统可能来自哪，请给出网站？[答案格式：www.baidu.com][★★☆☆☆]

7. 请分析服务器，给出数据库root账号密码？[答案格式：password][★★★★★]

8. 请分析服务器，给出数据库备份文件存放路径？[答案格式：/xx/xxx][★★★★★]

9. 请分析服务器，给出数据库备份文件解压密码？[答案格式：password][★★★★★]

10. 请分析服务器，给出数据库备份文件间隔多少天会删除？[答案格式：1][★★★★★]

九，其他分析

1. 请分析服务器，给出数据库每天几点会执行备份操作？[答案格式：00：00][★★★☆☆]

2. 请分析服务器，给出跑分网站后台用户余额总计？[答案格式：1000][★★☆☆☆]

3. 请分析服务器，给出跑分平台后天未处理的用户申请有多少个？[答案格式：1000][★★☆☆☆]

4. 请分析服务器，给出会员聂鸿熙推荐人的姓名？[答案格式：张三][★★☆☆☆]

5. 请分析服务器，给出跑分平台内用户银行卡所属银行共有几家？[答案格式：10][★★★★★]

6. 接上题，请给出这些银行中用户数最多的银行名称？[答案格式：xx银行][★★★★★]

7. 请分析服务器，给出用户“祝虹雨”通过审核的充值总额？[答案格式：10][★★★★★]

8. 请分析服务器，给出该跑分团队可能的办公大楼有几个？[答案格式：1][★★☆☆☆]

9. 请分析服务器，给出用户John共提了几次会议预约申请，通过了几个？[答案格式：1，1][★★☆☆☆]

10. 接上题，用户John哪个时间段的会议预约申请次数最多[答案格式：2000 - 01 - 01 00：00 - 00：00][★★☆☆☆]