2022长安杯wp

2022第四届长安杯电子数据取证竞赛题解报告
原创，作者Xmin

背景

某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗，该网站号称使用“USTD币”购买所谓的“HT币”，受害人充值后不但“HT币”无法提现、交易，而且手机还被恶意软件锁定勒索。警方根据受害人提供的虚拟币交易网站调取了对应的服务器镜像并对案件展开侦查。

检材1

1. 检材1的SHA256值为
火眼打开之后计算出希哈值：
2. 分析检材1，搭建该服务器的技术员IP地址是多少该地址解压检材2
这个该怎么找，具体有两种办法，但是都是从登录日志来看，首先是把检材1仿真出来然后查看最近的登录日志

![[图片]](https://img-blog.csdnimg.cn/68010c740b3345c58e6586719ca23ca6.png

4. 检材1系统中，网卡绑定的静态IP地址为

6. 检材1中，监听7000端口的进程对应文件名为
解这道题可以把app里面的jar包都跑起来看看，看看哪个jar包运行之后监听了7000端口
答案是

再一个，从取证工具里面也能看到管理员后台的端口是

9. 检材1中，网站管理后台页面调用的用户表(admin)里的密码字段加密方式为/strong>
对进行逆向分析，我们在什么都不知道的情况下，有几个思路：一个是先从数据库里面来看，但是要推进到第三个检材之后才能看到这个库，推进到这个库，看到数据库是32位后搜一下，看有多少个调用了这个值，所以在这可以进行一个search的操作
在这里可以看到对的加密处理，这种办法是在知道关键词之后。
但是在分析过程中就能直接找到好几个题目的答案，包括密码字段的加密方式为

13. 检材2中，powershell中输入的最后一条命令是
打开windows powershell 然后按一下上键，，，，，

15. 检材2中，网站管理后台root账号的密码为
可以在火眼里面解析出来

还可以从

18. 上述数据库debian-sys-maint用户的初始密码是
这个初始密码是什么是会保存在一个配置文件里的在rootfs/etc/mysql里面，可以找到一个diban.cnf,把这个文件导出来就能找到初始密码：

19. 检材3服务器root账号的密码是
嫌疑人曾经通过远程连接过服务器root账号

答案是
21. 除MySQL外，该网站还依赖以下哪种数据库
21.22.24题都可以通过对检材1的逆向得出答案

第二种方法是查看镜像的元数据

得知此文件在目录里面，进入查看得知

SQL数据库名为
25. 勒索者在数据库中修改了多少个用户的手机号答案填写阿拉伯数字，如“15”)
这个时候找到检材2的D盘，在D盘中可以找到数据库b1，还能看到start.sh 和 start_web.sh两个启动脚本，此时把这两个文件发给负责建服务器的队友。

在检材3的后端文件的删改记录里面可以看到一个开头为8eda的log文件，这里面就是数据库的数据修改记录，搜索关键词delet和update，找出修改了手机号的用户和删除的用户。搜索update之后就能找到修改手机号的记录，update b1 member set phone_number··，计数之后出现了五次匹配的结果，一个一个的查看了一下，有两次是更新的登陆时间，所以修改手机号的次数应该是3次！
26. 勒索者在数据库中删除的用户数量为(答案填写阿拉伯数字，如“15”）
在log文件中可以搜索到有批量删除的记录，，记数一下有28个
另外，利用数据库分析工具
在检材2中，分析出了数据库b1，但是有两个，选中其中一个然后点数据库分析可以使用工具对数据库进行分析。

用工具打开数据库文件之后，发现了三个表与题目关联度比较大，一个是交易记录，第二一个是用户钱包，第三一个是用户表。比对分析发现用户表的数据量比用户钱包少了28个，初步怀疑是被删除了。

在数据库分析工具打开的表格中能找到一个登录日志，除了技术员的ip（通过检材1已知）还有登录了管理后台的网址。
28. 还原全部被删改数据，用户id为500的注册会员的HT币钱包地址为
用工具打开之后直接找到用户钱包的数据，然后找到了的钱包地址

通过member_grade这个表了解到等级是三的用户的grade_code=3

31. 还原全部被删改数据，2022年10月17日总计产生多少笔交易记录答案填写阿拉伯数字，如“15”)
在交易表格member_transection里面有五千多条交易记录，筛选出10月17日的交易记录一共1000条

否则导出后再筛选会多了（选所有数据），要注意这几个选项的区别，幸好当时是选了仅正常数据，所以得出了是，万幸哈哈哈
32. 还原全部被删改数据，该网站中充值的USDT总额为(答案填写阿拉伯数字，如“15”)
直接计算一个总和就可以啦

原来真错了，是

检材4

33. 嫌疑人使用的安卓模拟器软件名称是
解压出来是一个后缀是npbk的文件，百度一下是要用夜神模拟器打开，所以嫌疑人使用的是夜神模拟器。
34. 检材4中，“老板”的阿里云账号是
把npbk文件解压之后出来一个vmdk文件，可以直接用火眼取证工具进行分析，从老板的微信聊天记录里面可以看到老板的阿里云账号是

36. 上述VPN工具中记录的节点IP是

知道了下载时间从而推理一下安装时间，一定是比下载时间晚，晚几十秒的答案很可能是正确的
38. 上述录屏软件中名为“s_20221019105129”的录像，在模拟器存储中对应的原始文件名为

在夜神模拟器种直接恢复手机，然后打开录屏软件，点注销账号能直接看到手机号

exe分析

41. 分析加密程序，编译该加密程序使用的语言是
用ida反编译加密程序（在检材2的D盘中找到），查看字符串发现了很多py后缀，确定使用的语言就是

43. 分析加密程序，是通过什么算法对文件进行加密的/strong>
逆向分析，使用的是异或加密

45. 被加密文档中，FLAG1的值是(FLAG为8位字符串，如“FLAG9:QWERT123”)
同样的方法逆向解密程序后，发现密码没有被加密，所以直接运行输入密码就可以解密文件了

FLAG1的值：

apk分析

46. 恶意APK程序的包名为
首先下载这个软件（在前面的网址下载）用雷电APP智能分析查看包名

48. 解锁第一关所使用的FLAG2值为（FLAG为8位字符串，如需在apk中输入FLAG，请输入完整内容，如输入”FLAG9:QWERT123″）
使用雷电APP智能分析脱壳，然后进行jadx反编译

可以找到flag2

然后有一堆代码，好多个O，然后最终确定是要比对的值，看一下那个地方对这个值进行了定义

第一层

编写一个程序来输出FLAG3

50. 解锁第三关所需的KEY值由ASCII可显示字符组成，请请分析获取该KEY值

无法对intevalue和inter转换，所以到这直接跳到下面的catch，

最终爆破出key=

来源：SDPCTRM