Breve introducción al caso.
En septiembre de 2023, el centro de mando de cierta agencia de seguridad pública recibió el reporte de una víctima: conoció a una mujer llamada "Zhou Wei" a través de una herramienta de mensajería instantánea, los dos tuvieron una conversación muy amena, establecieron una relación en línea y luego Lo invitó a charlar desnudo. La víctima mordió el anzuelo. "Zhou Wei" charló desnudo con la víctima y todo el proceso fue grabado y filmado en video por la banda de fraude. Al mismo tiempo, Zhou Qian guió a la víctima para que descargara una aplicación troyana prefabricada con el argumento de que estaba haciendo transmisiones en vivo para "aumentar los fans". Después de que la víctima instaló la aplicación, el sospechoso utilizó el video grabado y la dirección de la víctima. libro para amenazarlo, llevando así a cabo el plan.
Luego de recibir la alarma, el organismo de seguridad pública capturó a través de medios técnicos un tramo de paquetes de tráfico, y mediante la investigación y análisis del organismo de seguridad pública se identificó la base de negocios de la banda defraudadora, se sabe que los pandilleros se comunicaron con el El comerciante de moneda ETH a través de Telegram para recolectar las monedas, y ambas partes estaban en línea. Se determina el tiempo de la transacción y el monto de la transacción (el monto de la transacción es 3 millones de yuanes), y el vendedor de moneda primero transfiere 0,5 ETH a la billetera del comprador de moneda. Después de que las dos partes se reunieron, acordaron entregar los bienes en dos transacciones: la primera transacción valía 1 millón de monedas virtuales y la segunda transacción valía 2 millones de monedas virtuales. El primer millón de monedas se transfiere desde la dirección del vendedor de divisas a la dirección de transferencia (controlada por el intermediario), y luego se transfiere desde la dirección de transferencia a la dirección de recepción de divisas proporcionada por el comprador de divisas. El comprador de divisas traerá 100 después de recibir la Se entregan 10.000 en efectivo al vendedor de moneda para que los cuente y se completa la primera transacción. Cuando los delincuentes iniciaron su segunda transacción, fueron interceptados por la policía en el acto. Se arrestó a los sospechosos pertinentes y se incautaron un teléfono Android, una computadora portátil y dos servidores forenses. Los materiales de inspección anteriores se reflejaron por separado. Consulte el archivo adjunto para obtener la lista de materiales de inspección. Inspeccione y analice los materiales de inspección anteriores según las circunstancias del caso y complete las siguientes preguntas.
Tabla de contenido
Análisis forense de terminales móviles
3. Este material de prueba se ha conectado a ______ WiFi en total. (Formato estándar: 1)
6. Analice que el ID de promoción del cartel involucrado es _________. (Formato estándar: 123456)
11. El sospechoso estaba en la ciudad _______ en noviembre de 2022. (Formato estándar: Chengdu)
12. El sospechoso compró un total de _______ cuentas QQ. (Formato estándar: 1)
2. Analice la apk. El nombre del paquete de la apk es ________. (Formato estándar: com.qqj.123)
9. Encuentre los ingresos totales del sospechoso en 2022_______. (Formato estándar: 123)
Análisis forense del servidor 1
1.El número de versión del sistema del servidor es _______. (Formato: 1.1.1111)
2. El número de versión de la base de datos del sitio web es _______. (Formato: 1.1.1111)
3. El tiempo de "tiempo de espera" del panel pagoda es de _______ minutos. (Formato: 50)
Análisis forense del servidor 2
Análisis forense de terminales móviles
1. Por favor analice que la identificación del dispositivo del teléfono móvil involucrado es _______. (Formato estándar: 12345678)
85069625 
2. Confirme que la hora de instalación de la primera aplicación de destino por parte del sospechoso fue ______. (Formato estándar: 2023-09-13.11:32:23)
2022-11-16.19:11:26Primero busca esta aplicación en el historial de chat.
encontrar el tiempo
3. Este material de prueba se ha conectado a ______ WiFi en total. (Formato estándar: 1)
6 Encuentra registros wifi
4. Hay ______ mensajes de texto no leídos en el registro de mensajes de texto del teléfono móvil del sospechoso. (Formato estándar: 12)
17 No se puede saber mirando directamente. Descomprima el archivo de imagen y busque mmssms.db.
Verifique la tabla de SMS, leído = 0 significa no leído
5. El sitio web donde el teléfono móvil del sospechoso puede descargar la imagen de fondo del cartel es _______. (Formato estándar: http://www.baidu.com/admin/index.html)
http://m.ziyuanhu.com/pics/1725.html
Encontrado en registros de sitios web
6. Analice que el ID de promoción del cartel involucrado es _________. (Formato estándar: 123456)
114092 Encuentra el ID de la promoción en la imagen.
7. El sospechoso promovió la aplicación a través de mensajes de texto masivos. __ los números entre los destinatarios no son válidos. (Formato estándar: 12)
1 Vi este mensaje en el mensaje de texto.
8. Mediante análisis, la cuenta de WeChat impulsada por el sospechoso es ______. (Formato estándar: Lx20230916)
Gq20221101
Encuentra el historial de chat
9. Verifique que el nombre del paquete del APK "Voice Changer" utilizado por el sospechoso sea ________. (Formato estándar: com.baidu.com)
com.chuci.voice Encuentra el cambiador de voz mágico
10. El ID de la APP de registro de contacto del comerciante es _________. (Formato estándar: 12345678)
36991915 encontrar un contacto
11. El sospechoso estaba en la ciudad _______ en noviembre de 2022. (Formato estándar: Chengdu)
苏州Encontré esta pregunta en Shanghai porque vi un mensaje de texto que mostraba que estaba en Shanghai.
Después de jugar, me sentí como si estuviera en Zhejiang, pero no estaba seguro de dónde estaba. Sólo después de ver WP descubrí que estaba en Suzhou. .
Ver información de ubicación de la imagen
Utilice este sitio web para consultar la longitud y latitud, y la ubicación es Suzhou.
12. El sospechoso compró un total de _______ cuentas QQ. (Formato estándar: 1)
8 Consulta el historial de chat, esta vez hay cinco y la última vez tres, un total de 8.
APK forense
1. Analice la imagen del teléfono móvil y exporte la apk involucrada. El valor md5 de esta apk es ________. (Formato estándar: abc123)
d56e1574c1e48375256510c58c2e92e5Exporte base.apk y colóquelo en la aplicación Thunderbolt para su análisis.
2. Analice la apk. El nombre del paquete de la apk es ________. (Formato estándar: com.qqj.123)
lx.tiantian.com
3. Analizando la apk, el número de versión interna de la aplicación es __________. (Formato estándar: 1.1)
1.0 Número de versión de la aplicación
4. Analice la apk. La versión de Android más alta compatible de la apk es _______. (Formato estándar: 11)
12
La versión 32 del SDK que se ve en el manifiesto del archivo de recursos corresponde a Android12.
5. Analice la apk. La entrada de función principal de la aplicación es _________. (Formato estándar: com.qqj.123.MainActivity)
lx.tiantian.com.activity.MainActivity
6. Analice la apk y descubra que el nombre del permiso para robar mensajes de texto es ________. (Formato estándar: android.permission.NETWORK)
android.permission.READ_SMS
También escribí esta respuesta, pero estaba mal.
7. El valor de la clave de aplicación OPPO utilizada por la aplicación es ________. (Formato estándar: AB-12345678)
OP-264m10v633PC8ws8cwOOc4c0w 
8. Analice el código fuente del apk, la dirección de fondo del APK es ________. (Formato estándar: com.qqj.123)
app.goyasha.com
Está justo dentro de la actividad principal. ¡Es tan obvio que ni siquiera lo vi en ese momento! !
9. Al analizar el código fuente de la apk, el valor salt para el inicio de sesión de la dirección de fondo de la APLICACIÓN es _______. (Formato estándar: 123abc=%$&)
73g=s%!lvi8h=i7a4ge*o3s@h2n^5_yk=-y#@p6)feidfjol8@ Busqué directamente sal
10. Al analizar el código fuente del apk, la contraseña de inicio de sesión para la dirección de backend del APK es ______. (Formato estándar: longxin123)
lxtiantiancom Buscar contraseña
11. Analice el paquete de instalación de la APLICACIÓN El valor de verificación de la plataforma de empaquetado de la APLICACIÓN es ______. (Formato estándar: HER45678)
H5D9D11EA Dentro de Androidmainfest
12. La dirección IP del nombre de dominio del sitio web accesible obtenida al capturar este paquete apk es _______. (Formato estándar: 192.168.1.1)
192.168.5.80 
13. Analice el código fuente de la apk. El valor de la clave de cifrado de la apk es ________. (Formato estándar: 12345678)
ade4b1f8a9e6b666 Le di la vuelta manualmente y lo encontré.
14. Según la imagen de la computadora y el análisis completo, el número de teléfono de la empresa desarrolladora de apk es __. (Formato estándar: 4001122334)
4008522366Análisis forense de medios
1. Para el análisis de imágenes de PC, confirme que la contraseña de encendido de la computadora involucrada es _______. (Formato estándar: 123456)
Longxin360004
Realmente me desmayé cuando intenté usar Huoyan pero no había contraseña de encendido. Me dijeron que debía usar la emulación de Longxin.
Simplemente hágalo y le indicará que es el número de empleado de Longxin+.
Analiza y encuentra el número de trabajo en Huoyan
Entró
2. La última vez que la computadora involucrada en el caso se apagó normalmente fue _______. (Formato estándar: 2023-1-11.11:11:11)
2023-09-16.18:20:34Aún no he analizado este ojo de fuego, necesito ir al maestro forense.
3. Al analizar la computadora involucrada en el caso, se encontró que el 4 de noviembre de 2022, la computadora estuvo encendida por un total de _______. (Formato estándar: 1 hora, 1 minuto, 1 segundo)
Dios también dijo que no sabía qué estaba pensando el organizador sobre esta pregunta.
suma estos tiempos
Calculé 14 horas, 17 minutos y 14 segundos pero me equivoqué.
4. Para el análisis de imágenes de PC, confirme si WeChat es un programa de inicio automático al iniciar. (formato estándar: sí/no)
是 
5. Hay una partición cifrada en el disco duro del material de inspección y se proporciona el contenido descifrado del archivo "My Secret.jpg". (Formato estándar: Longxin0924)
Mimi1234 encontrar la clave bt
Cuchillo del ejército suizo
6. Siguiendo con la pregunta anterior, ¿cuál es el salario del sospechoso en octubre? (Formato estándar: 123)
19821 El talón de pago de afuera está mal
Utilice la clave obtenida en la pregunta anterior para descifrar y obtener el recibo de sueldo.
7. Después de analizar la imagen de la PC, utilicé el buzón QQ en el navegador, la contraseña de este buzón es ______. (Formato estándar: Longxin0924)
Longxin@2023
8. Combinado con el análisis de la imagen del teléfono móvil, se obtiene una identificación de promoción, busque los materiales aquí para encontrar este cartel y escriba la ruta. (Formato estándar: D:\X\X\1.txt)
C:\Program Files (x86)\Tencent\WeChat\2.png
Encontré la ruta en el archivo mmm.txt.
9. Encuentre los ingresos totales del sospechoso en 2022_______. (Formato estándar: 123)
205673Este archivo fue eliminado
Utilice 2.png como archivo clave para descifrar el contenedor
Lo monté con Pangu Stone y lo descifré usando el archivo clave. Puedo ver el ingreso total de 2022 eliminado.xlsx. 
Suma
10. Analice este cartel y encuentre el número de tarjeta bancaria del sospechoso. (Formato estándar: 62225123456321654)
6320005020052013476
Análisis de moneda virtual
1. Analice la computadora involucrada y complete correctamente el tipo de token actual de la dirección de transferencia______. (Formato estándar: BNB)
ETHHay una copia de seguridad del simulador Yeshen 111.npbk en el contenedor anterior.
Descomprimir y obtener vmdk
Simular con Fire Eye
2. Analice la computadora involucrada y complete correctamente el saldo actual del token de la dirección de transferencia_______. (Formato estándar: 1.23)
4.4981Aquí necesitas descargar el simulador Night God.
Seleccione varios simuladores e impórtelos
Iniciar simulación
Cuando se abre al principio, es 0. Debe desconectarse de Internet para ingresar.
3. Encuentre la dirección del comprador de moneda según el registro de transferencia de la dirección de transferencia. Dirección del comprador de monedas: _____ (formato estándar: 0x123ABC)
0x63AA203086938f82380A6A3521cCBf9c56d111eA Según el caso, el vendedor de divisas primero transfiere 0,5 ETH a la billetera del comprador de divisas. La dirección de la billetera en el simulador pertenece al vendedor de divisas. La dirección de tránsito se denomina trampa. Los 0,5 ETH se transfieren directamente a la dirección del comprador de divisas. . , las otras dos transacciones fueron transferidas a intermediarios
4. Calcule el monto de la transferencia desde la dirección del comprador según el registro de transferencia de la dirección de transferencia. Monto de la transferencia: ____ ETH (formato estándar: 12.3)
150.5 
5. Al crear una billetera, la aplicación de la aplicación nos sugerirá que hagamos una copia de seguridad de la frase mnemotécnica para que podamos recuperar la billetera si olvidamos la contraseña en el futuro. Durante el proceso de manejo del caso, a menudo obtenemos una copia de seguridad de la frase mnemotécnica el sospechoso. Determine el formato correcto entre los siguientes tres conjuntos de mnemónicos (A)
A.raw salchicha art hub inspira mareado divertido exilio local medio cobertizo primario
B.raw salchicha art hub inspira mareado divertido cobertizo medio primario
C.salchicha cruda arte divertido exilio local medio cobertizo primario
6. Supongamos que la frase mnemotécnica correcta en la pregunta anterior es la copia de seguridad de la frase mnemotécnica de la billetera del sospechoso encontrada mediante reconocimiento (la dirección conocida pertenece a la cadena Ethereum). Restaure la billetera del sospechoso a través de la aplicación imToken en el simulador y seleccione la correcta. Dirección de billetera (B)
A. 0xf0fF021880c4b1F79876E335c74d26DFa75DC9f9
B. 0x63AA203086938f82380A6A3521cCBf9c56d111eA
C. 0x0fd5F09C6Ba5Fd0aE6EbAFAF034913ACF7a0373A
Análisis de tráfico
1. Analice el "paquete 1.cap" y pregunte por qué el cliente no puede acceder al servidor. (Ataque de DOS)
En primer lugar, si no puede acceder al servidor, probablemente se trate de un ataque de denegación de servicio.
DDoS 是 僵尸机发送废物请求
dos 是 多次大量请求 没有相应 实现三次握手
sesión de estadísticas
Se encontró que el acceso a 120.210.129.29 es anormalmente alto.
Entonces revisemos el paquete con destino 10.5.0.19
ip.dst==10.5.0.19 
Podemos encontrar que coincide con múltiples solicitudes de IP y no implementa el protocolo de enlace.
2. Analice el "Paquete de datos 1.cap" y descubra que la dirección IP del servidor en cuestión es _______. (Formato: 127.0.0.1)
10.5.0.19Lo mismo que arriba
3. Analice el "Paquete de datos 1.cap" y descubra que la dirección IP del servidor de entrega de archivos es _______. (Formato estándar: 127.0.0.1)
120.210.129.29 Exportar http
Descubrí que el archivo java.log fue transferido
4. Al analizar el "paquete 1.cap", el atacante utiliza la vulnerabilidad _______ para realizar la ejecución remota de código. (Formato estándar: minúsculas, sin chino)
struts2Ver el contenido del tráfico de java.log
http contains "java.log" rastrear flujo tcp
cabeza de búsqueda
5. Analice el "Paquete de datos 1.cap", extraiga el archivo malicioso y verifique que el valor MD5 del archivo sea _______. (formato estándar: abcd)
87540c645d003e6eebf1102e6f904197 Exportar el archivo java.log
Ponlo en análisis sandbox
6. Analice "paquete de datos 2.cap" y la ruta para obtener el archivo es ________. (Formato estándar: D:/X/X/1.txt)
C:/Users/Administrator/Downloads/新建文件夹/新建文件夹/mail.png Exportar http
Encuentra la secuencia donde se encuentra este mail.png
decodificación de URL
7. Analice el "paquete de datos 2.cap" y descubra que la contraseña de la cuenta de autenticación del servidor de descarga de archivos es _______. (Formato estándar: 123)
admin:passwdSeguimiento del flujo tcp, respuesta del flujo 2 200
Descifrar
8. Analice el "paquete de datos 2.cap" y descubra que el tamaño del archivo descargado es ________ bytes. (Formato estándar: 123)
211625 Exportar correo.png
Ver propiedades
Análisis forense del servidor 1
1.El número de versión del sistema del servidor es _______. (Formato: 1.1.1111)
7.9.2009 Información básica
2. El número de versión de la base de datos del sitio web es _______. (Formato: 1.1.1111)
5.6.50 
3. El tiempo de "tiempo de espera" del panel pagoda es de _______ minutos. (Formato: 50)
120 Simular centos
Recuerde cambiar el modo solo host al modo nat
dirección ip ver ip
Conéctate usando mobax
bt 5 restablecer contraseña
bt 23 Espera, apaga todo lo que se pueda apagar.
Necesita iniciar sesión con su propia cuenta
Recuerde la pregunta sobre los minutos.
4. El valor SHA256 del archivo comprimido de copia de seguridad del código fuente del sitio web es _______. (Formato: minúsculas de 64 bits)
0bdeeacf755126dae9efd38f6a6d70323aa95217b629fd389e0e81f9b406be39La copia de seguridad está en /www/backup/site/wwwroot.tar.gz, calcule sha256
5. El valor predeterminado de cifrado MD5 de la contraseña de administrador del sitio web de distribución sb.wiiudot.cn es _______. (Formato: abcd)
7f5918fe56f4a01d8b206f6a8aee40f2 Agregar nombre de dominio, nombre de dominio centos
Visita /administrador
Modifique la dirección de la base de datos en /app/database.php en el directorio del sitio web a localhost
Modifique el campo del archivo config.php show_error_msga True
Visita /administrador
contraseña incorrecta
Busque errores de contraseña en el archivo Common.php
Buscar uso de funciones
6. El sitio web de distribución sb.wiiudot.cn almacena un total de _______ datos de la libreta de direcciones. (Formato estándar: 1234)
67097Modifique != en el archivo Common.php a ==
Inicia sesión con cualquier contraseña
7. Hay _______ víctimas en todos los sitios web. (Formato: xxx. Sin deduplicación, sin recuperación de datos)
506 encontrar base de datos
8. Hay _______ administradores de "nivel de miembro" en el sitio web de distribución tf.chongwuxiaoyouxi.com. (Formato: número)
26 
9. El código de invitación denominado "0820" por el administrador del sitio web de distribución sb.wiiudot.cn es _______. (Formato:xxx)
443074 
10. La contraseña del usuario de la base de datos local sb_wiiudot_cn del sitio web de distribución sb.wiiudot.cn es _______. (Formato:xxx)
KE5f3xnFHYAnG5DtNo entiendo esta pregunta
Análisis forense del servidor 2
1. Analice que el directorio de creación de sitios web predeterminado en el panel de Pagoda es _______. (Formato estándar: /etc/www)
/home/wwwroot
2. Hay una base de datos con una sola estructura de tabla en el directorio de la base de datos de Pagoda, busque el "archivo de estructura de tabla" y analice que el tipo de campo del sexto campo es _______. (formato estándar: int(11))
char(128)
3. Analice que el nombre de dominio vinculado al sitio web "Lexiang Finance" es _______. (Formato estándar: www.baidu.com)
jinrong.goyasha.com
http://192.168.75.140:8888/400c78c0/
La contraseña es 123456
4. Visite la base de datos "Lexiang Finance" y busque la tabla de usuarios. Suponga que la contraseña es 123456, el uid restaurado es 2909 y el nombre de usuario es goyasha. El valor de la contraseña cifrada es _______. (Formato estándar: abcdefghijklmnopqrstuvwsyz)
d2174d958131ebd43bf900e616a752e1 La base de datos utilizada essjp
Contraseña de usuario + cálculo del tiempo de registro de usuario md5 
Recuperación de base de datos de respaldo
Busque la contraseña de root e ingrese phpmyadmin
5. Reconstruya "Disfrute de Finanzas" y visite la interfaz de inicio de sesión de la plataforma. Las palabras en el logotipo en la parte superior de la interfaz de inicio de sesión de miembros son _______. (Formato estándar: Love Finance)
睿文化Busque el archivo png en el archivo login.html
encontrar archivo
6. Analice que " Enjoy Finance " ha agregado un total de _______ productos no cambiarios. (Formato estándar: 5)
2 wp_productclassVea en la tabla que pcid 5 es moneda extranjera.
wp_productinfoPreste también atención a los campos eliminados por isdelete. Hay un total de 2 campos que no son de divisas que no se han eliminado.
7. Analice la configuración de "Disfrute de Finanzas" para recargar la dirección de moneda TEDA es _______. (Formato estándar: EDFGF97B46234FDADSDF0270CB3E)
85CF33F97B46A88C7386286D0270CB3E
wp_rcsetsuperficie
8. Analice el monto total de recarga de las víctimas cuyo monto de recarga es superior a 582.402 yuanes en "Lexiang Finance" es _______. (Formato estándar: 12345678)
101000087
La recarga se registra en wp_price_logla tabla.
9. Analice que el nombre de usuario vinculado al número de tarjeta bancaria "Lexiang Finance" "6239039472846284913" es _______. (Formato estándar: Zhang San)
kongxinBusque el nombre del titular de la tarjeta correspondiente a 6239039472846284913 en la tabla wp_bankcar, que es Zhang Jiaoshou
Corresponda al uid y busque el nombre de usuario en la tabla wp_userinfo, el nombre de usuario es kongxin.
10. Analice que la hora de apertura de "Lexiang Finance" es "2022/03/01 18:44:01" y la hora de cierre es "2022/03/01 18:52:01". Esta situación de Ethereum/Tether El precio de cierre de la transacción es _______. (Formato estándar: 1888.668)
2896.924Tabla wp_order de registro de transacciones
La hora de apertura de la posición se convierte a la marca de tiempo 1646131441, la hora de cierre de la posición se convierte a la marca de tiempo 1646131921
Filtrar registros
11. Analice que el número de pedido de "Lexiang Finance" es "202112090946233262" y la hora de cierre es _______. (Formato estándar: 2022-1-11.1:22:43)
2021-12-09 09:52:23 
Convertir la marca de tiempo
12. Un usuario en Pagoda Panel intentó una vez realizar una solicitud POST con el parámetro "/BTCloud?action=UploadFilesData". ¿Podría decirme qué ( ) sistema informático se sospecha que utiliza el usuario para realizar la solicitud de acceso?
R. Windows 8.1
B. Windows 10
C.Windows 11
D. Servidor Windows 2000
El registro de acceso de Pagoda Panel se encuentra en el directorio /www/server/panel/logs/request
Busque el registro de acceso en el registro del 23/07/2022
Windows NT 6.3 es win8
13. Por favor analice que la contraseña de la cuenta “root” con mayor autoridad de la imagen del servidor es _______. (Formato estándar: a123456)
g123123Exportar /etc/shadow y contraseña
Arrastra a Kali
rockyou.txt viene con kali, pero es necesario descomprimirlo. Consulte el siguiente artículo para obtener más detalles.
Kali viene con diccionario de contraseñas rockyou.txt descompresión-CSDN Blog