案情简介

　　2023年9月，某公安机关指挥中心接受害人报案：通过即时通讯工具添加认识一位叫“周微”的女人，两人谈论甚欢，确定网上恋爱关系，后邀约裸聊，受害人上钩后，“周微”和受害人进行裸聊，整个过程被涉诈团伙录音录像。同时周倩以自己做直播“涨粉”为由，引导受害人下载其事先制作好的木马APP，受害人安装该APP后，嫌疑人利用录制的视频和受害人的通讯录做要挟，从而实施诈骗。

　　公安机关接警后，通过技术手段抓取了一段流量包，且通过公安机关的侦查与分析，锁定了该诈骗团伙的业务窝点，具了解，该团伙成员通过Telegram 联系ETH币商收币，双方在线上确定好了交易时间和交易金额（交易额为300万人民币），并先由卖币方转0.5个ETH到买币方钱包。双方人员碰头后，商定分两笔交易交割，第一笔交易价值100万的WPS office的电脑版的下载网站怎么找、第二笔交易价值200万的WPS office的电脑版的下载网站怎么找。第一笔100万的币从卖币方的地址转到中转地址（由中间人控制），再由中转地址转到买币方提供的收币地址，买币方收到币后将带来的100万现金给卖币方清点，第一笔交易完成。 犯罪分子开始第二笔交易时，被警方当场截获。并将相关嫌疑人抓获，扣押安卓手机1部，笔记本电脑1台，调证服务器2台，以上检材以分别制作了镜像。检材清单见附件。请结合案情，对上述检材进行勘验与分析，完成以下题目。

　　目录

　　移动终端取证

　　1.请分析涉案手机的设备标识是_______。（标准格式：12345678）

　　2.请确认嫌疑人首次安装目标APP的安装时间是______。（标准格式：2023-09-13.11:32:23）

　　3.此检材共连接过______个WiFi。（标准格式：1）

　　4.嫌疑人手机短信记录中未读的短信共有______条。（标准格式：12）

　　5.嫌疑人检材手机在浏览器中下载海报背景图的网址是_______。（标准格式：http://www.baidu.com/admin/index.html）

　　6.请分析涉案海报的推广ID是________。（标准格式：123456）

　　7.嫌疑人通过短信群发去推广APP，请问收件人中有__个号码是无效的。（标准格式：12）

　　8.通过分析，嫌疑人推送的微信账号是______。（标准格式：Lx20230916）

　　9.请校验嫌疑人使用的“变声器”APK的包名是________。（标准格式：com.baidu.com）

　　10.号商的联系人注册APP的ID是_________。（标准格式：12345678）

　　11.嫌疑人于2022年11月份在_______城市。（标准格式：成都）

　　12.嫌疑人共购买_______个QQ号。（标准格式：1）

　　APK取证

　　1.分析手机镜像，导出涉案apk，此apk的md5值是________。（标准格式：abc123）

　　2.分析该apk，apk的包名是________。（标准格式：com.qqj.123）

　　3.分析该apk，app的内部版本号是__________。（标准格式：1.1）

　　4.分析该apk，请问该apk最高支持运行的安卓版本是_______。（标准格式：11）

　　5.分析该apk，app的主函数入口是_________。（标准格式：com.qqj.123.MainActivity）

　　6.分析该apk，请问窃取短信的权限名称是________。（标准格式：android.permission.NETWORK）

　　7.APP使用的OPPO的appkey值是________。（标准格式：AB-12345678）

　　8.分析apk源码，该APK后台地址是________。（标准格式：com.qqj.123）

　　9.分析apk源码，APPwps的官网的下载网址在哪 后台地址登录的盐值是_______。（标准格式：123abc=%$&）

　　10.分析apk源码，该APK后台地址登录密码是______。（标准格式：longxin123）

　　11.对 APP 安装包进行分析，该 APP打包平台调证值是______。（标准格式：HER45678）

　　12.此apk抓包获取到的可访问网站域名IP地址是_______。（标准格式：192.168.1.1）

　　13.分析apk源码，该apk的加密方式key值是________。（标准格式：12345678）

　　14.结合计算机镜像，综合分析，请问该apk开发者公司的座机号码是__。（标准格式：4001122334）

　　介质取证

　　1.对PC镜像分析，请确定涉案电脑的开机密码是_______。（标准格式：123456）

　　2.涉案计算机最后一次正常关机时间_______。（标准格式：2023-1-11.11:11:11）

　　3.分析涉案计算机，在2022年11月4日此电脑共开机时长为_______。（标准格式：1小时1分1秒）

　　4.对PC镜像分析，请确认微信是否是开机自启动程序。（标准格式：是/否）

　　5.检材硬盘中有一个加密分区，给出其中“我的秘密.jpg”文档的解密内容。（标准格式：Longxin0924）

　　​

　　6.接上题，请问该嫌疑人10月份工资是_______元。（标准格式：123）

　　7.对PC镜像进行分析，浏览器中使用过QQ邮箱，请问该邮箱的密码是______。（标准格式：Longxin0924）

　　8.结合手机镜像分析，得出一个推广ID，请在此检材找到此海报，请写出路径。（标准格式：D:XX1.txt）

　　9.请找出嫌疑人的2022年收入共_______。（标准格式：123）

　　10.分析此海报，请找到嫌疑人的银行卡号。（标准格式：62225123456321654）

　　虚拟币分析

　　4.根据中转地址转账记录统计买方地址转账金额。转账金额：____ ETH.（标准格式:12.3）

　　5.在创建钱包时，应用APP都会建议我们进行助记词备份，方便以后忘记密码后找回钱包，在办案过程中时常会拿到犯罪嫌疑人备份的助记词的情况。请从以下三组助记词中判断出格式正确的一组（ A）

　　6.假设上题中正确的助记词为通过侦察找到的嫌疑人钱包助记词备份（已知地址属于以太坊链），请在模拟器中通过imToken APP恢复嫌疑人钱包，并选出正确钱包地址（ B）

　　流量分析

　　1.分析“数据包1.cap”，请问客户端为什么访问不了服务器。（DoS攻击 ）

　　2.分析“数据包1.cap”，出问题的服务器IP地址是_______。（格式：127.0.0.1）

　　3.分析“数据包1.cap”，文件下发服务器的IP地址是_______。（标准格式：127.0.0.1）

　　4、分析“数据包1.cap”，攻击者利用_______漏洞进行远程代码执行。（标准格式：小写，无中文）

　　5、分析“数据包1.cap”，请提取恶意文件，并校验该文件的MD5值为_______。(标准格式:abcd)

　　6、分析“数据包2.cap”，其获取文件的路径是________。（标准格式：D:/X/X/1.txt）

　　7、分析“数据包2.cap”，文件下载服务器的认证账号密码是_______。（标准格式：123）

　　8、分析“数据包2.cap”，其下载的文件大小有________字节。（标准格式：123）

　　服务器取证1

　　1.服务器系统的版本号是_______。（格式：1.1.1111）

　　2、网站数据库的版本号是_______。（格式：1.1.1111）

　　3、宝塔面板的“超时”时间是_______分钟。（格式：50）

　　4、网站源码备份压缩文件SHA256值是_______。（格式：64位小写）

　　5、分发网站sb.wiiudot.cn管理员密码默认MD5加密盐值是_______。（格式：abcd）

　　6、分发网站sb.wiiudot.cn一共存放了_______条通讯录数据。（标准格式：1234）

　　7、全部网站一共有_______名受害人。（格式：xxx。不去重,不进行数据恢复）

　　8.分发网站tf.chongwuxiaoyouxi.com里面一共有_______位“组员级别”的管理员。(格式:数字)

　　9.分发网站sb.wiiudot.cn管理员名为“0820”的邀请码是_______。(格式:xxx)

　　10.分发网站sb.wiiudot.cn本地数据库用户sb_wiiudot_cn的密码是_______。(格式:xxx)

　　服务器取证2

　　1、请分析宝塔面板中默认建站目录是_______。（标准格式：/etc/www）

　　2.在宝塔数据库目录有一个只含有一个表结构的数据库，请找到该“表结构文件”并分析出第六个字段的字段类型是_______。（标准格式：int(11)）

　　3.请分析“乐享金融”网站绑定的域名是_______。（标准格式：www.baidu.com）

　　4.请访问“乐享金融”数据库并找到用户表，假设密码为123456，还原uid为2909，用户名为goyasha加密后密码的值是_______。（标准格式：abcdefghijklmnopqrstuvwsyz）

　　5.请重建“乐享金融”，访问平台前台登陆界面，会员登陆界面顶部LOGO上的几个字是_______。（标准格式：爱金融）

　　6.请分析“乐享金融wps 的官网最新下载的入口(wps官网最新电脑版怎么下载到桌面)”一共添加了_______个非外汇产品。（标准格式：5）

　　7.请分析“乐享金融”设置充值泰达币的地址是_______。（标准格式：EDFGF97B46234FDADSDF0270CB3E）

　　8.请分析“乐享金融”充值金额大于582402元的受害人充值总金额是_______。（标准格式：12345678）

　　9.请分析“乐享金融”银行卡号“6239039472846284913”绑定用户的用户名是_______。（标准格式：张三）

　　1.请分析涉案手机的设备标识是_______。（标准格式：12345678）

　　

　　2.请确认嫌疑人首次安装目标APP的安装时间是______。（标准格式：2023-09-13.11:32:23）

　　先在聊天记录里面找到这个app

　　

　　找到时间

　　

　　3.此检材共连接过______个WiFi。（标准格式：1）

　　查找wifi记录

　　4.嫌疑人手机短信记录中未读的短信共有______条。（标准格式：12）

　　直接看确实看不出，解压image文件，找到mmssms.db

　　查看sms表，read=0就是未读

　　

　　5.嫌疑人检材手机在浏览器中下载海报背景图的网址是_______。（标准格式：http://www.baidu.com/admin/index.html）

　　在网站记录里面找到

　　6.请分析涉案海报的推广ID是________。（标准格式：123456）

　　图片里面找到推广id

　　7.嫌疑人通过短信群发去推广APP，请问收件人中有__个号码是无效的。（标准格式：12）

　　在短信里面看到这条信息

　　8.通过分析，嫌疑人推送的微信账号是______。（标准格式：Lx20230916）

　　查找聊天记录

　　9.请校验嫌疑人使用的“变声器”APK的包名是________。（标准格式：com.baidu.com）

　　找到魔法变声器

　　10.号商的联系人注册APP的ID是_________。（标准格式：12345678）

　　查找联系人

　　11.嫌疑人于2022年11月份在_______城市。（标准格式：成都）

　　这题找到上海去了，因为有看到短信显示在上海

　　打完比赛觉得在浙江，但是又不确定到底是那，看了wp才知道在苏州。。

　　查看图片位置信息

　　【经纬度查询】在线地图经度纬度查询|经纬度地名坐标转换

　　使用这个网站进行经纬度的查询，查询到位置是苏州

　　

　　12.嫌疑人共购买_______个QQ号。（标准格式：1）

　　查看聊天记录，这次有五个，上次还有三个，共8个

　　1.分析手机镜像，导出涉案apk，此apk的md5值是________。（标准格式：abc123）

　　导出base.apk，放到雷电app分析

　　

　　2.分析该apk，apk的包名是________。（标准格式：com.qqj.123）

　　

　　3.分析该apk，app的内部版本号是__________。（标准格式：1.1）

　　应用版本号

　　4.分析该apk，请问该apk最高支持运行的安卓版本是_______。（标准格式：11）

　　资源文件里面的manifest看到的sdk版本32，对应Android12

　　 WPS office的官网下载的地方是什么

　　5.分析该apk，app的主函数入口是_________。（标准格式：com.qqj.123.MainActivity）

　　

　　6.分析该apk，请问窃取短信的权限名称是________。（标准格式：android.permission.NETWORK）

　　我也是写的这个答案，但是错了

　　7.APP使用的OPPO的appkey值是________。（标准格式：AB-12345678）

　　

　　8.分析apk源码，该APK后台地址是________。（标准格式：com.qqj.123）

　　就在mainactivity里面，这么明显当时居然没看到！！

　　9.分析apk源码，APP 后台地址登录的盐值是_______。（标准格式：123abc=%$&）

　　我直接搜索的salt

　　10.分析apk源码，该APK后台地址登录密码是______。（标准格式：longxin123）

　　搜索password

　　11.对 APP 安装包进行分析，该 APP打包平台调证值是______。（标准格式：HER45678）

　　Androidmainfest里面

　　12.此apk抓包获取到的可访问网站域名IP地址是_______。（标准格式：192.168.1.1）

　　

　　13.分析apk源码，该apk的加密方式key值是________。（标准格式：12345678）

　　手动翻一翻就翻到了

　　14.结合计算机镜像，综合分析，请问该apk开发者公司的座机号码是__。（标准格式：4001122334）

　　1.对PC镜像分析，请确定涉案电脑的开机密码是_______。（标准格式：123456）

　　真的用火眼就是没有开机密码我晕了 ，说一定要用龙信的仿真

　　

　　随便搞个然后提示你是Longxin＋工号

　　

　　在火眼里面分析找到工号

　　 进去了

　　2.涉案计算机最后一次正常关机时间_______。（标准格式：2023-1-11.11:11:11）

　　这个火眼也没分析到，要到取证大师

　　

　　3.分析涉案计算机，在2022年11月4日此电脑共开机时长为_______。（标准格式：1小时1分1秒）

　　这题to神也说不知道主办方咋想的

　　

　　把这些时间加起来

　　我算的14小时17分14秒但是错了

　　4.对PC镜像分析，请确认微信是否是开机自启动程序。（标准格式：是/否）

　　

　　5.检材硬盘中有一个加密分区，给出其中“我的秘密.jpg”文档的解密内容。（标准格式：Longxin0924）

　　找到bt密钥

　　

　　瑞士军刀

　　

　　6.接上题，请问该嫌疑人10月份工资是_______元。（标准格式：123）

　　在外面的工资条是错误的

　　用上一题得到的密钥解密得到工资条

　　

　　7.对PC镜像进行分析，浏览器中使用过QQ邮箱，请问该邮箱的密码是______。（标准格式：Longxin0924）

　　

　　8.结合手机镜像分析，得出一个推广ID，请在此检材找到此海报，请写出路径。（标准格式：D:XX1.txt）

　　在mmm.txt文件里面找到路径了

　　9.请找出嫌疑人的2022年收入共_______。（标准格式：123）

　　这个文件被删除了

　　用2.png作为密钥文件去解容器

　　我是用盘古石挂载的，使用密钥文件解密，可以看到被删除的2022年总收入.xlsx 

　　求和

　　

　　10.分析此海报，请找到嫌疑人的银行卡号。（标准格式：62225123456321654）

　　

　　1、分析涉案计算机，正确填写中转地址当前的代币种类______。（标准格式：BNB）

　　在前面的容器里面有个111.npbk夜神模拟器备份

　　解压得到vmdk

　　用火眼仿真

　　

　　2、分析涉案计算机，正确填写中转地址当前的代币余额数量_______。（标准格式：1.23）

　　这里需要下载夜神模拟器

　　选择多开模拟器，然后导入

　　

　　开启模拟

　　一开始打开是0，需要断网进去

　　3、根据中转地址转账记录找出买币方地址。买币方地址：_____（标准格式：0x123ABC)

　　根据案情先由卖币方转0.5个ETH到买币方钱包，模拟器中的钱包地址是卖币方的，命名为中转地址是一个挖坑的点，0.5ETH是直接转到买币方地址，其他两笔是转给中间人的

　　

　　4.根据中转地址转账记录统计买方地址转账金额。转账金额：____ ETH.（标准格式:12.3）

　　

　　5.在创建钱包时，应用APP都会建议我们进行助记词备份，方便以后忘记密码后找回钱包，在办案过程中时常会拿到犯罪嫌疑人备份的助记词的情况。请从以下三组助记词中判断出格式正确的一组（ A）

　　A.raw sausage art hub inspire dizzy funny exile local middle shed primary

　　B.raw sausage art hub inspire dizzy funny middle shed primary

　　C.raw sausage art funny exile local middle shed primary

　　

　　6.假设上题中正确的助记词为通过侦察找到的嫌疑人钱包助记词备份（已知地址属于以太坊链），请在模拟器中通过imToken APP恢复嫌疑人钱包，并选出正确钱包地址（ B）

　　A. 0xf0fF021880c4b1F79876E335c74d26DFa75DC9f9

　　B. 0x63AA203086938f82380A6A3521cCBf9c56d111eA

　　C. 0x0fd5F09C6Ba5Fd0aE6EbAFAF034913ACF7a0373A

　　

　　1.分析“数据包1.cap”，请问客户端为什么访问不了服务器。（DoS攻击 ）

　　首先 访问不了服务器 多半就是拒绝服务攻击

　　统计会话

　　发现这个 120.210.129.29 访问异常的高

　　然后我们查看一下 目的为 10.5.0.19的包

　　

　　我们能发现 确实符合 多次ip请求 没有实现握手

　　2.分析“数据包1.cap”，出问题的服务器IP地址是_______。（格式：127.0.0.1）

　　同上

　　3.分析“数据包1.cap”，文件下发服务器的IP地址是_______。（标准格式：127.0.0.1）

　　导出http

　　发现传输了java.log文件

　　4、分析“数据包1.cap”，攻击者利用_______漏洞进行远程代码执行。（标准格式：小写，无中文）

　　查看内容为 java.log的流量

　　追踪tcp流

　　 搜索头

　　

　　5、分析“数据包1.cap”，请提取恶意文件，并校验该文件的MD5值为_______。(标准格式:abcd)
最新的中文wps下载的地方是多少
　　把java.log文件导出

　　放到沙箱分析

　　6、分析“数据包2.cap”，其获取文件的路径是________。（标准格式：D:/X/X/1.txt）

　　导出http

　　找这个mail.png所在的流

　　url解码

　　

　　7、分析“数据包2.cap”，文件下载服务器的认证账号密码是_______。（标准格式：123）

　　追踪tcp流，流2响应200

　　 解密

　　

　　8、分析“数据包2.cap”，其下载的文件大小有________字节。（标准格式：123）

　　导出mail.png

　　查看属性

　　1.服务器系统的版本号是_______。（格式：1.1.1111）

　　基本信息

　　2、网站数据库的版本号是_______。（格式：1.1.1111）

　　

　　3、宝塔面板的“超时”时间是_______分钟。（格式：50）

　　仿真centos

　　记得要把仅主机模式改为nat模式

　　ip addr查看ip

　　

　　使用mobax连接

　　bt 5重置密码

　　bt 23等等 把能关的都关了

　　

　　需要登录自己的号

　　记得题目问的是分钟

　　4、网站源码备份压缩文件SHA256值是_______。（格式：64位小写）

　　备份在/www/backup/site/wwwroot.tar.gz ，计算一下sha256

　　5、分发网站sb.wiiudot.cn管理员密码默认MD5加密盐值是_______。（格式：abcd）

　　添加域名，centos的域名

　　访问/admin

　　修改网站目录下的/app/database.php中的数据库地址为localhost

　　

　　修改config.php文件字段为True

　　

　　

　　访问/admin

　　密码错误

　　在Common.php文件中搜索密码错误

　　查找函数用法

　　 

　　6、分发网站sb.wiiudot.cn一共存放了_______条通讯录数据。（标准格式：1234）

　　在Common.php文件中修改!=为==

　　

　　任意密码登录

　　

　　

　　7、全部网站一共有_______名受害人。（格式：xxx。不去重,不进行数据恢复）

　　查找数据库

　　 

　　8.分发网站tf.chongwuxiaoyouxi.com里面一共有_______位“组员级别”的管理员。(格式:数字)

　　

　　9.分发网站sb.wiiudot.cn管理员名为“0820”的邀请码是_______。(格式:xxx)

　　

　　10.分发网站sb.wiiudot.cn本地数据库用户sb_wiiudot_cn的密码是_______。(格式:xxx)

　　没懂这题
wps 的官网下载的地址在哪里

　　1、请分析宝塔面板中默认建站目录是_______。（标准格式：/etc/www）

　　

　　

　　2.在宝塔数据库目录有一个只含有一个表结构的数据库，请找到该“表结构文件”并分析出第六个字段的字段类型是_______。（标准格式：int(11)）

　　

　　3.请分析“乐享金融”网站绑定的域名是_______。（标准格式：www.baidu.com）

　　 http://192.168.75.140:8888/400c78c0/

　　密码是123456

　　

　　4.请访问“乐享金融”数据库并找到用户表，假设密码为123456，还原uid为2909，用户名为goyasha加密后密码的值是_______。（标准格式：abcdefghijklmnopqrstuvwsyz）

　　使用的数据库是

　　用户密码+用户注册时间计算md5 

　　备份数据库恢复

　　 找到root的密码，进去phpmyadmin

　　 

　　

　　5.请重建“乐享金融”，访问平台前台登陆界面，会员登陆界面顶部LOGO上的几个字是_______。（标准格式：爱金融）

　　在login.html文件中找到png文件

　　

　　找到文件

　　

　　6.请分析“乐享金融”一共添加了_______个非外汇产品。（标准格式：5）

　　表里看到pcid 5是外汇

　　再要注意isdelete被删除的字段，没被删除的非外汇总共2

　　

　　7.请分析“乐享金融”设置充值泰达币的地址是_______。（标准格式：EDFGF97B46234FDADSDF0270CB3E）

　　表

　　

　　8.请分析“乐享金融”充值金额大于582402元的受害人充值总金额是_______。（标准格式：12345678）

　　充值记录在表内

　　

　　9.请分析“乐享金融”银行卡号“6239039472846284913”绑定用户的用户名是_______。（标准格式：张三）

　　在wp_bankcar表中找到6239039472846284913对应的持卡人姓名是张教瘦

　　 对应uid到wp_userinfo表中找到username用户名为kongxin

　　10、请分析“乐享金融”建仓时间为“2022/03/01 18:44:01”，平仓时间为“2022/03/01 18:52:01”，以太坊/泰达币的这一笔交易的平仓价格是_______。（标准格式：1888.668）

　　交易记录wp_order表

　　建仓时间转时间戳1646131441，平仓时间转时间戳1646131921

　　筛选出记录

　　11、请分析“乐享金融”订单编号为“202112090946233262”平仓时间是_______。（标准格式：2022-1-11.1:22:43）

　　

　　时间戳转换一下

　　12、宝塔面板某用户曾尝试进行一次POST请求，参数为“/BTCloud?action=UploadFilesData”，请问该用户疑似使用的（ ）电脑系统进行访问请求的。

　　A. Windows 8.1

　　B. Windows 10

　　C. Windows 11

　　D. Windows Server 2000

　　宝塔面板的访问日志在/www/server/panel/logs/request目录下

　　在2022-07-23的日志中找到访问记录

　　Windows NT 6.3就是win8

　　

　　13、请分析该服务器镜像最高权限“root”账户的密码是_______中文版的最新的wps下载网站是什么。（标准格式：a123456）

　　导出/etc/shadow和passwd

　　

　　拖进kali

　　 rockyou.txt是kali自带的，但是需要解压，具体参照下一篇

　　Kali自带密码字典rockyou.txt解压-CSDN博客