长安杯2019例题笔记

2019长安杯Wp

Part 1

SHA256的计算

在windows自带的PowerShell中输入（误！！！）

Get-FileHash 文件路径 -Algorithm 校验的Hash值类型| Format-List

如果不带-Algorithm参数，也就是不指明验证的Hash值类型，那么默认验证的就是SHA256值。

正确方法：

右键证据文件里的检材，选择哈希值计算

得到文件的SHA-256值

1、计算“检材 1.E01”镜像的 SHA256 值是多少（ C ）

A. 2b20022249e3e5d66d4bbed34ad337be5dd77b313c92dfe929aa56ed71449697

B. 6a574c40548110598bd4c88520d34b37d13b372066737ede3104743f986b7263

C. 5ee0b3809807bf8a39453695c5835cddfd33f65b4f5bee8b5670625291a6bc1c

D. 8495b678da27c64b54f083afefbcf9f83f94c1de133c70c175b4a784551939dd

服务器内核版本？

1：登录linux，在终端输入 cat /proc/version

2：登录linux，在终端输入 uname -a

3：最省事的就是刚开机的时候会显示出来（doge）

4: FMP取证结果 -> 展开镜像 -> 选中对应的 root -> 系统痕迹 -> 系统信息 -> 查看产品名称和当前版本

2、该服务器的操作系统版本是什么（ D ）

A. CentOS release 6.5 (Final)

B. Ubuntu 16.04.3 LTS

C. Debian GNU/Linux 7.8 (wheezy)

D.CentOS Linux release 7.6.1810(Core)

3、该服务器内核版本是多少（ A ）

A.3.10.0-957.el7.x86_64

B. 3.2.0-4-amd64

C. 4.8.0-52-generic

D. 4.10.0-28-generic

硬盘分区？

方法一：

输入 fdisk -l 可以查看挂载那些硬盘分区，即可得到关于磁盘分区的详情信息

输入 lvdisplay 可以看到逻辑卷的详细信息

逻辑区块地址(Logical Block Address, LBA)是描述计算机存储设备上数据所在区块的通用机制，一般用在像硬盘这样的辅助记忆设备。LBA可以意指某个数据区块的地址或是某个地址所指向的数据区块。

方法二：

4、原服务器存在多少硬盘分区？（ B ）

A.1 B.2 C.3 D.4

5、原服务器中硬盘分区其中含有一个 LVM 逻辑卷的分区，请找出该分区内开始的逻辑区块地址（LBA）。（答案格式： 扇区，Sector）（C）

A.0 B.2048 C.2099200 D.4194344

通过查找知道题目所说的分区是：FMP证据文件 -> 展开镜像 -> 选中 分区2 -> 摘要 -> 查看 物理位置：

但是这个内存物理地址的单位是字节（Byte），而一个逻辑区块占用512位，所以要将这个值除以512。

1074790400/512=2099200

7、该 LVM 逻辑卷分区内 root 逻辑卷的物理大小是多少？（单位：byte）（ C ）

A. 2,147,483,648 B. 2,147,504,128 C. 18,249,416,704 D. 20,400,046,080

可以用 512 * 35643392 = 1824941670 从而得出 C选项

也可以用 17 *1024 * 1024 * 1024 = 18253611008 约等于 1824941670

逻辑卷的文件系统

6、该 LVM 逻辑卷分区内 root 逻辑卷的文件系统是什么？（ D ）

A.NTFS B.EXT4 C.SWAP D.XFS

通过查找知道题目所说的分区是：FMP证据文件 -> 展开镜像 -> 选中对应的 root -> 摘要 -> 查看 分区类型：

docker？

输入 docker images 查看本地所有的镜像

17、该服务器中网站运行在 docker 容器中，其中 web 服务使用的是什么应用？（ C ）

A.apache B.tomcat C.nginx D.IIS

除了nginx选项，其他均未出现在上面的镜像中

18、上题所述运行 web 服务的容器节点，使用的镜像名称是什么？（格式 REPOSITORY：TAG） （ D ）

A.apache: latest B.tomcat: jessie-slim C.nginx: jessie-slim D.nginx: latest

REPOSITORY ： TAG即可

输入 docker version 可以获得版本信息

docker ps 的相关指令

docker ps 显示正在运行中的容器节点

docker ps -a 显示所有的容器节点

13、在运行中的容器节点中，其中一台容器名称为 romantic_varahamihira 的容器节点，它的 hostname 是什么？（ D ）

A. 16fc160060c1 B. 1ef6292872e0 C. 753abb28b629 D. 53766d68636f

14、上题容器节点中，占用了主机的哪个端口？（ D ）

A.25 B.8012 C.8091 D.未占用端口

16、容器节点 ID 为 15debb1824e6 中，占用了主机的哪个端口？（ C ）

A.22 B.8091 C.39999 D.未占用端口

19、使用nginx服务的容器节点占用的容器端口是什么？（ B ）

A.22 B.80 C.8091 D.未占用端口

观察上述的容器节点，在 command 一栏中找到 “nginx -g” 故可确定题目所指向的容器，进而找到容器端口。

docker ps 命令中在PORTS里面显示了两个端口，前面0.0.0.0就是主机，也就是自己，而后面的转发端口就对应着docker的端口，如果只显示端口号而未绑定主机，说明未占用当前端口。(别被取证大师误导，其对是否占用无区分)

15、在运行中的容器节点中，其中一台容器 ID 为 15debb1824e6 的容器节点，它运行了什么服 务？（ B ）

A.ftp B.ssh C.nginx D.smtp

方法一：

通过观察上述的节点信息，在command一栏中找到 "/user/sbin/sshd -D" 故得出使用了SSH服务

方法二：

在取证大师中，FMP取证结果 -> 展开镜像 -> 选中对应的 root -> web服务器 -> Docker -> 容器信息 查看 取证列表 -> 找到对应的容器ID -> 双击打开，在txt文本中使用搜索功能，对上述选项进行搜索，发现仅存在 ssh，故选 ssh

输入 docker info 可以看到关于docker配置的相关信息

或者在取证大师中可以数出个数

9、该服务器中运行了 docker 应用，在本地有多少 docker 镜像？（ B ）

A.10 B.11 C.12 D.13

images 意思是镜像

10、该 docker 应用的 server 版本是多少？（ C ）

A.16.05.2 B.17.03.8 C.18.09.7 D.19.03.3

11、该 docker 应用中总共有多少容器节点？（ A ）

A.10 B.11 C.12 D.13

12、运行中的容器节点有多少？（ C ）

A.1 B.2 C.3 D.4

输入docker inspect [容器ID] 可以查看该容器的详情信息

可以找出个容器节点于主机之间的网络连接模式是 ‘bridge’

24、在 docker 中，各容器节点和主机之间的网络连接模式是什么？（ A ）

A. bridge 模式 B. host 模式 C. container 模式 D.none 模式

或者在取证大师中 自动取证 -> root -> Web服务器 -> Docker -> 容器信息 拉伸条后拉可以找到网络方式。

可以输入 docker exec -it [容器ID前两位即可] /bin/bash ， 查找相关文件的容器内部路径

进入容器内部只需 ls 和 cd [文件夹名] 即可

20、网站目录所在的容器内部路径为（格式：容器 ID：路径）（ B ）

A. d1085c1a8828:/home/ vue2-element-touzi-admin

B. 53766d68636f:/ home/ vue2-element-touzi-admin

C. 16fc160060c1:/var/www/ vue2-element-touzi-admin

D. 15debb1824e6: /var/www/ vue2-element-touzi-admin

在取证大师里面实时搜索“vue2-element-touzi-admin“，点击命中文件名， 右端显示搜索到的文件，右键选择跳转到源文件

21、网站目录所在的主机路径为下列选项中的哪个？（ A ） A./var/lib/docker/overlay2/cca977c8ca4a251023000285fbc8b4556636e1adc53cb012c84133a7b 857abfc/diff/home/vue2-element-touzi-admin B./var/lib/docker/overlay2/fd27756120785ef656c9211b6147ef5f38d6a9811006d85359458f7fa 8d45415/diff/home/vue2-element-touzi-admin C./var/lib/docker/overlay2/f405ba5e3f1f0e04a3585fbc95a47d13b4009dd9d599ac91015babebd 5a5ff9b/diff/var/www/ vue2-element-touzi-admin D./var/lib/docker/overlay2/d42b9a02aa87386b137242f691cb3e6303c4c0f3441419efb17ff550fd f5de28/diff/var/www/ vue2-element-touzi-admin

22题同理

22、网站日志的路径在哪？（格式：容器 ID：路径）（ C ）

A. 53766d68636f:/etc/nginx/logs/jrweb.log

B. 53766d68636f:/var/log/access.log

C. 16fc160060c1:/etc/nginx/logs/jrweb.log

D. 16fc160060c1:/var/log/access.log

我们可以看看上一个题的日志文件

在这里明显能看到猜解密码的行为，所以这个时候就是“案发当时”，此时的IP地址就是192.168.184.128:8091， 以及犯罪嫌疑人的IP地址为 192.168.184.133

23、案发当时，该服务器的原始 IP 地址是多少？（ D ）

A.192.168.160.89 B.192.168.184.100 C.192.168.120.111 D.192.168.184.128

26、从网站日志中，我们可以看到嫌疑人入侵服务器所使用的 IP 是（ C ）

A.192.168.184.1 B.192.168.160.89 C.192.168.184.133 D.192.168.160.169

数据库？

head -[前多少行] [文件] 可以查看文件的前多少行信息

查询网站使用的是什么数据库：一般来说，项目都是从github上面clone下来的，所以根目录应该在home文件夹下，查看README.md文件，发现：

27. 网站目录中网站的主配置文件是哪一个？(相对路径)（C）

A./config/index.js B./server/api.js C./server/index.js D./src/main.js

这里他说的是node js的配置文件，所以应该在/server目录下，对比三个文件，明显就是C选项

查看 /server 目录下的db.js文件

其中可以看出使用的数据库为mongodb，第一个root为数据库的用户名，第二个root为数据库的密码，后面的192.168.184.129为数据库所在的服务器IP， 27017为数据库端口， 数据库名为tougu

28、该网站使用的是什么数据库？（ C ）

A.mysql B.oracle C.mongodb D.redis

29、所使用数据库的端口是多少？（ D ）

A.1521 B.3306 C.6379 D.27017

30、数据库所在服务器 IP 是多少？（ D ）

A.192.168.160.131 B.192.168.184.131 C.192.168.160.169 D.192.168.184.129

31、数据库的用户名是什么？（ A ）

A.root B.tougu C.admin D.goose

32、数据库的密码是什么？（ D ）

A.123456 B.admin C.goose D.root

33、该网站所使用的数据库库名是什么？( B )

A.root B.tougu C.admin D.goose

输入 stat [文件名] 可以查看文件时间状态

输入 more .bash_history 查看历史操作记录

可以知道黑客曾经对.bash_history目录进行加密

34、在案发时，黑客对该服务器某个文件/目录进行了加密，请问是哪个文件/目录？（ A ） A./.bash_history B./var/log/ C./etc/ssh/sshd_config D./ runit-agent.txt

Part 2

输入 find / -name [名字] 可以搜索所需要的配置文件（.conf结尾）或 日志文件（.log结尾）

35、该数据库服务器使用数据库的安装路径在哪？（ D ）

A. /etc/mysql/ B. /home/redis/ C. /etc/mongo/ D. /var/lib/mongo/

36、数据库的配置文件的路径？（ C ）

A./var/lib/mongo/mongo.conf

B./var/lib/mongo/mongod.conf

C./etc/mongod.conf

D./home/redis/redis.conf

37、数据库的日志文件路径在哪里？（ C ）

A./etc/redis.log

B./var/log/mongodb.log

C./var/log/mongodb/mongod.log

D./var/lib/mongo/mongo.log

查看前端代码

因为读取用户的注册信息在前端，所以我们回到前端（检材1）来看看代码：

取证大师实时搜索api.js(我也不知道为什么搜这个doge)，打开可以看到

说明该数据库中网站用户表里的密码未采用加密手段，而是直接判断

39、该数据库中网站用户表里的密码字段加密方式是（ A ）

A.未加密

B.双重 MD5

C.MD5 加 salt

D.MD5

40、该用户表被做过什么样的修改？（ A ）

A.删除用户 B.修改用户密码 C.修改用户名 D.添加用户

41、嫌疑人对该数据库的哪个库进行了风险操作？（ C ）

A.licai B.touzi C.tougu D.admin

42、嫌疑人对上述数据库做了什么样的风险操作？（ D ）

A.修改库名 B.添加库 C.查询库 D.删除库

43、嫌疑人在哪个时间段内登陆数据库？（ D ）

A.18:03-18:48 B.18:05-18:45 C.18:01-18:50 D.18:05-18:32

44、嫌疑人在什么时间对数据库进行了 42 题所述的风险操作？（ A ）

A.18:09:37 B.18:09:40 C.18:09:44 D.18:09:50

Part 3

火眼仿真帮我们把root的密码设置为123456，于是我们直接登陆终端，在控制台中输入history

我们看到出现了多次pptpd关键字，故可知采用了pptpd协议

45、该服务器所使用的 VPN 软件，采用了什么协议（ B ）

A.L2TP B.PPTP C.IPSec D.NFS

设置了多次时区，最后一次设置为 Asia/Dhaka

附：可以输入date -R获取当前为+0600，换算较麻烦，可以作为验证

46、该服务器的时区为（ D ）

A. Asia/ShangHai B. Asia/Tokyo C. Asia/Bangkok D. Asia/Dhaka

老办法，在取证大师里实时搜索即可

47、该服务器中对 VPN 软件配置的 option 的文件位置在哪里？（ A ）

A. /etc/ppp/options.pptpd

B./var/lib/vpn/options.pptpd

C./etc/ipsec/options.ipsecd

D./etc/l2tp/options.l2tpd

日志文件一般存储在/var/log文件夹里，分别打开各个日志文件，发现wtmp存在日志文件

48、VPN 软件开启了写入客户端的连接与断开，请问写入的文件是哪个？（ A ）

A.wtmp B.btmp C.ftmp D.tmp

上题已经知道了VPN软件配置的option文件位置，不妨打开来看看

找到了pptpd.conf配置文件的位置，顺藤摸瓜，打开配置文件看看，发现了推荐ip范围

49、VPN 软件客户端被分配的 IP 范围是（ B ）

A.192.168.184.1-192.168.184.11

B.192.168.184.12-192.168.184.18

C.192.168.184.19-192.168.184.26

D.192.168.184.27-192.168.184.35

还找到了VPN软件的日志路径（笑）

50、由 option 文件可以知道，option 文件配置了 VPN 软件的日志路径为（ D ）

A./var/lib/logs/ B./etc/logs/ C./var/log/pptp/ D./var/log/

根据题意，直接到所在路径打开文件比对即可

etc/ppp/chap-secrets 文件如图所示

etc/ppp/pap-secrets 文件如图所示

51、VPN 软件记录了客户端使用的名称和密码，记录的文件是（ C ）

A. /etc/l2tp/chap-secrets

B. /etc/ipsec/pap-secrets

C. /etc/ppp/chap-secrets

D. /etc/ppp/pap-secrets

由于北京时间（+08取证大师默认使用）比该服务器的市区（+06）早两个小时，所以需要将时间减去两个小时整

52、在服务器时间 2019-07-02_12:08:27 登陆过 VPN 客户端的用户名是哪个？（ A ）

A. root B. vpn1 C. vpn2 D. vpn3

53、上题用户登陆时的客户 IP 是什么？（ D ）

A. 192.168.184.133 B. 172.16.81.101 C. 192.168.184.134 D. 192.168.43.238

54、通过 IP172.16.80.188 登陆 VPN 服务器的用户名是哪个？（ B ）

A. root B. vpn1 C. vpn2 D. vpn3

55、上题用户登陆 VPN 服务器的北京时间是（ D ）

A. 2019-07-11_10:46:50

B. 2019-07-11_11:30:36

C. 2019-07-13_14:15:37

D. 2019-07-13_16:15:37

取证大师搜索network.cap得到Bash的历史记录，发现曾经的操作与ens33有关

56、该服务器曾被进行过抓包，请问 network.cap 是对哪个网卡进行抓包的抓包文件（ B ） A.eth0 B.ens33 C.ens37 D.ens160

同理，搜索ens37，得到Bash的操作记录，曾对netwoek1.cap和net0713-1.cap进行过抓包

题目要求保存下来，即未被删除，没有被rm移除

network1.cap没有保存下来

net0713-1.cap被保存下来了

57、对 ens37 网卡进行抓包产生的抓包文件并保存下来的是哪个？（ D ）

A. network.cap B. network1.cap C. net0713.cap D. net0713-1.cap

我们从上面的信息知道net0713-1.cap已经被保存下来，并且能找到该文件

以cap结尾的文件我们需要用WireShark来打开（个人对该工具理解还较为浅显，需要加深理解）

解题并不是因为看懂了，而是四个选项中仅仅出现了172.16.80.62，光是凭侥幸而得出结论，哭哭了。

下面引用BB大佬的话

但是为什么第一个数据包里面就没有答案呢？？？这是因为该vpn服务器为双网卡，对内IP为192.168.184.133，具备对检材1（192.168.184.128）和检材2（192.168.184.129）访问权限，出口/服务端IP为172.16.80.92。

58、从保存的数据包中分析可知，出口的 IP 为（ A ）

A. 172.16.80.92

B. 172.16.81.101

C. 172.16.81.188

D. 172.16.80.133

Part 4

老朋友了，选择检材右键哈希值计算SHA256，即可得到答案（误！！！，所求得的为镜像的SHA256值！！！）

80GB计算SHA256用了十几分钟（快哭了，竟然还算错了，题目要求的是文件的SHA256）

59、计算“检材 4.E01”文件的 sha256 值（ C ）

A. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5

B. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6

C. e6e47e210bd56c7071ce73ab5523736120071d0f3da5335936d7beb25c3914cd

D. 1e646dec202c96b72f13cc3cf224148fc4e19d6faaaf76efffc31b1ca2cdd200

取证大师的案例概览好像只对WINDOWS系统有效，并且显示的信息十分详细，就连底裤都看干净了（狗头）

60、请分析该检材的操作系统版本（ A ）

A. Windows 10 Education

B. Windows 10 Home

C. Windows 10 Pro

D. Windows 10 Enterprise

61、找出该系统用户最后一次登陆时间：（ C ）

A. 2019-07-14 10:50:02

B. 2019-07-14 10:10:02

C. 2019-07-14 10:40:02

D. 2019-07-14 10:30:02

62、找出该系统最后一次正常关机时间：（ C ）

A.2019-07-14 17:30:05

B.2019-07-14 10:30:05

C.2019-07-14 11:30:05

D.2019-07-14 12:30:05

取证大师已经在证据文件里帮我们分类好了常用文件夹，点击桌面，发现有三个Desktop文件夹，依次打开，发现题目所描述的txt文件，计算SHA256值

63、请计算检材桌面上文本文件的 sha256 值：（ A ） A.58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5 B.58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6 C.58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c7 D.58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c8

FMP -> 自动取证 -> 检材4.E01 -> 系统痕迹 -> 安装软件 ，下面的分支依次点开查看时间

64、该系统于 2019 年 7 月 13 日安装的软件为：（ A ）

A.Eraser B.Putty C.Xftp D.Xshell

光是通过WINRAR的使用记录查找的话，没有显示时间，看起来很难受

于是换一个思路，通过FMP的WIN10时间轴，定位到2019.07.13 17:52:19，可以看到操作了WINRAR程序

65、找出该嫌疑人于 2019-07-13 17:52:19 时，使用 WinRAR 工具访问了_____文件：（ D ） A.navicat11.zip B.we.tar.gz C.test2-master.zip D.BitLocker.rar

其他的软件我都认识，只不过这个xftp比较奇怪，很容易联想到Xshell（错误！！！）

在应用程序使用痕迹中仔细检索，发现了foxmail.exe曾在该时间使用

66、系统于 2019-07-13 17:53:45 时运行了___程序：（ D ）

A.regedit.exe B.WinRAR.exe C.Xshell.exe D.Foxmail.exe

文件疑似执行了删除操作，所以实时搜索找不到，本来想尝试原始数据搜索，但是特别耗时间，故而放弃。

翻翻资源管理器痕迹，无意中发现了这个文件夹，时间上恰为下载完成后解压得到的文件夹（不严谨）

嘿嘿嘿，挂载到本地磁盘，然后共享文件获取访问权限，来到了下载这里，得到了确切的下载时间

67、文件 test2-master.zip 是什么时间下载到本机的：（ D ）

A.2019-07-13 14:21:01

B.2019-07-13 17:22:01

C.2019-07-13 15:23:01

D.2019-07-13 16:20:01

通过在Google Chrome的下载记录发现曾经使用这个软件下载文件

68、文件 test2-master.zip 是使用什么工具下载到本地的：（ A ）

A.Chrome B.Internet Explorer C.edge D.迅雷

可以从上面的信息看到，文件创建时间为00秒，经过十五秒后文件修改，可以理解为下载文件从创建新文件到下载信息完成。

70、嫌疑人通过远程连接到 128 服务器，下载了什么文件到本机：（ B ）

A.web.tar.gz B.we.tar.gz C.home.tar.gz D.wwwroot.tar.gz

71、承接上一题，下载该文件用了多长时间：（ C ）

A.10 秒 B.20 秒 C.15 秒 D.25 秒

我们在检材4中没有发现we.tar.gz，应该是被删掉了，不过实时搜索的时候发现在检材一中发现了该文件，可以推断出该电脑与服务器曾经进行过连接操作。

72、请计算该下载文件的 sha256 值：（ D ） A.077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d8 B.077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d7 C.077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d6 D.077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d5

国际移动设备识别码（International Mobile Equipment Identity，IMEI），即通常所说的手机序列号、手机“串号”，用于在移动电话网络中识别每一部独立的手机等移动通信设备，相当于移动电话的身份证。

73、请分析并提取，嫌疑人所用的手机的 IMEI 号码：（ C ）

A.352021062748965 B.352021062748966 C.352021062748967 D.352021062748968

对于以下几题，在电脑里没有相关的社交软件的使用记录，故可推断出信息极有可能被保存在手机备份中。

我们在火眼证据分析中找到手机备份，然后添加到检材，然后分析，密码？？试一下检材4桌面上的``niuroumian6`！对了！

74、嫌疑人是通过何种方式联系到售卖恶意程序的卖家的：（ B ）

A.微信 B.QQ C.短信 D.邮件

75、嫌疑人和卖家的资金来往是通过何种方式：（ A ）

A.微信 B.QQ C.银行转账 D.支付宝

76、嫌疑人在犯罪过程中所使用的 QQ 账号为：（ A ）

A.1649840939 B.1137588348 C.364505251 D.1722629449

77、卖家所使用的微信账号 ID 为：（ C ）

A.refrain_C B.flame_guan C.chao636787 D.sword19880521

查找edge的下载记录时，发现两个文件没有大小，但是在左下角有记录，发现是卖家所给的站点，故可推断下载了两个文件，并且下载地点时D盘

78、嫌疑人下载了几个恶意程序到本机：（ B ）

A.1 B.2 C.3 D.4

79、恶意程序被嫌疑人保存在什么位置：（ D ）

A.D:/DOWNLOAD B.C:/USER C.C:/ D.D:/

80、恶意程序是使用什么工具下载到本地的：（ C ）

A.Chrome B.Internet Explorer C.edge D.迅雷

看着有种莫名的喜感

81、嫌疑人是什么时间开始对受害者实施诈骗的：（ C ）

A.2019-07-13 19:14:44

B.2019-07-13 19:24:44

C.2019-07-13 19:04:44

D.2019-07-13 19:44:44

---

干不动了，下面放的是BB的题解，我这种菜鸟就只能走到这里了。。。

在电脑里面的备份平台里面有一台虚拟机，搞出来，有密码？？？搞他！我们先修改密码，在/home/admin888/fund/文件夹下发现sqlite数据库，我们导出来~

$ scp root@192.168.247.155:/home/admin888/fund/db.sqlite3 ./db.sqlite3

$ python3 -m http.server 2021

然后根据手机号定位受害人是赵昊，数据库里面查看银行卡号：

83. 请综合分析，嫌疑人第一次入侵目标服务器的行为发生在：（C）

    A. 2019-07-13 16:17:30 B. 2019-07-13 16:17:32 C. 2019-07-13 16:17:35 D. 2019-07-13 16:17:38

84. 请综合分析，嫌疑人入侵服务所使用的登陆方式为：（B）

    A. SSH 密码登陆 B. SSH 密钥登陆 C. 连接后门程序 D.FTP 登陆

我们之前在检材四中的xshell数据文件中见到了密钥文件：

85. 可知嫌疑人应对外发送过邮件，请分析并找到发出的邮件，可知邮件的发送时间为：（B）

    A. 2019-07-13 17:55 B. 2019-07-14 17:56 C. 2019-07-14 17:57 D. 2019-07-14 17:58

86. 可知嫌疑人应对外发送过邮件，请分析并找到发出的邮件，可知邮件收件人为：（B）

    A. 1649841939@qq.com B. 1649840939@qq.com C. 1649845939@qq.com D. 1649848939@qq.com

这个题目是真的骚，我们在前面有发现，他下载过Foxmail，于是我们查看Foxmail使用痕迹，然后把时间定位到2019-07-13 17:52:20，所以一般就选择A，但是是错的……因为他不一定用Foxmail发文件。所以我们换一个思路，在检材三中（嫌疑人使用的VPN服务器）有数据包，既然他发邮件，那么一定走了代理，所以我们再研究研究那个检材3的那两个数据包。这里有一个姿势点：

常用的电子邮件协议有SMTP、POP3、IMAP4它们都隶属于TCP/IP协议簇.

所以我们数据包里面直接找这几个协议：

87. 请重构被入侵的网站，可知该网站后台管理界面的登陆用户名为：（C）

    A. root B Administered C. admin D. user

重构网站需要先恢复数据库，我们再检材2中有加密程序，有加密过的数据库。所以我们开始老本行！逆！

思路很简单，上exp：

from string import *
with open("db.encrypt",'rb') as f:
    s=f.read()

r=bytes([((x^0xaa)+256-66)%256 for x in s])

with open('db', 'wb') as inp:
    inp.write(r)

然后计算SHA256：

我们在检材4的C盘中看到了一个待挂载的硬盘：

然后双击，显示Bitlocker：

我们打开Bitlocker：

现在我们缺少密码……还记得前面在翻QQ的时候看到的那个消息嘛，提示一下：

我们再根据他的QQ号和上面这个内容，可以猜到，在前面我们分析的邮件正是他用来备份密码的右键，我们复原一下邮件：

发现4个EML文件，导出以后，直接下载

但是有密码！！！我们联想检材4桌面上的字典和niuroumian6，我们尝试用这个字典来爆破压缩包。这里爆破用的工具是开膛手john和hashcat：

$ rar2john.exe BitLocker.rar BitLocker.rar:$rar5$16$0c231f49ba3ded4bc944dee58f2be760$15$2a5c3ec4a5380b7a9d5517cc8ba386b6$8$07400e39e08a2e03`

$ hashcat.exe -m 13000 -a 0 $rar5$16$0c231f49ba3ded4bc944dee58f2be760$15$2a5c3ec4a5380b7a9d5517cc8ba386b6$8$07400e39e08a2e03 新建文本文档.txt

215643485745446664666432494f413536343335363a223a22

!VCHWEDfdfd2IOA564356:”:”

打开密钥备份文件，用恢复密钥成功解锁硬盘：

查看db文件，和我们前面逆向加密程序恢复的db一样。

里面还有那个网站的……所有东西，那我们把这个dump出来，：

88. 请重构被入侵的网站，并登陆网站后台管理界面，对该网站进行证据固定，可知该网站首页左侧导航栏，不包含下列那个内容：（D）

    A. 信息列表 B. 资金管理 C. 资金数据 D. 会员信息

89. 通过分析知，嫌疑人对目标服务器植入了勒索程序，请解密检材 2 中的被加密数据库，

    其sha256值为：（A）

    A. 8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a2

    B. 8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a3

    C. 8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a4

    D.8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a5

90. 通过分析知，嫌疑人有对目标服务器植入 ddos 程序，对该程序进行功能性分析，可知该程序会将自身复制到目标机器的什么目录下：（B）

    A. /etc B. /lib C. /root D. /tmp

91. 通过分析知，嫌疑人有对目标服务器植入 ddos 程序，对该程序进行功能性分析，可知该程序主控地址为（多选）：（AD）

    A. shaoqian.f3322.net B. shaoqian.f3344.net C. gh.dsaj3a2.org D. gh.dsaj2a1.org

根据聊天记录易知，该ddos程序是runit，我们在检材四里面找到该文件，然后逆向分析……

我们在main函数里面看见有一些乱码，然后前面跟了解密函数。我们跟进然后机密看看：

然后我们再找找程序里面还有那些加密数据，然后写个脚本解一下：

enc=["m7A4nQ_/nA","m [(n3","m6_6n3","m4S4nAC/n&ZV","m.[$n__#4%\\C","m.[$n3","m4S4nAC/nA","m4S4nAC/n&ZV","m.[$n__#4%\\C","m.[$n3"]
a=[0x36,0x46,0x36,0x7B,0x1C,0x19,0x27,0x34,0x2D,0x55,0x1B,0x50,0x42,0x27,0x5A,0x70,0x23,0x1C,0x29,0x33,0x54,0x19,0x23,0x6E,0x34,0x17,0x45,0x5C,0x41,0x79,0x59,0x26,0x7F,0x46,0x23,0x32,0x47]
b=[0x25,0x2A,0x1C,0x22,0x32,0x52,0x5C,0x73,0x20,0x70,0x17,0x5A,0x46,0x56,0x7C,0x2,0x76,0x76,0x6,0x3A,0x32,0x5B,0x57,0x2E,0x30,0x28,0x58,0x5B,0x1A,0x57,0x75,0x3,0x70,0x70,0x1C,0x29,0x33,0x54,0x0C,0x73,0x75,0x75,0x0D,0x49,0x5,0x9,0x75,0x1E,0x74,0x72,0x1C,0x74,0x71,0x1,0x18,0x73,0x7B,0x73,0x0D]
key = [0x42,0x42,0x32,0x46,0x41,0x33,0x36,0x41,0x41,0x41,0x39,0x35,0x34,0x31,0x46,0x30]
for i in enc:
	for j in range(0,len(i)):
		print(chr(ord(i[j])^key[j%16]),end='')
	print()
for i in range(0,len(a)):
	print(chr(a[i]^key[i%16]),end='')
print()
for i in range(0,len(a)):
	print(chr(b[i]^key[i%16]),end='')

然后，，，然后我就不会了……至于复制到哪里，我是拿着答案去找的。main函数调用了一个daemon_process:

应该就是这样吧……

Frank会长说：“一直纠结一个题就没意思了！”

那就，，，放过吧~

92. 压缩包 test2-master.zip 中的文件是什么？（C）

    A.恶意软件 B.加密程序 C.密钥文件 D.下载软件

93. 应用程序 TrueCrypt-7.2.exe 是在什么时间下载到本机的？（C）

    A. 2019-07-06 00:04:38 B. 2019-07-06 00:06:38 C. 2019-07-06 00:08:38 D. 2019-07-06 00:10:38

94. 文件 runit.txt 从哪个域名下载的？（D）

    A.https://pan.forensix.cn/lib/367d7f96-299f-4029-91a8-a31594b736cf/runit

    B. https://pan.baidu.com/s/19uDE7H2RtEf7LLBgs5sDmg?errno=0&errmsg=AuthLoginSucess&&bduss=&ssnerror=0&traceid=

    C.https://pan.forensix.cn/seafhttp/files/dec88b97-b2bc-414f-93a3-dcbbc15d615/runit

    D.https://pan.forensix.cn/seafhttp/files/8fdf1982-e323-4efe-ae28-2bba21b5162c/runit

95. BitLocker 密钥在什么位置？（B）

    A. D:/DOWNLOAD B. C:/USER C. C:/ D. D:/

96. BitLocker.rar 生成的时间是？（B）

    A. 2019-07-13 17:51:47 B. 2019-07-13 17:52:19 C. 2019-07-13 17:53:24 D. 2019-07-13 16:31:06

97. 文件 we.tar.gz 传输完成的时间是？（C）

    A. 2019-07-13 16:31:06 B. 2019-07-13 16;33:00 C. 2019-07-13 16:33:15 D. 2019-07-13 16:33:30

98. 嫌疑人在什么时间登陆网页微信？（A）

    A. 2019-07-13 16:34:55 B. 2019-07-13 16:40:13 C. 2019-07-13 16:45:45 D.2019-07-13 16:53:45

99. 嫌疑人于 2019-07-13 17:22:23 下载了什么文件？（B）

    A.网站目录压缩文件 B.数据库备份文件 C.网站日志文件 D.数据库日志文件

100. 硬盘 C 盘根目录中，文件pagefile.sys.vhd的作用是什么？（D）

     A. pagefile 页面交换文件 B. 虚拟机启动文件 C. 系统配置文件 D. 虚拟磁盘

……在前面我们双击这个，然后解开Bitlocker，就挂载上了D 盘，所以应该是虚拟磁盘。

疑难杂症

8、请找出该服务器的网站访问端口是什么？（ ）

25、当我们想将网站重构好时，访问网站时，web 应用在其中承担什么样的工作？（ 需取证大师）

69、嫌疑人成功连接至 192.168.184.128 服务器的时间为：（ ）