2022长安杯电子数据取证竞赛题目

案情简介
害人报案称其在某虚拟币交易网站遭遇诈骗，该网站号称使用“USTD币”购买所谓的“HT币”，受害人充值后不但“HT币”无法提现、交易，而且手机还被恶意软件锁定勒索。警方根据受害人提供的虚拟币交易网站调取了对应的服务器镜像并对案件展开侦查。

加载中...

您的姓名：*

学号：*

检材1:根据报案人提供的网站域名和IP，警方调取了对应的服务器镜像“检材1”，分析掌握的检材回答下列问题

1. 检材1的SHA256值为

2. 分析检材1，搭建该服务器的技术员IP地址是多少？用该地址解压检材2

3. 检材1中，操作系统发行版本号为

格式：xx.xx.xx, x的数量不代表实际数字位数

4. 检材1系统中，网卡绑定的静态IP地址为

5. 检材1中，网站jar包所存放的目录是

格式：/path/to/dirctory

6. 检材1中，监听7000端口的进程对应文件名为

7. 检材1中，网站管理后台页面对应的网络端口为

8. 检材1中，网站前台页面里给出的APK的下载地址是

9. 检材1中，网站管理后台页面调用的用户表（admin）里的密码字段加密方式为?

10. 分析检材1，网站管理后台登录密码加密算法中所使用的盐值是

检材2：根据IP地址落地及后续侦查，抓获了搭建网站的技术员，扣押了其个人电脑并制作镜像“检材2”，分析所有掌握的检材回答下列问题

11. 检材2中，windows账户Web King的登录密码是

12. 检材2中，除检材1以外，还远程连接过哪个IP地址？并用该地址解压检材3

13. 检材2中，powershell中输入的最后一条命令是

14. 检材2中，下载的涉案网站源代码文件名为

15. 检材2中，网站管理后台root账号的密码为

16. 检材2中，技术员使用的WSL子系统发行版本是

格式：xx.xx, x的数量不代表实际数字位数

17. 检材2中，运行的数据库服务版本号是

格式：xx.xx.xx, x的数量不代表实际数字位数

18. 上述数据库debian-sys-maint用户的初始密码是

检材3：根据网站前端和技术员个人电脑上的线索，发现了网站后端所在的服务器IP并再次调证取得“检材3”，分析所有掌握的检材回答下列问题

19. 检材3服务器root账号的密码是

20. 检材3中，监听33050端口的程序名（program name）为

21. 除MySQL外，该网站还依赖哪种数据库【多选题】

Redis

Sqlite

MongoDB

RavenDB

22. 检材3中，MySQL数据库root账号的密码是

23. 检材3中，MySQL数据库在容器内部的数据目录为

格式：/path/to/dirctory

24. 涉案网站调用的MySQL数据库名为

25. 勒索者在数据库中修改了多少个用户的手机号?

26. 勒索者在数据库中删除的用户数量为

27. 还原被破坏的数据库，分析除技术员以外，还有哪个IP地址登录过管理后台网站？用该地址解压检材4

28. 还原全部被删改数据，用户id为500的注册会员的HT币钱包地址为

29. 还原全部被删改数据，共有多少名用户的会员等级为'LV3'

30. 还原全部被删改数据，哪些用户ID没有充值记录

多个答案之间用一个“|”隔开

31. 还原全部被删改数据，2022年10月17日总计产生多少笔交易记录？

32. 还原全部被删改数据，该网站中充值的USDT总额为

33. 嫌疑人使用的安卓模拟器软件名称是

使用汉字回答，答案不包含“模拟器”

检材4.根据前期侦查分析，通过技术手段找到了幕后老板，并对其使用的安卓模拟器“检材4”进行了固定。分析所有掌握的检材，回答下列问题

34. 检材4中，“老板”的阿里云账号是

35. 检材4中安装的VPN工具的软件名称是

36. 上述VPN工具中记录的节点IP是

37. 检材4中，录屏软件安装时间为

格式：YYYY/MM/DD hh:mm:ss

38. 上述录屏软件中名为“s_20221019105129”的录像，在模拟器存储中对应的原始文件名为

39. 上述录屏软件登录的手机号是

40. 检材4中，发送勒索邮件的邮箱地址为

分析所有掌握的检材，找到勒索邮件中被加密的文档和对应的加/解密程序，并回答下列问题

41. 分析加密程序，编译该加密程序使用的语言是

42. 分析加密程序，它会加密哪些扩展名的文件？

多个答案之间用一个“|”隔开

43. 分析加密程序，是通过什么算法对文件进行加密的？

例如，rot13加密只需要回答rot13即可，使用英文回答

44. 分析加密程序，其使用的非对称加密方式公钥后5位为？

45. 被加密文档中，FLAG1的值是

分析所有掌握的检材，找到报案人描述的加密勒索apk程序，分析并回答下列问题

46. 恶意APK程序的包名为

47. APK调用的与文件操作有关的权限包括

例如，权限为android.permission.READ_CONTACT,只需要回答READ_CONTACT即可，多个答案之间用一个“|”隔开

48. 解锁第一关所使用的FLAG2值为

49. 解锁第二关所使用的FLAG3值为

50. 解锁第三关所需的KEY值由ASCII可显示字符组成，请请分析获取该KEY值

问卷星提供技术支持