我使用的取证工具有取证大师，RStudioPortable，AXIOMv580，AXIOMv780根据自己情况来，多开几个一起看

签到

所以flag为：flag{We1c0me_t0_獬豸杯}

计算机

基本信息- 1、计算机系统的安装日期是什么时候。（标准格式：20240120）
系统痕迹- 1、请问机主最近一次访问压缩包文件得到文件名称是什么。（标准格式：1.zip）
数据库分析- 1、还原数据库，请分析root用户最后一次更改密码的时间是什么时候。（标准格式：2024-01-20.12:12:12)
数据库分析- 2、请问mysql数据库中共存在多少个数据库。（标准格式：阿拉伯数字）
数据库分析- 3、员工编号为204200的员工总工资为多少元。（标准格式：阿拉伯数字）
数据库分析- 4、Finance部门中在1999年1月1日当天和之后入职的人员数量是多少名。（标准格式：阿拉伯数字）
邮箱服务器- 1、请问邮箱服务器的登录密码是多少。（标准格式：admin）
邮箱服务器- 2、邮件服务器中共有多少个账号。（标准格式：阿拉伯数字）
邮箱服务器- 3、邮件服务器中共有多少个域名。（标准格式：阿拉伯数字）
邮箱服务器- 4、请问约定见面的地点在哪里。（标准格式：太阳路668号）

基本信息- 1、计算机系统的安装日期是什么时候。（标准格式：20240120）

发现有个加密磁盘，待会再理会

2024-01-12 15:40:56
所以第一题答案为：20240112

系统痕迹- 1、请问机主最近一次访问压缩包文件得到文件名称是什么。（标准格式：1.zip）

猜测为data.zip

确实为data.zip
所以第二题答案为：data.zip

数据库分析- 1、还原数据库，请分析root用户最后一次更改密码的时间是什么时候。（标准格式：2024-01-20.12:12:12)

发现一个data.zip，将其导出
打开类似于数据库的文件

导出zip需要密码
猜测密码应该在加密的磁盘里面
bitlocker密码在手机里的IOS镜像(另一个IOS镜像)

Longxin@123
解码BitLocker磁盘
发现有个Foxmail7.2的软件

导出Foxmail，得到

打开exe查看

在Storage目录看见待会见.jpg

在上面提示手机号为555结尾，手机号码开头一般为1
猜测应该为data.zip的密码，用掩码爆破

成功爆破15566666555
解出data.zip。

数据库分析- 1、还原数据库，请分析root用户最后一次更改密码的时间是什么时候。（标准格式：2024-01-20.12:12:12)

用本地phpstudy搭建一个mysql，(先提前把自己的mysql的data备份好)

在MySQL配置文件my.ini的[mysqld]块下加入skip-grant-tables设置免密登录

将data文件夹替换
启动MySQL，用Navicat连接

成功连接
根据第一题，查询MySQL数据库 root用户最后一次更改密码的时间。命令我忘了，于是问chatgpt了
SELECT user, host, password_last_changed FROM mysql.user WHERE user = 'root';

所以第三题的答案为：2021-03-17 15:49:52

数据库分析- 2、请问mysql数据库中共存在多少个数据库。（标准格式：阿拉伯数字）

有5个表
所以第四题的答案为：5

数据库分析- 3、员工编号为204200的员工总工资为多少元。（标准格式：阿拉伯数字）

注意：需要在人员这个库中查询
SELECT SUM(salary) from salaries_list WHERE emp_no='204200';

所以第五题的答案为：488313

数据库分析- 4、Finance部门中在1999年1月1日当天和之后入职的人员数量是多少名。（标准格式：阿拉伯数字）

通过查询

Finance对应d002
人员和部门的表在hiredate中

那么之后入职的人员应该为1999-01-01，使用count函数来统计人数
SELECT COUNT(*) as '统计' from hiredate where dept_no = 'd002' and from_date >= '1999-01-01';
24.cnblogs.com/blog/3364147/202401/3364147-20240130135837492-1383682586.png)
所以第六题的答案为：1486

邮箱服务器- 1、请问邮箱服务器的登录密码是多少。（标准格式：admin）

在上面导出的foxmail

通过搜索可以使用工具foxmail_password_recovery，运行即可得到密码

所以第七题答案为900110

邮箱服务器- 2、邮件服务器中共有多少个账号。（标准格式：阿拉伯数字）

一开始以为是这两个账号，发现看其他师傅说不对 于是重新找，在hMailServer/data里面看到longxin.com 里边有3个账号

所以第八题答案为：3

邮箱服务器- 3、邮件服务器中共有多少个域名。（标准格式：阿拉伯数字）

邮箱服务器- 4、请问约定见面的地点在哪里。（标准格式：太阳路668号）

根据邮箱给的提示

猜测有个是有回复的邮件，于是查看已发送的邮件

发现有个待会见的jpg文件和明天下午四点
于是查看Storage目录下的待会见.jpg

在之前做的笔记修改jpg高度，ctrl+f搜索’FFC0’

改成08FF

得到图片
所以第十题答案为：中国路999号

手机

手机基本信息- 1、IOS手机备份包是什么时候开始备份的。（标准格式：2024-01-20.12:12:12)
手机基本信息- 2、请分析，该手机共下载了几款即时通讯工具。（标准格式：阿拉伯数字）
手机基本信息- 3、手机机主的号码得ICCID是多少。（标准格式：阿拉伯数字）
手机基本信息- 4、手机机主登录小西米语音的日期是什么时候。（标准格式：20240120）
地图数据- 1、请问嫌疑人家庭住址在哪个小区。（标准格式：松泽家园）
浏览器- 1、Safari浏览器书签的对应数据库名称是什么。（标准格式：sqltie.db)
浏览器- 2、手机机主计划去哪里旅游。（标准格式：苏州）
即时通讯- 1、手机机主查询过那个人的身份信息。（标准格式：龙信）
即时通讯- 2、请问机主共转多少费用用于数据查询。（标准格式：1000）
即时通讯- 3、机主查询的信息中共有多少男性。（标准格式：阿拉伯数字）

手机基本信息- 1、IOS手机备份包是什么时候开始备份的。（标准格式：2024-01-20.12:12:12)

根据题目所给的压缩包

猜测该时间为备份的时间

大差不差
所以第一题答案为：2024-01-15.14:19:44

手机基本信息- 2、请分析，该手机共下载了几款即时通讯工具。（标准格式：阿拉伯数字）

通过查看应用程序

发现有陌陌，小西米，qq猜测应该就这3个通讯工具
所以第二题答案为：3

手机基本信息- 3、手机机主的号码得ICCID是多少。（标准格式：阿拉伯数字）

通过正则搜索ICCID

得到标识符：89860320245121150689
所以第三题答案为：89860320245121150689

手机基本信息- 4、手机机主登录小西米语音的日期是什么时候。（标准格式：20240120）

通过上一题知道，小西米为.com.titashow.tangliao
那我们可以根据网络使用情况

看到了首次使用的时间为：2024/1/15 5:36:31.838
所以第四题的答案为：20240115

地图数据- 1、请问嫌疑人家庭住址在哪个小区。（标准格式：松泽家园）

浏览器- 1、Safari浏览器书签的对应数据库名称是什么。（标准格式：sqltie.db)

在取证大师看到有SyBase SQL Anywhere数据库文件

有很多.db后缀的数据库文件
但是不知道Safari的后缀

于是在Axiom的Safari书签看到BookmarksBar
刚好数据库有这个名称的后缀

所以第六题答案为：Bookmarks.db

浏览器- 2、手机机主计划去哪里旅游。（标准格式：苏州）

通过Web相关的标签

猜测应该为拉萨
所以第七题的答案为：拉萨

即时通讯- 1、手机机主查询过那个人的身份信息。（标准格式：龙信）

即时通讯- 2、请问机主共转多少费用用于数据查询。（标准格式：1000）

即时通讯- 3、机主查询的信息中共有多少男性。（标准格式：阿拉伯数字）