前言

借鉴了几位大佬的wp
https://mp.weixin.qq.com/s/mjPc2UIoz90KT0szz_drHA
https://www.cnblogs.com/WXjzc/p/18191938
https://mp.weixin.qq.com/s/SjhOGc_64yfr8Q3RBvnLcA
服务器的最后几题不是很清楚，有需要改正的多多指教

案情介绍

2024年4月28日，xx市xx路路派出所接到受害人支婉静（身份证号：110101198103191406）报案称：在2024年4月24日，聊天软件QQ中收到一条新的好友申请，对方声称是老同学向芬，沟通过程中还说到一些之前的好友，并且还了解她的家庭情况，沟通中，向芬了解到支女士生活遇到困难，丈夫失业，向支女士提供了一个投资收益较好的彩票平台，支某在沟通中和向芬进行了1分钟的视频通话，看着熟悉的脸，就相信了”老同学”，并在向芬的指导下注册了平台，并在平台投入了一万多，前期还能体现，后续就无法登录了。支女士感觉到被骗了，于是报警。
警方根据相关诈骗程序的后台和QQ的相关信息定位到”向芬”，在抓获”向芬”时发现，”向芬”本人和受害人手机中QQ空间中发现的”向芬”照片并不一致。在”向芬”的电脑中发现大量AI生成的照片和视频。其同伙通过在某即时通讯软件上购买网站源码进行搭建，通过AI工具生成语音、照片和视频对受害人进行欺骗。

容器密码

2b26ba7ed35d622d8ec19ad0322abc52160ddbfa

服务器取证

1.分析内部IM服务器检材，在搭建的内部即时通讯平台中，客户端与服务器的通讯端口是：[答案格式：8888][★☆☆☆☆]

先用指令查看容器是否正在开启

docker --version

再用指令查看对应的端口

docker ps

但是端口那一块不是很懂啊，gpt一下

也可以直接去使用指令查看

netstat -anpt

答案：8065

2.分析内部IM服务器检材，该内部IM平台使用的数据库版本是： [答案格式：12.34][★★☆☆☆]

指令

inspect docker 64 

在容器详细信息里可以看到关于数据库的信息，其中gosu类似于sudo的一种工具，看到数据库类型是postgresql

答案：12.18

3.分析内部IM服务器检材，该内部IM平台中数据库的名称是：[答案格式：小写][★★☆☆☆]

接上题

答案：mattermost_test

4.分析内部IM服务器检材，该内部IM平台中当前数据库一共有多少张表：[答案格式：1][★★☆☆☆]

postgresql数据库连接,ssh连接服务器，常规连接数据库



答案：82

5.分析内部IM服务器检材，员工注册的邀请链接中，邀请码是：[答案格式：小写数字字母][★★★☆☆]

通过ip和端口对网站重构进行复现

192.168.8.10:8065/login

结合数据库的user表里看到用户名和密码，密码的加密方式和上次fic一样是bcrypt，那直接密码覆盖即可，这里我们选择的是yiyan的用户登陆，因为后面的题目是以yiyan为主角


登录后，在团队设置里就可以看到

或者也可以直接从数据库中查看，teams表里可以查看

答案：54d916mu6p858bbyz8f88rmbmc

6.分析内部IM服务器检材，用户yiyan一共给fujiya发送了几个视频文件：[答案格式：数字][★★★☆☆]

直接选择fujiya的聊天记录就可以看到，注意下面的是

答案：2

7.分析内部IM服务器检材，用户yiyan在团队群组中发送的视频文件的MD5值是：[答案格式：小写][★★★☆☆]

团队群组到城市广场里去看，可以发现视频，下载计算哈希值即可

答案：f8adb03a25be0be1ce39955afc3937f7

8.分析内部IM服务器检材，一个团队中允许的最大用户数是：[答案格式：数字][★★★★☆]

从聊天群里可以看到有一个系统管理员

然后重复操作到数据库里用密码覆盖


然后在站点设置的成员和团队可以看到

答案:50

9.分析内部IM服务器检材，黑客是什么时候开始攻击：[答案格式：2024-01-01-04-05][★★★☆☆]

从上一题的同一路径下可以发现有爆破密码的痕迹，那么去找最早的爆破时间

等级选择信息，时间戳升序

答案：2024-04-25-07-33

10.分析网站服务器检材，网站搭建使用的服务器管理软件当前版本是否支持32位系统：[答案格式：是/否][★☆☆☆☆]

通过指令bt，就可以看到有宝塔，确定服务器管理软件是宝塔面板

然后bt 14查看面板信息，bt 5修改面板密码


确定了用的是宝塔面版开心版

答案：否

11.分析网站服务器检材，数据库备份的频率是一周多少次：[答案格式：1][★★☆☆☆]

不是很熟悉linux的指令，这里就是要运用指令

crontab -l

主要用于查看所有定时完成的任务

这里也不是很懂指令意思，gpt一下
可以看到是每周日午夜才备份
答案：1

12.分析网站服务器检材，数据库备份生成的文件的密码是：[答案格式：admin][★★☆☆☆]

从bashup.sh备份的脚本文件可以看到，数据库的密码是经历了aes加密，再使用openssl工具进行des3对其再加密作为对数据库文件压缩包的密码

openssl des3 -d -salt -k IvPGP/8vfTLtzQfJTmQhYg== -in 2828.sql.gz | tar -xzvf -

我们用指令去显示加密后的密码

echo -n "2828" | openssl enc -aes-256-cbc -a -salt -pass pass:mysecretpassword -nosalt

答案：IvPGP/8vfTLtzQfJTmQhYg==

13.分析网站服务器检材，网站前台首页的网站标题是：[答案格式：百度][★★★☆☆]

从宝塔的网站里就可以看到有两个域名，需要在hosts里将服务器ip和域名绑定，因为这个相关的资源在服务器上



答案：威尼斯

14.分析网站服务器检材，受害人第一次成功登录网站的时间是：[答案格式：2024-01-01-04-05][★★★☆☆]

看登陆时间，无非去到网站后台或者从数据库去看，在路径/www/wwwroot/touzilicai.com/Application/Common/Conf

连接数据库，操作和上面一样，同一个连接，ssh连接服务器，常规连接数据库


进入数据库之后，发现没有2828这个数据库，那么需要新建一个2828数据库

解压数据包，重构数据库

openssl des3 -d -salt -k IvPGP/8vfTLtzQfJTmQhYg== -in 2828.sql.gz | tar -xzvf -

在user表中可以看到受害人的名字就是zhiwanjing，然后我们到log表里去找，筛选一下

再将数据库文件复制到网站目录下

cp 2828_20240427154000.sql /www/backup/database/2828.sql

再通过ls指令进入文件，来确认是否有该文件
再通过以下指令来判断路径下是否存在

cd /www/backup/database/

之后我们再在数据库里新建一个2828的表，然后将解压的sql从xterminal里导出，再转存到navicat里
mysql语句

SELECT * FROM think_userlog WHERE content LIKE '%zhiwanjing%';

答案：2024-04-25-09-49-38

15.分析网站服务器检材，前台页面中，港澳数字竞猜游戏中，进入贵宾厅最低点数是：[答案格式：1234][★★★☆☆]

下面重构网站，修改本地的hosts文件，将虚拟机的ip与域名进行绑定，因为有关网站的所有信息，都在服务器上，之后我们选择一个域名进入，路径：/www/wwwroot/touzilicai.com/Application/Admin/Controller/LoginController.class.php，可以看到对用户密码的进行了md5加密

之后我们在think_user表里看到关于受害人zhiwanjing的相关信息，直接用123456的md5对他的密码覆盖

登陆之后一直无响应，到后台去看一下怎么个事
后台登陆与上面文件的同一路径下，对安全码那几行进行注释，输入完之后，将网址的/Admin/Index/index.html删去，自己重新输入/admin，就可以登陆进去，下面的用户登录也是同一个方法，只是输入home。登陆后台后，在会员管理，发现被禁用了（佬们的wp在登陆时的网页源码或者网页就可以看到被冻结，但我这确实没看到），这里有两种方法可以解决，直接启用就可以，或者在数据库的think_user表里对zhiwanjing的status修改为1即可。


登陆成功之后，直接按照题目意思进入就可以看到

也可以从后台的系统配置里看到，贵宾厅与高级房相对应

答案：100000

16.分析网站服务器检材，受害人在平台一共盈利了多少钱：[答案格式：12][★★☆☆☆]

在user_log表里直接可以看到余额

答案：35000

17.分析网站服务器检材，网站根目录下，哪个路径存在漏洞：[答案格式：/Admin/User/register.php][★★★☆☆]

先按路径/www/wwwlogs/touzilicai.com.log，找到网站日志，发现这样的php，HTML文件反复出现，回到网站的根目录/www/wwwroot/touzilicai.com下去找一找，看看源代码

发现tmpugklv.php是用于上传文件的，得到下一题的答案，同时发现一直在访问tkpwdpost.html

答案：/Home/User/tkpwdpost.html

18.分析网站服务器检材，黑客通过哪个文件上传的木马文件：[答案格式：test.php][★☆☆☆☆]

见上题
答案：tmpugklv.php

19.分析网站服务器检材，网站使用的数据库前缀是：[答案格式：test_][★☆☆☆☆]

从数据库里可以直接看

答案：think_

20.分析网站服务器检材，木马文件的密码是：[答案格式：123] [★☆☆☆☆]

在日志中，看到上传了一个con2.php文件，是一个一句话木马，找到该文件得到密码


答案：2335

手机取证

1.分析伏季雅的手机检材，手机的安卓ID是：[答案格式：小写字母和数字][★☆☆☆☆]

从盘古石软件分析来看是9e6c9838dafe7ba0

这里从deviceinfo中也可以看到一个androidinfo

这里的手机检材的basic目录是通过盘石软件固定提取出来的，那么这里的数据就不一定一致，所以我们还是要找源文件，搜索关键词settings_secure，得到该文件的路径，顺着路径去找


答案：a728c9b9fd529158

2.分析伏季雅的手机检材，手机型号是：[答案格式：HUAWEI-FL56T][★☆☆☆☆]

直接到adlockdown.json找model

答案：SM-G996N

3.分析伏季雅的手机检材，其和受害人视频通话的时间是：[答案格式：2024-01-01-04-05][★☆☆☆☆]

火眼直接看聊天记录

答案：2024-04-24-20-46-39

4.分析伏季雅的手机检材，手机中安装了一款记账APP，该记账APP存储记账信息的数据库名称是：[答案格式：abcabc，区分大小写][★☆☆☆☆]

有关记账的软件，可以直接到应用列表里找与money有关的

顺着路径：\data\data\com.bookmark.money\databases，然后在MoneyLoverS2数据库里可以看到


答案：MoneyLoverS2

5.接上题，该记账APP登录的邮箱账号是：[答案格式：abc@abc.com][★★★☆☆]

在数据库中的clevertap库里的userprofiles可以看到

答案：carleenloydlyis40@gmail.com

6.接上题，该记账APP中记录的所有收入金额合计是：[答案格式：1234][★★★☆☆]

在上面MoneyLoverS2数据库的categories表里看到工资，再通过cat_id到transactions去统计即可

SELECT SUM(amount) AS total_amount
FROM transactions
WHERE cat_id IN (36, 37, 38, 39, 40, 41);

答案：279002

7.接上题，分析该记账APP中的消费记录，统计从2022-3-1（含）到2023-12-1（含）期间，用于交通的支出费用合计是：[答案格式：1234][★★★☆☆]

在categories表中可以看到交通，确认cat_id为，到transactions里去搜

SELECT SUM(amount) AS total_amount
FROM transactions
WHERE cat_id = 19
AND created_date >= '2022-03-01' 
AND created_date <= '2023-12-01';

答案：6042

8.分析毛雪柳的手机检材，手机中有一个记账APP，该APP的应用名称是：[答案格式：Telegram，区分大小写][★☆☆☆☆]

在应用列表里找到记账

答案：iCost

9.分析义言的手机检材，手机中登录的谷歌邮箱账号是：[答案格式：abc@gmail.com][★★☆☆☆]

Gmail里可以直接看到

答案：a2238346317@gmail.com

10.分析义言的手机检材，手机的MTP序列号是：[答案格式：大写字母和数字][★★☆☆☆]

在basic的adlockdown里就可以直接看到

答案：FA6A80312283

11.分析义言的手机检材，除系统自带的浏览器外，手机中安装了一款第三方浏览器，该浏览器的应用名称是：[答案格式：百度浏览器][★★☆☆☆]

在他的应用列表里可以看到

答案：悟空浏览器

12.接上题，上述浏览器最后一次搜索的关键字是：[答案格式：百度][★★☆☆☆]

这里如果用的盘古石的软件，一眼就可以看出来，我们没有，那么就直接看包名，看data，路径：/data/data/com.cat.readall/news_article.db，在search_word里可以看到

答案：ai写文章生成器

13.接上题，该浏览器最后一次收藏的网址是：[答案格式：https://baidu.com/acc/123412341234123/][★★★☆☆]

这题当时确实没有找到，这里其实是在article表里，这里的article表里就是浏览器里的标签，然后排序一下publish_time就可以得到

答案：https://toutiao.com/group/7361678286282490403/

14.分析义言的手机检材，其所购买的公民信息数据，该数据提供者的手机号码是：[答案格式：13012341234][★☆☆☆☆]

这里从火眼的直接分析是看不到的，因 为在分析结果中存在截图，所以去找到截图存储的地方，路径：data/media/0/Pictures/Screenshots


答案：13265159824

15.接上题，卖家的收款地址：[答案格式：小写字母和数字][★☆☆☆☆]

在截屏里可以看到最后一条

答案：bc1pvunxx2eyt0ljpzs9wp9tcrrdvssra97nnwls5463hxpf3xm69zms3yak85

16.接上题，购买上述公民信息，义言一共支付了多少钱：[答案格式：0.000123BTC][★☆☆☆☆]

这里涉及到区块链，有卖家地址和交易哈希就可以通过网址oklink查到交易记录，网址https://www.oklink.com/zh-hans，
查询交易地址，在最后一条可以看到对应的交易哈希

答案：0.07364352BTC

17.接上题，该笔交易产生的手续费是多少：[答案格式：0.000123BTC][★★☆☆☆]

结合总共支付和实际收入，减一下
也可以直接看费用明细

答案：0.00006105BTC

人工智能取证

1.分析义言的计算机检材，一共训练了多少个声音模型：[答案格式：123][★★☆☆☆]

2.分析义言的计算机检材，声音模型voice2，一共训练了多少条声音素材：[答案格式：123][★★☆☆☆]

3.分析义言的计算机检材，声音模型voice3，一共训练了多少轮：[答案格式：123][★★★☆☆]

4.分析义言的计算机检材，声音克隆工具推理生成语音界面的监听端口是：[答案格式：1234][★★★★☆]

5.分析义言的计算机检材，电脑中视频文件有几个被换过脸：[答案格式:10][★★★★★]

6.分析义言的计算机检材，换脸AI程序默认换脸视频文件名是：[答案格式：test.mp4][★★☆☆☆]

7.分析义言的计算机检材，换脸AI程序默认换脸图片的文件名称：[答案格式：abc.abc][★★☆☆☆]

8.分析义言的计算机检材，换脸AI程序模型文件数量是多少个：[答案格式：10][★★☆☆☆]

计算机取证

1.分析伏季雅的计算机检材，计算机最后一次错误登录时间是：[答案格式：2024-01-01-04-05-06][★☆☆☆☆]

火眼直接看错误登陆的信息

答案：2024-04-25-09-53-24

2.分析伏季雅的计算机检材，计算机中曾经浏览过的电影名字是：[答案格式：《奥本海默》] [★☆☆☆☆]

谷歌浏览器里直接看就行

答案：坠落的审判

3.分析伏季雅的计算机检材，计算机中团队内部即时通讯软件的最后一次打开的时间是：[答案格式：2024-01-01-04-05-06][★☆☆☆☆]

应用程序的运行记录里直接看

答案：2024-04-26-17-13-02

4.分析伏季雅的计算机检材，计算机中有一款具备虚拟视频功能的软件，该软件合计播放了多少个视频：[答案格式：3][★☆☆☆☆]

在pc的mvboxplayer发现了视频

答案：1

5.接上题，该软件的官网地址是：[答案格式：https://www.baidu.com][★☆☆☆☆]

edge浏览器历史记录直接看


答案：http://www.mvbox.cn/

6.接上题，该软件录制数据时，设置的帧率是：[答案格式：20][★☆☆☆☆]

在录制里就可以看到

答案；15

7.分析伏季雅的计算机检材，在团队内部使用的即时通讯软件中，其一共接收了多少条虚拟语音：[答案格式：2]

从计算机看，路径：/user/gaotao/downloads

或者直接到服务器仿真后，进到客户端里的聊天记录看

答案：4

8.分析毛雪柳的计算机检材，计算机插入三星固态盘的时间是：[答案格式：2024-01-01-04-05-06][★☆☆☆☆]

其实我感觉这题没问清楚，有多次接入记录，题目只说了插入，这里暂且取第一次的时间

答案：2024-04-25 19:08:08

9.分析毛雪柳的计算机检材，计算机操作系统当前的Build版本是：[答案格式：17786][★☆☆☆☆]

注册表里直接找，路径：\windows\system32\software\Microsoft\Windows NT\CurrentVersion

答案：19045

10.分析毛雪柳的计算机检材，团队内部使用的即时通讯软件在计算机上存储日志的文件名是：[答案格式：log.log，区分大小写][★☆☆☆☆]

到appdata里找，路径：\Users\gaotao\AppData\Roaming\Mattermost\logs


答案：main.log

11.分析毛雪柳的计算机检材，伏季雅一月份实发工资的金额是：[答案格式：1234][★★★☆☆]

在回收站里发现了excle表格，恢复后发现有密码，密码在毛的手机相册里。路径：E:\2024pgs\毛雪柳\private\var\mobile\Media\DCIM\100APPLE


答案：9500

12.分析毛雪柳的计算机检材，该团伙三月份的盈余多少：[答案格式：1234][★★★☆☆]

在上题同一文件下的统计表

答案：158268

13.分析义言的计算机检材，计算机连接过的三星移动硬盘T7的序列号是：[答案格式：大写字母和数字][★☆☆☆☆]

这里还是到注册表里去找，路径：\Windows\System32\config\SYSTEM\ControlSet001\Enum\USBSTOR，再选择T7，但是需要反向取序列号（可能是因为0&在最后所以才反向取吧）

答案：X12720BR0SNWT6S

14.分析义言的计算机检材，计算机的最后一次正常关机时间是：[答案格式：2024-01-01-04-05-06][★☆☆☆☆]

系统信息里可以直接看

答案：2024-04-28 18:51:56

15.分析义言的计算机检材，曾经使用工具连接过数据库，该数据库的密码是：[答案格式：admin][★☆☆☆☆]

答案：root

16.分析义言的计算机检材，计算机中安装的xshell软件的版本号是：[答案格式：Build-0000][★☆☆☆☆]

桌面上的快捷方式是打不开的，需要用apk最后得到的bitlocker密钥解开后运行里面的xshell软件，路径：D:/软件夹/xshell

答案：0157

17.分析义言的计算机检材，曾使用shell工具连接过服务器，该服务器root用户的密码是：[答案格式：admin]

路径：\软件夹\finalshell\conn\xo9vwa30e6yw43wf

在第一个文件里找到了密码，但是加密过了，像base64，但是解密不成功，看了wp才知道有网站可以解析

网站：https://answer.uiucode.com/tools/finalshell

答案：root

18.分析义言的计算机检材，计算机曾接收到一封钓鱼邮件，该邮件发件人是：[答案格式： abc@abc.abc]

垃圾邮件里有一封，附件下载扔到沙盒里看一下，发现是恶意软件，确定是钓鱼邮件


答案：838299176@qq.com

19.接上题，钓鱼邮件中附件的大小是多少MB：[答案格式：12.3][★★☆☆☆]

见上题，沙盒分析
答案：2.4

20.接上题，上述附件解压运行后，文件的释放位置是：[答案格式：D:\Download\test][★★☆☆☆]

看到他释放了一个二进制文件，就可以得到释放位置

答案：C:\Windows\Temp\evilrue.exe

21.接上题，恶意木马文件的MD5 值是：[答案格式：小写][★★☆☆☆]

沙盒已经计算好了

答案：1877379d9e611ea52befbbe2c2c77c55

22.接上题，恶意木马文件的回连IP地址是：[答案格式：127.0.0.1][★★☆☆☆]

沙盒分析，发现释放的程序运行后会与ip产生联系

答案：192.168.137.77

23.分析义言的计算机检材，计算机中保存的有隐写痕迹的文件名：[答案格式：abc.abc][★★★☆☆]

在回收站里看到lsb_hide工具，一般lsb隐写都是针对png和bmp文件，所以在bitlocker加密的盘里找这两类图片，在图片文件夹里找到了bmp图片，提取一下信息

在桌面上生成了提取出来的文件

答案：** **a78bd8b5bec5f60380782bd674c7443p.bmp

24.分析义言的计算机检材，保存容器密码的文件大小是多少字节：[答案格式：123][★★★☆☆]

在googledownload文件里，发现一个大小为整数的文件，推测是加密容器
我们用上题提取出来的内容尝试解密容器，解密成功，得到这个提取出来的文件就是保存容器密码的文件

答案：20

25.分析义言的计算机内存检材，该内存镜像制作时间(UTC+8)是：[答案格式：2024-01-01-04-05][★★☆☆☆]

26.分析义言的计算机内存检材，navicat.exe的进程ID是：[答案格式：123][★★☆☆☆]

答案：9336

IPA

1.分析毛雪柳的手机检材，记账APP存储记账信息的数据库文件名称是：[答案格式：tmp.db，区分大小写][★★★★☆]

在手机部分中提到了icost

跳转到源文件，看到文件数据库目录

答案：default.realm

2.分析毛雪柳的手机检材，记账APP中，2月份总收入金额是多少：[答案格式：1234][★★★★★]

在应用列表里找到icost，跳转到源文件

用realm studio打开default.realm

在ICRecordModel里可以看到与金额有关的，根据信息，判断type为1与收入相关，再转换时间戳，看二月的区间

答案：11957

3.分析毛雪柳的手机检材，手机中团队内部使用的即时通讯软件中，团队老板的邮箱账号是：[答案格式：abc@abc.com][★★★☆☆]

在applications.plist,搜索mattermost，看到存放共享数据的路径

找到数据库后，在channel表里有几组聊天，off-topic和townsquare是群聊，用前面的群id到post表里看对应的聊天记录就可以知道是群聊那么最后一个发财就是和老板的聊天，根据创建群聊的id，到user表里找，得到老板的邮箱

答案：gxyt@163.com

4.接上题，该内部即时通讯软件中，毛雪柳和老板的私聊频道中，老板加入私聊频道的时间是：[答案格式：2024-01-01-04-05-06][★★★☆☆]

根据channel给的id到post表里去找，排序时间戳


答案：2024-04-24-11-59-28

5.接上题，该私聊频道中，老板最后一次发送聊天内容的时间是：[答案格式：2024-01-01-04-05-06][★★★☆☆]

根据userid再判断一下即可，对应倒数第二次就是老板最后一次聊天



答案：2024-04-25-10-24-50

APK

1.分析伏季雅的手机检材，手机中诈骗APP的包名是：[答案格式：abc.abc.abc，区分大小写][★☆☆☆☆]

这个名字看着也怪怪的，通过后面的题是可以判断的
答案：威尼斯

2.分析伏季雅的手机检材，手机中诈骗APP连接的服务器地址是：[答案格式：127.0.0.1][★☆☆☆☆]

在basic的appinfo里，搜索威尼斯，看到对应的路径



用雷电直接分析，看敏感信息

也可以直接jadx分析，直接反编译查看，路径：assets/apps/__W2A__h5.jsgjzfx.org.cn/www/manifest

答案：192.168.137.125

3.分析伏季雅的手机检材，手机中诈骗APP的打包ID是：[答案格式：_abc_abc.abc，区分大小写][★☆☆☆☆]

接上题，在同一文件里可以看到id

答案：__W2A__h5.jsgjzfx.org.cn

4.分析伏季雅的手机检材，手机中诈骗APP的主启动项是：[答案格式：abc.abc.abc，区分大小写][★☆☆☆☆]

主启动项即主入口，要到manifest清单文件里去找，在文件里找activity类,通过一下就可以判断他是主入口


答案：io.dcloud.PandoraEntry

5.分析义言的手机检材，分析团队内部使用的即时通讯软件，该软件连接服务器的地址是：[答案格式：127.0.0.1][★★☆☆☆]

通过手机的应用列表分析可以判断mattermost是聊天软件


这题的服务地址是在数据库里找到的，路径：/data/data/com.mattermost.rn/files/databases/app.db

答案：192.168.137.97

6.接上题，该软件存储聊天信息的数据库文件名称是：[答案格式：abc.abc，区分大小写][★★☆☆☆]

在aHR0cDovLzE5Mi4xNjguMTM3Ljk3OjgwNjU=库的post表里可以看到相关的聊天记录

答案：aHR0cDovLzE5Mi4xNjguMTM3Ljk3OjgwNjU=.db

7.接上题，该即时通讯软件中，团队内部沟通群中，一共有多少个用户：[答案格式：1][★★☆☆☆]

在上题的user表里

答案：6

8.接上题，该即时通讯应用的版本号是：[答案格式：1.1.1][★★☆☆☆]

到/basic/appinfo.db里就可以看到

答案：2.15.0

9.接上题，该即时通讯应用中，团队内部沟通中曾发送了一个视频文件，该视频文件发送者的用户名是：[答案格式：abc][★★★★☆]

在file表里看到文件后缀是mp4，由此可以判断这是视频文件，再根据post_id到post表里去找

找到相关记录的发送者id

再通过这个id到user表里去找

答案：yiyan

10.接上题，分析该即时通讯的聊天记录，团队购买了一个高性能显卡，该显卡的显存大小是：[答案格式：20G][★★☆☆☆]

聊天记录中提到了购买显卡的网址



答案：24G

11.分析义言的手机检材，手机中装有一个具备隐藏功能的APP，该APP启动设置了密码，设置的密码长度是多少位：[答案格式：5][★★★★☆]

该app是计算器，应用列表中查到有两个计算器


具体对计算器app的分析看这篇https://theincidentalchewtoy.wordpress.com/2021/12/07/decrypting-the-calculator-apps/
手机备份里找到apk相关的数据，将数据导入到模拟器的/data/data，再安装apk
利用雷电app分析的frdia字符相等脚本追踪，就可以看到进行了密码的判断，得到密码位数

答案：9

12.接上题，分析上述隐藏功能的APP，一共隐藏了多少个应用：[答案格式：1][★★★★☆]

数据库是privacy_safe.db，aes密钥通常是Rny48Ni8aPjYCnUI，再用frida的加解密追踪一下，确定了密钥，用dbsql解开（选择sql3解密）

再到hide_app表里找隐藏应用

答案：5

13.接上题，分析上述隐藏功能的APP，该APP一共加密了多少个文件：[答案格式：][★★★★☆]

这里直接到file_info表里找

答案：5

14.接上题，分析上述隐藏功能的APP，该APP加密了一份含有公民隐私信息的文件，该文件的原始名称是：[答案格式：abc.txt][★★★★☆]

见上题加密的文件就可以看到
答案：公民信息.xlsx

15.分析义言的手机检材，马伟的手机号码是：[答案格式：13012341234][★★★★☆]

通过数据库得到了加密后的文件名，导出，再cyberchef解密，注意这里input选的是raw原始数据，也可以将它转换为十六进制后使用


导出后要改后缀为xlsx

答案：18921286666

16.分析义言的手机检材，手机中存有一个BitLocker恢复密钥文件，文件已被加密，原始文件的MD5值是：[答案格式：小写字母和数字][★★★★☆]

保存再将后缀改为txt



答案：497f308f66173dcd946e9b6a732cd194