第六届“蓝帽杯”半决赛取证题目官方解析
字数 4577 2025-08-06 20:12:39

第六届“蓝帽杯”半决赛取证题目解析与教学文档

0x00 手机取证

1. iPhone手机iBoot固件版本号

  • 题目要求:获取iPhone手机的iBoot固件版本号
  • 答案:iBoot-7429.62.1
  • 难度:★☆☆☆☆
  • 知识点
    • iBoot是iOS设备的引导加载程序
    • 固件版本号可用于识别设备型号和iOS版本

2. 手机备份时间

  • 题目要求:获取手机制作完备份的UTC+8时间
  • 答案格式:2000-01-01 00:00:00
  • 答案:2022-01-11 18:47:38
  • 难度:★★★★☆
  • 知识点
    • 需要区分备份时间和提取时间
    • 取证工具通常会记录备份的原始时间戳

0x01 exe分析

1. services.exe创建的可执行文件路径

  • 题目要求:找出services.exe创建的可执行文件路径
  • 答案格式:C:\Windows\a.exe
  • 答案:C:\Program Files\Common Files\Services\WmiApSvr.exe
  • 难度:★☆☆☆☆
  • 分析方法
    • 使用进程监控工具(如ProcMon)跟踪services.exe的文件操作
    • 分析注册表或服务配置

2. HackTool.FlyStudio.acz_unpack.exe调用advapi32.dll

  • 题目要求:判断是否调用了advapi32.dll
  • 答案格式:是/否
  • 答案:是
  • 难度:★★☆☆☆
  • 分析方法
    • 使用Dependency Walker或PE工具查看导入表
    • 动态分析时使用API监控工具

3. aspnet_wp.exe启动的进程

  • 题目要求:确定aspnet_wp.exe执行后启动的进程
  • 答案格式:qax.exe
  • 答案:svchost.exe
  • 难度:★★★☆☆
  • 分析方法
    • 动态分析观察进程树
    • 检查文件行为或注入代码

4. 文件[4085034a23cccebefd374e4a77aea4f1]的木马类型

  • 题目要求:识别木马类型
  • 答案格式:勒索
  • 答案:挖矿
  • 难度:★★☆☆☆
  • 分析方法
    • 分析网络连接行为(矿池地址)
    • 检查CPU使用率异常
    • 查找挖矿相关字符串或API调用

5. 挖矿木马连接IP的归属地

  • 题目要求:确定网络连接IP的归属地
  • 答案格式:美国
  • 答案:韩国
  • 难度:★★★★☆
  • 分析方法
    • 使用IP地理位置数据库查询
    • 分析网络流量捕获

0x02 APK分析

1. exec的序列号

  • 题目要求:获取受害人手机中exec的序列号
  • 答案格式:0xadc
  • 答案:0x936eacbe07f201df
  • 难度:★☆☆☆☆
  • 分析方法
    • 反编译APK查找硬编码值
    • 分析配置文件或数据库

2. exec关联服务器地址

  • 题目要求:获取关联服务器地址
  • 答案格式:asd.as.d
  • 答案:ansjk.ecxeio.xyz
  • 难度:★★☆☆☆
  • 分析方法
    • 分析网络流量
    • 查找URL字符串或网络请求代码

3. exec加载服务器的函数

  • 题目要求:识别加载服务器的函数
  • 答案格式:asda
  • 答案:loadUrl
  • 难度:★★★☆☆
  • 分析方法
    • 反编译后跟踪WebView相关调用
    • 查找HTTP请求相关代码

4. exec的打包ID

  • 题目要求:获取打包ID
  • 答案格式:adb.adb.cn
  • 答案:__W2A__nansjy.com.cn
  • 难度:★★★☆☆
  • 分析方法
    • 检查AndroidManifest.xml
    • 查找打包配置相关文件

5. exec是否有安全检测行为

  • 题目要求:判断是否有安全检测行为
  • 答案格式:是/否
  • 答案:是
  • 难度:★★★☆☆
  • 分析方法
    • 查找root检测、模拟器检测等代码
    • 分析反调试逻辑

6. 检测方法的完整路径和方法名

  • 题目要求:获取检测方法的完整路径和方法名
  • 答案格式:a.a.a()
  • 答案:d.a.a.c.a.a()
  • 难度:★★★☆☆
  • 分析方法
    • 反编译后跟踪安全检测相关调用
    • 分析关键类和方法

7. exec的界面数量

  • 题目要求:统计界面数量
  • 答案格式:2
  • 答案:3
  • 难度:★★★☆☆
  • 分析方法
    • 检查Activity类数量
    • 分析AndroidManifest.xml中的Activity声明

8. 红星IPA的包名

  • 题目要求:获取红星IPA的包名
  • 答案格式:a.s.d
  • 答案:com.dd666.hongxin
  • 难度:★★☆☆☆
  • 分析方法
    • 检查Info.plist文件(CFBundleIdentifier)
    • 使用otool等工具分析二进制

9. 红星IPA的APIKEY

  • 题目要求:获取APIKEY
  • 答案格式:asd
  • 答案:d395159c291c627c9d4ff9139bf8f0a700b98732
  • 难度:★★☆☆☆
  • 分析方法
    • 查找硬编码字符串
    • 分析网络请求参数

10. 红星IPA的权限

  • 题目要求:列出权限
  • 答案格式:as d a
  • 答案:相册 定位 摄像头 麦克风
  • 难度:★★☆☆☆
  • 分析方法
    • 检查Info.plist中的权限请求
    • 对应iOS权限描述

11. 红星APK的服务器地址

  • 题目要求:获取服务器地址
  • 答案格式:ass.a.d:11
  • 答案:www.nansjy.com.cn:8161
  • 难度:★☆☆☆☆
  • 分析方法
    • 反编译查找URL字符串
    • 分析网络请求代码

12. 红星APK的程序入口

  • 题目要求:识别程序入口
  • 答案格式:a.v.b.n
  • 答案:com.example.weisitas526sad.activity.SplashActivity
  • 难度:★☆☆☆☆
  • 分析方法
    • 检查AndroidManifest.xml中的主Activity
    • 查找包含MAIN和LAUNCHER的Activity

13. 聊天工具的登录端口

  • 题目要求:获取登录端口
  • 答案格式:12
  • 答案:6661
  • 难度:★★☆☆☆
  • 分析方法
    • 分析网络流量
    • 反编译查找端口配置

14. 用户归属机构

  • 题目要求:确定用户归属机构
  • 答案格式:太阳
  • 答案:红星
  • 难度:★☆☆☆☆
  • 分析方法
    • 查找硬编码字符串
    • 分析用户数据或配置文件

15. 聊天工具的登录账号和密码

  • 题目要求:获取登录账号和密码
  • 答案格式:1212311/12312asd
  • 答案:17317289056/b12345678b
  • 难度:★★★★☆
  • 分析方法
    • 分析网络流量捕获的登录请求
    • 查找登录表单提交数据

0x03 服务器取证

1. 时间同步脚本第二行内容

  • 题目要求:获取时间同步脚本第二行内容
  • 答案格式:/abcd/tmp www.windows.com
  • 答案:/usr/sbin/ntpdate time.nist.gov
  • 难度:★★★★☆
  • 分析方法
    • 检查/etc/rc.local文件
    • 查找时间同步相关命令

2. 数据库备份脚本第二行内容

  • 题目要求:获取备份脚本第二行内容
  • 答案格式:2022年第六届蓝帽杯
  • 答案:#台北下着雪你说那是保丽龙
  • 难度:★★★★☆
  • 分析方法
    • 检查crontab -l输出
    • 解密shc加密的脚本(使用unshc.sh)

3. 宝塔面板密码加密结果

  • 题目要求:加密字符串"lanmaobei"
  • 答案格式:e10adc3949ba59abbe56e057f20f883e
  • 答案:25b9447a147ad15aafaef5d6d3bc4138
  • 难度:★★★☆☆
  • 分析方法
    • 查找宝塔加密代码(/www/server/panel/class/users.py)
    • 使用相同算法加密

4. 第一次登录宝塔面板时间

  • 题目要求:获取首次登录时间
  • 答案格式:2022-02-02 02:02:02
  • 答案:2021-05-17 16:10:40
  • 难度:★★☆☆☆
  • 分析方法
    • 检查宝塔日志(/www/server/panel/logs/request/)
    • 查找最早的登录记录

5. 宝塔软件商店已安装软件数量

  • 题目要求:统计已安装软件数量
  • 答案格式:2
  • 答案:6
  • 难度:★★☆☆☆
  • 分析方法
    • 登录宝塔面板查看
    • 检查软件安装记录

6. 涉案网站运行目录路径

  • 题目要求:获取网站运行目录
  • 答案格式:/root/etc/sssh/html
  • 答案:/www/wwwroot/v9.licai.com/public
  • 难度:★★☆☆☆
  • 分析方法
    • 检查网站配置文件
    • 查找Nginx/Apache虚拟主机配置

7. 最早访问网站后台的IP地址

  • 题目要求:获取最早访问后台的IP
  • 答案格式:111.111.111.111
  • 答案:183.160.76.194
  • 难度:★★☆☆☆
  • 分析方法
    • 分析网站访问日志
    • 查找后台URL的最早访问记录

8. 网站"系统版本"号

  • 题目要求:获取系统版本号
  • 答案格式:6.6.6666
  • 答案:1.0.190311
  • 难度:★★★☆☆
  • 分析方法
    • 登录网站后台查看
    • 查找版本信息文件

9. 会员层级深度

  • 题目要求:确定最底层会员层级
  • 答案格式:66
  • 答案:10
  • 难度:★★★★☆
  • 分析方法
    • 分析会员表结构(inviter,invicode字段)
    • 使用递归算法计算层级

10. 会员等级制度文件的SHA256

  • 题目要求:获取文件哈希值
  • 答案格式:8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92
  • 答案:18a011ab67c8c39a286607669211ab3961ddb4a63d29487b7b367b3174af5a78
  • 难度:★★★☆☆
  • 分析方法
    • 查找会员等级相关代码文件
    • 计算文件SHA256哈希

11. 前五会员的下线收益总和

  • 题目要求:计算下线收益总和
  • 答案格式:666.66
  • 答案:25178.59
  • 难度:★★★★☆
  • 分析方法
    • 查询充值最多的五名会员
    • 汇总他们的下线收益记录

12. 四川省银行卡开户的潜在受害人数量

  • 题目要求:统计符合条件的用户数量
  • 答案格式:6
  • 答案:2
  • 难度:★★★☆☆
  • 分析方法
    • 筛选余额大于0的用户
    • 匹配银行卡开户行为四川省

13. 平台总收益金额

  • 题目要求:计算截至2021-07-01的总收益
  • 答案格式:6666.66
  • 答案:9805957.00
  • 难度:★★★★☆
  • 分析方法
    • 计算用户总充值金额(不包括赠送)
    • 减去用户总提现金额

14. 会员登录人数最多的一天

  • 题目要求:确定登录高峰日
  • 答案格式:1999-09-09
  • 答案:2021-07-14
  • 难度:★★★★★
  • 分析方法
    • 按天分组统计独立用户登录数
    • 找出最大值对应的日期

15. 发送特定消息用户的fusername

  • 题目要求:获取发送"你好,怎么充值"的用户名
  • 答案格式:lanmaobei666
  • 答案:hm688
  • 难度:★★★★★
  • 分析方法
    • 恢复数据库备份
    • 在聊天记录表中搜索特定消息
第六届“蓝帽杯”半决赛取证题目解析与教学文档 0x00 手机取证 1. iPhone手机iBoot固件版本号 题目要求 :获取iPhone手机的iBoot固件版本号 答案 :iBoot-7429.62.1 难度 :★☆☆☆☆ 知识点 : iBoot是iOS设备的引导加载程序 固件版本号可用于识别设备型号和iOS版本 2. 手机备份时间 题目要求 :获取手机制作完备份的UTC+8时间 答案格式 :2000-01-01 00:00:00 答案 :2022-01-11 18:47:38 难度 :★★★★☆ 知识点 : 需要区分备份时间和提取时间 取证工具通常会记录备份的原始时间戳 0x01 exe分析 1. services.exe创建的可执行文件路径 题目要求 :找出services.exe创建的可执行文件路径 答案格式 :C:\Windows\a.exe 答案 :C:\Program Files\Common Files\Services\WmiApSvr.exe 难度 :★☆☆☆☆ 分析方法 : 使用进程监控工具(如ProcMon)跟踪services.exe的文件操作 分析注册表或服务配置 2. HackTool.FlyStudio.acz_ unpack.exe调用advapi32.dll 题目要求 :判断是否调用了advapi32.dll 答案格式 :是/否 答案 :是 难度 :★★☆☆☆ 分析方法 : 使用Dependency Walker或PE工具查看导入表 动态分析时使用API监控工具 3. aspnet_ wp.exe启动的进程 题目要求 :确定aspnet_ wp.exe执行后启动的进程 答案格式 :qax.exe 答案 :svchost.exe 难度 :★★★☆☆ 分析方法 : 动态分析观察进程树 检查文件行为或注入代码 4. 文件[ 4085034a23cccebefd374e4a77aea4f1 ]的木马类型 题目要求 :识别木马类型 答案格式 :勒索 答案 :挖矿 难度 :★★☆☆☆ 分析方法 : 分析网络连接行为(矿池地址) 检查CPU使用率异常 查找挖矿相关字符串或API调用 5. 挖矿木马连接IP的归属地 题目要求 :确定网络连接IP的归属地 答案格式 :美国 答案 :韩国 难度 :★★★★☆ 分析方法 : 使用IP地理位置数据库查询 分析网络流量捕获 0x02 APK分析 1. exec的序列号 题目要求 :获取受害人手机中exec的序列号 答案格式 :0xadc 答案 :0x936eacbe07f201df 难度 :★☆☆☆☆ 分析方法 : 反编译APK查找硬编码值 分析配置文件或数据库 2. exec关联服务器地址 题目要求 :获取关联服务器地址 答案格式 :asd.as.d 答案 :ansjk.ecxeio.xyz 难度 :★★☆☆☆ 分析方法 : 分析网络流量 查找URL字符串或网络请求代码 3. exec加载服务器的函数 题目要求 :识别加载服务器的函数 答案格式 :asda 答案 :loadUrl 难度 :★★★☆☆ 分析方法 : 反编译后跟踪WebView相关调用 查找HTTP请求相关代码 4. exec的打包ID 题目要求 :获取打包ID 答案格式 :adb.adb.cn 答案 :__ W2A__ nansjy.com.cn 难度 :★★★☆☆ 分析方法 : 检查AndroidManifest.xml 查找打包配置相关文件 5. exec是否有安全检测行为 题目要求 :判断是否有安全检测行为 答案格式 :是/否 答案 :是 难度 :★★★☆☆ 分析方法 : 查找root检测、模拟器检测等代码 分析反调试逻辑 6. 检测方法的完整路径和方法名 题目要求 :获取检测方法的完整路径和方法名 答案格式 :a.a.a() 答案 :d.a.a.c.a.a() 难度 :★★★☆☆ 分析方法 : 反编译后跟踪安全检测相关调用 分析关键类和方法 7. exec的界面数量 题目要求 :统计界面数量 答案格式 :2 答案 :3 难度 :★★★☆☆ 分析方法 : 检查Activity类数量 分析AndroidManifest.xml中的Activity声明 8. 红星IPA的包名 题目要求 :获取红星IPA的包名 答案格式 :a.s.d 答案 :com.dd666.hongxin 难度 :★★☆☆☆ 分析方法 : 检查Info.plist文件(CFBundleIdentifier) 使用otool等工具分析二进制 9. 红星IPA的APIKEY 题目要求 :获取APIKEY 答案格式 :asd 答案 :d395159c291c627c9d4ff9139bf8f0a700b98732 难度 :★★☆☆☆ 分析方法 : 查找硬编码字符串 分析网络请求参数 10. 红星IPA的权限 题目要求 :列出权限 答案格式 :as d a 答案 :相册 定位 摄像头 麦克风 难度 :★★☆☆☆ 分析方法 : 检查Info.plist中的权限请求 对应iOS权限描述 11. 红星APK的服务器地址 题目要求 :获取服务器地址 答案格式 :ass.a.d:11 答案 :www.nansjy.com.cn:8161 难度 :★☆☆☆☆ 分析方法 : 反编译查找URL字符串 分析网络请求代码 12. 红星APK的程序入口 题目要求 :识别程序入口 答案格式 :a.v.b.n 答案 :com.example.weisitas526sad.activity.SplashActivity 难度 :★☆☆☆☆ 分析方法 : 检查AndroidManifest.xml中的主Activity 查找 包含MAIN和LAUNCHER的Activity 13. 聊天工具的登录端口 题目要求 :获取登录端口 答案格式 :12 答案 :6661 难度 :★★☆☆☆ 分析方法 : 分析网络流量 反编译查找端口配置 14. 用户归属机构 题目要求 :确定用户归属机构 答案格式 :太阳 答案 :红星 难度 :★☆☆☆☆ 分析方法 : 查找硬编码字符串 分析用户数据或配置文件 15. 聊天工具的登录账号和密码 题目要求 :获取登录账号和密码 答案格式 :1212311/12312asd 答案 :17317289056/b12345678b 难度 :★★★★☆ 分析方法 : 分析网络流量捕获的登录请求 查找登录表单提交数据 0x03 服务器取证 1. 时间同步脚本第二行内容 题目要求 :获取时间同步脚本第二行内容 答案格式 :/abcd/tmp www.windows.com 答案 :/usr/sbin/ntpdate time.nist.gov 难度 :★★★★☆ 分析方法 : 检查/etc/rc.local文件 查找时间同步相关命令 2. 数据库备份脚本第二行内容 题目要求 :获取备份脚本第二行内容 答案格式 :2022年第六届蓝帽杯 答案 :#台北下着雪你说那是保丽龙 难度 :★★★★☆ 分析方法 : 检查crontab -l输出 解密shc加密的脚本(使用unshc.sh) 3. 宝塔面板密码加密结果 题目要求 :加密字符串"lanmaobei" 答案格式 :e10adc3949ba59abbe56e057f20f883e 答案 :25b9447a147ad15aafaef5d6d3bc4138 难度 :★★★☆☆ 分析方法 : 查找宝塔加密代码(/www/server/panel/class/users.py) 使用相同算法加密 4. 第一次登录宝塔面板时间 题目要求 :获取首次登录时间 答案格式 :2022-02-02 02:02:02 答案 :2021-05-17 16:10:40 难度 :★★☆☆☆ 分析方法 : 检查宝塔日志(/www/server/panel/logs/request/) 查找最早的登录记录 5. 宝塔软件商店已安装软件数量 题目要求 :统计已安装软件数量 答案格式 :2 答案 :6 难度 :★★☆☆☆ 分析方法 : 登录宝塔面板查看 检查软件安装记录 6. 涉案网站运行目录路径 题目要求 :获取网站运行目录 答案格式 :/root/etc/sssh/html 答案 :/www/wwwroot/v9.licai.com/public 难度 :★★☆☆☆ 分析方法 : 检查网站配置文件 查找Nginx/Apache虚拟主机配置 7. 最早访问网站后台的IP地址 题目要求 :获取最早访问后台的IP 答案格式 :111.111.111.111 答案 :183.160.76.194 难度 :★★☆☆☆ 分析方法 : 分析网站访问日志 查找后台URL的最早访问记录 8. 网站"系统版本"号 题目要求 :获取系统版本号 答案格式 :6.6.6666 答案 :1.0.190311 难度 :★★★☆☆ 分析方法 : 登录网站后台查看 查找版本信息文件 9. 会员层级深度 题目要求 :确定最底层会员层级 答案格式 :66 答案 :10 难度 :★★★★☆ 分析方法 : 分析会员表结构(inviter,invicode字段) 使用递归算法计算层级 10. 会员等级制度文件的SHA256 题目要求 :获取文件哈希值 答案格式 :8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 答案 :18a011ab67c8c39a286607669211ab3961ddb4a63d29487b7b367b3174af5a78 难度 :★★★☆☆ 分析方法 : 查找会员等级相关代码文件 计算文件SHA256哈希 11. 前五会员的下线收益总和 题目要求 :计算下线收益总和 答案格式 :666.66 答案 :25178.59 难度 :★★★★☆ 分析方法 : 查询充值最多的五名会员 汇总他们的下线收益记录 12. 四川省银行卡开户的潜在受害人数量 题目要求 :统计符合条件的用户数量 答案格式 :6 答案 :2 难度 :★★★☆☆ 分析方法 : 筛选余额大于0的用户 匹配银行卡开户行为四川省 13. 平台总收益金额 题目要求 :计算截至2021-07-01的总收益 答案格式 :6666.66 答案 :9805957.00 难度 :★★★★☆ 分析方法 : 计算用户总充值金额(不包括赠送) 减去用户总提现金额 14. 会员登录人数最多的一天 题目要求 :确定登录高峰日 答案格式 :1999-09-09 答案 :2021-07-14 难度 :★★★★★ 分析方法 : 按天分组统计独立用户登录数 找出最大值对应的日期 15. 发送特定消息用户的fusername 题目要求 :获取发送"你好,怎么充值"的用户名 答案格式 :lanmaobei666 答案 :hm688 难度 :★★★★★ 分析方法 : 恢复数据库备份 在聊天记录表中搜索特定消息