第二届平航杯CTF竞赛解题报告与教学文档<\/h1>

计算机取证部分<\/h2>

1. USB设备序列号提取<\/h3>

方法<\/strong>：通过计算机取证工具分析USB设备历史记录<\/li>
答案<\/strong>：F25550031111202<\/li>

技术点<\/strong>：Windows注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR<\/code>记录USB存储设备信息<\/li> <\/ul> 2. 便签待办事项数量<\/h3> 方法<\/strong>：检查Windows便签应用(Sticky Notes)数据<\/li> 答案<\/strong>：5条<\/li> 路径<\/strong>：%LocalAppData%\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState<\/code><\/li> <\/ul> 3. 默认浏览器识别<\/h3> 方法<\/strong>：检查Windows默认程序设置或注册表<\/li> 答案<\/strong>：Microsoft Edge<\/li> 注册表路径<\/strong>：HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http\UserChoice<\/code><\/li> <\/ul> 4. 浏览器历史记录分析<\/h3> 方法<\/strong>：提取浏览器历史记录或书签<\/li> 答案<\/strong>：《道诡异仙》<\/li> 工具<\/strong>：可使用BrowsingHistoryView或直接解析浏览器数据库文件<\/li> <\/ul> 5. 最后正常关机时间<\/h3> 方法<\/strong>：分析Windows事件日志(Event Viewer)<\/li> 正确答案<\/strong>：2025-04-10 11:15:29<\/li> 事件ID<\/strong>：6006(正常关机事件)<\/li> <\/ul> 6. 日记开始时间<\/h3> 方法<\/strong>：分析RedNotebook日记软件数据<\/li> 答案<\/strong>：2025\/3\/3<\/li> 路径<\/strong>：通常在用户文档或下载目录中查找.rednotebook文件夹<\/li> <\/ul> 7. SillyTavern账户创建时间<\/h3> 方法<\/strong>：分析SillyTavern用户数据<\/li> 答案<\/strong>：2025\/3\/10 18:44:56<\/li> 密码提示<\/strong>：从日记内容中寻找密码线索<\/li> <\/ul> 8. AI聊天角色数量<\/h3> 方法<\/strong>：检查SillyTavern角色配置<\/li> 答案<\/strong>：4个角色<\/li> <\/ul> 9. 语言模型识别<\/h3> 方法<\/strong>：检查SillyTavern日志文件<\/li> 答案<\/strong>：Tifa-DeepsexV2-7b-Cot-0222-Q8.gguf<\/li> 技术点<\/strong>：GGUF是GGML格式的更新版本，用于本地运行大型语言模型<\/li> <\/ul> 10. AI换脸端口<\/h3> 方法<\/strong>：分析FaceFusion应用配置<\/li> 答案<\/strong>：7860<\/li> 备注<\/strong>：这是Gradio框架的默认端口<\/li> <\/ul> 11. 换脸图片数量<\/h3> 方法<\/strong>：检查FaceFusion输出目录<\/li> 答案<\/strong>：3张<\/li> 路径<\/strong>：通常在FaceFusion安装目录下的output文件夹<\/li> <\/ul> 12. 最早换脸模型<\/h3> 方法<\/strong>：分析FaceFusion日志<\/li> 答案<\/strong>：inswapper_128_fp16.onnx<\/li> 技术点<\/strong>：ONNX(Open Neural Network Exchange)是跨平台深度学习模型格式<\/li> <\/ul> 13-16. Neo4j数据库分析<\/h3> 数据库名称<\/strong>：graph.db<\/li> 节点总数<\/strong>：17088<\/li> 查询技术<\/strong>： MATCH (u:person {name: '白杰'}) RETURN u.mobile; <\/code><\/pre> <\/li> 复杂查询<\/strong>：需要分析节点关系和属性，编写复杂Cypher查询<\/li> <\/ul> 17-21. 虚拟货币分析<\/h3> 助记词第8个词<\/strong>：draft<\/li> 钱包地址<\/strong>：0xd8786a1345cA969C792d9328f8594981066482e9<\/li> 倩倩币信息<\/strong>：最大供应量：1000000qianqian<\/li> 购买数量：521qianqian<\/li> 交易时间(UTC)：2025\/3\/24 02:08:36<\/li> <\/ul> <\/li> 工具<\/strong>：使用Etherscan区块链浏览器查询合约地址<\/li> <\/ul> 手机取证部分<\/h2> 26. 备份提取时间<\/h3> 答案<\/strong>：2025-04-15 18:11:18 UTC<\/li> <\/ul> 27-28. 拼图游戏分析<\/h3> Flag1<\/strong>：Key_1n_the_P1c<\/li> 大学识别<\/strong>：浙江中医药大学<\/li> 方法<\/strong>：反编译APK修改判断逻辑或直接查看资源文件<\/li> <\/ul> 29-36. 木马应用分析<\/h3> 安装来源<\/strong>：http:\/\/192.168.180.107:6262\/<\/li> MD5哈希<\/strong>：23A1527D704210B07B50161CFE79D2E8<\/li> 应用名称<\/strong>：Google Service Framework<\/li> 加固方式<\/strong>：梆梆加固<\/li> C2地址<\/strong>：92.67.33.56:8000<\/li> 照片数量<\/strong>：3张<\/li> 使用摄像头<\/strong>：Front Camera<\/li> 持久化API<\/strong>：JobScheduler<\/li> <\/ul> 37-38. 设备信息<\/h3> 身份证地区<\/strong>：上海市徐汇区<\/li> IMEI<\/strong>：865372026366143<\/li> <\/ul> 恶意软件分析部分<\/h2> 39-48. GIFT.exe分析<\/h3> MD5<\/strong>：5A20B10792126FFA324B91E506F67223<\/li> 语言<\/strong>：Python(PyInstaller打包)<\/li> LOVE2.exe编译时间<\/strong>：2025\/4\/8 9:58:40<\/li> C2地址<\/strong>：46.95.185.222:6234<\/li> 壁纸MD5<\/strong>：733FC4483C0E7DB1C034BE5246DF5EC0<\/li> 加密文件类型<\/strong>：.doc, .xlsx, .jpg, .png, .ppt<\/li> 加密后类型<\/strong>：LOVE Encrypted File<\/li> 加密方法<\/strong>：RSA<\/li> 隐写Flag<\/strong>：flag3{20241224_Our_First_Meet}<\/li> 解密方法<\/strong>：使用提供的RSA私钥解密test.love<\/li> <\/ul> 服务器取证部分<\/h2> 49-51. 基础信息<\/h3> 最早开机时间<\/strong>：2022\/2\/23 12:23:49<\/li> 内核版本<\/strong>：3.10.0-1160<\/li> 非系统用户<\/strong>：3个<\/li> <\/ul> 52-54. Trojan服务器<\/h3> 混淆域名<\/strong>：wyzshop1.com<\/li> 运行模式<\/strong>：nat<\/li> remote_addr\/port作用<\/strong>：加密流量解密后的目标地址<\/li> <\/ul> 55-64. 网站分析<\/h3> 密码加密<\/strong>：md5(AUTH_CODE + 明文密码)<\/code> sbwyz1加密后：f8537858eb0eabada34e7021d19974ea<\/li> <\/ul> <\/li> GD版本<\/strong>：2.1.0 compatible<\/li> 订单统计<\/strong>： 2016-2025订单数：1292条<\/li> 免运费门槛：100000元<\/li> 最多订单月份：2017年01月<\/li> 连续三天下单用户：110人<\/li> <\/ul> <\/li> 攻击分析<\/strong>：攻击者IP：222.2.2.2<\/li> 一句话木马SHA256：870BF66B4314A5567BD92142353189643B07963201076C5FC98150EF34CBC7CF<\/li> RDP扫描结果：administrator:Aa123456@<\/li> <\/ul> <\/li> <\/ul> 蓝牙流量分析<\/h2> 65-73. 蓝牙数据包分析<\/h3> 抓包接口<\/strong>：COM3-3.6<\/li> 伪装设备<\/strong>：原始名称：Flipper_123all<\/li> MAC地址MD5：97d79a5f219e6231f7456d307c8cac68<\/li> 首次改名时间：2025\/04\/09 02:31:26.710 UTC+0<\/li> <\/ul> <\/li> 手机制造商数据<\/strong>：0x0701434839313430<\/li> 身份信息<\/strong>：起早王真名：Wang_Zao_Qi<\/li> 执行命令数：7条<\/li> 影子账户MD5：53af9cd5e53e237020bea0932a1cbdaa<\/li> 最后命令MD5：0566c1d6dd49db699d422db31fd1be8f<\/li> <\/ul> <\/li> <\/ul> 总结与技巧<\/h2> 取证流程<\/strong>：建立系统化的取证流程，从基础信息收集到深入分析<\/li> 工具使用<\/strong>：熟练掌握各类取证工具(Volatility, Autopsy, Wireshark等)<\/li> 日志分析<\/strong>：重视各类日志文件(系统日志、应用日志、浏览器历史等)<\/li> 加密数据<\/strong>：注意寻找密码提示，尝试从非传统位置获取密钥<\/li> 区块链分析<\/strong>：掌握基本区块链查询技能，特别是以太坊相关工具<\/li> 移动取证<\/strong>：了解APK反编译和移动设备特有存储位置<\/li> 流量分析<\/strong>：掌握协议分析和数据包过滤技巧<\/li> <\/ol> 本报告涵盖了从基础系统取证到高级恶意软件分析的全面技术点，可作为CTF取证类题目的参考指南。<\/p>