第二届平航杯CTF竞赛解题报告与教学文档

第二届平航杯CTF竞赛解题报告与教学文档 计算机取证部分 1. USB设备序列号提取 方法 ：通过计算机取证工具分析USB设备历史记录 答案 ：F25550031111202 技术点 ：Windows注册表中 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR 记录USB存储设备信息 2. 便签待办事项数量 方法 ：检查Windows便签应用(Sticky Notes)数据 答案 ：5条 路径 ： %LocalAppData%\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState 3. 默认浏览器识别 方法 ：检查Windows默认程序设置或注册表 答案 ：Microsoft Edge 注册表路径 ： HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http\UserChoice 4. 浏览器历史记录分析 方法 ：提取浏览器历史记录或书签 答案 ：《道诡异仙》 工具 ：可使用BrowsingHistoryView或直接解析浏览器数据库文件 5. 最后正常关机时间 方法 ：分析Windows事件日志(Event Viewer) 正确答案 ：2025-04-10 11:15:29 事件ID ：6006(正常关机事件) 6. 日记开始时间 方法 ：分析RedNotebook日记软件数据 答案 ：2025/3/3 路径 ：通常在用户文档或下载目录中查找.rednotebook文件夹 7. SillyTavern账户创建时间 方法 ：分析SillyTavern用户数据 答案 ：2025/3/10 18:44:56 密码提示 ：从日记内容中寻找密码线索 8. AI聊天角色数量 方法 ：检查SillyTavern角色配置 答案 ：4个角色 9. 语言模型识别 方法 ：检查SillyTavern日志文件 答案 ：Tifa-DeepsexV2-7b-Cot-0222-Q8.gguf 技术点 ：GGUF是GGML格式的更新版本，用于本地运行大型语言模型 10. AI换脸端口 方法 ：分析FaceFusion应用配置 答案 ：7860 备注 ：这是Gradio框架的默认端口 11. 换脸图片数量 方法 ：检查FaceFusion输出目录 答案 ：3张 路径 ：通常在FaceFusion安装目录下的output文件夹 12. 最早换脸模型 方法 ：分析FaceFusion日志 答案 ：inswapper_ 128_ fp16.onnx 技术点 ：ONNX(Open Neural Network Exchange)是跨平台深度学习模型格式 13-16. Neo4j数据库分析 数据库名称 ：graph.db 节点总数 ：17088 查询技术 ： 复杂查询 ：需要分析节点关系和属性，编写复杂Cypher查询 17-21. 虚拟货币分析 助记词第8个词 ：draft 钱包地址 ：0xd8786a1345cA969C792d9328f8594981066482e9 倩倩币信息 ： 最大供应量：1000000qianqian 购买数量：521qianqian 交易时间(UTC)：2025/3/24 02:08:36 工具 ：使用Etherscan区块链浏览器查询合约地址 手机取证部分 26. 备份提取时间 答案 ：2025-04-15 18:11:18 UTC 27-28. 拼图游戏分析 Flag1 ：Key_ 1n_ the_ P1c 大学识别 ：浙江中医药大学 方法 ：反编译APK修改判断逻辑或直接查看资源文件 29-36. 木马应用分析 安装来源 ：http://192.168.180.107:6262/ MD5哈希 ：23A1527D704210B07B50161CFE79D2E8 应用名称 ：Google Service Framework 加固方式 ：梆梆加固 C2地址 ：92.67.33.56:8000 照片数量 ：3张 使用摄像头 ：Front Camera 持久化API ：JobScheduler 37-38. 设备信息 身份证地区 ：上海市徐汇区 IMEI ：865372026366143 恶意软件分析部分 39-48. GIFT.exe分析 MD5 ：5A20B10792126FFA324B91E506F67223 语言 ：Python(PyInstaller打包) LOVE2.exe编译时间 ：2025/4/8 9:58:40 C2地址 ：46.95.185.222:6234 壁纸MD5 ：733FC4483C0E7DB1C034BE5246DF5EC0 加密文件类型 ：.doc, .xlsx, .jpg, .png, .ppt 加密后类型 ：LOVE Encrypted File 加密方法 ：RSA 隐写Flag ：flag3{20241224_ Our_ First_ Meet} 解密方法 ：使用提供的RSA私钥解密test.love 服务器取证部分 49-51. 基础信息 最早开机时间 ：2022/2/23 12:23:49 内核版本 ：3.10.0-1160 非系统用户 ：3个 52-54. Trojan服务器 混淆域名 ：wyzshop1.com 运行模式 ：nat remote_ addr/port作用 ：加密流量解密后的目标地址 55-64. 网站分析 密码加密 ： md5(AUTH_CODE + 明文密码) sbwyz1加密后：f8537858eb0eabada34e7021d19974ea GD版本 ：2.1.0 compatible 订单统计 ： 2016-2025订单数：1292条 免运费门槛：100000元 最多订单月份：2017年01月 连续三天下单用户：110人 攻击分析 ： 攻击者IP：222.2.2.2 一句话木马SHA256：870BF66B4314A5567BD92142353189643B07963201076C5FC98150EF34CBC7CF RDP扫描结果：administrator:Aa123456@ 蓝牙流量分析 65-73. 蓝牙数据包分析 抓包接口 ：COM3-3.6 伪装设备 ： 原始名称：Flipper_ 123all MAC地址MD5：97d79a5f219e6231f7456d307c8cac68 首次改名时间：2025/04/09 02:31:26.710 UTC+0 手机制造商数据 ：0x0701434839313430 身份信息 ： 起早王真名：Wang_ Zao_ Qi 执行命令数：7条 影子账户MD5：53af9cd5e53e237020bea0932a1cbdaa 最后命令MD5：0566c1d6dd49db699d422db31fd1be8f 总结与技巧 取证流程 ：建立系统化的取证流程，从基础信息收集到深入分析 工具使用 ：熟练掌握各类取证工具(Volatility, Autopsy, Wireshark等) 日志分析 ：重视各类日志文件(系统日志、应用日志、浏览器历史等) 加密数据 ：注意寻找密码提示，尝试从非传统位置获取密钥 区块链分析 ：掌握基本区块链查询技能，特别是以太坊相关工具 移动取证 ：了解APK反编译和移动设备特有存储位置 流量分析 ：掌握协议分析和数据包过滤技巧 本报告涵盖了从基础系统取证到高级恶意软件分析的全面技术点，可作为CTF取证类题目的参考指南。