全国职业技能赛电子取证淘汰赛解题思路
字数 2165 2025-08-18 11:35:30

全国职业技能赛电子取证淘汰赛解题思路详解

任务1: 检材1.vmdk

1. 提取检材的SHA256值

  • 工具: 使用7z工具
  • 方法: 直接计算vmdk文件的SHA256哈希
  • 答案: ada411d8502b75456b6b8f13ee5ee8b0c6f6398ea8bab7280cac1cc311f05d48

2. 提取所有TXT文件及含error的文件

  • 方法1: 挂载检材后使用Everything搜索
  • 方法2: 使用取证大师进行取证分析
  • 关键点: 查找名称中包含"error"的文本文件
  • 答案示例: uiderrors.txt

3. 提取指定apk并计算SHA256

  • 路径: cn.forensix.changancup-1包下的apk
  • 方法: 使用取证大师搜索apk,通过文件路径定位
  • 查看SHA256: 在文件属性左下角查看
  • 答案: 0BBFDD93B151F0D708CDB3804C1136BF0AA82AB8971B8EA945225FE4EC1C5B72

4. 提取手机热点密码

  • 文件路径: /wifi/softap.conf
  • 内容分析: 该文件存储了热点密码
  • 答案: b6857da6a2eb

任务2: 检材2.rar

1. 提取压缩包SHA256

  • 工具: 7z
  • 答案: 353B23C15694455A352004BE1EDE40409814CAE63C3FEAE5062431881AA3998E

2. 破解系统用户名及密码

  • 位置: /home目录下查找用户名
  • 特点: 8位以内英文加数字的弱口令
  • 答案: admin888

3. 提取系统版本号

  • 方法: 取证大师→取证结果→系统痕迹→系统信息→当前版本
  • 答案: 16.04

4. 提取网站文件目录

  • 初始查找: /var/www目录无内容
  • 二次查找: 在用户目录下发现manage.py(Django框架)
  • 答案: /home/admin888/fund

5. 提取数据库文件名

  • 位置: 网站目录下
  • 答案: db.sqlite3

任务3: 检材3.E01

1. 恢复被删除的log文件

  • 方法: 数据恢复导出日志
  • 答案: localhost

2. 分析sys user表插入操作次数

  • 方法: 搜索INSERT INTO语句
  • 答案: 344

3. 查找被修改手机号的学生

  • 初始号码: 张三 13888888888
  • 查找特征: 查找插入记录中的不同号码(如158****)
  • 答案: 张三

任务4: 检材4.E01

1. 恢复被删除的文件

  • 方法: 取证大师查看特殊图标文件
  • 答案: 记账2022.6

2. 破解文件密码

  • 特点: 以qw开头的10位小写英文加数字
  • 方法: 爆破尝试
  • 答案: qwer123456

3. 文件创建时间

  • 注意: 不要在仿真中右键查看(会改变访问时间)
  • 答案: 2022-07-1409:15:07

任务5: 检材2.rar

1. 分析网站管理后台URL

  • IP来源: /var/log/syslog中的DHCP分配IP
  • 路径分析: 网站源码路径为/admin/
  • 答案: http://192.168.125.134:8000/admin/

2. 超级管理员账号

  • 数据库表: auth_user
  • 字段: is_staff=1
  • 答案: admin888

3. 密码加密方式

  • 观察: password字段哈希特征
  • 尝试: pbkdf2_sha256pbkdf2
  • 答案: pbkdf2

4. 银行卡信息数量

  • 表名: register_bank
  • 方法: 统计记录数
  • 答案: 45

5. 苏州用户的手机号

  • 表名: register_info
  • 查找条件: 地址含"苏州"
  • 答案: 苏大强的手机号

任务6: 检材5.apk

1. 分析APK权限

  • 方法1: 虚拟机查看应用信息
  • 方法2: 反编译查看AndroidManifest.xml
  • 答案: 电话和通讯录

2. 首页回传地址

  • 方法1: 雷电APP智能分析系统动态分析
  • 方法2: 上传沙箱分析(如https://tria.ge)
  • 方法3: 模拟器+Fiddler抓包
  • 答案: 需实际分析获取的具体地址

3. 签名类型

  • 工具: jadx反编译
  • 答案: x.509

4. 入口函数

  • 文件: AndroidManifest.xml
  • 字段: android:name
  • 答案: com.hl.exam.mark.MainActivity

关键工具总结

  1. 哈希计算: 7z
  2. 文件搜索: Everything
  3. 取证分析: 取证大师
  4. APK分析: jadx、雷电APP分析系统、沙箱
  5. 日志分析: 文本编辑器/IDE
  6. 数据库查看: SQLite浏览器
  7. 网络分析: Fiddler

注意事项

  1. 不要在仿真环境中直接查看文件属性(会改变时间戳)
  2. 密码破解需要耐心尝试常见组合
  3. 路径分析要全面,不要局限于常规目录
  4. 数据库分析要注意表结构和字段含义
  5. APK分析可结合静态和动态方法
全国职业技能赛电子取证淘汰赛解题思路详解 任务1: 检材1.vmdk 1. 提取检材的SHA256值 工具 : 使用7z工具 方法 : 直接计算vmdk文件的SHA256哈希 答案 : ada411d8502b75456b6b8f13ee5ee8b0c6f6398ea8bab7280cac1cc311f05d48 2. 提取所有TXT文件及含error的文件 方法1 : 挂载检材后使用Everything搜索 方法2 : 使用取证大师进行取证分析 关键点 : 查找名称中包含"error"的文本文件 答案示例 : uiderrors.txt 3. 提取指定apk并计算SHA256 路径 : cn.forensix.changancup-1 包下的apk 方法 : 使用取证大师搜索apk,通过文件路径定位 查看SHA256 : 在文件属性左下角查看 答案 : 0BBFDD93B151F0D708CDB3804C1136BF0AA82AB8971B8EA945225FE4EC1C5B72 4. 提取手机热点密码 文件路径 : /wifi/softap.conf 内容分析 : 该文件存储了热点密码 答案 : b6857da6a2eb 任务2: 检材2.rar 1. 提取压缩包SHA256 工具 : 7z 答案 : 353B23C15694455A352004BE1EDE40409814CAE63C3FEAE5062431881AA3998E 2. 破解系统用户名及密码 位置 : /home 目录下查找用户名 特点 : 8位以内英文加数字的弱口令 答案 : admin888 3. 提取系统版本号 方法 : 取证大师→取证结果→系统痕迹→系统信息→当前版本 答案 : 16.04 4. 提取网站文件目录 初始查找 : /var/www 目录无内容 二次查找 : 在用户目录下发现 manage.py (Django框架) 答案 : /home/admin888/fund 5. 提取数据库文件名 位置 : 网站目录下 答案 : db.sqlite3 任务3: 检材3.E01 1. 恢复被删除的log文件 方法 : 数据恢复导出日志 答案 : localhost 2. 分析sys user表插入操作次数 方法 : 搜索 INSERT INTO 语句 答案 : 344 3. 查找被修改手机号的学生 初始号码 : 张三 13888888888 查找特征 : 查找插入记录中的不同号码(如 158**** ) 答案 : 张三 任务4: 检材4.E01 1. 恢复被删除的文件 方法 : 取证大师查看特殊图标文件 答案 : 记账2022.6 2. 破解文件密码 特点 : 以 qw 开头的10位小写英文加数字 方法 : 爆破尝试 答案 : qwer123456 3. 文件创建时间 注意 : 不要在仿真中右键查看(会改变访问时间) 答案 : 2022-07-1409:15:07 任务5: 检材2.rar 1. 分析网站管理后台URL IP来源 : /var/log/syslog 中的DHCP分配IP 路径分析 : 网站源码路径为 /admin/ 答案 : http://192.168.125.134:8000/admin/ 2. 超级管理员账号 数据库表 : auth_user 字段 : is_staff=1 答案 : admin888 3. 密码加密方式 观察 : password 字段哈希特征 尝试 : pbkdf2_sha256 → pbkdf2 答案 : pbkdf2 4. 银行卡信息数量 表名 : register_bank 方法 : 统计记录数 答案 : 45 5. 苏州用户的手机号 表名 : register_info 查找条件 : 地址含"苏州" 答案 : 苏大强的手机号 任务6: 检材5.apk 1. 分析APK权限 方法1 : 虚拟机查看应用信息 方法2 : 反编译查看AndroidManifest.xml 答案 : 电话和通讯录 2. 首页回传地址 方法1 : 雷电APP智能分析系统动态分析 方法2 : 上传沙箱分析(如 https://tria.ge ) 方法3 : 模拟器+Fiddler抓包 答案 : 需实际分析获取的具体地址 3. 签名类型 工具 : jadx反编译 答案 : x.509 4. 入口函数 文件 : AndroidManifest.xml 字段 : android:name 答案 : com.hl.exam.mark.MainActivity 关键工具总结 哈希计算 : 7z 文件搜索 : Everything 取证分析 : 取证大师 APK分析 : jadx、雷电APP分析系统、沙箱 日志分析 : 文本编辑器/IDE 数据库查看 : SQLite浏览器 网络分析 : Fiddler 注意事项 不要在仿真环境中直接查看文件属性(会改变时间戳) 密码破解需要耐心尝试常见组合 路径分析要全面,不要局限于常规目录 数据库分析要注意表结构和字段含义 APK分析可结合静态和动态方法