手机取证 Mobile Forensics

1.分析安卓手机检材，手机的IMSI是？ [答案格式：660336842291717]

460036641292715

2.养鱼诈骗投资1000，五天后收益是？ [答案格式：123]

175

3.分析苹果手机检材，手机的IDFA是？ [答案格式：E377D1D7-BA02-4A79-BB9A-5C2DE5BD1F17]

E477D4C7-BD02-4979-BC9D-5C5DE7BD1F17

4.Telegram应用的卸载时间是？ [答案格式：2023-01-22-17:37:50]

2025-04-17 10:51:39

5.机主hotmail邮箱地址是？ [答案格式：123345@hotmail.com]

xtest901234@hotmail.com

6.苹果电脑开机密码是？ [答案格式：12345]

12345678

截屏里

7.Telegram加密通讯中，加密聊天信息用到的第二个解密载体是？ [答案格式：123.zip]

2.mp4

在mac里

有解好的结果在话术v3docx里，嗯翻就行

8.贾韦码的内部代号是？ [答案格式：77]

48

接上

9.特快专递的收货地址是？ [答案格式：老牛市快速路11号ADE公司]

西红市中山路35号PGS健身房

接上

APK取证 APK Forensics

1.分析安卓检材，远程工具包名是？ [答案格式：com.app.cpp]

com.carriez.flutter_hbb

2.远程工具中继服务器IP是？ [答案格式：192.168.11.11]

59.110.10.229

仿真起来直接看

3.远程工具ID服务器端口是？ [答案格式：8088]

21116

接上

4.远程工具中继服务器Key是？ [答案格式：HOtGxUuV9OxSSEWRFsr1DVxQBkbbFReOImYMT1zyec=]

WIUqzRq1Ocx4QNnsF26dZQijKdyd2L9OfaT55hDlQCI=

接上

5.远程遥控中收藏的远程ID是？ [答案格式：123456]

1807892422

接上

6.远程控制该手机的手机型号是？ [答案格式：huawei-Hot]

google-Pixel

接上

7.监听工具包名是？ [答案格式：com.app.cpp]

com.example.liekai

8.监听工具代码主入口是？ [答案格式：com.app.cpp.MainActiddidy]

com.example.liekai.MainActivity

9.监听工具的签名算法是？ [答案格式：AES123RSA]

SHA256RSA

10.监听工具运行多少秒后会跳转成黑色幕布？ [答案格式：3.000]

apk很明显的flutter，github有项目https://github.com/worawit/blutter

11.监听工具运行后，黑色幕布上字符串是？ [答案格式：aes取证平台]

12.监听工具检测到多少分贝开始录音？ [答案格式：30]

70

13.监听工具录音连续几秒没有检测到声音停止录音？ [答案格式：3]

4

14.监听工具保存文件存储路径的数据库名称是？ [答案格式：sqlite.db]

recordings.db

15.监听工具保存录像文件的文件夹是？ [答案格式：file]

recording

16.监听工具数据库中保存音视频文件的路径使用什么加密？ [答案格式：Rsa]

17.录音的文件采用什么加密方式？ [答案格式：RC4-123]

18.录像文件加密密钥的最后一位是？ [答案格式：0x6A]

19.原始文件md5为3b4d****55ae的创建时间是？ [答案格式：2024-2-14-16:32:8]

计算机取证 Computer Forensics

1.分析贾韦码计算机检材，计算机系统Build版本为？ [答案格式：19000]

18362

2.计算机最后一次正常关机的时间为UTC +0？ [答案格式：2025-05-06 09:00:00]

2025-04-18 03:20:54

3.计算机网卡的MAC地址为？ [答案格式：00-0B-00-A0-00-00]

00-0C-29-0F-69-00

4.计算机用户“贾韦码”安全标识符SID为？ [答案格式：S-X-X-X-X-X-X-X]

S-1-5-21-3733482367-3411043098-2536183883-1001

5.计算机默认浏览器为？ [答案格式：Mozilla Firefox]

Google Chrome

6.计算机默认浏览器版本为？ [答案格式：000.0.0000.00]

135.0.7049.96

7.机主通过浏览器搜索国外社交软件为？ [答案格式：Whatsapp]

telegram

8.机主的邮箱账号是？ [答案格式：pgscup@pgs.com]

tqmdavidjohnson300@gmail.com

9.计算机安装过一款反取证软件为？ [答案格式：Encrypt.exe]

VeraCrypt.exe

10.计算机通过xshell远程连接的IP地址为？ [答案格式：127.0.0.1]

192.168.56.129

11.机主曾买过一个美国的TG账号，请给该账号的两步验证密码？ [答案格式：8位数字]

13770603

12.给出其电脑内加密容器的解密密码？ [答案格式：Abc@123]

Pgs8521d3j

规则在vr里

13.给出其电脑内加密容器挂载的盘符？ [答案格式：C]

F

14.给出其电脑内存放了多少张伪造身份证？ [答案格式：10]

1023

15.给出任敏的身份证编号？ [答案格式：18位]

430529195112085460

16.找出其电脑内存放的密钥文件，计算MD5？ [答案格式：字母小写]

1022cc083a4a5a9e2036065e2822c48e

曾经访问过一个文件名巨可疑的rar，但是pc里搜不到这个rar文件

不管用火眼还是取证大师都恢复不出这个rar，数据恢复软件默认都是去未分配簇里恢复数据，而这个数据在未使用空间（xways叫分区间隙）里

分区内没使用的叫未分配簇，分区外空白地带叫未使用空间。

可以这么理解，原来磁盘分区100大小，全填入有效数据。格式化磁盘并重新分个90大小，原来90的有效数据就在未分配簇里，剩下10的数据是在未使用空间里。

所以未使用空间实战中也算有极小概率存在有效数据，但可能性很小，要恰好去构造这个数据（刚刚好在上一次分区的最结尾写了数据且没被覆盖）

本题反正就有点为了出题而出题了

17.找出其电脑内存放的密钥文件，解密此密钥文件，给出其内容？ [答案格式：第3届pgscup]

zfs加密pool密钥文件

18.对macOS系统进行分析，登陆的电子邮件服务是谁提供的？ [答案格式：pgscup]

outlook

19.系统备忘录的包名是什么？ [答案格式：com.dfefef.note]

com.apple.notes

20.图片中隐藏的内容是什么？ [答案格式：隐藏内容 刷子戏子痞子]

位移加密 正向位移操作

3.png 一个lsb

21.被加密文件的扩展名是什么？ [答案格式：123]

enc

具体解析看mac应用取证部分

22.被加密的文件总共有几个？ [答案格式：5]

1

好像就1个

23.贾韦码家使用的智能门锁品牌型号是什么？ [答案格式：小米XX号]

金刚Ⅲ号

贾韦码资料.rar解开之后的docx里，具体看mac应用取证部分

EXE取证 PE Binary Forensics

1.分析Windows木马，其控制端IP是？ [答案格式：192.168.1.11]

104.18.45.79

2.软件会复制自身到哪个文件夹下？ [答案格式：DaTa]

SubDir

3.软件复制后，复制后文件名是？ [答案格式：AppTmp.exe]

BwAcr.exe

4.软件一共可以窃取多少种浏览器的数据？ [答案格式：3]

dnspy嗯翻

每个对应一个浏览器

5.软件查询安装的杀毒软件出错或异常会返回什么字符串？ [答案格式：Apps]

苹果应用取证 macOS Apps Forensics

加密器在桌面上，直接跑会缺少加密模块

lib目录下有个打包的python38库，里面有这个模块

反编译一下就能看到加密逻辑了

# Decompiled with PyLingual (https://pylingual.io)
# Internal filename: encrypt_deobfuscated.pyc
# Bytecode version: 3.8.0rc1+ (3413)
# Source timestamp: 2025-04-17 01:58:27 UTC (1744855107)

import os
import sys
import tkinter as tk
from tkinter import filedialog, messagebox
from Crypto.Cipher import AES
import base64
import hashlib
import time
import random

class EncryptionTool:

    def __init__(self):
        self._generate_key()

    def _generate_key(self):
        seed_values = [(19, 7, 83), (5, 31, 69), (13, 11, 86), (41, 3, 76), (2, 57, 55), (23, 5, 96), (17, 13, 58), (29, 7, 94), (11, 19, 102), (7, 17, 42), (43, 3, 48), (37, 11, 51), (3, 43, 52), (59, 7, 53), (47, 5, 54)]
        key_parts = []
        for a, b, base in seed_values:
            val = (a * b % 60 + base) % 256
            if val % 2 == 0:
                val = (val + 13) % 256
            else:
                val = (val + 7) % 256
            key_parts.append(chr(val))
        scrambled = []
        indices = [3, 7, 2, 12, 0, 11, 5, 14, 9, 1, 6, 4, 10, 8, 13]
        for idx in indices:
            scrambled.append(key_parts[idx])
        raw_key = ''.join(scrambled)
        timestamp = int(time.time()) % 1000
        random_val = random.randint(1, 255)
        entropy = chr(timestamp % 256) + chr(random_val)
        temp_key = hashlib.sha256((raw_key + entropy).encode()).digest()
        self._descramble_key(temp_key)

    def _descramble_key(self, temp_key):
        mixed_base = b''.join([bytes([b ^ 42]) for b in temp_key[:10]])
        actual_key = 'SecureKey123456'
        self.enhanced_key = self.enhance_key(actual_key)

    def enhance_key(self, key):
        round1 = self._add_salt(key)
        round2 = self._ascii_transform(round1)
        round3 = self._xor_transform(round2)
        round4 = round3[::-1]
        final_key = hashlib.md5(round4.encode()).digest()
        return final_key

    def _add_salt(self, key):
        salt_components = ['salt', '_', 'value']
        return key + ''.join(salt_components)

    def _ascii_transform(self, text):
        result = ''
        for i in range(len(text)):
            ascii_val = ord(text[i])
            if i % 3 == 0:
                result += chr((ascii_val + 7) % 256)
            elif i % 3 == 1:
                result += chr((ascii_val ^ 15) % 256)
            else:
                result += chr(ascii_val * 5 % 256)
        return result

    def _xor_transform(self, text):
        xor_keys = ['XorKey123456789', 'AnotherKey987654']
        result = text
        for xor_key in xor_keys:
            temp = ''
            for i in range(len(result)):
                temp += chr(ord(result[i]) ^ ord(xor_key[i % len(xor_key)]))
            result = temp
        return result

    def pad_data(self, data):
        block_size = AES.block_size
        padding_length = block_size - len(data) % block_size
        padding = bytes([padding_length]) * padding_length
        return data + padding

    def unpad_data(self, data):
        padding_length = data[-1]
        return data[:-padding_length]

    def encrypt_file(self, input_file, output_file=None):
        if not output_file:
            output_file = input_file + '.enc'
        try:
            cipher = AES.new(self.enhanced_key, AES.MODE_CBC)
            iv = cipher.iv
            with open(input_file, 'rb') as f:
                file_data = f.read()
            padded_data = self.pad_data(file_data)
            encrypted_data = cipher.encrypt(padded_data)
            with open(output_file, 'wb') as f:
                f.write(iv + encrypted_data)
            return (True, output_file)
        except Exception as e:
            return (False, str(e))

class EncryptionGUI:

    def __init__(self, root):
        self.root = root
        self.root.title('File Encryption Tool')
        self.root.geometry('500x300')
        self.root.resizable(False, False)
        self.encryptor = EncryptionTool()
        self.setup_ui()

    def setup_ui(self):
        file_frame = tk.Frame(self.root, pady=20)
        file_frame.pack(fill='x')
        tk.Label(file_frame, text='Select File to Encrypt:').pack(side='left', padx=10)
        self.file_path = tk.StringVar()
        tk.Entry(file_frame, textvariable=self.file_path, width=30).pack(side='left', padx=5)
        tk.Button(file_frame, text='Browse', command=self.browse_file).pack(side='left', padx=5)
        action_frame = tk.Frame(self.root, pady=20)
        action_frame.pack()
        tk.Button(action_frame, text='Encrypt File', command=self.encrypt_file, bg='#4CAF50', fg='white', width=15, height=2).pack(pady=10)
        status_frame = tk.Frame(self.root, pady=10)
        status_frame.pack(fill='x')
        self.status_var = tk.StringVar()
        self.status_var.set('Ready')
        tk.Label(status_frame, textvariable=self.status_var, bd=1, relief=tk.SUNKEN, anchor=tk.W).pack(fill='x', padx=10)

    def browse_file(self):
        filename = filedialog.askopenfilename(title='Select File to Encrypt')
        if filename:
            self.file_path.set(filename)

    def encrypt_file(self):
        file_path = self.file_path.get()
        if not file_path:
            messagebox.showerror('Error', 'Please select a file first!')
            return
        self.status_var.set('Encrypting...')
        self.root.update()
        success, result = self.encryptor.encrypt_file(file_path)
        if success:
            self.status_var.set(f'Encryption complete! Output: {result}')
            messagebox.showinfo('Success', f'File encrypted successfully!\nOutput: {result}')
        else:
            self.status_var.set(f'Encryption failed: {result}')
            messagebox.showerror('Error', f'Encryption failed: {result}')

def main():
    root = tk.Tk()
    app = EncryptionGUI(root)
    root.mainloop()

if __name__ == '__main__':
    main()

简单看一下就是一个aescbc，key虽然看似很复杂，但生成是固定的，输入的密码并没有被调用

改一下main直接给他打印出来就行

def main():
    encryptor = EncryptionTool()
    print(encryptor.enhanced_key.hex())
    # root = tk.Tk()
    # app = EncryptionGUI(root)
    # root.mainloop()

#a78ea9f73a9d69af44e014943ed38dd1

iv写在前16位，后面是具体加密的数据

加密后的文件就在他桌面上

手动解一下

1.对Mac电脑中的加密程序进行分析，使用了一个特定的数作为密钥生成过程的种子，请问这个数是什么？ [答案格式：1234]

42

2.分析文件头部元素并确定它们的正确顺序。将字段名按顺序连接并提交。 [答案格式：字段1_字段2_字段3…]

iv_encrypted_data

3.分析密钥派生过程中使用了几个算法步骤。其中一个函数名与其实际功能不符的名称。找出这个函数名并提交？ [答案格式：函数名]

_descramble_key

descramble是恢复、干扰的意思，但密钥是硬编码的（不确定）

4.程序中实现了一个故意减慢加密过程的机制，延迟值是多少？ [答案格式：1.1]

5.程序中隐藏了一个版本标识符，请找出版本号？ [答案格式：v1.1.1]

服务器取证 Server Forensics

unraid仿真

检材已知信息：

server1.001->系统盘

server2.001->数据盘

操作系统：unraid

首先要明确一个点，通过搜索资料以及尝试仿真会发现，unraid使用linux内核，但启动必须要使用USB闪存设备引导，即必须要通过u盘启动，系统只能安装在U盘的介质里，无法安装在其它存储介质，比如硬盘。

因此，直接通过仿真软件、挂载硬盘是无法启动的，会有类似报错如下：

因此这里给出的方法是找一个u盘（建议使用usb协议的u盘，固态移动盘可能因为协议出点问题），使用rufus把系统盘刷进u盘里

然后正常手动仿真虚拟机，挂载数据盘（系统盘可以不用挂），记得要用可写的方式

然后创建虚拟机配置硬盘和usb，硬盘使用IDE，usb兼容性根据自己的u盘来

启动方式选UEFI，测试下来选Ubuntu64可以使用UEFI启动，很多其他操作系统只能BIOS

然后启动之后在下面系统引导加载时将U盘连接上去

通过看教程/官方文档可以看出来unraid是读卷标名的，所以guid什么的完全不用改，直接连接他就会识别到

到这里就说明第一步仿真成功了

密码在shadow里，可以直接cmd5查哈希、hashcat爆破、替换都可以

但是这里登进去之后会发现很多服务比如nginx有问题

这是因为config下面有个注册的配置文件super.dat，这里面存储了与硬盘id相关的东西，里面其实应该是出题的时候使用的U盘信息，直接删掉就行，他会自动重新去读取现在的u盘信息

这里顺带把数据盘luks解密的keyfile也改一下（keyfile文件的寻找详细去看win的部分）

u盘默认挂载路径是/boot/，所以把keyfile文件放在/config/keyfile下，路径改成/boot/config/keyfile即可

嫌麻烦在后面启好之后把keyfile按原配置文件写的路径/root/keyfile传一下，因为实际硬盘解密是在web段启动磁盘阵列解密的，并不是开机解密，并不影响

网卡的配置在network.cfg里，这里我是配置文件啥也没改，直接给虚拟机分配了一个56网段的网卡就好了

然后按之前方法启动一遍就会发现有web服务了

启动一下磁盘阵列即可

启动docker

然后是网站部分

数据库配置

翻数据库的时候发现很多表是空的

mysql_data下面有个备份

导进去

翻一下文件结构可以找到后台路径

配置全混淆了

可以直接猜一下后台密码是纯md5，e10abc覆盖了

不过cmd5也能查

1.分析服务器检材，找到服务器系统启动盘的GUID？ [答案格式：数字、字母、-的组合，字母大写]

223DCB83-82B0-4C62-864A-DB28D84735B8

2.找出服务器网关IP？ [答案格式：1.1.1.1]

192.168.56.128

3.找出服务器数据盘的文件系统格式？ [答案格式：ntfs]

zfs

4.找出服务器数据盘的解密密钥文件名？ [答案格式：abcd]

keyfile

5.找出服务器密码？ [答案格式：key@123]

P@ssw0rd

6.找出服务器操作系统版本号？ [答案格式：0.0.0]

7.0.1

7.找出服务器内网盘Docker的虚拟磁盘位置？ [答案格式：/home/abc/adc.raw]

/mnt/disk1/docker.img

8.找出服务器启动盘的启动标识？ [答案格式：D100 (型号即可)]

U210

logs/tower-diagnostics-20250416-0148.zip里面有挺多地方记载了启动标识

比如system/lsusb.txt

9.找出服务器内共有多少个容器镜像？ [答案格式：10]

9

10.找出服务器内网盘服务器所用数据库运行的容器名？ [答案格式：abc-abc-1]

www-db-1

11.找出服务器内虚拟币容器对外暴露的端口号？ [答案格式：8000]

22556

12.找出投资理财网站的域名？ [答案格式：3w.baidu.com]

2025.pgscup.com

后台配置的格式对不上

手机里倒是有个网站域名对的上格式的

13.找出投资理财网站内连接数据库的密码？ [答案格式：password]

www_dkewl_com

前面仿真部分

14.找出投资理财网站后台访问地址？ [答案格式：http://www.baidu.com/login.html]

http://2025.pgscup.com/www9nwcc/login.html

前面仿真

15.找出投资理财网站会员等级储存在哪个数据库表内？ [答案格式：user]

user_member

16.找出投资理财网站提现成功的金额？ [答案格式：10000]

5769477

17.找出投资理财网站内用户王欣的银行卡号？ [答案格式：16位数字]

2114313505182218

18.找出投资理财网站用户的最低提现金额？ [答案格式：10000]

100

19.给出存放投资理财用户表内clock为0表示用户处于那种状态？ [答案格式：核实]

冻结

20.投资理财网站内，通过支付宝充值状态为未支付的金额？ [答案格式：10000]

这一题有点小问题，recharge表的status三种标识待审核、已完成、已拒绝，没未支付状态的

js站

站在win检材里的虚拟机里

pyvmx-cracker爆不出来

hashcat那个会提示不支持这个算法

其实都是AES256，直接试着简单粗暴注释掉

跟着历史记录启服务就行

登录不了，发现ip固定

直接改固定ip，并且配个100网段的网卡方便后面连接mongo

js跟php一个尿性，直接绕过登录

改一下cfg先给修改权限，然后改配置，允许远程连接

重启mongo服务，就能用navicat连了

21.对贾韦码计算机进行分析，账本系统使用的web框架是什么？ [答案格式：Django]

vue

22.对账本系统进行分析，账本使用的数据库版本是多少？ [答案格式：1.1.1]

5.0.3

23.对账本系统进行分析，使用的数据库库名是？ [答案格式：test]

crm

24.对账本系统进行分析，用户手机号码在数据库中的加密方法是？ [答案格式：xor-325-dfg]

aes-128-cbc

25.分析 crypto.js 中的 _0x3ad7 函数，找出返回加密数据的方法的编码格式? [答案格式：ascii]

utf8

*text*.toString(), _0xd8c3(1)，最后取到的值是_0x4c8a(1)

26.分析 crypto.js 中的 _0x3ad7 函数，找出使用异常作为控制流的触发语句? [答案格式：Test:connec]

读不懂这个题

27.分析KeyManager.js中 initializeKeys 函数的密钥获取优先级是什么？ [答案格式：优先级1>优先级2>优先级3]

环境变量 (AES_SECRET_KEY 和 JWT_SECRET) > 基于 MASTER_PASSWORD 的密钥 > 随机生成的一次性密钥

答案格式不知道怎么写，逻辑顺序是 环境变量 (AES_SECRET_KEY 和 JWT_SECRET) > 基于 MASTER_PASSWORD 的密钥> 随机生成的一次性密钥

28.对账本系统进行分析，账本记录的用户总数是多少？ [答案格式：1234]

2000

29.对账本系统进行分析，身份证号 “430014197812200986” 用户的投资金额是多少？ [答案格式：111111]

后台搜不到是什么鬼

30.对账本系统进行分析，姓名为明风英的客户有几人？ [答案格式：1]

2

物联网取证 IOT Forensics

1.分析冰箱，请问智能冰箱的品牌？ [答案格式：xiaomi]

Panasonic

2.请问智能冰箱的型号？ [答案格式：MiFridge2024]

NR-E46CV1

3.请问智能冰箱的uuid？ [答案格式：34567890-12cd-efab-3456-789012cdefab]

12345678-90AB-CDEF-1234-567890ABCDEF

这个就纯瞎猜的，第三行数据刚好格式对的上

4.请问智能冰箱默认保存几张图片？ [答案格式：1]

5

直接搜jpg头能搜到3个，前三个可以看到有facex的标识

默认有5个

5.请问冰箱中已存的第一张图片上的内容是什么？ [答案格式：满城尽带黄金甲]

盘古石杯贾韦码

文件尾位置

+2是因为ffd9本身俩字节，010里面地址是算开头的

6.请问冰箱中已存的第二张图片的名称是什么？ [答案格式：123.jpg]

face2.jpg

这个可以结合mac里解开的内容的第一张图，真的就叫face1.jpg

7.请找冰箱中隐藏的内容？ [答案格式：chuxizixipizi]

pangushicup

strings

8.请找出冰箱中嫌疑人图片MD5值的后六位？ [答案格式：1a2b3d]

882564

钟无声，第三张图

9.找出冰箱最后一次开门时间？ [答案格式：10:11]

15:48

贾韦码资料.rar解开之后的face1修改时间对应开门时间，具体看mac应用取证部分

10.默认图片的存储限制大小是多少？ [答案格式：1KB]

100KB

两个图片之间的大小就是存储限制大小，(19048h-30h)/1024，记得16进制和10进制的转换就行

11.分析video.E01，被修改的录像md5前5位是？ [答案格式：1a2b3]

EA7BE

其他仨录像都是两分多钟的，就这一个只有18秒，并且文件命名方式还不对

肉眼顶针一下，13-14秒有删减

数据分析 Data Analysis

没时间做，留坑

1.对贾韦码计算机检材进行分析，该诈骗集团的最高层领导者的ID和姓名？ [答案格式：M0000001 姓名]

2.找出从直接下线中所有下线提现总金额最高的成员ID？ [答案格式：M0000001]

3.找出从直接下线获得平均佣金最高的成员ID及其平均佣金金额？ [答案格式：M0000001, 123.12]

4.找出注册时间最早的前10%成员中，交易次数最多的5位成员的ID列表？ [答案格式：M0000001, M0000002, M0000003, M0000004, M0000005]

5.找出交易次数增长率最高的成员ID及其增长率？ [答案格式：M0000001, 24.44%]

6.统计状态‘active’、90天无交易、历史交易额前20%的成员数？ [答案格式：111]

7.找出有上线且直接下线最多的成员ID及下线数？ [答案格式：M000001:数量]

8.比较最早年份Q1与Q4注册成员的总交易额，指出哪个更高及其金额？ [答案格式：Q1:123.12]

9.找出成员地址中最常出现的省份，并计算居住在该省份的所有成员的总提现金额？ [答案格式：省份, 123.12]

10.计算最高层领导者的净资金流？ [标准格式：123.12]