线上积分赛第三期

手机

1、手机镜像中MD5值为“2841918ee4fe8878af1a68ca09b82ff1”的excel 表格文件名为？【答题格式：远程.xlsx】

在手机中只有一个excel表格，进行hash值测验
2024-08-16T05:28:42.png
2024-08-16T05:29:54.png
确认是，所以答案为优质客户.xlsx

2、手机镜像中嫌疑人接收的名为“1027”的APK的SHA256值（只写后六位）为？【答题格式：abc123】

在TG中找到
2024-08-16T05:31:51.png
进行hash计算
2024-08-16T05:33:23.png

84b379

3、手机镜像中名为“1027”的APK运行时提示“软件异常请重新登录”是否与设备安卓系统版本有关？【答题格式：是/否】

查看源码，搜索关键字软件异常请重新登录
2024-08-16T05:51:44.png
2024-08-16T05:56:12.png
ai分析得到

这段代码是在 Android 中使用 ContentResolver 来查询联系人的电话号码数据。
以下是对代码的逐步分析：
getContentResolver().query(ContactsContract.CommonDataKinds.Phone.CONTENT_URI, null, null, null, "display_name desc limit 0, 300")：
getContentResolver()：获取内容解析器，用于访问系统提供的数据。
ContactsContract.CommonDataKinds.Phone.CONTENT_URI：指定要查询的联系人电话号码的内容 URI。
null（多次出现）：表示查询条件、投影等参数为空，即不设置特定的筛选条件和要返回的列。
"display_name desc limit 0, 300"：指定排序规则为按照 display_name 降序排列，并限制结果集从第 0 个开始，最多返回 300 条记录。
if (query.getCount() == 0)：检查查询结果的数量是否为 0 。如果是 0 ，表示没有找到符合条件的联系人电话号码记录。
总的来说，这段代码的目的是尝试从联系人数据中获取电话号码，并根据特定的排序和限制条件进行查询，如果没有查询到任何结果，将执行后续与没有数据相关的逻辑。

所以否

4、手机镜像中名为“1027”的APK将手机数据上传到的服务器地址为？【答题格式：http://www.baidu.com】

进行抓包分析，发现失败，直接找源码，找到关键词
2024-08-16T07:35:15.png
解密后
2024-08-16T07:37:29.png

http://upload.aojaukan.com/

雷电中也有敏感词
2024-08-16T07:39:17.png

5、手机镜像中名为“1027”的APK会上传手机中最多多少张照片到服务器？【答题格式：123】

找到关键函数用upload`image`来查找
2024-08-16T07:41:31.png
跳转到声明
2024-08-16T07:42:51.png
所以为50张

6、手机镜像中VPN应用配置中订阅号地址的域名为？【答题格式：www.baidu.com】

VPN配置文件，火眼查找到clash
2024-08-16T07:43:49.png
2024-08-16T08:01:54.png
在clash包中全局查找sub关键词
2024-08-16T08:33:39.png

https://sub.wl-sub1.com/api/v1/client/subscribe?token=83fe85b2d16a059f3a46e3f7c007f34d

7、手机镜像中嫌疑人要求绑定到新服务器“103.27.11.198”的域名数量为？【答题格式：123】

找到关键文件
2024-08-16T08:04:05.png

10个

8、手机镜像中MetaMask钱包应用中名为“Account 1”的钱包地址后9位为？【答题格式：ABcd123】

2024-08-16T08:25:16.png

0x28EC836A47D75FA3F78cDa4A41e5DE3C31Ba58Cd

9、查找手机镜像中MetaMask钱包应用相关助记词信息，其中序号为2的单词为？【答题格式：abc】

未解决

10、手机镜像中ToDesk登录的手机号为？【答题格式：13800000000】

出现乱码问题
2024-08-16T08:41:00.png

找到数据库中有可疑数据
2024-08-16T08:51:48.png
全局搜索177****8655,手搓出，文件手机号用空格隔开，造成干扰
2024-08-16T09:07:35.png

17769768655

11、结合手机镜像TG聊天记录，对方通过ToDesk远程到嫌疑人手机时，对方客户端的IP地址为？【答题格式：127.0.0.1】

2024-08-16T13:10:00.png
结合上述信息可以从todesk数据库中找到ip
2024-08-16T13:10:45.png

221.223.198.249

12、结合手机镜像TG聊天记录，嫌疑人观看“用户打开apk报错”相关视频的开始时间（LastWatchTime）为？【答题格式：2009/09/09 20:20:20】

在TG聊天记录中发现关键
2024-08-16T13:48:23.png
于是我们寻找COW在浏览器下载记录中的线索
2024-08-16T14:03:30.png
下载时间就是17：58，但是题目询问观看时间
在手机中有MX播放器，寻找程序包
2024-08-16T14:11:38.png
2024-08-16T14:11:22.png

2023-11-06 18:14:09

13、手机镜像中邮件主题为“资料”的附件的SHA256值（只写后六位）为？【答题格式：abc123】

在邮箱中找到附件11.enc
2024-08-16T14:13:14.png
在安卓文件中搜寻关键文件
2024-08-16T14:14:57.png

7D2D19

14、手机镜像中邮件主题为“资料”的附件中文档（文档密码5位及以下纯数字）内记录的性别为女的用户数（不去重）为？【答题格式：123】

11.enc通过后缀可知是一个加密文件，接下来进行解密
加密的密码通过笔记文件找到
2024-08-16T14:19:18.png
上网查询关键词enc解密`andriod`
下载得到apk
2024-08-16T14:23:29.png
进行解密
2024-08-16T14:25:20.png
成功得到
2024-08-16T14:26:15.png
发现还是被加密，根据题目提示为5位及以下纯数字，进行爆破
2024-08-16T14:29:32.png
用passware Kit爆破
2024-08-16T14:34:19.png
成功打开
2024-08-16T14:35:09.png
进行性别筛选
2024-08-16T14:36:02.png

PC取证

桌面关键文件
2024-08-16T15:08:02.png

15、计算机镜像中嫌疑人通过向日葵软件接收的压缩文件数量为?【答题格式：123】

在向日葵日志中找到压缩文件数量为3
2024-08-16T14:40:13.png

16、计算机镜像中翻墙软件配置中的订阅号TOKEN值（只写后六位）为?【答题格式：abc123】

感觉这道题很奇怪

找到可疑token
2024-08-16T14:42:54.png

17、分析计算机镜像，嫌疑人记录的已配置的服务器IP数量为?【答题格式：123】

对桌面的勿删文件进行加载，根据桌面关键文件解密
2024-08-16T15:10:02.png
重启切换xiaohei账号，发现账号被禁用
输入命令net user查看用户net user xiaohei查看信息最
2024-08-16T15:20:47.png
进行解锁
2024-08-16T15:25:21.png
成功进入并打开配置IP服务器文件
2024-08-16T15:27:50.png