【比赛】2024美亚杯团体赛
说明 时间情况只做了手机和个人赛检材部分 祝我拖后腿概率downdowndown(≧∀≦)ゞ 前情提要 案情 于 2024 月 9 月某日, 警方于香港湾仔调查一宗怀疑凶杀案件, 并拘捕了男子 David, 涉嫌因金钱问题杀害了其太太 Clara. 你对 David 的电子设备进行了取证检查, 怀疑他与其他三名成员 Alice, Ben 及 John 同属一个诈骗组织并进行不法勾当, 相信他们与案有关. 及后警方检取有关人士的手机和计算机等作进一步调查. 请分析以下的资料, 还原事件经过. 资料 Alice MacOS 系统计算器镜像档案 (Alice_Macbook.e01) Alice 的安卓手机镜像档案 (Alice_Mobile.bin) Ben 的 Windows 系统计算器镜像档案 (Ben_Laptop.zip) Ben 的 Windows 系统计算器分析档案 (BenAttachment.zip) Ben 的 iOS 手机系统档案 (BeniPhone.zip) Ben 的 U 盘镜像档案 (BenUSB.e01) Ben 的 SD 咭镜像档案 (...
【笔记】MySQL学习笔记
SQL 对大小写不敏感:SELECT 与 select 是相同的。 采集 SELECT 语句 SELECT 语句用于从数据库中选取数据。结果被存储在一个结果表中,称为结果集。 SQL SELECT 语法 SELECT column1, column2, ...FROM table_name;SELECT * FROM table_name; 参数说明: column1, column2, …:要选择的字段名称,可以为多个字段。如果不指定字段名称,则会选择所有字段。 table_name:要查询的表名称。 *: 通配符,表示选择表中的所有列。 SELECT DISTINCT 语句 SELECT DISTINCT 语句用于返回唯一不同的值。 SQL SELECT DISTINCT 语法 SELECT DISTINCT column1, column2, ...FROM table_name; WHERE 子句 WHERE 子句用于过滤记录。 SQL WHERE 语法 SELECT column1, column2, ...FROM table_nam...
【笔记】电子取证常识笔记
赛前准备 思路拓展 bitlocker window cmd管理员 window 自带计算哈希 win+R 输入 recent 进入最近访问的文件 VMware Tools 传输缓存目录 后缀 微信 记录数据库 手机 真实的IMEI是15位 手机的型号——搜Model 手机SIM卡序号——搜SimSerialNumber 安卓 版本号Build Number IOS 电脑 共用 mac 图片 通用唯一标识符UUID/GUID 苹果实况照片 后置摄像镜头拍摄 数据库中文件类型判断 火眼 Apple ID 电话卡集成电路卡标识符ICCID/手机网络运营商公司的名称 微信账号 搜索 应用安装时间 软件技巧 vscode 格式化json Xways 右键属性 特殊属性 SSID 已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量 已删除文件的第一个运行的十六进制值(低端字节序 Little-Endian) 已删除文件的第一个运行偏移量(Run Offset) 已删除的文件的第一个运...
【笔记】解决GitHub开启2FA双重身份验证
参考 最后解决方案
【笔记】linux命令
取证注意事项 优先只读访问:对磁盘镜像或分区使用只读挂载(示例见“磁盘与镜像”) 保持时间一致:设置统一时区和本地化避免输出差异,例如 TZ=UTC LC_ALL=C 先校验后操作:所有采集文件和镜像务必做哈希校验保存(见“哈希与完整性”) 常用命令:【kali】进入退出root命令 设置root密码: sudo passwd root 进入root: su root 退出root: su 用户名 文件与元数据 pwd 作用:明确当前工作目录,记录操作上下文 示例:pwd ls 作用:浏览目录与隐藏文件,关注时间戳、权限、所有者 示例:ls -al --time-style=full-iso stat 作用:查看文件详细时间戳(atime/mtime/ctime/birth)、权限、大小 示例:stat -c '%n %s bytes | atime:%x mtime:%y ctime:%z' /path/to/file file 作用:识别文件类型与魔术字,用于发现伪装扩展名或嵌套数据 示例:file suspicious.bin ...
【比赛】SPC新生赛即美亚杯选拔赛
致谢 感谢cty学姐和dh学长的帮助!!感谢xc和sq学长的wp!! 拿到了蛮好的成绩嘿嘿嘿开心,但也要认真复盘ヽ( ω ゞ ) 题目来源:某省刑侦个⼈ 手机取证 6.【填空题】分析嫌疑人的手机,应用“备忘录记事”中记录了多少年龄小于30岁的人员信息?(答案格式:123) 正确答案: 4 分值:1分 火眼 耗时任务 其他应用 这题没用 火眼-文件-直接找包名sql文件 注意有两页哦 X-ways 方法同火眼 注意文件打开按钮按下面那个 编码调整 8.【单选题】分析嫌疑人的手机,嫌疑人使用文档扫描软件扫描的文件内容是什么?( ) A. 提成分红记录 B. 诈骗业绩指标 C. 伪装身份话术 D. 人员名单 【正确答案】C. 伪装身份话术 分值:1分 火眼-文件-直接找包名文件夹内-temp图片 X-way同 9.【填空题】分析嫌疑人的手机,嫌疑人使用的名称为“薄荷记账”的记账软件共记录了多少笔交易?(答案格式:123) 正确答案: 13 分值:1分 X-ways 递归操作:一般在操作栏左侧选中你需要的文件右键,就把树状结构拍成一个平面...
【软件】PyArmor-Unpacker使用教程
Readme.md文件翻译 Pyarmor 是一款流行的 Python 源代码保护工具。它将 Python 脚本转换为二进制数据,这些数据可以看作是 pyc 文件的加密变体。它们可以通过一个共享库(pyarmor_runtime)解密,然后由 Python 解释器执行。 本项目旨在将受保护的(armored)数据转换回字节码汇编,并(实验性地)转换回源代码。我们复刻了优秀的 Decompyle++(又名 pycdc),并在其基础上添加了一些处理流程,例如修改抽象语法树。 [!IMPORTANT] 此工具仅应用于您拥有或已获授权分析的脚本。请尊重软件许可证和服务条款。作者不对因使用此工具造成的任何误用或损害负责。 [!NOTE] 与其他反编译器一样,此工具面向专业用户。您应对 Python 字节码有基本的了解。如果不是,您可能需要向了解的人寻求帮助。 [!WARNING] 反汇编结果是准确的,但反编译的代码可能不完整或不正确。 参见 issue #3 特性 静态分析 您无需执行加密的脚本。我们使用与 pyarmor_runtime 相同的算法来解密它们。这在脚本不...
【软件】dirsearch使用方法
最常用 python dirsearch.py -e php,txt,zip -u https://target //简单的查看网址目录和文件python3 dirsearch.py -e php,txt,zip -u https://target -w db/dicc.txt //使用文件拓展名为php,txt,zip的字典扫描目标url payload 普通扫描 dirsearch -u http://example.com- 启用递归扫描```cmddirsearch -u http://example.com -r -t 25 排除特定状态码 dirsearch -u http://example.com -x 301 指定状态码 dirsearch -u http://example.com -i 200 使用自定义字典 dirsearch -u http://example.com -w custom_dict.txt 设置代理 dirsearch -u http://example.com --proxy http://...