【笔记】电子取证常识笔记
赛前准备 思路拓展 bitlocker window cmd管理员 window 自带计算哈希 win+R 输入 recent 进入最近访问的文件 VMware Tools 传输缓存目录 后缀 微信 记录数据库 手机 真实的IMEI是15位 手机的型号——搜Model 手机SIM卡序号——搜SimSerialNumber 安卓 版本号Build Number IOS 电脑 共用 mac 图片 通用唯一标识符UUID/GUID 苹果实况照片 后置摄像镜头拍摄 数据库中文件类型判断 火眼 Apple ID 电话卡集成电路卡标识符ICCID/手机网络运营商公司的名称 微信账号 搜索 应用安装时间 软件技巧 vscode 格式化json Xways 右键属性 特殊属性 SSID 已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量 已删除文件的第一个运行的十六进制值(低端字节序 Little-Endian) 已删除文件的第一个运行偏移量(Run Offset) 已删除的文件的第一个运...
【笔记】解决GitHub开启2FA双重身份验证
参考 最后解决方案
【笔记】linux命令
取证注意事项 优先只读访问:对磁盘镜像或分区使用只读挂载(示例见“磁盘与镜像”) 保持时间一致:设置统一时区和本地化避免输出差异,例如 TZ=UTC LC_ALL=C 先校验后操作:所有采集文件和镜像务必做哈希校验保存(见“哈希与完整性”) 常用命令:【kali】进入退出root命令 设置root密码: sudo passwd root 进入root: su root 退出root: su 用户名 文件与元数据 pwd 作用:明确当前工作目录,记录操作上下文 示例:pwd ls 作用:浏览目录与隐藏文件,关注时间戳、权限、所有者 示例:ls -al --time-style=full-iso stat 作用:查看文件详细时间戳(atime/mtime/ctime/birth)、权限、大小 示例:stat -c '%n %s bytes | atime:%x mtime:%y ctime:%z' /path/to/file file 作用:识别文件类型与魔术字,用于发现伪装扩展名或嵌套数据 示例:file suspicious.bin ...
【比赛】SPC新生赛即美亚杯选拔赛
致谢 感谢cty学姐和dh学长的帮助!!感谢xc和sq学长的wp!! 拿到了蛮好的成绩嘿嘿嘿开心,但也要认真复盘ヽ( ω ゞ ) 题目来源:某省刑侦个⼈ 手机取证 6.【填空题】分析嫌疑人的手机,应用“备忘录记事”中记录了多少年龄小于30岁的人员信息?(答案格式:123) 正确答案: 4 分值:1分 火眼 耗时任务 其他应用 这题没用 火眼-文件-直接找包名sql文件 注意有两页哦 X-ways 方法同火眼 注意文件打开按钮按下面那个 编码调整 8.【单选题】分析嫌疑人的手机,嫌疑人使用文档扫描软件扫描的文件内容是什么?( ) A. 提成分红记录 B. 诈骗业绩指标 C. 伪装身份话术 D. 人员名单 【正确答案】C. 伪装身份话术 分值:1分 火眼-文件-直接找包名文件夹内-temp图片 X-way同 9.【填空题】分析嫌疑人的手机,嫌疑人使用的名称为“薄荷记账”的记账软件共记录了多少笔交易?(答案格式:123) 正确答案: 13 分值:1分 X-ways 递归操作:一般在操作栏左侧选中你需要的文件右键,就把树状结构拍成一个平面...
【软件】PyArmor-Unpacker使用教程
Readme.md文件翻译 Pyarmor 是一款流行的 Python 源代码保护工具。它将 Python 脚本转换为二进制数据,这些数据可以看作是 pyc 文件的加密变体。它们可以通过一个共享库(pyarmor_runtime)解密,然后由 Python 解释器执行。 本项目旨在将受保护的(armored)数据转换回字节码汇编,并(实验性地)转换回源代码。我们复刻了优秀的 Decompyle++(又名 pycdc),并在其基础上添加了一些处理流程,例如修改抽象语法树。 [!IMPORTANT] 此工具仅应用于您拥有或已获授权分析的脚本。请尊重软件许可证和服务条款。作者不对因使用此工具造成的任何误用或损害负责。 [!NOTE] 与其他反编译器一样,此工具面向专业用户。您应对 Python 字节码有基本的了解。如果不是,您可能需要向了解的人寻求帮助。 [!WARNING] 反汇编结果是准确的,但反编译的代码可能不完整或不正确。 参见 issue #3 特性 静态分析 您无需执行加密的脚本。我们使用与 pyarmor_runtime 相同的算法来解密它们。这在脚本不...
【软件】dirsearch使用方法
最常用 python3 dirsearch.py -e php,txt,zip -u https://target //简单的查看网址目录和文件python3 dirsearch.py -e php,txt,zip -u https://target -w db/dicc.txt //使用文件拓展名为php,txt,zip的字典扫描目标url payload 普通扫描 dirsearch -u http://example.com- 启用递归扫描```cmddirsearch -u http://example.com -r -t 25 排除特定状态码 dirsearch -u http://example.com -x 301 指定状态码 dirsearch -u http://example.com -i 200 使用自定义字典 dirsearch -u http://example.com -w custom_dict.txt 设置代理 dirsearch -u http://example.com --proxy http:/...
【笔记】http状态码
状态码 英文名称 中文描述 100 Continue 继续。客户端应继续其请求 101 Switching Protocols 切换协议。服务器根据客户端的请求切换协议,只能切换到更高级的协议 200 OK 请求成功。一般用于 GET 与 POST 请求 201 Created 已创建。成功请求并创建了新的资源 202 Accepted 已接受。已经接受请求,但未处理完成 203 Non-Authoritative Info 非授权信息。请求成功,但返回的 meta 信息不在原始服务器,而是一个副本 204 No Content 无内容。服务器成功处理,但未返回内容 205 Reset Content 重置内容。服务器处理成功,用户终端应重置文档视图 206 Partial Content 部分内容。服务器成功处理了部分 GET 请求 300 Multiple Choices 多种选择。请求的资源可包括多个位置 301 Moved Permanently 永久移动。请求的资源已被永久移动到新 URI 302 Found 临...
【比赛】2024美亚杯个人资格赛wp
致谢 感谢dh,sq,zxx学长,ctj学姐的大力帮助 累死了ㅍ_ㅍ感觉一直在干 题目: 1. [单选题] Emma已经几天没有收到她姐姐Clara的消息了,报警失踪,她焦虑地将手机提交给警察,希望能找到线索。警察将手机交给你进行电子数据取证。你成功提取了Emma手机的镜像。请根据取证结果回答以下问题。根据Emma_Mobile.zip,Emma和Clara的微信聊天记录,Emma最后到警署报案并拍摄写有报案编号的卡片,拍摄时的经纬值是多少?(2分) A. 22.451721666667, 114.171853333333 B. 22.451553333333, 114.172845 C. 22.451928333333, 114.170503333333 D. 22.451638333333, 114.16993 图片信息之经纬度 exiftool:图片拖到exe文件上打开,此题信息没藏里面 ExifTool Version Number : 13.39File Name : 314.pic......
【刷题】ctfshow-web合集wp
web入门 信息搜集 web1 使用浏览器自带的审计功能F12可以查看网站源代码. 前端的HTML(超文本标记语言)中,如果想要添加注释,需要使用 注释标签。该标签用来在源文档中插入注释,注释不会在浏览器中显示。 在URL前可以通过添加 view-source:URL 实现绕过前端限制显示网页源码. web2 JavaScript实现禁用代码审计 js前台拦截完全就是无效操作 因为js前台拦截可以有三种方法获取 禁用js: 直接ctrl+u 抓包 直接在url前边加view-source: web3 自带工具直接抓包 web4 提示了robot题型 web5 phps源码泄露 PHPS 文件是 PHP 源代码文件,通常用于通过 Web 浏览器直接查看 PHP 代码内容。然而,这种文件可能导致源码泄露,带来安全隐患。 法一:使用工具:dirsearch http状态码 法二: php语言编写网站的主页文件是index.php web6 题目 解压源码到当前目录,测试正常,收工 考察代码泄露。直接访问url/ww...