【比赛】2025美亚个人复盘
致谢
- 感谢sq学长的wp
资料
- VC密码:
个人赛:FEYn0MJLYy9zTQRFHlXGRkVqXv3IkE8h
团体赛:ZgxQaeiAUe3nrnZ9zEnI3nAxuPIrIPl9
学习西电
- (怎么这么厉害我嘞个豆)(存档下)
- 来源:https://forensics.xidian.edu.cn/wiki/MeiyaCup2025Individual/
- 在检材中的 /var 目录中存储着 Info.plist Manifest.plist Manifest.db Status.plist 和文件扩展名添加了 _DEC 的 4 个文件:
- 文件名包含 _DEC 的是提取工具生成的解密后的文件, 因此使用这些解密后的文件覆盖原始加密的文件, 并使用 Plist Editor 将 Manifest.plist 中将备份是否加密的标志改为 false 即可得到未加密的检材文件.
- 之后即可将该目录作为文件集合挂载在火眼取证中进行分析了.
- 或者, 也可以不对文件进行覆盖, 而是只删除 Manifest.db 并对 Menifest.plist 中的加密标志进行修改, 也可以达到相同的效果.
- 若直接删除 Menifest.db 和 Menifest.plist, 也可以挂载检材, 但会缺失部分信息.
陈民浩的手机(ioS)
1. 请你使用CHAN_MH.zip检材回答以下问题这个智能手机是什么操作系统?
- 脑子瓦特了
2. 在这个手机中,有多少组国际移动设备识别码(IMEI)号码? (请以阿拉伯数字作答)
- 搜InternationalMobileEquipmentIdentity
- 以后不止搜imei还要搜全名试试
6. 蓝牙模组中的蓝牙地址是多少?(请以下格式作答:xx:xx:xx:xx:xx:xx)
- 同2文件
7. 这个智能手机曾经启动「个人热点」分享网络,请问他的「热点」名称?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
- 对于iOS来说是不支持本身改热点名的,热点名就是和设备名保持一致,所以我们只要找设备名就好
- 不到啊
9. 请指出首次连接服务集识别码(SSID)名称为" CMHK"的无线区域网络(Wi-Fi)的日期及时间(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
- 美亚自己没答案。。。
10. 安装了以下即时哪个通讯软件?i) WhatsAppii) WeChatiii) WhatsApp Businessiv) QQ
- 还是得火眼应用列表,别Xways搜出来就随便信了(或者搜包名?
- QQ没有哦
11. 承上题,请指出即时通讯软件"WhatsApp"的版本(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
- 去配置文件看:var\mobile\Applications\group.net.whatsapp.WhatsApp.shared\Library\Preferences\
13. 承上题,与其有传送/接收过资料装置的装置ID是多少? (请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
- 上一题已经确定了是包名为com.estmob.paprika的软件,这种线下从来没遇到过的小众软件只能翻在Library文件夹下,我们能发现存在一个realm的数据库文件
14. 承上题,这个装置名称是?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
15. 承上题,本机装置的装置ID是多少?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
- 本机ID就是这个手机的设备ID,看这个软件里边的属性表plist文件
- 谁知道。。
- 没事我现在知道了(坚强)
16. 承上题,陈民浩的手机(CHAN_MH_mobile.zip)是传送方或是接收方?
A. 传送方
B. 接收方
C. 传送及接收方
17. 根据传送档案的名称,判断是以下哪一类型? (单选)
A. 屏幕截图
B. 手机拍摄影片
C. PDF文件
D. zip压缩文件
18. 承上题,接收至哪一个装置?
A. CHAN_MH_mobile.zip
B. blk0_sda.bin
C. FUNG_CC_mobile.zip
D. LAM_KH_Mobile.zip
E. WONG_CW_mobile.zip
19.承上题,传送方是通过此文档传输软件的哪个模式作出传送?
A. SEND_PARTIALLY
B. SEND_PAPRIKA
C. SEND_DIRECTLY
D. SEND_BYCLOUD
E. SEND_BLUETOOTH
- 只知道接收方暂时,去找上题答案对象的软件文件
23. 有多少个图片文件曾经储存到iCloud?(请以阿拉伯数字作答)
- 学习sq学长wp
- 火眼直接看看不见iCloud
- 我们必须定位到文件位置
- 在\var\mobile\Library\Mobile Documents\com~apple~CloudDocs这边
- 打开后发现有两张图片文件
- 本题为2
冯子超的手机FUNG_CC_mobile.zip
26. 这部智能手机曾经连接过以下哪个无线网络
i) THREE_WIFI
ii) wanchai
iii)iPhone(2)
iv) Router
A. 只有 i)
B. 只有 ii) 和 iii)
C. 只有 ii), iii) 和 iv)
D. 以上皆是
来源:西电
证据来源是 /var/preferences/SystemConfiguration/com.apple.wifi-private-mac-networks.plist, 该文件中保存了 2 个使用了 iOS 的隐私 WiFi MAC 地址功能的 Wi-Fi 信息, 功能介绍参考Use private Wi-Fi addresses on Apple devices
27. 这部手提手机最早连接(非热点)Wi-Fi的时间是什么?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
来源:sq wp
非热点WiFi,这边iPhone明显像热点,所以我们要找的其实是wanchai
需要定位系统存储wifi信息的备份内容
在\var\preferences\SystemConfiguration里边找一下
- 其实就是上题西电找的文件
- 试试看直接搜呢
- 可以呢更方便如果万一不记得放哪里了
- 欸源文件也有呀眼瞎咯
- 要注意Z后缀哦!!!GMT +8时区
- 2025-04-15 19:29:23
来源:西电
- ISO 8601 标准时间表示
- 在 ISO 8601 中规定了 2 种标准的时间表示方式:
- 形如 1970-01-01T00:00:00.000Z: 该时间为 UTC 时间.
- 形如 1970-01-01T00:00:00.000+00:00: 该时间格式包含时区信息, 时区前的时间为该时区的当地时间
28. 承上题,请列出这个连接的服务集识别码(SSID)?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
- SSID就是这个WiFi的名字。。。
- wanchai
29. 承上题,请列出这个连接的登入金钥?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
30.相册中有两张图像互换格式图片(gif)「IMG_0057.GIF」及「IMG_0062.GIF」,请指出由哪一个软件拍摄?
A. Infltr
B. Discreet
C. Meitu
D. Prisma
来源:西电引用github项目
- 好厉害的东西,存档下,感觉要很了解字段名才能用
- Photos.Sqlite 数据库可以通过以下文件路径找到:
- iOS:/private/var/mobile/media/PhotoData/Photos.Sqlite
- Mac OS:/Users/
/Pictures/PhotosLibrary.photoslibrary/database/Photos.sqlite
31.曾经以空投(AirDrop)方式成功传送了文件到另外一个装置,以下哪一个陈述是正确的?
A. 传送了一个图片文件
B. 传送了两个图片文件
C. 传送了一个图片文件及一个文件
D. 传送了一个图片文件及两个文件
- 在iPhone上,其实有一个存储用户人际互动数据的关键数据库文件var\mobile\Library\CoreDuet\People
西电
com.apple.sharingd
com.apple.mobilesildeshow
com.apple.documentsapp
- 这些包名从上到下分别是: AirDrop 前端、AirDrop 后端、照片、文档
- 搜索找到上个引用的文档
32. 原生APP「相片」中,有一个图片文件曾经通过空投"AirDrop"方式成功传送,请指出这个图片文件的文件全名(请包含扩展名,依照参赛材料中的原文作答,注意区分大小写、空格及符号)
33. 承上题,请写出这个图片文件的开始传送的日期及时间?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
34. 请指出哪一个多媒体文件同时储存在APP「文件」(套件识别码: com.apple.DocumentsApp)及APP「照片」(套件识别码: com.apple.mobileslideshow)中?(请包含扩展名,依照参赛材料中的原文作答,注意区分大小写、空格及符号)
- 。。。怎么找啊!?
- 呜呜呜好吧记小本本学习
- “文件” APP 的存储目录是 /var/mobile/Applications/group.com.apple.FileProvider.LocalStorage/File Provider Storage/
- “照片” APP 的存储目录是 /var/mobile/Media/DCIM/100APPLE/
- 可以看到 2 个同名文件存在于这两个目录中, 分别是 IMG_0008.HEIC 和 IMG_0010.MOV. 将这些文件导出并计算哈希, 发现两个目录中的 IMG_0008.HEIC 并不相同, 而 IMG_0010.MOV 是完全相同的
35. 请指出在 APP "照片"中的图片文件"IMG_0079.JPG"是由哪一个 APP 拍摄
36. 承上题,已知该图片文件是由上述APP所拍摄,并其后储存在APP「照片」(套件识别码: com.apple.mobileslideshow)成「IMG_0079.JPG」,请问该图片的原文件名称? (请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
- 直接搜APP名字
37. 承上题,请指出原文件的建立时间?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
38. 请指出在APP「照片」(套件识别码: com.apple.mobileslideshow)中,储存多媒体文件「IMG_0014.MOV」与储存「IMG_0016.MOV」之间有没有其他多媒体文件储存到APP「照片」中?
A. 有
B. 没有
C. 有拍摄,但没有储存
D. 无法确认
39. 承上题,以下哪个陈述是正确描述上一题的答案?
A. 制作多媒体文件「IMG_0015.MOV」时,直接储存到隐藏相册中
B. 制作作多媒体文件「IMG_0015.MOV」时,直接上传到iCloud
C. 制作多媒体文件「IMG_0014.MOV」时用了缩时摄影
D. 制作多媒体文件「IMG_0015.MOV」时名称被更改为「IMG_0016.MOV」
- 第一次遇到延时摄影的题目
40. APP「照片」(套件识别码: com.apple.mobileslideshow)中,「IMG_0027.HEIC」的原地理位置信息(WGS84)是?
A. (22.2816569, 114.1756115)
B. (22.2826366666667, 114.168503333333)
C. (22.2826216666667, 114.168525)
D. (22.2826216666667, 114.168503333333)
- ???居然是假的
41. 曾经通过网络浏览器「Safari」下载了多少个图片文件?
- 火眼,2
42. 多媒体文件"IMG_0004.MOV"曾被修改后再储存成另一个文件, 该文件名称是?
A. IMG_0085.mov
B. IMG_0086.mov
C. IMG_0087.mov
D. IMG_0088.mov
43. 曾经通过人工智能聊天APP "POE"查询一个问题,请列出这个问题的完整句子?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
- 硬翻啊。。。
{ |
44. 承上题,请指出提问的日期及时间(答题格式: yyyy-MM-dd HH:mm:ss 作答, GMT+8)
"creationTime": 1744782606792741,
45. 承上题,当时使用的是哪一个机器人?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 落殷回的博客!
- 微信
- 支付宝
相关推荐
2025-10-06
【刷题】SPC新生讲座题目wp
鸣谢 感谢sq,xc学长和cty学姐的帮助和教导!!! 除了大头像放后面做其他也是完结了,第一次wp磕磕绊绊做出来了嘻嘻 曼波曼波曼波 倒转的base,翻转脚本: # 读取 txt 文件并翻转内容def reverse_txt_file(input_path, output_path): try: with open(input_path, 'r', encoding='utf-8') as file: content = file.read() reversed_content = content[::-1] with open(output_path, 'w', encoding='utf-8') as file: file.write(reversed_content) print(f"成功!原文件: {inpu...
2025-10-20
【刷题】ctfshow-web合集wp
web入门 信息搜集 web1 使用浏览器自带的审计功能F12可以查看网站源代码. 前端的HTML(超文本标记语言)中,如果想要添加注释,需要使用 注释标签。该标签用来在源文档中插入注释,注释不会在浏览器中显示。 在URL前可以通过添加 view-source:URL 实现绕过前端限制显示网页源码. web2 JavaScript实现禁用代码审计 js前台拦截完全就是无效操作 因为js前台拦截可以有三种方法获取 禁用js: 直接ctrl+u 抓包 直接在url前边加view-source: web3 自带工具直接抓包 web4 提示了robot题型 web5 phps源码泄露 PHPS 文件是 PHP 源代码文件,通常用于通过 Web 浏览器直接查看 PHP 代码内容。然而,这种文件可能导致源码泄露,带来安全隐患。 法一:使用工具:dirsearch http状态码 法二: php语言编写网站的主页文件是index.php web6 题目 解压源码到当前目录,测试正常,收工 考察代码泄露。直接访问url/ww...
2025-10-15
【刷题】ctfshow-pwn合集wp
致谢 感谢sq学长、My6n、Ambb1、Claire_cat的笔记 感谢sq学长的帮助 pwn入门 Test_your_nc pwn0【待】 通过打开容器后获得命令,在finalshell通过手动输入信息成功ssh连上 注意:虚拟机开启NAT模式才能连上,更改模式后重启才生效 pwd指令查看当前目录 ls发现当前目录下没东西 cd /回到上一级目录 ls发现当前目录下有文件ctfshow_flag cat ctfshow_flag得到 flag pwn1 chmod 777 pwn给附件加权限 checksec pwn查看附件信息,64 位 wp要ida看但其实试运行一遍还有题目都提示nc链接,容器给的命令直接复制黏贴就好了 pwn2 加权限-查信息-运行-nc连接-shell输入代码 system(bin/sh)就是给shell?? pwn4 反编译程序理解-shell获得 前置基础 pwn5 题目: 运行此文件,将得到的字符串以ctfshow{xxxxx}提交。 如:运行文件后 输出的内容为 Hello_World 提交的...
2026-01-13
【比赛】2026-furryCTF
持续更新中...
2025-10-23
【比赛】SPC新生赛即美亚杯选拔赛
致谢 感谢cty学姐和dh学长的帮助!!感谢xc和sq学长的wp!! 拿到了蛮好的成绩嘿嘿嘿开心,但也要认真复盘ヽ( ω ゞ ) 题目来源:某省刑侦个⼈ 手机取证 6.【填空题】分析嫌疑人的手机,应用“备忘录记事”中记录了多少年龄小于30岁的人员信息?(答案格式:123) 正确答案: 4 分值:1分 火眼 耗时任务 其他应用 这题没用 火眼-文件-直接找包名sql文件 注意有两页哦 X-ways 方法同火眼 注意文件打开按钮按下面那个 编码调整 8.【单选题】分析嫌疑人的手机,嫌疑人使用文档扫描软件扫描的文件内容是什么?( ) A. 提成分红记录 B. 诈骗业绩指标 C. 伪装身份话术 D. 人员名单 【正确答案】C. 伪装身份话术 分值:1分 火眼-文件-直接找包名文件夹内-temp图片 X-way同 9.【填空题】分析嫌疑人的手机,嫌疑人使用的名称为“薄荷记账”的记账软件共记录了多少笔交易?(答案格式:123) 正确答案: 13 分值:1分 X-ways 递归操作:一般在操作栏左侧选中你需要的文件右键,就把树状结构拍成一个平面...
2025-10-01
【比赛】第三届长安杯笔记
鸣谢 感谢sq学长和cty学姐的帮助和教导!!! 第一个大型比赛复刻学习结束了,好累(。し_し。)但是继续出发(≧▽≦)哈哈哈 2021年4月25日,上午8点左右,警方接到被害人金某报案,声称自己被敲诈数万元;经询问,昨日金某被嫌疑人诱导裸聊,下载了某“裸聊”软件,导致自己的通讯录和裸聊视频被嫌疑人获取,对其进行敲诈,最终金某不堪重负,选择了报警;警方从金某提供的本人手机中,定向采集到了该“裸聊”软件的安装包–zhibo.apk(检材一),请各位回答下列问题:(题目中需要通过分析出来的答案对检材二三四五解压,解压密码为IP的情况,需要在密码后增加-CAB2021,例:192.168.100.100-CAB2021) 1. 请计算检材一Apk的SHA256值: 1)直接将apk拖入hashcal计算 2)雷电APP智能分析直接出,但注意SHA256的主体是检材 3)window自带工具:certutil -hashfile 检材一-zhibo.apk sha256 2. 该APK的应用包名为 1)使用jadx反编译,查看AndroidManifest.xml,pack...
评论