前言
比赛的时候时间不对,打一会干一会,导致比赛时候思路都跟不上,赛后简单复现一下,希望大家批批一下
计算机取证
1、分析贾韦码计算机检材,计算机系统Build版本为?【标准格式:19000】
18362
2、计算机最后一次正常关机的时间为?UTC +0【标准格式:2025-05-06 09:00:00】
2025-04-18 03:20:54
3、计算机网卡的MAC地址为? [答案格式:00-0B-00-A0-00-00]
00-0C-29-0F-69-00
4、计算机用户“贾韦码” 安全标识符SID为?【标准格式:S-X-X-X-X-X-X-X】
4、计算机默认浏览器为?【标准格式:Mozilla Firefox】
Google Chrome
解法一:
仿真上去直接看
解法二:
弘连取证分析
5、计算机默认浏览器版本为?【标准格式:000.0.0000.00】
135.0.7049.96
6、机主通过浏览器搜索国外社交软件为?【标准格式:Whatsapp】
Telegram
**7、机主的邮箱账号为?【标准格式:pgscup@pgs.com】 **
tqmdavidjohnson300@gmail.com
最好是结合仿真后计算机进行分析,有可能出错的
8、计算机装过一款反取证软件为?【标准格式:EnCrypt.exe】
VeraCrypt.exe
9、计算机通过Xshell远程连接的ip地址为?【标准格式:127.0.0.1】
192.168.56.129
10、机主曾买过一个美国的TG账号,请给该账号的原两步验证密码?【标准格式:8位数字】
13770603
11、给出其电脑内加密容器的解密密码?【标准格式:Abc@123】
Pgs8521d3j
开头的VR容器中有提示的
Pgs+4位数字+d3j
我爆破一个小时
12、给出其电脑内加密容器挂载的盘符?【标准格式:C】
F
最近打开的项目中看
14、给出其电脑内存放了多少张伪造身份证? [答案格式:10]
1023
解密后查看
15、给出任敏的身份证编号? [答案格式:18位]
430529195112085460
别傻傻去翻看图片啦,除非你解不开密码,就用火眼看,可以等orc识别出来,也可能是不对的,如果我是出题人就应该在这里给个坑,二选一。
弘连文字识别
16、找出其电脑内存放的密钥文件,计算MD5? [答案格式:字母小写]
1022cc083a4a5a9e2036065e2822c48e
文件名字算是提示可疑,第三届pgs嘛,但是找不到这个文件的,恢复也出不来
3pgscup.rar,一直没有思路,只能是用笨办法,搜索RAR文件头,看看可以看到啥
导出解压
17、找出其电脑内存放的密钥文件,解密此密钥文件,给出其内容? [答案格式:第3届pgscup]
zfs加密pool密钥文件
打开文件
emZz5Yqg5a+GcG9vbOWvhumSpeaWh+S7tg==
18、对macOS系统进行分析,登陆的电子邮件服务是谁提供的? [答案格式:pgscup]
Outlook
电脑密码:N0tep@d++
以前称为 Hotmail
应该不写以前的
19、系统备忘录的包名是什么? [答案格式:com.dfefef.note]
com.apple.Notes
20、图片中隐藏的内容是什么? [答案格式:隐藏内容 刷子戏子痞子]
位移加密 正向位移操作
21、被加密文件的扩展名是什么? [答案格式:123]
.enc
22、被加密的文件总共有几个? [答案格式:5]
1
就是贾韦码资料.rar.enc
23、贾韦码家使用的智能门锁品牌型号是什么? [答案格式:小米XX号]
金刚Ⅲ号
这个就应该是要写解密脚本了,
导出文件加密器缺失模块
出现“无法解析导入‘encrypt_deobfuscated’”的原因是:
Python 在当前目录或环境变量路径下找不到 encrypt_deobfuscated.py 文件。
简明解决方法:
-
确认文件存在
请确保encrypt_deobfuscated.py文件位于c:\Users\Administrator\Desktop\文件加密器.app\Contents\Resources\目录下(和
gui_wrapper.py在同一目录)。 -
检查文件名
文件名必须是encrypt_deobfuscated.py,不能有拼写错误,也不能是.pyc或其他后缀。 -
如果只有 .pyc 文件
如果只有encrypt_deobfuscated.pyc,建议获取.py源码文件,否则 Python 可能无法直接导入。 -
如果是文件夹
如果encrypt_deobfuscated是一个文件夹,确保里面有__init__.py文件,并且相关代码在里面。
在这个压缩包中有
