2026盘古石杯(手机、计算机)
前言
这次比赛是大一下学期最后一个重要的取证比赛,也是继FIC之后的第二个国家比赛,感觉每次打都有进步吧,这段时间也是一直在学,不过很多是ai神力的,还得继续努力。然后第一次打有分数衰减的取证比赛,真是梦回ctf,还是有些慌张的,这次比赛的检材和题量真的大,一开始都搞混检材了。总的来说计算机做的效果挺理想的,apk也拿了大半分数,只可惜手机没做好,所以好好复盘了一下。队友也使相当给力,加油鸭!
题目
检材密码:VeZeTANHVkklvVljLnpOYeBwCJFYD5tFpf67f5kNuqP1G5jj
手机取证
1.分析黄志远phone.E01检材,黄志远手机总共安装了多少款短视频应用?
打开apk列表,分析可知有4个短视频应用(抖音、快手、快手极速版、抖音极速版)(bilibili不是短视频应用)
1 | 4 |
2.分析黄志远phone.E01检材,黄志远手机安装的龙虾应用的包名是什么?
还是分析apk列表,找到
所以是gptos.intelligence.assistant
1 | gptos.intelligence.assistant |
3.接上题,首次打开应用的时间是?
这种题目的答案就可以在data文件系统重找,在里面找到gptos.intelligence.assistant文件夹,既然是找打开时间,我们可以查看shared_prefs文件夹
查看xml文件,可以看见
转化后得到2026-04-17-11:53:18
1 | 2026-04-17-11:53:18 |
4.分析黄志远phone.E01检材,黄志远使用此应用攻击过多少台主机?
服了,找不到信息,所以答案是0
1 | 0 |
5.分析黄志远phone.E01检材,黄志远使用哪款应用控制了其PC的agent工具?
这道题目比赛的时候被ai误导了,意味是termux,导致后面都没做出来,诶,手机取证还是得自己好好做的,在discord包的文件系统中可以找到类似的数据,推测是discord应用
1 | discord |
6.分析黄志远phone.E01检材,黄志远使用这款应用的版本是多少?
依旧查看shared_prefs文件夹,在BundleUpdater.xml中找到
1 | 311.2 |
7.分析黄志远phone.E01检材,接上题,登录的用户名是什么?
1 | test901234 |
8.分析黄志远phone.E01检材,该应用与pc端agent的配对码是什么?
没招了,看wp说是在files\kv-storage@account.1457974771206852664\a-wal中,在私聊消息中可见 Here’s your pairing code: HNZ6UFW6(.wal文件是最新的就还没被写入数据库的文件,也就是还没转化成sql文件的文件).
诶,不对,火眼显示这里的第一个文件是db文件
所以把他导出来,改后缀用db browser打开,可以发现就是转换好后的数据库,在massage0中可以找到
但是这个是混淆答案,正确的答案是另一条消息
可能是因为这是最新的一条吧
1 | 3EXEQ5R8 |
9.分析黄志远phone.E01检材,该应用共对几个ip进行扫描?
在聊天数据中可以看到只有一个
192.168.1.16
1 | 1 |
10.分析黄志远phone.E01检材,该应用总共调用了几个暴力破解工具?
只有hydra
1 | 1 |
11.分析黄志远phone.E01检材,黄志远使用其内部通联工具进行沟通,其账号的登陆密码是多少?
找到social_chat.db
显示是加密的,继续翻找找到密码s-dbw1776839203359Goo
用DB Browser for SQLCipher.exe导入解密成功
在user中找到相关信息
12.分析黄志远phone.E01检材,黄志远一共发送过几个文件给代号军师的嫌疑人?
在massage_fie中发现是两个文件
1 | 2 |
13.分析方俊朗phone.E01检材,方俊郎手机总共安装了多少款理财应用?
依旧分析应用列表,找到股参谋、京东金融、东方财富、股参谋共4款应用
1 | 4 |
14.分析方俊朗phone.E01检材,方俊朗使用筛选优质客户的应用包名是什么?
很明显是优质客户AI判定
1 | com.example.predictor |
计算机取证
bitlocker秘钥:560615-577522-342881-216865-242561-312356-584837-421597
1.分析刘洋liuyang_pc.E01检材,提取磁盘镜像SHA1值的前6位?
1 | 5BC418 |
2.分析刘洋liuyang_pc.E01检材,计算机系统Build版本为?
1 | 26100 |
3.分析刘洋liuyang_pc.E01检材,计算机最后一次正常关机的时间为?(UTC +0)
注意这是UTF8时间,要转换成UTF0,怪不得之前经常错
1 | 2026-04-20 16:25:35 |
4.分析刘洋liuyang_pc.E01检材,计算机网卡的MAC地址为?
1 | 00-50-56-30-26-1C |
5.分析刘洋liuyang_pc.E01检材,分析机主是从哪里下载的typora[答案格式:阿里云] ?
在谷歌的历史记录中找到
1 | 蓝奏云 |
6.分析刘洋liuyang_pc.E01检材,刘洋在2026-04-19 13:46:01(UTC +0)曾访问过百度云盘,请给云盘的打开密码?
首先把时间转化为UTF+8:2026-04-19 21:46:01 直接火眼搜索得到答案
1 | 48gy |
7.分析刘洋liuyang_pc.E01检材,请给出刘洋管理pve集群所用的端口号?
直接搜索
1 | 8006 |
8.分析刘洋liuyang_pc.E01检材,请给出刘洋登录理财网站所使用的密码?
应该是这个
从后面的分析可知重要信息经过了1Password8.exe的加密,找到rar文件,解密后得到
1 | admin123 |
9.分析刘洋liuyang_pc.E01检材,请给出理财网站的IP地址?
查看C:\Windows\System32\drivers\etc\hosts,找到
1 | 192.168.0.70 |
10.分析刘洋liuyang_pc.E01检材,请给出计算机内Bitlocker加密分区恢复密钥的前6位?
用efdd就可以恢复出来
1 | 560615 |
11.分析刘洋liuyang_pc.E01检材,找出VC加密容器的密钥文件,给出该密钥文件的绝对路径?
在加解密后的D盘的baidu中,有个无标题png,修改宽高后得到
1 | D:\BaiduNetdiskDownload\无标题.png |
12.接上题,该VC加密容器的密钥文件的图像高度是多少像素?
修改完宽高后直接exiftool
1 | 1080 |
13.分析刘洋liuyang_pc.E01检材,请给出团队重要信息加密保存的软件名?
会发现一个1password.rar文件,打开后发现
1 | 1password |
14.分析刘洋liuyang_pc.E01检材,该软件的保险库文件名为什么?
随便翻一下就找到了
1 | liuyang.opvault |
15.分析刘洋liuyang_pc.E01检材,该软件的保险库文件打开密码是什么?
前面的rar已经有了提示,用ai跑一下就可以跑出来
1 | liuyang@6419 |
16.分析刘洋liuyang_pc.E01检材,请给出用户刘洋的开机密码?
得到密码后就可以解密保险库中的js文件中的加密信息了,还是给ai,得到密码
1 | 6yang@2o26 |
17.分析刘洋liuyang_pc.E01检材,请给出pve服务器的管理密码?
同理
1 | pgscup2o@6 |
18.分析刘洋liuyang_pc.E01检材,找出计算机内的脚本加密工具,给出该加密工具的SHA1的前6位?
用火眼的特征分析可以定位到VC容器是和无标题.png同目录的那个3GB的exe文件,用修改宽高后的图片作为密钥文件,再usePIM输入2026(这是在1password中可以得到),就可以挂载了,找到加密工具
加密工具就是encrypt_tool.py
算哈希
1 | 7860dc |
19.分析刘洋liuyang_pc.E01检材,该脚本加密工具在进行脚本加密时,最后一层是进行什么操作?
打开py文件后里面开头就写了
不确定的话可以看代码验证一下
1 | 十六进制转换 |
20.分析刘洋liuyang_pc.E01检材,请解密database.php.obf,给出该文件内的数据库密码?
之前的保险库中有
1 | pgscup@o26 |
21.分析刘洋liuyang_pc.E01检材,找出刘洋计算机内的交易信息.rar,给出该文件的打开密码?
之前的保险库中有提示pgscup@4位数字,爆破后得到密码
1 | pgscup@9541 |
22.分析刘洋liuyang_pc.E01检材,找出刘洋计算机内刘桂荣的身份证号码?
分析容器里的加密工具再逆向解密就能解密jinqin_backup.sql.gz.enc,得到可能的身份证号码
1 | 420100194707075594 |
后面的计算机题目就不做了,内存和渗透.rar文件用ai全梭完了。