2023年全国网络安全行业职业技能大赛 电子数据取证分析师-初赛B卷(14日)-Writeup

落寞的魚丶2026-01-09 11:19

2023年全国网络安全行业职业技能大赛 电子数据取证分析师-初赛B卷(14日)-Writeup

  • 第一部分:电子数据提取与固定(30%)
      • [任务 1:检材 1.tar 上的任务](#任务 1:检材 1.tar 上的任务)
        • [1.提取手机机主的wifi 配置文件,并以此文件名作为 flag 提交。(全小写)(3 分)](#1.提取手机机主的wifi 配置文件,并以此文件名作为 flag 提交。(全小写)(3 分))
        • [2.提取手机机主出差时连接过的酒店 wifi,并以此 wifi 名称作为 fag 提交。(全小写)(3 分)](#2.提取手机机主出差时连接过的酒店 wifi,并以此 wifi 名称作为 fag 提交。(全小写)(3 分))
        • [3.提取手机机主在 2022-03-28 11:55:19 修改过的文件,并以此文件的 MD5 值作为 flag提交。(7分)](#3.提取手机机主在 2022-03-28 11:55:19 修改过的文件,并以此文件的 MD5 值作为 flag提交。(7分))
        • [4.提取手机机主在 2022-02-09 11:31:19 访问过的网页历史,并以此网页标题作为 fag 提交。(7分)](#4.提取手机机主在 2022-02-09 11:31:19 访问过的网页历史,并以此网页标题作为 fag 提交。(7分))
      • [任务 2:检材 2.e01 上的任务](#任务 2:检材 2.e01 上的任务)
        • [1.提取检材中 2014年11月 30 日,14:38:26 创建的文件,以该文件大小字节数作为 flag提交。(去除字节数中的逗号)(4 分)](#1.提取检材中 2014年11月 30 日,14:38:26 创建的文件,以该文件大小字节数作为 flag提交。(去除字节数中的逗号)(4 分))
        • [2.提取检材委托要求(旧).doc文件,还原实际文件类型,并以实际文件类型扩展名作为flag 提交。](#2.提取检材委托要求(旧).doc文件,还原实际文件类型,并以实际文件类型扩展名作为flag 提交。)
    • 第二部分:电子数据恢复(30%)
      • [任务 3:检材 3.e01 上的任务](#任务 3:检材 3.e01 上的任务)
        • [1.恢复房屋建筑和市政项目的招标文件夹下面的文件,计算文件总字节数大小,并以此作为 fag 提交。(去除字节数中的逗号)(13 分)](#1.恢复房屋建筑和市政项目的招标文件夹下面的文件,计算文件总字节数大小,并以此作为 fag 提交。(去除字节数中的逗号)(13 分))
        • [2.恢复浙江省重点建设工程文件,以文件第一页的工程内容作为 flag 提交。(11分)](#2.恢复浙江省重点建设工程文件,以文件第一页的工程内容作为 flag 提交。(11分))
        • [3. 恢复被以 xxx.txt(xxx为数字)为命名的文件,以删除的 txt 文件数量作为 flag 提交。(6分)](#3. 恢复被以 xxx.txt(xxx为数字)为命名的文件,以删除的 txt 文件数量作为 flag 提交。(6分))
    • 第三部分:电子数据分析(40%)
      • [任务 4:检材 2.e01 上的任务](#任务 4:检材 2.e01 上的任务)
        • [1.修复可能记录该员工违法行为的文件,以该文件创建内容的时间作为 flag 提交(格式样例:2022/12/812:59)。(3分)](#1.修复可能记录该员工违法行为的文件,以该文件创建内容的时间作为 flag 提交(格式样例:2022/12/812:59)。(3分))
        • [2.恢复被删除的文档,检査该文档是否含有"2012.3.12"内容,以该文件名作为 flag 提交(全小写)。(5 分)](#2.恢复被删除的文档,检査该文档是否含有“2012.3.12”内容,以该文件名作为 flag 提交(全小写)。(5 分))
        • [3.恢复被删除的文档,检査该文档是否含有"2011/3/13"内容,以该文件名作为 flag 提交(全小写)。(7分)](#3.恢复被删除的文档,检査该文档是否含有“2011/3/13”内容,以该文件名作为 flag 提交(全小写)。(7分))
        • [4.修复损坏的图片,提交图片中的银行卡号,以此作为 fag 提交(去除空格)。(7 分)](#4.修复损坏的图片,提交图片中的银行卡号,以此作为 fag 提交(去除空格)。(7 分))
      • [任务 5:检材 4.rar 上的任务](#任务 5:检材 4.rar 上的任务)
        • [1.分析检材,找出该手机最后登录的Apple lD,并以此作为 flag 提交。(全小写)(3 分)](#1.分析检材,找出该手机最后登录的Apple lD,并以此作为 flag 提交。(全小写)(3 分))
        • [2.分析检材,找出电话号码为18906004456的联系人,并以此作为 flag 提交。(5 分)](#2.分析检材,找出电话号码为18906004456的联系人,并以此作为 flag 提交。(5 分))
        • [3.分析检材,找出最后一次收到的验证码,并以此作为 flag 提交。(3 分)](#3.分析检材,找出最后一次收到的验证码,并以此作为 flag 提交。(3 分))
        • [4.分析检材,找出 2022年8月30日11:47:27访问的网站IP地址。(7 分)](#4.分析检材,找出 2022年8月30日11:47:27访问的网站IP地址。(7 分))
    • 需要环境可以私信博客,行业赛培训可以联系!

鱼影安全:

项目介绍:

简介:

电子数据取证分析师项目需要选手对各类电子数据的现场及在线提取固定,如不同的存储介质、智能终端、服务器及数据库、物联网和工程控制系统等,恢复基于物理修复或数据特征等的电子数据,并进行分析。项目旨在测评参赛选手在电子数据的提取、固定、恢复、分析等一系列理论知识和技术技能。

任务描述:

本项目需要运用不同的电子数据取证技术,任务有以下部分:

  1. 电子数据提取与固定
  2. 电子数据恢复
  3. 电子数据分析

第一部分:电子数据提取与固定(30%)

总体要求:根据提供的检材,完成指定电子数据提取

任务 1:检材 1.tar 上的任务

1.提取手机机主的wifi 配置文件,并以此文件名作为 flag 提交。(全小写)(3 分)

定位源文件,看到是备份文件读取的数据库,应该是数据库的名称吧。

2.提取手机机主出差时连接过的酒店 wifi,并以此 wifi 名称作为 fag 提交。(全小写)(3 分)

连接酒店房间 2208 号 而且地点是宿州(13 号的检材)换了问法


room-2208

3.提取手机机主在 2022-03-28 11:55:19 修改过的文件,并以此文件的 MD5 值作为 flag提交。(7分)

正确答案:72207E3A056930F90889050F4EE2E217

4.提取手机机主在 2022-02-09 11:31:19 访问过的网页历史,并以此网页标题作为 fag 提交。(7分)

网页搜索_宿州天气

任务 2:检材 2.e01 上的任务

1.提取检材中 2014年11月 30 日,14:38:26 创建的文件,以该文件大小字节数作为 flag提交。(去除字节数中的逗号)(4 分)

发现桌面下有个账目.xls 时间和题目一样导出看大小即可。


26112

2.提取检材委托要求(旧).doc文件,还原实际文件类型,并以实际文件类型扩展名作为flag 提交。

PDF

第二部分:电子数据恢复(30%)

任务 3:检材 3.e01 上的任务

某企业员工误删除了企业重要文件,请通过技术手段进行恢复。

1.恢复房屋建筑和市政项目的招标文件夹下面的文件,计算文件总字节数大小,并以此作为 fag 提交。(去除字节数中的逗号)(13 分)

分别导出第一个是市政招标文件,第二个压缩包里面是标准勘察招标文件

密钥:086658-418891-155375-390841-544676-540496-020537-075108 解密磁盘 7

思路:发现有之前被删除恢复的,根据题目要求计算总字节那就是压缩包的字节


212290

2.恢复浙江省重点建设工程文件,以文件第一页的工程内容作为 flag 提交。(11分)

浙江省重点建设工程

3. 恢复被以 xxx.txt(xxx为数字)为命名的文件,以删除的 txt 文件数量作为 flag 提交。(6分)

Unicode 文档-发现 16 个被删除

FLAG:16

第三部分:电子数据分析(40%)

任务 4:检材 2.e01 上的任务

某公司在一离职员工疑似存在违法行为,但获取证据时发现文件已损坏,请通过技术手段进行恢复。

1.修复可能记录该员工违法行为的文件,以该文件创建内容的时间作为 flag 提交(格式样例:2022/12/812:59)。(3分)

思路:

导出安卓和苹果分析,通过聊天记录可以看到兰亭集序,这算违法行为??

然后又发现个东西.txt 解密发现身份信息之类的 难道要把¥转到海外??

2.恢复被删除的文档,检査该文档是否含有"2012.3.12"内容,以该文件名作为 flag 提交(全小写)。(5 分)

日期

3.恢复被删除的文档,检査该文档是否含有"2011/3/13"内容,以该文件名作为 flag 提交(全小写)。(7分)

做到这找到了两个都是礼金记录说明没找错

041340

4.修复损坏的图片,提交图片中的银行卡号,以此作为 fag 提交(去除空格)。(7 分)

导出桌面的银行卡图片,foremost 分离一下 看到银行卡


4838178888888888

任务 5:检材 4.rar 上的任务

某企业发现其内部某离职员工曾违规使用公司手机,请通过技术手段进行分析。

1.分析检材,找出该手机最后登录的Apple lD,并以此作为 flag 提交。(全小写)(3 分)

FLAG:wangxx200041@icloud.com

2.分析检材,找出电话号码为18906004456的联系人,并以此作为 flag 提交。(5 分)

FLAG:张沾

3.分析检材,找出最后一次收到的验证码,并以此作为 flag 提交。(3 分)

火眼-基本信息-短信 2022-8.26 22 点最后一次收到验证码

FLAG:331408

4.分析检材,找出 2022年8月30日11:47:27访问的网站IP地址。(7 分)

历史记录看到 这个时间没有但是这个区间是 39.102.205.172

FLAG:39.102.205.172

需要环境可以私信博客,行业赛培训可以联系!

相关推荐
落寞的魚丶1 天前
2023年全国网络安全行业职业技能大赛 电子数据取证分析师-初赛Writeup(13日)
电子取证分析师·鱼影安全·2023全国网络安全行业赛·初赛-13日
落寞的魚丶1 个月前
2023全国网络安全行业职业技能大赛-电子取证分析师-淘汰赛(19号)-B卷-Writeup
b卷·电子取证分析师·鱼影安全·2023全国网络安全行业赛·淘汰赛
落寞的魚丶1 个月前
2023年全国网络安全行业职业技能大赛-电子数据取证分析师-初赛C卷(15号)-Writeup
c卷·初赛·电子取证分析师·鱼影安全·2023全国网络安全行业赛
落寞的魚丶1 个月前
2025年第二届全国网络安全行业赛-电子取证师初赛(第一批27号)
鱼影安全·2025第二届全国行业赛·网络安全行业赛·电子取证赛道
落寞的魚丶1 个月前
2025年第二届全国网络安全行业职业技能大赛—电子数据取证分析师(样题)
鱼影安全·第二届全国行业赛·样题·2025年电子电子取证师·电子取证师
落寞的魚丶2 个月前
2025年第二届全国网络安全行业职业技能大赛 网络安全管理员样题
2025年第二届网络安全管理员·网络安全管理员赛项·鱼影安全·第二届全国行业赛·样题
落寞的魚丶2 个月前
2025高校网络安全管理运维赛--电子取证分析师赛道-决赛WriteUp
2025高校网络安全运维赛·2025运维赛·电子取证分析师·决赛wiriteup·教育赛道
热门推荐
01GitHub 镜像站点02Labelme从安装到标注:零基础完整指南03安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)04Linux下V2Ray安装配置指南05jdk21下载、安装(Windows、Linux、macOS)06【踩坑笔记】50系显卡适配的 PyTorch 安装07Opencode CLI 安装成功,但是启动失败08手把手教你通过Gemini3 pro 学生认证,白用一年,手慢无!09全球最强模型Grok4,国内已可免费使用!(附教程)10Claude Code Plan 模式完全指南:从入门到精通