2024数证杯电子取证比赛题目（初赛）

目录

检材下载

计算机取证

手机取证

数据分析

服务器取证

程序功能分析

网络流量分析

---

检材下载

容器文件MD5值：4AAA79BA46C2065FC5C4D5DC97202F3D

通过下方任意链即可下载本次初赛检材：

https://pan.baidu.com/s/1PFonQ--BRpTUc0ZzauM85Q?pwd=ksen 

提取码：ksen

https://pan.baidu.com/s/1n4u-tWdAkkLTyBFkqvdU4g?pwd=uuk4 

提取码：uuk4

容器密码：/TP2G-h`q#(Ss!EUq,RR:Ss9"@!R"{-.kNw+-(gwGq.YLDS-|NEWH(GT3;6;

计算机取证

1. 对计算机镜像进行分析，计算该镜像中ESP分区的SM3值后8位为？（答案格式：大写字母与数字组合，如：D23DDF44） (2分)

2. 对计算机镜像进行分析，该操作系统超管账户最后一次注销时间为？（时区为UTC+08:00）（答案格式如：1970-01-01 00:00:00） (2分)

3. 对计算机镜像进行分析，该操作系统超管账户有记录的登录次数为？（填写数字，答案格式如：1234） (2分)

4. 对计算机镜像进行分析，该操作系统设置的账户密码最长存留期为多少天？（填写数字，答案格式如：1234） (2分)

5. 对计算机镜像进行分析，该操作系统安装的数据擦除软件的版本为？（答案格式：1.23） (2分)

6. 对计算机镜像进行分析，该操作系统接入过一名称为“Realtek USB Disk autorun USB Device”的USB设备，其接入时分配的盘符为？（答案格式：A:） (2分)

7. 对计算机镜像进行分析，该操作系统无线网卡分配的默认网关地址为？（答案格式：127.0.0.1） (2分)

8. 对计算机镜像进行分析，该操作系统配置的连接NAS共享文件夹的IP地址为？（答案格式：127.0.0.1） (2分)

9. 对计算机镜像进行分析，写出“吵群技巧.txt”文件SM3值的后8位？（大写字母与数字组合，如：D23DDF44） (2分)

10. 对计算机镜像进行分析，该操作系统通过SSH连接工具连接CCTalk测试环境的SSH端口为？（填写数字，答案格式如：1234） (2分)

11. 对计算机镜像进行分析，该操作系统通过SSH连接工具连接的CCTalk境外服务器是哪个运营商的？（填写汉字，答案格式：阿里云） (2分)

12. 对计算机镜像进行分析，获取机主保存在本机的U盾序号的后4位数字为？（填写数字，答案格式如：1234） (2分)

13. 对计算机镜像进行分析，机主存储的某篇新闻报道“小程序搅动资源争夺战”的发表年份为？（答案格式：2024） (2分)

14. 对计算机镜像进行分析，该操作系统访问“环球商贸”的IP地址为？（答案格式：127.0.0.1） (2分)

15. 对计算机镜像进行分析，“环球商贸”服务器配置的登录密码为？（答案按照实际填写，字母存在大小写） (2分)

16. 对计算机镜像进行分析，机主安装的PC-Server服务环境的登录密码是？（答案按照实际填写，字母全小写） (2分) 、

17. 对计算机镜像进行分析，其搭建的宝塔面板的登录密码为？（按实际值填写） (2分)

18. 对计算机镜像进行分析，机主搭建的宝塔环境中绑定的宝塔账号是？（按实际值填写） (4分)

19. 对计算机镜像进行分析，机主搭建的宝塔面板中Mysql环境的root密码为？（按实际值填写） (4分)

20. 对计算机镜像进行分析，机主搭建的宝塔环境中绑定的宝塔账号是？（按实际值填写） (4分)

21. 对计算机镜像进行分析，机主搭建的宝塔面板中Mysql环境的root密码为？（按实际值填写） (4分)

22. 对计算机镜像进行分析，机主搭建的宝塔面板中Mysql环境连接的端口号为？（填写数字，答案格式如：1234） (2分)

23. 接上题，“卡号分组”表所在的数据库名为？（答案按照实际填写，字母全小写） (4分)

24. 接上题，“孙华锦”在2020-07-01 10:49:07时间节点的交易余额为？（答案格式：1234.56） (4分)

25. 对U盘镜像进行分析，其镜像中共有几个分区？（填写数字，答案格式如：1234） (2分)

26. 对U盘镜像进行分析，其中FAT32主分区的FAT表数量有几个？（请使用十进制数方式填写答案，答案格式：1234） (2分)

27. 对U盘镜像进行分析，其中FAT32主分区定义的每扇区字节数为？（请使用十进制数方式填写答案，答案格式：1234） (2分)

28. 对U盘镜像进行分析，其中FAT32主分区的文件系统前保留扇区数为？（请使用十进制数方式填写答案，答案格式：1234） (2分)

29. 对U盘镜像进行分析，其中FAT32主分区的FAT1表相对于整个磁盘的起始扇区数为？（请使用十进制数方式填写答案，答案格式：1234） (2分)

30. 对U盘镜像进行分析，其中NTFS逻辑分区的$MFT起始簇号为？（请使用十进制数方式填写答案，答案格式：1234） (2分)

31. 对U盘镜像进行分析，其中NTFS逻辑分区的簇大小为多少个扇区？（请使用十进制数方式填写答案，答案格式：1234） (4分)

32. 对U盘镜像进行分析，请从该镜像的两个分区中找出使用“新建文本文档.txt”记录的同一个MD5值的两部分信息，并写出该MD5值的第13--20位字符串。（答案格式：大写字母与数字组合，如：D23DDF44） (4分)

手机取证

1. 对手机镜像进行分析，机主微信ID号为？（答案按照实际填写，字母全小写） (2分)

2. 对手机镜像进行分析，机主在2023年12月登录宝塔面板使用的验证码为？（填写数字，答案格式如：1234） (2分)

3. 对手机镜像进行分析，小众即时通讯“鸽哒”应用程序的最后更新时间为？（答案格式如：1970-01-01 00:00:00） (2分)

4. 对手机镜像进行分析，该手机中记录的最后一次开机时间。（答案格式如：1970-01-01 00:00:00） (2分)

5. 对手机镜像进行分析，该手机中高德地图APP应用的登录ID为？（答案按照实际填写） (2分)

6. 对手机镜像进行分析，该手机中高德地图APP应用登录账号头像的SHA-256值前8位为？（答案格式：大写字母与数字组合，如：D23DDF44） (2分)

7. 对手机镜像进行分析，其中20220207-20230206的微信账单文件的解压密码为？（答案格式：按实际值填写） (2分)

8. 对手机镜像进行分析，机主在手机中存储的一张复古土砌矮墙照片的拍摄地为哪个城市？（答案格式：北京市） (2分)

9. 对手机镜像进行分析，通过AI合成的人脸照片中，有几张照片是通过本机当前安装的AI照片合成工具生成，并有对应记录的？（填写数字，答案格式如：1234） (4分)

10. 对手机镜像进行分析，统计出通讯录号码归属地第二多的省份是？（答案格式：广东） (4分)

11. 对手机镜像进行分析，找出“季令柏”身份证号后4位为？（答案格式：1234） (2分)

12. 对手机镜像进行分析，找出接收“葵花宝典1.doc”文件使用的应用程序的第一次安装时间为？（答案格式如：1970-01-01 00:00:00） (2分)

13. 对手机镜像进行分析，机主使用的小众即时通讯应用使用的服务器IP为？（答案格式：127.0.0.1） (2分)

14. 对手机镜像进行分析，机主在哪个平台上发布过转让传奇游戏币的信息，请写出该平台应用APP的包名？（答案格式：com.abcd） (4分)

15. 对手机镜像进行分析，其中有一“双色球”网页的玩法规则中定义的“三等奖”的奖金是多少？（填写数字，答案格式如：1234） (4分)

16. 对手机镜像进行分析，找出手机连接过的米家摄像头终端设备的用户ID为？（答案格式：答案按照实际填写） (2分)

17. 对手机镜像进行分析，找出手机连接过的米家摄像头终端设备的IP地址为？（答案格式：127.0.0.1） (4分)

数据分析

1. 对计算机，手机，U盘镜像检材综合分析，找出计算机中VC加密容器使用的登录密钥文件，其中逻辑大小较小的文件占用多少个字节？（答案格式：1234） (4分)

2. 对计算机，手机，U盘镜像检材综合分析，写出存储的“带彩计划.txt”文件的SM3哈希值前8位；（大写字母与数字组合，如：D23DDF44） (2分)

3. 对计算机，手机，U盘镜像检材综合分析，写出存储的“Shakepay买币，提币流程.ppt”文件在当前分区的起始簇号；（填写数字，答案格式如：1234） (4分)

4. 对计算机，手机，U盘镜像检材综合分析，写出存储在手机中，用于访问钱包地址的网站登录密码；（答案按照实际填写，字母全大写） (4分)

5. 对计算机，手机，U盘镜像检材综合分析，写出存储的钱包地址的前8位；（答案格式：abcd1234） (4分)

6. 对计算机，手机，U盘镜像检材综合分析，写出存储的钱包地址私钥的前8位；（答案格式：abcd1234） (4分)

7. 对计算机，手机，U盘镜像检材综合分析，统计出机主微信账单从210207-240206期间发生的转入金额第三高的“对方卡号”字段的值为？（答案格式：汉字） (2分)

8. 对计算机，手机，U盘镜像检材综合分析，统计出机主微信账单从210207-240206期间发生的“对方卡号”字段值为“陈建设”的转出净值为？（填写数字，答案格式如：1234） (2分)

9. 对计算机，手机，U盘镜像检材综合分析，统计出机主微信账单从210207-240206期间发生的交易笔数第三多的数量为？（填写数字，答案格式如：1234） (2分)

10. 对数据分析检材中的第01-数据进行分析，办案人员从多个赌博网站中导出了100多份的报表，请统计出所有平台会员使用本币充值的总金额是多少？（答案格式：仅数字，结果不保留小数） (2分)

11. 对数据分析检材中的第02-数据进行分析，办案人员在电脑中找到多个赌博网站的交易流水报表，每个报表都是以网站编号和年份命名，每个月独立生成一个sheet页。请统计出所有的交易流水总金额是多少？（答案格式：：123456） (2分)

12. 对数据分析检材中的第03-数据进行分析，请从赌博平台的用户登录日志表中，统计出2020年1月1号至2020年6月30号，总共有多少位会员登录了该平台？（答案格式：123456） (2分)

13. 对数据分析检材中的第03-数据进行分析，通过还原赌博平台数据库备份文件，请统计用户投注总次数前5的彩种开奖总次数？（涉及的数据库表：ssc2022_bets，ssc2022_data）（答案格式：123456） (4分)

14. 对数据分析检材中的第03-数据进行分析，请统计出在不止一种彩种上进行过投注的用户数量，并计算他们在2018年一共涉及了平台多少流水？（答案格式：保留三位有效数字，如：123.123） (4分)

服务器取证

1. 对服务器检材进行分析，站点服务器可能是从哪个云服务平台上调证过来的？（填写汉字，答案格式：亿速云） (2分)

2. 对服务器检材进行分析，站点服务器中数据库的密码是？（按实际值填写） (2分)

3. 对服务器检材进行分析，站点服务器用于提供服务发现的工具名是？（答案格式：zookeeper） (4分)

4. 对服务器检材进行分析，站点服务器数据库配置文件名是？（答案格式：database.php） (2分)

5. 对服务器检材进行分析，该网站涉及的APP名称是？（答案格式：微信） (2分)

6. 对服务器检材进行分析，该网站用于存储大量身份证照的OSS中的AccessKeyID后八位是？（答案格式：按实际值填写） (2分)

7. 对服务器检材进行分析，站点服务器用于消息转发代理工具所使用的端口号是？（填写数字，答案格式：3306） (2分)

8. 对服务器检材进行分析，站点服务器用于启动定时任务的代码片段存在于？（答案格式：LoginIndex.class） (4分)

9. 对服务器检材进行分析，站点服务器用于验证用户输入的验证码是否匹配的代码片段存在于？（答案格式：LoginIndex.class） (4分)

10. 对服务器检材进行分析，数据库服务器中Docker容器镜像中mysql的镜像ID号前6位是？（答案格式：123asd） (2分)

11. 对服务器检材进行分析，数据库服务器中DockerCompose的版本号是？（答案格式：1.1.1） (2分)

12. 对服务器检材进行分析，数据库服务器中用于存储后台登录账号的数据表名是？（答案格式：login） (2分)

13. 对服务器检材进行分析，后台管理员“xpt-0”所绑定的手机号码是？（答案格式：13001880188） (2分)

14. 对服务器检材进行分析，用户首次借款初始额度是？（填写数字，答案格式：1） (2分)

15. 对服务器检材进行分析，受害者在平台中一共结款了几次？（填写数字，答案格式：1） (2分)

16. 对服务器检材进行分析，该平台中所有下单用户成功完成订单总金额是？（填写数字，答案格式：1） (2分)

17. 对服务器检材进行分析，该平台中逾期费率是？（答案格式：1.1） (2分)

18. 对服务器检材进行分析，该平台中累计还款总金额是？（填写数字，答案格式：1） (2分)

19. 对服务器检材进行分析，该平台总共设置了多少种借款额度？（填写数字，答案格式：1） (2分)

20. 对服务器检材进行分析，该平台一共有多少个借款渠道？（填写数字，答案格式：1） (2分)

21. 对服务器检材进行分析，该平台对已完成用户收取了总计多少元服务费，结果精确到整数？（填写数字，答案格式：123） (2分)

程序功能分析

1. 对exe程序检材进行分析，计算程序的MD5（128bit）校验值的最后八位是？（答案格式：大写字母与数字组合，如：D23DDF44） (2分)

2. 对exe程序检材进行分析，找出其释放的可执行程序的路径？（答案格式：D:\Document\Aaaa） (2分)

3. 对exe程序检材进行分析，找出其启动释放的可执行程序时命令的最后一个参数是什么？（答案格式：按实际值填写） (2分)

4. 对exe程序检材进行分析，该程序在执行时，会解密并写入一段字节码到Chakra模块的一个特定导出函数的内存地址中，以此来伪装调用的目的，请给出这个导出函数的名称？（答案格式：按实际函数名称填写） (2分)

5. 对exe程序检材进行分析，请问Chakra模块的代码段被修改了多少字节（答案格式:0x1122） (2分)

6. 对exe程序检材进行分析，解密出的字节码数据中携带着PE格式的数据，并且_IMAGE_NT_HEADERS头部的PE签名已经被修改，请给出修改后的签名值（答案格式：0x11 0x22） (2分)

7. 对exe程序检材进行分析，解密出的字节码数据中携带着PE格式的数据，并且节区数据被加密，请分析给出解密第一个节区时使用的秘钥（答案格式：0x1B 0x22 0x33 0x4A） (4分)

8. 对exe程序检材进行分析，这份字节码数据解密前的密文第一个字节是什么（例如:0x1B） (4分)

9. 分析检材APK中检材-01.apk，获取其md5（128bit）校验值的后八位？（答案格式：大写字母与数字组合，如：D23DDF44） (2分)

10. 分析检材APK中检材-01.apk，请写出app的包名？（答案格式：com.xxx.xxx） (2分)

11. 接上题，请给出app的加固方式；（答案格式：梆梆） (2分)

12. 接上题，请给出app启动时主页面显示的activity名称；（答案格式：com.xxx.xxx.Mainactivity） (2分)

13. 分析检材APK中检材-01.apk，请给出加密的访问地址的数据是？ (4分)

14. 分析检材APK中检材-01.apk，请给出解密后的域名为？（答案格式：需要加上端口号，如：http://tieba.com:6666） (4分)

15. 接上题，请给出解密调用的so的名称；（答案格式：abc_amm） (4分)

16. 对检材APK中检材-02.apk分析，获取其中的flag；（答案格式：flag{ISEC-C6d-ddd-7gd}） (4分)

17. 对检材APK中检材-03.apk分析，获取其中的flag；（答案格式：flag{ISEC-C6d-ddd-7gd}） (4分)

网络流量分析

1. 分析网络流量包检材，写出抓取该流量包时所花费的秒数？（填写数字，答案格式：10） (2分)

2. 分析网络流量包检材，抓取该流量包时使用计算机操作系统的build版本是多少？（答案格式：10D32） (2分)

3. 分析网络流量包检材，受害者的IP地址是？（答案格式：192.168.1.1） (2分)

4. 分析网络流量包检材，受害者所使用的操作系统是？（小写字母，答案格式：biwu） (2分)

5. 分析网络流量包检材，攻击者使用的端口扫描工具是？（小写字母，答案格式：abc） (2分)

6. 分析网络流量包检材，攻击者使用的漏洞检测工具的版本号是？（答案格式：1.1.1） (2分)

7. 分析网络流量包检材，攻击者通过目录扫描得到的 phpliteadmin 登录点是？（答案格式：/abc/abc.php） (2分)

8. 分析网络流量包检材，攻击者成功登录到 phpliteadmin 时使用的密码是？（答案格式：按实际值填写） (2分)

9. 分析网络流量包检材，攻击者创建的 phpinfo 页面文件名是？（答案格式：abc.txt） (4分)

10. 分析网络流量包检材，攻击者利用服务器漏洞从攻击机上下载的 payload 文件名是？（答案格式：abc.txt） (4分)

11. 分析网络流量包检材，攻击者反弹shell的地址及端口是？（答案格式：192.168.1.1:1234） (4分)

12. 分析网络流量包检材，攻击者电脑所使用的Python版本号是？（答案格式：1.1.1） (2分)

13. 分析网络流量包检材，受害者服务器中网站所使用的框架结构是？（答案格式：thinkphp） (2分)

14. 分析网络流量包检材，攻击者获取到的数据库密码是？（答案格式：大小写按实际值填写） (4分)

15. 分析网络流量包检材，攻击者上传了一个weevely木马进行权限维持，上传时所使用的端口号为？（答案格式：3306） (2分)

16. 分析网络流量包检材，攻击者上传了一个weevely木马进行权限维持，该木马第一次执行时获取到的缓冲区内容是？（答案格式：按实际值填写） (4分)