1. 盘古石杯电子数据取证大赛概述盘古石杯是国内电子数据取证领域最具影响力的专业赛事之一今年的决赛题目设计充分体现了实战化、综合化的特点。作为参赛选手我深刻感受到比赛对选手技术广度和深度的双重考验。整个赛题围绕一起虚拟币投资诈骗案件展开涉及计算机取证、移动终端取证、物联网取证、服务器取证和流量分析五大模块全面模拟了真实案件调查的全流程。从技术角度看这次决赛的题目设置有几个显著特点一是检材类型丰富包括PC镜像、手机镜像、NAS服务器、物联网设备镜像和网络流量包二是题目设计环环相扣不同模块之间存在逻辑关联三是注重考察选手对专业工具的综合运用能力。比如在流量分析部分不仅要求选手会使用Wireshark进行基础过滤还需要掌握TLS流量解密、HTTP对象提取等进阶技能。2. 流量分析模块实战解析2.1 黑客计算机流量包分析这部分是整个比赛的开篇模块也是基础得分点。题目给出了一个名为Flower.rar的流量包文件首先需要计算其SHA256值作为第一题的答案。这里有个小技巧使用sha256sum命令时要注意文件路径不能包含中文否则可能导致哈希值计算错误。sha256sum Flower.pcap第二题考察Wireshark过滤表达式的基本功。题目要求统计长度在640-1279字节之间的数据包数量。正确的过滤语法是frame.len 640 and frame.len 1279但实际操作中发现官方答案与过滤结果存在出入这提示我们在比赛中要保留原始证据必要时可以提出质疑。TLS流量解密是本题的难点之一。题目提供了key.log文件需要在Wireshark的协议首选项中配置TLS的(Pre)-Master-Secret log文件名。配置成功后原本加密的HTTPS流量就能被解密查看。这个技巧在分析黑客上传网盘行为时至关重要。2.2 技术人员手机流量包分析这部分流量包隐藏在技术人员的电脑镜像中需要先通过仿真找到test.saz文件。SAZ文件是Fiddler抓包工具的保存格式可以使用Fiddler或Wireshark打开分析。虚拟身份账号密码的查找需要关注登录请求的POST数据。在Wireshark中可以使用如下过滤条件快速定位http.request.method POST http contains login短视频观看次数的统计则需要注意抖音的请求特征。通过分析可以发现每个视频请求都会包含特定的URI路径统计这些请求的数量即可得出答案。3. 移动终端取证关键技巧3.1 三星手机镜像分析卡农Bob的三星手机镜像采用了双重压缩格式需要先解压SM-N9700.zip得到Image.zip再解压获得最终的可分析镜像。这里推荐使用取证大师或盘古石取证工具加载image文件夹进行分析。手机SDK版本的获取可以通过分析build.prop文件实现ro.build.version.sdk30高德地图关联手机号的查找则需要关注应用数据目录。具体路径通常是/data/data/com.autonavi.minimap/shared_prefs/在这个目录下的XML配置文件中可以找到绑定的手机号码信息。3.2 内部聊天工具取证题目中提到的PGScup应用是本案的关键突破口。取证时需要重点关注几个位置/data/data/cn.wildfirechat.chat/db/目录下的数据库文件/sdcard/Android/data/cn.wildfirechat.chat/下的缓存文件应用安装包中的资源文件通过分析这些数据不仅可以找到聊天记录还能发现用户的真实身份信息。在实际操作中我遇到的一个坑是直接复制数据到模拟器时权限问题需要先用chmod修改目录权限才能正常读取。4. 计算机取证深度剖析4.1 黑客计算机分析系统安装时间的获取有多种方法最可靠的是分析Windows事件日志中的6005、6006事件。使用取证工具可以直接查看from datetime import datetime import pytz timestamp 1333145507 # 从事件日志获取的时间戳 dt datetime.fromtimestamp(timestamp, pytz.UTC) print(dt.strftime(%Y-%m-%d %H:%M:%S))VC容器解密是本题的难点。题目给出了公钥文件需要使用RSA工具进行解密。具体步骤包括使用轩禹CTF RSA工具导入pub.key分解模数N得到p和q计算私钥解密密文m实际操作中发现容器的密码是byebyedisco这个结果需要通过多次尝试才能确认。4.2 技术人员计算机分析NAS服务器连接信息的获取需要分析iSCSI配置。在注册表中可以找到以下关键信息HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\iSCSI隐写工具的分析则要关注最近访问的文件记录和程序执行痕迹。OurSecret是常见的隐写工具其密码通常保存在配置文件或注册表中。本题中通过猜测得出密码是caiwu这提示我们在实际取证中要善于结合案情进行合理推测。5. 物联网设备取证实战5.1 扫地机器人数据分析robot1.bin文件的压缩算法识别是第一个难点。使用binwalk工具可以快速分析binwalk -E robot1.bin结果显示LZMA压缩特征明显。进一步分析需要提取固件内容binwalk -e robot1.binWiFi密码的获取则需要分析网络配置文件。在解压后的文件系统中通常可以在以下路径找到/etc/wpa_supplicant.conf5.2 智能门锁数据分析智能门锁的数据包包含SQLite数据库记录了开门记录等关键信息。使用DB Browser for SQLite可以方便地查询SELECT * FROM door_open_log WHERE userwonderful ORDER BY time ASC LIMIT 1;MAC地址的获取则需要分析LockInfo.json文件。这个文件通常包含设备的网络配置和识别信息。6. 服务器取证核心技术6.1 NAS服务器系统分析TrueNAS系统的密码恢复有多种方法。在不联网的情况下最有效的是通过注册表提取定位Windows/System32/config/SAM文件使用Passware Kit等工具提取哈希进行离线破解系统版本信息可以通过多种方式获取分析/etc/issue文件查看/usr/local/etc/version文件登录Web管理界面查看6.2 存储配置分析ZFS存储池的分析需要理解TrueNAS的存储架构。关键命令包括zpool list zfs list数据集和Zvol的区别在于类型标识VOLUME类型的是ZvolFILESYSTEM类型的是数据集iSCSI配置信息存储在/usr/local/etc/目录下其中targets.conf文件包含了连接认证信息。7. 二进制文件逆向分析7.1 控制端程序分析PyInstaller打包的程序可以使用pyinstxtractor.py进行脱壳python pyinstxtractor.py server.exe反编译得到的Python代码显示程序使用TCP协议通信关键函数包括def tcpServer(self): with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as s: s.bind(self.address) s.listen(10)缓冲区大小由recv参数决定题目中是1000000字节。指令判断逻辑显示程序处理5种不同指令包括ok、er、end等。7.2 木马程序分析setup.exe程序的资源分析可以使用Resource Hacker工具。在PNG资源下可以找到两张图片导出后计算MD5值Get-FileHash -Algorithm MD5 image1.png杀毒软件绕过的分析需要搜索特定字符串。在本题中搜索taskkill可以找到针对金山卫士的终止代码。8. 参赛经验与技巧总结时间管理是比赛中的关键因素。建议将3小时比赛时间分配为30分钟快速浏览所有题目90分钟主攻基础题目60分钟解决难点题目最后30分钟复查和提交工具准备方面推荐以下必备工具取证分析取证大师、Autopsy、FTK Imager流量分析Wireshark、NetworkMiner逆向工程IDA Pro、x64dbg、Resource Hacker密码破解John the Ripper、Hashcat遇到难题时的解决思路确认是否理解题意检查工具使用是否正确尝试不同分析方法合理猜测与验证比赛中我最大的教训是过于纠结某些难题导致简单题目没时间完成。建议先确保基础分数再挑战高分难题。