2026獬豸杯wp 📅 2026/7/5 4:18:26 新手小白记录一下学习电子取证的历程重点在学习和坚持写wp也参考了其他师傅的解题思路欢迎各位师傅的指正与交流。一.手机部分1.请分析检材1手机的序列号是什么火眼工具没有找到只能问AI去哪个位置能找到安卓的手机序列号可以从系统属性、启动参数、内核日志、厂商属性文件、取证报告/设备信息表查看1. 系统属性快照serialno翻译过来就是序列号ro.serialnoro.boot.serialnopersist.sys.serialnopersist.sys.oplus.serialno于是直接在filelocator里面暴力搜索2. 内核日志 / 启动日志很多手机会在启动参数里带序列号关键词通常是serialnoro.boot.serialnoandroidboot.serialno常见文件/adb/ksu/log/dmesg.log/adb/ksu/log/dmesg.old.log/adb/lspd/log/kmsg.log/adb/lspd/log.old/kmsg.log/debuglogger/mobilelog/.../kernel.log/proc/cmdline2.请分析检材1该手机的具体型号是什么同样的问了一下关键词应该搜索什么● Android 手机具体型号一般查 系统属性重点看这些字段ro.product.modelro.product.marketnamero.product.namero.product.devicero.product.brandro.product.manufacturer最常用的搜索安卓的机型就是搜“model”和“marketname”搜索到了一加Ace5至尊版3.请分析检材1手机中已删除的联系人手机号码是什么我这里是直接用工具看的13696966666也有手搓的办法一般查看已删除联系人手机号重点看 Android 的联系人数据库基础知识contacts2.db是Android安卓系统用来存储用户联系人核心数据的 SQLite 数据库文件。/data/data/com.android.providers.contacts/databases/contacts2.db因此直接搜索contacts.db即可查看数据库找到deleted即可4.请分析检材1手机中找到密码本文件计算其MD5哈希值取后6位字母大写。直接在文件里面暴力搜索“密码”找到密码本文件计算一下MD5值AD35635.请分析检材1嫌疑人下载的图片隐写工具名称是什么在文件里面搜索download查看一些download文件夹发现一个做misc比较熟悉的一个软件steghide这里基本上可以锁定就是这个工具了这里由于我是小白不妨学习一下这个工具的使用方式以及参数steghide主要的思路就是将一份文件融合进一张图片里面然后需要密码解开以下是常用命令结构查看图片里是否有隐写内容 steghide info -sf important.jpg 如果需要密码 steghide info -sf important.jpg -p JHTJ202605 --- 提取隐藏文件 steghide extract -sf important.jpg -p JHTJ202605 指定输出文件名 steghide extract -sf important.jpg -p JHTJ202605 -xf output.z01 --- 把文件隐藏进图片 steghide embed -cf cover.jpg -ef secret.txt -p password 意思是 把 secret.txt 隐藏进 cover.jpg密码是 password这里出题人明显还是心软了因为直接将爆破密码告诉了我们现在只需要找到正确的图片觉得肯定是在在相机的10张照片里面一开始以为是最后一个二维码试了一下发现不对是左边那张文件名为important.jpg这里出题人就在暗示这个应该是目标图片steghide.exe extract -sf important.jpg-sf的意思是已经藏了文件extract -sf就是提取隐藏文件然后就是密码爆破环节用AI写了个脚本#!/usr/bin/env python3 import os import subprocess image rD:\CTF\图片隐写\steghide\important.jpg wordlist rD:\CTF\图片隐写\steghide\常用密码.txt steghide_path rD:\CTF\图片隐写\steghide\steghide.exe if not os.path.exists(image): print(f[-] 找不到图片文件{image}) exit() if not os.path.exists(wordlist): print(f[-] 找不到密码字典{wordlist}) exit() if not os.path.exists(steghide_path): print(f[-] 找不到 steghide{steghide_path}) exit() print([*] 开始爆破 Steghide 密码...) with open(wordlist, r, encodingutf-8, errorsignore) as f: for idx, line in enumerate(f, 1): password line.strip(\ufeff\r\n\t ) if not password: continue print(f[{idx}] trying: {password}) result subprocess.run( [steghide_path, info, -p, password, image], stdoutsubprocess.PIPE, stderrsubprocess.STDOUT, textTrue, inputy\n ) output result.stdout if embedded file in output: print(\n[] 找到密码, password) print(output) break else: print([-] 字典已尝试完毕没有爆破成功)结果是JHTJ202605中间写脚本的时候遇上了跟steghide版本不兼容的时候之前写的参数的顺序有点问题以下是正确顺序[steghide_path, info, -p, password, image]6.请分析检材1嫌疑人使用隐写工具进行文件隐写密码是什么见上题JHTJ2026057.请分析检材1嫌疑人向数据贩子购买公民个人信息共计多少条根据工具发现了历史下载里面有个加密的压缩包——数据.zip于是现在主要任务就是找数据的密码从下面的题目提示可以看出应该是要找到聊天数据库里面的信息一般在数据库里面搜索一下关键词message/msg这些我承认有赌的成分得到关键聊天信息基本上有好多题可以直接秒了此题答案1008.请分析检材1嫌疑人向数据贩子交易时使用的付款方式是什么见上下文银行卡9.请分析检材1数据贩子交易过程中提供的银行卡号是多少见上下文622235597348292373810.请分析检材1接上题嫌疑人所使用聊天工具的用户 ID 是多少这里我这边认为就是他的电话17706223971当然有不同意见可以一起讨论一下11.请分析检材1嫌疑人使用浏览器访问了该下载链接该浏览器对应的包名是什么查看apk的软件包直接搜索浏览器发现共有三个浏览器依旧去文件中心分别查看一下每个浏览器的下面的文件浏览之后发现只有这个浏览器里面是由下载的任务的所以可以锁定是com.meiit.browser12.请分析检材1嫌疑人于何时下载数据商人发送的数据压缩包文件这里也是工具直出的正确率存疑2026-05-12 17:00:0513.请分析检材1接上题该压缩包的解压密码是什么见上下文是嫌疑人电话1770622397114.请分析检材1接上题年龄在 40 至 60 岁含 40、60 岁的富豪共有多少人【答案格式123】解压出来之后筛选一下4615.综合分析请找出嫌疑人筛选的重点客户名单并统计名单内共有多少人【答案格式1】接上题由于我们只找到z01这一个分卷ZIP自然而然想到其中一种解法就是去找全它的全卷然后解压缩但是遗憾的是在手机的检材里面并未找到全卷的信息ps:做到后面的题目可以发现是在计算机的检材里面所以这里我们就不过多说明这一种解法。我们将z01的后缀名改成zip发现里面确实藏着一个xlsx后缀的名单文件不过是被破坏的于是我们想办法如何提取出来由于.xlsx的本质也是个压缩包zip里面是由很多xml文件构成的所以即使我们打不开整个xlsx我们可以根据一些字段的名称和内容就能还原xlsx表格的全貌重点客户.xlsx├── [Content_Types].xml├── _rels/.rels├── docProps/├── xl/│ ├── workbook.xml│ ├── sharedStrings.xml│ ├── styles.xml│ └── worksheets/│ └── sheet1.xml常见的xlsx的结构如上所示这里也是参考了其他师傅的做法先修复整个zip因为分卷的缘故所以是没有完整的末尾的中央目录所以这里用zip -FF的作用是根据现有内容重新建一个新的中央目录然后输出为fixed.zip变相的修复了这个残缺的zip文件zip -FF 重点客户.z01 --out fixed.zip目的是为了得到.xlsx里面的sharedStrings.xml和sheet1.xml然后用7z这个工具进行暴力解压两次7z x fixed.zip --ofixed_out然后将解压得到的.xlsx文件进一步的解压7z x ~.xlsx --ofixed_out2于是得到xml的文件查看sharedstrings.xml可以得到一共有5个人