当前位置：首页 > news >正文

2025第三届盘古石杯初赛（计算机部分）

news 来源：原创 2025/5/17 18:16:47

前言

比赛的时候时间不对，打一会干一会，导致比赛时候思路都跟不上，赛后简单复现一下，希望大家批批一下

计算机取证

1、分析贾韦码计算机检材，计算机系统Build版本为？【标准格式：19000】

在这里插入图片描述

2、计算机最后一次正常关机的时间为？UTC +0【标准格式：2025-05-06 09:00:00】

2025-04-18 03:20:54

3、计算机网卡的MAC地址为？ [答案格式：00-0B-00-A0-00-00]

00-0C-29-0F-69-00

在这里插入图片描述

4、计算机用户“贾韦码” 安全标识符SID为？【标准格式：S-X-X-X-X-X-X-X】

S-1-5-21-3733482367-3411043098-2536183883-1001

在这里插入图片描述

4、计算机默认浏览器为？【标准格式：Mozilla Firefox】

Google Chrome

解法一：

仿真上去直接看

在这里插入图片描述

解法二：

弘连取证分析

在这里插入图片描述

5、计算机默认浏览器版本为？【标准格式：000.0.0000.00】

135.0.7049.96

在这里插入图片描述

6、机主通过浏览器搜索国外社交软件为？【标准格式：Whatsapp】

Telegram

在这里插入图片描述

7、机主的邮箱账号为？【标准格式：pgscup@pgs.com】

tqmdavidjohnson300@gmail.com

最好是结合仿真后计算机进行分析，有可能出错的

在这里插入图片描述

8、计算机装过一款反取证软件为？【标准格式：EnCrypt.exe】

VeraCrypt.exe

在这里插入图片描述

9、计算机通过Xshell远程连接的ip地址为？【标准格式：127.0.0.1】

192.168.56.129

在这里插入图片描述

10、机主曾买过一个美国的TG账号，请给该账号的原两步验证密码？【标准格式：8位数字】

13770603

在这里插入图片描述

11、给出其电脑内加密容器的解密密码？【标准格式：Abc@123】

Pgs8521d3j

开头的VR容器中有提示的

在这里插入图片描述

Pgs+4位数字+d3j

在这里插入图片描述

我爆破一个小时

在这里插入图片描述

12、给出其电脑内加密容器挂载的盘符？【标准格式：C】

最近打开的项目中看

在这里插入图片描述

14、给出其电脑内存放了多少张伪造身份证？ [答案格式：10]

解密后查看

在这里插入图片描述

15、给出任敏的身份证编号？ [答案格式：18位]

430529195112085460

别傻傻去翻看图片啦，除非你解不开密码，就用火眼看，可以等orc识别出来，也可能是不对的，如果我是出题人就应该在这里给个坑，二选一。

在这里插入图片描述

弘连文字识别

在这里插入图片描述

16、找出其电脑内存放的密钥文件，计算MD5？ [答案格式：字母小写]

1022cc083a4a5a9e2036065e2822c48e

文件名字算是提示可疑，第三届pgs嘛，但是找不到这个文件的，恢复也出不来

在这里插入图片描述

3pgscup.rar，一直没有思路，只能是用笨办法，搜索RAR文件头，看看可以看到啥

导出解压

在这里插入图片描述

17、找出其电脑内存放的密钥文件，解密此密钥文件，给出其内容？ [答案格式：第3届pgscup]

zfs加密pool密钥文件

打开文件

emZz5Yqg5a+GcG9vbOWvhumSpeaWh+S7tg==

在这里插入图片描述

18、对macOS系统进行分析，登陆的电子邮件服务是谁提供的？ [答案格式：pgscup]

Outlook

电脑密码：N0tep@d++

以前称为 Hotmail

应该不写以前的

在这里插入图片描述

19、系统备忘录的包名是什么？ [答案格式：com.dfefef.note]

com.apple.Notes

在这里插入图片描述

20、图片中隐藏的内容是什么？ [答案格式：隐藏内容刷子戏子痞子]

位移加密 正向位移操作

在这里插入图片描述

21、被加密文件的扩展名是什么？ [答案格式：123]

.enc

在这里插入图片描述

22、被加密的文件总共有几个？ [答案格式：5]

就是贾韦码资料.rar.enc

23、贾韦码家使用的智能门锁品牌型号是什么？ [答案格式：小米XX号]

金刚Ⅲ号

这个就应该是要写解密脚本了,

导出文件加密器缺失模块

在这里插入图片描述

出现“无法解析导入‘encrypt_deobfuscated’”的原因是：
Python 在当前目录或环境变量路径下找不到 encrypt_deobfuscated.py 文件。

简明解决方法：

确认文件存在
请确保 encrypt_deobfuscated.py 文件位于
```
c:\Users\Administrator\Desktop\文件加密器.app\Contents\Resources\
```
目录下（和 gui_wrapper.py 在同一目录）。
检查文件名
文件名必须是 encrypt_deobfuscated.py，不能有拼写错误，也不能是 .pyc 或其他后缀。
如果只有 .pyc 文件
如果只有 encrypt_deobfuscated.pyc，建议获取 .py 源码文件，否则 Python 可能无法直接导入。
如果是文件夹
如果 encrypt_deobfuscated 是一个文件夹，确保里面有 __init__.py 文件，并且相关代码在里面。