2026-04-28 06:55:33 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文详细解析了一道PC电子取证CTF题的解题思路与操作。内容涵盖提取MAC地址及U盘记录，利用隐写与文件头修复获取涉毒名单，重点演示了APK逆向中通过异或与Base64解密获取关键参数，并运用AES-GCM算法解密出最终Flag，为取证与移动安全实战提供了清晰参考。 综合评分： 84 文章分类： CTF,移动安全,逆向分析

cover_image

polarEDF个人pc题解

浪漫土狗浪漫土狗

正在思考ing

2026年4月26日 17:18 江苏

在小说阅读器读本章

去阅读

网卡的 Mac 地址是什么

系统内部版本号是多少

系统内版本号：在绝大多数语境下，系统内部版本号就是 Build 值

分析计算机检材，计算机中的编程软件的版本是

桌面上的图片文件的哈希值是多少

曾经连接过的u盘的名称是什么

曾经连接过的u盘的全局唯一标识符是什么？答案格式：xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

交易名单里，交易新型可乐的涉毒人员是谁

找人员名单，优先考虑找文档，没找到，再找压缩包，这里在快速访问里找到一个记录.zip，导出后解压发现一个密码

结合便签里的内容猜测后面像flag的这一段就是密码,但是我直接复制粘贴显示密码错误，手动敲一遍就能解压，没搞懂

接头暗语是什么

这里有个1.hc是一个容器，密码也在便签里面

vc挂载后，有一张图片，不出意外是隐写

发现最后有zip包的文件头，直接提取

街头暗语就是栀子花的茉莉花

默认浏览器的UA（User-Agent）是什么

浏览器UA:查找浏览器ua可以使用控制台通过js命令查找首先找到默认浏览器，然后控制台输入javascript:alert(navigator.userAgent)查看

电脑里apk的包名

伪造的身份证个数和人名

看到有个可以文件夹IDcard，进去发现三张图片，但是都无法打开

拖进来看一下发现缺少文件头，手动补充一下恢复

恢复出三张，所以个数为三，人名就是关羽（熊大熊二）

微信的版本是

exe程序的SHA1后六位是多少

这道题目就是纯猜了，桌面上有个exe文件，直接计算hash值

找到apk中VIP KEY 和 Param两个值

关键词搜索vip找到对应的加密函数，就是简单的xor加上base64加密，接着在匹配关键词vip_blob找到密文

import&nbsp;base64

s =&nbsp;"DBMKdxsZGR8JCXdoamhs"
s_b64 = base64.b64decode(s)

for&nbsp;i&nbsp;in&nbsp;s_b64:
&nbsp; &nbsp; i = i ^&nbsp;90
&nbsp; &nbsp; print(chr(i), end="")
&nbsp;#VIP-ACCESS-2026

param值也是同理，找到加密算法，再找到密文，编写脚本解密

import&nbsp;base64

s =&nbsp;"dnd3Yk1ic2Bzf00law=="
s_b64 = base64.b64decode(s)

for&nbsp;i&nbsp;in&nbsp;s_b64:
&nbsp; &nbsp; i = i ^&nbsp;18
&nbsp; &nbsp; print(chr(i), end="")
#deep_param_7y

apk中藏着的秘密字符串是什么

关键词搜索找到flag的解密算法:先basae64解码，再提取sha256的部分值作为key，再进行aes的gcm模式的解密，这里直接写python脚本解密

import&nbsp;base64
import&nbsp;hashlib

from&nbsp;cryptography.hazmat.primitives.ciphers.aead&nbsp;import&nbsp;AESGCM
s =&nbsp;"kYtbg999PZiwl2AjFn4SFIr0dwiAfMWq3lKRTV5d+3QCqKxivQvI04PCsYe5q21hIPPL/aP7YVry"

blob = base64.b64decode(s)
key = hashlib.sha256(b"VIP-ACCESS-2026:deep_param_7y").digest()[:16]
nonce = blob[:12]
ct = blob[12:]
aesgcm = AESGCM(key)
flag = aesgcm.decrypt(nonce, ct,&nbsp;None).decode()
print(flag)

#flag{vip_gate_and_deep_param}

也可以直接模拟器里打开，输入两个参数直接能获得

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：正在思考ing 浪漫土狗浪漫土狗《polarEDF个人pc题解》