文章总结： 本文详细记录了FIC2020取证竞赛真题的完整解题过程，涉及硬盘修复、文件恢复、图片隐写（ADS流、文件附加数据）、软件逆向、EFS/BitLocker加密破解等关键技术点。通过镜像仿真、注册表分析、二进制解码、容器取证等方法成功提取15个FLAG，并提供了具体操作步骤与工具使用技巧。 综合评分： 84 文章分类： 取证分析,CTF,数据恢复,逆向分析,加密解密

二十一.请分析图片并找到FLAG11:

    依旧在Exif Pilot工具中查看exif信息，在lptc标签中可以找到flag11的值为：

WBM4HA

二十二.文件名为“弘连取证录像软件”的文件总编辑时间为_____

    在bitlocker磁盘里面可以找到这个文件，是docx文件，这里修改后缀为zip，然后解压，在docprops目录下的app.xml文件中搜索totaltime，发现总编辑时间为4分钟

二十三.请分析检材并找到FLAG12:

    接22题，在同目录下的core.xml文件中搜索flag，

    发现flag12的值为：

TA3RQ2

二十四.请分析检材中，运行的容器的完整ID为：

    需要把docker运行起来，但是仿真起来后一直报错，这里是因为没有开虚拟化引擎

    如图打开后重新开机启动docker，然后打开cmd命令行，输入docker ps -a，即可查看所有容器，发现启动了一个容器，然后时候命令docker inspect 容器ID，即可查看容器的详细信息，发现容器的完整ID为：

e6b57cef245e9cac04260d7ba7f371186c81d6b35d023cb586b21f4248077144

二十五.请分析检材并找到FLAG13:

    进入容器，在home目录下成功找到flag13

    flag13的值为：

6NQ30G

二十六.DOCKER镜像中运行的数据库为：

    在docker desktop面板中可以看到，容器运行的数据库为redis

二十七.容器中所使用的数据库连接到了本地的端口号为：

    查看容器的端口映射，本地的端口号为6379，容器的端口号为6379

二十八.请分析检材并找到FLAG14:

    进入容器然后进入redis-cli，输入如图所示的命令成功找到flag14的值为：

N7IDAZ

二十九.请分析嫌疑人设备中所使用的MYSQL数据库的版本为：

    在用户电脑中打开命令行，输入mysql –version，即可查看mysql的版本，发现版本为8.0.17

三十.请分析检材并找到FLAG15:

    进入mysql数据库，账号是root，密码是123456（试出来的），进去后使用show databases查看数据库，发现有一个fic数据库，进入fic数据库查看数据表，发现只有一个file表，使用describe file查看表的字段，发现类型是blob，直接在虚拟机中上官网下载navicat试用版，连接数据库查看file表。

    选择图像，获得flag15的值为：

NESYD5

总结：除了两个需要远程服务器的题目没法做（服务器早就关了），其他都做出来了，不借助于集成化的取证工具做起来还是非常的困难，不过也是更深层次的了解到了不少知识点，成就满满，如果有哪一步不详细的，或者有问题的，欢迎评论区或者私信我。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：SPEEDCoding 李北辰 李北辰《取证练习-fic2020真题》