数据分析

溯源与取证1

火眼挂载后发现被删除的文件

提取后打开，更改字体颜色，得到Flag

b1e9517338f261396511359bce56bf58

溯源与取证2

将内存.7z文件解压后，将raw内存镜像挂载，搜索access.log日志文件

在 access.log.1741219200 中找到ip

114.10.143.92

溯源与取证3

数据社工1

在 某滴泄露的行程数据 中筛选名字和电话，得到一组坐标

在 某德泄露的地图数据 中进行查询

得到居住地

华润国际E区

继续在 某滴泄露的行程数据 中查找，得到另一组坐标，相同的方式可以找到工作点

闵行区星辰信息技术园

得到最后答案

华润国际E区:闵行区星辰信息技术园

数据社工2

在 某通泄露的快递单数据 中过滤 收件人为张 收件人手机号为 138**9377

得到地址

**市**区******息技术园16楼博林科技

在 爬取的工商登记数据 中搜索 博林科技

得到公司名字

江苏博林科技有限公司

数据社工3

在 爬取的网页 中搜索张华强，得到手机号

13891889377

数据社工4

在 爬取的网页 中搜索张华强，得到身份证号

61050119980416547X

数据社工5

火眼OCR功能识别电话号码和车牌号

搜索前面得到的手机号得到车牌号

浙B QY318

数据跨境1

用wireshark不知道为什么得到的统计结果有误

                       |  Packets  | |  Bytes  | | Tx Packets | | Tx Bytes | | Rx Packets | | Rx Bytes |
146.71.124.39              41450       5261572       9616          619715       31834         4641857   
31.13.72.51                27183       3331765       6699          435406       20484         2896359   
57.195.144.48              27135       3348105       6637          436445       20498         2911660   

喊GPT写一个脚本

import json
import scapy.all as scapy
from collections import defaultdict

# 加载敏感IP列表
def load_sensitive_ips(json_file):
    try:
        with open(json_file, "r", encoding="utf-8") as f:
            data = json.load(f)
        return {ip: domain for cat in data.get("categories", {}).values() for domain, ip in cat.get("domains", {}).items()}
    except (FileNotFoundError, json.JSONDecodeError) as e:
        print(f"错误: {e}")
        return {}

# 统计PCAP中敏感IP访问次数
def count_sensitive_ips(pcap_file, sensitive_ips):
    ip_hits = defaultdict(int)
    try:
        for packet in scapy.rdpcap(pcap_file):
            if packet.haslayer(scapy.IP) and (dst_ip := packet[scapy.IP].dst) in sensitive_ips:
                ip_hits[dst_ip] += 1
    except FileNotFoundError as e:
        print(f"错误: {e}")
    return ip_hits

# 主函数
def main():
    sensitive_ips = load_sensitive_ips("国外敏感域名清单.json")
    if not sensitive_ips:
        return

    ip_hits = count_sensitive_ips("某流量审计平台导出的镜像流量.pcap", sensitive_ips)

    for ip, count in ip_hits.items():
        print(f"{sensitive_ips[ip]} ({ip}): {count} 次")

    if top_ip := max(ip_hits, key=ip_hits.get, default=None):
        print(f"\n访问最多的IP: {sensitive_ips[top_ip]} ({top_ip})，访问次数: {ip_hits[top_ip]}")

if __name__ == "__main__":
    main()

得到答案

slack.com (34.192.2.94): 17551 次
chrome.com (57.195.144.48): 20498 次
kakao.com (102.195.10.159): 6764 次
googleusercontent.com (142.250.217.86): 18980 次
tinyurl.com (89.192.255.179): 11154 次
soundcloud.com (77.45.200.228): 8009 次
hkcna.co.hk (32.173.152.21): 1932 次
whatsapp.com (31.13.72.51): 20484 次
icloud-content.com (182.230.246.61): 5158 次
hkcna.biz.hk (16.38.35.38): 720 次

访问最多的IP: chrome.com (57.195.144.48)，访问次数: 20498

数据跨境2

导出FTP文件，发现最后存在零宽字符

解密得到水印内容

id:09324810381_time:20250318135114