2025 FIC wp
这次比赛计算机和手机大部分题目都比较常规 第一和第四部分有点让人摸不着头脑 比赛的时候第一部分有四个题没出 第四部分基本都没怎么出 现在复盘一下 把我当时做题的心得和获取的新知识记录一下 互联网取证的部分就先学习一下别的师傅
检材
链接:https://pan.baidu.com/s/1mpv6JZsVOpZ4eOyeiSBgxw
提取码:l200容器挂载密码:3x@9Qm!V8e$vL%6d^Yr5o*C#Nk7h&ZpFbW2sG4jXuD1cO0lTgAqHwRnIzJyM-_+K=
案件背景
检材一
1.请分析检材一,该取证录像文件的 SHA256 值为
2.请分析检材一,远程取证所使用的 OBS 工具版本号为
看视频里面的内容
29.1.3
3.请分析检材一,该检材所使用的远程取证的工具名称为
4.请分析检材一,在该检材中,远程取证过程中校验的北京时间为
2025/04/09 13:36:18
5.请分析检材一,远程取证的网站 IP 地址为
172.16.10.200
6.请分析检材一,在该检材中,远程取证的网站密码为
admin123
7.请分析检材一,在已固定的“订单列表”中发现有一页缺失。请找出缺失页面的具体页码为
200面404了 应该是200面
8.请分析检材一,补充“订单列表”中缺失页面的数据后,统计订单的总数为
9.请分析检材一,补充“订单列表”中缺失页面的数据后,统计已完成订单中“老李监控批发”的订单数为
10.请分析检材一,补充“订单列表”中缺失页面的数据后,统计已完成订单中“老李监控批发” 的ZK-101产品的订单数为
11.请分析检材一,补充“订单列表”中缺失页面的数据后,统计已完成订单中“老李监控批发”产品在上海区域的订单数为
12.请分析检材一,补充“订单列表”中缺失页面的数据后,统计已完成订单中“老李监控批发” 的销售情况,并计算“赵磊(13967346658)”优惠后的总金额为(例如,优惠率为10%时 按原单价的90%计算)
13.请分析检材一,补充“代理列表”中缺失页面的数据后,统计代理人的最大层级数为(其中顶级代理的用户定义为第1层)
这个部分可以看那个原本的文件夹 发现是第一面缺失 然后手动截图
因为那个图片比较小 所以可以把图片放在一起 然后用wps转换为表格
将这个转换为excel表格之后丢给ai
4
14.请分析检材一,补充“代理列表”中缺失页面的数据后,统计每位代理的直接下游人数,并确定直接下游人数排名第一的代理人为
李玲娟
15.请分析检材一,补充“代理列表”中缺失页面的数据后,根据地址信息统计各区域的代理人数,并确定上海区域的代理人数为
2人
检材二
1.请分析检材三,请分析"手机"检材,并回答,并回答该手机的device_name是?
自动分析不出来 这里提供两个思路
直接暴力搜索device_name 可以直接得到设备的名称
redmi 6 pro
还有一种方式就是通过imei
这里可以直接看到也是红米6 pro
2.请分析检材二,请分析"手机"检材,并回答,嫌疑人pc开机密码是什么?
这里有开机的密码提示 但是不是很明显 我们可以接着搜索看看
既然是秘钥环和开机密码存在一起 那就可以直接搜索秘钥环 这样子结果比较精准
搜索秘钥环 然后就找到了Google秘钥环的密码 1qaz2wsx3edc
同理pc密码是一列二列就应该是1qaz2wsx
其实后面有印证 可以在后面找到更具体的验证
3.请分析检材二,请分析"手机"检材,并回答,嫌疑人接头暗号是什么?
暴力搜索接头暗号
发现是存在这个软件里面的数据库
用这个db browser打开看 更好翻阅
这里可以找到上面那道题的pc密码 1qaz2wsx
然后这里的接头暗号也可以找到
是一张图片 我们到文件系统里面找到这张图片
爱能不能够永远单纯没有悲哀
4.请分析检材二,请分析"手机"检材,并回答,嫌疑人存放的秘钥环是多少?
上面直接有暴力搜索的答案
1qaz2wsx3edc
5.请分析检材二,请分析"手机"检材,并回答,嫌疑人一生中最重要的日子是什么时候?
这里是一开始翻检材图片的时候就可以翻到
其实一打开手机或者计算机的检材我们就可以 按照图片由大到小的顺序排序 这样子可以筛选出很多有用的图片
像行测的题目
2026-2-26
6.请分析检材三,请分析"手机"检材,并回答,嫌疑人微信生成的聊天记录数据库文件名称是什么?
这个是常识
也可以跳的源文件查看
EnMicroMsg.db
7.请分析检材二,请分析"手机"检材,并回答,嫌疑人微信账号对应的 UIN 为多少?
uin直接出来
1864810197
8.请分析检材二,请分析"手机"检材,并回答,嫌疑人微信聊天记录数据库的加密秘钥是什么?
GitHub - WXjzcccc/ForensicsTool: 简单的取证工具
解密工具一把梭
31ad809
9.请分析检材二,请分析"手机"检材,并回答,嫌疑人“欠条.rar”的解压密码是多少?
查看聊天记录 发现聊天记录里面有线索 这个图片里面有应该有联系方式
导出来用010分析一下
发现都是正常的数据 没有异常数据
换个工具查看 用stegsolve 隐写直接查看
两张照片对比可以看出来
多了一个二维码
扫描结果就是 +1 3170010703
最后用3170010703可以解锁
10.请分析检材二,请分析"手机"检材,并回答,嫌疑人“欠条.rar”解压后,其中VeraCrypt容器的MD5值是多少?
解锁之后就可以看到
欠条就是加密容器
a8b61f928c5dcde3bd777ffb1d464b29
11.请分析检材二,请分析"手机"检材,并回答,嫌疑人提供的“欠条.rar”解压后,其中 "1.png"图上显示的VeraCrypt容器密码是多少?
12.请分析检材二,请分析"手机"检材,并回答,嫌疑人李某全名是什么?
挂上vc
是 李安弘
后面那个互联网取证陈某的名字也可以在这找到
13.请分析检材二,请分析"手机"检材,并回答,嫌疑人欠款金额是多少?
80000
检材三
1.请分析检材三,请分析"电脑"检材,并回答,该电脑最后一次开机时间是?
A.2025-04-15 16:21:41
B.2025-04-14 11:48:47
A
2.请分析检材三,请分析"电脑"检材,并回答,嫌疑人的备用机号码是多少?
当时是填了 便签贴里面的内容
感觉好像不太对 但是找不到别的答案
1506666
3.请分析检材三,请分析"电脑"检材,并回答,域名dgy02.com曾保存过一个密码,该密码是多少?
这个仿真进去 之后用上面手机找到的密码做
tcgg123456
4.请分析检材三,请分析"电脑"检材,并回答,其电脑安装的微信版本是多少?
4.0.0.21
5.请分析检材三,请分析"电脑"检材,并回答,该系统有哪些远程控制软件
A.todesk B.向日葵 C.爱思远控 D.raylink
AB
6.请分析检材三,请分析"电脑"检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,其记录的日志文件名为
递归浏览 选择一下路径然后翻看 里面的文本文件
可以直接发现第一个就是日志文件
sunlogin_service.log.2
7.请分析检材三,请分析"电脑"检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,日志内记录对方公网IP地址和端口为
- 公网IP地址:
116.192.161.222 - 公网端口:
2577
8.请分析检材三,请分析"电脑"检材,并回答,某文件的MD5值为“
2bdfcdbd6c63efc094ac154a28968b7d”,该文件名为
每个分区分别更新一下快照 计算一下md5
然后递归浏览 删选条件是md5 就可以在分区六里面找到这个文件
就是这个important.docx
9.请分析检材三,请分析"电脑"检材,据调查,上述文件存放了钱包助记词,第一个单词是什么?
打开文档只有这个内容
改为zip 之后翻看里面的内容
这个很明显是个图片文件
就可以知道助记词是 solution
10.请分析检材三(“我的测试机”),最近曾访问过的音频文件,该音频文件的文件名是什么
把虚拟机的vmdk导出来 然后用火眼跑一下
music里面有个自传小说 可以知道是这个答案 自传小说.MP3
11.请分析检材三(“我的测试机”),最近曾使用过USB设备,该设备的名称为
256GB thinkplus
12.请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人现任妻子毕业的大学是?
讯飞听见-在线语音转文字-录音转文字
或者用这个
听脑AI|智能语音助手-免费在线录音转文字,视频转文字,视频文案提取,AI生成会议纪要,AI问答
用这个平台可以识别里面的河南话
转换完了之后我们来看线索
上海大学
13.请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人是通过一个朋友认识的陈老板,该朋友姓氏拼音是?
Wang
14.请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人所说的香格里拉大酒店实则是?
灰色产业链
15.请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人银行密码是多少?
是音频分段的藏头诗
07145924