DigiForensics 电子取证技术学习平台
登录 注册
2026FIC决赛 2026 决赛

2026FIC决赛——手机

围绕 2026FIC决赛 的公开复盘与解题记录。

上传者:是羊羊羊呀 发布日期:2026-05-26 56 次阅读

检材二 手机

  1. 分析手机检材,该手机设备名称为?

答案:REDMAGIC 9 Pro+

方法一:设备名称一般被写在设置有关的默认文件里,但是嫌麻烦的话可以直接暴力搜索关键词譬如device device_name之类的。data\system\users\0\settings_global.xml

image.png

方法二:嗯,比赛啥题目不会做的时候就在乱看检材的图片,发现他截图了设备名称......

image.png

  1. 分析手机检材,该手机系统 magisk【环境版本】 为?

答案:30600

进配置文件夹看看,然后在这个路径搜索有关于version的关键词

image.png

image.png

  1. 分析手机检材,嫌疑人通过盖世游戏 app 安装的《最终幻想》游戏版本是?

答案:XIII

首先要明确盖世游戏的主包是什么。 com.xiaoji.egggame image.png 然后标记搜索出来的所有文件夹和文件和“嫌疑”,搜索关键词譬如game``fantasy``final可得答案 image.png

  1. 分析手机检材,5 月 6 日,嫌疑人最后一次使用谷歌套件中的某个 app,其包名是?

答案:com.google.android.googlequicksearchbox

火眼时间线,筛选“com.google"就行

  1. 分析上述 app 5 月 6 日推送新闻的相关痕迹和缓存,新闻《男子拾获钱包以为天降横财》中事件发生的地点是?
  2. 分析该手机关机信息情况,最近一次因电池异常过热导致关机的北京时间为?

答案:2026-01-21 17:28:02 image.png

image.png

  1. 分析手机检材,北京时间 2026-05-06 10:43:38 左右哪些应用的通知被查看了?

com.v2ray.ang com.quark.browser com.ai.assistance.operit com.stevesoltys.seedvault

使用火眼时间线功能即可,前后五分钟只有AC两个选项出现

  1. 该手机曾进行过一次备份,使用的工具是?

答案:seedvault 思路:先按 Android 备份框架痕迹查 data/backup,再回溯实际 transport 所属包名。系统备份 transport 名直接指向 Seedvault。

image.png

image.png

  1. 使用上述工具进行备份的具体日期是?

答案:2026-05-06 思路:研究工具com.stevesoltys.seedvault,那就要找到工作日志之类的东西。找到工作日志数据库androidx.work.workdb

同行 last_enqueue_time=1778046504179schedule_requested_at=1778047077157时间戳工具转换一下就okk

image.png

  1. 手机重启过程中,屏幕上除厂商 logo 外,还可以看到以下哪些内容?

答案:密码:1-81-8、二维码、FIC`

类似于这种。 image.png

  1. 分析上述除 logo 外的信息,发现与加密后的助记词有关,这里用来加密助记词使用的对称加密算法为?

答案:AES/ECB/PKCS5Padding

  1. 助记词有部分残缺,需要补全的助记词数量为?
  2. 嫌疑人近期使用了一款笔记软件,该应用数据加密使用的主要加密算法为?

答案:XChaCha20-Poly1305 首先要确定是什么笔记软件,首先排除安卓自带的笔记软件 image.png 看一下数据库文件,有key和value,导出来问一下ai属于什么加密算法即可。 image.png

  1. 分析该笔记软件,其数据库一次解密密钥为?

答案:69bf3693d45cd5485cc53cd7ad9c5c5bf769aa48847253c3991ef18bd3f2ae87 明文存储的密钥

image.png

  1. 用来解密 5 月 8 日的收入的二次解密密钥为?

答案:c1790efd9f93361ed78291524d46983d32f866308c4eda7d2228bcd35405e999 用全局 itemsKey 解出自己的 enc_item_key,再用二级 key 解正文(早知道当时copy出来问ai了,失策.....) 输出中 5 月 8 日收入记录标题为 2026年5月8日星期五 at 13:19,正文为 今日收入59275.25,uuid 为 2963e8b4-00b3-4d42-847e-71b2ca79e182 对该 uuid 的 enc_item_key 执行第一次 XChaCha20-Poly1305 解密,得到二次解密密钥 c1790efd9f93361ed78291524d46983d32f866308c4eda7d2228bcd35405e999 再用该 key 解密该条 content,正文成功还原为 今日收入59275.25,确认 key 与目标记录匹配.

  1. 笔记软件中记录 5 月 7 日的收入为?

答案:84826.90 使用上一题的思路继续求解就ok。

  1. 笔记软件中记录 5 月 6 日的收入为?
  2. 手机检材中有一个 AI 助手程序,分析该程序配置与任务,哪个应用程序运行后会清空本地存储内容?

答案:com.tencent.mm.MainActivity 首先怀疑程序com.ai.assistance.operit,分析一下他的工作目录以及自己的目录,还有保存的wokflow。

image.png

image.png

  1. 分析 AI 助手程序调用的模型,结合笔记软件中的记录,用来隐藏银行卡密码的模型文件名为?

答案:ultraman-663M-BF16.gguf 看手机截图或者聊天记录都可以。

image.png

  1. 嫌疑人曾自行修改上题中的模型,他是通过什么原始模型修改而来的?

答案:Tencent-Hunyuan/Hunyuan-7B-Instruct image.png

  1. 被修改后的模型量化精度为?

答案:BF16 看截图就行

  1. 能够提升修改后模型对话能力的虚拟 token 为?

答案:<|hy_place▁holder▁no▁8|> 依旧求助ai

image.png

  1. 分析 AI 助手与笔记软件中的记录,找出银行卡 6 位数字密码为?

答案:525252

充满遗憾的FIC,但是也很开心!认识了好多新朋友~期待下次线下比赛!