2025fic初赛复盘
第一部分 网页快照
1. 请分析检材一,该取证录像文件的 SHA256 值为
常规题,直接放到hashtool一搜就好了,答案为:2753DA22FE23CADAADC14FE4C1D5096A153360D9F91097EA376846431F5C1567
2. 请分析检材一,远程取证所使用的 OBS 工具版本号为
视频开头就是,29.1.3
3. 请分析检材一,该检材所使用的远程取证的工具名称为
如图,显然是网镜,选A
4. 请分析检材一,在该检材中,远程取证过程中校验的北京时间为
如图,环境监测时间为13:36:18,所以答案为D
5. 请分析检材一,远程取证的网站 IP 地址为
如图,IP地址为172.16.10.200
6. 请分析检材一,在该检材中,远程取证的网站密码为
如图,admin123(甚至好心的帮忙打开了密码可见)
(后边不做了)
第二部分 手机取证
请分析检材二,请分析”手机”检材,并回答,并回答该手机的device_name是?
放到火眼去发现手机可以分析出IMEI值,根据IMEI值可以利用微信公众号得到一个手机的具体型号,因此答案如下:
(我写的就是红米6 Pro,答案不知道批不批,别跟我说只有Redmi6 Pro才对)
2. 请分析检材二,请分析”手机”检材,并回答,嫌疑人pc开机密码是什么?
便签里可以看见这些内容,当时有想到说可能去便签的数据库找一下内容
其实都找到这个界面了。。我划了两下没看见走了,然后猜一二列是qazwsx(我服了)
其实在里边,pc密码直接出来了,就是1qaz2wsx
3. 请分析检材二,请分析”手机”检材,并回答,嫌疑人接头暗号是什么?
跟上边的数据库有关,上边的没找到所以后边的也没有()
如图,接头暗号应该是
{“note”:[{“format”:”HEADING”,”text”:”接头暗号”},{“format”:”IMAGE”,”text”:”ub690t1mq9kelnah.png”},{“format”:”CHECKLIST_UNCHECKED”,”text”:”说上述暗号”}
即一张文本命名为ub690t1mq9kelnah.png的图片
OCR一下
直接出来了
4. 请分析检材二,请分析”手机”检材,并回答,嫌疑人存放的秘钥环是多少?
直接搜索秘钥环,全局检索,直接就出来了是1qaz2ws3edc(我考试为什么没有想出来呢奇了怪了)
5. 请分析检材二,请分析”手机”检材,并回答,嫌疑人一生中最重要的日子是什么时候?
这个简单,这个写出来了,就在手机里有关倒数日软件,或者是在OCR里直接搜重要的日子即可
直接
可以看到
所以是2026.2.26
6. 请分析检材三,请分析”手机”检材,并回答,嫌疑人微信生成的聊天记录数据库文件名称是什么?
这个常识题啊,但是跳转到源文件其实也一样,反正都能知道
就是EnMicroMsg.db
7. 请分析检材二,请分析”手机”检材,并回答,嫌疑人微信账号对应的 UIN 为多少?
如图可以直接看,当然也可以向我下边一样找到老巢/data/data/com.tencent.mm/shared_prefs/system_config_prefs.xml
也一样
8. 请分析检材二,请分析”手机”检材,并回答,嫌疑人微信聊天记录数据库的加密秘钥是什么?
知道uin了,直接用小工具(可惜我比赛后才下,比赛的时候搜到说是uin+imei然后md5加密再取前7位,因为有俩imei所以我用的是meid,我还以为对了)
直接就出答案了(比赛前怎么不知道)
9. 请分析检材二,请分析”手机”检材,并回答,嫌疑人“欠条.rar”的解压密码是多少?
最痛苦的一题,但凡做出来后边还能对不少
在微信里找到相关聊天记录,回到原位置
可以看到有两张图片,怀疑是图片拼接题
果然可以找到一个二维码
如图,得到陈某的电话13170010703,也是欠条的密码:3170010703
(也能这样子做)
10. 请分析检材二,请分析”手机”检材,并回答,嫌疑人“欠条.rar”解压后,其中VeraCrypt容器的MD5值是多少?
纯送分,第九题解出来就简单了
11. 请分析检材二,请分析”手机”检材,并回答,嫌疑人提供的“欠条.rar”解压后,其中”1.png”图上显示的VeraCrypt容器密码是多少?
可以看到屏幕当中有一串字符,应该是相关的密码,其实我觉得挺清楚的,但是也可以对比度加强点啥的
确实会更清楚点
反正是这个#!@KE2sax@!da0h5hghg34&@
12. 请分析检材二,请分析”手机”检材,并回答,嫌疑人李某全名是什么?
李某全名根据那张在欠条vc里的图片可以直接看到是
所以李某可知为李安弘,陈某为陈浩北(可以解下边的题目)
其实这道题不用解出欠条也能知道()
毕竟案件背景里直接写了嫌疑人叫李安弘
13. 请分析检材二,请分析”手机”检材,并回答,嫌疑人欠款金额是多少?
如图,8w元(给我蒙对了,爽死我了)
(这次属于我所对标的手机取证到此为止,难度其实不高,主要在于没能发现两张图片可以通过stegstove发现二维码,如果找到这个的话可以多做很多题,可惜了,还有一些简单题没能做出来也蛮不应该的,唉,盘古石杯再接再厉吧)
第三部分 介质取证
1. 请分析检材三,请分析”电脑”检材,并回答,该电脑最后一次开机时间是?
如图,利用火眼先分析
所以最后一次开机应该是2025-04-14 11:49:47,选C
2. 请分析检材三,请分析”电脑”检材,并回答,嫌疑人的备用机号码是多少?
从火眼看发现根本没有手机号码,推测应该不是在火眼,先打开虚拟机,看看能否找到虚拟机中的便签软件
发现确实有这玩意啊
一个个打开来看看,也不多
看到这一个的时候其实一瞬间可以看到很大的数字,选中就清楚多了
备用机号为18877332134
(上边不是白色的图,是查到备用机号之后我去火眼看了一眼,我发现火眼其实取证出来了,但是把这个颜色也带上了,眼力好的其实真能看见,做出来之后我瞄着能看清,拖一下的话倒是更清楚)
3. 请分析检材三,请分析”电脑”检材,并回答,域名dgy02.com曾保存过一个密码,该密码是多少?
打开虚拟机的Chrome,自己会跳出来这个(我为什么一心想在自己电脑上找?)
根据案件背景,这台电脑和手机同属于李某,手机上出现过秘钥环三字(在电脑上是怎么找都找不到的),填入
打开浏览器后选择右边侧栏的密钥管理
可以看到里边就这一个网的密钥存储,打开来就看见了tcgg123456
4. 请分析检材三,请分析”电脑”检材,并回答,其电脑安装的微信版本是多少?
这个直接火眼了
软件信息一查wechat直接跳答案了
也可以在虚拟机用指令apt list –installed
就是有点多,可以指定一下就微信apt list –installed
可见也是4.0.0.21
5. 请分析检材三,请分析”电脑”检材,并回答,该系统有哪些远程控制软件
直接搜就出来了
6. 请分析检材三,请分析”电脑”检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,其记录的日志文件名为
题目说是2025.4.10内11.4.29的向日葵日志文件,因此直接搜索向日葵的文件看看,搜索sunlogin
注意:日志文件一般以“.log”为后缀,例如“server.log”
根据时间,初步可以确定可能是这个
回到原位置打开来看看,找到4.10的11.4.29
是这样一部分,那就可以确定了,就是这个日志文件,所以答案就是这个sunlogin_service.log.2
7. 请分析检材三,请分析”电脑”检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,日志内记录对方公网IP地址和端口为
跟上题在同一个位置,可以看到这边写着成功接收到公网,后边跟着的就是ip和端口了
ip为:116.192.161.222
端口为:2577
8. 请分析检材三,请分析“电脑”检材,并回答,某文件的MD5值为“2bdfcdbd6c63efc094ac154a28968b7d”,该文件名为
先在这边设置一下右键快速计算哈希
其实这个看着挺诡异的,就独立一个然后也没用到过,可以猜测一下是不是这个算一下(或者可能只能全部去下或者)
发现还真是这个,所以答案为important.docx
9. 请分析检材三,请分析”电脑”检材,据调查,上述文件存放了钱包助记词,第一个单词是什么?
说到助记词,那就不得不提上边的important.docx了,显然这里边暂时是没有的,观察到这个十六进制开头是个zip格式,所以应该是变过来的,变回去看看
直接改成zip格式看里边到底有点啥
发现里边内藏了一个important文件
.xml格式肯定还是不对,老样子放到winhex看一眼文件头(一个把戏玩两遍是吧)
FFD8FF是JPEG文件的常见开头,改好之后就是这样子
所以第一个词答案是solution
(不是为什么xml文件直接扔给微信会直接跳出图片啊???)
奇了怪了
问ai之后跳出来的解释是这样子的
原来是这样!这个好玩欸!
10. 请分析检材三(“我的测试机”),最近曾访问过的音频文件,该音频文件的文件名是什么
很容易找到这个测试机,同样放到火眼分析
音频文件是“自传小说.MP3”
或者打开虚拟机一看,上边大大的放着一个自传小说
11. 请分析检材三(“我的测试机”),最近曾使用过USB设备,该设备的名称为
火眼分析测试机的镜像,可以直接分析出usb使用记录
如图,所以是thinkplus,选A
12. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人现任妻子毕业的大学是?
意思是要听一下这个音频内容
时间有点长所以可能转起来会需要些时间,但是后续都和这个音频有关
而且有河南话选项还挺厉害
果不其然要钱啊
提取出内容后可以用ai阅读一下
得到说最后他现任妻子毕业于北京大学(上海大学那个分了)
13. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人是通过一个朋友认识的陈老板,该朋友姓氏拼音是?
同理啊,拼音是wang
14. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人所说的香格里拉大酒店实则是?
桂明老千管辖的棋牌室的后院
跟给的格式保持一致的话就是后院
15. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人银行密码是多少?
是音频分段的藏头诗
07145924
因为音频明显是分段的,这个分段不会毫无意义,而分成那么多段的第一个字便是答案
想出这个的也是神人了
第四部分 互联网取证
1. 请分析检材二,找到李某上游人员陈某博客宣传所用域名为
这个好找,就在微信聊天记录
靠这个联系的
利用火眼直接隐写分析
得到域名为chen.foren6
2. 请分析陈某宣传所用域名,该域名的顶级域名在以下那个区块链注册
域名以.foren6结尾,属于自定义顶级域,因此选b
3. 请分析陈某宣传所用域名的顶级域名的域名解析服务器(DNS)共有几个
调查域名当然要用dig指令了
dig(domain information group)是常用的域名查询工具,可以从DNS域名服务器查询主机地址信息,获取到详细的域名信息。
陈某所用的顶级域名为.foren6,因此dig ns foren6
(我不知道为什么我dig不出**ANSWER SECTION**的部分)
利用dig +noall +answer NS example.com.指令还是可以看到DNS有俩
成功了!!!!!!!
在虚拟机nat连接下配置net8为下图后成功连上了这个DNS服务器!!!
成功dig出了!!!!!!!
多亏了两位朱学长
至于为什么是这个地址,那是因为这是HNS区块链
4. 请分析陈某宣传所用域名的顶级域名的NS1服务器ip为
同理利用dig ns. varo 得到服务器ip
我搞不到answer,因为没连接上区块链,所以自然dig不出啥答案,至于咋连我也不知道(再想想吧)
现在搞到了!!!
5. 请分析陈某宣传所用域名,该域名DNS记录指向邮件服务器域名为
输入指令dig mx chen.foren6
答案为mail.163.com
6. 请分析陈某宣传所用域名,该域名的txt记录中chen的值为
终于成功了,就是这个!chen=fengbaoliejiu
7. 请分析陈某宣传所用域名,该域名DNS记录没有以下那个域名
用 <font style="color:rgb(0, 0, 0);background-color:rgb(250, 250, 250);">dig ANY</font> 来查看域名解析的全部信息
A选项拥有answer,所以有这个域名
B选项拥有answer,所以有这个域名
C选项拥有answer,所以有这个域名(我不清楚为什么别人wpdig不出这个answer,但是我真dig出来了,可能后期改了???)
D选项无answer,所以最后是D选项
8. 请分析陈某宣传所用域名,该博客域名最终DNS解析指向的github仓库名为
直接尝试输入网址chen.foren6
会直接跳到blog.chen.foren6
然后再尝试dig一下
所以答案是chewhaoN.github.io
9. 请分析陈某github账号,陈某对jkroepke/2Moons项目增改了几个文件
上GitHub!
在这边甚至可以确定第二题肯定选hns
根据chewhaoN.github.io可知陈某用户名为chewhaoN
因此直接输入网址https://github.com/chewhaon便可以看见其个人页面
将chewhaoN的2moons和jkroepke的进行对比,发现其修改了俩文件
所以修改了俩(好吧但是不知道咋对比)
或许可以将 chewhaoN/2Moons 和 jkroepke/2Moons 分别克隆到本地, 删除两个文件夹内的 .git 目录, 使用 git diff 指令, 进行比对
10. 请分析陈某github账号,陈某在修改2Moons过程中提到了什么锅底
不好意思这题和第十一题都做不来()
11. 请分析陈某github账号,陈某在游戏2Moons中放置的后门连接码的密码为
如上,能力有限
12. 请访问陈某当前博客,陈某课程的扫码报名地址的域名为
这个简单啊
这么大个二维码,扫一下里边网址是
fic.forensix.cn(这不是fic官网吗。。)
13. 请分析陈某当前博客,通过互联网找到陈某的旧博客网站标题为
旧博客,在上边可以看到
但是点进去是这样子的
这个时候就需要用到小工具,网页时光机了
直接输入网址
4.26的快照打不开了,只能打开4.7的
来了嗷
标题可见,网站标题叫柳如烟大战霸天虎
14. 请分析陈某旧博客,陈某的姓名为
陈浩北,其实欠条里也有写
15. 请分析陈某旧博客,陈某的邮箱地址为
在网页源代码搜索@,易见邮箱地址为mailme@chen.foren6
16. 请分析陈某旧博客,陈某的11位手机号为
就在上边那张图邮箱头上,13170010703
17. 请分析陈某旧博客,陈某最爱的dota英雄为
根据那篇文章的标题“圣刀会也没我这么厉害”
百度搜索
这是邪影芳灵语音,所以自然选这个了
(终于写的差不多了,fic初赛感觉总体难度还是中下吧,作为一个pgs前的练手还是蛮不错的,主要是因为很久没有做取证题目了,可能要有四五个月,所以很多简单题都没做出来,最后得分是240,但我个人认为其实能力范围内的大概有350分左右,这些并没有特别超纲,属于是我看wp之后马上就能搞明白的)
期待明年的fic,明年幽清晨一定不止优胜!