2025SPC电子取证竞赛初赛

案件背景:

警方接到某车企报案，称其各大平台推广下存在大量AI水军。警方迅速利用大模型对各大平台文章下的评论进行分析，获得异常评论的相关信息。通过研判、调证等手段，警方成功端掉该水军窝点。并抓获与窝点相关的犯罪嫌疑人李某和苏某，并对窝点中和嫌疑人所持有的检材进行了证据固定；

根据嫌疑人交代，李某承接了某车企的宣传工作，采用了蹭流量的方式，去大肆抹黑名牌“特苏”汽车，并宣扬自己车企新车的亮点；李某结合了当下流行的AI技术，让技术人员苏某训练模型，从而达到AI自动化生成文案的方式，进而使用这些文案通过大量云手机和虚拟账号在各大平台上发布相关言论，对受害车企造成了极大的影响；

接下来,我们将深入分析该案先相关的关键证据文件,揭开这个AI水军团伙的犯罪事实！检材情况如下：

检材1：计算机

检材2：服务器

计算机取证

1.请分析技术PC检材，该计算机的开机密码为？

拿到检材，一个PC一个服务器，自然去把仿真开起来先，这样子也好进行下一步

而我们在挂载计算机仿真的时候其实就能看见计算机的开机密码了，火眼给自动调出来了

所以直接可以得到密码为admin

当然了，完全不用仿真的话，在火眼证据分析里也能直接看到答案

就这个admin有密码，也就它有登录时间

而且有他的用户文件夹，所以基本确定就是这个账号，而密码就是admin

所以本题的答案为admin

2.请分析技术PC检材，该检材中的最后一次正常关机时间

直接在开关机时间里边进行降序查看（其实我觉得这个不是正常关机，最后应该两个都算了）

发现最后一次正常关机就是2024/6/7 17:00:44（注意一下标准格式，省略了0，而且是/分割的）

3.请分析技术PC检材，该检材中存在VC容器，该容器中存放了多少张苏某生成的AI图片？

这一题有两种做法吧，首先是正常做

我们说分析VC容器，那肯定是先找VC容器

计算机虚拟机打开后在桌面就能看见一个.vc结尾的文件

查看属性后发现0字节，那有用的只有这玩意的名字了（0字节不能当密钥文件），所以猜测VC的密码很有可能就是SBboos

接下来就是找容器了

在C盘我们发现一个很可疑的容器，看起来像Windows 操作系统创建的标记文件，但并未隐藏

很有可能是假的名字，尝试作为容器，填入SBboos

成功挂载

就能看到里边的所有内容了，得到说一共有7张AI图片

然后来说一下邪修做法

下边一题的题干说明了00032-3240475050.png是AI的生成图片，所以我们完全可以尝试搜索

然后跳转过去

可以发现有7张照片，都看一下确实是AI的照片

但是虚拟机过去是空的，我怀疑是之前作为临时文件在这，然后被火眼逮捕了

总之这样子也能做出来7，但是肯定还是找到VC容器解密最正派

4.请分析技术PC检材，该检材中文件名为”00032-3240475050.png”的Ai生成图片正向提示词包含如下哪些内容(多选题)

A.Caronfire:4

B.electriccar

C.outdoorsbackground

D.bestquality

跟刚刚那题一定是连着的，所以我的想法其实是找Ai软件先，然后去找这个AI的日志，但是在VC没有找到任何的日志文件，软件也没找到

这个想法应该是错的

我们定位这个图片，猜测可能相关信息就直接藏在图片内部，因此我们塞到Winhex看一眼

发现这个照片IDAT前边藏了一堆的信息啊

在这边我们就能看到相关正向提示词，所以这一题应该是BCD，A应该是1.4而非4

5.请分析技术PC检材，该检材中文件名为”00032-3240475050.png”的Ai生成图片使用的模型是

跟上题同一张照片，依旧在Winhex中，我们定位关键词Model，然后即可发现内容为 xxmix9realistic_v40

这就是本题的答案，模型为 xxmix9realistic_v40

6.请分析技术PC检材，嫌疑人为自动生成关于”特苏汽车”的相关评论，使用Python脚本创建了一个web程序，用以调用Ai网站接口，该脚本调用Ai接口使用api的key为?

桌面上就一个ai文件夹

打开ai.py看看

上来直接就是这个，搜都不用搜，所以答案就是这个

7.请分析技术PC检材，该检材中上述脚本访问Ai接口使用的模型是

问模型，跟第五题是一个思路，我们直接搜索model关键词就好了

同样问的是ai所以我们在ai.py找

直接就能定位到，因为llama3被注释掉了

所以用的实际模型是gpt-3.5-turbo

即为答案

8.请分析技术PC检材，该检材中嫌疑人虚构了几条”李安安”关于”特苏汽车”的经历

规则同样存储在Ai.py，很容易发现，因为内容不是很多，那么大一块

然后就是找经历数目了，我们拖出来看看

有点长，但是由于有括号提示，因此手动找起来不是很麻烦其实，如果问ai的话要注意技巧，否则ai会以为自己是李安安。。。

值得注意的是问的是经历，不是设定，所以我们需要定位到经历的部分（某农场做出来6纯是把经历前的两次也统计进去了）

其实花括号已经统计好了，就4件事：车厢异味、内饰丑陋、维修价格高昂、车辆自燃

所以答案是4

9.请分析技术PC检材，嫌疑人本地安装的用于模型训练的工具名称为

本地训练ai模型，本地运行部署大模型明显是ollama啊

而且还有记录

在虚拟机也很容易被定位到，开机自启了这个东西

所以本题的答案就是ollama

10.请分析技术PC检材，嫌疑人在本地化Ai软件中安装的模型名称为

直接命令行搜索就好了其实，ollama的模型只要直接ollama list就能列出来

所以模型的名称就是llama3:lastest

11.请分析技术PC检材，下列关于本地化AI软件来源描述正确的是？

A.苏某使用USB设备接入到虚拟机中，将程序安装包复制进入虚拟机

B.苏某使用虚拟机中的浏览器将程序安装包下载到虚拟机中

C.苏某将安装包下载到其物理机中借助vmtools将安装包拷贝到虚拟机中

D.苏某通过微信好友的方式，将安装包传输进入到虚拟机中

直接上来想溯源安装包搜索ollama发现找不到

所以我们可以尝试搜一下模型在哪里

发现模型放在了VMwareDnD的文件夹中

VMwareDnD里边放的都是从宿主机复制粘贴导Ubuntu的临时文件

所以选C，是物理机进去的

12.请分析技术PC检材，该检材中嫌疑人使用的邮箱账号是

虚拟机最下边有一行任务栏，里边自带邮件，打开来直接就能看见

其实火眼里看用户列表也能看见，关联着admin

答案为xiaosu0607@outlook.com

13.请分析技术PC检材，该检材中嫌疑人向老板的邮箱发送了一个Ai生成的图片，该图片的seed值是

虚拟机的邮件里看已发送的就这一条

所以可以定位到这一个图片应该是00037-3240485055.png

根据刚刚的经验，提取出来看看

跟刚刚的做法一样，直接看十六进制就好了，搜索Seed

得到Seed值为3240475055

14.请分析技术PC检材，AI测试对话共有多少条记录

这边直接就有个测试数据

打开来一看30条，所以答案就是30，很简单吧

15.请分析技术PC检材，本地AI模型软件监听的端口号为

监听一般会生日志文件

正好看见个web.log

根据内容可以判断确实是个AI模型的监听日志

所以端口就是开头的5000

服务器取证

我建议是NAT模式挂载

1.分析检材，该镜像文件的SHA256值是？

镜像文件的哈希值，直接把镜像文件扔hashmyfile算一下就好了

甚至不用挂载的题目出现了

唯一的问题就是答案格式也不说最后是大写还是小写

所以答案是fbfae35e6a525cb6a439b9998dfa4bdad19eadc6fd94ab3aa4cb869834fd7d90

2. 分析检材，该镜像中操作系统的内核版本号是？

问基础信息，那直接一把梭，火眼直接能看到

当然你也可以挂载之后输入命令uname -r来查看操作系统的内核版本号

答案为3.10.0-1160.el7.x86_64

3. 分析检材，系统有几次登录失败的记录数？

火眼直接能看到，失败就2条，答案为2

4. 分析检材，宝塔面板对应的账号是什么？

账号其实跟用户名一样

直接能看到就是k2zrruet

当然把宝塔搭起来也一样了

直接输入发现不行，于是我们想到去搜索一下bt到底搁哪呢

1	`find / -name "bt" 2>/dev/null`

发现就这三个路径有，最像的就是/etc/rc.d/init.d/bt

我们直接运行

根据我们对宝塔的了解，自然是14来看信息，然后用户名就出来啦

（乱码是因为我懒得改编码了）

当然你去看宝塔基础信息/www/server/panel/data/default.db也一样

5. 分析检材，Mysql数据库的版本号是？

火眼检测出来了有MySQL数据库，直接出了版本号

当然了输入mysql -V看也可以，所以答案是8.0.24

6. 分析检材，该服务器ssh服务允许root账户从哪个IP远程登录？

其实就是看ssh服务的配置文件而已

一般就存在/etc/ssh/sshd_config里

我们cat一下

cat /etc/ssh/sshd_config

就能看到allow的ip只有192.168.100.1

（所以如果ip是192.168.100.x就可以连上ssh了，去/etc/rc.d/init.d一启动宝塔就能连了）

所以这一题的答案是192.168.100.1

网站重构

差不多也该重构一下了，总不能一辈子不启吧

按照一般做法我们都是先连ssh，然后启动宝塔，最后上网站

但是本题目的宝塔都不是那么好连hhhh，主要是没必要，这个宝塔的版本太低了，所以咱启动完之后直接看就好了吧，不连宝塔就不连了

网站我们在火眼能知道是

我们先输入systemctl status bt看看宝塔情况

Warning了，根据这个信息直接systemctl daemon-reload

OK宝塔是在运转的

端口默认80，也放行了

最后我们去hosts加一下映射

查一下ip

所以我们在hosts文件末尾这样子加

加一个静态映射

就登录上去啦（这个其实跟网站根目录下边的index.html内容是一致的，所以只有个Hello并不奇怪）

就成功了，很简单吧，宝塔panel都不用开，你上宝塔panel就是方便看一下文件系统而已，意义不大

7. 分析检材，网站后台的uri是？

直接追踪到网站根目录，可以看到adm_hx_s文件夹（像不像admin_huaxi_server）

点进去，发现确实很像后台目录，login什么的都有

所以本题目就是/adm_hx_s

当然了，这边你也可以试试看呀

url输入/adm_hx_s后自动跳转到了login

所以答案就是/adm_hx_s

8. 分析检材，网站代码所在的完整路径为？

完整路径在火眼直接能看见

所以答案就是/www/wwwroot/huaxi

9. 分析检材，网站代码中记录了MySQL数据库账号密码的配置文件名为？

问配置文件了，我们去根目录/www/wwwroot/huaxi下进行搜索

发现能搜到一个mysql.php的文件

但是这个文件里没有账密，在引用这个pdo.php，就在同路径

我们打开看看

还真有

所以本题的答案就是pdo.php

10. 超级管理员用户的密码在加密过程中共进行了几次哈希值计算

有了上一题，我们可算是可以连接到MySQL的数据库了

mysql状态良好

账号：huaxi

密码：djGwxzpbdGs3yT8t

来连接一下，选择ssh连接

这边的密码是123456

这边是djGwxzpbdGs3yT8t

然后我们就可以看数据库啦~

我们在hx_admin表下很明显可以看到超级管理员和所谓的md5值，对应题目说的哈希，基本可以确定哈希算法就是md5，接下来就是几次的问题了

那我直接在这个网站根目录搜md5就好了

内容不多，很容易定位到是这个common.php文件

所以就是2次md5，然后对截取第六个之后的20个字符

知道这样子之后我们去构造123456的加密字符串

发现是600b1fd579f47433b88e

所以这边两个管理员的密码都是123456

我们把超级管理员也改成这样子

我们把账密全部改成这样子，就可以得到密码是123456了，我们也可以上网站了

这题答案不难，就是2

11. 该网站对超级管理员用户名也进行了加密处理，请问加密时所使用了rsa算法，该私钥对应的变量名是

在mysql.php同目录下其实我们就看见了所谓的rsa.php，根据mysql.php位置的内容，可以合理推测这个就是rsa算法的php文件

打开来直接搜索private

即可发现变量名为$resPrivateKey，所以本题答案即为$resPrivateKey

12. 超级管理员的密码明文是什么

我们不可能直接去爆破刚刚那个两层md5的

因此我们想到能不能去看看网站管理日志，看看有没有出来的

发现真的有，就在第一页

所以答案就是dgdfhd@#$%f3464

13. 重构并登录到网站后台，“主页-控制台”中页面显示的会员数量是多少

已经一步步重构并登录到网站后台啦

我们按照题目按部就班就好

控制台，会员数量

所以是4423个

14. 重构并登录到网站后台，“主页-控制台”中默认情况下显示的充值记录共有多少页数据

控制台确实有充值记录

点进去一看一共52页（好多凌云啊）

15. 分析该网站，用户充值的总金额为

问充值总金额，我们肯定是看充值记录

之后怎么做都可以，我们可以先导出来，导出csv

直接sum一下就出来了，4230419

当然我们也可以去mysql数据库看

英语很好的Jerry说一眼就看到了有个英语单词叫deposit，有存款的意思

而这边的money求和即是答案

SELECT SUM(money) AS total_money FROM hx_log_deposit;

答案也是4230419

16. 已删除的用户有多少个

我们在数据库找到记载用户的表格，前端删了肯定看不见

发现这张表有写is_delete，即是否删除

我们统计1，也就是被删除的用户

SELECT COUNT(*) AS deleted_count FROM hx_user WHERE is_delete = 1;

得到答案为729

17. 人数最多的群组名称

问群组，直接定位到hx_group表

我们直接查询让number变成倒序，于是确定群组

得到名字：小嘉5-300群内自动579高倍

18. 注册手机尾号为0066的用户，共有几个好友

后边几题都是这个手机尾号0066的用户

先明确这个人叫啥

原来是小苹果，id是800204

我们去搜搜看他有多少个好友

先输入id，然后搜索后看看”友”

发现有15页多7个（其实右边直接写了157条）

所以是157个

19. 注册手机尾号为0066的用户，银行卡号为

跟钱有关啊，那我们去充值提现什么的里边找找看

id依旧是800204

欸？加密了

这边正派做法就是去解密啦，我们在/www/wwwroot/huaxi/adm_hx_s/include/ajax/obtain.php是可以看到加密的过程的

我们直接修改这一部分即可，直接修改这个function logList()

这一部分改掉就好了

if ($_GET['category'] == 'withdraw') {
    // 合并处理bank和xpay渠道
    if (in_array($lt['channel'], ['bank', 'xpay'])) {
        $auth = Mysql::get('#@__user_auth', 'user_id', [$lt['user_id']], 'name');
        // 修改1：获取加密的完整卡号（number_rsa字段）
        $bank = Mysql::get('#@__user_bank', 'id', [$lt['bank_id']], 'bank,number_rsa');
        $lt['name'] = $auth['name'];
        if (!empty($bank)) {
            // 修改2：使用RSA私钥解密获取完整卡号
            $full_number = Rsa::privateDecrypt($bank['number_rsa']);
            // 修改3：显示完整卡号
            $lt['account'] = $bank['bank'] . '-' . $full_number;
        } else {
            $lt['account'] = '已删除';
        }
    }
    // 这里可以添加处理其他渠道的elseif或else逻辑
}
$result[] = $lt;