2025平航杯—團隊賽

2025平航杯團隊賽

計算機取證

分析起早王的計算機檢材，起早王的計算機插入過USB序列號是什么(格式：1)
分析起早王的計算機檢材，起早王的便簽里有幾條待干(格式：1)
分析起早王的計算機檢材，起早王的計算機默認瀏覽器是什么(格式：Google)
分析起早王的計算機檢材，起早王在瀏覽器里看過什么小說(格式：十日終焉)
分析起早王的計算機檢材，起早王計算機最后一次正常關機時間(格式：2020/1/1 01:01:01)
分析起早王的計算機檢材，起早王開始寫日記的時間(格式：2020/1/1)
分析起早王的計算機檢材，SillyTavern中賬戶起早王的創建時間是什么時候(格式：2020/1/1 01:01:01)
分析起早王的計算機檢材，SillyTavern中起早王用戶下的聊天ai里有幾個角色(格式：1)
分析起早王的計算機檢材，SillyTavern中起早王與ai女友聊天所調用的語言模型(帶文件后綴)(格式：xxxxx-xxxxxxx.xxxx)
分析起早王的計算機檢材，電腦中ai換臉界面的監聽端口(格式：80)
分析起早王的計算機檢材，電腦中圖片文件有幾個被換過臉(格式：1)
分析起早王的計算機檢材，最早被換臉的圖片所使用的換臉模型是什么(帶文件后綴)(格式：xxxxxxxxxxx.xxxx)
分析起早王的計算機檢材，neo4j中數據存放的數據庫的名稱是什么(格式：abd.ef)
分析起早王的計算機檢材，neo4j數據庫中總共存放了多少個節點(格式：1)
分析起早王的計算機檢材，neo4j數據庫內白杰的手機號碼是什么(格式：12345678901)
分析起早王的計算機檢材，分析neo4j數據庫內數據，統計在2025年4月7日至13日期間使用非授權設備登錄且登錄地點超出其注冊時登記的兩個以上城市的用戶數量(格式：1)
分析起早王的計算機檢材，起早王的虛擬貨幣錢包的助記詞的第8個是什么(格式：abandon)
分析起早王的計算機檢材，起早王的虛擬貨幣錢包是什么(格式：0x11111111)
分析起早王的計算機檢材，起早王請高手為倩倩發行了虛擬貨幣，請問倩倩幣的最大供應量是多少(格式：100qianqian)
分析起早王的計算機檢材，起早王總共購買過多少倩倩幣(格式：100qianqian)
分析起早王的計算機檢材，起早王購買倩倩幣的交易時間是(單位：UTC)(格式：2020/1/1 01:01:01)

分析起早王的計算機檢材，起早王的計算機插入過usb序列號是什么(格式：1)

F25550031111202

分析起早王的計算機檢材，起早王的便簽里有幾條待干(格式：1)

5

分析起早王的計算機檢材，起早王的計算機默認瀏覽器是什么(格式：Google)

Edge

分析起早王的計算機檢材，起早王在瀏覽器里看過什么小說(格式：十日終焉)

道詭異仙

分析起早王的計算機檢材，起早王計算機最后一次正常關機時間(格式：2020/1/1 01:01:01)

2025/4/10 11:15:29

分析起早王的計算機檢材，起早王開始寫日記的時間(格式：2020/1/1)

仿真找到存儲筆記的軟件——rednotebook

筆記還挺有意思的，哈哈，里面是一些關于IOT安全的牛馬（黑客）日常

注明了一些密碼

虛擬錢包助記詞

另外爆搜也可以做

2025/3/3

分析起早王的計算機檢材，SillyTavern中賬戶起早王的創建時間是什么時候(格式：2020/1/1 01:01:01)

啟動SillyTavern

使用上面一題的密碼登錄即可——qzwqzw114

2025/3/10 18:44:56

分析起早王的計算機檢材，SillyTavern中起早王用戶下的聊天ai里有幾個角色(格式：1)

4

分析起早王的計算機檢材，SillyTavern中起早王與ai女友聊天所調用的語言模型(帶文件后綴)(格式：xxxxx-xxxxxxx.xxxx)

保存在平臺目錄的文件里

Tifa-DeepsexV2-7b-Cot-0222-Q8

分析起早王的計算機檢材，電腦中ai換臉界面的監聽端口(格式：80)

bitlocker密碼

找到換臉啟動器

7860

分析起早王的計算機檢材，電腦中圖片文件有幾個被換過臉(格式：1)

3

分析起早王的計算機檢材，最早被換臉的圖片所使用的換臉模型是什么(帶文件后綴)(格式：xxxxxxxxxxx.xxxx)

日志文件里找到記錄

inswapper_128_fp16

分析起早王的計算機檢材，neo4j中數據存放的數據庫的名稱是什么(格式：abd.ef)

在xmind里可以看到賬號密碼——neo4j/secretqianqian

graph.db

分析起早王的計算機檢材，neo4j數據庫中總共存放了多少個節點(格式：1)

啟動neo4j服務——參考：在Windows環境中安裝Neo4j_windows安裝neo4j-CSDN博客

賬號密碼輸入即可登錄

17088

分析起早王的計算機檢材，neo4j數據庫內白杰的手機號碼是什么(格式：12345678901)

MATCH (p:person) WHERE p.name STARTS WITH '白杰' RETURN p.mobile

13215346813

分析起早王的計算機檢材，分析neo4j數據庫內數據，統計在2025年4月7日至13日期間使用非授權設備登錄且登錄地點超出其注冊時登記的兩個以上城市的用戶數量(格式：1)

參考官方WP

MATCH (u:User)-[:HAS_LOGIN]->(l:Login)-[:FROM_IP]->(ip:IP)
?
MATCH (l)-[:USING_DEVICE]->(d:Device)
?
WHERE 
?l.time < datetime('2025-04-14')
?AND ip.city <> u.reg_city
?AND NOT (u)-[:TRUSTS]->(d)
?
WITH 
?u,
?collect(DISTINCT ip.city) AS 異常登錄城市列表,
?collect(DISTINCT d.device_id) AS 未授權設備列表,
?count(l) AS 異常登錄次數
?
WHERE size(異常登錄城市列表) > 2
?
RETURN 
?u.user_id AS 用戶ID,
?u.real_name AS 姓名,
?異常登錄城市列表,
?未授權設備列表,
?異常登錄次數
?
ORDER BY 異常登錄次數 DESC;

2

分析起早王的計算機檢材，起早王的虛擬貨幣錢包的助記詞的第8個是什么(格式：abandon)

前面日記有提示，去微軟輸入法里找找

設置——語言——簡體中文（選項）——微軟輸入（選項）——詞庫和自學習——編輯

draft

分析起早王的計算機檢材，起早王的虛擬貨幣錢包是什么(格式：0x11111111)

插件里可以看到錢包地址

0xd8786a1345cA969C792d9328f8594981066482e9

分析起早王的計算機檢材，起早王請高手為倩倩發行了虛擬貨幣，請問倩倩幣的最大供應量是多少(格式：100qianqian)

瀏覽器歷史記錄找到交易網站，本機訪問輸入地址就可以看到交易記錄

1000000qianqian

分析起早王的計算機檢材，起早王總共購買過多少倩倩幣(格式：100qianqian)

同上amount可以看到

521qianqian

分析起早王的計算機檢材，起早王購買倩倩幣的交易時間是(單位：UTC)(格式：2020/1/1 01:01:01)

同上計算一下時間

2025/3/24 2:08:36

AI取證

分析CRACK文件，獲得FLAG1(格式：FLAG1{123456})
分析crack文件，獲得flag2(格式：flag2{123456})
分析crack文件，獲得flag3(格式：flag3{123456})
分析crack文件，獲得flag4(格式：flag4{123456})

分析crack文件，獲得flag1(格式：flag1{123456})

在電腦檢材中導出

運行這個環境需要python3.10以上，而且需要安裝PyArmor依賴（被PyArmor加密了），不然會有語法錯誤

也可以使用工具——https://github.com/Lil-House/Pyarmor-Static-Unpack-1shot

核心功能

? 將Pyarmor 8.0-9.1.5加密的Python腳本靜態轉換為：

準確的反匯編代碼（支持Python 3.7-3.13）

實驗性源代碼（存在不完整性，需人工校驗）

技術突破

🔧 混合技術棧：

基于Decompyle++深度改造

新增AST抽象語法樹修改模塊

跨平臺支持（Linux/Windows/macOS）

?? 安全優勢：

無需執行可疑腳本（規避惡意代碼風險）

自動識別pyarmor_runtime動態庫解密邏輯

然后打開解密后的start.py.1shot.cdc.pyu，搜flag

flag1{you_are_so_smart}

分析crack文件，獲得flag2(格式：flag2{123456})

flag2{prompt_is_easy}

分析crack文件，獲得flag3(格式：flag3{123456})

flag3{no_question_can_kill_you}

分析crack文件，獲得flag4(格式：flag4{123456})

flag4{You_have_mastered_the_AI}

exe逆向

分析GIFT.EXE，該程序的MD5是什么(格式：大寫MD5)
GIFT.exe的使用的編程語言是什么(格式：C)
解開得到的LOVE2.exe的編譯時間(格式：2025/1/1 01:01:01)
分析GIFT.exe，該病毒所關聯到的ip和端口(格式：127.0.0.1:1111)
分析GIFT.exe，該病毒修改的壁紙md5(格式：大寫md5)
分析GIFT.exe，為對哪些后綴的文件進行加密： A.doc B.xlsx C.jpg D.png E.ppt
分析GIFT.exe，病毒加密后的文件類型是什么(格式：DOCX文檔)
分析GIFT.exe，壁紙似乎被隱形水印加密過了？請找到其中的Flag3(格式：flag3{xxxxxxxx})
分析GIFT.exe，病毒加密文件所使用的方法是什么(格式：Base64)
分析GIFT.exe，請解密test.love得到flag4(格式：flag4{xxxxxxxx})

分析GIFT.exe，該程序的md5是什么(格式：大寫md5)

5A20B10792126FFA324B91E506F67223

GIFT.exe的使用的編程語言是什么(格式：C)

這里要吐槽一下，很多比賽題目表述不清楚，要么固定大小寫，要么明確格式，不要像這題一樣就寫給C，做下來不少人會寫成PYTHON/python，答案只能判定為錯

Python

解開得到的LOVE2.exe的編譯時間(格式：2025/1/1 01:01:01)

python打包的exe轉py——參考：Python3.9及以上Pyinstaller 反編譯教程(exe轉py)-CSDN博客

工具：pyinstxtractor（exe轉pyc）+pycdc（pyc轉py）

pyinstxtractor運行命令：python pyinstxtractor.py xxx.exe

pycdc運行命令：pycdc.exe test.pyc>test.py

下載鏈接——https://github.com/extremecoders-re/decompyle-builds/releases/tag/build-16-Oct-2024-5e1c403

可以找到解密密碼，下面的base64加密是釋放的文件，可以用在線網站解密后打包轉為文件

在沙箱里運行一下，輸入密碼

文件釋放在C:\Users\起早王\AppData\Local\Temp\gift_extracted里面

微步里面跑一下

2025/4/8 09:59:40

分析GIFT.exe，該病毒所關聯到的ip和端口(格式：127.0.0.1:1111)

運行一下love2.exe

46.95.185.222:6234

分析GIFT.exe，該病毒修改的壁紙md5(格式：大寫md5)

733FC4483C0E7DB1C034BE5246DF5EC0

"分析GIFT.exe，為對哪些后綴的文件進行加密：A.doc B.xlsx C.jpg D.png E.ppt"

創建各個類型的文件，運行love2.exe即可看到對哪些加密

ABE

分析GIFT.exe，病毒加密后的文件類型是什么(格式：DOCX文檔)

LOVE Encrypted File

分析GIFT.exe，壁紙似乎被隱形水印加密過了？請找到其中的Flag3(格式：flag3{xxxxxxxx})

工具鏈接：盲水印工具WaterMark.exe - 吾愛破解 - 52pojie.cn

Flag3{20241224_Our_First_Meet}

分析GIFT.exe，病毒加密文件所使用的方法是什么(格式：Base64)

導出同目錄下的照片

存有RSA解密密鑰

RSA

分析GIFT.exe，請解密test.love得到flag4(格式：flag4{xxxxxxxx})

這題比較難，參考一下大佬的WP

加密算法：RSAES-RKCS1-V1_5

from cryptography.hazmat.primitives import serialization
from cryptography.hazmat.primitives.asymmetric import padding
from typing import Optional
?
def decrypt(encrypted_file_path: str,private_key_path: str,decrypted_file_path: str,chunk_size: Optional[int] = None
) -> bool:"""使用RSA私鑰解密文件
?Args:encrypted_file_path: 加密文件路徑private_key_path: PEM格式私鑰文件路徑decrypted_file_path: 解密輸出路徑chunk_size: 解密塊大小（根據密鑰長度自動計算）"""try:with open(encrypted_file_path, 'rb') as f:encrypted_data = f.read()
?with open(private_key_path, 'rb') as key_file:private_key = serialization.load_pem_private_key(key_file.read(),password=None,)
?# 根據密鑰長度自動計算塊大小key_size = private_key.key_sizeoptimal_chunk_size = key_size // 8 if not chunk_size else chunk_size
?dec_data = bytearray()for i in range(0, len(encrypted_data), optimal_chunk_size):chunk = encrypted_data[i:i + optimal_chunk_size]try:dec_chunk = private_key.decrypt(chunk,padding.PKCS1v15())dec_data.extend(dec_chunk)except Exception as e:print(f"塊解密失敗：{str(e)}")return False ?# 遇到解密錯誤立即終止
?with open(decrypted_file_path, 'wb') as f:f.write(dec_data)return True
?except Exception as e:print(f"解密過程異常：{str(e)}")return False
?def main() -> None:encrypted_file_path = r"G:\2025平航杯\新建文件夾\test.love"private_key_path = r"G:\2025平航杯\新建文件夾\私鑰.txt"decrypted_file_path = r"G:\2025平航杯\新建文件夾\test.love.dec"
?if decrypt(encrypted_file_path, private_key_path, decrypted_file_path):print(f"文件解密成功，已保存到: {decrypted_file_path}")else:print("解密失敗")
?if __name__ == "__main__":main()

解出來是個ppt

flag4{104864DF-C420-04BB5F51F267}

服務器取證

該電腦最早的開機時間是什么(格式：2025/1/1 01:01:01)
服務器操作系統內核版本(格式：1.1.1-123)
除系統用戶外，總共有多少個用戶(格式：1)
分析起早王的服務器檢材，Trojan服務器混淆流量所使用的域名是什么(格式：xxx.xxx)
分析起早王的服務器檢材，Trojan服務運行的模式為：A、foward B、nat C、server D、client
關于 Trojan服務器配置文件中配置的remote_addr 和 remote_port 的作用，正確的是： A. 代理流量轉發到外部互聯網服務器 B. 將流量轉發到本地的 HTTP 服務（如Nginx） C. 用于數據庫連接 D. 加密流量解密后的目標地址
分析網站后臺登錄密碼的加密邏輯，給出密碼sbwyz1加密后存在數據庫中的值(格式：1a2b3c4d)
網站后臺顯示的服務器GD版本是多少(格式：1.1.1 abc)
網站后臺中2016-04-01 00:00:00到2025-04-01 00:00:00訂單列表有多少條記錄(格式：1)
在網站購物滿多少免運費(格式：1)
分析網站日志，成功在網站后臺上傳木馬的攻擊者IP是多少(格式：1.1.1.1)
攻擊者插入的一句話木馬文件的sha256值是多少(格式：大寫sha256)
攻擊者使用工具對內網進行掃描后，rdp掃描結果中的賬號密碼是什么(格式：abc:def)
對于每個用戶，計算其注冊時間（用戶表中的注冊時間戳）到首次下單時間（訂單表中最早時間戳）的間隔，找出間隔最短的用戶id。（格式：1）
統計每月訂單數量，找出訂單最多的月份（XXXX年XX月）
找出連續三天內下單的用戶并統計總共有多少個（格式：1）

該電腦最早的開機時間是什么(格式：2025/1/1 01:01:01)

2022/02/23 12:23:49

服務器操作系統內核版本(格式：1.1.1-123)

3.10.0-1160.119.1.el7.x86_64

除系統用戶外，總共有多少個用戶(格式：1)

3

分析起早王的服務器檢材，Trojan服務器混淆流量所使用的域名是什么(格式：xxx.xxx)

wyzshop1.com

分析起早王的服務器檢材，Trojan服務運行的模式為：A、foward B、nat C、server D、client

配置文件里是you guess，比對一下example文件夾里的文件，發現只有nat和配置文件最像

B

關于 Trojan服務器配置文件中配置的remote_addr 和 remote_port 的作用，正確的是：

A. 代理流量轉發到外部互聯網服務器

B. 將流量轉發到本地的 HTTP 服務（如Nginx）

C. 用于數據庫連接

D. 加密流量解密后的目標地址

A

分析網站后臺登錄密碼的加密邏輯，給出密碼sbwyz1加密后存在數據庫中的值(格式：1a2b3c4d)

f8537858eb0eabada34e7021d19974ea

網站后臺顯示的服務器GD版本是多少(格式：1.1.1 abc)

2.1.0 compatible

網站后臺中2016-04-01 00:00:00到2025-04-01 00:00:00訂單列表有多少條記錄(格式：1)

導出數據庫/www/wwwroot/www.tpshop.com/backup/www_TPshop_com1.sql，并導入Navicat查看

編寫SQL查詢語句

SELECT COUNT(*) 
FROM tp_order 
WHERE add_time >= UNIX_TIMESTAMP('2016-04-01 00:00:00') 
AND add_time <= UNIX_TIMESTAMP('2025-04-01 00:00:00');

在網站購物滿多少免運費(格式：1)

從這一題開始重構網站——在網站看信息方便一點

修改mysql數據庫密碼——參考MySql 中的skip-grant-tables（跳過權限驗證的問題）-CSDN博客

1.關閉防火墻

systemctl stop firewalld

systemctl disable firewalld

2.繞過+修改密碼

要啟用 skip-grant-tables，需要修改 MySQL 的配置文件（如 my.cnf 或 my.ini），在 [mysqld] 部分添加以下內容：

[mysqld]

skip-grant-tables

然后重啟 MySQL 服務——systemctl restart mysqld

登錄 MySQL——mysql -u root -p

# 切換到 mysql 數據庫——USE mysql;

# 修改 root 用戶的密碼——UPDATE user SET password = PASSWORD('newpassword') WHERE user = 'root';

# 刷新權限——FLUSH PRIVILEGES;

# 退出 MySQL——EXIT;

修改完密碼后，記得將配置文件中的 skip-grant-tables 刪除或注釋掉，并重啟 MySQL 服務，以恢復正常的權限驗證

發現數據庫為空，將備份里的SQL文件導入即可

修改host文件——配置 IP + www.tpshop.com

訪問www.tpshop.com即可

后臺路徑——http://www.tpshop.com/index.php/Admin/Admin/login.html

在navicat里將admin的密碼替換為第7題的sbwyz1的加密值

后臺進入成功

可以看到滿100000免運費

100000

分析網站日志，成功在網站后臺上傳木馬的攻擊者IP是多少(格式：1.1.1.1)

222.2.2.2

攻擊者插入的一句話木馬文件的sha256值是多少(格式：大寫sha256)

870BF66B4314A5567BD92142353189643B07963201076C5FC98150EF34CBC7CF

攻擊者使用工具對內網進行掃描后，rdp掃描結果中的賬號密碼是什么(格式：abc:def)

在/www/wwwroot/www.tpshop.com/application找到滲透工具——PwnKit

result.txt保存了掃描結果

administrator:Aa123456@

對于每個用戶，計算其注冊時間（用戶表中的注冊時間戳）到首次下單時間（訂單表中最早時間戳）的間隔，找出間隔最短的用戶id。（格式：1）

后面就是通過數據庫進行數據分析了，看了一些WP答案大同小異，因為官方也沒有發布答案，只能說仁者見仁智者見智

交給AI（ds-R1）編寫查詢代碼

SELECT u.user_id,TIMESTAMPDIFF(SECOND, FROM_UNIXTIME(u.reg_time), FROM_UNIXTIME(MIN(o.add_time))) AS reg_to_first_order_seconds
FROM tp_users u
JOIN tp_order o ON u.user_id = o.user_id
GROUP BY u.user_id
ORDER BY reg_to_first_order_seconds ASC
LIMIT 1;

385

統計每月訂單數量，找出訂單最多的月份（XXXX年XX月）

SELECT DATE_FORMAT(FROM_UNIXTIME(change_time), '%Y-%m') AS month,COUNT(log_id) AS order_count
FROM tp_account_log
WHERE `desc` LIKE '%下單消費%'
GROUP BY month
ORDER BY order_count DESC
LIMIT 1;

2016年3月

找出連續三天內下單的用戶并統計總共有多少個（格式：1）

SELECT COUNT(DISTINCT user_id) AS consecutive_users
FROM (SELECT user_id,order_date,@prev_date := IF(user_id = @prev_user, @prev_date, NULL) AS prev_date_reset,@seq := IF(order_date = @prev_date + INTERVAL 1 DAY AND user_id = @prev_user, @seq + 1, 1) AS seq,@prev_user := user_id,@prev_date := order_dateFROM (SELECT DISTINCT user_id, DATE(FROM_UNIXTIME(add_time)) AS order_date FROM tp_orderORDER BY user_id, order_date) AS distinct_datesCROSS JOIN (SELECT @prev_user := NULL, @prev_date := NULL, @seq := 0) AS vars
) AS sequence
WHERE seq >= 3;

1

手機取證

該檢材的備份提取時間（UTC）(格式：2020/1/1 01:01:01)
分析倩倩的手機檢材,手機內Puzzle_Game拼圖程序拼圖APK中的Flag1是什么(格式:xxxxxxxxx)
分析手機內Puzzle_Game拼圖程序，請問最終拼成功的圖片是哪所大學(格式：浙江大學)
分析倩倩的手機檢材,木馬app是怎么被安裝的（網址）(格式：http://127.0.0.1:1234/)
分析倩倩的手機檢材,檢材內的木馬app的hash是什么(格式：大寫md5))
分析倩倩的手機檢材,檢材內的木馬app的應用名稱是什么(格式：Baidu))
分析倩倩的手機檢材,檢材內的木馬app的使用什么加固(格式：騰訊樂固)
分析倩倩的手機檢材,檢材內的木馬軟件所關聯到的ip和端口是什么(格式：127.0.0.1:1111)
該木馬app控制手機攝像頭拍了幾張照片(格式：1)
木馬APP被使用的攝像頭為(格式：Camera)
分析倩倩的手機檢材,木馬APK通過調用什么api實現自身持久化(格式：JobStore)
分析倩倩的手機檢材,根據倩倩的身份證號請問倩倩來自哪里（格式：北京市西城區）
此手機檢材的IMEI號是多少(格式：1234567890)

該檢材的備份提取時間（UTC）(格式：2020/1/1 01:01:01)

2025/04/15 18:11:18

分析倩倩的手機檢材,手機內Puzzle_Game拼圖程序拼圖APK中的Flag1是什么(格式:xxxxxxxxx)

方法一：

逆向反編譯——AI分析

成功后輸出flag的代碼，發現涉及AES加密函數

根據加密函數編寫解密代碼，得到flag

from Crypto.Cipher import AES ?
import binascii ?
?
生成白盒密鑰 ?
?
MAGIC_NUMBERS = [113, 99, 92, 106, 89, 98, 54, 113, 104, 89, 117, 100, 113, 127, 124, 89] ?
key_bytes = bytes([b ^ 6 for b in MAGIC_NUMBERS]) ?# weZl_d0wn_sbwyz_ ?
?
預設的密文字節數組 (來自hexStringToByteArray的異常處理) ?
?
cipher_bytes = bytes([ ?0x50, 0xCC, 0x04, 0x31, 0x35, 0x06, 0x80, 0xC3, ?0x0A, 0x5E, 0xC5, 0x19, 0x52, 0x73, 0x6D, 0x0C ?
]) ?
?
使用AES-ECB模式解密 ?
?
cipher = AES.new(key_bytes, AES.MODE_ECB) ?
decrypted = cipher.decrypt(cipher_bytes) ?
?
去除PKCS#7填充 ?
?
pad_len = decrypted[-1] ?
flag = decrypted[:-pad_len].decode('utf-8') ?
?
print("Decrypted flag:", flag)

方法二：

hook函數，直接輸出/修改時間為無限，完成拼圖

flag{Key_1n_the_P1c}

分析手機內Puzzle_Game拼圖程序，請問最終拼成功的圖片是哪所大學(格式：浙江大學)

根據hint和便簽中的櫻花大道猜測是杭州市（濱江區），可以社工查詢是“浙江中醫藥大學”微信公眾號上的圖片

浙江中醫藥大學

分析倩倩的手機檢材,木馬app是怎么被安裝的（網址）(格式：http://127.0.0.1:1234/)

http://192.168.180.107:6262/

分析倩倩的手機檢材,檢材內的木馬app的hash是什么(格式：大寫md5)

23A1527D704210B07B50161CFE79D2E8

分析倩倩的手機檢材,檢材內的木馬app的應用名稱是什么(格式：Baidu)

發現是一款安卓遠控軟件

Google Service Framework

分析倩倩的手機檢材,檢材內的木馬app的使用什么加固(格式：騰訊樂固)

梆梆安全

分析倩倩的手機檢材,檢材內的木馬軟件所關聯到的ip和端口是什么(格式：127.0.0.1:1111)

這一題要通過源碼找，一鍵脫殼即可（當然也可以手動脫殼——DumpDex/BlackDex）

92.67.33.56:8000

該木馬app控制手機攝像頭拍了幾張照片(格式：1)

因為木馬連接的是服務器，所以服務器會記錄相關的操作日志——結合服務器取證

導出jadx反編譯的源碼——沒找到

導出服務器/root目錄下的AndroRAT文件夾——沒找到

導出服務器/var/log文件夾——沒找到

所以感覺職業組和學生組的檢材有出入，第9題和第10題是沒辦法做的，唯一的辦法就是自己復現遠控的環境

木馬地址：https://github.com/karma9874/AndroRAT

職業組可以在服務器的/tmp/ratlog.txt中看到日志，拍攝了3張圖片，但圖片不在服務器中

3

木馬APP被使用的攝像頭為(格式：Camera)

復現后可以知道控制的攝像頭有兩個——猜個Front Camera

Front Camera

分析倩倩的手機檢材,木馬APK通過調用什么api實現自身持久化(格式：JobStore)

jobScheduler

分析倩倩的手機檢材,根據倩倩的身份證號請問倩倩來自哪里（格式：北京市西城區）

上海市徐匯區

此手機檢材的IMEI號是多少(格式：1234567890)

爆搜IMEI

865372026366143

流量分析

請問偵查人員是用哪個接口進行抓到藍牙數據包的（格式：DVI1-2.1）
起早王有一個用于偽裝成倩倩耳機的藍牙設備，該設備的原始設備名稱為什么（格式：XXX_xxx 具體大小寫按照原始內容）
起早王有一個用于偽裝成倩倩耳機的藍牙設備，該設備修改成耳機前后的大寫MAC地址分別為多少（格式：32位小寫md5(原MAC地址_修改后的MAC地址) ，例如md5(11:22:33:44:55:66_77:88:99:AA:BB:CC)=a29ca3983de0bdd739c97d1ce072a392 ）
流量包中首次捕獲到該偽裝設備修改自身名稱的UTC+0時間為？（格式：2024/03/07 01:02:03.123）
起早王中途還不斷嘗試使用自己的手機向倩倩電腦進行廣播發包，請你找出起早王手機藍牙的制造商數據（格式：0x0102030405060708）
起早王的真名是什么（格式：Cai_Xu_Kun 每個首字母均需大寫）
起早王對倩倩的電腦執行了幾條cmd里的命令（格式：1 ）
倩倩電腦中影子賬戶的賬戶名和密碼為什么（格式：32位小寫md5(賬號名稱_密碼) ，例如md5(zhangsan_123456)=9dcaac0e4787b213fed42e5d78affc75 ）
起早王對倩倩的電腦執行的最后一條命令是什么（格式：32位小寫md5(完整命令)，例如md5(echo "qianqianwoaini" > woshiqizaowang.txt)=1bdb83cfbdf29d8c2177cc7a6e75bae2 ）

請問偵查人員是用哪個接口進行抓到藍牙數據包的（格式：DVI1-2.1）

COM3-3.6

起早王有一個用于偽裝成倩倩耳機的藍牙設備，該設備的原始設備名稱為什么（格式：XXX_xxx 具體大小寫按照原始內容）

導出搜索

發現設備名稱是device_name

編寫腳本統計總數

import redef extract_device_names(file_path):# 設備名稱的字典（用于統計出現次數）device_counts = {}# 正則表達式模式，用于匹配設備名稱pattern = re.compile(r'"btcommon\.eir_ad\.entry\.device_name":\s*"([^"]+)"')# 打開文件并逐行讀取with open(file_path, 'r', encoding='utf-8') as file:for line in file:# 在每一行中查找所有匹配項matches = pattern.findall(line)for match in matches:# 如果設備名稱已存在于字典中，增加計數；否則初始化為 1if match in device_counts:device_counts[match] += 1else:device_counts[match] = 1# 按照出現次數降序排序sorted_device_counts = sorted(device_counts.items(), key=lambda x: x[1], reverse=True)# 保存結果到 1111.txtoutput_file_path = '1111.txt'with open(output_file_path, 'w', encoding='utf-8') as output_file:output_file.write("設備名稱及其出現次數（按次數降序排序）：\n")for name, count in sorted_device_counts:output_file.write(f"{name}: {count}\n")print(f"結果已保存到 {output_file_path}")# 文件路徑
file_path = r"2121.json"
extract_device_names(file_path)