這次比賽計算機和手機大部分題目都比較常規 第一和第四部分有點讓人摸不著頭腦 比賽的時候第一部分有四個題沒出 第四部分基本都沒怎么出 現在復盤一下 把我當時做題的心得和獲取的新知識記錄一下 互聯網取證的部分就先學習一下別的師傅

檢材

鏈接：https://pan.baidu.com/s/1mpv6JZsVOpZ4eOyeiSBgxw?
提取碼：l200?

容器掛載密碼：3x@9Qm!V8e$vL%6d^Yr5o*C#Nk7h&ZpFbW2sG4jXuD1cO0lTgAqHwRnIzJyM-_+K=

案件背景

檢材一

檢材二

1.請分析檢材三，請分析"手機"檢材，并回答，并回答該手機的device_name是？

自動分析不出來 這里提供兩個思路

直接暴力搜索device_name 可以直接得到設備的名稱

redmi 6 pro

還有一種方式就是通過imei

這里可以直接看到也是紅米6 pro

2.請分析檢材二，請分析"手機"檢材，并回答，嫌疑人pc開機密碼是什么？

這里有開機的密碼提示 但是不是很明顯 我們可以接著搜索看看

既然是秘鑰環和開機密碼存在一起 那就可以直接搜索秘鑰環 這樣子結果比較精準

搜索秘鑰環 然后就找到了Google秘鑰環的密碼 1qaz2wsx3edc

同理pc密碼是一列二列就應該是1qaz2wsx?

其實后面有印證 可以在后面找到更具體的驗證

3.請分析檢材二，請分析"手機"檢材，并回答，嫌疑人接頭暗號是什么？

暴力搜索接頭暗號

發現是存在這個軟件里面的數據庫

用這個db browser打開看 更好翻閱

這里可以找到上面那道題的pc密碼 1qaz2wsx

然后這里的接頭暗號也可以找到

是一張圖片 我們到文件系統里面找到這張圖片

愛能不能夠永遠單純沒有悲哀

4.請分析檢材二，請分析"手機"檢材，并回答，嫌疑人存放的秘鑰環是多少？

上面直接有暴力搜索的答案

1qaz2wsx3edc

5.請分析檢材二，請分析"手機"檢材，并回答，嫌疑人一生中最重要的日子是什么時候？

這里是一開始翻檢材圖片的時候就可以翻到

其實一打開手機或者計算機的檢材我們就可以 按照圖片由大到小的順序排序 這樣子可以篩選出很多有用的圖片?

像行測的題目

2026-2-26

6.請分析檢材三，請分析"手機"檢材，并回答，嫌疑人微信生成的聊天記錄數據庫文件名稱是什么？

這個是常識?

也可以跳的源文件查看

?EnMicroMsg.db

7.請分析檢材二，請分析"手機"檢材，并回答，嫌疑人微信賬號對應的?UIN?為多少？

uin直接出來?

1864810197

8.請分析檢材二，請分析"手機"檢材，并回答，嫌疑人微信聊天記錄數據庫的加密秘鑰是什么？

GitHub - WXjzcccc/ForensicsTool: 簡單的取證工具

解密工具一把梭

31ad809

9.請分析檢材二，請分析"手機"檢材，并回答，嫌疑人“欠條.rar”的解壓密碼是多少？

查看聊天記錄 發現聊天記錄里面有線索 這個圖片里面有應該有聯系方式

導出來用010分析一下

發現都是正常的數據 沒有異常數據?

換個工具查看 用stegsolve 隱寫直接查看

兩張照片對比可以看出來

多了一個二維碼

掃描結果就是 +1 3170010703

最后用3170010703可以解鎖

10.請分析檢材二，請分析"手機"檢材，并回答，嫌疑人“欠條.rar”解壓后，其中VeraCrypt容器的MD5值是多少？

解鎖之后就可以看到

欠條就是加密容器

a8b61f928c5dcde3bd777ffb1d464b29

11.請分析檢材二，請分析"手機"檢材，并回答，嫌疑人提供的“欠條.rar”解壓后，其中 "1.png"圖上顯示的VeraCrypt容器密碼是多少？

12.請分析檢材二，請分析"手機"檢材，并回答，嫌疑人李某全名是什么？

掛上vc

是 李安弘?

后面那個互聯網取證陳某的名字也可以在這找到

13.請分析檢材二，請分析"手機"檢材，并回答，嫌疑人欠款金額是多少？

80000

檢材三

1.請分析檢材三，請分析"電腦"檢材，并回答，該電腦最后一次開機時間是？

A.2025-04-15 16:21:41

B.2025-04-14 11:48:47

A

2.請分析檢材三，請分析"電腦"檢材，并回答，嫌疑人的備用機號碼是多少？

當時是填了 便簽貼里面的內容

感覺好像不太對 但是找不到別的答案

1506666

后來看別人的wp 發現是藏在別的便簽條里面的空白圖片 選中之后就會顯示

備用機號 188773321314

3.請分析檢材三，請分析"電腦"檢材，并回答，域名dgy02.com曾保存過一個密碼，該密碼是多少？

這個仿真進去 之后用上面手機找到的密碼做

tcgg123456

4.請分析檢材三，請分析"電腦"檢材，并回答，其電腦安裝的微信版本是多少？

4.0.0.21

5.請分析檢材三，請分析"電腦"檢材，并回答，該系統有哪些遠程控制軟件
A.todesk B.向日葵 C.愛思遠控 D.raylink

AB

6.請分析檢材三，請分析"電腦"檢材，并回答，電腦2025年4月10日11點4分29秒曾被向日葵遠程控制，其記錄的日志文件名為

遞歸瀏覽 選擇一下路徑然后翻看 里面的文本文件

可以直接發現第一個就是日志文件

sunlogin_service.log.2

7.請分析檢材三，請分析"電腦"檢材，并回答，電腦2025年4月10日11點4分29秒曾被向日葵遠程控制，日志內記錄對方公網IP地址和端口為

• 公網IP地址：116.192.161.222
• 公網端口：2577

8.請分析檢材三，請分析"電腦"檢材，并回答，某文件的MD5值為“

2bdfcdbd6c63efc094ac154a28968b7d”，該文件名為

每個分區分別更新一下快照 計算一下md5

然后遞歸瀏覽 刪選條件是md5 就可以在分區六里面找到這個文件?

就是這個important.docx

9.請分析檢材三，請分析"電腦"檢材，據調查，上述文件存放了錢包助記詞，第一個單詞是什么？

打開文檔只有這個內容

改為zip 之后翻看里面的內容

這個很明顯是個圖片文件

就可以知道首個助記詞是 solution

這里介紹一個自動識別文件類型的工具 不論后綴名 直接查看文件的結構來分析文件正確的后綴名是什么

TrID（trid）

windows下載地址：

https://www.mark0.net/download/trid_w32.zip

TrID定義規則庫：

https://www.mark0.net/download/triddefs.zip

解壓之后放在一個目錄里面就可以使用

類似這樣子

然后我們這題可以來看看如何用這個小工具快速識別文件類型

先是那個important.docx 發現小概率是zip

改zip 解壓之后把所有文件都拖進去 看看有沒有改變后綴名的文件

就可以發現這個important.xml其實是個圖片文件

10.請分析檢材三（“我的測試機”），最近曾訪問過的音頻文件，該音頻文件的文件名是什么

把虛擬機的vmdk導出來 然后用火眼跑一下

music里面有個自傳小說 可以知道是這個答案 自傳小說.MP3

11.請分析檢材三（“我的測試機”），最近曾使用過USB設備，該設備的名稱為

256GB thinkplus

12.請分析檢材三（“我的測試機”）中的音頻內容，并回答，嫌疑人現任妻子畢業的大學是？

訊飛聽見-在線語音轉文字-錄音轉文字

或者用這個

聽腦AI|智能語音助手-免費在線錄音轉文字，視頻轉文字，視頻文案提取，AI生成會議紀要，AI問答

用這個平臺可以識別里面的河南話

轉換完了之后我們來看線索

上海大學

13.請分析檢材三（“我的測試機”）中的音頻內容，并回答，嫌疑人是通過一個朋友認識的陳老板，該朋友姓氏拼音是？

Wang

14.請分析檢材三（“我的測試機”）中的音頻內容，并回答，嫌疑人所說的香格里拉大酒店實則是？

灰色產業鏈

15.請分析檢材三（“我的測試機”）中的音頻內容，并回答，嫌疑人銀行密碼是多少？

是音頻分段的藏頭詩?

07145924

互聯網取證