2025第五届FIC电子取证大赛手机取证和介质取证wp
2025第五届FIC电子取证大赛手机取证+介质取证wp
打完了复盘一下orz。。。我尽量写的详细一点
第二部分 手机取证
1.请分析检材二,请分析"手机"检材,并回答,并回答该手机的device_name是?
用全局搜索可以搜出来:
答案:Redmi 6 Pro
2.请分析检材二,请分析"手机"检材,并回答,嫌疑人pc开机密码是什么?
在全局搜索中搜索“pc密码”,
查看note-database,发现pc密码。
(结合便签里写的一列二列应该就是指1qaz和2wsx分别在键盘上的第一列第二列了)
答案:1qaz2wsx
3.请分析检材二,请分析"手机"检材,并回答,嫌疑人接头暗号是什么?
还是上一题的数据库,在里面也可以找到和接头暗号有关的信息
{"note":[{"format":"HEADING","text":"接头暗号"},{"format":"IMAGE","text":"ub690t1mq9kelnah.png"},{"format":"CHECKLIST_UNCHECKED","text":"说上述暗号"},{"format":"CHECKLIST_CHECKED","text":"地点:香格里拉大酒店大堂"},{"format":"CHECKLIST_CHECKED","text":"黑皮鞋"},{"format":"CHECKLIST_CHECKED","text":"系领带"},{"format":"CHECKLIST_CHECKED","text":"穿西装"}]}
在接头暗号后提到了一个ub690t1mq9kelnah.png,查找它,里面的文字内容即为暗号。
答案:爱能不能够永远单纯没有悲哀
4.请分析检材二,请分析"手机"检材,并回答,嫌疑人存放的秘钥环是多少?
仍然是全局搜索查找到“秘钥环”
答案:1qaz2wsx3edc
5. 请分析检材二,请分析"手机"检材,并回答,嫌疑人一生中最重要的日子是什么时候?
在图片文件中翻到这样一张图片:(查找技巧:文件从大到小排序,可以快速发现有用的图片)
接下来就是看计算了,网上也有相关工具,算出来是2026年02月26日
答案:2026-02-26
6. 请分析检材三,请分析"手机"检材,并回答,嫌疑人微信生成的聊天记录数据库文件名称是什么?
这个我一开始去问ai的,这是它的回答:
也许是个取证常识吧?不过我们在聊天记录里跳转源文件也会跳转到这个文件,所以就是这个了。
答案:EnMicroMsg.db
7. 请分析检材二,请分析"手机"检材,并回答,嫌疑人微信账号对应的 UIN 为多少?
直接在账户信息中可以查看
答案:1864810197
8. 请分析检材二,请分析"手机"检材,并回答,嫌疑人微信聊天记录数据库的加密秘钥是什么?
没做出来。。。看了别人的wp发现是用了ForensicsTool这个工具。贴个地址:https://github.com/WXjzcccc/ForensicsTool
把聊天记录的数据库扔进去即可获得密钥。
答案:31ad809
9. 请分析检材二,请分析"手机"检材,并回答,嫌疑人“欠条.rar”的解压密码是多少?
根据聊天记录可以知道欠条的密码是对方的手机号,而手机号似乎藏在那张图里。研究那张图没发现东西,在翻图片文件的时候发现这张图其实有三张(不懂),其中有一张里面有二维码
扫描得到信息:+1 3170010703
答案:3170010703
10. 请分析检材二,请分析"手机"检材,并回答,嫌疑人“欠条.rar”解压后,其中VeraCrypt容器的MD5值是多少?
根据上题得到的密码解压欠条,用火眼里自带的计算工具算的md5值
答案为:83da62aabc88cb1b23e9469142b67b80
11. 请分析检材二,请分析"手机"检材,并回答,嫌疑人提供的“欠条.rar”解压后,其中"1.png"图上显示的VeraCrypt容器密码是多少?
查看1.png,可以看到里面有文字(要是看不清可以去stegsolve里调一下)
答案:#!@KE2sax@!da0h5hghg34&@
12. 请分析检材二,请分析"手机"检材,并回答,嫌疑人李某全名是什么?
欠条就是一个加密容器,用vc挂载后利用上题得到的密码打开可以看到欠条的图片,得到李某姓名。
答案:李安弘
13. 请分析检材二,请分析"手机"检材,并回答,嫌疑人欠款金额是多少?
根据上题图片可知。
答案:80000
第三部分 介质取证
1. 请分析检材三,请分析"电脑"检材,并回答,该电脑最后一次开机时间是?
答案:2025-04-14 11:49:47
2. 请分析检材三,请分析"电脑"检材,并回答,嫌疑人的备用机号码是多少?
唉这题当时做的时候没做出来,复盘的时候一直感觉便签里这么多空白不对劲最后发现在虚拟机里打开便签,选中会有隐藏文字:
答案:18877332134
3. 请分析检材三,请分析"电脑"检材,并回答,域名dgy02.com曾保存过一个密码,该密码是多少?
在火眼里翻半天没翻出来。打开虚拟机,打开谷歌浏览器,发现需要密钥:
这正是我们在第二部分找到的谷歌秘钥环,输入进入浏览器,在设置中进入密码管理工具即可找到
答案:tcgg123456
4. 请分析检材三,请分析"电脑"检材,并回答,其电脑安装的微信版本是多少?
答案:4.0.0.21
- 请分析检材三,请分析"电脑"检材,并回答,该系统有哪些远程控制软件
可以在安装的软件里翻到这两个
答案:todesk 向日葵
6. 请分析检材三,请分析"电脑"检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,其记录的日志文件名为?
这题我是先去搜索那里搜sunlogin,找到向日葵的文件夹:检材3.E01/分区6/var/log/sunlogin,向日葵的日志中,4.10号的为sunlogin_service.log.2
点开查看,确实有2025.04.10 11:04:29远程控制的记录,可以确定为这个。
答案:sunlogin_service.log.2
7. 请分析检材三,请分析"电脑"检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,日志内记录对方公网IP地址和端口为
在上题的日志文件中可以找到:
答案:`116:192:161:222:2577`
8. 请分析检材三,请分析"电脑"检材,并回答,某文件的MD5值为“2bdfcdbd6c63efc094ac154a28968b7d”,该文件名为
本来没找到的,看下一题的important.docx的时候突然发现就是这个(笑)
答案:important.docx
9. 请分析检材三,请分析"电脑"检材,据调查,上述文件存放了钱包助记词,第一个单词是什么?
在用户痕迹里发现了important.docx这个文件,且在预览那里发现和助记词有关,去查看这个文件。
但是这里面没有助记词的信息啊。卡了半天用010打开发现文件头是pk,那么这可能是个压缩包文件,改后缀为zip解压查看。
在里面发现了很多xml文件,有一个叫important.xml的文件,这个名字有点可疑,放入010发现文件头是JFIF,这应该是个jpg文件,改后缀为jpg后打开可以看见助记词。
答案:solution
10. 请分析检材三(“我的测试机”),最近曾访问过的音频文件,该音频文件的文件名是什么
在嵌套证据中将我的测试机添加为新的检材:
答案:自传小说.MP3
11. 请分析检材三(“我的测试机”),最近曾使用过USB设备,该设备的名称为
答案:thinkplus
12. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人现任妻子毕业的大学是?
接下来的题都是听自传音频找信息了。。啊你也可以去网上找个语音转文字的工具,不过大部分都是要充钱就是了。。
答案:北京大学
13. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人是通过一个朋友认识的陈老板,该朋友姓氏拼音是?
依旧是听自传音频
答案:wang
14. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人所说的香格里拉大酒店实则是?
emmm其实挺长一串的我不是很确定。
答案:棋牌室的后院
15. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人银行密码是多少?
在音频里根本没发现这个信息。。。直到后来听说是因为音频每一段都是分开的。。每段的第一个字拼在一起就是银行卡密码。。。竟然还搞藏头吗震撼我。。。。
第一次打电子取证,感觉还没用习惯火眼吃了点信息差的亏。。。我只能说善用搜索第二部分很多靠个全局搜索就能拿下了orz
第四部分不是很会写。。。
非常好的比赛使我对电子取证逐渐上手。。
浙公网安备 33010602011771号