2026盘古石杯决赛计算机

比赛时有些遗憾，由于自己没爆开，最后解开pc2的C盘bitlocker只剩下1个多小时，没时间蒸了
希望明年能拿一等QWQ

陈志鹏的pc：

1. 分析陈志鹏的pc检材，找出换脸程序的对外服务端口号，[答案格式：四位数字]

• 答案：7860
  启动服务看到端口
  Open: file-20260605092758930.png
  

1. 分析陈志鹏的pc检材，找出换脸程序的版本号，[答案格式：X.X]

• 答案：3.6
  1. 已经在上题定位到程序根目录 facefusion-3.6.0
  2. 继续打开 facefusion\metadata.py，里面的 METADATA 字典明确写了 'version': '3.6.0'。
     Open: file-20260605091527640.png
     

3. 分析陈志鹏的pc检材，换脸程序默认配置了多少个不同的换脸模型，[答案格式：两位数字]

• 答案：13
  assets目录下有看到modle，一共是13个
  Open: file-20260605092259265.png
  

4. 分析陈志鹏的pc检材，换脸程序处理完成后默认保存输出文件的文件夹路径是？[答案格式：绝对路径]

• 答案：C:\Users\Administrator\Documents
  直接看 FaceFusion 的历史任务记录，看到输出路径都C:\Users\Administrator\Documents下
  Open: file-20260605093247058.png
  

Open: file-20260605093751207.png

5. 分析陈志鹏的pc检材，用户在2026年4月30日最后一次换脸操作生成的文件名是什么？[答案格式：文件名.扩展名]

• 答案：c6f02d62.mp4
  Open: file-20260605094100852.png
  
  还是在complete目录下看

5. 分析陈志鹏的pc检材，给出本地声音生成工具的对外服务端口号？[答案格式：四位数字]

• 答案：8080
  在文档目录下找到chattts这个声音生成工具，readme里面有给web端口
  Open: file-20260605094232649.png
  

7. 分析陈志鹏的pc检材，给出音频生成工具创建语音时使用的默认随机种子数值？[答案格式：数字]

• 答案：42
  webui.py中能看到一些默认值：
  Open: file-20260605094620611.png
  
  这里写了两个默认种子值：2和42
  又看到工具根目录下有个images文件夹
  Open: file-20260605094414553.png
  
  看到和默认文本相符，那么对应的种子值应该是截图上的42
  Open: file-20260605094448738.png
  

8. 分析陈志鹏的pc检材，给出音频生成工具生成的音频文件默认保存的文件名？[答案格式：纯英文文件名]

• 答案：audio.wav
  推测应该在下载目录里
  Open: file-20260605094833679.png
  
  这个显然是下载了两次重名，那么默认文件名就是audio.wav

9. 分析陈志鹏的pc检材，给出存放在桌面上的密码备忘文件的内容？[答案格式：纯数字字符串]
   直接看是没有的，尝试数据恢复也没有，怀疑是和D盘的secret.txt有关系，但是bitlocker恢复密钥没爆出来，暂先留着

10. 分析陈志鹏的pc检材，用户使用文件粉碎工具彻底删除了一个文件，给出该粉碎工具的版本号？[答案格式：版本号如X.X.X.X]

• 答案：6.0.0.0
  Open: file-20260605204844599.png
  
  看到火绒里的粉碎记录
  锁定到具体执行功能的工具exe，看到版本号：6.0.0.0
  Open: file-20260605205112927.png
  

11. 分析陈志鹏的pc检材，给出使用直播软件时的音频输出码率设置值？[答案格式：123]

• 答案：128
  Open: file-20260605205302976.png
  
  直接在软件的输出设置里找到

韦明辉的pc

067474-555071-622369-111650-651354-121858-406439-542289
这个是C盘的bitlocker恢复密钥（apk部分题目中得到）

12. 分析韦明辉计算机检材，请给出磁盘的总扇区数？[答案格式：100,00]

• 答案：536870912
  Open: file-20260605210336754.png
  

13. 分析韦明辉计算机检材，请给出系统安装时间（UTC+8）？[答案格式：YYYY-MM-DD-HH:mm:ss]

• 答案：2025-08-08-12:20:35
  Open: file-20260605210635633.png
  
  CST+8和UTC+8不用换算

14. 分析韦明辉计算机检材，电脑内曾接入过一个1.8T的移动磁盘，请给出该磁盘的序列号的后六位？[答案格式：字母大写]

• 答案：B5C5H5
  正常从火眼分析里看
  Open: file-20260605211054006.png
  
  
  其实也可以从内存做，它恰好是唯一的一个移动硬盘：将内存里的记录给本地ai分析Open: file-20260605210840955.png
  

15. 分析韦明辉计算机检材，请给出嫌疑人登录github所使用的账号？[答案格式：xxx@xx.xx]

• 答案：1723696192@qq.com
  Open: file-20260605211443137.png
  
  现在浏览器中锁定登陆行为及时间
  然后2026-04-21 16:41:07-2026-04-21 16:41:35之间找记录
  Open: file-20260605212122269.png
  
  看到表单里的账号 1723696192@qq.com,时间上非常合理

16. 分析韦明辉计算机检材，请给出嫌疑人计算机内默认浏览器的版本号？[答案格式：xxx.x.xxxx.xx]

• 答案：147.0.7727.102
  Open: file-20260605212401514.png
  
  默认浏览器是edge
  Open: file-20260605212426536.png
  

17. 分析韦明辉计算机检材，请给出嫌疑人计算机内安装过的AI编程助手默认使用的模型名？[答案格式：gtp-v1.0]

• 答案：deepseek-v3.1
  看到有claude在计算机里面
  Open: file-20260605212608336.png
  
  Open: file-20260605212937838.png
  
  唤起服务，看到模型

18. 分析韦明辉计算机检材，请给出嫌疑人计算机内安装过的AI编程助手对接OpenAI所使用的token ？[答案格式：sk-xxxxxxx]

• 答案：sk-wddK6jkRKXgImXJ4UleePKKUi06whsVDStxdABBvz4Rvc2CG
  
  setting.json里看到

19. 分析韦明辉计算机检材，请给出嫌疑人最后使用AI编程助手从互联网上搜索视频直播网站源码的时间（UTC+8）？[答案格式：YYYY-MM-DD-HH:mm:ss]

• 答案：2026-04-21-17:46:37
  Open: file-20260605213422190.png
  
  这个也是放在明面上，软件根目录下有history
  Open: file-20260605213541894.png
  

20. 分析韦明辉计算机检材，请给出嫌疑人电脑内FQ软件内配置文件名？[答案格式：xxx.yaml]

• 答案：rvgOGYotk11u.yaml
  Open: file-20260605213721967.png
  
  直接打开软件查看就好

21. 分析韦明辉计算机检材，请给出嫌疑人电脑内FQ软件所用端口号？[答案格式：8000]

• 答案：7890
  Open: file-20260605213801174.png
  

21. 分析韦明辉计算机检材，请给出嫌疑人计算机D盘的Bitlocker恢复密钥的后6位？[答案格式：6位数字]

• 答案：080894

恢复密钥：717585-277112-173844-316503-216392-200508-705166-080894
efdd爆破内存
Open: file-20260605214109140.png

但是C盘的没爆出来，学习了下别的佬，似乎可以passwarekit处理。比赛时是等apk部分队友递的线索：067474-555071-622369-111650-651354-121858-406439-542289
这个是C盘的bitlocker恢复密钥

23. 分析韦明辉计算机检材，请给出博彩网站盛世皇朝后台端口号？[答案格式：8000]

• 答案：8091
  在谷歌浏览器里找到后台登录记录
  Open: file-20260605214739394.png
  
  Open: file-20260605214702037.png
  

24. 分析韦明辉计算机检材，请给出博彩网站盛世皇朝后台登录密码？[答案格式：password]

• 答案：shhc123!@#
• 后台密码落在网站部署资料/配置残留中，最终账号口令中的密码部分为 shhc123!@#。

25. 分析韦明辉计算机检材，请给出嫌疑人计算机内加密笔记的打开密码？[答案格式：P@ssw0rd]

• 答案：LongTeng@2026
• Open: file-20260605215051387.png
  
  对程序逻辑逆向后确认其使用 PBKDF2 派生 Fernet 密钥；记事本里能看到一个同名的字典Open: file-20260605215158884.png
  
  爆破

import base64, json
from cryptography.fernet import Fernet
from cryptography.hazmat.primitives.kdf.pbkdf2 import PBKDF2HMAC
from cryptography.hazmat.primitives import hashes

password = b"LongTeng@2026"
salt = b"JinQin_Salt_2024"
notes_dat = open("notes.dat", "rb").read()

kdf = PBKDF2HMAC(algorithm=hashes.SHA256(), length=32, salt=salt, iterations=100000)
key = base64.urlsafe_b64encode(kdf.derive(password))
plain = Fernet(key).decrypt(notes_dat)
print(plain.decode("utf-8", errors="ignore"))

26. 分析韦明辉计算机检材，请给出嫌疑人计算机内加密笔记的打开密码的加密类型？[答案格式：MD5]

• 答案：SHA-256
  上一题程序分析得到

26. 分析韦明辉计算机检材，请给出嫌疑人计算机内加密笔记的密码哈希计算的盐值？[答案格式：Salt_pass]

• 答案：JinQin_Secret
  同上

28. 分析韦明辉计算机检材，请给出服务器45.33.22.11的root密码？[答案格式：P@ssw0rd]

• 答案：JinQin@Server2024!
  Open: file-20260605215312620.png
  
  重要密码里
  Open: file-20260605215328310.png
  

29. 分析韦明辉计算机检材，请给出现嫌疑人计算机内VeraCrypt的密钥文件MD5的前6位？[答案格式：字母小写]

• 答案：ea87ee
  还是在记事本中有提示
  Open: file-20260605215446734.png
  
  找到这个文件
  
  

30. 分析韦明辉计算机检材，嫌疑人使用自定义工具对 Veracrypt 加密容器文件进行了混淆处理，请给出该混淆处理使用的位运算名称 [答案格式：XOR]

• 答案：NOT
  顺着上一题的 VC 线索继续看 分区8\logo，这里同时出现了 2GB 的 system_cache.db 和配套脚本 quick_obfuscate.py，明显是在这个目录里藏容器和混淆工具
  分析脚本逻辑
  Open: file-20260605220425114.png
  
  写在脸上

31. 分析韦明辉计算机检材，请给出解密混淆加密后的VeraCrypt容器文件的MD5的前6位？[答案格式：字母小写]

• 答案：d48b41
  先做解混淆：

from __future__ import annotations

import argparse
from pathlib import Path


def recover_not_obfuscated(src: Path, dst: Path, chunk_size: int = 100 * 1024 * 1024) -> None:
    total = 0
    with src.open("rb") as fin, dst.open("wb") as fout:
        while True:
            chunk = fin.read(chunk_size)
            if not chunk:
                break
            fout.write(bytes((~b) & 0xFF for b in chunk))
            total += len(chunk)
            print(f"[+] processed {total} bytes")
    print(f"[+] done: {dst}")


def main() -> None:
    parser = argparse.ArgumentParser(description="Reverse the NOT-based VeraCrypt container obfuscation.")
    parser.add_argument("src", help="Obfuscated input file, e.g. system_cache.db")
    parser.add_argument("dst", help="Recovered output file, e.g. system_cache_not.bin")
    parser.add_argument("--chunk-size", type=int, default=100 * 1024 * 1024, help="Chunk size in bytes")
    args = parser.parse_args()

    recover_not_obfuscated(Path(args.src), Path(args.dst), args.chunk_size)


if __name__ == "__main__":
    main()

得到解混淆的文件：
Open: file-20260607081911094.png

Open: file-20260607082313545.png

32. 分析韦明辉计算机检材，请给出郑秀荣的电话号码？[答案格式：11位数字]

• 答案：18086579322
  Open: file-20260607084039801.png
  
  按照之前的提示，用密钥图片和pim0303（从36题得到生日0303）进入vc
  Open: file-20260607085117756.png
  
  在会员信息.xlsx里找到手机号18086579322

32. 分析韦明辉计算机检材，请给出郑秀荣共提现多少钱？[答案格式：10000.00]

• 答案：4174.82
  查看提现明细.xlsx
  Open: file-20260607085307431.png
  
  Open: file-20260607085327613.png
  
  有两条记录

32. 分析韦明辉计算机内存镜像，请给出内存镜像创建时间（UTC+8）？[答案格式：YYYY-MM-DD-HH:mm:ss]

• 答案：2026-04-22-22:57:04
  Open: file-20260607201920420.png
  
  需要换算一下

32. 分析韦明辉计算机内存镜像，请给出SAM文件的虚拟地址？[答案格式：0xxxxxx]

• 答案：0xa88924efbee0
  Open: file-20260607202054310.png
  

32. 分析韦明辉计算机内存镜像，请破译用户韦明辉的开机密码？[答案格式：P@ssw0rd]

• 答案：wmh@950303

结合已解密笔记内容“开机密码：名字拼音首字母小写@6位生日”爆破哈希，最终密码为 wmh@950303。
Open: file-20260607202615359.png

• 关键推理：
  • wmh 对应“韦明辉”名字拼音首字母小写；
  • 950303 是 6 位生日；
  • 这也是 VeraCrypt 线索里“PIM：4位生日”当前采用 0303 的来源。
    Open: file-20260607204051263.png
    Open: file-20260607204118737.png
    
    Open: file-20260607204503429.png
    
    爆破nt哈希值得到了密码wmh@950303，所以应该生日是1995.03.03