2026獬豸杯计算机部分wp

检材密码：EVJbYf&+eStnx5B+C^bj%YPSr)gr

计算机

1. 密码连续错误输入多少次数后，系统会自动锁定用户账户？

• 答案：3
  直接试一试，得到是3

2. 检材中对应的微信 wxid 是多少？

• 答案：wxid_q1w2e3r4t5y6u7i8o9
  Open: file-20260614160508031.png
  

3. E 盘 BitLocker 恢复密钥末尾六位是多少？

• 答案：126269
  Open: file-20260614160712202.png
  
  Open: file-20260614160750525.png
  

4. VC 加密容器的外层加密卷密码是什么？

• 答案：JHTJ！@#￥A313
  Open: file-20260614204224295.png
  
  1.png是一个文本提示文件

5. 带有“豆包AI生成”水印的图片一共有多少张？

• 答案：6

Pictures 下 4 张，加上微信附件 低价清单 (8).png、低价清单 (9).png 共 6 张。
Open: file-20260614161028761.png

6. VC 加密容器的隐藏加密卷密码是什么？

ClearSky@SecretSignal#SevenMileJasmine

Open: file-20260614133115336.png
Open: file-20260614133218752.png


从picture文件夹里的1-4图片尝试分析隐写
Open: file-20260614133457065.png

�嚼阯丞刈蟇�差蟇��：ClearSky@SecretSignal#SevenMileJasmine
但是进不去Open: file-20260614135445116.png

后来发现需要桌面上的密钥文件，谁懂，看password下面四个*以为是四位密码爆破
Open: file-20260614143646193.png

7. 接上题，嫌疑人的接头暗号是什么？

步行9千米

Open: file-20260614143847444.png

音频隐写

8. 接上题，嫌疑人的接头地点在哪里？

Taipei 101 building 502 room

picture文件夹下，在四张二进制书图样的图片里
`

@'
image_bits = {
    "5.png": ["10001110","10111011","10110011","10101010","10111111","10110011","11111010"],
    "6.png": ["11101011","11101010","11101011","11111010","10111000","10101111","10110011"],
    "7.png": ["10110110","10111110","10110011","10110100","10111101","11111010","11101111"],
    "8.png": ["11101010","11101000","11111010","10101000","10110101","10110101","10110111"],
}
order = ["5.png", "6.png", "7.png", "8.png"]
key = 0xDA
msg = ""
for name in order:
    part = "".join(chr(int(b, 2) ^ key) for b in image_bits[name])
    print(f"{name}: {part}")
    msg += part
print("\n最终结果:", msg)
'@ | python -

Open: file-20260614144017516.png

9. 木马残留样本中，核心信息窃取配置数量为多少？

5
Open: file-20260614153433184.png
bitlocker打开的盘里面有一个c文件
看起来像是源码,分析源码得到5个

10. 木马残留样本中，申请的内存保护标志是什么？（尤其注意格式）

PAGE_EXECUTE_READWRITE (0x40)

注入申请是 VirtualAllocEx(..., PAGE_EXECUTE_READWRITE)

11. 嫌疑人涉案交易使用的银行卡号是什么？

6221882234367490125

文件为 Office 加密容器；同目录 密码.txt 给出格式 4字母前缀 + 1特殊符号 + 8位日期。取文件日期 2026-05-12，掩码爆破得到密码 JUHE@20260512；用 msoffcrypto 解密后，从 xl/sharedStrings.xml 中提取 19 位银行卡号。

思路：
交易银行卡.xlsx 是 Office 加密文件，密码.txt 给了密码格式：

【4个字母前缀】 + 【1个特殊符号分隔符】 + 【8位当天日期】

先看文件时间，交易银行卡.xlsx 修改时间是 2026-05-12，因此固定日期部分取：

20260512

先提取 Office 哈希：

python D:\Programs\JtR\run\office2john.py C:\temp\bank.xlsx > C:\temp\bank.hash

office2john.py 输出是 UTF-16LE，需要清洗成正常 hash。清洗脚本：

text = open(r'C:\temp\bank.hash', 'rb').read().decode('utf-16le').strip()
open(r'C:\temp\bank_clean.hash', 'w', encoding='ascii').write(text.split(':', 1)[1] + '\n')

然后用 hashcat 按掩码爆破：

D:\Programs\hashcat-7.1.2\hashcat.exe -m 9400 -a 3 C:\temp\bank_clean.hash ?u?u?u?u?s20260512 -O --potfile-path C:\temp\bank.pot --outfile C:\temp\bank.out

爆破得到密码：

JUHE@20260512

再用 msoffcrypto 解密表格：

import io
import msoffcrypto

with open(r'C:\temp\bank.xlsx', 'rb') as f:
    office = msoffcrypto.OfficeFile(f)
    office.load_key(password='JUHE@20260512')
    buf = io.BytesIO()
    office.decrypt(buf)

open(r'C:\temp\bank_dec.xlsx', 'wb').write(buf.getvalue())

最后读取表格内容：

from openpyxl import load_workbook

wb = load_workbook(r'C:\temp\bank_dec.xlsx', data_only=True)
for ws in wb.worksheets:
    for row in ws.iter_rows(values_only=True):
        print(row)

输出中可见：

('6221882234367490125',)

因此涉案交易使用的银行卡号为：

6221882234367490125

12. AI 换脸图片大概率使用的 AI 模型是哪一个？

• 答案：

13. 萤小石的身份证号码是什么？

330122199801209527

散落版 1.png 已损坏；身份证.zip 中的成员被动过手脚，需手工解析 zip 结构取出完整 PNG 数据。完整图可见姓名/性别/民族/生日；真正号码以文本方式藏在 PNG 尾部、IEND 前。提取后得到 18 位号码，并与生日段、校验位核对通过。

思路：
L:\身份证\1.png 是散落在外面的损坏版图片，而 L:\身份证.zip 中保存了完整图片数据，但 zip 文件头被做了手脚，不能直接正常解出。需要手工解析 zip 中真实文件项，再把 deflate 数据解压出来。

先枚举 zip 的本地文件头，找真实 PNG 文件项：

import struct

z = open(r'C:\temp\idcard.zip', 'rb').read()
pos = 0

while True:
    i = z.find(b'PK\x03\x04', pos)
    if i < 0:
        break
    flags = struct.unpack('<H', z[i+6:i+8])[0]
    method = struct.unpack('<H', z[i+8:i+10])[0]
    csize = struct.unpack('<I', z[i+18:i+22])[0]
    usize = struct.unpack('<I', z[i+22:i+26])[0]
    nlen = struct.unpack('<H', z[i+26:i+28])[0]
    elen = struct.unpack('<H', z[i+28:i+30])[0]
    name = z[i+30:i+30+nlen]
    print(i, flags, method, csize, usize, nlen, elen, name)
    pos = i + 4

输出可见第三个文件项是真实 PNG，偏移为：

129

然后按偏移手工提取并解压：

import struct
import zlib

z = open(r'C:\temp\idcard.zip', 'rb').read()
i = 129
nlen = struct.unpack('<H', z[i+26:i+28])[0]
elen = struct.unpack('<H', z[i+28:i+30])[0]
csize = struct.unpack('<I', z[i+18:i+22])[0]

comp = z[i+30+nlen+elen:i+30+nlen+elen+csize]
raw = zlib.decompress(comp, -15)

open(r'C:\temp\idcard_full.png', 'wb').write(raw)
print(raw[-128:])

解压后得到完整 PNG。查看尾部输出，可以看到身份证号码文本直接藏在 PNG 末尾、IEND 前：

...330122199801209527...IEND...

因此萤小石的身份证号码为：

330122199801209527

14. 小众通联工具绑定的手机号码为多少？

18136091921
Open: file-20260614162904779.png

在雷电模拟器检材中找到小众通联工具是i聊
聊天数据库里有记录
Open: file-20260614162312004.png

Open: file-20260614162655850.png

可看到yxs绑定的手机号

15. 小众通联工具添加好友的具体时间是什么？

2026-05-13 16:12:37
同上一题
Open: file-20260614163139481.png

16. 挖矿程序（请勿在本地运行）的版本是什么？

• 答案：

17. 门罗币钱包地址后 6 位是什么？

• 答案：

很有难度的一套QWQ，没有复盘出来的部分希望佬们不吝赐教