2025FIC晋级赛

检材一

正常情况下，在网络固证时所有需要的内容都会单独保存/爬取到文件中，题出得挺新颖，烂也是真的烂

1.请分析检材一，该取证录像文件的 SHA256 值为

结果为2753DA22FE23CADAADC14FE4C1D5096A153360D9F91097EA376846431F5C1567

2.请分析检材一，远程取证所使用的 OBS 工具版本号为

结果为29.1.3

3.请分析检材一，该检材所使用的远程取证的工具名称为

结果为网镜

4.请分析检材一，在该检材中，远程取证过程中校验的北京时间为

结果为2025-04-09 13:36:18

5.请分析检材一，远程取证的网站 IP 地址为

结果为172.16.10.200

6.请分析检材一，在该检材中，远程取证的网站密码为

结果为admin123

以下题目，既然是固定页面数据，如果不爬接口、不爬网页，最不济最不济也要把当前网页保存下来。弄成截图是考工具还是逻辑？既锻炼不了能力，也没有实战意义。

7.请分析检材一，在已固定的“订单列表”中发现有一页缺失。请找出缺失页面的具体页码为
8.请分析检材一，补充“订单列表”中缺失页面的数据后，统计订单的总数为
9.请分析检材一，补充“订单列表”中缺失页面的数据后，统计已完成订单中“老李监控批发” 的订单数为
10.请分析检材一，补充“订单列表”中缺失页面的数据后，统计已完成订单中“老李监控批发” 的ZK-101产品的订单数为
11.请分析检材一，补充“订单列表”中缺失页面的数据后，统计已完成订单中“老李监控批发” 产品在上海区域的订单数为
12.请分析检材一，补充“订单列表”中缺失页面的数据后，统计已完成订单中“老李监控批发”的销售情况，并计算“赵磊（13967346658）”优惠后的总金额为（例如，优惠率为10%时按原单价的90%计算）
13.请分析检材一，补充“代理列表”中缺失页面的数据后，统计代理人的最大层级数为（其中顶级代理的用户定义为第1层）
14.请分析检材一，补充“代理列表”中缺失页面的数据后，统计每位代理的直接下游人数， 并确定直接下游人数排名第一的代理人为
15.请分析检材一，补充“代理列表”中缺失页面的数据后，根据地址信息统计各区域的代理人数，并确定上海区域的代理人数为

给几种方式

对图片ocr，由于网页布局都差不多，可以用正则匹配，把表单数据都拿到然后转csv等
找图片转表格工具
利用大模型初步得到结果，然后解析成csv
找几个牛马或者黑奴，手工挪到表格里

检材二

1.请分析检材二，请分析"手机"检材，并回答，并回答该手机的device_name是？

结果为Redmi 6 Pro

2.请分析检材二，请分析"手机"检材，并回答，嫌疑人pc开机密码是什么？

不在小米笔记里

结果为1qaz2wsx

3.请分析检材二，请分析"手机"检材，并回答，嫌疑人接头暗号是什么？

注意到有一张图片

找到该图片

结果为爱能不能够永远单纯没有悲哀

4.请分析检材二，请分析"手机"检材，并回答，嫌疑人存放的秘钥环是多少？

小米笔记里，但不在笔记表中，在data表中

结果为1qaz2wsx3edc

5.请分析检材二，请分析"手机"检材，并回答，嫌疑人一生中最重要的日子是什么时候？

看一下应用市场安装记录，有个倒数日

找到数据目录，是一个realm数据库

Realm Studio打不开，硬看，可以这样推测出对应关系

另外这个目录里的图片里面有提到博客地址chen.foren6

结果为2026-02-26

6.请分析检材二，请分析"手机"检材，并回答，嫌疑人微信生成的聊天记录数据库文件名称是什么？

结果为EnMicroMsg.db

7.请分析检材二，请分析"手机"检材，并回答，嫌疑人微信账号对应的 UIN 为多少？

结果为1864810197

8.请分析检材二，请分析"手机"检材，并回答，嫌疑人微信聊天记录数据库的加密秘钥是什么？

结果为31ad809

9.请分析检材二，请分析"手机"检材，并回答，嫌疑人“欠条.rar”的解压密码是多少？

解密数据库

可以看到解压密码是对方手机号

手机号通过图片发送

能看出有个二维码

用windows的照片查看更清晰，微信可以扫出来+1 3170010703，其中+1是区号

找到压缩包测试密码

结果为3170010703

10.请分析检材二，请分析"手机"检材，并回答，嫌疑人“欠条.rar”解压后，其中VeraCrypt容器的MD5值是多少？

结果为83DA62AABC88CB1B23E9469142B67B80

11.请分析检材二，请分析"手机"检材，并回答，嫌疑人提供的“欠条.rar”解压后，其中"1.png"图上显示的VeraCrypt容器密码是多少？

可以用ImageJ调整调整

结果为#!@KE2sax@!da0h5hghg34&@

12.请分析检材二，请分析"手机"检材，并回答，嫌疑人李某全名是什么？

结果为李安弘

13.请分析检材二，请分析"手机"检材，并回答，嫌疑人欠款金额是多少？

结果为80000

检材三

1.请分析检材三，请分析"电脑"检材，并回答，该电脑最后一次开机时间是？

/var/log/wtmp，开机和关机相对应，所以中间那一次是真重启，第一次是开机

结果为2025-04-15 11:49:47

2.请分析检材三，请分析"电脑"检材，并回答，嫌疑人的备用机号码是多少？

麒麟便签数据库\home\adm1n\.config\kylin-note\kyNotes.db，发现有一个笔记的html数据特别大

有一张图片在里面

结果为18877332134

3.请分析检材三，请分析"电脑"检材，并回答，域名dgy02.com曾保存过一个密码，该密码是多少？

仿真，有密码1qaz2wsx就不饶，需要密钥环1qaz2wsx3edc，浏览器直接解密

结果为tcgg123456

4.请分析检材三，请分析"电脑"检材，并回答，其电脑安装的微信版本是多少？

结果为4.0.1.12

5.请分析检材三，请分析"电脑"检材，并回答，该系统有哪些远程控制软件

结果为向日葵、todesk

6.请分析检材三，请分析"电脑"检材，并回答，电脑2025年4月10日11点4分29秒曾被向日葵远程控制，其记录的日志文件名为

/var/log/sunlogin

结果为sunlogin_service.log.2

7.请分析检材三，请分析"电脑"检材，并回答，电脑2025年4月10日11点4分29秒曾被向日葵远程控制，日志内记录对方公网IP地址和端口为

结果为116.192.161.222:2577

8.请分析检材三，请分析"电脑"检材，并回答，某文件的MD5值为“ 2bdfcdbd6c63efc094ac154a28968b7d”，该文件名为

结果为important.docx

9.请分析检材三，请分析"电脑"检材，据调查，上述文件存放了钱包助记词，第一个单词是什么？

jpg

结果为solution

10.请分析检材三（“我的测试机”），最近曾访问过的音频文件，该音频文件的文件名是什么

结果为自传小说.mp3

11.请分析检材三（“我的测试机”），最近曾使用过USB设备，该设备的名称为

结果为256GB thinkplus

12.请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人现任妻子毕业的大学是？

结果为上海大学

13.请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人是通过一个朋友认识的陈老板，该朋友姓氏拼音是？

结果为wang

14.请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人所说的香格里拉大酒店实则是？

15.请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人银行密码是多少？

听说是藏头，挺逆天的，我才不听

互联网固证

1.请分析检材二，找到李某上游人员陈某博客宣传所用域名为

设置dnshttps://docs.hnsdns.com/dns-resolver/windows/后访问chen.foren6会跳转

结果为blog.chen.foren6

2.请分析陈某宣传所用域名，该域名的顶级域名在以下那个区块链注册

在namebase中搜索，注意到varo

继续搜索varo

结果为hns

3.请分析陈某宣传所用域名的顶级域名的域名解析服务器（DNS）共有几个

结果为2

4.请分析陈某宣传所用域名的顶级域名的NS1服务器ip为

结果为45.79.133.98

5.请分析陈某宣传所用域名，该域名DNS记录指向邮件服务器域名为

nslookup查看

结果为mail.163.com

6.请分析陈某宣传所用域名，该域名的txt记录中chen的值为

结果为fengbaoliejiu

7.请分析陈某宣传所用域名，该域名DNS记录没有以下那个域名

A、admin.chen.foren6 B、caidan.chen.foren6 C、fic.chen.foren6 D、hl.chen.foren6

结果为D

8.请分析陈某宣传所用域名，该博客域名最终DNS解析指向的github仓库名为

结果为chewhaoN.github.io

9.请分析陈某github账号，陈某对jkroepke/2Moons项目增改了几个文件

下载两个2Moons，bc进行比对

比对时需要进行设置，因为这些文件的换行不统一