2025龙信杯

1. *分析手机镜像，请问机身的Wi-Fi信号源的物理地址是什么？[标准格式:01:02:03:04:05:06]

没找到其它softap配置，但这个里面存的似乎是密码

高版本会保存在/data/misc/apexdata/com.android.wifi/WifiConfigStoreSoftAp.xml，包含密码、MAC地址等

2. 分析手机镜像，请问张大的手机号码尾号是3807的手机号码是多少？[标准格式：15599005009]

直接搜索3807，然后能在kimi的mmkv里找到156****3807，又在这里看到flutter的sp，看一下目录这个也是kimi的数据，所以可以确定

结果为15680193807

3. 分析手机镜像，分析手机镜像，其通讯录中号码归属地最多的直辖市是哪里？[标准格式：天津市]

数据库里没有保存归属地，要查询一下

在线批量查询https://www.chahaoba.cn/page/%E6%89%8B%E6%9C%BA%E5%8F%B7%E7%A0%81%E5%BD%92%E5%B1%9E%E5%9C%B0%E6%89%B9%E9%87%8F%E6%9F%A5%E8%AF%A2#

结果为北京

4. 分析手机镜像，嫌疑人最近卸载过的的一款小说APP的名字是什么？[标准格式：繁华付费小说]

有一个用于隐藏的APP，在里面找到了七猫的痕迹，然后没有找到对应目录，应该就是删除了

结果为七猫免费小说

5. 分析手机镜像，嫌疑人使用“逐浪小说”应用最近一次搜索小说书名叫什么？[标准格式：斗破苍穹]

数据库里没东西

上面找小说的时候注意到有一个文件管理器，里面经常有小黄鸟的访问

在数据库里查询一下

结果为从斗罗开始无敌

6. 分析手机镜像，嫌疑人曾使用“QQ浏览器”使用过的搜索关键词有几个？[标准格式：1个]

找每个keyword

全提出来解析一下

import re
from urllib.parse import unquote

pattern = r"keyword=([^&|^/]+)"


with open("urls.txt", "r") as file:
    lines = file.readlines()
keywords = set()
for line in lines:
    line = unquote(line)
    matches = re.findall(pattern, line)
    # print(line)
    if matches:
        for keyword in matches:
            print(keyword.strip())
            keywords.add(keyword.strip())
print(len(keywords))
# 27

结果为27

7. 分析手机镜像，嫌疑人曾经安装过的一款AI软件登录的用户名是什么？[标准格式：用户123456]

之前说的kimi

结果为用户3807

8. 接上问，嫌疑人在此AI软件中最后一次提问的内容是什么？[按照实际值填写]

结果为继续生成一个

9. 分析手机镜像，嫌疑人花费多少元购买小说网站源码？[标准格式：2000]

电鸽，买了视频和小说，视频1000U，小说1300RMB

结果为1300

10. 接上问，嫌疑人购买的小说网站源码的MD5值后六位是什么？[标准格式：12a34b]

找到文件名

结果为d9ed2d

11. 分析手机镜像，嫌疑人的虚拟钱包地址是什么？[按照实际值填写]

见9，浏览器里查询对应交易

结果为0x2a80985eea4283fdebddc5ec25c15d8cb5bcc09f

12. 分析手机镜像，嫌疑人购买视频网站源码花费了多少USDT？[标准格式：500]

结果为1000

13. 分析手机镜像，其接受过一个远控木马程序（exe），请问其MD5值后六位是多少？[标准格式：12a34b]

结果为5ae243

14. 接上题，该exe使用了哪种压缩方式？[标准格式：TAR]

结果为UPX

15. 接上题，该exe使用的压缩方式修改了几处特征？[标准格式：5]

很明显是把section改成了vmp，搜索改掉就可以了

结果为3

16. 接上题，该exe外联的端口号是多少？[标准格式：3306]

脱壳

反编译跟一下，还是比较简单的，我都能做

可以看到外连192.168.93.129:4444

结果为4444

17. 接上题，该exe会搜索并加密几种类型的文件？[标准格式：5]

这里是释放exe

再跟一下就能找到

结果为3

18. 接上题，该exe会释放一个新的exe，请问新的exe是用哪种编程语言编写的？[标准格式：php]

结果为Python

19. 接上题，释放出的exe使用的邮件服务器的授权码是？[标准格式：scxcsaafas]

可以直接解包，也可以提取出来

结果为qycirqwzxogjdgbh

20. 分析手机镜像，嫌疑人发布的抖音作品是参考哪篇文学巨著生成的？[标准格式：三国演义]

kimi里

结果为钢铁是怎样炼成的

21. *分析手机镜像，嫌疑人通过抖音发布了几个作品？[标准格式：6]

根据后面的id搜索

但是video_record里又有3个

结果为2

22. 接上题，作品ID为 7564293625007115554 的观众浏览量为几次？[标准格式：5]

结果为23

23. 分析手机镜像，嫌疑人相册中的图片为其非法所得（不考虑重复），请分析其总收益为多少元？[标准格式12345]

全拿出来累加，出这种题就是脑子有问题

结果为6577

24. 分析手机镜像，嫌疑人电脑的开机密码是多少？[按照实际值填写]

同时还能拿到bc密码qwe123!@#

结果为qwe321@@@

25. 分析Windows检材，PowerShell中多少个命令关联URL地址(不去重)？[标准格式：123]

结果为5

26. 分析Windows检材，VeraCrypt加密容器密码是什么？[标准格式：v10.1.1]

win+v

结果为UJw4FspAsmNVRACWf4GQazvd

27. 分析Windows检材，加密容器中“密码本.txt”文件的SHA-256哈希值后6位是多少？[标准格式：全大写]

找到容器

里面只有一个账单，考虑多密码或者恢复

确实是删除的，恢复出来，当然在回收站的话，虚拟机里挂载应该就能在回收站里看到

结果为8E3FC7

28. 分析Windows检材，接上题,根据“密码本.txt”文件对账单数据压缩包进行解密，其密码是多少？[标准格式：根据实际值填写]

结果为VteGElLDQu

29. 分析Windows检材，接上题，分析其账单数据中哪个类别的金额最多？[标准格式：根据实际值填写]

import os
from datetime import timedelta

import polars as pl


def parse(dir_path: str) -> None:
    dfs = []
    files = os.listdir(dir_path)
    for file in files:
        if file.endswith(".xlsx"):
            df = pl.read_excel(
                os.path.join(dir_path, file),
                sheet_name="Sheet1",
                has_header=True,
            )
            dfs.append(df)
    df = pl.concat(dfs)
    df = df.group_by("项目").agg(pl.col("金额").sum().alias("总金额"))
    print(df)


def main():
    parse("账单数据")


if __name__ == "__main__":
    main()

结果为小说网站

30. 分析Windows检材，Bitlocker的恢复密钥前6位是什么？[标准格式：123456]

这张图文件头不对，头是webp的，但是尾部是png，说明这是两张图拼起来的

向上搜索png头就行

修复的图片crc校验错误，可能是改了高度，我们直接改大点就出来了

但是这个拿去解密不对

索性用密码解密直接导出

结果为282469

31. 分析Windows检材，嫌疑人使用的Windows激活工具的版本是什么？[标准格式：v10.1.1]

结果为v4.2.8

32. 分析Windows检材，嫌疑人电脑中安装的加密软件（非VeraCrypt）版本是多少？[标准格式：1.2.3]

结果为1.17.1

33. 分析Windows检材，接上题，该加密软件恢复秘钥文件最后一个单词是什么？[标准格式：根据实际值填写]

bitlocker里面的docx，后面几个单词是白色，记得改一下

重置密码后挂载出来

结果为accent

34. 分析Windows检材，mysql的数据库路径是什么？[标准格式：C:\MySQL5.7.26\data]

安装了phpstudy

结果为D:\phpstudy_pro\Extensions\MySQL5.7.26\data

35. 分析Windows检材，数据库中novel_id为3的爬虫代码其爬取的网站域名地址是什么？[标准格式：https://www.baidu.com]

注意虚拟机里是固定ip，改了之后连数据库

爬虫里看对应内容

结果为https://www.shuzhige.com

36. 分析Windows检材，对比数据库与爬去小说数据，数据库中缺少的小说其共有多少章节？[标准格式：123]

结果为3

37. 分析Windows检材，嫌疑人爬取的小说共有多少汉字（包括繁体汉字，不计标点符号）？[标准格式：123]

import os
import re


def count_chinese_by_type(text):
    hanzi_pattern = re.compile(r"[\u4e00-\u9fff\u3400-\u4dbf\uf900-\ufaff]")
    chinese_punctuation = set("，。！？；：“”‘’（）【】《》——…·￥、")

    all_hanzi = hanzi_pattern.findall(text)
    filtered_hanzi = [char for char in all_hanzi if char not in chinese_punctuation]

    return len(filtered_hanzi)


dir_name = "爬取-原本"

total = ""
cnt = 0
for root, dirs, files in os.walk(dir_name):
    for file in files:
        path = os.path.join(root, file)
        with open(path, "r", encoding="utf-8") as f:
            text = f.read()
            total += text
            cnt += count_chinese_by_type(text)

print(cnt)
# 2946354

结果为2946354

38. 分析Windows检材，嫌疑人为躲避侵权，将爬取文本中多个不同汉字分别替换成另一些汉字（如“我”→“窝”），分析共有多少个不同汉字被替换（相同字仅计一次）？[标准格式：123]

import os

source_dir = "爬取-原本"
target_dir = "爬取-替换"

total = ""
max_cnt = 0
file_name = ""
words = set()
no_replaced = []
for root, dirs, files in os.walk(source_dir):
    for file in files:
        cnt = 0
        path = os.path.join(root, file)
        with open(path, "r", encoding="utf-8") as f:
            source = f.read()
        with open(path.replace("原本", "替换"), "r", encoding="utf-8") as f:
            target = f.read()
        if source == target:
            no_replaced.append(file)
            continue
        if len(source) != len(target):
            print("长度不一致！")
            continue
        for i in range(len(source)):
            if source[i] != target[i]:
                words.add(source[i])
                cnt += 1
                continue
        if cnt > max_cnt:
            max_cnt = cnt
            file_name = file


print(words)
print(f"{file_name}中修改了{max_cnt}个字")
print(f"未修改的文件有{len(no_replaced)}个")
#{'个', '问', '一', '说', '的'}
#第0062章.txt中修改了717个字
#未修改的文件有26个

结果为5