2026FIC决赛-手机
虚拟机燃尽了,仿真起不来暂时不做了,留个手机的证明我还活着
1.分析手机检材,该手机设备名称为【参考格式:小米 17 pro】

结果为REDMAGIC 9 Pro+
2.分析手机检材,该手机系统magisk【环境版本】为【参考格式:26000】
这里强调了环境版本,所以直接看二进制里有没有

结果为30600
3.分析手机检材,嫌疑人通过盖世游戏app安装的《最终幻想》游戏版本是罗马数字
百度了一下包名com.xiaoji.egggame,但是私有目录下没有数据,考虑Android/data,还以为是具体版本号==

结果为VIII
4.分析手机检材,5月6日,嫌疑人最后一次使用谷歌套件中的某个app,其包名是
里面很多时间戳,问ai只说第一个是,但是他好像也不知道后面还有==


结果为com.google.android.googlequicksearchbox
5.分析上述app5月6日推送新闻的相关痕迹和缓存,新闻《男子拾获钱包以为天降横财》中事件发生的地点是(上海闵行)
关键词缓存,说明主要内容不在数据库等文件

结果为柔佛麻坡
6.分析该手机关机信息情况,最近一次因电池电池异常过热导致关机的北京时间为(格式:1970-01-01 00:11:22)
这里看一下关机记录,然后搜索关键词Shutdown request from SYSTEM,能看到一个跟电池有关的,由于热量原因。再搜索这个关键词,只有这一个


结果为2026-01-21 17:28:02
7.分析手机检材,北京时间2026-05-06 10:43:38左右那些应用的通知被查看了?
参考https://github.com/abrignoni/Android-Usagestats-XML-Protobuf,解析usagestats,ai修复一下跑结果

select datetime(lastime/1000,'unixepoch','localtime') as 时间,package from data where 时间>'2026-05-06 10:43:00' and 时间<'2026-05-06 10:45:00' and types='NOTIFICATION_SEEN'

结果为com.ai.assistance.operit、com.v2(防检测)ray.ang、android
8.该手机曾进行过一次备份,使用的工具是【参考格式:ABC123】

结果为SeedVault
9.使用上述工具进行备份的具体日期是【参考格式:2000/1/1】

结果为2026-05-09 14:24:27
10.手机重启过程中,屏幕上除厂商logo外,还可以看到以下哪些内容
二维码 密码相关提示 FIC 助记词
amazing


二维码扫出来+XTcxmYcgCkSTMTeURBAIOqg7Bz+xq8qlFIzY6SdJ0wl+RSh3g7VvrJRiG9/LwEaKc7I4bTjWzU51wQAwUSNOA==
结果为密码、二维码
11.分析上述除logo外的信息,发现与加密后的助记词有关,这里用来加密助记词使用的对称加密算法为【参考格式:md5】
关键信息对称加密,密码提示是1-81-8,猜测key和iv是12345678,都是8字节,尝试对称加密算法解密,都不行,考虑到8字节太小了,那么可能是1234567812345678,没有iv,使用SM4成功解密,得到结果dept aci clus reco jou hors rooki sign san canc will bag

结果为SM4
12.助记词有部分残缺,需要补全的助记词数量为【参考格式:1】
助记词是12个单词,是单词有错误,对应词表查询,共9个,最终助记词为depth acid cluster record journey horse rookie sign sand cancel will bag

结果为9
13.嫌疑人近期使用了一款笔记软件,该应用数据加密使用的主要加密算法为rsa-pbdkf2
确认软件,然后提取apk逆向

明显是h5程序

可以找到两个加密算法,同时有协议版本号


根据数据库中记录的版本号,这里用的是XChaCha20-Poly1305

结果为XChaCha20-Poly1305
14.分析该笔记软件,其数据库一次解密密钥为

结果为69bf3693d45cd5485cc53cd7ad9c5c5bf769aa48847253c3991ef18bd3f2ae87
15.用来解密5月8日的收入的二次解密密钥为
这里要先解密一次004:e05a5595d6432df56b0ab77254960f0b731a31c7badccf7f:9ACcrfok2XG4PvtMkE89CR+7bUURiW50YD8+MedrFkLfKhWrl8q6cSw5ArqTmcZfW9GOutodCekUTIFReqY/YC68cc0tFiA77fWUE6BfBiI=:eyJ1IjoiMzM1ZWY4Y2QtOTk5MC00NWEwLTlkYmYtMmI4NWZhYjZlZjVlIiwidiI6IjAwNCJ9:e30=

写个脚本解密
package main
import (
"encoding/hex"
"strings"
"testing"
"github.com/deatil/go-cryptobin/cryptobin/crypto"
)
func decrypt(cipherText, key string) string {
tkey, _ := hex.DecodeString(key)
texts := strings.Split(cipherText, ":")
_ = texts[0]
nonce, _ := hex.DecodeString(texts[1])
data := texts[2]
associated_data := texts[3]
return crypto.FromBase64String(data).WithKey(tkey).WithIv(nonce).Chacha20poly1305X([]byte(associated_data)).Decrypt().ToString()
}
func TestAnalyzer(t *testing.T) {
cipherText := "004:7c1ef6f717d20faf8cdca32cef2dd39736704940918302f6:0Pul8qMWK7Gu+12Y/+0qI6QhiLIm4lFrpd7ebnEslEVukAfQ3k/QZqeyHCx3wR2iG+r6urZ4KsS/7W5utnRWfW+HNThEQjtgmLlqIF56mXs=:eyJ1IjoiMjk2M2U4YjQtMDBiMy00ZDQyLTg0N2UtNzFiMmNhNzllMTgyIiwidiI6IjAwNCJ9:e30="
key := "69bf3693d45cd5485cc53cd7ad9c5c5bf769aa48847253c3991ef18bd3f2ae87"
next_key := decrypt(cipherText, key)
t.Logf("二次密钥:%s", next_key)
cipherText = "004:b863f59a4aa43af996eac1293d983a39e104ca83781300b3:NleNZvh1dmlhnnkGu3nnTM4G4LN5nVTSqa8s7RJ/LImFvNUjeOL7nGr3m41ECs5pic+ZhKuhTCggvuQltq9+b9+Y0+aXO79o4to4xda38aYjd5OHu/4PEdpmEqLNS5atTufwORccVjxabns8WRkCHqWeFMBskxniK3xh/rFdyW4e2Md8B7bd/oMuluS3uBR4I+JlkVE2Q0zNqto2sOMHEnnxB1xhtYrvgRi39UMt/oRwIBaTBv/l/qU99P92ESfVdcxfi5AhROTv3aITNh6NOiO+fZ2Z9yhfe5MApBcVATI9sApoBVFd3gXAATqKc043/+WQMVl+fD6D20CXnqERuDX4XP4VEAat2WPLiuiIv73mai9/wxGht2n0kkcK6kljh+6Hx4AH1rEBw6a1WfWr/g==:eyJ1IjoiMjk2M2U4YjQtMDBiMy00ZDQyLTg0N2UtNzFiMmNhNzllMTgyIiwidiI6IjAwNCJ9:e30="
t.Logf("笔记内容:%s", decrypt(cipherText, next_key))
}






结果为c1790efd9f93361ed78291524d46983d32f866308c4eda7d2228bcd35405e999
16.笔记软件中记录5月7日的收入为【参考格式:123.45】
结果为84826.90
17.笔记软件中记录5月6日的收入为【参考格式:123.45】
在数据库里没有,考虑到前面有seedvault备份,所以可能需要解析备份,找一个最近更新的工具来解析https://github.com/Baltram/seednaut,旧工具找了几个都不支持这个备份,这里要输入之前还原出的12个助记词

可以找到备份数据


结果为76583.87
18.手机检材中有一个AI助手程序,分析该程序配置与任务,哪个应用程序运行后会清空本地存储内容?回答包名【参考格式:a.b.c】
前面已经出现过ai相关app的包名了com.ai.assistance.operit,data里也是没找到东西,翻了半天在Download里找到了workflow,打开微信主界面后触发


结果为com.tencent.mm
19.分析AI助手程序调用的模型,结合笔记软件中的记录,用来隐藏银行卡密码的模型文件名为【参考格式:icp123】
直接看数据库中的聊天信息

结果为ultraman-663M-BF16.gguf
20.嫌疑人曾自行修改上题中的模型,他是通过什么原始模型修改而来的?【参考格式:abc】
Hunyuan-7B-Instruct-MNN就是hunyuan-dense系列的,倾向两者都对


结果为Hunyuan-7B-Instruct-MNN
21.被修改后的模型量化精度为

结果为BF16
22.能够提升修改后模型对话能力的虚拟token为【参考格式:<flag>】
https://github.com/mozzilemon/print_gguf,改一下代码把输出写文件,应该是这个FIC的

结果为<FICgoodcompatition>
23.分析AI助手与笔记软件中的记录,找出银行卡6位数字密码为【参考格式:123456】
应该是结合前面的笔记,说密码是秘密(secret),其实应该是提示词,但是前面已经能看到525252了
结果为525252

浙公网安备 33010602011771号