2026FIC决赛-手机

虚拟机燃尽了,仿真起不来暂时不做了,留个手机的证明我还活着


 

1.分析手机检材,该手机设备名称为【参考格式:小米 17 pro】

结果为REDMAGIC 9 Pro+

2.分析手机检材,该手机系统magisk【环境版本】为【参考格式:26000】

这里强调了环境版本,所以直接看二进制里有没有

结果为30600

3.分析手机检材,嫌疑人通过盖世游戏app安装的《最终幻想》游戏版本是罗马数字

百度了一下包名com.xiaoji.egggame,但是私有目录下没有数据,考虑Android/data,还以为是具体版本号==

结果为VIII

4.分析手机检材,5月6日,嫌疑人最后一次使用谷歌套件中的某个app,其包名是

里面很多时间戳,问ai只说第一个是,但是他好像也不知道后面还有==

结果为com.google.android.googlequicksearchbox

5.分析上述app5月6日推送新闻的相关痕迹和缓存,新闻《男子拾获钱包以为天降横财》中事件发生的地点是(上海闵行)

关键词缓存,说明主要内容不在数据库等文件

结果为柔佛麻坡

6.分析该手机关机信息情况,最近一次因电池电池异常过热导致关机的北京时间为(格式:1970-01-01 00:11:22)

这里看一下关机记录,然后搜索关键词Shutdown request from SYSTEM,能看到一个跟电池有关的,由于热量原因。再搜索这个关键词,只有这一个

结果为2026-01-21 17:28:02

7.分析手机检材,北京时间2026-05-06 10:43:38左右那些应用的通知被查看了?

参考https://github.com/abrignoni/Android-Usagestats-XML-Protobuf,解析usagestats,ai修复一下跑结果

select datetime(lastime/1000,'unixepoch','localtime') as 时间,package from data where 时间>'2026-05-06 10:43:00' and 时间<'2026-05-06 10:45:00'  and types='NOTIFICATION_SEEN'

结果为com.ai.assistance.operit、com.v2(防检测)ray.ang、android

8.该手机曾进行过一次备份,使用的工具是【参考格式:ABC123】

结果为SeedVault

9.使用上述工具进行备份的具体日期是【参考格式:2000/1/1】

结果为2026-05-09 14:24:27

10.手机重启过程中,屏幕上除厂商logo外,还可以看到以下哪些内容

二维码 密码相关提示 FIC 助记词

amazing

二维码扫出来+XTcxmYcgCkSTMTeURBAIOqg7Bz+xq8qlFIzY6SdJ0wl+RSh3g7VvrJRiG9/LwEaKc7I4bTjWzU51wQAwUSNOA==

结果为密码、二维码

11.分析上述除logo外的信息,发现与加密后的助记词有关,这里用来加密助记词使用的对称加密算法为【参考格式:md5】

关键信息对称加密,密码提示是1-81-8,猜测key和iv是12345678,都是8字节,尝试对称加密算法解密,都不行,考虑到8字节太小了,那么可能是1234567812345678,没有iv,使用SM4成功解密,得到结果dept aci clus reco jou hors rooki sign san canc will bag

结果为SM4

12.助记词有部分残缺,需要补全的助记词数量为【参考格式:1】

助记词是12个单词,是单词有错误,对应词表查询,共9个,最终助记词为depth acid cluster record journey horse rookie sign sand cancel will bag

结果为9

13.嫌疑人近期使用了一款笔记软件,该应用数据加密使用的主要加密算法为rsa-pbdkf2

确认软件,然后提取apk逆向

明显是h5程序

可以找到两个加密算法,同时有协议版本号

根据数据库中记录的版本号,这里用的是XChaCha20-Poly1305

结果为XChaCha20-Poly1305

14.分析该笔记软件,其数据库一次解密密钥为

结果为69bf3693d45cd5485cc53cd7ad9c5c5bf769aa48847253c3991ef18bd3f2ae87

15.用来解密5月8日的收入的二次解密密钥为

这里要先解密一次004:e05a5595d6432df56b0ab77254960f0b731a31c7badccf7f:9ACcrfok2XG4PvtMkE89CR+7bUURiW50YD8+MedrFkLfKhWrl8q6cSw5ArqTmcZfW9GOutodCekUTIFReqY/YC68cc0tFiA77fWUE6BfBiI=:eyJ1IjoiMzM1ZWY4Y2QtOTk5MC00NWEwLTlkYmYtMmI4NWZhYjZlZjVlIiwidiI6IjAwNCJ9:e30=

写个脚本解密

package main

import (
    "encoding/hex"
    "strings"
    "testing"

    "github.com/deatil/go-cryptobin/cryptobin/crypto"
)

func decrypt(cipherText, key string) string {
    tkey, _ := hex.DecodeString(key)
    texts := strings.Split(cipherText, ":")
    _ = texts[0]
    nonce, _ := hex.DecodeString(texts[1])
    data := texts[2]
    associated_data := texts[3]
    return crypto.FromBase64String(data).WithKey(tkey).WithIv(nonce).Chacha20poly1305X([]byte(associated_data)).Decrypt().ToString()
}

func TestAnalyzer(t *testing.T) {
    cipherText := "004:7c1ef6f717d20faf8cdca32cef2dd39736704940918302f6:0Pul8qMWK7Gu+12Y/+0qI6QhiLIm4lFrpd7ebnEslEVukAfQ3k/QZqeyHCx3wR2iG+r6urZ4KsS/7W5utnRWfW+HNThEQjtgmLlqIF56mXs=:eyJ1IjoiMjk2M2U4YjQtMDBiMy00ZDQyLTg0N2UtNzFiMmNhNzllMTgyIiwidiI6IjAwNCJ9:e30="
    key := "69bf3693d45cd5485cc53cd7ad9c5c5bf769aa48847253c3991ef18bd3f2ae87"
    next_key := decrypt(cipherText, key)
    t.Logf("二次密钥:%s", next_key)
    cipherText = "004:b863f59a4aa43af996eac1293d983a39e104ca83781300b3:NleNZvh1dmlhnnkGu3nnTM4G4LN5nVTSqa8s7RJ/LImFvNUjeOL7nGr3m41ECs5pic+ZhKuhTCggvuQltq9+b9+Y0+aXO79o4to4xda38aYjd5OHu/4PEdpmEqLNS5atTufwORccVjxabns8WRkCHqWeFMBskxniK3xh/rFdyW4e2Md8B7bd/oMuluS3uBR4I+JlkVE2Q0zNqto2sOMHEnnxB1xhtYrvgRi39UMt/oRwIBaTBv/l/qU99P92ESfVdcxfi5AhROTv3aITNh6NOiO+fZ2Z9yhfe5MApBcVATI9sApoBVFd3gXAATqKc043/+WQMVl+fD6D20CXnqERuDX4XP4VEAat2WPLiuiIv73mai9/wxGht2n0kkcK6kljh+6Hx4AH1rEBw6a1WfWr/g==:eyJ1IjoiMjk2M2U4YjQtMDBiMy00ZDQyLTg0N2UtNzFiMmNhNzllMTgyIiwidiI6IjAwNCJ9:e30="
    t.Logf("笔记内容:%s", decrypt(cipherText, next_key))
}

结果为c1790efd9f93361ed78291524d46983d32f866308c4eda7d2228bcd35405e999

16.笔记软件中记录5月7日的收入为【参考格式:123.45】

结果为84826.90

17.笔记软件中记录5月6日的收入为【参考格式:123.45】

在数据库里没有,考虑到前面有seedvault备份,所以可能需要解析备份,找一个最近更新的工具来解析https://github.com/Baltram/seednaut,旧工具找了几个都不支持这个备份,这里要输入之前还原出的12个助记词

可以找到备份数据

结果为76583.87

18.手机检材中有一个AI助手程序,分析该程序配置与任务,哪个应用程序运行后会清空本地存储内容?回答包名【参考格式:a.b.c】

前面已经出现过ai相关app的包名了com.ai.assistance.operit,data里也是没找到东西,翻了半天在Download里找到了workflow,打开微信主界面后触发

结果为com.tencent.mm

19.分析AI助手程序调用的模型,结合笔记软件中的记录,用来隐藏银行卡密码的模型文件名为【参考格式:icp123】

直接看数据库中的聊天信息

结果为ultraman-663M-BF16.gguf

20.嫌疑人曾自行修改上题中的模型,他是通过什么原始模型修改而来的?【参考格式:abc】

Hunyuan-7B-Instruct-MNN就是hunyuan-dense系列的,倾向两者都对

结果为Hunyuan-7B-Instruct-MNN

21.被修改后的模型量化精度为

结果为BF16

22.能够提升修改后模型对话能力的虚拟token为【参考格式:<flag>】

https://github.com/mozzilemon/print_gguf,改一下代码把输出写文件,应该是这个FIC的

结果为<FICgoodcompatition>

23.分析AI助手与笔记软件中的记录,找出银行卡6位数字密码为【参考格式:123456】

应该是结合前面的笔记,说密码是秘密(secret),其实应该是提示词,但是前面已经能看到525252

结果为525252

posted @ 2026-05-28 14:14  WXjzc  阅读(133)  评论(0)    收藏  举报