2025平航杯

计算机取证

计算机取证-1

可以直接找到

计算机取证-2

直接翻

所以是5

计算机取证-3

这里可以看出来使用Edge浏览器记录最多
可以推断Edge是默认浏览器

计算机取证-4

在Edge里面发现了

计算机取证-5

开关机时间里面可以找到
2025/4/10 11:15:29

计算机取证-6

这里把虚拟机仿真起来

在里面发现一个类似日记的软件

一个rednotebook这个软件打开看一下

结果发现还没有安装
就去桌面上看来一下安装了些什么文件虽然只有一部分

发现有一个沙盒点进去看一下

发现一个diary英语好的就可以反应了

翻了一会儿发现了

发现他3月3号才开始写日记

计算机取证-7

这里只发现了这个文件夹

然后就不知道怎么办了
去网上搜了一下这是个啥

简单理解就是一个与AI聊天的模型

这里发现运行起来有一个start.bat文件
找一下

在wife文件夹下面

运行起来看一下怎么个事

这里登录需要密码刚刚日记里面有但是没截图发出来

之后就可以找到了

计算机取证-8

收藏的角色里面有四个

这里这个就是bitlocker的密码

20240503LOVE

计算机取证-9

这里我自己没有找到
翻了好久还是没有找到

后面去看wp发现是在日志里面

这里看见模型了

Tifa-DeepsexV2-7b-Cot-0222-Q8

但是还有一个文件后缀

这个在我之前翻的时候搜索的时候了解到模型这个后缀多是gguf

所以最后就是Tifa-DeepsexV2-7b-Cot-0222-Q8.gguf

计算机取证-10

之前解密的时候就看见一个face了

这个应该就是换脸的意思检查一下

这里只需要帮这个给运行起来就可以知道端口了

这里很神奇，直接点击他不让我运行一直卡在启动的界面

但是使用命令框就可以了

额。。。。。

被搞懵了这个提交之后他显示错误

这里看了下wp发现他们的运行之后就是7860这个端口

这里去看了一下后台的端口

发现就是7861开着7860没开也没被占用
这里也不知道为啥

计算机取证-11

这里发现有一个输出文件夹

进去看看

有三个

计算机取证-12

这里在.jobs文件夹里面发现completed里面的文件

这里根据时间找到了最先进行换脸的模型

里面显示了很多模型

我们可以去页面看一下进行对照

这里找到之后找后缀

所以是inswapper_128_fp16.onnx

计算机取证-13

找到目录文件进去看也是在被锁的那个盘里

计算机取证-14

这里直接点击运行不了搜一波

emmm，运行不了加上bat试一下

也不行，直接进入bin文件夹运行

访问平台

这里发现需要账号密码，在被加密的盘里面发现了与这个有关的东西

虽然高糊画质，但是还是能看出来

neo4j/secretqianqian

登录进去看一下

左上角那个看着就像节点

交一下

对了，就是

计算机取证-15

在里面没有找到白杰

emmm，然后就以为不在这里面，一直找没有找到

后面看了一下wp发现使用语句就可以找到

也不知道为啥数据库里面没有找到但是使用语句查询就可以找到

这里编写的语句是

MATCH (u:person {name: '白杰'})
RETURN u.mobile;

这里其实MATCH就可以当作select看
后面的跟着思维导图里面看就行