2025美亚杯团体赛wp
检材密码:ZgxQaeiAUe3nrnZ9zEnI3nAxuPIrIPl9
邮件材料
1 在电子邮件取证方面, 警方需要注意以下要点
A. 修改邮件时间戳等元数据以迎合调查时间线
B. 全面检索相关草稿箱与已删除邮件数据
C. 必须确认取证行为获得合法授权, 并严格限定提取范围
D. 确保元数据完整性, 原始 eml 文件应作为证据链关键环节保存
E. 应备份邮件系统相关日志, 确保调查工作有据可查
BCDE
第一道题理论题,直接用本地ai即可
2 请分析邮件材料中的附件结构,并指出下列哪项描述是正确的?
A. 邮件的附件文件(PDF)包含 JavaScript 代码, 用于从外部来源动态加载内容
B. 邮件的附件文件(JPG)的元数据包含地理位置信息
C. 邮件的附件文件并非以独立附件传输, 而是以 Base64 编码方式嵌入在正文中
D. 邮件中有使用标准 ASCII 字符集编码系统表示字符及未加密的纯文本文件的附件文件
E. 以上皆不正确
E
先查看哪几个邮件材料里有附件
可以看到有两个附件是一样的
A. 将pdf导出,使用pdfid查看
B. 查看图片exif信息没有地理信息
C. 用记事本打开右键,定位附件内容
可以知道邮件的附件文件以独立附件形式传输,其数据通过 Base64 编码方式包含在邮件体中
D. 同上,所有附件的实际数据都经过了Base64 编码
3 请分析邮件的多用途互联网邮件扩展的格式结构(MIME), 并指出下列哪种内容编码未被使用
A. 7bit
B. quoted-printable
C. base64
D. binary
E. 8bit
D
AI搜了一下直接秒了
4 请分析邮件材料, 指出哪两个附件藏有加密货币地址 0x548dafDe4B17d7d3C9485E79B3B5018801C7855E
A. IQ_1.jpg 和 IQ coin proposal.pdf
B. IQ_Coin_Tokenomics_Overview.pdf 和 IQ_Coin_Compliance_Summary.pdf
C. 7b3e4512-1d8d-4d54-AA1c-5b004ce23A6f.jpeg 和 IQ_Coin_Compliance_Summary.pdf
D. IQ_1.jpg 和 7b3e4512-1d8d-4d54-AA1c-5b004ce23A6f.jpeg
E. IQ coin proposal.pdf 和 IQ_Coin_Compliance_Summary.pdf
D
这两个附件是图片,图片中有二维码,扫码可得
5 在邮件材料中, 哪一封邮件的原始发件人地址系 marketing@manson.com, 请指出这封邮件存在于以下哪一个EML 文件当中
A. Exclusive Invitation_IQ Coin Pure Growth Fund – Special Offer for You 2025-0429T18_35_47+08_00.eml
B. Proposal and Poster for IQ Coin Investment Opportunity 2025-05-01T20_16_16+08_00.eml
C. Re_Proposal and Poster for IQ Coin Investment Opportunity 2025-05-02T12_13_11+08_00.eml
D. Re_Proposal and Poster for IQ Coin Investment Opportunity 2025-05-02T14_22_16+08_00.eml
E. Re_Proposal and Poster for IQ Coin Investment Opportunity 2025-05-02T14_37_03+08_00.eml
F. Re_Proposal and Poster for IQ Coin Investment Opportunity 2025-05-02T15_14_02+08_00.eml
A
6 根据上一题, 收件者会见到这封邮件来自哪一个邮箱地址
mansonmfi@gmail.com
见上
7 当你分析邮件头时发现认证接收链(Authenticated Received Chain, 简称 ARC)验证结果为"None"时, 则代表这封邮件没有进行 ARC 邮件验证. 在这情况下, 我们可以通过以下哪一个方式协助我们判断邮件的真伪
A. 发件人策略框架(Sender Policy Framework, 简称 SPF): 检查邮件是否来自其声称的域的授权服务器
B. 域名密钥识别邮件(DomainKeys Identified Mail, 简称 DKIM): 通过数字签名验证内容在传输过程中有否被篡改,以及是否来自声称的域名
C. 域名对齐(Domain Alignment)邮件中使用的"MAIL FROM"(信封发件人)和"From"(显示发件人)地址中的域名是否一致
D. 以上皆可以
D
理论题,扔给AI
8 请分析"Exclusive Invitation_IQ Coin Pure Growth Fund – Special Offer for You 2025-04-29T18_35_47+08_00.eml"文件的邮件头信息, 以下哪项说法是正确的?
A. 邮件头中存在与 Gmail 官方信息匹配的字段,验证了转发身份的合法性
B. 邮件头中出现与 Gmail 转发地址或企业域(manson.com)无法对应的异常域名
C. 邮件头内所有域名均与 Gmail 及 manson.com 完全一致, 符合规范的域名对齐标准
D. 邮件路由信息与域名引用证实该邮件经 Gmail 服务器发送邮件
E. 邮件头中缺少与 Gmail 或 xxx.com 相关的有效域名记录, 导致邮件来源无法验证
D
同样,把文件的邮件头丢给ai
9 根据"Exclusive Invitation_IQ Coin Pure Growth Fund – Special Offer for You 2025-04-29T18_35_47+08_00.eml", 请列出使用哪一个邮件客户端软件发送
eM_Client/10.3.1503.0
10 在"Re_Proposal and Poster for IQ Coin Investment Opportunity 2025-05-02T14_22_16+08_00.eml"邮件中, 以下标头组合可用于检测欺骗或标头伪造行为
A. From、To、Subject
B. Message-ID、Received、Authentication-Results
C. DKIM、MIME-Version、Content-Type
D. Return-Path、X-Gm-Message-State、X-Pm-Spam
E. DKIM-Signature、SPF、Authentication-Results
B
11 分析邮件"Re_Proposal and Poster for IQ Coin Investment Opportunity 2025-05-02T15_14_02+08_00"的"Received"标头链, 该邮件从发起到送达 ProtonMail 服务器所经历的网络跃点数量为:
A. 1 个跃点 : 通过 Gmail 与 ProtonMail 间的专用直连通道传输
B. 2 个跃点: 发件人客户端 -> Gmail 服务器 -> ProtonMail 服务器
C. 3 个跃点: 发件人客户端 -> Google 前端服务器 -> Gmail 发送服务器 -> ProtonMail 服务器
D. 4 个跃点: 发件人客户端 -> Google 内部代理 -> Gmail 发送服务器 -> Google 外部中继 -> ProtonMail 服务器
E. 无法根据现有标头准确判断跃点数量
B
12 对比邮件"Re_Proposal and Poster for IQ Coin Investment Opportunity 2025-05-02T15_14_02+08_00"与"Re_Proposal and Poster for IQ Coin Investment Opportunity", 发现两者源自相同的 IPv6 地址. 下列哪个是正确的
A. 这两封邮件是由同一台设备发送的
B. 这说明两封邮件经过了同一出站节点
C. Gmail为所有通过其网页版发送的邮件随机分配该IPv6地址,这是平台为保护用户隐私采取的措施
D. 该IPv6地址是Gmail基础设施中的负载均衡器地址,因此不能作为追踪具体发送来源的有效标识符
E. 这证明发件人“Loring Lisa” 使用同一个电子邮件账户发送邮件
B
13 在分析"Re_Proposal and Poster for IQ Coin Investment Opportunity 2025-05-02T15_14_02+08_00.eml"时发现这封邮件通过传输层安全协议的第 1.3 版(TLSv1.3)传送. 这一个传送使用了以下哪一个加密套件
A. AES 256 GCM SHA384
B. CHACHA20 POLY1305 SHA256
C. ECDHE RSA WITH AES 128 CBC SHA256
D. DHE RSA WITH AES 128 GCM SHA256
E. ECDHE ECDSA WITH AES 256 GCM SHA384
A
搜索一下即可
14 Exclusive Invitation_IQ Coin Pure Growth Fund – Special Offer for You 2025-04-29T18_35_47+08_00.eml 请检查此邮件的 Message-ID 与发件人地址关系, 并判断是否存在伪造嫌疑
A. 正确
B. 错误
A
id不同
15 对电子邮件"Re_Proposal and Poster for IQ Coin Investment Opportunity 2025-05-02T14_37_03+08_00.eml"进行溯源分析, 请列出邮件进入标准化投递链条的起点即第一个接收这封邮件的服务器日期及时间(GMT+8)
2025-05-02 14:37:00
注意GMT+8
16 根据上一题, 这个日期时间是否等于这封邮件的建立时间
A. 正确
B. 错误
A
虚拟货币交易截图
:::tips
检材文件在个人赛的检材容器里,密码为0x548dafDe4B17d7d3C9485E79B3B5018801C7855E
:::
用自己搞的小工具先把转换成表格,方便操作(只能识别个大概,还得继续优化)
调整一下表格
1 在 2025 年 5 月中, 地址 0x548dafDe4B17d7d3C9485E79B3B5018801C7855E 进行了多少次涉及 BEP-20 IQ Coin 的交易
2
2 由2025-03-07 至 2025-05-02 期间内, BEP-20 IQ Coin 处理了多少次交易
25
一眼看到25条
3 地址 0x96DAA8de384c1d2bD09EA45589fA1cE05F3d2246最近一次涉及 BEP-20 IQ Coin 的交易是何时
2025-05-02 07:44:39
4 在 2025-04-25 09:52:36(UTC), 地址 0x96DAA8de384c1d2bD09EA45589fA1cE05F3d2246 传送了多少 BEP-20 IQ Coin
150000000
5 在 2025-05-02 09:49:14(UTC), 地址 0x548dafDe4B17d7d3C9485E79B3B5018801C7855E 传送了 BEP-20 IQ Coin. 在这次交易于 15 分钟内, 最终的接收地址是
A. 0xe36D4bCf0132B8Dc7317C2Fb9bfa2845629F7739
B. 0xe36D4bCf0132B8Dc7317C2Fb9bfa1845629F6638
C. 0x96DAA8de384c1d2bD09EA45589fA1cE05F3d2246
D. 0x6144ACfdf84bbEC6bccB310516A89D4b3ee48c1A
B
一直在往下一个地址发送
6 在 2025 年 5 月, 地址 0x6144ACfdf84bbEC6bccB310516A89D4b3ee48c1A 作为发送方发起了多少次 BEP-20 IQ Coin 交易
A. 1
B. 2
C. 4
D. 6
E. 8
A
7 地址 0x6144ACfdf84bbEC6bccB310516A89D4b3ee48c1A 在 BNB Smart Chain 上最早的 BEP-20 IQ Coin 交易记录是什么时候(UTC)
2025-04-11 06:37:14
8 在 BEP-20 IQ Coin 交易中, 最小的交易金额是多少
150000
看图片也是一眼看出来
9 请指出截至 2025 年 5 月 3 日为止, 第 7 题所提及的加密钱包地址持有多少 BEP-20 IQ Coin
A. 9,700,000,000
B. 9,700,000
C. 97,000
D. 无
A
筛选一下求和得到<font style="color:#000000;">10700000000</font>
再减去发出去的1000000000
10 BEP-20 IQ Coin 共有多少持有者
13
一个一个算,可以全部统计出来去掉重复的
11 经调查得知, 这个犯罪团伙将犯罪收益清洗后储存到第 22 题的加密钱包中, 以下哪一个陈述是正确的
A. 多签钱包(Multi-signature Wallet)要求在授权交易时, 需要默认数量的私钥共同进行签署, 才能将交易广播至区块链
B. 每位签署者持有唯一的私钥, 可查看钱包中的交易详情
C. 若只有一把私钥签署交易, 交易将显示为"待处理", 直到达到所需的签署私钥数量以完成批准
D. 每位签署者都会收到一组独特的助记词, 用于账户恢复
E. 以上皆是
E
直接扔给ai
梁雪媚的手机
和个人赛一样,需要备份密码,依旧是四位或六位弱口令试一试
如果密码出不来,可以对文件压缩包进行解压,解压后在/var目录中可以看到有四个文件拓展名添加了_DEC
这是提取工具生成的解密后的文件,可以对源文件进行替换,在
Manifest.plist中将备份是否加密的标志改为false即可得到未加密的检材文件还有一种方法就是直接删掉
Menifest.db和Menifest.plist,但是会缺少东西,不建议
01 请列出这个智能手机最后使用的 WhatsApp ID
85256043346@s.whatsapp.net
火眼分析出来直接看
02 根据系统消息以下哪一个陈述是正确的
A. 这个智能手机没有安装视频会议软件"Zoom"
B. 这个智能手机曾经安装视频会议软件"Zoom", 但已经删除
C. 这个智能手机有安装视频会议软件"Zoom", 但已经注销
D. 无法确认这个手机有没有安装视频会议软件"Zoom"
B(官方答案是A)
在应用列表中可以看到该软件
搜索zoom的目录
问了下ai
没有名为
Zoom.app的应用程序主体文件。在iOS系统中,应用程序被正常卸载后,其应用主体会被移除,但部分用户数据或配置文件可能会残留。所以B是正确选项
林嘉熙的手机
01 这部智能手机系统上有找到多少个国际移动设备识别码(IMEI)
A. 1
B. 2
C. 3
D. 4
E. 0
B
和个人赛的题目一样, 在 iDevice_info.txt 中可以看到 2 个 IMEI 
02 CEO Hayson的智能手机的 IMEI 1
358803093771124
由上图可得
03 这部智能手机系统最后登录 iCloud 的个人 ID
whatisceo@gmail.com
04 请列出这个智能手机最后使用的电话号码
85246809772
在sim卡这里没找到电话号码的信息
在微信和whatsapp都可以看到一个手机号
05 请列出这个智能手机订阅了多少 WhatsApp 频道
6
06 请列出这个智能手机安装了以下哪一个应用程序
A. ZOOM
B. WeChat
C. Signal
D. Telegram
E. WhatsApp
BDE
微信和whatsapp肯定有,只搜到了Telegram
07 根据梁雪媚与林嘉熙的 WhatsApp 对话内容, Manson 公司正筹备投资的加密货币名称
IQ Coin
聊天记录里可以看到
08 根据梁雪媚与林嘉熙的 WhatsApp 对话内容, 林嘉熙什么时候返回香港
2025-05-08
在聊天记录里可以看到
09 根据出入境记录确认林嘉熙在 2025-04-29 至 2025-05-08 离开香港, 参考梁雪媚与林嘉熙的 WhatsApp 对话内容, 以下哪个陈述是正确的
A. 在这段期间梁雪媚的WhatsApp对话内容比林嘉熙的多了两项
B. 林嘉熙指示梁雪媚,将海报(Poster)转寄给销售团队(Sales Team)跟进
C. 林嘉熙删除了两项消息
D. 梁雪媚用林嘉熙的WhatsApp 账号发了一个消息给自己
E. 以上皆非
AB
A.先切换视图筛选一下时间
确实是多了两项
B.多出来这两条
C.少了两条跟进的消息,他说没发送过,说明不是他删除的
D.看两人的对话即可知道不是他发给自己的
林嘉熙的笔记本电脑
01 这部电脑安装了哪一个操作系统
A. Windows 7 Enterprise, ver.6.1, Build: 7600
B. Windows 7 Enterprise, ver. 00362, build:85249
C. Windows 7 Enterprise,ver.7, Build:7600
D. CEO-PC, ver.7, Build: 7600
E. Windows 7 Enterprise,ver.7600, Build: 00392-918
A
查看系统信息
或者仿真在命令行输入winver
02 请写出这个操作系统的安装日期(UTC+8)
2025-04-12
由上图可得
03 这个操作系统安装了以下哪一个通讯软件
A. Zoom
B. WeChat
C. Threema
D. Signal
E. 以上皆非
A
仿真之后在桌面上可以直接看到
或者在安装软件那里一个一个搜
04 这个操作系统以什么方式使用 WhatsApp 服务
A. WhatsApp 网页版
B. WhatsApp 应用程序
C. 以上皆是
D. 以上皆非
A
火眼分析出来了WhatsAppWeb
05 根据上一题, 通过哪一个浏览器使用 WhatsApp 服务
Chrome
在Chrome浏览器看到了whatsapp
06 根据该系统登录记录, 有多少用户账户曾登录该系统(不含内置 Administrator 账户)
2
07 根据上一题, 系统上建立了哪些用户账户
i: CEO ii: CEOO iii: CEO1 iv: CEO2
A. i 及 ii
B. ii 及 iii
C. i, ii 及 iv
D. 以上所有
C
由上图可知有i和iv,然后就找CEOO和CEO1在哪里
在操作记录里可以看到CEOO被删除,没有找到CEO1
08 林嘉熙在 2025-04-29 至 2025-05-08 离开香港期间, 他的笔记本电脑放置在办公室内, 他没有授权其他人可使用这台笔记本电脑. 在上述期间这台电脑有什么账户登入的记录
A. CEO
B. CEO1
C. CEOO
D. CEO2
AD
筛选一下登录时间
在用户列表可以看到CEO2也登录了
09 在上述的时段, 有多少次登入记录
30
在日志这里筛选一下登录事件ID和时间
10 在上述的时段, 这些登入是使用哪个 IP 地址登入
182.239.117.11
随便点一个看看
11 根据上一题, 使用这个网络地址作出登录请求的工作站名称
KALI
打开事件查看器,筛选4624
搜索一下ip,记得是当前时段
看到工作站的名称
12 根据上一题, 哪一个账户最后一次成功登录
CEO
查看最后一条登录成功的日志
13 发现某个账户是在何时被删除的(UTC +8)
**2025-04-28 18:06:13 **
07的C选项
14 最近一次管理员权限分配的日期
**2025-04-29 **
筛选 ID 4728 将成员添加到启用安全的全局组中
15 请识别所有己挂载的网络驱动器, 指出所有对应盘符
A. Z
B. X
C. S
D. T
E. D
AD
在网络位置可以看到
16 这个"广告机软件信息发布系统"的执行文件名称
ServerMonitor.exe
查看属性
17 这个"广告机软件信息发布系统"用作存放播放材料的文件夹名称
toDisplay
搜索信息发布系统,找到文件数据库
在数据库中看到创建了toDisplay并且上传了图片进去
18 根据上一题, 请列出最早上传到这个文件夹的多媒体文件完整的文件名
manson1.png
19 使用者于哪一天首次成功登入"广告机软件信息发布系统"(GMT +8)
2025-04-14
20 "广告机软件信息发布系统"有多少次成功登入
A. 2
B. 4
C. 6
D. 12
E. 13
C
筛选一下
21 设定成用作"广告机软件信息发布系统"显示器的电脑的系统版本
A. Microsoft Windows NT 6.0.6001
B. Microsoft Windows NT 6.1.7600
C. Microsoft Windows NT 6.2.9200
D. Microsoft Windows NT 6.3.9600
C
翻翻数据库可以看到
22 设定成用作"广告机软件信息发布系统"的显示器的电脑的 IP 地址
192.168.20.15
23 在 2025-04-29 至 2025-05-08 期间, 共有多少个多媒体文件被上传至"广告机软件信息发布系统"用作存放播放材料的文件夹
4
筛选一下 上傳 
24 根据上一题,这些多媒体文件被编排到播放节目中,请列出这个节目名称
p1
搜索一下最后一张图片的位置
可以知道节目是p1
25 在 2025-04-29 至 2025-05-08 期间, 请列出最后注销"广告机软件信息发布系统"的日期及时间(GMT +8)
2025-04-29 17:58:27
26 "广告机软件信息发布系统"中有多少个使用者账号?
A. 1
B. 2
C. 4
D. 6
E. 8
A
user表中只看到一个
27 关于网页浏览器活动, 下列哪项描述正确
i:搜索网页版WhatsApp ii:浏览数字标牌系统 iii:打开PDF文件 iv:搜索惠普驱动程序
A. i 及 ii
B. i 及 iii
C. ii 及 iii
D. 以上所有
D
一个一个浏览器翻就行了
黄智华的手机
01 黄智华被其公司 CEO 安排要建立一个邮件服务器及 NAS, 他曾寻求何人协助
Duncan
02 根据上一题, 何时该人通知黄智华已完成其委托
**2025-04-24 **
03 参考黄智华与该名受委托人士的 WhatsApp 对话内容, 以下哪段描述是正确的
A. 该人士完成委托后, 向黄智华要求加钱
B. 该人士完成委托后, 提议与黄智华合作, 盗取其公司机密数据
C. 该人士完成委托后, 告知黄智华系统密码已放在网络附属储存内
D. 该人士完成委托后, 但不告知黄智华系统密码
C
冯子超的手机
竟然是个人赛的检材.....检材删了怎么办
01 哪个无线网络(Wi-Fi)接入点有地理位置记录
wanchai
查看WiFi
看到有两个wifi,iPhone(2)这个名称应该是热点,右键跳转源文件,没有看到位置信息
跳转到上级目录发现了还有个wifi文件,点击看到位置信息
02 根据上一题, 此 Wi-Fi 接入点的经纬度是多少
22.279639594323847, 114.1681339545246
由上题可知
03 根据上一题, 请列出首次连接此 Wi-Fi 接入点的日期及时间(UTC+8)
2025-04-15 19:29:23
注意UTC+8
04 根据上一题, 此 Wi-Fi 接入点的基本服务集标识符(BSSID)是什么
58:11:22:34:09:c0
由上图可知
05 根据镜像文件"FUNG_CC_mobile.zip"已登录的 WhatsApp 账号, 连同本机在内已登录了多少个设备
A. 1
B. 2
C. 3
D. 4
E. 5个以上
C
在账户信息这里只看到了一个账号,明显不对
查看一下whatsapp的数据库,在<font style="color:rgba(0, 0, 0, 0.87);">/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/DeviceAgents.sqlite</font>中看到设备中有三个账号
06 根据上一题, 除了本机以外, 其他设备使用哪一种操作系统及程序连接
A. Microsoft Windows / FireFox
B. Microsoft Windows / Chrome
C. Microsoft Windows / Edge
D. Apple MacOS / Safari
E. 以上都不是
C
由上题可知
07 写进该机数据库的第一张照片的文件名称是什么
IMG_0001.JPG
先找一下图片数据库<font style="color:rgba(0, 0, 0, 0.87);">/var/mobile/Media/PhotoData/Photos.sqlite</font>
对时间戳进行排序
08 根据上一题, 这个图片文件是通过什么方法在此手机生成
A. 由 iCloud 同步
B. 由此手机拍摄
C. 由此手机截图
D. 从网上下载
A
可以先去看第九题,找到原文件名称,可以看到拍摄时间是2025:04:16 12:45:37,但是这个图片计算的时间是46分,所以推测是同步的照片
09 根据上一题, 请列出这图片文件的完整原文件名称
C6735068-8DB3-4C08-AB16-4B792FF2A715.jpg
在ZADDITIONALASSETATTRIBUTES表中找到原文件名称
10 根据上一题, 这个原图片文件是如何生成的
A. 由苹果手机拍摄
B. 由安卓手机拍摄
C. 网上下载的图片
D. 苹果手机的画面截图
A
找原名称的表中有生成方式
在ZEXTENDEDATTRIBUTES表中找到手机型号
11 在此手机中, 请列出可以确定不是由此手机拍摄的图片文件(heic)完整文件名称
IMG_0097.JPG
在ZEXTENDEDATTRIBUTES表中看到了一张不是由手机拍摄的图片
Z_PK是94,过滤一下
12 根据上一题, 此图片文件的 SHA256 哈希值是什么
7B9865B9E9862B79B0CF4CF69093FCBE3679A3CF81AE5E082CFDB225E187F4FE
火眼中搜索计算一下
13 根据上一题,此图片文件是如何在此手机生成的
A. 接收自云端"iCloud"同步下载
B. 接收自即时通讯软件"WhatsApp"
C. 接收自即时通讯软件"微信"
D. 接收自空投(AirDrop)
在ZADDITIONALASSETATTRIBUTES表中可以看到是Safari浏览器下载的
14 根据上一题, 请指出此图片文件来自哪一个镜像文件
A. CHAN_MH_mobile.zip
B. Duncan_laptop.e01
C. FUNG_CC_mobile.zip
D. LAM_KH_Mobile.zip
E. WONG_CW_mobile.zip
是浏览器下的,不理解了
15 根据上一题, 请列出这图片文件的原文件的完整文件名称
**IMG_0097.JPG **
还是同样的方法
我的天终于不用翻数据库了后面看西电佬的wp,发现可以直接执行脚本,直接看到所有信息,wdt,我肯定写不出来
代码太多我就不放了,原文链接:https://forensics.xidian.edu.cn/wiki/MeiyaCup2025Individual/
第30题是大佬写的脚本
16 在这部手机中, 安装了哪一个管理智能家居的 APP
这里题目有误,应该是陈民浩的手机,所以还得用个人赛陈民浩的检材。。。
com.xiaomi.smarthome
17 根据上一题, 请指出这个 APP 的安装日期及时间
2025-04-16 19:05:27
由上图可知
18 根据上一题, 这个 APP 的登录账号是什么
hoganchan143@gmail.com
火眼分析出来米家,打开设置列勾选邮箱可以看到
19 根据上一题, 这个 APP 的智能家居名称是什么
6799365478的家
20 APP 内的智能家居共有多少个房间
A. 1
B. 2
C. 3
D. 4
B
分析出来只有一个房间,但是从下一题来看明显不可能,跳转源文件看一下
然后导出文件用编译器美化一下格式,可以清晰看到是两个
21 根据上一题, 哪一个房间内是配有设备的
客廳
由上题可知
22 根据上一题, 这个房间配罝了什么装置 i. 扫地机器人 ii. 风扇 iii.摄影机 iv. 智能门锁
A. i&ii
B. i&iii
C. iii&iv
D. i&iii&iv
E. 以上皆是
B
全局搜索did,看到一个mmkv文件里有乱码,导出打开看看
对应did找到相应的装置即可
23 那些设备的识别码(did)是 i. 1064204009 ii. 1145232132 iii. 1149325279 iv. 253025817
A. i&ii
B. i&iii
C. iii&iv
D. i&iii&iv
E. 以上皆是
B
20题可知
24 这些设备使用哪一个无线网络(Wi-Fi)接入点连接, 请列出相关的服务集标识符(SSID)
DFC
火眼可以直接看到,前几题的文件中也有
25 请列出冯子超的手机内即时通讯软件 Telegram 的 UserID
暂无答案
查看应用找到了tg的包名
没有在文件里找到相关信息
26 在所有手机中, 有哪一个 WhatsApp 群组是被封存的, 它的名称是什么
鳳凰VIP會員心得交流群
跟个人赛一样
27 根据上一题, 该 WhatsApp 群组的 WhatsApp ID 是什么
85263834763-1563607573@g.us
28 根据上一题, 这个群组的建立者的完整手机号码
85263834763
右键设置列把创建者id勾选上,发现没有建立者
WhatsApp 的群组 ID 目前有 2 种格式并存:
<建立者手机号>-<建立时间的 UNIX 时间戳>@g.us, 这是较老的格式;<ID>@g.us这是较新的格式.
29 根据上一题, 这个群组的建立日期及时间(UTC+8)
2019-07-20 15:26:13
将上题所说的时间戳转换一下
在群聊最上面也可以看到
30 根据上一题, 这个群组最后一次修改名称的日期及时间(UTC+8)
暂无答案
31 根据上一题, 由哪一个 WhatsApp ID 作出这个群组名称修改
暂无答案
32 这个群组的现有的头像图片的完整文件名称
85263834763-1563607573-1732782278.jpg
在数据库中找一下存储路径
去火眼里看一下
33 这张头像图片下载到手机的日期及时间(UTC+0)
**2025-04-16 07:37:34 **
在数据库中可以看到时间戳
转换一下
34 这张头像的更改日期及时间(UTC+0)
2024-11-28 08:24:38
图片名称85263834763-1563607573-1732782278.jpg的最后一部分即为上传到whatsapp服务器的时间
35 在所有手机中, 哪一个 WhatsApp 群组中存有一些 CEO 及 CFO 的会议记录的残缺数据
A. 120363397792833003@g.us
B. 120363417464187135@g.us
C. 120363401679693148@g.us
D. 120363417811435477@g.us
E. 120363401289578356@g.us
E
在whatsapp的文件传输记录中可以看到一些会议记录
36 在该群组中, 曾发放过多少段与虚拟货币投资相关的视频
3
点击vtt的会议字幕文件,都和虚拟货币投资相关
37 这些视频在 Manson 公司的哪一个服务器中找到
A. 外送邮件服务器(SMTP)
B. 网络储存服务器(NAS)
C. 活动目录服务器 (AD)
D. 网页服务器 (WEB)
E. 以上皆非
B
在nas服务器里
38 有哪一部手机曾经使用光学字符识别(OCR)功能
38-42没找到OCR相关应用
A. FUNG_CC_mobile.zip
B. CHAN_MH_mobile.zip
C. LEUNG_YL_mobile.zip
D. LEUNG_SM_mobile.zip
E. WONG_CW_mobile.zip
E
暂无解析
39 根据上一题, 共使用了多少次光学字符识别(OCR)功能
A. 1
B. 2
C. 3
D. 4
E. 无法判断
B
暂无解析
40 根据日期时间顺序, 第二次使用光学字符识别(OCR)功能是对应什么手机的 APP
A. 原生相机软件
B. Chrome 浏览器
C. 即时通讯软件"WhatsApp"
D. 即时通讯软件"Telegram"
E. 谷歌翻译软件
C
暂无解析
41 根据上一题, 使用光学字符识别(OCR)功能的日期与原文件的建立日期相差多少天
A. 1
B. 2
C. 3
D. 4
E. 5
C
暂无解析
42 该手机使用的光学字符识别(OCR)功能的版本是什么
暂无答案
43 有哪一个摄影 APP 不会将照片存放到原生相册当中
com.uazoo.ssc
在com.uazoo.ssc这个软件目录看到两个照片
去相册中没看到这两张照片
44 根据上一题, 有多少段照片或视频是由这个 APP 拍摄的
B
A. 1
B. 2
C. 3
D. 4
E. 5
由上题可知
冯子超的笔记本电脑
01 请列出加密文件"Manson"内藏的是什么文件
login.xlsx
先搜索一下这个文件,搜索到了容器还有图片
应该考察的是图片引写,图片扔进随波逐流里
提示凯撒密码,一键解码
团队赛47题答案就得出来了
仿真之后用Truecrypt挂载一下
02 经调查得知, 在 Duncan_laptop.e01 镜像文件中, 发现有一个档案的资料, 跟 mason_finance 数据库中的用户资料很相似﹐怀疑嫌疑人用不法手段盗取, 是什么档案
user.csv
在windows上有一个kali的虚拟机,添加为新检材仿真一下
在home路径中看到一个user.csv,打开看看
就是这个了
03 经调查得知, 在 Duncan_laptop.e01 镜像文件中, 发现有一个图片涉及与 May 讨论 IQ coin 的对话, 请问该文件的 SHA256 是多少
A2F39164F6CA3EB561A9B16450414939C0B6A7640F0993DD19775A5118D634B1
相同目录下有一个聊天记录的图片,和题意相符
计算一下sha256
04 经过比对三人的对话记录, 综合时间线分析及数码证据分析, 你相信三人各自拥有一个私匙, 操作这个钱包, 并且将相关的助记词巧妙地收藏. 请根据参赛材料, 运用你的技能查获这些助记词, 以便充公犯罪线索和证据. 在Duncan_laptop.e01 的证据文件中, 发现有一个压缩文件"PDFStego-master (2).zip"怀疑与案件有关, 请回答文件的密码是多少
pass1234
在虚拟机的桌面可以看到这个压缩包
爆破一下密码
05 根据上一题, 将上述压缩文件解压缩后, 其中有一个 pdf 文件内藏有其他文件, 请问该 pdf 文件的 SHA256 哈希值是多少
37422CE276A0B4B28C1592B5C8D10D86DC619E8EF7226B3E761CDF2E7BB8A6BA
文件夹里有工具pdfstego,以及使用说明
报错说明没有,失败说明有引写痕迹,计算一下哈希
06 根据上一题, 除了上述 pdf 文件外, 以下哪些 pdf 文件同样内藏有其他文件
i) Recovery Seed1.pdf
ii) Recovery Seed (2).pdf
iii) Recovery Seed (3).pdf
iv) Recovery Seed (4).pdf
A. 只有 iii
B. 只有 iv
C. ii, iii, iv
D. i, ii, iii, iv
B
在桌面可以找到这几个文件,一个一个用命令试
07 经调查得悉, PDFStego-master 是一个加密软件, 若要解密冯子超的虚拟钱包的助记词文件, 需要借助以下哪个 PDF 文件
A.Recovery Seed1.pdf
B.Recovery Seed (2).pdf
C.Recovery Seed (3).pdf
D.Recovery Seed (4).pdf
D
根据这道题与下道题的密码一个一个试,而且上题说了,就4有引写,所以大概率都是4
08 除了需要借助上述的 PDF 文件解密, PDFStego-master 还需要输入正确密码去解密, 以下哪一组是用作开启冯子超虚拟钱包助记词文件的密码
A.Duncan
B.P@ssw0rd
C.FungDuncan
D.DuncanFung
E.Duncan123
D
一个一个试
09 根据上一题, 经调查得知, 在那些被收藏了文件在内的 pdf 文件中, 能够找到有关冯子超的虚拟钱包助记词的文件, 以下哪些是当中的助记词
A.apple banana cherry dog
B.maple sprint quartz lantern
C.alice forest crystal breeze
D.anchors boundary century dimension
A
查看助记词文件
10 根据上一题, 这个虚拟钱包助记词文件的 SHA256 哈希值是多少
457E718C63C8729CCC743B89BB966C82CC5E696156431E80ECF7520CAE2C2247
陈民浩的手机(安卓)
01 请列出网络浏览器 Chrome 已登录了的Google 账号是什么
hoganchan143@gmail.com
谷歌地图这里可以知道账号
02 根据上一题, 这个 Google 云端硬盘账户的最后同步时间是什么
2025-05-16 17:41:35
Google 云端硬盘(Google Drive)在安卓系统上的应用包名为
com.google.android.apps.docs
找到应用文件夹,在DocList.db中找到最后时间
转换一下时间戳
03 社交媒体软件"Facebook"在 AP2 手机上分配的设备 ID 是什么
E585180E-D648-4059-8445-2CFC880A33CB
看看Facebook的安装文件夹
一般来说文件多的肯定是要找的那个,在database文件夹中的数据库文件一个个搜id
04 陈民浩的家庭连接小米设备的中文名称是什么
Xiaomi掃拖機器人 S10+(正确答案是简体中文:Xiaomi扫拖机器人 S10+)
05 陈民浩的小米账户 ID 是多少?
**6799365478 **
06 陈民浩的小米设备在手机中储存了多少事件(event)?
A.0
B.352
C.1
D.325
E.133
B
07 陈民浩的小米设备完成工作后, 手机会创建一张照片, 该照片的文件名是什么?
clean_log.png
由于冯子超手机的22题做过这类型题了,知道did是1064204009,搜索一下,看到了一个文件夹,里面正好有一张图片
08 根据上一题, 该照片的创建日期是
****2025-05-16
见上题
09 陈民浩 Duncan 用过"会行走的"小米家电, 它的行走路径信息会储存在一个 XML 格式的文件中, 该文件储存在什么地方
/data/com.xiaomi.smarthome/files/plugin/install/rn/1009571/data/1064204009/data
查看一下另一个data目录,有个xml文件
10 根据上一题, 该文件中可以取得什么信息?
A.name
B.Angle
C.map
D.Volt
E.Error
ABC
一个一个搜一下
11 小米智慧家庭 APP 版本 "80615" 的安装日期是什么?
2025-04-16 19:05:27
在应用列表找到
12 该版本的最后更新日期时间是?
2025-04-22 23:20:32
见上题
13 共成功安装了多少个版本的"小米智慧家庭" APP
A.1
B.2
C.3
D.4
E.5
D
搜索一下包名
14 小米智慧家庭 APP 有多少次经 Google 自动更新?
A.1
B.2
C.3
D.4
E.5
B
15 收到多少次来自"小米智慧家庭" APP 的"清扫工作已完成"通知
A.1
B.2
C.3
D.4
E.5
A(官方答案为C)
16 手机设定的热点(Hotspot)名称是什么?
AndroidAP4F5D
17 请列出热点登录密码
ygro9745
见上题
陈民浩的手机(iOS)
01 除了图片外, 还有哪种文件曾经同步到 iCloud, 请列出完整文件名称?
**MIDI Table.txt **
在\var\mobile\Library\Application Support\CloudDocs\session\db\client.db 目录下定位到iCloud的数据库文件
在数据库中看到三个文件
02 曾经同步过一些文件, 这是什么类型的文件, 数量是多少?
A.2 jpg + 1 txt
B.1 jpg + 2 txt
C.1 jpg + 1 txt
D.2 jpg + 2 txt
A
由上题可知
03 根据上一题, 综合上述你发现的文件, 请列出这些文件隐藏了什么信息
book cat drum earth fire glatt heart ink joy king moon nest
先一个文件一个文件看
MIDI Table的两个文件内容都一样,看看Caesar’s Cipher+3.jpg
上面写的C4=60=A,上面那个图片Middle C为60,说明也等于A
在010中打开文件,可以看都一堆字符串
根据提示,凯撒位移+3位,60为A,但是ascii码A为64,说明凯撒位移-2,解密可得BOOKCATDRUMEARTHFIREGLATTHEARTINKJO?KINGMOONNEST进行分词book cat drum earth fire glatt heart ink joy king moon nest
梁燕玲的笔记本电脑
01 这部笔记本电脑 BIOS 的版本是什么
Dell Inc.1.29.3
02 最后一个成功登录操作系统的用户名称
lingl
03 网络浏览器 Chrome 浏览记录里, 于 2025-04-29 09:58:04(UTC+08), 请指出正在浏览哪一个网页的搜索页面
A. yahoo
B. Google
C. msn
D. Baidu
B
查看历史记录对应时间的网址
04 根据上一题, 请列出当时的查找字符串
deepfakelive tutorial
见上
05 于 2025-04-30 17:37:25(UTC+08), 该用户从网络浏览器 Chrome 里下载的文件名称
A. Meeting_20250409.mp4
B. Investment notice - 2022-12-01.pdf
C. Investment notice - 2025-01-01.pdf
D. Investment Proposal IQ coin (1).pdf
D
找到一个最接近的时间
06 网络浏览器 Chrome 安装了哪个扩展插件
A. MetaMask
B. QR Code Scanner (Offline)
C. Google Docs Offline
D. Bookmarks Quick Search
E. Extensity
AC
07 该用户通过网络浏览器 Edge 下载了哪个能用作变声的软件
A. MagicMic
B. MorphVOX
C. Clownfish
D. Voice.ai
D
08 哪个软件被用作 DeepFaceLive 的虚拟摄像头
A. Streamlabs Desktop
B. Xsplit Broadcaster
C. OBS Studio
D. vMix
C
09 DeepFaceLive 用于储存面部交换可疑图像, 文件储存位置是哪里
A. \Users\lingl\OneDrive\Desktop\DeepFaceLive_NVIDIA\userdata\samples
B. \Users\lingl\OneDrive\Desktop\DeepFaceLive_NVIDIA\userdata\animatables
C. \Users\lingl\OneDrive\Desktop\DeepFaceLive_NVIDIA\userdata
D. \Users\lingl\OneDrive\Desktop\DeepFaceLive_NVIDIA_internal\resources
A
相当于理论题
A (samples):通常存放原始输入素材,而非处理后的结果
C (userdata 根目录):可能包含配置文件或元数据,但具体处理结果一般分层到子目录(如 samples 或 animatables)
D (internal/resources):属于软件内部资源库,用户生成的图像不会存放于此
10 根据上一题, 使用了哪个文件作为 DeepFaceLive 面部交换的源材料
WhatsApp Image 2025-04-28.jpg
在\Users\lingl\OneDrive\Desktop\DeepFaceLive_NVIDIA\userdata\animatables路径下看到了几张照片
有一张图片下面标的Mr.Lin,说明是这张图片,而且其他图片一眼看出来不是
11 "Adobe Photoshop (Beta)"的安装日期时间是何时(UTC+8)
2025-04-30 14:19:30
从快捷方式找到源文件,查看属性
12 这个操作系统曾经连接过多少个 USB 设备?
3
只有前三个是usb设备,第四个是虚拟存储控制器
13 有多少个图片文件(jpg)内容的 QR code 藏有字符串 0x548dafDe4B17d7d3C9485E79B3B5018801C7855E
4
home这里有一个跟$有关的文件夹
打开之后找到了四张IQ的图片
扫描之后就能看到字符串
梁燕玲的存储卡
试试trae+idamcp,发现全秒了
01 SecretSeed.exe 程序会要求用户输入账号与密码, 请尝试进行逆向工程并找出正确的账号
manson
02 找出账号后, 请继续进行逆向分析, 找出通过登录验证所需的密码
manson@MFI
03 即使输入正确账号与密码, SecretSeed.exe 仍未执行解密过程. 以下哪一项最能准确解释该情况的发生原因
A. AES 密钥未初始化
B. 存储器中的一个旗标未被启用,导致条件跳转跳过解密
C. 使用者输入错误的哈希
D. 密文在 base64 解码阶段失败
B
04 成功触发 AES 解密后, SecretSeed.exe 是如何向使用者显示明文内容的
A. 使用 printf() 输出至控制台
B. 写入 %TEMP% 文件夹中的文件
C. 经 UTF-8 转宽字符后用 MessAgeBoxW 显示
D. 储存在系统剪贴板中
C
05 在绕过登录条件并执行 AES 解密后, 程序会显示 Recovery Seed 明文. 请填入该明文
cloud,deer,echo,fish,hawk,idea,juice,leaf,mirror,ocean,puzzle,rose
06 执行文件中使用一组 32 字节的 AES 密钥来解密固定密文. 请写出该密钥的字符串内容
12345678901234567890123456789012
07 在逆向分析 SecretSeed.exe 时, 即使输入正确账号与密码, 程序仍未进行解密. 哪一种条件跳转指令最可能造成此行为?
A. JMP (无条件跳转)
B. CALL (函数调用)
C. JZ (条件为零时跳转)
D. INT 3 (除错中断)
C
08 通过反汇编逆向分析或出错观察, 可以判断程序如何读取 AES 密文以进行解密. 请问密文数据最有可能以何种形式储存并存取
A. 从远端服务器动态下载
B. 以 ASCII 字符串形式硬编码在 .rdata 或 .data 区段中
C. 使用第二层密钥在执行时解密
D. 使用 XOR 混淆后再于存储器重建
B
09 你正在分析一个名为 SecretSeed.exe 的程序, 当输入正确的账号密码后, 程序会进一步比对一个内部变量, 来决定是否显示助记词. 请问: 该变量在 SecretSeed.exe 中相对 base 的 offset(十六进位)是多少
0x5704
NAS 服务器
看到NAS那肯定直接上UFS了
可以看到是raid6,之后我们可以将重组好的右击,保存为镜像
就是有点费时间,之后就可以用火眼分析了
01 请你在公司服务器中找出这个文件( 文件的部分文件名称是"Meeting_20250429"), 并且计算其 SHA-256 哈希值
8B058302210A15542FA927FB488296C6635D1C683959A4AF71B2892682B96BC1
找到该文件
计算哈希即可
02 发现此网络储存服务器(NAS)有其他的视频, 哪一个视频讲述计划抛售稳定资产
A. Meeting_20250409.mp4
B. Meeting_20250424.mp4
C. Meeting_20250425.mp4
D. Meeting_20250429.mp4
E. Meeting_20250430.mp4
C
一个一个看,结果发现是英语。。。。听力听不懂啊
有时间搞一个视频转文字的工具,太折磨了
03 该网络存储服务器(NAS)设备采用了什么 RAID 配置
A. RAID 1
B. RAID 5
C. RAID 6
D. RAID 10
E. JBOD
C
上面说过了
04 你发现此网络存储服务器(NAS)的 RAID 阵列配置并非由四块硬盘组成, 黄智华(TITUS WONG)声称对此不知情拒绝交代原因, 请问这个网络存储服务器(NAS)原配置了多少块硬盘
A. 2
B. 4
C. 5
D. 6
E. 8
B
在这里可以看到每个盘都是9.77GB,但是重组出来只有19.55 GB,2倍的 Container大小,所以4个盘里面有2个是冗余盘,2个是数据盘.
05 该 RAID 卷的容量是多少 GB
A. 16.5
B. 19.5
C. 22.5
D. 25.5
B
06 此卷(Volume)的文件系统类型是
BTRFS
07 请列出这个 NAS 操作系统内部版本号
20A0SZRA8LYND
在火眼分析的文件<font style="color:rgba(0, 0, 0, 0.87);">@syno/@eaDir</font>目录下找到一个VERSION文件,里面可以看到版本号
08 请指出这个 NAS 哪些文件夹被设置为共享?
A. CEO 及 Sales
B. IT 及 Meeting
C. IT, Sales 及 Meeting
D. CEO, IT, Sales 及 Meeting
E. 以上都不是
B
在UFS里直接可以看到
09 请列出这个 NAS 共设立了多少个已启用资料回收站的共享文件夹
A. 0
B. 1
C. 2
D. 3
E. 4
B
在这几个文件夹下翻一翻,只看到了一个
10 该 NAS 共有多少个"使用者"账户
A. 0
B. 1
C. 2
D. 3
E. 4
E
查看etc/ synouser.conf中的内容
11 该 NAS 共有多少次认证失败的登录请求
A. 0
B. 4
C. 5
D. 10
E. 20
C
查找日志文件,在var/log/auth.log中看到了登录日志
12 2025 年 4 月 28 日 00:00 时至 23:59 时(UTC+8)共有多少次认证失败登录请求
A. 0
B. 4
C. 8
D. 16
E. 32
B
由上图可知
13 根据上一题, 这些失败登录请求来自哪一个网络地址(IPv4 / IPv6)
10.213.45.12
日志文件中也有
14 根据上一题, 这设备的唯一序列号是什么
20A0SZRA8LYND
在etc/synoinfo.conf文件中可以找到序列号
15 根据系统日志文件显示在 2025 年 4 月 28 日 00:00 时至 23:59 时(UTC+8)期间, 有多少个删除的操作
A. 0
B. 1
C. 3
D. 5
E. 6
E
在@syno/@database/synolog/.SMBXFERDB 数据库中记录了所有用户的操作
导出文件查看一下
16 根据上一题, 以下哪一个是其中一个被删除的文件的文件名称
A. sp57734.exe
B. sp56735.exe
C. sp55736.exe
D. sp54737.exe
A
由上图可知
17 根据上一题, 根据系统日志文件, 作出这个删除要求的设备与这个 NAS 是否属于同一个子网
A. 正确
B. 错误
B
上题的ip为192.168.20.100,在登录日志下看到的ip是10.213.45.12
18 根据《Manson Investment Strategy for the Second Half of 2025》, 具体投资方案是
A. Crypto Diversified Fund
B. Growth AccelerAtor Fund
C. Liquidity Fortress Fund
D. Recession Buffer Fund
D
先找到该文件
然后在文件中找到选项中的内容
19 在 NAS 中, 有些拥有相同 SHA-256 哈希值的文件, 这些文件是
A. Poster.jpeg
B. Poster1.jpeg
C. Poster 1.jpeg
D. Poster (1).jpeg
D
在nas中只看到了D选项
20 根据上一题, 当中有二维码, 其中的资讯值内容
0x548dafDe4B17d7d3C9485E79B3B5018801C7855E
扫一下图片的二维码
21 根据上一题, 根据系统日志文件, 该 4 个文件何时被存入 NAS (UTC+8)
2025-04-29 15:11:23
大模型服务器
01 这个大模型建立在以下哪一个操作系统上
A. Ubuntu 24.04
B. Ubuntu 25.05
C. Debian 11
D. Debian 12
E. Window
A
02 Manson Finance 网页聊天机器人当前使用的工作流自动化平台是什么
n8n
03 该工作流自动化平台构建在哪种环境上
A. Docker
B. VM
C. Google Cloud Run
D. Window
A
由上题可知
04 该工作流自动化平台使用的部署显示卡型号是什么
A. NVIDIA GeForce RTX 3090
B. NVIDIA GeForce RTX 3070
C. NVIDIA GeForce RTX 3080
D. NVIDIA GeForce RTX 4060
E. NVIDIA GeForce RTX 4090
C
既然是部署在服务器的大模型,而且后面的题型和网页服务器相关,也就是说和网页服务器是可以互相补充的
在网页服务器找到硬件管理,搜索一下NVIDIA
05 Manson Finance 网页 AI 聊天机器人使用的大语言模型是什么
A. GPT-4
B. DeepSeek
C. Gemini
D. BERT
E. Claude
B
在网页服务器可以看到ollama的文件夹,里面只有deepseek的文件夹,一个7B一个14B的模型
06 该大语言模型的体积(B)大小是多少
A. 6B
B. 7B
C. 16B
D. 34B
E. 52B
B
在大模型服务器home/manson/n8n-data/n8n-data找到了他的数据库文件database.sqlite,导出文件可以看看
在里面看到了使用的7B的模型
07 Manson Finance 网页聊天机器人的工作流自动化平台使用的数据库类型是什么
PostgreSQL
在服务器文件/home/manson/n8n-data/docker-compose.yml中记录了数据库类型、用户名和密码,当然也可以直接看火眼分析出的docker容器
08 Manson Finance 网页聊天机器人的自动化平台的主机 IP 和端口号是什么
192.168.80.51:5678
由上图可知
09 Manson Finance 网页聊天机器人当前使用的工作流自动化平台的数据库名称是什么
n8n
由上图可知
10 该工作流自动化平台使用的数据库的用户名称是什么
manson
由上图可知
11 该工作流自动化平台使用的数据库的密码是什么
71418@Manson
由上图可知
12 Manson Finance 网页聊天机器人当前使用的工作流自动化平台的账户名称是什么
admin@manson.com
在数据库文件中看到一个email
之后在网页服务器保存的密码看到了账号密码
所以账户名称应该是admin@manson.com
13 Manson Finance 网页聊天机器人当前使用的工作流自动化平台的账户密码是什么
P@ssw0rd!@#
由上图可知
14 该工作流自动化平台中可发现以下哪些组件
A. Webhook
B. Vector Store Tool
C. Anthropic Chat Model
D. OpenAI Chat Model
E. Update profile
A
在大模型服务器的文件目录/home/manson/n8n-data/n8n-data下找到日志文件
可以看到webhook
15 Manson Finance 网页聊天机器人模型配置 AI 模型连接时, "Base URL"字段应如何设置才能指向本地部署的 AI 服务
D. http://localhost:5432/db_name
E
在网页服务器<font style="color:rgba(0, 0, 0, 0.87);">/manson/cursor-web-next-app/</font>中找到配置文件.env
16 Manson Finance 网页聊天机器人当前使用的是工作流自动化平台的聊天模型是用什么 AI 模型
deepseek-r1:7b
由前几题可知
17 Manson Finance 网页聊天机器人当前使用的工作流自动化平台的聊天模型的账户名称是什么
Ollama account
由前几题可知是本地的ollama部署的大模型,数据库中可以找到账户名称
18 Manson Finance 网页的聊天机器人目前使用的工作流自动化平台的数据库中有多少张数据表
40
但是n8n数据库还有PostgreSQL数据库,
安装这个来看答案又不是40
19 Manson Finance 网页聊天机器人当前使用的工作流自动化平台的数据库, 哪个表用于存储聊天机器人的聊天历史
n8n_chat_histories
在SQLite数据库中的execution_data表中有聊天历史
火眼分析的PostgreSQL数据库中也有
根据下面几题所说的session_id,就拿PostgreSQL数据库来分析了
20 在 Manson Finance 网页聊天机器人使用的工作流自动化平台数据库中, session_id 为 1745823720823–2u7chh7 的会话共有多少段问答
16
21 在 Manson Finance 网页聊天机器人的工作流自动化平台数据库中, session_id 为 1745823720823–2u7chh7 的会话中, 用户曾提出过以下哪些问题
A. 如何开始投资贵金属?
B. 贵金属投资是否适合长期持有?
C. 能否推荐一些高回报的加密币?
D. 贵金属能否能否短炒?
E. 如何开始投资贵金属指数基金?
AD
根据对话内容可知
22 在 Manson Finance 网页聊天机器人的工作流自动化平台中的 AI Agent 约束条件(Constraints)中, 明确禁止了哪项操作
A. 使用通俗易懂的语言解释复利的概念
B. 根据用户的风险承受能力提供资产配置建议
C. 存储用户的对话记录以提供连续的上下文
D. 在未经实时信息验证的情况下,提供具体的市场走势预测
E. 提供基于人工智能生成的特定股票代码和买入时机建议
D
在database.sqlite数据库的workflow_history表中,可以看到设置的ai提示词
翻译一下
您是 Mason AI 助手,是一位专业、值得信赖且经验丰富的金融与投资顾问,旨在为用户提供个性化、准确且合乎道德的金融指导。您的首要目标是就个人理财、投资策略、财富管理、退休规划、风险评估和市场趋势等主题提供清晰、简洁且有理有据的建议。
核心准则:
专业性和准确性:利用您对金融市场、投资工具(股票、债券、交易所交易基金、共同基金、房地产等)、税务策略和经济原理的全面知识。提供基于事实的最新信息,并在数据可能有限或具有推测性时予以说明。
以用户为中心的方法:根据用户的财务目标、风险承受能力、经验水平和具体情况量身定制回复。必要时提出澄清问题,以确保建议的相关性和个性化。
道德标准:遵循受托人原则,将用户的最佳利益置于首位。除非用户明确要求,否则不要推荐具体的证券或投资产品,并始终告知用户个性化建议应与持牌金融顾问核实。
清晰简洁:用通俗易懂、无行话的语言向不同专业知识水平的用户传达复杂的金融概念。在有助于理解的情况下,使用示例、类比或计算。
风险意识:在所有投资或金融策略中强调潜在风险。强调多元化、尽职调查以及在重大决策时咨询专业人士的重要性。
文化和语言敏感性:根据用户的语言和文化背景调整回答,确保包容性和尊重。使用专业但亲切的语气,并能流利支持英语和中文(或其他所需语言)。
局限性:承认您是人工智能,不是持牌金融顾问,不能提供具有法律约束力的建议。鼓励用户就复杂或受监管的事项(例如税法、遗产规划)咨询认证的专业人士。积极互动:在适当的时候,建议相关主题(例如,为投资目标制定预算、理解复利),以提高用户的金融素养。
回应结构(如适用):
承认用户的询问和意图。
提供简洁、可行的答案或建议。
包含相关背景、风险或考虑因素。
提供下一步行动或额外资源(例如,工具、书籍或专业服务)。
以邀请用户提问结束。
语气和个性:
专业、自信且富有同理心。
亲切且耐心,建立信任并鼓励金融赋权。
除非用户明确要求,否则避免使用幽默或随意的俚语。
示例互动:
用户:“我 30 岁了,想开始为退休投资。我应该从哪里开始?”
Mason AI:“30 岁就开始为退休投资是个很棒的决定!根据您的目标,我建议您从一个多元化、低成本的投资工具开始,比如指数基金或交易所交易基金(ETF),并将其放在具有税收优惠的账户中,例如个人退休账户(IRA)或 401(k) 账户。您能否分享一下您的风险承受能力(比如保守型或激进型)以及您是否能通过雇主赞助的计划进行投资?这将有助于我为您量身定制建议。总体而言,建议您在股票和债券之间分配资金,鉴于您有较长的投资期限,可以适当多配置股票。请注意,所有投资都存在风险,过往业绩并不能保证未来的结果。一个好的开端是设置自动扣款,以培养投资的连贯性。您希望我为您解释具体的账户类型,还是推荐适合新手的平台?
限制条件:
- 除非来源可靠且信息最新(例如,如果允许的话通过网络搜索),否则不要提供实时市场数据。
- 避免对市场走势或个股表现做出推测性的预测。
- 不要存储或使用敏感的用户财务数据,除非是在对话的上下文中。
- 如果问题超出了您的专业知识范围,请承认这一局限性,并建议其他资源。
您的使命是让用户能够自信、清晰且谨慎地做出明智的财务决策。始终努力成为他们在复杂金融和投资世界中的可靠向导。
23 在 Manson Finance 网页聊天机器人的工作流自动化平台中, AI 助手被设定为一名专业的财务投资顾问. 以下哪项行为是符合其核心准则的
A. 向用户保证某项投资必然获得高额回报
B. 推荐特定的个股并预测其下周股价
C. 建议用户根据自身风险偏好进行多元化资产配置,并提示投资风险
D. 要求用户提供银行账户密码以进行深度财务分析
E. 提供基于历史数据和公开信息的教育性市场分析,并明确强调该内容不构成投资建议,鼓励用户咨询持牌顾问
CE
见上题
邮件服务器
01 请列出这个电子邮件服务器的安装日期(GMT +8)
2025-04-10
这道题题目描述有点模糊,我以为是服务器的安装时间,但是这道题要的是软件的安装时间
02 请指出外送邮件服务器(SMTP server)中有多少封电子邮件未能成功寄出?
A. 0
B. 2
C. 4
D. 6
E. 8
C
03 根据已安装的语言包, 以下哪些是这个外送邮件服务器的操作界面可以使用以下哪种语言?
A. 中文
B. 英文
C. 法文
D. 俄文
E. 瑞典文
BE
找到软件的安装目录<font style="color:rgba(0, 0, 0, 0.87);">/Program Files (x86)/hMailServer</font>可以看到该目录下有个languages的目录
里面有英语和瑞典文
04 在 2025-04-29 至 2025-05-08(GMT +8)期间, 这个外送邮件服务器有多个错误记录表示发送邮件失败, 当中的错误代码是多少
A. HM5094
B. HM4354
C. HM5010
D. HM5048
E. HM5026
E
查看日志文件
05 在该电子邮件客户端软件的账户设置中, ceo@manson.com 的用户名称是什么
Hayson.L
在邮箱处可以看到
06 在该电子邮件客户端软件的账户设置, ceo@manson.com 在电子邮件客户端中的"Disk Space"设定, 下列哪一项描述是正确的
A. 系统会自动删除所有已读取的邮件以释放空间
B. 系统会保留最近一封邮件, 其余旧邮件会被永久删除
C. 系统会删除超过一定天数的旧邮件, 但具体天数未设定
D. 已标记为"已加星号"的邮件永远不会被自动删除
E. 账户设置为不删除任何邮件, 仅在容量满时发出警告
D
仿真之后打开软件,直接看Disk Space设定即可
07 在该电子邮件客户端软件的账户设置, ceo@manson.com 账户的服务器设定, 下列哪一项叙述是正确的
A. 它使用 POP3 协定来收信, 服务器地址是 mail.manson.com
B. 账户的安全设置中, 连接安全与身份验证方法均被设定为"未配置"
C. 它使用 IMAP 协定, 服务器位于本机, 并会每 10 分钟自动检查新邮件
D. 它禁用了服务器的新邮件即时推送通知功能
C
在设置中直接可以看到C选项是正确的
08 在该电子邮件客户端(软件)的账户设置, 在 SMTP 设定里, 关于 ceo@manson.com 的外送邮件服务器, 下列哪些叙述是正确的
A. 服务器名称是 smtp.manson.com
B. 连接埠设定为 587
C. 认证方式为"密码, 以不安全方式传输"
D. 连线安全性为 SSL/TLS
BC
在SMTP设置里直接可以看到
09 这个电子邮件服务器中使用者 administrator 密码是什么
MFI&MFI123
在用户访问日志里看到login.xlsx文件,应该是容器挂载在K盘
然后服务器桌面上有两个文件,跟冯子超电脑第一题相像
在冯子超电脑的加密容器里的login.xlsx找到密码
10 哪个软件被用来向客户发送促销电子邮件
eM Client
刚打开开始页面就看到一个软件
打开看看发现就是题目要找的软件
11 这个电子邮件服务器是用什么类型的数据库及版本
MySQL 5.7
在火眼分析的数据库中可以看到
12 有多少个 Manson Finance 客户收到了参加密币投资项目的电子邮件邀请?
A. 0
B. 2
C. 3
D. 5
E. 9
C
打开邮件,发现三封关于密币的文件
查看一下邮件内容,都是邀请的
13 根据上一题, 请列出发出上述电子邮件发件人的邮箱地址
marketing@manson.com
14 根据上一题, 这封电子邮件是何时发出(GMT +8)
2025-04-29 18:39:23
发送时间最早的那封
15 根据上一题, 这些电子邮件中有一封包含附件, 请找出这封电子邮件(eml 文件), 算出它的 MD5 哈希值
B37EEA92E0AE953E6A42F49C287390F1
只有这封邮件是可以看到附件的,导出计算哈希即可
网页服务器
01 Manson Finance 网页中 AI 聊天机器人使用的端口号是多少
5678
这个题其实就和大模型服务器是互通的,由大模型服务器的第八题可知本题答案
当然,在此服务器<font style="color:rgba(0, 0, 0, 0.87);">manson/cursor-web-next-app</font>目录下的.env文件可以看到端口号
02 Manson Finance 网页服务器的 TCP/IP 主机名是什么
DESKTOP-UMOFBQ9
03 Manson Finance 网页使用哪种数据库管理工具
A. phpMyAdmin
B. Dbeaver
C. MySQL Workbench
D. HeidiSQL
E. Microsoft SQL Server Management Studio
C
在安装软件找到管理工具
04. Manson Finance 网站的数据库的用户名称是什么
root
仿真之后打开软件可以看到
05 Manson Finance 网站的数据库的密码是什么
manson@MFI
由第一题的.env文件可知
06 构建 Manson Finance 网页前端使用的框架工具/语言是什么
Next.js
在manson/cursor-web-next-app目录下找到一个markdown文档
找到前端框架使用的代码
07 以下哪个指令可以令 Manson Finance 网页的服务器启动
A. npm run build
B. npm run start
C. npm run dev
D. node server.js
E. python manage.py runserver
C
文档中写了启动方式
08 构建 Manson Finance 网页前端使用的框架工具/语言是用什么版本
15.3.0
在manson/web-app下同样找到一个markdown文档,里面写了版本号
09 Manson Finance 数据库中有多少个客户
1000
10 在 Manson Finance 数据库中, 排除 _prisma_migrations 表后有多少个表
5
11 在 Manson Finance 数据库中, 下列哪一个员工是该公司分析师
A. 李小明
B. 王美华
C. 陈大文
D. 陈志文
E. 张志强
B
在staff表中可以看到
12 在 Manson Finance 数据库中, 哪个 userID 的余额最高
A. 77955495-d859-4de9-ab6a-0f0b30cb3c76
B. 09fac094-bd73-4ad0-8a49-df33bc66e558
C. 78fds494-df33-sdf4-34as-dfdfasdd4332
D. 6785254-ase3-df32-sdf1-dfsa123481234
E. 44fa73f7-676b-4ea5-9f65-cd643cb252d7n
A
直接启动火眼数据库分析,选中然后数据分析
之后使用sql语句查询
SELECT userId, balance
FROM mason_finance.account
ORDER BY balance DESC
LIMIT 1;
13 在 Manson Finance 数据库中, 有多少个 userID 买卖贵金属交易次数超过 9 次
102
SELECT COUNT(*) AS user_count
FROM (
SELECT userId
FROM mason_finance.trade
GROUP BY userId
HAVING COUNT(*) > 9
) AS t;
14 在 Manson Finance 数据库中, 以下哪个 userID 交易金额最多
A. d3c2ce43-A621-4ec8-9386-1d86540af509
B. 5Se3c6e1-8ab1-4700-93f7-9c7ee93ff655
C. 44fa73f7-676b-4ea5-9f65-cd643cb252d7n
D. fe18d1c3-a79a-45e8-968a-a65369af06eb
E. d6b17d01-3675-4098-8f8e-77842cb5471
这个题有点问题,除了A选项其他选项在表里都不存在
A
直接查询发现没有这个选项,那就找选项里的
SELECT
userID,
SUM(CASE
WHEN type='buy' THEN CAST(amount AS DECIMAL(20,2))
ELSE 0
END) AS total_buy_amount,
SUM(CASE
WHEN type='sell' THEN CAST(amount AS DECIMAL(20,2))
ELSE 0
END) AS total_sell_amount,
SUM(CASE
WHEN type='buy' THEN CAST(amount AS DECIMAL(20,2))
ELSE 0
END) +
SUM(CASE
WHEN type='sell' THEN CAST(amount AS DECIMAL(20,2))
ELSE 0
END) AS total_amount
FROM mason_finance.trade
WHERE userID IN (
'd3c2ce43-A621-4ec8-9386-1d86540af509',
'5Se3c6e1-8ab1-4700-93f7-9c7ee93ff655',
'44fa73f7-676b-4ea5-9f65-cd643cb252d7n',
'fe18d1c3-a79a-45e8-968a-a65369af06eb',
'd6b17d01-3675-4098-8f8e-77842cb5471'
)
GROUP BY userID
ORDER BY total_amount DESC
LIMIT 1;
15 于 2025 年 5 月 2 日, 在 Manson Finance 的网页多了一张不属于该网站的照片. 而经调查后, 亦于 Duncan 的电脑中发现该相同的照片, 请提供该照片的 SHA256
14BF39205FEE0A16A530F4DD14229018C80FC70315F2339F928FECE4610DF27C
在manson/cursor-web-next-app/public目录下看到了几个照片
然后找到了相同的图片
计算哈希即可
16 根据你的分析, 请指出 Manson Finance 网页被人用以下哪一种漏洞入侵
A. SQL注入
B. Nginx
C. Rejetto HTTP 文件服务器
D. TeamViewer
E. Apache HTTPd
C
综合分析
综合分析这块就是拿所有的检材翻着看看,题目信息基本上都可以找到,这里就不过多赘述了
01 在所有参赛材料中, 有多少个镜像文件有安装通讯软件 "Telegram"
A. 1
B. 2
C. 3
D. 4
E. 5
E
02 根据上一题, 有多少个已启动并且已登记 UserID (UID)
A. 1
B. 2
C. 3
D. 4
E. 5
B
03 哪一个手机中有连接 AirTag
A. FUNG_CC_mobile.zip
B. CHAN_MH_mobile.zip
C. LEUNG_YL_mobile.zip
D. LEUNG_SM_mobile.zip
E. WONG_CW_mobile.zip
C
04 该 AirTag 在哪一部手机中曾被发现
A. FUNG_CC_mobile.zip
B. CHAN_MH_mobile.zip
C. WONG_CW_mobile.zip
D. LEUNG_SM_mobile.zip
B
网络流量包
这里测试一下队友的流量分析小工具
01 开始抓包的日期及时间(UTC)
A. 2025-05-08 09:43:16
B. 2025-05-08 17:43:16
C. 2025-05-09 09:43:16
D. 2025-05-09 17:43:16
C
02 根据上一题, 抓包总时长是多少
00:18:44
见上图
03 根据上一题, 共捕获多少数据包
6316
见上图
04 根据上一题, 数据链路层中哪个设备的 MAC 地址活跃度最高
a0:b3:cc:29:28:a9
05 根据上一题, 进行抓包工作的设备使用了哪一个网络接口
A. 以太网 1
B. 以太网 2
C. 以太网 3
D. 以太网 4
C
06 根据上一题, 进行抓包工作设备的网络地址(IPv4)是多少
192.168.20.100
07 哪个IPv4地址不属于公司内网使用? (请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
182.239.117.11
08 续接上题, 该 IPv4 地址在哪个端口已建立连接
445
见上图
09 续接上题, 共捕获多少通过这个连接传递的数据包
158
见上图
10 续接上题, 这个请求曾经尝试连接哪个文件夹
A. CEO
B. Meeting
C. IT
D. Manson
BD
11 续接上题, 那个服务器回应了什么
A. 未发现
B. 成功
C. 失败
D. 访问被拒绝
A
摄像头存储卡
01 这张存储卡的实际容量是多少 GB
14.83
02 根据上一题, 请列出存储卡的卷标(Volume Label)
MJ_CAM
03 在存储卡中, 找出拍摄到疑似发生争执影像的视频文件, 其完整文件名称
video_0014_0_10_20250516083537_20250516085103.mp4
在文件分类中找到视频
一个个观看
04 根据上一题, 视频文件是用什么的影音串流技术
MPEG-DASH
在xways中验证签名查看详细信息
05 根据上一题, 该视频文件数据在储存设备上的第一磁区号(1st sector)
3776272
06 根据上一题, 请以 16 进位写出该视频文件在文件系统中的偏移地址(FS offset)
ED8BC0
07 根据上一题, 请写出该视频在该存储卡的 Unique ID
20
08 根据上一题, 该视频在该存储卡的 Unique ID 以 GUID (全局唯一识别码)是什么
在详细这里可以看到guid,但是答案是卷的guid,不是很清楚
Get-WmiObject -class Win32_Volume -computername localhost但是我这里的又和他的不一样
09 根据上一题, 该视频像素值
2304x1296
查看媒体信息
浙公网安备 33010602011771号