2025FIC线上赛复盘-cnblog

案件背景:

网络黑灰产往往结伴而生，大量黑灰产内容错综复杂。随着ai和互联网技术的发展黑灰产形式也越来越多样。离线的孤

军奋战已不再能解放生产力。

这次fic我们将通过黑灰产边缘人物李安弘的视角找到黑产们的老巢。近期经匿名人员举报在某购物平台有店铺销售针

孔摄像头，警方通过调取购物平台后台权限后对订单内容进行固定获得（检材1.rar）。经过一段时间的追查最终在店铺老

板家中抓获老板李某（李安弘），缴获李某手机(检材2.tar)，电脑(检材3.E01)和大量摄像头。通过李某电子证据最终追查到

该灰产上游人员陈某。

请各位取证专家根据剧情提供的检材，还原这起事件的前因后果，并回答下列问题：

挂载密码：3x@9Qm!V8e$vL%6d^Yr5o*C#Nk7h&ZpFbW2sG4jXuD1cO0lTgAqHwRnIzJyM-_+K=

手机板块

1.分析"手机"检材，并回答，并回答该手机的device_name是？

火眼全局搜索可得到配置文件prop.txt,用本地notepad打开搜索device_name即可

答案：Redmi 6 Pro

2.请分析检材二，请分析"手机"检材，并回答，嫌疑人pc开机密码是什么？

在已经分析的便签里没有找到开机密码，通过对apk分析可知还存在一个便签应用，通过包名对其数据库进行定位，导出后用dbbrowser查看可得开机密码

答案：1qaz2wsx

3.请分析检材二，请分析"手机"检材，并回答，嫌疑人接头暗号是什么？

同上题，在相同表里存着的

答案：爱能不能够永远单纯没有悲哀

4.请分析检材二，请分析"手机"检材，并回答，嫌疑人存放的秘钥环是多少？

在便签中可以查看到说里面存了密钥环，但是直接看不到，同上方法查看数据库，发现密钥环

答案：1qaz2wsx3edc

5.请分析检材二，请分析"手机"检材，并回答，嫌疑人一生中最重要的日子是什么时候？

刚才看到有倒计时的app，也可以在图片里翻到

答案：2026-02-26

6.请分析检材三，请分析"手机"检材，并回答，嫌疑人微信生成的聊天记录数据库文件名称是什么？

随便找一个聊天记录，右键选择预览源文件，可以看到数据库文件名

答案：EnMicroMsg.db

7.请分析检材二，请分析"手机"检材，并回答，嫌疑人微信账号对应的 UIN 为多少？

火眼直接可以看到微信个人信息页面

答案：1864810197

8.请分析检材二，请分析"手机"检材，并回答，嫌疑人微信聊天记录数据库的加密秘钥是什么？

原理是imei加上uin后算MD5取前七位作为加密密钥，川佬妙妙小工具一把梭（高版本微信使用的imei不是读取的手机imei而是统一的1234567890ABCDEF）

答案：31ad809

9.请分析检材二，请分析"手机"检材，并回答，嫌疑人“欠条.rar”的解压密码是多少？

通过聊天记录可知是陈老板的手机号，注意到嫌疑人的手机微信使用的电话就不是国内电话，可能陈老板也是，通过聊天中出现的图片，按照文件大小在所有图片中查看，发现两张相同但是分别带有二维码和博客地址的图片，二维码截取出来需要调整对比度和亮度才方便识别，扫出来就是电话号码

答案：3170010703

10.请分析检材二，请分析"手机"检材，并回答，嫌疑人“欠条.rar”解压后，其中VeraCrypt容器的MD5值是多少？

把欠条.rar导出解压，计算MD5即可

答案：83da62aabc88cb1b23e9469142b67b80

11.请分析检材二，请分析"手机"检材，并回答，嫌疑人提供的“欠条.rar”解压后，其中 "1.png"图上显示的VeraCrypt容器密码是多少？

1.png仔细看看文字后面有阴影，stegsolver调整通道就看得到了

答案：#!@KE2sax@!da0h5hghg34&@

12.请分析检材二，请分析"手机"检材，并回答，嫌疑人李某全名是什么？

挂载上vc容器，可以看到全名

答案：李安宏

13.请分析检材二，请分析"手机"检材，并回答，嫌疑人欠款金额是多少？

同上图

答案：80000

计算机部分

1.请分析检材三，请分析"电脑"检材，并回答，该电脑最后一次开机时间是？

直接找到开关机，降序开机时间排列一下

答案： 2025-04-14 11:49:47

2.请分析检材三，请分析"电脑"检材，并回答，嫌疑人的备用机号码是多少？

没找到

3.请分析检材三，请分析"电脑"检材，并回答，域名dgy02.com曾保存过一个密码，该密码是多少？

用刚才手机找到的密钥环，仿真启动计算机镜像，打开chorme，在密码管理器里找到密码

答案：tcgg123456

4.请分析检材三，请分析"电脑"检材，并回答，其电脑安装的微信版本是多少？

最无脑的做法，扫码登陆一下看设置

答案：4.0.0.21

5.请分析检材三，请分析"电脑"检材，并回答，该系统有哪些远程控制软件

桌面上有向日葵，在文件系统里可以找到todesk的压缩包

答案：向日葵 todesk

6.请分析检材三，请分析"电脑"检材，并回答，电脑2025年4月10日11点4分29秒曾被向日葵远程控制，其记录的日志文件名为

打开向日葵，右上角小横条出打开日志，按时间排序查看日志内容，可以找到对应时间的日志信息

答案：sunlogin_service.log.2

7.请分析检材三，请分析"电脑"检材，并回答，电脑2025年4月10日11点4分29秒曾被向日

葵远程控制，日志内记录对方公网IP地址和端口为

同上图

答案：116.192.161.222 2577

8.请分析检材三，请分析"电脑"检材，并回答，某文件的MD5值为“

2bdfcdbd6c63efc094ac154a28968b7d”，该文件名为

在火眼里可以查看最近打开的wps文件有个important.docx,内容写的存放了助记词，可以推出是这个文件，计算一下hash印证确实如此

答案：important.docx

9.请分析检材三，请分析"电脑"检材，据调查，上述文件存放了钱包助记词，第一个单词

是什么？

通过该文件路径可以看到是存放在图片目录下的，补充一个misc杂项知识，docx（同理xlsx pptx）本质上是zip压缩包文件，通过修改文件后缀可以打开查看其中嵌入的资源文件以及相关的字体配置信息·，一般的misc题目会将其藏在资源文件夹下，这里我们打开可以发现一个名为important.xml的文件是无法正常打开的，导出后放入010editor查看发现是jpg文件，修改回原后缀即可看到助记词

答案：solution

10.请分析检材三（“我的测试机”），最近曾访问过的音频文件，该音频文件的文件名是什

么

如果无法在计算机镜像中正常运行测试机，可以导出vmdk文件，放入火眼进行分析

答案：自传小说.mp3

11.请分析检材三（“我的测试机”），最近曾使用过USB设备，该设备的名称为

检查注册表即可

答案：thinkplus

12.请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人现任妻子毕业的大学

是？

导出MP3，转文本后注意现任，翻看后半部分可以得知现任是北京大学

答案：北京大学

13.请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人是通过一个朋友认识的

陈老板，该朋友姓氏拼音是？

同上

答案：wang

14.请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人所说的香格里拉大酒店

实则是？

同上

答案：棋牌室（可能不全）

15.请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人银行密码是多少？

很奇怪的musc脑洞题，每段音频的开头作为谐音就是银行卡密码

我得银行那随每马事平令起一随就随然随

我的银行密码是07145924（也不知道对不对）

答案：07145924

互联网取证部分

1.请分析检材二，找到李某上游人员陈某博客宣传所用域名为

刚才手机中另一张照片和聊天记录可以发现博客地址

答案：chen.foren6

2.请分析陈某宣传所用域名，该域名的顶级域名在以下那个区块链注册

由上题可知这个域名是个顶级自定义域名，大概率是HNS，在namebase中可以找到印证信息发现该域名以及被注册

答案：HNS

3.请分析陈某宣传所用域名的顶级域名的域名解析服务器（DNS）共有几个

在namebase中追踪上述域名.foren6,可以看到ns有两个

答案：2

4.请分析陈某宣传所用域名的顶级域名的NS1服务器ip为

搜索上图中的顶级域名服务器的域名查找服务器ip

答案：45.79.133.98

5.请分析陈某宣传所用域名，该域名DNS记录指向邮件服务器域名为

用dig工具查看域名指向邮件服务器

答案：mail.163.com

6.请分析陈某宣传所用域名，该域名的txt记录中chen的值为

同上图

答案：fengbaoliejiu

7.请分析陈某宣传所用域名，该域名DNS记录没有以下那个域名

A、admin.chen.foren6 B、caidan.chen.foren6 C、fic.chen.foren6 D、hl.chen.foren6

用dig工具查看上述四个域名可以发现d没有dns记录

答案：D

8.请分析陈某宣传所用域名，该博客域名最终DNS解析指向的github仓库名为

博客地址前要加blog，同样方法可以发现仓库名

答案：chewhaoN.github.io

9.请分析陈某github账号，陈某对jkroepke/2Moons项目增改了几个文件

GitHub搜一下这个账号名，可以看到项目增改情况（需要将该项目和原来的项目克隆到本地然后对比注意需要将.git文件剔除）