FIC2025初赛 writeup+复现
混了个三等奖,三人赛有一人因为设备问题挂机了,两个人打有点吃力,不然也许能更好()
还是我太菜了(T0T)。
网页快照部分当时不是我看的,也完全没看,看起来也没什么意思,这里就不写wp和复现了。
手机取证
1
请分析检材二,请分析”手机”检材,并回答,并回答该手机的device_name是?
找settings_global.xml就行
Redmi 6 Pro
2
请分析检材二,请分析”手机”检材,并回答,嫌疑人pc开机密码是什么?
翻一下备忘录的数据库检材2.tar/data/com.bijoysingh.yang/databases可以找到
1qaz2wsx
3
请分析检材二,请分析”手机”检材,并回答,嫌疑人接头暗号是什么?
从上一题可以看出接头暗号是一张图片,在备忘录的文件中找到这张图片
爱能不能够永远单纯没有悲哀
4
请分析检材二,请分析”手机”检材,并回答,嫌疑人存放的秘钥环是多少?
已经可以直接看到是在便签里,但没有直接显示出来
去便签的数据库检材2.tar/data/com.miui.notes/databases里面找一找
1qaz2wsx3edc
5
请分析检材二,请分析”手机”检材,并回答,嫌疑人一生中最重要的日子是什么时候?
手机中有一张截图
由此可算出是2026-02-06
6
请分析检材三,请分析”手机”检材,并回答,嫌疑人微信生成的聊天记录数据库文件名称是什么?
最近在做微信取证相关的项目,这题直接秒了
EnMicroMsg.db
7
请分析检材二,请分析”手机”检材,并回答,嫌疑人微信账号对应的 UIN 为多少?
可以直接读到uin
1864810197
8
请分析检材二,请分析”手机”检材,并回答,嫌疑人微信聊天记录数据库的加密秘钥是什么?
在uin前面加上1234567890ABCEDF再取md5值前7位就是密钥
31ad809
9
请分析检材二,请分析”手机”检材,并回答,嫌疑人“欠条.rar”的解压密码是多少?
密码是好友TCGG的手机号
手机号前面的聊天记录里有提到,看起来是个图片隐写
找到一张带有二维码的图片
稍微处理一下扫出来就是手机号
3170010703
10
请分析检材二,请分析”手机”检材,并回答,嫌疑人“欠条.rar”解压后,其中VeraCrypt容器的MD5值是多少?
83da62aabc88cb1b23e9469142b67b80
11
请分析检材二,请分析”手机”检材,并回答,嫌疑人提供的“欠条.rar”解压后,其中”1.png”图上显示的VeraCrypt容器密码是多少?
异或一下能看得更清楚
#!@KE2sax@!da0h5hghg34&@
12
请分析检材二,请分析”手机”检材,并回答,嫌疑人李某全名是什么?
挂载一下欠条
李安弘
13
请分析检材二,请分析”手机”检材,并回答,嫌疑人欠款金额是多少?
由欠条可得
80000
介质取证
1
请分析检材三,请分析”电脑”检材,并回答,该电脑最后一次开机时间是?
A. 2025/4/15 16:21:41
B. 2025/4/14 11:48:47
C. 2025/4/14 11:49:47
D. 2025/4/14 11:46:47
可以看出应该是2025/4/14 11:49:47
2
请分析检材三,请分析”电脑”检材,并回答,嫌疑人的备用机号码是多少?
备用机号可以在便签里面找到,一段白色的文字
18877332134
3
请分析检材三,请分析”电脑”检材,并回答,域名dgy02.com曾保存过一个密码,该密码是多少?
用之前得到的google密钥环进入google浏览器,查看密钥管理即可得到保存的密码
tcgg123456
4
请分析检材三,请分析”电脑”检材,并回答,其电脑安装的微信版本是多少?
4.0.0.21
5
请分析检材三,请分析”电脑”检材,并回答,该系统有哪些远程控制软件
A. todesk
B. 向日葵
C. raylink
D. 爱思远控
可以看到是todesk和向日葵
AB
6
请分析检材三,请分析”电脑”检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,其记录的日志文件名为
先搜索到sunlogin的日志,然后根据时间段锁定日志文件
sunlogin_service.log.2
7
请分析检材三,请分析”电脑”检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,日志内记录对方公网IP地址和端口为
查看日志可以看到ip和端口
116.192.161.222:2577
8
请分析检材三,请分析”电脑”检材,并回答,某文件的MD5值为“2bdfcdbd6c63efc094ac154a28968b7d”,该文件名为
在/home/adm1n/图片下找到一个文件
important.docx
9
请分析检材三,请分析”电脑”检材,据调查,上述文件存放了钱包助记词,第一个单词是什么?
将docx后缀改为zip后解压,发现一个important.xml,看起来实际上是个jpg
后缀名改为jpg即可看到助记词
solution
10
请分析检材三(“我的测试机”),最近曾访问过的音频文件,该音频文件的文件名是什么
在/home/adm1n/文档下找到我的测试机
在这个vmdk中找到音频文件
自传小说.MP3
11
请分析检材三(“我的测试机”),最近曾使用过USB设备,该设备的名称为
A. ThinkPLus
B. Toshiba
C. Samsumg
D. Database
查看usb使用痕迹,可以看出是thinkplus
A
12
请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人现任妻子毕业的大学是?
下面几题都是硬听音频就行(
北京大学
13
请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人是通过一个朋友认识的陈老板,该朋友姓氏拼音是?
wang
14
请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人所说的香格里拉大酒店实则是?
棋牌室
15
请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人银行密码是多少?
这题就非常的抽象了,可以发现音频中的内容是一段一段的,取每一段的第一个字,拼起来就是银行卡密码。。。
取每一段的第一个字,得我的银行密码是07145924
07145924
互联网取证
1
请分析检材二,找到李某上游人员陈某博客宣传所用域名为
之前的聊天记录里有提到过
chen.foren6
2
请分析陈某宣传所用域名,该域名的顶级域名在以下那个区块链注册
A. ETH(https://ens.domains/)
B. HNS(https://handshake.org/)
C. BTC(https://bitcoin.org/)
D. Namecoin(https://www.namecoin.org/)
直接去google上查.foren6,就能查到namebase上有相关信息
B
3
请分析陈某宣传所用域名的顶级域名的域名解析服务器(DNS)共有几个
由上题
2
4
请分析陈某宣传所用域名的顶级域名的NS1服务器ip为
45.79.133.98
5
请分析陈某宣传所用域名,该域名DNS记录指向邮件服务器域名为
从这里开始配置了hnsdns
mail.163.com
6
请分析陈某宣传所用域名,该域名的txt记录中chen的值为
fengbaoliejiu
7
请分析陈某宣传所用域名,该域名DNS记录没有以下那个域名
A. admin.chen.foren6
B. caidan.chen.foren6
C. fichen.foren6
D. hl.chen.foren6
对三个域名dig一下看状态即可。但是据说赛后环境发生了改变,比赛的时候应该是选D。
从我现在复现来看,应该是选B。
反正大致方法如此。
8
请分析陈某宣传所用域名,该博客域名最终DNS解析指向的github仓库名为
这里其实可以直接在github上搜,反正我比赛时是这么做的()
chewhaoN.github.io
9
请分析陈某github账号,陈某对jkroepke/2Moons项目增改了几个文件
2
10
请分析陈某github账号,陈某在修改2Moons过程中提到了什么锅底
查看修改过的地方
蜂蜜锅底
11
请分析陈某github账号,陈某在游戏2Moons中放置的后门连接码的密码为
根据前面找到的后门,将css文件下载下来计算一下md5值,encrypted.bin base64编码一下,然后解密即可
1 | <?php |
ficnb
12
请访问陈某当前博客,陈某课程的扫码报名地址的域名为
fic.forensix.cn
13
请分析陈某当前博客,通过互联网找到陈某的旧博客网站标题为
点老博客得到老博客地址http://forensix2025.work.gd/
在web.archive.org上可以查到过去的网页快照
柳如烟大战霸天虎
14
请分析陈某旧博客,陈某的姓名为
在前面的题中就可以知道
陈浩北
15
请分析陈某旧博客,陈某的邮箱地址为
16
请分析陈某旧博客,陈某的11位手机号为
从前面的题中可以知道
13170010703
17
请分析陈某旧博客,陈某最爱的dota英雄为
查一下文章的标题就知道了
邪影芳灵