这次比赛计算机和手机大部分题目都比较常规 第一和第四部分有点让人摸不着头脑 比赛的时候第一部分有四个题没出 第四部分基本都没怎么出 现在复盘一下 把我当时做题的心得和获取的新知识记录一下 互联网取证的部分就先学习一下别的师傅

检材

链接：https://pan.baidu.com/s/1mpv6JZsVOpZ4eOyeiSBgxw 
提取码：l200 

容器挂载密码：3x@9Qm!V8e$vL%6d^Yr5o*C#Nk7h&ZpFbW2sG4jXuD1cO0lTgAqHwRnIzJyM-_+K=

案件背景

检材一

检材二

1.请分析检材三，请分析"手机"检材，并回答，并回答该手机的device_name是？

自动分析不出来 这里提供两个思路

直接暴力搜索device_name 可以直接得到设备的名称

redmi 6 pro

还有一种方式就是通过imei

这里可以直接看到也是红米6 pro

2.请分析检材二，请分析"手机"检材，并回答，嫌疑人pc开机密码是什么？

这里有开机的密码提示 但是不是很明显 我们可以接着搜索看看

既然是秘钥环和开机密码存在一起 那就可以直接搜索秘钥环 这样子结果比较精准

搜索秘钥环 然后就找到了Google秘钥环的密码 1qaz2wsx3edc

同理pc密码是一列二列就应该是1qaz2wsx 

其实后面有印证 可以在后面找到更具体的验证

3.请分析检材二，请分析"手机"检材，并回答，嫌疑人接头暗号是什么？

暴力搜索接头暗号

发现是存在这个软件里面的数据库

用这个db browser打开看 更好翻阅

这里可以找到上面那道题的pc密码 1qaz2wsx

然后这里的接头暗号也可以找到

是一张图片 我们到文件系统里面找到这张图片

爱能不能够永远单纯没有悲哀

4.请分析检材二，请分析"手机"检材，并回答，嫌疑人存放的秘钥环是多少？

上面直接有暴力搜索的答案

1qaz2wsx3edc

5.请分析检材二，请分析"手机"检材，并回答，嫌疑人一生中最重要的日子是什么时候？

这里是一开始翻检材图片的时候就可以翻到

其实一打开手机或者计算机的检材我们就可以 按照图片由大到小的顺序排序 这样子可以筛选出很多有用的图片 

像行测的题目

2026-2-26

6.请分析检材三，请分析"手机"检材，并回答，嫌疑人微信生成的聊天记录数据库文件名称是什么？

这个是常识 

也可以跳的源文件查看

 EnMicroMsg.db

7.请分析检材二，请分析"手机"检材，并回答，嫌疑人微信账号对应的 UIN 为多少？

uin直接出来 

1864810197

8.请分析检材二，请分析"手机"检材，并回答，嫌疑人微信聊天记录数据库的加密秘钥是什么？

GitHub - WXjzcccc/ForensicsTool: 简单的取证工具

解密工具一把梭

31ad809

9.请分析检材二，请分析"手机"检材，并回答，嫌疑人“欠条.rar”的解压密码是多少？

查看聊天记录 发现聊天记录里面有线索 这个图片里面有应该有联系方式

导出来用010分析一下

发现都是正常的数据 没有异常数据 

换个工具查看 用stegsolve 隐写直接查看

两张照片对比可以看出来

多了一个二维码

扫描结果就是 +1 3170010703

最后用3170010703可以解锁

10.请分析检材二，请分析"手机"检材，并回答，嫌疑人“欠条.rar”解压后，其中VeraCrypt容器的MD5值是多少？

解锁之后就可以看到

欠条就是加密容器

a8b61f928c5dcde3bd777ffb1d464b29

11.请分析检材二，请分析"手机"检材，并回答，嫌疑人提供的“欠条.rar”解压后，其中 "1.png"图上显示的VeraCrypt容器密码是多少？

12.请分析检材二，请分析"手机"检材，并回答，嫌疑人李某全名是什么？

挂上vc

是 李安弘 

后面那个互联网取证陈某的名字也可以在这找到

13.请分析检材二，请分析"手机"检材，并回答，嫌疑人欠款金额是多少？

80000

检材三

1.请分析检材三，请分析"电脑"检材，并回答，该电脑最后一次开机时间是？

A.2025-04-15 16:21:41

B.2025-04-14 11:48:47

A

2.请分析检材三，请分析"电脑"检材，并回答，嫌疑人的备用机号码是多少？

当时是填了 便签贴里面的内容

感觉好像不太对 但是找不到别的答案

1506666

后来看别人的wp 发现是藏在别的便签条里面的空白图片 选中之后就会显示

备用机号 188773321314

3.请分析检材三，请分析"电脑"检材，并回答，域名dgy02.com曾保存过一个密码，该密码是多少？

这个仿真进去 之后用上面手机找到的密码做

tcgg123456

4.请分析检材三，请分析"电脑"检材，并回答，其电脑安装的微信版本是多少？

4.0.0.21

5.请分析检材三，请分析"电脑"检材，并回答，该系统有哪些远程控制软件
A.todesk B.向日葵 C.爱思远控 D.raylink

AB

6.请分析检材三，请分析"电脑"检材，并回答，电脑2025年4月10日11点4分29秒曾被向日葵远程控制，其记录的日志文件名为

递归浏览 选择一下路径然后翻看 里面的文本文件

可以直接发现第一个就是日志文件

sunlogin_service.log.2

7.请分析检材三，请分析"电脑"检材，并回答，电脑2025年4月10日11点4分29秒曾被向日葵远程控制，日志内记录对方公网IP地址和端口为

• 公网IP地址：116.192.161.222
• 公网端口：2577

8.请分析检材三，请分析"电脑"检材，并回答，某文件的MD5值为“

2bdfcdbd6c63efc094ac154a28968b7d”，该文件名为

每个分区分别更新一下快照 计算一下md5

然后递归浏览 删选条件是md5 就可以在分区六里面找到这个文件 

就是这个important.docx

9.请分析检材三，请分析"电脑"检材，据调查，上述文件存放了钱包助记词，第一个单词是什么？

打开文档只有这个内容

改为zip 之后翻看里面的内容

这个很明显是个图片文件

就可以知道首个助记词是 solution

这里介绍一个自动识别文件类型的工具 不论后缀名 直接查看文件的结构来分析文件正确的后缀名是什么

TrID（trid）

windows下载地址：

https://www.mark0.net/download/trid_w32.zip

TrID定义规则库：

https://www.mark0.net/download/triddefs.zip

解压之后放在一个目录里面就可以使用

类似这样子

然后我们这题可以来看看如何用这个小工具快速识别文件类型

先是那个important.docx 发现小概率是zip

改zip 解压之后把所有文件都拖进去 看看有没有改变后缀名的文件

就可以发现这个important.xml其实是个图片文件

10.请分析检材三（“我的测试机”），最近曾访问过的音频文件，该音频文件的文件名是什么

把虚拟机的vmdk导出来 然后用火眼跑一下

music里面有个自传小说 可以知道是这个答案 自传小说.MP3

11.请分析检材三（“我的测试机”），最近曾使用过USB设备，该设备的名称为

256GB thinkplus

12.请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人现任妻子毕业的大学是？

讯飞听见-在线语音转文字-录音转文字

或者用这个

听脑AI|智能语音助手-免费在线录音转文字，视频转文字，视频文案提取，AI生成会议纪要，AI问答

用这个平台可以识别里面的河南话

转换完了之后我们来看线索

上海大学

13.请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人是通过一个朋友认识的陈老板，该朋友姓氏拼音是？

Wang

14.请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人所说的香格里拉大酒店实则是？

灰色产业链

15.请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人银行密码是多少？

是音频分段的藏头诗 

07145924

互联网取证