2025FIC预选赛
个人分值
180
萌新一个,会做的尽力了,轻点喷
介质取证
1. 请分析检材三,请分析"电脑"检材,并回答,该电脑最后一次开机时间是?
答案2025/4/14 11:49:47
火眼一把梭可得到
2. 请分析检材三,请分析"电脑"检材,并回答,嫌疑人的备用机号码是多少?
答案18877332134
我们发现便签可能存在电话号码,我们仿真看一看
发现隐藏字体
3. 请分析检材三,请分析"电脑"检材,并回答,域名dgy02.com曾保存过一个密码,该密码是多少?
答案tcgg123456
这里我们火眼看chrome保存密码为空,在chrome打开需要密钥环2,这里对应的是手机题目的密钥环,我们去手机找
在note.db中找到密钥环1qaz2wsx3edc
4. 请分析检材三,请分析"电脑"检材,并回答,其电脑安装的微信版本是多少?
答案4.0.0.21
微信打开登录然后查看关于即可得到版本
5. 请分析检材三,请分析"电脑"检材,并回答,该系统有哪些远程控制软件
答案向日葵、todesk
检查火眼即可得到只有这俩
6. 请分析检材三,请分析"电脑"检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,其记录的日志文件名为
答案sunlogin_service.log.2
我们进入向日葵,查看其日志目录为/var/log/sunlogin
在这个日志中找到时间点相同的日志
7. 请分析检材三,请分析"电脑"检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,日志内记录对方公网IP地址和端口为
答案116.192.161.222:2577
由上图得到此ip(received public ip)
8. 请分析检材三,请分析"电脑"检材,并回答,某文件的MD5值为“2bdfcdbd6c63efc094ac154a28968b7d”,该文件名为
答案important.docx
我们看火眼,在/root/home/adm1n/图片 里面有这个文档,直接查看md5发现一样
9. 请分析检材三,请分析"电脑"检材,据调查,上述文件存放了钱包助记词,第一个单词是什么?
答案solution
分析important.docx,解压发现这个important不对劲,日期不对,我们分析,读文件头可能为图片,我们修改后缀
得到助记词
10. 请分析检材三(“我的测试机”),最近曾访问过的音频文件,该音频文件的文件名是什么
答案自传小说.mp3
把linux里面的嵌套虚拟机扒出来放到火眼里面一把梭了
11. 请分析检材三(“我的测试机”),最近曾使用过USB设备,该设备的名称为
答案ThinkPlus
12. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人现任妻子毕业的大学是?
答案北京大学
问题是他现任妻子,在音频的后半段内容里面
13. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人是通过一个朋友认识的陈老板,该朋友姓氏拼音是?
答案wang
通过听录音得到朋友是王德发
14. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人所说的香格里拉大酒店实则是?
答案棋牌室
在音频后半段有
15. 请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人银行密码是多少?
这里没做出来,搬运一下别人的wp
Web3
1. 请分析检材二,找到李某上游人员陈某博客宣传所用域名为
答案chen.foren6
2. 请分析陈某宣传所用域名,该域名的顶级域名在以下那个区块链注册
答案HNS
因为这是自定义域名,很可能是HNS,因为答案就其支持自定义域名
3. 请分析陈某宣传所用域名的顶级域名的域名解析服务器(DNS)共有几个
答案2
由namebace查询得到有两个
4. 请分析陈某宣传所用域名的顶级域名的NS1服务器ip为
答案45.79.133.98
根据foren6的NS,查询.varo的ip
5. 请分析陈某宣传所用域名,该域名DNS记录指向邮件服务器域名为
答案mail.163.com
这里我们有了其dns,则直接dig
6. 请分析陈某宣传所用域名,该域名的txt记录中chen的值为
答案fengbaoliejiu
由上图可知
7. 请分析陈某宣传所用域名,该域名DNS记录没有以下那个域名
答案D
8. 请分析陈某宣传所用域名,该博客域名最终DNS解析指向的github仓库名为
答案chewhaoN.github.io
