容器密码9kZ3!xQ7rT5#sF1%vD8^zA4(mB6)jN2~hY5gC3dW9eK7;fX4?vM1[oL6]tR3}uS8yJ2iP5_bH7:zD1nQ3pF9lA2|sC6\wE4/rT8vY1计算机取证1、请分析计算机检材计算检材原始磁盘的SHA256校验值为多少。答案格式英文全大写4DB6F775FF1B31065F214147479302DEBBA44A88387A4E81FD9F9A3FA88C69E82、请分析计算机检材用户在2025-10-17 09:19:25通过Everything文件搜索工具打开过哪个文件请写出其文件名。答案格式包含后缀大小写与实际需一致如Abc.docIMG_20220402_085728.JPG这是一个18位LDAP/FILETIME时间戳“C:\Users\Default\Pictures\IMG_20220402_085728.JPG”,1,134051375653075954拿ai写个脚本转换一下或者直接拿ai跑3、请分析计算机检材驱动人生工具下载过的软件全称为答案格式全民K歌百贝浏览器驱动人生安装在C:/Program Files (x86)/DTLSoft/DriveTheLife中查看数据库4、请分析计算机检材使用夸克浏览器搜索过什么内容答案格式与实际一致北京天气5、请分析计算机检材用户桌面背景的车牌号是多少答案格式Abc123FU86828X需要找背景图注册表中查看计算机背景图片\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpapers或者在Users/admin/AppData/Roaming/Microsoft/Windows/Themes/TranscodedWallpaper桌面壁纸存储路径中查看6、请分析计算机检材找出连接过的远程主机IP是什么答案格式192.168.1.1192.168.50.2387、请分析计算机检材找出远程主机正在播放的视频内容标题。答案格式我为歌狂黑猫警长8、请分析计算机检材找出检材中插入的移动硬盘序列号。答案格式英文全大写X778002T0SNDT5S9、请分析计算机检材在系统通知中Windows Defender弹出了几次通知答案格式仅数字310、请分析计算机检材找出mac地址为00-0C-29-30-DE-E2的网卡连接IP地址是答案格式192.168.1.1192.168.22.12811、请分析计算机检材“重要.docx”中记录了标识符为“C2F01FB6…”的加密卷的恢复密钥请写出该恢复密钥的后6位数字是什么答案格式仅数字554368重要.docx是一个zip文件解开后查看12、请分析计算机检材请找到用户曾经用微信发送过的jpg图片写出图片中记录的ICQ号码。答案格式123456789402974020微信搜wxid查看发送文件拿WxDatViewer.exe查看一下13、请分析计算机检材“rar备份“文件夹下有两个损坏的压缩文件压缩包中图片记录的恢复密钥前6位数值为“rar备份”文件夹中记录的恢复密钥前6位数值为答案格式123456031276有两个压缩包key.rar、key.bak.rar010查看十六进制发现key.bak.rar里面有好几处空白拿key.rar补一下再解压14、请分析计算机检材请找到加密容器文件提取容器中的文件“key.pem”计算其SHA1校验值写出前6位。答案格式英文全大写36D338加密容器是aaa.hc接下来就是找容器密码D盘中有memdunp.7z解开是内存镜像010直接搜密码是WOWEIZUGUOXIANSHIYOUvc解密15、请分析计算机检材桌面上有个“恢复密钥.jpg”文件其中记录的恢复密钥是错误的分析该文件找到真正的恢复密钥前6位。答案格式123456813460010打开图片待研究16、请分析计算机检材桌面上有个“denglu.rar”文件为远程主机登陆器登陆器连接的远程主机IP是多少答案格式192.168.1.1110.110.110.11017、请分析计算机检材恢复“u.bak.dd.7z”镜像中的压缩文件并写出该压缩文件的大小。答案格式以字节为单位直接写数值1728577536解压后是u.bak.dd签名恢复18、接上题恢复的压缩文件的压缩文件头部位于文件系统的第几扇区答案格式以DBR为0扇区计数252184DBR在65536➗512128扇区压缩包在129183744➗512252312按照DBR为0-12825218419、接上题恢复的压缩文件的压缩文件尾部位于文件系统的第几扇区答案格式以DBR为0扇区计数填写数值3850598压缩包尾部在1971572093➗5123850726-128385059820、接上题恢复的压缩文件包含了多少个文件答案格式仅数字3120240801.log到20240831.log共31个文件手机取证请根据Image.zip检材回答以下问题21、分析手机检材手机的序列号是答案格式字母大写HT7BG1A0533422、分析“Android.E01”检材机主23年4月15日使用的手机型号为【答案格式与线索大小写一致】vivo X Fold3 Pro查看时间线23、分析手机检材通话记录中机主拨打号码频次最多的手机号是答案格式11位数字15185491986导出通话记录分析一下24、分析手机检材机主使用火狐浏览器搜索了“在线ai语音转换”请问浏览器返回的结果中第一条记录显示的应用版本号是答案格式1.2.35.2.8在火狐浏览器缩略图中查看data/data/org.mozilla.firefox/cache/mozac_browser_thumbnails/thumbnails/查看时间线也能看见设置在2025-09-24 18:47:20搜索时间之后25、分析手机检材分析机主历史使用过telegram应用中曾保存文件记录的后台密码为答案格式与线索保持一致159753lee直接搜telegram文件夹26、分析手机检材邀请码.docx文件第三行内容为答案格式与线索保持一致M3n4O5p6Q7r8邀请码.docx是加密文档密码提示4应该是4位数字爆破一下27、分析手机检材机主通过WPS应用最后打开的文档名称是答案格式包含后缀如123Abc.docxAI换脸软件及教程.docx28、分析手机检材分析系统自带的相册应用相册中的图片有多少张来源于豆包应用答案格式仅数字13跑一下图片EXIF信息切换视图搜一下豆包有17张照片前面4张存储在豆包包名下的文件夹中豆包的包名是com.larus.nova后面13张是存储在pictures文件夹中29、分析手机检材机主安装的哪个应用可以对应用和文件系统进行隐藏请给出该应用的包名是答案格式com.tencent.mmdeltazero.amarok查看非系统预装的app同步看一下有应用数据的其他appamarok比较像有密码c33367701511b4f6020ec61ded352059还有隐藏的文件路径/storage/emulated/0/Private隐藏了两个文件密码解密是65432130、接上题该应用隐藏的图片文件名是答案格式包含后缀如Abc123.jpgScreenshot_20250925-231717.pngdeltazero.amarok的数据在data/data目录下apk在data/app目录下启动模拟器安装apk后不要运行把数据覆盖进去隐藏文件也要放进去应用锁密码输入654321然后取消隐藏查看隐藏路径发现文件正常显示31、接上题找到机主记录的仓库门禁密码是答案格式按照实际值填写60688832、请分析手机检材从检材中找到机主给微信好友转账的好友卡号所属银行名称。答案格式需与检材中记录的银行名称一致如招商银行苏州农商银行卡号是6231101101101106666搜索银行发现png修复文件头再改一下高宽33、请分析手机检材机主收到了一个视频该视频损坏后机主对其进行了修复请计算修复后的视频SHA1值答案格式字母大写7FA6F9C444306195E4B09085B676F99F32B06755直接上题旁边就是修复好的视频没修复的视频末尾中间大片空白34、请分析手机检材加密压缩包的解压密码是答案格式需与线索一致BF5ESDQWZR2A54VE视频是莫斯密码大老虎是-小老虎是.转场是空格-… …-. … . … -… --.- .-- --… .-. …— .- … …- …- .密码是BF5ESDQWZR2A54VE这题有点离谱大老虎和小老虎的动画形象不太好区分35、请分析手机检材报价文件的MD5值为答案格式字母大写43042BF7EFA0F73DD69162A640FE923F服务器取证请根据服务器检材回答以下问题检材一36、通过对服务器中的检材一镜像进行分析请问systemd管理的服务单元中配置为开机自启动enabled状态的服务数量为多少个答案格式仅数字34检材一刚仿真后会显示无ip查看ifcfg-ens33发现ONBOOTno系统启动后网卡不会自动激活修改为yes后重启即可显示ip之后便可成功连上finalshellsystemctl list-unit-files --typeservice --stateenabled --no-legend | wc -l37、通过对服务器中的检材一镜像进行分析请问系统内核的编译时间是中国时区答案格式1990-10-10 10:10:102024-06-04 22:43:5138、通过对服务器中的检材一镜像进行分析请问gitlab的服务端口是多少答案格式仅数字9999查看gitlab的配置文件是999939、通过对服务器中的检材一镜像进行分析请问GitLab日志中记录的登录失败次数为多少次答案格式仅数字640、通过对服务器中的检材一镜像进行分析已知gitlab的root的登录密码是abc???后面六位是纯数字请问该明文密码多少答案格式按实际值填写abc123654gitlabbhq_production库中有一个user查看对应的root密码使用hashcat爆破查看root的密码 $2a$10$joK1mu.0whkjO8IvGSG/X.wVlUofNpX6hplpT85SQjdp.Dg0l7AKO 攻击命令 hashcat.exe -m 3200 hash.txt -a 3 abc?d?d?d?d?d?d41、通过对服务器中的检材一镜像进行分析请问gitlab中的仓库的第一次提交时间是多少中国时区答案格式1990-10-10 10:10:102025-11-06 11:07:0242、通过对服务器中的检材一镜像进行分析请问root用户的电子邮件是多少答案格式usernameemail.comwangdefa888gmail.com43、通过对服务器中的检材一镜像进行分析已知git仓库被某人下载了并对外传播请问该用户的用户名是什么答案格式按实际值填写Mia检材二44、通过对服务器中的检材二镜像进行分析嫌疑人项目中git配置的远程服务器地址是多少答案格式192.168.1.1172.23.194.159查找git项目位置find / -name “.git” -type d 2/dev/null再查看远程地址git remote -v45、通过对服务器中的检材二镜像进行分析嫌疑人后台管理服务的端口是多少答案格式仅数字8000直接访问ip显示把没启动得docker启动起来查看网络连接8000端口成功进入后台管理46、通过对服务器中的检材二镜像进行分析嫌疑人后台管理服务使用的spring boot框架版本是多少?答案格式1.0.01.5.8项目下发现一个jar包运行显示spring boot版本是1.5.847、通过对服务器中的检材二镜像进行分析后台管理系统中管理员存储在的哪张表中请填写表名。答案格式按实际值填写sys_user48、通过对服务器中的检材二镜像进行分析后台管理系统中共有多少删除的用户答案格式仅数字549、通过对服务器中的检材二镜像进行分析嫌疑平台中用户xinchao参与管理的最早的群的群名是什么答案格式:按实际值填写测试搜索xinchao发现源文件是im_user_collect.ibd将这个文件在vs中打开xinchao的id为cb7e10f9-6e29-464a-aa96-748ef4fb9e7b50、分析Elasticsearch索引数据中群消息有几条答案格式仅数字351、通过对服务器中的检材二镜像进行分析分析用户“小雨末”的手机号是答案格式11位数字1449946602252、通过对服务器中的检材二镜像进行分析分析嫌疑平台中贷款利息是百分之多少答案格式0.10.8程序功能分析请根据程序检材回答以下问题53、程序在运行时会尝试加载哪个本地库以使用CUDA接口答案格式全小写如xxx.dll54、程序在运行时成功加载了几个CUDA接口函数答案格式仅数字55、程序在写入木马时会进行内存分配请给出内存分配失败时每次尝试的分配值按从大到小顺序以十六进制字符串数组形式表示。答案格式0x20、0x1056、程序在写入木马过程中会对木马内容计算校验值请还原该校验函数的实现并给出封装文件若为nvcuda.dll时的校验值。答案格式0x8d57、程序会喷射大量自定义数据块到RAM中随后将该缓冲一次性拷入GPU显存。请计算在理想的最大可用空间下该程序能够喷射多少个完整数据块答案格式仅数字58、请从程序首次运行后生成的转储文件中找到被修改过的数据块提取该数据块的文件内容并计算文件的MD5值。答案格式字母小写59、请从转储文件中提取并分析一个未被修改的PE文件确定Entry Point在该文件中的准确位置并读取从该位置起连续16字节机器码答案格式1A2B3C···4D5E60、该程序会尝试从显存中读取木马并完成手工加载在加载过程中会调用系统函数以刷新进程的指令缓存。请写出被调用的函数名。答案格式按实际函数名大小写填写61、程序在手工加载木马时会重建导入表请跟踪“按名称导入函数地址”分支获取该过程中出现的全部函数名并统计数量。答案格式仅数字62、程序在手工加载内存映像时会遍历其基址重定位表并对表中标记的内存地址执行修正请提交重定位循环过程中第二次实际发生写操作的写后值地址对应的内容。答案格式按实际值填写网络流量分析请根据流量分析检材回答以下问题63、分析检材攻击者ip是多少答案格式192.168.1.1192.168.111.12864、被攻击ip开放了多少个端口答案格式仅数字1365、攻击者针对什么端口发起的命令执行攻击答案格式仅数字700166、攻击者利用的是什么中间件的漏洞答案格式字母小写weblogic67、根据流量特征分析攻击者首先使用什么工具获取了反连的shell答案格式请写大写简称如CSMSF68、攻击者使用Cobalt Strike进行持久化控制stage文件下载路径为答案格式/abd/JAtro5KeP5SSGJMZ-uhE7w6Aogckfl-U0oVwe_FTNsd0YHZ_xemyKDet22r6DH9vy2IB2zfNyaFDjWmS2lWFDvmFbW5veGklsPhBf69、解析stage文件获取到的license-id为多少答案格式数字39114493870、Cobalt Strike所使用RSA加密算法的private_key的后16位是多少答案格式按实际值填写2XWuYwRVbF9KOdE71、与__utm.gif路径通信流量的RAW key的值是多少答案格式十六进制小写如abc123…)ac1649e14133e13b65722f5c352a7a4c72、58783数据包执行了什么windows系统命令?答案格式按实际值填写netsh advfirewall show allprofiles数据分析在A市发生了几起汽车盗窃案警方已掌握这伙盗窃团伙中的5位嫌疑人调取了他们的手机通讯数据现在想找到他们的密切联系人请根据提供的数据进行分析研判。已知的5位嫌疑人的手机号分别是: 1340535**** 1341732**** 1340167**** 1340555**** 1340124**** 请根据数据分析检材回答以下问题73、请问和嫌疑人1341732通话时长最长的对方号码是哪一个(答案格式1366666)188513774、根据检材1请问和已知的5位嫌疑人都有过通话关系的对方号码有几个答案格式仅数字8先筛选出对方号码都和哪个嫌疑人通过电话另存为新表再进行筛选8个重复出现5次的75、请问同时满足以下3个条件和已知的五位嫌疑人中任意四位及以上有过通话关系且通话总次数大于60次且通话总时长大于700秒的对方号码有几个答案格式仅数字7分组聚合筛选对方和嫌疑人通过话的人同时增加筛选通话次数和通话时长导出合并单元表取消后填充再导入筛选和已知的五位嫌疑人中任意四位及以上有过通话关系的人共108分组聚合筛选通话总次数大于60次且通话总时长大于700秒的对方号码76、请问和已知的5位嫌疑人在凌晨2点至6点之间发生过通话的对方号码有几个答案格式仅数字2直接对5个话单合并总表进行分析筛选时间直接可以判断77、警方调取了相关的银行交易流水数据隆测的其中一张银行卡是443925246349222294924哪张银行卡给这张卡转了第二多的资金答案格式21位数字446922315453222203924先筛选隆测再分组聚合资金78、隆测名下的银行卡都属于隆测如果把这些卡看作一个整体请问给隆测转账不包括隆测给自己转账超过30万的卡有几张答案格式仅数字4筛选隆测名下银行卡排除对方姓名为隆测共432条分组聚合79、如果资金沉淀卡的特征是流入金额÷交易总金额≥80%请问在全量数据中满足这个特征且流入金额在300万及以上的卡有几个答案格式仅数字80、隆皂的其中一张银行卡是443925246338222294924对其的交易发生在周末的次数共计多少次答案格式仅数字47隆皂的银行卡443925246338222294924筛选周末有47条数据81、警方根据线索找到了涉案服务器的日志数据请你对数据分析检材中的日志文件进行分析找到压缩包的密码。答案格式按实际值填写dataPersonPass123987在error.log文件中可以看到大量十六进制数据jpg文件从662行FFD8开始到841行FFD9结束前面的字符串表明上传了一个password.jpg拿AI写一个脚本提取这几行的十六进制数据十六进制是0-9、A-F4位一组过滤部分参考弘连的wpimport re import sys def extract_and_save_hex(input_file, output_file): with open(input_file, r, encodingutf-8, errorsignore) as f: content f.read() # 匹配十六进制字符串 hex_pattern r[0-9A-F]{4,} hex_matches re.findall(hex_pattern, content) #过滤只保留字符长度大于 10 且所有字符都是合法 16 进制字符的字符串 filtered_list [] # 创建一个空列表来存放结果 for s in hex_matches: # s 是 matches 列表中的每个字符串 if len(s) 10: # 条件1检查字符串长度 # 条件2检查字符串中所有字符是否都是十六进制字符 all_hex True for c in s: if c not in 0123456789ABCDEF: all_hex False break if all_hex: # 如果两个条件都满足 filtered_list.append(s) # 合并所有匹配项 merged_hex .join(filtered_list) # 写入新文件 with open(output_file, w, encodingutf-8) as f: f.write(merged_hex) byte_length len(merged_hex) // 2 print(f✓ 成功提取并合并十六进制数据) print(f 输入文件: {input_file}) print(f 输出文件: {output_file}) print(f 数据长度: {len(merged_hex)} 个字符, {byte_length} 字节) if __name__ __main__: if len(sys.argv) 3: # 命令行模式: python script.py 输入文件.txt 输出文件.hex input_file sys.argv[1] output_file sys.argv[2] else: print(十六进制数据提取工具 (极简版)) print(- * 40) input_file input(请输入源文本文件路径: ).strip() if not input_file: print(用法: python hex_simple.py 输入文件.txt 输出文件.hex) sys.exit(1) if input_file.endswith(.txt): output_file input_file[:-4] _提取.txt else: output_file input_file _提取.txt print(f输出将保存到: {output_file}) extract_and_save_hex(input_file, output_file)过滤前后内容差了好多将提取后的数据用010新建一个十六进制文件后CTRLSHIFTV保存为jpg![[pictures/2.jpg)图片是盲水印加密隐藏了dataPersonPass12398782、警方根据线索找到了涉案服务器的日志数据请你对数据分析检材中的日志文件进行分析找出“张三”的身份证号。答案格式与线索保持一致30601319731003117Xzip从927行504B0304开始928行结束叫data.zip拿上题的脚本提取出来data.zipdataPersonPass123987解密得到data.csv物联网取证请根据物联网检材回答以下问题83、请分析物联网镜像该路由器SSH登录前能看到什么信息答案格式按实际值填写大小写一致who are you?这题不知道参考https://mp.weixin.qq.com/s/M1l3kZaXGPG4FPqHId3JpQopenwrt系统题目问到SSH登录前能看到什么消息也就是说SSH的banner信息我们找对于的配置文件进行查看。而opwnwrt系统它默认使用 dropbear 作为 SSH 服务器所以它的ssh配置文件和我们常见的linux操作系统略有区别。查看配置文件./etc/config/dropbear显示bannerfile在./etc/board.d/03_awsbannerfile就是ssh连上之前界面上显示的内容service network restart84、请分析物联网镜像该系统挂载点有多少个答案格式仅数字df -h查看系统磁盘空间使用情况6个cat /proc/mounts查看当前系统所有已挂载文件系统(9个有一个重复挂载的)85、请分析物联网镜像该路由器的后台登录IP是多少答案格式192.168.1.1192.168.20.186、请分析物联网镜像该路由器后台的Kernel Version是答案格式1.2.34.14.167cat ./proc/sys/kernel/osrelease87、请分析物联网镜像该路由器root目录挂载点里面的文件源是哪个路径答案格式/etc/config/sshconfig/usr/libroot目录下是seeme文件文件源是/usr/lib88、接上题请问图片隐写后显示的字符串是答案格式按实际值填写CHINA.N01导出seeme打开之后发现是png这个隐写我是想不太到使用stegslove0通道预览图片发现是一张图片保存下来之后删除多余的部分修改后缀为.png89、请分析物联网镜像该路由器系统备份日志压缩包密码是答案格式与线索保持一致opwrt7638zip只有这一个打开后发现提示“opwrt???”爆破一下opwrt763890、请分析物联网镜像该路由器系统备份日志的MD5是多少答案格式字母大写750840AACA8C3DC5889ECBE8954509E4