FIC2025预选赛个人WP（手机+介质）

手机取证

1.请分析检材二，请分析"手机"检材，并回答，并回答该手机的device_name是？

直接暴搜device_name,我用的是filelocator，想不到真给搜到了，在检材2.tar/adb/lspd/log/props.txt这个位置

答案是Redmi 6 Pro

2-3都在"备忘录日记"app里面，找到其数据库note-database

2.请分析检材二，请分析"手机"检材，并回答，嫌疑人pc开机密码是什么？

1qaz2wsx

3.请分析检材二，请分析"手机"检材，并回答，嫌疑人接头暗号是什么？

是一张图，根据给的图片名称搜索，找到图片，只有一句话："爱能不能够永远单纯没有悲哀"

4.请分析检材二，请分析"手机"检材，并回答，嫌疑人存放的秘钥环是多少？

在便签里发现了秘钥环的提示，那就去便签文件夹里找，可以先看看便签的包名是com.miui.notes,找到数据库即可

5.请分析检材二，请分析"手机"检材，并回答，嫌疑人一生中最重要的日子是什么时候？

这个赛后听说是ocr识别出来的一个倒数日的截图，算出来是2026.2.26

6.请分析检材三，请分析"手机"检材，并回答，嫌疑人微信生成的聊天记录数据库文件名称是什么？

这个是常识，EnMicroMsg.db

7.请分析检材二，请分析"手机"检材，并回答，嫌疑人微信账号对应的 UIN 为多少？

这个一般都在微信的shared_prefs下的auth_info_key_prefs.xml里面，这里是1864810197

8.请分析检材二，请分析"手机"检材，并回答，嫌疑人微信聊天记录数据库的加密秘钥是什么？

一般就是IMEI或者1234567890ABCDEF+uin算MD5取前七位，用sqlcipher2.1可以输入密钥读取；答案是31ad809

9.请分析检材二，请分析"手机"检材，并回答，嫌疑人"欠条.rar"的解压密码是多少？

首先聊天记录说密码就是号码

前面嫌疑人又问了联系方式，对面给了一张图，那么联系方式也就是号码在图片里面，但是我们打开图片，010看发现并没有什么东西，而且似乎也不存在其他隐写，又打开数据看看，imgPath项显示这个是缩略图，看来不是源文件咯，要找到源文件，于是到这个账户的文件夹下有个image2自己翻翻，或者直接看看imgPath里面的图片名字，总之定位到一个文件夹bb，有两张缩略图和两张大图，其中一张大图里面有二维码，扫码出来是一个+1开头的美国号码，去掉前面的+1就是压缩密码：3170010703

10.请分析检材二，请分析"手机"检材，并回答，嫌疑人"欠条.rar"解压后，其中VeraCrypt容器的MD5值是多少？

解压后有三个东西，一张图，上面全是"仁义道德"；一个图片密码（不知道干嘛用的），和"欠条"容器，丢进去算就行

83da62aabc88cb1b23e9469142b67b80

11.请分析检材二，请分析"手机"检材，并回答，嫌疑人提供的"欠条.rar"解压后，其中"1.png"图上显示的VeraCrypt容器密码是多少？

这个1.png上的密码很不清晰，可以用stegsolve试着换通道看看会清晰一点：

#!@KE2sax@!da0h5hghg34&@

12.请分析检材二，请分析"手机"检材，并回答，嫌疑人李某全名是什么？

李安弘

13.请分析检材二，请分析"手机"检材，并回答，嫌疑人欠款金额是多少？

80000元

介质取证

1.请分析检材三，请分析"电脑"检材，并回答，该电脑最后一次开机时间是？

2.请分析检材三，请分析"电脑"检材，并回答，嫌疑人的备用机号码是多少？

备用机号码在便签里面，白色图片；我勒个这是人啊

3.请分析检材三，请分析"电脑"检材，并回答，域名dgy02.com曾保存过一个密码，该密码是多少？

这个可以用密钥环进入chrome浏览器，在侧边栏有"密码和自动填充"

tcgg123456

4.请分析检材三，请分析"电脑"检材，并回答，其电脑安装的微信版本是多少？

apt list --installed或者dpkg -l

结果是4.0.0.21

5.请分析检材三，请分析"电脑"检材，并回答，该系统有哪些远程控制软件

向日葵和todesk

6.请分析检材三，请分析"电脑"检材，并回答，电脑2025年4月10日11点4分29秒曾被向日葵远程控制，其记录的日志文件名为

sunlogin_service.log.2

7.请分析检材三，请分析"电脑"检材，并回答，电脑2025年4月10日11点4分29秒曾被向日葵远程控制，日志内记录对方公网IP地址和端口为

搜索特征P2PHolePunch得到ip:116.192.161.222:2578,这种流量也是有自己的固定特征的

8.请分析检材三，请分析"电脑"检材，并回答，某文件的MD5值为"2bdfcdbd6c63efc094ac154a28968b7d"，该文件名为

9.请分析检材三，请分析"电脑"检材，据调查，上述文件存放了钱包助记词，第一个单词是什么？

发现/home/adm1n/图片下面有个important.docx，然后用zip方式打开看，发现有一个important.xml，放到010里面一看是一个被改了文件头的jpg

是solution

10.请分析检材三（"我的测试机"），最近曾访问过的音频文件，该音频文件的文件名是什么

自传小说.MP3

11.请分析检材三（"我的测试机"），最近曾使用过USB设备，该设备的名称为

Thinkplus

12.请分析检材三（"我的测试机"）中的音频内容，并回答，嫌疑人现任妻子毕业的大学是？

这里我直接听的，用buzz转换出来不理想，所以还是人工去听吧，建议用audacity，可以跳过空白部分；

上海大学

13.请分析检材三（"我的测试机"）中的音频内容，并回答，嫌疑人是通过一个朋友认识的陈老板，该朋友姓氏拼音是？

wang

14.请分析检材三（"我的测试机"）中的音频内容，并回答，嫌疑人所说的香格里拉大酒店实则是？

棋牌室

15.请分析检材三（"我的测试机"）中的音频内容，并回答，嫌疑人银行密码是多少？

这是个脑洞题，嫌疑人似乎在供述自己的犯罪经历，但是其录音却明确的分为一段一段；说明分段是有意义的，意义就在于每一段的第一个字结合起来就是："我的银行密码是071492"（汗了）