25FIC初赛（介质）

前言

记录一下做题笔记，有不对的地方请批评指正

介质取证

1、 请分析检材三，请分析"电脑"检材，并回答，该电脑最后一次开机时间是？

2025-04-14 11:49:47

解法一：

取证软件看

解法二：

/var/log/wtmp，开机和关机相对应，中间那一次是重启，第一次是开机，具体解释可以看看ai

2、 请分析检材三，请分析"电脑"检材，并回答，嫌疑人的备用机号码是多少？

18877332134

解法一：

便签数据库\home\adm1n\.config\kylin-note\kyNotes.db

在里面看看，可以看到有图片，之后base64转图片

解法二：

仿真后，在便签里面看

3、 请分析检材三，请分析"电脑"检材，并回答，域名dgy02.com曾保存过一个密码，该密码是多少？

tcgg123456

解法一：

仿真浏览看

4、请分析检材三，请分析"电脑"检材，并回答，其电脑安装的微信版本是多少？

4.0.0.21

解法：

直接看下载或者软件信息

在下载中有多个，其中有两个是错误的，一个Liunx一个Ubuntu，比赛是联网的搜索一下就可以

5、请分析检材三，请分析"电脑"检材，并回答，该系统有哪些远程控制软件

A.todesk
B.向日葵

解法：

直接搜索

6、请分析检材三，请分析"电脑"检材，并回答，电脑2025年4月10日11点4分29秒曾被向日葵远程控制，其记录的日志文件名为

sunlogin_service.log.2

解法：

看日志文件，/var/log/sunlogin

7、请分析检材三，请分析"电脑"检材，并回答，电脑2025年4月10日11点4分29秒曾被向日葵远程控制，日志内记录对方公网IP地址和端口为

116.192.161.222:2577

解法：

看日志文件，sunlogin_service.log.2，日志看不懂，可以拉到ai上

8、请分析检材三，请分析"电脑"检材，并回答，某文件的MD5值为“2bdfcdbd6c63efc094ac154a28968b7d”，该文件名为

important.docx

解法：

可以算全文，但是有个重要文件，拉出来看看，就是这个

9、请分析检材三，请分析"电脑"检材，据调查，上述文件存放了钱包助记词，第一个单词是什么？

solution

解法一：

使用弘连右键添加检材

解法二：

导出文件，解压，看文件，important.tar/docProps/important.xml

解压

打开

10、请分析检材三（“我的测试机”），最近曾访问过的音频文件，该音频文件的文件名是什么

自传小说.mp3

解法一：

添加检材，最近访问项目

解法二：

导出我的测试机.vmdk，添加到xways，去找到\Users\Admin\AppData\Roaming\Microsoft\Windows\Recent

Recent 文件夹通常用于存放用户最近访问过的文件的快捷方式。

11、请分析检材三（“我的测试机”），最近曾使用过USB设备，该设备的名称为

ThinkPLus

以下这些听力题，和藏头诗，音频转文字。

12、请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人现任妻子毕业的大学是？

北京大学

13、请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人是通过一个朋友认识的陈老板，该朋友姓氏拼音是？

王（Wang）

14、 请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人所说的香格里拉大酒店实则是？

棋牌室

15、 请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人银行密码是多少？

07145924