FIC取证初赛复现

y

一上来就遇到问题了 想要复现取证的题目一定要准备一个大硬盘 保守估计500G+ 才能够用然后需要一个百兆的网络和百度网盘的会员 （你怎么知道我给学校校园网破了现在是千兆网 只不过百度网盘限速到百兆） 趁着刚打完痛苦的ciscn暨长城杯之后我决心继续猛猛学习主要是手里面还有弘连的火眼想爽一把取证梭哈的感觉不是

第一步就是这个该死的挂载 一开始懵懵的不知道是啥文件还傻乎乎问C3 C3说用file查一下 我电脑还没装wsl（有空一定装备）然后想起来vc了就胡乱搞结果还真是vc直接挂载了好神奇

然后就是熟悉的镜像文件了

手机检材

题目描述

2024年4月，卢某报案至警方，声称自己疑似遭受了“杀猪盘”诈骗，大量钱财被骗走。卢某透露，在与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏，起初资金出入均属正常。但随后，李某称赌博平台为提升安全性，更换了地址和玩法，转为通过群聊抢红包形式进行赌博。随着赌资不断增加，卢某投入巨额资金后，发现无法再访问该网站，同时李某也失去联系，卢某遂意识到自己被骗。
在经济压力下，卢某选择报警，并承认参与赌博活动，愿意承担相应法律后果。警方依据卢某提供的线索和手机数据，迅速锁定犯罪团伙，并在一藏匿地点成功抓获犯罪嫌疑人李某和赵某。警方对嫌疑人持有的物品进行了证据固定：李某手机被标记为检材1，窝点内服务器为检材2，赵某使用的计算机为检材3。
接下来，请取证工作者根据案情和这些检材进行深入分析，并解答后续问题。

手机部分1

嫌疑人李某的手机型号是？

• A. Xiaomi MI 2s

• B. Xiaomi MI 4

• C. Xiaomi MI 6

• D. Xiaomi MI 8

思路是型号肯定在很多配置文件里面存在 存在的情况下我们全局里面搜索看看有没有泄露出来的 很顺利在文件内容里面就搜索出来了

不过我一开始是在文件里面看 发现找不到

手机部分2

嫌疑人李某是否可能有平板电脑设备，如有该设备型号是？

• A. iPad Pro 11

• B. Vivo Pad 2

• C. MatePad Pro

• D. Xiaomi Pad 6s

  

  直接就能找到

手机部分3

嫌疑人李某手机开启热点设置的密码是?

5aada11bc1b5

手机部分4

嫌疑人李某的微信内部ID是？

wxid_wnigmud8aj6j12

手机部分5

嫌疑人李某发送给技术人员的网站源码下载地址是什么？

去微信里面一个个翻聊天记录能找到这个

然后扫二维码得到新佛曰 解码即可

http://www.honglian7001.com/down

手机部分6

翻聊天记录的时候就已经找到了受害人 但是一开始以为让提交vx号结果不对 然后就是提交受害者的id

limoon890

手机部分7

嫌疑人李某第一次连接WIFI的时间是？

进去后搜索wifi 有一个wificonfig的xml文件

• A. 03-14 15:55:57
• B. 03-14 16:55:57
• C. 03-14 17:55:57
• D. 03-14 18:55:57

手机部分8

8、分析嫌疑人李某的社交习惯，哪一个时间段消息收发最活跃？

• A. 12:00-14:00
• B. 14:00-16:00
• C. 16:00-18:00
• D. 18:00-20:00

这题纯白给

手机部分9

请分析嫌疑人手机，该案件团伙中，还有一名重要参与者警方未抓获，该嫌疑人所使用的微信账号ID为？

老苏的vxid

手机部分10

请分析嫌疑人手机，嫌疑人老板组织人员参与赌博活动，所使用的国内访问入口地址为？[格式：127.0.0.1:8080/admin]

windows部分

window1

分析技术员赵某的windows镜像，并计算赵某计算机的原始镜像的SHA1值为？

windows2

分析技术员赵某的windows镜像，疑似VeraCrypt加密容器的文件的SHA1值为？

B25E2804B586394778C800D410ED7BCDC05A19C8

执行火眼耗时任务中的特征分析寻找加密文件，识别得到加密容器2024.ifc，计算其SHA1值即可。 就是要等很久很久 才能找到比较烦人 一开始我还以为我的火眼坏掉了

window3

据赵某供述，他会将常用的密码放置在一个文档内，分析技术员赵某的windows镜像，找到技术员赵某的密码字典，并计算该文件的SHA1值?

window4

据赵某供述，他将加密容器的密码隐写在一张图片内，隐写在图片中的容器密码是？

qwerasdfzxcv

在Documents目录下，有一张名为pswd.jpg图片疑似嫌疑人供述的密码图片，使用该密码及上述容器发现挂载失败。查看该图片十六进制试图，在尾部找到密码qwerasdfzxcv。

window5

分析技术员赵某的windows镜像，bitlocker的恢复密钥是什么？

VC挂载 密码是第四题找到的

window6

window7

分析技术员赵某的windows镜像，默认的浏览器是？

显而易见

这里需要仿真一下 进去比较容易做出来

window8

分析技术员赵某的windows镜像，私有聊天服务器的密码为：

window9

分析技术员赵某的windows镜像，嫌疑人计算机中有疑似使用AI技术生成的进行赌博宣传的图片，该图片中，宣传的赌博网站地址为？

一翻就有

window10

分析技术员赵某的windows镜像，赵某使用的AI换脸工具名称为？

• A. stable diffusion
• B. ROOP
• C. Midjourney
• D. DiffusionDraw

这个是对着wp做的 不太理解，但是也微微能懂 属于微解😎

window11

分析技术员赵某的Windows镜像，使用AI换脸功能生成了一张图片，该图片的名称为：

db.jpg

window12

分析技术员赵某的Windows镜像，ai换脸生成图片的参数中–similar-face-distance值为：

但是我的火眼真没找到这个地方 不知道为什么

window13

分析技术员赵某的Windows镜像，嫌疑人使用AI换脸功能所使用的原始图片名称为

跟上面的解法一样 但是我还是找不到

window14

分析技术员赵某的Windows镜像，赵某与李某沟通中提到的“二维码”解密所用的网站url地址为？

http://hi.pcmoe.net/buddha.html

window15

15、分析技术员赵某的Windows镜像，赵某架设聊天服务器的原始IP地址为？

192.168.8.17

window16

16、分析技术员赵某的Windows镜像，据赵某交代，其在窝点中直接操作服务器进行部署，环境搭建好了之后，使用个人计算机登录聊天室进行沟通，请分析赵某第一次访问聊天室的时间为？

• A. 2024-03-14 20:30:08
• B. 2024-03-14 20:31:08
• C. 2024-03-14 20:32:08
• D. 2024-03-14 20:33:08

window17

分析技术员赵某的Windows镜像，openwrt的后台管理密码是：

在谷歌浏览器里面的保存的密码可以直接找到

window18

18、分析技术员赵某的Windows镜像，嫌疑人可能使用什么云来进行文件存储？

易有云

window19

window20

最后几个基本上都在加密的挂载里面 很好找