这是我们Sofist取证比赛的第二小步，这次题目比上次的平航杯更复杂恶心一点。。。不过还是有所收获。

最后得了二等奖，排名是42，可惜还是没能进线下，什么时候能和film✌、Ghost✌一起出去玩（sad），下次的取证应该是2025的盘古石杯，敬请期待吧，继续加油！

手机部分

1.请分析检材二，请分析"手机"检材，并回答，并回答该手机的device_name是？

Xiaomi Redmi 6 Pro

火眼直接搜device_name

2. 请分析检材二，请分析"手机"检材，并回答，嫌疑人pc开机密码是什么？

1qaz2wsx

一般手机中记录密码的地方: 远控相关软件记录、手机便签、照片等。浏览该软件安装软件列表, 没有远程连接相关软件. 查看便签相关软件, 该设备安装了三个软件:

最后在备忘录日记的数据库里找到了pc密码：

3. 请分析检材二，请分析"手机"检材，并回答，嫌疑人接头暗号是什么？

爱能不能够永远单纯没有悲哀

在备忘录日记的数据库里同样有接头暗号：

是这个ub690t1mq9kelnah.png：

在files/images里面找个这个名字的png，找到接头暗号：

4. 请分析检材二，请分析"手机"检材，并回答，嫌疑人存放的秘钥环是多少？

1qaz2wsx3edc

搜索密码可以在便签里面看到有说google的密钥环

去找便签的数据库查看：

5. 请分析检材二，请分析"手机"检材，并回答，嫌疑人一生中最重要的日子是什么时候？

2026-2-26

找到一张截图，推算一下日期可以得到：

6. 请分析检材三，请分析"手机"检材，并回答，嫌疑人微信生成的聊天记录数据库文件名 称是什么？

EnMicroMsg.db

去分析界面找到聊天记录点击跳转到源文件即可：

7. 请分析检材二，请分析"手机"检材，并回答，嫌疑人微信账号对应的 UIN 为多少？

1864810197

找对应路径下的文件：

8. 请分析检材二，请分析"手机"检材，并回答，嫌疑人微信聊天记录数据库的加密秘钥是 什么？

做这道题需要事先找到 EnMicroMsg.db 的位置 /data/data/com.tencent.mm/MicroMsg/(32 AlphaNum)/EnMicroMsg.db 和 auth_info_key_prefs.xml 的位置: /data/data/com.tencent.mm/shared_prefs/auth_info_key_prefs.xml

并且找到手机的 IMEI 信息:

2 条 IMEI 信息分别是

• 868139033433456

• 868139033433464

另外, 如果微信在创建数据库时没有获取到 IMEI 信息, 则会使用 1234567890ABCDEF 代替 IMEI. 这种情况下 auth_info_key_prefs.xml 文件中会缺少 IMEI 信息.

接着在 auth_info_key_prefs.xml 文件中找到 UIN 信息为 1864810197:

用你喜欢的哈希计算工具计算 md5(IMEI+UIN) 并截取前 7 位. 因为本题中微信并没有获取到 IMEI 信息（因为auth_info_key_prefs.xml文件中没IMEI信息）, 因此只用计算 md5("1234567890ABCDEF"+UIN) 即可.

9. 请分析检材二，请分析"手机"检材，并回答，嫌疑人“欠条.rar”的解压密码是多少？

3170010703

在聊天记录里面有说到密码是对方的号码：

传了一张图片，是隐写，在存储目录下找到了另一张很像的图片，多了一个二维码：

扫码出结果

10. 请分析检材二，请分析"手机"检材，并回答，嫌疑人“欠条.rar”解压后，其中VeraCrypt容 器的MD5值是多少？

83da62aabc88cb1b23e9469142b67b80

直接拿出来算就好了:

11. 请分析检材二，请分析"手机"检材，并回答，嫌疑人提供的“欠条.rar”解压后，其中 "1.png"图上显示的VeraCrypt容器密码是多少？

#!@KE2sax@!da0h5hghg34&@

有了解压密码，里面有欠条、1.png、图片密码.png

1.png里面有密码：

12. 请分析检材二，请分析"手机"检材，并回答，嫌疑人李某全名是什么？

李安弘

把欠条挂载上就能看了：

13. 请分析检材二，请分析"手机"检材，并回答，嫌疑人欠款金额是多少

80000

同上题：

介质取证

1. 请分析检材三，请分析"电脑"检材，并回答，该电脑最后一次开机时间是？ A.2025-04-15 16:21:41 B.2025-04-14 11:48:47

2025-04-14 11:49:47

2. 请分析检材三，请分析"电脑"检材，并回答，嫌疑人的备用机号码是多少？

18877332134

在便签里面：

3. 请分析检材三，请分析"电脑"检材，并回答，域名dgy02.com曾保存过一个密码，该密码是多少？

tcgg123456

在手机里面找到密钥环再打开google能查看：

4. 请分析检材三，请分析"电脑"检材，并回答，其电脑安装的微信版本是多少？

4.0.0.21

5. 请分析检材三，请分析"电脑"检材，并回答，该系统有哪些远程控制软件

   A.todesk 
   ​
   B.向日葵  
   ​
   C. raylink
   ​
   D. 爱思远

AB

我勒个多选题，没仔细看到，白白丢10分（555），仿真就能看到：

6. 请分析检材三，请分析"电脑"检材，并回答，电脑2025年4月10日11点4分29秒曾被向日 葵远程控制，其记录的日志文件名为

sunlogin_service.log.2

7. 请分析检材三，请分析"电脑"检材，并回答，电脑2025年4月10日11点4分29秒曾被向日 葵远程控制，日志内记录对方公网IP地址和端口为

180.100.46.36:4118

8. 请分析检材三，请分析"电脑"检材，并回答，某文件的MD5值“2bdfcdbd6c63efc094ac154a28968b7d”，该文件名

important.docx

WPS 最近访问的文档中有一个 important.docx, md5 与题目中的一致

9. 请分析检材三，请分析"电脑"检材，据调查，上述文件存放了钱包助记词，第一个单词 是什么？

solution

文件打开之后内容只有 1 行:

猜测是 office 文档隐写. 直接按压缩包方式解压, 在 docProps 中有一个important.xml:

改后缀名为jpg：

10. 请分析检材三（“我的测试机”），最近曾访问过的音频文件，该音频文件的文件名是什 么

自传小说.MP3

把我的测试机作为新的检材进行分析：

找到音频文件：

11. 请分析检材三（“我的测试机”），最近曾使用过USB设备，该设备的名称为

A. ThinkPLus

B. Toshiba

C. Samsumg

D. Database

A

12. 请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人现任妻子毕业的大学 是？

北京大学

这道题及之后的题目都在音频文件中.

用音频编辑软件打开音频文件, 可以看到音频有明显的分段, 每段之间夹杂一个较大的静音片段:

可以先把中间的空的部分删除掉，再用语言转文字工具分析，我就不再转了，直接粘了一下网上的：

最开始提到自己的前妻毕业于上海大学:

后来又提到自己和毕业于北京大学的现任走到一起:

13 请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人是通过一个朋友认识的 陈老板，该朋友姓氏拼音是

wang

14. 请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人所说的香格里拉大酒店 实则是？

棋牌室

15. 请分析检材三（“我的测试机”）中的音频内容，并回答，嫌疑人银行密码是多少？

071492

看网上wp找到的：

之前提到音频文件被人为添加了多段空白, 并分割为 13 段语音.

每段语音的开头:

我叫李安宏...
得到毕业证书后...
银色的流星划过天际...
行家啊...
密聊中...
马上我们相约在香格里拉大酒店...
事后...
凌伍诚(音)便是这这时候...
起初...
一次次这样...
四楼的车库里...
就是些交易的场面...
而每当这个念头浮现...

取每一段音频的首字, 拼接起来得到 我得银行密马事凌起一四就而 = 我的银行密码是071492。

沟槽的musc(