4/20和film✌以及Ghost✌一起打的，最后是18名，前20有奖好像，Sofist在取证路上的第一小步哈哈哈哈哈，继续加油耶

计算机

1. 【填空题】 (10分)

以下为计算机题目，起早王的计算机检材，起早王的计算机插入过usb序列号是什么【格式：1】

F25550031111202

2. 【填空题】 (10分)

分析起早王的计算机检材，起早王的便签里有几条待干【格式：1】

5

3. 【填空题】 (10分)

分析起早王的计算机检材，起早王的计算机默认浏览器是什么【格式：Google】

Microsoft Edge

4. 【填空题】 (10分)

分析起早王的计算机检材，起早王在浏览器里看过什么小说【格式：十日终焉】

道诡异仙

5. 【填空题】 (10分)

分析起早王的计算机检材，起早王计算机最后一次正常关机时间【格式：2020/1/1 01:01:01】

2025-04-10 11:15:29

6. 【填空题】 (15分)

分析起早王的计算机检材，起早王开始写日记的时间【格式：2020/1/1】

2025/3/3

可以直接搜到日记：

7. 【填空题】 (10分)

分析起早王的计算机检材，SillyTavern中账户起早王的创建时间是什么时候【格式：2020/1/1 01:01:01】

2025/3/10 18:44:56

在C盘底下找到wife/wife目录，是起早王使用的AI的项目，可以搜到github的项目SillyTavern，直接start.bat就能启动

在日记里面能找到密码：qzwqzw114

登录之后可以查看用户信息：

还在聊天记录里面找到了E盘bitlocker的密码：20240503LOVE

8. 【填空题】 (10分)

分析起早王的计算机检材，SillyTavern中起早王用户下的聊天ai里有几个角色【格式：1】

4

查看角色列表：有四个角色

9. 【填空题】 (15分)

分析起早王的计算机检材，SillyTavern中起早王与ai女友聊天所调用的语言模型【带文件后缀】【格式：xxxxx-xxxxxxx.xxxx】

Tifa-DeepsexV2-7b-Cot-0222-Q8.gguf

直接搜索小倩，能搜到日志文件：

在这个路径

日志里面有使用的model:

koboldcpp/Tifa-DeepsexV2-7b-Cot-0222-Q8

再去找对应的文件：

没找着对应的文件，直接去网上搜，搜到了后辍是.gguf

答案就是Tifa-DeepsexV2-7b-Cot-0222-Q8.gguf

10. 【填空题】 (10分)

分析起早王的计算机检材，电脑中ai换脸界面的监听端口【格式：80】

7860

解密E盘之后能找到交facefusion的AI换脸应用，启动一下就有监听端口

同时在浏览器历史记录里面也能验证：

11. 【填空题】 (10分)

分析起早王的计算机检材，电脑中图片文件有几个被换过脸【格式：1】

3

在web端能看到换脸后图片的输出路径： 找到3张换脸后照片

12. 【填空题】 (15分)

分析起早王的计算机检材，最早被换脸的图片所使用的换脸模型是什么【带文件后缀】【格式：xxxxxxxxxxx.xxxx】

inswapper_128_fp16.onnx

找到jobs目录底下，有表时间的日志信息：

里面有使用的model：inswapper_128_fp16

找到对应的models文件夹底下的对应文件：

inswapper_128_fp16.onnx

13. 【填空题】 (10分)

分析起早王的计算机检材，neo4j中数据存放的数据库的名称是什么【格式：abd.ef】

graph.db

在E盘中有neo4j的目录，底下/bin/conf文件夹底下有neo4j.conf配置文件，里面有使用的database名：graph.db

搜网上的教程可以不用密码登录：

要把配置文件中对应的登录选项关闭

14. 【填空题】 (10分)

分析起早王的计算机检材，neo4j数据库中总共存放了多少个节点【格式：1】

17088

接着上一步，就能直接运行数据库neo4j的命令了，能直接查到存放的节点

15. 【填空题】 (10分)

分析起早王的计算机检材，neo4j数据库内白杰的手机号码是什么【格式：12345678901】

13215346813

直接查询name白杰的所有信息：

16. 【填空题】 (20分)

分析起早王的计算机检材，分析neo4j数据库内数据，统计在2025年4月7日至13日期间使用非授权设备登录且登录地点超出其注册时登记的两个以上城市的用户数量【格式：1】

44

当时叫AI写的，查错了，官方给的查询语句：

MATCH (u:User)-[:HAS_LOGIN]->(l:Login)-[:FROM_IP]->(ip:IP)
MATCH (l)-[:USING_DEVICE]->(d:Device)
WHERE 
  l.time < datetime('2025-04-14')
  AND ip.city <> u.reg_city
  AND NOT (u)-[:TRUSTS]->(d)
WITH 
  u,
  collect(DISTINCT ip.city) AS 异常登录城市列表,
  collect(DISTINCT d.device_id) AS 未授权设备列表,
  count(l) AS 异常登录次数
WHERE size(异常登录城市列表) > 2
RETURN 
  u.user_id AS 用户ID,
  u.real_name AS 姓名,
  异常登录城市列表,
  未授权设备列表,
  异常登录次数
ORDER BY 异常登录次数 DESC;

其实数据库部分是可以找到账户密码的，不用绕过，写的时候没找到，在E盘底下我的学习笔记里面有neo4

j对应的笔记里面记了账号密码：

neo4j/secretqianqian

登录之后之前的题都能更直观的写:

17. 【填空题】 (15分)

分析起早王的计算机检材，起早王的虚拟货币钱包的助记词的第8个是什么【格式：abandon】

draft

这部分比赛的时候没写出来，发现了Edge的插件MetaMask，但是一直找不到账户密码或者助记词

wp里面助记词在日记里面有提示：

查看一下输入法：

得到助记词

那么虚拟货币钱包的助记词的第8个就是draft

18. 【填空题】 (15分)

分析起早王的计算机检材，起早王的虚拟货币钱包是什么【格式：0x11111111】

qianqian

有了助记词就能登录到MetaMask了，忘记密码就能用助记词重置：

重置完之后就能看MetaMask了：

得到钱包叫qianqian

19. 【填空题】 (20分)

分析起早王的计算机检材，起早王请高手为倩倩发行了虚拟货币，请问倩倩币的最大供应量是多少【格式：100qianqian】

1,000,000qianqian

看浏览记录，使用MetaMask之后又访问了这个：

在这个网站把刚刚的钱包的地址复制进来就可以查询相关信息了：

找到发行的qianqianbi：

点进去就能看到最大供应量：

1,000,000qianqian

20. 【填空题】 (15分)

分析起早王的计算机检材，起早王总共购买过多少倩倩币【格式：100qianqian】

521qianqian

购买了521倩倩币

21. 【填空题】 (15分)

分析起早王的计算机检材，起早王购买倩倩币的交易时间是【单位：UTC】【格式：2020/1/1 01:01:01】

2025/3/24 2:08:36

手机

26. 【填空题】 (10分)

以下为手机题目，该检材的备份提取时间（UTC）【格式：2020/1/1 01:01:01】

2025/04/15 18:11:18

27. 【填空题】 (15分)

分析倩倩的手机检材,手机内Puzzle_Game拼图程序拼图APK中的Flag1是什么【格式:xxxxxxxxx】

flag{Key_1n_the_P1c}

用APP分析软件，先把Puzzle_Game下下来，然后hook脚本，用的是com.example.puzzlegame.util.GameUtil的isSuccess，直接把返回值改为真运行脚本就会直接显示拼图成功

28. 【填空题】 (15分)

分析手机内Puzzle_Game拼图程序，请问最终拼成功的图片是哪所大学【格式：浙江大学】

浙江中医药大学

拼图里的原图：

加上便签里面写了樱花跑道，知道是浙江，再社工这张图片得到结果。

29. 【填空题】 (10分)

分析倩倩的手机检材,木马app是怎么被安装的【网址】【格式：http://127.0.0.1:1234/】

http://192.168.180.107:6262/

浏览器下载文件夹里面只有两个apk，这个fix2_sign就是木马apk

看浏览器历史记录：

只有这个ip很可疑

30. 【填空题】 (10分)

分析倩倩的手机检材,检材内的木马app的hash是什么【格式：大写md5】

23A1527D704210B07B50161CFE79D2E8

APP分析里面，只有这个包名看起来不像官方应用，搜一下包名

点击跳转到源文件就跳转到了之前的木马文件，说明就是这个app

得到hash，注意大写

31. 【填空题】 (10分)

分析倩倩的手机检材,检材内的木马app的应用名称是什么【格式：Baidu】

Google Service Framework

同上

32. 【填空题】 (10分)

分析倩倩的手机检材,检材内的木马app的使用什么加固【格式：腾讯乐固】

梆梆加固

33. 【填空题】 (15分)

分析倩倩的手机检材,检材内的木马软件所关联到的ip和端口是什么【格式：127.0.0.1:1111】

92.67.33.56:8000

一键脱壳后查看源码后能找到：

34. 【填空题】 (15分)

该木马app控制手机摄像头拍了几张照片【格式：1】

3

服务器中查看

35. 【填空题】 (15分)

木马APP被使用的摄像头为【格式：Camera】

front camera

服务器中查看

根据/tmp/rat.txt 目录下的历史命令 使用的摄像头为front camera

36. 【填空题】 (15分)

分析倩倩的手机检材,木马APK通过调用什么api实现自身持久化【格式：JobStore】

JobScheduler

37. 【填空题】 (10分)

分析倩倩的手机检材,根据倩倩的身份证号请问倩倩来自哪里【格式：北京市西城区】 上海市徐汇区

剪切板里面有身份证，而且之前在便签中也能看出来是上海人

38. 【填空题】 (20分)

此手机检材的IMEI号是多少【格式：1234567890】

844062738362084

直接搜索imei就能找到：