某验证

密码：9sK2$pR5#gT7!bN3&qF3@zQ6=wE8*yU0aS4dF7gH2jK5aZ9xC2vB6nM0

1. 请计算样品文件“检材A-计算机.vmdk”文件的SHA1值，写出前8位。(答案格式：字母大写) 计算机取证分析

   E53E10F0

   

2. 列出检验过程中使用的方法标准和软硬件工具；(标准需包含编号，软件设备需包含版本号) 计算机取证分析

3. 分析计算机检材，嫌疑人将文件“BitLocker 恢复密钥 9696CE55-E545-4549-AB43-21A358C4E89B.TXT”保存至哪个外接设备上？写出该设备的序列号前十位。(答案格式：遇字母小写) 计算机取证分析

   04012bc9e2

   

4. 分析计算机检材，嫌疑人知乎账号的密码是多少？计算机取证分析

lee@789456

5. 分析计算机检材，嫌疑人在2026-03-05 14:43使用AI智能工作台进行了什么标题内容的话题？(答案格式：按实际值填写) 计算机取证分析

   人脸动作迁移

   

6. 分析计算机检材，嫌疑人将非法获得的大量用户信息存储在某一容器中，请找到该容器，写出容器解密密码。(答案格式：按实际值填写) 计算机取证分析

   zheshiyigerongqimima6bu6!!!

   

   

7. 接上题，容器中，有一Python脚本，请分析该脚本在运行时向接码平台获取黑号的函数名是？(答案格式：按实际值填写) 计算机取证分析

   step1_get_fake_number

   

8. 分析计算机检材，找到嫌疑人通过邮件发送的“工具.exe”附件文件，计算其SHA1值，写出前8位。(答案格式：字母大写) 计算机取证分析

   68C6BA3C

   

   

9. 分析计算机检材，找到嫌疑人曾经伪造的邮件，找到正文中的“点此进入”链接，提取其真实的 href 目标URL。(答案格式：http://...) 计算机取证分析

http://aq.qq-s029-login.com/index.php

10. 分析计算机检材，找到嫌疑人曾远程连接过服务器，请写出该服务器root用户的连接密码？计算机取证分析

    123568

    

11. 分析手机检材，嫌疑人在2025年11月24日去了哪个城市？(答案格式：上海市) 移动终端取证分析

    连云港市

    找11月24日拍的图片，然后看exif

    

12. 分析手机检材，嫌疑人曾使用社交账号找人帮助洗钱，并发送过一个包含其虚拟币账号的压缩包文件，请找到该压缩包文件，计算其SHA1值，并写出前8位。(答案格式：字母大写) 移动终端取证分析

    B0E02773

    

    

13. 接上题，从该压缩包中找到嫌疑人用于洗钱的虚拟币账户，请写出其前8位。(答案格式：字母小写，如0x1c2b3a) 移动终端取证分析

    0x9c4e6b

    

14. 分析计算机检材中的手机备份，嫌疑人售卖1000条信息的价格是多少元？(答案格式：纯数字) 移动终端取证分析？？？？？？？？？？？

    3000

15. 分析计算机检材中的手机备份，嫌疑人在微信上共售卖了多少条包含身份证号的用户信息？(答案格式：纯数字) 移动终端取证分析

10147

9999+148

hashcat -m 13000 -a 3 E:\hash.txt "1316?d?d?d?d?d?d?d"

16. 分析U盘检材，其bitlocker恢复密钥是多少？请写出其前6位。(答案格式：123456) 计算机取证分析

    512347-558536-252527-170797-317581-212509-314534-469117

    

17. 分析U盘检材，嫌疑人很可能使用什么工具来生成伪造的人脸认证视频？(答案格式：按实际值填写，直接写出工具英文名) 计算机取证分析

    LivePortrait

    

    

18. 接上题，该工具的服务端口是多少？(答案格式：纯数字) 计算机取证分析

    8890

    

19. 接上题，该工具生成视频时使用的动作模板文件是哪个？请写出其文件名。计算机取证分析

renlian.mp4

20. 请找到使用该工具生成的用户“宇文天纵”的人脸认证视频，计算其SHA1值，写出前8位。（答案格式：字母大写）计算机取证分析

DA51BD83AF5B1385E0F6AC6331D7A316411A72B7

填空题22.（附加题）分析服务器检材，找到嫌疑人的骗贷攻击工具二进制文件，分析其向贷款网站注册时使用的

https://api.aluyunsms.com

填空题23.（附加题）分析服务器检材中嫌疑人搭建的贷款管理平台，写出嫌疑人曾登录贷款管理平台的IP。（答案格式：192.168.0.1）服务器取证

172.16.53.25

/home/auto_attack_tool 解包后的 auto_attack_tool.pyc 里直接有 SMS_HOST = 'https://api.aluyunsms.com'，同时还有 SMS_GET_MOBILE_URL 和 SMS_GET_MSG_URL，能确认这是注册时调用的接码平台。贷款管理平台这边看 loan_web 容器日志，2026-03-06 08:25:44 和 2026-03-06 08:28:46 都有来自 172.16.53.25 的 POST /login 记录

填空题24.（附加题）分析计算机检材，请找到用于解密“检材E-流量包”的日志文件，计算其SHA1值，写出其前8位。（答案格式：字母大写）计算机取证

16A1A421

在vc的回收站里可以找到几个加密的log，看看内容，$RU96AVN.log文件内容是标准的 TLS 1.3 keylog 格式。

填空题25.（附加题）分析流量包检材，嫌疑人试图注册名为“秦贵天”的账号，请写出注册时的手机号？（答案格式：13812345678）流量包分析

13273358526

在 loan.fastbank.com 的 POST /api/bank/register 里，user_profile 下面出现了：

• 姓名：秦贵天

• 手机号：13490123456

填空题26.（附加题）接上题，嫌疑人在该次注册过程中获取到的短信验证码是多少？（答案格式：123456）流量包分析

174936

接着在 sms.com 的 GET /api/sms/get_msg?mobile=13490123456 响应里，短信正文写的是：

验证码是 174936

填空题27.（附加题）接上题，接码平台的IP是多少？（答案格式：192.168.1.1）流量包分析

172.16.55.5

在 sms.com 的 GET /api/sms/get_mobile 返回里，拿到的手机号是 13490123456。 这个流量的服务端 IP 就是 172.16.55.5，

填空题28.（附加题）接上题，请提取本次注册成功后获取的权限凭证（Token），写出其前10位。（答案格式：u_d90b879c）流量包分析

u_d90b879c

然后在 loan.fastbank.com 的 POST /api/bank/submit_code 里，提交的是：

• Phone: 13490123456

• code: 174936

响应里返回：

• access_token: u_d90b879c-73b7-4255-a93b-aae4778ffd3c

题目只要前 10 位，所以第 28 题填 u_d90b879c。

填空题29.（附加题）分析流量包检材，嫌疑人最终一共成功骗贷多少金额？（答案格式：XX元）流量包分析

250000元

最后统计所有 POST /api/bank/loan 响应中的 approved_amount。

一共 12 笔，批准金额分别是：

10000、20000、20000、10000、20000、20000、20000、30000、20000、30000、30000、20000

加起来正好是：

250000元

所以第 29 题填 250000元。