2026盘古石决赛计算机

比赛时有些遗憾，由于自己没爆开，最后解开pc2的C盘bitlocker只剩下1个多小时，没时间蒸了
希望明年能拿一等QWQ

陈志鹏的pc：

分析陈志鹏的pc检材，找出换脸程序的对外服务端口号，[答案格式：四位数字]

答案：7860
启动服务看到端口

分析陈志鹏的pc检材，找出换脸程序的版本号，[答案格式：X.X]

答案：3.6
1. 已经在上题定位到程序根目录 facefusion-3.6.0
2. 继续打开 facefusion\metadata.py，里面的 METADATA 字典明确写了 'version': '3.6.0'。

分析陈志鹏的pc检材，换脸程序默认配置了多少个不同的换脸模型，[答案格式：两位数字]

答案：13
assets目录下有看到modle，一共是13个

分析陈志鹏的pc检材，换脸程序处理完成后默认保存输出文件的文件夹路径是？[答案格式：绝对路径]

答案：C:\Users\Administrator\Documents
直接看 FaceFusion 的历史任务记录，看到输出路径都C:\Users\Administrator\Documents下

分析陈志鹏的pc检材，用户在2026年4月30日最后一次换脸操作生成的文件名是什么？[答案格式：文件名.扩展名]

答案：c6f02d62.mp4

还是在complete目录下看

分析陈志鹏的pc检材，给出本地声音生成工具的对外服务端口号？[答案格式：四位数字]

答案：8080
在文档目录下找到chattts这个声音生成工具，readme里面有给web端口

分析陈志鹏的pc检材，给出音频生成工具创建语音时使用的默认随机种子数值？[答案格式：数字]

答案：42
webui.py中能看到一些默认值：

这里写了两个默认种子值：2和42
又看到工具根目录下有个images文件夹

看到和默认文本相符，那么对应的种子值应该是截图上的42

分析陈志鹏的pc检材，给出音频生成工具生成的音频文件默认保存的文件名？[答案格式：纯英文文件名]

答案：audio.wav
推测应该在下载目录里

这个显然是下载了两次重名，那么默认文件名就是audio.wav

分析陈志鹏的pc检材，给出存放在桌面上的密码备忘文件的内容？[答案格式：纯数字字符串]
直接看是没有的，尝试数据恢复也没有，怀疑是和D盘的secret.txt有关系，但是bitlocker恢复密钥没爆出来，暂先留着
分析陈志鹏的pc检材，用户使用文件粉碎工具彻底删除了一个文件，给出该粉碎工具的版本号？[答案格式：版本号如X.X.X.X]

答案：6.0.0.0

看到火绒里的粉碎记录
锁定到具体执行功能的工具exe，看到版本号：6.0.0.0

分析陈志鹏的pc检材，给出使用直播软件时的音频输出码率设置值？[答案格式：123]

答案：128

直接在软件的输出设置里找到

韦明辉的pc

067474-555071-622369-111650-651354-121858-406439-542289
这个是C盘的bitlocker恢复密钥（apk部分题目中得到）

分析韦明辉计算机检材，请给出磁盘的总扇区数？[答案格式：100,00]

答案：536870912

分析韦明辉计算机检材，请给出系统安装时间（UTC+8）？[答案格式：YYYY-MM-DD-HH:mm:ss]

答案：2025-08-08-12:20:35

CST+8和UTC+8不用换算

分析韦明辉计算机检材，电脑内曾接入过一个1.8T的移动磁盘，请给出该磁盘的序列号的后六位？[答案格式：字母大写]

答案：B5C5H5
正常从火眼分析里看

其实也可以从内存做，它恰好是唯一的一个移动硬盘：将内存里的记录给本地ai分析

分析韦明辉计算机检材，请给出嫌疑人登录github所使用的账号？[答案格式：xxx@xx.xx]

答案：1723696192@qq.com

现在浏览器中锁定登陆行为及时间
然后2026-04-21 16:41:07-2026-04-21 16:41:35之间找记录

看到表单里的账号 1723696192@qq.com,时间上非常合理

分析韦明辉计算机检材，请给出嫌疑人计算机内默认浏览器的版本号？[答案格式：xxx.x.xxxx.xx]

答案：147.0.7727.102

默认浏览器是edge

分析韦明辉计算机检材，请给出嫌疑人计算机内安装过的AI编程助手默认使用的模型名？[答案格式：gtp-v1.0]

答案：deepseek-v3.1
看到有claude在计算机里面

唤起服务，看到模型

分析韦明辉计算机检材，请给出嫌疑人计算机内安装过的AI编程助手对接OpenAI所使用的token ？[答案格式：sk-xxxxxxx]

答案：sk-wddK6jkRKXgImXJ4UleePKKUi06whsVDStxdABBvz4Rvc2CG

setting.json里看到

分析韦明辉计算机检材，请给出嫌疑人最后使用AI编程助手从互联网上搜索视频直播网站源码的时间（UTC+8）？[答案格式：YYYY-MM-DD-HH:mm:ss]

答案：2026-04-21-17:46:37

这个也是放在明面上，软件根目录下有history

分析韦明辉计算机检材，请给出嫌疑人电脑内翻墙软件内配置文件名？[答案格式：xxx.yaml]

答案：rvgOGYotk11u.yaml

直接打开软件查看就好

分析韦明辉计算机检材，请给出嫌疑人电脑内翻墙软件所用端口号？[答案格式：8000]

答案：7890

分析韦明辉计算机检材，请给出嫌疑人计算机D盘的Bitlocker恢复密钥的后6位？[答案格式：6位数字]

答案：080894

恢复密钥：717585-277112-173844-316503-216392-200508-705166-080894
efdd爆破内存

但是C盘的没爆出来，学习了下别的佬，似乎可以passwarekit处理。比赛时是等apk部分队友递的线索：067474-555071-622369-111650-651354-121858-406439-542289
这个是C盘的bitlocker恢复密钥

分析韦明辉计算机检材，请给出博彩网站盛世皇朝后台端口号？[答案格式：8000]

答案：8091
在谷歌浏览器里找到后台登录记录

分析韦明辉计算机检材，请给出博彩网站盛世皇朝后台登录密码？[答案格式：password]

答案：shhc123!@#
后台密码落在网站部署资料/配置残留中，最终账号口令中的密码部分为 shhc123!@#。

分析韦明辉计算机检材，请给出嫌疑人计算机内加密笔记的打开密码？[答案格式：P@ssw0rd]

答案：LongTeng@2026

对程序逻辑逆向后确认其使用 PBKDF2 派生 Fernet 密钥；记事本里能看到一个同名的字典

爆破

import base64, json
from cryptography.fernet import Fernet
from cryptography.hazmat.primitives.kdf.pbkdf2 import PBKDF2HMAC
from cryptography.hazmat.primitives import hashes

password = b"LongTeng@2026"
salt = b"JinQin_Salt_2024"
notes_dat = open("notes.dat", "rb").read()

kdf = PBKDF2HMAC(algorithm=hashes.SHA256(), length=32, salt=salt, iterations=100000)
key = base64.urlsafe_b64encode(kdf.derive(password))
plain = Fernet(key).decrypt(notes_dat)
print(plain.decode("utf-8", errors="ignore"))

分析韦明辉计算机检材，请给出嫌疑人计算机内加密笔记的打开密码的加密类型？[答案格式：MD5]

答案：SHA-256
上一题程序分析得到

分析韦明辉计算机检材，请给出嫌疑人计算机内加密笔记的密码哈希计算的盐值？[答案格式：Salt_pass]

答案：JinQin_Secret
同上

分析韦明辉计算机检材，请给出服务器45.33.22.11的root密码？[答案格式：P@ssw0rd]

答案：JinQin@Server2024!

重要密码里

分析韦明辉计算机检材，请给出现嫌疑人计算机内VeraCrypt的密钥文件MD5的前6位？[答案格式：字母小写]

答案：ea87ee
还是在记事本中有提示

找到这个文件

分析韦明辉计算机检材，嫌疑人使用自定义工具对 Veracrypt 加密容器文件进行了混淆处理，请给出该混淆处理使用的位运算名称 [答案格式：XOR]

答案：NOT
顺着上一题的 VC 线索继续看 分区8\logo，这里同时出现了 2GB 的 system_cache.db 和配套脚本 quick_obfuscate.py，明显是在这个目录里藏容器和混淆工具
分析脚本逻辑

写在脸上

分析韦明辉计算机检材，请给出解密混淆加密后的VeraCrypt容器文件的MD5的前6位？[答案格式：字母小写]

答案：d48b41
先做解混淆：

from __future__ import annotations

import argparse
from pathlib import Path


def recover_not_obfuscated(src: Path, dst: Path, chunk_size: int = 100 * 1024 * 1024) -> None:
    total = 0
    with src.open("rb") as fin, dst.open("wb") as fout:
        while True:
            chunk = fin.read(chunk_size)
            if not chunk:
                break
            fout.write(bytes((~b) & 0xFF for b in chunk))
            total += len(chunk)
            print(f"[+] processed {total} bytes")
    print(f"[+] done: {dst}")


def main() -> None:
    parser = argparse.ArgumentParser(description="Reverse the NOT-based VeraCrypt container obfuscation.")
    parser.add_argument("src", help="Obfuscated input file, e.g. system_cache.db")
    parser.add_argument("dst", help="Recovered output file, e.g. system_cache_not.bin")
    parser.add_argument("--chunk-size", type=int, default=100 * 1024 * 1024, help="Chunk size in bytes")
    args = parser.parse_args()

    recover_not_obfuscated(Path(args.src), Path(args.dst), args.chunk_size)


if __name__ == "__main__":
    main()