检材密码:EVJbYf&+eStnx5B+C^bj%YPSr)gr

计算机

1. 密码连续错误输入多少次数后,系统会自动锁定用户账户?

  • 答案:3
    直接试一试,得到是3

2. 检材中对应的微信 wxid 是多少?

  • 答案:wxid_q1w2e3r4t5y6u7i8o9

3. E 盘 BitLocker 恢复密钥末尾六位是多少?

  • 答案:126269
    MsgAttach下有两张ai生成图片,扫码得到恢复密钥

4. VC 加密容器的外层加密卷密码是什么?

  • 答案:JHTJ!@#¥A313


1.png是一个文本提示文件

5. 带有“豆包AI生成”水印的图片一共有多少张?

  • 答案:6

Pictures 下 4 张,加上微信附件 低价清单 (8).png低价清单 (9).png 共 6 张。

6. VC 加密容器的隐藏加密卷密码是什么?

ClearSky@SecretSignal#SevenMileJasmine



从picture文件夹里的1-4图片尝试分析隐写


�嚼阯丞刈蟇�差蟇��:ClearSky@SecretSignal#SevenMileJasmine
但是进不去

后来发现需要桌面上的密钥文件,谁懂,看password下面四个*以为是四位密码爆破

7. 接上题,嫌疑人的接头暗号是什么?

步行9千米


音频隐写

8. 接上题,嫌疑人的接头地点在哪里?

Taipei 101 building 502 room

picture文件夹下,在四张二进制书图样的图片里
`

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
@'
image_bits = {
    "5.png": ["10001110","10111011","10110011","10101010","10111111","10110011","11111010"],
    "6.png": ["11101011","11101010","11101011","11111010","10111000","10101111","10110011"],
    "7.png": ["10110110","10111110","10110011","10110100","10111101","11111010","11101111"],
    "8.png": ["11101010","11101000","11111010","10101000","10110101","10110101","10110111"],
}
order = ["5.png", "6.png", "7.png", "8.png"]
key = 0xDA
msg = ""
for name in order:
    part = "".join(chr(int(b, 2) ^ key) for b in image_bits[name])
    print(f"{name}: {part}")
    msg += part
print("\n最终结果:", msg)
'@ | python -

9. 木马残留样本中,核心信息窃取配置数量为多少?

5

bitlocker打开的盘里面有一个c文件
看起来像是源码,分析源码得到5个

10. 木马残留样本中,申请的内存保护标志是什么?(尤其注意格式)

PAGE_EXECUTE_READWRITE (0x40)

注入申请是 VirtualAllocEx(..., PAGE_EXECUTE_READWRITE)

11. 嫌疑人涉案交易使用的银行卡号是什么?

6221882234367490125

文件为 Office 加密容器;同目录 密码.txt 给出格式 4字母前缀 + 1特殊符号 + 8位日期。取文件日期 2026-05-12,掩码爆破得到密码 JUHE@20260512;用 msoffcrypto 解密后,从 xl/sharedStrings.xml 中提取 19 位银行卡号。

思路:
交易银行卡.xlsx 是 Office 加密文件,密码.txt 给了密码格式:

1
【4个字母前缀】 + 【1个特殊符号分隔符】 + 【8位当天日期】

先看文件时间,交易银行卡.xlsx 修改时间是 2026-05-12,因此固定日期部分取:

1
20260512

先提取 Office 哈希:

1
python D:\Programs\JtR\run\office2john.py C:\temp\bank.xlsx > C:\temp\bank.hash

office2john.py 输出是 UTF-16LE,需要清洗成正常 hash。清洗脚本:

1
2
text = open(r'C:\temp\bank.hash', 'rb').read().decode('utf-16le').strip()
open(r'C:\temp\bank_clean.hash', 'w', encoding='ascii').write(text.split(':', 1)[1] + '\n')

然后用 hashcat 按掩码爆破:

1
D:\Programs\hashcat-7.1.2\hashcat.exe -m 9400 -a 3 C:\temp\bank_clean.hash ?u?u?u?u?s20260512 -O --potfile-path C:\temp\bank.pot --outfile C:\temp\bank.out

爆破得到密码:

1
JUHE@20260512

再用 msoffcrypto 解密表格:

1
2
3
4
5
6
7
8
9
10
import io
import msoffcrypto

with open(r'C:\temp\bank.xlsx', 'rb') as f:
    office = msoffcrypto.OfficeFile(f)
    office.load_key(password='JUHE@20260512')
    buf = io.BytesIO()
    office.decrypt(buf)

open(r'C:\temp\bank_dec.xlsx', 'wb').write(buf.getvalue())

最后读取表格内容:

1
2
3
4
5
6
from openpyxl import load_workbook

wb = load_workbook(r'C:\temp\bank_dec.xlsx', data_only=True)
for ws in wb.worksheets:
    for row in ws.iter_rows(values_only=True):
        print(row)

输出中可见:

1
('6221882234367490125',)

因此涉案交易使用的银行卡号为:

1
6221882234367490125

12. AI 换脸图片大概率使用的 AI 模型是哪一个?

上网搜索ai生成照片检测网站,找到https://hivedetect.ai


可以看到模型是steadydancer

13. 萤小石的身份证号码是什么?

330122199801209527

散落版 1.png 已损坏;身份证.zip 中的成员被动过手脚,需手工解析 zip 结构取出完整 PNG 数据。完整图可见姓名/性别/民族/生日;真正号码以文本方式藏在 PNG 尾部、IEND 前。提取后得到 18 位号码,并与生日段、校验位核对通过。

思路:
L:\身份证\1.png 是散落在外面的损坏版图片,而 L:\身份证.zip 中保存了完整图片数据,但 zip 文件头被做了手脚,不能直接正常解出。需要手工解析 zip 中真实文件项,再把 deflate 数据解压出来。

先枚举 zip 的本地文件头,找真实 PNG 文件项:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
import struct

z = open(r'C:\temp\idcard.zip', 'rb').read()
pos = 0

while True:
    i = z.find(b'PK\x03\x04', pos)
    if i < 0:
        break
    flags = struct.unpack('<H', z[i+6:i+8])[0]
    method = struct.unpack('<H', z[i+8:i+10])[0]
    csize = struct.unpack('<I', z[i+18:i+22])[0]
    usize = struct.unpack('<I', z[i+22:i+26])[0]
    nlen = struct.unpack('<H', z[i+26:i+28])[0]
    elen = struct.unpack('<H', z[i+28:i+30])[0]
    name = z[i+30:i+30+nlen]
    print(i, flags, method, csize, usize, nlen, elen, name)
    pos = i + 4

输出可见第三个文件项是真实 PNG,偏移为:

1
129

然后按偏移手工提取并解压:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
import struct
import zlib

z = open(r'C:\temp\idcard.zip', 'rb').read()
i = 129
nlen = struct.unpack('<H', z[i+26:i+28])[0]
elen = struct.unpack('<H', z[i+28:i+30])[0]
csize = struct.unpack('<I', z[i+18:i+22])[0]

comp = z[i+30+nlen+elen:i+30+nlen+elen+csize]
raw = zlib.decompress(comp, -15)

open(r'C:\temp\idcard_full.png', 'wb').write(raw)
print(raw[-128:])

解压后得到完整 PNG。
查看尾部输出,可以看到身份证号码文本直接藏在 PNG 末尾、IEND 前:

1
...330122199801209527...IEND...

14. 小众通联工具绑定的手机号码为多少?

18136091921


在雷电模拟器检材中找到小众通联工具是i聊
聊天数据库里有记录


可看到yxs绑定的手机号

15. 小众通联工具添加好友的具体时间是什么?

2026-05-13 16:12:37
同上一题

16. 挖矿程序(请勿在本地运行)的版本是什么?

6.26.0
在用户痕迹里分析得到可疑程序timo.exe


结合17题罗门币XMR,能看到同目录下XMR矿池地址,且WinRing0x64.sys 也和这类矿工习惯一致


查看版本信息,这里原始文件名也应证了上面的结论

17. 门罗币钱包地址后 6 位是什么?

6soTWp

看配置文件

看到钱包地址