2025.11.数证杯
容器密码:GQ7aXryvOC*M8qG*eXa19K9*g&jtHS*Gtrimps@Qx*aYt4oRwwK*HeN0A$#EPv*u
服务器取证
1、node1节点的磁盘设备SHA256值前六位是?(字母全大写,答案格式:AAAAAA)
2、集群配置了多少个node节点?(答案格式:1)
3、嫌疑人于什么时间修改master节点的root密码?(使用双位数格式,答案格式:00:00:00)
4、Docker的安装日期是?(使用双位数格式,答案格式:01月01日)
5、Docker通过配置守护进程以使用全局代理,该代理地址的端口是?(答案格式:1)
6、发卡网站使用的Mysql数据库对外访问端口是?(答案格式:1)
7、发卡网站部署使用的镜像名称是?(答案格式:root/root)
8、当前Telegram群管机器人使用的容器ID的前六位是?(答案格式:123abc)
9、发卡网站使用的缓存数据库是?(答案格式:mysql)
10、集群中配置的发卡网站代码运行所在的物理目录是?(答案格式:/root/root)
11、Telegram群管机器人配置的API代理域名是?(答案格式:www.xxx.com)
12、嫌疑人在Telegram上创建的群名称是?(答案格式:比武群)
13、统计嫌疑人在Telegram上创建的群中2025年6月之后成功入群的人数为?(答案格式:1)
14、据嫌疑人交代曾在发卡网上删除过一条订单数据,请找出该删除订单的订单号是?(答案格式:请按实际值填写)
15、发卡网站上2025年6月之后订单交易成功的总金额是?忽略被删除的数据(答案格式:1)
16、发卡网站的后台访问路径是?(答案格式:/root)
17、计算出用户密码算法中Salt的值,并进行Base64编码,结果是?(答案格式:请按实际值填写)
18、发卡网站配置的邮件发送人地址是?(答案格式:abc\@abc.com)
19、当前发卡网站首页仪表盘中显示的发卡网站版本为?(答案格式:1.1.1)
20、当前发卡网站中绑定的订单推送Telegram用户id为(答案格式:请按实际值填写)
流量包分析
21、黑客攻击的目标路由器SSID为 (答案格式:请按实际值填写)
22、黑客成功捕获了WIFI中WPA协议握手包,其中有效握手包组数为(完整握手为一组)(答案格式:1)
23、黑客爆破得出的WiFi密码为(提示:密码由小写英文字母和数字组成)(答案格式:abcd1234)
24、黑客成功连接Wifi后,发现路由器操作系统为?(答案格式:请按实际值填写)
25、黑客对路由器后台进行爆破攻击,该路由器后台密码为(答案格式:请按实际值填写)
26、黑客通过修改路由器设置,将被劫持的域名为(答案格式:www.xxx.com)
27、黑客在路由器管理后台发现FTP服务配置,FTP登录密码为?(答案格式:请按实际值填写)
28、黑客通过FTP上传了一个压缩包文件,该文件内容为(答案格式:请按实际值填写)
29、黑客通过路由器执行shell脚本,反弹shell的监听端口为(答案格式:1)
30、黑客通过反弹shell成功控制目标路由器后,总共执行了多少条命令(答案格式:1)
APK程序分析
31、apk 的版本名称为? (答案格式:1.1.1)
32、在该APP中,调用了哪个System的方法用于获取本地系统的时间戳?(答案格式:MainActivity)
33、apk运行后getVer()的返回值是多少?(答案格式:1.0.0)
34、apk运行后需要通过一个http get请求才能打开第二个界面,给出该请求URL? (答案格式:http://www.xxx.com/test?a=1)
35、apk第二界面的8位授权码是什么? (答案格式:11111111)
二进制程序分析
36、安装该程序后,该恶意程序的可执行文件所在的直接父目录名称是什么为?(答案格式:root)
37、解密文件名为RnRGaWxlcy5lZGIiL的文件时所使用的key是什么?(答案格式:请按实际值填写)
38、解密文件RnRGaWxlcy5lZGIiL成功后,请分析并给出解密后的文件的入口点地址?(答案格式:0x180000000)
39、加密文件名为6c051a72b91a1的文件时所使用的密钥是多少?(答案格式:请按实际值填写)
40、6c051a72b91a1.1文件解密后的md5值后六位是多少?(字母全大写,答案格式:AAAAAA)
计算机取证
41、操作系统的Build版本号是?(答案格式:1)
通过美亚超级取证大师,查看系统信息,答案为19044
42、操作系统设置的账户密码最长存留期为多少天?(答案格式:1)
查看账户策略中的密码策略,最长留存期为68天
43、用户2登陆密码NT哈希值后六位是?(字母全大写,答案格式:AAAAAA)
通过用户信息,查看到NT哈希值为d378c73f7c984db6f732499abea9c708
44、蓝牙mac地址是多少?(答案格式:AA-AA-AA-AA-AA-AA)
查看网络连接,蓝牙连接的mac地址为9c-b6-d0-04-c9-cc
45、SafeImager的产品序列号后四位是?(字母全大写,答案格式:AAAAAA)
仿真之后安装everything,搜索SafeImager,找到路径C:\Users\Administrator\AppData\Roaming\SafeImager
46、123.VHD所处的结束扇区是?(答案格式:1 )
47、用户在BitLocker加密分区最后修改的文件是?(答案格式:abcd.txt)
挂载C:\Users\Administrator\Documents\123.VHD后,在backup文件夹中可以发现bitlocker的恢复密钥625075-617309-532576-720302-040975-309232-451924-426679
解锁D盘后可以按照修改日期排序,看到最后修改的文件为资料1.txt
48、用户连接192.168.114.129时用的会话名称是?(答案格式:按照实际情况填写)
打开Xshell,看到会话名称为连接阿里云
49、用户创建存储虚拟币钱包地址页面的时间是?(使用双位数格式,答案格式:01月01日)
50、用户的虚拟币钱包地址是?(答案格式:按照实际情况填写)
51、用户VC加密容器的密码是?(答案格式:按照实际情况填写)
打开桌面的foxmail,可以看到SZB出题的邮件,其中有几个压缩包以及解压密码258369
保存1,2,3压缩包后发现依旧缺失文件,使用everything搜索软件后,找到4,5压缩包,成功解压,其中发现联系人.docx,拖到最后发现有白色的文字内容VC密码:SHUZHENGBEIctzy2025
52、用户在生活中使用的代号是?(答案格式:按照实际情况填写)
将桌面上的代号.wav拖进Audacity,查看频谱图发现代码小胖
53、李安东的银行卡归属哪个银行?(答案格式:农业银行)
桌面的公司资料文件夹中有一个银行卡6位纯数字.xlsx文件,是由office2john导出hash后,是由hashcat爆破得到密码为688561
54、请分析某市10月6日最高气温是?(答案格式:1)
55、用户的BitLocker密码是?(答案格式:按照实际情况填写)
依据47题目
56、用户办公室的门禁密码是?(答案格式:按照实际情况填写)
我们在51题拿到了vc的密码,而123.VHD文件中有secretNew文件,大小为25600kb。所以使用VC挂载该文件,发现其中有办公室密码锁.jpg.enc。我们在51题的压缩包中得到了DecryptionTool.exe,发现解密后可以得到解密后的图片。用010打开后发现结尾写着147963258
57、用户使用的以D开头的解密程序的MD5值后六位是?(字母全大写,答案格式:AAAAAA)
计算56题中的exe的md5
58、木马程序运行至系统断点前加载了几个动态链接库?(答案格式:1)
59、木马产生的程序名称是什么?(答案格式:abcd.txt)
60、木马尝试访问的域名是什么?(答案格式:按照实际情况填写)
61、分析计算机内存检材,此内存镜像制作时的系统时间是?(使用双位数格式,答案格式:01月01日)
使用vol进行分析python vol.py -f 内存检材.mem windows.info
查看到SystemTime 2025-10-16 11:21:53+00:00
62、分析计算机内存检材,用户Yiyelin的用户表示后4位是?(答案格式:1111)
63、分析计算机内存检材,计算机的CPU型号是什么?(答案格式: i9-1110U)
64、分析计算机内存检材,wps.exe的PID是?(答案格式:1)
使用vol进行分析 python vol.py -f 内存检材.mem windows.pslist
查看到5888 5876 wps.exe 0xb302c112d800
65、分析计算机内存检材,此计算机开机自启动的远控软件名称是?(答案格式:abcd.txt)
物联网设备取证
66、打印机的主机名称是什么?(答案格式:root)
美亚超级取证大师加载后,查看到主机名为print
67、打印文件存储在哪个目录?(答案格式:/root/root)
68、同一天,打印两份文件的用户是谁?(答案格式:root)
进入终端,在\var\log\cups中可以找到page_log文件,其中记录了alice打印了两次
69、分析物联网检材,木马运行后,自身产生的进程ID是多少?(答案格式:1)
70、分析物联网检材,系统中存在一个非标定时任务,这个任务每隔多少分钟执行?(答案格式:1)
71、分析物联网检材,木马程序会窃取文档暂存在隐藏目录,这个目录的绝对路径?(/root/root/)
72、分析物联网检材,木马程序将数据上传到的服务器的IP地址是多少?(答案格式:1.1.1.1)
73、根据木马程序,它监视的关键字是什么?(答案格式:按照实际情况填写)
移动终端取证
74、分析检材中微信ID:wxid_f4s0jmpvrc522对应的手机号后四位为(答案格式:1111)
使用取证大师加载,查看到手机号为17859628390
75、分析检材中“华为应用市场”第一次安装日期为(使用双位数格式,答案格式:01月01日)
使用取证大师查看应用使用记录,可以看到安装时间为2025-09-24 19:37:42
76、找出检材中钱包APP,请列出该APP中ETH地址后六位是(字母全大写,答案格式:AAAAAA)
取证大师分析到imToken软件,其中ETH的地址为0x304fEd2927f47692E50158A1148a1B65503FE61F
77、分析出检材中包含“南昌西站”的图片,计算该图片的MD5后六位?(字母全大写,答案格式:AAAAAA)
在图片中硬找找到文件MD5 的 IMG_0092.JPG.jfif 哈希:25def5e31002f14894adef17d585a51d`CertUtil: -hashfile 命令成功完成。
78、手机相册中有张“imtoken助记词1.PNG”图片被破坏,请修复该图片,列出该图片中第三个单词。(答案格式:按照实际情况填写)
已经知道了图片的名字,直接拿everything搜,拿到图片后放到PuzzleSolver修复宽高,得到正常的图片。
79、找出一张PNG图片,该图片上显示“助记词2”,请列出该图片上显示的第二个单词。(答案格式:按照实际情况填写)
在everything直接搜索.png,找到名为imtoken助记词2_2.PNG的图片
80、找出检材中显示“助记词3”的文档,列出该文档中记录的第三个助记词单词。(答案格式:按照实际情况填写)
已经说明是文档,但是搜索docx,doc都没有找到相关的文件,找到一个名为备忘录的无后缀文件。文件头是pk开头,修改后缀名.docx打开后并没有看到助记词,使用010打开文件,发现助记词在末尾
81、分析出该组助记词正常顺序中最后一个单词(已知助记词1、助记词2、助记词3中的单词顺序有被调整)。(答案格式:按照实际情况填写)
82、分析出邮箱中收件人QQ号为“850563586”的姓名(答案格式:按照实际情况填写)
83、得知机主通过某个应用给HHshAL发送了一个文档,该应用的数据包名是什么?(答案格式:com.test)
通过分析出的包名搜索相关的应用,只有dingtong.saichuang可以进行即时通讯
84、接上题,该应用聊天记录数据库的打开密码是什么?(答案格式:按照实际情况填写)
85、接上题,机主发送的这个加密文档,打开密码是什么?(答案格式:按照实际情况填写)
86、厉明的身份证地址登记的门牌号是多少??(答案格式:1)
87、分析出“important1.xlsx”文件中体现的“金达欣”银行卡后六位?(答案格式:111111)
88、接上题,保存“important1.xlsx”打开密码数据的应用,该应用的启动密码是什么?(答案格式:按照实际情况填写)
数据分析
90、通过对检材“01-lott.sql”文件进行分析,统计t_trade_betrecord中庄家”188”记录中彩票类型为”jnd28”且期号在t_lottery_jnd表中存在的记录数。(答案格式:1)
91、通过对检材“01-lott.sql”文件进行分析,统计庄家”188”的玩家在2021-05-10当日:电子投注内容出现频率最高的电子投注内容是什么?(答案格式:按照实际情况填写)
92、通过对检材“01-lott.sql”文件进行分析,关联t_trade_betrecord与t_lottery_jnd表,分析庄家”188”在2021-05-10投注”jnd28”时:当开奖结果为”大”时,玩家投注包含”小”的笔数占比(使用双位数格式,答案格式:11.11%)
93、通过对检材“02-crime_records.sql”分析,统计相邻两次作案时间间隔在1天之内的城市和该城市两次作案时间间隔在1天之内的案件总数量,找出案件总数最多的城市名。(答案格式:按照实际情况填写)
94、通过对检材“02-crime_records.sql”分析,根据案件的损失金额和伤情等级,将案件分为 “轻微案件”“一般案件”“重大案件”“其他”四类(分类规则如下),并统计 2023 年各类型案件的数量。轻微案件:损失金额≤10000 元且无人员受伤(injury_level 为空或未提及);一般案件:损失金额 10001-50000 元,或有轻微伤;重大案件:损失金额 > 50000 元,或有轻伤或有重伤;其他:非上述情况。(按照案件数量的降序输出答案,答案格式为:40/30/20/10)
95、通过对检材“02-crime_records.sql”分析,统计 2021-2023 年期间(含2021年和2023年),每年处理结果为 “移送起诉” 的案件里,每一年中损失总额最高的案件类型对应的损失总额为?(按 2021 - 2023 年顺序连接损失总额,连接符号使用/,小数点保留2位,答案格式为 :1.37/2.21/3.45)
96、通过对检材“03-案件卡串号数据”表分析,该表每条数据的“卡串号(IMSI)”字段值存在问题,不可信。真实可信的卡串号值在“溯源”字段中(溯源字段的值格式均为“{手机号=[待获取的卡串号->手机卡串号(IMSI)使用过的手机号->当前]}”),请统计分析出该表中哪个真实卡串号出现过的次数最多?(答案格式:按照实际情况填写)
97、通过对检材“04-涉诈案件信息表“分析,统计每个分局2024-2025年每月被骗总额环比大于30%的月份个数(环比定义:(这个月的数据-上个月的数据)/上个月数据。特殊情况,例如某分局2025年1月被骗金额总和为100,若该分局2024年12月没有被骗金额,则该分局2025年1月也符合题目要求,应增加一个月份。2024年1月不需要计算与上个月的环比情况),请写出环比大于30%的月份个数最多的分局ID名称为?(答案格式:按照实际情况填写)
98、通过对检材“05-人像卡口信息表”和“06-涉毒前科人员信息表”(两表均无重复数据,直接要求答题即可。感知时间字段格式均为yyyy-MM-dd HH:mm:ss;传感器ID(人像卡口点位)值不同则代表不同的摄像点位),为摸排疑似涉毒的窝点,请分析出在00:00:00~06:00:00(含0点跟6点)人像记录中,哪个传感器点位ID抓拍到最多的不同涉毒前科人员?(答案格式:按照实际情况填写)
99、接上题,为摸排潜在的涉毒人员,请分析出有多少个非涉毒前科人员至少跟3个不同的涉毒前科人员同行过?(本题的“同行”指:两人在同一个人像卡口点位感知时间差在10(含)秒内)(答案格式:1)
100、近几年架设简易GOIP设备进行群呼诈骗的案件屡见不鲜。架设和维护该设备的人员通常会频繁更换酒店【即只住一天然后更换酒店】以此躲避公安的侦察打击。请根据”07-旅店住宿信息表“(该表无重复数据,直接要求答题即可。时间相关的字段格式均为yyyy-MM-dd HH:mm:ss),筛选出2024和2025年的住宿记录(以“入住时间”为准),频繁更换酒店的人员有几个?(答案格式:1)