
点击上方蓝字·关注我们

案件介绍:
容器密码:e10adc3949ba59abbe56e057f20f883ecasdn博客:https://blog.csdn.net/Aluxian_?type=blog知识星球:中高职技能大赛/数据安全真题专项(可进内部群)B站:https://space.bilibili.com/319081177?spm_id_from=333.1007.0.0vx:Yu1yuu1(欢迎交流学习/交流群/取证学习可以一对一指导)time:2026.6.17
陈志鹏-计算机:
1.分析陈志鹏的pc检材,找出换脸程序的对外服务端口号,[答案格式:四位数字]
仿真计算机:C:\Users\Administrator\Documents\facefusion-3.6.0



正确答案:7860
2.分析陈志鹏的pc检材,找出换脸程序的版本号,[答案格式:X.X]

正确答案:3.6
3.分析陈志鹏的pc检材,换脸程序默认配置了多少个不同的换脸模型,[答案格式:两位数字]

一共 13个ONNX 模型

正确答案:13
4. 分析陈志鹏的pc检材,换脸程序处理完成后默认保存输出文件的文件夹路径是?[答案格式:绝对路径]
很明显日志中,生成的的在文档文件中,答案是绝对路径


正确答案:C:\Users\Administrator\Documents
5. 分析陈志鹏的pc检材,用户在2026年4月30日最后一次换脸操作生成的文件名是什么?[答案格式:文件名.扩展名]

正确答案:c6f02d62.mp4
6. 分析陈志鹏的pc检材,给出本地声音生成工具的对外服务端口号?[答案格式:四位数字]
知识点:ChatTTS-webui-main 文件夹就是要找的本地声音生成工具 默认端口 8080



正确答案:8080
7.分析陈志鹏的pc检材,给出音频生成工具创建语音时使用的默认随机种子数值?[答案格式:数字]
打开webui.py在 gr.Number 组件中可以看到

音频种子的默认值是 2文本种子的默认值是 422是错的话答案应该是42
正确答案:42
8.分析陈志鹏的pc检材,给出音频生成工具生成的音频文件默认保存的文件名?[答案格式:纯英文文件名]


正确答案:audio
9.分析陈志鹏的pc检材,给出存放在桌面上的密码备忘文件的内容?[答案格式:纯数字字符串]
正确答案:待定
10.分析陈志鹏的pc检材,用户使用文件粉碎工具彻底删除了一个文件,给出该粉碎工具的版本号?[答案格式:版本号如X.X.X.X]

正确答案:待定
11.分析陈志鹏的pc检材,给出使用直播软件时的音频输出码率设置值?[答案格式:123]

正确答案:128
韦明辉-计算机:
前期准备:这里需要解两块BitLocker,解密成功就正常做题!




717585-277112-173844-316503-216392-200508-705166-080894 #D盘067474-555071-622369-111650-651354-121858-406439-542289 #apk仿真也有
12.分析韦明辉计算机检材,请给出磁盘的总扇区数?[答案格式:100,00]

正确答案:536870912
13.分析韦明辉计算机检材,请给出系统安装时间(UTC+8)?[答案格式:YYYY-MM-DD-HH:mm:ss]
CST+8和UTC+8不用换算

正确答案:2025-08-08-12:20:35
14.分析韦明辉计算机检材,电脑内曾接入过一个1.8T的移动磁盘,请给出该磁盘的序列号的后六位?[答案格式:字母大写]

正确答案:B5C5H5
15.分析韦明辉计算机检材,请给出嫌疑人登录github所使用的账号?[答案格式:xxx@xx.xx]
这里仿真可以看,但是自带的过期了可以自己导入一个
能访问 Github 就可以,火眼可以直接分析


正确答案:1723696192@qq.com
16.分析韦明辉计算机检材,请给出嫌疑人计算机内默认浏览器的版本号?[答案格式:xxx.x.xxxx.xx]
这里就两个浏览器,排除谷歌浏览器就是Edge默认
下面是两种方法:



正确答案:147.0.3912.72
17.分析韦明辉计算机检材,请给出嫌疑人计算机内安装过的AI编程助手默认使用的模型名?[答案格式:gtp-v1.0]
路径:C:\Users\韦明辉\.claude

正确答案:deepseek-v3.1
18.分析韦明辉计算机检材,请给出嫌疑人计算机内安装过的AI编程助手对接OpenAI所使用的token ?[答案格式:sk-xxxxxxx]

19.分析韦明辉计算机检材,请给出嫌疑人最后使用AI编程助手从互联网上搜索视频直播网站源码的时间(UTC+8)?[答案格式:YYYY-MM-DD-HH:mm:ss]

timestamp是Unix时间戳 转换UTC +8即可

正确答案:2026-04-21 17:46:37
20.分析韦明辉计算机检材,请给出嫌疑人电脑内翻墙软件内配置文件名?[答案格式:xxx.yaml]

正确答案:longtengsihai.yaml
21.分析韦明辉计算机检材,请给出嫌疑人电脑内翻墙软件所用端口号?[答案格式:8000]

正确答案:7890
22.分析韦明辉计算机检材,请给出嫌疑人计算机D盘的Bitlocker恢复密钥的后6位?[答案格式:6位数字]
717585-277112-173844-316503-216392-200508-705166-080894 #D盘正确答案:080894
23.分析韦明辉计算机检材,请给出博彩网站盛世皇朝后台端口号?[答案格式:8000]
谷歌浏览器--历史记录有后台管理员的的快捷键

正确答案:8091
24.分析韦明辉计算机检材,请给出博彩网站盛世皇朝后台登录密码?[答案格式:password]
内存文件爆出密码,在读一下也有


正确答案:shhc123!@#
25.分析韦明辉计算机检材,请给出嫌疑人计算机内加密笔记的打开密码?[答案格式:P@ssw0rd]
这里就是逆向,有实力的自己分析下,没实力AI简单看下逻辑

这是PyInstaller打包的Python Tkinter程序:
主逻辑和登入校验:
self.salt = b"JinQin_Salt_2024"default_password = "LongTeng@2026"defhash_password(self, password):return hashlib.sha256((password + "JinQin_Secret").encode()).hexdigest()
ifself.hash_password(password) == config["password_hash"]:self.cipher = Fernet(self.derive_key(password))
正确答案:LongTeng@2026
26.分析韦明辉计算机检材,请给出嫌疑人计算机内加密笔记的打开密码的加密类型?[答案格式:MD5]
正确答案:SHA256
27.分析韦明辉计算机检材,请给出嫌疑人计算机内加密笔记的密码哈希计算的盐值?[答案格式:Salt_pass]
正确答案:JinQin@Server2024!
28.分析韦明辉计算机检材,请给出服务器45.33.22.11的root密码?[答案格式:P@ssw0rd]

正确答案:JinQin@Server2024!
29.分析韦明辉计算机检材,请给出现嫌疑人计算机内VeraCrypt的密钥文件MD5的前6位?[答案格式:字母小写]
在这个上面打开配置文件 txt 就可以看到密钥文件的 路径


正确答案:ea87ee
30.分析韦明辉计算机检材,嫌疑人使用自定义工具对 Veracrypt 加密容器文件进行了混淆处理,请给出该混淆处理使用的位运算名称 [答案格式:XOR]

正确答案:NOT
31.分析韦明辉计算机检材,请给出解密混淆加密后的VeraCrypt容器文件的MD5的前6位?[答案格式:字母小写]
思路:把被处理过的容器文件恢复成原始状态,再计算恢复后文件的MD5
(~byte) & 0xff原始文件 -> NOT混淆 -> 再次NOT -> 原始文件该操作表示对单个字节进行按位取反,并通过 & 0xff 保证结果仍然落在 0 到 255 的字节范围内
system_cache.db看着是普通文件, 其实是被处理过的 VeraCrypt 加密容器,嫌疑人用脚本把原来的容器文件每个字节都“取反”了一遍,所以文件内容被混淆了,不能直接当 VeraCrypt 容器识别。
因为NOT这种操作做两次就会变回原样,所以我们只要把 system_cache.db 再用同样的方法处理一遍,就能把它恢复成原来的 VeraCrypt 容器文件。
import hashlibimport sysdef restore_file(src, dst):md5 = hashlib.md5()with open(src, "rb") as f1, open(dst, "wb") as f2:while True:data = f1.read(1024 * 1024)if data == b"":breakout = bytearray()for x in data:out.append(255 - x)out = bytes(out)f2.write(out)md5.update(out)return md5.hexdigest()if __name__ == "__main__":if len(sys.argv) != 3:print("python restore_file.py input_file output_file")sys.exit()result = restore_file(sys.argv[1], sys.argv[2])print("restored md5:", result)print("answer:", result[:6])


python restore_file.py 混淆容器文件 restored_container#system_cache.db是混淆文件
正确答案:e70af9
32.分析韦明辉计算机检材,请给出郑秀荣的电话号码?[答案格式:11位数字]
上面解密混淆文件,恢复原来的VC文件,这里写详细点

密钥文件:荷官.png VC文件:还原的原始文件
PIM:0303(下面内存爆破的)



正确答案:1808xxxxx22
33.分析韦明辉计算机检材,请给出郑秀荣共提现多少钱?[答案格式:10000.00]
提现.xls--筛选名字-求和

正确答案:4174.82
34. 分析韦明辉计算机内存镜像,请给出内存镜像创建时间(UTC+8)?(答案格式:YYYY-MM-DD-HH:mm:ss)
导入镜像,获取时间直接 UTC+8 即可

正确答案:2026-04-22-22:57:04
35. 分析韦明辉计算机内存镜像,请给出SAM文件的虚拟地址?(答案格式:0xxxxxx)

正确答案:0xa88924efbee0
36. 分析韦明辉计算机内存镜像,请破译用户韦明辉的开机密码?(答案格式:P@ssw0rd)
爆破NTLM哈希值得到了密码wmh@950303
知道这个密码了上面 VC很明显(整套题先爆破这个)



正确答案:wmh@950303
总结:
至此本篇复现的差不多了,整体看下来还是有点难的,计算机有两问没答案的情况下不知道是什么,韦明辉难点就是解密BitLocker 以及VC恢复及挂载,我写的挺详细的,看别人的文章复现不出来?还是说?故意不写出来教会大家(也可能雪藏一手,开玩笑的)最后感谢观看!创作排版不易,学到就三联支持下感谢!
排版偏手机观看,手机看效果体验更好哦!
需要交流或者培训可以联系小编加群交流!
2025第二届全国行业赛-电子取证师需要资源dd
初赛培训班10+学员全部晋级复赛,可以指导!

此次2025行业赛圆满结束!
需要备战2027第三届网络安全行业赛-电子取证赛道的可以联系小编.适合取证感兴趣的小伙伴,0基础也能学。
PS:第二届甘肃技能大赛通知-真题辅导需要可以联系!
数据安全/信息安全评估赛项星球
第二届数字化职工组/数据安全技能大赛(备战第三届可以培训)
第四届全国数据安全职业技能竞赛(美亚数据安全管理员/可培训)
知识星球699/年(后续有最新资源可能涨价,购买前私信小编!)



关注我们


点分享

点收藏

点在看

点点赞
夜雨聆风