闻早起部分

一、介质取证

电脑

1、教徒“闻早起”所使用的笔记本电脑使用何种加密程式?

答案:VeraCrypt

打开火眼证据分析

在文件中直接找到了VC由于暂时没有找到别的可疑加密程序所以答案猜测是VC

2、教徒“闻早起”所使用的笔记本电脑中安装了一款还原软件,其版本号为?【标准格式:1.2.3.4】

答案:8.71.020.5734

创建虚拟机

打开虚拟机发现需要密码

 查看闻早起的检材照片发现电脑上贴着疑是密码的字符

输入密码后发现还需要pim(一般需要密码和pim)

密码:5FlowerMa)(ThousandGoldQiu]'/[;.

(官方给的实际中文音“五花马,千金裘”)

pim:88

打开后发现还原软件冰点还原

 在桌面上找到软件的版本号信息


 

3、教徒“闻早起”所使用的笔记本电脑中登录的微信内部id为?【标准格式:ABCabc123】

答案:wxid_bsvr29ygby9712

进入电脑的WeChat Files文件夹,微信的内部id一般存放在这里

4、教徒“闻早起”所使用的笔记本电脑中名为“2023年Q4飞天五子棋教部门规章.docx”的下载地址为?(保留整个url)【标准格式:http://www.baidu.com:8080/admin.php】

答案:http://openim.sys.lab:11001/#/chat/si_4690220374_6898676456

打开谷歌downloads发现“2023年Q4飞天五子棋教部门规章.docx”下载记录

进入C:\Users\Administrator(C:\用户\用户名),点击查看,勾选隐藏项目

进入 AppData\Local\Google\Chrome\User Data\Default

找到History将其拖到db browser打开,查看其downloads找到第五条为“2023年Q4飞天五子棋教部门规章.docx”

找到tab_url:http://openim.sys.lab:11001/#/chat/si_4690220374_6898676456(是从聊天中下载的)

补充:

tab_url可能是在标签页(tab)中当前显示的网页地址(URL),在开发浏览器扩展或与浏览器交互的脚本时,tab_url可能会用作存储或访问当前标签页URL的变量名。

5、教徒“闻早起”所使用的笔记本电脑中浏览器保存的聊天系统密码为?【标准格式:ABCabc123】

答案:e290c5be371f4

在靶机中安装webbrowserPassView

 打开查看即可得到密码

U盘

6、教徒“闻早起”所使用的U盘中,共有几份邪教文档?【标准格式:1】

答案:4

用VC挂载U盘在检材照片中有密码和pim

密码:GlGjSSy)(*QyHfBqz()-

(官方给的实际中文音“苟利国家生死以,岂因福祸避趋之”)

pim:15

打开VC直接加载发现不正确

用csi在H盘挂载一个虚拟磁盘

再次打开VC,点击选择设备

再次挂载挂载成功

打开磁盘查看一共4份邪教文档

7、教徒“闻早起”所使用的U盘中,有一份文档明显提到了自焚时间,其时间为?(yyyy年mm月dd日,月日中0不保留)【标准格式:2025年1月1日】

答案:2001年1月23日

打开文档查看

二、程序功能分析

8、教徒“闻早起”所使用的笔记本电脑中有一个疑似木马病毒的文件,请找出该文件,并计算恶意程序的sha256(英文字母全大写)【标准格式:ABCCBA】

答案:C697009F1DCF0CFEEA75B0610449696A2BCF1C0733448284941BD9147AAD9832

玉王直部分

一、介质取证

电脑

打开火眼证据分析

发现没有什么可以利用的,直接仿真创建虚拟机

 创建成功打开后发现一样需要密码和pim

打开检材照片发现密码和pim但pim不全需要枚举

密码:[]\BadQianMingMoonGuang14DSS,./

(官方给的实际中文音“床前明月光,疑是地上霜。”)

pim:18(枚举得到)

U盘

由图

可知直接连在电脑的U盘是

那么从身上搜出来的U盘就是

65、玉王直所使用的标签为“飞天五子棋教”的u盘密码为?【标准格式:ABCabc123!@#】

答案:ChaoPing2AnOpen)(*FengZheng1FanOver=-()

最开始不知道U盘密码和pim是啥,后面做到手机的时候在图片里找到了

密码:ChaoPing2AnOpen)(*FengZheng1FanOver=-()

(官方给的实际中文音“潮平两岸阔 风正一帆悬。”)

pim:30

66、玉王直所使用的标签为“飞天五子棋教”的u盘中“(内部)(机密)飞天五子棋教福音传播资料”中的“P5_4”集的md5值为?(英文字母全大写)【标准格式:ABCCBA】

答案:E49667FFBDDD49581B89C40CA76478D1

服务器部分

CSI挂载,挂载时要改为写入临时文件

一共要挂载6个虚拟磁盘

打开磁盘管理将盘符删去防止识别不到

删去后

打开vm搭建虚拟机

Logo
2048 AI社区

有“AI”的1024 = 2048,欢迎大家加入2048 AI社区

更多推荐

cover

2026年4月5款设计AI深度横评-谁更适合接项目

avatar 2048 AI社区

pysnmp 最新版本

你现在的里是旧版,代码逻辑如果是同步的,必须重写才能适配 FastAPI。建议直接升级库,并按照新版的风格写代码。09:20Python异步编程的三驾马车:asyncio、aiohttp、asyncpg的20个核心模式小柯教学承接私活北屿青禾同步、异步、回调,三者的关系一次说清聊聊同步、异步和回调,别再搞混啦cmdgen 或者 hlapi 的同步包装器什么意思用途简单来说,这两个都是 PySNMP

avatar 2048 AI社区

Claude Code 使用技巧

Claude Code 使用摘要 Claude Code 提供三种交互模式(默认/自动接受/计划模式),支持多种快捷键和斜杠命令管理对话、记忆和任务。用户可通过CLI启动,使用!执行Shell命令,利用Skill复用常用指令,并通过Subagents处理独立任务。记忆系统分为项目级和用户级,支持图片输入和Hooks自动化。MCP协议可扩展外部工具集成,插件系统增强功能边界。

avatar 2048 AI社区