FIC24决赛

计算机部分

1.请分析卢某的计算机,并计算原始检材的SHA256值。

484117F3002E5B876C81DD786F899A439514BB0621D62D58F731E5B344DB3634

首先用火眼分析检材,发现需要用户密码

image-20250425174757129

使用火眼仿真工具获得账号密码

image-20250425174645908

本题目使用火眼计算检材哈希即可

image-20250425174906908

image-20250425175509828

2.嫌疑人回收站中的“备忘录.txt”文件SHA1 值为?

fded9342533d92fa46fc4aabd113765a7a352ceb

在回收站可以找到

image-20250425175944803

用火眼仿真计算机,直接去把回收站里面的东西恢复,然后导出到本机进行哈希计算

image-20250425180940263

3.嫌疑人使用ssh连接工具,该工具的名称为?【答案格式:fic123】

MobaXterm

桌面上的那个工具就是
image-20250425181205594

4.嫌疑人使用ssh连接工具,其中连接名为node的连接记录,连接的端口为?【答案格式:123】

122

进入软件可以看到node主机的ip

image-20250425181343889

直接查看设置即可

image-20250425181427055

5.在2024-03-12 17:13左右,嫌疑人计算机最少连接了__台安卓虚拟机。【答案格式:1】

5

查看应用程序运行记录,发现这个时间段正在运行Scrcpy和截图

image-20250425182137196

在图片中能看到一张截图

image-20250425183237327

发现里面有5个设备

6.软件“QtScrcpy”的配置文件显示,嫌疑人配置了__台安卓虚拟机(以连接端口计数)。【答案格式:123】

15

在软件目录下找到userdata.ini

image-20250425183432259

数一下有几个不同的端口

7.嫌疑人桌面文件“老婆.png”的SHA256哈希值为?【答案格式:abc123】

02139bf305630ceffadd6926c202bae655c79d25a64f5c7a1c62bc4c91c9ccf1

下载下来放在本机进行哈希计算或者直接火眼里面跑

image-20250425183758941

8.嫌疑人把xls文件藏入老婆.png中,该xls的密码为?【答案格式:Abc123】

P1ssw0rd

在备忘录中找到密码提示

image-20250425183923846

使用工具提取下xls

image-20250425184022495

知道密码是8位大小写字母加数字,给的密码提示是******rd直接使用掩码破解??????rd

打开AOPR,设置为mask Attack,按照要求添加自定义字符集,掩码设置?1?1?1?1?1?1rd

(这里还有第二种掩码写法,就是采用拆分问题的思想,将密码位分为三种情况进行运算,这就比较赌运气了)

image-20250425184740676

等待爆破完成即可(有点慢,可以先做下面的题)

image-20250425204349860

9.嫌疑人桌面”2024年3月13日星期三 日报.docx”文档密码为?【答案格式:Abc123】

P1ssw1rd

日报密码需要先把前面的题弄出来,然后修改数字部分即可

image-20250425192541951

掩码P?dssw?drd

image-20250425204528271

10.嫌疑人使用的AI软件名称为?【答案格式:abc-df-abc】

stable-diffusion-webui

查看最近访问的项目可以看到老熟人sd_webui

image-20250425194113101

11.嫌疑人使用的AI软件监听端口为?【答案格式:1】

7860

查看软件启动脚本,发现没有修改端口

image-20250425194952751

按照sd_webui默认7860端口即可(浏览器也能看)

12.AI软件安装目录下的“2024-03-13”目录,其中由AI生成的图片有多少张?【答案格式:1】

41

image-20250425195227176

13.嫌疑人使用AI软件生成燃烧的汽车图片使用的模型SHA256哈希值为?

22E8515AA5985B776AFC1E48647F23F5651A317D2497A91232D03A1C4FEEAE2C

查看模型文件夹,里面有两个

image-20250425195410209

搜索可以知道againmix_v20是用于生成人像的,所以v1-5-pruned-emaonly是生成汽车用的模型

使用火眼计算下哈希值即可

image-20250425195703207

14.嫌疑人使用AI软件生成燃烧的 汽车图片(00036-957419862.png)使用的正向提示词,包含哪些?

ABD

使用记事本打开图片,可以看到信息,按照信息选即可

image-20250425200113952

(也可以看日报)

image-20250425204740421

15.嫌疑人桌面文件”老婆.png”的图像生成种子是__。【答案格式:123】

3719279995

按照前面的图片查看,就发现ai照片里面能看到一个seed值

image-20250425200429239

PVE虚拟化平台部分

1.PVE虚拟化平台版本号为?【答案格式:1.1.1】

8.1.4

image-20250425202821004

2.PVE虚拟化平台的web管理地址为?【答案格式:192.168.1.1:22】

192.168.71.133:8006

image-20250425210121782

3.在PVE虚拟化平台中,当前共有多少个虚拟机?【答案格式:1】

7

image-20250425205219943

4.PVE虚拟化平台的“vmbr1”网卡所使用的网段为?【答案格式:192.168.1.0/11】

192.168.100.0/24

image-20250425210307384

5.PVE虚拟化平台中“120(Luck)”虚拟机的smbios uuid为?【答案格式:123abc-123ba-123ad-23ab-12345abczc】

e9990cd6-6e60-476c-bd37-1a524422a9a8

image-20250425211358721

6.在PVE虚拟化平台中,用户“Lu2k”被授予了多少个虚拟机的使用权限?【答案格式:1】

4

image-20250425211510655

7.在PVE虚拟化平台中,shell历史命令中最后一条命令为?【答案格式:hello world】

lxc-attach 110

image-20250425211603168

8.请分析嫌疑人最近一次销毁虚拟机的时间为

C

image-20250425212149624

9.PVE虚拟化平台的openEuler系统镜像下载的开始时间为?

B

image-20250425212400503

10.根据嫌犯供述,可通过快照启动PVE虚拟化平台中的云手机。请根据该条线索找到对应虚拟机,其快照的时间为

D

image-20250425212543513

软路由部分

1.软路由root用户的密码是【答题格式:abc123】

OP2024fic

(计算机取证ssh工具里面有)

盘古石24初赛

计算机部分

1.分析伏季雅的计算机检材,计算机最后一次错误登录时间是:答案格式:2024−01−01−04−05−06