服务器取证

1、node1节点的磁盘设备SHA256值前六位是?(字母全大写,答案格式:AAAAAA)( )

2、集群配置了多少个node节点?(答案格式:1)( )

3、嫌疑人于什么时间修改master节点的root密码?(使用双位数格式,答案格式:00:00:00)( )

4、Docker的安装日期是?(使用双位数格式,答案格式:01月01日)( )

5、Docker通过配置守护进程以使用全局代理,该代理地址的端口是?(答案格式:1)( )

6、发卡网站使用的Mysql数据库对外访问端口是?(答案格式:1)( )

7、发卡网站部署使用的镜像名称是?(答案格式:root/root)( )

8、当前Telegram群管机器人使用的容器ID的前六位是?(答案格式:123abc)( )

9、发卡网站使用的缓存数据库是?(答案格式:mysql)( )

10、集群中配置的发卡网站代码运行所在的物理目录是?(答案格式:/root/root)( )

11、Telegram群管机器人配置的API代理域名是?(答案格式:www.xxx.com)( )

12、嫌疑人在Telegram上创建的群名称是?(答案格式:比武群)( )

13、统计嫌疑人在Telegram上创建的群中2025年6月之后成功入群的人数为?(答案格式:1)( )

14、据嫌疑人交代曾在发卡网上删除过一条订单数据,请找出该删除订单的订单号是?(答案格式:请按实际值填写)( )

15、发卡网站上2025年6月之后订单交易成功的总金额是?忽略被删除的数据(答案格式:1)( )

16、发卡网站的后台访问路径是?(答案格式:/root)( )

17、计算出用户密码算法中Salt的值,并进行Base64编码,结果是?(答案格式:请按实际值填写)( )

18、发卡网站配置的邮件发送人地址是?(答案格式:abc@abc.com)( )

19、当前发卡网站首页仪表盘中显示的发卡网站版本为?(答案格式:1.1.1)( )

20、当前发卡网站中绑定的订单推送Telegram用户id为(答案格式:请按实际值填写)( )

流量包分析

21、黑客攻击的目标路由器SSID为 (答案格式:请按实际值填写)( )

22、黑客成功捕获了WIFI中WPA协议握手包,其中有效握手包组数为(完整握手为一组)(答案格式:1)( )

23、黑客爆破得出的WiFi密码为(提示:密码由小写英文字母和数字组成)(答案格式:abcd1234)( )

24、黑客成功连接Wifi后,发现路由器操作系统为?(答案格式:请按实际值填写)( )

25、黑客对路由器后台进行爆破攻击,该路由器后台密码为(答案格式:请按实际值填写)( )

26、黑客通过修改路由器设置,将被劫持的域名为(答案格式:www.xxx.com)( )

27、黑客在路由器管理后台发现FTP服务配置,FTP登录密码为?(答案格式:请按实际值填写)( )

28、黑客通过FTP上传了一个压缩包文件,该文件内容为(答案格式:请按实际值填写)( )

29、黑客通过路由器执行shell脚本,反弹shell的监听端口为(答案格式:1)( )

30、黑客通过反弹shell成功控制目标路由器后,总共执行了多少条命令(答案格式:1)( )

APK程序分析

31、apk 的版本名称为? (答案格式:1.1.1)( )

32、在该APP中,调用了哪个System的方法用于获取本地系统的时间戳?(答案格式:MainActivity)( )

33、apk运行后getVer()的返回值是多少?(答案格式:1.0.0)( )

34、apk运行后需要通过一个http get请求才能打开第二个界面,给出该请求URL? (答案格式:http://www.xxx.com/test?a=1)( )

35、apk第二界面的8位授权码是什么? (答案格式:11111111)( )

二进制程序分析

36、安装该程序后,该恶意程序的可执行文件所在的直接父目录名称是什么为?(答案格式:root)( )

37、解密文件名为RnRGaWxlcy5lZGIiL的文件时所使用的key是什么?(答案格式:请按实际值填写)( )

38、解密文件RnRGaWxlcy5lZGIiL成功后,请分析并给出解密后的文件的入口点地址?(答案格式:0x180000000)( )

39、加密文件名为6c051a72b91a1的文件时所使用的密钥是多少?(答案格式:请按实际值填写)( )

40、6c051a72b91a1.1文件解密后的md5值后六位是多少?(字母全大写,答案格式:AAAAAA)( )

计算机取证分析

41、操作系统的Build版本号是?(答案格式:1)( )

42、操作系统设置的账户密码最长存留期为多少天?(答案格式:1)( )

43、用户2登陆密码NT哈希值后六位是?(字母全大写,答案格式:AAAAAA)( )

44、蓝牙mac地址是多少?(答案格式:AA-AA-AA-AA-AA-AA)( )

45、SafeImager的产品序列号后四位是?(字母全大写,答案格式:AAAAAA)( )

46、123.VHD所处的结束扇区是?(答案格式:1 )( )

47、用户在BitLocker加密分区最后修改的文件是?(答案格式:abcd.txt)( )

48、用户连接192.168.114.129时用的会话名称是?(答案格式:按照实际情况填写)( )

49、用户创建存储虚拟币钱包地址页面的时间是?(使用双位数格式,答案格式:01月01日)( )

50、用户的虚拟币钱包地址是?(答案格式:按照实际情况填写)( )

51、用户VC加密容器的密码是?(答案格式:按照实际情况填写)( )

52、用户在生活中使用的代号是?(答案格式:按照实际情况填写)( )

53、李安东的银行卡归属哪个银行?(答案格式:农业银行)( )

54、请分析某市10月6日最高气温是?(答案格式:1)( )

55、用户的BitLocker密码是?(答案格式:按照实际情况填写)( )

56、用户办公室的门禁密码是?(答案格式:按照实际情况填写)( )

57、用户使用的以D开头的解密程序的MD5值后六位是?(字母全大写,答案格式:AAAAAA)( )

58、木马程序运行至系统断点前加载了几个动态链接库?(答案格式:1)( )

59、木马产生的程序名称是什么?(答案格式:abcd.txt)( )

60、木马尝试访问的域名是什么?(答案格式:按照实际情况填写)( )

61、分析计算机内存检材,此内存镜像制作时的系统时间是?(使用双位数格式,答案格式:01月01日)( )

62、分析计算机内存检材,用户Yiyelin的用户表示后4位是?(答案格式:1111)( )

63、分析计算机内存检材,计算机的CPU型号是什么?(答案格式: i9-1110U)( )

64、分析计算机内存检材,wps.exe的PID是?(答案格式:1)( )

65、分析计算机内存检材,此计算机开机自启动的远控软件名称是?(答案格式:abcd.txt)( )

物联网设备取证分析

66、打印机的主机名称是什么?(答案格式:root)( )

67、打印文件存储在哪个目录?(答案格式:/root/root)( )

68、同一天,打印两份文件的用户是谁?(答案格式:root)( )

69、分析物联网检材,木马运行后,自身产生的进程ID是多少?(答案格式:1)( )

70、分析物联网检材,系统中存在一个非标定时任务,这个任务每隔多少分钟执行?(答案格式:1)( )

71、分析物联网检材,木马程序会窃取文档暂存在隐藏目录,这个目录的绝对路径?(/root/root/)( )

72、分析物联网检材,木马程序将数据上传到的服务器的IP地址是多少?(答案格式:1.1.1.1)( )

73、根据木马程序,它监视的关键字是什么?(答案格式:按照实际情况填写)( )

移动终端取证分析

74、分析检材中微信ID:wxid_f4s0jmpvrc522对应的手机号后四位为(答案格式:1111)( )

  • 17859628390
  • 8390

75、分析检材中“华为应用市场”第一次安装日期为(使用双位数格式,答案格式:01月01日)( )

alt text

76、找出检材中钱包APP,请列出该APP中ETH地址后六位是(字母全大写,答案格式:AAAAAA)( )

alt text

77、分析出检材中包含“南昌西站”的图片,计算该图片的MD5后六位?(字母全大写,答案格式:AAAAAA)( )

alt text

  • 85A51D

78、手机相册中有张“imtoken助记词1.PNG”图片被破坏,请修复该图片,列出该图片中第三个单词。(答案格式:按照实际情况填写)( )

alt text

79、找出一张PNG图片,该图片上显示“助记词2”,请列出该图片上显示的第二个单词。(答案格式:按照实际情况填写)( )

alt text

80、找出检材中显示“助记词3”的文档,列出该文档中记录的第三个助记词单词。(答案格式:按照实际情况填写)( )

alt text

81、分析出该组助记词正常顺序中最后一个单词(已知助记词1、助记词2、助记词3中的单词顺序有被调整)。(答案格式:按照实际情况填写)( )【待】

  • movie unlock boost foil delay paddle obtain student electric quarter clerk segment

alt text

82、分析出邮箱中收件人QQ号为“850563586”的姓名(答案格式:按照实际情况填写)( )

alt text

83、得知机主通过某个应用给HHshAL发送了一个文档,该应用的数据包名是什么?(答案格式:com.test)( )

alt text

84、接上题,该应用聊天记录数据库的打开密码是什么?(答案格式:按照实际情况填写)( )

  • @1@#!aajsk1*JKJ

85、接上题,机主发送的这个加密文档,打开密码是什么?(答案格式:按照实际情况填写)( )

  • 随波逐流
  • 摩斯解码:QWERT666

86、厉明的身份证地址登记的门牌号是多少??(答案格式:1)( )

  • 搜身份证
  • 找data/data里面mxt的数据库,名称里面有mxt的比较可疑
    alt text

87、分析出“important1.xlsx”文件中体现的“金达欣”银行卡后六位?(答案格式:111111)( )

alt text

88、接上题,保存“important1.xlsx”打开密码数据的应用,该应用的启动密码是什么?(答案格式:按照实际情况填写)( )

数据分析

89、通过对检材“01-lott.sql”文件进行分析,统计庄家"188"在2021-05-10当日的电子投注总笔数(答案格式:1)( )

90、通过对检材“01-lott.sql”文件进行分析,统计t_trade_betrecord中庄家"188"记录中彩票类型为"jnd28"且期号在t_lottery_jnd表中存在的记录数。(答案格式:1)( )

91、通过对检材“01-lott.sql”文件进行分析,统计庄家"188"的玩家在2021-05-10当日:电子投注内容出现频率最高的电子投注内容是什么?(答案格式:按照实际情况填写)( )

92、通过对检材“01-lott.sql”文件进行分析,关联t_trade_betrecord与t_lottery_jnd表,分析庄家"188"在2021-05-10投注"jnd28"时:当开奖结果为"大"时,玩家投注包含"小"的笔数占比(使用双位数格式,答案格式:11.11%)( )

93、通过对检材“02-crime_records.sql”分析,统计相邻两次作案时间间隔在1天之内的城市和该城市两次作案时间间隔在1天之内的案件总数量,找出案件总数最多的城市名。(答案格式:按照实际情况填写)( )

94、通过对检材“02-crime_records.sql”分析,根据案件的损失金额和伤情等级,将案件分为 “轻微案件”“一般案件”“重大案件”“其他”四类(分类规则如下),并统计 2023 年各类型案件的数量。轻微案件:损失金额≤10000 元且无人员受伤(injury_level 为空或未提及);一般案件:损失金额 10001-50000 元,或有轻微伤;重大案件:损失金额 > 50000 元,或有轻伤或有重伤;其他:非上述情况。(按照案件数量的降序输出答案,答案格式为:40/30/20/10)( )

95、通过对检材“02-crime_records.sql”分析,统计 2021-2023 年期间(含2021年和2023年),每年处理结果为 “移送起诉” 的案件里,每一年中损失总额最高的案件类型对应的损失总额为?(按 2021 - 2023 年顺序连接损失总额,连接符号使用/,小数点保留2位,答案格式为 :1.37/2.21/3.45)( )

96、通过对检材“03-案件卡串号数据”表分析,该表每条数据的“卡串号(IMSI)”字段值存在问题,不可信。真实可信的卡串号值在“溯源”字段中(溯源字段的值格式均为“{手机号=[待获取的卡串号->手机卡串号(IMSI)使用过的手机号->当前]}”),请统计分析出该表中哪个真实卡串号出现过的次数最多?(答案格式:按照实际情况填写)( )

97、通过对检材“04-涉诈案件信息表“分析,统计每个分局2024-2025年每月被骗总额环比大于30%的月份个数(环比定义:(这个月的数据-上个月的数据)/上个月数据。特殊情况,例如某分局2025年1月被骗金额总和为100,若该分局2024年12月没有被骗金额,则该分局2025年1月也符合题目要求,应增加一个月份。2024年1月不需要计算与上个月的环比情况),请写出环比大于30%的月份个数最多的分局ID名称为?(答案格式:按照实际情况填写)( )

98、通过对检材“05-人像卡口信息表”和“06-涉毒前科人员信息表”(两表均无重复数据,直接要求答题即可。感知时间字段格式均为yyyy-MM-dd HH:mm:ss;传感器ID(人像卡口点位)值不同则代表不同的摄像点位),为摸排疑似涉毒的窝点,请分析出在00:00:00~06:00:00(含0点跟6点)人像记录中,哪个传感器点位ID抓拍到最多的不同涉毒前科人员?(答案格式:按照实际情况填写)( )

99、接上题,为摸排潜在的涉毒人员,请分析出有多少个非涉毒前科人员至少跟3个不同的涉毒前科人员同行过?(本题的“同行”指:两人在同一个人像卡口点位感知时间差在10(含)秒内)(答案格式:1)( )

100、近几年架设简易GOIP设备进行群呼诈骗的案件屡见不鲜。架设和维护该设备的人员通常会频繁更换酒店【即只住一天然后更换酒店】以此躲避公安的侦察打击。请根据”07-旅店住宿信息表“(该表无重复数据,直接要求答题即可。时间相关的字段格式均为yyyy-MM-dd HH:mm:ss),筛选出2024和2025年的住宿记录(以“入住时间”为准),频繁更换酒店的人员有几个?(答案格式:1)( )