2026年FIC(手机、计算机)
前言
这次比赛感觉还算不错吧,我负责手机取证和计算机取证,手机差不多剩了三道,计算机在队友的基础上又做了四五道,最后拿了三等奖,已经超出预期了,可惜服务器没碰到这情况,没拿几分。
题目
检材密码:FIC-{e404d6e66586e9460c23755afab5a872bcf78ab4}
手机取证
1、分析手机检材,该手机型号为
1 | Redmi Note 7 Pro |
2、分析手机检材,李安弘手机计划前往迪拜的日期是
这道题目当时没做出来,后来发现可以在todo.db中看见notes信息
所以时间是20260606
1 | 20260606 |
3、分析手机检材,李安弘手机中与网站搭建人员沟通所使用的app安装日期为
找到APK列表,查看可能的聊天沟通应用,应该是uUUTalk
跳转到源文件知道是uuuim文件安装,于是搜索手机文件系统的package.xml文件,查看uuuim安装时间(packages.xml是手机的注册信息登记本,记载了手机更新、应用修改等信息,查看安装信息可以找it值,即firstInstallTime,lt是lastUpdateTime,最后更新时间)
时间是19d8b6fd571,即it值,转换时间戳就是2026-04-14 18:00:54
1 | 20260414 |
4、分析手机检材,李安弘手机中与网站搭建人员沟通所使用的app,存放聊天数据的数据库为
说实话这道题目有点漏洞,下一题都说了是加密数据库,那么直接看火眼分析出来的加密文件就可以找到了,当然在之前找到的databases里面也能找到,在不济也可以分析APK文件查看记录数据库名
1 | wk_9628874a3c6b403593766496fa985893.db |
5、分析手机检材,存放聊天数据的数据库的解密密码为
这道题目是猜测的,因为文件名中的数字是32位,这极有可能是SQL加密算法SEE生成的文件,所以猜测密码就是9628874a3c6b403593766496fa985893
在ubuntu中解密
可以看见是解密成功的
也可以在DB Browser for SQLCipher.exe导入后输入密码解密得到数据
1 | 9628874a3c6b403593766496fa985893 |
6、分析手机检材,李安弘购买云服务器商家的收款备用钱包地址为
在解密的wk_9628874a3c6b403593766496fa985893.db的massage数据中可以找到
1 | TP6mR2hS9vX8tY1nZ4kL9otSzgjLj6tQ9u |
7、分析手机检材,李安弘手机中给网站搭建人员第一次转账的交易hash前6位为
在cache文件夹中可以看到三张转账交易截图
那么根据交易地址可以确定给网站搭建人员转账的交易哈希
1 | 26226f |
8、分析手机检材,手机中使用的AI软件李安弘主动向AI提问了几次
找到ai软件,是pocketpal,查看packetpalai.db,可以看到主动提问了5次
1 | 5 |
9、分析手机检材,李安弘手机使用的AI软件调用本地AI模型及版本为
在pocketpal的APK的同一个目录下可以看到qween模型
1 | Qwen3.5 |
10、分析手机检材,李安弘曾使用无人机航拍,分析其飞行轨迹,其在哪个县进行飞行
1 | 米脂县 |
11、分析手机检材,李安弘最近安装了一个视频类APP,该APP声明了多个敏感权限用于收集用户隐私。请选择其中涉及用户隐私的敏感权限
找到视频类软件影视红波,进行APK分析,可以看到涉及隐私的敏感权限
1 | A、B、D |
12、上述APP启动后会加载一个色情网站。请找出该APP当网络不可用时APP加载的本地离线页面路径。
用雷电app分析,可以找到一个离线地址
就在Mainaudacity的index中
可以看到离线和在线模式下的网址
1 | file:///android_asset/www/index.html |
13、上述APP将非法收集的用户隐私数据上传至远程服务器。上传地址在代码中经过编码处理。请找出编码方式,还原出完整的上传服务器URL
查看上传地址,可以看Datauploader函数
找到了上传地址编码,Base64解码后可以得到地址
1 | https://api.sp-live88.com/collect/userdata |
14、该APP在本地创建了SQLite数据库存储收集到的用户信息。请分析代码,写出用于存储用户信息的表名
靠ai找到的,在p0.a中,找到存储用户信息的表名
1 | user_collection |
15、该APP的assets目录中存在一个加密配置文件config.dat。请解密该文件,写出其中的USDT钱包地址
解密的方法在libsecurity.so,导出这两个文件,由于还不会逆向,这道题最终还是靠ai解出来的
16、该APP前端JS代码可以直接调用Android原生方法获取用户隐私数据。请分析暴露了哪些方法用于获取通讯录?
搜索找到函数getContactsList()
1 | getContactsList() |
17、当主上传服务器不可达时,APP会获取备用服务器地址。请分析备用服务器的完整域名和端口
这道题目没做出来
计算机取证
在手机检材中有分区三的解密密码,直接在火眼输入密码就能解密
1、分析计算机检材,操作系统版本号为
1 | 23.1 |
2、分析计算机检材,李安弘曾收到一份免费领取token的邮件的疑似钓鱼邮件,其发送用户邮箱为
查看邮箱
1 | hf13338261292@outlook.com |
3、分析计算机检材,李安弘电脑中记录的黄金换现金的商家联系方式为
在语音记事本中
1 | 13612817854 |
4、分析计算机检材,推广设计图中的apk下载链接为
这道题目靠ai做的,是个解密,给了公钥和明文,最终的带私钥解密出图片,扫码后网址是https://drive.google.com/file/d/1z3aRS-lkaJYKm7Cp1XjtUmVPsOEVW2fV/view?usp=sharing
1 | https://drive.google.com/file/d/1z3aRS-lkaJYKm7Cp1XjtUmVPsOEVW2fV/view?usp=sharing |
5、分析计算机检材,李安弘电脑vpn软件开放的代理端口为
在设置的网络设置中
1 | 9527 |
6、分析计算机检材,李安弘电脑中AI软件当前使用的模型类型为
仿真后右下角有个UOS AI,点开后打开设置,可以找到
1 | OpenRouter |
7、分析计算机检材,李安弘电脑中AI软件当前使用的模型apiKey为
在左下角剪切板中可以找到apikey
1 | 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 |
8、分析计算机检材,李安弘电脑中勒索软件提供的解密服务联系方式为
分析可知勒索软件是get_token_linux,
反汇编后可以找到main_a和main_main函数,分析后可知是beijixin996@tutanota.com
1 | beijixin996@tutanota.com |
9、分析计算机检材,李安弘电脑中记录的存放黄金的保险柜编号是
分析get_token_linux,反汇编后可以找到main_a和main_main函数,分析后可知是通过xor进行加密,解密出mp4后查看可得到保险柜编号
1 | 997546 |
10、分析计算机检材,李安弘电脑中记录的保险柜密码是
在火眼中就可以找到保险箱的秘密.et和paswword.et,解密后得到baoxiangmima:583985
1 | 583985 |