2025龙信杯

1. 分析手机镜像，请问机身的Wi-Fi信号源的物理地址是什么？[标准格式:01:02:03:04:05:06]

结果为00:db:60:6e:86:13

2. 分析手机镜像，请问张大的手机号码尾号是3807的手机号码是多少？[标准格式：15599005009]

直接搜索3807，然后能在kimi的mmkv里找到156****3807，又在这里看到flutter的sp，看一下目录这个也是kimi的数据，所以可以确定

结果为15680193807

3. 分析手机镜像，分析手机镜像，其通讯录中号码归属地最多的直辖市是哪里？[标准格式：天津市]

数据库里没有保存归属地，要查询一下

在线批量查询https://www.chahaoba.cn/page/%E6%89%8B%E6%9C%BA%E5%8F%B7%E7%A0%81%E5%BD%92%E5%B1%9E%E5%9C%B0%E6%89%B9%E9%87%8F%E6%9F%A5%E8%AF%A2#

结果为北京

4. 分析手机镜像，嫌疑人最近卸载过的的一款小说APP的名字是什么？[标准格式：繁华付费小说]

有一个用于隐藏的APP，在里面找到了七猫的痕迹，然后没有找到对应目录，应该就是删除了

结果为七猫免费小说

5. 分析手机镜像，嫌疑人使用“逐浪小说”应用最近一次搜索小说书名叫什么？[标准格式：斗破苍穹]

数据库里没东西

上面找小说的时候注意到有一个文件管理器，里面经常有小黄鸟的访问

在数据库里查询一下

结果为从斗罗开始无敌

6. 分析手机镜像，嫌疑人曾使用“QQ浏览器”使用过的搜索关键词有几个？[标准格式：1个]

找每个keyword

全提出来解析一下

import re
from urllib.parse import unquotepattern = r"keyword=([^&|^/]+)"with open("urls.txt", "r") as file:lines = file.readlines()
keywords = set()
for line in lines:line = unquote(line)matches = re.findall(pattern, line)# print(line)if matches:for keyword in matches:print(keyword.strip())keywords.add(keyword.strip())
print(len(keywords))
# 27

结果为27

7. 分析手机镜像，嫌疑人曾经安装过的一款AI软件登录的用户名是什么？[标准格式：用户123456]

之前说的kimi

结果为用户3807

8. 接上问，嫌疑人在此AI软件中最后一次提问的内容是什么？[按照实际值填写]

结果为继续生成一个

9. 分析手机镜像，嫌疑人花费多少元购买小说网站源码？[标准格式：2000]

电鸽，买了视频和小说，视频1000U，小说1300RMB

结果为1300

10. 接上问，嫌疑人购买的小说网站源码的MD5值后六位是什么？[标准格式：12a34b]

找到文件名

结果为d9ed2d

11. 分析手机镜像，嫌疑人的虚拟钱包地址是什么？[按照实际值填写]

见9，浏览器里查询对应交易

结果为0x2a80985eea4283fdebddc5ec25c15d8cb5bcc09f

12. 分析手机镜像，嫌疑人购买视频网站源码花费了多少USDT？[标准格式：500]

结果为1000

13. 分析手机镜像，其接受过一个远控木马程序（exe），请问其MD5值后六位是多少？[标准格式：12a34b]

结果为5ae243

14. 接上题，该exe使用了哪种压缩方式？[标准格式：TAR]

结果为UPX

15. 接上题，该exe使用的压缩方式修改了几处特征？[标准格式：5]

很明显是把section改成了vmp，搜索改掉就可以了

结果为3

16. 接上题，该exe外联的端口号是多少？[标准格式：3306]

脱壳

反编译跟一下，还是比较简单的，我都能做

可以看到外连192.168.93.129:4444

结果为4444

17. 接上题，该exe会搜索并加密几种类型的文件？[标准格式：5]

这里是释放exe

再跟一下就能找到

结果为3

18. 接上题，该exe会释放一个新的exe，请问新的exe是用哪种编程语言编写的？[标准格式：php]

结果为Python

19. 接上题，释放出的exe使用的邮件服务器的授权码是？[标准格式：scxcsaafas]

可以直接解包，也可以提取出来

结果为qycirqwzxogjdgbh

20. 分析手机镜像，嫌疑人发布的抖音作品是参考哪篇文学巨著生成的？[标准格式：三国演义]

kimi里

结果为钢铁是怎样炼成的

21. *分析手机镜像，嫌疑人通过抖音发布了几个作品？[标准格式：6]

根据后面的id搜索

但是video_record里又有3个

结果为2

22. 接上题，作品ID为 7564293625007115554 的观众浏览量为几次？[标准格式：5]

结果为23

23. 分析手机镜像，嫌疑人相册中的图片为其非法所得（不考虑重复），请分析其总收益为多少元？[标准格式12345]

全拿出来累加，出这种题就是脑子有问题

结果为6577

24. 分析手机镜像，嫌疑人电脑的开机密码是多少？[按照实际值填写]

同时还能拿到bc密码qwe123!@#

结果为qwe321@@@

25. 分析Windows检材，PowerShell中多少个命令关联URL地址(不去重)？[标准格式：123]

结果为5

26. 分析Windows检材，VeraCrypt加密容器密码是什么？[标准格式：v10.1.1]

win+v

结果为UJw4FspAsmNVRACWf4GQazvd

27. 分析Windows检材，加密容器中“密码本.txt”文件的SHA-256哈希值后6位是多少？[标准格式：全大写]

找到容器

里面只有一个账单，考虑多密码或者恢复

确实是删除的，恢复出来，当然在回收站的话，虚拟机里挂载应该就能在回收站里看到

结果为8E3FC7

28. 分析Windows检材，接上题,根据“密码本.txt”文件对账单数据压缩包进行解密，其密码是多少？[标准格式：根据实际值填写]

结果为VteGElLDQu

29. 分析Windows检材，接上题，分析其账单数据中哪个类别的金额最多？[标准格式：根据实际值填写]

import os
from datetime import timedeltaimport polars as pldef parse(dir_path: str) -> None:dfs = []files = os.listdir(dir_path)for file in files:if file.endswith(".xlsx"):df = pl.read_excel(os.path.join(dir_path, file),sheet_name="Sheet1",has_header=True,)dfs.append(df)df = pl.concat(dfs)df = df.group_by("项目").agg(pl.col("金额").sum().alias("总金额"))print(df)def main():parse("账单数据")if __name__ == "__main__":main()

结果为小说网站

30. 分析Windows检材，Bitlocker的恢复密钥前6位是什么？[标准格式：123456]

这张图文件头不对，头是webp的，但是尾部是png，说明这是两张图拼起来的

向上搜索png头就行

修复的图片crc校验错误，可能是改了高度，我们直接改大点就出来了

但是这个拿去解密不对

索性用密码解密直接导出

结果为282469

31. 分析Windows检材，嫌疑人使用的Windows激活工具的版本是什么？[标准格式：v10.1.1]

结果为v4.2.8

32. 分析Windows检材，嫌疑人电脑中安装的加密软件（非VeraCrypt）版本是多少？[标准格式：1.2.3]

结果为1.17.1

33. 分析Windows检材，接上题，该加密软件恢复秘钥文件最后一个单词是什么？[标准格式：根据实际值填写]

bitlocker里面的docx，后面几个单词是白色， 记得改一下

重置密码后挂载出来

结果为accent

34. 分析Windows检材，mysql的数据库路径是什么？[标准格式：C:\MySQL5.7.26\data]

安装了phpstudy

结果为D:\phpstudy_pro\Extensions\MySQL5.7.26\data

35. 分析Windows检材，数据库中novel_id为3的爬虫代码其爬取的网站域名地址是什么？[标准格式：https://www.baidu.com]

注意虚拟机里是固定ip，改了之后连数据库

爬虫里看对应内容

结果为https://www.shuzhige.com

36. 分析Windows检材，对比数据库与爬去小说数据，数据库中缺少的小说其共有多少章节？[标准格式：123]

结果为3

37. 分析Windows检材，嫌疑人爬取的小说共有多少汉字（包括繁体汉字，不计标点符号）？[标准格式：123]

import os
import redef count_chinese_by_type(text):hanzi_pattern = re.compile(r"[\u4e00-\u9fff\u3400-\u4dbf\uf900-\ufaff]")chinese_punctuation = set("，。！？；：“”‘’（）【】《》——…·￥、")all_hanzi = hanzi_pattern.findall(text)filtered_hanzi = [char for char in all_hanzi if char not in chinese_punctuation]return len(filtered_hanzi)dir_name = "爬取-原本"total = ""
cnt = 0
for root, dirs, files in os.walk(dir_name):for file in files:path = os.path.join(root, file)with open(path, "r", encoding="utf-8") as f:text = f.read()total += textcnt += count_chinese_by_type(text)print(cnt)
# 2946354

结果为2946354

38. 分析Windows检材，嫌疑人为躲避侵权，将爬取文本中多个不同汉字分别替换成另一些汉字（如“我”→“窝”），分析共有多少个不同汉字被替换（相同字仅计一次）？[标准格式：123]

import ossource_dir = "爬取-原本"
target_dir = "爬取-替换"total = ""
max_cnt = 0
file_name = ""
words = set()
no_replaced = []
for root, dirs, files in os.walk(source_dir):for file in files:cnt = 0path = os.path.join(root, file)with open(path, "r", encoding="utf-8") as f:source = f.read()with open(path.replace("原本", "替换"), "r", encoding="utf-8") as f:target = f.read()if source == target:no_replaced.append(file)continueif len(source) != len(target):print("长度不一致！")continuefor i in range(len(source)):if source[i] != target[i]:words.add(source[i])cnt += 1continueif cnt > max_cnt:max_cnt = cntfile_name = fileprint(words)
print(f"{file_name}中修改了{max_cnt}个字")
print(f"未修改的文件有{len(no_replaced)}个")
#{'个', '问', '一', '说', '的'}
#第0062章.txt中修改了717个字
#未修改的文件有26个

结果为5

39. 分析Windows检材，对比爬取数据与替换数据，被替换汉字（不去重）数量最多的文件名称是什么？[标准格式：第0001章.txt]

结果为第0062章.txt

40. 分析Windows检材，对比爬取数据与替换数据，是否存在完全没有汉字被替换的文件？若存在，请给出文件的数量；若不存在，请直接填写“否”。[标准格式：123 或者 否]

结果为26

41. 分析Windows检材，嫌疑人使用的默认浏览器名称是什么？[标准格式：Microsoft Edge]

结果为Ablaze Floorp

42. 分析Windows检材，嫌疑人使用的AI网站的端口是多少？[标准格式：123]

桌面图片

结果为18480

43. 分析Windows检材，嫌疑人使用的AI网站登录密码是多少？[标准格式：根据实际值填写]

结果为g123123

44. 分析Windows检材，嫌疑人利用在线AI模仿创作的小说，其第五章标题是什么？[标准格式：根据实际值填写]

下载目录里有下载好的聊天存档

结果为长安的回响

45. 分析Windows检材，终点小说初步要求嫌疑人赔偿的经济损失金额为多少万元人民币？[标准格式：123]

有个1.eml

结果为10

46. 分析Windows检材，根据律师函要求，嫌疑人最晚须于几月几日（含当日）前向终点小说提交经审核同意的书面致歉函？[标准格式：10月12日]

7天内

结果为10月30日

47. 分析Windows检材，嫌疑人NAS映射的盘符是什么？[标准格式：C]

结果为Z

48. 分析Windows检材，嫌疑人当时正在阅读的小说叫什么名字？[标准格式：三国演义]

注意到上面的阅读软件，软件在nas上，但是一般数据在本地

结果为小年小月

49. 分析Windows检材，接上题，嫌疑人当前看到该小说的第几章？[标准格式：第一章]

没找到在哪解析，安装一个软件打开看看

结果为第五十一章

50. 请分析Exsi虚拟化平台是什么时候安装的？[标准格式：20250102-101258，年月日-时分秒，北京时间]

结果为20251020-142808

51. 请分析Exsi虚拟化平台虚拟机使用的ISO镜像大小是多少？[标准格式：2.58，单位：Gigabyte]

不做嵌套虚拟化，拷出来做，超过硬盘容量就不做了

结果为4.38

52. 请分析nas服务器samba应用完整版本标识为？[标准格式：1.18.26-10.el6_5]

结果为4.10.16-25.el7_9

53. 请分析nas服务器samba应用共享目录允许访问的用户名为？[标准格式：gys666]

结果为shadowai

54. *嫌疑人在nas服务器中删除了面板日志，请分析其删除日志后第一次访问服务器的目录物理路径是？[标准格式：/var/soft/wegame]

历史命令？？？

结果为/www/dk_project/dk_app/deepseek_r1/deepseek_r1_FG47

55. 某用户在“2025-10-21 18:40:53（北京时间）”向本地AI模型提问，请问其一共提问了几次？[标准格式：5]

见43，有登录方式，下载数据库进行分析

第一次是你好，你二次是要帮忙生成小说

结果为2

56. 接上题，第二轮交互总计Token Consumption（令牌消耗）多少个？[标准格式：10]

要统计两部分token

结果为289

57. 请分析AI模型在创建时注册的管理员账号的头像显示的数字是？[标准格式：15]

结果为2024

58. 请分析卡密网站会隔一段时间会自动删除后台管理员登录日志，请问日志最多保存多少小时？[标准格式：10，单位：小时，四舍五入]

直接访问看着是数据库出问题，但是数据库好好的

那么可能是其他问题，注意到装了很多php，随便换了个70的版本就正常了

登录跳转失败，伪静态没有配置，从其他站直接拉一个

修改后成功跳转

这个账号密码不用说了，肌肉记忆123456

不过怎么都登不进去，登录失败的提示词也搜不到，后面在zz的提醒下得知有代码被混淆了

把代码扣出来跑，第一个eval改成echo，拿到输出后放到下面，再把之前的echo去掉，把输出里的eval改成echo，直接输出代码

这边看到密码没有md5

进入后台

但是后台里没有这个信息，直接看代码，每天删之前的，所以最多24小时

结果为24

59. 请分析卡密网站后台管理员登录成功后多少小时内无需重新登录？[标准格式：8，单位：小时]

7天

结果为168

60. 请分析卡密网站微信接口配置的Appsecret是？[标准格式：字符串，全小写]

后台显示星号，数据库里看

结果为7e8055384f9c4ff5991c46cacd336ad9

61. 请分析卡密网站管理员注册了一个商户账号，请问商户编号是？[标准格式：10000]

同一个注册邮箱

结果为kp62_wd5

62. 接上题，请分析该商户掌灵付微信扫码设置的费率是多少？[标准格式：1%]

结果为1.2%

63. *接上题，不考虑平台提现、网关通道费用的情况下，售卖的卡密共计净利多少元？[标准格式：1888.88，单位：人民币]

666

可以看goods_card表？或者找被加密的文件？

结果为49605.30

64. 嫌疑人将卡密网站的数据定时备份至远程服务器，请问远程服务器IP为？[标准格式：8.8.8.8]

找定时任务，系统里没有，注意到有部署青龙面板

dokcer配置里没有数据，但是他是持久化出来的

拿到账号密码

结果为15.246.23.88

65. *嫌疑人供述web虚拟机储存了一本名为“活在明朝”的小说，已经删除忘记怎么恢复了，请找到该小说并分析一共有多少章？[标准格式：100]

这里登上去没数据

网页版应该是保存在浏览器缓存里

66. *接上题，小说是什么时候删除的？[标准格式：20250102-101258，年月日-时分秒，北京时间]

 

67. 有一个外部程序“芯龙短片”跟web服务器媒体系统进行通信，请分析其API通信密钥为？[标准格式：字符串，全小写]

找不到密码，直接重置

结果为81d910127daf47b9ad52d48fcc9f4305

68. 接上题，媒体系统管理员最后登录的时间为？[标准格式：20250102-101258，年月日-时分秒，北京时间]

结果为20251021-184752

69. 请分析小说网站“升迁之路”小说第47章叫什么名字？[标准格式：你好呀]

网站死活打不开，看日志是伪静态出问题了

这里少了空格

然后把php切成56

这里和之前一样有混淆

里面其实就是每次登录都改管理员密码

登录逻辑在这里，改掉就好了

进入后台

不过这题不在后台也能看

结果为这波赚嗨了

70. 请分析小说网站小说后台采集来源地址是？[标准格式：baidu.com]

结果为biquge.tv

71. 请分析小说网站某用户评论“好东西大家顶”是哪篇小说？[标准格式：苏大强]

结果为网游之射破苍穹

72. 请分析小说网站对接的第三方支付接口的商户密钥是？[标准格式：完整字符串，区分大小写]

结果为kaw2025id10019Experience

73. 嫌疑人曾在web服务器中特定位置执行采集正版（收费）小说的脚本，请分析采集的正版小说网址是？[标准格式：www.baidu.com]

看到套娃面板

在计划任务里找到

结果为www.xinglo.com

74. 嫌疑人曾在web服务器中备份整套面板数据，请问面板备份数据包SHA256值为？[标准格式：全小写]

结果为c3c09460c1f5b46b14509955b3a7c16d0760364d7ffd629e6849240720d308b8

75. 攻击机的ip是多少？[标准格式：111.111.111.111]

结果为192.168.111.1

76. 被攻击网站服务器开放端口数量是多少？[标准格式：1]

导出会话然后过滤一下，3次握手，至少发两个包过去

结果为3

77. 攻击者对参数fuzzing成功数量是多少？[标准格式：1]

查看他们的返回，返回都是288长度，空内容，http对象里过滤passwd能看到全0

结果为0

78. 攻击者在网站服务器上传了一个恶意文件，进行了创建文件操作，新文件名是什么？[标准格式：a.txt]

上传了一个一句话木马

结果为views.php

79. 攻击者对网站内容进行了修改，添加恶意链接是什么？[标准格式：http://www.baidu.com/index.php]

分析views.php的流量，前面还有一大段hex的，上传了.cobaltstrike.beacon_keys

结果为http://jsf34.com/transfer.html

80. 分发恶意文件域名是什么？[标准格式：baidu.com]

结果为sxh67.com

81. 被控(访问了被修改后的网站)主机ip是什么？[标准格式：111.111.111.111]

结果为192.168.111.167

82. 攻击者的license-id是什么？[标准格式：请填写实际值]

先保存jRj7

1768梭了

结果为987654321

83. 攻击者的秘密是什么？[标准格式：六位小写字母_六位数字]

结果为hahaha_114514

84. 被控主机运行的存储服务，及其端口是什么？[标准格式：amazon_s3:114]

cs命令里跑了tasklist，结果里找到了一个minio

结果为minio:9000

85. 被控主机最终向远控主机发送心跳包时间间隔是多少？[标准格式：1s]

差不多是20秒

结果为20s

86. 被控主机存储桶中文件md5值是什么？[标准格式：32位小写数字字母]

结果为2edaa2