容器挂载密码

1

3x@9Qm!V8e$vL%6d^Yr5o*C#Nk7h&ZpFbW2sG4jXuD1cO0lTgAqHwRnIzJyM-_+K=

案件背景

网络黑灰产往往结伴而生，大量黑灰产内容错综复杂。随着AI和互联网技术的发展，黑灰产形式也越来越多样。离线的孤军奋战已不再能解放生产力。这次FIC我们将通过黑灰产边缘人物李安弘的视角找到黑产们的老巢。

近期经匿名人员举报在某购物平台有店铺销售针孔摄像头，警方通过调取购物平台后台权限后对订单内容进行固定获得（检材1.rar）。经过一段时间的追查最终在店铺老板家中抓获老板李某（李安弘），缴获李某手机(检材2.tar)，电脑(检材3.E01)和大量摄像头。通过李某电子证据最终追查到该灰产上游人员陈某。

请各位取证专家根据剧情提供的检材，还原这起事件的前因后果，并回答下列问题：

检材信息

• 检材一：
  • MD5：668d1f53df0a6a0fbd9465551de46a10
  • SHA256：df8736ebcad651665d31c1dff2188b5fdbde5f458c195a4baa640b4803747d66
• 检材二：
  • MD5：6e06bf0a394740cb2107d5f6d3a1164a
  • SHA256：e16953e8ba2784e96f69f102820fe427ca3bf20b5c24d46703d022e05209e530
• 检材三：
  • MD5：f65da8167944712884ee9f07debdcf1f
  • SHA256：72ed00619ba80fe4768f028de1ab410975335177e86aa942dcd6099d5c69b896

第一部分：网页快照

检材1-网站快照

“老赵商城系统”并非公开推广的普通电商平台，而是一个仅限内部使用、受邀注册的封闭系统。李某利用这套系统，建立起一条以代理人和渠道商为主导的销售链条，将他定制、经过特殊改装的针孔摄像头销售给经过严格筛选的代理成员。

问题列表

1. 请分析检材一，该取证录像文件的 SHA256 值为（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3】

2753DA22FE23CADAADC14FE4C1D5096A153360D9F91097EA376846431F5C1567

2. 请分析检材一，远程取证所使用的 OBS 工具版本号为（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：18.1.2】

29.1.3

3. 请分析检材一，该检材所使用的远程取证的工具名称为（10.00 分）
   【答案格式：单选题】
   A. 网镜
   B. 快照大师
   C. 网页专家
   D. 网页取证能手

A. 网镜

4. 请分析检材一，在该检材中，远程取证过程中校验的北京时间为（10.00 分）
   【答案格式：单选题】
   A. 2025/4/9 13:33:18
   B. 2025/4/9 13:34:18
   C. 2025/4/9 13:35:18
   D. 2025/4/9 13:36:18

D. 2025/4/9 13:36:18

5. 请分析检材一，远程取证的网站 IP 地址为（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：192.168.1.20】

172.16.10.200

6. 请分析检材一，在该检材中，远程取证的网站密码为（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：root111】

admin123

7. 请分析检材一，在已固定的”订单列表”中发现有一页缺失。请找出缺失页面的具体页码为（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：1】

录像中只详细展示了订单列表1-13的内容，结合后题需要补充”订单列表”中缺失页面的数据，因此缺失页面一定在1-13之间，全部看过一遍发现少了12页。

8. 请分析检材一，补充”订单列表”中缺失页面的数据后，统计订单的总数为（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：2000】

4000

通过取证视频截图补全缺失页码（视频中是滚动展示需要截两张），此时根据图片中的订单图片中的信息，一共是4000条数据，每页订单截图有20条数据，此时应该有200张订单截图才是正确，但是订单截图目录下下加上新截图的两张一共有213张图片，因为目录下有哈希值一模一样的重复图片，此时我们也可以无需处理，因为WPS图片转表格时会过滤哈希值重复的图片，当然也可以将图片处理清楚再进行转化，减少后期数据清洗工作量。

整理图片

将我们截取的两张12页订单截图合为一张，只包留合并后的图片，同时并删除两张404的图片，此时剩余210张图片

使用HashCalculator批量计算所有文件哈希值，点击筛选操作，勾选相同哈希值，并点击应用。然后点击操作器和设置，点击按相同哈希值组选择，然后点击删除，此时目录下就只剩200百张图片了。

图片转表格

使用WPS图片转表格，一次可以转换一百张。

多表合并

转化后的订单表格是一页一表，我们还需要用方方格子的Excel汇总大师进行合并多簿为一表。

数据清洗

合并后需要对数据进行清洗，去除多余的列和多余的表头表尾行，并根据订单编号进行数据去重，最后得到4000条订单记录

9. 请分析检材一，补充”订单列表”中缺失页面的数据后，统计已完成订单中”老李监控批发”的订单数为（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：200】

   238

   

10. 请分析检材一，补充”订单列表”中缺失页面的数据后，统计已完成订单中”老李监控批发”的ZK-101产品的订单数为（10.00 分）
    【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
    【答案格式：100】

    70

    

11. 请分析检材一，补充”订单列表”中缺失页面的数据后，统计已完成订单中”老李监控批发”产品在上海区域的订单数为（10.00 分）
    【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
    【答案格式：5】

    12

    订单列表中没有地址信息，此处需要和代理列表进行匹配查询。代理列表截图缺失了第一页，通过取证录像补全“代理列表”缺失图片后，同“订单列表”的转化方法一样转化为表格。并将代理表和订单表放到同一个Excel工作簿。确认姓名没有重复的后，我们可以使用Vlookup通过姓名或者联系电话进行订单地址匹配。我们需要先对收货人进行分列，将姓名电话分离开来。然后新增一列地址栏，使用VLOOKUP将地址匹配过来

    

    

    

    

    

    

    

    

    

12. 请分析检材一，补充”订单列表”中缺失页面的数据后，统计已完成订单中”老李监控批发”的销售情况，并计算”赵磊（13967346658）”优惠后的总金额为（例如，优惠率为10%时按原单价的90%计算）（10.00 分）
    【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
    【答案格式：4000】

    4390

    筛选后直接口算

    1800 x 0.7 + 2000 x 0.9 + 1900 x0.7 = 4390

    

13. 请分析检材一，补充”代理列表”中缺失页面的数据后，统计代理人的最大层级数为（其中顶级代理的用户定义为第1层）（10.00 分）
    【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
    【答案格式：3】

    5

    将代理表导入网钜，使用网钜组织架构分析，需要手工配置字段代理人ID为会员ID，上级代理ID为邀请人ID

    

    

    

    

14. 请分析检材一，补充”代理列表”中缺失页面的数据后，统计每位代理的直接下游人数，并确定直接下游人数排名第一的代理人为（10.00 分）
    【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
    【答案格式：张三】

    李玲娟

    

15. 请分析检材一，补充”代理列表”中缺失页面的数据后，根据地址信息统计各区域的代理人数，并确定上海区域的代理人数为（10.00 分）
    【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
    【答案格式：10】

    5

    

第二部分：手机取证

检材2-李某手机

老李沟通生意所用的设备。

问题列表

1. 请分析检材二，请分析”手机”检材，并回答，并回答该手机的device_name是？（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：Iphone 16 Pro】

1

Redmi 6 Pro

解压检材二后，全局搜索device_name

2. 请分析检材二，请分析”手机”检材，并回答，嫌疑人pc开机密码是什么？（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：abc123】

1

1qaz2wsx

思路一：查看笔记软件

通过对APP列表搜索过滤，找到三个笔记类APP，复制包名，去/Data目录下一一查看相应APP的数据库数据，在备忘录日记（com.bijoysingh.yang）,在”检材2.tar\data\com.bijoysingh.yang\databases\note-database”下的note表，找到PC密码的相关记录

思路二：全文搜索关键词“密码”

使用火眼全局搜索功能，搜索关键词“密码”，去重后逐条查看判断，需要耐心和细心，依然后果找到记录PC密码的笔记软件数据库记录

思路三 根据便签内容提示仿真检材三尝试密码

3. 请分析检材二，请分析”手机”检材，并回答，嫌疑人接头暗号是什么？（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：天青色等烟雨而我在等你】

   爱能不能够永远单纯没有悲哀

   同上题的备忘录日记APP的数据库中（/data/com.bijoysingh.yang/databases/note-database）记录了接头暗号，内容较长复制到VSCODE格式化json格式更好查看，接头暗号记录一个是一张图片名，根据图片名搜索图片内容

   

   

4. 请分析检材二，请分析”手机”检材，并回答，嫌疑人存放的秘钥环是多少？（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：123abc】

   1qaz2wsx3edc

   方法同第三题一样，可以依次查看相关笔记软件的数据库文件或者全局搜索秘钥环，根据便签提示，相关内容应该在小米系统软件便签中有记录过，可能被删除或被隐藏了，应当优先查看这个APP的数据库，在”C:\hlnet\5-1745653649\检材2.tar\data\com.miui.notes\databases\note.db”的data表中找到秘钥环的内容

   方法一：查看APP数据库

   

   

   方法二：全局搜索关键词“秘钥环”

   

5. 请分析检材二，请分析”手机”检材，并回答，嫌疑人一生中最重要的日子是什么时候？（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】

   2026-02-26

   尝试使用全文搜索关键字“最重要”，关联到一个倒数日的数据库文件但是使用Realm Studio打不开。转变思路，扩大搜索范围，跑火眼耗时任务-图片文本识别，在结果中搜索“最重要”，找到一张倒数日截图，根据截图信息，计算出最重要日子为2026年2月26日

   

   

   

6. 请分析检材三，请分析”手机”检材，并回答，嫌疑人微信生成的聊天记录数据库文件名称是什么？（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：Wx.db】

   EnMicroMsg.db

   在火眼微信聊天记录分析结果页面直接右键菜单–预览源文件就可以看到聊天记录的源文件，可见为EnMicroMsg.db

   

7. 请分析检材二，请分析”手机”检材，并回答，嫌疑人微信账号对应的 UIN 为多少？（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：123456789】

   1864810197

   在火眼微信基本信息中可以直接查看，但是要设置列字段展示uin，或者查看文件：/data/com.tencent.mm/shared_prefs/auth_info_key_prefs.xml，查找 _auth_uin 字段的值

   

   

8. 请分析检材二，请分析”手机”检材，并回答，嫌疑人微信聊天记录数据库的加密秘钥是什么？（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：abc1234】

   31ad809

   查看笔记回顾一下微信聊天记录数据库计算方法为：将手机的 IMEI 号码与微信 uin 拼接，计算拼接后字符串的 MD5 值（取小写字母），取 MD5 值的前 7 位作为最终密钥，高版本中微信通常为 1234567890ABCDEF，根据上题得uin为1864810197，计算1234567890ABCDEF1864810197的md5，取前七位为31ad809。

   ⚠️注意：如果想使用DB Browser for SQLCipher打开微信数据库验证密钥需要使用老版本的，推荐使用这个：DB Browser for SQLCipher

   

   

9. 请分析检材二，请分析”手机”检材，并回答，嫌疑人”欠条.rar”的解压密码是多少？（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：3001234123】

   3170010703

   通过微信聊天记录判断，解压密码为TCGG手机号，其联系方式藏在这张聊天中发送的这张图片中，勾选图片消息预览源文件，找到图片源文件缩略图目录，同目录在还有两张相似图片，其中一张可见二维码叠加。

   

   

   

   

   扫描二维码即可得到嫌疑人手机号码，但这是一张带透明通道（Alpha 通道）的PNG图片，接下来讨论如何使二维码显示清晰以达到能够被扫描识别。

   方法一：使用黑色背景的图片查看工具，如WPS图片，如果使用白色背景的图片查看软件查看，二维码几乎都看不见了，以下是两种情况对比。

   

   

   方法二 使用Photoshop调整图片色阶，拖动滑块将RGB通道调为全黑

​

方法二 使用Photoshop将图片做反相处理

方法三 使用StegSolve，切换到Alhpa Plane 6 方案

3. 请分析检材二，请分析”手机”检材，并回答，嫌疑人”欠条.rar”解压后，其中VeraCrypt容器的MD5值是多少？（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：c788542ea8dcb75ge5768930cq7260kj】

   83DA62AABC88CB1B23E9469142B67B80

4. 请分析检材二，请分析”手机”检材，并回答，嫌疑人提供的”欠条.rar”解压后，其中”1.png”图上显示的VeraCrypt容器密码是多少？（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：ABCD1234&#￥%】

   #!@KE2sax@!da0h5hghg34&@

   方法同上，使用photoshop进行反相或者使用StegSolve

   

5. 请分析检材二，请分析”手机”检材，并回答，嫌疑人李某全名是什么？（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：李一二】
   使用上一题密码加载“欠条.rar”中的加密容器，可见欠条中李某全名为李安弘

   

6. 请分析检材二，请分析”手机”检材，并回答，嫌疑人欠款金额是多少？（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：70000】

   80000

第三部分：介质取证

检材3-李某电脑

老李用于存放个人物品的设备。

问题列表

1. 请分析检材三，请分析”电脑”检材，并回答，该电脑最后一次开机时间是？（10.00 分）
   【答案格式：单选题】
   A. 2025/4/15 16:21:41
   B. 2025/4/14 11:48:47
   C. 2025/4/14 11:49:47
   D. 2025/4/14 11:46:47

C. 2025/4/14 11:49:47

2. 请分析检材三，请分析”电脑”检材，并回答，嫌疑人的备用机号码是多少？（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：13712341234】

18877332134

仿真后，在便签应用中全选全部内容可以看到。

3. 请分析检材三，请分析”电脑”检材，并回答，域名dgy02.com曾保存过一个密码，该密码是多少？（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：abc1234】

tcgg123456

仿真后，使用手机检材部分获取的秘钥环打开Chrome，查看密码保存记录可以看到

4. 请分析检材三，请分析”电脑”检材，并回答，其电脑安装的微信版本是多少？（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：1.0.0.0】

4.0.0.21

5. 请分析检材三，请分析”电脑”检材，并回答，该系统有哪些远程控制软件（10.00 分）
   【答案格式：多选题】
   A. todesk
   B. 向日葵
   C. raylink
   D. 爱思远控

A. todesk

B. 向日葵

6. 请分析检材三，请分析”电脑”检材，并回答，电脑2025年4月10日11点4分29秒曾被向日葵远程控制，其记录的日志文件名为（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：login.log.1】

sunlogin_service.log.2

打开向日葵日志目录，路径为路径在/var/log/sunlogin，一一查看日志文件，在sunlogin_service.log.2找到2025年4月10日11点4分29秒相关记录

7. 请分析检材三，请分析”电脑”检材，并回答，电脑2025年4月10日11点4分29秒曾被向日葵远程控制，日志内记录对方公网IP地址和端口为（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：127.0.0.1:1000】

116.192.161.222:2577

public ip 就是对方公网IP和端口，或者让ai直接分析

8. 请分析检材三，请分析”电脑”检材，并回答，某文件的MD5值为”2bdfcdbd6c63efc094ac154a28968b7d”，该文件名为（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：abc.txt】

important.docx

对检材三文件进行批量哈希计算，全盘计算时间太久，我们优先对用户目录进行计算，计算任务完成后，点击文件全显，然后过滤MD5找到文件important.docx

9. 请分析检材三，请分析”电脑”检材，据调查，上述文件存放了钱包助记词，第一个单词是什么？（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：apple】

solution

打开“important.docx”，看到文字“我用来存储助记词”，确认助记词藏在该文件，全选改变字体颜色，没找到。使用foremost分解，没找到。考虑到docx是复合文档格式，将后缀改为zip可以直接用解压缩软件打开。打开后发现\docProps\important.xml修改日期为近期，而且important.xml也不是docx目录结构下应有的文件。将其提取出来，使用WinHex查看，发现是JPEG格式文件头，将文件名后缀修改为jpg，可见到助记词。

10. 请分析检材三（”我的测试机”），最近曾访问过的音频文件，该音频文件的文件名是什么（10.00 分）
    【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
    【答案格式：凡人修仙传.mp3】

    自传小说.mp3

    将”我的测试机”添加为新检材并分析，在用户痕迹-最近访问项目中可以看到该音频文件为“自传小说.mp3”

    

    

11. 请分析检材三（”我的测试机”），最近曾使用过USB设备，该设备的名称为（10.00 分）
    A. ThinkPLus
    B. Toshiba
    C. Samsumg
    D. Database

    A. ThinkPLus

    

12. 请分析检材三（”我的测试机”）中的音频内容，并回答，嫌疑人现任妻子毕业的大学是？（10.00 分）
    【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
    【答案格式：武汉大学】

    北京大学

    使用讯飞听见进行语音转文字

    

13. 请分析检材三（”我的测试机”）中的音频内容，并回答，嫌疑人是通过一个朋友认识的陈老板，该朋友姓氏拼音是？（10.00 分）
    【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
    【答案格式：chen】

    wang

    

14. 请分析检材三（”我的测试机”）中的音频内容，并回答，嫌疑人所说的香格里拉大酒店实则是？（10.00 分）
    【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
    【答案格式：桌游室】

    棋牌室

    

15. 请分析检材三（”我的测试机”）中的音频内容，并回答，嫌疑人银行密码是多少？（10.00 分）
    【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
    【答案格式：123456】

    071492

    音频分为多段内容，将每段第一个字拼起来就是：我得银行密马事令起一4久而，翻译过来：```我的银行密码是071492``

    

    

    

    

第四部分：互联网取证

互联网

警方在服务器中发现了疑似陈某的网站域名，通过该域名警方成功找到陈某的互联网身份和相关IP。请选手固定所有题目相关互联网部分内容。

问题列表

1. 请分析检材二，找到李某上游人员陈某博客宣传所用域名为（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：forensix.cn】

chen.foren6

在手机检材聊天记录中可以找到

2. 请分析陈某宣传所用域名，该域名的顶级域名在以下那个区块链注册（10.00 分）
   A. ETH（https://ens.domains/）
   B. HNS（https://handshake.org/）
   C. BTC（https://bitcoin.org/）
   D. Namecoin（https://www.namecoin.org/）

B. HNS（https://handshake.org/）

问ChatGPT，只有HandShake支持注册任意字符串作为TLD

3. 请分析陈某宣传所用域名的顶级域名的域名解析服务器（DNS）共有几个（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：1】

2

方法一 使用nslookup查询

方法二 使用NameBase查询

4. 请分析陈某宣传所用域名的顶级域名的NS1服务器ip为（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：1.1.1.1】

45.79.133.98

5. 请分析陈某宣传所用域名，该域名DNS记录指向邮件服务器域名为（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：mail.qq.com】

mail.163.com

6. 请分析陈某宣传所用域名，该域名的txt记录中chen的值为（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：jianrenfengbao】

fengbaoliejiu

7. 请分析陈某宣传所用域名，该域名DNS记录没有以下那个域名（10.00 分）
   A. admin.chen.foren6
   B. caidan.chen.foren6
   C. fic.chen.foren6
   D. hl.chen.foren6

D. hl.chen.foren6

8. 请分析陈某宣传所用域名，该博客域名最终DNS解析指向的github仓库名为（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：git.github.cn】

chewhaoN.github.io

尝试访问chen.foren6，无法直接访问，需要将本机DNS设置为支持HandShake域名解析的服务器，谷歌搜索handshake dns，找到一个hdns.io的网站，根据网站教程配置DNS服务器。尝试访问chen.foren6,，跳转到了blog.chen.foren6，nslookup查询该域名，该域名指向chewhaoN.github.io，访问该地址，发现是一个托管在Github的Hexo静态站点，Github Pages的仓库名格式必须为<用户名>.github.io，因此该博客域名最终DNS解析指向的github仓库名为就是chewhaoN.github.io。

9. 请分析陈某github账号，陈某对jkroepke/2Moons项目增改了几个文件（10.00 分）
   【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
   【答案格式：1】

2

将仓库jkroepke/2Moons和chewhaoN/2Moons的代码都下载到本地解压，使用可视化代码比较工具Meld进行比较，发现有两处修改，修改了block.textformat.php，新增了encrypted.bin

10. 请分析陈某github账号，陈某在修改2Moons过程中提到了什么锅底（10.00 分）
    【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
    【答案格式：麻辣锅底】

    蜂蜜锅底

    修改内容中有一段URL编码的链接，复制到浏览器中打开，可见文字内容中提到“蜂蜜锅底”

    

    

11. 请分析陈某github账号，陈某在游戏2Moons中放置的后门连接码的密码为（10.00 分）
    【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
    【答案格式：abcde】

    ficnb

    复制出PHP文件中的恶意代码，并让AI帮忙格式化一下代码，注释掉后半部分执行恶意代码，echo输出解密后的数据$i，将蜂蜜锅底.css文件下载下来，将该php文件和蜂蜜锅底.css和encrypted.bin放在一个目录下，并修改代码中的路径使用php运行该文件，输出webshell连接密码为ficnb。

    

    

    

12. 请访问陈某当前博客，陈某课程的扫码报名地址的域名为（10.00 分）
    【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
    【答案格式：app.forensix.com】

    fic.forensix.cn

    扫描博客上的二维码

    

13. 请分析陈某当前博客，通过互联网找到陈某的旧博客网站标题为（10.00 分）
    【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
    【答案格式：奥特曼大战小怪兽】

    柳如烟大战霸天虎

    当前博客左上角有老博客入口，但是已无法访问，尝试通过web.archive.org找历史快照，找到一个4月7日的快照，网站标题为

    

    

    

14. 请分析陈某旧博客，陈某的姓名为（10.00 分）
    【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
    【答案格式：陈蛋蛋】

    陈浩北

    

15. 请分析陈某旧博客，陈某的邮箱地址为（10.00 分）
    【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
    【答案格式：mail@wang.com】

    1	mailme@chen.foren6

    查看网站源代码搜索@

    

16. 请分析陈某旧博客，陈某的11位手机号为（10.00 分）
    【不区分大小写】【不区分空格】【不区分换行符 (不考虑末尾)】【不区分全半角】
    【答案格式：19900001111】

    1	13170010703

    

17. 请分析陈某旧博客，陈某最爱的dota英雄为（10.00 分）
    A. 赏金猎人
    B. 幻影刺客
    C. 斧王
    D. 邪影芳灵

    D. 邪影芳灵

    根据文章标题判断为邪影芳灵