1. *分析手機鏡像，請問機身的Wi-Fi信號源的物理地址是什麼？[標準格式:01:02:03:04:05:06]

沒找到其它softap配置，但這個裏面存的似乎是密碼

高版本會保存在/data/misc/apexdata/com.android.wifi/WifiConfigStoreSoftAp.xml，包含密碼、MAC地址等

2. 分析手機鏡像，請問張大的手機號碼尾號是3807的手機號碼是多少？[標準格式：15599005009]

直接搜索3807，然後能在kimi的mmkv裏找到156****3807，又在這裏看到flutter的sp，看一下目錄這個也是kimi的數據，所以可以確定

結果為15680193807

3. 分析手機鏡像，分析手機鏡像，其通訊錄中號碼歸屬地最多的直轄市是哪裏？[標準格式：天津市]

數據庫裏沒有保存歸屬地，要查詢一下

在線批量查詢https://www.chahaoba.cn/page/%E6%89%8B%E6%9C%BA%E5%8F%B7%E7%A0%81%E5%BD%92%E5%B1%9E%E5%9C%B0%E6%89%B9%E9%87%8F%E6%9F%A5%E8%AF%A2#

結果為北京

4. 分析手機鏡像，嫌疑人最近卸載過的的一款小説APP的名字是什麼？[標準格式：繁華付費小説]

有一個用於隱藏的APP，在裏面找到了七貓的痕跡，然後沒有找到對應目錄，應該就是刪除了

結果為七貓免費小説

5. 分析手機鏡像，嫌疑人使用“逐浪小説”應用最近一次搜索小説書名叫什麼？[標準格式：鬥破蒼穹]

數據庫裏沒東西

上面找小説的時候注意到有一個文件管理器，裏面經常有小黃鳥的訪問

在數據庫裏查詢一下

結果為從鬥羅開始無敵

6. 分析手機鏡像，嫌疑人曾使用“QQ瀏覽器”使用過的搜索關鍵詞有幾個？[標準格式：1個]

找每個keyword

全提出來解析一下

import re
from urllib.parse import unquote

pattern = r"keyword=([^&|^/]+)"


with open("urls.txt", "r") as file:
    lines = file.readlines()
keywords = set()
for line in lines:
    line = unquote(line)
    matches = re.findall(pattern, line)
    # print(line)
    if matches:
        for keyword in matches:
            print(keyword.strip())
            keywords.add(keyword.strip())
print(len(keywords))
# 27

結果為27

7. 分析手機鏡像，嫌疑人曾經安裝過的一款AI軟件登錄的用户名是什麼？[標準格式：用户123456]

之前説的kimi

結果為用户3807

8. 接上問，嫌疑人在此AI軟件中最後一次提問的內容是什麼？[按照實際值填寫]

結果為繼續生成一個

9. 分析手機鏡像，嫌疑人花費多少元購買小説網站源碼？[標準格式：2000]

電鴿，買了視頻和小説，視頻1000U，小説1300RMB

結果為1300

10. 接上問，嫌疑人購買的小説網站源碼的MD5值後六位是什麼？[標準格式：12a34b]

找到文件名

結果為d9ed2d

11. 分析手機鏡像，嫌疑人的虛擬錢包地址是什麼？[按照實際值填寫]

見9，瀏覽器裏查詢對應交易

結果為0x2a80985eea4283fdebddc5ec25c15d8cb5bcc09f

12. 分析手機鏡像，嫌疑人購買視頻網站源碼花費了多少USDT？[標準格式：500]

結果為1000

13. 分析手機鏡像，其接受過一個遠控木馬程序（exe），請問其MD5值後六位是多少？[標準格式：12a34b]

結果為5ae243

14. 接上題，該exe使用了哪種壓縮方式？[標準格式：TAR]

結果為UPX

15. 接上題，該exe使用的壓縮方式修改了幾處特徵？[標準格式：5]

很明顯是把section改成了vmp，搜索改掉就可以了

結果為3

16. 接上題，該exe外聯的端口號是多少？[標準格式：3306]

脱殼

反編譯跟一下，還是比較簡單的，我都能做

可以看到外連192.168.93.129:4444

結果為4444

17. 接上題，該exe會搜索並加密幾種類型的文件？[標準格式：5]

這裏是釋放exe

再跟一下就能找到

結果為3

18. 接上題，該exe會釋放一個新的exe，請問新的exe是用哪種編程語言編寫的？[標準格式：php]

結果為Python

19. 接上題，釋放出的exe使用的郵件服務器的授權碼是？[標準格式：scxcsaafas]

可以直接解包，也可以提取出來

結果為qycirqwzxogjdgbh

20. 分析手機鏡像，嫌疑人發佈的抖音作品是參考哪篇文學鉅著生成的？[標準格式：三國演義]

kimi裏

結果為鋼鐵是怎樣煉成的

21. *分析手機鏡像，嫌疑人通過抖音發佈了幾個作品？[標準格式：6]

根據後面的id搜索

但是video_record裏又有3個

結果為2

22. 接上題，作品ID為 7564293625007115554 的觀眾瀏覽量為幾次？[標準格式：5]

結果為23

23. 分析手機鏡像，嫌疑人相冊中的圖片為其非法所得（不考慮重複），請分析其總收益為多少元？[標準格式12345]

全拿出來累加，出這種題就是腦子有問題

結果為6577

24. 分析手機鏡像，嫌疑人電腦的開機密碼是多少？[按照實際值填寫]

同時還能拿到bc密碼qwe123!@#

結果為qwe321@@@

25. 分析Windows檢材，PowerShell中多少個命令關聯URL地址(不去重)？[標準格式：123]

結果為5

26. 分析Windows檢材，VeraCrypt加密容器密碼是什麼？[標準格式：v10.1.1]

win+v

結果為UJw4FspAsmNVRACWf4GQazvd

27. 分析Windows檢材，加密容器中“密碼本.txt”文件的SHA-256哈希值後6位是多少？[標準格式：全大寫]

找到容器

裏面只有一個賬單，考慮多密碼或者恢復

確實是刪除的，恢復出來，當然在回收站的話，虛擬機裏掛載應該就能在回收站裏看到

結果為8E3FC7

28. 分析Windows檢材，接上題,根據“密碼本.txt”文件對賬單數據壓縮包進行解密，其密碼是多少？[標準格式：根據實際值填寫]

結果為VteGElLDQu

29. 分析Windows檢材，接上題，分析其賬單數據中哪個類別的金額最多？[標準格式：根據實際值填寫]

import os
from datetime import timedelta

import polars as pl


def parse(dir_path: str) -> None:
    dfs = []
    files = os.listdir(dir_path)
    for file in files:
        if file.endswith(".xlsx"):
            df = pl.read_excel(
                os.path.join(dir_path, file),
                sheet_name="Sheet1",
                has_header=True,
            )
            dfs.append(df)
    df = pl.concat(dfs)
    df = df.group_by("項目").agg(pl.col("金額").sum().alias("總金額"))
    print(df)


def main():
    parse("賬單數據")


if __name__ == "__main__":
    main()

結果為小説網站

30. 分析Windows檢材，Bitlocker的恢復密鑰前6位是什麼？[標準格式：123456]

這張圖文件頭不對，頭是webp的，但是尾部是png，説明這是兩張圖拼起來的

向上搜索png頭就行

修復的圖片crc校驗錯誤，可能是改了高度，我們直接改大點就出來了

但是這個拿去解密不對

索性用密碼解密直接導出

結果為282469

31. 分析Windows檢材，嫌疑人使用的Windows激活工具的版本是什麼？[標準格式：v10.1.1]

結果為v4.2.8

32. 分析Windows檢材，嫌疑人電腦中安裝的加密軟件（非VeraCrypt）版本是多少？[標準格式：1.2.3]

結果為1.17.1

33. 分析Windows檢材，接上題，該加密軟件恢復秘鑰文件最後一個單詞是什麼？[標準格式：根據實際值填寫]

bitlocker裏面的docx，後面幾個單詞是白色，記得改一下

重置密碼後掛載出來

結果為accent

34. 分析Windows檢材，mysql的數據庫路徑是什麼？[標準格式：C:\MySQL5.7.26\data]

安裝了phpstudy

結果為D:\phpstudy_pro\Extensions\MySQL5.7.26\data

35. 分析Windows檢材，數據庫中novel_id為3的爬蟲代碼其爬取的網站域名地址是什麼？[標準格式：https://www.baidu.com]

注意虛擬機裏是固定ip，改了之後連數據庫

爬蟲裏看對應內容

結果為https://www.shuzhige.com

36. 分析Windows檢材，對比數據庫與爬去小説數據，數據庫中缺少的小説其共有多少章節？[標準格式：123]

結果為3

37. 分析Windows檢材，嫌疑人爬取的小説共有多少漢字（包括繁體漢字，不計標點符號）？[標準格式：123]

import os
import re


def count_chinese_by_type(text):
    hanzi_pattern = re.compile(r"[\u4e00-\u9fff\u3400-\u4dbf\uf900-\ufaff]")
    chinese_punctuation = set("，。！？；：“”‘’（）【】《》——…·￥、")

    all_hanzi = hanzi_pattern.findall(text)
    filtered_hanzi = [char for char in all_hanzi if char not in chinese_punctuation]

    return len(filtered_hanzi)


dir_name = "爬取-原本"

total = ""
cnt = 0
for root, dirs, files in os.walk(dir_name):
    for file in files:
        path = os.path.join(root, file)
        with open(path, "r", encoding="utf-8") as f:
            text = f.read()
            total += text
            cnt += count_chinese_by_type(text)

print(cnt)
# 2946354

結果為2946354

38. 分析Windows檢材，嫌疑人為躲避侵權，將爬取文本中多個不同漢字分別替換成另一些漢字（如“我”→“窩”），分析共有多少個不同漢字被替換（相同字僅計一次）？[標準格式：123]

import os

source_dir = "爬取-原本"
target_dir = "爬取-替換"

total = ""
max_cnt = 0
file_name = ""
words = set()
no_replaced = []
for root, dirs, files in os.walk(source_dir):
    for file in files:
        cnt = 0
        path = os.path.join(root, file)
        with open(path, "r", encoding="utf-8") as f:
            source = f.read()
        with open(path.replace("原本", "替換"), "r", encoding="utf-8") as f:
            target = f.read()
        if source == target:
            no_replaced.append(file)
            continue
        if len(source) != len(target):
            print("長度不一致！")
            continue
        for i in range(len(source)):
            if source[i] != target[i]:
                words.add(source[i])
                cnt += 1
                continue
        if cnt > max_cnt:
            max_cnt = cnt
            file_name = file


print(words)
print(f"{file_name}中修改了{max_cnt}個字")
print(f"未修改的文件有{len(no_replaced)}個")
#{'個', '問', '一', '説', '的'}
#第0062章.txt中修改了717個字
#未修改的文件有26個

結果為5