这次除了恶意程序都写了，逆向实在看不懂交给我队友了，因为这个检材比较早了，可能是因为这个原因在处理esxi3的时候域名解析不上而且机房 vSphere起不来，问ai说ssl证书过期了，我也没修好，如果有佬找到方法请联系我

介质取证

1. 教徒“闻早起”所使用的笔记本电脑使用何种加密程式？

2. 教徒“闻早起”所使用的笔记本电脑中安装了一款还原软件，其版本号为？

3. 教徒“闻早起”所使用的笔记本电脑中登录的微信内部id为？

wxid_bsvr29ygby9712

4. 教徒“闻早起”所使用的笔记本电脑中名为“2023年Q4飞天五子棋教部门规章.docx”的下载地址为？（保留整个url，例如http://www.baidu.com:8080/admin.php）

浏览器有一个，但是不完整，要在chorme的history数据库里看

用DBbrower打开

这个document文件就是docx文档，地址是http://openim.sys.lab:11001/#/chat/si_4690220374_6898676456

5. 教徒“闻早起”所使用的笔记本电脑中浏览器保存的聊天系统密码为？

6. 教徒“闻早起”所使用的U盘中，共有几份邪教文档？

u盘密码GlGjSSy)(*QyHfBqz()-

先用CSI Mounter挂载上磁盘

如果有u盘有分区，可以两个都试一试看看加密的是分区还是磁盘

4个

7. 教徒“闻早起”所使用的U盘中，有一份文档明显提到了自焚时间，其时间为？(yyyy年mm月dd日，月日中0不保留)

这两个文件应该是后面做的恶意程序和apk文件

8. 教徒“闻早起”所使用的笔记本电脑中有一个疑似木马病毒的文件，请找出该文件，并计算恶意程序的sha256(英文字母全大写)

C697009F1DCF0CFEEA75B0610449696A2BCF1C0733448284941BD9147AAD9832

恶意程序不是我做的，逆向是一点不会，但是ai能梭出一大半就去掉了

服务器取证

用CSI Mounter把ESXI磁盘都挂起来，三块系统盘三块数据盘

记得勾选写入临时文件

选择脱机，如果联机可以用可以选联机，但是我在后面导入VMware时提示windows有占用

把磁盘的所有盘符都删了

导入虚拟机时，其他的都可以选择默认

选择VMware ESX(X)

处理器和内存尽量都往大的填，不然后面服务器起来很慢

网络模式选择NAT

选择物理磁盘

先选择系统盘再选择数据盘

然后就可以正常启动了

输入密码

ip是59,网关是2

DNS是50

设置本机的网络配置IP,因为虚拟机ip开始是20多，所以起始ip小一点

在本机的vm8网卡看看是不是设置的一致

9. 在云服务器厂商机房中，共有几台ESXI服务器？

3台

10. 在云服务器厂商机房中，esxi1主机所设置的ntp服务地址为多少？

 ntp.aliyun.com

11. 在云服务器厂商机房中，主机dashboard.qzbw.zj所设置的自动启动时间为多少秒？

在esxi2上

130s

12. 在云服务器厂商机房中，esxi3所设置的所加入的活动目录域名为多少？

 QZBW.ZJ

13. 在云服务器厂商机房vSphere中，登录所使用的单点登录域名为？

不知道为什么我DNS没有解析上，在hosts直接更改

访问 https://vc.qzbw.zj/ui （可能是我没有连接到DNS服务器的原因，正常可以直接跳转到/ui的）

14. 在云服务器厂商机房vSphere中，共有几个未被使用的分布式虚拟交换机？

有个服务一直起不来，问一下ai，说是ssl证书过期了（应该没有想到6202年了还有人做这套题），用vCert没修复好，服务器这一块暂时搁置了，如果有佬成功拉起来了欢迎联系我QQ:3010515184 谢谢！

15. 在云服务器厂商机房vSphere中，共有几台开机自启的虚拟机？

16. 在云服务器厂商机房vSphere中，定义的数据中心的名字是什么？

17. 在云服务器厂商机房vSphere中，存在的虚拟机模板的DNS名称为？

18. 在云服务器厂商机房vSphere中，数据存储集群排序为第三个的存储容器的位置为？

19. 在云服务器厂商机房vSphere中，计算集群的vSphere DRS自动化级别为？

20. 在活动目录服务器中，共有几条DNS记录？

DC的密码不知道，在vcenter上手工绕过密码，可以用pe引导清除密码

先关机

确保选择的连接的镜像文件

用CDROM启动

实际上是将放大镜的exe改为cmd.exe

copy c:\windows\system32\magnify.exe magnify.bak
copy c:\windows\system32\cmd.exe c:\windows\system32\magnify.exe

net user administrator Speeder

12条

21. 在活动目录服务器中，共管理了几台主机？

4台

22. 在活动目录服务器中，用户VC$的SID为？

23. sys.lab域的DNS服务器IP为多少?

192.168.124.104

24. 抓获的飞天五子棋教骨干所使用的云服务器平台名称全称为？

在玉王直的u盘里有一个文件

海母牛科技

密码是Ywz@qzbw.zj.2024

密码是qzbw.zj@2024依旧不知道密码，依旧grub绕过

dashboard的ip是192.168.59.10网站ip是http://192.168.59.10:9999/

25. 抓获的飞天五子棋教骨干所使用的云服务器平台用户名为？

飞天五子棋IT

26. 服务器集群应用中，邪教所用的项目的ID为？

58d1cb842b1a48ada7f8e82a9ad9fc3e

27. 服务器集群应用中，邪教所用的域名称为？

28. 服务器集群应用中，邪教所使用账号的角色包含？

29. 服务器集群应用中，邪教所用域数量配额下的存储卷已经使用了百分之多少？

不是指的容量

100

30. 服务器集群应用中，邪教所用域数量配额下的未分配的存储卷id为多少？

d4049482-cea9-4525-868e-449007a18c92

31. 服务器集群应用中，邪教所用域下的有多少个活动虚拟机？

9个

32. 服务器集群应用中，邪教所用域下存储的密钥的指纹为？

 fe:f0:33:41:25:68:b0:d5:f4:25:1b:d6:7e:11:94:ff

33. 服务器集群应用中，邪教所用域下安全组入口允许的IPv4的远端IP前缀为？

0.0.0.0/0

34. 服务器集群应用中，邪教所用域下Flat网络所使用的网络地址为？

35. 服务器集群应用中，邪教所用域下操作系统类型为其他的镜像数量为？

2

36. 服务器集群应用中，邪教所用域下操作系统类型为cirros-0.4.0-x86_64的镜像sha512为？(英文字母全大写)

6513F21E44AA3DA349F248188A44BC304A3653A04122D8FB4535423C8E1D14CD6A153F735BB0982E2161B5B5186106570C17A9E58B64DD39390617CD5A350F78

37. 服务器集群应用中，邪教所用域下名称为cirros-0.4.0-x86_64的密码为？

 飞天五子棋教工作机-3用的是这个镜像

进入控制台给了一个默认密码，密码就是这个gocubsgo

38. 服务器集群应用中，邪教所用域下云硬盘的类型为？

ssd

39. 服务器集群应用中，nova服务的admin服务地址为？

进入管理平台

http://controller.qzbw.zj:8774/v2.1

40. 服务器集群应用中，mysql数据库nova用户密码为？

后面的题都因为DNS网络问题访问不了了

有佬解决的请救救我kmj

41. 服务器集群应用中，mysql数据库中共有几个非系统数据库？

42. 服务器集群应用中，rabbitmq中openstack用户的密码为？

43. 服务器集群应用中，skyline服务的端口为？

44. 服务器集群应用中，provider网络桥接的是哪张物理网卡？

45. 服务器集群应用中，vxlan服务由哪张网卡提供服务？

46. 服务器集群应用中，admin用户的密码为？

47. 服务器集群应用中，nova服务的计算节点共有几个？

介质取证

48. 玉王直所使用的windows电脑中，VeraCryptBootLoader所使用的版本号为？

因为自动化取证工具都识别不出来加密盘，所以这个电脑几乎都是手工取证

密码给了，但是PIM就给个1，本来想是从手机还是其他地方找的，结果是手动爆破的18…

密码：[]\BadQianMingMoonGuang14DSS,./

PIM 18

49. 玉王直所使用的windows电脑中，系统安装时间为？

systeminfo

50. 玉王直所使用的windows电脑中，曾经挂过U盘的盘符为？

用USBDeview看出F和E盘

51. 玉王直所使用的windows电脑中，使用的系统版本Build号为？(例如123456)

52. 玉王直所使用的windows电脑中，玉王直实际登录次数为？

一共有14此，不算本次登录，但是被冰点去痕迹了，所以无法确定

53. 玉王直所使用的标签为“飞天五子棋教”的u盘密码为？

在玉王直手机里有一张终端图片，用curl下载一个txt并cat了一下

看样子就是两块u盘的密码和PIM

飞天五子棋教的就是 ChaoPing2AnOpen)(*FengZheng1FanOver=-() 30

都试一遍发现玉王直连接电脑的u盘.e01是对应的飞天五子棋教u盘

54. 玉王直所使用的标签为“飞天五子棋教”的u盘中“（内部）（机密）飞天五子棋教福音传播资料”中的“P5_4”集的md5值为？(英文字母全大写)

55. 玉王直所使用的标签为“飞天五子棋教”的u盘中共有几个文件？

虽然看着有63个但是，这些u盘自带的簇和.dat .ini文件不算，只有58个

56. 玉王直所使用的标签为“飞天五子棋教”的u盘中在“（高层）（绝密）飞天五子棋教创飞全世界阶段性成果2023Q1-2023Q4”目录中，md5哈希值为“9949205C1999C47A053C53F3C58E852C”的文件名为？

【万宁五子棋】 琉璃秘境.mp4

57. 玉王直所使用的标签为“IT”的u盘中结尾为.pem的文件md5值为？(英文字母全大写)

BCE0BEE4D9F6EC6172AD51F64223924C

58. 玉王直所使用的标签为“IT”的u盘中结尾为.enc的文件md5值为？(英文字母全大写)

直接搜没有.enc文件，在压缩包里

2F1C257AF6ED99B55540115C7D0845C0

59. 玉王直所使用的标签为“IT”的u盘中提到的云服务器提供商的联系电话为？

60. 玉王直所使用的标签为“IT”的u盘中提到的登录云服务器平台登录密码为？

61. 玉王直所使用的标签为“IT”的u盘中结尾为.xsh的文件有几个？

最好还是挂载出来，直接看文件干扰信息太多了

实际上只有5个

挂载出来的确实少了两个

手机取证

62. 手机最近连接的wifi”只有红茶可以吗”的密码是？

 1145141919810

63. 手机上安装了某个运动软件，它的包名是？

com.dizhisoft.changdongli

64. 该运动软件中最近一次运动记录的起点经纬度是？(示例：经度,纬度)

最大的数据库文件里面应该就有，其他的太小了

经纬度是反过来的、

 120.15221402698702,30.17108659263663

65. 嫌疑人通过什么软件向受害人发送内部通联软件？

微信

66. 嫌疑人向受害人发送的内部通联软件的md5值(大写)？

FAFC971D40CF0C7E4F0017B641844542

67. 该内部通联软件的包名是？

68. 该内部通联软件连接的服务器域名是？

可以用抓包

开启代理后再登录一下就出现疑似主服务器

69. 该内部通联软件申请了哪些权限

70. 该内部通联软件当前登录账号的创建时间是？(示例:2023-07-09 8:00:00)

71. 分析通联软件，该软件如何进入修改服务器选项页面？

这几个选项都试一下，双击logo

72. 分析通联软件，嫌疑人添加了几个好友？

还是刚才那个数据库

73. 分析通联软件，嫌疑人共向几个人发送了内部机密文件？

原神高手史蒂芬江森

战你娘亲

闻早起

摸鱼先锋米斯特奎恩

还有一个没名字，但是接收id和前面都不一样

id是5576108204的哥们

刘三姐的那个不算，是刘三姐给王玉直发的

74. 分析聊天记录，嫌疑人的上级的名称最可能是？

刘三姐

75. 分析聊天服务器，服务器上正在运行几个docker容器？

因为esxi3因为ssl证书过期了所以有一个虚拟机的服务起不来，域名服务器也起不来，这台服务器彻底放弃，好像就是在那知道密码的

这里用的esxi2也就不知道密码了，用GRUB绕过密码

在linux16这一行的最后面加上init=/bin/sh然后ctrl+x

13个

76. 分析聊天服务器，管理后台的端口号是多少？

用的默认端口号11001

77. 分析聊天记录，嫌疑人向闻早起发送了一个内部机密文件，它的sha256值(大写)？

应该是这个

其实在闻早起的u盘里有

78. 分析聊天服务器，后台管理设置了用户注册时的默认好友，他的账号id是什么？

在此之前要改一下.env配置文件

和/etc/profile文件

删除两个配置文件

docker compose -down

docker conpose up -d

为什么要改 .env因为 Docker 部署时，.env 里放的是这套服务启动时要用到的关键变量。当前官方文档明确要求修改 .env 里的外部地址，例如 MINIO_EXTERNAL_ADDRESS，否则图片和文件相关功能会异常；而你截图里的那种旧流程/旧分支里，.env 里还直接有 OPENIM_IP=127.0.0.1 这种默认值。虚拟机复现时，IP、网段、对外访问地址通常已经变了，所以不改的话，OpenIM 生成出来的配置仍可能指向旧 IP、127.0.0.1 或原宿主机地址。

为什么还要改 /etc/profile因为 OpenIM 这套初始化/修复思路里，OPENIM_IP 也会作为shell 环境变量使用。官方环境变量说明里专门写了 export OPENIM_IP=”ip”；而 OpenIM 社区在处理启动失败时，给出的修复步骤也是先 export OPENIM_IP=”external IP” 或内部 IP，再重启服务。把它写进 /etc/profile，再 source /etc/profile，本质上就是让这台虚拟机当前 shell 和后续登录会话都拿到正确的 OPENIM_IP。

为什么要删 openim-server/config/config.yaml 和 openim-chat/config/config.yaml因为这两个文件通常是已经生成好的结果文件。你前面把 .env 或环境变量改了，如果旧的 config.yaml 还在，服务很可能继续吃旧配置，导致新 IP 根本没生效。OpenIM 的配置生成文档说明，config.yaml 是由模板渲染出来的；而社区给出的针对这类错误的修复步骤，也明确包含先删掉这两个 config.yaml，再 docker compose down && docker compose up -d。这一步的目的就是强制按新的环境重新生成配置。

要登录后台账号

有两个数据库，但是一般用户名密码不会储存在redis上，直接看mongodb

docker-compose.yaml该给的都给了

没找到admin的配置文件，没法直接看出它是用什么加密的

但是account表里面有一串hash，e10adc3949ba59abbe56e057f20f883e

一眼丁真123456的md5

把admin的也改为e10adc3949ba59abbe56e057f20f883e

6898676456

79. 分析聊天服务器，该服务器共注册了多少用户？

11

80. 分析聊天服务器，手机号为18888888888的用户id是多少？

8597745829

数据分析

81. 教徒发展表格内共有几条数据？

教徒发展表.jpg文件里藏有一个xlsx，用binwalk就能分离

2818条

82. 对教徒发展表格内所有数据进行分析，在我国境内地理位置最西的地址为？（填写原始数据内容）

用ai做的

第1题表内可明确定位的境内西部地址，主要落在新疆。新疆相关原始地址里有乌鲁木齐、克拉玛依、五家渠、昌吉、石河子、喀什等；其中喀什在这些城市里最靠西，所以填：新疆喀什市解放南路195

第2题先从 use_address 里筛出杭州市相关地址，再剔除像 “广西南宁市杭州路40号” 这种“杭州”只是路名、并不在杭州的伪命中。之后按原始文本中直接可识别的杭州行政区比较，表内可用于稳定比较的有西湖区、拱墅区、下城区、江干区、萧山等；按这套口径，取：浙江省杭州市江干区

第3题use_birthplace 原始非空值一共是 34种写法，但省级归并后是 31个。归并时主要合并了这些不同写法：

•  北京 → 北京市
•  上海 → 上海市
•  天津 → 天津市
•  重庆 → 重庆市
•  四川 / 四川省 → 四川省
•  山东 / 山东省 → 山东省
•  浙江 / 浙江省 → 浙江省
•  广西省 → 广西壮族自治区

所以最终统计结果是：31个省、直辖市、自治区

新疆喀什市解放南路195

83. 对教徒发展表格内所有数据进行分析，在杭州市内地理位置最东的地址为？（填写原始数据内容）

浙江省杭州市江干区

84. 对教徒发展表格内所有数据进行分析，相关用户表格内填写的出生地共涉及几个省、直辖市、自治区？

31

85. 邪教组织所使用的域名有？

qzbw.zj和sys.lab,都是服务器取证里的

86. 邪教组织用于控制教徒的软件日志中，哪一日上线的教徒最多？（mm/dd，例如：3/21）

我让ai写了个脚本

import re
from collections import Counter
from pathlib import Path


LINE_RE = re.compile(
    r"^(\d{2}/\d{2})\s+(\d{2}):\d{2}\s+UTC.*@((?:\d{1,3}\.){3}\d{1,3})\b"
)


def main() -> None:
    day_counts = Counter()
    hour_counts = Counter()
    c_counts = Counter()

    for path in sorted(Path(".").glob("cslog*.txt")):
        with path.open("r", encoding="utf-8", errors="replace") as f:
            for line in f:
                match = LINE_RE.match(line)
                if not match:
                    continue

                day, hour, ip = match.groups()
                c_segment = ".".join(ip.split(".")[:3])

                day_counts[day] += 1
                hour_counts[int(hour)] += 1
                c_counts[c_segment] += 1

    top_day, top_day_count = sorted(day_counts.items(), key=lambda x: (-x[1], x[0]))[0]
    top_hours = sorted(hour_counts.items(), key=lambda x: (-x[1], x[0]))[:2]
    top_c, top_c_count = sorted(c_counts.items(), key=lambda x: (-x[1], x[0]))[0]

    print(f"上线教徒最多的日期: {top_day} ({top_day_count})")
    print(f"每日上线教徒最多和次多的整点: {top_hours[0][0]:02d};{top_hours[1][0]:02d}")
    print(f"上线最多的 IP 地址 C 段: {top_c}.* ({top_c_count}次)")


if __name__ == "__main__":
    main()

5/12

87. 邪教组织用于控制教徒的软件日志中，每日上线教徒最多的时间整点和次多的时间整点？（最多;次多，例如：21;12）

23;12

88. 邪教组织用于控制教徒的软件日志中，上线最多的IP地址c段，上线次数为？

39540