2toD和0RAYS拿下10和12名！感谢snow skipshot zhugeshi JBNRZ 等师傅

题目背景

爱⽽不得，进⽽由爱⽣恨。作为有⿊客背景的他，激发出了强烈的占有欲，虽然不能在真实物理世界成 为她的伴侣，但在虚拟世界⾥，他执着的要成为她的主宰，于是，我们的故事开始了……。⼿机，电 脑，服务器，⽊⻢，AI，Iot设备……⽆⼀幸免的都成为他的作案⼯具或⽬标，但最终在诸位明察秋毫的 取证达⼈⾯前，都⽆处遁形，作恶者终将被绳之以法。追悔莫及的他最后终于明⽩，其实真正的爱，不 是占有，⽽是放⼿！！！

2025年4⽉，杭州滨江警⽅接到辖区内市⺠刘晓倩(简称：倩倩)报案称：其个⼈电⼦设备疑似遭 ⼈监控。经初步调查，警⽅发现倩倩的⼿机存在可疑后台活动，⼿机可能存在被⽊⻢控制情况； 对倩倩计算机进⾏流量监控，捕获可疑流量包。遂启动电⼦数据取证程序。

警⽅通过对倩倩⼿机和恶意流量包的分析，锁定⼀名化名“起早王”的本地男⼦。经搜查其住所， 警⽅查扣⼀台个⼈电脑和服务器。技术分析显示，该服务器中存有与倩倩设备内同源的特制远控 ⽊⻢，可实时窃取⼿机摄像头、⼿机通信记录等相关敏感⽂件。进⼀步对服务器溯源，发现“起 早王”曾渗透其任职的科技公司购物⽹站，获得公司服务器权限，⾮法窃取商业数据并使⽤公司 的服务器搭建Trojan服务并作为跳板机实施远控。

请你结合以上案例并根据相关检材，完成下⾯的勘验⼯作。

计算机取证

1分析起早王的计算机检材，起早王的计算机插入过usb序列号是什么(格式：1)

就这一个
F25550031111202

2分析起早王的计算机检材，起早王的便签里有几条待干(格式：1)

仿真打开

5

3分析起早王的计算机检材，起早王的计算机默认浏览器是什么

Microsoft Edge

4分析起早王的计算机检材，起早王在浏览器里看

过什么小说

道诡异仙

5分析起早王的计算机检材，起早王计算机最后一次正常关机时间【格式：2020/1/1 01:01:01】

最后一次关机
2025/4/10 11:15:29

6分析起早王的计算机检材，起早王开始写日记的时间【格式：2020/1/1】

有个sandbox，进去以后看到有diary，再进去打开就可以看到日记本了

2025/3/3

7- 分析起早王的计算机检材，SillyTavern中账户起早王的创建时间是什么时候

2025/3/10 18:44:56

8分析起早王的计算机检材，SillyTavern中起早王用户下的聊天ai里有几个角色(格式：1)

4

9分析起早王的计算机检材，SillyTavern中起早王与ai女友聊天所调用的语言模型(带文件后缀)(格式：xxxxx-xxxxxxx.xxxx)

Tifa-DeepsexV2-7b-Cot-0222-Q8.gguf

刚开始写到Kobold去了。。发现模型是不对的

10分析起早王的计算机检材，电脑中ai换脸界面的监听端口(格式：80)

7860

11分析起早王的计算机检材，电脑中图片文件有几个被换过脸(格式：1)

3

12分析起早王的计算机检材，最早被换脸的图片所使用的换脸模型是什么(带文件后缀)(格式：xxxxxxxxxxx.xxxx)

排序一下，最早被换的是上面那个,在 E:\facefusion_3.1.10\facefusion_3.1.1.jobs\completed下可以找到

inswapper_128_fp16.onnx

13分析起早王的计算机检材，neo4j中数据存放的数据库的名称是什么(格式：abd.ef)

启动有密码，

学习笔记里找到账号密码

登录即可找到 graph.db

14分析起早王的计算机检材，neo4j数据库中总共存放了多少个节点(格式：1)

17088

15分析起早王的计算机检材，neo4j数据库内白杰的手机号码是什么(格式：12345678901)

MATCH (n {name: '白杰'}) RETURN n

13215346813

（X）16分析起早王的计算机检材，分析neo4j数据库内数据，统计在2025年4月7日至13日期间使用非授权设备登录且登录地点超出其注册时登记的两个以上城市的用户数量(格式：1)

不会，赛后复现
要使用联合查询多个数据库，查询代码：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19


MATCH (u:User)-[:HAS_LOGIN]->(l:Login)-[:FROM_IP]->(ip:IP)
MATCH (l)-[:USING_DEVICE]->(d:Device)
WHERE 
  l.time < datetime('2025-04-14')
  AND ip.city <> u.reg_city
  AND NOT (u)-[:TRUSTS]->(d)
WITH 
  u,
  collect(DISTINCT ip.city) AS 异常登录城市列表,
  collect(DISTINCT d.device_id) AS 未授权设备列表,
  count(l) AS 异常登录次数
WHERE size(异常登录城市列表) > 2
RETURN 
  u.user_id AS 用户ID,
  u.real_name AS 姓名,
  异常登录城市列表,
  未授权设备列表,
  异常登录次数
ORDER BY 异常登录次数 DESC;

44

17分析起早王的计算机检材，起早王的虚拟货币钱包的助记词的第8个是什么(格式：abandon)

draft

18分析起早王的计算机检材，起早王的虚拟货币钱包是什么(格式：0x11111111)

拿助记词恢复密码，然后就可以看到了
0xd8786a1345cA969C792d9328f8594981066482e

19分析起早王的计算机检材，起早王请高手为倩倩发行了虚拟货币，请问倩倩币的最大供应量是多少(格式：100qianqian)

浏览器中有sepolia.etherscan.io区块链交易网站记录，复原后搜索到qianqianbi

1000000qianqian

20分析起早王的计算机检材，起早王总共购买过多少倩倩币(格式：100qianqian)

看记录就知道了
521qianqian

21分析起早王的计算机检材，起早王购买倩倩币的交易时间是(单位：UTC)(格式：2020/1/1 01:01:01)

2025/3/24 2:08:36

AI部分

分析crack文件，获得flag1(格式：flag1{123456})
分析crack文件，获得flag2(格式：flag2{123456})
分析crack文件，获得flag3(格式：flag3{123456})
分析crack文件，获得flag4(格式：flag4{123456}) 下载里有crack.zip，打开以后就是一个AI对话界面，按道理是通过对话获得flag的，但是学长直接用一个解混淆的github项目破解出来了
https://github.com/Lil-House/Pyarmor-Static-Unpack-1shot

破解Pyarmor混淆，之后就可以看到原来的源码了

flag1{you_are_so_smart}
flag2{prompt_is_easy}
flag3{no_question_can_kill_you}
flag4{You_have_mastered_the_AI}