文章总结： 本文是2025美亚杯电子取证团体赛的部分解题报告（writeup），涉及黄智华手机、冯子超手机及笔记本电脑三份检材的取证分析。内容涵盖WhatsApp群组与消息解析、WiFi连接记录与BSSID提取、iOS照片数据库与HEIC文件溯源、智能家居APP米家的账号与设备信息提取、PDF隐写术（PDFStego工具）、凯撒密码解密、TrueCrypt加密容器挂载、以及虚拟货币钱包助记词的追踪获取等。文章按题目编号逐步给出解题思路与工具操作截图，对参赛选手具有一定的取证实操参考价值。 综合评分： 55 文章分类： 实战经验,CTF,漏洞POC,移动安全,代码审计

---

35 在所有手机中, 哪一个 WhatsApp 群组中存有一些 CEO 及 CFO 的会议记录的残缺数据

A. [email protected]

B. [email protected]

C. [email protected]

D. [email protected]

E. [email protected]

E

在whatsapp的文件传输记录中可以看到一些会议记录

36 在该群组中, 曾发放过多少段与虚拟货币投资相关的视频

3

点击vtt的会议字幕文件，都和虚拟货币投资相关

37 这些视频在 Manson 公司的哪一个服务器中找到

A. 外送邮件服务器(SMTP)

B. 网络储存服务器(NAS)

C. 活动目录服务器 (AD)

D. 网页服务器 (WEB)

E. 以上皆非

B

在nas服务器里

38 有哪一部手机曾经使用光学字符识别(OCR)功能

38-42没找到OCR相关应用

A. FUNG_CC_mobile.zip

B. CHAN_MH_mobile.zip

C. LEUNG_YL_mobile.zip

D. LEUNG_SM_mobile.zip

E. WONG_CW_mobile.zip

E

暂无解析

39 根据上一题, 共使用了多少次光学字符识别(OCR)功能

A. 1

B. 2

C. 3

D. 4

E. 无法判断

B

暂无解析

40 根据日期时间顺序, 第二次使用光学字符识别(OCR)功能是对应什么手机的 APP

A. 原生相机软件

B. Chrome 浏览器

C. 即时通讯软件”WhatsApp”

D. 即时通讯软件”Telegram”

E. 谷歌翻译软件

C

暂无解析

41 根据上一题, 使用光学字符识别(OCR)功能的日期与原文件的建立日期相差多少天

A. 1

B. 2

C. 3

D. 4

E. 5

C

暂无解析

42 该手机使用的光学字符识别(OCR)功能的版本是什么

暂无答案

43 有哪一个摄影 APP 不会将照片存放到原生相册当中

com.uazoo.ssc

在com.uazoo.ssc这个软件目录看到两个照片

去相册中没看到这两张照片

44 根据上一题, 有多少段照片或视频是由这个 APP 拍摄的

A. 1

B. 2

C. 3

D. 4

E. 5

B

由上题可知

冯子超的笔记本电脑

01 请列出加密文件”Manson”内藏的是什么文件

login.xlsx

先搜索一下这个文件，搜索到了容器还有图片

应该考察的是图片引写，图片扔进随波逐流里

提示凯撒密码，一键解码

团队赛47题答案就得出来了

仿真之后用Truecrypt挂载一下

02 经调查得知, 在 Duncan_laptop.e01 镜像文件中, 发现有一个档案的资料, 跟 mason_finance 数据库中的用户资料很相似﹐怀疑嫌疑人用不法手段盗取, 是什么档案

user.csv

在windows上有一个kali的虚拟机，添加为新检材仿真一下

在home路径中看到一个user.csv，打开看看

就是这个了

03 经调查得知, 在 Duncan_laptop.e01 镜像文件中, 发现有一个图片涉及与 May 讨论 IQ coin 的对话, 请问该文件的 SHA256 是多少

A2F39164F6CA3EB561A9B16450414939C0B6A7640F0993DD19775A5118D634B1

相同目录下有一个聊天记录的图片，和题意相符

计算一下sha256

04 经过比对三人的对话记录, 综合时间线分析及数码证据分析, 你相信三人各自拥有一个私匙, 操作这个钱包,  并且将相关的助记词巧妙地收藏. 请根据参赛材料, 运用你的技能查获这些助记词, 以便充公犯罪线索和证据. 在Duncan_laptop.e01  的证据文件中, 发现有一个压缩文件”PDFStego-master (2).zip”怀疑与案件有关, 请回答文件的密码是多少

pass1234

在虚拟机的桌面可以看到这个压缩包

爆破一下密码

05 根据上一题, 将上述压缩文件解压缩后, 其中有一个 pdf 文件内藏有其他文件, 请问该 pdf 文件的 SHA256 哈希值是多少

37422CE276A0B4B28C1592B5C8D10D86DC619E8EF7226B3E761CDF2E7BB8A6BA

文件夹里有工具pdfstego，以及使用说明

报错说明没有，失败说明有引写痕迹，计算一下哈希

06 根据上一题, 除了上述 pdf 文件外, 以下哪些 pdf 文件同样内藏有其他文件

i) Recovery Seed1.pdf

ii) Recovery Seed (2).pdf

iii) Recovery Seed (3).pdf

iv) Recovery Seed (4).pdf

A. 只有 iii

B. 只有 iv

C. ii, iii, iv

D. i, ii, iii, iv

B

在桌面可以找到这几个文件，一个一个用命令试

07 经调查得悉, PDFStego-master 是一个加密软件, 若要解密冯子超的虚拟钱包的助记词文件, 需要借助以下哪个 PDF 文件

A.Recovery Seed1.pdf

B.Recovery Seed (2).pdf

C.Recovery Seed (3).pdf

D.Recovery Seed (4).pdf

D

根据这道题与下道题的密码一个一个试，而且上题说了，就4有引写，所以大概率都是4

08 除了需要借助上述的 PDF 文件解密, PDFStego-master 还需要输入正确密码去解密, 以下哪一组是用作开启冯子超虚拟钱包助记词文件的密码

A.Duncan

B.P@ssw0rd

C.FungDuncan

D.DuncanFung

E.Duncan123

D

一个一个试

09 根据上一题, 经调查得知, 在那些被收藏了文件在内的 pdf 文件中, 能够找到有关冯子超的虚拟钱包助记词的文件, 以下哪些是当中的助记词

A.apple banana cherry dog

B.maple sprint quartz lantern

C.alice forest crystal breeze

D.anchors boundary century dimension

A

查看助记词文件

10 根据上一题, 这个虚拟钱包助记词文件的 SHA256 哈希值是多少

457E718C63C8729CCC743B89BB966C82CC5E696156431E80ECF7520CAE2C2247

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：云影安全实验室 Serendipity Serendipity《2025美亚杯团体赛wp（黄智华手机+冯子超手机、电脑）》