文章总结： 该文档为2026年FIC网络安全竞赛的完整解题报告(Writeup)，系统记录了移动终端、计算机、服务器、互联网和二进制程序五个赛道的取证分析过程。报告通过设备信息提取、数据库解密、交易记录追踪、恶意软件分析等技术手段，详细还原了参赛者李安弘的手机活动、云服务器部署及隐私数据泄露路径。关键发现包括：恶意APP通过伪装视频应用收集用户联系人、短信等敏感权限；聊天记录显示与网站搭建人员的加密货币交易；无人机飞行轨迹定位至米脂县。报告提供了完整的题目答案和可复现的技术分析思路，具备较强的实战参考价值。 综合评分： 85 文章分类： CTF,取证分析,移动安全,WEB安全,恶意软件

二进制程序部分

| 题号 | 答案 | | — | — | | 分析u盘检材，找到其中保存的加密程序SampleVC.e | 764789dd9c095d74b6b258cf0f7568b2 | | 分析SampleVC.exe，该程序编译的日期可能是什么 | 2026-04-17 | | 分析SampleVC.exe，正确的密码是什么？（答案格 | PleaseRunAsAdmin | | 分析u盘检材，利用SampleVC.exe解密U盘中被加 | vhd | | 分析u盘检材，找到被加密的交易记录，统计李安弘虚拟币收款 | 186948.09 USDT |

移动终端部分

1. 分析手机检材，该手机型号为

答案Redmi Note 7 Pro

分析思路

分析要点

• 定位：手机型号通常优先看系统基础信息、提取报告或 build.prop 中的 ro.product.model 字段。
• 判断：截图中的设备信息显示机型为 Redmi Note 7 Pro，与系统属性中的产品型号一致。
• 验证：同一型号信息在系统设置/检材概览中可交叉验证，因此答案取 Redmi Note 7 Pro。

证据截图：img 097

证据截图：img 098

3. ngrok提供的域名为

答案blemish-junior-unengaged.ngrok-free.dev

分析思路

分析要点

• 定位：ngrok 域名常出现在启动脚本、日志、shell 历史和临时目录中。
• 检索：在 /root、/home、/etc、/var/log、/tmp 等位置搜索 ngrok-free、ngrok.dev 等关键词。
• 结论：命中的 ngrok 域名为 blemish-junior-unengaged.ngrok-free.dev。

在 SSH 服务器上直接跑这几组，找 ngrok 提供的域名。

grep -RInaE 'ngrok|ngrok-free|ngrok\.io|ngrok\.app|ngrok\.dev' \  /root /home /etc /var/log /var/www /tmp /var/tmp 2>/dev/null

证据截图：img 099

根据检索到的配置/日志确认 ngrok 映射域名。

证据截图：img 100

二进制程序部分

分析u盘检材，找到其中保存的加密程序SampleVC.exe，请给出这个exe程序的md5值？（答案格式：c4ca4238a0b923820dcc509a6f75849b）

答案764789dd9c095d74b6b258cf0f7568b2

分析思路

分析要点

• 定位：在 U 盘检材根目录中找到加密程序 SampleVC.exe。
• 取证：对原始文件直接计算 MD5，注意不要对拷贝后被修改的文件或解压中间文件取哈希。
• 结论：MD5 为 764789dd9c095d74b6b258cf0f7568b2。

证据截图：img 101

分析SampleVC.exe，该程序编译的日期可能是什么？（答案格式：2025-06-06）

答案2026-04-17

分析思路

分析要点

• 定位：PE 文件的编译时间通常来自 COFF File Header 的 TimeDateStamp。
• 判断：用 Detect It Easy、PE 工具或脚本读取时间戳并转换为日期。
• 结论：程序编译日期可能为 2026-04-17。

证据截图：img 102

分析SampleVC.exe，正确的密码是什么？（答案格式：abcdefghABCDEFGH）

答案PleaseRunAsAdmin

分析思路

分析要点

• 定位：程序校验输入长度为 16，并对输入做异或后再进行 AES-128 ECB 加密比较。
• 还原：先 AES 解密固定校验密文，再与固定异或掩码做 XOR，得到原始输入。
• 结论：正确密码为 PleaseRunAsAdmin。

SampleVC.exe 是 64 位 Windows GUI 程序，导入了 VirtDisk.dll。整体流程为：校验密码后解密 vc 文件，生成 vc.vhd，再挂载虚拟磁盘。

密码校验逻辑如下：

| 步骤 | 说明 | | — | — | | 1 | 输入必须为 16 个可打印 ASCII 字符 | | 2 | 程序将输入转换为 UTF-8 字节 | | 3 | 先与固定掩码异或，再进行 AES-128 ECB 加密 | | 4 | 将加密结果与固定校验密文比较 |

关键参数：

| 项目 | 值 | | — | — | | AES key | 0123456789abcdef0123456789abcdef | | 校验密文 | afb977ac242ad60cf42461ad72ca5149 | | 异或掩码 | 7f 82 85 88 8b 8e 91 94 97 9a 9d a0 a3 a6 a9 ac |

逆向还原过程：

AES_decrypt(afb977ac242ad60cf42461ad72ca5149) = 2f ee e0 e9 f8 eb c3 e1 f9 db ee e1 c7 cb c0 c2  plaintext = decrypted_bytes XOR xor_mask           = PleaseRunAsAdmin

分析u盘检材，利用SampleVC.exe解密U盘中被加密的文件，解密后的文件的后缀是什么？（答案格式：exe）

答案vhd

分析思路

分析要点

• 定位：根目录中除程序外还有 vc 文件，逆向可知它是被 RC4 加密的磁盘镜像。
• 解密：使用上一题得到的 PleaseRunAsAdmin 作为 RC4 key 解密 vc。
• 结论：解密结果为 vc.vhd，因此文件后缀为 vhd。

根目录主要文件如下：

/SampleVC.exe /vc

vc 文件 SHA256：

BEA7E02272371728929F857AF897B4F717378EB110CA2553C72902427ADA88A3

结合程序逆向可知，vc 是被 RC4 加密的 VHD 文件。程序用输入密码作为 RC4 key 解密：

key = PleaseRunAsAdmin vc  -> vc.vhd

解密后得到 vc.vhd，且 VHD 内存在一个 Excel 交易流水文件，因此后缀为 vhd。

分析u盘检材，找到被加密的交易记录，统计李安弘虚拟币收款地址钱包总收款金额为【参考格式：1.00】

答案186948.09 USDT

分析思路

分析要点

• 定位：挂载解密得到的 VHD，在其中查找交易流水 Excel 文件。
• 统计：筛选李安弘虚拟币收款地址相关的入账记录，只汇总收款方向的 USDT 金额。
• 结论：累计收款金额为 186948.09 USDT。

证据截图：img 103

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：赛查查 《2026FIC Writeup(全解)》