某能力验证计算机镜像分析题解析

2025-12-22 04:01:11 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 这篇文章详细解析了计算机镜像分析能力验证的20道题目，涵盖了系统分区MD5计算、用户密码破解、应用安装时间、USB设备序列号、邮件信息、应用版本等多类取证场景。文章介绍了使用FTKImager、Mimikatz、RegRipper等工具进行取证分析的具体步骤，包括如何提取密码信息、分析注册表、查看邮件源码、处理加密容器等技术方法。这些内容对于进行计算机取证工作具有实用价值，可作为取证分析的参考指南。 综合评分： 91 文章分类： 逆向分析,实战经验,漏洞分析,安全工具,其他

某能力验证计算机镜像分析题解析

网络安全与取证研究

2025年12月19日%2008:01 北京

以下文章来源于凌风小屋，作者凌风

凌风小屋 .

专注于电子数据取证领域创作和分享

点击上方蓝字关注公众号

本文是某计算机镜像分析能力验证的题目全解析，涵盖%2020%20道核心题目，涉及系统分区%20MD5%20计算、用户密码破解、应用安装时间、USB%20设备序列号、邮件信息、应用版本等多类取证场景。解析过程详细介绍了%20FTK%20Imager、Mimikatz、RegRipper%20等工具的使用。

1.分析计算机镜像，识别镜像中对应Windows%20系统的系统分区(即通常挂载为C盘的逻辑分区)，计算该分区的MD5后6位。【答案格式:395A60】

答案：2C8871

步骤：先用FTK挂载镜像成文件树格式：点击「File」→「Add%20Evidence%20Item」选择目标镜像文件。

Windows%20系统分区（通常对应%20C%20盘）的核心特征是NTFS%20格式的大容量基本数据分区，结合界面信息，对应的分区如图所示：

分区标识：Basic%20data%20partition%20(4)

格式：NTFS（内部包含%20“BORAME%20(NTFS)”）

容量：71034MB（远大于恢复分区、EFI%20分区等辅助分区，符合系统分区的典型容量）

①选中%20Evidence%20Tree%20中的Basic%20data%20partition%20(4)（需选中分区节点本身），

②点击选择 Export Disk%20Image，在弹出的对话框中，

③点击Add…选择dd或者E01镜像格式，选择一个临时保存路径，

④勾选对话框内的Verify%20image%20after they%20are%20created选项（该选项会在读取分区数据时计算%20MD5）；

⑤点击Start，工具开始读取分区数据并计算%20MD5

2.分析计算机镜像，“NIK_W”用户名的登录密码是什么?【答案格式:11111111】

答案：123321

步骤：依据以下路径：根目录>root>windows>system32>config，最终在File%20List栏中定位到存储密码信息的SAM和SYSTEM文件，并通过右键点击port%20Files“文件执行”导出操作。

Mimikatz是提取Windows系统凭证数据的高效工具之一。启动Mimikatz程序前，需确保杀毒软件等处于关闭状态。将导出的SAM和SYSTEM文件放置于与应用程序相同的文件目录中

通过右击应用程序选择管理员方式运行并输入命令“lsadump::sam%20/sam:sam%20/system:system”，随后按下回车键，即可实现对系统中所有登录用户信息的检索。检索结果中包含用户的用户名以及以MD5算法加密的密码信息。

选取待解密的密码，复制至浏览器地址栏，访问https://www.cmd5.com/，进入CMD5解密平台执行密码解密操作。

3.分析计算机镜像，名称为“TablePlus6.1.1”的应用安装时间是?【答案格式:2025-11-15%2011:11:09】

答案：2024-10-05%2009:25:19

步骤：在FTK%20Imager中，定位到C``:\Windows\System32\config\目录。选中SOFTWARE文件（无后缀），右键→「Export%20File」，保存到本地目录。

用注册表取证工具RegRipper3.0打开。

打开1.txt，搜索“TablePlus”。

这是%20Windows%20系统注册表%20“Uninstall”%20项的信息记录，存储于Software、NTUSER.DAT%20等注册表%20hive%20中，主要用于支持系统%20“添加或删除程序”%20功能，同时也是计算机取证中软件安装时间溯源的常用数据来源。

4.分析计算机镜像，最后一次使用的USB设备序列号为?【答案格式:121212121212123】

答案：2536201609180000

步骤：同上，用注册表取证工具RegRipper3.0分析路径为C``:\Windows\System32\config``中``的SYSTEM文件，搜索“usbdevices”，查看模块的直接序列号字段，

LastWrite为设备最后操作时间，找出相应的SN码即此题答案。

5.分析计算机镜像，邮件主题“转账对照表”的接收时间是?【答案格式:2024/01/01%2010:10:09】

答案：2025/10/09%2018:10:14

步骤：打开Foxmail，找到收件箱中“转账对照表”邮件，右击此邮件目录->更多操作->查看邮件源码可查看。

6.分析计算机镜像，HBuilder应用的版本号为?【答案格式:11.11】

答案：4.29

步骤：仿真进去后，在桌面打开HBuilderX，在帮助中点击“关于”就能查看到答案。

7.分析计算机镜像，“2025-10-09%2017:29:35”打开的应用名称为?【答案格式:winrar.exe】

答案：photolaunch.exe

步骤：

C:\Windows\Prefetch为Windows%20预读取文件的默认存储路径,应用启动时，系统会根据其具体启动场景，如启动参数、加载的组件等，在此路径下生成对应的.pf%20文件%20。

2025-10-09%2017:29分打开的一共有三个，SIHOST.EXE%20与%20TEXTINPUTHOST.EXE为系统进程一般由系统自动触发而非用户主动打开，可予以排除，PHOTOLAUNCH.EXE为“WPS%20看图”%20应用。

8.分析计算机镜像，设置的代理端口为?【答案格式:纯数字】

答案：7781

步骤：直接搜索“代理”

9.分析计算机镜像，检材中曾登录的telegram绑定的手机号为?【答案格式:+8612345678】

答案：+56937644882

步骤：在检材桌面打开TG，发现是首次启动时的引导页面，在D:\images中找到tdata.zip（存储用户本地数据的核心文件夹），解压并替换到TG安装目录。打开TG就能看到手机号。

10.分析计算机镜像，名称为“EncryptFile”的计划任务，脚本中解密密码为?【答案格式:按实际值填写】

答案：MoVS%Su=G9XaQ6W3

步骤：右击计算机管理可查看计划任务。发现存在X盘，结合桌面上有VC加密容器，判断可能是加密磁盘，D盘目录下有可疑文件777，使用keylife.jpg作为密钥文件打开加密容器。

14.接上题，加密容器中，记录的外快到账总额为?【答案格式:纯数字】

答案：95880

步骤：输入错误密码后跳出提示“5位数字密码”，用passwarekit选择5位数字直接爆破。

用密码：54812打开文档计算总和得出答案。

15.分析计算机镜像，存在APP打包历史记录的时间为?【答案格式:2024-01-

0110:10】

答案：2024-10-05 15:45

步骤：HBuilderX本地打包的情况下可以在项目目录的unpackage/releas``/apk找到相应的apk右击查看属性

16.接上题，打包的apk应用appid值为?【答案格式:12ih3i1】

答案：H57FE3E07

步骤：打开HBuilderX，在manifest.json中可以直接查看

17.分析计算机镜像，收到的财务报销邮件，发送方ip为?【答案格式

1.1.1.1】

答案：183.219.136.175

步骤：右击此邮件目录->更多操作->查看邮件源码可查看。

注意：此IP不是发件人设备的内网 IP，而是发件人连接邮件服务商（这里是 QQ 邮箱）服务器时的公网 IP。

18.接上题，附件中，exe执行程序的md5值后6位为?【答案格式:字母大写

395A60】

答案：486674

步骤：

注意：此exe执行程序文件疑似后门病毒，请不要复制到本地电脑运行。

19.分析计算机镜像，虚拟机浏览器中域名为“yusau.top”用户名admin的密

码为?【答案格式:abc123】

答案：iu@9981

步骤：打开虚拟机中的虚拟机需要在本地VMware虚拟机设置中打开虚拟化，然后打开虚拟机。

打开检材中VMware，在VC加密磁盘中找到密码登录

打开谷歌浏览器，在右上角下拉框中找到设置，里面点击密码管理，就可以找到答案。

20.分析计算机镜像，虚拟机中正在开发的网站前端代码中记录的商务联系电话

是?【答案格式:15672818731】

答案：18179611121

步骤：打开后WebStrom发现试用过期了，将虚拟机内部时间往前调

打开后，右上角直接搜“商务”。

此文如有错误欢迎沟通指正。为确保个人隐私与数据安全，使用相关工具和方法时须严格遵守法律法规及道德准则，同时亦欢迎其他相关问题和策略的探讨。

往期推荐:

[Docker 容器取证操作解析：从 MySQL 配置到核心命令汇总

2025-12-09

](https://mp.weixin.qq.com/s?_biz=MzYzMTE5MDg4OA==&mid=2247484438&idx=1&sn=77fb5e88294969eca25b80f5cfb003e6&scene=21#wechatredirect)[BitLocker 磁盘加解密操作指南

2025-12-01

](https://mp.weixin.qq.com/s?_biz=MzYzMTE5MDg4OA==&mid=2247484410&idx=1&sn=4d5ef1a2687c3dc47a960612cdc53249&scene=21#wechatredirect)[【网络取证篇】取证实战之PHP服务器镜像网站重构及绕密分析

2025-11-28

](https://mp.weixin.qq.com/s?_biz=MzYzMTE5MDg4OA==&mid=2247484382&idx=1&sn=eeafa1bebea91ca18bdc675ef0ecf79e&scene=21#wechatredirect)[APK / IPA 安装包获取及静态分析实战

2025-11-17

](https://mp.weixin.qq.com/s?_biz=MzYzMTE5MDg4OA==&mid=2247484346&idx=1&sn=8260ace11072222392d8c7c7b07b1551&scene=21#wechatredirect)[ImmortalWrt 软路由系统取证技术与日志分析研究