文章总结： 文章为2025高校网络安全运维管理赛电子取证分析师赛道初赛的详细解题WriteUp，作者分析了四个检材共23道题目。检材1涉及WindowsAFF镜像分析，包括SAM哈希提取、WSL环境识别、Garmin运动记录FIT文件修复与解析；检材2为LinuxAArch64桌面与群晖NAS镜像，涵盖浏览器数据提取、SMB密码获取、ecryptfs加密文件夹解密；检材3针对ZFS磁盘阵列，进行RAID模式识别、存储池GUID提取及文件恢复；检材4聚焦AI诈骗服务器取证，包括XFS文件系统识别、Nginx域名解析、SSH密钥分析、Qwen3模型识别、rsyslog外发配置提取、Docker镜像密钥获取及向量数据库解析。全文展示了多平台取证、加密数据恢复及AI相关取证的完整技术链条。 综合评分： 85 文章分类： 电子取证,应急响应,数据安全,安全工具,AI安全

# 2025高校网络安全运维管理赛—电子取证分析师赛道初赛

原创

M4nd3l3y3v M4nd3l3y3v

金星路406取证人

2026年2月8日 20:28 广东

题目可能是不太全。若有表述错误，恳请大佬们留言指教了

解压密码均为：202510_3kGHBmXWaaR4yJYb3H2R

请分析【检材1】，并对以下问题作答。

第一个检材是AFF格式的镜像，尝试x-ways打开失败，后来想起来可以用7z搭配forensics7z.64.dll插件，浏览很方便，取证新神器了说是。

1镜像中用户“berserker”的密码哈希为

13844b0cc3aa353c8df3fbf8c6aa68f8;直接将SAM文件和SYSTEM文件从镜像中摘出来，SAM储存账户信息，SYSTEM储存了SAM数据库的Bootkey二者缺一不可

知识点回顾：

mimikatz的使用方法privilge::debug #获得调试权限，允许访问lsass.exe，作用是安全认证，储存密码哈希和Kerberos票据并且创建访问令牌token::elevate #把权限提升到system级别sekurlsa::logonpasswords #提取用户凭据lsadump::sam /sam:[SAM_path] /system:[SYSTEM_path] #指定SAM和system文件提取用户凭据

2镜像中是否安装了Linux环境，若有，请给出Linux发行版名称（全小写）

wsl –list–verbose查看linux环境的发行版本即可

opensuse

3.用户桌面上存在一个从运动设备中导出的运动记录文件，该文件存在损坏，请尝试修复并给出修复后的SM3校验值 （全大写）

回收站提到了 Garmin Fenix 8，有对应的SDK，所以下载fitsdk，用activityrepairtool.jar即可。

D5D6C76F55913E9A3FF7939BCA6757EA385963A379F2C1E6C3D166B130D6F8FD

4.解析修复后的文件，请给出该运动记录中最高时速（单位KM/H，保留两位小数）

这里用fitsdk的fitcsvtool转成csv打开用速度排序即可，啊，注意单位呵呵呵呵

26.603*3.6=95.77

5.解析修复后的文件，文件中记录的该设备的制造商名称为（全小写）

这题用在线网站fitfileviewer看被修复的文件即可。答案是strava

请分析【检材2】，并对以下问题作答。

检材2-1.qcow2 是一 Linux AArch64 桌面系统的磁盘镜像。检材2-2-NAS.img 是群晖存储磁盘镜像。

6从浏览器中提取dsm的设备名

catdiskrecorder

7从系统中提取群晖smb共享的密码

6Cz开头那个就是

8从群晖系统中获取加密共享文件夹中最早创建的文件的创建时间(格式为 2000-01-20 17:42 ，半角标点，精确到分钟)

浏览器记录那里有一个创建shared_info的记录，到nas的img文件找对应名字的文件夹里文件看时间；这题有点怪怪的，我感觉还是1970的答案比较对？？

9该加密文件系统使用的加密软件套件为（全小写，例，bitlocker）

ecryptfs

10从群晖加密文件夹中的excel文件获取第一个受害人的手机号码

群晖NAS通过ecryptfs对文件系统进行加密。由浏览器可知，shared_info.key即为ecryptfs的密钥，但是这个密钥是经过群晖默认密码加密的，解密密钥变回明文可以用ufs的password unwrap tools的功能，然后，也是ufs右键整个文件系统用得到的解密后的密钥文件对文件系统解密，即得到记录.xlsx

1391783251

请分析【检材3】，并对以下问题作答。

11、12、15UFS直接一把梭，把三个镜像放进去就有了;13、14需要先FTK挂载三个E01，由于是ZFS文件系统，所以需要一个安装了zfs的linux虚拟机。

11该磁盘阵列的文件系统名为

zfs

12该磁盘阵列的raid模式为

raid2z

13该存储池的guid（十进制形式）与存储池物理存储总大小为（单位字节，使用-连接，例，37981267462-96725636）

14存储池内根文件系统的guid（十进制形式）为

13、14这个思路也是没想到的。是用装好了ZFS的虚拟机挂载三个磁盘镜像，再用zpool工具查询；

虚拟机不知道为啥一直有点问题，这里过程就略了

15文件系统中 evdb64.txt 中包含的有效信息为（长度为30的hex字符串）

文件里有base64，这个base64是一张图片，放到010里，paste from base64即可文件头FFD8，是jpg格式，jpg图片就是一串文字如下：

ecff737c62052218b1988a5d1216ed

请分析【检材4】，并对以下问题作答。

警方破获了利用AI进行诈骗的服务器并进行取证，请你分析相关数据。

检材4要先去nmcli配网，修改子网网址、网关、还有改interface-name为ens33

16服务器rootfs采用的文件系统格式（全小写，如：apfs）

这提问的是根目录使用的文件系统。

然后可以df -h（disk free、human readable）可以看到所有挂载的文件系统；查看磁盘的空闲空间，里面包含了物理磁盘的物理分区以及LVM的逻辑分区、内存文件系统等等。LVM则完成以下工作；首先是物理磁盘上有物理分区，LVM选择物理分区变成其管辖的物理卷PV，多个PV形成卷组VG，再根据卷组划分出LV卷，比如/dev/mapper/klas-root，将其格式化为文件系统后挂载到根目录下；所以这个/dev/mapper/klas-root格式化出的文件系统类型即为答案。

然后用blkid查看块设备的详细信息就能看到文件系统是xfs

块设备主要包含物理磁盘、物理分区、物理卷、逻辑卷、USB、软盘光驱这些，可以用lsblk看

17AI诈骗站点的域名。

翻找nginx的配置文件nginx.conf发现域名，同时域名和docker的端口（docker ps）也是能对上的 注：镜像有docker是查看ip a发现的：

y8fmin.wf941021.org

18服务器运维人员的主机名（全小写，如：web01）。

思路——远程运维——ssh——公钥——找.ssh的authorized_key即可

文件的结构是公钥算法—公钥内容—公钥持有者标识→反映了个人信息

akiyamachine

19用于诈骗聊天的AI模型名称（如：DeepSeek-V3.1-Terminus）。

这个找到/app/app.py就有了。是千问。

Qwen3-30B-A3B-Instruct-2507

20操作系统日志外发的服务器IP地址（如：114.51.4.1）。

日志外发是将本服务器上的日志发送到其他服务器上避免储存压力，rsyslog和syslogng都是常用的外发日志服务，外发日志的相关配置仍然在/etc之下，配置文件指定发送日志、协议和地址,@表示UDP协议传输、@@为TCP传输，后面跟着外发服务器的地址。

21开发人员调用AI模型服务所使用的密钥（如：sk-6yd0c2cybncn6w0zma8zyhabjxn9a）。

这个把docker镜像的内容导出来，可以找到.ak文件an-m2h0xum6l59cgmx7hy3ctolligvkf，而在docker容器里是没有的

22开发人员的邮箱（全小写，如：[email protected]）。

这思路我真没想到，可以把邮箱和github挂钩，所以这题是要暴搜到.git，然后git bash用git log命令就能看到邮箱；

23“机票退款”类型诈骗页的域名（全小写，如：example.com）。

回顾一下LLM的原理

首先检索器会根据用户输入msg，在向量数据库（开发者可以自定义高质量的向量数据库，用通用LLM大模型训练专属LLM就是在这一步）里寻找近似的文档，最后再根据预训练知识组织答案，在这个过程中，LLM会把msg拆开，以向量数据库引用内容和预训练知识为凭据，计算下一个最有可能出现的字，然后拼接答案（因此训练数据不够的LLM就会“胡言乱语“，甚至词不成句）

所以作为一个诈骗用的LLM，其诈骗相关的内容在向量数据库里，docker里面的数据库是空的，但在/opt/aipowah还有一个备份，里面的文本base64解密出来也没有机票相关内容；最后/home/oper/.cache/downloads/202510.zip里又发现同名向量数据库，这备份绕来绕去的终于找对了，压缩包加密的尝试明文解密即可，用容器内requirements.txt，最后数据库里发现多段诈骗话术，机票的如下：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：金星路406取证人 M4nd3l3y3v M4nd3l3y3v《# 2025高校网络安全运维管理赛—电子取证分析师赛道初赛》