2024盘古石杯取证复现

一，赛前准备。

检材容器密码: 2b26ba7ed35d622d8ec19ad0322abc52160ddbfa

支婉婷(受害人)
手机报告 (手机报告.zip)
义言(嫌疑人)
Android 手机镜像 (Pixel.zip)
Windows 计算机硬盘镜像 (PC.001)
Windows 计算机内存镜像 (memdump.mem)
伏季雅(嫌疑人)
Android 手机备份 (Samsung.zip)
Windows 计算机硬盘镜像 (PC.E01)
毛雪柳(嫌疑人)
iPhone 手机镜像 (iPhoneXR.zip)
Windows 计算机硬盘镜像 (PC.E01)
Windows 计算机内存镜像 (memdump.mem)
服务器
IM 服务器硬盘镜像 (IM.dd)
Web 服务器硬盘镜像 (Web.dd)

二，伏季雅

(一)手机。

1.分析伏季雅的手机检材, 手机的安卓 ID 是

答案：9e6c9838dafe7ba0

分析地址：Samsung-基本信息-设备信息

文件地址：/data/system/user/0/settings_secure.xml:

2.分析伏季雅的手机检材, 手机型号是

答案:SM-G996

文件地址：我看其他师傅找到了一个叫deviceinfo.json的文件，里面有，但是我没有找到,但是根据其他信息也是可以查到的。

3.分析伏季雅的手机检材, 其和受害人视频通话的时间是[ 答案格式： 2024-01-01-04-05][ ★☆☆☆☆ ]

答案：2024-04-24-20-46

在qq的聊天记录里面总共打了两次电话，一次是2024年4月24日19点03，另一次是2024年4月24日20点46。

4.分析伏季雅的手机检材, 手机中安装了一款记账 APP, 该记账 APP 存储记账信息的数据库名称是

答案：MoneyLonerS2

在app分析中可以找到一个名为money lover的app，

去文件里面找com.bookmark.money，一般数据库的文件是在data里面的包名+databases

文件路径如下：Samsung/data/data/com.bookmark.money/databases

 在一个名为MoneyLoverS2数据库里面可以找到上面写着currencies(货币)的表，那么久就是这个数据库了。

用数据库查看也是可以看到账单的信息的

5.接上题, 该记账 APP 登录的邮箱账号是

答案：carleenloydlyis40@gmail.com

接上题，需要将数据库文件打开，才能看到，在上一题的数据库的user表里面可以找到电子邮件的登录地址

6.接上题, 该记账 APP 中记录的所有收入金额合计是

答案：279002

目前来说，有三种方法可以计算出所有的收入金额

way1：将手机仿真，直接看软件里面的内容

way2:记账的记录为transactions表，可以看到其中有一个cat_id字段，对应到categories表，根据cat_name可以判断cat_type值为1代表的是收入项目，值为2代表的是支出项目，所以在transactions表中，属于收入的记录的cat_id只能为36、37、38、39、40、41统计一下

SELECT SUM(amount) FROM transactions WHERE cat_id IN (SELECT cat_id FROM categories WHERE cat_type = 1)

way3： 分析数据库的表，发现transactions为交易数据。

select DISTINCT cat_id from transactions;

去重id，得到唯一的id值

确定交易类型(在label表)

SELECT search_name FROM label WHERE label_id IN (select DISTINCT cat_id from transactions);

 查询 label 表中 label_id 存在于 transactions 表中 cat_id 的所有唯一值对应的 search_name

 只有salary为收入，去label表里找，id为36

SELECT sum(amount) FROM transactions WHERE cat_id=36

最终得到所有salary的总和

7.接上题, 分析该记账 APP 中的消费记录, 统计从 2022-3-1(含)到 2023-12-1(含)期间, 用于交通的支出费用合计是

答案：6042

SELECT
	SUM( transactions.amount ) 
FROM
	"transactions",
	"categories" 
WHERE
	categories.cat_id == transactions.cat_id 
	AND categories.cat_type == 2 
	AND categories.cat_id == 19 
	AND transactions.created_date >= '2022-03-01' 
	AND transactions.created_date <= '2023-12-01';

可以得到结果

8.分析伏季雅的手机检材, 手机中诈骗 APP 的包名是

答案：w2a.W2Ah5.jsgjzfx.org.cn

9.分析伏季雅的手机检材, 手机中诈骗 APP 连接的服务器地址是

 答案：http://192.168.137.125/Home/Run/index

10.分析伏季雅的手机检材, 手机中诈骗 APP 的打包 ID 是

答案：__W2A__h5.jsgjzfx.org.cn

11 分析伏季雅的手机检材, 手机中诈骗 APP 的主启动项是

答案：io.dcloud.PandoraEntryActivity

一般来说，手机app的主启动项在AndroidManifest.xml文件中

AndroidManifest.xml 是 Android 应用的核心配置文件，它描述了应用的 组件、权限、硬件需求、应用入口 等重要信息。这个文件是 Android 应用的必备文件，在应用安装和运行时，Android 系统会读取这个文件来确定如何管理该应用。

雷电手机分析app可以直接看上面这个文件

上面不太好看，粘贴出来看，可以找到

(二)计算机。

1.分析伏季雅的计算机检材, 计算机最后一次错误登录时间是

答案：2024-04-25 09:53:24

2.分析伏季雅的计算机检材, 计算机中曾经浏览过的电影名字是

答案：审判的坠落

3.分析伏季雅的计算机检材, 计算机中团队内部即时通讯软件的最后一次打开的时间是

答案：2024-04-26 17:13:02

先要找到这个即使通讯软件

看看，应该就是这个

 在用户痕迹的应用程序运行记录里面搜索软件名，可以看到运行的记录

4.分析伏季雅的计算机检材, 计算机中有一款具备虚拟视频功能的软件, 该软件合计播放了多少个视频

答案：1

 在安装软件中，可以看到，上面有一个名为MvBox的软件

 搜索以后得知是一个播放的软件

打开仿真电脑看看这个软件 ,在视频里面可以看到确实有一个视频

5.接上题, 该软件的官网地址是

答案：htpp://www.mvbox.cn/

在edge浏览器的历史记录里面可以看到该软件的官网地址

6.接上题, 该软件录制数据时, 设置的帧率是

答案：15帧/秒

接着看电脑里面的软件，在录制这个功能的下方可以看见已经设置好的帧率是15帧/秒

7.分析伏季雅的计算机检材, 在团队内部使用的即时通讯软件中, 其一共接收了多少条虚拟语音

答案：4

接该嫌疑人的计算机分析的第三题，可以知道这个即使通讯软件是Mattermost，正确的方法应该是直接看这个软件的数据库，但是这里的数据库被删除了，因此需要搭建IM的服务器查看，但是我对服务器不太熟悉，直接看电脑的下载也是可以的，但是这种方法很有可能会漏

三，毛雪柳

(一)手机

1.分析毛雪柳的手机检材, 手机中有一个记账 APP，该 APP 的应用名称是

答案：iCost

在应用列表里面，可以看到这个应用的名字，后面有解释说是一个记账的软件。

2.分析毛雪柳的手机检材，记账APP存储记账信息的数据库文件名称是：[答案格式：tmp.db，区分大小写][★★★★☆]、

答案;default.realm

根据包名去文件列表里面搜索com.gostraight.smallAccountBook，再看文件有一个名为documents的文件夹中有一个default.realm文件，这就是我们要的数据库文件

default.realm 文件是 Realm 数据库 的默认存储文件。Realm 是一个高性能、跨平台的 移动数据库，常用于 iOS、Android 和 React Native 应用程序中，替代传统的 SQLite。

文件路径如下：private/var/mobile/Containers/Data/Application/9B67631C-CDFD-48FF-979C-36A785B58D8B/Documents

3.分析毛雪柳的手机检材，记账APP中，2月份总收入金额是多少：[答案格式：1234][★★★★★]

答案：11957

是一个新的数据库，需要先下载一个能打开这个数据库的应用，在Realm Studio打开，在https://github.com/realm/realm-studio?tab=readme-ov-file下载

看ICRecordModel表，但是现需要将时间转换一下，注意：这里的时间是毫秒级的，从里面复制一个出来看看，秒或者毫秒级的时间是对的，就是对应的级了

得到：2月开头的时间戳是 1706716800000

          3月1日凌晨的时间戳是1709222400000

过滤数据库文件中的时间在2024年范围内的 

timestamp >= 1706716800000 and timestamp < 1709222400000

总共有两种type，有一种是收入一种是支出，看PSNewRecordTypeSnapshot表，type=1是收入。

表里可以看到一个收入类型的属性，复制里面的内容就可以看出来type=1是收入。

加上过滤的条件为：

timestamp >= 1706716800000 and timestamp < 1709222400000 and type=1

得到收入有两个，分别来自工作和兼职，相加就是收入

4.析毛雪柳的手机检材，手机中团队内部使用的即时通讯软件中，团队老板的邮箱账号是：[答案格式：abc@abc.com][★★★☆☆]

答案：gxyt@163.com

先看应用列表，可以找到和伏季雅一样的即时通讯软件Mattermost，ios的系统和安卓的系统有点区别，通常将应用的数据库文件放在这个路径下

/var/mobile/Containers/Data/Application/{App_UUID}/Documents/或者

/var/mobile/Containers/Data/Application/{App_UUID}/Documents/

uuid怎么找？可以先在分析的应用列表里面找到这个app，然后跳转到源文件，文件的路径上面有uuid

然后根据上面的路径，就可以找到数据库文件

全路径：private/var/mobile/Containers/Shared/AppGroup/BBE0D501-AB0B-422E-9B4D-02E2D86130D4/databases/aHR0cDovLzE5Mi4xNjguMTM3Ljk3OjgwNjU=.db

为什么这里的路径不一样，因为：

App Group（应用组）机制

• iOS 允许 同一个开发者的多个 App 共享数据，而 AppGroup 目录用于存放 跨应用共享的数据。
• Containers/Shared/AppGroup/{GroupUUID}/ 目录存放 多个 App 可以访问的数据库、文件或缓存。
• 这个 BBE0D501-AB0B-422E-9B4D-02E2D86130D4 代表的是 App Group UUID，不同于单个 App 的 UUID。

下面是两组uuid的区别

📌 区别：App UUID vs. App Group UUID

类型	存放路径	UUID 示例	用途
App 的 UUID	/var/mobile/Containers/Data/Application/{UUID}/	5488D813-F9A1-47DB-A94F-ABE395FBD31C	每个 App 独立的沙盒目录
App Group 的 UUID	/var/mobile/Containers/Shared/AppGroup/{UUID}/	BBE0D501-AB0B-422E-9B4D-02E2D86130D4	多个 App 共享数据的目录

---

暂时没有找到有什么方法能快速定位app group的app的uuid，可以进去AppGroup文件夹的目录下找一下，后面就是把数据库挂起来

注，跟我们要的数据库文件同一目录下的数据库文件还有app.db,但是这个数据库文件通常是一个本地的数据库，用来存储用户设置等，而不是用户的数据

 在数据库的user表里面可以看到邮箱

去post表里面看 ，将user表里面的user_id过滤有可能的邮箱id，看话术，可以知道这个人大概率是老板

话术如下，带有很强的命令语气

5.接上题，该内部即时通讯软件中，毛雪柳和老板的私聊频道中，老板加入私聊频道的时间是：[答案格式：2024-01-01-04-05-06][★★★☆☆]

答案：2024-04-24 11:59:28

看到post里面，可以看到上面写老板进入了群组，转换一下时间戳

但是这里其实是有问题的，因为这里是群组，不是私聊，但是确实就是这样做的，哎！

6.接上题，该私聊频道中，老板最后一次发送聊天内容的时间是：[答案格式：2024-01-01-04-05-06][★★★☆☆]

答案：2024-04-25 15:24:07

按时间排序这个频道的信息，然后找看老板的行就行了

最后一条是

转换为

(二)计算机

1.分析毛雪柳的计算机检材, 计算机首次插入三星固态盘的时间是

答案：2024-04-25 19:08:08

看到计算机分析的安装软件里面的usb设备信息，可以看到有三星的硬盘设备接入

2.分析毛雪柳的计算机检材, 计算机操作系统当前的 Build 版本是

答案：19045.4291

在电脑分析里面的基本信息下的系统信息有当前的build的版本号

3.分析毛雪柳的计算机检材, 团队内部使用的即时通讯软件在计算机上存储日志的文件名是

答案：main.log

说到即时通讯软件，也就是之前的Mattermost，直接搜索日志文件的后缀，可以看到日志文件多在PC.E01/分区7/Users/gaotao/AppData/Local目录下，进去看

 可以找到唯一的日志文件

完整路径：PC.E01/分区7/Users/gaotao/AppData/Roaming/Mattermost/logs

4.分析毛雪柳的计算机检材, 伏季雅一月份实发工资的金额是

答案：9500

在电脑的回收站里面有账本，照样是在电脑里面有文件，但是需要密码

一般是在照片或者是聊天记录，最后才会是在数据库里面，但是这种大多数都是连续的，有线索，打开密码以后上面说这个密码是错误的

后面找到这个密码是在手机照片里面 

得到密码是：maoxl2024!%*! ,账本的内容如下(一月份工资表)

5.分析毛雪柳的计算机检材, 该团伙三月份的盈余多少

答案：158268

找到统计的表，上面直接写了盈余是158268

四，义言、

(一)手机

1.分析义言的手机检材, 手机中登录的谷歌邮箱账号是

答案：a2238346317@gmail.com

在分析里面有邮箱，看里面就有谷歌的邮箱账号

2.分析义言的手机检材, 手机的 MTP 序列号是

答案：FA6A80312283

MTP 序列（MTP Sequence）是什么？

MTP（Media Transfer Protocol，媒体传输协议）是一种用于 移动设备（如 Android 手机、数码相机等）和计算机之间传输文件 的协议。它是 PTP（Picture Transfer Protocol，图片传输协议） 的扩展，专门用于传输各种类型的媒体文件，如照片、视频、音乐等。

原文件路径：pixel/Basic/Adlockdown.json

3.分析义言的手机检材, 除系统自带的浏览器外, 手机中安装了一款第三方浏览器, 该浏览器的应用名称是

答案：悟空浏览器

4.接上题, 上述浏览器最后一次搜索的关键字是

答案：ai写文章生成器

5.接上题, 该浏览器最后一次收藏的网址是

答案：http://toutiao.com/a7361678286282490403

接上题，可以找到数据库文件

原文件地址：pixel/data/data/com.cat.readall/databases/news_article.db

将文件导出，用数据库软件打开 ，有三个时间属性，要按behot_time来排序，得到的结果是

6.分析义言的手机检材, 其所购买的公民信息数据, 该数据提供者的手机号码是

答案：13265159824

直接看手机的分析找不到什么有用的图片，查看文件里面的图片

原文件路径如下：pixel/data/media/0/Pictures/Screenshots

有照片内容，得到卖公民信息的电话号码

7.接上题, 卖家的收款地址

答案：bc1pvunxx2eyt0ljpzs9wp9tcrrdvssra97nnwls5463hxpf3xm69zms3yak85

接上题，在相同目录下可以看到买卖的信息

8.接上题, 购买上述公民信息, 义言一共支付了多少钱

答案：0.07364352 BTC

根据上题的收款地址，可以知道他们是通过比特币进行交易的，要去那里查询一下这个订单，但是查询的是后面的付款的内容

找到可以查询的网址，直接查询

9.接上题, 该笔交易产生的手续费是多少

答案：0.00006105 BTC

之前那个网站有手续费，但是上面不是比特币的单位，换一个网站，截图最上面的是手续费，最下面的是交易数额。

10.分析义言的手机检材, 分析团队内部使用的即时通讯软件, 该软件连接服务器的地址是

答案：http://192.168.137.97:8065

按前两个人的来看，这个应用是Mattermost，一般说到这种软件，多半是要去找数据库，找找应用的数据库看看

原文件地址：Pixel.tar/data/data/com.mattermost.rn/files/databases/下有两个数据库文件，可以都导出来看看

在数据库app.db里面看到有一个名为servers的表，打开里面可以看到服务器的地址

11.接上题, 该软件存储聊天信息的数据库文件名称是

答案：aHR0cDovLzE5Mi4xNjguMTM3Ljk3OjgwNjU=.db

看上一题导出来的另外一个数据库，在里面有一个名为Post的表，里面就有聊天的信息，因此可以看出来这个就是储存聊天信息的数据库。

12.接上题, 该即时通讯软件中, 团队内部沟通群中, 一共有多少个用户

答案：6

还是按上面的数据库和表来，对时间进行排序，可以看到一共有6个人加入了这个群组，其实做到前面遇见这个应用的数据库的时候就已经能知道了

13.接上题, 该即时通讯应用的版本号是

答案：2.15.0

在分析的app分析力里面查找包名可以得到这个应用的版本号

14.接上题, 该即时通讯应用中, 团队内部沟通中曾发送了一个视频文件, 该视频文件发送者的用户名是

答案：yiyan

在数据库的file表里面可以看到发送了一个MP4文件

看到有post_id是hctctn8bnbd7meywjpmk3z9dhh

 

去看post表，过滤刚刚得到的id

然后看过滤得到的id的user_id是多少 ，是：jrmi9kx8pfg9drc7b9dczh7neo

去找user表，知道这个人是yiyan

15.接上题, 分析该即时通讯的聊天记录, 团队购买了一个高性能显卡, 该显卡的显存大小是

答案：24G

还是看刚刚的聊天记录，有说买显卡，但是没有关键的信息，看看后面

没有直接说显卡的配置，而是给了一个京东的网址，打开看看，访问网址就可以看见是rog猛禽4090,24G内存 

16.分析义言的手机检材, 手机中装有一个具备隐藏功能的 APP, 该 APP 启动设置了密码, 设置的密码长度是多少位

答案：

仔细看app列表，可以看到上面有两个计算器，有一个包名是com.hld.anzenbokusufake的应用大小10mb，不像是一般的计算器，搜搜看。

om.hld.anzenbokusufake 是一款伪装成计算器的隐私保护应用，主要用于隐藏照片、视频等敏感文件，保护用户隐私。

play.google.com

主要功能：

• 伪装应用图标： 应用图标和界面设计成计算器的样子，隐藏其真实功能。

• 隐藏敏感文件： 用户可以通过该应用隐藏照片、视频等文件，防止他人查看。

• 双重密码保护： 支持设置主密码和伪装密码，进入不同的隐私空间。

使用方法：

1. 打开应用，界面显示为计算器。

2. 输入预设的密码并按 "=" 键，即可进入隐藏的隐私空间。

注意事项：

• 部分手机系统可能对该应用的隐藏功能有影响，使用前需了解相关兼容性问题。

  GitHub

总的来说，com.hld.anzenbokusufake 提供了一种巧妙的方式来保护用户的隐私文件，避免被他人轻易发现。

17.接上题, 分析上述隐藏功能的 APP, 一共隐藏了多少个应用

答案：

18.接上题, 分析上述隐藏功能的 APP, 该 APP 一共加密了多少个文件

答案：

19.接上题, 分析上述隐藏功能的 APP, 该 APP 加密了一份含有公民隐私信息的文件, 该文件的原始名称是

答案：

20.析义言的手机检材, 马伟的手机号码是

答案：

21.分析义言的手机检材, 手机中存有一个 BitLocker 恢复密钥文件, 文件已被加密, 原始文件的 MD5 值是

答案：

(二)计算机

1.分析义言的计算机检材, 计算机连接过的三星移动硬盘 T7 的序列号是

答案： X12720BR0SNWT6S

看分析里面的usb设备信息，找到三星的T7硬盘，看到序列化

2.分析义言的计算机检材, 计算机的最后一次正常关机时间是

答案：2024-04-28 18:51:56

找到开关机记录，然后按时间排序，就得到关机的时间

3.分析义言的计算机检材, 曾经使用工具连接过数据库, 该数据库的密码是

答案：root

可以看到电脑上有navicat，上面有链接记录，链接了一个mysql的数据库，账号和密码都是root

4.分析义言的计算机检材, 计算机中安装的 xshell 软件的版本号是

答案：build-0157

看安装的应用，过滤xshell，然后就可以看到版本名称，搜一下版本号

直接问ai

5.分析义言的计算机检材, 曾使用 shell 工具连接过服务器, 该服务器 root 用户的密码是

答案：root

6.分析义言的计算机检材, 计算机曾接收到一封钓鱼邮件, 该邮件发件人是

答案：Unique <838299176@qq.com>

网易邮箱里面有垃圾邮件，就是钓鱼文件

7.接上题，钓鱼邮件中附件的大小是多少MB：[答案格式：12.3]

答案：2.4

将邮件的附件导出，查看属性，会根据答案格式4舍5入。

8.接上题, 上述附件解压运行后, 文件的释放位置是[答案格式：D:\Download\test]

答案：C:\Windows\Temp

将导出的附件放在云沙箱里面，可以看到文件解压的默认路径

9.接上题, 恶意木马文件的 MD5 值是

答案：1877379d9e611ea52befbbe2c2c77c55

 

10.接上题, 恶意木马文件的回连 IP 地址是

答案：192.168.137.77

11.分析义言的计算机检材, 计算机中保存的有隐写痕迹的文件名

答案：

12.分析义言的计算机检材, 保存容器密码的文件大小是多少字节

答案：

13.分析义言的计算机检材, 一共训练了多少个声音模型

答案：

14.分析义言的计算机检材, 声音模型 voice2, 一共训练了多少条声音素材

答案;

15.分析义言的计算机检材, 声音模型 voice3, 一共训练了多少轮

答案：

16.分析义言的计算机检材, 声音克隆工具推理生成语音界面的监听端口是

答案：

17.分析义言的计算机检材, 电脑中视频文件有几个被换过脸

答案：

18.分析义言的计算机检材, 换脸 AI 程序默认换脸视频文件名是

答案：

19.分析义言的计算机检材, 换脸 AI 程序默认换脸图片的文件名称

答案：

20.分析义言的计算机检材, 换脸 AI 程序模型文件数量是多少个

答案：

(三)windows计算机内存

1.分析义言的计算机内存检材, 该内存镜像制作时间(UTC+8)是[答案格式：2024-01-01-04-05][★★☆☆☆]

答案：2024-04-25-14-18

2.分析义言的计算机内存检材, navicat.exe 的进程 ID 是

答案：9336

 vol -f A:\嫌疑人\义言\计算机\memdump.mem windows.dlllist.DllList | findstr navicat 

五，服务器

(一)IM服务器

1.分析内部IM服务器检材，在搭建的内部即时通讯平台中，客户端与服务器的通讯端口是：[答案格式：8888][★☆☆☆☆]

2.分析内部IM服务器检材，该内部IM平台使用的数据库版本是： [答案格式：12.34][★★☆☆☆]

3.分析内部IM服务器检材，该内部IM平台中数据库的名称是：[答案格式：小写][★★☆☆☆]

4.分析内部IM服务器检材，该内部IM平台中当前数据库一共有多少张表：[答案格式：1][★★☆☆☆]

5.分析内部IM服务器检材，员工注册的邀请链接中，邀请码是：[答案格式：小写数字字母][★★★☆☆]

6.分析内部IM服务器检材，用户yiyan一共给fujiya发送了几个视频文件：[答案格式：数字][★★★☆☆]

7.分析内部IM服务器检材，用户yiyan在团队群组中发送的视频文件的MD5值是：[答案格式：小写][★★★☆☆]

8.分析内部IM服务器检材，一个团队中允许的最大用户数是：[答案格式：数字][★★★★☆]

9.分析内部IM服务器检材，黑客是什么时候开始攻击：[答案格式：2024-01-01-04-05][★★★☆☆]

(二)WEB服务器

10.分析网站服务器检材，网站搭建使用的服务器管理软件当前版本是否支持32位系统：[答案格式：是/否][★☆☆☆☆]

11.分析网站服务器检材，数据库备份的频率是一周多少次：[答案格式：1][★★☆☆☆]

12.分析网站服务器检材，数据库备份生成的文件的密码是：[答案格式：admin][★★☆☆☆]

13.分析网站服务器检材，网站前台首页的网站标题是：[答案格式：百度][★★★☆☆]

14.分析网站服务器检材，受害人第一次成功登录网站的时间是：[答案格式：2024-01-01-04-05][★★★☆☆] 

15.分析网站服务器检材，前台页面中，港澳数字竞猜游戏中，进入贵宾厅最低点数是：[答案格式：1234][★★★☆☆]

16.分析网站服务器检材，受害人在平台一共盈利了多少钱：[答案格式：12][★★☆☆☆] 

17.分析网站服务器检材，网站根目录下，哪个路径存在漏洞：[答案格式：/Admin/User/register.php][★★★☆☆]

18.分析网站服务器检材，黑客通过哪个文件上传的木马文件：[答案格式：test.php][★☆☆☆☆]

19.分析网站服务器检材，网站使用的数据库前缀是：[答案格式：test_][★☆☆☆☆]

20.分析网站服务器检材，木马文件的密码是：[答案格式：123] [★☆☆☆☆]