盘古石杯全国电子数据取证大赛晋级赛wp（未完）

案情简介

2023年4月，公安机关接到受害人张娟报案称自己在“USDTRE”虚拟币投资理财平台被骗。据公安机关了解，受害人张娟在抖音平台推送的“物联智慧购”兼职刷单招聘平台注册了个人信息，后有一位自称是“物联智慧购”兼职招聘的工作人员容某与自己联系，双方还互加了微信好友。刚开始，受害人通过兼职刷单获得了一些利润，后容某向其推荐了“USDTRE”投资理财平台，还向其介绍了投资导师魏某，在魏某的指导下，受害人刚开始获利，大额投资后无法提现，方知被骗。公安机关接警后，立即成立专案小组，通过公安机关的侦查与分析，锁定了该诈骗团伙的业务窝点，并将容某和魏某抓获，并扣押了容某的安卓手机1部、苹果电脑1台，魏某的安卓、苹果手机各1部，电脑1台。同时，公安机关还摸排到了该诈骗团伙的设备窝点，并在设备窝点抓获了平台技术人员臧某，扣押了臧某的安卓手机1部，电脑1台，软路由1台，调证服务3台，调证数据库1个。以上检材已分别制作了镜像，检材清单见附件。请结合案情，对上述检材进行勘验与分析，完成以下题目。

检材清单

对象	检材类型	检材名称
受害人	勘验报告	受害人手机勘验报告.pdf
	APK	刷刷樂.apk 未来资产.apk
容恨寒	电脑	PC.raw
	手机	坚果pro3.zip
魏文茵	电脑	PC.E01 memdump.mem
	手机	iPhone 6.zip Pixel 7.zip
臧觅风	电脑	zang.E01 memdump.mem
	手机	Pixel 7.zip
	软路由	disk1.E01 disk2.E01 disk1.E03 disk2.E04
调正数据	服务器	server01.E01 server02.E01 server03.E01
	数据库	data.tar

另外，发现了三个介质取证软件的部分特点：

密码：取证大师

浏览器记录：火眼

内存\动态链接库：盘古石

Android程序分析
1.涉案应用刷刷樂的签名序列号是(答案格式：123ca12a)(★☆☆☆☆)

0x11fcf899
2.涉案应用刷刷樂是否包含读取短信权限(答案格式：是/否)(★★☆☆☆)

否
3.涉案应用刷刷樂打包封装的调证ID值是(答案格式：123ca12a)(★★☆☆☆)

A6021386163125
4.涉案应用刷刷樂服务器地址域名是(答案格式：axa.baidun.com)(★★★☆☆)

vip.shuadan.com

5.涉案应用刷刷樂是否存在录音行为(答案格式：是/否)(★★★☆☆)

是

雷电好像不行，用星源
6.涉案应用未来资产的包名是(答案格式：axa.baidun.com)(★☆☆☆☆)

plus.H5CE4B30D
7.涉案应用未来资产的语音识别服务的调证key值是(答案格式：1ca2jc)(★★☆☆☆)

IFLY_APPKEY

8.涉案应用未来资产的服务器地址域名是(答案格式：axa.baidun.com)(★★★☆☆)

vip.usdtre.club
9.涉案应用未来资产的打包封装的调证ID值是是(答案格式：axa.baidun.com)(★★☆☆☆)

  H5CE4B30D

移动智能终端取证
1.根据容恨寒的安卓手机分析，手机的蓝牙物理地址是(答案格式：B9:8B:35:8B:03:52)(★☆☆☆☆)

A9:8B:34:8B:04:50
2.根据容恨寒的安卓手机分析，SIM卡的ICCID是(答案格式：80891103212348510720)(★☆☆☆☆)

89014103211118510720
3.根据容恨寒的安卓手机分析，团队内部沟通的聊天工具程序名称是(答案格式：微信)(★☆☆☆☆)

potato
4.根据容恨寒的安卓手机分析，团队内部沟通容恨寒收到的最后一条聊天信息内容是(答案格式：好的)
(★★★☆☆)

 

找到有聊天记录的表

筛选排序，解base64

PEJURj48Rm9udCBuYW1lPSJNaWNyb3NvZnQgWWFIZWkiIHNpemU9IjEwIiBmbGFncz0iMSIgLz48VGV4dD7lkI7pnaLlho3nu5nkvaDku6zmkJ48L1RleHQ+PC9CVEY+

后面再给你们搞
5.根据容恨寒的安卓手机分析，收到的刷单.rar的MD5值是(答案格式：
202cb962ac59075b964b07152d234b70)(★★☆☆☆)

 暴搜

 dc52d8225fd328c592841cb1c3cd1761

6.根据容恨寒的安卓手机分析，收到的刷单.rar的解压密码是(答案格式：abcdg@1234@hd)(★★★☆☆)

第四题的表里找到

密码规则：
前五位：wlzhg
末尾两位：片区简写“xn”
中间四位：0-9随机数组合
各部分用@连接
示例：wlzhg@8888@xn

跑个字典出来爆破就好了

7.根据容恨寒的安卓手机分析，发送刷单.rar的用户的手机号是(答案格式：15137321234)(★★★★☆)

 18969939616
8.根据容恨寒的安卓手机分析，发送多个报表的用户来自哪个部门(答案格式：理财部)(★★★★★)

进行批量的base64解密

臧觅风发了很多文件

找到一个关联的表

技术部
9.根据容恨寒的安卓手机分析，MAC的开机密码是(答案格式：asdcz)(★☆☆☆☆)

 

 apple
10.根据容恨寒的安卓手机分析，苹果手机的备份密码前4位是(答案格式：1234)(★☆☆☆☆)

同上

1976
11.根据魏文茵苹果手机分析，IMEI号是？(答案格式:239471000325479)(★☆☆☆☆)

358360063200634
12.根据魏文茵苹果手机分析，可能使用过的电话号码不包括？(答案格式:13527821339)(★☆☆☆☆)

 A、18043618705
B、19212175391
C、19212159177
D、18200532661

13.根据臧觅风的安卓手机分析，微信ID是(答案格式：wxid_av7b3jbaaht123)(★☆☆☆☆)

 wxid_kr7b3jbooht322
14.根据臧觅风的安卓手机分析，在哪里使用过交友软件(答案格式：杭州)(★★★☆☆)

中国西安未央

15.根据臧觅风的安卓手机分析，嫌疑人从哪个用户购买的源码，请给出出售源码方的账号(答案格式：
1234524229)(★☆☆☆☆)

 5768224669
16.根据臧觅风的安卓手机分析，购买源码花了多少BTC？(答案格式：1.21)(★☆☆☆☆)

0.08
17.根据臧觅风的安卓手机分析，接收源码的邮箱是(答案格式：asdasd666@hotmail.com)(★☆☆☆☆)

 

 molihuacha007@hotmail.com

18.嫌疑人容恨寒苹果手机的IMEI是?(答案格式:2000-01-01)(★★☆☆☆)

353271073008914
19.嫌疑人容恨寒苹果手机最后备份时间是?(答案格式:2000-01-01)(★★☆☆☆)

同上

2023-04-12 21:20:59
20.嫌疑人容恨寒苹果手机“易信”的唯一标识符（UUID）？(答案格式:2000-01-01)(★★★★☆)

/AppDomain-com.yixin.yixin/Documents/login_device_id_v1

ec677dda-3387-4337-9b44-f7daae4fb29c
21.嫌疑人容恨寒苹果手机微信ID是?(答案格式:2000-01-01)(★☆☆☆☆)

计算机取证
1.嫌疑人魏文茵计算机的操作系统版本?(答案格式:Windows 7 Ultimate 8603)(★☆☆☆☆)

Windows 10 Professional 14393

需要加build！！！

2.嫌疑人魏文茵计算机默认的浏览器是?(答案格式:Internet Explorer)(★☆☆☆☆)

 Google Chrome

3.嫌疑人魏文茵计算机中以下那个文档不是嫌疑人最近打开过的文档?(答案格式:D)(★☆☆☆☆)

A、掠夺攻略.docx
B、工资表.xlsx
C、刷单秘籍.docx
D、脚本.docx

4.嫌疑人魏文茵计算机中存在几个加密分区?(答案格式:3个)(★★☆☆☆)

 1

5.嫌疑人魏文茵计算机中安装了哪个第三方加密容器?(答案格式:VeraCrypt))(★☆☆☆☆)

 TrueCrypt

6.接上题，嫌疑人魏文茵计算机中加密容器加密后的容器文件路径？(答案格式:C:\xxx\xxx)(★★☆☆☆)

 C:\Users\WH\Documents

7.嫌疑人魏文茵计算机中磁盘分区BitLocker加密恢复秘钥为?(答案格式: 000000-000000-000000-
000000-000000-000000-000000-000000))(★★★☆☆)

发现D盘有卷影分析

 000649-583407-395868-441210-589776-038698-479083-651618

8.嫌疑人魏文茵计算机中BitLocker加密分区中“攻略.docx”文档里涉及多少种诈骗方式?(答案格式:11)
(★☆☆☆☆)

38

9.投资理财团伙“华中组”目前诈骗收益大约多少?(答案格式:10万)(★★☆☆☆)

 
10.通过对嫌疑人魏文茵计算机内存分析，print.exe的PID是？(答案格式:123)(★★☆☆☆)

法一：

 法二：

 728

11.根据臧觅风的计算机分析，请给出技术人员计算机“zang.E01”的SHA-1?(答案格
式:7B2DC1741AE00D7776F64064CDA321037563A769)(★☆☆☆☆)

239F39E353358584691790DDA5FF49BAA07CFDBB

12.根据臧觅风的计算机分析，请给出该技术人员计算机“zang.E01”的总扇区数？(答案格
式:100,000,000)(★★☆☆☆)

 536,870,912

13.根据臧觅风的计算机分析，以下那个文件不是技术人员通过浏览器下载的？(答案格式:A)(★☆☆☆☆)
A.WeChatSetup.exe
B.aDrive.exe
C.Potato_Desktop2.37.zip
D.BaiduNetdisk_7.27.0.5.exe

14.根据臧觅风的计算机分析，请给出该技术人员邮件附件“好东西.zip”解压密码？(答案格式:abc123)
(★★★★★)

 手机tg里面提到过

 kangshifu0008

15.根据臧觅风的计算机分析，该技术人员电脑内曾通过远程管理工具连接过服务器“master.k8s.com”,请给出连接的端口号？(答案格式:22)(★★☆☆☆)

2282

16.根据臧觅风的计算机分析，接上题，请给出服务器的密码？(答案格式:password(★★★★☆)

 P@ssw0rd

17.根据臧觅风的计算机分析，据该技术人员交代，其电脑内有个保存各种密码的txt文件，请找出该文件，计算其MD5值？(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)(★★★★★)

C1934045C3348EA1BA618279AAC38C67 

18.根据臧觅风的计算机分析，该技术人员曾使用过加密容器反取证技术，请给出该容器挂载的盘符？
(答案格式:A)(★☆☆☆☆)

 可以看到这里的f盘是没有的，而火眼里是有F盘的相关记录的

F

19.根据臧觅风的计算机分析，请给出该技术人员电脑内keePass的Master Password？(答案格
式:password12#)(★★★★☆)

 Elcomsoft Forensic Disk Decryptor解密

 使用内存镜像解密

 

 导出后挂载f盘

xiaozang123!@#

20.根据臧觅风的计算机分析，请给出该技术人员所使用的爬虫工具名称？(答案格式:xxx)(★★☆☆☆)

 后羿采集器

21、根据臧觅风的计算机分析，接上题，该技术人员通过该采集器一共采集了多少条人员信息数据？[答案格式:10,000][★★★★★]

 容恨寒的手机中有相关文档

 100

17

18970

96

29

 13

19,225

22.根据臧觅风的计算机分析，以下那个不是该技术人员通过爬虫工具采集的数据？(答案格式:A)
(★☆☆☆☆)
A.中国证券投资基金业协人员信息
B.仓山区市场监督管理局行政执法人员信息
C.清平镇卫生院基本公共卫生服务
D.仓山区市场监督管理局行政执法人员信息

23.根据臧觅风的计算机分析，该嫌疑人曾浏览过“阿里云WebDAV”，请给出该“阿里云WebDAV”端口号？(答案格式:2211)(★★☆☆☆)

 8080

24.根据臧觅风的计算机分析，请给出该技术人员电脑内代理软件所使用的端口号？(答案格式:2211)
(★★☆☆☆)

 7890

25.根据臧觅风的计算机分析，接上题，请给出该代理软件内订阅链接的token？(答案格
式:abc1234df334…)(★★☆☆☆)

 d4029286acc8bfd97818d5f8724f0f0a

26.根据臧觅风的计算机分析，请给出该技术人员电脑内用于内部通联工具的地址和端口？(答案格式:ww
w.baidu.com:1122)(★★★☆☆)

potato里面

 im.pgscup.com:6661

27.根据臧觅风的计算机分析，请给出该电脑内存镜像创建的时间（北京时间）？(答案格式:2023-05-06
14:00:00)(★☆☆☆☆)

2023-04-27 17:57:53

28.根据臧觅风的计算机分析，以下那个不是“chrone.exe”的动态链接库？(答案格式:A)(★★★★☆)
A.ntdll.dll
B.iertutil.dll
C.wow64cpu.dll
D.wow64win.dll

 
29.根据臧觅风的计算机分析，请给出“\REGISTRY\MACHINE\SYSTEM”在内存镜像中的虚拟地址是多
少？(答案格式:0xxxxx123…)(★★☆☆☆)

volatility -f E:\取证试题\23盘古石\臧觅风\电脑\memdump.mem --profile=Win10x64_10586 hivelist

30.根据臧觅风的计算机分析，据嫌疑人交代，其电脑上曾存打开过一个名为“账号信息.docx”的文档，请给出该文档的最后访问时间（北京时间）？(答案格式:2023-05-06 14:00:00)(★★★★☆)

 2023-04-27 17:55:32
31.根据臧觅风的计算机分析，接上题，请给出该文档的存储路径？(答案格式:C:\xxx\xxx)(★★★☆☆)

D:\backup\mydata

32.嫌疑人容恨寒苹果电脑的系统版本名称是？(答案格式:注意大小写)(★☆☆☆☆)

 macOS 12.6

33.嫌疑人容恨寒苹果电脑操作系统安装日期是？(答案格式:2000-01-01)(★★☆☆☆)

 2022-10-09

34.嫌疑人容恨寒苹果电脑的内核版本是？(答案格式:xxxxx 11.0.4，注意大小写)(★☆☆☆☆)

 Darwin Kernel Version 21.6.0

35.嫌疑人容恨寒苹果电脑有多少正在运行的后台程序？(答案格式:20)(★★☆☆☆)

36.嫌疑人容恨寒苹果电脑最后一次关机时间（GMT）？(答案格式:2000-01-01 01:00:09)(★★☆☆☆)

2023-04-14 07:55:50 

注意时区

37.嫌疑人容恨寒苹果电脑执行过多少次查询主机名称命令？(答案格式:20)(★★★☆☆)

30
38.从嫌疑人容恨寒苹果电脑中找出“陆文杰”提现金额是？(答案格式:20)(★★★★☆)

 

rar有加密，爆破

potato里提到过

 10

这里有点没搞明白提现指的是啥

39.从嫌疑人容恨寒苹果电脑中找出嫌疑人容恨寒上午上班时长是？(答案格式:8小时)(★★★★☆)

在脚本里面

40.从嫌疑人容恨寒苹果电脑中找出“万便”的邮箱是？(答案格式:xxx@xxx.xx)(★★★★☆)

 

 IxCnq3@yDp.net

41.通过分析得出嫌疑人容恨寒小孩的年龄是？(答案格式:10岁)(★★★☆☆)

 14

二进制文件分析
1.根据魏文茵的计算机分析，恶意程序加了什么类型的壳(答案：asdcz)(★★☆☆☆)、

2.根据魏文茵的计算机分析，恶意程序调用了几个dll(答案：1)(★★★☆☆)
3.根据魏文茵的计算机分析，恶意程序中send函数被多少个函数调用(答案：1)(★★★☆☆)
4.根据魏文茵的计算机分析，恶意程序远控端ip(答案：120.1.2.3)(★★☆☆☆)
5.根据魏文茵的计算机分析，恶意程序远控端端口(答案：123)(★★☆☆☆)
6.根据魏文茵的计算机分析，恶意程序用到是tcp还是udp(★★★☆☆)
A.tcp
B.udp
7.根据魏文茵的计算机分析，恶意程序能执行几条命令(答案：123)(★★★★☆)
8.根据魏文茵的计算机分析，恶意程序加密电脑文件对应是哪个命令(答案：1a)(★★★☆☆)
9.(多选题)根据魏文茵的计算机分析，恶意程序加密哪些后缀文件(★★★☆☆)
A.docx
B.xlsx
C.pdf
D.doc
10.根据魏文茵的计算机分析，编写该程序电脑的用户名是(答案：12345)(★★★★★)
11.嫌疑人魏文茵计算机中“工资表.xlsx”中，发放工资总金额为：(答案格式:12345))(★★★★★)

暗网取证
1.臧觅风电脑使用暗网浏览器版本是？(答案格式：10.0.0)(★☆☆☆☆)

Zang!@#123

加载

找到浏览器

102.9.0
2.臧觅风电脑使用的暗网浏览器历史记录中最多浏览内容是？(答案格式：制作)(★★☆☆☆)

 比特币市场

3.臧觅风电脑使用的暗网网浏览器书签“社工库”添加的时间是？(答案格式：2000-01-01 01:00:09)
(★★★★☆)

打开后可以发现一些数据

这里是关于第二题的

book_marks表里面有社工库的书签

或者整盘导出用火眼我觉得应该也是行的，我没试过

2022-05-27 21:49:33
4.臧觅风电脑使用的暗网浏览器第一次使用时间是？(答案格式：2000-01-01 01:00:09)(★★★☆☆)

2023-04-12 10:19:06

5.臧觅风电脑使用的暗网浏览器扩展应用中“ftp.js”文件的md5值是？(答案格式：字母小写)(★★★★★)

 导出后解压，算哈希得到答案

 

 ea86403d1de3089b3d32fe5706d552f6

物联取证

1.请给出该软路由管理的IP地址？(答案格式:192.168.1.1)(★☆☆☆☆)

仿真

192.168.8.28
2.请给出该软路由管理员的密码？(答案格式:admin123!@#)(★★★☆☆)

软路由的密码就是服务器的密码，用cat /etc/shadow

扫描软件或者手搓后md5解密

3.请给出阿里云WebDAV的token？(答案格式:bac123sasdew3212…)(★★☆☆☆)

拿到虚拟机第一步是配网

主机ping不通

去etc/config/network里编辑

只有lan一块网卡是有配置的，下面是我的配置

就能ping通了

拿第二题的密码登录

afc455bdc29a45b18f3bae5048971e76
4.请给出该软路由所用机场订阅的token？(答案格式:bac123sasdew3212…)(★★☆☆☆)

可以看到这里服务有很多

但是这个ShadowSocksR Plus+在运行且链接里含有token

502f6affe3c7deb071d65fb43effc06d
5.请给出该软路由数据卷的UUID？(答案格式:8adn28hd-00c0c0c0…)(★★☆☆☆)


9a89a5ec-dae6-488a-84bf-80a67388ff37

 在挂载点同样可以看到

还有一种方法

blkid

6.请给出该软路由的共享路径？(答案格式:/home/data)(★★☆☆☆)

/mnt/data

 共享服务没有开！

 网络共享是开启了的

 里面有共享目录的路径的

/mnt/data

法二：

cat /etc/samba/smb.conf

现在就要尝试连接，搞到下一部分的嵌套检材

不然下一部分没题做喽

现在是第一个方法

 

 IM文件夹

这应该就是下一部分的检材了

法二：

把文件管理器启用

账号密码在Rclone里面，为admin、admin

 

同样可以找到

服务器取证

 

好像不太行

对vmx文件进行检查，确定使用虚拟机使用的镜像是2019-000002.vmdk

 进行仿真，有个密码锁

 随便输入密码后出现这样的情况

看了许专家的wp

 How to Encrypt Your Windows System Drive With VeraCrypt

在火眼中对三个进行分析查找

找到密码

应该是磁盘加密的密码

 P@ssw0rd解锁

有一个管理台

一个数据库，一个服务系统，一个管理系统

先配网

把远程打开

 连网探

 可以开始做题了

1.请给出IM服务器的当前Build版本？(答案格式:11111)(★☆☆☆☆)

 17763.379

2.请给出IM聊天服务的启动密码？(答案格式:3w.Baidu.com)(★★★★★)

123w.pgscup.com

3.请给出该聊天服务器所用的PHP版本？(答案格式:7.2.5)(★★★★☆)

7.4.32
4.请给出该服务器所用的数据库类型及版本？(答案格式:mysql 5.7.1)(★★★★★)

MariaDB 10.4.12
5.请给出该服务器MySQL数据库root账号的密码？(答案格式:3w.baidu.com)(★★★★★)

查找关键词system吧

DBType=mysql
DBServer=127.0.0.1
DBPort=3306
DBName=antdbms
DBUser=root
DBPassword=www.upsoft01.com
DBPoolSize=20
MDBServer=127.0.0.1
MDBPort=27017
MDBUser=
MDBPassWord=
RedisServer=127.0.0.1
RedisPort=6379
RedisPassword=www.upsoft01.com
SupportMobie=0DBDsn=mysql

6.请给该IM服务器内当前企业所使用的数据库？(答案格式:admin_admin)(★★★★☆)

接下来重构总控制台

 似乎没有相关配置信息

回看前面的全局配置

 没头绪

 通过_ACCOUNT_PASSWORD_ERROR_进行跟踪

 尝试直接把密码判断注释掉

导出后替换

成功

 antdbms_usdtreclub

7.请给出该组织“usdtreclub”内共有多少个部门（不含分区）？(答案格式:1)(★★★☆☆)

进入通讯录管理平台

在刚才的数据库里找到用户表

用管理员密码解md5

付费的

成功

**这里同样可以尝试绕过

晚点回来写（如果我还记得）

6
8.客户端消息传输采用哪种加密形式？(答案格式:A)(★★☆☆☆)
A.AES128
B.AES256
C.DES
D.Base64

9.以下那个不是此系统提供的应用？(答案格式:A)(★★☆☆☆)
A.云盘
B.审批
C.会议
D.考勤

10.请给出“ 2023-04-11 21:48:14”登录成功此系统的用户设备MAC地址？(答案格式:08-AA-33-DF-1A)
(★★★☆☆)

 

80-B6-55-EF-90-8E
11.请给出用户“卢正文”的手机号码？(答案格式:13888888888)(★★★★☆)

     13580912153

 前面的搓出来后面就是送分了

集群服务器取证

仿真，打开，查看ip

 

1.请给出集群master节点的内核版本？(答案格式:2.6.0-104.e11.x86_64)(★☆☆☆☆)
2.请给出该集群的pod网络？(答案格式:192.168.0.0/24)(★★★★☆)
3.请给出该集群所用的网络插件？(答案格式:abcd)(★★☆☆☆)
4.默认ns除外，本集群共有多少个ns？(答案格式:1)(★★★☆☆)
5.请给出该集群的集群IP？(答案格式:192.168.0.0)(★★☆☆☆)
6.请给出该ns为“licai”svc为“php-svc”的访问类型？(答案格式:Abc)(★★☆☆☆)
7.请给出ns为“shuadan”下的的PHP版本？(答案格式:1.1)(★★★★★)
8.请给出本机集群所使用的私有仓库地址？(答案格式:192.168.0.0)(★★★★☆)
9.接上题，请给出登录该私有仓库所用的token？(答案格式:bae213ionada21…)(★★★★★)
10.请给出“licaisite”持久化存储的大小？(答案格式:10G)(★★☆☆☆)
11.接上题，请给出对应的存储持久化声明名称？(答案格式:abc-abc)(★★★☆☆)
12.请给出集群内部署网站所使用数据库的IP地址和端口号？(答案格式:192.168.0.0:8080)(★★★☆☆)
13.请给出网站“vip.kefu.com”所使用的端口号？(答案格式:8080)(★★☆☆☆)
14.请给出网站“vip.shuadan.com”连接数据库所使用的账号和密码？(答案格式root/password)
(★★★★★)
15.请给出调证数据库的版本号？(答案格式5.7.1)(★★★★★)
16.请给出刷单网站客服域名？(答案格式:http://www.baidu.com:8080/login.html)(★★★★★)
17.请给出理财客服系统用户“admin”共有多少个会话窗口？(答案格式:123)(★★★★★)
18.刷单客服是嵌套在刷单源码下那个文件内，请给出该文件在网站源码内的目录和文件名？(答案格
式:www.baidu.com:8080/login.html)(★★★★★)
19.请统计出刷单网站后台累计提现成功的金额？(答案格式:1000)(★☆☆☆☆)
20.请给出受害人上级的电话号码？(答案格式:13888888888)(★★★☆☆)
21.请给出刷单网站受害人加款的时间（北京时间）？(答案格式:2023-05-06 14:00:00)(★★★☆☆)
22.该理财网站曾经被挂马，请给出上传木马者的IP？(答案格式:192.168.10.10)(★★★☆☆)
23.接上题，请找到此木马，计算该木马的md5？(答案格式:123dadgadad332…)(★★★☆☆)
24.请统计该投资理财平台累计交易额为多少亿？(答案格式:1.8)(★★☆☆☆)
25.请给出该虚拟币投资平台内用户“李国斌”的银行卡号？(答案格式:622222222222222)(★★★☆☆)
26.分析该虚拟币投资平台财务明细表，用户“13912345678”共支出多少钱（cnc）, 结果保留两位小数？
(答案格式:10000.00)(★★★★★)