介质1.请综合分析计算机和手机检材，计算机最近一次登录的账户名是admin2.请综合分析计算机和手机检材，计算机最近一次插入的USB存储设备串号是S3JKNX0JA05097Y 3.请综合分析计算机和手机检材，谢弘的房间号是（）室201在文档中存在一个加密容器storage和三个压缩文件，全部导

题解zip解压之后，拿到一个被偷走的文件.pcapng文件wireshark打开有提示说，文件被盗走，说明是下载流量，ftp过滤一下发现线索，flag.rar但是这几个包都不是文件传输的包ftp-data这个才是，然后选择导出就行，（也可以用foremost直接分离被偷走的文件.pcapng这个文件）导出之后，发现

前言pcapng文件是PacketCaptureNextGeneration的缩写，是一种新型的网络数据包捕获文件格式。与旧版的pcap文件格式相比，pcapng文件格式支持更多的特性和信息。例如，它可以记录多个网卡的数据，可以记录数据包的注释、时间戳、数据包来源等信息。此外，pcapng文件格式还支持更多的数据

http://bmzclub.cn/challenges#2020sdnisc-%E6%8D%9F%E5%9D%8F%E7%9A%84%E6%B5%81%E9%87%8F%E5%8C%851.pcapng无法使用wireshark打开可能破坏了pcapng的文件结构，但是应该不会破坏数据内容，尝试使用foremost看看能不能从这个数据包中分离出什么东西得到一个zip压缩包，解压得到key.tx

这种一个简单流量包，就先看看是不是存在flag、f14g、f1ag、fl4g等字符串。​通过下面命令，可快速找到flag：grep"fl4g"-awebshell.pcapng或者stringswebshell.pcapng|grep

1.已有方案如下link告知在pcap文件中如何使用(Pre)-Master-Secret文件，以及如何把pcap和(Pre)-Master-Secret文件转为pcapng文件。https://wiki.wireshark.or

由题目可以得知是一个文件，由于是pcapng文件，于是用wireshark打开,有很多数据包，我们通过过滤http流得到看到第五个存在图片追踪即可得到flag