2024美亚个人
文件系统和re是部分不怎么懂,没怎么写,其余的都多少写完了。
检材下载
官网
案情介绍
2024年8月某日,香港警方接获一名本地女子Emma报案,指她的姐姐Clara失联多天,希望报告一宗失踪人口的案件。现在你被委派处理这宗案件。在处理该案件期间,你在Emma的同意下提取了她手机的资料,并且协助警方对Clara及其丈夫David的电子装备进行取证工作。请分析以下的资料,还原事件经过。
(1)Emma的iOS手机镜像档案(Emma_Mobile_Image.zip)
(2)Clara的安卓手机镜像档案(Clara_Smartphone.bin)
(3)David的Windows系统计算器镜像档案(David_Laptop_64GB.e01)
(4)David的8GB U盘镜像档案(David_USB_8GB.e01)
(5)David的安卓手机镜像档案(David_Smartphone_1.zip)
(6)David的Windows系统计算器内存档案(RAM_Capture_David_Laptop.raw)
检材密码
eS2%u@q#hake2#Z@6LWpQ8T(R7cg95m\Bv+y;$=/dqxYnEusFf)tb>:HKHwy+e%cR\r=9j:GsK)AV52/3hXfdv8#u7a6JQpz><YPNkq*!&
题目
[单选题]Emma 已经几天没有收到她姐姐 Clara的消息了,报警失踪, 她焦虑地将手机提交给警察,希望能找到线索。警察将手机交给你进行电子数据取证。你成功提取了Emma手机的镜像。 请根据取证结果回答以下问题。 根据Emma_Mobile.zip, Emma和Clara的微信聊天记录,Emma最后到警署报案并拍摄写有报案编号的卡片,拍摄时的经纬值是多少? (2分)
A. 22.451721666667, 114.171853333333
B. 22.451553333333, 114.172845
C. 22.451928333333, 114.170503333333
D. 22.451638333333, 114.16993
emma的手机检材更像是提取了一部分,并不是很完整,再者题目说到拍摄时的经纬度,那么就得找到相册,再看图片的属性或者进行识图。检材里图片存放的位置是在微信的目录下,路径:\Active\var\mobile\Applications\group.com.tencent.xin\Document\02a951e5aa009ee836c3c1e32b136b21\Img\f6b680e85ab3ca24f9da291a870b72bf\314.pic
[单选题] 根据Emma_Mobile.zip, 2024年8月30日下午两点后Emma共致电Clara多少次? (1分)
先找Clara的电话号码,在通讯录数据库里可以找到:\DB\AddressBook.sqlitedb.db
确定电话号码为+85263791704,再到同目录下的CallHistory.storedata.db查看通话记录,ZHANDLE记录电话号码,ZNORMALIZEDVALUE记录通话记录,两个表的共同之处就是Z_PK,通过这个关键字将两个表合并,在合并起来的表里筛选出电话号码为+85263791704,且时间戳大于745826400(2024年8月30日下午两点)
SELECT *
FROM ZHANDLE zh
JOIN ZCALLRECORD zc ON zh.Z_PK = zc.Z_PK
WHERE zh.ZNORMALIZEDVALUE = '+85263791704'
AND zc.ZDATE > 745826400;
答案:88
[单选题] 根据Emma和Clara的微信聊天记录,Clara失踪前曾告诉Emma会到哪里? (1分)
A. 到酒店和丈夫David庆祝结婚周年
B. 吃自助餐
C. 约了朋友见面
D. 去旅行
先得找到微信聊天记录存放的数据库,这次的检材给的相对目录少,但都放在一起所以会难找一点,路
径:\Images\DB\fts_message.db,在fts5_message_table_3_content表里找到了Clara和Emma的
聊天记录
答案:A
[填空题] 参考Emma_Mobile.zip, Emma的iPhone XR内微信应用程序的版本是多少? (2分)
与之有关的是手机的清单文件,路径:\Images\plist\Manifest.plist,搜索微信包名
com.tencent.xin,发现CFBundleVersion内部版本号
答案:8.0.50
[多选题] 参考Emma_Mobile.zip, Emma手机中下列哪个选项是正确的? (2分)
A. iOS 版本为 17.6.1
B. IMEI 为 356414106484705
C. Apple ID 为 Emma1761@gmail.com
D. 手机曾经安装Metamask 应用程式
A错误,在Manifest.plist清单文件里找到版本号17.5.1
B正确,在plist目录下看到com.apple.commcenter.plist,配置文件涉及到系统服务,搜索imei就可以找到
C错误,看到账号注册,想到在看数据库时看到account.sqlite,在该库里的ZACCOUNT表里找到对应的邮箱
D正确,在Manifest清单文件里搜索metamask,发现有相关的记录,那就说明曾经有关安装记录
其实这道题通过爆搜选项也可以做出来
答案:BD
[填空题] 参考Emma_Mobile.zip,Emma 手机中 Apple ID 的注册电子邮箱是多少? (2分)
见上题C选项
答案:emmaemma.851231@gmail.com
[填空题] 参考Emma_Mobile.zip,在2024年,Emma 手机上曾记录的电话卡集成电路卡标识符 (ICCID) 是多少? (答案格式:只需使用阿拉伯数字回答) (2分)
在<font style="color:rgb(64, 64, 64);">com.apple.commcenter.plist</font>与设备的通信功能密切相关
答案:8985200000826445829
[填空题] 参考Emma_Mobile.zip,Emma 手机的蓝牙设备名称 "ELK-BLEDOM" 的通用唯一标识符 (UUID) 是什么? (1分)
在数据库里有一个含有关键词bluetooth的数据库,直接去翻就可以
路径:\DB\com.apple.MobileBluetooth.ledevices.other.db,在otherdevices表里看到了题目中的 设备名称
答案:8D13F23C-E73C-6A98-AA4F-16C8D7A5F826
[单选题] 你发现了一些线索,Emma 看起来也很可疑,她似乎背负了大量债务。 参考Emma_Mobile.zip,Emma 手机内Safari浏览记录中网页"https://racing.hkjc.com/"的网站标题是什么? (1分)
浏览记录联系到数据库目录下的history.db,history_items表找到题目说的网址,根据该表里的id,到
history_visits表里对应的history_item,就可以找到对应网址的网站标题。
答案:賽馬資訊 - 香港賽馬會
[单选题] 参考Emma_Mobile.zip,Emma向Clara透露什么原因令Emma欠下巨债? (1分)
根据第三题找到的微信数据库,在fts5_message_0_content表里的聊天记录可以看出来
答案:D
[单选题] 参考Emma_Mobile.zip,收债人要求Emma还款数量? (1分)
A. 港币$786,990 B. 港币$878,990 C. 港币$786,980 D. 港币$745,330
根据上题,发现一个聊天记录
在微信的图片记录里找到了短信催债记录,所以去到短信数据库里找,路径:Images\DB\sms.db,sms
是短信的简称,所以遇到和短信有关的就找sms。message表里找到催债短信
答案:C
[单选题] 参考Emma_Mobile.zip,Emma发送了多少张.PNG图片给Clara,证明自己正被人追债? (2分)
A. 6 B. 7 C. 8 D. 9
上一题在微信图库里找到短信图片,数一下即可。图片路径:\Active\var\mobile\Applications\group.com.tencent.xin\Document\02a951e5aa009ee836c3c1e32b136b21\Img\f6b680e85ab3ca24f9da291a870b72bf\,分别为184.pic 183.pic 182.pic 181.pic 180.pic 179.pic 178.pic
答案:B
[单选题] 参考Emma_Mobile.zip,Emma用来浏览虚拟货币的网址? (2分)
A. Google.com B. Facebook.com C. IntellaX.io D. Yahoo.com
微信图库里的206.pic显示虚拟币是IDFC,再到浏览器历史记录里找相关记录
有创建钱包,类似虚拟货币交易
答案:C
[单选题] 参考Emma_Mobile.zip的浏览器记录,有多少网址与bet365有关? (2分)
在浏览器的历史记录history.db里看到,搜索bet即可,因为其中有重复的,所以3个
答案:3
[单选题] 你还发现了一些与不当使用他人加密钱包相关的痕迹。 参考Emma_Mobile.zip,Emma用了哪些恢复短语(Recovery Phrase)进入David的虚拟货币账户? (2分)
在微信的文件里可以找到图片
答案: stock;avocado;grab;clay;light;sadness;segment;ancient;toe;talk;elder;oil
[单选题] 参考Emma_Mobile.zip,Emma从David处窃取的虚拟货币的名称是什么? (2分)
在微信聊天记录可以看到,路径:\Images\DB\fts_message.db,在fts5_message_table_3_content里找到
答案:IDFC
[单选题] 参考Emma_Mobile.zip,Clara偷拍的照片中,David的虚拟货币余额是多少? (2分)
和15题在同一个目录下
答案:5022915.66
[单选题] 参考Emma_Mobile.zip,Emma在偷窃David的虚拟货币前,Emma曾向Clara透露有什么事发生在Emma身上? (1分)
A. 中彩票 B. 欠债 C. 升职 D. 失业
与16题在同一数据库及表下有
答案:B
[多选题] (你查看了Emma手机中的一些照片数字信息,以获取更多与失踪案件的信息) Emma的iPhone XR中 "IMG_0008.HEIC" 的图像与相片名字为的"5005.JPG" 看似为同一张相片,在数码法理鉴证分析下,以下哪样描述是正确? (3分)
A. 储存在不同的.db檔案里 B. 有不同哈希值 C. IMG_0008.HEIC为原图,"5005.JPG"为并非原图
D. IMG_0008.HEIC和名字"5005.JPG"是同一张相片
参考大佬的wp,heic是苹果拍照生成的图片,独有的那种,安卓打不开,那么发送出去文件类型会改变,哈希值也会发生改变,因此BC对
答案:BC
[单选题] 参考Emma_Mobile.zip, Emma的iPhone XR中"IMG_0009.HEIC" 的图像显示拍摄参数怎样? (2分)
在ZASSET表里找到IMG_0009.HEIC的ZDATECREATED或者Z_PK,再到ZEXTENDATTRIBUTES里搜索找到的ZDATECREATED,或者直接看Z_PK=9的记录
答案:iPhone XR back camera 4.25mm f/1.8
[多选题] 参考Emma_Mobile.zip, Emma的iPhone XR中相片文件IMG_0009.HEIC提供了什么电子证据信息? (3分)
A. 此相片是由隔空投送 (Airdrop)得来 B. 此相片由iPhone XR拍摄
C. 此相片的拍摄时间为2024-08-05 13:38:15(UTC+8)
D. 此相片的拍摄时间为2024-08-06 08:30:52(UTC+8)
根据20题时间戳转一下,确定BC
答案:BC
[多选题] 参考Emma_Mobile.zip, Emma的iPhone XR内以下哪张照片是实况照片(Live Photos)? (2分)
A. IMG_0002.HEIC B. IMG_0005.HEIC C. IMG_0004.HEIC D. IMG_0006.HEIC
只有AC出现了
答案:AC
[单选题] 参考Emma_Mobile.zip,手机里有多少张照片是用手机后置摄像镜头拍摄的? (2分)
20题同一数据库下的ZEXTENDATTRIBUTES表里直接找
答案:8
[单选题] 参考Emma_Mobile.zip的通讯记录,MesLocalID 224是什么类的文件? (3分)
先爆搜找到相关记录,再挨个查看
在message2.sqlite里找到了题目说的MesLocalID 224
查看对应的Msgsource的内容
其中提到有关图片
答案:图片
[单选题] 依据你在Emma的手机上找到的照片,你告诉调查员Clara最后的位置是在湾仔的一家酒店。根据你提供的信息,调查员发现Clara在酒店去世,Clara的手机在她的附近, 你对Clara的手机进行取证。请根据取证结果回答以下问题。 参考Clara_Smartphone.bin,Clara手机的Android操作系统版本是? (1分)
一般来说,找android操作系统版本那就是去找build.prop,一般位置是在/system/build.prop,,这里的话是在分区18里就可以直接找到,但这里用的手机应该是LG的
火眼分析
答案:8.0.0
[填空题] 参考Clara_Smartphone.bin,Clara手机的版本号(Build Number)是什么? (1分)
见上一题分析的文件build.prop,其实就可以看到build.id,认为那个就是手机版本号
但其实不知道他这个格式什么要求,我取得是一整个版本号
答案:OPR1.170623.026
[填空题] 参考Clara_Smartphone.bin,Clara手机的IMEI号码是多少? (答案格式:只填写阿拉伯数字部分) (1分)
这里就直接搜imei,火眼会搜的快一点,手机的一些系统文件没找到,在闲鱼里找到了,路径:<font style="color:rgba(0, 0, 0, 0.87);">/data/com.taobao.idlefish/shared_prefs/fish_imei.xml</font>,还是关键的shared_prefs
答案:351537092934716
[填空题] 参考Clara_Smartphone.bin,Emma的微信账号是? (2分)
Clara的手机那肯定要去看微信数据库了,但这里不理解上题已经找到了IMEI,但这里数据库密钥用的是默认的1234567890ABCDEF
在rcontact表里,rcantact!rcontact!rcontact!是微信通讯录
答案:wxid_ltrpgdhvilso22
[单选题] 参考Clara_Smartphone.bin,Clara的第一封电子邮件记录的日期? (2分)
这题参考的大佬的,了解到了protobuf这种格式的数据。路径:\data\com.google.android.gm\databases\bigTopDataDB.2017474332,在items表里找protobuf数据,Gmail将邮件数据序列化为 Protobuf格式以便于存储和读取,Protobuf是google开发用于高效传输数据。再将数据解密
答案:2024-07-10
[单选题] 参考Clara_Smartphone.bin,在通讯录中"David"的联系人信息还包括什么? (2分)
找通讯录就行,路径:\data\com.android.providers.contacts\databases\contacts2.db
答案:Linkedin
[单选题] 参考Clara_Smartphone.bin,David和Clara之间通话次数? (2分)
在contacts2数据库中通过raw_contact_id来连接data表和phone_lookup表以此获得David的电话号码
再到calllog.db里查找记录即可
答案:8
[单选题] 参考Clara_Smartphone.bin,Clara在Chrome浏览器搜索中哪天使用了关键词"popmart 炒价"?
chrome对应的包名是com.andriod.chrome,然后到目录下找history,路径:\data\com.android.chrome\app_chrome\Default\History-journal,在keyword_search_terms里确定关键词的url_id,再到visits表里去找对应记录的时间戳,有三个记录,找到最后有两个和选项符合
A. 2024-08-10 B. 2024-08-15 C. 2024-08-20 D. 2024-08-25
答案:B
[单选题] 参考Clara_Smartphone.bin,2024年7月30日共收到多少封电子邮件?
按照29题的思路,挨个去看
第四封
第五封
第六封
答案:3
[填空题] 参考Clara_Smartphone.bin,Clara的Gmail账号是?
答案:clara.ccc0807@gmail.com
[单选题] 参考Clara_Smartphone.bin,Clara的手机安装了哪个版本的WhatsApp?
到app目录下找对应的apk,jadx分析看一下Manifest就行
或者到/data/system/packages.xml
答案:241676004
[填空题] 参考Clara_Smartphone.bin,Clara的WhatsApp账号? (答案格式:只需填写11位阿拉伯数字)
问机主账号,路径:<font style="color:rgba(0, 0, 0, 0.87);">/data/com.whatsapp/shared_prefs/com.whatsapp_preferences_light.xml</font>
答案:85263791704
[单选题] 参考Clara_Smartphone.bin,Clara的手机在什么时候安装了小红书APP? (2分)
还是在packages.xml里,搜索xhs,找it,看一下关于ft,it,ut各自代表什么
答案:2024-07-16
[单选题] 参考Clara_Smartphone.bin,2024年8月21日David的虚拟貨幣钱包里有多少IDFC? (3分)
想到前面有关于虚拟币的题目,提到偷拍,推测在相册里,路径:\media\0\DCIM\Camera
答案:5022915.66
[填空题] 参考Clara_Smartphone.bin,Clara注册的微信账号验证码是多少? (2分)
验证码和手机短信相关,路径:\user_de\0\com.android.providers.telephony\databases\mmssms.db
答案:945025
[填空题] 参考Clara_Smartphone.bin,David为庆祝结婚周年纪念预订了哪家酒店? 提示:请使用大写英文字母作答, 例如:HONG KONG HOTEL) (3分)
通过微信聊天记录看到提到酒店后,附了张图片,按照名称在目录下找
答案:Conrad Hong Kong
[填空题] 参考Clara_Smartphone.bin,哪个数据库文件存储了微信消息? (答案格式:只需使用全部大写回答, 例如:ABC.DB) (3分)
常识问题,一般都是EnMicroMsg.db,验证一下
答案:ENMICROMSG.DB
[填空题] 参考Clara_Smartphone.bin,哪个数据库文件(.db)存储了WhatsApp訊息? (3分)
到whatsapp目录下的database文件夹里找
答案:msgstore.db
[单选题] 参考Clara_Smartphone.bin,Clara在2024年8月29日拍了多少张照片? (2分)
直接到相册里到,路径:\media\0\DCIM\Camera
答案:3
[单选题] 参考Clara_Smartphone.bin,Emma在2024年8月6日通过微信发送了多少张照片给Clara? (2分)
微信的图库里没有发现8月26日的照片
到聊天记录里确定一下,筛选时间内的聊天记录看看有没有图片
SELECT *
FROM message
WHERE createtime BETWEEN 1722873600000 AND 1722960000000;
答案:0
[填空题] 参考Clara_Smartphone.bin,照片20240829_144717.jpg的拍摄相机型号是什么? (2分)
答案:LG-H930
[单选题] 参考Clara_Smartphone.bin,20240821_121435.jpg的储存路径是什么? (2分)
和上一题在同一路径下
答案:\media\0\DCIM\Camera
[填空题] 参考Clara_Smartphone.bin,2024年8月20日有多少张截图? (2分)
找截屏路径就可以
答案:17
[单选题] 参考Clara_Smartphone.bin,2024年8月22日被删除微信消息的类型是? (3分)
在Emma的message2数据库里筛选一下
SELECT *
FROM Chat_f6b680e85ab3ca24f9da291a870b72bf
WHERE createtime BETWEEN 1724256000 AND 1724342400;
Clara的微信数据库也筛选一下
SELECT *
FROM message
WHERE createtime BETWEEN 1724256000000 AND 1724342400000;
对比下来少一张图片
答案:图片
[填空题] 你在查看Clara的手机镜像后,确定Clara是David的妻子,调查员通过查询酒店预订记录确认了这一点。他们现在定位David的住所,以进行进一步调查。 你首先分析David的手机。 参考David_Smartphone_1.zip, 根据Contents.db,David 手机接收了通讯软件"Telegram"的验证短信,该验证码是多少? (3分)
在sms表里可以看到
答案:84298
[填空题] 参考David_Smartphone_1.zip, David 把手机设置为个人热点,请找出个人热点的密码。 (3分)
这个备份结构有点不一样,但是题目说个人热点,在目录下可以找到hotspot,在softap.conf里找到密码
答案:wdfj5674
[判断题] 参考David_Smartphone_1.zip, David 手机曾连接名为"MTR Free Wi-Fi" 的Wi-Fi 。
找到对应的记录有关wifi的文件目录,在wificonfigstore.xml里找到连接记录
答案:对
[填空题] 参考David_Smartphone_1.zip, 根据com.tencent.mm_preferences.xml,David 的手机最后登录微信的微信 ID 是?
com.tencent.mm_preferences.xml直接到微信的data目录下的shared_pref目录下就可以找到
答案:wxid_rni3m2o8ngxe22
[填空题] 参考David_Smartphone_1.zip, 请指出哪一张图片是于2024年8月28日利用屏幕截取的。 (答案格式:ABC_123.jpg)
屏幕截图对应关键词screenshot,路径:\media\0\DCIM
答案:Screenshot_20240828-153836_Gmail.jpg
[填空题] 参考 David_Smartphone_1.zip,根据Contents.db,David 手机的型号(Model)? (答案格式:大写英文字母和符号'-' 混合组成)
在device_info表里
答案:SM-G9500
[填空题] 参考 David_Smartphone_1.zip的Contents.db,David所使用的手机SIM 卡的序号? (答案格式:只需要用阿拉伯数目字回答)
在system_info表里
答案:8985200000827530728
[填空题] 参考 David_Smartphone_1.zip,David 手机安装了应用程序"MetaMask"。根据persist-root中,"MetaMask"钱包内有多少个账号? (3分)
路径:\data\io.metamask\files\persistStore\persist-root,搜索account即可看到
答案:4
[单选题] 参考 David_Smartphone_1.zip,根据persist-root中,何时从应用程序"MetaMask"发送虚拟货币至以下地址: 0X10A4F01B80203591CCEE76081A4489AE1CD1281C
在persist-root里直接搜索钱包地址
答案:2024-08-14 16:58:53
[单选题] 参考 David_Smartphone_1.zip,David 曾利用手机应用程序"MetaMask"三次发送虚拟货币失败。根据persist-root,发送虚拟货币失败的原因是什麼? (3分)
搜索fail,挨个看然后找到了
答案:手续费不足
[单选题] 你根据易失性(Volatility Level)优先次序,进行内存取证分析David的笔记本电脑。 参考RAM_Capture_David_Laptop.RAW,以下哪一个不是程序"firefox.exe"的PID? (2分)
A. 9240
B. 8732
C. 5260
D. 3108
火眼跑内存分析,搜索firefox对比一下,C没有出现
答案:C
[填空题] 参考RAM_Capture_David_Laptop.RAW,汇出PID:724的程序,其哈希值 (SHA-256) 是? (2分)
python311.exe vol.py -f "E:\个人\RAM_Capture_David_Laptop.raw" windows.dumpfiles --pid 724
但因为会将空数据也导出来,所以修该一下即可
答案:fee23ebcba02987e70d81ca1924c2e9c69d79ac2afea5bbde4fb335a57d4b30c
[单选题] 参考RAM_Capture_David_Laptop.RAW,哪一个是执行PID:724程序的SID? (1分)
python311.exe vol.py -f "E:\个人\RAM_Capture_David_Laptop.raw" windows.getsids.GetSIDs --pid 724
答案: S-1-1-0
[填空题] 参考RAM_Capture_David_Laptop.RAW,账户David Tenth的NT LAN Manager的哈希值(NTLM Hash) ? (答案格式:只需使用全部小写及阿拉伯数字回答) (1分)、
python311.exe vol.py -f "E:\个人\RAM_Capture_David_Laptop.raw" windows.hashdump.Hashdump
答案:e14a21fefc5dd81275bb87228586cffc
[单选题] 在取证中,你发现D盘被BitLocker 加密。U盘上可能有一些线索,你对U盘进行了取证。 参考David_USB_8GB.e01,David 的U盘文件系统的格式? (2分)
文件系统或者属性都可以看到
答案:NTFS
[单选题] 参考David_USB_8GB.e01,David 的U盘文件系统中,每簇(Cluster)定义了多少字节(Byte)? (2分)
答案:512
[单选题] 参考David_USB_8GB.e01,David 的U盘中有多少个已删除的文件? (2分)
答案:1
[单选题] 承上题,参考David_USB_8GB.e01,已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量是多少? (2分)
[单选题] 承上题,参考David_USB_8GB.e01,已删除文件的第一个运行的十六进制值(低端字节序 Little-Endian)是多少? (3分)
[填空题] 承上题,参考David_USB_8GB.e01,已删除的文件的实际大小(单位:字节 Byte)是多少? 答案格式:只需使用阿拉伯数字回答 (2分)
答案:1796178
[填空题] 承上题,参考David_USB_8GB.e01,已删除文件的第一个运行偏移量(Run Offset)是多少? (答案格式:只需使用阿拉伯数字回答) (2分)
[单选题] 承上题,参考David_USB_8GB.e01,已删除的文件的第一个运行的簇运行长度(Run Length)是多少? (2分)
[单选题] 承上题,参考David_USB_8GB.e01,已删除文件的图像文件像素值(Pixel)是多少? (2分)
答案:4000×3000
[单选题] 承上题,参考David_USB_8GB.e01,已删除图像文件是用哪个品牌和型号的手机拍摄? (2分)
答案:samsung SM-A4260
[单选题] 在 U盘中,你还发现了一个exe文件,但它被锁定,可能需要进行反编译以便进一步检查。 参考David_USB_8GB.e01,使用x64dbg的字符串搜索(String Search)功能,在Bitlocker.exe中查找哪个字符串最有可能与显示的登录状态有关?
shift+F12就能找到
答案:Login Successful!
[单选题] 承上題,当找到控制登录成功的逻辑代码时,如何修改汇编代码(Assembly Code)来绕过检查,达到任意输入,都成功登录的效果? (2分)
[填空题] 参考David_USB_8GB.e01,Bitlocker.exe的正确用户登录名称是? (1分)
[填空题] 参考David_USB_8GB.e01,Bitlocker.exe的正确登录密码是? (2分)
[单选题] 参考David_USB_8GB.e01,当Bitlocker.exe程序尝试显示登录结果(成功或失败)时,使用了哪一种途径来决定显示的消息? (2分)
[单选题] 参考David_USB_8GB.e01,决定能否解密 Bitlocker Key 的字节的内存偏移量(Memory Offset)(相对于基址"bitlocker.exe")是什么? (3分)
[单选题] 参考David_USB_8GB.e01,决定能否解密 Bitlocker Key 的内存偏移量(Memory Offset)后,应该如何利用它来进行解密? (2分)
[单选题] 参考David_USB_8GB.e01,解密后的 Bitlocker Key 是? (3分)
直接看图片即可
答案: 299255-418649-198198-616891-099682-482306-642609-483527
[单选题] 到目前为止,你已经获得了 BitLocker 密钥以解密 D盤,通过对David 笔记本电脑D盤的分析,并发现了一些重要信息。你现在将继续调查未加密的 C盤。 参考David_Laptop_64GB.e01,分区格式(Partition)是?
答案:GPT
[单选题] 参考David_Laptop_64GB.e01,该e01 成功提取的日期和时间是?
xways看属性
答案:2024/09/09 16:37:36
[填空题] 参考David_Laptop_64GB.e01,最后登录的用户是谁? (答案格式:大写英文字母,小写英文字母和空格混合组成,例如:Tom Hanks)
答案:David Tenth
[单选题] 参考David_Laptop_64GB.e01,用户配置的时区是?
或者仿真看
答案:China Standard Time
[单选题] 参考David_Laptop_64GB.e01,David的笔记本电脑曾经连接了多少个设备?
答案:3
[填空题] 参考David_Laptop_64GB.e01,David的笔记本电脑上的Firefox浏览器安装了哪些扩展工具? (答案格式:请以大写英文字母作答,无须留空白位)
仿真直接看
Firefox有关拓展的文件是extensions.json,路径:\Users\David Tenth\AppData\Roaming\Mozilla\Firefox\Profiles\olucne5h.default-release\extensions.json,找active为true,再看path,如果指向\Mozilla\Firefox\browser\features\,那说明是内置的插件,直接可以排除
答案:METAMASK
[单选题] 参考David_Laptop_64GB.e01,根据用户配置文件中的.lnk文件,最后访问的文件名称是?
找recent目录,路径:\Users\David Tenth\AppData\Roaming\Microsoft\Windows\Recent
答案:下载
[单选题] 参考David_Laptop_64GB.e01,David的笔记本电脑曾经连接了多少个不同的Wi-Fi?
路径:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{7723ACF1-D79C-419D-8BB3-4880B8A279C5}\{2DAD2724-F8E5-44A4-9A99-B96DE21EC418}.xml
答案:1
[填空题] 承上题,参考David_Laptop_64GB.e01,该Wi-Fi网络的名称(SSID)是? (答案格式:大写英文字母和小写英文字母混合组成) (2分)
见上题
答案:4572726F724572726F723547
[单选题] 参考David_Laptop_64GB.e01,该电脑的Windows操作系统的安装日期是什么? (2分)
答案:2024-07-31 10:18:26
[单选题] 通过对David 笔记本电脑的电子数据取证和痕迹分析,你了解到David是一名 cryptocurrency 专家。 (假設虚拟貨幣International Digital Forensics Coin (IDFC)面值是每1個IDFC等如1-HKD IDFC Token Address: 0x56E7A6dd8aA1c78ba77944C94c43054978E89b7b 區塊鏈: Binance Smart Chain) 下列那个网站能够找到区块链:Binance Smart Chain的交易记录?
[单选题] 参考Emma_Mobile.zip中的微信聊天记录分析,Emma用什么方法盜取David的IDFC? (1分)
看之前的聊天记录即可
答案:Emma经Clara盗取了David虚拟货币钱包的回复匙(Recovery seed)
[单选题] 根据David,Emma及Clara的微信对话,David在什么日期时间发现IDFC被盗? (1分)
答案:2024-08-28 09:14:36
[单选题] 参考Emma_Mobile.zip中的微信对话分析,Emma为什么盜取David的IDFC? (1分)
直接看数据库就好
答案:还债
[单选题] 参考David_Laptop_64GB.e01及David,Emma及Clara的微信对话,分析IDFC的交易记录,Emma盜取了David虚拟货币钱包内哪个地址的IDFC?
A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c
B. 0x152c90200be61a540875f2a752c328bd19dbfb87
C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220
D. 0x70544880875fe907cee383873ca58da23378caa5
在recent里看到了交易记录,仿真后发现源文件在D盘
聊天记录里,确定偷的时间区间
筛选之后,发现有三个地址都交易到了同一个地址,将BCD都可以排除
答案:0x10a4f01b80203591ccee76081a4489ae1cd1281c
[单选题] 根据David,Emma及Clara的微信对话及IDFC的交易记录作分析,Emma总共盗取了David多少IDFC?
根据上题记录
答案:90000
[多选题] 根据Emma及Clara的微信对话,下列哪些地址是由相同的恢复短语(Recovery Seed)所生成?
A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c
B. 0x152c90200be61a540875f2a752c328bd19dbfb87
C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220
D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042
根据助记单词
答案:ABC
[单选题] 根据IDFC的交易记录作分析,总共有多少次IDFC交易流入地址0x10a4f01b80203591ccee76081a4489ae1cd1281c?
在95题找到的csv里找
答案:2
[单选题] 参考David_Laptop_64GB.e01,在David计算机的D盘内有一张图片,根据图片上的信息,找出David另一个虚拟货币钱包的恢复短语(2)(Recovery Seed),下列哪一个单词是在此恢复短语(2)(Recovery Seed)内?
翻D盘的时候看到了部分短语,只能爆搜了
答案:infant fragile garlic bracket stove blade stick dove aerobic spin term educate
[多选题] 承上题,参考David_Laptop_64GB.e01,在IDFC的交易记录中,下列哪些地址由上述恢复短语(2)(Recovery Seed)所生成?
A. 0xb2e3dbea311511ec5bda3e85e061f15366f888a6
B. 0xe90ad3f80e39e83b533eef3ed23c641ec51089c6
C. 0x90f73497E4446f6Cf9881213C32D6af66d799fE5
D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042
答案:CD
