2024年美亚杯个人资格赛WP

官方答案未出，仅代表个人观点

 

容器密码：

eS2%u@q#hake2#Z@6LWpQ8^T(R7cg95m\Bv+y;$=/dqxYnEusFf)tb>:HKHwy+e%cR\r=9j:GsK)AV52/3hXfdv8#u7a6JQ^pz><YPNkq*!&

案情简介

 

2024年8月某日，警方接获一名本地女子Emma报案，指她的姐姐Clara失联多天，希望报告一宗失踪人口的案件。现在你被委派处理这宗案件。在处理该案件期间，你在Emma的同意下提取了她手机的资料，并且协助警方对Clara及其丈夫David的电子装备进行取证工作。请分析以下的资料，还原事件经过

检材列表

 

Emma的iOS手机镜像档案(Emma_Mobile_Image.zip) 

Clara的安卓手机镜像档案(Clara_Smartphone.bin)

David的Windows系统计算器镜像档案(David_Laptop_GB.e01)

David的8GB U盘镜像档案(David_USB_8GB.e01)

David的安卓手机镜像档案(David_Smartphone_1.zip) 

David的Windows系统计算器内存档案(RAM_Capture_David_Laptop.raw)

 

题解

1. [单选题] Emma已经几天没有收到她姐姐Clara的消息了，报警失踪，她焦虑地将手机提交给，希望能找到线索。将手机交给你进行电子数据取证。你成功提取了Emma手机的镜像。请根据取证结果回答以下问题。根据Emma_Mobile.zip，Emma和Clara的微信聊天记录，Emma最后到警署报案并拍摄写有报案编号的卡片，拍摄时的经纬值是多少？(2分)

A. 22.451721666667, 114.171853333333

B. 22.451553333333, 114.172845

C. 22.451928333333, 114.170503333333

D. 22.451638333333, 114.16993

多数据库多表联查

定位到图片所在位置，所在数据库，根据GUID，确定图片是IMG_0019.HEIC

在ZEXTENDEDATTRIBUTES表中找到经纬度数据

2. [单选题] 根据Emma_Mobile.zip，2024年8月30日下午两点后Emma共致电Clara多少次？(1分)

A. 85

B. 86

C. 87

D. 88

在clara手机中可见其手机号为63791704

对时间戳升序排一下，找到8月30日14点的时间戳，计算出通话次数为88次

 

3. [单选题] 根据Emma和Clara的微信聊天记录，Clara失踪前曾告诉Emma会到哪里？(1分)

A. 到酒店和丈夫David庆祝结婚周年

B. 吃自助餐

C. 约了朋友见面

D. 去旅行

从Clara的手机查看更方便

4. [填空题] 参考Emma_Mobile.zip，Emma的iPhone XR内微信应用程序的版本是多少？(2分)

5. [多选题] 参考Emma_Mobile.zip，Emma手机中下列哪个选项是正确的？(2分)

A. iOS版本为17.6.1

B. IMEI为35141084705

C. Apple ID为Emma1761@gmail.com

D. 手机曾经安装Metamask应用程式

在Manifest.plist文件内搜索信息

在com.apple.commcenter.plist内找到数据

 

BD正确

 

6. [填空题] 参考Emma_Mobile.zip,Emma手机中Apple ID的注册电子邮箱是多少？(2分)

emmaemma.851231@gmail.com

见上

7. [填空题] 参考Emma_Mobile.zip，在2024年，Emma手机上曾记录的电话卡集成电路卡标识符(ICCID)是多少？(答案格式:只需使用阿拉伯数字回答)(2分)

在com.apple.commcenter.plist内找到数据

8. [填空题] 参考Emma_Mobile.zip，Emma手机的蓝牙设备名称"ELK-BLEDOM"的通用唯一标识符(UUID)是什么？(1分)

8D13F23C-E73C-6A98-AA4F-16C8D7A5F826

9. [单选题] 你发现了一些线索，Emma看起来也很可疑，她似乎背负了大量债务。参考Emma_Mobile.zip，Emma手机内Safari浏览记录中网页"https://racing.hkjc.com/"的网站标题是什么？(1分)

A. 奖券有限公司

B. - Google 搜索

C. 快易钱:网上贷款财务公司 | 足不出户现金即日到手

D. 赛马信息 - 赛马会

选择D

10. [单选题] 参考Emma_Mobile.zip，Emma向Clara透露什么原因令Emma欠下巨债？(1分)

A. 投资孖展

B. 虚拟货币失利

C. 网上

D. 以上皆是

以上皆是

11. [单选题] 参考Emma_Mobile.zip，收债人要求Emma还款数量？(1分)

A. 港币$786,990

B. 港币$878,990

C. 港币$786,980

D. 港币$745,330

A

12. [单选题] 参考Emma_Mobile.zip，Emma发送了多少张.PNG图片给Clara，证明自己正被人追债？(2分)

A. 6

B. 7

C. 8

D. 9

7张图片

13. [单选题] 参考Emma_Mobile.zip，Emma用来浏览虚拟货币的网址？(2分)

A. Google.com

B. .com

C. IntellaX.io

D. Yahoo.com

我觉得google记录是比较明确的

14. [单选题] 参考Emma_Mobile.zip的浏览器记录，有多少网址与bet365有关? (2分)

A. 3

B. 13

C. 9

D. 12

通过全局搜索，锁定两个数据库

三个网址

15. [单选题] 你还发现了一些与不当使用他人加密钱包相关的痕迹。参考Emma_Mobile.zip，Emma用了哪些恢复短语(Recovery Phrase)进入David的虚拟货币账户？(2分)

A. stock,avocado,grab,clay

B. light,sadness,segment,ancient

C. toe,talk,elder,oil

D. 以上皆是

D

16. [单选题] 参考Emma_Mobile.zip，Emma从David处窃取的虚拟货币的名称是什么？(2分)

A. IDFC

B. ICAC

C. INIC

D. IFCC

IDFC

17. [单选题] 参考Emma_Mobile.zip，Clara偷拍的照片中，David的虚拟货币余额是多少？(2分)

A. 3266378.99

B. 1044749.22

C. 5022915.66

D. 7822468.44

C，见上

18. [单选题] 参考Emma_Mobile.zip，Emma在偷窃David的虚拟货币前，Emma曾向Clara透露有什么事发生在Emma身上？(1分)

A. 中彩票

B. 欠债

C. 升职

D. 失业

B

 

19. [多选题] (你查看了Emma手机中的一些照片数字信息，以获取更多与失踪案件的信息)Emma的iPhone XR中"IMG_0008.HEIC"的图像与相片名字为的"5005.JPG" 看似为同一张相片，在数码法理鉴证分析下，以下哪样描述是正确？(3分)

A. 储存在不同的.db檔案里

B. 有不同哈希值

C. IMG_0008.HEIC为原图，"5005.JPG"为并非原图

D. IMG_0008.HEIC和名字"5005.JPG"是同一张相片

 

 

20. [单选题] 参考Emma_Mobile.zip，Emma的iPhone XR中"IMG_0009.HEIC" 的图像显示拍摄参数怎样？(2分)

A. iPhone XR back camera 4.25mm f/1.8

B. iPhone XR back camera 4.25mm f/2.8

C. iPhone XR back camera 4.25mm f/2

D. iPhone XR back camera 4.25mm f/1.6

由Z_PK值相同找到对应数据，在ZEXTENDEDATTRIBUTES表的ZLENSMODEL中找到数据，选A

21. [多选题] 参考Emma_Mobile.zip，Emma的iPhone XR中相片文件IMG_0009.HEIC提供了什么电子证据信息？(3分)

A. 此相片是由隔空投送 (Airdrop)得来

B. 此相片由iPhone XR拍摄

C. 此相片的拍摄时间为2024-08-05 13:38:15(UTC+8)

D. 此相片的拍摄时间为2024-08-06 08:30:52(UTC+8)

选择BC

22. [多选题] 参考Emma_Mobile.zip，Emma的iPhone XR内以下哪张照片是实况照片(Live Photos)？(2分)

A. IMG_0002.HEIC

B. IMG_0005.HEIC

C. IMG_0004.HEIC

D. IMG_0006.HEIC

排除的话，看到第五张图片为屏幕截图，可以先排除

其他的话没有找到说明图片类型的字段，只能根据图片类型猜测

HEIC通常与实况照片相关，而png存储静态图片，选择AC

23. [单选题] 参考Emma_Mobile.zip,手机里有多少张照片是用手机后置摄像镜头拍摄的? (2分)

A. 5

B. 6

C. 7

D. 8

8张

24. [单选题] 参考Emma_Mobile.zip的通讯记录，MesLocalID 224是什么类的文件？(3分)

A. 相片

B. 影片

C. 文件

D. 报表

图片类文件，选A

 

25. [单选题] 依据你在Emma的手机上找到的照片，你告诉调查员Clara最后的位置是在湾仔的一家酒店。根据你提供的信息，调查员发现Clara在酒店去世，Clara的手机在她的附近，你对Clara的手机进行取证。请根据取证结果回答以下问题｡ 参考Clara_Smartphone.bin，Clara手机的Android操作系统版本是？(1分)

A. 8.0.0

B. 9.0.0

C. 8.1.0

D. 7.0.0

 

26. [填空题] 参考Clara_Smartphone.bin，Clara手机的版本号(Build Number)是什么？(1分)

在路径system下找到build.prop，用notepad打开后可见

ro.build.id=OPR1.170623.026

27. [填空题] 参考Clara_Smartphone.bin，Clara手机的IMEI号码是多少？(答案格式:只填写阿拉伯数字部分) (1分)

爆搜找到记录

28. [填空题] 参考Clara_Smartphone.bin，Emma的微信账号是？(2分)

即微信ID：wxid_ltrpgdhvilso22

 

29. [单选题] 参考Clara_Smartphone.bin，Clara的第一封电子邮件记录的日期？(2分)

A. 2024-07-10

B. 2024-07-18

C. 2024-07-23

D. 2024-07-30

从有发件时间开始，最早为2024-07-10

30. [单选题] 参考Clara_Smartphone.bin，在通讯录中"David"的联系人信息还包括什么? (2分)

A. 出生日期

B. LinkedIn

C. 电子邮件

在通讯录翻找，找到David的LinkedIn

 

31. [单选题] 参考Clara_Smartphone.bin，David和Clara之间通话次数? (2分)

A. 0

B. 8

C. 10

D. 24

8次

32. [单选题] 参考Clara_Smartphone.bin，Clara在Chrome浏览器搜索中哪天使用了关键词"popmart 炒价"? (2分)

A. 2024-08-10

B. 2024-08-15

C. 2024-08-20

D. 2024-08-25

翻到8月8号与8月15号，8号不在选项中，故选择B

 

33. [单选题] 参考Clara_Smartphone.bin，2024年7月30日共收到多少封电子邮件？(2分)

A. 2

B. 3

C. 4

D. 5

Gmail账号的信息美亚的手机大师能取的比较完全

4封，选C

34. [填空题] 参考Clara_Smartphone.bin，Clara的Gmail账号是? (2分)

35. [单选题] 参考Clara_Smartphone.bin，Clara的手机安装了哪个版本的WhatsApp？(2分)

A. 241676000

B. 241676001

C. 241676004

D. 241676007

导出APK包，查看XML文件，找到android:versionCode="241676004"

36. [填空题] 参考Clara_Smartphone.bin，Clara的WhatsApp账号？(答案格式:只需填写11位阿拉伯数字) (2分)

85263791704

37. [单选题] 参考Clara_Smartphone.bin，Clara的手机在什么时候安装了小红书APP？(2分)

A. 2024-07-10

B. 2024-07-16

C. 2024-07-20

D. 2024-07-30

根据小红书包名，直接查找

38. [单选题] 参考Clara_Smartphone.bin，2024年8月21日David的虚拟貨幣钱包里有多少IDFC？(3分)

A. 5022915.66

B. 3212695.22

C. 210355633.91

D. 以上皆不是

查看图片，选A

39. [填空题] 参考Clara_Smartphone.bin，Clara注册的微信账号验证码是多少？(2分)

验证码在短信里找

40. [填空题] 参考Clara_Smartphone.bin，David为庆祝结婚周年纪念预订了哪家酒店？提示:请使用大写英文字母作答，例如:HONG KONG HOTEL) (3分)

CONRAD HONG KONG

41. [填空题] 参考Clara_Smartphone.bin，哪个数据库文件存储了微信消息？(答案格式:只需使用全部大写回答, 例如:ABC.DB) (3分)

用火眼跳转到源文件，找到ENMICROMSG.DB

42. [填空题] 参考Clara_Smartphone.bin，哪个数据库文件(.db)存储了WhatsApp訊息？(3分)

与上题同理

43. [单选题] 参考Clara_Smartphone.bin，Clara在2024年8月29日拍了多少张照片？(2分)

A. 0

B. 3

C. 4

D. 5

查看拍摄修改时间，找到三张照片

44. [单选题] 参考Clara_Smartphone.bin，Emma在2024年8月6日通过微信发送了多少张照片给Clara? (2分)

A. 0

B. 1

C. 5

D. 12

8月6日无图片发送数据

 

45. [填空题] 参考Clara_Smartphone.bin，照片20240829_144717.jpg的拍摄相机型号是什么？(2分)

 

直接使用手机大师高级搜索查找文件名，导出图片，右键属性，查看图片EXIF信息

46. [单选题] 参考Clara_Smartphone.bin，20240821_121435.jpg的储存路径是什么？(2分)

A. /media/0/DCIM/Camera

B. /media/1/DCIM/Camera

C. /media/00/DCIM/Camera

D. /media/11/DCIM/Camera

选A

47. [填空题] 参考Clara_Smartphone.bin，2024年8月20日有多少张截图？(2分)

手机大师中有对图片类型进行分类，直接查看时间，有4张

48. [单选题] 参考Clara_Smartphone.bin，2024年8月22日被删除微信消息的类型是？(3分)

A. 照片

B. 视频

C. 文本

D. 以上都不是

分析上下文，缺失的应该是助记词的照片，故选择A

49. [填空题] 你在查看Clara的手机镜像后，确定Clara是David的妻子，调查员通过查询酒店预订记录确认了这一点。他们现在定位David的住所，以进行进一步调查。你首先分析David的手机。参考David_Smartphone_1.zip，根据Contents.db，David手机接收了通讯软件"Telegram"的验证短信，该验证码是多少？(3分)

84298，但不是在Contents.db内的数据，查看Contents.db，也并未发现相关短信

50. [填空题] 参考David_Smartphone_1.zip，David把手机设置为个人热点，请找出个人热点的密码。(3分)

wdfj5674

51. [判断题] 参考David_Smartphone_1.zip, David 手机曾连接名为"MTR Free Wi-Fi" 的Wi-Fi ｡ (2分)

对

52. [填空题] 参考David_Smartphone_1.zip，根据com.tencent.mm_preferences.xml，David的手机最后登录微信的微信ID是？(3分)

53. [填空题] 参考David_Smartphone_1.zip，请指出哪一张图片是于2024年8月28日利用屏幕截取的。(答案格式:ABC_123.jpg) (3分)

Screenshot_20240828-153836_Gmail.jpg

54. [填空题] 参考 David_Smartphone_1.zip，根据Contents.db，David手机的型号(Model)？(答案格式:大写英文字母和符号'-' 混合组成) (2分)

SM-G9500

55. [填空题] 参考 David_Smartphone_1.zip的Contents.db，David所使用的手机SIM 卡的序号？(答案格式:只需要用阿拉伯数目字回答) (1分)

85200000827530728

56. [填空题] 参考 David_Smartphone_1.zip，David手机安装了应用程序"MetaMask"。根据persist-root中，"MetaMask"钱包内有多少个账号？(3分)

既然David的检材是文件夹，直接Everything搜索

AccountTrackerController：追踪不同账户的余额

查看其结构

accounts为账户，balance为账户余额

有四个不同的账户

57. [单选题] 参考 David_Smartphone_1.zip，根据persist-root中，何时从应用程序"MetaMask"发送虚拟货币至以下地址: 0X10A4F01B80203591CCEE76081A44AE1CD1281C (3分)

A. 2024-08-11 1249(GMT+8)

B. 2024-08-14 1658 (GMT+8)

C. 2024-08-14 1659 (GMT+8)

D. 2024-08-16 1724 (GMT+8)

时间戳转换，选B

58. [单选题] 参考 David_Smartphone_1.zip，David曾利用手机应用程序"MetaMask"三次发送虚拟货币失败。根据persist-root，发送虚拟货币失败的原因是什麼？(3分)

A. 网络连接问题

B. 应用程序权限被拒

D. 手续费不足

检索到error信息，"insufficient funds for gas * price + value: balance 36167000000000, tx cost 163797000000000, overshot 127630000000000"

表用户在进行交易时，账户中的余额不足以支付交易的总费用，选D

 

59. [单选题] 你根据易失性(Volatility Level)优先次序，进行内存取证分析David的笔记本电脑。参考RAM_Capture_David_Laptop.RAW，以下哪一个不是程序"firefox.exe"的PID？(2分)

A. 9240

B. 8732

C. 5260

D. 3108

导出数据，筛选列

没有C选项

 

60. [填空题] 参考RAM_Capture_David_Laptop.RAW，汇出PID：724的程序，其哈希值(SHA-256)是？(2分)

lovely加载后，直接搜索lsass.exe文件

计算hash

fee23ebcba02987e70d81ca1924c2e9c69d79ac2afea5bbde4fb335a57d4b30c

 

61. [单选题] 参考RAM_Capture_David_Laptop.RAW，哪一个是执行PID：724程序的SID？(1分)

A. S-1-1-0

B. S-1-2-0

C. S-1-5-21-1103701427-1706751984-2965915307-1001

D. S-1-5-21-1103701427-1706751984-2965915307-513

选A

 

62. [填空题] 参考RAM_Capture_David_Laptop.RAW，账户David Tenth的NT LAN Manager的哈希值(NTLM Hash)？(答案格式:只需使用全部小写及阿拉伯数字回答) (1分)

e14a21fefc5dd81275bb87228586cffc

 

63. [单选题] 在取证中，你发现D盘被BitLocker加密。U盘上可能有一些线索，你对U盘进行了取证。参考David_USB_8GB.e01，David 的U盘文件系统的格式？(2分)

A. NTFS

B. FAT32

C. exFAT

D. ReFS

XWF导入检材，右键查看属性

. [单选题] 参考David_USB_8GB.e01，David的U盘文件系统中，每簇(Cluster)定义了多少字节(Byte)？(2分)

A. 128

B. 256

C. 512

D. 1024

512,选C

65. [单选题] 参考David_USB_8GB.e01，David的U盘中有多少个已删除的文件？(2分)

A. 1

B. 2

C. 3

D. 4

挂载U盘，使用DiskGenius恢复数据，发现一个被删除的文件

 

66. [单选题] 承上题,参考David_USB_8GB.e01,已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量是多少? (2分)

A. 16

B. 32

C.

D. 128

查看data header 40表起始偏移位置，转换为10进制为

可以看到给出提示，data runs

 

67. [单选题] 承上题,参考David_USB_8GB.e01,已删除文件的第一个运行的十六进制值(低端字节序 Little-Endian)是多少? (3分)

A. 0x4C3F0DB522

B. 0x4C3F0D22B5

C. 0x224C3F0DB5

D. 0x3F4C0DB522

小端序倒置，选B

68. [填空题] 承上题,参考David_USB_8GB.e01,已删除的文件的实际大小(单位:字节 Byte)是多少? 答案格式:只需使用阿拉伯数字回答 (2分)

文件实际大小（字节）=总簇数×每簇大小

上面得知每簇为512字节

根据 data runs 的结构：

• 长度字段：B5 0D。
• 将 B5 0D 转换为十进制，表示数据的簇数量。
  • B5 0D（十六进制） = 0x0DB5 = 3509 簇

3509*512=1796608字节

69. [填空题] 承上题,参考David_USB_8GB.e01,已删除文件的第一个运行偏移量(Run Offset)是多少? (答案格式:只需使用阿拉伯数字回答) (2分)

可以看到给出提示，data runs

根据 data runs 的结构：

• 22 的低 4 位（值为 2）表明偏移量字段为 2 个字节。
• 偏移量字段为 3F 4C

3F 4C（十六进制）= 0x4C3F = 19519

70. [单选题] 承上题,参考David_USB_8GB.e01,已删除的文件的第一个运行的簇运行长度(Run Length)是多少? (2分) 

A. 2408

B. 3509

C. 3128

D. 4021

见上68题

71. [单选题] 承上题,参考David_USB_8GB.e01,已删除文件的图像文件像素值(Pixel)是多少? (2分) c

A. 1000 x 2000

B. 2000 x 3000

C. 3000 x 4000

D. 4000 x 5000

右键属性查看exif信息

72. [单选题] 承上题,参考David_USB_8GB.e01,已删除图像文件是用哪个品牌和型号的手机拍摄? (2分) 

A. SAMSUNG SM-A425

B. SAMSUNG SM-A4580

C. SAMSUNG SM-A4260

D. SAMSUNG SM-A5G

72. [单选题] 承上题,参考David_USB_8GB.e01,已删除图像文件是用哪个品牌和型号的手机拍摄? (2分) 

A. SAMSUNG SM-A425

B. SAMSUNG SM-A4580

C. SAMSUNG SM-A4260

D. SAMSUNG SM-A5G

 

73. 在U盘中,你还发现了一个exe文件,但它被锁定,可能需要进行反编译以便进一步检查。参考David_USB_8GB.e01,使用xdbg的字符串搜索(String Search)功能,在Bitlocker.exe中查找哪个字符串最有可能与显示的登录状态有关? (1分)

A:Welcome;

B:Invalid input;

C:Login Successful!;

D:Access Denied;

 

 

74. 承上題,当找到控制登录成功的逻辑代码时,如何修改汇编代码(Assembly Code)来绕过检查,达到任意输入，都成功登录的效果? (2分)

 

A:修改CMP指令，使其总是比较相等

B:修改CMP指令后的跳转指令JNE为NOP，使跳转指令失效；

C:修改MOV指令，使其移动错误的数据；

D:修改TEST指令后的跳转指令JNE为NOP，使跳转指令失效

由成功登录的字符串，ctrl+x跳转至汇编代码段

test eax, eax 语句之后会有一个条件跳转指令 jnz。这里 test eax, eax 是检查 eax 是否为 0 的判断。jnz 表示“如果不是零则跳转”，意味着当 eax 不为 0 时，会跳转到成功的逻辑分支。

我们可以直接修改jnz为nop，从而跳过失败分支，直接进入成功逻辑。

75. 参考David_USB_8GB.e01,Bitlocker.exe的正确用户登录名称是? (1分)

david1337

76. 参考David_USB_8GB.e01,Bitlocker.exe的正确登录密码是? (2分)

见上，1337david

77. 参考David_USB_8GB.e01,当Bitlocker.exe程序尝试显示登录结果（成功或失败）时,使用了哪一种途径来决定显示的消息? (2分)

test eax, eax 是检查 eax 是否为 0 的判断，jnz 表示“如果不是零则跳转”，意味着当 eax 不为 0 时，会跳转到成功的逻辑分支。选A

78. 参考David_USB_8GB.e01,决定能否解密Bitlocker Key 的字节的内存偏移量(Memory Offset)（相对于基址"bitlocker.exe"）是什么? (3分)

byte_14000808C 是关键变量，它的状态决定了 Bitlocker Key 是否可以被解密。

79. 参考David_USB_8GB.e01,决定能否解密Bitlocker Key 的内存偏移量(Memory Offset)后,应该如何利用它来进行解密? (2分)

A. 将该偏移量处的值改为 1 (true),以启用解密过程

B. 将该偏移量处的值改为 0 (false),以重新初始化加密过程

C. 将该偏移量的内容保存到档中以作解密过程中的key

D. 清空该偏移量的内存并强制退出程序

 

如果 byte_14000808C 为 0，则显示一条消息提示用户继续操作，内容为 "Great! You have finished the first step. Keep going to find the bitlocker key."。

如果 byte_14000808C 为 1，代码调用了 sub_1400022A0 和 sub_1400029E0 函数。

sub_1400029E0 函数的返回值（即 v10）被传递给 MessageBoxA，以显示 Bitlocker Key。

最后，调用 sub_140002B40 释放或清理 v24。选A

 

 

 

80. [单选题] 参考David_USB_8GB.e01，解密后的Bitlocker Key是？(3分)

A. 299255-41-198198-6161-099682-482306-2609-483527

B. 745823-918273-5738-290183-475920-182736-594827-162839

C. 539823-847291-094857-194756-382910-472918-482937-120984

D. 829384-192837-475910-298374-019283-847362-5738-293847

直接查看图片：299255-41-198198-6161-099682-482306-2609-483527

选A

81. [单选题] 到目前为止,你已经获得了BitLocker密钥以解密D盤，通过对David笔记本电脑D盤的分析，并发现了一些重要信息。你现在将继续调查未加密的C盤｡ 参考David_Laptop_GB.e01，分区格式(Partition)是？(2分)

A. MBR

B. GPT

C. RAW

右键检材，查看属性

 

82. [单选题] 参考David_Laptop_GB.e01，該e01成功提取的日期和时间是？(2分)

A. 2024-09-05 15:55:28

B. 2024-09-02 11:52:31

C. 2024-09-03 14:37:28

D. 2024-09-03 12:16:49

FTK上的数据也是9月9日

怀疑这题没有答案

 

83. [填空题] 参考David_Laptop_GB.e01，最后登录的用户是谁？(答案格式:大写英文字母,小写英文字母和空格混合组成,例如:Tom Hanks) (2分)

最后登录用户：David Tenth

 

84. [单选题] 参考David_Laptop_GB.e01，用户配置的时区是？(2分)

A. Australian Central Time

B. China Standard Time

C. New Zealand Standard Time

D. Nepal Time

UTC+8:00，选B

85. [单选题] 参考David_Laptop_GB.e01，David的笔记本电脑曾經连接了多少个设备？(2分)

A. 1

B. 2

C. 3

D. 4

弘连获取三个USB设备

美亚获取8台，似乎包括USB集线器，驱动等，去除驱动应该有4个设备

86. [填空题] 参考David_Laptop_GB.e01，David的笔记本电脑上的Firefox浏览器安装了哪些扩展工具？(答案格式:请以大寫英文字母作答，无须留空白位) (2分)

METAMASK

 

87. [单选题] 参考David_Laptop_GB.e01，根据用户配置文件中的.lnk文件，最后访问的文件名称是？(2分)

A. 下載

B. export-token

C. RAM_Capture_DaviD

D. 本機磁碟(E) (2)

选B

88. [单选题] 参考David_Laptop_GB.e01,David的笔记本电脑曾經连接了多少个不同的Wi-Fi? (2分)

A. 1

B. 2

C. 3

D. 4

1个

. [填空题] 承上题,参考David_Laptop_GB.e01，该Wi-Fi网络的名称(SSID)是？(答案格式:大写英文字母和小写英文字母混合组成) (2分)

网络SSID：ErrorError5G

90. [单选题] 参考David_Laptop_GB.e0，该电脑的Windows操作系统的安装日期是什么？(2分)

A. 2024-07-31 09:55:37 UTC+8

B. 2024-08-01 13:10:15 UTC+8

C. 2024-07-31 10:18:26 UTC+8

D. 2024-08-01 14:43:55 UTC+8

2024-07-31 10:18:26 UTC+8

91. [单选题] 通过对David 笔记本电脑的电子数据取证和痕迹分析，你了解到David是一名cryptocurrency专家。(假設虚拟貨幣International Digital Forensics Coin (IDFC)面值是每1個IDFC等如1-HKD IDFC Token Address: 0x56E7A6dd8aA1c78ba77944C94c43054978Eb7b 區塊鏈: Binance Smart Chain) 下列那个网站能够找到区块链:Binance Smart Chain的交易记录？(1分)

A. binance.com

B. bscscan.com

C. etherscan.io

D. blockchain.com

查看FireFOX历史记录，找到bscscan.com

 

92. [单选题] 参考Emma_Mobile.zip中的微信聊天记录分析，Emma用什么方法盜取David的IDFC？(1分)

A. Emma经Clara盗取了David虚拟货币钱包的私匙(Private Key)

B. Emma经Clara盗取了David虚拟货币钱包的公匙(Public Key)

C. Emma经Clara盗取了David虚拟货币钱包的回复匙(Recovery seed)

D. Emma盗取了David电话

 

C.Emma经Clara盗取了David虚拟货币钱包的回复匙(Recovery seed)

 

93. [单选题] 根据David,Emma及Clara的微信对话，David在什么日期时间发现IDFC被盗？(1分)

A. 2024-8-22 18:06

B. 2024-8-28 09:14

C. 2024-8-28 09:57

D. 2024-8-29 15:52

选B

94. [单选题] 参考Emma_Mobile.zip中的微信对话分析，Emma为什么盜取David的IDFC？(1分)

A. Emma为了买名贵手表

B. Emma为了赌钱

C. Emma为了炒卖虚拟货币

D. Emma为了还财务公司的欠债

还债，选D

95. [单选题] 参考David_Laptop_GB.e01及David，Emma及Clara的微信对话，分析IDFC的交易记录，Emma盜取了David虚拟货币钱包内哪个地址的IDFC? (2分)

A. 0x10a4f01b80203591ccee76081a44ae1cd1281c

B. 0x152c90200be61a540875f2a752c328bd19dbfb87

C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220

D. 0x70544880875fe907cee383873ca58da23378caa5

解密bitlocker，找到IDFC交易记录，David发现被盗时间是8月28日早上九点，转换为UTC时间为8月28日1点

符合时间的最近一次记录，0x10a4f01b80203591ccee76081a44ae1cd1281c

96. [单选题] 根据David，Emma及Clara的微信对话及IDFC的交易记录作分析，Emma总共盗取了David多少IDFC？(2分)

A. 90,000 IDFC

B. 170,000 IDFC

C. 9,300,000 IDFC

D. 9,390,000 IDFC

金额90,000 IDFC

97. [多选题] 根据Emma及Clara的微信对话，下列哪些地址是由相同的恢复短语(Recovery Seed)所生成？(3分)

A. 0x10a4f01b80203591ccee76081a44ae1cd1281c

B. 0x152c90200be61a540875f2a752c328bd19dbfb87

C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220

D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042

98. [单选题] 根据IDFC的交易记录作分析，总共有多少次IDFC交易流入地址0x10a4f01b80203591ccee76081a44ae1cd1281c？(1分)

A. 0

B. 1

C. 2

D. 3

两条流入记录

99. [单选题] 参考David_Laptop_GB.e01，在David计算机的D盘内有一张图片，根据图片上的信息，找出David另一个虚拟货币钱包的恢复短语(2)(Recovery Seed)，下列哪一个单词是在此恢复短语(2)(Recovery Seed)内？(3分)

A. fall

B. bread

C. brain

D. dove

本来一直以为这个词是break

在内存镜像内搜索已有的两个关键词

找到完整的助记词

选dove

100. [多选题] 承上题,参考David_Laptop_GB.e01，在IDFC的交易记录中，下列哪些地址由上述恢复短语(2)(Recovery Seed)所生成？(2分)

A. 0xb2e3dbea311511ec5bda3e85e061f15366f888a6

B. 0xe90ad3f80e39e83b533eef3ed23c1ec510c6

C. 0x90f73497E4446f6Cf9881213C32D6af66d799fE5

D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042

 

选A，0xb2e3dbea311511ec5bda3e85e061f15366f888a6