2024美亚杯-个人赛WP

前言

这次线下赛面基了好几个朋友，太羞涩只认识了几个警官学院的朋友，最后收集了一下胸标。想和佬们交朋友【羞涩】
打完美亚杯的第三天，终于磨磨蹭蹭的把WP写出来了！

第一次去打的线下不怎么适应，个人赛开始后前一个小时整个人做题都懵懵的，不会的题也不知道瞎蒙，先填上在说。也是吸取教训了。其实这次的个人赛的难度确实不算很难。

里面的一些逆向题还是不太会做，一直没有时间入门逆向所以做不了太多。

如有错误欢迎各位大佬指正。

案情

2024年8月某日，香港警方接获一名本地女子Emma报案，指她的姐姐Clara失联多天，希望报告一宗失踪人口的案件。现在你被委派处理这宗案件。在处理该案件期间，你在Emma的同意下提取了她手机的资料，并且协助警方对Clara及其丈夫David的电子装备进行取证工作。请分析以下资料，还原事件经过。

证据列表

检材资料

Emma的iOS手机镜像档案(Emma_Mobile_Image.zip)  
Clara的安卓手机镜像档案(Clara_Smartphone.bin)
David的Windows系统计算器镜像档案(David_Laptop_64GB.e01)
David的8GB U盘镜像档案(David_USB_8GB.e01)
David的安卓手机镜像档案(David_Smartphone_1.zip) 
David的Windows系统计算器内存档案(RAM_Capture_David_Laptop.raw) 

检材下载链接
2024美亚杯个人赛

链接：https://pan.baidu.com/s/19G3enrk2ozrEWvTka3EeGg 

提取码：r8sx 

个人赛 (100个小题, 共200分)

1. [单选题] Emma 已经几天没有收到她姐姐 Clara的消息了，报警失踪, 她焦虑地将手机提交给警察,希望能找到线索｡警察将手机交给你进行电子数据取证｡你成功提取了Emma手机的镜像｡ 请根据取证结果回答以下问题｡ 根据Emma_Mobile.zip, Emma和Clara的微信聊天记录,Emma最后到警署报案并拍摄写有报案编号的卡片,拍摄时的经纬值是多少? (2分)

A. 22.451721666667, 114.171853333333

B. 22.451553333333, 114.172845

C. 22.451928333333, 114.170503333333

D. 22.451638333333, 114.16993

直接去看聊天的数据库文件，message_2.sqlite。找到图片的信息，里面有图片的UUID（ 通用唯一识别码 ）：F58B98FE-8010-44B7-8BF7-F23AF15DCFCA

再转到Photos.sqlite

“Photos.sqlite” 是一个文件名，通常表示一个 SQLite 数据库文件，用于存储与照片相关的数据。

使用Navicat去搜索UUID

结果为A

2. [单选题] 根据Emma_Mobile.zip, 2024年8月30日下午两点后Emma共致电Clara多少次? (1分)

A. 85

B. 86

C. 87

D. 88

Emma给Clara打电话，挂载Emma的手机检材并不完整。先从Clara的手机检材中找到Clara的电话。

回到Emma的手机检材全局搜索Clara的手机号：63791704

找到CallHistory.storedata.db中，使用Navicat打开

“CallHistory.storedata.db” 是一个通话记录存储的数据库文件。

在ZCALLRECORD表中将2024-8-30 14：00换算为时间戳：746690400

结果为D

3. [单选题] 根据Emma和Clara的微信聊天记录,Clara失踪前曾告诉Emma会到哪里? (1分)

A. 到酒店和丈夫David庆祝结婚周年

B. 吃自助餐

C. 约了朋友见面

D. 去旅行

Emma的检材需要去她的数据库查看，我直接去Clara的微信聊天记录查看

结果为A

4. [填空题] 参考Emma_Mobile.zip, Emma的iPhone XR内微信应用程序的版本是多少? (2分)

在Manifest.plist中会记录安装应用的版本

结果为8.0.50

5. [多选题] 参考Emma_Mobile.zip, Emma手机中下列哪个选项是正确的? (2分)

A. iOS 版本为 17.6.1

B. IMEI 为 356414106484705

C. Apple ID 为 Emma1761@gmail.com

D. 手机曾经安装Metamask 应用程式

com.apple.commcenter.plist文件里记录的

结果为D

6. [填空题] 参考Emma_Mobile.zip,Emma 手机中 Apple ID 的注册电子邮箱是多少? (2分)

结果为emmaemma.851231@gmail.com

7. [填空题] 参考Emma_Mobile.zip,在2024年,Emma 手机上曾记录的电话卡集成电路卡标识符 (ICCID) 是多少? (答案格式:只需使用阿拉伯数字回答) (2分)

结果为8985200000826445829

8. [填空题] 参考Emma_Mobile.zip,Emma 手机的蓝牙设备名称 "ELK-BLEDOM" 的通用唯一标识符 (UUID) 是什么? (1分)

火眼的蓝牙没有记录uuid

但是里面记录了蓝牙设备直接跳转源文件找到com.apple.MobileBluetooth.ledevices.other.db 在里面的OtherDevices表中找到uuid

结果为8D13F23C-E73C-6A98-AA4F-16C8D7A5F826

9. [单选题] 你发现了一些线索,Emma 看起来也很可疑,她似乎背负了大量债务｡ 参考Emma_Mobile.zip,Emma 手机内Safari浏览记录中网页"[https://racing.hkjc.com/"](https://racing.hkjc.com/")的网站标题是什么? (1分)

A. 香港马会奖券有限公司

B. 六合彩 - Google 搜索

C. 快易钱:网上贷款财务公司 | 足不出户现金即日到手

D. 赛马信息 - 香港赛马会

结果为D

10. [单选题] 参考Emma_Mobile.zip,Emma向Clara透露什么原因令Emma欠下巨债? (1分)

A. 投资孖展

B. 虚拟货币失利

C. 网上赌博

D. 以上皆是

去查看Clara的微信聊天记录就好了

结果为D

11. [单选题] 参考Emma_Mobile.zip,收债人要求Emma还款数量? (1分)

A. 港币$786,990

B. 港币$878,990？？？

C. 港币$786,980

D. 港币$745,330

结果为C

12. [单选题] 参考Emma_Mobile.zip,Emma发送了多少张.PNG图片给Clara,证明自己正被人追债? (2分)

A. 6

B. 7

C. 8

D. 9

结果为B

13. [单选题] 参考Emma_Mobile.zip,Emma用来浏览虚拟货币的网址? (2分)

A. Google.com

B. Facebook.com

C. IntellaX.io

D. Yahoo.com

许多浏览器使用 history.db 文件来存储用户的浏览历史。

结果为C

14. [单选题] 参考Emma_Mobile.zip的浏览器记录,有多少网址与bet365有关? (2分)

A. 3

B. 13

C. 9

D. 12

通过火焰的全局搜索关键字bet365，发现在Bookmarks.db 和SafariTabs.db 都有记录

导出查看

结果为A

15. [单选题] 你还发现了一些与不当使用他人加密钱包相关的痕迹｡ 参考Emma_Mobile.zip,Emma用了哪些恢复短语(Recovery Phrase)进入David的虚拟货币账户? (2分)

A. stock,avocado,grab,clay

B. light,sadness,segment,ancient

C. toe,talk,elder,oil

D. 以上皆是

结果为D

16. [单选题] 参考Emma_Mobile.zip,Emma从David处窃取的虚拟货币的名称是什么？ (2分)

A. IDFC

B. ICAC

C. INIC

D. IFCC

通过Clara和Emma微信聊天记录得知

结果为A

17. [单选题] 参考Emma_Mobile.zip,Clara偷拍的照片中,David的虚拟货币余额是多少? (2分)

A. 3266378.99

B. 1044749.22

C. 5022915.66

D. 7822468.44

结果为C

18. [单选题] 参考Emma_Mobile.zip,Emma在偷窃David的虚拟货币前,Emma曾向Clara透露有什么事发生在Emma身上? (1分)

A. 中彩票

B. 欠债

C. 升职

D. 失业

结果为B

19. [多选题] （你查看了Emma手机中的一些照片数字信息,以获取更多与失踪案件的信息） Emma的iPhone XR中 "IMG_0008.HEIC" 的图像与相片名字为的"5005.JPG" 看似为同一张相片,在数码法理鉴证分析下,以下哪样描述是正确? (3分)

A. 储存在不同的.db 檔案里？？？？

B. 有不同哈希值

C. IMG_0008.HEIC 为原图, “5005.JPG”为并非原图

D. IMG_0008.HEIC 和名字” 5005.JPG”是同一张相片

ios设置里可以选择默认拍摄heic格式的照片，heic传到qq微信wps之类的软件后会被转换为jpg格式，photos.sqlite里存储的是相册中的照片信息jpg格式是第三方软件转换的，存储在应用程序私有目录当中

结果为B、C

20. [单选题] 参考Emma_Mobile.zip, Emma的iPhone XR中"IMG_0009.HEIC" 的图像显示拍摄参数怎样? (2分)

A. iPhone XR back camera 4.25mm f/1.8

B. iPhone XR back camera 4.25mm f/2.8

C. iPhone XR back camera 4.25mm f/2

D. iPhone XR back camera 4.25mm f/1.6

使用火眼全局搜索关键字 iPhone XR back camera 4.25mm

发现在Photos.sqlite 和 store.cloudphotodb.db有记录，导出查看在Photos.sqlite中找到

结果为A

21. [多选题] 参考Emma_Mobile.zip, Emma的iPhone XR中相片文件IMG_0009.HEIC提供了什么电子证据信息? (3分)

A. 此相片是由隔空投送 (Airdrop)得来

B. 此相片由iPhone XR拍摄

C. 此相片的拍摄时间为2024-08-05 13:38:15(UTC+8)

D. 此相片的拍摄时间为2024-08-06 08:30:52(UTC+8)

先全局检索关键字 最后还是在Photos.sqlite 中

图片的经纬度

使用navicat的工具搜索经度成功找到

结果为B、C

22. [多选题] 参考Emma_Mobile.zip, Emma的iPhone XR内以下哪张照片是实况照片(Live Photos)? (2分)

A. IMG_0002.HEIC

B. IMG_0005.HEIC

C. IMG_0004.HEIC

D. IMG_0006.HEIC

数据库中搜索IMG_000

在 iPhone XR 中，实况照片的格式主要是由一张 HEIC 格式的静态图像和一段 MOV 格式的短视频组成。

结果为A、C

23. [单选题] 参考Emma_Mobile.zip,手机里有多少张照片是用手机后置摄像镜头拍摄的? (2分)

A. 5

B. 6

C. 7

D. 8

数据库中搜iPhone XR back camera 4.25mm f/1.8

第20题已经给提示了

结果为D

24. [单选题] 参考Emma_Mobile.zip的通讯记录,MesLocalID 224是什么类的文件? (3分)

A. 相片

B. 影片

C. 文件

D. 报表

检索关键字 MesLocalID ，在message_2.sqlite中

结果为A

25. [单选题] 依据你在Emma的手机上找到的照片,你告诉调查员Clara最后的位置是在湾仔的一家酒店｡根据你提供的信息,调查员发现Clara在酒店去世,Clara的手机在她的附近, 你对Clara的手机进行取证｡请根据取证结果回答以下问题｡ 参考Clara_Smartphone.bin,Clara手机的Android操作系统版本是? (1分)

A. 8.0.0

B. 9.0.0

C. 8.1.0

D. 7.0.0

结果为A

26. [填空题] 参考Clara_Smartphone.bin,Clara手机的版本号(Build Number)是什么? (1分)

`build.prop`是 Android 系统中一个重要的文本格式的属性文件，位于`/system`目录下，该文件存储了大量与系统、设备相关的属性信息，这些信息对于系统的正常运行、应用程序的兼容性以及设备的识别等方面都起着关键作用。

在火眼的基础信息下的设备信息中跳转源文件就是 build.prop

结果为OPR1.170623.026

27. [填空题] 参考Clara_Smartphone.bin,Clara手机的IMEI号码是多少? (答案格式:只填写阿拉伯数字部分) (1分)

结果为454000082753084

28. [填空题] 参考Clara_Smartphone.bin,Emma的微信账号是? (2分)

结果为wxid_ltrpgdhvilso22

29. [单选题] 参考Clara_Smartphone.bin,Clara的第一封电子邮件记录的日期? (2分)

A. 2024-07-10

B. 2024-07-18

C. 2024-07-23

D. 2024-07-30

我火眼只识别到谷歌邮箱账户，直接搜邮箱账户clara.ccc0807@gmail.com 的db文件

结果为A

30. [单选题] 参考Clara_Smartphone.bin,在通讯录中"David"的联系人信息还包括什么? (2分)

A. 出生日期

B. LinkedIn

C. 电子邮件

D. 地址

在火眼的通讯录跳转源文件contacts2.db 导出检索关键字 David

raw_contact_id（原始联系人ID）这三条都是2

结果为B

31. [单选题] 参考Clara_Smartphone.bin,David和Clara之间通话次数? (2分)

A. 0

B. 8

C. 10

D. 24

结果为B

32. [单选题] 参考Clara_Smartphone.bin,Clara在Chrome浏览器搜索中哪天使用了关键词"popmart 炒价"? (2分)

A. 2024-08-10

B. 2024-08-15

C. 2024-08-20

D. 2024-08-25

结果为B

33. [单选题] 参考Clara_Smartphone.bin,2024年7月30日共收到多少封电子邮件? (2分)

A. 2

B. 3

C. 4

D. 5

别人的跑出来了，我的工具没跑出来

结果为5

34. [填空题] 参考Clara_Smartphone.bin,Clara的Gmail账号是? (2分)

结果为clara.ccc0807@gmail.com

35. [单选题] 参考Clara_Smartphone.bin,Clara的手机安装了哪个版本的WhatsApp? (2分)

A. 241676000

B. 241676001

C. 241676004

D. 241676007

结果为C

36. [填空题] 参考Clara_Smartphone.bin,Clara的WhatsApp账号? (答案格式:只需填写11位阿拉伯数字) (2分)

结果为85263791704

37. [单选题] 参考Clara_Smartphone.bin,Clara的手机在什么时候安装了小红书APP? (2分)

A. 2024-07-10

B. 2024-07-16

C. 2024-07-20

D. 2024-07-30

结果为B

38. [单选题] 参考Clara_Smartphone.bin,2024年8月21日David的虚拟貨幣钱包里有多少IDFC? (3分)

A. 5022915.66

B. 3212695.22

C. 210355633.91

D. 以上皆不是

结果为A

39. [填空题] 参考Clara_Smartphone.bin,Clara注册的微信账号验证码是多少? (2分)

结果为954250

40. [填空题] 参考Clara_Smartphone.bin,David为庆祝结婚周年纪念预订了哪家酒店? 提示:请使用大写英文字母作答, 例如:HONG KONG HOTEL) (3分)

去看与David的聊天记录

结果为CONRAD HONG KONG

41. [填空题] 参考Clara_Smartphone.bin,哪个数据库文件存储了微信消息? (答案格式:只需使用全部大写回答, 例如:ABC.DB) (3分)

结果为ENMICROMSG.DB

42. [填空题] 参考Clara_Smartphone.bin,哪个数据库文件(.db)存储了WhatsApp訊息? (3分)

结果为msgstore.db

43. [单选题] 参考Clara_Smartphone.bin,Clara在2024年8月29日拍了多少张照片? (2分)

A. 0

B. 3

C. 4

D. 5

去照片的相机过滤

结果为A

44. [单选题] 参考Clara_Smartphone.bin,Emma在2024年8月6日通过微信发送了多少张照片给Clara? (2分)

A. 0

B. 1

C. 5

D. 12

结果为0

45. [填空题] 参考Clara_Smartphone.bin,照片20240829_144717.jpg的拍摄相机型号是什么? (2分)

搜索到图片后在本地资源管理器打开查看属性

结果为LG-H930

46. [单选题] 参考Clara_Smartphone.bin,20240821_121435.jpg的储存路径是什么? (2分)

A. /media/0/DCIM/Camera

B. /media/1/DCIM/Camera

C. /media/00/DCIM/Camera

D. /media/11/DCIM/Camera

结果为A

47. [填空题] 参考Clara_Smartphone.bin,2024年8月20日有多少张截图? (2分)

结果为4

48. [单选题] 参考Clara_Smartphone.bin,2024年8月22日被删除微信消息的类型是? (3分)

A. 照片

B. 视频

C. 文本

D. 以上都不是

通过聊天记录判断

结果为A

49. [填空题] 你在查看Clara的手机镜像后,确定Clara是David的妻子,调查员通过查询酒店预订记录确认了这一点｡他们现在定位David的住所,以进行进一步调查｡ 你首先分析David的手机｡ 参考David_Smartphone_1.zip, 根据Contents.db,David 手机接收了通讯软件"Telegram"的验证短信,该验证码是多少? (3分)

结果为84298

50. [填空题] 参考David_Smartphone_1.zip, David 把手机设置为个人热点,请找出个人热点的密码｡ (3分)

结果为wdfj5674

51. [判断题] 参考David_Smartphone_1.zip, David 手机曾连接名为"MTR Free Wi-Fi" 的Wi-Fi ｡ (2分)

正确

错误

结果为正确

52. [填空题] 参考David_Smartphone_1.zip, 根据com.tencent.mm_preferences.xml,David 的手机最后登录微信的微信 ID 是? (3分)

里面只有一个微信ID

结果为wxid_rni3m2o8ngxe22

53. [填空题] 参考David_Smartphone_1.zip, 请指出哪一张图片是于2024年8月28日利用屏幕截取的｡ (答案格式:ABC_123.jpg) (3分)

结果为Screenshot_20240828-153836_Gmail.jpg

54. [填空题] 参考 David_Smartphone_1.zip,根据Contents.db,David 手机的型号(Model)? (答案格式:大写英文字母和符号'-' 混合组成) (2分)

结果为SM-G9500

55. [填空题] 参考 David_Smartphone_1.zip的Contents.db,David所使用的手机SIM 卡的序号? (答案格式:只需要用阿拉伯数目字回答) (1分)

结果为8985200000827530728

56. [填空题] 参考 David_Smartphone_1.zip,David 手机安装了应用程序"MetaMask"｡根据persist-root中,"MetaMask"钱包内有多少个账号? (3分)

直接搜索关键：Account(账号)

结果为4

57. [单选题] 参考 David_Smartphone_1.zip,根据persist-root中,何时从应用程序"MetaMask"发送虚拟货币至以下地址: 0X10A4F01B80203591CCEE76081A4489AE1CD1281C (3分)

A. 2024-08-11 1249(GMT+8)

B. 2024-08-14 1658 (GMT+8)

C. 2024-08-14 1659 (GMT+8)

D. 2024-08-16 1724 (GMT+8)

结果为B

58. [单选题] 参考 David_Smartphone_1.zip,David 曾利用手机应用程序"MetaMask"三次发送虚拟货币失败｡根据persist-root,发送虚拟货币失败的原因是什麼? (3分)

A. 网络连接问题

B. 应用程序权限被拒

C. 接收地址错误

D. 手续费不足

结果为D

59. [单选题] 你根据易失性(Volatility Level)优先次序,进行内存取证分析David的笔记本电脑｡ 参考RAM_Capture_David_Laptop.RAW,以下哪一个不是程序"firefox.exe"的PID? (2分)

A. 9240

B. 8732

C. 5260

D. 3108

工具：lovelymem （内存取证非常推荐该软件）

结果为C

60. [填空题] 参考RAM_Capture_David_Laptop.RAW,汇出PID:724的程序,其哈希值 (SHA-256) 是? (2分)

使用lovelymem加载会自动用MemProcFS挂载，直接去挂载的M:\name目录下找到

结果为fee23ebcba02987e70d81ca1924c2e9c69d79ac2afea5bbde4fb335a57d4b30c

61. [单选题] 参考RAM_Capture_David_Laptop.RAW,哪一个是执行PID:724程序的SID? (1分)

A. S-1-1-0

B. S-1-2-0

C. S-1-5-21-1103701427-1706751984-2965915307-1001

D. S-1-5-21-1103701427-1706751984-2965915307-513

结果为A

62. [填空题] 参考RAM_Capture_David_Laptop.RAW,账户David Tenth的NT LAN Manager的哈希值(NTLM Hash) ? (答案格式:只需使用全部小写及阿拉伯数字回答) (1分)

使用哈希转换功能

结果为e14a21fefc5dd81275bb87228586cffc

63. [单选题] 在取证中,你发现D盘被BitLocker 加密｡U盘上可能有一些线索,你对U盘进行了取证｡ 参考David_USB_8GB.e01,David 的U盘文件系统的格式? (2分)

A. NTFS

B. FAT32

C. exFAT

D. ReFS

结果为A

64. [单选题] 参考David_USB_8GB.e01,David 的U盘文件系统中,每簇(Cluster)定义了多少字节(Byte)? (2分)

A. 128

B. 256

C. 512

D. 1024

结果为C

65. [单选题] 参考David_USB_8GB.e01,David 的U盘中有多少个已删除的文件? (2分)

A. 1

B. 2

C. 3

D. 4

结果为A

66. [单选题] 承上题,参考David_USB_8GB.e01,已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量是多少? (2分)

A. 16

B. 32

C. 64

D. 128

结果为C

67. [单选题] 承上题,参考David_USB_8GB.e01,已删除文件的第一个运行的十六进制值(低端字节序 Little-Endian)是多少? (3分)

A. 0x4C3F0DB522

B. 0x4C3F0D22B5

C. 0x224C3F0DB5

D. 0x3F4C0DB522

小端序是每位倒叙,所以反着读字节顺序

结果为B

68. [填空题] 承上题,参考David_USB_8GB.e01,已删除的文件的实际大小(单位:字节 Byte)是多少? 答案格式:只需使用阿拉伯数字回答 (2分)

结果为1796608byte

69. [填空题] 承上题,参考David_USB_8GB.e01,已删除文件的第一个运行偏移量(Run Offset)是多少? (答案格式:只需使用阿拉伯数字回答) (2分)

运行偏移量是由NTFS系统下的DateRun格式决定的，第一个运行偏移量0x4C3F

4C3F转为十进制

结果为19519

70. [单选题] 承上题,参考David_USB_8GB.e01,已删除的文件的第一个运行的簇运行长度(Run Length)是多少? (2分)

A. 2408

B. 3509

C. 3128

D. 4021

结果为B

71. [单选题] 承上题,参考David_USB_8GB.e01,已删除文件的图像文件像素值(Pixel)是多少? (2分)

A. 1000 x 2000

B. 2000 x 3000

C. 3000 x 4000

D. 4000 x 5000

使用xwarys恢复出来

结果为C

72. [单选题] 承上题,参考David_USB_8GB.e01,已删除图像文件是用哪个品牌和型号的手机拍摄? (2分)

A. SAMSUNG SM-A425

B. SAMSUNG SM-A4580

C. SAMSUNG SM-A4260

D. SAMSUNG SM-A5G

结果为C

73. [单选题] 在 U盘中,你还发现了一个exe文件,但它被锁定,可能需要进行反编译以便进一步检查｡ 参考David_USB_8GB.e01,使用x64dbg的字符串搜索(String Search)功能,在Bitlocker.exe中查找哪个字符串最有可能与显示的登录状态有关? (1分)

A. Welcome

B. Invalid input

C. Login Successful!

D. Access Denied

使用快捷键 “Shift+F12” 查看字符串

结果为C

74. [单选题] 承上題,当找到控制登录成功的逻辑代码时,如何修改汇编代码(Assembly Code)来绕过检查,达到任意输入，都成功登录的效果? (2分)

A. 修改CMP指令,使其总是比较相等

B. 修改CMP 指令後的跳转指令JNE 為nop,使跳转指令失效

C. 修改MOV指令,使其移动错误的数据

D. 修改TEST 指令後的跳转指令JNE 為nop,使跳转指令失效

结果为D

75. [填空题] 参考David_USB_8GB.e01,Bitlocker.exe的正确用户登录名称是? (1分)

结果为david1337

76. [填空题] 参考David_USB_8GB.e01,Bitlocker.exe的正确登录密码是? (2分)

结果为1337david

77. [单选题] 参考David_USB_8GB.e01,当Bitlocker.exe程序尝试显示登录结果（成功或失败）时,使用了哪一种途径来决定显示的消息? (2分)

A. 通过检查某个寄存器的值来决定跳转到不同的汇编代码区段

B. 通过调用硬编码的内存地址来显示特定的消息框

C. 通过堆栈中的返回地址来确定要显示的消息

D. 通过逐位操作来修改显示消息的字符串内容

结果为A

78. [单选题] 参考David_USB_8GB.e01,决定能否解密 Bitlocker Key 的字节的内存偏移量(Memory Offset)（相对于基址"bitlocker.exe"）是什么? (3分)

A. 0xA0B2

B. 0x808C

C. 0xA0C8

D. 0xA0E0

结果为B

79. [单选题] 参考David_USB_8GB.e01,决定能否解密 Bitlocker Key 的内存偏移量(Memory Offset)后,应该如何利用它来进行解密? (2分)

A. 将该偏移量处的值改为 1 (true),以启用解密过程

B. 将该偏移量处的值改为 0 (false),以重新初始化加密过程

C. 将该偏移量的内容到档中以作解密过程中的key

D. 清空该偏移量的内存并强制退出程序

结果为A

80. [单选题] 参考David_USB_8GB.e01,解密后的 Bitlocker Key 是? (3分)

A. 299255-418649-198198-616891-099682-482306-642609-483527

B. 745823-918273-564738-290183-475920-182736-594827-162839

C. 539823-847291-094857-194756-382910-472918-482937-120984

D. 829384-192837-475910-298374-019283-847362-564738-293847

第一种可以一个一个试，第二种存放在U盘里的那张被删除的图片里，恢复查看即可

结果为A

81. [单选题] 到目前为止,你已经获得了 BitLocker 密钥以解密 D盤,通过对David 笔记本电脑D盤的分析,并发现了一些重要信息｡你现在将继续调查未加密的 C盤｡ 参考David_Laptop_64GB.e01,分区格式(Partition)是? (2分)

A. MBR

B. GPT

C. RAW

结果为B

82. [单选题] 参考David_Laptop_64GB.e01,該e01 成功提取的日期和时间是? (2分)

A. 2024-09-05 15:55:28

B. 2024-09-02 11:52:31

C. 2024-09-03 14:37:28

D. 2024-09-03 12:16:49

这题貌似是没有正确答案的

83. [填空题] 参考David_Laptop_64GB.e01,最后登录的用户是谁? (答案格式:大写英文字母,小写英文字母和空格混合组成,例如:Tom Hanks) (2分)

结果为David Tenth

84. [单选题] 参考David_Laptop_64GB.e01,用户配置的时区是? (2分)

A. Australian Central Time

B. China Standard Time

C. New Zealand Standard Time

D. Nepal Time

仿真后使用命令tzutil /g也能出

结果为B

85. [单选题] 参考David_Laptop_64GB.e01,David的笔记本电脑曾經连接了多少个设备? (2分)

A. 1

B. 2

C. 3

D. 4

结果为3

86. [填空题] 参考David_Laptop_64GB.e01,David的笔记本电脑上的Firefox浏览器安装了哪些扩展工具? (答案格式:请以大寫英文字母作答，无须留空白位) (2分)

结果为METAMASK

87. [单选题] 参考David_Laptop_64GB.e01,根据用户配置文件中的.lnk文件,最后访问的文件名称是? (2分)

A. 下載

B. export-token

C. RAM_Capture_DaviD

D. 本機磁碟(E) (2)

按下 Win+R 组合键后输入 “recent” 的作用是快速打开 “最近使用的文件” 文件夹，该文件夹中存放着用户最近访问过的文件和文件夹的快捷方式，通过查看其中的内容，可以了解到电脑的近期使用情况

结果为B

88. [单选题] 参考David_Laptop_64GB.e01,David的笔记本电脑曾經连接了多少个不同的Wi-Fi? (2分)

A. 1

B. 2

C. 3

D. 4

结果为A

89. [填空题] 承上题,参考David_Laptop_64GB.e01,该Wi-Fi网络的名称(SSID)是? (答案格式:大写英文字母和小写英文字母混合组成) (2分)

结果为ErrorError5G

90. [单选题] 参考David_Laptop_64GB.e01,该电脑的Windows操作系统的安装日期是什么? (2分)

A. 2024-07-31 09:55:37 UTC+8

B. 2024-08-01 13:10:15 UTC+8

C. 2024-07-31 10:18:26 UTC+8

D. 2024-08-01 14:43:55 UTC+8

结果为C

91. [单选题] 通过对David 笔记本电脑的电子数据取证和痕迹分析,你了解到David是一名 cryptocurrency 专家｡ (假設虚拟貨幣International Digital Forensics Coin (IDFC)面值是每1個IDFC等如1-HKD IDFC Token Address: 0x56E7A6dd8aA1c78ba77944C94c43054978E89b7b 區塊鏈: Binance Smart Chain) 下列那个网站能够找到区块链:Binance Smart Chain的交易记录? (1分)

A. binance.com

B. bscscan.com

C. etherscan.io

D. blockchain.com

之前就提示在火狐浏览器安装了 MetaMask ，到该浏览器看历史记录

结果为B

92. [单选题] 参考Emma_Mobile.zip中的微信聊天记录分析,Emma用什么方法盜取David的IDFC? (1分)

A. Emma经Clara盗取了David虚拟货币钱包的私匙(Private Key)

B. Emma经Clara盗取了David虚拟货币钱包的公匙(Public Key)

C. Emma经Clara盗取了David虚拟货币钱包的回复匙(Recovery seed)

D. Emma盗取了David电话

微信聊天记录分析

结果为C

93. [单选题] 根据David,Emma及Clara的微信对话,David在什么日期时间发现IDFC被盗? (1分)

A. 2024-8-22 18:06

B. 2024-8-28 09:14

C. 2024-8-28 09:57

D. 2024-8-29 15:52

去Clara手机的微信去看与David的对话

结果为B

94. [单选题] 参考Emma_Mobile.zip中的微信对话分析,Emma为什么盜取David的IDFC? (1分)

A. Emma为了买名贵手表

B. Emma为了赌钱

C. Emma为了炒卖虚拟货币

D. Emma为了还财务公司的欠债

结果为D

95. [单选题] 参考David_Laptop_64GB.e01及David,Emma及Clara的微信对话,分析IDFC的交易记录,Emma盜取了David虚拟货币钱包内哪个地址的IDFC? (2分)

A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c

B. 0x152c90200be61a540875f2a752c328bd19dbfb87

C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220

D. 0x70544880875fe907cee383873ca58da23378caa5

解密D盘后在export-token-0x56E7A6dd8aA1c78ba77944C94c43054978E89b7b.txt文件里保存了每次交易的记录

通过Emma及Clara的微信对话得知获取了恢复恢复短语(Recovery Seed)的时间和David发现虚拟币被盜取的时间

在区间里过滤

结果为A

96. [单选题] 根据David,Emma及Clara的微信对话及IDFC的交易记录作分析,Emma总共盗取了David多少IDFC? (2分)

A. 90,000 IDFC

B. 170,000 IDFC

C. 9,300,000 IDFC

D. 9,390,000 IDFC

结果为A

97. [多选题] 根据Emma及Clara的微信对话,下列哪些地址是由相同的恢复短语(Recovery Seed)所生成? (3分)

A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c

B. 0x152c90200be61a540875f2a752c328bd19dbfb87

C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220

D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042

使用种子恢复工具

恢复短语：stock avocado grab clay light sadness segment ancient toe talk elder oil

结果为A、B、C

98. [单选题] 根据IDFC的交易记录作分析,总共有多少次IDFC交易流入地址0x10a4f01b80203591ccee76081a4489ae1cd1281c? (1分)

A. 0

B. 1

C. 2

D. 3

结果为C

99. [单选题] 参考David_Laptop_64GB.e01,在David计算机的D盘内有一张图片,根据图片上的信息,找出David另一个虚拟货币钱包的恢复短语(2)(Recovery Seed),下列哪一个单词是在此恢复短语(2)(Recovery Seed)内? (3分)

A. fall

B. bread

C. brain

D. dove

解锁D盘的Bitlocker后得到，图片只有两个恢复短语：infant和fragile

对给我们的内存镜像RAM_Capture_David_Laptop.raw使用xwarys进行同步搜索

结果为D

100. [多选题] 承上题,参考David_Laptop_64GB.e01,在IDFC的交易记录中,下列哪些地址由上述恢复短语(2)(Recovery Seed)所生成? (2分)

A. 0xb2e3dbea311511ec5bda3e85e061f15366f888a6

B. 0xe90ad3f80e39e83b533eef3ed23c641ec51089c6

C. 0x90f73497E4446f6Cf9881213C32D6af66d799fE5

D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042

上题得

恢复短语infant fragile garlic bracket stove blade stick dove aerobic spin term educate

结果为C、D