前言:
之前去线下打的,打的不是很理想连三等奖都没拿到且一直拖着没有复现,趁着备赛复现一下。建议:做美亚要挑题目做,比较麻烦的(分析数据库等等)就直接跳过后面有时间再回来做。难的部分(服务器、misc类型等等)也是放到后面有时间再回来做。做题顺序:易部分->难部分的易->麻烦题->易部分的难->难部分的难
链接: https://pan.baidu.com/s/135yZ6hmywKSfkS6dyN4mSA 提取码: 3ugz
容器密码:
eS2%u@q#hake2#Z@6LWpQ8^T(R7cg95m\Bv+y;$=/dqxYnEusFf)tb>:HKHwy+e%cR\r=9j:GsK)AV52/3hXfdv8#u7a6JQ^pz><YPNkq*!&
案情:2024年8月某日,香港警方接获一名本地女子Emma报案,指她的姐姐Clara失联多天,希望报告一宗失踪人口的案件。现在你被委派处理这宗案件。在处理该案件期间,你在Emma的同意下提取了她手机的资料,并且协助警方对Clara及其丈夫David的电子装备进行取证工作。请分析以下资料,还原事件经过。
检材:
2
3
4
5
6
|----David_Laptop_64GB.e01
|----David_Smartphone_1.zip
|----David_USB_8GB.e01
|----Emma_Mobile_Image.zip
|----RAM_Capture_David_Laptop.rar题目分布:
Emma 的手机
Emma 已经几天没有收到她姐姐 Clara 的消息了, 报警失踪, 她焦虑地将手机提交给警察, 希望能找到线索.
警察将手机交给你进行电子数据取证. 你成功提取了Emma手机的镜像
Emma_Mobile.zip.请根据取证结果回答以下问题
1.Emma 和 Clara 的微信聊天记录, Emma 最后到警署报案并拍摄写有报案编号的卡片, 拍摄时的经纬值是多少?
A. 22.451721666667, 114.171853333333
A. 22.451721666667, 114.171853333333
B. 22.451553333333, 114.172845
C. 22.451928333333, 114.170503333333
D. 22.451638333333, 114.16993
在图片中可以找到这张卡片
但是找不到经纬值,直接去到数据库中看看,找到一个photos.sqlite猜测可能是用于存储图片信息的数据库
在ZASSET表中找到经纬值信息,本来想用排除法做结果四个选项都有,那么只能再找一下如何定位到图片
接着往下看,找到一个记录聊天记录的数据库message_2.sqlite,里面存储了该图片的信息
1 | <msg><img hdlength="0" length="139561" aeskey="b3f5f12230235d3dfe4f90e4984c8ebf" encryver="1" md5="44c089af8c9a1414edb8ee6026be3307" originsourcemd5="0bbe83bda8f3e13735e9009078a231f0" filekey="wxid_t7zgo57j9m0j22_314_1725012210" uploadcontinuecount="0" imgsourceurl="" hevc_mid_size="139561" cdnbigimgurl="" cdnmidimgurl="3052020100044b30490201000204a695112702030f525902044b7d9b2b020466d198f2042432353830663531302d623137372d343463312d623732642d6566396562313331663331610204011d0a020201000400" cdnthumburl="3052020100044b30490201000204a695112702030f525902044b7d9b2b020466d198f2042432353830663531302d623137372d343463312d623732642d6566396562313331663331610204011d0a020201000400" cdnthumblength="3971" cdnthumbwidth="90" cdnthumbheight="120" cdnthumbaeskey="b3f5f12230235d3dfe4f90e4984c8ebf"/><appinfo><appid></appid><appname></appname><version>0</version><isforceupdate>1</isforceupdate><mediatagname></mediatagname><messageext></messageext><messageaction></messageaction></appinfo><MMAsset><m_assetUrlForSystem><![CDATA[F58B98FE-8010-44B7-8BF7-F23AF15DCFCA/L0/001]]></m_assetUrlForSystem><m_isNeedOriginImage>0</m_isNeedOriginImage><m_isFailedFromIcloud>0</m_isFailedFromIcloud><m_isLoadingFromIcloud>0</m_isLoadingFromIcloud></MMAsset></msg> |
这里其实我还是不知道要怎么判断,看了一下wp,<m_assetUrlForSystem><![CDATA[F58B98FE-8010-44B7-8BF7-F23AF15DCFCA/L0/001]]></m_assetUrlForSystem> 意为来自系统的附件路径, 附件的 GUID 为 F58B98FE-8010-44B7-8BF7-F23AF15DCFCA。
回到photos.sqlite库的ZASSET表中,匹配经纬度
当时比赛时也是没有做出这题,上来就是一题这么麻烦的结果也才2分,所以打美亚还是要合理判断题目不要浪费太多时间在麻烦题上。
2.2024 年 8 月 30 日下午 2 点后 Emma 共致电 Clara 多少次?
D. 88
A. 85
B. 86
C. 87
D. 88
这里也是先把数据库导出来方便分析(时间隔太久了,本来还以为只有第一题要数据库。。。)
这题也是麻烦的一批。。。
在AddressBook.sqlitedb.db的ABPersonFullTextSearch_content表中可以找到Clara电话
接着在CallHistory.storedata.db的ZCALLRECORD(通话记录)表中可以找到匹配的两列
先把时间转化一下
写sql语句查询
1 | SELECT COUNT(*) FROM ZCALLRECORD WHERE ZADDRESS=63791704 AND ZDATE >= 746690400; |
3.根据 Emma 和 Clara 的微信聊天记录, Clara 失踪前曾告诉 Emma 会到哪里?
A. 到酒店和丈夫David庆祝结婚周年
A. 到酒店和丈夫David庆祝结婚周年
B. 吃自助餐
C. 约了朋友见面
D. 去旅行
可以在message_2.sqlite看到说完去酒店后就失踪了
4.Emma 的 iPhone XR 内微信应用程序的版本是多少?
8.0.50
或者在Manifest.plist中也可以找到
5.Emma 手机中下列哪个选项是正确的?
BD
A. iOS 版本为 17.6.1
B. IMEI 为 356414106484705
直接在plist文件中搜索356414106484705进行排除,最后在com.apple.commcenter.plist中找到
C. Apple ID 为 [email protected]
D. 手机曾经安装 Metamask应用程序
6.Emma 手机中 Apple ID 的注册电子邮箱是多少?
7.在 2024 年, Emma 手机上曾记录的电话卡集成电路卡标识符(ICCID)是多少?
8985200000826445829
8.Emma 手机的蓝牙设备名称”ELK-BLEDOM”的通用唯一标识符(UUID)是什么?
8D13F23C-E73C-6A98-AA4F-16C8D7A5F826
找到源文件
追到数据库中可以找到
9.Emma 手机内 Safari 浏览记录中网页 https://racing.hkjc.com/ 的网站标题是什么?
D. 赛马信息 - 香港赛马会
A. 香港马会奖券有限公司
B. 六合彩 - Google 搜索
C. 快易钱:网上贷款财务公司 | 足不出户现金即日到手
D. 赛马信息 - 香港赛马会
10.Emma 向 Clara 透露什么原因令 Emma 欠下巨债?
D. 以上皆是
A. 投资孖展
B. 虚拟货币失利
C. 网上赌博
D. 以上皆是
11.收债人要求 Emma 还款数量?
C. 港币$786,980
A. 港币$786,990
B. 港币$878,990
C. 港币$786,980
D. 港币$745,330
12.Emma 发送了多少张 .PNG 图片给 Clara, 证明自己正被人追债?
B. 7
A. 6
B. 7
C. 8
D. 9
13.Emma 用来浏览虚拟货币的网址?
C. IntellaX.io
A. Google.com
B. Facebook.com
C. IntellaX.io
D. Yahoo.com
14.参考浏览器记录, 有多少网址与”bet365”有关?
A. 3
A. 3
B. 13
C. 9
D. 12
在SafariTabs.db的bookmarks表中找到一条
在Bookmarks.db的bookmarks表中可以找到两条
15.Emma 用了哪些恢复短语(Recovery Phrase)进入 David 的虚拟货币账户?
D. 以上皆是
A. stock, avocado, grab, clay
B. light, sadness, segment, ancient
C. toe, talk, elder, oil
D. 以上皆是
在message_2.db可以找到相关聊天记录
找到具体图片(比赛时看到这个直接就选了)
16.Emma 从 David 处窃取的虚拟货币的名称是什么?
A. IDFC
A. IDFC
B. ICAC
C. INIC
D. IFCC
17.Clara 偷拍的照片中, David 的虚拟货币余额是多少?
C. 5022915.66
A. 3266378.99
B. 1044749.22
C. 5022915.66
D. 7822468.44
18.Emma 在偷窃 David 的虚拟货币前, Emma 曾向 Clara 透露有什么事发生在 Emma 身上?
B. 欠债
A. 中彩票
B. 欠债
C. 升职
D. 失业
根据message_2.db聊天记录的分析是欠债
19.Emma 的 iPhone XR 中”IMG_0008.HEIC”的图像与相片名字为的”5005.JPG”看似为同一张相片, 在数码法理鉴证分析下, 以下哪样描述是正确?(存疑)
BC
A. 储存在不同的.db檔案里
B. 有不同哈希值
C. IMG_0008.HEIC 为原图, “5005.JPG”为并非原图
D. IMG_0008.HEIC 和名字”5005.JPG”是同一张相片
用X-ways全局搜索但是只找到了IMG_0008.HEIC,不知道咋整(看wp里也是一样)
20.Emma 的 iPhone XR 中”IMG_0009.HEIC”的图像显示拍摄参数怎样
A. iPhone XR back camera 4.25mm f/1.8
A. iPhone XR back camera 4.25mm f/1.8
B. iPhone XR back camera 4.25mm f/2.8
C. iPhone XR back camera 4.25mm f/2
D. iPhone XR back camera 4.25mm f/1.6
先全局搜索一下,在Photos.sqlite里
在Photos.sqlite的ZEXTENDATTRIBUTES表中可以找到参数,发现全部都是这个参数
当然为了方便下面做题还是要具体的
通过ZASSET的可以找到经纬度,再通过经纬度匹配到参数
21.Emma 的 iPhone XR 中相片文件”IMG_0009.HEIC”提供了什么电子证据信息?
BC
A. 此相片是由隔空投送 (Airdrop)得来
见B是拍摄的
B. 此相片由iPhone XR拍摄
C. 此相片的拍摄时间为2024-08-05 13:38:15(UTC+8)
D. 此相片的拍摄时间为2024-08-06 08:30:52(UTC+8)
22.Emma 的 iPhone XR 内以下哪张照片是实况照片(Live Photos)?
AC
A. IMG_0002.HEIC
B. IMG_0005.HEIC
C. IMG_0004.HEIC
D. IMG_0006.HEIC
用排除法BD不存在
看wp,筛选一下扩展名符合且 ZVIDEOCPDURATIONVALUE (视频片段长度) 字段不为 0 的照片
1 | SELECT Z_PK, ZFILENAME |
23.手机里有多少张照片是用手机后置摄像镜头拍摄的?
D. 8
A. 5
B. 6
C. 7
D. 8
一共8张
24.参考通讯记录, MesLocalID 为 224 的是什么类的文件?
A. 相片
A. 相片
B. 影片
C. 文件
D. 报表
还是一样先全局搜索一下,发现在message_2.sqlite中(这个数据量小)
可以看到是图片
Clara 的手机
依据你在 Emma 的手机上找到的照片, 你告诉调查员 Clara 最后的位置是在湾仔的一家酒店.
根据你提供的信息, 调查员发现 Clara 在酒店去世, Clara 的手机在她的附近, 你对 Clara 的手机进行取证.
请根据取证结果, 参考 Clara_Smartphone.bin 回答以下问题.
25.Clara 手机的 Android 操作系统版本是?
A. 8.0.0
A. 8.0.0
B. 9.0.0
C. 8.1.0
D. 7.0.0
26.Clara 手机的版本号(Build Number)是什么?
OPR1.170623.026
直接搜索build.prop找到文件位置
27.Clara 手机的 IMEI 号码是多少?
351537092934716
全局搜索先是在文件内容中找,发现没有就看文件名直接就找到这个文件了
28.Emma 的微信账号是?
wxid_ltrpgdhvilso22
29.Clara 的第一封电子邮件记录的日期?
A. 2024-07-10
A. 2024-07-10
B. 2024-07-18
C. 2024-07-23
D. 2024-07-30
30.在通讯录中”David”的联系人信息还包括什么?
B. LinkedIn
A. 出生日期
B. LinkedIn
C. 电子邮件
D. 地址
从通讯录跟进到数据库,在raw_contacts表中可以找到David的raw_contacts_id为2和3
在data表中查看raw_contacts_id为2和3的data
31.David 和 Clara 之间通话次数?
B. 8
A. 0
B. 8
C. 10
D. 24
32.Clara 在 Chrome 浏览器搜索中哪天使用了关键词”popmart 炒价”?
B. 2024-08-15
A. 2024-08-10
B. 2024-08-15
C. 2024-08-20
D. 2024-08-25
过滤发现时间段不符合,全部看一遍发现中间还有个空格。。。
33.2024 年 7 月 30 日共收到多少封电子邮件?
C. 4
A. 2
B. 3
C. 4
D. 5
34.Clara 的 Gmail 账号是?
35.Clara 的手机安装了哪个版本的 WhatsApp?
C. 241676004
A. 241676000
B. 241676001
C. 241676004
D. 241676007
36.Clara 的 WhatsApp 账号?(答案格式:只需填写11位阿拉伯数字)
85263791704
37.Clara 的手机在什么时候安装了小红书 APP?
B. 2024-07-16
A. 2024-07-10
B. 2024-07-16
C. 2024-07-20
D. 2024-07-30
38.2024 年 8 月 21 日 David 的虚拟货币钱包里有多少 IDFC?
A. 5022915.66
A. 5022915.66
B. 3212695.22
C. 210355633.91
D. 以上皆不是
39.Clara 注册的微信账号验证码是多少?
945025
40.David 为庆祝结婚周年纪念预订了哪家酒店?提示:请使用大写英文字母作答,例如:HONG KONG HOTEL)
CONRAD HONG KONG
41.哪个数据库文件存储了微信消息?(答案格式:只需使用全部大写回答、例如:ABC.DB)
ENMICROMSG.DB
直接从消息跳转到源文件
42.哪个数据库文件(.db)存储了 WhatsApp 讯息?
MSGSTORE.DB
一样跳转到源文件
43.Clara 在 2024 年 8 月 29 日拍了多少张照片?
B. 3
A. 0
B. 3
C. 4
D. 5
44.Emma 在 2024 年 8 月 6 日通过微信发送了多少张照片给 Clara?
A. 0
A. 0
B. 1
C. 5
D. 12
筛选后无结果
45.照片”20240829_144717.jpg”的拍摄相机型号是什么?
LG-H930
全局搜索,导出后查看详细信息
46.”20240821_121435.jpg”的储存路径是什么?
A. /media/0/DCIM/Camera
A. /media/0/DCIM/Camera
B. /media/1/DCIM/Camera
C. /media/00/DCIM/Camera
D. /media/11/DCIM/Camera
47.2024 年 8 月 20 日有多少张截图?
4
48.2024 年 8 月 22 日被删除微信消息的类型是?
A. 照片
A. 照片
B. 视频
C. 文本
D. 以上都不是
这里我也是没找到,本来想查看EnMicroMsg.db结果发现没法打开。。。
David 的手机
你在查看 Clara 的手机镜像后, 确定 Clara 是 David 的妻子, 调查员通过查询酒店预订记录确认了这一点.
他们现在定位 David 的住所, 以进行进一步调查.
你首先分析 David 的手机, 参考 David_Smartphone_1.zip.
49.根据”Contents.db”, David 手机接收了通讯软件 Telegram 的验证短信, 该验证码是多少?
84298
50.David 把手机设置为个人热点, 请找出个人热点的密码.
wdfj5674
51.David 手机曾连接名为”MTR Free Wi-Fi”的WiFi.(判断题)
对
52.根据”com.tencent.mm_preferences.xml”, David 的手机最后登录微信的微信 ID 是?
wxid_rni3m2o8ngxe22
本来是在com.tencent.mm_preferences.xml结果找到的wxid是wxid_t7zgo57j9m0j22
看wp说是只登录过这一个账号。。。
53.请指出哪一张图片是于 2024 年 8 月 28 日利用屏幕截取的.
Screenshot_20240828-153836_Gmail.jpg
这里也是不知道为啥没法直接筛选出来,不过也不算难找
跳转源文件查看
54.根据”Contents.db”, David 手机的型号(Model)是?
SM-G9500
在device__info表里
55.参考”Contents.db”, David 所使用的手机 SIM 卡的序号?(答案格式:只需要用阿拉伯数目字回答)
8985200000827530728
在system_info表里
56.David 手机安装了应用程序 MetaMask. 根据”persist-root”中, MetaMask 钱包内有多少个账号?
4
1 | 0xe90aD3f80e39E83B533eEF3ED23c641Ec51089c6 |
57.根据”persist-root”中, 何时从应用程序 MetaMask 发送虚拟货币至以下地址: 0X10A4F01B80203591CCEE76081A4489AE1CD1281C
B. 2024-08-14 1658 (GMT+8)
A. 2024-08-11 1249(GMT+8)
B. 2024-08-14 1658 (GMT+8)
C. 2024-08-14 1659 (GMT+8)
D. 2024-08-16 1724 (GMT+8)
58.David 曾利用手机应用程序 MetaMask 三次发送虚拟货币失败. 根据”persist-root”, 发送虚拟货币失败的原因是什么?
D. 手续费不足
A. 网络连接问题
B. 应用程序权限被拒
C. 接收地址错误
D. 手续费不足
内存取证
你根据易失性(Volatility Level)优先次序, 进行内存取证分析 David 的笔记本电脑.
参考 RAM_Capture_David_Laptop.RAW.
59.以下哪一个不是程序”firefox.exe”的 PID?
C. 5260
A. 9240
B. 8732
C. 5260
D. 3108
一个一个筛选
60.汇出 PID 为 724 的程序, 其哈希值(SHA-256)是?
89CF04B53119D36654BC5E7EEB5D0829A84238EE03FAA9A03948F5BF4BE44583
先筛选出程序为lsass.exe,但是发现找不到哈希值
61.哪一个是执行 PID 为 724 的程序的 SID?
A:S-1-1-0(官方)
S-1-5-18
A:S-1-1-0
B:S-1-2-0
C:S-1-5-21-1103701427-1706751984-2965915307-1001
D:S-1-5-21-1103701427-1706751984-2965915307-513
62.账户 David Tenth 的 NT LAN Manager 的哈希值(NTLM Hash)?
e14a21fefc5dd81275bb87228586cffc
David 的 U 盘
在取证中, 你发现 D 盘被 BitLocker 加密.
U 盘上可能有一些线索, 你对 U 盘进行了取证.
参考 David_USB_8GB.e01.
63.David 的 U 盘文件系统的格式?
A. NTFS
A. NTFS
B. FAT32
C. exFAT
D. ReFS
直接在x-ways中查看属性
也可以在火眼中直接看到
64.David 的 U 盘文件系统中, 每簇定义了多少字节?
C. 512
A. 128
B. 256
C. 512
D. 1024
专业工具,查看技术细节报告
65.David 的 U 盘中有多少个已删除的文件?
A. 1
A. 1
B. 2
C. 3
D. 4
遍历目录只找到这一个
66.已删除的文件的 Run List 的 Run Offset 是多少?
C. 64
A. 16
B. 32
C. 64
D. 128
在MFT Browser中可以找到
67.已删除文件的第一个 DataRun 的十六进制值(小端序)是多少?
A. 0x4C3F0DB522
A. 0x4C3F0DB522
B. 0x4C3F0D22B5
C. 0x224C3F0DB5
D. 0x3F4C0DB522
文件中的内容是大端序,注意要将字节逆序
68.已删除的文件的实际大小(字节)是多少?
1796178
69.已删除文件的第一个 DataRun 的 Offset 是多少?
19519
这题也是有点懵的,直接看wp了
1 | 头 = 0x22 - 2 字节长度, 2 字节 Offset |
文件的 DataRun 表明这是一个没有分段的文件,起始于逻辑簇号 0x4C3F(19519), 长度为 0x0DB5(3509) 个簇
70.已删除的文件的第一个 DataRun 的 Length 是多少?
B:3509
A:2408
B:3509
C:3128
D:4021
71.已删除文件的图像文件像素值是多少?
C. 3000 x 4000
A. 1000 x 2000
B. 2000 x 3000
C. 3000 x 4000
D. 4000 x 5000
72.已删除图像文件是用哪个品牌和型号的手机拍摄?
C. SAMSUNG SM-A4260
A. SAMSUNG SM-A425
B. SAMSUNG SM-A4580
C. SAMSUNG SM-A4260
D. SAMSUNG SM-A5G
Bitlocker.exe
73.使用 x64dbg 的字符串搜索功能, 在”Bitlocker.exe”中查找哪个字符串最有可能与显示的登录状态有关?
C. Login Successful!
A. Welcome
B. Invalid input
C. Login Successful!
D. Access Denied
将exe导出,放入ida中分析,只有C选项有
74.当找到控制登录成功的逻辑代码时, 如何修改汇编代码来绕过检查, 达到任意输入, 都成功登录的效果?(不太会逆向先放着)
D. 修改 TEST 指令后的跳转指令 JNE 为 NOP, 使跳转指令失效
A. 修改 CMP 指令, 使其总是比较相等
B. 修改 CMP 指令后的跳转指令 JNE 为 nop, 使跳转指令失效
C. 修改 MOV 指令, 使其移动错误的数据
D. 修改 TEST 指令后的跳转指令 JNE 为 NOP, 使跳转指令失效
跟进后F5反汇编,找到登录成功和失败的逻辑
分析后可知正确的用户密码为david1337:1337david
断点打在if(v9),输入正确的用户密码后,直接进入到test(感觉应该是这样的)
75.”Bitlocker.exe”的正确用户登录名称是?
david1337
上面动调已经验证了
76.”Bitlocker.exe”的正确登录密码是?
1337david
77.当”Bitlocker.exe”程序尝试显示登录结果(成功或失败)时, 使用了哪一种途径来决定显示的消息?(不懂汇编。。。)
A. 通过检查每个寄存器的值来决定跳转到不同的汇编代码区段
A. 通过检查每个寄存器的值来决定跳转到不同的汇编代码区段
B. 通过调用硬编码的内存地址来显示特定的消息框
C. 通过堆栈中的返回地址来确定要显示的消息
D. 通过逐位操作来修改显示消息的字符串内容
78.决定能否解密 Bitlocker Key 的字节的内存偏移量(相对于基址)是什么?
B. 0x808C
A. 0xA0B2
B. 0x808C
C. 0xA0C8
D. 0xA0E0
接着往下看可以发现有一个判断是否输出key的逻辑
跟进查看地址
79.决定能否解密 BitLocker Key 的内存偏移量后, 应该如何利用它来进行解密?(不懂。。。)
A. 将该偏移量处的值改为 1 (true), 以启用解密过程
A. 将该偏移量处的值改为 1 (true), 以启用解密过程
B. 将该偏移量处的值改为 0 (false), 以重新初始化加密过程
C. 将该偏移量的内容保存到档中以作解密过程中的key
D. 清空该偏移量的内存并强制退出程序
80.解密后的 Bitlocker Key 是?
A. 299255-418649-198198-616891-099682-482306-642609-483527
A. 299255-418649-198198-616891-099682-482306-642609-483527
B. 745823-918273-564738-290183-475920-182736-594827-162839
C. 539823-847291-094857-194756-382910-472918-482937-120984
D. 829384-192837-475910-298374-019283-847362-564738-293847
直接查看jpg就可以得到
其实这题还可以通过仿真电脑一个一个排除
David 的笔记本电脑
到目前为止, 你已经获得了 BitLocker 密钥以解密 D 盘, 通过对 David 笔记本电脑 D 盘的分析, 并发现了一些重要信息.
你现在将继续调查未加密的 C 盘.
参考 David_Laptop_64GB.e01.
根据上面得到的用户密码或者Bitlocker Key可以解密D盘
81.分区格式是?
B. GPT
A. MBR
B. GPT
C. RAW
82.该 e01 成功提取的日期和时间是?(官方答案应该错了)
官方答案:C. 2024-09-03 14:37:28
2024-09-09 16:37:36
A. 2024-09-05 15:55:28
B. 2024-09-02 11:52:31
C. 2024-09-03 14:37:28
D. 2024-09-03 12:16:49
直接查看属性
83.最后登录的用户是谁?
David Tenth
84.用户配置的时区是?
B. China Standard Time
A. Australian Central Time
B. China Standard Time
C. New Zealand Standard Time
D. Nepal Time
可以看出是标准时区
85.David 的笔记本电脑曾经连接了多少个设备?(存疑)
D. 4
或
C. 3
A. 1
B. 2
C. 3
D. 4
当时以为是USB设备,但是现在看完答案官方的意思应该是打印机。。。
86.David 的笔记本电脑上的 Firefox 浏览器安装了哪些扩展工具?
METAMASK
87.根据用户配置文件中的 .lnk 文件, 最后访问的文件名称是?
B. export-token
A. 下載
B. export-token
C. RAM_Capture_DaviD
D. 本機磁碟(E) (2)
直接打开文件夹就能看到最近使用的文件了
88.David 的笔记本电脑曾經连接了多少个不同的 WiFi?
A. 1
A. 1
B. 2
C. 3
D. 4
89.承上题, 该WiFi网络的名称(SSID)是?
ErrorError5G
90.该电脑的 Windows 操作系统的安装日期是什么?
C. 2024-07-31 10:18:26 UTC+8
A. 2024-07-31 09:55:37 UTC+8
B. 2024-08-01 13:10:15 UTC+8
C. 2024-07-31 10:18:26 UTC+8
D. 2024-08-01 14:43:55 UTC+8
综合分析(太麻烦了,看了几道简单剩下的不想复现了。。。)
通过对 David 笔记本电脑的电子数据取证和痕迹分析, 你了解到 David 是一名加密货币专家.
假设加密货币 International Digital Forensics Coin (IDFC) 面值是 1 IDFC = 1 HKD.
IDFC Token Address: 0x56E7A6dd8aA1c78ba77944C94c43054978E89b7b
区块链: Binance Smart Chain
91.下列那个网站能够找到区块链 Binance Smart Chain 的交易记录?
B. bscscan.com
A. binance.com
B. bscscan.com
C. etherscan.io
D. blockchain.com
92.Emma 用什么方法盜取 David 的 IDFC?
C. Emma 经 Clara 盗取了 David 虚拟货币钱包的回复匙
A. Emma 经 Clara 盗取了 David 虚拟货币钱包的私匙
B. Emma 经 Clara 盗取了 David 虚拟货币钱包的公匙
C. Emma 经 Clara 盗取了 David 虚拟货币钱包的回复匙
D. Emma 盗取了 David 电话
93.David 在什么日期时间发现 IDFC 被盗?
B. 2024-8-28 09:14
A. 2024-8-22 18:06
B. 2024-8-28 09:14
C. 2024-8-28 09:57
D. 2024-8-29 15:52
94.Emma 为什么盗取 David 的 IDFC?
D. Emma为了还财务公司的欠债
A. Emma为了买名贵手表
B. Emma为了赌钱
C. Emma为了炒卖虚拟货币
D. Emma为了还财务公司的欠债
根据剧情分析可以知道是为了还债
95.分析 IDFC 的交易记录, Emma 盜取了 David 虚拟货币钱包内哪个地址的 IDFC?
A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c
A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c
B. 0x152c90200be61a540875f2a752c328bd19dbfb87
C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220
D. 0x70544880875fe907cee383873ca58da23378caa5
96.Emma 总共盗取了 David 多少 IDFC?
A. 90,000 IDFC
A. 90,000 IDFC
B. 170,000 IDFC
C. 9,300,000 IDFC
D. 9,390,000 IDFC
97.下列哪些地址是由相同的恢复短语(Recovery Seed)所生成?
ABC
A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c
B. 0x152c90200be61a540875f2a752c328bd19dbfb87
C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220
D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042
98.根据 IDFC 的交易记录作分析, 总共有多少次 IDFC 交易流入地址 0x10a4f01b80203591ccee76081a4489ae1cd1281c?
C. 2
A. 0
B. 1
C. 2
D. 3
99.在 David 计算机的 D 盘内有一张图片, 根据图片上的信息, 找出 David 另一个虚拟货币钱包的恢复短语, 下列哪一个单词是在此恢复短语内?
D. dove
A. fall
B. bread
C. brain
D. dove
100.在 IDFC 的交易记录中, 下列哪些地址由上述恢复短语所生成?
CD
A. 0xb2e3dbea311511ec5bda3e85e061f15366f888a6
B. 0xe90ad3f80e39e83b533eef3ed23c641ec51089c6
C. 0x90f73497E4446f6Cf9881213C32D6af66d799fE5
D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042