2024美亚杯
手机取证(Emma)1: 根据 Emma_Mobile.zip,Emma 和 Clara 的微信聊天记录,Emma 最后到警署报案并拍摄写有报案编号的卡片,拍摄时的经纬值是多少?A. 22.451721666667, 114.171853333333;B. 22.451553333333, 114.172845;C. 22.451928333333, 114.170503333333;D. 22.451638333333, 114.16993
找到图片后,放入exif分析软件里没有信息.....
看文件的原始目录来自于腾讯微信
然后查看photo.sqlite,看日期相近,确定为IMG_0019.HEIC,然后找到了经纬度
手机取证(Emma)2: 根据 Emma_Mobile.zip,2024 年 8 月 30 日下午两点后 Emma 共致电 Clara 多少次?A. 85;B. 86;C. 87;D. 88
然后打开CallHistory.storedata.db,找到记录
总共88次
手机取证(Emma)3: 根据 Emma 和 Clara 的微信聊天记录,Clara 失踪前曾告诉 Emma 会到哪里?A. 到酒店和丈夫 David 庆祝结婚周年;B. 吃自助餐;C. 约了朋友见面;D. 去旅行
手机取证(Emma)4: 参考 Emma_Mobile.zip,Emma 的 iPhone XR 内微信应用程序的版本是多少?
8.0.50
手机取证(Emma)5: 参考 Emma_Mobile.zip,Emma 手机中下列哪个选项是正确的?A. iOS 版本为 17.6.1;B. IMEI 为 356414106484705;C. Apple ID 为 Emma1761@gmail.com;D. 手机曾经安装 Metamask 应用程式
手机取证(Emma)6: 参考 Emma_Mobile.zip,Emma 手机中 Apple ID 的注册电子邮箱是多少?
手机取证(Emma)7: 参考 Emma_Mobile.zip,在 2024 年,Emma 手机上曾记录的电话卡集成电路卡标识符 (ICCID) 是多少?(只需阿拉伯数字)
8985200000826445829
手机取证(Emma)8: 参考 Emma_Mobile.zip,Emma 手机的蓝牙设备名称 "ELK-BLEDOM" 的通用唯一标识符 (UUID) 是什么?
手机取证(Emma)9: 参考 Emma_Mobile.zip,Emma 手机内 Safari 浏览记录中网页 "https://racing.hkjc.com/" 的网站标题是什么?A. 香港马会奖券有限公司;B. 六合彩 - Google 搜索;C. 快易钱:网上贷款财务公司D. 赛马信息 - 香港赛马会
手机取证(Emma)10: 参考 Emma_Mobile.zip,Emma 向 Clara 透露什么原因令 Emma 欠下巨债?A. 投资孖展;B. 虚拟货币失利;C. 网上dǔbó;D. 以上皆是
手机取证(Emma)11: 参考 Emma_Mobile.zip,收债人要求 Emma 还款数量?A. 港币$786,990;B. 港币$878,990;C. 港币$786,980;D. 港币$745,330
手机取证(Emma)12: 参考 Emma_Mobile.zip,Emma 发送了多少张.PNG 图片给 Clara,证明自己正被人追债?A. 6;B. 7;C. 8;D. 9
手机取证(Emma)13: 参考 Emma_Mobile.zip,Emma 用来浏览虚拟货币的网址?A. Google.com;B. Facebook.com;C. IntellaX.io;D. Yahoo.com
手机取证(Emma)14: 参考 Emma_Mobile.zip 的浏览器记录,有多少网址与 bet365 有关?A. 3;B. 13;C. 9;D. 12
回到源文件,下载Autopsy
手机取证(Emma)15: 参考 Emma_Mobile.zip,Emma 用了哪些恢复短语 (Recovery Phrase) 进入 David 的虚拟货币账户?A. stock,avocado,grab,clay;B. light,sadness,segment,ancient;C. toe,talk,elder,oil;D. 以上皆是
手机取证(Emma)16: 参考 Emma_Mobile.zip,Emma 从 David 处窃取的虚拟货币的名称是什么?A. IDFC;B. ICAC;C. INIC;D. IFCC
手机取证(Emma)17: 参考 Emma_Mobile.zip,Clara 偷拍的照片中,David 的虚拟货币余额是多少?A. 3266378.99;B. 1044749.22;C. 5022915.66;D. 7822468.44
见上题
手机取证(Emma)18: 参考 Emma_Mobile.zip,Emma 在偷窃 David 的虚拟货币前,Emma 曾向 Clara 透露有什么事发生在 Emma 身上?A. 中彩票;B. 欠债;C. 升职;D. 失业
上面有--聊天记录
手机取证(Emma)19: 参考 Emma_Mobile.zip,Emma 的 iPhone XR 中 "IMG_0008.HEIC" 的图像与相片名字为 "5005.JPG" 看似为同一张相片,在数码法理鉴证分析下,以下哪样描述是正确?A. 储存在不同的.db 檔案里;B. 有不同哈希值;C. IMG_0008.HEIC 为原图,"5005.JPG" 并非原图;D. IMG_0008.HEIC 和 "5005.JPG" 是同一张相片
ios设置里可以选择默认拍摄heic格式的照片,heic传到qq微信wps之类的软件后会被转换为jpg格式
手机取证(Emma)20: 参考 Emma_Mobile.zip,Emma 的 iPhone XR 中 "IMG_0009.HEIC" 的图像显示拍摄参数怎样?A. iPhone XR back camera 4.25mm f/1.8;B. iPhone XR back camera 4.25mm f/2.8;C. iPhone XR back camera 4.25mm f/2;D. iPhone XR back camera 4.25mm f/1.6
手机取证(Emma)21: 参考 Emma_Mobile.zip,Emma 的 iPhone XR 中相片文件 IMG_0009.HEIC 提供了什么电子证据信息?A. 此相片是由隔空投送 (Airdrop) 得来;B. 此相片由 iPhone XR 拍摄;C. 此相片的拍摄时间为 2024-08-05 13:38:15 (UTC+8);D. 此相片的拍摄时间为 2024-08-06 08:30:52 (UTC+8)
手机取证(Emma)22: 参考 Emma_Mobile.zip,Emma 的 iPhone XR 内以下哪张照片是实况照片 (Live Photos)?A. IMG_0002.HEIC;B. IMG_0005.HEIC;C. IMG_0004.HEIC;D. IMG_0006.HEIC
首先不存在BD选项的图片
手机取证(Emma)23: 参考 Emma_Mobile.zip,手机里有多少张照片是用手机后置摄像镜头拍摄的?A. 5;B. 6;C. 7;D. 8
手机取证(Emma)24: 参考 Emma_Mobile.zip 的通讯记录,MesLocalID 224 是什么类的文件?A. 相片;B. 影片;C. 文件;D. 报表
message2里面有,看到img想到图片
<?xml version="1.0"?>
<msg>
<img aeskey="1ca4a497dddc7aa412b02ea38581a71e" encryver="1" cdnthumbaeskey="1ca4a497dddc7aa412b02ea38581a71e" cdnthumburl="3052020100044b30490201000204a1116e4002030f52590204727d9b2b020466c70db0042462333863303236372d646330352d346535352d626638322d6533303237363035333334340204011d0a020201000400" cdnthumblength="3585" cdnthumbheight="120" cdnthumbwidth="90" cdnmidheight="0" cdnmidwidth="0" cdnhdheight="0" cdnhdwidth="0" cdnmidimgurl="3052020100044b30490201000204a1116e4002030f52590204727d9b2b020466c70db0042462333863303236372d646330352d346535352d626638322d6533303237363035333334340204011d0a020201000400" length="25386" md5="8f6ffa5ce49c5f17e2015be2848cc365" hevc_mid_size="25386" originsourcemd5="5d472f73e06ade0ab966b910c8fa774a" />
<platform_signature />
<imgdatahash />
<ImgSourceInfo>
<ImgSourceUrl />
<BizType>0</BizType>
</ImgSourceInfo>
</msg>
手机取证(Clara)25: 参考 Clara_Smartphone.bin,Clara 手机的 Android 操作系统版本是?A. 8.0.0;B. 9.0.0;C. 8.1.0;D. 7.0.0
手机取证(Clara)26: 参考 Clara_Smartphone.bin,Clara 手机的版本号 (Build Number) 是什么?
ro.build.id=OPR1.170623
手机取证(Clara)27: 参考 Clara_Smartphone.bin,Clara 手机的 IMEI 号码是多少?(只填阿拉伯数字)
IMEI、IMSI、ICCID、SN是什么?意义和区别?通信模组或手机的唯一识别码_iccid imsi-CSDN博客
IMEI (International Mobile Equipment Identity)是国际移动设备识别码, 用于在全球范围内唯一标识一部移动通信设备, 由15位数字组成, 其结构包括以下部分:
- TAC(前 6 位): 设备型号核准码,标识品牌和型号;
- FAC(第 7-8 位): 早期设备的最终装配地代码;
- SNR(第 9-14 位): 设备序列号;
- CD(第15位): 校验码, 通过 Luhn 算法验证合法性.
基带芯片是手机通信系统的核心组件之一, 负责处理通信协议, 信号编解码以及网络连接. IMEI信息通常存储在基带芯片相关的硬件模块(如 EFS 分区)中, 基带芯片通过读取这些信息完成设备身份认证. 基带芯片在建立网络连接时, 需向运营商发送IMEI以验证设备合法性.
手机取证(Clara)28: 参考 Clara_Smartphone.bin,Emma 的微信账号是?
wxid_t7zgo57j9m0j22
发现不对。。。。
手机取证(Clara)29: 参考 Clara_Smartphone.bin,Clara 的第一封电子邮件记录的日期?A. 2024-07-10;B. 2024-07-18;C. 2024-07-23;D. 2024-07-30
手机取证(Clara)30: 参考 Clara_Smartphone.bin,在通讯录中 "David" 的联系人信息还包括什么?A. 出生日期;B. LinkedIn;C. 电子邮件;D. 地址
David‘s raw_contacct_id 为2或3,所以最后一行的linkin为David
手机取证(Clara)31: 参考 Clara_Smartphone.bin,David 和 Clara 之间通话次数?A. 0;B. 8;C. 10;D. 24
手机取证(Clara)32: 参考 Clara_Smartphone.bin,Clara 在 Chrome 浏览器搜索中哪天使用了关键词 "popmart 炒价"?A. 2024-08-10;B. 2024-08-15;C. 2024-08-20;D. 2024-08-25
手机取证(Clara)33: 参考 Clara_Smartphone.bin,2024 年 7 月 30 日共收到多少封电子邮件?A. 2;B. 3;C. 4;D. 5
手机取证(Clara)34: 参考 Clara_Smartphone.bin,Clara 的 Gmail 账号是?
手机取证(Clara)35: 参考 Clara_Smartphone.bin,Clara 的手机安装了哪个版本的 WhatsApp?A. 241676000;B. 241676001;C. 241676004;D. 241676007
手机取证(Clara)36: 参考 Clara_Smartphone.bin,Clara 的 WhatsApp 账号?(只需 11 位阿拉伯数字)
手机取证(Clara)37: 参考 Clara_Smartphone.bin,Clara 的手机在什么时候安装了小红书 APP?A. 2024-07-10;B. 2024-07-16;C. 2024-07-20;D. 2024-07-30
手机取证(Clara)38: 参考 Clara_Smartphone.bin,2024 年 8 月 21 日 David 的虚拟貨幣钱包里有多少 IDFC?A. 5022915.66;B. 3212695.22;C. 210355633.91;D. 以上皆不是
手机取证(Clara)39: 参考 Clara_Smartphone.bin,Clara 注册的微信账号验证码是多少?
手机取证(Clara)40: 参考 Clara_Smartphone.bin,David 为庆祝结婚周年纪念预订了哪家酒店?(大写英文字母)
CONRAD HONG KONG
手机取证(Clara)41: 参考 Clara_Smartphone.bin,哪个数据库文件存储了微信消息?(全部大写)
手机取证(Clara)42: 参考 Clara_Smartphone.bin,哪个数据库文件 (.db) 存储了 WhatsApp 訊息?
手机取证(Clara)43: 参考 Clara_Smartphone.bin,Clara 在 2024 年 8 月 29 日拍了多少张照片?A. 0;B. 3;C. 4;D. 5
手机取证(Clara)44: 参考 Clara_Smartphone.bin,Emma 在 2024 年 8 月 6 日通过微信发送了多少张照片给 Clara?A. 0;B. 1;C. 5;D. 12
看聊天记录没有图片。。。
手机取证(Clara)45: 参考 Clara_Smartphone.bin,照片 20240829_144717.jpg 的拍摄相机型号是什么?
手机取证(Clara)46: 参考 Clara_Smartphone.bin,20240821_121435.jpg 的储存路径是什么?A. /media/0/DCIM/Camera;B. /media/1/DCIM/Camera;C. /media/00/DCIM/Camera;D. /media/11/DCIM/Camera
C:\hlnet\3-1760338197\Clara_Smartphone.bin\分区24\media\0\DCIM\Camera
手机取证(Clara)47: 参考 Clara_Smartphone.bin,2024 年 8 月 20 日有多少张截图?
手机取证(Clara)48: 参考 Clara_Smartphone.bin,2024 年 8 月 22 日被删除微信消息的类型是?A. 照片;B. 视频;C. 文本;D. 以上都不是
手机取证(David 1)49: 参考 David_Smartphone_1.zip,根据 Contents.db,David 手机接收了通讯软件 "Telegram" 的验证短信,该验证码是多少?
手机取证(David 1)50: 参考 David_Smartphone_1.zip,David 把手机设置为个人热点,请找出个人热点的密码。
手机取证(David 1)51: 参考 David_Smartphone_1.zip,David 手机曾连接名为 "MTR Free Wi-Fi" 的 Wi-Fi ?(判断题)
手机取证(David 1)52: 参考 David_Smartphone_1.zip,根据 com.tencent.mm_preferences.xml,David 的手机最后登录微信的微信 ID 是?
手机取证(David 1)53: 参考 David_Smartphone_1.zip,请指出哪一张图片是于 2024 年 8 月 28 日利用屏幕截取的。(格式:ABC_123.jpg)
手机取证(David 1)54: 参考 David_Smartphone_1.zip,根据 Contents.db,David 手机的型号 (Model)?(大写英文字母和符号 '-' 混合)
手机取证(David 1)55: 参考 David_Smartphone_1.zip 的 Contents.db,David 所使用的手机 SIM 卡的序号?(只阿拉伯数字)
手机取证(David 1)56: 参考 David_Smartphone_1.zip,David 手机安装了应用程序 "MetaMask"。根据 persist-root 中,"MetaMask" 钱包内有多少个账号?
手机取证(David 1)57: 参考 David_Smartphone_1.zip,根据 persist-root 中,何时从应用程序 "MetaMask" 发送虚拟货币至地址: 0X10A4F01B80203591CCEE76081A4489AE1CD1281C?A. 2024-08-11 12:49 (GMT+8);B. 2024-08-14 16:58 (GMT+8);C. 2024-08-14 16:59 (GMT+8);D. 2024-08-16 17:24 (GMT+8)
手机取证(David 1)58: 参考 David_Smartphone_1.zip,David 曾利用手机应用程序 "MetaMask" 三次发送虚拟货币失败。根据 persist-root,发送虚拟货币失败的原因是什么?A. 网络连接问题;B. 应用程序权限被拒;C. 接收地址错误;D. 手续费不足
内存取证(David 笔记本)59: 参考 RAM_Capture_David_Laptop.RAW,以下哪一个不是程序 "firefox.exe" 的 PID?A. 9240;B. 8732;C. 5260;D. 3108
内存取证(David 笔记本)60: 参考 RAM_Capture_David_Laptop.RAW,汇出 PID:724 的程序,其哈希值 (SHA-256) 是?
362AB9743FF5D0F95831306A780FC3E418990F535013C80212DD85CB88EF7427
内存取证(David 笔记本)61: 参考 RAM_Capture_David_Laptop.RAW,哪一个是执行 PID:724 程序的 SID?A. S-1-1-0;B. S-1-2-0;C. S-1-5-21-1103701427-1706751984-2965915307-1001;D. S-1-5-21-1103701427-1706751984-2965915307-513
内存取证(David 笔记本)62: 参考 RAM_Capture_David_Laptop.RAW,账户 David Tenth 的 NT LAN Manager 的哈希值 (NTLM Hash)?(小写及阿拉伯数字)
U 盘取证(David)63: 参考 David_USB_8GB.e01,David 的 U 盘文件系统的格式?A. NTFS;B. FAT32;C. exFAT;D. ReFS
U 盘取证(David)64: 参考 David_USB_8GB.e01,David 的 U 盘文件系统中,每簇 (Cluster) 定义了多少字节 (Byte)?A. 128;B. 256;C. 512;D. 1024
U 盘取证(David)65: 参考 David_USB_8GB.e01,David 的 U 盘中有多少个已删除的文件?A. 1;B. 2;C. 3;D. 4
U 盘取证(David)66: 承上题,参考 David_USB_8GB.e01,已删除的文件的运行列表 (Run List) 的运行偏移量 (Run Offset) 数量是多少?A. 16;B. 32;C. 64;D. 128
**$ MFT(Master File Table)是NTFS文件系统中的核心组件,它是一个包含所有文件信息的数据库。每个文件在$ MFT中都有至少一个记录项,这些记录项包含了文件的各种属性,如大小、时间戳、权限等。在进行文件取证时,$ MFT是一个重要的数据源,因为即使文件被删除,其$MFT记录项可能仍然存在,从而可以恢复文件的部分信息。
U 盘取证(David)67: 承上题,参考 David_USB_8GB.e01,已删除文件的第一个运行的十六进制值 (低端字节序 Little-Endian) 是多少?A. 0x4C3F0DB522;B. 0x4C3F0D22B5;C. 0x224C3F0DB5;D. 0x3F4C0DB522
小端序需要将文件中看到的内容(大端序)按字节逆序.
U 盘取证(David)68: 承上题,参考 David_USB_8GB.e01,已删除的文件的实际大小 (单位:字节 Byte) 是多少?(阿拉伯数字)
U 盘取证(David)69: 承上题,参考 David_USB_8GB.e01,已删除文件的第一个运行偏移量 (Run Offset) 是多少?(阿拉伯数字)
DataRun格式,第一个字节分别是长度和起始簇号的长度,运行偏移为0x4C3F
U 盘取证(David)70: 承上题,参考 David_USB_8GB.e01,已删除的文件的第一个运行的簇运行长度 (Run Length) 是多少?A. 2408;B. 3509;C. 3128;D. 4021
DataRun格式,第一个字节分别是长度和起始簇号的长度,长度为0xDB5
见上图
- 注:datarun的格式详解
一个datarun条目由两个部分组成,其基本结构如下:
[Header Byte][Cluster Offset (可变长度)][Run Length (可变长度)]
1. Header Byte(头字节)
这是一个关键字节,它定义了后面两个字段的长度。它被分成两个半字节(nibble):
-
低4位:表示 “Run Length”字段占用的字节数。
-
高4位:表示 “Cluster Offset”字段占用的字节数。
示例:
头字节 0x31(十六进制):
-
转换为二进制:
0011 0001 -
高4位:
0011= 3(表示Cluster Offset占3个字节) -
低4位:
0001= 1(表示Run Length占1个字节)
所以,0x31表示这个datarun条目后面跟着 3字节的簇偏移量和 1字节的簇长度。
2. Run Length(运行长度)
-
含义:表示这个连续的数据块包含了多少个簇。
-
特点:通常用1个或2个字节表示,意味着一个run最多可以包含 2^16 = 65,536 个簇。如果文件非常大,可能会被分成多个run。
3. Cluster Offset(簇偏移量)
-
含义:表示这个数据块的起始簇号相对于上一个run的起始簇号的偏移量(这是一个相对偏移,不是绝对簇号)。
-
特点:这是一个有符号整数,可以是正数或负数,允许数据块存储在文件中的前一个数据块之前或之后。
关键点:第一个run的Cluster Offset是绝对簇号,后续run的Offset都是相对于前一个run的相对值。
总结
| 特性 | 描述 |
|---|---|
| 本质 | NTFS中描述文件数据物理存储位置的紧凑编码。 |
| 结构 | [头字节][簇偏移量][运行长度] |
| 头字节 | 定义后续偏移量和长度字段的字节数。 |
| 簇偏移量 | 数据块的起始位置(第一个是绝对的,后续是相对的)。 |
| 运行长度 | 该连续数据块包含的簇数。 |
| 终止符 | 头字节 0x00表示列表结束。 |
| 重要性 | 文件系统操作的核心,数字取证和数据恢复的关键。 |
程序分析(David U 盘)72: 参考 David_USB_8GB.e01,使用 x64dbg 的字符串搜索功能,在 Bitlocker.exe 中查找哪个字符串最有可能与显示的登录状态有关?
程序分析(David U 盘)73: 承上题,当找到控制登录成功的逻辑代码时,如何修改汇编代码来绕过检查,达到任意输入都成功登录的效果?
程序分析(David U 盘)75: 参考 David_USB_8GB.e01,Bitlocker.exe 的正确用户登录名称是?
程序分析(David U 盘)76: 参考 David_USB_8GB.e01,Bitlocker.exe 的正确登录密码是?
程序分析(David U 盘)80: 参考 David_USB_8GB.e01,解密后的 Bitlocker Key 是?A. 299255-418649-198198-616891-099682-482306-642609-483527;B. 745823-918273-564738-290183-475920-182736-594827-162839;C. 539823-847291-094857-194756-382910-472918-482937-120984;D. 829384-192837-475910-298374-019283-847362-564738-293847
笔记本取证(David)81: 参考 David_Laptop_64GB.e01,分区格式 (Partition) 是?A. MBR;B. GPT;C. RAW
笔记本取证(David)82: 参考 David_Laptop_64GB.e01,該 e01 成功提取的日期和时间是?A. 2024-09-05 15:55:28;B. 2024-09-02 11:52:31;C. 2024-09-03 14:37:28;D. 2024-09-03 12:16:49
创建案例→添加检材→右击属性
笔记本取证(David)83: 参考 David_Laptop_64GB.e01,最后登录的用户是谁?(大小写字母和空格混合)
笔记本取证(David)84: 参考 David_Laptop_64GB.e01,用户配置的时区是?A. Australian Central Time;B. China Standard Time;C. New Zealand Standard Time;D. Nepal Time
笔记本取证(David)85: 参考 David_Laptop_64GB.e01,David 的笔记本电脑曾經连接了多少个设备?A. 1;B. 2;C. 3;D. 4
笔记本取证(David)86: 参考 David_Laptop_64GB.e01,David 的笔记本电脑上的 Firefox 浏览器安装了哪些扩展工具?(大写英文字母)
笔记本取证(David)87: 参考 David_Laptop_64GB.e01,根据用户配置文件中的.lnk 文件,最后访问的文件名称是?A. 下載;B. export-token;C. RAM_Capture_DaviD;D. 本機磁碟 (E) (2)
笔记本取证(David)88: 参考 David_Laptop_64GB.e01,David 的笔记本电脑曾經连接了多少个不同的 Wi-Fi?A. 1;B. 2;C. 3;D. 4
笔记本取证(David)89: 承上题,参考 David_Laptop_64GB.e01,该 Wi-Fi 网络的名称 (SSID) 是?(大小写字母混合)
笔记本取证(David)90: 参考 David_Laptop_64GB.e0,该电脑的 Windows 操作系统的安装日期是什么?A. 2024-07-31 09:55:37 UTC+8;B. 2024-08-01 13:10:15 UTC+8;C. 2024-07-31 10:18:26 UTC+8;D. 2024-08-01 14:43:55 UTC+8
区块链分析 91: 下列那个网站能够找到区块链:Binance Smart Chain 的交易记录?A. binance.com;B. bscscan.com;C. etherscan.io;D. blockchain.com
综合分析 92: 参考 Emma_Mobile.zip 中的微信聊天记录分析,Emma 用什么方法盜取 David 的 IDFC?A. Emma 经 Clara 盗取了 David 虚拟货币钱包的私匙;B. Emma 经 Clara 盗取了 David 虚拟货币钱包的公匙;C. Emma 经 Clara 盗取了 David 虚拟货币钱包的回复匙;D. Emma 盗取了 David 电话
综合分析 93: 根据 David、Emma 及 Clara 的微信对话,David 在什么日期时间发现 IDFC 被盗?A. 2024-8-22 18:06;B. 2024-8-28 09:14;C. 2024-8-28 09:57;D. 2024-8-29 15:52
综合分析 94: 参考 Emma_Mobile.zip 中的微信对话分析,Emma 为什么盜取 David 的 IDFC?A. Emma 为了买名贵手表;B. Emma 为了赌钱;C. Emma 为了炒卖虚拟货币;D. Emma 为了还财务公司的欠债
浙公网安备 33010602011771号