2024美亚杯个人赛
Joyooo复盘
手机取证(Emma)1: 根据 Emma_Mobile.zip,Emma 和 Clara 的微信聊天记录,Emma 最后到警署报案并拍摄写有报案编号的卡片,拍摄时的经纬值是多少?A. 22.451721666667, 114.171853333333;B. 22.451553333333, 114.172845;C. 22.451928333333, 114.170503333333;D. 22.451638333333, 114.16993
火眼直接分析不出来,直接去翻微信存放聊天文件的数据库
message_2.sqlite里面看到了对话,
最后这可能是图像仔细看一下啊
<![CDATA[F58B98FE-8010-44B7-8BF7-F23AF15DCFCA/L0/001]>
cdata部分指向了一个UUID,于是我们根据这个id直接搜索
我的navicat打不开数据库文件,于是我把photo.sqlite数据库文件通过db browser导出程sql文件(文本),再文本搜索可以得到
后面发现直接navicat打开也没问题的
其中有这张图片在表的名字zasset,去火眼里面看
搜索uuid
翻译下发现是经纬度,找到对应的
A最接近选A
手机取证(Emma)2: 根据 Emma_Mobile.zip,2024 年 8 月 30 日下午两点后 Emma 共致电 Clara 多少次?A. 85;B. 86;C. 87;D. 88
在先前导出的数据库文件里找到一个
navicat打开
时间和戳换算一下
筛选一下,不太对,一般时间戳都是17开头啊,问问ai,是cocoa时间戳,核心数据时间戳是自 2001 年 1 月 1 日午夜 GMT 以来的秒数(或纳秒)(参见 CFAbsoluteTime)。
核心数据时间戳和 Unix 时间戳(自 1970 年 1 月 1 日以来的秒数)之间的差异为 978307200 秒。
那么对应的时间就是:1724997600-978307200=746690400,且可以看到大多数电话都是这个63791704打的
所以筛选一下
SELECT COUNT(*) FROM "ZCALLRECORD" WHERE ZDATE >= '746690400' AND ZADDRESS = '63791704';
得到88
手机取证(Emma)3: 根据 Emma 和 Clara 的微信聊天记录,Clara 失踪前曾告诉 Emma 会到哪里?A. 到酒店和丈夫 David 庆祝结婚周年;B. 吃自助餐;C. 约了朋友见面;D. 去旅行
A
手机取证(Emma)4: 参考 Emma_Mobile.zip,Emma 的 iPhone XR 内微信应用程序的版本是多少?
看到了内部版本号,查一下对应关系
是8.0.47
对下答案发现不读对,只好借鉴一下:
在Manifest.plist中会记录安装应用的版本
我们去找下,导出该文件,用plist editor打开
搜索到第一个就有版本
8.0.50
手机取证(Emma)5: 参考 Emma_Mobile.zip,Emma 手机中下列哪个选项是正确的?A. iOS 版本为 17.6.1;B. IMEI 为 356414106484705;C. Apple ID 为 Emma1761@gmail.com;D. 手机曾经安装 Metamask 应用程式
在Manifest.plist直接看到是安装过的
在另外两个plist文件里可排除另外三项
plist文件主要作用
PLIST 文件是一个特殊的文本文件,其中包含 属性列表格式 的数据。 macOS、iOS 和 iPadOS 应用程序使用该文件以具有XML结构的键值格式存储设置和其他数据。 例如,每个 iPhone 应用程序都至少包含一个名为 Info.plist 的 PLIST 文件,其中包含应用程序的基本配置信息。
手机取证(Emma)6: 参考 Emma_Mobile.zip,Emma 手机中 Apple ID 的注册电子邮箱是多少?
翻得时候看到了个xml文件,搜了一下是包含XML标签和加密密钥
Apple ID可以搜索“cloudkit”和“idsa”,这里找到一个
关键字都有基本可以确定,不过怎么看不知道,待解决
手机取证(Emma)7: 参考 Emma_Mobile.zip,在 2024 年,Emma 手机上曾记录的电话卡集成电路卡标识符 (ICCID) 是多少?(只需阿拉伯数字)
一搜看到路径
8985200000826445829
8985200000826445829
手机取证(Emma)8: 参考 Emma_Mobile.zip,Emma 手机的蓝牙设备名称 "ELK-BLEDOM" 的通用唯一标识符 (UUID) 是什么?
8D13F23C-E73C-6A98-AA4F-16C8D7A5F826
手机取证(Emma)9: 参考 Emma_Mobile.zip,Emma 手机内 Safari 浏览记录中网页 "https://racing.hkjc.com/" 的网站标题是什么?A. 香港马会奖券有限公司;B. 六合彩 - Google 搜索;C. 快易钱:网上贷款财务公司D. 赛马信息 - 香港赛马会
D
送分题,喜欢
手机取证(Emma)10: 参考 Emma_Mobile.zip,Emma 向 Clara 透露什么原因令 Emma 欠下巨债?A. 投资孖展;B. 虚拟货币失利;C. 网上dubo;D. 以上皆是
D
buff叠满吗有点意思
手机取证(Emma)11: 参考 Emma_Mobile.zip,收债人要求 Emma 还款数量?A. 港币$786,990;B. 港币$878,990;C. 港币$786,980;D. 港币$745,330
C
这里感觉是发照片了
里面应该有借款的金额
之前手机分析不出来,我按照mac的任务分析了一下,有图片节点了,我们看看图
看到一个助记词,可能后面有用
然后我们看到有好几张短信图片有欠款的内容,猜测在短信里,找找数据库带sms(短信)关键词的
瞅瞅
massage表里看到骂的很脏啊
手机取证(Emma)12: 参考 Emma_Mobile.zip,Emma 发送了多少张.PNG 图片给 Clara,证明自己正被人追债?A. 6;B. 7;C. 8;D. 9
B
不是很严谨但是七张
手机取证(Emma)13: 参考 Emma_Mobile.zip,Emma 用来浏览虚拟货币的网址?A. Google.com;B. Facebook.com;C. IntellaX.io;D. Yahoo.com
C
刚才看照片好像看着了,回去瞅瞅,没瞅着QWQ
、
翻下数据库history,子表visit觉得可能,点进来一看果然是浏览记录
这个intellax在代币搜索后面,且出现频率极高,多半就是
其实这个题呢也可以看下另外三个选项,纯属是送了
手机取证(Emma)14: 参考 Emma_Mobile.zip 的浏览器记录,有多少网址与 bet365 有关?A. 3;B. 13;C. 9;D. 12
SELECT COUNT(*)
FROM history_items
WHERE url LIKE 'bet365';
然而失败了
x-way启动
原来在这俩里面有
直接看得到这里有俩,也可以踏踏实实搜
safari里面一条
一共三条
手机取证(Emma)15: 参考 Emma_Mobile.zip,Emma 用了哪些恢复短语 (Recovery Phrase) 进入 David 的虚拟货币账户?A. stock,avocado,grab,clay;B. light,sadness,segment,ancient;C. toe,talk,elder,oil;D. 以上皆是
D
参考11题
手机取证(Emma)16: 参考 Emma_Mobile.zip,Emma 从 David 处窃取的虚拟货币的名称是什么?A. IDFC;B. ICAC;C. INIC;D. IFCC
A
也是在照片里有
IDFC
手机取证(Emma)17: 参考 Emma_Mobile.zip,Clara 偷拍的照片中,David 的虚拟货币余额是多少?A. 3266378.99;B. 1044749.22;C. 5022915.66;D. 7822468.44
C
同上
手机取证(Emma)18: 参考 Emma_Mobile.zip,Emma 在偷窃 David 的虚拟货币前,Emma 曾向 Clara 透露有什么事发生在 Emma 身上?A. 中彩票;B. 欠债;C. 升职;D. 失业
B
分析之前的聊天
手机取证(Emma)19: 参考 Emma_Mobile.zip,Emma 的 iPhone XR 中 "IMG_0008.HEIC" 的图像与相片名字为 "5005.JPG" 看似为同一张相片,在数码法理鉴证分析下,以下哪样描述是正确?A. 储存在不同的.db 檔案里;B. 有不同哈希值;C. IMG_0008.HEIC 为原图,"5005.JPG" 并非原图;D. IMG_0008.HEIC 和 "5005.JPG" 是同一张相片
BC
问了ai:
在数码法理鉴证中,哈希值是核心验证工具。不同格式(HEIC vs. JPG)导致文件二进制内容不同,因此哈希值必然不同。这客观证明文件并非相同,无论内容视觉相似性。
iPhone XR默认以HEIC格式保存原图,以节省空间。"5005.JPG"的命名不符合iPhone默认模式(通常为"IMG_XXXX"),表明它可能为导出、编辑或第三方应用保存的版本。
手机取证(Emma)20: 参考 Emma_Mobile.zip,Emma 的 iPhone XR 中 "IMG_0009.HEIC" 的图像显示拍摄参数怎样?A. iPhone XR back camera 4.25mm f/1.8;B. iPhone XR back camera 4.25mm f/2.8;C. iPhone XR back camera 4.25mm f/2;D. iPhone XR back camera 4.25mm f/1.6
A
xwf出来了发现是在这个sqlite里面,应该是可以直接用xwf解析的,但我不会,回头问问文强哥
于是我们把这个改个.sql后缀然后再给naviat导进去看
搜图片看了半天没看到参数相关,那么只能选项暴力搜索了
只用过A
手机取证(Emma)21: 参考 Emma_Mobile.zip,Emma 的 iPhone XR 中相片文件 IMG_0009.HEIC 提供了什么电子证据信息?A. 此相片是由隔空投送 (Airdrop) 得来;B. 此相片由 iPhone XR 拍摄;C. 此相片的拍摄时间为 2024-08-05 13:38:15 (UTC+8);D. 此相片的拍摄时间为 2024-08-06 08:30:52 (UTC+8)
BC
上一题得到是iphon XR
https://www.epochconverter.com/coredata
(cocoa时间戳换算)
手机取证(Emma)22: 参考 Emma_Mobile.zip,Emma 的 iPhone XR 内以下哪张照片是实况照片 (Live Photos)?A. IMG_0002.HEIC;B. IMG_0005.HEIC;C. IMG_0004.HEIC;D. IMG_0006.HEIC
竟然搜不到
搜下live感觉有戏
进去一看没戏
选项带入暴力搜
发现bd没有
但是不能判断是否是live
看了看大佬的见解:
live photo就是基于HEIC,所以2和4是采用HEIC格式进行保存的
那就是AC
手机取证(Emma)23: 参考 Emma_Mobile.zip,手机里有多少张照片是用手机后置摄像镜头拍摄的?A. 5;B. 6;C. 7;D. 8
8
手机取证(Emma)24: 参考 Emma_Mobile.zip 的通讯记录,MesLocalID 224 是什么类的文件?A. 相片;B. 影片;C. 文件;D. 报表
A
看一下
message拿出来分析下
imgmsg 就是图片的信息,看来是个图,就选A吧
手机取证(Clara)25: 参考 Clara_Smartphone.bin,Clara 手机的 Android 操作系统版本是?A. 8.0.0;B. 9.0.0;C. 8.1.0;D. 7.0.0
A
手机取证(Clara)26: 参考 Clara_Smartphone.bin,Clara 手机的版本号 (Build Number) 是什么?
OPR1.170623.026
过滤build number 没出来,试试build
点开一个xml问问ai
这个系统安全补丁就是版本号
安卓Build number格式
手机取证(Clara)27: 参考 Clara_Smartphone.bin,Clara 手机的 IMEI 号码是多少?(只填阿拉伯数字)
351537092934716
区别IMEI和IMSI
- IMSI
-
归属:用户身份标识,绑定于SIM卡
。
-
作用:运营商用于识别用户账户,关联服务(如通话、流量计费)
。
-
- IMEI
-
归属:设备身份标识,刻录在手机硬件中(如主板)
。
-
作用:全球唯一标识移动设备,用于追踪设备本身(如防盗、保修)
。
操作一下看到一个xml文件很像
-
手机取证(Clara)28: 参考 Clara_Smartphone.bin,Emma 的微信账号是?
wxid_ltrpgdhvilso22
手机取证(Clara)29: 参考 Clara_Smartphone.bin,Clara 的第一封电子邮件记录的日期?A. 2024-07-10;B. 2024-07-18;C. 2024-07-23;D. 2024-07-30
A
手机取证(Clara)30: 参考 Clara_Smartphone.bin,在通讯录中 "David" 的联系人信息还包括什么?A. 出生日期;B. LinkedIn;C. 电子邮件;D. 地址
BC
跳转到源文件,导出数据库搜
ps:modified-time是指修改时间
手机取证(Clara)31: 参考 Clara_Smartphone.bin,David 和 Clara 之间通话次数?A. 0;B. 8;C. 10;D. 24
B
手机取证(Clara)32: 参考 Clara_Smartphone.bin,Clara 在 Chrome 浏览器搜索中哪天使用了关键词 "popmart 炒价"?A. 2024-08-10;B. 2024-08-15;C. 2024-08-20;D. 2024-08-25
B
时期不对,再手动翻一下
中间打了个空格,这出题人
手机取证(Clara)33: 参考 Clara_Smartphone.bin,2024 年 7 月 30 日共收到多少封电子邮件?A. 2;B. 3;C. 4;D. 5
C
数一数
手机取证(Clara)34: 参考 Clara_Smartphone.bin,Clara 的 Gmail 账号是?
2017474332
应该是ID
手机取证(Clara)35: 参考 Clara_Smartphone.bin,Clara 的手机安装了哪个版本的 WhatsApp?A. 241676000;B. 241676001;C. 241676004;D. 241676007
C
直接看看不到了,想到搜
这个json里面没有
这个manifest.xml文件很重要啊,存了各种app的版本啊一些基本信息和配置
打开看看,可惜没有
又来一个,继续
这个进来看都看不到,不知道为啥,跟前面的格式一样啊为啥捏,回头问问
自己懒得拖出来想学下看配置文件的,去看了看大佬们的wp:
方法一:/data/system/packages.xml中搜索whatsapp
这个packages.xml里面还有各软件的安装时间
方法二:逆向
待会请教一下
会了jadx打开看下
Androidmanifist.xml就会有啊apk的一些基本配置文件
手机取证(Clara)36: 参考 Clara_Smartphone.bin,Clara 的 WhatsApp 账号?(只需 11 位阿拉伯数字)
85263791704
找app账号
大佬的手搓思路:
/data/data/com.whatsapp/shared_prefs/com.whatsapp_preferences_light.xml
(在原apk跳转的磁盘分区中找data目录)
手机取证(Clara)37: 参考 Clara_Smartphone.bin,Clara 的手机在什么时候安装了小红书 APP?A. 2024-07-10;B. 2024-07-16;C. 2024-07-20;D. 2024-07-30
B
可以直接在火眼里面看到
还可以在刚才提到的package.xml里面找
it是安装时间,16进制转会10进制
出来后时间戳转换一下就好
手机取证(Clara)38: 参考 Clara_Smartphone.bin,2024 年 8 月 21 日 David 的虚拟貨幣钱包里有多少 IDFC?A. 5022915.66;B. 3212695.22;C. 210355633.91;D. 以上皆不是
A
有点扯但也只有这个了
手机取证(Clara)39: 参考 Clara_Smartphone.bin,Clara 注册的微信账号验证码是多少?
945025
也可以看数据库
/data/user_de/0/com.android.providers.telephony/databases/mmssms.db
手机取证(Clara)40: 参考 Clara_Smartphone.bin,David 为庆祝结婚周年纪念预订了哪家酒店?(大写英文字母)
猜测是在wechat聊天记录里,果然翻到了
这题可以xwf的ocr做,回头请教下文强哥
手机取证(Clara)41: 参考 Clara_Smartphone.bin,哪个数据库文件存储了微信消息?(全部大写)
ENMICROMSG.DB
四个里面找一找
分区24/data/com.tencent.mm/MicroMsg/fb5f7edb03c7bba3e104aa263619a007/EnMicroMsg.db
会发现路径其实也是在相同的data目录下
其实也还是好查找,只要得知聊天信息的任意内容直接xwf就好了
手机取证(Clara)42: 参考 Clara_Smartphone.bin,哪个数据库文件 (.db) 存储了 WhatsApp 訊息?
msgstore.db
和前两题一样的手法,还是很好找
手机取证(Clara)43: 参考 Clara_Smartphone.bin,Clara 在 2024 年 8 月 29 日拍了多少张照片?A. 0;B. 3;C. 4;D. 5
3
不妨直接搜搜
手机取证(Clara)44: 参考 Clara_Smartphone.bin,Emma 在 2024 年 8 月 6 日通过微信发送了多少张照片给 Clara?A. 0;B. 1;C. 5;D. 12
A
没瞅着
手机取证(Clara)45: 参考 Clara_Smartphone.bin,照片 20240829_144717.jpg 的拍摄相机型号是什么?
LG-H930
看exif信息
model栏显示了型号
exif信息
EXIF的核心内容
-
设备与拍摄参数
-
相机信息:品牌(如Canon、Sony)、型号(如EOS 5D Mark III)
。
-
拍摄设置:快门速度(如1/250秒)、光圈值(f/5.6)、ISO感光度(ISO 100)、焦距(200mm)
。
-
时间信息:拍摄时间(精确到秒)、修改时间、数字化时间
。
-
-
环境与处理数据
-
光源与白平衡:日光、荧光灯、手动白平衡等
。
-
GPS定位:经纬度、海拔(常见于手机拍摄的照片)
。
-
软件痕迹:若照片经Photoshop编辑,EXIF会记录软件名称及版本(如"Adobe Photoshop CS6")
。
-
-
图像属性
-
分辨率(5470×3540像素)、色彩空间(sRGB)、压缩格式(如Baseline DCT)
。
-
缩略图预览(用于快速加载)
存储位置
-
-
嵌入在JPEG文件的APP1段或TIFF文件的IFD结构(Image File Directory)中,位于文件头部
。
-
以标签-值形式存储(例如标签
0x829A对应曝光时间)
通俗讲在照片文件的头部会存储exif参数
手机取证(Clara)46: 参考 Clara_Smartphone.bin,20240821_121435.jpg 的储存路径是什么?A. /media/0/DCIM/Camera;B. /media/1/DCIM/Camera;C. /media/00/DCIM/Camera;D. /media/11/DCIM/Camera
A
手机取证(Clara)47: 参考 Clara_Smartphone.bin,2024 年 8 月 20 日有多少张截图?
4
手机取证(Clara)48: 参考 Clara_Smartphone.bin,2024 年 8 月 22 日被删除微信消息的类型是?A. 照片;B. 视频;C. 文本;D. 以上都不是
A
搜了下recyclebin感觉不太对
然后看聊天记录可以看出是偷偷拍的,所以是照片
手机取证(David 1)49: 参考 David_Smartphone_1.zip,根据 Contents.db,David 手机接收了通讯软件 "Telegram" 的验证短信,该验证码是多少?
84298
手机取证(David 1)50: 参考 David_Smartphone_1.zip,David 把手机设置为个人热点,请找出个人热点的密码。
wdfj5674
手机取证(David 1)51: 参考 David_Smartphone_1.zip,David 手机曾连接名为 "MTR Free Wi-Fi" 的 Wi-Fi ?(判断题)
是
手机取证(David 1)52: 参考 David_Smartphone_1.zip,根据 com.tencent.mm_preferences.xml,David 的手机最后登录微信的微信 ID 是?
wxid_rni3m2o8ngxe22
手机最后一次登录微信的微信 ID 可以再com.tencent.mm_preferences.xml文件中从键 <string name="login_weixin_username"> 获取
手机取证(David 1)53: 参考 David_Smartphone_1.zip,请指出哪一张图片是于 2024 年 8 月 28 日利用屏幕截取的。(格式:ABC_123.jpg)
Screenshot_20240828-153836_Gmail.jpg
手机取证(David 1)54: 参考 David_Smartphone_1.zip,根据 Contents.db,David 手机的型号 (Model)?(大写英文字母和符号 '-' 混合)
SM-G9500
xwf搜model第一个就在content.db里面,打开 
手机取证(David 1)55: 参考 David_Smartphone_1.zip 的 Contents.db,David 所使用的手机 SIM 卡的序号?(只阿拉伯数字)
8985200000827530728
手机取证(David 1)56: 参考 David_Smartphone_1.zip,David 手机安装了应用程序 "MetaMask"。根据 persist-root 中,"MetaMask" 钱包内有多少个账号?
4
比较像,去找db没找到
换换思路,日才发现题目给了提示,persist-root
找到该文件下下来
搜accont最多只有accont4,所以四个
手机取证(David 1)57: 参考 David_Smartphone_1.zip,根据 persist-root 中,何时从应用程序 "MetaMask" 发送虚拟货币至地址: 0X10A4F01B80203591CCEE76081A4489AE1CD1281C?A. 2024-08-11 12:49 (GMT+8);B. 2024-08-14 16:58 (GMT+8);C. 2024-08-14 16:59 (GMT+8);D. 2024-08-16 17:24 (GMT+8)
B
一搜这一长串
手机取证(David 1)58: 参考 David_Smartphone_1.zip,David 曾利用手机应用程序 "MetaMask" 三次发送虚拟货币失败。根据 persist-root,发送虚拟货币失败的原因是什么?A. 网络连接问题;B. 应用程序权限被拒;C. 接收地址错误;D. 手续费不足
D
再搜一下gas费用
那明白了
内存取证(David 笔记本)59: 参考 RAM_Capture_David_Laptop.RAW,以下哪一个不是程序 "firefox.exe" 的 PID?A. 9240;B. 8732;C. 5260;D. 3108
D
PID看CSV结果
内存取证(David 笔记本)60: 参考 RAM_Capture_David_Laptop.RAW,汇出 PID:724 的程序,其哈希值 (SHA-256) 是?
把镜像
内存取证(David 笔记本)61: 参考 RAM_Capture_David_Laptop.RAW,哪一个是执行 PID:724 程序的 SID?A. S-1-1-0;B. S-1-2-0;C. S-1-5-21-1103701427-1706751984-2965915307-1001;D. S-1-5-21-1103701427-1706751984-2965915307-513
内存取证(David 笔记本)62: 参考 RAM_Capture_David_Laptop.RAW,账户 David Tenth 的 NT LAN Manager 的哈希值 (NTLM Hash)?(小写及阿拉伯数字)
U 盘取证(David)63: 参考 David_USB_8GB.e01,David 的 U 盘文件系统的格式?A. NTFS;B. FAT32;C. exFAT;D. ReFS
小看了一下发现bitlocker的key在这u盘里
U 盘取证(David)64: 参考 David_USB_8GB.e01,David 的 U 盘文件系统中,每簇 (Cluster) 定义了多少字节 (Byte)?A. 128;B. 256;C. 512;D. 1024
C
进行磁盘快照,右键看到一些配置信息
Bytes per sector: 512
也可以点技术细节报告,在磁盘快照那一栏里
U 盘取证(David)65: 参考 David_USB_8GB.e01,David 的 U 盘中有多少个已删除的文件?A. 1;B. 2;C. 3;D. 4
A
就一个看描述栏
U 盘取证(David)66: 承上题,参考 David_USB_8GB.e01,已删除的文件的运行列表 (Run List) 的运行偏移量 (Run Offset) 数量是多少?A. 16;B. 32;C. 64;D. 128
C
64
第一次听,长见识了,来自小谢取证的wp:
考点:首先该文件系统为NTFS,
解题步骤:右键该文件-导航-转至文件记录(即查看该文件的MFT文件记录)
属性列表(list):为MFT记录的主体,长度可变,起始偏移为0x30(相对于记录首字节的偏移),用于存放文件各种属性(大小、位置、时间等)。常见的是标准属性(0x10)、文件名属性(0x30)、数据流属性(0x80)和位图属性(0xB0)等,一个文件记录至少包含0x10和0x30属性。而每一属性又都有属性头(header)和属性体(body)的结构。MFT的结束标志为0x FF FF FF FF。
如果想查看属性列表所代表的含义,可以使用“查看”-“模版管理器”
应为是ntfs模版所以我们选这个模版
◇属性分常驻属性和非常驻属性:
ps(这里其实就看出来这道题该怎么做了)
(1)小文件和目录将全部(内容或索引信息)存储在MFT基本的文件记录里,其属性就称为常驻属性(residentattribute)。标准信息、文件名和索引根等属性总是常驻属性。NTFS对常驻属性的访问时间短。
(2)大文件(目录)如果属性值超过1KB时,在基本的文件记录中就用一个指针指向MFT基本文件记录之外的一个外部簇,以此形成B-Tree(B+树)结构。值存储在运行中而不是在MFT文件记录中的属性称为非常驻属性(nonresidentattribute)。
常驻属性和非常驻属性的判断方法为查看属性头的偏移(16进制)08是01还是00。00表示为常驻,01表示非常驻。所以此题我们参考非常驻属性头的分析表
属性头(Header)对照表:
回到题目当中,先定位到0x80,其后为DataRun数据。
已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量是0x40,十进制为64。
U 盘取证(David)67: 承上题,参考 David_USB_8GB.e01,已删除文件的第一个运行的十六进制值 (低端字节序 Little-Endian) 是多少?A. 0x4C3F0DB522;B. 0x4C3F0D22B5;C. 0x224C3F0DB5;D. 0x3F4C0DB522
A
鼠标停留在0x22后显示data runs 依据小端法,答案为0x0x4C3F0DB522
U 盘取证(David)68: 承上题,参考 David_USB_8GB.e01,已删除的文件的实际大小 (单位:字节 Byte) 是多少?(阿拉伯数字)
1796178
U 盘取证(David)69: 承上题,参考 David_USB_8GB.e01,已删除文件的第一个运行偏移量 (Run Offset) 是多少?(阿拉伯数字)
19519
解题思路:
运行偏移量是由NTFS系统下的DateRun格式决定的,例如,在此题中
Data runs:
22 B5 0D 3F 4C
Run 1:
Header = 0x22 - 2 byte length, 2 byte offset
Length = 0x0DB5 (2 byte)
Offset = 0x4C3F (2 bytes)
所以run offset 为0x4C3F,十进制为19519
MFT非常驻属性结构
上图中,“3”代表簇流起始簇号的0x02AD0B的3个字节,“2”代表的簇流长度的簇流长度的0x0388的2个字节。题干中的运行偏移量即为簇流的起始簇号,即该文件内容的起始扇区位置。
Run Length为0x0DB5 十进制为3509
这题可以理解为该文件内容的起始扇区位置,所以查看详情即可。
U 盘取证(David)70: 承上题,参考 David_USB_8GB.e01,已删除的文件的第一个运行的簇运行长度 (Run Length) 是多少?A. 2408;B. 3509;C. 3128;D. 4021
B
同上
71. [单选题] 承上题,参考David_USB_8GB.e01,已删除文件的图像文件像素值(Pixel)是多少? (2分)
A. 1000 x 2000
B. 2000 x 3000
C. 3000 x 4000
D. 4000 x 5000
pixel信息是有的
72. [单选题] 承上题,参考David_USB_8GB.e01,已删除图像文件是用哪个品牌和型号的手机拍摄? (2分)
C
A. SAMSUNG SM-A425
B. SAMSUNG SM-A4580
C. SAMSUNG SM-A4260
D. SAMSUNG SM-A5G
程序分析(David U 盘)72: 参考 David_USB_8GB.e01,使用 x64dbg 的字符串搜索功能,在 Bitlocker.exe 中查找哪个字符串最有可能与显示的登录状态有关?
运行一下,然后dbg里“文件”——“附加”选中以后
空白处右键,
然后就可以看得到
感觉是login successful
程序分析(David U 盘)73: 承上题,当找到控制登录成功的逻辑代码时,如何修改汇编代码来绕过检查,达到任意输入都成功登录的效果?
用ida打开
先看字符串里看到有类似账号密码的
双击进来,然后双击后面的sub看逻辑
问问ai
; 修改字符串比较后的跳转指令
LABEL_6:
nop ; 原始指令:test v5, v5 -> 条件跳转
nop ; 用NOP填充指令空间(根据实际指令长度调整)
nop ;
; 原始代码:if (v5) goto FAILURE
; 修改后:无条件跳过失败分支
LABEL_12:
nop ; 原始指令:test v9, v9 -> 条件跳转
nop ;
nop ;
; 原始代码:if (v9) goto FAILURE
; 修改后:无条件跳过失败分支
程序分析(David U 盘)75: 参考 David_USB_8GB.e01,Bitlocker.exe 的正确用户登录名称是?
david1337
一般先账号后密码
账号是david1337
程序分析(David U 盘)76: 参考 David_USB_8GB.e01,Bitlocker.exe 的正确登录密码是?
1337david
同上
77. [单选题] 参考David_USB_8GB.e01,当Bitlocker.exe程序尝试显示登录结果(成功或失败)时,使用了哪一种途径来决定显示的消息? (2分)
基于字符串比较结果的二元条件跳转
ai神力
78. [单选题] 参考David_USB_8GB.e01,决定能否解密 Bitlocker Key 的字节的内存偏移量(Memory Offset)(相对于基址"bitlocker.exe")是什么? (3分)
逻辑是先找到判断的代码(带if),然后看到14
开的头知道是表示偏移量,后四个字节就是相对于基地址的偏移量
0x表示十六进制
结果为0x808C
79. [单选题] 参考David_USB_8GB.e01,决定能否解密 Bitlocker Key 的内存偏移量(Memory Offset)后,应该如何利用它来进行解密? (2分)
将该偏移量处的值改为 1 (true),以启用解密过程
找到变量byte_14000808C,确保其为1
程序分析(David U 盘)80: 参考 David_USB_8GB.e01,解密后的 Bitlocker Key 是?A. 299255-418649-198198-616891-099682-482306-642609-483527;B. 745823-918273-564738-290183-475920-182736-594827-162839;C. 539823-847291-094857-194756-382910-472918-482937-120984;D. 829384-192837-475910-298374-019283-847362-564738-293847
A
299255-418649-198198-616891-099682-482306-642609-483527
之前的照片里给了答案
当然也可以动态调试,把偏移量改为一,断点法也能出来,不过我不会,回头请教一下。
笔记本取证(David)81: 参考 David_Laptop_64GB.e01,分区格式 (Partition) 是?A. MBR;B. GPT;C. RAW
B
笔记本取证(David)82: 参考 David_Laptop_64GB.e01,該 e01 成功提取的日期和时间是?A. 2024-09-05 15:55:28;B. 2024-09-02 11:52:31;C. 2024-09-03 14:37:28;D. 2024-09-03 12:16:49
如果这个不对的话那没找到QWQ
笔记本取证(David)83: 参考 David_Laptop_64GB.e01,最后登录的用户是谁?(大小写字母和空格混合)
David Tenth
是大卫带
这里也看得到
笔记本取证(David)84: 参考 David_Laptop_64GB.e01,用户配置的时区是?A. Australian Central Time;B. China Standard Time;C. New Zealand Standard Time;D. Nepal Time
B
笔记本取证(David)85: 参考 David_Laptop_64GB.e01,David 的笔记本电脑曾經连接了多少个设备?A. 1;B. 2;C. 3;D. 4
C
笔记本取证(David)86: 参考 David_Laptop_64GB.e01,David 的笔记本电脑上的 Firefox 浏览器安装了哪些扩展工具?(大写英文字母)
METAMASK
笔记本取证(David)87: 参考 David_Laptop_64GB.e01,根据用户配置文件中的.lnk 文件,最后访问的文件名称是?A. 下載;B. export-token;C. RAM_Capture_DaviD;D. 本機磁碟 (E) (2)
B
看recent文件可看到是b
通过 PowerShell 列出文件路径
Get-ChildItem "$env:APPDATA\Microsoft\Windows\Recent" -Filter *.lnk |
ForEach-Object {
$shell = New-Object -ComObject WScript.Shell
$shortcut = $shell.CreateShortcut($_.FullName)
$shortcut.TargetPath
}
笔记本取证(David)88: 参考 David_Laptop_64GB.e01,David 的笔记本电脑曾經连接了多少个不同的 Wi-Fi?A. 1;B. 2;C. 3;D. 4
A
笔记本取证(David)89: 承上题,参考 David_Laptop_64GB.e01,该 Wi-Fi 网络的名称 (SSID) 是?(大小写字母混合)
ErrorError5G
笔记本取证(David)90: 参考 David_Laptop_64GB.e0,该电脑的 Windows 操作系统的安装日期是什么?A. 2024-07-31 09:55:37 UTC+8;B. 2024-08-01 13:10:15 UTC+8;C. 2024-07-31 10:18:26 UTC+8;D. 2024-08-01 14:43:55 UTC+8
C
powershell -command "Get-CimInstance -ClassName Win32_OperatingSystem | Select-Object InstallDate | Format-List"
火眼也直接看的出来
区块链分析 91: 下列那个网站能够找到区块链:Binance Smart Chain 的交易记录?A. binance.com;B. bscscan.com;C. etherscan.io;D. blockchain.com
一个一个找下
B
综合分析 92: 参考 Emma_Mobile.zip 中的微信聊天记录分析,Emma 用什么方法盜取 David 的 IDFC?
A. Emma 经 Clara 盗取了 David 虚拟货币钱包的私匙;
B. Emma 经 Clara 盗取了 David 虚拟货币钱包的公匙;
C. Emma 经 Clara 盗取了 David 虚拟货币钱包的回复匙;
D. Emma 盗取了 David 电话
C
参考之前的题
综合分析 93: 根据 David、Emma 及 Clara 的微信对话,David 在什么日期时间发现 IDFC 被盗?A. 2024-8-22 18:06;B. 2024-8-28 09:14;C. 2024-8-28 09:57;D. 2024-8-29 15:52
C
综合分析 94: 参考 Emma_Mobile.zip 中的微信对话分析,Emma 为什么盜取 David 的 IDFC?A. Emma 为了买名贵手表;B. Emma 为了赌钱;C. Emma 为了炒卖虚拟货币;D. Emma 为了还财务公司的欠债
D
综合分析 95: 参考 David_Laptop_64GB.e01 及微信对话,分析 IDFC 的交易记录,Emma 盜取了 David 虚拟货币钱包内哪个地址的 IDFC?
A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c;
B. 0x152c90200be61a540875f2a752c328bd19dbfb87;
C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220;
D. 0x70544880875fe907cee383873ca58da23378caa5
A
(没有无缘无故的考题)
只有a是在发现被盗之前转出的
综合分析 96: 根据微信对话及 IDFC 的交易记录,Emma 总共盗取了 David 多少 IDFC?
A. 90,000 IDFC;B. 170,000 IDFC;C. 9,300,000 IDFC;D. 9,390,000 IDFC
A
可以看到这里只有一个这个账户
如果emma没有多个账号那就是这条记录里显示的90000
综合分析 97: 根据 Emma 及 Clara 的微信对话,下列哪些地址是由相同的恢复短语所生成?
A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c;
B. 0x152c90200be61a540875f2a752c328bd19dbfb87;
C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220;
D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042
ABC
那么我们找一下助记词
stock avocado grab clay light sadness segment ancient toe talk elder oil
之前的图片里头有
https://bip39.pro/(助记词转换)
币种自己就出来了,应嘎斯是根据住几次的长度能够自检测
发现A、B、C就是前三个
综合分析 98: 根据 IDFC 的交易记录,总共有多少次 IDFC 交易流入地址0x10a4f01b80203591ccee76081a4489ae1cd1281c?
2
综合分析 99: 参考 David_Laptop_64GB.e01,在 David 计算机的 D 盘内有一张图片,根据图片上的信息,找出 David 另一个虚拟货币钱包的恢复短语 (2),下列哪一个单词是在此恢复短语内?A. fall;B. bread;C. brain;D. dove
D
还是比较明显的
但是发现没有直接给
xwf搜一下计算机镜像发现没有
那只可能在内存里了
内存里一搜
infant fragile garlic bracket stove blade stick dove aerobic spin term educate
(raw挂不了就直接当文件上xwf)
综合分析 100: 承上题,参考 David_Laptop_64GB.e01,在 IDFC 的交易记录中,下列哪些地址由上述恢复短语 (2) 所生成?
A. 0xb2e3dbea311511ec5bda3e85e061f15366f888a6;
B. 0xe90ad3f80e39e83b533eef3ed23c641ec51089c6;
C. 0x90f73497E4446f6Cf9881213C32D6af66d799fE5;
D. 0x63A8BA1dF0404eE41f7c6af8EFd2f54006F32042;
D
浙公网安备 33010602011771号