2025美亚线下个人Joyooo
参考了几位大佬的wp复盘,佬们太强力!(☆▽☆)
“美亚杯”第十一届中国电子数据取证大赛个人赛(线上)选择题整理
一、基础信息与附件
-
比赛名称:“美亚杯”第十一届中国电子数据取证大赛个人赛(线上)
-
比赛规模:共1个段落,98个小题,总共182分
-
本阶段附件:Containerpwd.txt(可下载)、
-
核心检材:冯子超手机资料(FUNG_CC_mobile.zip)、陈民浩手机资料(CHAN_MH.zip)、梁燕玲手机资料(LEUNG_YL_Mobile.zip)、梁燕玲U盘资料(LEUNG_YL_USB.E01)、、、
二、选择题(按原文题目序号排序)
1. [单选题] 香港警方接到报案,西贡区布袋澳有人持木棍袭击他人,警方到达现场发现冯子超头部受伤昏迷,身上只有一部智能手机但没有身份证明文件。调查后香港警方以伤人罪拘捕了陈民浩。陈民浩被捕后保持沉默,拒绝交代案情,身上搜获一部智能手机,冯子超则被送往医院救治。警方检查了两人的智能手机,并由检验人员进行了检验。冯子超的智能手机资料储存在FUNG_CC_mobile.zip文件中,而陈民浩的智能手机资料则储存在CHAN_MH.zip文件中。警方希望运用你的电子数据检验知识,在两个人的智能手机中查找办案线索。请你使用CHAN_MH.zip检材回答:这个智能手机是什么操作系统?
A. iOS 17.1.1
B. iOS 17.2.1
C. iOS 17.3.1
D. iOS 17.0.1
A
3. [单选题] 承上题(第2题:手机IMEI组数),以下哪一个才是正确的国际移动设备识别码(IMEI)号码?
A. 357328098205226
B. 357328097205226
C. 357328096205226
D. 357328095205226
A
4. [单选题] 请指出最后使用的使用者身分模组(SIM)的集成电路卡识别码(ICCID)?
A. 89852122206020998419
B. 89852122205020998419
C. 89852122204020998419
D. 89852122203020998419
A
5.请指出最后使用的Apple ID是多少?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
最后登录的是这个
whoishogan@gmail.com
结果就在压缩包里第一层有个单独的设备信息
然后热点是通过搜SSID看到了手机的热点密码,然鹅
对于iOS来说是不支持本身改热点名的,热点名就是和设备名保持一直
所以我们只要找设备名就好啦
就是iPhone
8. [单选题] 这个智能手机没有连接过以下哪一个服务集标识符(SSID)?
A
A. Hongn Home
B. CMHK
C. 1010 free wifi
D. ErrorError
火眼上也能看
10. [单选题] 安装了以下哪几个即时通讯软件?(i) WhatsApp;ii) WeChat;iii) WhatsApp Business;iv) QQ)
A. 只有 i) 和 ii)
B. 只有 i), ii) 和 iii)
C. 只有 i), ii) 和 iv)
D. 以上皆是
A
勾选即时通讯类:
11.承上题,请指出即时通讯软件"WhatsApp"的版本(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
这边注意要先设置列,展示版本号
接下来就能看到了,这边写版本号是731647702.0
然而美亚官方wp说这个不对,不是版本号
真正的版本号应该去这个软件的配置文件找,去var\mobile\Applications\group.net.whatsapp.WhatsApp.shared\Library\Preferences\
找group.net.whatsapp.WhatsApp.shared.plist
得到版本号应该是2.25.14.79
12. [单选题] 陈民浩的手机中,总共安装3个文件传输软件,封包名称分别为com.apple.Sharing.AirDropUI、com.lenovo.anyshare、com.estmob.paprika,其中有哪一个软件曾经用来传送/接收文件功能?
A. com.apple.Sharing.AirDropUI
B. com.lenovo.anyshare
C. com.estmob.paprika
搜一下发现,除了A都有结果:
paprika目录里有文件
anyshare更像一个空的
所以C
13.承上题,与其有传送/接收过资料装置的装置ID是多少? (请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
上一题已经确定了是包名为com.estmob.paprika的软件,这种线下从来没遇到过的小众软件只能翻
在Library文件夹下,我们能发现存在一个realm的数据库文件
而且名字很像跟传输有关的样子
那想看这种realm文件,还得下一个realm studio,当时没做出来,不然能得好多分
这边还有一个问题,就是必须把这个只读给去掉,否则无法打开realm studio
打开后界面如图,上来就是设备id
所以本题答案为5402313593439
14.承上题,这个装置名称是?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
属于就是想给打开realm的智者多加点分,就在刚刚的右边
Samsung SM-G930F
15.承上题,本机装置的装置ID是多少?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本机ID就是这个手机的设备ID呀
我们直接去看看这个软件里边的属性表plist文件就好
直接定位device_id就好
所以答案为3836403626142
(也可以在一开始的那个Device info.txt里找
16. [单选题] 承上题(第12题:文件传输软件),陈民浩的手机(CHAN_MH_mobile.zip)是传送方或是接收方?
A. 传送方
B. 接收方
C. 传送及接收方
看到传了四张jpg,在其他检材里搜,发现是 blk0_sda.bin这个手机里
所以是接收方:
B
17. [单选题] 根据传送档案的名称,判断是以下哪一类型?(单选)、、
A. 屏幕截图
B. 手机拍摄影片
C. PDF文件
D. zip压缩文件
A名字就是screenshot
18. [单选题] 承上题(第17题:文件类型),接收至哪一个装置?
A. CHAN_MH_mobile.zip
B. blk0_sda.bin
C. FUNG_CC_mobile.zip
D. LAM_KH_Mobile.zip
E. WONG_CW_mobile.zip
C如16题
19. [单选题] 承上题(第18题:接收装置),传送方是通过此文档传输软件的哪个模式作出传送?
A. SEND_PARTIALLY
B. SEND_PAPRIKA
C. SEND_DIRECTLY
D. SEND_BYCLOUD
E. SEND_BLUETOOTH
没太明白为什么在
blk0_sda.bin/分区21/data/com.estmob.android.sendanywhere/databases
这个目录下找main.db
两边的传输软件不是一个,我不知道是怎么想到的。
20. [多选题] 从来没有安装以下哪个网络浏览器?
A. Safari
B. Chrome
C. Firefox
D. edge
一个个搜只找到了safari
所以BCD
21.承上题,网络浏览器Safari有多少个书签(Bookmark)记录?(请以阿拉伯数字作答)
火眼一把梭
所以一共有9个书签
22. [多选题] 承上题(第20题:未安装浏览器),曾经通过Safari浏览器用下列哪一个字词进行过搜索?
A. 非法处理尸体最高刑罚
B. escape room hong kong
C. cypto wallet
D. 非法处理尸体
火眼这里过滤:
ABC
23.有多少个图片文件曾经储存到iCloud?(请以阿拉伯数字作答)
火眼直接看看不见iCloud
我们必须定位到icloud文件位置
在\var\mobile\Library\Mobile Documents\comappleCloudDocs这边
看到是两张
25.请参考参赛材料FUNG_CC_mobile.zip回答以下问题这部智能手机连接过多少个 Wi-Fi 网络?(请以阿拉伯数字作答)
这边这个手机倒是不用爆破,当然直接爆破会了也没啥难的
就连接过俩WiFi
答案是2
26. [单选题] 请参考参赛材料FUNG_CC_看到是来按照规划A股mobile.zip回答:这部智能手机曾经连接过以下哪个无线网络?(i) THREE_WIFI;ii) wanchai;iii)iPhone(2);iv) Router)
A. 只有 i)
B. 只有 ii) 和 iii)
C. 只有 ii), iii) 和 iv)
D. 以上皆是
B 如上题
27.这部手提手机最早连接(非热点)Wi-Fi的时间是什么?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
2025-04-15 19:29:23
iphone(2)看起来很像热点,所以我们去找wanchai相关在/var/preferences/SystemConfiguration/com.apple.wifi-private-mac-networks.plist 配置文件中可以看到 Wi-Fi 连接的详细信息
这是一个由 macOS 系统生成的配置文件,用于记录您的苹果设备连接过的、启用了“私有 MAC 地址”功能的 Wi-Fi 网络信息。
### 文件概述
- **文件名**: `com.apple.wifi-private-mac-networks.plist`
- **文件作用**: 跟踪并管理您的设备在连接不同 Wi-Fi 网络时使用的随机化 MAC 地址(即私有 MAC 地址)。
- **核心功能**: 确保设备在后续连接同一网络时能使用相同的随机 MAC 地址,以平衡隐私保护和网络连接的稳定性。
### 文件内容概括
文件包含一个网络列表,记录了每个网络使用私有 MAC 地址的详细情况。目前列表中有 2 个网络:
1. **网络一:iPhone (2)**
- **SSID (网络名称)**: `iPhone (2)`
- **BSSID (路由器MAC)**: `7a:51:d2:3:e5:52`
- **私有 MAC 状态**: **已启用**
- **关键时间点**:
- 首次使用此私有 MAC 连接: `2025-04-15 09:43:40`
- 最后一次加入此网络: `2025-04-15 09:43:40`(与首次为同一次)
- 信息最后更新时间: `2025-05-20 01:43:13`
2. **网络二:wanchai**
- **SSID (网络名称)**: `wanchai`
- **BSSID (路由器MAC)**: `58:11:22:34:9:c0`
- **私有 MAC 状态**: **已启用**
- **关键时间点**:
- 首次使用此私有 MAC 连接: `2025-04-15 11:29:29`
- 最后一次加入此网络: `2025-05-16 06:22:26`(最近有过连接)
- 信息最后更新时间: `2025-05-20 01:43:13`
### 核心信息解读
- **私有 MAC 地址 (Private MAC Address)**:
- 这是苹果设备(iPhone, iPad, Mac)从 iOS 14/macOS Big Sur 开始引入的一项**隐私保护功能**。
- 当您连接到一个 Wi-Fi 网络时,设备会生成一个随机的、假的 MAC 地址来代替设备真实的物理 MAC 地址。这样可以防止网络运营者或监听者通过 MAC 地址来跨网络跟踪您的设备。
- **文件存在的意义**:
- 因为每次连接都使用全新的随机地址会很麻烦(某些公共网络可能需要重新认证),所以系统会为每个网络**生成并记住一个固定的随机 MAC 地址**。
- 这个 `.plist`文件就是用来存储这个“映射关系”:对于“SSID A”,就固定使用“随机MAC地址 X”。这样既保护了隐私,又保证了连接便利性。
### 总结
简单来说,这个文件是您设备**启用 Wi-Fi 隐私保护功能的日志和配置记录**。它证明了您的设备在连接 `iPhone (2)`和 `wanchai`这两个网络时,都开启了“私有 MAC 地址”功能,并且系统已经为每个网络生成了专属的、随机的 MAC 地址。文件中的时间戳记录了您何时连接过这些网络,以及系统何时更新过这些私有地址的信息
30. [单选题] 相册中有两张图像互换格式图片(gif)「IMG_0057.GIF」及「IMG_0062.GIF」,请指出由哪一个软件拍摄?
A. Infltr
B. Discreet
C. Meitu
D. Prisma
这个在火眼上看,试了试xway但是可能是软件问题没有看到元数据:
31.[单选题]曾经以空投(AirDrop)方式成功传送了文件到另外一个装置,以下哪一个陈述是正确的?
A. 传送了一个图片文件
B. 传送了两个图片文件
C. 传送了一个图片文件及一个文件
D. 传送了一个图片文件及两个文件
C
在iPhone上,有一个存储用户人际互动数据的关键数据库文件var\mobile\Library\CoreDuet\People
导出文件,执行SQL语句筛选一下
SELECT Z_PK,ZBUNDLEID,ZTARGETBUNDLEID FROM ZINTERACTIONS WHERE ZTARGETBUNDLEID IS NOT NULL;
32.原生APP「相片」中,有一个图片文件曾经通过空投"AirDrop"方式成功传送,请指出这个图片文件的文件全名(请包含扩展名,依照参赛材料中的原文作答,注意区分大小写、空格及符号)
原生(照片)说的应该就是自带的照片软件:找一找数据库
不是很难定位到
我们直接写MySQL语句里写语句查询
大概就是从 ZASSET表中,由 ZLASTSHAREDDATE字段不为空来判断,找出所有曾经被共享过的资源,并列出它们的主键ID和文件名
SELECT Z_PK,ZFILENAME FROM ZASSET WHERE ZLASTSHAREDDATE IS NOT NULL;
所以是IMG_0083.HEIC
33.承上题,请写出这个图片文件的开始传送的日期及时间?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
先搜一下文件名
出现三个,第三个带cloud,先看看
但是没有share相关,在第二个里看到了:
时间戳转换一下
2025-04-17 09:10:03
34.请指出哪一个多媒体文件同时储存在APP「文件」(套件识别码: com.apple.DocumentsApp)及APP「照片」(套件识别码: com.apple.mobileslideshow)中?(请包含扩展名,依照参赛材料中的原文作答,注意区分大小写、空格及符号)
"文件" APP 的存储目录是/var/mobile/Applications/group.com.apple.FileProvider.LocalStorage/File Provider Storage/
"照片" APP 的存储目录是/var/mobile/Media/DCIM/100APPLE/
IMG_0008.HEIC和IMG_0010.MOV
35.请指出在APP「照片」(套件识别码: com.apple.mobileslideshow)中的图片文件「IMG_0079.JPG」是由哪一个APP拍摄?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
Discreet
36.承上题,已知该图片文件是由上述APP所拍摄,并其后储存在APP「照片」(套件识别码: com.apple.mobileslideshow)成「IMG_0079.JPG」,请问该图片的原文件名称? (请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
直接在文件系统里搜索Discreet:
发现是同一张图:
DiscreetCameraApp_1744790959352.png
37.承上题,请指出原文件的建立时间?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
2025-11-15 10:31:24
38. [单选题] 请指出在APP「照片」(套件识别码: com.apple.mobileslideshow)中,储存多媒体文件「IMG_0014.MOV」与储存「IMG_0016.MOV」之间有没有其他多媒体文件储存到APP「照片」中?
A. 有
B. 没有
C. 有拍摄,但没有储存
D. 无法确认
B
数据库里的Z_PK值是连在一起的,所以没有
39. [单选题] 承上题(第38题:MOV文件储存),以下哪个陈述是正确描述上一题的答案?
A. 制作多媒体文件「IMG_0015.MOV」时,直接储存到隐藏相册中
B. 制作作多媒体文件「IMG_0015.MOV」时,直接上传到iCloud
C. 制作多媒体文件「IMG_0014.MOV」时用了缩时摄影
D. 制作多媒体文件「IMG_0015.MOV」时名称被更改为「IMG_0016.MOV」
C
40. [单选题] APP「照片」(套件识别码: com.apple.mobileslideshow)中,「IMG_0027.HEIC」的原地理位置信息(WGS84)是?
A. (22.2816569, 114.1756115)
B. (22.2826366666667, 114.168503333333)
C. (22.2826216666667, 114.168525)
D. (22.2826216666667, 114.168503333333)
C
C最接近
41. [单选题] 曾经通过网络浏览器「Safari」下载了多少个图片文件?
A. 1
B. 2
C. 3
D. (无内容)
这么能看到是两张
B
42. [单选题] 多媒体文件「IMG_0004.MOV」曾被修改后再储存成另一个文件,该文件名称是?
A. IMG_0085.mov
B. IMG_0086.mov
C. IMG_0087.mov
D. IMG_0088.mov
直接这么搜会只有最后一个结果,当时就直接填上去错了。
分别搜会发现每个文件都有
1. `**理解表结构**`
- `**ZADDITIONALASSETATTRIBUTES**:这个表通常存储资源的额外属性。题目提示需要在这里查找原始文件名为"0004.mov"的记录,它很可能通过一个外键(例如 Z_ASSET)与主资源表关联。`
- `**ZASSET**:这是核心资源表,通常包含当前资源的各种信息,如文件名、路径等。其中的 Z_PK字段通常是主键。`
**确定关联关系**
这两个表很可能是通过 ZADDITIONALASSETATTRIBUTES表中的某个指向 ZASSET表 Z_PK的字段(例如 Z_ASSET)进行关联的。
那么需要先去ZADDITIONALASSETATTRIBUTES表里找一下原始名称是0004.mov的文件,确定其Z_PK,然后再去ZASSET找一下现在的
SELECT ZFILENAME FROM ZASSET WHERE Z_PK = 82;
所以选A
43.曾经通过人工智能聊天APP "POE"查询一个问题,请列出这个问题的完整句子?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
搜poe得到了包名:
接着去找数据库
查询“chat_input“
SELECT * FROM records WHERE record LIKE '%chat_input%'
{"isDeleted":false,"text":"What’s that mean","chat":{"$reference":"Chat:Q2hhdDoxMDY5ODc1MDcw"},"bot":null,"creationTime":1744782606792741,"attachments":[{"$reference":"MessageAttachment:TWVzc2FnZUF0dGFjaG1lbnQ6MzQ5NDcxNTAy"}],"reactionCounts":[],"command":null,"messageCode":"1mvs4t45lw2et7a3wk4a","authorNickname":"human","viewerReaction":null,"responsibleJob":null,"messageStateText":null,"viewerCanDelete":true,"hasCitations":false,"canvasTabs":[],"id":"TWVzc2FnZTozNzcwNTE2MjYzNjY=","contentType":"text_markdown","__typename":"Message","authorUser":{"$reference":"PoeUser:UG9lVXNlcjoyOTkzNDM5Mzc1"},"messageId":377051626366,"isChatAnnouncement":false,"sourceType":"chat_input","state":"complete","referencedMessage":null}
得到答案:What’s that mean
44.承上题,请指出提问的日期及时间(答题格式: yyyy-MM-dd HH:mm:ss 作答, GMT+8)
2025-04-16 13:50:06
45.承上题,当时使用的是哪一个机器人?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
gpt4_1_mini
46.承上题,当时的使用者名称是?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
这里有user的id,但不是答案
还要在数据库里搜一下看到全名:Duncan
47.请指出即时通讯软件"WeChat"的 "WeChat ID"(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
wxid_c9xyspglub7512
xway也可以直接出
48. [单选题] 承上题(第47题:WeChat ID),这个"WeChat ID"关注了多少个「视频号」?
A. 1
B. 2
C. 3
D. (无内容)
火焰这里看到是120个,然而答案没有,看来不对,可以右键直接跳转到数据库,也可以找:
过滤一下发现只有两个
B
49.请指出即时通讯软件WhatsApp的WhatsApp ID(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
85254974406@s.whatsapp.net
50. [单选题] 即时通讯软件WhatsApp中,封存了下列哪个聊天群?
A. 凤凰VIP会员心得交流群
B. 币淘 群组1
C. Sportsmen
D. Titus Wong Manson Finance
A
分析里群组右键到数据库,过滤一下发现只有A是archived
(这边打开聊天存储数据库ChatStorage.sqlite
查看ZWACHATSESSION的ZARCHIVED的列,如果是1就说明已封存,若是0就没事儿)
51.即时通讯软件WhatsApp中,总共追踪了多少个频道?(请以阿拉伯数字作答)
19
52. [单选题] 即时通讯软件「WhatsApp」中,下列哪个是群组 "Investors" 的管理员?(i) 85254974406@s.whatsapp.net;ii) 85260927726@s.whatsapp.net;iii) 85254961408@s.whatsapp.net)
A. 只有 i)
B. 只有 i) 和 ii)
C. 只有 ii) 和 iii)
D. 以上皆是
能直接看见
B
53.即时通讯软件「WhatsApp」中,群组 "Investors" 的群组ID?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
120363417204753192@g.us
见上题
54.即时通讯软件「WhatsApp」中,「社群」名称是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
We are 3
55. [单选题] 承上题(第54题:WhatsApp社群名称),请指出这个社群的群组图案的哈希值(SHA256格式)?
A. B1A3706C574F81A3EE084FB9509997E06349E86D904D1DC10B879D1D5ED83125
B. B8BA258402925E139CAFBBBBBC809EC160B70BB03DBD4D0F3063F58F69D0B956
C. E43ADC646295BC5011577D4E733B6289D31A5E11ACB45285BE1FF530260DF383
D. 20E64C78F9926548CEEFB1783991A4AD71A6631F3C86002254342E323A898C6A
A
跳到源文件算一下
56.即时通讯软件「WhatsApp」中,找出WhatsApp ID:85254961408@s.whatsapp.net曾经是在而现在已经不在的群组,请指出该群组的名称。(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
先确定这个ID是谁,发现是陈民浩
57.即时通讯软件「WhatsApp」中,总共出现了多少个「投票」活动?(请以阿拉伯数字作答)
投票活动会有[投票消息]这个前缀
直接搜:
15个
58.承上题,总共在多少个「投票」活动中作出了投票?(请以阿拉伯数字作答)
2
看wiki佬的是说看数据库
看到这句话,这句话上面就是投票消息
可以看到投票消息的 ZMESSAGETYPE 字段的值为 46, 以此进行过滤:
SELECT ZMESSAGETYPE, ZMESSAGEINFO, ZTEXT, ZFROMJID, ZTOJID FROM ZWAMESSAGE
WHERE (ZTOJID = "120363400622997111@g.us"
OR ZFROMJID = "120363400622997111@g.us")
AND ZMESSAGETYPE = 46;
可以看到上述的 3 条投票消息的记录.
ZWAMESSAGEINFO 表中存储着消息的详细信息, 该表的 Z_PK 字段与 ZWAMESSAGE 表的 ZMESSAGEINFO 字段相对应, 该表的 ZRECEIPTINFO 中以 Protobuf 的格式保存着详细的消息信息. 通过 SQL 语句可以找到所有投票消息及其对应的 Protobuf:
用 CyberChef 解码 Protobuf 的 16 进制字符串, 可以看到其中包含的投票记录
59. [单选题] 即时通讯软件「WhatsApp」中,根据群组「IQ COIN 犯罪计划?」对话内容正在策划哪一种犯罪?
A. 诈骗
B. 抢劫
C. 谋杀
D. 以上都不对
A
60.承上题,该群组建立者的WhatsApp ID是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
85254974406@s.whatsapp.net
61.承上题,该群组的建立时间是什么?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
2025-04-25 16:57:55
62. [单选题] 根据你的分析结果,三人因感情瓜葛内讧因而发生这次袭击事件。你怀疑梁燕玲曾到袭击现场,你将你的发现通知警察。警察扩大现场搜索范围,终于在案发现场附近,发现陈民浩名下的小汽车,车上发现一部智能手机。请你以参赛材料LEUNG_YL_Mobile.zip回答:该手机用作注册iCloud的email?
A. lingleung1502@gmail.com
B. lingleung1502@yahoo.com.hk
C. lingleung1503@gmail.com
D. lingl1502@gmail.com
A
63. [单选题] 参考LEUNG_YL_Mobile.zip,文件IMG_0021.HEIC 所拍摄的相机型号是甚么?
A. iPhone SE (3rd generation)
B. iPhone SE (2nd generation)
C. iPhone 12 mini
D. iPhone XR
iPhone SE (3rd generation)
选A
64.参考LEUNG_YL_Mobile.zip,文件IMG_0005.JPG所拍摄的座标(WGS 84)是多少?(请以纬度,经度的顺序及以下格式作答xx.xxxxxx,xx.xxxxxx)
xway一下发现:
**信息被剥离**:您提供的元数据末尾有“EXIF stripped”的备注,这明确表示该图片经过后期处理,原有的 EXIF 数据(极有可能包括 GPS 信息)已被移除或损坏
。常见的操作如通过微信等社交软件发送、某些图像编辑软件保存时未保留元数据,都会造成此结果。
那么需要换种方法用exiftool看一下:
(22.629706,120.312569)
65. [单选题] 参考LEUNG_YL_Mobile.zip,文件IMG_0022.JPG是以下哪种方向拍摄?
A. 不旋转
B. 旋转180度
C. 顺时针90度
D. 逆时针90度
如上图:根据图片中EXIF元数据明确显示的“图像取向:90° CCW”,CCW是“Counter Clockwise”的缩写,意为逆时针。
选D
66.文件IMG_0022.JPG的建立时间(GMT +08:00)是?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
2025/05/16 11:33:15
67.参考LEUNG_YL_Mobile.zip,在WhatsApp 与”85254974406@s.whatsapp.net”聊天对话中,于2025-05-16 11:33:39时的信息所传送的座标(WGS 84)是多少?(请以纬度,经度顺序及以下格式作答xx.xxxxxxxxxxxx, xxx.xxxxxxxxxxxx)
搜索后锁定消息:
到位置里选择检材过滤时间
22.278848726819984,114.29062196271781
22.2760486602783,114.295440673828
68.参考LEUNG_YL_Mobile.zip,在WhatsApp 与 "85254974406@s.whatsapp.net”聊天对话中,于2025-05-16 11:33:39时的信息所传送的座标(WGS 84)所指的餐厅英文名称是? (请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
Fai Kee Seafood Restaurant
同上
69.参考LEUNG_YL_Mobile.zip,在WhatsApp 中聊天群组ID 120363401289578356里,于2025-04-29 08:31:02,机主传送了一个PDF 文件,该PDF的内容是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
右键后在资源管理器里打开
打开后是空白:
发现能选中
0xe36D4bCf0132B8Dc7317C2Fb9bfa1845629F6638
70. [单选题] 参考LEUNG_YL_Mobile.zip,在WhatsApp 中聊天群组ID 120363401289578356里,有多少个参加者?
A. 2
B. 3
C. (无内容)
D. 5
搜搜id看到就是这个IQ COIN
B
71. [单选题] 参考LEUNG_YL_Mobile.zip,于2025-04-25 17:11:37 时使用WhatsApp 所拨打的手机号码是多少?
A. 85254962307
B. 85254961408
C. 85254974406
D. 85254993306
C
72. [单选题] 参考LEUNG_YL_Mobile.zip,总共有多少个WhatsApp的通话记录? (包括拨打、接收及未接来电)、、
A. 4
B. 5
C. 6
D. 7
D
同上
73. [单选题] 参考LEUNG_YL_Mobile.zip,WhatsApp 聊天群组ID 120363400622997111 的群组名称是?
A. Investors
B. Foodies
C. We are 3
D. Happy Sharing within 3
Happy Sharing within 3
D
74. [单选题] 参考LEUNG_YL_Mobile.zip,WhatsApp 聊天群组Happy Sharing within 3 于2025-04-17 10:12:34 传送的WGS 84座标是多少?
A. 22.323436345441, 113.276894376508
B. 22.326923370361, 114.168403625488
C. 21.239876452236, 115.925422314543
D. 20.124955642236, 114.168403625488
B
75. [单选题] 参考LEUNG_YL_Mobile.zip,Instagram 的版本是?
A. 375.2.0.15.82 (722575504)
B. 376.1.0.14.56 (722575504)
C. 376.1.0.27.82 (722575504)
D. 376.0.0.17.23 (722575504)
仍旧搜索,找到包名,搜索定位目录,查看plist文件:
376.1.0.27.82 (722575504)
也可以xway爆一下
选C
76. [填空题]参考LEUNG_YL_Mobile.zip,社交媒体软件Instagram 的安装时间?
(请以GMT+8时区及格式YYYY-MM-DD hh:mm:ss作答)
刚才的plist文件里有:
2025-04-26T03:50:47Z
+8一下
2025-04-26 11:50:47
77.题目内容见题目描述(77) (2分)
跟据你的分析,警察在香港西贡蕉坑,找到一个行李箱,内藏一名女子尸体,身上没有任何身份证明文件,裤袋内搜获一个U盘,根据法医初步检验,死者头部及颈部有明显瘀伤,相信曾发生激烈争执,死因为气管受压导致窒息,死亡时间相信是在2025-05-16 0900时至1000时 。调查人员初步检查这个U盘,没有发现可疑资料,现在交由你进行电子数据鉴定工作。请参考参赛材料LEUNG_YL_USB.E01,答以下问题
参考LEUNG_YL_USB.E01,这个U盘里有多少个分区?
(请以阿拉伯数字作答)
2
78.[填空题]题目内容见题目描述(78) (2分)
参考LEUNG_YL_USB.E01,这个U盘里的分区结构是什么?
(请以英文大写作答)
MBR
79. [单选题] 参考LEUNG_YL_USB.E01,以下哪项描述是正确的?(i) U盘的总容量是16GB;ii) 文件系统包括 FAT32、exFAT 和 NTFS;iii) exFAT 分区的容量是 16GB;iv) 分区标签名是 "SanDisk")
A. 只有 i) 和 ii)
B. 只有 i) 和 iii)
C. 只有 ii) 和 iv)
D. 以上皆非
可以看到两个分区的签名分别是:TIM和EFI
也可以用ufs:
label的话更直观
D
80. [单选题] 参考LEUNG_YL_USB.E01,以下哪项描述是正确的?(i) 此U盘曾连接到一台名为 "PC" 的电脑;ii) U盘内存有一个已加密的压缩文件;iii) 已加密的压缩文件的创建日期系 2025-05-15)
A. 只有 ii)
B. 只有 iii)
C. 只有 ii) 和 iii)
D. 以上皆是
进来就看到一个绿色的加密压缩,基本没跑了
时间也对的上
C
81.[填空题]题目内容见题目描述(81) (3分)上题,该压缩文件的解压密码是多少?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
54d#e(nm
看到wepe有个密码
试一下
82. [单选题] 参考LEUNG_YL_USB.E01,以下哪项描述是正确的?(i) 这是一个可引导U盘;ii) 有一个分区标签名为 "EFI";iii) 卷标日期为 2025-05-15 (UTC +8);iv) 有一个分区的总容量小于 500 MB)
A. 只有 i)
B. 只有 i) 和 ii)
C. 只有 i), iii) 和 iv)
D. 以上皆是
i.EFI分区中有boot
所以是可以引导的
ii.是对的,前面看到的
iii.xwf里面看EFI分区的创建时间是对的:
iiii.分区2的容量为350mb,所以也是对的
对于物理磁盘查看信息可以直接ctrl+f10看技术报告:
也能看到上述多个信息
D
83.[填空题]题目内容见题目描述(83) (2分)tammy.txt文件的内容是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
看到有个wepe,解压挂载(目录形式)
找到了
due_diligence
84.[填空题]题目内容见题目描述(84) (3分)文件“xcontainer”的加密算法是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
AES(Twofish)
key在u盘里随便看到的
盘里看到一些东西:
1.一个助记词txt
jelly
pudding
vibrant
guitar
enable
creek
harmony
dragon
olive
sunset
rookie
fabric
2.扫码得到:
0x548dafDe4B17d7d3C9485E79B3B5018801C7855E
85. [单选题] 分析文档 "xcontainer" 的属性,关于此磁盘镜像,以下哪项描述是正确的?(i) 大小为 4943872 字节;ii) 文件系统是 FAT;iii) 没有嵌入式备份头;iv) 块大小为 128 位)
A. 只有 i) 和 ii)
B. 只有 ii) 和 iv)
C. 只有 ii), iii) 和 iv)
D. 以上皆是
注意加密卷属性跟磁盘属性不一样
这个vc卷和磁盘的大小不一样:
深入理解空间差异
-
VC卷(逻辑容量):这通常指的是存储池(如LVM的卷组)允许这个卷(逻辑卷)使用的最大潜在空间。它代表的是一个容量上限。
-
挂载后磁盘(物理可用):这是在操作系统中挂载并创建文件系统后,实际可用来存储文件和数据的空间。这个大小等于VC卷的大小,减去文件系统元数据、分区表等各类系统管理开销。
B
86. [单选题] WinPE 启动后,系统会自动将核心映像挂载在哪个虚拟机?
A. C:\
B. D:\
C. X:\
D. Z:
看来这里是需要挂来试一下了
管理员身份打开vm
右键windows看到磁盘管理:
下面可以看到磁盘四是我们新挂的
所以选4,进去后看到
忘开写入了:
然后进去就正常了
进去可以看到wepe是挂在X盘
87. [单选题] 下列哪些 Windows PE 指令在预设环境下无法执行?(i) Powershell;ii) Eventvwr;iii) Hostname;iv) Diskpart)
A. 只有 i) 和 ii)
B. 只有 iii) 和 iv)
C. 只有 i), ii) 和 iii)
D. 以上皆是
-
分析每个指令:
-
i) Powershell:PowerShell 需要完整的 .NET Framework 和额外组件,在 Windows PE 预设环境中通常不包含,因此无法执行。
-
ii) Eventvwr:事件查看器(Eventvwr)是一个图形化工具,依赖 Windows 事件日志服务,Windows PE 作为最小环境不包含此类服务,因此无法执行。
-
iii) Hostname:Hostname 是一个基本的命令行工具,用于显示计算机名称,Windows PE 预设环境通常包含此类核心网络命令,因此可以执行。
-
iv) Diskpart:Diskpart 是磁盘分区工具,常用于系统部署和恢复,是 Windows PE 的核心组件之一,因此可以执行。
-
-
结论:无法执行的指令是 Powershell 和 Eventvwr,对应选项 A。
A
88. [单选题] 必须包含哪个文件,才能启动 Windows PE环境?
A. WEPE64.wim
B. install.wim
C. WinPE.log
D. hiberfil.sys
-
Windows PE(Preinstallation Environment) 是一个轻量级的操作系统环境,用于系统部署、故障排除和恢复。它的启动依赖于一个核心的镜像文件,该文件通常采用 .wim 格式(Windows Imaging Format)。
-
分析每个选项:
-
A. WEPE64.wim:这是微PE(如“微PE工具箱”等定制版本)环境的标准启动镜像文件,包含 Windows PE 的核心系统和必要组件,是启动所必需的文件。
-
B. install.wim:这是 Windows 操作系统安装镜像文件,用于完整系统的安装,而非启动 Windows PE 环境。
-
C. WinPE.log:这是一个日志文件,用于记录 Windows PE 的启动和运行信息,但不是启动所必需的文件。
-
D. hiberfil.sys:这是 Windows 系统的休眠文件,用于保存休眠状态,与 Windows PE 启动无关。
-
-
结论:只有 WEPE64.wim 是启动 Windows PE 环境所必须包含的核心文件,因此正确选项是 A。
-
在R-Studio可以看到这个文件,这是存储的分区映像文件
A
89. [单选题] 若要判断一个U盘是否为可开机的Windows PE,以下哪些文件必须存在?(i) WEPE64.wim 或 boot.wim;ii) bootmgr;iii) EFI\Boot\bootx64.efi;iv) hiberfil.sys)
A. 只有 ii 和 iv
B. 只有 i), ii) 和 iii)
C. 只有 i) 和 iv)
D. 以上皆是
-
分析每个文件:
-
i) WEPE64.wim 或 boot.wim:这是Windows PE的核心镜像文件,包含操作系统的基本组件,没有它就无法加载Windows PE环境,因此必须存在。
-
ii) bootmgr:这是Windows启动管理器,负责引导过程,是启动链中的关键文件,必须存在。
-
iii) EFI\Boot\bootx64.efi:这是用于UEFI启动模式的引导文件,现代电脑大多采用UEFI启动,因此这个文件也必须存在以确保兼容性。
-
iv) hiberfil.sys:这是Windows休眠文件,用于保存系统休眠状态,Windows PE环境不支持休眠功能,因此这个文件不是必须的。
-
-
结论:必须存在的文件是i)、ii)和iii),对应选项B。
B
90. [单选题] 这个 WinPE U盘的操作环境 (Operating Environment) 是基于哪一个 Windows 版本?
A. Windows 7
B. Windows 8.1
C. Windows 10 PE
D. Windows 11 PE
在控制面板能看,搭的时候也使用的win10,
就是不知道搭之前要怎么看
91.[填空题]题目内容见题目描述(91) (3分)
根据你综合多项通讯软件的对话记录,浏览记录及资料分析,发现冯子超、陈民浩伙同女子梁燕玲共同做了一宗涉及加密货币投资的诈骗案件,因东窗事发打算携赃而逃。女子梁燕玲负责处理有关清洗黑钱事项,警察相信梁燕玲携带同相关材料逃跑,请你运用电子数据鉴定技巧寻找与加密货币相关的材料,尽快启动冻结程序。
参考LEUNG_YL_USB.E01,该U盘盘有一个加密的文件,该文件所用的加密软件名称是?
(只需回答软件名称,不需要回答软件版本,(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
veracrypt
前面刚挂了一个vc容器
92.[填空题]题目内容见题目描述(92) (3分)参考LEUNG_YL_USB.E01,请列出与IQ Coin有关的虚拟钱包的地址(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
如84题,vc里的图片扫码可得
0x548dafDe4B17d7d3C9485E79B3B5018801C7855E
93.[填空题]题目内容见题目描述(93) (3分)承上题,这个钱包属于哪一种加密货币(请以英文大写作答)
何意味...我将养成良好的密码积累习惯
解开以后是两张截图
BNB
94.[填空题]题目内容见题目描述(94) (3分)承上题,这个钱包总共有多少次存入记录?(请以阿拉伯数字作答)
https://bscscan.com/advanced-filter?txntype=2&tadd=0x55efd2653e66b70f008ffaa18df252644fb5c85b
根据截图信息登录到网站上
在to列过滤
只有一条
1
95.[填空题]题目内容见题目描述(95) (3分)承上题,存入款项的支账地址是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
0x6144ACfdf84bbEC6bccB310516A89D4b3ee48c1A
0x6144Acfd...b3ee48c1A
96.[填空题]题目内容见题目描述(96) (3分)承上题,这项交易传送了多少BEP-20 IQ Coin?(请以阿拉伯数字依照参赛材料中的原文作答,注意区分大小写、空格及符号和不用标点符号 )
在最近一笔交易(2025-05-02 10:01:30)中,"Amount"字段明确显示转账金额为 1,000,000,000 IQCoin。根据题目要求去除逗号后,答案为 1000000000。
1000000000
97. [判断题] 助记词是由加密货币钱包生成的一系列单词,帮助用户恢复其私钥,助记词通常由12到24个单词组成
A. 正确
B. 错误
A
常识题
BIP-39 助记词可以由 3 - 24 个单词组成, 但小于 12 个单词的助记词熵低且易被爆破攻击. 在 BIP-39 Standalone 中如果试图生成小于 12 个单词的助记词, 则会受到警告: Mnemonics with less than 12 words have low entropy and may be guessed by an attacker.
98.[填空题]题目内容见题目描述(98) (3分)根据你的信息警察查知这个加密钱包涉及近期一宗巨额诈骗案,请你查出这个钱包余额额度,警察将会进行冻结程序请指出包含有疑似助记词的文件的希哈值(MD5格式)(请以阿拉伯数字和英文大写作答)
这个也是84题vc里面的有的
183b8e0c6365fee834479269141a3f91
浙公网安备 33010602011771号