2025美亚杯个人赛wp
一、基础信息与附件
- 检材密码:
FEYn0MJLYy9zTQRFHlXGRkVqXv3IkE8h - 核心检材:冯子超手机资料(FUNG_CC_mobile.zip)、陈民浩手机资料(CHAN_MH.zip)、梁燕玲手机资料(LEUNG_YL_Mobile.zip)、梁燕玲U盘资料(LEUNG_YL_USB.E01)
二、选择题
陈民浩手机
火眼分析不出来手机类型,可以手动让他分析ios镜像,还可以直接看文件
1. [单选题] 香港警方接到报案,西贡区布袋澳有人持木棍袭击他人,警方到达现场发现冯子超头部受伤昏迷,身上只有一部智能手机但没有身份证明文件。调查后香港警方以伤人罪拘捕了陈民浩。陈民浩被捕后保持沉默,拒绝交代案情,身上搜获一部智能手机,冯子超则被送往医院救治。警方检查了两人的智能手机,并由检验人员进行了检验。冯子超的智能手机资料储存在FUNG_CC_mobile.zip文件中,而陈民浩的智能手机资料则储存在CHAN_MH.zip文件中。警方希望运用你的电子数据检验知识,在两个人的智能手机中查找办案线索。请你使用CHAN_MH.zip检材回答:这个智能手机是什么操作系统?
A. iOS 17.1.1
B. iOS 17.2.1
C. iOS 17.3.1
D. iOS 17.0.1
A
方法1:Manifest.plist文件中搜索iPhone
方法2:分析出来在设备信息里
2.在这个手机中,有多少组国际移动设备识别码(IMEI)号码? (请以阿拉伯数字作答)
2
在iDevice_info.txt中可以看到两个
3. [单选题] 承上题(第2题:手机IMEI组数),以下哪一个才是正确的国际移动设备识别码(IMEI)号码?
A. 357328098205226
B. 357328097205226
C. 357328096205226
D. 357328095205226
A
根据上题文件内容还有火眼解析出来的imei,正确的应该是357328098205226
4. [单选题] 请指出最后使用的使用者身分模组(SIM)的集成电路卡识别码(ICCID)?
A. 89852122206020998419
B. 89852122205020998419
C. 89852122204020998419
D. 89852122203020998419
A
方法1:在iDevice_info.txt中可以看到
方法二:火眼解析解析出来的
5.请指出最后使用的Apple ID是多少?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
whoishogan@gmail.com
方法:1:在iDevice_info.txt中可以看到好多whoishogan@gmail.com
方法2:火眼也能看到
6.蓝牙模组中的蓝牙地址是多少?(请以下格式作答:xx:xx:xx:xx:xx:xx)
f8:38:80:bb:f5:28
在iDevice_info.txt中可以看到BluetoothAddress
7.这个智能手机曾经启动「个人热点」分享网络,请问他的「热点」名称?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
**iPhone **
在iDevice_info.txt中搜索ssid可以看到热点密码
在另一部手机上看到了 有个iPhone
在冯子超手机看到了iPhone(2)就猜到iPhone
后面了解到对于iOS来说是不支持本身改热点名的,热点名就是和设备名保持一致,直接输设备名就行
8. [单选题] 这个智能手机没有连接过以下哪一个服务集标识符(SSID)?
A. Hongn Home
B. CMHK
C. 1010 free wifi
D. ErrorError
SSID就是WiFi名称
A
在火眼看到4个,CD肯定有,但是AB不知道,下一题问CMHK,那肯定就是A了
9.请指出首次连接服务集识别码(SSID)名称为" CMHK"的无线区域网络(Wi-Fi)的日期及时间(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
看了好几个大佬的wp,都是暂无答案,而且美亚官方也没有答案,看来不是我的问题-
10. [单选题] 安装了以下哪几个即时通讯软件?(i) WhatsApp;ii) WeChat;iii) WhatsApp Business;iv) QQ)
A. 只有 i) 和 ii)
B. 只有 i), ii) 和 iii)
C. 只有 i), ii) 和 iv)
D. 以上皆是
A
筛选一下,就这三个
11.承上题,请指出即时通讯软件"WhatsApp"的版本(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
** 2.25.14.79 **
当时比赛的时候追求速度,设置列把版本号勾选一下就可以看到了版本号直接填了,但是后面做75题的时候知道不对了,但是也没来的及看
正确的做法是去看var\mobile\Applications\group.net.whatsapp.WhatsApp.shared\Library\Preferences\中的group.net.whatsapp.WhatsApp.shared.plist这个文件
12. [单选题] 陈民浩的手机中,总共安装3个文件传输软件,封包名称分别为com.apple.Sharing.AirDropUI、com.lenovo.anyshare、com.estmob.paprika,其中有哪一个软件曾经用来传送/接收文件功能?
A. com.apple.Sharing.AirDropUI
B. com.lenovo.anyshare
C. com.estmob.paprika
C
每个都搜一下,二没有文件,三有
13.承上题,与其有传送/接收过资料装置的装置ID是多少? (请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
5402313593439
在该文件夹下有一个realm数据库文件,用realm studio打开
14.承上题,这个装置名称是?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
Samsung SM-G930F
15.承上题,本机装置的装置ID是多少?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
3836403626142
其实就是看本机的id,在/var/mobile/Applications/com.estmob.paprika/Library/Preferences/ 中的com.estmob.paprika.properties.plist文件中可以看到
16. [单选题] 承上题(第12题:文件传输软件),陈民浩的手机(CHAN_MH_mobile.zip)是传送方或是接收方?
A. 传送方
B. 接收方
C. 传送及接收方
B
在realm数据库文件中看到好几张jpg文件(17题),在安卓手机上搜到了(18题),所以是安卓传送过来的,所以CHAN_MH_mobile.zip是接收方
17. [单选题] 根据传送档案的名称,判断是以下哪一类型?(单选)
A. 屏幕截图
B. 手机拍摄影片
C. PDF文件
D. zip压缩文件
A
见上
18. [单选题] 承上题(第17题:文件类型),接收至哪一个装置?
A. CHAN_MH_mobile.zip
B. blk0_sda.bin
C. FUNG_CC_mobile.zip
D. LAM_KH_Mobile.zip
E. WONG_CW_mobile.zip
B
见上
19. [单选题] 承上题(第18题:接收装置),传送方是通过此文档传输软件的哪个模式作出传送?
A. SEND_PARTIALLY
B. SEND_PAPRIKA
C. SEND_DIRECTLY
D. SEND_BYCLOUD
E. SEND_BLUETOOTH
C
那就在安卓机上/data/com.estmob.android.sendanywhere/databases下找到main.db,里面有传送方式
20. [多选题] 从来没有安装以下哪个网络浏览器?
A. Safari
B. Chrome
C. Firefox
D. edge
BCD
一个一个搜
21.承上题,网络浏览器Safari有多少个书签(Bookmark)记录?(请以阿拉伯数字作答)
9
22. [多选题] 承上题(第20题:未安装浏览器),曾经通过Safari浏览器用下列哪一个字词进行过搜索?
A. 非法处理尸体最高刑罚
B. escape room hong kong
C. cypto wallet
D. 非法处理尸体
ABC
查看历史记录
23.有多少个图片文件曾经储存到iCloud?(请以阿拉伯数字作答)
2
火眼没有跑出来iCloud,只能翻文件,在<font style="color:rgba(0, 0, 0, 0.87);">/var/mobile/Library/Mobile Documents/com~apple~CloudDocs</font>下看到两个图片
24.相册中有多少张图片是通过屏幕截图功能取得?(请以阿拉伯数字作答)
15
冯子超手机
需要手机备份密码,一般来说是四位或六位纯数字的弱口令密码。按照往年的规律,比赛我直接猜的0000和1234,如果不对的话可以爆破Manifest.plist获取密码
25.请参考参赛材料FUNG_CC_mobile.zip回答以下问题这部智能手机连接过多少个 Wi-Fi 网络?(请以阿拉伯数字作答)
2
26. [单选题] 请参考参赛材料FUNG_CC_mobile.zip回答:这部智能手机曾经连接过以下哪个无线网络?(i) THREE_WIFI;ii) wanchai;iii)iPhone(2);iv) Router)
A. 只有 i)
B. 只有 ii) 和 iii)
C. 只有 ii), iii) 和 iv)
D. 以上皆是
B
27.这部手提手机最早连接(非热点)Wi-Fi的时间是什么?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
2025-04-15 19:29:23
在/var/preferences/SystemConfiguration/com.apple.wifi-private-mac-networks.plist 配置文件中可以看到 Wi-Fi 连接的详细信息
28.承上题,请列出这个连接的服务集识别码(SSID)?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
wanchai
29.承上题,请列出这个连接的登入金钥?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
登入金钥就是登录密码
hellowanchai
在钥匙串中可以看到
30. [单选题] 相册中有两张图像互换格式图片(gif)「IMG_0057.GIF」及「IMG_0062.GIF」,请指出由哪一个软件拍摄?
A. Infltr
B. Discreet
C. Meitu
D. Prisma
A
31. [单选题] 曾经以空投(AirDrop)方式成功传送了文件到另外一个装置,以下哪一个陈述是正确的?
A. 传送了一个图片文件
B. 传送了两个图片文件
C. 传送了一个图片文件及一个文件
D. 传送了一个图片文件及两个文件
C
在iPhone上,有一个存储用户人际互动数据的关键数据库文件var\mobile\Library\CoreDuet\People
导出文件,执行SQL语句筛选一下
SELECT Z_PK,ZBUNDLEID,ZTARGETBUNDLEID FROM ZINTERACTIONS WHERE ZTARGETBUNDLEID IS NOT NULL;
32.原生APP「相片」中,有一个图片文件曾经通过空投"AirDrop"方式成功传送,请指出这个图片文件的文件全名(请包含扩展名,依照参赛材料中的原文作答,注意区分大小写、空格及符号)
IMG_0083.HEIC
查看原生的数据库
SELECT Z_PK,ZFILENAME FROM ZASSET WHERE ZLASTSHAREDDATE IS NOT NULL;
33.承上题,请写出这个图片文件的开始传送的日期及时间?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
2025-04-17 09:10:03
搜索图片
找到时间戳
转换
34.请指出哪一个多媒体文件同时储存在APP「文件」(套件识别码: com.apple.DocumentsApp)及APP「照片」(套件识别码: com.apple.mobileslideshow)中?(请包含扩展名,依照参赛材料中的原文作答,注意区分大小写、空格及符号)
** IMG_0010.MOV **
"文件" APP 的存储目录是
/var/mobile/Applications/group.com.apple.FileProvider.LocalStorage/File Provider Storage/"照片" APP 的存储目录是
/var/mobile/Media/DCIM/100APPLE/
在这两个目录里找相同的文件
比较两个文件的哈希
得出答案
35.请指出在APP「照片」(套件识别码: com.apple.mobileslideshow)中的图片文件「IMG_0079.JPG」是由哪一个APP拍摄?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
Discreet
36.承上题,已知该图片文件是由上述APP所拍摄,并其后储存在APP「照片」(套件识别码: com.apple.mobileslideshow)成「IMG_0079.JPG」,请问该图片的原文件名称? (请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
DiscreetCameraApp_1744790959352.png
在火眼中跑完其他应用
看到一张相同的图片
37.承上题,请指出原文件的建立时间?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
2025-04-16 16:09:19
38. [单选题] 请指出在APP「照片」(套件识别码: com.apple.mobileslideshow)中,储存多媒体文件「IMG_0014.MOV」与储存「IMG_0016.MOV」之间有没有其他多媒体文件储存到APP「照片」中?
A. 有
B. 没有
C. 有拍摄,但没有储存
D. 无法确认
B
数据库里Z_PK的值在一起
39. [单选题] 承上题(第38题:MOV文件储存),以下哪个陈述是正确描述上一题的答案?
A. 制作多媒体文件「IMG_0015.MOV」时,直接储存到隐藏相册中
B. 制作作多媒体文件「IMG_0015.MOV」时,直接上传到iCloud
C. 制作多媒体文件「IMG_0014.MOV」时用了缩时摄影
D. 制作多媒体文件「IMG_0015.MOV」时名称被更改为「IMG_0016.MOV」
C
40. [单选题] APP「照片」(套件识别码: com.apple.mobileslideshow)中,「IMG_0027.HEIC」的原地理位置信息(WGS84)是?、、
A. (22.2816569, 114.1756115)
B. (22.2826366666667, 114.168503333333)
C. (22.2826216666667, 114.168525)
D. (22.2826216666667, 114.168503333333)
C
导出图片直接看exif信息
41. [单选题] 曾经通过网络浏览器「Safari」下载了多少个图片文件?
A. 1
B. 2
C. 3
D. 4
B
42. [单选题] 多媒体文件「IMG_0004.MOV」曾被修改后再储存成另一个文件,该文件名称是?
A. IMG_0085.mov
B. IMG_0086.mov
C. IMG_0087.mov
D. IMG_0088.mov
A
我们需要先去ZADDITIONALASSETATTRIBUTES表里找一下原始名称是0004.mov的文件,确定其Z_PK,然后再去ASSET找一下现在的
43.曾经通过人工智能聊天APP "POE"查询一个问题,请列出这个问题的完整句子?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
What’s that mean
搜索POE搜到包名
查看数据库
执行SQL语句SELECT * FROM records WHERE record LIKE "%chat_input%"
44.承上题,请指出提问的日期及时间(答题格式: yyyy-MM-dd HH:mm:ss 作答, GMT+8)
2025-04-16 05:50:06
接上题
45.承上题,当时使用的是哪一个机器人?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
gpt4_1_mini
46.承上题,当时的使用者名称是?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
Duncan
SELECT * FROM records WHERE key LIKE "%UG9lVXNlcjoyOTkzNDM5Mzc1%"
47.请指出即时通讯软件"WeChat"的 "WeChat ID"(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
wxid_c9xyspglub7512
火眼直接看
48. [单选题] 承上题(第47题:WeChat ID),这个"WeChat ID"关注了多少个「视频号」?
A. 1
B. 2
C. 3
D. 4
B
这里有140个视频号,明显不是答案
直接右键跳转源文件看数据库
这里的1是关注0是未关注
一共两个
49.请指出即时通讯软件WhatsApp的WhatsApp ID(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
85254974406@s.whatsapp.net
50. [单选题] 即时通讯软件WhatsApp中,封存了下列哪个聊天群?
A. 凤凰VIP会员心得交流群
B. 币淘 群组1
C. Sportsmen
D. Titus Wong Manson Finance
A
封存应该指 Archive 功能, 大陆地区一般常翻译成"存档".
说实话有点恶心,我比赛以为是封群的意思
在火眼的分析结果中可以看到群组列表
右键去看数据库
设置列把其他的过滤掉,可以看到是鳳凰VIP會員心得交流群
51. 即时通讯软件WhatsApp中,总共追踪了多少个频道?(请以阿拉伯数字作答)
19
52. [单选题] 即时通讯软件「WhatsApp」中,下列哪个是群组 "Investors" 的管理员?(i)85254974406@s.whatsapp.net;ii) 85260927726@s.whatsapp.net; iii)85254961408@s.whatsapp.net)
A. 只有 i)
B. 只有 i) 和 ii)
C. 只有 ii) 和 iii)
D. 以上皆是
B
这个题当时纠结了好久不知道群主算不算管理员其实答案就已经告诉群主是管理员了
53.即时通讯软件「WhatsApp」中,群组 "Investors" 的群组ID?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
120363417204753192@g.us
见上题
54.即时通讯软件「WhatsApp」中,「社群」名称是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
We are 3
55. [单选题] 承上题(第54题:WhatsApp社群名称),请指出这个社群的群组图案的哈希值(SHA256格式)?
A. B1A3706C574F81A3EE084FB9509997E06349E86D904D1DC10B879D1D5ED83125
B. B8BA258402925E139CAFBBBBBC809EC160B70BB03DBD4D0F3063F58F69D0B956
C. E43ADC646295BC5011577D4E733B6289D31A5E11ACB45285BE1FF530260DF383
D. 20E64C78F9926548CEEFB1783991A4AD71A6631F3C86002254342E323A898C6A
A
看着这个图片然后去手机文件里找
找到两个,计算一下哈希
只有A
56. 即时通讯软件「WhatsApp」中,找出WhatsApp ID:85254961408@s.whatsapp.net曾经是在而现在已经不在的群组,请指出该群组的名称。(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
Sportsmen
在社群成员里可以看到这个ID是陈民浩
在群聊消息中可以看到陈民浩被踢
比赛选择了比较笨的方法,就是拿陈民浩的手机和这个手机群组做对比,发现没有Sportsmen
57.即时通讯软件「WhatsApp」中,总共出现了多少个「投票」活动?(请以阿拉伯数字作答)
15
直接搜索投票消息
58.承上题,总共在多少个「投票」活动中作出了投票?(请以阿拉伯数字作答)
2
看wiki佬的是说看数据库
看到这句话,这句话上面就是投票消息
可以看到投票消息的 ZMESSAGETYPE 字段的值为 46, 以此进行过滤:
SELECT ZMESSAGETYPE, ZMESSAGEINFO, ZTEXT, ZFROMJID, ZTOJID FROM ZWAMESSAGE
WHERE (ZTOJID = "120363400622997111@g.us"
OR ZFROMJID = "120363400622997111@g.us")
AND ZMESSAGETYPE = 46;
可以看到上述的 3 条投票消息的记录.
ZWAMESSAGEINFO 表中存储着消息的详细信息, 该表的 Z_PK 字段与 ZWAMESSAGE 表的 ZMESSAGEINFO 字段相对应, 该表的 ZRECEIPTINFO 中以 Protobuf 的格式保存着详细的消息信息. 通过 SQL 语句可以找到所有投票消息及其对应的 Protobuf:
用 CyberChef 解码 Protobuf 的 16 进制字符串, 可以看到其中包含的投票记录
大佬还是太权威了
59. [单选题] 即时通讯软件「WhatsApp」中,根据群组「IQ COIN 犯罪计划?」对话内容正在策划哪一种犯罪?
A. 诈骗
B. 抢劫
C. 谋杀
D. 以上都不对
A
这个群聊的聊天记录可以看出来
60.承上题,该群组建立者的WhatsApp ID是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
85254974406@s.whatsapp.net
这里其实有一个更保险的方法就是看社群列表中的群主,因为群主不一定是创立者
61.承上题,该群组的建立时间是什么?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
2025-04-25 16:57:55
见上
梁燕玲手机
62. [单选题] 根据你的分析结果,三人因感情瓜葛内讧因而发生这次袭击事件。你怀疑梁燕玲曾到袭击现场,你将你的发现通知警察。警察扩大现场搜索范围,终于在案发现场附近,发现陈民浩名下的小汽车,车上发现一部智能手机。请你以参赛材料LEUNG_YL_Mobile.zip回答:该手机用作注册iCloud的email?
A. lingleung1502@gmail.com
B. lingleung1502@yahoo.com.hk
C. lingleung1503@gmail.com
D. lingl1502@gmail.com
A
63. [单选题] 参考LEUNG_YL_Mobile.zip,文件IMG_0021.HEIC 所拍摄的相机型号是甚么?
A. iPhone SE (3rd generation)
B. iPhone SE (2nd generation)
C. iPhone 12 mini
D. iPhone XR
A
直接搜索文件,导出看属性
64.参考LEUNG_YL_Mobile.zip,文件IMG_0005.JPG所拍摄的座标(WGS 84)是多少?(请以纬度,经度的顺序及以下格式作答xx.xxxxxx,xx.xxxxxx)
22.337655,114.139441
需要在 Photos.sqlite 中查看
65. [单选题] 参考LEUNG_YL_Mobile.zip,文件IMG_0022.JPG是以下哪种方向拍摄?
A. 不旋转
B. 旋转180度
C. 顺时针90度
D. 逆时针90度
D
查看图片exif信息,看到方向是rotate 90,但是不知道是顺时针逆时针
用IrfanView打开看看,显示right top
66.文件IMG_0022.JPG的建立时间(GMT +08:00)是?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
2025-05-16 11:33:15
exif信息就有,或者火眼图片里直接搜
67.参考LEUNG_YL_Mobile.zip,在WhatsApp 与”85254974406@s.whatsapp.net”聊天对话中,于2025-05-16 11:33:39时的信息所传送的座标(WGS 84)是多少?(请以纬度,经度顺序及以下格式作答xx.xxxxxxxxxxxx, xxx.xxxxxxxxxxxx)
**22.278848726819984,114.29062196271781
****22.2760486602783,114.295440673828 **
看到是这个位置
在位置里可以看到
did平台上的wp是看数据库,先转换时间戳,然后用时间戳来定位
68.参考LEUNG_YL_Mobile.zip,在WhatsApp 与 "85254974406@s.whatsapp.net”聊天对话中,于2025-05-16 11:33:39时的信息所传送的座标(WGS 84)所指的餐厅英文名称是? (请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
Fai Kee Seafood Restaurant
见上题
69.参考LEUNG_YL_Mobile.zip,在WhatsApp 中聊天群组ID 120363401289578356里,于2025-04-29 08:31:02,机主传送了一个PDF 文件,该PDF的内容是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
0xe36D4bCf0132B8Dc7317C2Fb9bfa1845629F6638
直接在文件传输记录里找到这个文件
打开文件后发现是一片空白
很可能是白色字体,改一下颜色就可可以了
70. [单选题] 参考LEUNG_YL_Mobile.zip,在WhatsApp 中聊天群组ID 120363401289578356里,有多少个参加者?
A. 2
B. 3
C. 4
D. 5
B
71. [单选题] 参考LEUNG_YL_Mobile.zip,于2025-04-25 17:11:37 时使用WhatsApp 所拨打的手机号码是多少?
A. 85254962307
B. 85254961408
C. 85254974406
D. 85254993306
C
72. [单选题] 参考LEUNG_YL_Mobile.zip,总共有多少个WhatsApp的通话记录? (包括拨打、接收及未接来电)
A. 4
B. 5
C. 6
D. 7
D
见上题
73. [单选题] 参考LEUNG_YL_Mobile.zip,WhatsApp 聊天群组ID 120363400622997111 的群组名称是?
A. Investors
B. Foodies
C. We are 3
D. Happy Sharing within 3
B
74. [单选题] 参考LEUNG_YL_Mobile.zip,WhatsApp 聊天群组Happy Sharing within 3 于2025-04-17 10:12:34 传送的WGS 84座标是多少?
A. 22.323436345441, 113.276894376508
B. 22.326923370361, 114.168403625488
C. 21.239876452236, 115.925422314543
D. 20.124955642236, 114.168403625488
B
和67题一样,这里就不多说了
75. [单选题] 参考LEUNG_YL_Mobile.zip,Instagram 的版本是?
A. 375.2.0.15.82 (722575504)
B. 376.1.0.14.56 (722575504)
C. 376.1.0.27.82 (722575504)
D. 376.0.0.17.23 (722575504)
C
这题做了之后,就知道11题直接看的版本号不太对了
在文件系统中直接搜索,看到<font style="color:rgba(0, 0, 0, 0.87);">com.burbn.instagram.plist</font>文件,里面有版本号
76. [填空题]参考LEUNG_YL_Mobile.zip,社交媒体软件Instagram 的安装时间? (请以GMT+8时区及格式YYYY-MM-DD hh:mm:ss作答)
2025-04-26 11:50:47
还是刚刚那个文件
转换一下时间戳即可
梁燕玲U盘
比赛的时候只会用xwforensics翻来翻去,赛后看到大佬分享的wp说U盘是一个EFI格式的可启动盘,可以用FTK Imager挂载然后仿真,长见识了
先用FTK Imager挂载
使用管理员权限运行 VMWare,新建一个虚拟机
选择刚刚挂载的磁盘
然后把这个关了
这样就仿真成功了
77.[填空题]跟据你的分析,警察在香港西贡蕉坑,找到一个行李箱,内藏一名女子尸体,身上没有任何身份证明文件,裤袋内搜获一个U盘,根据法医初步检验,死者头部及颈部有明显瘀伤,相信曾发生激烈争执,死因为气管受压导致窒息,死亡时间相信是在2025-05-16 0900时至1000时 。调查人员初步检查这个U盘,没有发现可疑资料,现在交由你进行电子数据鉴定工作。请参考参赛材料LEUNG_YL_USB.E01,回答以下问题,这个U盘里有多少个分区?(请以阿拉伯数字作答)
2
直接放xways里看
78.参考LEUNG_YL_USB.E01,这个U盘里的分区结构是什么?(请以英文大写作答)
MBR
分区报告里可以看到
79.参考LEUNG_YL_USB.E01,以下哪项描述是正确的?(i) U盘的总容量是16GB;ii) 文件系统包括 FAT32、exFAT 和 NTFS;iii) exFAT 分区的容量是 16GB;iv) 分区标签名是 "SanDisk")
A. 只有 i) 和 ii)
B. 只有 i) 和 iii)
C. 只有 ii) 和 iv)
D. 以上皆非
D
i.分区1都27G明显错误
ii.从上图可以看到没有NTFS
iii.从图中可以看到是27.7G
iv.火眼中可以看到exfat分区签名是TIM
80. [单选题] 参考LEUNG_YL_USB.E01,以下哪项描述是正确的?(i) 此U盘曾连接到一台名为 "PC" 的电脑;ii) U盘内存有一个已加密的压缩文件;iii) 已加密的压缩文件的创建日期系 2025-05-15
A. 只有 ii)
B. 只有 iii)
C. 只有 ii) 和 iii)
D. 以上皆是
C
可以看到分区1中有一个zip文件,而且创建日期也对
81.承上题,该压缩文件的解压密码是多少?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
54d#e(nm
WEPE文件夹中有密码,当然如果仿真出来了就在桌面上
82. [单选题] 参考LEUNG_YL_USB.E01,以下哪项描述是正确的?(i) 这是一个可引导U盘;ii) 有一个分区标签名为 "EFI";iii) 卷标日期为 2025-05-15 (UTC +8);iv) 有一个分区的总容量小于 500 MB)
A. 只有 i)
B. 只有 i) 和 ii)
C. 只有 i), iii) 和 iv)
D. 以上皆是
D
i.EFI分区中有boot
ii.技术分析报告中有EFI
iii.火眼中有时间
iv.EFI分区为349.99MB
83.tammy.txt文件的内容是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
due_diligence
方法一:火眼中找到文件WEPE64.WIN,导出文件解压挂载
然后搜索文件
方法二:仿真后桌面上有个txt文件,并且指向目标文件,直接看就行
84.文件“xcontainer”的加密算法是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
**AES(Twofish) **
在压缩包里有一堆vc,提示是要挂载
密钥文件在分区1里
挂载即可
85. [单选题] 分析文档 "xcontainer" 的属性,关于此磁盘镜像,以下哪项描述是正确的?(i) 大小为 4943872 字节;ii) 文件系统是 FAT;iii) 没有嵌入式备份头;iv) 块大小为 128 位)
A. 只有 i) 和 ii)
B. 只有 ii) 和 iv)
C. 只有 ii), iii) 和 iv)
D. 以上皆是
B
i.大小应该是4,943,872
ii.文件系统是FAT
iii.iv.都在挂载后属性里
86. [单选题] WinPE 启动后,系统会自动将核心映像挂载在哪个虚拟机?
A. C:
B. D:
C. X:
D. Z:
C
87. [单选题] 下列哪些 Windows PE 指令在预设环境下无法执行?(i) Powershell;ii) Eventvwr;iii) Hostname;iv) Diskpart)
A. 只有 i) 和 ii)
B. 只有 iii) 和 iv)
C. 只有 i), ii) 和 iii)
D. 以上皆是
C
一条一条指令试
88. [单选题] 必须包含哪个文件,才能启动 Windows PE环境?
A. WEPE64.wim
B. install.wim
C. WinPE.log
D. hiberfil.sys
A
WEPE64.wim占得空间最大,应该是他
比赛其实是问ai的
89. [单选题] 若要判断一个U盘是否为可开机的Windows PE,以下哪些文件必须存在?(i) WEPE64.wim 或 boot.wim;ii) bootmgr;iii) EFI\Boot\bootx64.efi;iv) hiberfil.sys)
A. 只有 ii 和 iv
B. 只有 i), ii) 和 iii)
C. 只有 i) 和 iv)
D. 以上皆是
B
这里学习一下wiki佬
i) WEPE64.wim 或 boot.wim 是 WinPE 的核心映像文件, 必须存在.
ii) bootmgr 是 Windows 启动管理器, 对于传统 BIOS 启动是必须的.
iii) EFI\Boot\bootx64.efi 是 UEFI 启动文件, 对于 UEFI 启动是必须的.
iv) hiberfil.sys 是 Windows 系统的休眠文件, 与 WinPE 没有直接关系.
比赛问ai问出来的
90. [单选题] 这个 WinPE U盘的操作环境 (Operating Environment) 是基于哪一个 Windows 版本?
A. Windows 7
B. Windows 8.1
C. Windows 10 PE
D. Windows 11 PE
C
直接看控制面板
91.根据你综合多项通讯软件的对话记录,浏览记录及资料分析,发现冯子超、陈民浩伙同女子梁燕玲共同做了一宗涉及加密货币投资的诈骗案件,因东窗事发打算携赃而逃。女子梁燕玲负责处理有关清洗黑钱事项,警察相信梁燕玲携带同相关材料逃跑,请你运用电子数据鉴定技巧寻找与加密货币相关的材料,尽快启动冻结程序。参考LEUNG_YL_USB.E01,该U盘盘有一个加密的文件,该文件所用的加密软件名称是?(只需回答软件名称,不需要回答软件版本,(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
VeraCrypt
应该就是刚刚解压出来的加密文件,用vc加密的
92.参考LEUNG_YL_USB.E01,请列出与IQ Coin有关的虚拟钱包的地址(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
**0x548dafDe4B17d7d3C9485E79B3B5018801C7855E **
容器里有一张照片,扫一下就知道了
虚拟货币截图
这题恶心的一点就在于不知道加密货币的压缩包密码,没想到密码是加密货币的地址......
93.承上题,这个钱包属于哪一种加密货币(请以英文大写作答)
BNB
解压完之后可以看到BNB
94.承上题,这个钱包总共有多少次存入记录?(请以阿拉伯数字作答)
1
就一条
95.承上题,存入款项的支账地址是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
0x58A52CcD142bee17D6a643834b217dc663B6b04F
截图只能看到一点点,直接上bscscan,可以看到
96.承上题,这项交易传送了多少BEP-20 IQ Coin?(请以阿拉伯数字依照参赛材料中的原文作答,注意区分大小写、空格及符号和不用标点符号 )
1000000000
97. [判断题] 助记词是由加密货币钱包生成的一系列单词,帮助用户恢复其私钥,助记词通常由12到24个单词组成
A. 正确
B. 错误
A
理论题
98.根据你的信息警察查知这个加密钱包涉及近期一宗巨额诈骗案,请你查出这个钱包余额额度,警察将会进行冻结程序,请指出包含有疑似助记词的文件的希哈值(MD5格式)(请以阿拉伯数字和英文大写作答)
183B8E0C6365FEE834479269141A3F91
容器里还有一个txt文件,里面一看就知道是助记词,直接算md5即可
浙公网安备 33010602011771号