2024美亚杯个人赛
上一次做好像甚至还是2024年,确实是拖了很久很久了,之前也不会写wp,只是在备忘录里打打字,好像也就做了41题,现在重新启动一下,为2025美亚杯备赛一下
我也不知道为什么我竟然会在美亚杯比赛前一天才写这玩意
这两天加起来6小时赶工写完的,太急了,希望美亚个人能拿个名次回来
打开来就这样子,一共是六个检材
比今年的丰富,今年都没有计算机,全都是手机,一堆手机啊,好我们来看看题目
案情简介
2024年8月某日,香港警方接获一名本地女子Emma报案,指她的姐姐Clara失联多天,希望报告一宗失踪人口的案件。现在你被委派处理这宗案件。在处理该案件期间,你在Emma的同意下提取了她手机的资料,并且协助警方对Clara及其丈夫David的电子装备进行取证工作。请分析以下的资料,还原事件经过
检材列表
Emma的iOS手机镜像档案(Emma_Mobile_Image.zip)
Clara的安卓手机镜像档案(Clara_Smartphone.bin)
David的Windows系统计算器镜像档案(David_Laptop_64GB.e01)
David的8GB U盘镜像档案(David_USB_8GB.e01)
David的安卓手机镜像档案(David_Smartphone_1.zip)
David的Windows系统计算器内存档案(RAM_Capture_David_Laptop.raw)
Emma 的手机
本手机为zip格式
具体来说AutoPsy似乎有着强劲的兼容性,可以在这边更快做出来,而这种全是数据库啥的火眼确实不太好用
当然我们直接解压导入然后让它分析ios的话也是没问题的
1. Emma已经几天没有收到她姐姐Clara的消息了,报警失踪,她焦虑地将手机提交给警察,希望能找到线索。警察将手机交给你进行电子数据取证。你成功提取了Emma手机的镜像。请根据取证结果回答以下问题。根据Emma_Mobile.zip,Emma和Clara的微信聊天记录,Emma最后到警署报案并拍摄写有报案编号的卡片,拍摄时的经纬值是多少?
A. 22.451721666667, 114.171853333333
B. 22.451553333333, 114.172845
C. 22.451928333333, 114.170503333333
D. 22.451638333333, 114.16993
这边第一题其实如果把Clara也导进去会方便很多,所以在做这种个人赛的时候我建议是可以都先导入,毕竟是个人赛,关联性会很强,比如2025龙信就强的不行
因为说的是Emma和Clara的聊天记录,我们在Emma的手机里找不到,应该是Clara的也找找看
我们就能很容易地先定位到这一张照片
接下来就可以在Emma手机定位到同样的一张照片,我们知道了是314.pic
直接搜314.pic搜不太到
但是我们也可以搜两人微信聊天内容,快速定位存放聊天记录的数据库位置
定位到是message2.sqlite
然后就可以定位到图片的信息
1 | |
里边有这样子一块UUID——F58B98FE-8010-44B7-8BF7-F23AF15DCFCA
我们搜索一下这个UUID
定位到了Photo.sqlite
于是我们打开看看
先过滤这个UUID
然后找经纬
都是英文啊,搜一下经纬度应该是什么
成功定位
选A
2. 根据Emma_Mobile.zip,2024年8月30日下午两点后Emma共致电Clara多少次?
A. 85
B. 86
C. 87
D. 88
其实我感觉在Clara做方便多了
过滤两个,时间和名称
所以共88个,选D
3. 根据Emma和Clara的微信聊天记录,Clara失踪前曾告诉Emma会到哪里?
A. 到酒店和丈夫David庆祝结婚周年
B. 吃自助餐
C. 约了朋友见面
D. 去旅行
在Clara的手机可以看到她要去酒店和丈夫David庆祝结婚周年
所以是A
4. 参考Emma_Mobile.zip,Emma的iPhone XR内微信应用程序的版本是多少?
这个火眼能直接分析出是8.0.50
5. 参考Emma_Mobile.zip,Emma手机中下列哪个选项是正确的?
A. iOS版本为17.6.1
B. IMEI为356414106484705
C. Apple ID为Emma1761@gmail.com
D. 手机曾经安装Metamask应用程式
A、错
在嵌套证据分析可以看到系统版本,是17.5.1
B、对
IMEI有这行但是没内容
可以直接搜嘛,反正是选择题
确实是IMEI啊,那B正确
C、错
emmaemma.851231@gmail.com才对,C错
D、对
搜包名能搜到,说明有下过
所以是BD
6. 参考Emma_Mobile.zip,Emma手机中Apple ID的注册电子邮箱是多少?
火眼直接能看见
7. 参考Emma_Mobile.zip,在2024年,Emma手机上曾记录的电话卡集成电路卡标识符(ICCID)是多少?
根据上一次更新时间,可以确定2024年的应该是8985200000826445829
8. 参考Emma_Mobile.zip,Emma手机的蓝牙设备名称”ELK-BLEDOM”的通用唯一标识符(UUID)是什么?
直接分析没出,但是有源文件地址
去源文件看看
成功得到UUID
8D13F23C-E73C-6A98-AA4F-16C8D7A5F826
9. 你发现了一些线索,Emma看起来也很可疑,她似乎背负了大量债务。参考Emma_Mobile.zip,Emma手机内Safari浏览记录中网页”https://racing.hkjc.com/"的网站标题是什么?
直接过滤URL
查看标题,是賽馬資訊 - 香港賽馬會
10. 参考Emma_Mobile.zip,Emma向Clara透露什么原因令Emma欠下巨债?
A. 投资孖展
B. 虚拟货币失利
C. 网上赌博
D. 以上皆是
在clara火眼可以直接看到聊天记录
所以三个都干了
选D
11. 参考Emma_Mobile.zip,收债人要求Emma还款数量?
A. 港币$786,990
B. 港币$878,990
C. 港币$786,980
D. 港币$745,330
在iMessage可以看到欠款为786980港币
选C
12. 参考Emma_Mobile.zip,Emma发送了多少张.PNG图片给Clara,证明自己正被人追债?
A. 6
B. 7
C. 8
D. 9
数一下就好了
一共7张,选B
13. 参考Emma_Mobile.zip,Emma用来浏览虚拟货币的网址?
A. Google.com
B. Facebook.com
C. IntellaX.io
D. Yahoo.com
ABD明显是别的网站吧。。。这不是一眼C吗
明显是C啊,还有ETH以太坊痕迹
14. 参考Emma_Mobile.zip的浏览器记录,有多少网址与bet365有关?
A. 3
B. 13
C. 9
D. 12
依旧直接全局搜索bet365
发现只在这两个DB文件里
Bookmarks里有俩
而SafariTabs里只有一个
所以一共3个,选A
15. 你还发现了一些与不当使用他人加密钱包相关的痕迹。参考Emma_Mobile.zip,Emma用了哪些恢复短语(Recovery Phrase)进入David的虚拟货币账户?
A. stock,avocado,grab,clay
B. light,sadness,segment,ancient
C. toe,talk,elder,oil
D. 以上皆是
先搜一下看看
可以定位到这个数据库
明显在聊这个呢,对面应该是Clara
按道理这边应该有一个,但是没有
但确定了是一张两人手机共有的图片
可以在Emma手机里找到这个
所以助记词如上
得到答案选D
16. 参考Emma_Mobile.zip,Emma从David处窃取的虚拟货币的名称是什么?
A. IDFC
B. ICAC
C. INIC
D. IFCC
聊天记录里有照片啊
直接看可以看到是IDFC
17. 参考Emma_Mobile.zip,Clara偷拍的照片中,David的虚拟货币余额是多少?
A. 3266378.99
B. 1044749.22
C. 5022915.66
D. 7822468.44
如上题,选C
18. 参考Emma_Mobile.zip,Emma在偷窃David的虚拟货币前,Emma曾向Clara透露有什么事发生在Emma身上?
A. 中彩票
B. 欠债
C. 升职
D. 失业
偷之前都在说自己欠钱的事儿,所以选B
19. (你查看了Emma手机中的一些照片数字信息,以获取更多与失踪案件的信息)Emma的iPhone XR中”IMG_0008.HEIC”的图像与相片名字为的”5005.JPG” 看似为同一张相片,在数码法理鉴证分析下,以下哪样描述是正确?
A. 储存在不同的.db檔案里
B. 有不同哈希值
C. IMG_0008.HEIC为原图,”5005.JPG”为并非原图
D. IMG_0008.HEIC和名字”5005.JPG”是同一张相片
依旧定位
这边需要注意的是HEIC为iOS和macOS的专有格式
A:储存在同一个DB档案里
B:在 iOS 和 macOS 系统中,默认情况下,使用 HEIC(高效图像格式)存储照片,因为这种格式可以提供更高的压缩率和更高的图像质量。所以通常情况下,HEIC 文件是原始图像,而 JPG 文件是导出的副本。这样子看来,哈希值肯定不一样啊
C:根据B也可以看出,不一样的
D:这个选项在字面上是正确的,但不够准确,因为它未区分文件格式的不同,容易让人误解它们的文件结构和特性相同。(其实文件头什么的都不一样)
所以选BC
20. 参考Emma_Mobile.zip,Emma的iPhone XR中”IMG_0009.HEIC” 的图像显示拍摄参数怎样?
A. iPhone XR back camera 4.25mm f/1.8
B. iPhone XR back camera 4.25mm f/2.8
C. iPhone XR back camera 4.25mm f/2
D. iPhone XR back camera 4.25mm f/1.6
做上题的时候已经定位到那个数据库了
其实都是一个手机,参数按道理也一样
可以看到全都是A
当然了火眼直接搜也是一模一样啊
21. 参考Emma_Mobile.zip,Emma的iPhone XR中相片文件IMG_0009.HEIC提供了什么电子证据信息?
A. 此相片是由隔空投送 (Airdrop)得来
B. 此相片由iPhone XR拍摄
C. 此相片的拍摄时间为2024-08-05 13:38:15(UTC+8)
D. 此相片的拍摄时间为2024-08-06 08:30:52(UTC+8)
B刚刚就看出来了
拍摄时间要看看数据库的时间戳
转化一下
所以选C
22. 参考Emma_Mobile.zip,Emma的iPhone XR内以下哪张照片是实况照片(Live Photos)?
A. IMG_0002.HEIC
B. IMG_0005.HEIC
C. IMG_0004.HEIC
D. IMG_0006.HEIC
其实HEIC都是实况照片的,但是我们要筛选一下视频时间不为0的
ZVIDEOCPDURATIONVALUE!=0
所以选AC
23. 参考Emma_Mobile.zip,手机里有多少张照片是用手机后置摄像镜头拍摄的?
A. 5
B. 6
C. 7
D. 8
这直接就写了back
所以一共是8个,选D
24. 参考Emma_Mobile.zip的通讯记录,MesLocalID 224是什么类的文件?
A. 相片
B. 影片
C. 文件
D. 报表
这边可以看到MesLocalID,224是相片
Clara 的手机
25. 依据你在Emma的手机上找到的照片,你告诉调查员Clara最后的位置是在湾仔的一家酒店。根据你提供的信息,调查员发现Clara在酒店去世,Clara的手机在她的附近,你对Clara的手机进行取证。请根据取证结果回答以下问题。 参考Clara_Smartphone.bin,Clara手机的Android操作系统版本是?
A. 8.0.0
B. 9.0.0
C. 8.1.0
D. 7.0.0
这边直接能看到版本是8.0.0,选A
26. 参考Clara_Smartphone.bin,Clara手机的版本号(Build Number)是什么?
(西电)在 build.prop 文件内. 不同版本的安卓系统文件的位置可能不同, 检材中的位置是 /build.prop
所以我们该去这边找一下
所以版本号为OPR1.170623.026
27. 参考Clara_Smartphone.bin,Clara手机的IMEI号码是多少?
在闲鱼能找到
是351537092934716
28. 参考Clara_Smartphone.bin,Emma的微信账号是?
在火眼直接看
wxid_ltrpgdhvilso22
29. 参考Clara_Smartphone.bin,Clara的第一封电子邮件记录的日期?
A. 2024-07-10
B. 2024-07-18
C. 2024-07-23
D. 2024-07-30
火眼里边翻半天翻不到,得去翻数据库了
去这个包名文件夹的database里看看
第一封是1720640394638949
所以选A
30. 参考Clara_Smartphone.bin,在通讯录中”David”的联系人信息还包括什么?
A. 出生日期
B. LinkedIn
C. 电子邮件
D. 地址
在通讯录找到David
点进这个数据库
可以看到David有两条数据id为2和3
在data可以看到是领英
31. 参考Clara_Smartphone.bin,David和Clara之间通话次数?
A. 0
B. 8
C. 10
D. 24
直接在火眼通讯记录看到是8次
所以选B
32. 参考Clara_Smartphone.bin,Clara在Chrome浏览器搜索中哪天使用了关键词”popmart 炒价”?
A. 2024-08-10
B. 2024-08-15
C. 2024-08-20
D. 2024-08-25
说的很清楚,我们直接搜就好,这边还是繁体,直接搜英文方便一点
所以是B
33. 参考Clara_Smartphone.bin,2024年7月30日共收到多少封电子邮件?
A. 2
B. 3
C. 4
D. 5
直接过滤时间
所以有4条
选C
34. 参考Clara_Smartphone.bin,Clara的Gmail账号是?
美亚的题目都说的蛮清楚的,Gmail都说了
所以是** **clara.ccc0807@gmail.com
35. 参考Clara_Smartphone.bin,Clara的手机安装了哪个版本的WhatsApp?
A. 241676000
B. 241676001
C. 241676004
D. 241676007
这边列隐藏了,记得开一下就好了
241676004,选C
36. 参考Clara_Smartphone.bin,Clara的WhatsApp账号?
也是直接就能搜到,没什么好说的
37. 参考Clara_Smartphone.bin,Clara的手机在什么时候安装了小红书APP?
A. 2024-07-10
B. 2024-07-16
C. 2024-07-20
D. 2024-07-30
直接看
所以选B
38. 参考Clara_Smartphone.bin,2024年8月21日David的虚拟貨幣钱包里有多少IDFC?
A. 5022915.66
B. 3212695.22
C. 210355633.91
D. 以上皆不是
和第17题有啥区别吗?
选A
39. 参考Clara_Smartphone.bin,Clara注册的微信账号验证码是多少?
一般验证码是发短信的
945025
40. 参考Clara_Smartphone.bin,David为庆祝结婚周年纪念预订了哪家酒店?
所以是Conrad Hong Kong
41. 参考Clara_Smartphone.bin,哪个数据库文件存储了微信消息?
微信消息基本上都在这边,问的好直接啊
EnMicroMsg.db
42. 参考Clara_Smartphone.bin,哪个数据库文件(.db)存储了WhatsApp訊息?
直接跳转到源文件,可以找到是这个msgstore.db
43. 参考Clara_Smartphone.bin,Clara在2024年8月29日拍了多少张照片?
A. 0
B. 3
C. 4
D. 5
相机一共就没几张照片,过滤时间就好,这边比较特殊,过滤名字也能出
都是3张
选B
44. 参考Clara_Smartphone.bin,Emma在2024年8月6日通过微信发送了多少张照片给Clara?
A. 0
B. 1
C. 5
D. 12
直接看时间,发现一张都没有
所以选A
45. 参考Clara_Smartphone.bin,照片20240829_144717.jpg的拍摄相机型号是什么?
先导出看看属性
得到答案是LG-H930
46. 参考Clara_Smartphone.bin,20240821_121435.jpg的储存路径是什么?
A. /media/0/DCIM/Camera
B. /media/1/DCIM/Camera
C. /media/00/DCIM/Camera
D. /media/11/DCIM/Camera
依旧索引搜索
所以在A
47. 参考Clara_Smartphone.bin,2024年8月20日有多少张截图?
4张
48. 参考Clara_Smartphone.bin,2024年8月22日被删除微信消息的类型是?
A. 照片
B. 视频
C. 文本
D. 以上都不是
根据聊天记录
是我们找助记词的时候发现缺失的那张助记词图片
所以是A
David 的手机
49. 你在查看Clara的手机镜像后,确定Clara是David的妻子,调查员通过查询酒店预订记录确认了这一点。他们现在定位David的住所,以进行进一步调查。你首先分析David的手机。参考David_Smartphone_1.zip,根据Contents.db,David手机接收了通讯软件”Telegram”的验证短信,该验证码是多少?
依旧短信找验证码
是84298
50. 参考David_Smartphone_1.zip,David把手机设置为个人热点,请找出个人热点的密码。
火眼直接能看见
wdfj5674
51. 参考David_Smartphone_1.zip, David 手机曾连接名为”MTR Free Wi-Fi” 的Wi-Fi 。(判断)
有连接记录,所以确实连结过,正确
这是香港地铁的免费 WiFi
52. 参考David_Smartphone_1.zip,根据com.tencent.mm_preferences.xml,David的手机最后登录微信的微信ID是?
先直接搜到定位
一本正经翻的话在这边
但微信ID不就是这个吗
wxid_rni3m2o8ngxe22
53. 参考David_Smartphone_1.zip,请指出哪一张图片是于2024年8月28日利用屏幕截取的。
依旧查时间
所以是这一张
定位到源文件位置
54. 参考 David_Smartphone_1.zip,根据Contents.db,David手机的型号(Model)?
先定位,之后看看内容
Model是SM-G9500
55. 参考 David_Smartphone_1.zip的Contents.db,David所使用的手机SIM 卡的序号?
跟上一题一个地方,说的是序列号,那就是这个8985200000827530728
56. 参考 David_Smartphone_1.zip,David手机安装了应用程序”MetaMask”。根据persist-root中,”MetaMask”钱包内有多少个账号?
一堆根据什么什么,看来明天索引要快点建好
看内容是个json文件
定位一下account
发现是四个账号
1 | |
57. 参考 David_Smartphone_1.zip,根据persist-root中,何时从应用程序”MetaMask”发送虚拟货币至以下地址: 0X10A4F01B80203591CCEE76081A4489AE1CD1281C
A. 2024-08-11 1249(GMT+8)
B. 2024-08-14 1658 (GMT+8)
C. 2024-08-14 1659 (GMT+8)
D. 2024-08-16 1724 (GMT+8)
看的不太方便,分行看看
这边定位地址之后定位time
可以看到时间戳
1723625933421
所以选B
58. 参考 David_Smartphone_1.zip,David曾利用手机应用程序”MetaMask”三次发送虚拟货币失败。根据persist-root,发送虚拟货币失败的原因是什麼?
A. 网络连接问题
B. 应用程序权限被拒
C. 接收地址错误
D. 手续费不足
确实是三次失败
这边直接看看
所以失败的原因是手续费不足
选D
内存取证
内存取证我们去用lovelymem做,老好用了
59. 你根据易失性(Volatility Level)优先次序,进行内存取证分析David的笔记本电脑。参考RAM_Capture_David_Laptop.RAW,以下哪一个不是程序”firefox.exe”的PID?
A. 9240
B. 8732
C. 5260
D. 3108
直接进程分析,过滤名字
所以不是PID的是C
60. 参考RAM_Capture_David_Laptop.RAW,汇出PID:724的程序,其哈希值(SHA-256)是?
程序是lsass.exe
这边可以提取出来,也可以直接去他笔记本里翻
362AB9743FF5D0F95831306A780FC3E418990F535013C80212DD85CB88EF7427
根据西电的研究,这边存在歧义
61. 参考RAM_Capture_David_Laptop.RAW,哪一个是执行PID:724程序的SID?
A. S-1-1-0
B. S-1-2-0
C. S-1-5-21-1103701427-1706751984-2965915307-1001
D. S-1-5-21-1103701427-1706751984-2965915307-513
在SID里边看看
所以明显是A
62. 参考RAM_Capture_David_Laptop.RAW,账户David Tenth的NT LAN Manager的哈希值(NTLM Hash)?
在hashdump可以看到
虽然没有对齐,但是也能看懂吧,最后一列是NThash
e14a21fefc5dd81275bb87228586cffc
David 的 U 盘部分
63. 在取证中,你发现D盘被BitLocker加密。U盘上可能有一些线索,你对U盘进行了取证。参考David_USB_8GB.e01,David 的U盘文件系统的格式?
A. NTFS
B. FAT32
C. exFAT
D. ReFS
火眼能直接看分区详情,是new technology file system
所以选A
64. 参考David_USB_8GB.e01,David的U盘文件系统中,每簇(Cluster)定义了多少字节(Byte)?
A. 128
B. 256
C. 512
D. 1024
这个得放到X-ways看看了
直接写了512
选C
65. 参考David_USB_8GB.e01,David的U盘中有多少个已删除的文件?
A. 1
B. 2
C. 3
D. 4
R-STUDIO翻半天就看见一个jpg被删了
先恢复一下,肯定有用
这题选A
66. 承上题,参考David_USB_8GB.e01,已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量是多少?
A. 16
B. 32
C. 64
D. 128
Datarun Offset 是 MFT 文件项中, Datarun Header(flag: 0x80 00 00 00)起始位置到 Datarun 的 Offset.
所以我们去$MFT文件找
已删除文件就是上一题那个
先在这边定位到这个删除文件
定位之后看下边
22这边就是data runs的区域
所以前边就是
数一下Datarun Header(flag: 0x80 00 00 00)起始位置到 Datarun 的 Offset
得到答案为64
选C
67. 承上题,参考David_USB_8GB.e01,已删除文件的第一个运行的十六进制值(低端字节序 Little-Endian)是多少?
A. 0x4C3F0DB522
B. 0x4C3F0D22B5
C. 0x224C3F0DB5
D. 0x3F4C0DB522
小端序,反着读,所以是A
68. 承上题,参考David_USB_8GB.e01,已删除的文件的实际大小(单位:字节 Byte)是多少?
依旧已删除文件
实际文件大小为1796608
69. 承上题,参考David_USB_8GB.e01,已删除文件的第一个运行偏移量(Run Offset)是多少?
刚刚已经看见了Data run
所以这边的Offset就是0x4C3F
换成十进制就是19519
70. 承上题,参考David_USB_8GB.e01,已删除的文件的第一个运行的簇运行长度(Run Length)是多少?
A. 2408
B. 3509
C. 3128
D. 4021
如上题,是0x0DB5
所以是B
71. 承上题,参考David_USB_8GB.e01,已删除文件的图像文件像素值(Pixel)是多少?
A. 1000 x 2000
B. 2000 x 3000
C. 3000 x 4000
D. 4000 x 5000
先导出来看看属性
直接能看见分辨率
所以选C
72. 承上题,参考David_USB_8GB.e01,已删除图像文件是用哪个品牌和型号的手机拍摄?
A. SAMSUNG SM-A425
B. SAMSUNG SM-A4580
C. SAMSUNG SM-A4260
D. SAMSUNG SM-A5G
依旧直接看属性
所以选C
73. 在U盘中,你还发现了一个exe文件,但它被锁定,可能需要进行反编译以便进一步检查。参考David_USB_8GB.e01,使用x64dbg的字符串搜索(String Search)功能,在Bitlocker.exe中查找哪个字符串最有可能与显示的登录状态有关?
A. Welcome
B. Invalid input
C. Login Successful!
D. Access Denied
好强的引导性,吓哭了
exe明显是这个文件,我们导出然后看一眼
其实扔IDA是一样的吧
这边可以看到很明显是这一句
选C
74. 承上題,当找到控制登录成功的逻辑代码时,如何修改汇编代码(Assembly Code)来绕过检查,达到任意输入,都成功登录的效果?
A. 修改 CMP 指令, 使其总是比较相等
B. 修改 CMP 指令后的跳转指令 JNE 为 nop, 使跳转指令失效
C. 修改 MOV 指令, 使其移动错误的数据
D. 修改 TEST 指令后的跳转指令 JNZ 为 NOP, 使跳转指令失效
这边明显是在拿v9判断
改成汇编看看,明显只要把这边的TEST指令后的JNZ给nop就可以绕过了
选D
75. 参考David_USB_8GB.e01,Bitlocker.exe的正确用户登录名称是?
不是很难的逆向
这边的逻辑就是在拿这两个字符串分别做比对,跟这俩输入的一样就可以成功登录
肯定是先判断的用户名再判断密码的啊
所以用户名是david1337,密码是1337david
76. 参考David_USB_8GB.e01,Bitlocker.exe的正确登录密码是?
就跟上一题一样,密码是1337david
77. 参考David_USB_8GB.e01,当Bitlocker.exe程序尝试显示登录结果(成功或失败)时,使用了哪一种途径来决定显示的消息?
A. 通过检查每个寄存器的值来决定跳转到不同的汇编代码区段
B. 通过调用硬编码的内存地址来显示特定的消息框
C. 通过堆栈中的返回地址来确定要显示的消息
D. 通过逐位操作来修改显示消息的字符串内容
这边都是在检查寄存器的值然后决定的,所以选A
这个exe分析有点意思啊
78. 参考David_USB_8GB.e01,决定能否解密Bitlocker Key 的字节的内存偏移量(Memory Offset)(相对于基址”bitlocker.exe”)是什么?
决定条件是这个,我们拉到最上边可以看到基址,所以这个地址减去基址就是内存偏移量了
79. 参考David_USB_8GB.e01,决定能否解密Bitlocker Key 的内存偏移量(Memory Offset)后,应该如何利用它来进行解密?
A. 将该偏移量处的值改为 1 (true),以启用解密过程
B. 将该偏移量处的值改为 0 (false),以重新初始化加密过程
C. 将该偏移量的内容保存到档中以作解密过程中的key
D. 清空该偏移量的内存并强制退出程序
只要把这边改成1就好了啊
所以选A
80. 参考David_USB_8GB.e01,解密后的Bitlocker Key是?
A. 299255-418649-198198-616891-099682-482306-642609-483527
B. 745823-918273-564738-290183-475920-182736-594827-162839
C. 539823-847291-094857-194756-382910-472918-482937-120984
D. 829384-192837-475910-298374-019283-847362-564738-293847
这边很多解法,或许是为了辅助下边的题目完成,所以这一题其实有很多很多解法
1,像79说的一样patch
2,填账密
3,其实就是刚刚那张照片修复好就好啦
4,四个选项全部试一遍哪个成功就是哪个
所以选A
David 的笔记本电脑
81. 到目前为止,你已经获得了BitLocker密钥以解密D盤,通过对David笔记本电脑D盤的分析,并发现了一些重要信息。你现在将继续调查未加密的C盤。 参考David_Laptop_64GB.e01,分区格式(Partition)是?
A. MBR
B. GPT
C. RAW
所以是GPT,选B
Xways也能直接看
82. 参考David_Laptop_64GB.e01,該e01成功提取的日期和时间是?
A. 2024-09-05 15:55:28
B. 2024-09-02 11:52:31
C. 2024-09-03 14:37:28
D. 2024-09-03 12:16:49
没有答案,这题有问题
2024-09-09 16:37:36
83. 参考David_Laptop_64GB.e01,最后登录的用户是谁?
这也只有一个登录成功的用户啊
David Tenth
84. 参考David_Laptop_64GB.e01,用户配置的时区是?
A. Australian Central Time
B. China Standard Time
C. New Zealand Standard Time
D. Nepal Time
UTC+8,中国时区
选B
85. 参考David_Laptop_64GB.e01,David的笔记本电脑曾經连接了多少个设备?
A. 1
B. 2
C. 3
D. 4
有3个,选C
86. 参考David_Laptop_64GB.e01,David的笔记本电脑上的Firefox浏览器安装了哪些扩展工具?
打开虚拟机看看,就一个Metamask
也可以直接看extension文件
87. 参考David_Laptop_64GB.e01,根据用户配置文件中的.lnk文件,最后访问的文件名称是?
A. 下載
B. export-token
C. RAM_Capture_DaviD
D. 本機磁碟(E) (2)
访问时间降序一下
可以看到是export-token
选B
88. 参考David_Laptop_64GB.e01,David的笔记本电脑曾經连接了多少个不同的Wi-Fi?
A. 1
B. 2
C. 3
D. 4
就连结过一个,选A
89. 承上题,参考David_Laptop_64GB.e01,该Wi-Fi网络的名称(SSID)是?
明显名称是ErrorError5G
90. 参考David_Laptop_64GB.e0,该电脑的Windows操作系统的安装日期是什么?
A. 2024-07-31 09:55:37 UTC+8
B. 2024-08-01 13:10:15 UTC+8
C. 2024-07-31 10:18:26 UTC+8
D. 2024-08-01 14:43:55 UTC+8
基本系统信息,选C
案件综合分析
91. 通过对David 笔记本电脑的电子数据取证和痕迹分析,你了解到David是一名cryptocurrency专家。(假設虚拟貨幣International Digital Forensics Coin (IDFC)面值是每1個IDFC等如1-HKD IDFC Token Address: 0x56E7A6dd8aA1c78ba77944C94c43054978E89b7b 區塊鏈: Binance Smart Chain) 下列那个网站能够找到区块链:Binance Smart Chain的交易记录?
A. binance.com
B. bscscan.com
C. etherscan.io
D. blockchain.com
叫都叫BSC了,很有可能是B
在历史记录看看
看出来确实是B
92. 参考Emma_Mobile.zip中的微信聊天记录分析,Emma用什么方法盜取David的IDFC?
A. Emma经Clara盗取了David虚拟货币钱包的私匙(Private Key)
B. Emma经Clara盗取了David虚拟货币钱包的公匙(Public Key)
C. Emma经Clara盗取了David虚拟货币钱包的回复匙(Recovery seed)
D. Emma盗取了David电话
确实是综合分析嗷,开始走剧情路线了
Emma和Clara俩人聊半天助记词了
肯定选C啊
93. 根据David,Emma及Clara的微信对话,David在什么日期时间发现IDFC被盗?
A. 2024-8-22 18:06
B. 2024-8-28 09:14
C. 2024-8-28 09:57
D. 2024-8-29 15:52
其实我感觉是从这个时候就开始发现的
最贴切的选B
94. 参考Emma_Mobile.zip中的微信对话分析,Emma为什么盜取David的IDFC?
A. Emma为了买名贵手表
B. Emma为了赌钱
C. Emma为了炒卖虚拟货币
D. Emma为了还财务公司的欠债
根据剧情,这Emma欠了一屁股债,肯定是还债啊
选D
95. 参考David_Laptop_64GB.e01及David,Emma及Clara的微信对话,分析IDFC的交易记录,Emma盜取了David虚拟货币钱包内哪个地址的IDFC?
A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c
B. 0x152c90200be61a540875f2a752c328bd19dbfb87
C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220
D. 0x70544880875fe907cee383873ca58da23378caa5
这边需要我们根据助记词恢复钱包地址
stock avocado grab clay light sadness segment ancient toe talk elder oil
本地的助记词转换器
得到应该是A
96. 根据David,Emma及Clara的微信对话及IDFC的交易记录作分析,Emma总共盗取了David多少IDFC?
A. 90,000 IDFC
B. 170,000 IDFC
C. 9,300,000 IDFC
D. 9,390,000 IDFC
余额就那么点,不可能是CD的,在AB里选
87题的答案那边其实有数据
根据钱包地址和被盗时间,可以确定应该是这一笔,90000IDFC,选A
97. 根据Emma及Clara的微信对话,下列哪些地址是由相同的恢复短语(Recovery Seed)所生成?
A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c
B. 0x152c90200be61a540875f2a752c328bd19dbfb87
C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220
D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042
95恢复的时候可以看到很多的派生地址
这边第一第二第三个就是答案ABC,所以这题是ABC
98. 根据IDFC的交易记录作分析,总共有多少次IDFC交易流入地址0x10a4f01b80203591ccee76081a4489ae1cd1281c?
A. 0
B. 1
C. 2
D. 3
就两次,选C
99. 参考David_Laptop_64GB.e01,在David计算机的D盘内有一张图片,根据图片上的信息,找出David另一个虚拟货币钱包的恢复短语(2)(Recovery Seed),下列哪一个单词是在此恢复短语(2)(Recovery Seed)内?
A. fall
B. bread
C. brain
D. dove
恢复的盘里只能看见infant fragile
这个藏在了内存文件里,这真的是能俩小时想到搜到的吗,主要是这是倒数第二题,我估计没时间了做到这边的话已经
可以看到助记词infant fragile garlic bracket stove blade stick dove aerobic spin term educate
所以是dove
选D
100. 承上题,参考David_Laptop_64GB.e01,在IDFC的交易记录中,下列哪些地址由上述恢复短语(2)(Recovery Seed)所生成?
A. 0xb2e3dbea311511ec5bda3e85e061f15366f888a6
B. 0xe90ad3f80e39e83b533eef3ed23c641ec51089c6
C. 0x90f73497E4446f6Cf9881213C32D6af66d799fE5
D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042
其实跟95题的做法是一样的
所以答案是CD
感觉是这个比赛的个人赛选择题实在太多了,所以有很多邪修做法,建议是实在不行可以最后留15分钟进行猜测,静下心认真猜应该能猜对不少题,这个蛮好的