2025美亚杯-资格赛(全)
终于写完啦!完结撒花!
运气不错,拿了个人赛学生组冠军,总榜亚军,但是其实还和各位师傅差多了,纯是运气使然罢了
潜心好好学习了
感谢西电WP和LiuGe,不然好多都做不来()
在开始本次的取证前,必须先对苹果备份的密码进行爆破,否则是无法被分析的,不管是梁的手机还是陈民浩的手机都需要我们先进行密码爆破才行,如下图
在此目录下找到Manifest.plist文件后扔到passwarekit进行爆破就好了
一般的苹果备份密码都是4或6位数字,因此会比较容易被爆破出来,记得先自定义设定好这一步
并且我们在火眼里是可以尝试的,因此我们还可以进行猜测,备份的时候密码是必填的,所以有的人懒就会直接默认0000或者1234,这边的几个检材都是这样子
像这样子爆破出密码后填入火眼,即可一键取证了,这是最难也是最重要的一步
(其实这边我在上周就做过,所以在比赛开始前就已经做好了爆破,我想这也是很重要的优势)
1.请你使用CHAN_MH.zip检材回答以下问题这个智能手机是什么操作系统?
A. iOS 17.1.1
B. iOS 17.2.1
C. iOS 17.3.1
D. iOS 17.0.1
问操作系统版本号
爆破出密码后可以直接火眼看见,一把梭
选A
2.在这个手机中,有多少组国际移动设备识别码(IMEI)号码? (请以阿拉伯数字作答)
问IMEI,这边我不知道为什么MEID也算在官方的wp里
毕竟问的是国际移动设备识别码,又不是移动设备识别码,我认为MEID是不算的
火眼出来有点问题,其实不止1个
我们在这个信息文件里可以直接搜索InternationalMobileEquipmentIdentity
是357328098205226和357328099153748
3.承上题,以下哪一个才是正确的国际移动设备识别码(IMEI)号码?
A. 357328098205226
B. 357328097205226
C. 357328096205226
D. 357328095205226
上边一题刚刚做出来,这一题也是意义不明啊,给上一题拿来蒙的吗
选A
4.请指出最后使用的使用者身分模组(SIM)的集成电路卡识别码(ICCID)
A. 89852122206020998419
B. 89852122205020998419
C. 89852122204020998419
D. 89852122203020998419
依旧基础火眼题,其实这些的难点都只在于爆破备份密码
选A
5.请指出最后使用的Apple ID是多少?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
最后登录的是这个
6.蓝牙模组中的蓝牙地址是多少?(请以下格式作答:xx:xx:xx:xx:xx:xx)
火眼看不见,需要我们在设备信息里翻找
搜索Bluetooth即可
得到地址为f8:38:80:bb:f5:28
7.这个智能手机曾经启动「个人热点」分享网络,请问他的「热点」名称?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
对于iOS来说是不支持本身改热点名的,热点名就是和设备名保持一直
所以我们只要找设备名就好啦
就是iPhone
8.这个智能手机没有连接过以下哪一个服务集标识符(SSID)
A. Hongn Home
B. CMHK
C. 1010 free wifi
D. ErrorError
SSID其实就是名字,没那么高端,这边的WiFi连接记录智能看出CD是错的,但是AB无法判断
然而下一题说CMHK的连接时间,那很明显不可能是B了
选 A
9.请指出首次连接服务集识别码(SSID)名称为” CMHK”的无线区域网络(Wi-Fi)的日期及时间(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
美亚自己都没答案,那我还说啥了,出错了吧
10.安装了以下即时哪个通讯软件?
i) WhatsApp
ii) WeChat
iii) WhatsApp Business
iv) QQ
A. 只有 i) 和 ii)
B. 只有 i), ii) 和 iii)
C. 只有 i), ii) 和 iv)
D. 以上皆是
在应用列表处只能查询到这俩应用被装,所以选A
11.承上题,请指出即时通讯软件”WhatsApp”的版本(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
这边注意要先设置列,展示版本号
接下来就能看到了,这边写版本号是731647702.0
然而美亚官方wp说这个不对,不是版本号
真正的版本号应该去这个软件的配置文件找,去var\mobile\Applications\group.net.whatsapp.WhatsApp.shared\Library\Preferences\
找group.net.whatsapp.WhatsApp.shared.plist
得到版本号应该是2.25.14.79
(好像确实是更像,这样子看来似乎不能盲目相信火眼解析,但是毕竟时间有限,这样子直接看火眼还是方便,总不能每一道都看配置文件手搓吧)
12.陈民浩的手机中,总共安装3个文件传输软件,封包名称分别为com.apple.Sharing.AirDropUI、com.lenovo.anyshare、com.estmob.paprika,其中有哪一个软件曾经用来传送/接收文件功能?
A. com.apple.Sharing.AirDropUI
B. com.lenovo.anyshare
C. com.estmob.paprika
每一个都在文件这边尝试搜索一下
会发现AirDropUI搜不到,anyshare没有收到的文件记录
只有C是有发收记录的
所以本题选C
13.承上题,与其有传送/接收过资料装置的装置ID是多少? (请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
上一题已经确定了是包名为com.estmob.paprika的软件,这种线下从来没遇到过的小众软件只能翻
在Library文件夹下,我们能发现存在一个realm的数据库文件
而且名字很像跟传输有关的样子
那想看这种realm文件,还得下一个realm studio,当时没做出来,不然能得好多分
这边还有一个问题,就是必须把这个只读给去掉,否则无法打开realm studio
打开后界面如图,上来就是设备id
所以本题答案为5402313593439
14.承上题,这个装置名称是?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
属于就是想给打开realm的智者多加点分,就在刚刚的右边
Samsung SM-G930F
15.承上题,本机装置的装置ID是多少?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本机ID就是这个手机的设备ID呀
我们直接去看看这个软件里边的属性表plist文件就好
直接定位device_id就好
所以答案为3836403626142
16.承上题,陈民浩的手机(CHAN_MH_mobile.zip)是传送方或是接收方?
A. 传送方
B. 接收方
C. 传送及接收方
这边这题得做完17和18才知道,从18可以知道,这些照片都是接收的
并且全来源于一个手机
除了这两张没别的了
说明陈民浩只是个接收方
选B
17.根据传送档案的名称,判断是以下哪一类型? (单选)
A. 屏幕截图
B. 手机拍摄影片
C. PDF文件
D. zip压缩文件
在数据库里
我们可以看到有一列就是说这个传输文件名儿
看后缀全是jpg,而且是屏幕截图Screenshot
搜一下也能搜到
所以选A
18.承上题,接收至哪一个装置?
A. CHAN_MH_mobile.zip
B. blk0_sda.bin
C. FUNG_CC_mobile.zip
D. LAM_KH_Mobile.zip
E. WONG_CW_mobile.zip
搜一下文件发现定位到这边来了,两张照全在这边,所以是B
19.承上题,传送方是通过此文档传输软件的哪个模式作出传送?
A. SEND_PARTIALLY
B. SEND_PAPRIKA
C. SEND_DIRECTLY
D. SEND_BYCLOUD
E. SEND_BLUETOOTH
这边问的是传送方了,也就是跟上一题有关,我们需要前往blk0_sda.bin寻找
在这个路径下我们成功找到了主数据库
在transfer history一栏我们成功找到了传输mode,所以是C
20.从来没有安装以下哪个网络浏览器?
A. Safari
B. Chrome
C. Firefox
D. edge
直接一个个过滤搜索就好,结果发现除了A都没有
所以这题选BCD
21.承上题,网络浏览器Safari有多少个书签(Bookmark)记录?(请以阿拉伯数字作答)
火眼一把梭
所以一共有9个书签
22.承上题,曾经通过Safari浏览器用下列哪一个字词进行过搜索?
A. 非法处理尸体最高刑罚
B. escape room hong kong
C. cypto wallet
D. 非法处理尸体
我们直接在Safari对每个关键词都进行过滤搜索就好
发现就D没发过,选ABC
23.有多少个图片文件曾经储存到iCloud?(请以阿拉伯数字作答)
火眼直接看看不见iCloud
我们必须定位到文件位置
在\var\mobile\Library\Mobile Documents\comappleCloudDocs这边
打开后发现有两张图片文件
本题为2
24.相册中有多少张图片是通过屏幕截图功能取得?(请以阿拉伯数字作答)
火眼可以分类出屏幕快照
所以本题是15张
25.请参考参赛材料FUNG_CC_mobile.zip回答以下问题这部智能手机连接过多少个 Wi-Fi 网络?(请以阿拉伯数字作答)
这边这个手机倒是不用爆破,当然直接爆破会了也没啥难的
就连接过俩WiFi
答案是2
26.这部智能手机曾经连接过以下哪个无线网络?
i) THREE_WIFI
ii) wanchai
iii)iPhone(2)
iv) Router
A. 只有 i)
B. 只有 ii) 和 iii)
C. 只有 ii), iii) 和 iv)
D. 以上皆是
只有2和3,选B
27.这部手提手机最早连接(非热点)Wi-Fi的时间是什么?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
非热点WiFi,这边iPhone明显像热点,所以我们要找的其实是wanchai
需要定位系统存储wifi信息的备份内容
在\var\preferences\SystemConfiguration里边找一下
成功找到文件,打开定位wanchai
最早连接在2025-04-15 11:29:23
注意是GMT +8时区,所以是2025-04-15 19:29:23
28.承上题,请列出这个连接的服务集识别码(SSID)?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
SSID就是这个WiFi的名字
名字就是wanchai而已
29.承上题,请列出这个连接的登入金钥?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
登入金钥就是这个网络的密码
在火眼的钥匙串这边可以直接看到密码就是hellowanchai
30.相册中有两张图像互换格式图片(gif)「IMG_0057.GIF」及「IMG_0062.GIF」,请指出由哪一个软件拍摄?
A. Infltr
B. Discreet
C. Meitu
D. Prisma
直接在索引搜索中进行搜索就好
定位过去,是这个软件,所以这题选A
31.曾经以空投(AirDrop)方式成功传送了文件到另外一个装置,以下哪一个陈述是正确的?
A. 传送了一个图片文件
B. 传送了两个图片文件
C. 传送了一个图片文件及一个文件
D. 传送了一个图片文件及两个文件
这边必须得看冯子超的空投记录了,但是直接看火眼分析看不出
在iPhone上,其实有一个存储用户人际互动数据的关键数据库文件var\mobile\Library\CoreDuet\People
我们定位到这个地方
发现有一个数据库
打开看看
发现信息特别多,需要筛选出所谓空投
我们直接导出到DB,然后写mysql语句查询一下
1 | |
可以看出来选C,传送了一个图片文件及一个文件
32.原生APP「相片」中,有一个图片文件曾经通过空投”AirDrop”方式成功传送,请指出这个图片文件的文件全名(请包含扩展名,依照参赛材料中的原文作答,注意区分大小写、空格及符号)
这边我们就需要翻阅原生(原神?)APP的相片数据库了
不是很难定位到
我们直接写MySQL语句里写语句查询
大概就是从 ZASSET表中,由 ZLASTSHAREDDATE字段不为空来判断,找出所有曾经被共享过的资源,并列出它们的主键ID和文件名
1 | |
所以是IMG_0083.HEIC
33.承上题,请写出这个图片文件的开始传送的日期及时间?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
写mysql语句也行,当然也可以直接在文件里边进行过滤然后直接搜索出来
所以是766545003,我们放到Dcode转化一下时间戳
注意时区,所以最后应该是2025-04-17 09:10:03
34.请指出哪一个多媒体文件同时储存在APP「文件」(套件识别码: com.apple.DocumentsApp)及APP「照片」(套件识别码: com.apple.mobileslideshow)中?(请包含扩展名,依照参赛材料中的原文作答,注意区分大小写、空格及符号)
只需要去这两个地方都看一眼就好了
/var/mobile/Applications/group.com.apple.FileProvider.LocalStorage/File Provider Storage
先看看文件存储地,确定好多媒体文件之后去照片找就可以了
多媒体文件主要是这仨,我们去照片那个数据库里边看看有哪个
发现IMG_0008.heic在里边
而IMG_0010.MOV也在里边
那我怎么知道是哪个(???)
我是偏向于这一题其实两个都对
35.请指出在APP「照片」(套件识别码: com.apple.mobileslideshow)中的图片文件「IMG_0079.JPG」是由哪一个APP拍摄?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
索引搜索一下
直接转过去就能看到应该在Discreet里边
36.承上题,已知该图片文件是由上述APP所拍摄,并其后储存在APP「照片」(套件识别码: com.apple.mobileslideshow)成「IMG_0079.JPG」,请问该图片的原文件名称? (请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
所以我们知道了原APP是Discreet
我们接下来就去这软件里边看看,但是找不到包名也找不到数据库具体在哪里
尝试搜索,发现了两张图片
比较后是这一张与刚刚的一模一样
所以答案是DiscreetCameraApp_1744790959352.png
37.承上题,请指出原文件的建立时间?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
这边只有一个时间,没出现创建时间,推测修改时间就是建立时间(我觉得有点扯其实)
所以答案就是2025-04-16 16:09:19
38.请指出在APP「照片」(套件识别码: com.apple.mobileslideshow)中,储存多媒体文件「IMG_0014.MOV」与储存「IMG_0016.MOV」之间有没有其他多媒体文件储存到APP「照片」中?
A. 有
B. 没有
C. 有拍摄,但没有储存
D. 无法确认
我说真的这选项想笑死我
想看有没有别的,我们得看photo数据库,看看ZASSET表的ZPK是否连续
过滤名字后发现他们的Z_PK是连续的
所以这题选B
39.承上题,以下哪个陈述是正确描述上一题的答案?
A. 制作多媒体文件「IMG_0015.MOV」时,直接储存到隐藏相册中
B. 制作作多媒体文件「IMG_0015.MOV」时,直接上传到iCloud
C. 制作多媒体文件「IMG_0014.MOV」时用了缩时摄影
D. 制作多媒体文件「IMG_0015.MOV」时名称被更改为「IMG_0016.MOV」
可以看到是因为0014用了缩时摄影的方式,所以跳过了,因此本题选C(可以由此逆推出上一题的。。)
40.APP「照片」(套件识别码: com.apple.mobileslideshow)中,「IMG_0027.HEIC」的原地理位置信息(WGS84)是?
A. (22.2816569, 114.1756115)
B. (22.2826366666667, 114.168503333333)
C. (22.2826216666667, 114.168525)
D. (22.2826216666667, 114.168503333333)
先过滤,然后直接在数据库的ZASSET表来看经纬度就好
所以选A,但是跟官方答案不一样,我觉得应该没问题才对
41.曾经通过网络浏览器「Safari」下载了多少个图片文件?
A. 1
B. 2
C. 3
D. 4
就两张,直接能看见
42.多媒体文件「 IMG_0004.MOV」曾被修改后再储存成另一个文件,该文件名称是?
A. IMG_0085.mov
B. IMG_0086.mov
C. IMG_0087.mov
D. IMG_0088.mov
这一题有点麻烦,我们需要先去ZADDITIONALASSETATTRIBUTES表里找一下原始名称是0004.mov的文件,确定其Z_PK,然后再去ASSET找一下现在的
可以看到Z_PK是82
在ASSET表再次打开可以看到是0085
所以选A
43.曾经通过人工智能聊天APP “POE”查询一个问题,请列出这个问题的完整句子?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
这题很显然,我们需要去寻找一下POE的数据,首先需要知道这个的包名
搜索后可以确认包名就是com.quora.app.Experts
接下来就针对这个去找一下数据库了
在其他应用一栏我们可以看到有这个数据库写着记录
导出该数据库,扔到DB看看
写一下SQL语句
1 | |
得到本题答案为What’s that mean
44.承上题,请指出提问的日期及时间(答题格式: yyyy-MM-dd HH:mm:ss 作答, GMT+8)
就是上边那题一模一样啊,时间戳就在后边跟着
1744782606792741
注意时区
所以答案是 2025-04-16 13:50:06
45.承上题,当时使用的是哪一个机器人?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
其实这边几题都是POE数据库,只可惜我是最后回过头做的,不然这些都可以做出来
Bot:Qm90OjMwMzc=(3037的base64,怀疑是代码编号)
nickname其实是gpt4_1_mini
46.承上题,当时的使用者名称是?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
同样是刚刚的地方,有个POEUSER
PoeUser:UG9lVXNlcjoyOTkzNDM5Mzc1
明显不是本来的名儿啊
搜一下
1 | |
嗷,fullname是Duncan,其实就是它惯用名儿啊,下次可以猜猜,所以答案是这个
47.请指出即时通讯软件”WeChat”的 “WeChat ID”(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
火眼一把梭
wxid_c9xyspglub7512
48.承上题,这个”WeChat ID”关注了多少个「视频号」?
A. 1
B. 2
C. 3
D. 4
这是真不知道怎么做,火眼没查出来,我们必须去这个微信的数据库里翻找了,当时觉得太浪费时间就没做
路径也是够长的,首先我们找到包的位置
/var/mobile/Applications/com.tencent.xin
然后继续翻
Documents/5f1d6cc9474fbbc2fb3dc807008543d5/finder/db/finder_main.db
这种文件夹名就很像微信个人用户的其实
这个finder_main.db就存储着视频号相关信息,过滤followstate,也就是关注状态为1即可
一共就2个
49.请指出即时通讯软件WhatsApp的WhatsApp ID(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
火眼直接能看见是85254974406@s.whatsapp.net
50.即时通讯软件WhatsApp中,封存了下列哪个聊天群?
A. 凤凰VIP会员心得交流群
B. 币淘 群组1
C. Sportsmen
D. Titus Wong Manson Finance
注意封存并不是删除的意思
一般用在人多的群,所以很可能是A
严格来看的话需要看Archived的状态
这边打开聊天存储数据库ChatStorage.sqlite
查看ZWACHATSESSION的ZARCHIVED的列,如果是1就说明已封存,若是0就没事儿
过滤一下1
是这个群,所以选A
51.即时通讯软件WhatsApp中,总共追踪了多少个频道?(请以阿拉伯数字作答)
看频道列表,可以看出追踪了19个频道
52.即时通讯软件「WhatsApp」中,下列哪个是群组 “Investors” 的管理员?
ii) 85260927726@s.whatsapp.net
iii) 85254961408@s.whatsapp.net
A. 只有 i)
B. 只有 i) 和 ii)
C. 只有 ii) 和 iii)
D. 以上皆是
这边可以直接看见是不是管理员或者群主,可以看到i是群主,ii是管理员,所以选B
53.即时通讯软件「WhatsApp」中,群组 “Investors” 的群组ID?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
在群组列表,所以群组ID为120363417204753192@g.us
54.即时通讯软件「WhatsApp」中,「社群」名称是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
有个社群列表,所以名称就是We are 3
55.承上题,请指出这个社群的群组图案的哈希值(SHA256格式)。
A. B1A3706C574F81A3EE084FB9509997E06349E86D904D1DC10B879D1D5ED83125
B. B8BA258402925E139CAFBBBBBC809EC160B70BB03DBD4D0F3063F58F69D0B956
C. E43ADC646295BC5011577D4E733B6289D31A5E11ACB45285BE1FF530260DF383
D. 20E64C78F9926548CEEFB1783991A4AD71A6631F3C86002254342E323A898C6A
跟着这个头像去手机里翻找
发现有两个且均在同一目录,不像是缓存照片
但是只有这一个的哈希值存在于答案中,因此本题选A(这边我也不清楚为什么会有两张)
56.即时通讯软件「WhatsApp」中,找出WhatsApp ID:85254961408@s.whatsapp.net曾经是在而现在已经不在的群组,请指出该群组的名称。(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
先确定这个ID是谁
噢是陈民浩
可以看见他在Sportsmen被踢了,所以本题答案就是Sportsmen
57.即时通讯软件「WhatsApp」中,总共出现了多少个「投票」活动?(请以阿拉伯数字作答)
投票活动会有[投票消息]这个前缀
所以直接搜就好
一共15个
58.承上题,总共在多少个「投票」活动中作出了投票?(请以阿拉伯数字作答)
在ChatStorage数据库中,我们可以在ZWAMESSAGE这一张表中看见所谓的聊天信息类型
我们可以先去找到一些投票语句
比如这边
接下来根据聊天内容锁定Z_PK为280
于是可以定位投票的应该就是279
进而查看其type编号,发现编号是46
数字也和报名人数可以对应上,坐实了上一题的答案和type的正确性
接着就要看用户有没有做出投票了
看这一列有个叫ZISFROMME的,从名字可以读出来这玩意如果是1就是机主,根据聊天记录也能判断
所以只要过滤这个为1即可
就1条
59.即时通讯软件「WhatsApp」中,根据群组「 IQ COIN 💰💰💰💰」对话内容正在策划,哪一种犯罪计划?
A. 诈骗
B. 抢劫
C. 谋杀
D. 以上都不对
阅读一下大概就是要用AI换脸诈骗拿钱,所以就是A(我讨厌纯英文文本阅读)
60.承上题,该群组建立者的WhatsApp ID是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
该群组就是IQ COIN
注意这边群主不一定就是创立者,需要确认才行
61.承上题,该群组的建立时间是什么?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
成立时间就在这边,就是UTC+8的
2025-04-25 16:57:55
62.根据你分析结果。三人因感情瓜葛内讧因而发生这次袭击事件。你怀疑梁燕玲曾到袭击现场,你将你的发现通知警察。警察扩大现场搜索范围,终于在案发现场附近,发现陈民浩名下的小汽车,车上发现一部智能手机。请你以参赛材料LEUNG_YL_Mobile.zip回答以下问题参考LEUNG_YL_Mobile.zip,该手机用作注册iCloud的email?
到梁的手机了,记得先写爆破备份密码1234
在钥匙串可以直接看到iCloud的账号,选A(这套题好多A)
63.参考LEUNG_YL_Mobile.zip,文件IMG_0021.HEIC 所拍摄的相机型号是甚么?
A. iPhone SE (3rd generation)
B. iPhone SE (2nd generation)
C. iPhone 12 mini
D. iPhone XR
首先问的一堆手机型号,你自己拍的型号肯定就是这个啊,选A
当然了,我们也可以去photos.sqlite数据库
在ZEXTENDEDATTRIBUTES表也能看出选A
64.LEUNG_YL_Mobile.zip,文件IMG_0005.JPG所拍摄的座标(WGS 84)是多少?(请以纬度,经度的顺序及以下格式作答xx.xxxxxx,xx.xxxxxx)
依旧直接在数据库搜索,其实跟24美亚是一样的
在ZASSET先过滤再看经纬度
所以这题的答案是22.337655,114.139441
65.参考LEUNG_YL_Mobile.zip,文件IMG_0022.JPG是以下哪种方向拍摄?
A. 不旋转
B. 旋转180度
C. 顺时针90度
D. 逆时针90度
先直接索引定位,直接看图片,我这边看出来是不旋转的
多正常一图
66.文件IMG_0022.JPG的建立时间(GMT +08:00)是?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
如图,一把梭,2025-05-16 11:33:15
67.参考LEUNG_YL_Mobile.zip,在WhatsApp 与”85254974406@s.whatsapp.net”聊天对话中,于2025-05-16 11:33:39时的信息所传送的座标(WGS 84)是多少?(请以纬度,经度顺序及以下格式作答xx.xxxxxxxxxxxx, xxx.xxxxxxxxxxxx)
这边我们需要先去ZWAMESSAGE表查看确定好Z_PK,直接定位时间就好
确定好之后我们就可以用1416,再去ZWAMEDIAITEM这张表,根据这张表来得到坐标
成功得到经纬度22.2760486602783,114.295440673828
68.参考LEUNG_YL_Mobile.zip,在WhatsApp 与 “85254974406@s.whatsapp.net”聊天对话中,于2025-05-16 11:33:39时的信息所传送的座标(WGS 84)所指的餐厅英文名称是? (请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
直接定位过去看看聊天记录就好啦
所以英文名儿就是Fai Kee Seafood Restaurant
69.参考LEUNG_YL_Mobile.zip,在WhatsApp 中聊天群组ID 120363401289578356里,于2025-04-29 08:31:02,机主传送了一个PDF 文件,该PDF的内容是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
先定位群组
然后定位到时间处
打开一看白的
ctrl+a全选看看,发现有内容
0xe36D4bCf0132B8Dc7317C2Fb9bfa1845629F6638
看着像虚拟币钱包地址
70.参考LEUNG_YL_Mobile.zip,在WhatsApp 中聊天群组ID 120363401289578356里,有多少个参加者?
A. 2
B. 3
C. 4
D. 5
其实就是IQ COIN这个群聊
一共就仨人
选B
71.参考LEUNG_YL_Mobile.zip,于2025-04-25 17:11:37 时使用WhatsApp 所拨打的手机号码是多少?
A. 85254962307
B. 85254961408
C. 85254974406
D. 85254993306
通话记录少所以很好锁定到
打给冯子超的
所以选C
72.参考LEUNG_YL_Mobile.zip,总共有多少个WhatsApp的通话记录? (包括拨打、接收及未接来电)
A. 4
B. 5
C. 6
D. 7
直接可以看到就7条,选D
73.参考LEUNG_YL_Mobile.zip,WhatsApp 聊天群组ID 120363400622997111 的群组名称是?
A. Investors
B. Foodies
C. We are 3
D. Happy Sharing within 3
直接在群组列表里过滤ID就好了
所以可以看到群组名称就是Happy Sharing within 3
选D
74.参考LEUNG_YL_Mobile.zip,WhatsApp 聊天群组Happy Sharing within 3 于2025-04-17 10:12:34 传送的WGS 84座标是多少?
A. 22.323436345441, 113.276894376508
B. 22.326923370361, 114.168403625488
C. 21.239876452236, 115.925422314543
D. 20.124955642236, 114.168403625488
其实这一题是和67那题一样的做法
就是要先去ZWAMESSAGE表查看确定好Z_PK,然后再去ZWAMEDIAITEM这张表把Z_PK写到ZMESSAGE,根据这张表来得到坐标
首先利用时间戳确定Z_PK位置
啊Z_PK是547啊,继续
所以这题选B
75.参考LEUNG_YL_Mobile.zip,Instagram 的版本是?
A. 375.2.0.15.82 (722575504)
B. 376.1.0.14.56 (722575504)
C. 376.1.0.27.82 (722575504)
D. 376.0.0.17.23 (722575504)
发现这个版本号不对,我们去数据库看看
所以选C
(其实直接搜就能搜到,选C
76.参考LEUNG_YL_Mobile.zip,社交媒体软件Instagram 的安装时间?(请以GMT+8时区及格式YYYY-MM-DD hh:mm:ss作答)
就在刚刚的配置文件里边看就好了
搜索install然后看
时间戳转化
2025-04-26 11:50:47
77.跟据你的分析,警察在香港西贡蕉坑,找到一个行李箱,内藏一名女子尸体,身上没有任何身份证明文件,裤袋内搜获一个U盘,根据法医初步检验,死者头部及颈部有明显瘀伤,相信曾发生激烈争执,死因为气管受压导致窒息,死亡时间相信是在2025-05-16 0900时至1000时 。调查人员初步检查这个U盘,没有发现可疑资料,现在交由你进行电子数据鉴定工作。请参考参赛材料LEUNG_YL_USB.E01,答以下问题参考LEUNG_YL_USB.E01,这个U盘里有多少个分区?(请以阿拉伯数字作答)
U盘仿真
在做下摆你的题目前,我们可以先进行U盘的仿真
https://mp.weixin.qq.com/s/_UyMjDHS1G7j_eZ_00VGhQ?scene=1&click_id=1
强烈推荐本文章,说的很细
由于该U盘是一个EFI格式的可启动盘,一般我们可以使用FTK Imager挂载镜像
但是这边FTK有点问题,会一直报错
所以我们跟着师傅的笔记走,用Arsenal Image Mounter挂一下
这边我们需要变成可写模式,下边的两个千万不能开
如果开了就是将镜像挂载为宿主机的U盘,到时候虚拟机就是隔着一层宿主机看的U盘,也就无法启动了
要把这个U盘干成自己的本地盘才行
所以我们继续
这个时候我们以管理员(很重要)运行VM
进入新建虚拟机向导,选自定义
选择稍后安装操作系统
这边我们选择操作系统为Windows 10,根据U盘决定
固件类型选择BIOS
类型选择SATA,防止pe没有NVMe驱动
最后这边配置直接选择物理磁盘
在挂载软件可以看到是2,所以我们这边也选择2
至此我们就成功创建好了U盘
这个取消一下
就成功将U盘挂载起来了
然后来做题吧
这题直接看就能看出来是两块
当然你用RStudio什么的也行
虽然比赛的时候到这边Rstudio直接不干未响应了,我也不知道为什么,比完赛就好了
明显是2个分区
78.参考LEUNG_YL_USB.E01,这个U盘里的分区结构是什么?(请以英文大写作答)
在火眼能看到$MBR文件
所以本题是MBR的分区结构
挂载的时候也能看见
79.参考LEUNG_YL_USB.E01,以下哪项描述是正确的?
i) U盘的总容量是16GB
ii) 文件系统包括 FAT32、exFAT 和 NTFS
iii) exFAT 分区的容量是 16GB
iv) 分区标签名是 “SanDisk”
A. 只有 i) 和 ii)
B. 只有 i) 和 iii)
C. 只有 ii) 和 iv)
D. 以上皆非
总容量30G啊,i错
exFAT分区的容量是27.65G
80.参考LEUNG_YL_USB.E01,以下哪项描述是正确的?
i) 此U盘曾连接到一台名为 “PC” 的电脑
ii) U盘内存有一个已加密的压缩文件
iii) 已加密的压缩文件的创建日期系 2025-05-15
A. 只有 ii)
B. 只有 iii)
C. 只有 ii) 和 iii)
D. 以上皆是
随便翻一下就能看到有个压缩包,很显眼,是加密的,创建日期也对,所以ii和iii是对的,至于i,没有找到相关日志,应该没有连接到过
选C
81.承上题,该压缩文件的解压密码是多少?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
先恢复一下
再往里看有个图片
密码甚至没有隐写直接写在这边了
54d#e(nm
当然了,开电脑之后直接就能看见壁纸就是这个密码,那还说啥了
82.参考LEUNG_YL_USB.E01,以下哪项描述是正确的?
i) 这是一个可引导U盘
ii) 有一个分区标签名为 “EFI”
iii) 卷标日期为 2025-05-15 (UTC +8)
iv) 有一个分区的总容量小于 500 MB
A. 只有 i)
B. 只有 i) 和 ii)
C. 只有 i), iii) 和 iv)
D. 以上皆是
Xways打开看一下
首先iv肯定是对的,有个350MB的分区,所以AB肯定不对啊
接下来看看ii对不对就好了
对的,那选D
83.tammy.txt文件的内容是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
在桌面上可以看到有个txt指向了这个文件
直接打开就有答案了
due_diligence
84.文件“xcontainer”的加密算法是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
在找加密压缩包的时候我们很容易找到这个xcontainer,被一堆vera包裹着,几乎就是明示了
然后同样的,在RStudio可以看到密钥文件
需要恢复一下,直接以此作为密钥文件去解那个vc容器就好啦
挂载好之后直接右键看看属性
发现有加密算法
AES(Twofish)
85.分析文档 “xcontainer” 的属性。关于此磁盘镜像,以下哪项描述是正确的?
i) 大小为 4943872 字节
ii) 文件系统是 FAT
iii) 没有嵌入式备份头
iv) 块大小为 128 位
A. 只有 i) 和 ii)
B. 只有 ii) 和 iv)
C. 只有 ii), iii) 和 iv)
D. 以上皆是
直接右键看看磁盘属性,可以看到文件系统确实是FAT
剩下俩在VC的加密属性里
确实是128位每块,然后是有备份头的
但是大小不对,所以是ii和iv对
所以选B
86.WinPE 启动后,系统会自动将核心映像挂载在哪个虚拟机?
A. C:
B. D:
C. X:
D. Z:
其实挂载了U盘之后直接就能看到挂在了X盘
选C
87.下列哪些 Windows PE 指令在预设环境下无法执行?
i) Powershell
ii). Eventvwr
iii). Hostname
iV). Diskpart
A. 只有 i) 和 ii)
B. 只有 iii) 和 iv)
C. 只有 i), ii) 和 iii)
D. 以上皆是
我们已经仿真好了,那就直接尝试一下这些命令就好了,一个个试过来
发现i,ii和iii都不行,所以选C
88.必须包含哪个文件,才能启动 Windows PE环境?
A. WEPE64.wim
B. install.wim
C. WinPE.log
D. hiberfil.sys
在R-Studio可以看到这个文件,这是存储的分区映像文件
而且最大
当然是必须的文件
所以选A
89.若要判断一个U盘是否为可开机的Windows PE,以下哪些文件必须存在?
i) WEPE64.wim 或 boot.wim
ii) bootmgr
iii) EFI\Boot\bootx64.efi
iv) hiberfil.sys
A. 只有 ii 和 iv
B. 只有 i), ii) 和 iii)
C. 只有 i) 和 iv)
D. 以上皆是
一个个分析,这个我觉得像理论题啊,其实我不太会,学习一下西电
i是WinPE的核心映像文件,必须存在
ii是Windows的启动管理器,对于传统的BIOS启动是必须的
iii是UEFI的启动文件,是UEFI启动必须的
iv是休眠文件,不怎么必须
所以选B
90.这个 WinPE U盘的操作环境 (Operating Environment) 是基于哪一个 Windows 版本?
A. Windows 7
B. Windows 8.1
C. Windows 10 PE
D. Windows 11 PE
搭的时候就知道是Win10了
在控制面板更是一个大logo怼脸
91.根据你综合多项通讯软件的对话记录,浏览记录及资料分析,发现冯子超、陈民浩伙同女子梁燕玲共同做了一宗涉及加密货币投资的诈骗案件,因东窗事发打算携赃而逃。女子梁燕玲负责处理有关清洗黑钱事项,警察相信梁燕玲携带同相关材料逃跑,请你运用电子数据鉴定技巧寻找与加密货币相关的材料,尽快启动冻结程序。参考LEUNG_YL_USB.E01,该U盘盘有一个加密的文件,该文件所用的加密软件名称是? (只需回答软件名称,不需要回答软件版本,(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
说的就是这个吧,加密文件
是用的VC加密的
所以名称是Veracrypt
92.参考LEUNG_YL_USB.E01,请列出与IQ Coin有关的虚拟钱包的地址(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
在解开上一题的容器后我们可以看到这样子一张图
扫一下这个二维码就好了
所以地址是0x548dafDe4B17d7d3C9485E79B3B5018801C7855E
93.承上题,这个钱包属于哪一种加密货币(请以英文大写作答)
从这边开始就是虚拟货币加密截图那块的了,说真的我比赛都没用到过我还寻思咋回事呢
这玩意的密码是真逆天啊,除了西电这样子有做题习惯的会做成密码字典来字典爆破的以外,到底还有谁会做出来啊,为什么会有人拿虚拟币地址当密码啊??????
不我说真的这个压缩包是给人做的吗
总而言之我们提取出来了压缩包,找到了里边有两张图
直接就能看到,属于BNB货币
94.承上题,这个钱包总共有多少次存入记录?(请以阿拉伯数字作答)
直接看图就好,可以OCR,但是有水印,很麻烦,数据也不是很多,直接看问题不大
这个钱包的地址就是0x548dafDe4B17d7d3C9485E79B3B5018801C7855E
直接看from这一列就这一条,所以答案是1
当然直接上BscScan会快很多
95.承上题,存入款项的支账地址是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
直接在截图也看不清啊,都屏蔽起来了,还是得在BscScan看得清楚
直接点就好了
所以是0x58A52CcD142bee17D6a643834b217dc663B6b04F
96.承上题,这项交易传送了多少BEP-20 IQ Coin?(请以阿拉伯数字依照参赛材料中的原文作答,注意区分大小写、空格及符号和不用标点符号 )
直接能看见,是1000000000
97.助记词是由加密货币钱包生成的一系列单词,帮助用户恢复其私钥。助记词通常由12到24个单词组成
A. 正确
B. 错误
依旧理论题
选A
其实是可以有3个6个这样子的,但是太少容易被爆破,所以如果试图搞12个以下的会报错Mnemonics with less than 12 words have low entropy and may be guessed by an attacker.
98.根据你的信息警察查知这个加密钱包涉及近期一宗巨额诈骗案,请你查出这个钱包余额额度,警察将会进行冻结程序,请指出包含有疑似助记词的文件的希哈值(MD5格式)(请以阿拉伯数字和英文大写作答)
就是挂载的xcontainer里的剩下一个txt
里边有一堆助记词
所以md5为
183B8E0C6365FEE834479269141A3F91