2024年美亚杯个人赛 资格赛 wp

第二年参赛

这一次个人赛真的真的真的真的太多题目了 花了两天除了细细分析pe 其他活儿都干完了

有很多方向要不断学习 很多小工具要积累

这一次通过复盘一下今年的美亚杯 积攒一下学习经验 以赛代练 边做边学 话不多说进入主题

 

检材链接:

检材链接(来自美亚官方):https://pan.baidu.com/s/1ajsVB_15aJ4mzTvd5rHSkQ?pwd=pv1h容器密码:eS2%u@q#hake2#Z@6LWpQ8^T(R7cg95m\Bv+y;$=/dqxYnEusFf)tb>:HKHwy+e%cR\r=9j:GsK)AV52/3hXfdv8#u7a6JQ^pz><YPNkq*!&

个人赛背景介绍:

4078872f5bb74d1c96eef6d0ad44dbfb.png

检材列表:

ad9dde3412314a9bbea2f065e60244b2.png

题目

1. [单选题] Emma已经几天没有收到她姐姐Clara的消息了,报警失踪,她焦虑地将手机提交给警察,希望能找到线索。警察将手机交给你进行电子数据取证。你成功提取了Emma手机的镜像。请根据取证结果回答以下问题。根据Emma_Mobile.zip,Emma和Clara的微信聊天记录,Emma最后到警署报案并拍摄写有报案编号的卡片,拍摄时的经纬值是多少?(2分)

A. 22.451721666667, 114.171853333333

B. 22.451553333333, 114.172845

C. 22.451928333333, 114.170503333333

D. 22.451638333333, 114.16993

 94f8e7b44eba4d1daf296d76fee9ca67.png

找到这个照片

写这道题的时候还是用之前的方法 这里推荐一个exif查看器

Phil Harvey 的 ExifTool

下载之后改个名字就可以直接使用 

1636e6a536164c1ba629614b492cce56.png

很遗憾这里没有记载相关的坐标信息 

分析这个存储路径可以发现这里是在微信中发送的 微信发送图片会隐藏相关的exif所以我们就去别的地方找答案

12753ebe330e4ddb8d1aac3168e88f4e.png

已知是苹果手机 根据题目所给信息拍照的内容 所以我们应该去手机数据库中找到原有格式的手机相关内容

f78ec79787ca457f926bf7a7e7d9d4b7.png

翻到数据库中的最后标签为19的heic 文件时间和之前我们找到的.pic文件时间相同 所以这张照片应该是传输前发送的原图

7c6cd20c85524745aea8f14690abbcec.png

然后翻看到别的表中 就可以找到这个图片的坐标信息

答案是a

2. [单选题] 根据Emma_Mobile.zip,2024年8月30日下午两点后Emma共致电Clara多少次?(1分)

A. 85

B. 86

C. 87

D. 88

2922dcee8841433ea3ca04d30f3c6c03.png

在这个表中找到了 clara的电话号码 63791704

918c00f6760941959e2a341ee224f895.png

定位到电话记录数据库

打开这个数据库 可以筛选clara的电话

3a0a5d524133498a8b74008afab1b026.png

这里要用到一个时间戳解密工具

DCode™ – 时间戳解码器 - 数字侦探

然后按时间排序 

a83cda9bb5d4453e8e09e9fed9317bd2.png

前三个都是八月三十号之前的电话记录 之后的都是符合答案的记录 91-3=88 

所以答案是88

3. [单选题] 根据Emma和Clara的微信聊天记录,Clara失踪前曾告诉Emma会到哪里?(1分)

A. 到酒店和丈夫David庆祝结婚周年

B. 吃自助餐

C. 约了朋友见面

D. 去旅行

ba3829601d944b8e981f61766750fd65.png

直接看clara的聊天记录就可以找到

4. [填空题] 参考Emma_Mobile.zip,Emma的iPhone XR内微信应用程序的版本是多少?(2分)

e98b1aedcd44479caf1570f568dd6cbb.png

翻看manifest.plist文件 然后就可以看到微信的版本是 8.0.50

其实导出来用 plist查看器等工具 可以直接搜索到相关的内容

4a8e57238e3d49019f10ac26857a2bcb.png

5. [多选题] 参考Emma_Mobile.zip,Emma手机中下列哪个选项是正确的?(2分)

A. iOS版本为17.6.1

B. IMEI为356414106484705

C. Apple ID为Emma1761@gmail.com

D. 手机曾经安装Metamask应用程式

接着看manifest.plist

b7cbced0f2854245b4213609b709a1aa.png

版本是17.5.1

b选项 因为不知道会存在什么数据库里所以直接暴力搜索356414106484705

就可以找到imei

2886ea63b65f4116806bd18675e4533a.png

苹果id直接自动分析出来过

28bfc811263f46eaa55697b8a8c638fe.png

d还是在那个plist文件中找

d01aaa0881bf475cb3c519c4b7d31eea.png

找到了相关的记录

6. [填空题] 参考Emma_Mobile.zip,Emma手机中Apple ID的注册电子邮箱是多少?(2分)

参考上题

emmaemma.851231@gmail.com

7. [填空题] 参考Emma_Mobile.zip,在2024年,Emma手机上曾记录的电话卡集成电路卡标识符(ICCID)是多少?(答案格式:只需使用阿拉伯数字回答)(2分)

e36186fa8c7e4827983e5c7473091f7d.png

xways同步搜索

直接出来答案8985200000826445829

8. [填空题] 参考Emma_Mobile.zip,Emma手机的蓝牙设备名称"ELK-BLEDOM"的通用唯一标识符(UUID)是什么?(1分)

91b4e1191ad440e486dd6383495e99d7.png

xways接着暴力搜 直接出结果 8D13F23C-E73C-6A98-AA4F-16C8D7A5F826

9. [单选题] 你发现了一些线索,Emma看起来也很可疑,她似乎背负了大量债务。参考Emma_Mobile.zip,Emma手机内Safari浏览记录中网页"https://racing.hkjc.com/"的网站标题是什么?(1分)

A. 香港马会奖券有限公司

B. 六合彩 - Google 搜索

C. 快易钱:网上贷款财务公司 | 足不出户现金即日到手

D. 赛马信息 - 香港赛马会

5901d8db5b5e43beb1b77626a2f8d7ff.png

回到火眼 直接出来 答案是d

10. [单选题] 参考Emma_Mobile.zip,Emma向Clara透露什么原因令Emma欠下巨债?(1分)

A. 投资孖展

B. 虚拟货币失利

C. 网上赌博

D. 以上皆是

查看他们的聊天记录

278177a325b64a9a9486da89995d8672.png

三项全占了 真的很衰 哈哈

选d

11. [单选题] 参考Emma_Mobile.zip,收债人要求Emma还款数量?(1分)

A. 港币$786,990

B. 港币$878,990

C. 港币$786,980

D. 港币$745,330

c2d2b9e2c94a4fd094e7bbe92d88cfc0.png

真的无语 这样子出题 我以为是在姐妹俩手机聊天记录里 结果是在最后的短线里找到了c

12. [单选题] 参考Emma_Mobile.zip,Emma发送了多少张.PNG图片给Clara,证明自己正被人追债?(2分)

A. 6

B. 7

C. 8

D. 9

ab7921f25d7a43c0b8f7fee3894af732.png

看聊天记录可以发现一共有7张

13. [单选题] 参考Emma_Mobile.zip,Emma用来浏览虚拟货币的网址?(2分)

A. Google.com

B. Facebook.com

C. IntellaX.io

D. Yahoo.com

e1b597e84abf45b19df2fa3ec62a83f4.png

很明显 域名包含钱包信息 所以是c

14. [单选题] 参考Emma_Mobile.zip的浏览器记录,有多少网址与bet365有关? (2分)

A. 3

B. 13

C. 9

D. 12

先用xways暴力搜索一下

ab2f0aad36704602a3834ad0568f7f4a.png

找到记录的数据库 (使用navicat可以快速进行搜索 不用直接一个一个查看了) 去翻一下看

a62169b12e194107bc2ee83f3a2ea3ba.png

在safariabs中找到一条记录

2746b77c312644da8d6c5fdc8618b999.png

bookmarks中找到两条记录

15. [单选题] 你还发现了一些与不当使用他人加密钱包相关的痕迹。参考Emma_Mobile.zip,Emma用了哪些恢复短语(Recovery Phrase)进入David的虚拟货币账户?(2分)

A. stock,avocado,grab,clay

B. light,sadness,segment,ancient

C. toe,talk,elder,oil

D. 以上皆是

bb0acb0382a54f04a8fd4235644d09dc.png

真还硬搜不出来 一开始硬搜没有有价值的信息

16. [单选题] 参考Emma_Mobile.zip,Emma从David处窃取的虚拟货币的名称是什么?(2分)

A. IDFC

B. ICAC

C. INIC

D. IFCC

翻看前面姐妹的聊天记录就可以发现他们之间的盗用信息

a194eebe0e514afd9a90032eee5b9191.png

idfc 答案是a

17. [单选题] 参考Emma_Mobile.zip,Clara偷拍的照片中,David的虚拟货币余额是多少?(2分)

A. 3266378.99

B. 1044749.22

C. 5022915.66

D. 7822468.44

参考上题 答案是c

18. [单选题] 参考Emma_Mobile.zip,Emma在偷窃David的虚拟货币前,Emma曾向Clara透露有什么事发生在Emma身上?(1分)

A. 中彩票

B. 欠债

C. 升职

D. 失业

分析好了前面的内容 其实到这里已经很明显了

164ed0a34eeb4b33afe72b74a530833a.png

19. [多选题] (你查看了Emma手机中的一些照片数字信息,以获取更多与失踪案件的信息)Emma的iPhone XR中"IMG_0008.HEIC"的图像与相片名字为的"5005.JPG" 看似为同一张相片,在数码法理鉴证分析下,以下哪样描述是正确?(3分)

A. 储存在不同的.db檔案里

B. 有不同哈希值

C. IMG_0008.HEIC为原图,"5005.JPG"为并非原图

D. IMG_0008.HEIC和名字"5005.JPG"是同一张相片

答案应该是abcd吧

b21a64fbc0cd47b7a8fc36df4aff091c.png

xways强搜 发现两个存储的数据库没有重合的地方

b文件格式不同hash肯定不同

cd 和之前介绍的一样 heic为直接拍照下来存储的格式 然后在传输给其他的时候 会发生文件格式更改 就是heic变成jpg 所以cd也是对的

20. [单选题] 参考Emma_Mobile.zip,Emma的iPhone XR中"IMG_0009.HEIC" 的图像显示拍摄参数怎样?(2分)

A. iPhone XR back camera 4.25mm f/1.8

B. iPhone XR back camera 4.25mm f/2.8

C. iPhone XR back camera 4.25mm f/2

D. iPhone XR back camera 4.25mm f/1.6

c2cf068d6ff640988f171444e6fd60d2.png

找到这个heic文件对应的pic文件 

88e1f4507cd74e2bba0f67962d61d031.png

然后再在数据库中搜索7573e56c84ee425895eea769c1eea0d3.png

找到的三条记录都和这个参数没有关系

9e496c8d7fc44567aec714fa2e51fa50.png

exif信息也没有提供

想到最后一个方法了 直接吧这四个数据带去暴力搜索

13622e7cd53849e9b5cc87a25827a23b.png

e83562f7fa9440cda9e3192992007fc9.png

这样子不用理清楚数据库的内部逻辑也可以完成答案检索

只使用过a选项的设备

21. [多选题] 参考Emma_Mobile.zip,Emma的iPhone XR中相片文件IMG_0009.HEIC提供了什么电子证据信息?(3分)

A. 此相片是由隔空投送 (Airdrop)得来

B. 此相片由iPhone XR拍摄

C. 此相片的拍摄时间为2024-08-05 13:38:15(UTC+8)

D. 此相片的拍摄时间为2024-08-06 08:30:52(UTC+8)

上面搜索的查数据表的步骤没白干 直接bc秒了

22. [多选题] 参考Emma_Mobile.zip,Emma的iPhone XR内以下哪张照片是实况照片(Live Photos)?(2分)

A. IMG_0002.HEIC

B. IMG_0005.HEIC

C. IMG_0004.HEIC

D. IMG_0006.HEIC

直接暴力搜索这四个选项比较差别

520b541b79914405a1c232bf49a0dc72.png

发现这个没有bd选项这个文件存储着 而ac是用拍照格式存储的 所以ac应该是实况照片

8cf010b5cdf342f2aed7234aaa5c0e36.png

后面也可以找到 bd是用png格式存储的

后面搜索0006号图片可以找到这个图片数据库中记载了 图片的来源

f90158e0b3e1465eb3dbf8ee9cfb7843.png

  • ZIMPORTEDBY: 8 (com.apple.springboard, SpringBoard)这表明照片是由 SpringBoard(即锁屏界面或桌面)导入

所以 答案应该是ac

23. [单选题] 参考Emma_Mobile.zip,手机里有多少张照片是用手机后置摄像镜头拍摄的? (2分)

A. 5

B. 6

C. 7

D. 8

这题问的和之前那个镜头有关联 

直接在xways搜索之前镜头的信息 然后就可以得到记录的数据是8条

15f7c478080244e7ac7160c673872669.png

 

24. [单选题] 参考Emma_Mobile.zip的通讯记录,MesLocalID 224是什么类的文件?(3分)

A. 相片

B. 影片

C. 文件

D. 报表

40fa29ad344e4309bd50970ea17c59c4.png

先搜索找到对应的数据库

7cdbb5ea3bb349b69fdb327c4fed36f8.png

找到对应是一个结构名

f1f17ecc6152446c9489003ec2f7c227.png

224没有相关的数据

查看第二个数据库

359d9b27dba14068bf056dcf6e0a732f.png

得到了 复制出来看看

f3edb1030e134455a68c71e26d119519.png

 上面写了 imgmsg 就是图片的信息 所以传输的是一个图片

25. [单选题] 依据你在Emma的手机上找到的照片,你告诉调查员Clara最后的位置是在湾仔的一家酒店。根据你提供的信息,调查员发现Clara在酒店去世,Clara的手机在她的附近,你对Clara的手机进行取证。请根据取证结果回答以下问题。 参考Clara_Smartphone.bin,Clara手机的Android操作系统版本是?(1分)

A. 8.0.0

B. 9.0.0

C. 8.1.0

D. 7.0.0

0237c0a78437476e87303564479bda92.png

直接出 8.0.0

26. [填空题] 参考Clara_Smartphone.bin,Clara手机的版本号(Build Number)是什么?(1分)

0f9c0cdadf6f40f4b0a4e3cf49028c00.png

在这个build.prop文件中

929996b2be184a4cbb9521c801d377b8.png

OPR1.170623.026

27. [填空题] 参考Clara_Smartphone.bin,Clara手机的IMEI号码是多少?(答案格式:只填写阿拉伯数字部分) (1分)

搜索imei文件

000b810243a0407eafc168f8a3d467e4.png

ee90b549962c445485c950fd19237ca9.png

351537092934716

28. [填空题] 参考Clara_Smartphone.bin,Emma的微信账号是?(2分)

5bf85500b4744b64b8e2e8651f9a53af.png

找到wxid_ltrpgdhvilso22

29. [单选题] 参考Clara_Smartphone.bin,Clara的第一封电子邮件记录的日期?(2分)

A. 2024-07-10

B. 2024-07-18

C. 2024-07-23

D. 2024-07-30

0b4f14fcda2b45638397d740aa0c8b6f.png

找到数据库 答案是2024-7-10

30. [单选题] 参考Clara_Smartphone.bin,在通讯录中"David"的联系人信息还包括什么? (2分)

A. 出生日期

B. LinkedIn

C. 电子邮件

D. 地址

b5e040b8a8eb443fbe7459feae525acf.png

跳转到源数据库 然后看到 他们关联的信息

92235da5584e4e36a5dee89824d18980.png

所以与david关联的还有一个linkedin

31. [单选题] 参考Clara_Smartphone.bin,David和Clara之间通话次数? (2分)

A. 0

B. 8

C. 10

D. 24

883f2904332c493a83bd966addfffe02.png

b

32. [单选题] 参考Clara_Smartphone.bin,Clara在Chrome浏览器搜索中哪天使用了关键词"popmart 炒价"? (2分)

A. 2024-08-10

B. 2024-08-15

C. 2024-08-20

D. 2024-08-25

73d055885c784943a76ba56fc30b7304.png

选b

33. [单选题] 参考Clara_Smartphone.bin,2024年7月30日共收到多少封电子邮件?(2分)

A. 2

B. 3

C. 4

D. 5

474fb469418f438fb5082eaede637bbd.png

手机大师可以解出来 但是那个火眼没办法

34. [填空题] 参考Clara_Smartphone.bin,Clara的Gmail账号是? (2分)75031ca14db74601a34c97015e861508.png

clara.ccc0807@gmail.com

35. [单选题] 参考Clara_Smartphone.bin,Clara的手机安装了哪个版本的WhatsApp?(2分)

A. 241676000

B. 241676001

C. 241676004

D. 241676007

1aaa947c1f2c43dea015591fba74ea4d.png

翻看manifest文件 可以找到WhatsApp的version

b7676d3674b1484795ba09e3896e0a5c.png

选c

当然逆向也可以完成这个任务

36. [填空题] 参考Clara_Smartphone.bin,Clara的WhatsApp账号?(答案格式:只需填写11位阿拉伯数字) (2分)

30b18808d55a45e980c4f4ad03e790b4.png

85263791704

37. [单选题] 参考Clara_Smartphone.bin,Clara的手机在什么时候安装了小红书APP?(2分)

A. 2024-07-10

B. 2024-07-16

C. 2024-07-20

D. 2024-07-30

793d0af16dcf40c98f034b35b60e4b6d.png

找到了 选b

38. [单选题] 参考Clara_Smartphone.bin,2024年8月21日David的虚拟貨幣钱包里有多少IDFC?(3分)

A. 5022915.66

B. 3212695.22

C. 210355633.91

D. 以上皆不是

56e5a9a07f644803841a0163863d4a9f.png

之前也考过这个了 选a

39. [填空题] 参考Clara_Smartphone.bin,Clara注册的微信账号验证码是多少?(2分)

9e87a4cf7dae4e4a95d6401de96cab7d.png

945025

40. [填空题] 参考Clara_Smartphone.bin,David为庆祝结婚周年纪念预订了哪家酒店?提示:请使用大写英文字母作答,例如:HONG KONG HOTEL) (3分)

4500a65b446e411da0047c04da2f5457.png

a8550407c1784b42a83584c4e8faa039.png

CONRAD HONG KONG

41. [填空题] 参考Clara_Smartphone.bin,哪个数据库文件存储了微信消息?(答案格式:只需使用全部大写回答, 例如:ABC.DB) (3分)

f422261868a441128e94b90bb268b78b.png

查看一下数据库就可以知道

 ENMICROMSG.DB

42. [填空题] 参考Clara_Smartphone.bin,哪个数据库文件(.db)存储了WhatsApp訊息?(3分)

2a4762d2bdc5439684a57fb180d5363a.png

在火眼里面 在db文件里面 设置路径为WhatsApp 然后文件从大到小翻看 就可以看到存信息的数据库

所以是 msgstore.db

43. [单选题] 参考Clara_Smartphone.bin,Clara在2024年8月29日拍了多少张照片?(2分)

A. 0

B. 3

C. 4

D. 5

339b7870551f4d42a176c61dbf9a8285.png

后面三张是拍摄在那天的 所以说是3

44. [单选题] 参考Clara_Smartphone.bin,Emma在2024年8月6日通过微信发送了多少张照片给Clara? (2分)

A. 0

B. 1

C. 5

D. 12

8fc9de9e249f4476ac22119d249affdd.png

没发照片所以是0

45. [填空题] 参考Clara_Smartphone.bin,照片20240829_144717.jpg的拍摄相机型号是什么?(2分)

a8e4e6caa017478595edcb973790ae32.png

用之前的工具 就可以的出来

Camera Model Name               : LG-H930

46. [单选题] 参考Clara_Smartphone.bin,20240821_121435.jpg的储存路径是什么?(2分)

A. /media/0/DCIM/Camera

B. /media/1/DCIM/Camera

C. /media/00/DCIM/Camera

D. /media/11/DCIM/Camera

6d9f2729add849ce9270f50737be6f86.png

A

47. [填空题] 参考Clara_Smartphone.bin,2024年8月20日有多少张截图?(2分)

2def7fe3be5245e4b28f35c1aea2f273.png

上面四张 所以是4

48. [单选题] 参考Clara_Smartphone.bin,2024年8月22日被删除微信消息的类型是?(3分)

A. 照片

B. 视频

C. 文本

D. 以上都不是

9e529601647248dbb8c1ce37e9f10592.png

这里本来想找被撤回的内容的 但是找不到

但是可以看到偷偷拍摄的 所以应该是照片

49. [填空题] 你在查看Clara的手机镜像后,确定Clara是David的妻子,调查员通过查询酒店预订记录确认了这一点。他们现在定位David的住所,以进行进一步调查。你首先分析David的手机。参考David_Smartphone_1.zip,根据Contents.db,David手机接收了通讯软件"Telegram"的验证短信,该验证码是多少?(3分)

7b0b6b51d2da4596845ee4288b6d811d.png

84298

50. [填空题] 参考David_Smartphone_1.zip,David把手机设置为个人热点,请找出个人热点的密码。(3分)

4f5bc6971da14c08acadfe89df776093.png

wdfj5674

51. [判断题] 参考David_Smartphone_1.zip, David 手机曾连接名为"MTR Free Wi-Fi" 的Wi-Fi 。 (2分)

2dd717f360b840bea6dbac23701f8a14.png

正确

52. [填空题] 参考David_Smartphone_1.zip,根据com.tencent.mm_preferences.xml,David的手机最后登录微信的微信ID是?(3分)

b37dc2c8bc724ae2a87f87e8879b3f90.png

只登陆过一个id

 wxid_rni3m2o8ngxe22

53. [填空题] 参考David_Smartphone_1.zip,请指出哪一张图片是于2024年8月28日利用屏幕截取的。(答案格式:ABC_123.jpg) (3分)

cb4373a873b3407ea25bcbbf23172a6c.png

Screenshot_20240828-153836_Gmail.jpg(记得要大写)

54. [填空题] 参考 David_Smartphone_1.zip,根据Contents.db,David手机的型号(Model)?(答案格式:大写英文字母和符号'-' 混合组成) (2分)

44d95d4ad86746f79b8fe83a755766c5.png

SM-G9500

55. [填空题] 参考 David_Smartphone_1.zip的Contents.db,David所使用的手机SIM 卡的序号?(答案格式:只需要用阿拉伯数目字回答) (1分)

4a24e5ec398c4ded9276ead38bb103c5.png

8985200000827530728

56. [填空题] 参考 David_Smartphone_1.zip,David手机安装了应用程序"MetaMask"。根据persist-root中,"MetaMask"钱包内有多少个账号?(3分)

1c3a25a097924332b0ffeabb78ffc6b5.png

搜索persist-root 然后打开这个csv看看 发现记录的是persist-root的位置

9144d7757dbc4f60acaef81f02822b7e.png

那我们尝试打开一下看看

8b07bc15a80d410fad2cca18605b0511.png

一共有account4 所以是4个用户

 

57. [单选题] 参考 David_Smartphone_1.zip,根据persist-root中,何时从应用程序"MetaMask"发送虚拟货币至以下地址: 0X10A4F01B80203591CCEE76081A4489AE1CD1281C (3分)

A. 2024-08-11 1249(GMT+8)

B. 2024-08-14 1658 (GMT+8)

C. 2024-08-14 1659 (GMT+8)

D. 2024-08-16 1724 (GMT+8)

3a557fc26c9e4f529edaaa55ba31e732.png

找到了记录

f613301b0e7a4a87b86b053b5dc833b1.png

选 B

58. [单选题] 参考 David_Smartphone_1.zip,David曾利用手机应用程序"MetaMask"三次发送虚拟货币失败。根据persist-root,发送虚拟货币失败的原因是什麼?(3分)

A. 网络连接问题

B. 应用程序权限被拒

C. 接收地址错误

D. 手续费不足

d9982193d3304c0e974fa482dcc415a6.png

查看到三次失败 查看文本内容

68e966e0dab649b1a69b2f631aa9db26.png

因为手续费不足 其实也可以直接猜到

59. [单选题] 你根据易失性(Volatility Level)优先次序,进行内存取证分析David的笔记本电脑。参考RAM_Capture_David_Laptop.RAW,以下哪一个不是程序"firefox.exe"的PID?(2分)

A. 9240

B. 8732

C. 5260

D. 3108

内存镜像 之前一直不固定使用哪一个 之前经常用火眼的内置内存镜像分析小工具 后来发现给出的信息有限 有时候会得不到想要的答案 然后用大家都用的volatility是很万能但是要记口令和面临英文翻译等问题 平航电脑分析里面内置的也挺好的如下图 但是可能面临的是设备到期 无法使用

6319e5ecc3584729bb454094687365f4.png

然后 我就经常在想象有一个中文友好的集合各个内存分析工具的GUI 今天他来了

网址:Releases · Tokeii0/LovelyMem · GitHub

1c4ad9115ccf4e8f87771cbc2dea9c4d.png

lovelymem 我们看看这个工具到底有多好用

00ef641d90fa455ab6525c487ad99c7e.png

支持分析文件导出 快速打开也支持搜索 不用一个一个翻 真的真的很便捷

c997c2ccc7754645bdb837378bc20163.png

一个一个翻过去 最后答案是c

60. [填空题] 参考RAM_Capture_David_Laptop.RAW,汇出PID:724的程序,其哈希值(SHA-256)是?(2分)

966e44ffbbd648b88f9bb80ae7e2c52a.png

用这个会自动挂载 然后找到这个exe的位置

e82cb51810a24bff864bcca7d7af114f.png

找到了

258424b0b5ee4f54a27c455dd46a585a.png

计算一下 就出来了

 fee23ebcba02987e70d81ca1924c2e9c69d79ac2afea5bbde4fb335a57d4b30c

61. [单选题] 参考RAM_Capture_David_Laptop.RAW,哪一个是执行PID:724程序的SID?(1分)

A. S-1-1-0

B. S-1-2-0

C. S-1-5-21-1103701427-1706751984-2965915307-1001

D. S-1-5-21-1103701427-1706751984-2965915307-513

d89064b4bae64ff6a5b0fcd8fc331e22.png

点击sid

7b3ea4fc402047d79d9b0c6d08a653b9.png

找到 A

62. [填空题] 参考RAM_Capture_David_Laptop.RAW,账户David Tenth的NT LAN Manager的哈希值(NTLM Hash)?(答案格式:只需使用全部小写及阿拉伯数字回答) (1分)

9ab29f03c0a847fb83e47437c1824de2.png

点击哈希转存就有结果

e14a21fefc5dd81275bb87228586cffc

63. [单选题] 在取证中,你发现D盘被BitLocker加密。U盘上可能有一些线索,你对U盘进行了取证。参考David_USB_8GB.e01,David 的U盘文件系统的格式?(2分)

A. NTFS

B. FAT32

C. exFAT

D. ReFS

b84e1805e9474b88bf05d5d95c33d244.png

ntfs

64. [单选题] 参考David_USB_8GB.e01,David的U盘文件系统中,每簇(Cluster)定义了多少字节(Byte)?(2分)

A. 128

B. 256

C. 512

D. 1024

efbbbe0d248945e1b4a268430059ee25.png

512

65. [单选题] 参考David_USB_8GB.e01,David的U盘中有多少个已删除的文件?(2分)

A. 1

B. 2

C. 3

D. 4

0ffe89b36d244a1db5d5de98b6d880dd.png

对磁盘进行快照

8cdc4d172c5049bfb4b65699020bd346.png

发现一共有一个文件被删除过

66. [单选题] 承上题,参考David_USB_8GB.e01,已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量是多少? (2分)

A. 16

B. 32

C. 64

D. 128

83f8b5cc87b7460f8171063c14996c61.png

 

67. [单选题] 承上题,参考David_USB_8GB.e01,已删除文件的第一个运行的十六进制值(低端字节序 Little-Endian)是多少? (3分)

A. 0x4C3F0DB522

B. 0x4C3F0D22B5

C. 0x224C3F0DB5

D. 0x3F4C0DB522

ccfa5d73d263486c8ca49e375d61e591.png

转到文件记录9226994e09f84e95a62e05eaa93f8087.png

选A

68. [填空题] 承上题,参考David_USB_8GB.e01,已删除的文件的实际大小(单位:字节 Byte)是多少? 答案格式:只需使用阿拉伯数字回答 (2分)

827efced29564496aca437b275b32e07.png

用记事本打开可以直接看到大小

69. [填空题] 承上题,参考David_USB_8GB.e01,已删除文件的第一个运行偏移量(Run Offset)是多少? (答案格式:只需使用阿拉伯数字回答) (2分)

7496308da1ad4999af79bb7d868151b6.png

DataRun格式,第一个字节分别是长度和起始簇号的长度,运行偏移为0x4C3F

 

70. [单选题] 承上题,参考David_USB_8GB.e01,已删除的文件的第一个运行的簇运行长度(Run Length)是多少? (2分) 

A. 2408

B. 3509

C. 3128

D. 4021

ff92b2780407477f89ecf714adb26097.png

DataRun格式,第一个字节分别是长度和起始簇号的长度,长度为0xDB5

71. [单选题] 承上题,参考David_USB_8GB.e01,已删除文件的图像文件像素值(Pixel)是多少? (2分) 

A. 1000 x 2000

B. 2000 x 3000

C. 3000 x 4000

D. 4000 x 5000

70543df7592242cb90ccb0a3023356e1.png

直接查看元数据 C

72. [单选题] 承上题,参考David_USB_8GB.e01,已删除图像文件是用哪个品牌和型号的手机拍摄? (2分) 

A. SAMSUNG SM-A425

B. SAMSUNG SM-A4580

C. SAMSUNG SM-A4260

D. SAMSUNG SM-A5G

b785bfdd11154964a273aa9dfddd8575.png

选c

72.在U盘中,你还发现了一个exe文件,但它被锁定,可能需要进行反编译以便进一步检查。参考David_USB_8GB.e01,使用x64dbg的字符串搜索(String Search)功能,在Bitlocker.exe中查找哪个字符串最有可能与显示的登录状态有关? (1分)

aedb48dbf7744ae4978532e26a98993f.png

用strings 直接跑一下

56eeffee61e943b88d0adcd1dd045c90.png

发现这个 应该是 login successful

73.承上題,当找到控制登录成功的逻辑代码时,如何修改汇编代码(Assembly Code)来绕过检查,达到任意输入,都成功登录的效果? (2分)

75. 参考David_USB_8GB.e01,Bitlocker.exe的正确用户登录名称是? (1分)

应该是前面字符串找到的 直接就可以进去8bad47ac4f634b83992e4eceba3e9700.png

76. 参考David_USB_8GB.e01,Bitlocker.exe的正确登录密码是? (2分)

密码就是 上面找到的1337david

77. 参考David_USB_8GB.e01,当Bitlocker.exe程序尝试显示登录结果(成功或失败)时,使用了哪一种途径来决定显示的消息? (2分)

78. 参考David_USB_8GB.e01,决定能否解密Bitlocker Key 的字节的内存偏移量(Memory Offset)(相对于基址"bitlocker.exe")是什么? (3分)

79. 参考David_USB_8GB.e01,决定能否解密Bitlocker Key 的内存偏移量(Memory Offset)后,应该如何利用它来进行解密? (2分)

A. 将该偏移量处的值改为 1 (true),以启用解密过程

B. 将该偏移量处的值改为 0 (false),以重新初始化加密过程

C. 将该偏移量的内容保存到档中以作解密过程中的key

D. 清空该偏移量的内存并强制退出程序

80. [单选题] 参考David_USB_8GB.e01,解密后的 Bitlocker Key 是? (3分) 

A. 299255-418649-198198-616891-099682-482306-642609-483527

B. 745823-918273-564738-290183-475920-182736-594827-162839

C. 539823-847291-094857-194756-382910-472918-482937-120984

D. 829384-192837-475910-298374-019283-847362-564738-293847

就算是没找到也可以带进去一个一个试试 但是一开始的图片给了我们答案

e35ee1c9a02f45eb973719a17efcf7ab.png

选A

81. [单选题] 到目前为止,你已经获得了BitLocker密钥以解密D盤,通过对David笔记本电脑D盤的分析,并发现了一些重要信息。你现在将继续调查未加密的C盤。 参考David_Laptop_64GB.e01,分区格式(Partition)是?(2分)

A. MBR

B. GPT

C. RAW

e3d965f1a6dd47d78ff1f226cd920bb9.png

GPT

82. [单选题] 参考David_Laptop_64GB.e01,該e01成功提取的日期和时间是?(2分)

A. 2024-09-05 15:55:28

B. 2024-09-02 11:52:31

C. 2024-09-03 14:37:28

D. 2024-09-03 12:16:49

481ad0fbcde64adfa974a1ee46ade6e3.png

7c7e140ceaec48cb971ee9a5506f751d.png

83. [填空题] 参考David_Laptop_64GB.e01,最后登录的用户是谁?(答案格式:大写英文字母,小写英文字母和空格混合组成,例如:Tom Hanks) (2分)

8b935b32e93f46afb4a9799607f28e34.png

David Tenth

84. [单选题] 参考David_Laptop_64GB.e01,用户配置的时区是?(2分)

A. Australian Central Time

B. China Standard Time

C. New Zealand Standard Time

D. Nepal Time

e0f40a15b56b490ea2e45967221e4425.png

B

85. [单选题] 参考David_Laptop_64GB.e01,David的笔记本电脑曾經连接了多少个设备?(2分)

A. 1

B. 2

C. 3

D. 4

c3676fae76f948688124ea717cfc88c5.png

三个

86. [填空题] 参考David_Laptop_64GB.e01,David的笔记本电脑上的Firefox浏览器安装了哪些扩展工具?(答案格式:请以大寫英文字母作答,无须留空白位) (2分)

火眼没有自动分析出来 所以仿真一下

bd7e4f9582754edda0f7a0d41d9817e9.png

METAMASK

87. [单选题] 参考David_Laptop_64GB.e01,根据用户配置文件中的.lnk文件,最后访问的文件名称是?(2分)

A. 下載

B. export-token

C. RAM_Capture_DaviD

D. 本機磁碟(E) (2)

37c0aa5b4f5045caa4dba8cc708d7b29.png

很巧啊  今天上课正好说 cmd+recent 进入最近访问的文件 这个就是B

d660f5fc096742e3b8976339fc0364cf.png

其实火眼也跑出来了

88. [单选题] 参考David_Laptop_64GB.e01,David的笔记本电脑曾經连接了多少个不同的Wi-Fi? (2分)

A. 1

B. 2

C. 3

D. 4

f8b7cd31420d489bb7713fe32188b172.png

一个

89. [填空题] 承上题,参考David_Laptop_64GB.e01,该Wi-Fi网络的名称(SSID)是?(答案格式:大写英文字母和小写英文字母混合组成) (2分)

ErrorError5G

90. [单选题] 参考David_Laptop_64GB.e0,该电脑的Windows操作系统的安装日期是什么?(2分)

A. 2024-07-31 09:55:37 UTC+8

B. 2024-08-01 13:10:15 UTC+8

C. 2024-07-31 10:18:26 UTC+8

D. 2024-08-01 14:43:55 UTC+8

ecb9cdf4cccf4a7da2cc888e28265f0d.png

C

91. [单选题] 通过对David 笔记本电脑的电子数据取证和痕迹分析,你了解到David是一名cryptocurrency专家。(假設虚拟貨幣International Digital Forensics Coin (IDFC)面值是每1個IDFC等如1-HKD IDFC Token Address: 0x56E7A6dd8aA1c78ba77944C94c43054978E89b7b 區塊鏈: Binance Smart Chain) 下列那个网站能够找到区块链:Binance Smart Chain的交易记录?(1分)

A. binance.com

B. bscscan.com

C. etherscan.io

D. blockchain.com

eb093a1255604ecfbe75d82730a1b9b6.png

一个一个访问一下 没关系 找到了 B

92. [单选题] 参考Emma_Mobile.zip中的微信聊天记录分析,Emma用什么方法盜取David的IDFC?(1分)

A. Emma经Clara盗取了David虚拟货币钱包的私匙(Private Key)

B. Emma经Clara盗取了David虚拟货币钱包的公匙(Public Key)

C. Emma经Clara盗取了David虚拟货币钱包的回复匙(Recovery seed)

D. Emma盗取了David电话

948dea79384644af847c3dcb60162120.png

主要考察英语阅读理解能力  选C

93. [单选题] 根据David,Emma及Clara的微信对话,David在什么日期时间发现IDFC被盗?(1分)

A. 2024-8-22 18:06

B. 2024-8-28 09:14

C. 2024-8-28 09:57

D. 2024-8-29 15:52

20ef261101c941dabfa7ccab7fd50fd1.png

主要考察粤语阅读理解能力 选C

94. [单选题] 参考Emma_Mobile.zip中的微信对话分析,Emma为什么盜取David的IDFC?(1分)

A. Emma为了买名贵手表

B. Emma为了赌钱

C. Emma为了炒卖虚拟货币

D. Emma为了还财务公司的欠债

cb399719d5014531a4113a7d0cbd0c90.png

主要考察粤语阅读理解能力 选D

95. [单选题] 参考David_Laptop_64GB.e01及David,Emma及Clara的微信对话,分析IDFC的交易记录,Emma盜取了David虚拟货币钱包内哪个地址的IDFC? (2分)

A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c

B. 0x152c90200be61a540875f2a752c328bd19dbfb87

C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220

D. 0x70544880875fe907cee383873ca58da23378caa5

4d8c478d856f4ea1be450ddd08a35285.png

就是一开始那个最后访问的地址有相关的信息

0334a5516ff64ee29afada16b4c7d9e6.png

只有a是在发现被盗之前转走的

6fefd38a1d2d4f029927cd55815592fb.png

73218eae1d8246e380297ef7f7ebe130.png

96. [单选题] 根据David,Emma及Clara的微信对话及IDFC的交易记录作分析,Emma总共盗取了David多少IDFC?(2分)

A. 90,000 IDFC

B. 170,000 IDFC

C. 9,300,000 IDFC

D. 9,390,000 IDFC

看上面可以知道是9K

97. [多选题] 根据Emma及Clara的微信对话,下列哪些地址是由相同的恢复短语(Recovery Seed)所生成?(3分)

A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c

B. 0x152c90200be61a540875f2a752c328bd19dbfb87

C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220

D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042

之前图片里面有助记词:

stock avocado grab clay light sadness segment ancient toe talk elder oil

fc66f1722b7b47cf9ec6e794830a4a55.png

放到这个网站里面 BIP39 - Mnemonic Code

注意设置好钱币类型

最后abc匹配

98. [单选题] 根据IDFC的交易记录作分析,总共有多少次IDFC交易流入地址0x10a4f01b80203591ccee76081a4489ae1cd1281c?(1分)

fce7aab7166b4dff95592e4da0c00356.png

一共两次

99. [单选题] 参考David_Laptop_64GB.e01,在David计算机的D盘内有一张图片,根据图片上的信息,找出David另一个虚拟货币钱包的恢复短语(2)(Recovery Seed),下列哪一个单词是在此恢复短语(2)(Recovery Seed)内?(3分)

A. fall

B. bread

C. brain

D. dove

e2e3e7a22b27474f99f382f1af71604c.png

直接搜索就可以出来

然后用暴力搜索一下内存文件里面的东西

ea0845483529473f9adb2021fc7f2870.png

答案是D

100. [多选题] 承上题,参考David_Laptop_64GB.e01,在IDFC的交易记录中,下列哪些地址由上述恢复短语(2)(Recovery Seed)所生成?(2分)

A. 0xb2e3dbea311511ec5bda3e85e061f15366f888a6

B. 0xe90ad3f80e39e83b533eef3ed23c641ec51089c6

C. 0x90f73497E4446f6Cf9881213C32D6af66d799fE5

D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042

和上面的题目一样 助记词是下面这些

infant fragile garlic bracket stove blade stick dove aerobic spin term educate

然后就可以的出来答案是CD

 

 

 

 

评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值