2024美亚杯个人赛部分赛题复现

最新推荐文章于 2024-12-15 21:07:40 发布

我在学习真的在学习

最新推荐文章于 2024-12-15 21:07:40 发布

阅读量1.4k

点赞数 15

分类专栏：取证文章标签：取证

本文链接：https://blog.csdn.net/2302_81156108/article/details/143693755

版权

取证专栏收录该内容

1 篇文章

订阅专栏

以下答案解析仅代表个人观点，如果错误还请师傅们多多指正！

有一点就是如果出现谷歌邮箱，大家拿盘古石的取证软件做挺方便的。

其实还有一个问题就是找谷歌邮箱的数据库我不太会找，需要大佬们多多指导，谷歌数据库的题我都放掉了基本，因为浪费我太多时间了,其实主要是我没有盘古石的授权来着。

参考来自:2024“美亚杯”第十届中国电子数据取证大赛资格赛参考WP

鸣谢大佬的文章参考学习

一、案件背景

2024年8月某日，香港警方接获一名本地女子Emma报案，指她的姐姐Clara失联多天，希望报告一宗失踪人口的案件。现在你被委派处理这宗案件。在处理该案件期间，你在Emma的同意下提取了她手机的资料，并且协助警方对Clara及其丈夫David的电子装备进行取证工作。请分析以下的资料，还原事件经过

二、检材列表

三、题目解析

1. [单选题] Emma已经几天没有收到她姐姐Clara的消息了，报警失踪，她焦虑地将手机提交给警察，希望能找到线索。警察将手机交给你进行电子数据取证。你成功提取了Emma手机的镜像。请根据取证结果回答以下问题。根据Emma_Mobile.zip，Emma和Clara的微信聊天记录，Emma最后到警署报案并拍摄写有报案编号的卡片，拍摄时的经纬值是多少？(2分)

A. 22.451721666667, 114.171853333333

B. 22.451553333333, 114.172845

C. 22.451928333333, 114.170503333333

D. 22.451638333333, 114.16993

解析:

图片找到了

<msg><img hdlength="0" length="139561" aeskey="b3f5f12230235d3dfe4f90e4984c8ebf" encryver="1" md5="44c089af8c9a1414edb8ee6026be3307" originsourcemd5="0bbe83bda8f3e13735e9009078a231f0" filekey="wxid_t7zgo57j9m0j22_314_1725012210" uploadcontinuecount="0" imgsourceurl="" hevc_mid_size="139561" cdnbigimgurl="" cdnmidimgurl="3052020100044b30490201000204a695112702030f525902044b7d9b2b020466d198f2042432353830663531302d623137372d343463312d623732642d6566396562313331663331610204011d0a020201000400" cdnthumburl="3052020100044b30490201000204a695112702030f525902044b7d9b2b020466d198f2042432353830663531302d623137372d343463312d623732642d6566396562313331663331610204011d0a020201000400" cdnthumblength="3971" cdnthumbwidth="90" cdnthumbheight="120" cdnthumbaeskey="b3f5f12230235d3dfe4f90e4984c8ebf"/><appinfo><appid></appid><appname></appname><version>0</version><isforceupdate>1</isforceupdate><mediatagname></mediatagname><messageext></messageext><messageaction></messageaction></appinfo><MMAsset><m_assetUrlForSystem><![CDATA[F58B98FE-8010-44B7-8BF7-F23AF15DCFCA/L0/001]]></m_assetUrlForSystem><m_isNeedOriginImage>0</m_isNeedOriginImage><m_isFailedFromIcloud>0</m_isFailedFromIcloud><m_isLoadingFromIcloud>0</m_isLoadingFromIcloud></MMAsset></msg>

其中的CDATA部分指向了一个UUID，在Photos.sqlite数据库中搜索F58B98FE-8010-44B7-8BF7-F23AF15DCFCA，找到了IMG_0019.HEIC

2. [单选题] 根据Emma_Mobile.zip，2024年8月30日下午两点后Emma共致电Clara多少次？(1分)

A. 85

B. 86

C. 87

D. 88

在AddressBook.sqlitedb.db的ABPersonFullTextSearch_content表中可以找到Clara的电话号码为63791704

6379 1704 +85263791704 00185263791704 0085263791704 01185263791704 63791704

3. [单选题] 根据Emma和Clara的微信聊天记录，Clara失踪前曾告诉Emma会到哪里？(1分)

A. 到酒店和丈夫David庆祝结婚周年

B. 吃自助餐

C. 约了朋友见面

D. 去旅行

4. [填空题] 参考Emma_Mobile.zip，Emma的iPhone XR内微信应用程序的版本是多少？(2分)

5.[多选题] 参考Emma_Mobile.zip，Emma手机中下列哪个选项是正确的？(2分)

A. iOS版本为17.6.1

B. IMEI为356414106484705

C. Apple ID为Emma1761@gmail.com

D. 手机曾经安装Metamask应用程式

com.apple.commcenter.plist 文件存储了与设备通信相关的一些配置信息。这个文件通常包含设备与运营商的网络相关的配置信息和状态，例如：

设备的网络连接状态：包括网络类型、信号强度等信息。
SIM 卡信息：如果设备启用了蜂窝功能，文件中可能包含与 SIM 卡相关的信息，如 ICCID（国际移动用户识别码）等。
蜂窝网络参数：包含网络运营商的信息、APN 配置等。
设备的蜂窝功能状态：例如，网络是否可用、是否启用飞行模式、SIM 卡是否被检测到等。

常见的内容

虽然 com.apple.commcenter.plist 文件的具体内容会因设备和系统版本的不同而有所差异，但一般来说，它包含一些常见的字段：

Cellular Data Settings：蜂窝数据的相关配置。
Operator Name：运营商的名称。
SIM State：SIM 卡的状态（如已插入、未插入、无信号等）。
Radio Status：设备的无线状态（如蜂窝信号、飞行模式、Wi-Fi 状态等）。
IMEI 和 ICCID：设备的 IMEI 号和 SIM 卡的 ICCID 号。

kEntitlementsSelfRegistrationUpdateImei 是一个与 iOS 系统内部功能相关的标识符，它出现在某些系统配置文件或调试日志中，特别是在涉及 设备的身份验证 或 网络配置 方面。这个标识符可能与设备的 IMEI 更新 或 自注册机制 相关，具体用途通常和设备的身份验证流程、SIM 卡管理、以及运营商服务配置相关。

在 iOS 系统中，IMEI（国际移动设备身份码）是设备硬件的唯一标识符，它对于蜂窝网络的运营商来说非常重要，通常用于注册设备、激活服务以及进行设备管理等。

kEntitlementsSelfRegistrationUpdateImei 可能的作用：

IMEI 更新：该标识符可能与设备的 IMEI 更新机制有关，通常用于管理设备的身份，尤其是当设备的 IMEI 发生变化或需要被重新注册时。IMEI 号在设备和网络运营商之间的通信中扮演着关键角色，用于标识和追踪设备。

自注册（Self Registration）机制： iOS 设备可能有某种机制允许设备通过网络或通过运营商服务自我注册。kEntitlementsSelfRegistrationUpdateImei 可能与这种自注册机制相关，可能涉及设备在加入运营商网络时更新其 IMEI 号，或在设备从一个运营商转到另一个运营商时执行 IMEI 的重新注册。

运营商配置和管理：该标识符也可能与运营商配置文件中的特定权限或操作相关。运营商有时会向设备推送配置文件，帮助设备在连接到网络时注册和配置相关服务。这些操作可能包括更新设备的 IMEI 号，尤其是在更换 SIM 卡或设备激活的过程中。

6. [填空题] 参考Emma_Mobile.zip,Emma手机中Apple ID的注册电子邮箱是多少？(2分)

7. [填空题] 参考Emma_Mobile.zip，在2024年，Emma手机上曾记录的电话卡集成电路卡标识符(ICCID)是多少？(答案格式:只需使用阿拉伯数字回答)(2分)

8. [填空题] 参考Emma_Mobile.zip，Emma手机的蓝牙设备名称"ELK-BLEDOM"的通用唯一标识符(UUID)是什么？(1分)

9.你发现了一些线索，Emma看起来也很可疑，她似乎背负了大量债务。参考Emma_Mobile.zip，Emma手机内Safari浏览记录中网页"https://racing.hkjc.com/"的网站标题是什么？(1分)

A. 香港马会奖券有限公司

B. 六合彩 - Google 搜索

C. 快易钱:网上贷款财务公司 | 足不出户现金即日到手

D. 赛马信息 - 香港赛马会

10. [单选题] 参考Emma_Mobile.zip，Emma向Clara透露什么原因令Emma欠下巨债？(1分)

A. 投资孖展

B. 虚拟货币失利

C. 网上赌博

D. 以上皆是

11.[单选题] 参考Emma_Mobile.zip，收债人要求Emma还款数量？(1分)

A. 港币$786,990

B. 港币$878,990

C. 港币$786,980

D. 港币$745,330

12. [单选题] 参考Emma_Mobile.zip，Emma发送了多少张.PNG图片给Clara，证明自己正被人追债？B

A. 6

B. 7

C. 8

D. 9

13. [单选题] 参考Emma_Mobile.zip，Emma用来浏览虚拟货币的网址？(2分)

A. Google.com

B. Facebook.com

C. IntellaX.io

D. Yahoo.com

排除法选C

14. [单选题] 参考Emma_Mobile.zip的浏览器记录，有多少网址与bet365有关? (2分)

A. 3

B. 13

C. 9

D. 12

浏览器记录在History.db、SafariTabs.db、Bookmarks.db这三个数据库中

在History.db中搜索bet365无相关记录

在SafariTabs.db中有一条记录

在Bookmarks数据库中有两条记录

15. [单选题] 你还发现了一些与不当使用他人加密钱包相关的痕迹。参考Emma_Mobile.zip，Emma用了哪些恢复短语(Recovery Phrase)进入David的虚拟货币账户？(2分)

A. stock,avocado,grab,clay

B. light,sadness,segment,ancient

C. toe,talk,elder,oil

D. 以上皆是

16. [单选题] 参考Emma_Mobile.zip，Emma从David处窃取的虚拟货币的名称是什么？(2分)

A. IDFC

B. ICAC

C. INIC

D. IFCC

17. [单选题] 参考Emma_Mobile.zip，Clara偷拍的照片中，David的虚拟货币余额是多少？(2分)

A. 3266378.99

B. 1044749.22

C. 5022915.66

D. 7822468.44

18. [单选题] 参考Emma_Mobile.zip，Emma在偷窃David的虚拟货币前，Emma曾向Clara透露有什么事发生在Emma身上？(1分)

A. 中彩票

B. 欠债

C. 升职

D. 失业

19. [多选题] (你查看了Emma手机中的一些照片数字信息，以获取更多与失踪案件的信息)Emma的iPhone XR中"IMG_0008.HEIC"的图像与相片名字为的"5005.JPG" 看似为同一张相片，在数码法理鉴证分析下，以下哪样描述是正确？(3分)

A. 储存在不同的.db檔案里

B. 有不同哈希值

C. IMG_0008.HEIC为原图，"5005.JPG"为并非原图

D. IMG_0008.HEIC和名字"5005.JPG"是同一张相片

HEIC为iOS和macOS的专有格式，一般苹果设备拍摄的照片原图是HEIC格式的，JPG格式可能为缩略图，它们的哈希值不同

20~24题解析来自:2024“美亚杯”第十届中国电子数据取证大赛资格赛参考WP

20. [单选题] 参考Emma_Mobile.zip，Emma的iPhone XR中"IMG_0009.HEIC" 的图像显示拍摄参数怎样？(2分)

A. iPhone XR back camera 4.25mm f/1.8

B. iPhone XR back camera 4.25mm f/2.8

C. iPhone XR back camera 4.25mm f/2

D. iPhone XR back camera 4.25mm f/1.6

A. iPhone XR back camera 4.25mm f/1.8

数据库中搜索IMG_000，得到如下结果

个人理解是IMG_0005.HEIC和IMG_0006.HEIC这两张图片都有对应的PNG，苹果的实况图片格式为HEIC，对应的PNG应该是其中某一帧的静态图片，而IMG_0002.HEIC和IMG_0004.HEIC没有单独的PNG静态图片，应该本身就不是实况图

21. [多选题] 参考Emma_Mobile.zip，Emma的iPhone XR中相片文件IMG_0009.HEIC提供了什么电子证据信息？(3分)

A. 此相片是由隔空投送 (Airdrop)得来

B. 此相片由iPhone XR拍摄

C. 此相片的拍摄时间为2024-08-05 13:38:15(UTC+8)

D. 此相片的拍摄时间为2024-08-06 08:30:52(UTC+8)

B. 此相片由iPhone XR拍摄C. 此相片的拍摄时间为2024-08-05 13:38:15(UTC+8)

由上题可知该照片是由iPhone XR拍摄

拍摄时间为2024:08:05 13:38:15

22. [多选题] 参考Emma_Mobile.zip，Emma的iPhone XR内以下哪张照片是实况照片(Live Photos)？(2分)

A. IMG_0002.HEIC

B. IMG_0005.HEIC

C. IMG_0004.HEIC

D. IMG_0006.HEIC

B. IMG_0005.HEICD. IMG_0006.HEIC

数据库中搜索IMG_000，得到如下结果

23. [单选题] 参考Emma_Mobile.zip,手机里有多少张照片是用手机后置摄像镜头拍摄的? (2分)

A. 5

B. 6

C. 7

D. 8

D. 8

数据库中搜back camera，共8条结果

24. [单选题] 参考Emma_Mobile.zip的通讯记录，MesLocalID 224是什么类的文件？(3分)

A. 相片

B. 影片

C. 文件

D. 报表

A. 相片

在message_2.sqlite中，为img相片文件

25. [单选题] 依据你在Emma的手机上找到的照片，你告诉调查员Clara最后的位置是在湾仔的一家酒店。根据你提供的信息，调查员发现Clara在酒店去世，Clara的手机在她的附近，你对Clara的手机进行取证。请根据取证结果回答以下问题｡参考Clara_Smartphone.bin，Clara手机的Android操作系统版本是？(1分)

A. 8.0.0

B. 9.0.0

C. 8.1.0

D. 7.0.0

解析一:

解析二:x-way过滤build.prop即可

26. [填空题] 参考Clara_Smartphone.bin，Clara手机的版本号(Build Number)是什么？(1分)

27. [填空题] 参考Clara_Smartphone.bin，Clara手机的IMEI号码是多少？(答案格式:只填写阿拉伯数字部分) (1分)

x-way过滤

Identify.txt
mistat.xml
*imei.xml

28. [填空题] 参考Clara_Smartphone.bin，Emma的微信账号是？(2分)

29. [单选题] 参考Clara_Smartphone.bin，Clara的第一封电子邮件记录的日期？(2分)

A. 2024-07-10

B. 2024-07-18

C. 2024-07-23

D. 2024-07-30

30. [单选题] 参考Clara_Smartphone.bin，在通讯录中"David"的联系人信息还包括什么? (2分)

A. 出生日期

B. LinkedIn

C. 电子邮件

D. 地址

31. [单选题] 参考Clara_Smartphone.bin，David和Clara之间通话次数? (2分)

A. 0

B. 8

C. 10

D. 24

32. [单选题] 参考Clara_Smartphone.bin，Clara在Chrome浏览器搜索中哪天使用了关键词"popmart 炒价"? (2分)

A. 2024-08-10

B. 2024-08-15

C. 2024-08-20

D. 2024-08-25

33. [单选题] 参考Clara_Smartphone.bin，2024年7月30日共收到多少封电子邮件？(2分)

A. 2

B. 3

C. 4

D. 5

34. [填空题] 参考Clara_Smartphone.bin，Clara的Gmail账号是? (2分)

clara.ccc0807@gmail.com

35. [单选题] 参考Clara_Smartphone.bin，Clara的手机安装了哪个版本的WhatsApp？(2分)

A. 241676000

B. 241676001

C. 241676004

D. 241676007

36. [填空题] 参考Clara_Smartphone.bin，Clara的WhatsApp账号？(答案格式:只需填写11位阿拉伯数字) (2分)

37. [单选题] 参考Clara_Smartphone.bin，Clara的手机在什么时候安装了小红书APP？(2分)

A. 2024-07-10

B. 2024-07-16

C. 2024-07-20

D. 2024-07-30

38. [单选题] 参考Clara_Smartphone.bin，2024年8月21日David的虚拟貨幣钱包里有多少IDFC？(3分)

A. 5022915.66

B. 3212695.22

C. 210355633.91

D. 以上皆不是

39. [填空题] 参考Clara_Smartphone.bin，Clara注册的微信账号验证码是多少？(2分)

40. [填空题] 参考Clara_Smartphone.bin，David为庆祝结婚周年纪念预订了哪家酒店？提示:请使用大写英文字母作答，例如:HONG KONG HOTEL) (3分)

41. [填空题] 参考Clara_Smartphone.bin，哪个数据库文件存储了微信消息？(答案格式:只需使用全部大写回答, 例如:ABC.DB) (3分)

42. [填空题] 参考Clara_Smartphone.bin，哪个数据库文件(.db)存储了WhatsApp訊息？(3分)

43. [单选题] 参考Clara_Smartphone.bin，Clara在2024年8月29日拍了多少张照片？(2分)

A. 0

B. 3

C. 4

D. 5

44. [单选题] 参考Clara_Smartphone.bin，Emma在2024年8月6日通过微信发送了多少张照片给Clara? (2分)

A. 0

B. 1

C. 5

D. 12

45. [填空题] 参考Clara_Smartphone.bin，照片20240829_144717.jpg的拍摄相机型号是什么？(2分)

46. [单选题] 参考Clara_Smartphone.bin，20240821_121435.jpg的储存路径是什么？(2分)

A. /media/0/DCIM/Camera

B. /media/1/DCIM/Camera

C. /media/00/DCIM/Camera

D. /media/11/DCIM/Camera

47. [填空题] 参考Clara_Smartphone.bin，2024年8月20日有多少张截图？(2分)

48. [单选题] 参考Clara_Smartphone.bin，2024年8月22日被删除微信消息的类型是？(3分)

A. 照片

B. 视频

C. 文本

D. 以上都不是

49. [填空题] 你在查看Clara的手机镜像后，确定Clara是David的妻子，调查员通过查询酒店预订记录确认了这一点。他们现在定位David的住所，以进行进一步调查。你首先分析David的手机。参考David_Smartphone_1.zip，根据Contents.db，David手机接收了通讯软件"Telegram"的验证短信，该验证码是多少？(3分)

50. [填空题] 参考David_Smartphone_1.zip，David把手机设置为个人热点，请找出个人热点的密码。(3分)

51. [判断题] 参考David_Smartphone_1.zip, David 手机曾连接名为"MTR Free Wi-Fi" 的Wi-Fi ｡ (2分)

52. [填空题] 参考David_Smartphone_1.zip，根据com.tencent.mm_preferences.xml，David的手机最后登录微信的微信ID是？(3分)

先随便搜索一个微信号

注意前面的字段搜索字段最后一个

结果他就是最后一个。

53. [填空题] 参考David_Smartphone_1.zip，请指出哪一张图片是于2024年8月28日利用屏幕截取的。(答案格式:ABC_123.jpg) (3分)

先选中截屏

然后我们惯用的看看名称格式20240828搜索试试

唯一一张

54. [填空题] 参考 David_Smartphone_1.zip，根据Contents.db，David手机的型号(Model)？(答案格式:大写英文字母和符号'-' 混合组成) (2分)

一眼搜索题啊，直接搜完事

55. [填空题] 参考 David_Smartphone_1.zip的Contents.db，David所使用的手机SIM 卡的序号？(答案格式:只需要用阿拉伯数目字回答) (1分)

56. [填空题] 参考 David_Smartphone_1.zip，David手机安装了应用程序"MetaMask"。根据persist-root中，"MetaMask"钱包内有多少个账号？(3分)

解析AccountTackerController，先搜索这个文件，我们进行一个json解析，使用json编码器

找到四个

57. [单选题] 参考 David_Smartphone_1.zip，根据persist-root中，何时从应用程序"MetaMask"发送虚拟货币至以下地址: 0X10A4F01B80203591CCEE76081A4489AE1CD1281C (3分)

A. 2024-08-11 12:49(GMT+8)

B. 2024-08-14 16:58 (GMT+8)

C. 2024-08-14 16:59 (GMT+8)

D. 2024-08-16 17:24 (GMT+8)

直接搜索即可找到最后的时间戳

58. [单选题] 参考 David_Smartphone_1.zip，David曾利用手机应用程序"MetaMask"三次发送虚拟货币失败。根据persist-root，发送虚拟货币失败的原因是什麼？(3分)

A. 网络连接问题

B. 应用程序权限被拒

C. 接收地址错误

D. 手续费不足

先找到三次失败记录

可以看到三次都是手续费不足

59. [单选题] 你根据易失性(Volatility Level)优先次序，进行内存取证分析David的笔记本电脑。参考RAM_Capture_David_Laptop.RAW，以下哪一个不是程序"firefox.exe"的PID？(2分)

A. 9240

B. 8732

C. 5260

D. 3108

先跑一跑框架

volatility.exe -f RAM_Capture_David_Laptop.raw imageinfo

最后的结果是跑半天跑不出来，那应该用的是vol3了。看师傅用lovelymem一把梭了，下一个玩玩。

更新ing

一把梭

60. [填空题] 参考RAM_Capture_David_Laptop.RAW，汇出PID：724的程序，其哈希值(SHA-256)是？(2分)

好像因为我的磁盘原本挂载的镜像就是在M盘，然后有点冲突了，没访问到挂在目录下，出了点小问题后面几个内存取证大家可以参考师傅的微信公众号文章2024“美亚杯”第十届中国电子数据取证大赛资格赛参考WP

61. [单选题] 参考RAM_Capture_David_Laptop.RAW，哪一个是执行PID：724程序的SID？(1分)

A. S-1-1-0

B. S-1-2-0

C. S-1-5-21-1103701427-1706751984-2965915307-1001

D. S-1-5-21-1103701427-1706751984-2965915307-513

62. [填空题] 参考RAM_Capture_David_Laptop.RAW，账户David Tenth的NT LAN Manager的哈希值(NTLM Hash)？(答案格式:只需使用全部小写及阿拉伯数字回答) (1分)

63. [单选题] 在取证中，你发现D盘被BitLocker加密。U盘上可能有一些线索，你对U盘进行了取证。参考David_USB_8GB.e01，David 的U盘文件系统的格式？(2分)

A. NTFS

B. FAT32

C. exFAT

D. ReFS

这题就直接xway就可以了

64. [单选题] 参考David_USB_8GB.e01，David的U盘文件系统中，每簇(Cluster)定义了多少字节(Byte)？(2分)

A. 128

B. 256

C. 512

D. 1024

65. [单选题] 参考David_USB_8GB.e01，David的U盘中有多少个已删除的文件？(2分)

A. 1

B. 2

C. 3

D. 4

80. [单选题] 参考David_USB_8GB.e01，解密后的Bitlocker Key是？(3分)

A. 299255-418649-198198-616891-099682-482306-642609-483527

B. 745823-918273-564738-290183-475920-182736-594827-162839

C. 539823-847291-094857-194756-382910-472918-482937-120984

D. 829384-192837-475910-298374-019283-847362-564738-293847

81. [单选题] 到目前为止,你已经获得了BitLocker密钥以解密D盤，通过对David笔记本电脑D盤的分析，并发现了一些重要信息。你现在将继续调查未加密的C盤｡参考David_Laptop_64GB.e01，分区格式(Partition)是？(2分)

A. MBR

B. GPT

C. RAW

*82. [单选题] 参考David_Laptop_64GB.e01，該e01成功提取的日期和时间是？(2分)

A. 2024-09-05 15:55:28

B. 2024-09-02 11:52:31

C. 2024-09-03 14:37:28

D. 2024-09-03 12:16:49

83. [填空题] 参考David_Laptop_64GB.e01，最后登录的用户是谁？(答案格式:大写英文字母,小写英文字母和空格混合组成,例如:Tom Hanks) (2分)

84. [单选题] 参考David_Laptop_64GB.e01，用户配置的时区是？(2分)

A. Australian Central Time

B. China Standard Time

C. New Zealand Standard Time

D. Nepal Time

85. [单选题] 参考David_Laptop_64GB.e01，David的笔记本电脑曾經连接了多少个设备？(2分)

A. 1

B. 2

C. 3

D. 4

86. [填空题] 参考David_Laptop_64GB.e01，David的笔记本电脑上的Firefox浏览器安装了哪些扩展工具？(答案格式:请以大寫英文字母作答，无须留空白位) (2分)

仿真即出

87. [单选题] 参考David_Laptop_64GB.e01，根据用户配置文件中的.lnk文件，最后访问的文件名称是？(2分)

A. 下載

B. export-token

C. RAM_Capture_DaviD

D. 本機磁碟(E) (2)

方法一:过滤*.lnk

按照修改时间排序发现两个文件时间相同查看详细但是我发现时间都一样啊?所以我也很疑惑

方法二:仿真后win+r，输入recent，按修改时间倒序排列

我只能保留疑问，虽然师傅写的是B但是我都不知道为啥。

88. [单选题] 参考David_Laptop_64GB.e01,David的笔记本电脑曾經连接了多少个不同的Wi-Fi? (2分)

A. 1

B. 2

C. 3

D. 4

89. [填空题] 承上题,参考David_Laptop_64GB.e01，该Wi-Fi网络的名称(SSID)是？(答案格式:大写英文字母和小写英文字母混合组成) (2分)

90. [单选题] 参考David_Laptop_64GB.e0，该电脑的Windows操作系统的安装日期是什么？(2分)

A. 2024-07-31 09:55:37 UTC+8

B. 2024-08-01 13:10:15 UTC+8

C. 2024-07-31 10:18:26 UTC+8

D. 2024-08-01 14:43:55 UTC+8

91. [单选题] 通过对David 笔记本电脑的电子数据取证和痕迹分析，你了解到David是一名cryptocurrency专家。(假設虚拟貨幣International Digital Forensics Coin (IDFC)面值是每1個IDFC等如1-HKD IDFC Token Address: 0x56E7A6dd8aA1c78ba77944C94c43054978E89b7b 區塊鏈: Binance Smart Chain) 下列那个网站能够找到区块链:Binance Smart Chain的交易记录？(1分)

A. binance.com

B. bscscan.com

C. etherscan.io

D. blockchain.com