虚拟案件
6FC0B6E0A4F66B4DB9F11D6F39F45C45
检材信息
鉴定要求
1、* xyr计算机MAC地址?
适配器名称 | MAC地址 |
Realtek PCIe GbE Family Controller | C0-18-50-1F-49-0F |
Intel(R) Wi-Fi 6 AX201 160MHz | 84-5C-F3-50-0C-E9 |
Intel(R) 82574L Gigabit Network Connection | 00-0C-29-76-14-22 |
2、* 对xyr的计算机检材进行分析,USB设备“Kingston DataTraveler 2.0 USB Device” 该设备序列号?
名称 | 序列号 |
Kingston DataTraveler 2.0 USB Device | C860008863E1EF90BA12C2F4 |
3、*** 对xyr的计算机检材进行分析,登录过宝塔ip地址是什么?
1 | 103.144.29.208 |
2 | 121.40.221.252 |
3 | 154.202.56.185 |
4 | 154.202.56.57 |
5 | 156.236.64.70 |
6 | 156.236.65.149 |
7 | 156.236.65.66 |
8 | 156.236.65.67 |
9 | 156.236.66.130 |
10 | 156.236.67.121 |
11 | 156.236.67.241 |
12 | 198.16.61.74 |
13 | 198.16.61.75 |
4、* 对xyr的检材进行分析,阿里云OSS登录的AccessKeyId是多少?
LTAIn8jpkldVfPW1
5、*** xyr计算机中登陆过的微软账户密码?
账号:qq375462225@hotmail.com
密码:375462225qq
使用ftk挂载硬盘镜像后,使用EmEditor搜索D盘中的全部文件关键字为”qq375462225”,在目录为:雷电模拟器9(64)-v9.0.43-去广告免装版\LDPlayer9\vms\leidian0\data.vmdk里发现了匹配项
使用手机取证分析系统对虚拟机硬盘data.vmdk进行分析,发现记事本app
6、* 对xyr的计算机检材进行分析,使用V2RayN代理服务器的节点IP是多少?端口号多少?2022年12月份登陆日期是?
IP:42.51.225.45 端口:33890 登录日期:12月1日、12月16日、12月21日
通过程序目录日志文件夹guilogs查看登录时间
7、** 对xyr的计算机检材进行分析,该案涉案apk使用的打包公司软件名称及其用户名?
通过apk的哈希值6FC0B6E0A4F66B4DB9F11D6F39F45C45反向查找电脑上的apk文件
通过listary匹配关键字查找电脑中apk文件,找到文件夹名称为ttshop拼音缩写
找到匹配文件:__UNI__D272D97_cm.apk,通过星源系统分析打包服务商为:数字天堂(北京)网络技术有限公司
软件名称:HBuilder X 用户名:375462225@qq.com
8、* 对xyr的手机检材进行分析,支付宝的用户ID是什么?
2088202438606340
2088822303873116
9、***** 对xyr的计算机检材进行分析,嫌疑人计算机中加密分区bitlocker恢复秘钥串是什么?
秘钥串:132330-179773-487487-573694-596079-462572-031064-128898
长度一定,规则一定的特殊字符串,通过正则方式匹配文档
通过系统日志中Microsoft-Windows-BitLocker-Driver发生时间为2023年6月2日10:25
通过软件中win10时间线功能,看到邮件客户端MailbirdSetup.exe
客户端中有一封主题为珍藏的邮件,其中附件与桌面图片名一致但大小不一致
使用winhex分析2个文件,邮件中图片文件头是Exif
文件末尾有可疑的1.txt和zip文件包头文件504b
将文件头504b后的数据复制到新文件,得到压缩包1.zip
打开压缩包发现1.txt文件,解压后发现bitlocker恢复秘钥
10、** 对xyr的计算机检材进行分析,电脑内该案件涉案apk现存路径?
通过apk的哈希值6FC0B6E0A4F66B4DB9F11D6F39F45C45反向查找电脑上的apk文件
11、** 对xyr的手机检材和计算机检材进行分析,亿速云注册手机号、账号、密码分别是什么?
手机号:18662051007 账号:YS221520 密码:woAIni%@1
第一步.手机取证软件搜索”亿速”关键词
第二步.微云笔记,数据库地址:C:\Users\Administrator\AppData\Roaming\Tencent\WeiyunApp\wns\weiyun.note.375462225
//wsl挂载硬盘搜索,EmEditor搜索目录
18662051007
亿速云----------- 18662051007 woAIni%@1
12、** 对xyr的计算机检材进行分析,亿速云服务器充值总费用是多少?
充值总费用:31706.96 元
计算机取证分析系统,文档打开历史中存在文件名为”亿速流水.xls”的表格
解锁加密盘后统计充值费用
13、** 对xyr的手机检材和计算机检材进行分析,嫌疑人使用的银行卡号是多少?
手机取证分析系统,查看微信绑定银行卡
使用关键字”侯连山”搜索
6222620620002065315 河南省郑州市北三环支行 侯连山
6216608000004356632 中国银行 侯连山
微云笔记,数据库地址:C:\Users\Administrator\AppData\Roaming\Tencent\WeiyunApp\wns\weiyun.note.375462225 使用关键字”侯连山”搜索content字段
电脑桌面起诉书图片