1、检材一硬盘的MD5值为多少?(1分)
80518BC0DBF3315F806E9EDF7EE13C12
2、检材一bitlocker的恢复密钥是多少?(5分)
也是花了一个小时硬跑出来的
585805-292292-462539-352495-691284-509212-527219-095942
3、检材一镜像中用户最近一次打开的文件名是什么?(1分)
在最近访问项目中可以看到最后一次打开的文件
列表.xlsx
4、检材一硬盘系统分区的起始位置?(2分)
分区6的起始扇区为649216
起始位置=起始扇区*512
332398592
5、检材一系统的版本号是多少(格式:x.x.x.x)(1分)
进行环境仿真以后,在cmd里能够看到版本号
10.0.19042.508
6、检材一回收站中的文件被删除前的路径(2分)
C:/Users/rd/Desktop/iTunes(12.13.0.9).exe
7、检材一给出最后一次修改系统时间前的时间(格式:YYYY-MM-DD HH:MM:SS)(3分)
2023-12-12 16:37:12
8、检材一最后一次远程连接本机的时间(格式:YYYY-MM-DD HH:MM:SS)(2分)
2023-12-11 15:57:02
9、检材一Chrome浏览器最后一次搜索过的关键词是什么(2分)
常见的诈骗话术2023
10、检材一是否连接过U盘,如有,请给出U盘的SN码(2分)
FC2005927F271
11、检材一Edge浏览器最早一次下载过的文件文件名是(2分)
winrar-x64-624scp.exe
12、嫌疑人访问的微博的密码的MD5值(3分)
在保存的密码中能够找到微博密码
在在线网站计算一下
5cb42860b3b61ef6dd361ad556f48e05
13、检材二备份的设备名称是什么?(1分)
“User”的 iPhone
14、检材二手机的IOS系统版本是多少(1分)
17.0
15、检材二备份的时间是多少?(格式:YYYY-MM-DD HH:MM:SS)(1分)
2023-12-09 15:02:28
16、嫌疑人iphone手机给号码“13502409024”最后一次打电话的时间是。(格式:YYYY-MM-DD HH:MM:SS)(2分)
在电脑里还有苹果手机的一个备份,我们需要先爆破一下备份密码
爆破出来的密码是25922
然后将备份文件重新分析就能得到手机通话记录
2023-12-04 13:18:50
17、检材二使用过的号码ICCID是多少。(2分)
89860000191997734908
18、检材二手机中高德地图最后搜索的地址。(2分)
万达广场(南沙店)
19、检材二手机最后一次登陆/注册“HotsCoin”的时间是(格式:YYYY-MM-DD HH:MM:SS)(2分)
2023-12-04 13:28:14
20、检材二手机中照片“IMG_0002”的拍摄时间是(格式:YYYY-MM-DD HH:MM:SS)(2分)
2023-12-06 11:08:30
21、检材二中“小西米语音”app的Bundle ID是什么? (2分)
com.titashow.tangliao
22、检材二中浏览器最后一次搜索的关键词是什么?(2分)
ios备份密码忘了怎么办 五位纯数字
23、嫌疑人和洗钱人员约定电子钱包的品牌是什么,如有多个用顿号分隔。(3分)
找到小西米的数据库文件
打开数据库文件,翻一下,
这里可以看到有两个软件
imToken、Bitcoin
24、嫌疑人和洗钱人员约定电子钱包的金额比例是什么。(3分)
0.2
25、检材三中进程“FTK Imager.exe”的PID是多少?(2分)
11328
26、检材三中显示的系统时间是多少?(格式:YYYY-MM-DD HH:MM:SS)(2分)
2023-12-12 12:06:25
27、检材三中记录的当前系统ip是多少?(2分)
172.18.7.229
28、检材四中迅雷下载过的文件名是什么?(1分)
《向银河靠近》.txt
29、检材四中安装了哪些可是实现翻墙(VPN)功能的app?(1分)
Clash
30、检材四备份的设备系统版本是多少?(1分)
在源文件第一个就能看到描述文件
打开后,能够看到版本号
V14.0.2.0.TKSCNXM
31、检材四备份的时间是多少(答案以13位时间戳表示)(1分)
date时间戳也在这
1702459232429
32、检材四中FileCompress app 包名是什么?(1分)
com.zs.filecompress
33、检材四中备忘录记录的内容是什么?(1分)
Vcpswd:edgewallet
34、请列出检材四中所有虚拟币钱包app的包名,如有多个用顿号分隔。(3分)
我是对有怀疑的都去网上搜一下,然后进行排除
de.schildbach.wallet、com.bitcoin.mwallet、piuk.blockchain.android、im.token.app、com.paxful.wallet
35、检材四中嫌疑人使用Bitcoin Wallet钱包地址是什么?(3分)
3KnPxPvpZ43pSc6sUT4Zqsc7pK1Xz5NtMH
36、MD5值为“FF3DABD0A610230C2486BFFBE15E5DFF”的文件在检材四中的位置(2分)
直接过滤搜索
20231213_172032.tar/20231213_172032/FileCompress(com.zs.filecompress).bak/FileCompress/11月.txt
37、检材中受害人的微信号是多少?(2分)
B-I-N-A-R-Y
38、嫌疑人曾通过微信购买过一个公民信息数据库,该数据库中手机尾号是8686的用户的姓名是(3分)
在微信里可以看到传输过一个数据库
打开数据库并筛选一下
章敏
39、嫌疑人手机中是否保存了小西米语音app的账号密码,如有,请写出其密码(5分)
先查看一下小西米的包名com.titashow.tangliao
然后再钥匙串中找到对应的密码
jamvU1@wiwgug$bo
40、公民信息数据库中,截止到2023年12月31日,年龄大于等于18且小于等于30岁之间的用户信息数量(5分)
用数据库语句查询一下
select count(*) from users where substr(IDCARD,7,4) >='1993' and substr(IDCARD,7,4) <='2005';
1717
41、受害人小浩的手机号码是多少(5分)
在仿真桌面上可以看到这个文本文档
结合便签给的提示密码
在之前网页保存的密码中可以找到对应的密码
pR7)nZ5&yQ2-oR0<
13533333333
42、完整的受害人名单是几个人。(6分)
九月十月十一月各两人
6
43、受害人转账的总金额是多少(5分)
600