对给定取证镜像文件进行分析,搜寻证据关键字(线索关键字为“evidence 1”、“evidence 2”、……、“evidence 10”,有文本形式也有图片形式,不区分大小写),请提取和固定比赛要求的标的证据文件,并按样例的格式要求填写相关信息,证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中,您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术,还需要熟悉常用的文件格式(如办公文档、压缩文档、图片等)。
Evidence1
sys.dll:d3c5335367e17b966a13e2663235a1ff
Evidence2
tag:43168b2bdf149526b8bb8b89f1b06cc1
Evidence3
使用foremost分离出来的图片上面写着fake
用strings发现一串编码
hack.png:1308b0d65360eba6a47224733f13ca84
Evidence4
sea.png:1c990420fc307c7bd2b65396c5e5e13f
Evidence5
发现是zip文件,补齐文件头504B0304
解压后是一个没有后缀的jpg文件
tmp:da5d01d2f7e8c37ab1c1857be587ad74
Evidence6
cve.xlsx:c2b9d953d7e04c8e0d08fee3bd4513cd
Evidence7
wb.zip:cdc07e85116b037c40351c49da6eb35a
Evidence8
display:8b2da168f3221d343c4e3f1aceed3e88
Evidence9
发现z.x是压缩包,解压是一张没有后缀的bmp文件
z.x:14046db8621b2aca9ffced76d23cc6e9
Evidence10
topy.docx:04b87697a5fd9e168ced165d21d177e3