某地2023三所能力验证

1、 计算样品文件解压之后得到的“嫌疑人计算机.dd”文件的MD5哈希值；（答案格式：MD5 128Bit值，例：A20CBF5AF6AB46814204CDCA7078F422）（5分）

答题内容：046DE7BBD659AFA47C9D7138BB3EF7EB。

检验过程：使用电子物证检验工作站解压检材文件“2023GA-CNAS014.zip”，使用HashMyFiles计算“嫌疑人计算机.dd”校验值，校验值MD5值为：046DE7BBD659AFA47C9D7138BB3EF7EB。

校验值

2、 列出检验过程中使用的方法标准和软硬件工具（标准需包含编号，软件设备需包含版本号）；（5分 ）

答题内容：

方法标准

《GB/T 29361-2023 法庭科学 电子数据文件一致性检验规程》

《GB/T 29362-2023 法庭科学 电子数据搜索检验规程》

《GA/T 756-2021法庭科学 电子数据收集提取技术规范》

《GA/T 1480-2018法庭科学 计算机操作系统仿真检验技术规范》

《SF/Z JD0401002-2015 手机电子数据提取操作规范》

《SF/Z JD0402003-2015 即时通讯记录检验操作规范》

硬件：电子物证检验工作站，只读接口

软件：HashMyFile v2.42

取证大师64位 版本V6.2.04215RTM

电子数据仿真取证系统V6.2.03882RTM

手机大师-并行版V3 版本V3.2.04501RTM

WinHex/X-Ways Forensics 20.0

检验过程：

3、 通过分析受害人的手机备份，受害人卸载过的应用中，最早卸载的应用的包名称是什么？（答案格式如：com.abc.cn）（5分）

答题内容：com.mostone.life

检验过程：使用电子物证检验工作站查看解压的检材，发现“受害人手机”文件夹为备份文件，并且部分文件包名存在中文“小米”。使用手机大师-并行版V3，选择手动加载-文件取证，文件类型选择手机备份文件，手机平台为Andriod，并选择手机为小米，文件路径选择“受害人手机”文件夹所在路径。使用推荐策略进行扫描，查看取证结果，在手机助手-小米应用商店下发现存在卸载记录，最早卸载记录（最后使用时间最早2023-11-02 14:29:40）软件包名为“com.mostone.life”。

4、 通过分析受害人的手机备份，给出WIFI信号名称“HUAWEI”开头的热点的连接密码是什么?（5分 ）（答案格式：仅填写密码）

答题内容：Baz6cnQr

检验过程：使用电子物证检验工作站解压检材，使用winhex打开“\2023GA-CNAS014\受害人手机”下的“WLAN设置(com.android.settings).bak”，经分析，受害人的手机备份WIFI信号名称“HUAWEI_3251”的连接密码是Baz6cnQr。

5、 通过分析受害人的手机备份，请给出受害人真实老板的微信ID是什么（5分）（答案格式：仅填写微信ID）（5分）

答题内容：wxid_sihk5zddxr9a12

检验过程：使用手机大师对“受害人手机”备份文件进行默认策略分析，在即时通讯-微信（官方版）发现通讯录好友列表中存在好友备注为老板的通讯录好友，微信ID为wxid_sihk5zddxr9a12。

6、 通过分析受害人的手机备份数据，给出受害人转账的银行卡的卡号是多少？（答案格式：仅填写银行卡号）（5分）

答题内容：621785081231666544

检验过程：使用手机大师对“受害人手机”备份文件进行默认策略分析，在即时通讯-微信（官方版）发现与老板流水高山 (Liushenshen1693)好友聊天记录中存在转账信息，银行卡号为621785081231666544。

7、 通过分析受害人计算机镜像，请给出用户“user”登录操作系统的密码是什么？（答案格式：仅填写密码）（5分）

答题内容：13572468

检验过程：使用电子数据仿真取证系统，挂载“受害人计算机.dd”镜像，查看登录密码，发现账户user的密码为13572468。

8、 通过分析受害人计算机镜像，给出用户Samsung U盘的最后的插拔时间是什么？（答案格式：2022-02-02 11:11:11）（5分）

答题内容：2023-12-01 18:35:26

检验过程：使用取证大师挂载“受害人计算机.dd”镜像，选择默认策略进行扫描，查看取证结果，在系统痕迹-USB设备使用痕迹下，发现存在设备USB设备名称“USBSamsung Flash Drive USB Device”，最后插拔时间：2023-12-01 18:35:26。

9、 通过分析受害人计算机镜像，给出系统最后一次正常关闭电脑的时间? （答案格式：2022-02-02 11:11:11）（5分）

答题内容：2023-12-01 18:37:36

检验过程：使用取证大师挂载“受害人计算机.dd”镜像，选择默认策略进行扫描，查看取证结果，在系统痕迹-系统信息下，发现存在最后一次正常关机时间，时间为2023-12-01 18:37:36。

10、分析受害人计算机镜像，受害人电脑中名为“对账单”的压缩包解密密码是什么？（答案格式：仅填写密码）（5分）

答题内容：P@ssw0rd0rd

检验过程：使用取证大师挂载“受害人计算机.dd”镜像，选择默认策略进行扫描，查看取证结果，在邮件解析-电子邮件文件下存在一封本地eml文件“\Users\user\Documents\eml\对账单.eml”，查看内容为“你好，对账单已经生成，请注意查收，密码是P@ssw0rd0rd”。使用该密码解压“对账单.rar”，成功解压。

11、分析受害人计算机镜像，找到受害人收到的发件人为13024169908@163.com的邮件的来源IP地址是什么？（答案格式：仅填写IP地址，例：1.22.333.44）（5分）

答题内容：36.113.66.181

检验过程：使用取证大师挂载“受害人计算机.dd”镜像，选择默认策略进行扫描，查看取证结果，在邮件解析-电子邮件文件下存在一封本地eml文件“\Users\user\Documents\eml\对账单.eml”，发件人为lige<13024169908@163.com>，发件人IP为36.113.66.181。

12、经过前期勘察得知，嫌疑人在群发钓鱼邮件时，收件人邮箱地址从其计算机检材中的某一个文件中获得。分析嫌疑人计算机镜像，并找出上述文件中最后一个合法邮件地址（即满足xxx@xxx.xx格式）是什么（答案格式：xxx@xxx.xx，例：cornon21@163.com）（5分）

答题内容：vwfy9rlf1hkkeyn@163.com

检验过程：使用取证大师挂载“嫌疑人计算机.dd”镜像，选择默认策略进行扫描，查看取证结果，在邮件解析-Mozilla Thunderbird下发现“13024169908@163.com”发送的邮件，选择其中一个收件人邮箱地址“liu10231100@163.com”，使用取证大师搜索功能，对原始数据进行搜索，发现搜索结果中存在“\Users\Monday\Documents\邮箱地址.txt”文件，查看该文件，发现最后一个合法邮件地址为vwfy9rlf1hkkeyn@163.com。

13、分析嫌疑人计算机镜像，找出嫌疑人使用的视频换脸软件名字是什么（答案格式：仅包含启动程序文件名，不包含路径和后缀，例：wechat）（5分）

答题内容：DeepFaceLive

检验过程：使用取证大师挂载“嫌疑人计算.dd”镜像，选择默认策略进扫描，查看取证结果，取证大师用户痕迹中可查看软件使用的记录，然后通过仿真系统对镜像进行仿真后，运行软件确定为换脸软件，运行软件只运行脚本即可。

14、分析嫌疑人计算机镜像，找出在本案件中，嫌疑人在使用换脸软件时，针对“老板”训练的换脸模型MD5是什么（答案格式：MD5 128Bit值，例：A20CBF5AF6AB46814204CDCA7078F422）（5分）

答题内容：5CBC9C9D985D2345AEA81D098ECCB6C5

检验过程：使用取证大师对“嫌疑人计算机.dd”镜像使用默认策略进行分析，在邮件解析-Mozilla Thunderbird已发送邮件中，发现一封邮件主题为又来一单的邮件，内容为“老何，又来一单，再帮我练一下，我换脸要用。”，将附件到处并计算其MD5，MD5校验值为5CBC9C9D985D2345AEA81D098ECCB6C5。

15、分析嫌疑人计算机镜像，找出嫌疑人使用什么远程工具登录到其服务器（答案格式：仅包含启动程序文件名，不包含路径和后缀，例：wechat）（5分）

答题内容：Xshell

检验过程：使用电子数据仿真取证系统对“嫌疑人计算机.dd”镜像进行仿真，打开Xshell，在会话记录中发现名称为“服务器”的远程记录。

16、分析嫌疑人计算机镜像，找出嫌疑人共计诈骗金额多少（不限于本案件）（答案格式：仅包含数值，例：100）（10分）

答题内容：1226188100。

检验过程：使用取证大师对“嫌疑人计复机.dd”镜像使用默认策略进行分析，在文件分类-Word 文档中发现有加密文件(0),打开文件发现一个通过TrueCryp 加密的文件，通过仿真“嫌疑人计算机dd”镜像发现 TrueCryp 加密密码在桌面上一个“jilu.txt”的文档(密码为: Zxcv 2580) 里面，通过打开文档对里面的账目进行数据求和复得总数为: 1226188100。

17、分析嫌疑人服务器镜像（登录密码YGVBNMJ2580），找出木马下载器所下载的木马，在服务器中的文件路径是什么（答案格式：包含完整路径：例：e:\123\456.txt）（10分）

答题内容：C:\inetpub\wwwroot\YH\pack.zip

检验过程：使用电子数据仿真取证系统对“嫌疑人服务器.dd”进行仿真，发现存在IIS，打开IIS，发现存在一个站点，查看IIS日志，发现均为请求（GET）下载/YH/pack.zip。浏览该目录，发现路径“C:\inetpub\wwwroot\YH\”下存在“pack.zip”文件。

18、分析嫌疑人服务器镜像（登录密码YGVBNMJ2580），找出木马程序控制端监听的端口号是多少（答案格式：仅包含数值，例：100）（5分）

答题内容：3270

检验过程：使用电子数据仿真取证系统对“嫌疑人服务器.dd”进行仿真，打开此电脑，选择快速访问，发现最近访问程序存在可疑文件“123.zip”，右键选择其打开文件夹位置，发现存在“client.exe”，执行该程序发现该程序为控端，可以进行远程桌面，虚拟桌面，开启摄像头，Telnet等多个控制他人电脑功能，端口号为3270。