“创享杯”第一届电子数据取证线上大比武答案(自做)

1、通过对检材的分析,获取嫌疑人张某通过计算机远程桌面连接过的主机IP地址。(答案格式如:192.168.1.233)
在这里插入图片描述

2、通过对检材的分析,请获取嫌疑人计算机连接“Cai-wifi”的无线WiFi密码。(答案格式如:li123456)
在这里插入图片描述

3、通过对检材的分析,请获取到嫌疑人计算机中Administrator用户的系统登录密码。(答案格式如:li123456,区分大小写)
在这里插入图片描述
在这里插入图片描述

4、通过对检材分析,发现嫌疑人电脑E分区进行了Bitlocker加密分区,请对检材进行取证非分析,找出解开加密分区的BitLocker 恢复密钥:(答案格式如: 111111-000000-111111-000000-111111-000000-111111-000000)
在这里插入图片描述

6、已知嫌疑人U盘检无法正常读取,请对U盘镜像做修复和数据恢复,计算其中“TXT文本”文件的MD5值。(答案格式如:41F930B015A8CE90E02AF3A2F8FB33AF,字母大写)

在这里插入图片描述

7、通过对U盘检材的分析,请找出其文件系统每个簇占用多少KB? (答案格式如:4)
在这里插入图片描述

8、通过对检材的分析,请找出嫌疑人张某的 U盘在其计算机系统中的设备GUID号。(答案格式如:{e5u27f8f-4ad8-11e2-aa3b-7ca21e17826e})
在这里插入图片描述
在这里插入图片描述

9、通过对检材的分析,提取嫌疑人张某邮箱账号 jackzhang@126.com对应的密码。(答案格式如:123123123)
将得到的bitlocker密码解密E盘后,重新对E盘取证
在这里插入图片描述

10、通过对计算机检材中标准 JPG格式图片进行数据恢复,请找出物理扇区位置为 6801616的图片
照片的拍摄日期?(答案格式如:1990-9-10)
在这里插入图片描述

在这里插入图片描述

11、请对检材进行分析,找出嫌疑人张某曾经上传过文件的百度网盘账号。(答案格式如:abcd123区分大小写)
在这里插入图片描述

12、检材的综合分析,请找出郑某给嫌疑人张某发送非法获取的公民隐私信息数据所使用的邮箱账号。(答案格式如:abc@gmail.com)
在这里插入图片描述

13、检材的分析,请找出嫌疑人张某的 Skype账号。(答案格式如:6e82aae4d1624dfc,区分
大小写)

14、某经常通过其计算机里的某软件,远程连接访问其伪基站服务器站点,从而提取相关资
料,根据对该软件的分析找出记录有“伪基站服务器”站点的IP地址。(答案格式如:192.168.1.233)
在这里插入图片描述
在这里插入图片描述

15、检材的关联分析,请找出受害人“林火”在“米老鼠吧网站”上注册的用户名。(答案格式如:abc123,区分大小写)
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

16、疑人张某经常浏览 bbs.elecfans.com网站,并已注册成会员,请对检材进行分析找出张某
在该网站注册的账号对应的密码。(答案格式如:abc123,区分大小写)

17、张某从百度网盘下载了某个RAR压缩包文件,请计算该压缩包解压后文件的MD5值。(答案格式如:41F930B015A8CE90E02AF3A2F8FB33AF,字母大写)
在这里插入图片描述
在这里插入图片描述
MD5: 8269918F9520C8445A4D64B6A115267E

18、算机检材的取证分析,请找出该团伙“客服组”组长的手机号码。(答案格式如:
13812345678)
在这里插入图片描述

19、检材的分析,嫌疑人张某通过其计算机上传了某个文件到百度网盘,请找出上传该文件
总共耗时多少秒?(答案格式如:65)
86
在这里插入图片描述

20、通过对计算机检材进行分析,已知嫌疑人电脑中有个Excel文档(记录了技术组成员信息)被人为删除了,请恢复该文件并计算出其MD5值。(答案格式如:41F930B015A8CE90E02AF3A2F8FB33AF,字母大写)

MD5:6BEDD29DD27E294EF285B2064B5
在这里插入图片描述

21、在嫌疑人张某计算机 D:/photos/手机/文件夹中,有一张损坏的图片,无法正常打开,请想办法打开该图片,并找出照片中的内容(答案格式为:9090)

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

22、疑人张某计算机中有涉案封邮件被删除了,请找出该邮件,并计算该邮件附件(压缩包)
的 MD5值。(答案格式如:41F930B015A8CE90E02AF3A2F8FB33AF,字母大写)
MD5: 8269918F9520C8445A4D64B6A115267E
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

23、通过对检材的分析,请找出嫌疑人检材中保存的 VPN账号。(答案格式如:abc123,区分大小写)

Zhang668899
在这里插入图片描述

24、通过对检材的分析,请找出受害人李某因刷单被骗实际损失的总金额?(答案格式如:999)
4958-353+328=4933

25、过对检材的分析,请找出受害人林某用于“刷单”收款的支付宝账号。(答案格式如:
13812345678)
15759231438

26、过对安卓手机取证分析,请找出嫌疑人张某在随手记 APP中记录的“现金”账号金额是多少。(答案格式如:10000)
安卓手机取证,随手记APP,查看mymoney.sqlite库中的mymoney t_account表获取,路径:$ \分区1[hda0]\data\com.mymoney\databases\37518605-f12b-4a16-8e40-9dc7a4f96d79
36285

27、过对安卓手机取证分析,请找出嫌疑人张某在随手记 APP中记录的“现金”账号金额是多少。(答案格式如:10000)
(安卓手机取证,随手记APP,多表关联mymoney.sqlite库中的t_category和t_transaction,通过clientID关联字段可以获取)
14600

28、通过对检材分析发现,请找出受害人李天真的支付宝账号(答案格式如:13812345678)
在这里插入图片描述

29、过对检材的分析,请找出嫌疑人张某等人计划 2019年“五一”前后在“永定天子温泉”度
假的具体日期。(答案格式如:2019-05-05)
在这里插入图片描述

30、对检材的分析,请找出嫌疑人张某快手 APP昵称“zhangli123733”对应的账号。(答案格
式如:13812345678)
在这里插入图片描述

31、已知嫌疑人张某通过某 APP发布了几条“招聘兼职”的相关视频,请找出其提到的邮箱地址。(答案格式如:abc123@qq.com,区分大小写)

在这里插入图片描述

32、已知嫌疑人张某在 2019年 4月 27日驾车驶入过某万达广场,请找出嫌疑人的车牌号。(答案格式如:闽 F2Z9D8,字母大写)
在这里插入图片描述

33、通过对检材的分析,张某在 2018年08月29日17:38:31给某号码通过电话,请找出通话时长(秒)(答案格式如:10)
($Case路径下$\我的移动设备\分区1[hda0]\media\0\HuaweiBackup\找到华为2018年备份文件,再用sqlite或手机大师进行备份文件解析,目标在calllog.db中,注意Unix时间戳要转换)
60
在这里插入图片描述

34、通过对检材的分析,张某在 2018年 08月 29日 17:55:59分发了一条短信,请找出该信息接收的
手机号码。(答案格式如:13812345678)
($Case路径下$\我的移动设备\分区1[hda0]\media\0\HuaweiBackup\找到华为2018年备份文件,再用sqlite或手机大师进行备份文件解析,目标在sms.db中注意Unix时间戳要转换)
17859628390

35、在嫌疑人张某手机备忘录中发现了一条附带照片内容为“团队建设活动初定 9.30”的记录,请找出该照片并计算其 MD5值。(答案格式如:41F930B015A8CE90E02AF3A2F8FB33AF,字母大写)
在嫌疑人张某手机备忘录中发现了一条附带照片内容为“团队建设活动初定9.30”的记录,请找出该照片并计算其MD5值。(答案格式如:41F930B015A8CE90E02AF3A2F8FB33AF,字母大写)
($Case路径下$\我的移动设备\分区1[hda0]\media\0\HuaweiBackup\找到华为2018年备份文件,再用sqlite或手机大师进行备份文件解析,注意Unix时间戳要转换。目标在memo数据库可以找到该条记录,通过时间关系可以找到对应的照片,结合media目录查看照片拍摄时间。)
D0F84B79852C92C14B6400269ECCBFD0

36、2018年 8月 28号 9:00-17:00有一条日程信息,请找出该条记录的标题内容。(答案格式如:创客攻坚事项)
($Case路径下$\我的移动设备\分区1[hda0]\media\0\HuaweiBackup\找到华为2018年备份文件,再用sqlite或手机大师进行备份文件解析,目标在calendar.db中,注意Unix Unix时间戳要转换。
卓越刷客团队全体会议

37、请对安卓手机检材进行分析,嫌疑人张某通过百度地图 APP有两条搜索位置信息,请找出记录的位置名称。(答案格式如:北海湾酒店)
($Case路径下$\我的移动设备\分区1[hda0]\media\0\HuaweiBackup\找到华为2018年备份文件,用手机大师进行备份文件解析)
特房波特曼酒店

38、通过对所给检材的分析,请找出该嫌疑人使用的 iCloud同步账号。(答案格式如:abc@icloud.com,区分大小写)
在这里插入图片描述

39、通过对检材的分析,请找出其嫌疑人微信 wxid_m4ss89d1qaad12绑定手机对应的 ICCID号。(答案格式如:860000a00000f0000000,区分大小写)
898602d51317f2070037

40、通过对检材的分析判断,嫌疑人张某目前居住的家可能位于哪里。(答案格式如:泉州市洛江区)

厦门市同安区
在这里插入图片描述

41、通过对检材的分析,请提取嫌疑人张某苹果手机加密备忘录中记录的 iCloud密码。(答案格式如:abc123,区分大小写)
(华为备忘录中有iCloud备忘录的密码,通过iTunes还原到新的苹果手机,输入密码直接查看备忘录)
zhang@200041

42、通过对检材的综合分析,请找出嫌疑人张某计算机硬盘中的加密容器的密码。(答案格式如:abc123,区分大小写)

zhangli99
在这里插入图片描述
在这里插入图片描述

43、通过综合取证分析,受害人钟某收到“招聘信息”短信的日期可能是。(答案格式如:2019-1-1)

在这里插入图片描述
在这里插入图片描述

44、通过综合取证分析,请找出张某的农业银行卡账号。(答案格式为622848007756452018)
对硬盘检材进行系统仿真在桌面的便签条(Sticky Notes)中
6228000080003296789

45、通过对所给检材的综合分析,请找出嫌疑人张某的百度网盘账号 mydisk447绑定的手机号码。
(答案格式如:13812345678)

17114532606
在这里插入图片描述

46、根据对检材的综合分析,请找出与嫌疑人张某微信好友“小范宣传”的真实姓名。(答案格式如:张三)
在这里插入图片描述

47、通过对检材的综合分析,请找出卓越团队背后总指挥“黄总”新的手机号码。(答案格式如:13812345678)
(解析:总指挥=黄志荣,在加密容器的人员名单里有提现-安卓备份中有黄志荣的手机号,并通过短信告知了张某他的新手机尾号181####3688,再通过华为手机通讯录中找到荣哥18159883688的号)
在这里插入图片描述

48、通过对检材进行综合分析,找出记录该团伙组织架构成员的“人员名单.xls”重要文件,并计算其 MD5值。(答案格式如:41F930B015A8CE90E02AF3A2F8FB33AF,字母大写)

A4E558E8AB7BB03FB392BD4143B0D3A9
在这里插入图片描述
在这里插入图片描述

49、通过对检材分析,请找出记录了嫌疑人张某使用过的伪基站设备产生的数据,其中 send.data文件中总共有记录多少条数据?(答案格式如:10000)

510738
在这里插入图片描述

50、通过对伪基站数据的分析,请找出给 IMSI号为460004811810669的卡发送过短信的手机号码。(答案格式如:13812345678)
(查看上面获取的wjz.rar解压后的imsi.db文件)
1356158994

51、通过对调取的基站数据进行分析,请找出与张某共同实施违法犯罪活动的同行同伙的手机号码。(答案格式如:13812345678)
(基站数据关联分析,前面已获取了张某手机号码(17859628390),再根据同时间、同地点、出现同号码,从而关联出同行人李某的手机号码(13850621652)
13850621652

52、通过对调取的基站数据并结合所给检材进行综合分析,请找出与张某共同实施违法犯罪活动的同行同伙的姓名。(答案格式如:张三)
(根据上题分析出张某同伙的手机号码,再结合前面发现的人员信息表可以判断是李昊)

53、通过对检材的综合分析,请找出嫌疑人张某手机尾号 8390移动卡对应的 IMSI号。(答案格式如:46000174897235)
(基站数据关联分析,前面已获取了张某手机号码(17859628390),再根据“厦门理工学院”基站数据中记录的IMSI号获取)
460003448603418

54、通过对检材的综合分析,嫌疑人通过兼职刷单为诱饵骗取受害人通过微信转账到“**鹏”的收款账号中,请分析出该收款二维码对应的微信账号。(答案格式如:Abc123,区分大小写)
在这里插入图片描述

55、请对所给服务器检材进行分析,写出该 Linux系统用户“hop”访问该系统的 IP地址。(答案格式:192.168.1.1)

57、请对所给服务器检材进行分析,请写出管理员安装“gcc-c+±4.8.5-39.el7.x86_64”编译器的时间。(答案格式如:12:12:12)
在这里插入图片描述

58、请对所给服务器检材进行分析,写出 raid磁盘组配置的条带是多少 KB?(答案格式如:321)
在这里插入图片描述

  • 2
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
电子取证是指通过获取和保留电子设备上的证据来支持并调查犯罪活动或与法律案件有关的事务。而E01文件则是一种用于存储电子取证数据的格式。 E01文件是一种被广泛应用于数字取证领域的文件格式,它是由经过认证的取证工具创建的镜像文件。E01文件可以包含磁盘、存储介质或设备的完整副本和元数据,可包含各种类型的数据,如文档、图片、音频和视频文件。 使用E01文件的主要目的是确保取证数据的完整性和可靠性。具有取证工具的授权专业人员可以通过创建E01文件来获取目标设备的镜像,而不会对原始数据造成任何修改或删除。这意味着E01文件是一种“只读”格式,任何以后的修改不会对存储的证据产生影响。 通过E01文件,取证人员能够以安全和保护的方式分析和检查原始证据。他们可以使用取证工具对E01文件进行搜索、过滤和还原操作,以发现潜在的证据并重建目标设备的文件系统。此外,E01文件还提供了很强的加密和密码保护功能,以确保存储的证据不会被未经授权的人员访问。 总之,E01文件是电子取证中常用的一种格式,用于存储原始证据的完整副本和元数据。它确保了证据的完整性和可靠性,并提供了安全的方式进行进一步分析和检查。由于其重要性和广泛适用性,E01文件已成为电子取证工作中不可或缺的一部分。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

youhao108

行行好吧,揭不开锅了~QAQ

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值