菜鸟做题存档_(┐「ε:)_
受害人报案,其被嫌疑人王某多次通过微信进行诈骗,对受害人手机进行快采后,公安机关根据已有线索,发现可能存在多个受害人被该嫌疑人通过同样的方式进行诈骗。公安机关现已将嫌疑人iphone手机、红米手机、电脑进行备份、镜像。
检材1:嫌疑人的计算机磁盘镜像
检材2:嫌疑人的iphone备份数据、
检材3:嫌疑人的计算机内存镜像
检材4:嫌疑人的红米手机备份数据
第四届“中科实数杯”全国电子数据取证与司法鉴定挑战赛Writeup (qq.com)
1、检材一硬盘的MD5值为多少?(1分)
80518bc0dbf3315f806e9edf7ee13c12
2、检材一bitlocker的恢复密钥是多少?(5分)
我找不到其他师傅的版本,显示不出来
用PKF跑了好久
585805-292292-462539-352495-691284-509212-527219-095942
3、检材一镜像中用户最近一次打开的文件名是什么?(1分)
列表.xlsx
4、检材一硬盘系统分区的起始位置?(2分)
332398592
5、检材一系统的版本号是多少(格式:x.x.x.x)(1分)
进仿真cmd看
10.0.19042.508
6、检材一回收站中的文件被删除前的路径(2分)
C:\Users\rd\Desktop\iTunes(12.13.0.9).exe
7、检材一给出最后一次修改系统时间前的时间(格式:YYYY-MM-DD HH:MM:SS)(3分)
2023-12-12 16:37:12
8、检材一最后一次远程连接本机的时间(格式:YYYY-MM-DD HH:MM:SS)(2分)
2023-12-11 15:57:02
9、检材一Chrome浏览器最后一次搜索过的关键词是什么(2分)
常见的诈骗话术2023
10、检材一是否连接过U盘,如有,请给出U盘的SN码(2分)
FC2005927F271
11、检材一Edge浏览器最早一次下载过的文件文件名是(2分)
winrar-x64-624scp.exe
12、嫌疑人访问的微博的密码的MD5值(3分)
用火眼可以直接看
网站转MD5
取证大师不能直接得出,有如下方法解决
chrome 的cookie解密和保存密码的解密 - 知乎 (zhihu.com)
官方用的仿真,但我复盘不出来
13、检材二备份的设备名称是什么?(1分)
“User”的 iPhone
14、检材二手机的IOS系统版本是多少(1分)
17.0
15、检材二备份的时间是多少?(格式:YYYY-MM-DD HH:MM:SS)(1分)
记得UTF+8
2023-12-09 15:02:28
16、嫌疑人iphone手机给号码“13502409024”最后一次打电话的时间是。(格式:YYYY-MM-DD HH:MM:SS)(2分)
检材没有,电脑里还有个加密备份
PTF爆破
17、检材二使用过的号码ICCID是多少。(2分)
18、检材二手机中高德地图最后搜索的地址。(2分)
19、检材二手机最后一次登陆/注册“HotsCoin”的时间是(格式:YYYY-MM-DD HH:MM:SS)(2分)
20、检材二手机中照片“IMG_0002”的拍摄时间是(格式:YYYY-MM-DD HH:MM:SS)(2分)
直接搜
21、检材二中“小西米语音”app的Bundle ID是什么? (2分)
不懂,先百度
这下懂了
之前做过小西米的题,直接翻到这个
或者可以把数据多的ID名反向搜一下
22、检材二中浏览器最后一次搜索的关键词是什么?(2分)
23、嫌疑人和洗钱人员约定电子钱包的品牌是什么,如有多个用顿号分隔。(3分)
微信啥的没有,翻到小西米的数据
手搓
24、嫌疑人和洗钱人员约定电子钱包的金额比例是什么。(3分)
25、检材三中进程“FTK Imager.exe”的PID是多少?(2分)
26、检材三中显示的系统时间是多少?(格式:YYYY-MM-DD HH:MM:SS)(2分)
27、检材三中记录的当前系统ip是多少?(2分)
python vol.py -f memdump2023.raw --profile=Win10x64_19041 netscan
172.18.7.229
28、检材四中迅雷下载过的文件名是什么?(1分)
29、检材四中安装了哪些可是实现翻墙(VPN)功能的app?(1分)
30、检材四备份的设备系统版本是多少?(1分)
找到备份文件
Ctrl+D+K整理代码
<miuiVersion>V14.0.2.0.TKSCNXM</miuiVersion>
31、检材四备份的时间是多少(答案以13位时间戳表示)(1分)
<date>1702459232429</date>
32、检材四中FileCompress app 包名是什么?(1分)
抽象题,直接看
33、检材四中备忘录记录的内容是什么?(1分)
我的取证软件不知道为什么不能像其他师傅那样检出结果
于是Winhex手搓笔记
按经验在文件尾部找到明文Vcpswd:edgewallet
34、请列出检材四中所有虚拟币钱包app的包名,如有多个用顿号分隔。(3分)
官方wp认为火币是平台
35、检材四中嫌疑人使用Bitcoin Wallet钱包地址是什么?(3分)
不知道,找了好久
翻到Bitcoin Wallet的log文件
然后搜address
后面那串东西就是的bc1q4ru3a8r0vzymwwcmawvtdyf6hkvt2x9477hjkt
36、MD5值为“FF3DABD0A610230C2486BFFBE15E5DFF”的文件在检材四中的位置(2分)
37、检材中受害人的微信号是多少?(2分)
38、嫌疑人曾通过微信购买过一个公民信息数据库,该数据库中手机尾号是8686的用户的姓名是(3分)
39、嫌疑人手机中是否保存了小西米语音app的账号密码,如有,请写出其密码(5分)
Keychain
jamvU1@wiwgug$bo
40、公民信息数据库中,截止到2023年12月31日,年龄大于等于18且小于等于30岁之间的用户信息数量(5分)
41、受害人小浩的手机号码是多少(5分)
想不到www
42、完整的受害人名单是几个人。(6分)
6人,分别存放在三个位置
1、“9月.txt”、“10月.txt”存放在检材一中的VeraCrypt加密容器里(C:\Users\rd\Documents\新建文本文档.txt)
2、“11月.txt”存放在检材四中(20231213_172032\FileCompress(com.zs.filecompress)\FileCompress\11月.txt)
43、受害人转账的总金额是多少(5分)
600,微信聊天记录
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
