2020年第六届美亚杯个人资格赛题目复现

2020年第六届美亚杯个人资格赛

题目来源：美亚杯
官网：https://www.meiyacup.com/
工具来源：美亚杯的取证大师、长安杯的火眼仿真和火眼手机证据分析
案例背景
2020年9月，数名信用卡持有人向警方报案，指他们的信用卡被不知名人士在一家本地网上商店购买手机。订单大部分来自海外的网络地址，但有一宗订单来自本地。警方经调查后发现该本地网络地址的注册地址。上门后在该处发现陈慧贤，她否认与案件有关。

警方在现场检获一部笔记本计算机、一部手提电话及一个外置储存装置。在场的初步应变小队在检取证物前，曾为现场环境及证物拍照。另外, 调查队伍亦由网络供货商及网上商店取得了一些与案有关的资料。现在你被委派处理这宗案件, 请由以下的资料分析陈慧贤在本案中有否犯罪, 还原事件经过。

镜像包含资料
(1) 网络地址登记人纪录
(/Meiya Cup 2020/調查報告/互联网服务供货商检查报告_陈慧贤 (Alice).pdf)
(2) 证物照片
(/Meiya Cup 2020/Photo/Alice)
(3) 笔记本计算机的数码法理档案
(/Meiya Cup 2020/Image/Alice/Alice Laptop/Alice_Laptop.e01)
(4) 及外置储存装置的数码法理档案
(/Meiya Cup 2020/Image/Alice/Alice USB/ALICE_USB.e01)
(5) 手提电话的数码法理档案
(/Meiya Cup 2020/Image/Alice/Alice LG Phone/MMC(0x0-0x0747C00000).bin)
(6) 初步应变小队的调查报告
(/Meiya Cup 2020/調查報告/案件调查报告- 被捕人陈慧贤 (Alice).docx)

准备工作

需要VeraCrypt容器将比赛方的镜像进行解密，光镜像就179GB

镜像分析软件：美亚柏科取证大师，手机大师

首先将Alice的笔记本计算机镜像和外置储存装置镜像放入取证大师中分析，在分析过程中一定要选“索引”！！！

1-5题

1.Alice的笔记本计算机已成功被取证并制作成镜像(Forensic Image), 下列哪个是镜像的SHA-1哈希值?
A:9A3040D8DE7DB364AA383F9904C446B2;
B:7DED54774B68058E5B327907DB2AC40AAA2EEB48;
C:E84854774B68058E5B327907DBAAC40AAA2E7OED;
D:EB4854774B68058E5B327907DB2AC40AAA2E7DED;
E:46B29A3040D8DE7DB364AA383F9904C4
关键：计算机SHA-1哈希值
导入之后，对Alice_Laptop.e01进行哈希值计算，（可直接右键计算哈希值，也可以在工具集里面选择哈希值计算工具进行计算）然后让它自己慢慢跑，先做下面的题

2.Alice的笔记本计算机安装了哪个操作系统(Operating System)?
A:Windows XP;
B:Windows 7;
C:Windows 10 Pro;
D:Windows 10;
E:Windows 8；

关键：计算机操作系统，我们就可以想到是系统信息，打开“取证结果–系统痕迹–系统信息–系统信息–点击右边显示的产品名称”

3.在Alice的笔记本, 创建用户帐户的SID是甚么？
A:S-1-5-21-1017277147-4095180158-1226650532-1002;
B:S-1-5-21-1017277147-4095180158-1226650532-1001;
C:S-1-5-21-1017277147-4095180158-1226650531-1001;
D:S-1-5-21-1017277147-4095180158-1226650531-1002;
E:S-1-5-21-1017277147-4095180158-1226650533-1001

关键：创建用户账号SID，查看“取证结果–系统痕迹–系统信息–用户信息”
管理电脑账户的通常是Administrator，但它处于禁用状态，而且其SID值，与答案选项都不符
而Alice与其同处在同一个用户组之下，同时也处于启动，下图是我经过移动列进行对比的

4-7题解题思路和位置都在一个地方，就貌似一个地方分开问了几个问题

4.在Alice的笔记本,用户的最后登录时间是甚么时候？(本地时间)
A:2020-09-29 1436 hrs;
B:2020-09-29 1437 hrs;
C:2020-09-29 1439 hrs;
D:2020-09-29 1440 hrs;
E:2020/09/30 10:13
关键：用户最后登录时间
在“系统痕迹→账户登录”，点击账户登录时间进行过滤排序，从而选出最后登陆时间
或者结合上一题，只有Alice登录过，他的最后一次登录时间就是用户最后登录时间
（hrs=hours小时）

5-10题

5.在Alice的笔记本,最后登录的用户名称是甚么？
A:Alice;
B:Admin;
C:user;
D:Alice Chen;
E:Administrator
关键：最后登录账户
和上一题一样
6.Alice计算机的名称是甚么？
A:Alice-DJFFBL6;
B:DESKTOP-DJFFBL6;
C:Admin-DJFFBL6;
D:Alicechen-DJFFBL6;
E:Administrator
关键：计算机名称
最后登录账户名称后就有账户域，可以查看到

7.在Alice的笔记本, 最后登录的用户何时更改了Windows登录密码？ （当地时间）
A:2020-09-15 0220 hrs;
B:2020-09-16 0221 hrs;
C:2020-09-16 0223 hrs;
D:2020-09-16 0222 hrs;
E:2020-09-17 0224 hrs
（hrs=hours小时）

8.Alice笔记本计算机的时区是甚么？
A:UTC;
B:DST;
C:CST;
D:CDT;
E:HKT
关键：时区信息
系统信息→时区信息可以得到时区是UTC+8也就是北京时间（CST）

资料扩展
1 UTC(世界标准时间)
协调世界时，又称世界标准时间或世界协调时间，简称UTC（从英文“Coordinated Universal Time”／法文“TempsUniversel Coordonné”而来），是最主要的世界时间标准，其以原子时秒长为基础，在时刻上尽量接近于格林尼治标准时间。

2 GMT(格林尼治平时)
格林尼治平时（又称格林尼治平均时间或格林尼治标准时间，旧译格林威治标准时间；英语：Greenwich MeanTime，GMT）是指位于英国伦敦郊区的皇家格林尼治天文台的标准时间，因为本初子午线被定义在通过那里的经线。 理论上来说，格林尼治标准时间的正午是指当太阳横穿格林尼治子午线时（也就是在格林尼治上空最高点时）的时间。由于地球在它的椭圆轨道里的运动速度不均匀，这个时刻可能与实际的太阳时有误差，最大误差达16分钟。由于地球每天的自转是有些不规则的，而且正在缓慢减速，因此格林尼治时间已经不再被作为标准时间使用。现在的标准时间，是由原子钟报时的协调世界时（UTC）。

3 CST(北京时间)
北京时间，China Standard Time，中国标准时间。在时区划分上，属东八区，比协调世界时早8小时，记为UTC+8。不过这个CST这个缩写比较纠结的是它可以同时代表四个不同的时间：
Central Standard Time (USA) UT-6:00
Central Standard Time (Australia) UT+9:30
China Standard Time UT+8:00
Cuba Standard Time UT-4:00

9.在Alice的笔记本, OS分区的文件系统是甚么？
A:FAT;
B:exFAT;
C:NTFS;
D:Linux;
E:macOS
关键：OS分区的文件系统
OS指的是操作系统，根据本地磁盘C里的文件可以推出其为系统盘，所以OS分区的文件系统是NTFS

10.计算机上预设安装了甚么浏览器？
A:Firefox;
B:Chrome;
C:Safari;
D:Internet Explorer;
E:Opera
关键：计算机浏览器
“取证结果–上网记录”即可查看到
可以看到有两个浏览器，但在选项中只有D符合

11-15题

11.在Alice的笔记本,哪个是最常用的浏览器？
A：Firefox
B：Chrome
C：Safari
D：Internet Explorer
E：Opera
由上题截图可知，Microsoft Edge浏览器有3227条信息，说明这个最常用，但没有这个答案选项，就选IE浏览器

12.在Alice的笔记本, 最常用的浏览器是甚么版本？
A:Internet Explorer version 6;
B:Internet Explorer version 7;
C:Internet Explorer version 11;
D:Internet Explorer version 8;
E:Internet Explorer version 9
关键：最常用的浏览器版本

13.在Alice的笔记本, Alice浏览了哪个在线商店的网站？
A:Sunnings, Apple 及 Microsoft;
B:Microsoft, Apple 及 Fortress;
C:Sunnings, Boardway 及 Fortress;
D:Sunnings, Apple 及 Fortress;
E:Sunnings, Apple 及 Boardway
关键：在线商店网站

14.在Alice的笔记本, 受害人的信用卡号是甚么?（Ho PCKYI-电子邮件：shy1211@mtzh.gow.tw）
A:3405 0621 0621 7845;
B:5411 2210 0121 7741;
C:1478 2583 1234 8899;
D:7532 2561 1234 9638;
E:1256 9638 5522 7894
关键：受害人信用卡号
根据题目给出来的电子邮件直接在索引栏进行搜索，查看邮件解析后，并没有什么发现，之后直接搜索题目中的邮箱地址，然后可以看到有三个可疑的txt文件，打开后，可以找到答案

15.在Alice的笔记本, 受害人的信用卡CSC号码是甚么（何PCKYI-电子邮件：shy1211@mtzh.gow.tw**）**
A:123;
B:321;
C:112;
D:121;
E:211
(做法同上)

16-20题，其中16-22都是问的同类问题

16.除了上述在USB 找出ZIP文件,请找出相同ZIP文件的路径？
A:Partition 3\Users\Alice\Desktop\Downloads;
B:Partition 3\Users\Alice\Desktop\Temp;
C:Partition 3\Users\Alice\Recent;
D:Partition 3\Users\Alice;
E:Partition 3\Users\Alice\Downloads
关键：找与USB相同ZIP文件的路径
先查看USB有哪些ZIP文件，然后根据题目所给路径进行查看即可获得答案

17.ZIP文件的哈希值（SHA-256）是甚么？
A:59B88F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850BBA74B7E88F6;
B:8BF68F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850BBA73B7EEE77;
C:99F68F8755E1F76107D6EE2134ED32C91F0B44C7C0EE3850BBA74B7E59B8;
D:89F78F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850CCC74B7E59;
E:88F68F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850BBA74B7E59B8
此处需要在列表选中文件进行哈希值计算

18.ZIP文件的修改时间是多少?(当地时间)
A:2020/09/27 18:48;
B:2020/09/01 18:47;
C:2020/09/29 18:46;
D:2020/09/24 18:45;
E:2020/10/01 18:44
同上图可知
19.USB驱动器在Alice笔记本计算机上的最后插入时间是何时？(当地时间)
A:2020-09-28 1800 hrs;
B:2020-09-27 1802 hrs;
C:2020-09-29 1801 hrs;
D:2020-09-16 1803 hrs;
E:2020-09-29 1202 hrs
在USB使用痕迹中未发现可用信息，此时对ALICE_USB.e01镜像进行取证分析，发现文件的最后修改信息,即USB最后插入时间。

20.解压的ZIP文件内有哪些文件？
A:log1nx.txt, R3ZZ.txt;
B:WhatsApp Image 2020-09-29 at 18.35.25.jpeg, WhatsApp Image 2020-09-29 at 18.37.47.jpeg;
C:log1nx.txt;
D:R3ZZ.txt;
E:log1nx.txt, R3ZZ.txt, WhatsApp Image 2020-09-29 at 18.35.25.jpeg, WhatsApp Image 2020-09-29 at 18.37.47.jpeg
关键：ZIP文件内包含

21-25题

21.“ ZIP文件中发票的哈希值（SHA 256）是多少=发票（2）
名称：WhatsApp Image 2020-09-29 at 18.35.25.jpeg”
A:3EE491A38AB82AD19EDB2B7402DA31F52006C3B4B018F859A451B839878DF4C3;
B:C391A38AB82AD19EDB2B7402DA31F52006C3B4B018F859A451B839878D3EE4F4;
C:34E391A38AB82AD19EDB2B7402DA31F52006C3B4B018F859A451B839878D8EE5;
D:F4C391A38AB82AD19EDB2B7402DA31F52006C3B4B018F859A451B839878D3EE4;
E:CCC381A38AB82AD19EDB2B7402DA31F52006C3B4B018F859A451B839878D3BB4

22.“ ZIP文件中发票的哈希值（SHA 256）是多少=发票（2）
名称：WhatsApp Image 2020-09-29 at 18.37.47.jpeg”
A:21F5CC2552A7337844B90F0AB5CDA85BF2F5A71A635E0D3B05731C95937D2DAF;
B:2DAFCC2552A7337844B90F0AB5CDA85BF2F5A71A635E0D3B05731C95937D21F5;
C:20AFCC2552A7337844B90F0AB5CDA85BF2F5A71A635E0D3B05731C95937D21F5;
D:DA2FCC2552A7337844B90F0AB5CDA85BF2F5A71A635E0D3B05731C95937D2LF5;
E:A2AFOO2552A7337844B90F0AB5CDA85BF2F5A71A635E0D3B05731C95937D21F5

23.Alice笔记本计算机上安装了哪种电子邮件软件？
A:Thunderbird;
B:Lotus Notes;
C:Nil;
D:Outlook;
E:Mailbird
关键：电子邮件软件
查看邮件解析可知

24.Alice笔记本计算机上的电子邮件软件的版本是甚么？
A:Thunderbird 78.0;
B:Lotus Notes 11;
C:Nil;D:Outlook 2016;
D:Outlook 2016
E:Outlook 2013
关键：电子邮件软件版本
猜测：电脑自动安装放在Appdata里面，也有可能把快捷方式放在桌面上

25.Alice笔记本计算机登录电子邮件软件的电子邮件帐户是甚么？
A:alicechen741@gmail.com;
B:alicechen@gmail.com;
C:alice741@gmail.com;
D:alice_chen741@gmail.com;
E:alicechen741@yahoo.com

26-30题

26.Alice在上述电子邮件对话中获得了哪些数据/文件？
A:log1ns.txt, R3ZZ.txt;
B:log1ns.txt;
C:R3ZZ.txt;
D:log1ox.txt, R3ZZ.txt;
E:log1nx.txt, 33Z2.txt
关键：电子邮件获得的数据/文件
如上图即可得知
27.该电子邮件的发信者的电子邮件地址是甚么？
A:alicechen741@gmail.com;
B:alice_chen741@gmail.com;
C:bobcheung223@gmail.com;
D:bobcheung123@gmail.cam;
E:bobcheung123@gmail.com
关键：发信者电子邮件地址
如上图即可得知

28.上述已收的电子邮件, 发件人的IP地址是甚么？
A:209.85.220.41;
B:209.85.221.39;
C:209.85.220.40;
D:209.82.220.42;
E:209.58.220.43
关键：发件人IP地址

29.在笔记本, Alice的电子邮件地址是甚么？
A:alicechen741@gmail.com;
B:bob123@gmail.com;
C:cole909@gmail.com;
D:alicechen@gmail.com;
E:alice741@gmail.com
同上
30.除了Alice，还有其他电子邮件地址与该骗局有关吗？
A:bob123@gmail.com;
B:cole909@gmail.com;
C:bobcheung123@gmail.com;
D:alicechen@gmail.com;
E:alicechen741@gmail.com
同上上

31-35题

31.哪些人有AP和主脑之间的电子邮件记录？有文件传输吗？
A:Alice and Cole, re log1ns.txt and R3ZZ.txt;
B:Alice and Tommy, re log1ns.txt and R3ZZ.txt;
C:Alice and Bob, re log1ns.txt and R3ZZ.txt;
D:Alice and Chris, re log1ns.txt and R3ZZ.txt;
E:Alice, Bob and Cole, re log1ns.txt and R3ZZ.txt
同上
32.在ZIP 文件中, 有多少受害人的信用卡数据被盗?
A:3;
B:4;
C:5;
D:7;
E:6
关键：受害人信用卡被盗信息
ZIP文件中的两个文件和bob cheung发的邮件信息里面两个文件名是一样的，可以判定这是Alice下载下来后压缩到Downloads.7z里面，所以可以直接从邮件里面收到的两个文件入手查看里面的信息，同时我们也可以联系14-15道题，知道R3ZZ.txt文件里头包含了多个受害者的信用卡数据信息

33.已被黑客盗用其信用卡资料购买的受害者是谁?
A:TONG TO ON;
B:YUEN MING TIM;
C:TSE KONG LON;
D:TSE WONG YIN;
E:LEE YOI TEI
关键词：被黑客盗用其信用卡的受害者
在表中有两个购买信息，有两张发票，其中一个是14题已知的，那么另一个就是被黑客购买的

34.被盗用的内容是甚么？
A:Name, ccc code, credit card number;
B:Name, ccc code, HKID;
C:Name, credit card number, aged;
D:Name, credit card number, CSC;
E:Nil
关键：盗用内容
根据上一题中的取证图片可知

个人赛解题–手机

打开“火眼证据分析软件”，在这里打开Alice IPHONE镜像进行手机取证
35.Alice的手机型号是甚么？
A:Model:LG-D855(G3 Global);
B:Model:LG-D755(G3 Global);
C:Model:LG;
D:Model:LG-D855(G4 Global);
E:Model:LG-BB55(G3 Global)
关键：手机型号
根据“基本信息–设备信息”可以判定它是LG-D855手机，再根据屏幕截图可以判定它是G3

36.Alice手机的操作系统版本是甚么？
A:Android 4.0 (security patch=2015-12-01);
B:Android 5.0 (security patch=2015-12-01);
C:Android 7.0 (security patch=2015-12-01);
D:Android 8.0 (security patch=2015-12-01);
E:Android 6.0 (security patch=2015-12-01)
关键：手机操作系统版本
如上图可得知
37.Alice手机的总储存空间是多少?
A:64;
B:128;
C:256;
D:16;
E:32

38.在Alice 手机, IMG-20200929-WA0002的创建时间是甚么？(本地时间)
A:2020-08-29 1824;
B:2020-09-29 1824;
C:1970-09-29 1825;
D:2020-09-29 1024;
E:2020-09-02 2224
关键：IMG-20200929-WA0002创建时间
刚开始我在图片中点击详情一直没有反应，后来“右键–回到原始目录–（左上角的）详情/预览”就可以看到它的详细信息了

39.在Alice 手机,IMG-20200929-WA0004的创建时间是甚么？(本地时间)
A:2020-09-29 1825;
B:2020-10-29 1824;
C:1970-09-29 1825;
D:2020-08-29 1024;
E:2020-09-25 1824
关键：IMG-20200929-WA0004创建时间
与上一题方法类似，而且在同一目录下

40-45题

40.IMG-20200929-WA0002和IMG-20200929-WA0004的元数据和相机型号是甚么？
A:Manufacturer: LG Electronics, Model: LG-DD55;
B:Manufacturer: Apple, Model: A1687;
C:Manufacturer: LG Electronics, Model: LG-D855;
D:Manufacturer: Samsung, Model: SM-N7105;
E:Manufacturer: MI, Model: MI8
关键：照片元数据和相机型号
可以在十六进制里面查看
或者可以选择将其导出，然后在详细信息中查看

41.在Alice 手机, 预设浏览器浏览历史记录的文件在哪里？
A:\Partition43[hda41]\data\com.android.browser\databases\browser2.db(Mobile Forensics System V2);
B:\Partition40[hda41]\data\com.android.chrome\app_chrome\Default\History(Mobile Forensics System V2);
C:\Partition41[hda41]\data\com.android.chrome\app_chrome\Default\History(Mobile Forensics System V2);
D:\Partition42[hda41]\data\com.android.chrome\app_chrome\Default\History(Mobile Forensics System V2);
E:\Partition44[hda41]\data\com.android.chrome\app_chrome\Default\History(Mobile Forensics System V2)
关键：预设浏览器浏览历史记录文件
查看手机浏览

42.储存Chrome浏览历史记录的文件是甚么？
A:\Partition40[hda41]\data\com.android.browser\databases\browser2.db(Mobile Forensics System V2);
B:\Partition41[hda41]\data\com.android.browser\databases\browser2.db(Mobile Forensics System V2);
C:\Partition42[hda41]\data\com.android.browser\databases\browser2.db(Mobile Forensics System V2);
D:\Partition43[hda41]\data\com.android.chrome\app_chrome\Default\History(Mobile Forensics System V2);
E:\Partition44[hda41]\data\com.android.browser\databases\browser2.db(Mobile Forensics System V2)
关键：储存Chrome浏览历史记录的文件
与上一题解题方式类似，查看即可

43.Alice手机的Whatsapp ID和账户名称是甚么？
A:85262547937@s.whatsapp.net;
B:62547937@s.whatsapp.net;
C:alice@s.whatsapp.net;
D:83162547937@s.whatsapp.net;
E:B5262547937@s.whatsapp.net
关键：WhatsApp ID和账户名称

44.与Bob和Cole的最后WhatsApp的时间是甚么？(本地时间)
A:2020/9/26 18:47;
B:2020/9/24 10:25;
C:2020/9/25 10:25;
D:2020/9/24 10:20;
E:2020/9/27 10:25
通过查阅WhatsApp对话中可以注意到群组对话，是他们3个人组的群，据此判断这里的最后一条信息就是与Bob和Cole的最后WhatsApp的时间

45.主脑的名字是甚么？
A:Chris 及 Tommy;
B:Bob 及 Cole;
C:Bob 及 Tommy;
D:Alice 及 Tommy;
E:Alice 及 Chris
如上图可得知

46-50题

46.Alice，Bob和Cole之间的WhatsApp群组的ID和名称是甚么?
A:62547937-1600392878@g.us “Big Big Club”;
B:8526254-7937-1600392878@g.us;
C:86162547937-1600392878@g.hk “Big Big Club”;
D:62547937-1600392878@g.hk “Big Big Club”;
E:85262547937-1600392878@g.us “Big Big Club”
如上图可知

47.哪一个表，显示了聊天群组“ Big Big Club”的创建时间？(本地时间)
A:Table:chat;
B:Table:chat_list;
C:Table:chat_group;
D:Table:chat-group;
E:Table:chatting_list

48.聊天群组“ Big Big Club”是甚么时候创建的？(本地时间)
A:2020/09/17 10:34;
B:2020/09/18 10:34;
C:2020/09/18 08:35;
D:2020/09/18 07:34;
E:2020/09/18 09:34
关键：创建时间
通常是看文件的详情/预览，点击 对话最前面“85262547937@s.whatsapp.net创建了群组 Big Big club”右键–回到原始位置–详情/预览

49.Alice是否曾经登陆whatsapp网站？如果有的话，她是在何时登入? 所用的是甚么浏览器？ （提示：在移动取证图像上找到结果）(UTC +0)
A:No;
B:Yes. Windows Edge. 2020-09-29, 18:43:44;
C:Yes. Windows Edge. 2020-09-29, 10:43:44;
D:Yes. Firefox. 2020-09-29, 10:25:44;
E:Yes. Firefox. 2020-09-29, 16:43:44

50.Alice如何收到这笔钱？钱包地址是甚么？
A:通过比特币钱包:1L6fKWpEYvUi8FeG6BnXqfh1joAgmJA1h1;
B:通过比特币钱包:2L6fKWpEYvUi8FeG6BnXqfh1joAgmJA1h2;
C:通过比特币钱包:3A6fKWpEYvUi8FeG6BnXqfh1joAgmJAlh1;
D:通过比特币钱包:666fKWpEYvUi8FeG6BnXqfh1joAgmJA1h1;
E:通过比特币钱包:FF6fKWpEYvUi8FeG6BnXqfh1jOAgmJA1h1

51-55题

51.“Deleted by the sender”的media_wa_type是甚么?
A:14;
B:12;
C:13;
D:15;
E:11
关键：“Deleted by the sender”的media_wa_type
说的是数据库，【系统消息】已删除文件的media_wa_type值，点击跳转到源文件，将源文件导出来，然后放在SQLite Expert Personal 3上，查看media_wa_type

52.Alice手机的Wifi MAC地址是甚么？
A:Intf0MacAddress=000AF58989FF;
B:Intf0MacAddress=0012AF58989FF;
C:Intf0MacAddress=000BF58989FF;
D:Intf0MacAddress=110AF5B989FF;
E:Intf0MacAddress=222AF589B9FF
关键：WiFi MAC地址

53.Alice USB驱动器内的ZIP档案的密码是甚么? (某些字符被刻意用*遮盖) 选A
A:QPzm!#8Q@#;
B:Qpzm!@;
C:QP**@!;
D:**98#;
E:**89#h

54.Alice USB驱动器内的哪一个程序是用作储存秘密数据?
A:mytracker.apk;
B:com_cleanmaster_mguard_7.4.6_02_09_2020.apk;
C:crypto_aliens_bch_1.0.2_05_11_2020.apk;
D:de_schildbach_wallet_8.03_06_09_2020.apk;
E:Messagesecure.apk
55.打开秘密讯息的密码是甚么? (某些字符被刻意用遮盖)
A:89#h;
B:Qpzm!#;
C:QP@#;
D:**98#;E:*8#9

56-60题 需要用到仿真

56.USB驱动器内，其中一个档案的秘密讯息是甚么? (某些字符被刻意用遮盖)
A:Password is ****;
B:Alice is the mastermind;
C:*****phone pw is ****;
D:Alice and Bob are masterminds;
E:Phone is ********
57.贴在笔记本计算器机上的密码有甚么用途?
A:Alice笔记本电脑的Bitlocker密码;
B:Alice的USB驱动器的密码;
C:Alice的电子银行密码;
D:从文件恢复安全消息;
E:Alice的手机密码

58.Alice USB驱动器内的档案有甚么种类?
A:PNG, ZIP, APK, DOC;
B:PNG, ZIP, APK;
C:PNG, ZIP, APK, 7Z;
D:PNG, DOC, APK, 7Z;
E:PNG, ZIP, DOC, 7Z
关键：种类

59.Alice USB驱动器的哈希值（SHA-256）是甚么？
A:4DFF94ED83F41C356B0588C2C21ECF563E9D8CA66ED6D97A3D57C2629185528D;
B:4DFF528D94ED83F41C356B0588C2C21ECF563E9D8CA66ED6D97A3D57C2629185;
C:94ED83F41C356B0588C2C21ECF563E9D8CA66ED6D97A3D57C26291854DFF528D;
D:528D94ED83F41C356B0588C2C21ECF563E9D8CA66ED6D97A3D57C26291854DFF;
E:51BD94ED83F41C356B0588C2C21ECF563E9D8CA66ED6D97A3D57C26291854OFF

60.在USB驱动器中找到的ZIP文件（Downloads.7z），它的哈希值（SHA-256）是甚么？
A:59B88F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850BBA74B7E88F6;
B:8BF68F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850BBA74B7E59BB;
C:88F68F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850BBA74B7E59B8;
D:88E68F8755E1F76107D6EE2134ED32C91F0B44C7C0EE3850BBA74B7E59B8;
E:89F68F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850BBA74B7E59

61.在Alice的USB内, ZIP文件的最后修改时是？
A:2020/09/29 18:46;
B:2020/09/27 18:46;
C:2020/09/28 18:46;
D:2020/09/24 18:47;
E:2020/09/28 16:48

由于我用的是虚拟机，没办法在虚拟机上进行再搭建虚拟机进行仿真，所以有些题目没有完成
如有错误，欢迎评论区评论