2019长安杯第一届电子数据取证大赛WP

详细题解

案情简介
在一起电诈案件中，受害者称自己的银行卡被他人冒用，曾收到假冒公安的短信，因为自己在一个 P2P 网站中理财，假冒公安称该网站已被列外非法网站，要自己到公安备案网站填写自己的信息，并帮助自己追回本金，因此信以为真，在网站上填写了自己的信息和绑定的银行卡信息；办案机关推测嫌疑人可能是获取了 P2P 网站中的注册用户信息，从而进行定向诈骗，因此调取了P2P 理财网站的服务器，现委派你对该服务器进行电子数据取证。

你获得该P2P 理财网站服务器硬盘镜像文件“检材 1.E01”，根据这个镜像文件，回答下列问题：

检材一

1、计算“检材 1.E01”镜像的 SHA256 值是多少（ ）
A.2b20022249e3e5d66d4bbed34ad337be5dd77b313c92dfe929aa56ed71449697
B. 6a574c40548110598bd4c88520d34b37d13b372066737ede3104743f986b7263
C. 5ee0b3809807bf8a39453695c5835cddfd33f65b4f5bee8b5670625291a6bc1c
D. 8495b678da27c64b54f083afefbcf9f83f94c1de133c70c175b4a784551939dd

D

2、该服务器的操作系统版本是什么（ ）
A. CentOS release 6.5 (Final)
B. Ubuntu 16.04.3 LTS
C.Debian GNU/Linux 7.8 (wheezy)
D.CentOS Linux release 7.6.1810(Core)

D

3、该服务器内核版本是多少（ ）
A. 3.10.0-957.el7.x86_64
B. 3.2.0-4-amd64
C. 4.8.0-52-generic
D. 4.10.0-28-generic

A

4、原服务器存在多少硬盘分区？（ ）
A.1
B.2
C.3
D.4

B

5、原服务器中硬盘分区其中含有一个 LVM 逻辑卷的分区，请找出该分区内开始的逻辑区块地址（LBA）。（答案格式： 扇区，Sector）（ ）
A.0
B.2048
C.2099200
D.4194344

C

6、该 LVM 逻辑卷分区内root 逻辑卷的文件系统是什么？（ ）
A.NTFS
B.EXT4
C.SWAP
D.XFS

D
查看LVM分区的分区详情

7、该 LVM 逻辑卷分区内root 逻辑卷的物理大小是多少？（单位：byte）（ ）
A. 2,147,483,648
B. 2,147,504,128
C. 18,249,416,704
D. 20,400,046,080

C
root 逻辑卷的物理大小是16.99GB≈18242873589B，选最接近的C

8、请找出该服务器的网站访问端口是什么？（ ）
A.22
B.25
C.80
D.8091

D
docker ps 命令中在PORTS里面显示了两个端口，前面0.0.0.0就是主机，也就是自己，而后面的转发端口就对应着docker的端口

9、该服务器中运行了 docker 应用，在本地有多少 docker 镜像？（ ）
A.10
B.11
C.12
D.13

B

10、该 docker 应用的 server 版本是多少？（ ）
A.16.05.2
B.17.03.8
C.18.09.7
D.19.03.3

C

11、该 docker 应用中总共有多少容器节点？（ ）
A.10
B.11
C.12
D.13

A

12、运行中的容器节点有多少？（ ）
A.1
B.2
C.3
D.4

C
docker ps 显示的是运行中的容器节点，后面加上-a则显示所有容器接节点

13、在运行中的容器节点中，其中一台容器名称为 romantic_varahamihira 的容器节点，它的hostname 是什么？（ ）
A. 16fc160060c1
B. 1ef6292872e0
C. 753abb28b629
D. 53766d68636f

D
hostname就是容器的CONTAINER ID

14、上题容器节点中，占用了主机的哪个端口？（ ）
A.25
B.8012
C.8091
D.未占用端口

B

15、在运行中的容器节点中，其中一台容器 ID 为 15debb1824e6 的容器节点，它运行了什么服务？（ ）
A.ftp
B.ssh
C.nginx
D.smtp

B

16、上题容器节点中，占用了主机的哪个端口？（ ）
A.22
B.8091
C.39999
D.未占用端口

C

17、该服务器中网站运行在 docker 容器中，其中 web 服务使用的是什么应用？（ ）
A.apache
B.tomcat
C.nginx
D.IIS

C

18、上题所述运行 web 服务的容器节点，使用的镜像名称是什么？（格式 REPOSITORY：TAG）（ ）
A. apache: latest
B. tomcat: jessie-slim
C.nginx: jessie-slim
D.nginx: latest

D
根据镜像ID值确定镜像

19、上题所述容器节点占用的容器端口是什么？（ ）
A.22
B.80
C.8091
D.未占用端口

B

20、网站目录所在的容器内部路径为（格式：容器 ID：路径）（ ）
A. d1085c1a8828:/home/ vue2-element-touzi-admin
B. 53766d68636f:/ home/ vue2-element-touzi-admin
C.16fc160060c1:/var/www/ vue2-element-touzi-admin
D.15debb1824e6: /var/www/ vue2-element-touzi-admin

B
可以进容器内找一下，也可以直接在火焰证据分析工具里面直接搜索

21、网站目录所在的主机路径为下列选项中的哪个？（ ） A./var/lib/docker/overlay2/cca977c8ca4a251023000285fbc8b4556636e1adc53cb012c84133a7b 857abfc/diff/home/vue2-element-touzi-admin B./var/lib/docker/overlay2/fd27756120785ef656c9211b6147ef5f38d6a9811006d85359458f7fa 8d45415/diff/home/vue2-element-touzi-admin C./var/lib/docker/overlay2/f405ba5e3f1f0e04a3585fbc95a47d13b4009dd9d599ac91015babebd 5a5ff9b/diff/var/www/ vue2-element-touzi-admin D./var/lib/docker/overlay2/d42b9a02aa87386b137242f691cb3e6303c4c0f3441419efb17ff550fd f5de28/diff/var/www/ vue2-element-touzi-admin

A

22、网站日志的路径在哪？（格式：容器 ID：路径）（ ）
A. 53766d68636f:/etc/nginx/logs/jrweb.log
B. 53766d68636f:/var/log/access.log
C.16fc160060c1:/etc/nginx/logs/jrweb.log
D.16fc160060c1:/var/log/access.log

C
根据答案进入容器内搜索

23、案发当时，该服务器的原始 IP 地址是多少？（ ）
A.192.168.160.89
B.192.168.184.100
C.192.168.120.111
D.192.168.184.128

D
打开日志进行查看

24、在 docker 中，各容器节点和主机之间的网络连接模式是什么？（ ）
A. bridge 模式
B. host 模式
C.container 模式
D.none 模式

A

25、当我们想将网站重构好时，访问网站时，web 应用在其中承担什么样的工作？（ ）
A. 运行网站
B. 转发
C.反向代理
D.负载均衡

B
查看网站主配置文件nginx.conf

26、从网站日志中，我们可以看到嫌疑人入侵服务器所使用的 IP 是（ ）
A.192.168.184.1
B.192.168.160.89
C.192.168.184.133
D.192.168.160.169

C
日志文件最后有疑似爆破账号密码的操作，猜测该行为的IP为攻击IP

27、网站目录中网站的主配置文件是哪一个？(相对路径)（ ）
A./config/index.js
B./server/api.js
C./server/index.js
D./src/main.js

C
打开网站文件下的readme.md文件，确定配置文件放在server目录下，打开四个文件，只有index.js有各种引入，应该为配置文件。
借鉴其他大佬的方法，在server目录下执行 cat /mnt/run.sh

28、该网站使用的是什么数据库？（ ）
A.mysql
B.oracle
C.mongodb
D.redis

C
打开db.js，可以看到数据库类型，使用端口，登陆账号密码等信息。

29、所使用数据库的端口是多少？（ ）
A.1521
B.3306
C.6379
D.27017

D

30、数据库所在服务器 IP 是多少？（ ）
A.192.168.160.131
B.192.168.184.131
C.192.168.160.169
D.192.168.184.129

D

31、数据库的用户名是什么？（ ）
A. root
B.tougu
C.admin
D.goose

A
根据数据库连接语句的特征，得出数据库的账号密码都为root

32、数据库的密码是什么？（ ）
A.123456
B. admin
C.goose
D.root

D

33、该网站所使用的数据库库名是什么？( )
A.root
B.tougu
C.admin
D.goose

B

34、在案发时，黑客对该服务器某个文件/目录进行了加密，请问是哪个文件/目录？（ ）
A.~/.bash_history
B./var/log/
C./etc/ssh/sshd_config
D.~/ runit-agent.txt

A
查看历史命令，对.bash_history 有加密的操作

检材二

你获得了该P2P 理财网站数据库服务器硬盘镜像文件“检材 2.E01”，根据这个镜像文件，回答下列问题：

35、该数据库服务器使用数据库的安装路径在哪？（ ）
A. /etc/mysql/
B. /home/redis/
C./etc/mongo/
D./var/lib/mongo/

D

36、数据库的配置文件的路径？（ ）
A./var/lib/mongo/mongo.conf
B./var/lib/mongo/mongod.conf
C./etc/mongod.conf
D./home/redis/redis.conf

C

37、数据库的日志文件路径在哪里？（ ）
A./etc/redis.log
B./var/log/mongodb.log
C./var/log/mongodb/mongod.log
D./var/lib/mongo/mongo.log

C

38、该数据库的网站用户表名是什么？（ ）
A.user
B.users
C.touzi
D.licai

A
在db.js文件中存在迷惑性信息，误认为表名是user，在api.js文件中可以看到表名应该是users

39、该数据库中网站用户表里的密码字段加密方式是（ ）
A. 未加密
B. 双重 MD5
C.MD5 加 salt
D.MD5

A
根据api.js中的代码可以看到不存在加解密的代码段，db.js文件中定义数据表时也没有

40、该用户表被做过什么样的修改？（ ）
A. 删除用户
B. 修改用户密码
C.修改用户名
D.添加用户

B
cat /root/.dbshell查看数据库操作

41、嫌疑人对该数据库的哪个库进行了风险操作？（ ）
A.licai
B.touzi
C.tougu
D.admin

C

42、嫌疑人对上述数据库做了什么样的风险操作？（ ）
A. 修改库名
B. 添加库
C.查询库
D.删除库

D

43、嫌疑人在哪个时间段内登陆数据库？（ ）
A.18:03-18:48
B.18:05-18:45
C.18:01-18:50
D.18:05-18:32

D
使用last命令，查看登陆信息，根据IP确定登陆时间段，选择范围最准确的。

44、嫌疑人在什么时间对数据库进行了 42 题所述的风险操作？（ ）
A.18:09:37
B.18:09:40
C.18:09:44
D.18:09:50

A
在数据库日志中找删除tougu的操作。

检材三

经调查，你扣押获得了一台嫌疑人使用过的 VPN 服务器，并用服务器硬盘制作成“检材 3.E01”镜像文件，根据该镜像文件，回答下列问题。

45、该服务器所使用的VPN 软件，采用了什么协议（ ）
A.L2TP
B.PPTP
C.IPSec
D.NFS

B
查看历史命令

46、该服务器的时区为（ ）
A. Asia/ShangHai
B. Asia/Tokyo
C.Asia/Bangkok
D.Asia/Dhaka

D
可以查看历史命令，也可以使用命令datetimectl查看当前时区，注意Asia/Dhaka时间比北京时间晚2两个小时。

47、该服务器中对VPN 软件配置的 option 的文件位置在哪里？（ ）
A. /etc/ppp/options.pptpd
B./var/lib/vpn/options.pptpd
C./etc/ipsec/options.ipsecd
D./etc/l2tp/options.l2tpd

A

48、VPN 软件开启了写入客户端的连接与断开，请问写入的文件是哪个？（ ）
A.wtmp
B.btmp
C.ftmp
D.tmp

A
找到配置文件/etc/pptpd.conf或者日志文件var/log/pptpd.log

49、VPN 软件客户端被分配的 IP 范围是（ ）
A.192.168.184.1-192.168.184.11
B.192.168.184.12-192.168.184.18
C.192.168.184.19-192.168.184.26
D.192.168.184.27-192.168.184.35

B
在配置文件/etc/pptpd.conf中

50、由 option 文件可以知道，option 文件配置了VPN 软件的日志路径（）
A./var/lib/logs/
B./etc/logs/
C./var/log/pptp/
D./var/log/

D
可以使用火眼证据软件搜索，也可以在options.pptpd查看

51、VPN 软件记录了客户端使用的名称和密码，记录的文件是（ ）
A. /etc/l2tp/chap-secrets
B. /etc/ipsec/pap-secrets
C./etc/ppp/chap-secrets
D./etc/ppp/pap-secrets

C
根据选项每个文件都看一遍

52、在服务器时间 2019-07-02_02:08:27 登陆过 VPN 客户端的用户名是哪个？（ ）
A. root
B. vpn1
C.vpn2
D.vpn3

A
在日志文件var/log/pptpd.log搜索时间

53、上题用户登陆时的客户 IP 是什么？（ ）
A. 192.168.184.133
B. 172.16.81.101
C. 192.168.184.134
D. 192.168.43.238

A

54、通过 IP172.16.81.188 登陆VPN 服务器的用户名是哪个？（ ）
A. root
B. vpn1
C.vpn2
D.vpn3

应该是题目问题，日志没有172.16.81.188的登陆记录，只有172.16.80.188的登陆记录。

55、上题用户登陆 VPN 服务器的北京时间是（ ）
A. 2019-07-11_10:46:50
B. 2019-07-11_11:30:36
C. 2019-07-13_14:15:37
D. 2019-07-13_16:15:37

D
注意本题检材时区并非北京时间，需要加上两个小时

56、该服务器曾被进行过抓包，请问 network.cap 是对哪个网卡进行抓包获得的抓包文件？（ ）
A.eth0
B.ens33
C.ens37
D.ens160

B

57、对 ens37 网卡进行抓包产生的抓包文件并保存下来的是哪个？（ ）
A. network.cap
B. network1.cap
C.net0713.cap
D.net0713-1.cap

D
根据历史记录可以看到network1.cap被删除，只剩下net0713-1.cap。

58、从保存的数据包中分析可知，出口的 IP 为（ ）
A. 172.16.80.92
B. 172.16.81.101
C. 172.16.81.188
D. 172.16.80.133

A
打开net0713-1.cap，追踪TCP流

检材四

你抓获了嫌疑人，并扣押了嫌疑人笔记本电脑，制作笔记本硬盘镜像文件“检材 4.E01”，请根据镜像文件，回答下列问题：

59、计算“检材 4.E01”文件的 sha256 值（ ）
A. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5
B. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6
C. e6e47e210bd56c7071ce73ab5523736120071d0f3da5335936d7beb25c3914cd
D. 1e646dec202c96b72f13cc3cf224148fc4e19d6faaaf76efffc31b1ca2cdd200

D

60、请分析该检材的操作系统版本（ ）
A. Windows 10 Education
B. Windows 10 Home
C.Windows 10 Pro
D.Windows 10 Enterprise

A

61、找出该系统用户最后一次登陆时间：（ ）
A. 2019-07-14 10:50:02
B. 2019-07-14 10:10:02
C.2019-07-14 10:40:02
D.2019-07-14 10:30:02

C

62、找出该系统最后一次正常关机时间：（ ）
A.2019-07-14 17:30:05
B.2019-07-14 10:30:05
C.2019-07-14 11:30:05
D.2019-07-14 12:30:05

C

63、请计算检材桌面上文本文件的 sha256 值：（ ） A.58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5 B.58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6
C.58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c7 D.58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c8

A

64、该系统于 2019 年 7 月 13 日安装的软件为：（ ）
A. Eraser
B. Putty
C.Xftp
D.Xshell

A

65、找出该嫌疑人于 2019-07-13 17:52:19 时，使用 WinRAR 工具访问了 文件：（ ）
A. navicat11.zip
B. we.tar.gz
C.test2-master.zip
D.BitLocker.rar

D

66、系统于 2019-07-13 17:53:45 时运行了 程序：（ ）
A.regedit.exe
B.WinRAR.exe
C.Xshell.exe
D.Foxmail.exe

D

67、文件 test2-master.zip 是什么时间下载到本机的：（ ）
A.2019-07-13 14:21:01
B.2019-07-13 17:22:01
C.2019-07-13 15:23:01
D.2019-07-13 16:20:01

D

68、文件 test2-master.zip 是使用什么工具下载到本地的：（ ）
A. Chrome
B. Internet Explorer
C.edge
D.迅雷

A

69、嫌疑人成功连接至 192.168.184.128 服务器的时间为：（ ）
A.2019-07-13 16:21:28
B.2019-07-13 16:21:31
C.2019-07-13 16:21:35
D.2019-07-13 16:21:25

A
选择跳转到源文件，文件创建时间就是连接时间

70、嫌疑人通过远程连接到 128 服务器，下载了什么文件到本机：（ ）
A. web.tar.gz
B. we.tar.gz
C.home.tar.gz
D.wwwroot.tar.gz

B
搜索关键词，只有B选项

71、承接上一题，下载该文件用了多长时间：（ ）
A.10 秒
B.20 秒
C.15 秒
D.25 秒

C
创建时间-修改时间

72、请计算该下载文件的 sha256 值：（ ） A.077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d8 B.077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d7
C.077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d6 D.077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d5

D
检材4中没有这个文件，可以在检材1中找到文件。

73、请分析并提取，嫌疑人所用的手机的 IMEI 号码：（ ）
A.352021062748965
B.352021062748966
C.352021062748967
D.352021062748968

C

74、嫌疑人是通过何种方式联系到售卖恶意程序的卖家的：（ ）
A.微信
B.QQ
C.短信
D.邮件

B

75、嫌疑人和卖家的资金来往是通过何种方式：（ ）
A.微信
B.QQ
C.银行转账
D.支付宝

A

76、嫌疑人在犯罪过程中所使用的 QQ 账号为：（ ）
A.1649840939
B.1137588348
C.364505251
D.1722629449

A

77、卖家所使用的微信账号 ID 为：（ ）
A. refrain_C
B. flame_guan
C.chao636787
D.sword19880521

C

78、嫌疑人下载了几个恶意程序到本机：（ ）
A.1
B.2
C.3
D.4

B
三个下载链接，第三个是解密程序

79、恶意程序被嫌疑人保存在什么位置：（ ）
A.D:/DOWNLOAD
B.C:/USER
C.C:/
D.D:/

D

80、恶意程序是使用什么工具下载到本地的：（ ）
A. Chrome
B. Internet Explorer
C.edge
D.迅雷

C

81、嫌疑人是什么时间开始对受害者实施诈骗的：（ ）
A.2019-07-13 19:14:44
B.2019-07-13 19:24:44
C.2019-07-13 19:04:44
D.2019-07-13 19:44:44

C

82、请提取受害者的银行卡信息，银行卡账号为：（ ）
A.6225000088217563457
B.6225000088257563456
C.6225000088257563458
D.6225000088257563459

B
在电脑里面的备份平台里面有一台虚拟机，用火眼仿真，在/home/admin888/fund/文件夹下发现sqlite数据库，用navicat查看，但是我的检材里的数据库没有目标信息。

83、请综合分析，嫌疑人第一次入侵目标服务器的行为发生在：（ ）
A.2019-07-13 16:17:30
B.2019-07-13 16:17:32
C.2019-07-13 16:17:35
D.2019-07-13 16:17:38

C

84、请综合分析，嫌疑人入侵服务所使用的登陆方式为：（ ）
A.SSH 密码登陆
B.SSH 密钥登陆
C.连接后门程序
D.FTP 登陆

B
存在相应的密钥文件，猜测是密钥登陆。

85、可知嫌疑人应对外发送过邮件，请分析并找到发出的邮件，可知邮件的发送时间为：（ ）
A.2019-07-13 17:55
B.2019-07-14 17:56
C.2019-07-14 17:57
D.2019-07-14 17:58

B

86、可知嫌疑人应对外发送过邮件，请分析并找到发出的邮件，可知邮件收件人为：（ ）
A.1649841939@qq.com
B.1649840939@qq.com
C.1649845939@qq.com
D.1649848939@qq.com

B

87、请重构被入侵的网站，可知该网站后台管理界面的登陆用户名为：（ ）
A. root
B. Administered
C.admin
D.user

C
接第40题，存在修改密码的操作

88、请重构被入侵的网站，并登陆网站后台管理界面，对该网站进行证据固定，可知该网站首页左侧导航栏，不包含下列那个内容：（ ）
A. 信息列表
B. 资金管理
C.资金数据
D.会员信息

D

89、通过分析知，嫌疑人对目标服务器植入了勒索程序，请解密检材 2 中的被加密数据库， 其 sha256 值为：（ ）
A.8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a2 B.8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a3
C.8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a4 D.8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a5

A

90、通过分析知，嫌疑人有对目标服务器植入 ddos 程序，对该程序进行功能性分析，可知该程序会将自身复制到目标机器的什么目录下：（ ）
A. /etc
B. /lib
C./root
D./tmp

B

91、通过分析知，嫌疑人有对目标服务器植入 ddos 程序，对该程序进行功能性分析，可知该程序主控地址为（多选）：（ ）
A. shaoqian.f3322.net
B. shaoqian.f3344.net
C.gh.dsaj3a2.org
D.gh.dsaj2a1.org

AD

92、压缩包 test2-master.zip 中的文件是什么？（ ）
A. 恶意软件
B. 加密程序
C.密钥文件
D.下载软件

C

93、应用程序TrueCrypt-7.2.exe 是在什么时间下载到本机的？（ ）
A. 2019-07-06 00:04:38
B. 2019-07-06 00:06:38
C. 2019-07-06 00:08:38
D. 2019-07-06 00:10:38

C

94、文件 runit.txt 从哪个域名下载的？（ ）
A. https://pan.forensix.cn/lib/367d7f96-299f-4029-91a8-a31594b736cf/runit
B. https://pan.baidu.com/s/19uDE7H2RtEf7LLBgs5sDmg?errno=0&errmsg=Auth Login Sucess&&bduss=&ssnerror=0&traceid= C.https://pan.forensix.cn/seafhttp/files/dec88b97-b2bc-414f-93a3-dcbbc15d615/runit
D. https://pan.forensix.cn/seafhttp/files/8fdf1982-e323-4efe-ae28-2bba21b5162c/runit

D

95、BitLocker 密钥在什么位置？（ ）
A. D:/DOWNLOAD
B. C:/USER
C.C:/
D.D:/

B

96、BitLocker.rar 生成的时间是？（ ）
A. 2019-07-13 17:51:47
B. 2019-07-13 17:52:19
C. 2019-07-13 17:53:24
D. 2019-07-13 16:31:06

B

97、文件 we.tar.gz 传输完成的时间是？（ ）
A. 2019-07-13 16:31:06
B. 2019-07-13 16;33:00
C. 2019-07-13 16:33:15
D. 2019-07-13 16:33:30

C

98、嫌疑人在什么时间登陆网页微信？（ ）
A. 2019-07-13 16:34:55
B. 2019-07-13 16:40:13
C. 2019-07-13 16:45:45
D. 2019-07-13 16:53:45

A

99、嫌疑人于 2019-07-13 17:22:23 下载了什么文件？（ ）
A. 网站目录压缩文件
B. 数据库备份文件
C.网站日志文件
D.数据库日志文件

B

100、硬盘C 盘根目录中，文件 pagefile.sys.vhd 的作用是什么？（ ）
A. pagefile 页面交换文件
B. 虚拟机启动文件
C.系统配置文件
D.虚拟磁盘

D
双击后出现磁盘

写在前面的话

1.不会逆向，相关答案参考大佬WP
2.检材之间存在密切联系。
3.在第一次用火眼分析检材四的时候没有分析到手机备份，将检材四重新挂载分析即可。
4.第82题数据库中没有银行卡的信息，但是官方提供题解中有对应答案数据。
5.官方提供题解

一些重点

一、检材一远程连接

vi /etc/ssh/sshd_config

或者用XFTP可视化界面找到并打开文件

找到PasswordAuthentication，将no改为yes
重启ssh服务

systemctl restart sshd

二、手机备份密码

检材四桌面便签内容niuroumian6就是密码。

三、检材四BitLocker解密

将IMF导出，把邮件中的BitLocker.rar保存到本地，利用检材四桌面上的文本文件爆破密码。得到密码是!VCHWEDfdfd2IOA564356:“:”
得到恢复密钥