冯宝宝那里卡了好久真绷不住了…
手机备份包
手机基本信息
IOS手机备份包是什么时候开始备份的。(标准格式:2024-01-20.12:12:12)
log.txt
Thread Id [ 25464 ] Time[ 14:19:44 ] val[ 0000 ] bk start
2024-01-15.14:19:44
请分析,该手机共下载了几款即时通讯工具。(标准格式:阿拉伯数字)
遛一下火眼
3
手机机主的号码得ICCID是多少。(标准格式:阿拉伯数字)
89860320245121150689
手机机主登录小西米语音的日期是什么时候。(标准格式:20240120)
20240115
地图数据
请问嫌疑人家庭住址在哪个小区。(标准格式:松泽家园)
天铂华庭
浏览器
Safari浏览器书签的对应数据库名称是什么。(标准格式:sqltie.db)
Bookmarks.db
手机机主计划去哪里旅游。(标准格式:苏州)
火眼没有解析出safari的历史记录,只能手搓这道题
介绍一下IOS几个重要的文件
文件名 | 作用 |
---|---|
Manifest.db | 保存所有的文件夹名称 |
Info.plist | 保存了设备的基础信息 |
Manifest.plist | 保存了设备上安装的应用信息 |
Status.plist | 保存了备份的状态 |
SELECT * FROM "main"."Files" WHERE "main"."Files"."fileID" LIKE '%safari%' ESCAPE '\' OR "main"."Files"."domain" LIKE '%safari%' ESCAPE '\' OR "main"."Files"."relativePath" LIKE '%safari%' ESCAPE '\' OR "main"."Files"."flags" LIKE '%safari%' ESCAPE '\' OR "main"."Files"."file" LIKE '%safari%' ESCAPE '\'
2024年01月15日_14时19分44秒_iPhone.tar/AppDomain-com.apple.mobilesafari/Library/Preferences/com.apple.mobilesafari.plist
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AppBundleIDsWithSeperateData</key>
<array>
<string>com.wemomo.momoappdemo1</string>
</array>
<key>BookmarksPanelSavedState</key>
<dict>
<key>BookmarksCollection</key>
<dict>
<key>CurrentFolderUUID</key>
<string>Root</string>
</dict>
<key>CurrentCollection</key>
<string>ReadingListCollection</string>
<key>ReadingListCollection</key>
<dict>
</dict>
</dict>
<key>BrowserControllersSavedState</key>
<dict>
<key>8661FBC8-D882-474D-B299-BC83DC1B9CD4</key>
<dict>
<key>ActiveDocumentIsValid</key>
<true/>
<key>NormalBlankSnapshotGroupIdentifier</key>
<string>DE8F5C08-4FDB-43EF-B859-5C4151781BDB</string>
<key>PrivateBlankSnapshotGroupIdentifier</key>
<string>B38E5D2D-21F6-4103-AA73-4602BB593995</string>
<key>ShowingTabView</key>
<false/>
</dict>
</dict>
<key>CloudTabStoreDateOfLastSaveWhenEnteringBackgroundWithNoOtherDevices</key>
<date>2024-01-15T02:39:13Z</date>
<key>CloudTabsEnabled</key>
<true/>
<key>DidImportBuiltinBookmarks</key>
<true/>
<key>DidMigrateYouTubeBookmarks</key>
<true/>
<key>LastBookmarksDatabaseHealthReportDate</key>
<date>2024-01-11T05:46:41Z</date>
<key>LastCloudHistoryConfigurationUpdateTime</key>
<real>7.26644641959269e+08</real>
<key>RecentWebSearches</key>
<array>
<dict>
<key>Date</key>
<date>2024-01-15T06:13:48Z</date>
<key>SearchString</key>
<string>拉萨有高原反应吗</string>
</dict>
<dict>
<key>Date</key>
<date>2024-01-11T05:45:05Z</date>
<key>SearchString</key>
<string>去西藏旅游的最佳时间</string>
</dict>
</array>
<key>WBSParsecABGroupIdentifier</key>
<integer>9</integer>
<key>WBSParsecABGroupIdentifierGenerationDate</key>
<date>2024-01-15T02:39:10Z</date>
<key>WBSRemoteAutoFillQuirksLastUpdateTime</key>
<date>2024-01-15T02:39:11Z</date>
<key>WebDatabaseDirectory</key>
<string>/var/mobile/Containers/Data/Application/E923635B-29D0-40D5-956F-E5B9AD2DB892/Library/WebKit/WebsiteData/WebSQL</string>
<key>WebKitLocalStorageDatabasePathPreferenceKey</key>
<string>/var/mobile/Containers/Data/Application/E923635B-29D0-40D5-956F-E5B9AD2DB892/Library/WebKit/WebsiteData/LocalStorage</string>
<key>WebKitLocalStorageEnabledPreferenceKey</key>
<true/>
<key>cloudBookmarksMigrationEligibilityDataInvalidated</key>
<true/>
<key>cloudTabsDeviceUUIDForRestoration</key>
<string>9F3778AF-D7B3-4E1D-B4C3-D1AEE756F4C3</string>
<key>didMigrateHistoryToCoreSpotlightAfterUpgrade</key>
<true/>
<key>migrationLevel</key>
<integer>103</integer>
<key>numberOfHistoryDonationAttempts</key>
<integer>1</integer>
<key>showingAllReadingListBookmarks</key>
<true/>
</dict>
</plist>
拉萨
即时通讯
手机机主查询过那个人的身份信息。(标准格式:龙信)
龙黑
请问机主共转多少费用用于数据查询。(标准格式:1000)
1100
机主查询的信息中共有多少男性。(标准格式:阿拉伯数字)
一开始看到冯宝宝,10就填上去了…
身份证号码是有18位数字组成,其中的第17位为公民的性别,也就是说倒数第二位为奇数的是男生,偶数是女生。 15位身份证号码:第7、8位为出生年份(两位数),第9、10位为出生月份,第11、12位代表出生日期,第15位代表性别,奇数为男,偶数为女。
4
计算机取证
基本信息
计算机系统的安装日期是什么时候。(标准格式:20240120)
20240112
系统痕迹
请问机主最近一次访问压缩包文件得到文件名称是什么。(标准格式:1.zip)
data.zip
数据库分析
还原数据库,请分析root用户最后一次更改密码的时间是什么时候。(标准格式:2024-01-20.12:12:12)
这里要解密bitlocker,因为没有内存文件,所以我判断应该是检材联动,或者在PC的原始数据里面
很多同学可能被这个迷惑了,拿这个作掩码去爆破,概念混淆了
这其实是恢复密钥标识,看长度就知道了,dg是可以看的
真正的恢复密钥格式是######-######-######-######-######-######-######-######这么长长一串的
然后看检材联动,在备忘录里发现密码
解密之后仿真做
解压zip需要密码
掩码爆破,验一下哈希
掩码:?d?d?d?d?d?d?d?d555
查看表结构,发现使用了默认的存储引擎Innodb
如果使用了Innodb创建一张表,那么在文件夹下面就会出现表名.frm和表名.ibd两个文件,如果使用的是Myisam,那么就会出现三个文件,frm、MYD、MYI
其中ibd文件是innodb的表数据文件,而frm文件时innodb的表结构文件,mysiam存储引擎的表中,frm是表结构,MYI是索引文件,MYD是数据文件,从这里可以看出innodb存储引擎的索引和数据是在一起的,而Myisam存储引擎索引和数据是分开的
然后,判断mysql的版本,随便打开一个frm
(C626)16=(50726)10
phpstudy起一个一样版本的mysql
替换data文件夹,my.ini中绕密
SELECT password_last_changed
FROM `user`
WHERE `User`='root'
2021-03-17.15:49:52
请问mysql数据库中共存在多少个数据库。(标准格式:阿拉伯数字)
5
员工编号为204200的员工总工资为多少元。(标准格式:阿拉伯数字)
SELECT SUM(salary)
FROM salaries_list
WHERE emp_no='204200'
488313
Finance部门中在1999年1月1日当天和之后入职的人员数量是多少名。(标准格式:阿拉伯数字)
SELECT COUNT(*)
FROM hiredate
WHERE dept_no='d002' AND from_date>='1999-01-01'
1486
邮箱服务器
请问邮箱服务器的登录密码是多少。(标准格式:admin)
-
法一
-
法二
-
法三
900110
邮件服务器中共有多少个账号。(标准格式:阿拉伯数字)
3
邮件服务器中共有多少个域名。(标准格式:阿拉伯数字)
3
请问约定见面的地点在哪里。(标准格式:太阳路668号)
可疑的图片,怀疑隐写
修改高度
中国路999号
apk分析
APP包名是多少。(标准格式:com.xxx.xxx)
com.example.readeveryday
apk的主函数名是多少。(标准格式:comlongxin)
StartShow
apk的签名算法是什么。(标准格式:xxx)
SHA1withRSA
apk的应用版本是多少。(标准格式:1.2)
1.0
请判断该apk是否需要联网。(标准格式:是/否)
是
APK回传地址?(标准格式:127.0.0.1:12345)
10.0.102.135:8888
APK回传数据文件名称是什么。(标准格式:1.txt)
Readdata.zip
APK回传数据加密密码是多少。(标准格式:admin)
19_08.05r
APK发送回后台服务器的数据包含以下哪些内容?(多选)
A.手机通讯录 B.手机短信 C.相册 D.GPS定位信息 E.手机应用列表
ABE
Galaxy#b3nguang
写于2024/1/28