廊坊网站制作,wordpress 文章id排序,作文网,郑州小程序定制公司参考#xff1a;
2024“美亚杯”第十届中国电子数据取证大赛资格赛参考WP
2024美亚杯个人资格赛WP
第十届美亚杯个人赛内存和优盘解答
2024年美亚杯个人赛 资格赛 wp_2024美亚杯个人赛-CSDN博客
历年赛题及解析 - 美亚杯
第一次打#xff0c;感觉就是题量很大#xff…参考
2024“美亚杯”第十届中国电子数据取证大赛资格赛参考WP
2024美亚杯个人资格赛WP
第十届美亚杯个人赛内存和优盘解答
2024年美亚杯个人赛 资格赛 wp_2024美亚杯个人赛-CSDN博客
历年赛题及解析 - 美亚杯
第一次打感觉就是题量很大尽量多写自己会的。
eS2%uq#hake2#Z6LWpQ8^T(R7cg95m\Bvy;$/dqxYnEusFf)tb:HKHwye%cR\r9j:GsK)AV52/3hXfdv8#u7a6JQ^pzYPNkq*!
1. [单选题] Emma已经几天没有收到她姐姐Clara的消息了报警失踪她焦虑地将手机提交给警察希望能找到线索。警察将手机交给你进行电子数据取证。你成功提取了Emma手机的镜像。请根据取证结果回答以下问题。根据Emma_Mobile.zipEmma和Clara的微信聊天记录Emma最后到警署报案并拍摄写有报案编号的卡片拍摄时的经纬值是多少(2分)
A. 22.451721666667, 114.171853333333
B. 22.451553333333, 114.172845
C. 22.451928333333, 114.170503333333
D. 22.451638333333, 114.16993
这题当时没找到图片的exif中没有经纬度信息看了wp才知道需要去数据库里找
得翻数据库发现这个是聊天记录的数据库 由于Emma的镜像分析不出来微信记录只能从Clara手机上定位图片的位置
聊天记录显示Emma赌钱赌输了利用姐姐Clara偷了她丈夫David的比特币还钱Clara被发现后应该是被David杀害了 进数据库找到图片的信息 msgimg hdlength0 length139561 aeskeyb3f5f12230235d3dfe4f90e4984c8ebf encryver1 md544c089af8c9a1414edb8ee6026be3307 originsourcemd50bbe83bda8f3e13735e9009078a231f0 filekeywxid_t7zgo57j9m0j22_314_1725012210 uploadcontinuecount0 imgsourceurl hevc_mid_size139561 cdnbigimgurl cdnmidimgurl3052020100044b30490201000204a695112702030f525902044b7d9b2b020466d198f2042432353830663531302d623137372d343463312d623732642d6566396562313331663331610204011d0a020201000400 cdnthumburl3052020100044b30490201000204a695112702030f525902044b7d9b2b020466d198f2042432353830663531302d623137372d343463312d623732642d6566396562313331663331610204011d0a020201000400 cdnthumblength3971 cdnthumbwidth90 cdnthumbheight120 cdnthumbaeskeyb3f5f12230235d3dfe4f90e4984c8ebf/appinfoappid/appidappname/appnameversion0/versionisforceupdate1/isforceupdatemediatagname/mediatagnamemessageext/messageextmessageaction/messageaction/appinfoMMAssetm_assetUrlForSystem![CDATA[F58B98FE-8010-44B7-8BF7-F23AF15DCFCA/L0/001]]/m_assetUrlForSystemm_isNeedOriginImage0/m_isNeedOriginImagem_isFailedFromIcloud0/m_isFailedFromIcloudm_isLoadingFromIcloud0/m_isLoadingFromIcloud/MMAsset/msg
获得UUID F58B98FE-8010-44B7-8BF7-F23AF15DCFCA再去Photo.sqlite数据库里找信息 这个表里找到往前翻就是经纬度 2. [单选题] 根据Emma_Mobile.zip2024年8月30日下午两点后Emma共致电Clara多少次(1分)
A. 85
B. 86
C. 87
D. 88
当时也不会
先找到Clara的电话 85263791704 从这里看是85但火眼的好像不准
要去Emma手机里找CallHistory.storedata.db 可以看到类似时间戳的东西但是和常规的时间戳不一样
https://stackoverflow.com/questions/77190185/mac-absolute-time-from-hex
从这个帖子我才知道ios中的时间戳2001 年 1 月 1 日以来的秒数
import sys
import time
import datetime# Apple Core Data reference date: January 1, 2001, 00:00:00 UTC
CORE_DATA_REFERENCE_DATE datetime.datetime(2001, 1, 1, 0, 0, 0, tzinfodatetime.timezone.utc)# convert_core_data_timestamp converts the Core Data timestamp to a human-readable date
def convert_core_data_timestamp(timestamp):# Add the seconds from the timestamp to the reference datereturn CORE_DATA_REFERENCE_DATE datetime.timedelta(secondstimestamp)def main():if len(sys.argv) ! 2:print(Usage: cocoatime timestamp)sys.exit(1)# Get the timestamp from command-line argumenttimestamp_arg sys.argv[1]# Convert argument to floattry:timestamp float(timestamp_arg)except ValueError:print(Invalid timestamp. Please provide a valid Core Data timestamp.)sys.exit(1)# Convert the Core Data timestamp to a human-readable datehuman_readable_date convert_core_data_timestamp(timestamp)# Convert to local timelocal_time human_readable_date.astimezone()# Print both the input timestamp and the human-readable dateprint(f{timestamp_arg},{local_time.isoformat()})if __name__ __main__:main()
import sys
import datetime# Apple Core Data reference date: January 1, 2001, 00:00:00 UTC
CORE_DATA_REFERENCE_DATE datetime.datetime(2001, 1, 1, 0, 0, 0, tzinfodatetime.timezone.utc)# convert_human_readable_date converts a human-readable date to a Core Data timestamp
def convert_human_readable_date(human_readable_date):# Parse the human-readable datedate_obj datetime.datetime.fromisoformat(human_readable_date)# Calculate the difference in seconds from the reference datedelta date_obj.astimezone(datetime.timezone.utc) - CORE_DATA_REFERENCE_DATE# Return the timestamp as a floatreturn delta.total_seconds()def main():if len(sys.argv) ! 2:print(Usage: cocoatime human-readable-date)sys.exit(1)# Get the human-readable date from command-line argumenthuman_readable_date sys.argv[1]# Convert the human-readable date to a Core Data timestamptry:core_data_timestamp convert_human_readable_date(human_readable_date)except ValueError:print(Invalid date format. Please provide a valid ISO 8601 date.)sys.exit(1)# Print both the input date and the Core Data timestampprint(f{human_readable_date},{core_data_timestamp})if __name__ __main__:main()
也可以用下面的网站算
https://www.epochconverter.com/coredata 有时差所以直接减去2001-1-1零时的时间戳算出来不对写脚本时要注意
这里可以看到2024-08-30 14:00:00的ios时间戳应该为746690400 也可以直接用DCode
DCode™ – Timestamp Decoder - Digital Detective 3. [单选题] 根据Emma和Clara的微信聊天记录Clara失踪前曾告诉Emma会到哪里(1分)
A. 到酒店和丈夫David庆祝结婚周年
B. 吃自助餐
C. 约了朋友见面
D. 去旅行
这个很简单A
4. [填空题] 参考Emma_Mobile.zipEmma的iPhone XR内微信应用程序的版本是多少(2分)
这个也简单8.0.50直接看
5. [多选题] 参考Emma_Mobile.zipEmma手机中下列哪个选项是正确的(2分)
A. iOS版本为17.6.1
B. IMEI为356414106484705
C. Apple ID为Emma1761gmail.com
D. 手机曾经安装Metamask应用程式 A错
IMEI号在com.apple.commcenter.plist中寻找 B对 C错很简单 D对
6. [填空题] 参考Emma_Mobile.zip,Emma手机中Apple ID的注册电子邮箱是多少(2分)
同上
7. [填空题] 参考Emma_Mobile.zip在2024年Emma手机上曾记录的电话卡集成电路卡标识符(ICCID)是多少(答案格式:只需使用阿拉伯数字回答)(2分)
还是看plist 8. [填空题] 参考Emma_Mobile.zipEmma手机的蓝牙设备名称ELK-BLEDOM的通用唯一标识符(UUID)是什么(1分) 找到对应的数据库 9. [单选题] 你发现了一些线索Emma看起来也很可疑她似乎背负了大量债务。参考Emma_Mobile.zipEmma手机内Safari浏览记录中网页https://racing.hkjc.com/的网站标题是什么(1分)
很简单
10. [单选题] 参考Emma_Mobile.zipEmma向Clara透露什么原因令Emma欠下巨债(1分)
A. 投资孖展
B. 虚拟货币失利
C. 网上赌博
D. 以上皆是
D
11. [单选题] 参考Emma_Mobile.zip收债人要求Emma还款数量(1分)
A. 港币$786,990
B. 港币$878,990
C. 港币$786,980
D. 港币$745,330
C
12. [单选题] 参考Emma_Mobile.zipEmma发送了多少张.PNG图片给Clara证明自己正被人追债(2分)
A. 6
B. 7
C. 8
D. 9
B
13. [单选题] 参考Emma_Mobile.zipEmma用来浏览虚拟货币的网址(2分)
简单
14. [单选题] 参考Emma_Mobile.zip的浏览器记录有多少网址与bet365有关? (2分)
A. 3
B. 13
C. 9
D. 12
火眼里搜不到还是要查数据库
浏览器记录在History.db、SafariTabs.db、Bookmarks.db这三个数据库中 无 实际上三个id
15. [单选题] 你还发现了一些与不当使用他人加密钱包相关的痕迹。参考Emma_Mobile.zipEmma用了哪些恢复短语(Recovery Phrase)进入David的虚拟货币账户(2分)
A. stock,avocado,grab,clay
B. light,sadness,segment,ancient
C. toe,talk,elder,oil
D. 以上皆是
D
16. [单选题] 参考Emma_Mobile.zipEmma从David处窃取的虚拟货币的名称是什么(2分)
A. IDFC
B. ICAC
C. INIC
D. IFCC
A
17. [单选题] 参考Emma_Mobile.zipClara偷拍的照片中David的虚拟货币余额是多少(2分)
A. 3266378.99
B. 1044749.22
C. 5022915.66
D. 7822468.44
C
18. [单选题] 参考Emma_Mobile.zipEmma在偷窃David的虚拟货币前Emma曾向Clara透露有什么事发生在Emma身上(1分)
A. 中彩票
B. 欠债
C. 升职
D. 失业
B
19. [多选题] (你查看了Emma手机中的一些照片数字信息以获取更多与失踪案件的信息)Emma的iPhone XR中IMG_0008.HEIC的图像与相片名字为的5005.JPG 看似为同一张相片在数码法理鉴证分析下以下哪样描述是正确(3分)
A. 储存在不同的.db檔案里
B. 有不同哈希值
C. IMG_0008.HEIC为原图5005.JPG为并非原图
D. IMG_0008.HEIC和名字5005.JPG是同一张相片
答案不确定
20. [单选题] 参考Emma_Mobile.zipEmma的iPhone XR中IMG_0009.HEIC 的图像显示拍摄参数怎样(2分)
A. iPhone XR back camera 4.25mm f/1.8
B. iPhone XR back camera 4.25mm f/2.8
C. iPhone XR back camera 4.25mm f/2
D. iPhone XR back camera 4.25mm f/1.6 只有1.8的
21. [多选题] 参考Emma_Mobile.zipEmma的iPhone XR中相片文件IMG_0009.HEIC提供了什么电子证据信息(3分)
A. 此相片是由隔空投送 (Airdrop)得来
B. 此相片由iPhone XR拍摄
C. 此相片的拍摄时间为2024-08-05 13:38:15(UTC8)
D. 此相片的拍摄时间为2024-08-06 08:30:52(UTC8) 这里的记录没有图片的id之类的标识可以考虑经纬度定位 0009的经纬度对应倒数第四条 A看不出来
B很显然
时间有时间戳 BC
22. [多选题] 参考Emma_Mobile.zipEmma的iPhone XR内以下哪张照片是实况照片(Live Photos)(2分)
A. IMG_0002.HEIC
B. IMG_0005.HEIC
C. IMG_0004.HEIC
D. IMG_0006.HEIC BD都是PNG没有HEIC疑似是动态图片的格式猜测是AC不确定
23. [单选题] 参考Emma_Mobile.zip,手机里有多少张照片是用手机后置摄像镜头拍摄的? (2分)
A. 5
B. 6
C. 7
D. 8 24. [单选题] 参考Emma_Mobile.zip的通讯记录MesLocalID 224是什么类的文件(3分)
A. 相片
B. 影片
C. 文件
D. 报表 A
25. [单选题] 依据你在Emma的手机上找到的照片你告诉调查员Clara最后的位置是在湾仔的一家酒店。根据你提供的信息调查员发现Clara在酒店去世Clara的手机在她的附近你对Clara的手机进行取证。请根据取证结果回答以下问题 参考Clara_Smartphone.binClara手机的Android操作系统版本是(1分)
A. 8.0.0
B. 9.0.0
C. 8.1.0
D. 7.0.0
A
26. [填空题] 参考Clara_Smartphone.binClara手机的版本号(Build Number)是什么(1分)
查看build.prop文件 27. [填空题] 参考Clara_Smartphone.binClara手机的IMEI号码是多少(答案格式:只填写阿拉伯数字部分) (1分) 直接搜
在fish_imei.xml内
28. [填空题] 参考Clara_Smartphone.binEmma的微信账号是(2分)
简单
29. [单选题] 参考Clara_Smartphone.binClara的第一封电子邮件记录的日期(2分)
A. 2024-07-10
B. 2024-07-18
C. 2024-07-23
D. 2024-07-30 30. [单选题] 参考Clara_Smartphone.bin在通讯录中David的联系人信息还包括什么? (2分)
A. 出生日期
B. LinkedIn
C. 电子邮件
D. 地址 手机大师可以查看
B
31. [单选题] 参考Clara_Smartphone.binDavid和Clara之间通话次数? (2分)
A. 0
B. 8
C. 10
D. 24 32. [单选题] 参考Clara_Smartphone.binClara在Chrome浏览器搜索中哪天使用了关键词popmart 炒价? (2分)
A. 2024-08-10
B. 2024-08-15
C. 2024-08-20
D. 2024-08-25
B
33. [单选题] 参考Clara_Smartphone.bin2024年7月30日共收到多少封电子邮件(2分)
A. 2
B. 3
C. 4
D. 5
C
34. [填空题] 参考Clara_Smartphone.binClara的Gmail账号是? (2分)
简单
35. [单选题] 参考Clara_Smartphone.binClara的手机安装了哪个版本的WhatsApp(2分)
A. 241676000
B. 241676001
C. 241676004
D. 241676007
C
36. [填空题] 参考Clara_Smartphone.binClara的WhatsApp账号(答案格式:只需填写11位阿拉伯数字) (2分)
简单
37. [单选题] 参考Clara_Smartphone.binClara的手机在什么时候安装了小红书APP(2分)
A. 2024-07-10
B. 2024-07-16
C. 2024-07-20
D. 2024-07-30
B
38. [单选题] 参考Clara_Smartphone.bin2024年8月21日David的虚拟貨幣钱包里有多少IDFC(3分)
A. 5022915.66
B. 3212695.22
C. 210355633.91
D. 以上皆不是
A
39. [填空题] 参考Clara_Smartphone.binClara注册的微信账号验证码是多少(2分)
954250
40. [填空题] 参考Clara_Smartphone.binDavid为庆祝结婚周年纪念预订了哪家酒店提示:请使用大写英文字母作答例如:HONG KONG HOTEL) (3分)
CONRAD HONG KONG
41. [填空题] 参考Clara_Smartphone.bin哪个数据库文件存储了微信消息(答案格式:只需使用全部大写回答, 例如:ABC.DB) (3分)
ENMICROMSG.DB
42. [填空题] 参考Clara_Smartphone.bin哪个数据库文件(.db)存储了WhatsApp訊息(3分)
msgstore.db
43. [单选题] 参考Clara_Smartphone.binClara在2024年8月29日拍了多少张照片(2分)
A. 0
B. 3
C. 4
D. 5
B
44. [单选题] 参考Clara_Smartphone.binEmma在2024年8月6日通过微信发送了多少张照片给Clara? (2分)
A. 0
B. 1
C. 5
D. 12
A
45. [填空题] 参考Clara_Smartphone.bin照片20240829_144717.jpg的拍摄相机型号是什么(2分)
LG-H930
46. [单选题] 参考Clara_Smartphone.bin20240821_121435.jpg的储存路径是什么(2分)
A. /media/0/DCIM/Camera
B. /media/1/DCIM/Camera
C. /media/00/DCIM/Camera
D. /media/11/DCIM/Camera
A
47. [填空题] 参考Clara_Smartphone.bin2024年8月20日有多少张截图(2分)
4张
48. [单选题] 参考Clara_Smartphone.bin2024年8月22日被删除微信消息的类型是(3分)
A. 照片
B. 视频
C. 文本
D. 以上都不是 应该是猜测的A
49. [填空题] 你在查看Clara的手机镜像后确定Clara是David的妻子调查员通过查询酒店预订记录确认了这一点。他们现在定位David的住所以进行进一步调查。你首先分析David的手机。参考David_Smartphone_1.zip根据Contents.dbDavid手机接收了通讯软件Telegram的验证短信该验证码是多少(3分)
84298
50. [填空题] 参考David_Smartphone_1.zipDavid把手机设置为个人热点请找出个人热点的密码。(3分)
wdfj5674
51. [判断题] 参考David_Smartphone_1.zip, David 手机曾连接名为MTR Free Wi-Fi 的Wi-Fi (2分)
正确
52. [填空题] 参考David_Smartphone_1.zip根据com.tencent.mm_preferences.xmlDavid的手机最后登录微信的微信ID是(3分)
wxid_rni3m2o8ngxe22
53. [填空题] 参考David_Smartphone_1.zip请指出哪一张图片是于2024年8月28日利用屏幕截取的。(答案格式:ABC_123.jpg) (3分)
Screenshot_20240828-153836_Gmail.jpg
54. [填空题] 参考 David_Smartphone_1.zip根据Contents.dbDavid手机的型号(Model)(答案格式:大写英文字母和符号- 混合组成) (2分)
SM-G9500
55. [填空题] 参考 David_Smartphone_1.zip的Contents.dbDavid所使用的手机SIM 卡的序号(答案格式:只需要用阿拉伯数目字回答) (1分)
8985200000827530728
56. [填空题] 参考 David_Smartphone_1.zipDavid手机安装了应用程序MetaMask。根据persist-root中MetaMask钱包内有多少个账号(3分)
在线JSON校验格式化工具Be JSON
校验一下再看 实际上就是accounts字段这里有四个账号
57. [单选题] 参考 David_Smartphone_1.zip根据persist-root中何时从应用程序MetaMask发送虚拟货币至以下地址: 0X10A4F01B80203591CCEE76081A4489AE1CD1281C (3分)
A. 2024-08-11 1249(GMT8)
B. 2024-08-14 1658 (GMT8)
C. 2024-08-14 1659 (GMT8)
D. 2024-08-16 1724 (GMT8) 58. [单选题] 参考 David_Smartphone_1.zipDavid曾利用手机应用程序MetaMask三次发送虚拟货币失败。根据persist-root发送虚拟货币失败的原因是什麼(3分)
A. 网络连接问题
B. 应用程序权限被拒
C. 接收地址错误
D. 手续费不足
D 先去除转义再校验 59. [单选题] 你根据易失性(Volatility Level)优先次序进行内存取证分析David的笔记本电脑。参考RAM_Capture_David_Laptop.RAW以下哪一个不是程序firefox.exe的PID(2分)
A. 9240
B. 8732
C. 5260
D. 3108
内存取证
https://github.com/Tokeii0/LovelyMem 或者 pid很多一个个找3108、8732、9240都有故选C
60. [填空题] 参考RAM_Capture_David_Laptop.RAW汇出PID724的程序其哈希值(SHA-256)是(2分) MemProcFS会自动挂载文件本身 fee23ebcba02987e70d81ca1924c2e9c69d79ac2afea5bbde4fb335a57d4b30c
61. [单选题] 参考RAM_Capture_David_Laptop.RAW哪一个是执行PID724程序的SID(1分)
A. S-1-1-0
B. S-1-2-0
C. S-1-5-21-1103701427-1706751984-2965915307-1001
D. S-1-5-21-1103701427-1706751984-2965915307-513 A
62. [填空题] 参考RAM_Capture_David_Laptop.RAW账户David Tenth的NT LAN Manager的哈希值(NTLM Hash)(答案格式:只需使用全部小写及阿拉伯数字回答) (1分) e14a21fefc5dd81275bb87228586cffc
63. [单选题] 在取证中你发现D盘被BitLocker加密。U盘上可能有一些线索你对U盘进行了取证。参考David_USB_8GB.e01David 的U盘文件系统的格式(2分)
A. NTFS
B. FAT32
C. exFAT
D. ReFS
Xways查看 64. [单选题] 参考David_USB_8GB.e01David的U盘文件系统中每簇(Cluster)定义了多少字节(Byte)(2分)
A. 128
B. 256
C. 512
D. 1024 65. [单选题] 参考David_USB_8GB.e01David的U盘中有多少个已删除的文件(2分)
A. 1
B. 2
C. 3
D. 4 A
66. [单选题]承上题,参考David_USB_8GB.e01,已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量是多少? (2分)
winhex加载一下 利用winhex在NTFS文件系统下定位文件找到其目录项和簇号等等_起始簇号怎么看-CSDN博客 先看DBR0x30-0x37是MFT主文件表的起始簇小端序 跳转 参考非常驻属性头的结构 NTFS文件系统-MFT的属性头_mft 80属性-CSDN博客
80属性头是记录文件内容的属性 偏移就是看0A-0B 0x4064
67. [单选题]承上题,参考David_USB_8GB.e01,已删除文件的第一个运行的十六进制值(低端字节序 Little-Endian)是多少? (3分)
A. 0x4C3F0DB522
B. 0x4C3F0D22B5
C. 0x224C3F0DB5
D. 0x3F4C0DB522 就是看Datarun部分小端序读取4C3F0DB522
A
68. [填空题] 承上题,参考David_USB_8GB.e01,已删除的文件的实际大小(单位:字节 Byte)是多少? 答案格式:只需使用阿拉伯数字回答 (2分) 1796178官方答案也是
69. [填空题]承上题,参考David_USB_8GB.e01,已删除文件的第一个运行偏移量(Run Offset)是多少? (答案格式:只需使用阿拉伯数字回答) (2分) 看了好几个wp也不知道为啥反正是这两字节
0x4C3F19519
70. [单选题]承上题,参考David_USB_8GB.e01,已删除的文件的第一个运行的簇运行长度(Run Length)是多少? (2分) 同上不知为啥
0xDB53509
71. [单选题] 承上题,参考David_USB_8GB.e01,已删除文件的图像文件像素值(Pixel)是多少? (2分) c
A. 1000 x 2000
B. 2000 x 3000
C. 3000 x 4000
D. 4000 x 5000 72. [单选题] 承上题,参考David_USB_8GB.e01,已删除图像文件是用哪个品牌和型号的手机拍摄? (2分)
A. SAMSUNG SM-A425
B. SAMSUNG SM-A4580
C. SAMSUNG SM-A4260
D. SAMSUNG SM-A5G
同上图C
73. 在U盘中,你还发现了一个exe文件,但它被锁定,可能需要进行反编译以便进一步检查。参考David_USB_8GB.e01,使用x64dbg的字符串搜索(String Search)功能,在Bitlocker.exe中查找哪个字符串最有可能与显示的登录状态有关? (1分)
我的x64搜不出来不如IDA C
74. 承上題,当找到控制登录成功的逻辑代码时,如何修改汇编代码(Assembly Code)来绕过检查,达到任意输入都成功登录的效果? (2分) 定位到if分支的地方 发现是testjnz跳转选D
75. 参考David_USB_8GB.e01,Bitlocker.exe的正确用户登录名称是? (1分)
david1337字段的判断从v3→v5 如果v5通过直接就到LABEL_18报错若正确才验证中间蓝色框的部分 所以david1337肯定是账号1337david是密码
76. 参考David_USB_8GB.e01,Bitlocker.exe的正确登录密码是? (2分)
由上面得
77. 参考David_USB_8GB.e01,当Bitlocker.exe程序尝试显示登录结果成功或失败时,使用了哪一种途径来决定显示的消息? (2分) 看起来还是A更像
78. 参考David_USB_8GB.e01,决定能否解密Bitlocker Key 的字节的内存偏移量(Memory Offset)相对于基址bitlocker.exe是什么? (3分) 先定位到字段 这里有个if判断判断的字节数据地址在808C
B
79. 参考David_USB_8GB.e01,决定能否解密Bitlocker Key 的内存偏移量(Memory Offset)后,应该如何利用它来进行解密? (2分)
A. 将该偏移量处的值改为 1 (true),以启用解密过程
B. 将该偏移量处的值改为 0 (false),以重新初始化加密过程
C. 将该偏移量的内容保存到档中以作解密过程中的key
D. 清空该偏移量的内存并强制退出程序
A
80. [单选题] 参考David_USB_8GB.e01,解密后的 Bitlocker Key 是? (3分) A
A. 299255-418649-198198-616891-099682-482306-642609-483527
B. 745823-918273-564738-290183-475920-182736-594827-162839
C. 539823-847291-094857-194756-382910-472918-482937-120984
D. 829384-192837-475910-298374-019283-847362-564738-293847 恢复的图片上有
也可以逆向的方式动调得到 A
81. [单选题] 到目前为止,你已经获得了BitLocker密钥以解密D盤通过对David笔记本电脑D盤的分析并发现了一些重要信息。你现在将继续调查未加密的C盤 参考David_Laptop_64GB.e01分区格式(Partition)是(2分) 82. [单选题] 参考David_Laptop_64GB.e01該e01成功提取的日期和时间是(2分)
A. 2024-09-05 15:55:28
B. 2024-09-02 11:52:31
C. 2024-09-03 14:37:28
D. 2024-09-03 12:16:49
创建案件后可以查看 83. [填空题] 参考David_Laptop_64GB.e01最后登录的用户是谁(答案格式:大写英文字母,小写英文字母和空格混合组成,例如:Tom Hanks) (2分) 只有他有时间
84. [单选题] 参考David_Laptop_64GB.e01用户配置的时区是(2分)
A. Australian Central Time
B. China Standard Time
C. New Zealand Standard Time
D. Nepal Time 85. [单选题] 参考David_Laptop_64GB.e01David的笔记本电脑曾經连接了多少个设备(2分)
A. 1
B. 2
C. 3
D. 4 C
86. [填空题] 参考David_Laptop_64GB.e01David的笔记本电脑上的Firefox浏览器安装了哪些扩展工具(答案格式:请以大寫英文字母作答无须留空白位) (2分) 用之前的bitlockerkey解密直接起虚拟机 就一个MetaMask
87. [单选题] 参考David_Laptop_64GB.e01根据用户配置文件中的.lnk文件最后访问的文件名称是(2分)
A. 下載
B. export-token
C. RAM_Capture_DaviD
D. 本機磁碟(E) (2) 上面两个是刚才打开的浏览器
88. [单选题] 参考David_Laptop_64GB.e01,David的笔记本电脑曾經连接了多少个不同的Wi-Fi? (2分)
A. 1
B. 2
C. 3
D. 4 A
89. [填空题] 承上题,参考David_Laptop_64GB.e01该Wi-Fi网络的名称(SSID)是(答案格式:大写英文字母和小写英文字母混合组成) (2分)
ErrorError5G
90. [单选题] 参考David_Laptop_64GB.e0该电脑的Windows操作系统的安装日期是什么(2分)
A. 2024-07-31 09:55:37 UTC8
B. 2024-08-01 13:10:15 UTC8
C. 2024-07-31 10:18:26 UTC8
D. 2024-08-01 14:43:55 UTC8
火眼看 91. [单选题] 通过对David 笔记本电脑的电子数据取证和痕迹分析你了解到David是一名cryptocurrency专家。(假設虚拟貨幣International Digital Forensics Coin (IDFC)面值是每1個IDFC等如1-HKD IDFC Token Address: 0x56E7A6dd8aA1c78ba77944C94c43054978E89b7b 區塊鏈: Binance Smart Chain) 下列那个网站能够找到区块链:Binance Smart Chain的交易记录(1分)
A. binance.com
B. bscscan.com
C. etherscan.io
D. blockchain.com B
92. [单选题] 参考Emma_Mobile.zip中的微信聊天记录分析Emma用什么方法盜取David的IDFC(1分)
A. Emma经Clara盗取了David虚拟货币钱包的私匙(Private Key)
B. Emma经Clara盗取了David虚拟货币钱包的公匙(Public Key)
C. Emma经Clara盗取了David虚拟货币钱包的回复匙(Recovery seed)
D. Emma盗取了David电话
C
93. [单选题] 根据David,Emma及Clara的微信对话David在什么日期时间发现IDFC被盗(1分)
A. 2024-8-22 18:06
B. 2024-8-28 09:14
C. 2024-8-28 09:57
D. 2024-8-29 15:52 B
94. [单选题] 参考Emma_Mobile.zip中的微信对话分析Emma为什么盜取David的IDFC(1分)
A. Emma为了买名贵手表
B. Emma为了赌钱
C. Emma为了炒卖虚拟货币
D. Emma为了还财务公司的欠债
D
95. [单选题] 参考David_Laptop_64GB.e01及DavidEmma及Clara的微信对话分析IDFC的交易记录Emma盜取了David虚拟货币钱包内哪个地址的IDFC? (2分)
A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c
B. 0x152c90200be61a540875f2a752c328bd19dbfb87
C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220
D. 0x70544880875fe907cee383873ca58da23378caa5 看看交易记录
根据聊天记录助记词是26号发的虚拟货币是28号发现被偷的作案时间应该在两者之间 只有A是27号的应该是A
96. [单选题] 根据DavidEmma及Clara的微信对话及IDFC的交易记录作分析Emma总共盗取了David多少IDFC(2分).
A. 90,000 IDFC
B. 170,000 IDFC
C. 9,300,000 IDFC
D. 9,390,000 IDFC A
97. [多选题] 根据Emma及Clara的微信对话下列哪些地址是由相同的恢复短语(Recovery Seed)所生成(3分)
A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c
B. 0x152c90200be61a540875f2a752c328bd19dbfb87
C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220
D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042
https://iancoleman.im/bip39/
把之前的助记词扔进去生成一下地址 这里要选ETH通过观察地址格式可以看出这是以太坊的钱包 bip类型是bip44这个好像不太好判断只能试试看 前三个ABC
98. [单选题] 根据IDFC的交易记录作分析总共有多少次IDFC交易流入地址0x10a4f01b80203591ccee76081a4489ae1cd1281c(1分)
A. 0
B. 1
C. 2
D. 3 两次转入 C
99. [单选题] 参考David_Laptop_64GB.e01在David计算机的D盘内有一张图片根据图片上的信息找出David另一个虚拟货币钱包的恢复短语(2)(Recovery Seed)下列哪一个单词是在此恢复短语(2)(Recovery Seed)内(3分)
A. fall
B. bread
C. brain
D. dove 好像没什么用完整的单词只有infant、fragile
内存镜像RAM_Capture_David_Laptop.raw里搜一下 D
100. [多选题] 承上题,参考David_Laptop_64GB.e01在IDFC的交易记录中下列哪些地址由上述恢复短语(2)(Recovery Seed)所生成(2分)
A. 0xb2e3dbea311511ec5bda3e85e061f15366f888a6
B. 0xe90ad3f80e39e83b533eef3ed23c641ec51089c6
C. 0x90f73497E4446f6Cf9881213C32D6af66d799fE5
D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042
复制出来助记词infant fragile garlic bracket stove blade stick dove aerobic spin term educate CD
