1. 工地主管电话的微信账号是什么?
A. Kasier751111 B. Kasierlee751111 C. Kasierlee D. 以上皆非
根据调查报告去这个路径下使用cellebrite reader查看,那个目录下就有exe。
但找了一圈只有这个WhatsApp的,官方给出的答案也是D
2.工地主管的隔空投送装置置编号是什么?
这个人使用的是苹果手机,AirDrop ID 是苹果设备在开启隔空投送功能时,为了被附近其他苹果设备发现而广播的一个唯一的、临时性的加密哈希值
所以我们寻找airdropid
780F624DF099
3.工地主管电话的哪一个应用程序有关于经纬度24.490474, 118.110220的纪录?
直接在时间线中搜索得到,但猜也差不多能猜出来(。Apple Maps
4.工地主管的手提电话中下列哪些数据正确?
ac
A. iOS 版本为 12.5.4 B. IMEI为 454120637213361 C. Apple ID 为 kaiserlee3660@gmail.com D.手机曾经安装 dropbox 应用程序
使用全局搜索发现bd是错的
5.工地主管的电话最常用的浏览器是什么
safari
在搜索与网络中的web历史记录中查找
6.工地主管的电话连接过哪一个WiFi?
SSId就是无线网络名称的意思
7.工地主管与 Alex Chan 的 Whatsapp 对话中,曾提及以下哪个 TeamViewer 的用户号码?
A.435334881 B.453851521 C.435475200 D.456874155 E.435270306
直接全局搜索
三张图对应ACE三个选项
8.工地主管的WhatsApp中有多少个黑名单的记录?
由于在已经解析的数据中找不到和black相关的内容,只能直接去源文件中找,随便找一个聊天记录看他源文件(ai说聊天记录和黑名单功能高度绑定所以数据放在一起(),找到了个ZWABLACKLISTITEM
- ZWA: 很可能是一个内部前缀,
Z可能代表“自定义”或“解析生成”,WA明确代表 WhatsApp。 - BLACKLISTITEM: 清晰描述了这是一个黑名单条目。
所以应该是0个
9.以下哪个蓝牙装置的 Uuid 曾连接过工地主管的手机?
A.7F1FE70D-2B15-C245-853D-4196F13CC446 B.1B057C1D-83D3-99A6-D2B1-EC54846C7CEE C.134ACD1-83D3-99A6-D2B1-EC54846C7CEE D.7D1BE70D-2C16-D246-851D-491613DD776
直接看设备连接的Bluetooth,没看到Uuid,那直接去找源文件。
选ab
计算机取证
10.工地主管计算机的 E 盘的 Bitlocker 修复密钥标识符是甚么?
找到对应文件
看不懂,找大佬的wp
于是找到FTP服务器的镜像。
关键词搜索Bitlocker找到3个恢复密钥
分割—————————————————
byd后来才发现我的镜像是缺失的,我就说怎么少了几个分区(后面就写能找到的题了,懒得再搞一个镜像),直接用取证大师BitLocker解密查看
36EBC18095F741FFBE5B4E56E7AF48B1
12.工地主管的 Team Viewer ID 是甚么?
第七题中就有
435270306
13.工地主管的 Team Viewer 与哪一个 ID 连接?
420190768
14.工地主管曾用计算机浏览器作搜寻,以下哪一个关键词他曾经搜寻?
A.tiktok B.web whatsapp C.facebook D.lihkg E.hkgolden F.web wechat
直接一个个搜选项,最后是bc
15.工地主管计算机的 Windows 系统的产品标识符是甚么?
直接查看系统信息中的产品id
16.工地主管曾用计算机使用 WhatsApp,他曾和以下哪个电话号码沟通?
在计算机镜像里找不到,只能回手机找,发现只有这个手机里有和别人的聊天记录,而且刚好只有这个人,其他不是群组就是广告,验证码啥的
85246761157
17.工地主管计算机的用户名称是甚么?其用户标识符是甚么?
A.用户名称: PC1 B.用户名称:PC2 C.用户名称: PC3 D.用户标识符:0x000003E7 E.用户标识符:0x000003E8 F.用户标识符:0x000003E9
A
用户标识符需要把1001(10进制)转换为16进制,根据ai,那一长串是这东西:
1 | 两种“用户标识符”的含义 |
18.工地主管计算机的预设浏览器是甚么?¶
A.Chrome B.Firefox C.Safari D.以上皆否
使用仿真方法做,仿真成功后,在桌面上建一个.html 文件即可发现是 chrome 浏览器的 logo
19.工地主管计算机的其中一个分区被人加密,分区内的电子表格 Material3.xlsx 的哈希值(SHA1)是甚么?
根据之前的标识符,在ftp服务器镜像中找到密钥文件
直接解密
让后搜索源文件,跳转源文件
40418B21F6C3E4AF306D5EF3B80A776DA72FC1D2
日志文件
20.路由器的记录中显示以下有哪些IP是公司的电子器材?
A.192.168.40.128 B.192.168.40.129 C.192.168.40.130 D.192.168.40.131 E.192.168.40.132
直接搜索日志发现只有e没有
另外只有inside表示才能表示是内网
21.路由器的记录中显示公司的计算机下载了 FTP 软件,该下载网站的 IP 是什麼?
由第11题可以知道软件是filezilla,直接在日志中搜索,发现是49.12.121.47
22.路由器的记录中显示公司计算机的资料用 FTP 软件传到了甚么 IP 地址及利用端口?
A.IP地址: 2*.2*.2*.114 B.IP地址: 8*.8*.1*.20 C.IP地址: 1*.1*.0*.13 D.端口: 21 E.端口: 80
FTP(File Transfer Protocol)的标准控制端口就是21。在防火墙或路由器日志中,FTP传输通常会在端口21上显示TCP连接,尤其是当涉及文件传输的控制通道时。
所以我直接搜索/21
AD
23.路由器的记录中显示以下哪些关键词是表示公司计算机与外界网络联机?
A.destination B.ICMP echo request C.inside D.outside E.以上皆是
outside 表示外网地址,inside 表示内网地址,destination 表示目标地址, ICMP echo request 是 ICMP 回应请求报文(Ping 指令可以产生)。
选AD
24.路由器的记录中显示哪一个 IP 曾以 teamviewer 连接公司计算机?
A. 110.152.0.14 B.52.152.117.114 C.180.152.0.13 D.83.26.80.131
TeamViewer 通常使用端口 5938。这是 TeamViewer 的默认端口。所以,应该搜索日志中包含端口 5938 的条目。
52.152.117.114/5938
选b
25.路由器的记录中显示以下哪一个有可能是以 teamviewer 遥控公司计算机的时间?link”)
A.09:31,09:37 B.09:33,09:39 C.10:29,10:36 D.10:40 E.10:42
ACE,直接根据ip查
26.路由器的记录中显示有多少电子器材有可能曾被入侵?
根据第七题发送的三张图片估计是三台电脑
27.阿力士 iPhone12pro 电话于 2021 年 10 月 21 日,以下哪张相片可能曾被分享(UTC+8)?#27-iphone12pro-2021-10-21-utc8 “Permanent link”)
A. IMG_0011.HEIC B. IMG_0010.HEIC C. IMG_0009.HEIC D. IMG_0008.HEIC E. IMG_0007.HEIC
答案AB
被分享过的图片会生成不带元数据的缩略图
b选项是因为
OutgoingTemp显然是分享
28.阿力士 iPhone 12 pro 电话中哪一张相片可能曾被修改拍摄时间?
A.IMG_0011.HEIC B.IMG_0010.HEIC C.IMG_0009.HEIC D.IMG_0008.HEIC
找了一圈找不到答案,唯一发现的不同就是选D
29.阿力士 iPhone 12 pro 的 GSM 媒体访问控制地址是什么?
直接找MAC地址
但是找出来怎么和答案不一样?(
30.阿力士的 iphone 12 pro 以什么屏幕密码保护?
A.6位阿拉伯数字密码 B.4位阿拉伯数字密码 C.图形密码 D.以上皆非
选D
奇安信大佬思路:手工查找pslist文件,找到manifest.plist文件中的WasPasscode的值为false,表示没有设置密码锁。
31.阿力士 iphone 12 pro 内以下哪一张相片是实况相片(live Photos)?”Permanent link”)
A.IMG_0011.HEIC B.IMG_0010.HEIC C.IMG_0012.HEIC D.IMG_0009.HEIC
有mov的就代表是live
32.以下哪一个是阿力士 iphone 12 pro 可能曾经连接的装置名称?
A.Chris’s MacBook Pro B.Chirs’s iPhone C.Chirs’s Computer D.Chirs’s Linux
直接找联系人
33.接上题,记录连接时间是什么时候(UTC+8)?(多选)
A.2021年10月21日 00:58:01 B.2021年10月21日 08:58:01 C.2021年10月21日 00:58:29 D.2021年10月21日 08:58:29
不知道为什么是多选,答案是BD(注意UTC+8)
ai的解释
1 | 在电子取证中,一个事件的不同阶段可能会产生多个时间戳。对于“设备连接”这个事件: |
阿力士iPhone XR
34.阿力士 iPhone XR 中在软件 WhatsApp 中工地主管与阿力士的对话中曾提到:[巨叫我俾钱喎,BTC 係唔係呢个啊?],在进行电子数据取证分析后,以下哪一个是有可能关于此对话的正确描述?
A 此对话被Kariser Lee删除 B.此对话的附件为一张图片文件 C.此对话被Alex Chan删除 D.此对话是引用Alex Chan回复
答案AB
B是显然的
问题就在AC,我的猜测是只有发送消息的人才能删除对话
1 | 核心逻辑分析 |
既然iphone6和iphone XR上都显示删除(红色叉叉),那么就可能是由
工地主管 Kariser Lee进行了为所有人删除
35.阿力士 iPhone XR 的 WhatsApp 对话中,阿力士曾要求工地主管支付多少个 BTC?
10个
36.阿力士 iPhone XR 中 IMG_0056.HEIC 的图像与 5005.JPG (MD5:96c48152249536d14eaa80086c92fcb9)看似为同一张相片,在电子数据取证分析下,以下哪样描述是正确?
答案BC
A.储存在不同的.db里 B.有不同哈希值 C. IMG_0056.HEIC为原图,5005.JPG(MD5:96c48152249536d14eaa80086c92fcb9)为缩略图 D.IMG 0056.HEIC 曾被开启过,所以在I0S系统中创建了缩略图5005.JPG(MD5:96c48152249536d14eaa80086c92fcb9)
B是显然的,数据不一样哈希肯定不一样
A:有没种可能数据库不能储存图片(我猜),而是存储图像的元数据
C:IMG_0056.HEIC比5005.JPG大多了肯定是原图
D:错误。iOS系统可能自动生成缩略图(如照片库预览),而不一定需要用户主动开启照片
37.阿力士 iPhone XR 中相片檔 IMG_0056.HEIC 提供了什么电子数据取证的信息?
AD
A.此相片是由隔空投送(Airdrop)得来 B.此相片由iPhone XR拍摄 C.此相片的拍摄时间为2021-10-21 17:45:48(UTC+8) D.此相片的拍摄时间为2021-09-08 17:35:00(UTC+8)
显然不是XR拍摄的,但是这不足以证明是由airdrop传输的,再结合这个文件的路径
一般app保存原图的时候路径不是这种,而是类似Apps/WhatsApp/这种,但是airdrop可以直接保存到相册所以推理出a是对的
D也能看出来
38.阿力士 iPhone XR 中阿力士的电邮账户 Alexc19851016@gmail.com 的密码有可能是什么?
A.Ac19851016 B.Alex1985! C.Aa475869! D.以上皆非
选C
39.阿力士 iPhone XR 曾经连接 Wifi “Alex Home” 的密码是什么?
12345678
40.阿力士 iPhone XR 经 iCloud 备份的最后时间是什么?
A.2021-10-21 17:51:38(UTC+8) B.2021-10-21 18:02:13+(UTC+8) C.2021-10-21 09:51:38(UTC+8) D.2021-10-21 10:02:13+(UTC+8)
41.阿力士 iPhone XR 中的 iBoot 版本是 iBoot-____?
感觉基本信息都可以在这个文件里找
42.多选题阿力士 iPhone XR 中的 WhatsApp 群组【团购-新鲜猪肉牛肉-东涌群组-9/30】有以下哪一个成员?
A. 85260617332@s.whatsapp.net B. 85260452579@s.whatsapp.net C. 85248791565@s.whatsapp.net D. 85264630956@s.whatsapp.net
43.阿力士的计算机显示曾于 hongkongcard.com 的论坛登记成为会员,以下哪个是他的帐户密码?
A.Aa475869! B.Bb475869! C.Cd475869! D.以上皆非
使用的是电邮账号,根据38题,选A
44.阿力士的计算机显示阿力士曾用什么方法进入受害者(主管)的计算机?
A.远程操控 B.特洛伊木马程序 C.勒索软件 D.恶意软件
之前的题就能知道是teamviewer的远程操控
45.续上题,阿力士最后一次进入受害者(主管)计算机的时间是什么?
A.于2021年10月18日 10时36分 B.于2021年10月18日 18时36分 C.于2021年10月18日 06时53分 D.于2021年10月18日 18时42分
选D
46.阿力士的计算机显示他曾经使用 FTP 程序,FTP 的主机 IP 地址是什麼?
47.阿力士的计算机显示于 2021 年 9 月至 2021 年 11 月期间,计算机曾被登入过多少次?
30次
48.阿力士计算机所安装的 Microsoft Office 2007 是以下哪一个版本?
49.以下是阿力士计算机中的 Basic data partition (EFI 3) 的 Volume ID?
使用X-ways打开
在 3\System Volume Information\SPP\OnlineMetadataCache:下面的两个文件都能看见 VolumeID: {9705c469-7dca-4d55-ae76-7481b9f1428e}
50.阿力士计算机的 Windows product ID 是什么?
51.阿力士计算机曾经下载一张猴子的图片,以下哪一项描述正确?¶
A.该图片是由
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSgn6ABvcqTfFPjclbjc9hdx1H4P1QsAuVyTQ&usqp=CAU下载的 B.该图片经过加密 C.该图片于2021-09-30下载 D.该图片是由GIF档转换成PNG檔
选A
52.阿力士计算机所安装的 Microsoft Office 2007 的密钥是甚么?
V77WQ-RPVP6-7MTPG-WH3G9-D44MJ
ftp
53.阿力士 FTP 服务器用户使用命令行安装了甚么程序?
A.Docker B.Chrome C.FileZilla D.TeamViewer
选A
54.以下哪些档案于阿力士 FTP 服务器曾重复出现?
A.Material1 B.Material2 C.Material3 D.Staff1 E.Staff2 F.Staft3
DEF
55.在阿力士 FTP 服务器中,文件夹___曾被用户变更了访问权限
chmod 用于更改文件或目录的访问权限(读,写,执行)
56.在阿力士 FTP 服务器建设后,有___个额外用户被加入
pure-pw useradd |
Pure-FTPd 的用户管理工具,用于创建虚拟用户 |
|---|
只加入了一个叫wai的用户
1
57.根据阿力士 FTP 服务器设定显示,此服务器是以___方式连接网络,且是一个__网络状态
A.无线,公开 B.无线,私人 C.有线,公开 D.有线,私人
由于是公网ip,选C
58.阿力士 FTP 服务器设定最多使用者数目是___
由于安装的是Pure-FTPd,直接找他的配置文件,搜索ftpd.conf
59.阿力士 FTP 服务器使用 Docker 安装了一个 FTP 程序为____。
阿力士 FTP 服务器使用 Docker 安装的 FTP 程序为 Pure-FTPd。
这是一个由 stilliard 维护的 Docker 镜像,封装了轻量级、安全的 Pure-FTPd 服务器软件。
60.阿力士 FTP 服务器曾使用过甚么版本的 Linux 内核?
A.linux-headers-5.11.0-16 B.linux-headers-5.11.0-17 C.linux-headers-5.11.0-36 D.linux-headers-5.11.0-37 E.linux-headers-5.11.0-40
直接搜索
AD
61.阿力士 FTP 服务器的磁盘分区,有以下哪一种文件系统?
A.FAT16 B.FAT32 C.ExFAT D.HFS+ E.Ext4
BE
点一个分区的摘要部分就能查看
62.阿力士FTP服务器用户输入了指令___去检查现存的Docker容器
docker container ps -a
docker container ps -a或 docker ps -a |
显示所有容器 | 运行中 + 已停止的容器 |
|---|
