2024-美亚个人

案情

于 2024 月 8 月某日, 警方接获一名本地女子 Emma 报案, 指她的姊姊 Clara 失联多天, 希望报告一宗失踪人口的案件. 现在你被委派处理这宗案件. 于处理该案件期间, 你在 Emma 的同意下提取了她手机的资料, 并且协助警方对 Clara 及其丈夫 David 的电子装备进行取证工作. 请分析以下的资料, 还原事件经过.

资料:

  1. Emma 的 iOS 手机镜像档案 (Emma_Mobile_Image.zip)
  2. Clara 的安卓手机镜像档案 (Clara_Smartphone.bin)
  3. David 的 Windows 系统计算器镜像档案 (David_Laptop_64GB.e01)
  4. David 的 8GB U 盘镜像档案 (David_USB_8GB.e01)
  5. David 的安卓手机镜像档案 (David_Smartphone_1.zip)
  6. David 的 Windows 系统计算器内存档案 (RAM_Capture_David_Laptop.raw)

Emma 的手机

Emma 已经几天没有收到她姐姐 Clara 的消息了, 报警失踪, 她焦虑地将手机提交给警察, 希望能找到线索.

警察将手机交给你进行电子数据取证. 你成功提取了Emma手机的镜像 Emma_Mobile.zip.

请根据取证结果回答以下问题.

1.Emma 和 Clara 的微信聊天记录, Emma 最后到警署报案并拍摄写有报案编号的卡片, 拍摄时的经纬值是多少?

A. 22.451721666667, 114.171853333333

B. 22.451553333333, 114.172845

C. 22.451928333333, 114.170503333333

D. 22.451638333333, 114.16993

取证大师,查看微信聊天记录,

image-20250623210547122

其中可以看到 <m_assetUrlForSystem><![CDATA[F58B98FE-8010-44B7-8BF7-F23AF15DCFCA/L0/001]]></m_assetUrlForSystem> 意为来自系统的附件路径, 附件的 GUID 为 F58B98FE-8010-44B7-8BF7-F23AF15DCFCA.

在 iOS 系统的相册数据库 photos.sqlite 中可以找到对应的 GUID:

image-20250623212159465

A

2.2024 年 8 月 30 日下午 2 点后 Emma 共致电 Clara 多少次?

A. 85

B. 86

C. 87

D. 88

image-20250623213438229

由图可知,88

D

3.根据 Emma 和 Clara 的微信聊天记录, Clara 失踪前曾告诉 Emma 会到哪里?

A. 到酒店和丈夫David庆祝结婚周年

B. 吃自助餐

C. 约了朋友见面

D. 去旅行

image-20250623214239781

image-20250623214211099

A

4.Emma 的 iPhone XR 内微信应用程序的版本是多少?

8.0.50

image-20250623214604246

搜索

image-20250623214624282

5.Emma 手机中下列哪个选项是正确的?

A. iOS 版本为 17.6.1

B. IMEI 为 356414106484705

C. Apple ID 为 Emma1761@gmail.com

D. 手机曾经安装 Metamask 应用程序

image-20250623220517382

ios版本17.5.1

image-20250623220723990

image-20250623220804774

image-20250623221125584

6.Emma 手机中 Apple ID 的注册电子邮箱是多少?

emmaemma.851231@gmail.com

上图可得

7.在 2024 年, Emma 手机上曾记录的电话卡集成电路卡标识符(ICCID)是多少?

8985200000826445829

image-20250623221635215

8.Emma 手机的蓝牙设备名称”ELK-BLEDOM”的通用唯一标识符(UUID)是什么?

8D13F23C-E73C-6A98-AA4F-16C8D7A5F826

软件中只能看到蓝牙的mac地址

蓝牙信息就来自于DB/com.apple.MobileBluetooth.ledevices.other.db, 其中包含了 UUID 字段, UUID 可以在蓝牙的数据库中找到:

image-20250623223927862

剧情 1

你发现了一些线索, Emma 看起来也很可疑, 她似乎背负了大量债务.

9.Emma 手机内 Safari 浏览记录中网页 https://racing.hkjc.com/ 的网站标题是什么?

A. 香港马会奖券有限公司

B. 六合彩 - Google 搜索

C. 快易钱:网上贷款财务公司 | 足不出户现金即日到手

D. 赛马信息 - 香港赛马会

image-20250623230519422

10.Emma 向 Clara 透露什么原因令 Emma 欠下巨债?

A. 投资孖展

B. 虚拟货币失利

C. 网上赌博

D. 以上皆是

image-20250623230648628

11.收债人要求 Emma 还款数量?

A. 港币$786,990

B. 港币$878,990

C. 港币$786,980

D. 港币$745,330

image-20250623230752447

12.Emma 发送了多少张 .PNG 图片给 Clara, 证明自己正被人追债?

A. 6

B. 7

C. 8

D. 9

image-20250623230941366

数一下,一共7张

13.Emma 用来浏览虚拟货币的网址?

A. Google.com

B. Facebook.com

C. IntellaX.io

D. Yahoo.com

image-20250703105233098

14.参考浏览器记录, 有多少网址与”bet365”有关?

A. 3

B. 13

C. 9

D. 12

直接全局搜索字符串, 发现 Safari 浏览记录(SafariTabs.db)中有 1 条, Bookmarks.db 中有 2 条, 共 3 条:

image-20250703105753371

image-20250703105828971

共三条

剧情 2

你还发现了一些与不当使用他人加密钱包相关的痕迹.

15.Emma 用了哪些恢复短语(Recovery Phrase)进入 David 的虚拟货币账户?

A. stock, avocado, grab, clay

B. light, sadness, segment, ancient

C. toe, talk, elder, oil

D. 以上皆是

image-20250703110956098

找到对应的图片

image-20250703111131678

16.Emma 从 David 处窃取的虚拟货币的名称是什么?

A. IDFC

B. ICAC

C. INIC

D. IFCC

image-20250703113057308

17.Clara 偷拍的照片中, David 的虚拟货币余额是多少?

A. 3266378.99

B. 1044749.22

C. 5022915.66

D. 7822468.44

image-20250703113149550

找到图片

image-20250703113250907

18.Emma 在偷窃 David 的虚拟货币前, Emma 曾向 Clara 透露有什么事发生在 Emma 身上?

A. 中彩票

B. 欠债

C. 升职

D. 失业

微信聊天记录一直在聊欠债的事情.

剧情 3

你查看了 Emma 手机中的一些照片数字信息, 以获取更多与失踪案件的信息.

19.Emma 的 iPhone XR 中”IMG_0008.HEIC”的图像与相片名字为的”5005.JPG”看似为同一张相片, 在数码法理鉴证分析下, 以下哪样描述是正确?

A. 储存在不同的.db檔案里

B. 有不同哈希值

C. IMG_0008.HEIC 为原图, “5005.JPG”为并非原图

D. IMG_0008.HEIC 和名字”5005.JPG”是同一张相片

image-20250703115410139

关键词搜索,发现在photos.sqlite中,得得其GUIDD1F333D7-718B-42DA-9B28-D936EDAFC58F

image-20250703140619278

根据聊天数据库发现id为82

image-20250703140831260

5005.JPG 未找到。ios设置里可以选择默认拍摄heic格式的照片,heic传到qq微信wps之类的软件后会被转换为jpg格式,photos.sqlite里存储的是相册中的照片信息jpg格式是第三方软件转换的,存储在应用程序私有目录当中。

20.Emma 的 iPhone XR 中”IMG_0009.HEIC”的图像显示拍摄参数怎样

A. iPhone XR back camera 4.25mm f/1.8

B. iPhone XR back camera 4.25mm f/2.8

C. iPhone XR back camera 4.25mm f/2

D. iPhone XR back camera 4.25mm f/1.6

image-20250703141544392

image-20250703141540343

0009的zpk为9,在image-20250703141659906表中发现

image-20250703141623878

21.Emma 的 iPhone XR 中相片文件”IMG_0009.HEIC”提供了什么电子证据信息?

A. 此相片是由隔空投送 (Airdrop)得来

B. 此相片由iPhone XR拍摄

C. 此相片的拍摄时间为2024-08-05 13:38:15(UTC+8)

D. 此相片的拍摄时间为2024-08-06 08:30:52(UTC+8)

见上题. 可以看出是由 iPhone XR 拍摄, 把时间戳转换成 UTC+8 是2024-08-05 13:38:15.

image-20250703145012460

时间戳转换(ios底层时间戳基准不同导致)

image-20250703145202708

image-20250703145404110

也可直接转换后加31年

22.Emma 的 iPhone XR 内以下哪张照片是实况照片(Live Photos)?

A. IMG_0002.HEIC

B. IMG_0005.HEIC

C. IMG_0004.HEIC

D. IMG_0006.HEIC

iPhone 中的实况照片扩展名为 .HEIC, 用 SQL 语句筛选一下扩展名符合且 ZVIDEOCPDURATIONVALUE (视频片段长度) 字段不为 0 的照片:

1
2
3
4
5
SELECT Z_PK, ZFILENAME 
    FROM ZASSET
    WHERE ZFILENAME LIKE '%.HEIC' 
        AND ZUNIFORMTYPEIDENTIFIER = 'public.heic' 
        AND ZVIDEOCPDURATIONVALUE != 0;

image-20250703150645009

23.手机里有多少张照片是用手机后置摄像镜头拍摄的?

A. 5

B. 6

C. 7

D. 8

image-20250703151429093

24.参考通讯记录, MesLocalID 为 224 的是什么类的文件?

A. 相片

B. 影片

C. 文件

D. 报表

由15题得到

Clara 的手机

依据你在 Emma 的手机上找到的照片, 你告诉调查员 Clara 最后的位置是在湾仔的一家酒店.

根据你提供的信息, 调查员发现 Clara 在酒店去世, Clara 的手机在她的附近, 你对 Clara 的手机进行取证.

请根据取证结果, 参考 Clara_Smartphone.bin 回答以下问题.

25.Clara 手机的 Android 操作系统版本是?

A. 8.0.0

B. 9.0.0

C. 8.1.0

D. 7.0.0

由图可得

image-20250708103716262

26.Clara 手机的版本号(Build Number)是什么?

OPR1.170623.026

image-20250708103816942

build.prop 文件内. 不同版本的安卓系统文件的位置可能不同, 检材中的位置是 /build.prop.

27.Clara 手机的 IMEI 号码是多少?

351537092934716

手机大师没有给出imei的信息,遂搜索imei,可以搜索到闲鱼的imei文件

image-20250708104018578

image-20250708104356682

28.Emma 的微信账号是?

wxid_ltrpgdhvilso22

image-20250708104438952

29.Clara 的第一封电子邮件记录的日期?

A. 2024-07-10

B. 2024-07-18

C. 2024-07-23

D. 2024-07-30

image-20250708110613503

未删除的邮件中这个是最早的,,看题目,也可得知这个就是最早的

30.在通讯录中”David”的联系人信息还包括什么?

A. 出生日期

B. LinkedIn

C. 电子邮件

D. 地址

image-20250708112751115

在david的信息中发现了网址为linkedin

31.David 和 Clara 之间通话次数?

A. 0

B. 8

C. 10

D. 24

image-20250708112953483

32.Clara 在 Chrome 浏览器搜索中哪天使用了关键词”popmart 炒价”?

A. 2024-08-10

B. 2024-08-15

C. 2024-08-20

D. 2024-08-25

image-20250708113137422

题目给的时间只能选B(虽然这个关键词的间隔不对)

33.2024 年 7 月 30 日共收到多少封电子邮件?

A. 2

B. 3

C. 4

D. 5

image-20250708113944555

34.Clara 的 Gmail 账号是?

clara.ccc0807@gmail.com

image-20250708114026141

35.Clara 的手机安装了哪个版本的 WhatsApp?

A. 241676000

B. 241676001

C. 241676004

D. 241676007

搜whatsapp的软件包

image-20250708124901791

找到了apk文件,导出,找个在线网址分析一下

image-20250708124224204

36.Clara 的 WhatsApp 账号?

85263791704

image-20250708140831753

37.Clara 的手机在什么时候安装了小红书 APP?

A. 2024-07-10

B. 2024-07-16

C. 2024-07-20

D. 2024-07-30

image-20250708141201672

38.2024 年 8 月 21 日 David 的虚拟货币钱包里有多少 IDFC?

A. 5022915.66

B. 3212695.22

C. 210355633.91

D. 以上皆不是

由之前emma手机取证17可知为A

39.Clara 注册的微信账号验证码是多少?

945025

image-20250708141541263

40.David 为庆祝结婚周年纪念预订了哪家酒店?

CONRAD HONG KONG

image-20250708141938565

41.哪个数据库文件存储了微信消息?

ENMICROMSG.DB

在聊天记录中打开图片所在目录,

image-20250708143522532

去文件中寻找

image-20250708143823668

能上网的话可以直接搜,微信信息的数据库名称是什么,如果断网就没办法了

42.哪个数据库文件(.db)存储了 WhatsApp 讯息?

MSGSTORE.DB

找到whatsapp的文件包所在位置

image-20250708144522965

带msg的一般为信息的数据库

43.Clara 在 2024 年 8 月 29 日拍了多少张照片?

A. 0

B. 3

C. 4

D. 5

image-20250708144743422

44.Emma 在 2024 年 8 月 6 日通过微信发送了多少张照片给 Clara?

A. 0

B. 1

C. 5

D. 12

筛选后发现没有发送图片

image-20250708145035575

45.照片”20240829_144717.jpg”的拍摄相机型号是什么?

LG-H930

照片导出后属性中可得

image-20250708145421170

46.”20240821_121435.jpg”的储存路径是什么?

A. /media/0/DCIM/Camera

B. /media/1/DCIM/Camera

C. /media/00/DCIM/Camera

D. /media/11/DCIM/Camera

image-20250708145936876

关于 Andriod 的 /media 目录

/media 目录是 Andriod 的挂载目录之一, 用于挂在外部存储设备.

在支持多用户的 Android 设备中, 0 是主用户的外部存储挂载点, 是指向 /storage/emulated/0/(设备的内置存储模拟的“虚拟 SD 卡”路径)的符号链接.

当设备添加了新用户及设备连接了新的物理存储介质时, 系统可能会在 /media 目录下创建新的符号链接.

47.2024 年 8 月 20 日有多少张截图?

4

image-20250708151617766

48.2024 年 8 月 22 日被删除微信消息的类型是?

A. 照片

B. 视频

C. 文本

D. 以上都不是

翻找聊天记录,结合之前的取证,22这里clara应该给emma发送了david的recovery seed

image-20250708152140185

所以是A

David 的手机

你在查看 Clara 的手机镜像后, 确定 Clara 是 David 的妻子, 调查员通过查询酒店预订记录确认了这一点.

他们现在定位 David 的住所, 以进行进一步调查.

你首先分析 David 的手机, 参考 David_Smartphone_1.zip.

49.根据”Contents.db”, David 手机接收了通讯软件 Telegram 的验证短信, 该验证码是多少?

84298

image-20250708154248725

在sms表中找到

50.David 把手机设置为个人热点, 请找出个人热点的密码

wdfj5674

image-20250708154610949

51.David 手机曾连接名为”MTR Free Wi-Fi”的WiFi.

香港地铁的免费 WiFi.

image-20250708154651666

52.根据”com.tencent.mm_preferences.xml”, David 的手机最后登录微信的微信 ID 是?

wxid_rni3m2o8ngxe22

image-20250708155016481

53.请指出哪一张图片是于 2024 年 8 月 28 日利用屏幕截取的.

Screenshot_20240828-153836_Gmail.jpg

搜索Screenshots,跳转到文件夹

image-20250708155943003

54.根据”Contents.db”, David 手机的型号(Model)是?

SM-G9500

在device_info表中

image-20250708160117772

55. 参考”Contents.db”, David 所使用的手机 SIM 卡的序号?

8985200000827530728

由上图simserialnumber可得

56. David 手机安装了应用程序 MetaMask. 根据”persist-root”中, MetaMask 钱包内有多少个账号?

4

image-20250708160722276

打开后搜索account,查一下共4个

57.根据”persist-root”中, 何时从应用程序 MetaMask 发送虚拟货币至以下地址: 0X10A4F01B80203591CCEE76081A4489AE1CD1281C

A. 2024-08-11 1249(GMT+8)

B. 2024-08-14 1658 (GMT+8)

C. 2024-08-14 1659 (GMT+8)

D. 2024-08-16 1724 (GMT+8)

image-20250708163009366

时间戳转换

image-20250708163106004

58.David 曾利用手机应用程序 MetaMask 三次发送虚拟货币失败. 根据”persist-root”, 发送虚拟货币失败的原因是什么?

A. 网络连接问题

B. 应用程序权限被拒

C. 接收地址错误

D. 手续费不足

搜索failed,可知原因

image-20250708172332903

内存取证

你根据易失性(Volatility Level)优先次序, 进行内存取证分析 David 的笔记本电脑.

参考 RAM_Capture_David_Laptop.RAW.

59.以下哪一个不是程序”firefox.exe”的 PID?

A. 9240

B. 8732

C. 5260

D. 3108

image-20250708184334763

image-20250708190045678

由上两张图可知5260无

60.汇出 PID 为 724 的程序, 其哈希值(SHA-256)是?

89cf04b53119d36654bc5e7eeb5d0829a84238ee03faa9a03948f5bf4be44583

筛选出来,计算

image-20250708190547913

image-20250708190537467

但本题是存疑的,详见西电wp

61.哪一个是执行 PID 为 724 的程序的 SID?

S-1-5-18

image-20250708191028792

lsass.exe 是系统进程, 负责认证及安全相关任务, 父进程为 wininit.exe, 执行用户为 SYSTEM, 其 SID 固定为 S-1-5-18.

常用熟知 SID

来自 volatility3:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
{
        "S-1-0": "Null Authority",
        "S-1-0-0": "Nobody",
        "S-1-1": "World Authority",
        "S-1-1-0": "Everyone",
        "S-1-2": "Local Authority",
        "S-1-2-0": "Local (Users with the ability to log in locally)",
        "S-1-2-1": "Console Logon (Users who are logged onto the physical console)",
        "S-1-3": "Creator Authority",
        "S-1-3-0": "Creator Owner",
        "S-1-3-1": "Creator Group",
        "S-1-3-2": "Creator Owner Server",
        "S-1-3-3": "Creator Group Server",
        "S-1-3-4": "Owner Rights",
        "S-1-4": "Non-unique Authority",
        "S-1-5": "NT Authority",
        "S-1-5-1": "Dialup",
        "S-1-5-2": "Network",
        "S-1-5-3": "Batch",
        "S-1-5-4": "Interactive",
        "S-1-5-6": "Service",
        "S-1-5-7": "Anonymous",
        "S-1-5-8": "Proxy",
        "S-1-5-9": "Enterprise Domain Controllers",
        "S-1-5-10": "Principal Self",
        "S-1-5-11": "Authenticated Users",
        "S-1-5-12": "Restricted Code",
        "S-1-5-13": "Terminal Server Users",
        "S-1-5-14": "Remote Interactive Logon",
        "S-1-5-15": "This Organization",
        "S-1-5-17": "This Organization (Used by the default IIS user)",
        "S-1-5-18": "Local System",
        "S-1-5-19": "NT Authority",
        "S-1-5-20": "NT Authority",
        "S-1-5-32-544": "Administrators",
        "S-1-5-32-545": "Users",
        "S-1-5-32-546": "Guests",
        "S-1-5-32-555": "BUILTIN\\Remote Desktop Users",
        "S-1-5-80": "NT Service",
        "S-1-5-32-578": "Hyper-V Admins",
        "S-1-5-32-579": "Access Control Assistance Ops",
        "S-1-5-32-580": "Remote Management Users",
        "S-1-5-65-1": "This Organization Certificate (Kerberos PAC)",
        "S-1-5-84-0-0-0-0-0": "Usermode Drivers",
        "S-1-5-113": "Local Account",
        "S-1-5-114": "Local Account (Member of Administrators)",
        "S-1-15-2-1": "Application Package Context",
        "S-1-18-1": "Authentication Authority Asserted Identity",
        "S-1-18-2": "Service Asserted Identity"
    }

62.账户 David Tenth 的 NT LAN Manager 的哈希值(NTLM Hash)?

e14a21fefc5dd81275bb87228586cffc

image-20250708192424994

David 的 U 盘部分

在取证中, 你发现 D 盘被 BitLocker 加密.

U 盘上可能有一些线索, 你对 U 盘进行了取证.

参考 David_USB_8GB.e01.

63.David 的 U 盘文件系统的格式?

A. NTFS

B. FAT32

C. exFAT

D. ReFS

image-20250708193821620

64.David 的 U 盘文件系统中, 每簇定义了多少字节?

A. 128

B. 256

C. 512

D. 1024

由上图可知

65.David 的 U 盘中有多少个已删除的文件?

A. 1

B. 2

C. 3

D. 4

image-20250708193943262

66.已删除的文件的 Run List 的 Run Offset 是多少?

A. 16

B. 32

C. 64

D. 128

在文件系统取证(特别是NTFS文件系统)中,Run List(运行列表)和 Run Offset(运行偏移)是解析文件数据存储位置的核心概念。它们用于描述文件数据在磁盘上的物理存储位置(簇的分配情况),尤其在处理非连续存储的文件时至关重要。

1. Run List(运行列表)

  • 定义
    Run List 是 ​​NTFS文件系统​​中 $DATA 属性(存储文件内容)的一部分,用于记录文件数据在磁盘上的​​物理簇分配情况​​。
  • 作用:当文件数据在磁盘上​不连续存储**(碎片化)时,Run List 会记录多个连续的簇块(称为一个”Run”),每个Run包含:
    • 起始簇号(Starting Cluster Number)
    • 簇长度(Run Length):连续簇的数量。
    • Run Offset(运行偏移):描述当前Run相对于前一个Run的位置关系(见下文)。

2. Run Offset(运行偏移)

  • 定义
    Run Offset 是 Run List 中每个Run的​​相对偏移量​​,用于计算当前Run的​​起始物理簇号​​。
  • 关键点:
    • Run Offset 是一个有符号整数(正数表示向前偏移,负数表示向后偏移)。
    • 第一个Run的Run Offset是绝对簇号(直接表示起始物理簇位置)。
    • 后续Run的Run Offset是相对值,表示相对于前一个Run结束位置的偏移量。

image-20250708215841350

Datarun Offset 是 MFT 文件项中, Datarun Header(flag: 0x80 00 00 00)起始位置到 Datarun 的 Offset.

image-20250708221257598

关于 NTFS 的文档: Concepts - NTFS Documentation

67.已删除文件的第一个 DataRun 的十六进制值(小端序)是多少?

A. 0x4C3F0DB522

B. 0x4C3F0D22B5

C. 0x224C3F0DB5

D. 0x3F4C0DB522

小端序需要将文件中看到的内容(大端序)按字节逆序.

image-20250708221404506

68.已删除的文件的实际大小(字节)是多少?

1796178

见上图

69.已删除文件的第一个 DataRun 的 Offset 是多少?

19519

文件 bitlocker_key.jpg 未分段, 因此只有 1 条 DataRun: 22 B5 0D 3F 4C 00

  • 头 = 0x22 - 2 字节长度, 2 字节 Offset
  • 文件长度(簇) = 0x0DB5 (2 字节)
  • Offset(逻辑簇号) = 0x4C3F (2 字节)
  • 终止 = 00 (代表文件的 DataRun 结束. 如果不为 00, 代表文件有分段, 此处为下一条 DataRun 的头)

因此, 文件的 DataRun 表明这是一个没有分段的文件, 起始于逻辑簇号 0x4C3F(19519), 长度为 0x0DB5(3509) 个簇.

在 MFT Browser 中也能看到数据摘要:

image-20250708222328704

71.已删除文件的图像文件像素值是多少?

A. 1000 x 2000

B. 2000 x 3000

C. 3000 x 4000

D. 4000 x 5000

见下图

image-20250708200412141

72.已删除图像文件是用哪个品牌和型号的手机拍摄?

A. SAMSUNG SM-A425

B. SAMSUNG SM-A4580

C. SAMSUNG SM-A4260

D. SAMSUNG SM-A5G

由上图可得

剧情 4

在U盘中, 你还发现了一个 exe 文件, 但它被锁定, 可能需要进行反编译以便进一步检查.

73.使用 x64dbg 的字符串搜索功能, 在”Bitlocker.exe”中查找哪个字符串最有可能与显示的登录状态有关?

A. Welcome

B. Invalid input

C. Login Successful!

D. Access Denied

搜索Login或者login字符串, 有登录相关的字符串

image-20250708223438026

74.当找到控制登录成功的逻辑代码时, 如何修改汇编代码来绕过检查, 达到任意输入, 都成功登录的效果?

A. 修改 CMP 指令, 使其总是比较相等

B. 修改 CMP 指令后的跳转指令 JNE 为 nop, 使跳转指令失效

C. 修改 MOV 指令, 使其移动错误的数据

D. 修改 TEST 指令后的跳转指令 JNE 为 NOP, 使跳转指令失效

在ida中可看到,右边那条线对应jnz loc_14000211E,即跳转到失败,遂修改test指令后的跳转指令为NOP即可

image-20250709104810917

75.”Bitlocker.exe”的正确用户登录名称是?

76.”Bitlocker.exe”的正确登录密码是?

用户名: david1337 密码: 1337david

先比对用户名, 再比对密码.

image-20250709111251921

77.当”Bitlocker.exe”程序尝试显示登录结果(成功或失败)时, 使用了哪一种途径来决定显示的消息?

A. 通过检查每个寄存器的值来决定跳转到不同的汇编代码区段

B. 通过调用硬编码的内存地址来显示特定的消息框

C. 通过堆栈中的返回地址来确定要显示的消息

D. 通过逐位操作来修改显示消息的字符串内容

image-20250709111455222

代码通过检查 eax 寄存器的值来决定跳转到不同的代码区段, 从而显示登录成功或失败的消息

78.决定能否解密 Bitlocker Key 的字节的内存偏移量(相对于基址)是什么?

A. 0xA0B2

B. 0x808C

C. 0xA0C8

D. 0xA0E0

image-20250709111950000

可以看到,login successful后有两个if分支,来决定是否输出bitlocker key

判断的条件来自 byte_14000808C, 双击它看到它的地址 0x14000808C, 基址 0x140000000(把 IDA View 拉到最上面可以看到), 所以它在 0x808C.

image-20250709112416243

image-20250709112432140

79.决定能否解密 BitLocker Key 的内存偏移量后, 应该如何利用它来进行解密?

A. 将该偏移量处的值改为 1 (true), 以启用解密过程

B. 将该偏移量处的值改为 0 (false), 以重新初始化加密过程

C. 将该偏移量的内容保存到档中以作解密过程中的key

D. 清空该偏移量的内存并强制退出程序

由前可知, 直接把这个地址的值 patch 成非零值即可. 具体 patch 方法可以用 16 进制编辑器 (比如 010 Editor 或者 ImHEX) 或者用 IDA 都行.

80. 解密后的 Bitlocker Key 是?

A. 299255-418649-198198-616891-099682-482306-642609-483527

B. 745823-918273-564738-290183-475920-182736-594827-162839

C. 539823-847291-094857-194756-382910-472918-482937-120984

D. 829384-192837-475910-298374-019283-847362-564738-293847

答案有 4 种来源:

  1. 完成第 79 题中的 patch, 输入用户名和密码可看到
  2. 使用 Elcomsoft Forensic Disk Decryptor (aka. EFDD) 或 Volatility3 的 LiME 插件对 David 的内存镜像扫描也可得恢复密钥
  3. U 盘中的图片中也写着恢复密钥

11

David 的笔记本电脑

到目前为止, 你已经获得了 BitLocker 密钥以解密 D 盘, 通过对 David 笔记本电脑 D 盘的分析, 并发现了一些重要信息.

你现在将继续调查未加密的 C 盘.

参考 David_Laptop_64GB.e01.

81.分区格式是?

A. MBR

B. GPT

C. RAW

由技术细节报告可知

image-20250709120408238

82.该 e01 成功提取的日期和时间是?

A. 2024-09-05 15:55:28

B. 2024-09-02 11:52:31

C. 2024-09-03 14:37:28

D. 2024-09-03 12:16:49

选项错误,正确答案为2024-09-09 16:37:36

image-20250709131904559

83.最后登录的用户是谁?

David Tenth

image-20250709140537895

84.用户配置的时区是?

A. Australian Central Time

B. China Standard Time

C. New Zealand Standard Time

D. Nepal Time

image-20250709140603609

85.David 的笔记本电脑曾经连接了多少个设备?

A. 1

B. 2

C. 3

D. 4

这个美亚的取证大师,没识别好

86.David 的笔记本电脑上的 Firefox 浏览器安装了哪些扩展工具?

MetaMask

查看firefox的历史记录可得

image-20250709141420410

定位到 Firefox 的扩展存储目录,进一步确认

image-20250709192353206

87.根据用户配置文件中的 .lnk 文件, 最后访问的文件名称是?

A. 下載

B. export-token

C. RAM_Capture_DaviD

D. 本機磁碟(E) (2)

🤔若纯粹按访问时间的话,感觉不太合理

image-20250709142608889

88.David 的笔记本电脑曾經连接了多少个不同的 WiFi?

A. 1

B. 2

C. 3

D. 4

image-20250709141136628

只有一个·ErrorError5G

89.承上题, 该WiFi网络的名称(SSID)是?

ErrorError5G

90.该电脑的 Windows 操作系统的安装日期是什么?

A. 2024-07-31 09:55:37 UTC+8

B. 2024-08-01 13:10:15 UTC+8

C. 2024-07-31 10:18:26 UTC+8

D. 2024-08-01 14:43:55 UTC+8

image-20250709141244570

案件综合分析

通过对 David 笔记本电脑的电子数据取证和痕迹分析, 你了解到 David 是一名加密货币专家.

假设加密货币 International Digital Forensics Coin (IDFC) 面值是 1 IDFC = 1 HKD.

IDFC Token Address: 0x56E7A6dd8aA1c78ba77944C94c43054978E89b7b

区块链: Binance Smart Chain

91.下列那个网站能够找到区块链 Binance Smart Chain 的交易记录?

A. binance.coms

B. bscscan.com

C. etherscan.io

D. blockchain.com

image-20250709141533761

这个网站中出现了idfc的地址,可区块链交易有关

92.Emma 用什么方法盜取 David 的 IDFC?

A. Emma 经 Clara 盗取了 David 虚拟货币钱包的私匙

B. Emma 经 Clara 盗取了 David 虚拟货币钱包的公匙

C. Emma 经 Clara 盗取了 David 虚拟货币钱包的回复匙

D. Emma 盗取了 David 电话

由之前的emma和clara聊天记录可知

93.David 在什么日期时间发现 IDFC 被盗?

A. 2024-8-22 18:06

B. 2024-8-28 09:14

C. 2024-8-28 09:57

D. 2024-8-29 15:52

image-20250709170336088

比较之下来看,只能选B

94.Emma 为什么盗取 David 的 IDFC?

A. Emma为了买名贵手表

B. Emma为了赌钱

C. Emma为了炒卖虚拟货币

D. Emma为了还财务公司的欠债

image-20250709170529004

95.分析 IDFC 的交易记录, Emma 盜取了 David 虚拟货币钱包内哪个地址的 IDFC?

A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c

B. 0x152c90200be61a540875f2a752c328bd19dbfb87

C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220

D. 0x70544880875fe907cee383873ca58da23378caa5

Clara 只给 Emma 发了前面提到的图片上的助记词, 那么算出该助记词的地址即可(BIP39 - Mnemonic Code

这个的coin是ETH

image-20250709174117588

96.Emma 总共盗取了 David 多少 IDFC?

A. 90,000 IDFC

B. 170,000 IDFC

C. 9,300,000 IDFC

D. 9,390,000 IDFC

第 87 题中提到的文件包含了钱包地址近期的转账记录:

结合时间推断, 虚拟币被盗发生在 8-22 18:11 ~ 8-28 09:12(8-22 10:11 ~ 8-28 01:12 UTC) 之间.

在导出的交易记录中可以看到, 8-27 4:45:51 的时候有一条来自被盗钱包地址的转出, 金额为 90,000 IDFC.

image-20250709174759610

97.下列哪些地址是由相同的恢复短语(Recovery Seed)所生成?

A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c

B. 0x152c90200be61a540875f2a752c328bd19dbfb87

C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220

D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042

见第 95 题.

98.根据 IDFC 的交易记录作分析, 总共有多少次 IDFC 交易流入地址 0x10a4f01b80203591ccee76081a4489ae1cd1281c?

A. 0

B. 1

C. 2

D. 3

筛选一下可得

image-20250709181836522

99.在 David 计算机的 D 盘内有一张图片, 根据图片上的信息, 找出 David 另一个虚拟货币钱包的恢复短语, 下列哪一个单词是在此恢复短语内?

A. fall

B. bread

C. brain

D. dove

下面的是图片

image-20250709191610522

知道前 2 个助记词 infant 和 fragile, 在内存镜像中搜索这 2 个关键词即可找到完整的助记词.(无敌了)

image-20250709192859260

100. 在 IDFC 的交易记录中, 下列哪些地址由上述恢复短语所生成?

A. 0xb2e3dbea311511ec5bda3e85e061f15366f888a6

B. 0xe90ad3f80e39e83b533eef3ed23c641ec51089c6

C. 0x90f73497E4446f6Cf9881213C32D6af66d799fE5

D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042

infant fragile garlic bracket stove blade stick dove aerobic spin term educate

image-20250709193226834