中科2023

1、检材一硬盘的MD5值为多少？（1分）

80518BC0DBF3315F806E9EDF7EE13C12

2、检材一bitlocker的恢复密钥是多少？（5分）

看了一下不解密寸步难行，必须解密。18中科一样的，老题目一样出

感觉这个有点慢，下面看到潘姐的1小时。

然后我自己的

我自己的，1小时18分钟终于是恢复出来了

密码：juED0ALF41jkA4d+QFiu5iQFyDtkJcN1Iyi5qAmopoA=

秘钥：585805-292292-462539-352495-691284-509212-527219-095942

果然解密完后，发现了新天地

然后又想是不是可以用其他软件。不得不说这个公司很牛逼，但是软件还要我找找破解，确实比passware高效很多，我准备系统研究一下这个软件还有hashcat，爆破三人组。

算了，真的搞不定，只有最新版充钱才可以，我实在是支持不起，如果哪位大佬购买了，跪求跪求新版的激活码，非常非常非常感谢！！！！！！！

真的是买不起

3、检材一镜像中用户最近一次打开的文件名是什么？（1分）

这个弘连我感觉不是很明显，美亚做的好一点

时间轴

4、检材一硬盘系统分区的起始位置？（2分）

系统分区就是这个加密分区649216

5、检材一系统的版本号是多少（格式：x.x.x.x）（1分）

其实一开始我也不知道什么事版本号，问一下大佬

：120.2212.31.0

然后我们仿真起来看看

第二张方法，稍微对一点

6、检材一回收站中的文件被删除前的路径（2分）

原位置在桌面上

7、检材一给出最后一次修改系统时间前的时间（格式：YYYY-MM-DD HH:MM:SS）（3分）

2023-12-12T16:37:12+08:00 原来时间是这个

弘连不行就手搓

那么最晚一次是这个时候

8、检材一最后一次远程连接本机的时间（格式：YYYY-MM-DD HH:MM:SS）（2分）

9、检材一Chrome浏览器最后一次搜索过的关键词是什么（2分）

10、检材一是否连接过U盘，如有，请给出U盘的SN码（2分）

FC2005927F271

还有一个，我没有查到公司

202006101003但是这个我觉得也是存储设备，肯定是u盘，所以答案是2个

11、检材一Edge浏览器最早一次下载过的文件文件名是（2分）

12、嫌疑人访问的微博的密码的MD5值（3分）

谷歌浏览器里面有，然后我们计算md5

在线网站做出来

13、检材二备份的设备名称是什么？（1分）

“User”的 iPhone

14、检材二手机的IOS系统版本是多少（1分）

17.0

15、检材二备份的时间是多少？（格式：YYYY-MM-DD HH:MM:SS）（1分）

 2023-12-09 15:02:28

16、嫌疑人iphone手机给号码“13502409024”最后一次打电话的时间是。（格式：YYYY-MM-DD HH:MM:SS）（2分）

我直接解析没有结果，没有任何电话记录，看潘姐解析下面放了手机密码，猜测应该需要解密数据库才可以，所以我们先把manifest.plist文件拿出来，再次请出我们的passware来上班。

但是这个解析出来是没有结果的，就是说明这个备份是没有密码的，弘连分析的时候也没有密码提示。

好了，真实的手机备份在点奶里面，但是可能因为设置了密码，所以我什么东西都看不到，所以我们去解析这个，直接爆破奖励，好像是有一个什么五位数密码提示来着，但是爆破manifest.plist文件我记得确实一直都比较慢，我的4060最快146个每秒，还好这次出题方比较良心，就出5位数

爆破还是看显卡的，一会就出来了，好吧，也花了14分钟

看到有电话

17、检材二使用过的号码ICCID是多少。（2分）

89860000191997734908

18、检材二手机中高德地图最后搜索的地址。（2分）

万达广场(南沙店)

19、检材二手机最后一次登陆/注册“HotsCoin”的时间是（格式：YYYY-MM-DD HH:MM:SS）（2分）

 2023-12-04 13:28:19

20、检材二手机中照片“IMG_0002”的拍摄时间是（格式：YYYY-MM-DD HH:MM:SS）（2分）

2023-12-06 11:08:30

21、检材二中“小西米语音”app的Bundle ID是什么？ （2分）

我不知道是什么，查一下，其实就是包名是什么（安卓apk）

com.titashow.tangliao

22、检材二中浏览器最后一次搜索的关键词是什么？（2分）

潘姐用美亚解析，我不喜欢美亚软件。弘连解析不出来，我只能去查看数据库，倒着搜发现加密

这个就是数据库里面最后一条关键词

23、嫌疑人和洗钱人员约定电子钱包的品牌是什么，如有多个用顿号分隔。（3分）

理论上这个是要在聊天软件里面看，但是传统的聊天软件没有信息，所以只能去那个小西柚里面找。这个是小西悠的数据库文件

这个直接送navicat看不了，必须要改后缀名

之后打开才有相关信息，所以我觉得钱包是2个

imToken ETH

Bitcoin BTC

后面应该是地址，关于虚拟币我自己也没怎么研究

其实这个题目我是没有理解清楚的，当然对加密货币我也不够了解吧

24、嫌疑人和洗钱人员约定电子钱包的金额比例是什么。（3分）

答案在上面，0.2

25、检材三中进程“FTK Imager.exe”的PID是多少？（2分）

26、检材三中显示的系统时间是多少？（格式：YYYY-MM-DD HH:MM:SS）（2分）

27、检材三中记录的当前系统ip是多少？（2分）

28、检材四中迅雷下载过的文件名是什么？（1分）

但是好像后面的也有道理

29、检材四中安装了哪些可是实现翻墙（VPN）功能的app？（1分）

30、检材四备份的设备系统版本是多少？（1分）

其实一开始我也没有思路，如果常规情况就是看bulid文件，但是这个看不到，所以去看文件

看了一下这个文件还挺大的，然后里面记录了相关信息，我复制出来

<?xml version='1.0' encoding='UTF-8' standalone='yes' ?>

<MIUI-backup><jsonMsg></jsonMsg><bakVersion>2</bakVersion><brState>3</brState><autoBackup>false</autoBackup><device>camellia</device>

<miuiVersion>V14.0.2.0.TKSCNXM</miuiVersion><date>1702459232429</date>

<size>9551211977</size><storageLeft>31297105920</storageLeft>

<supportReconnect>true</supportReconnect><autoRetransferCnt>

我怀疑这个是模拟器，然后直接打出来的文件件，然后版本应该是那个version

31、检材四备份的时间是多少（答案以13位时间戳表示）（1分）

<date>1702459232429</date>应该是这个，但是不知道为什么有一点点长

要求是13位那就13位吧

32、检材四中FileCompress app 包名是什么？（1分）

应该是这个，直接搜索搜不出来

包名就是com.zs.filecompress

33、检材四中备忘录记录的内容是什么？（1分）

34、请列出检材四中所有虚拟币钱包app的包名，如有多个用顿号分隔。（3分）

首先是看得到的，然后我们还是直接去看文件吧

这个是第一个

第二个

第三个

第四个：比特币有两个钱包（疑）我认为都要写

35、检材四中嫌疑人使用Bitcoin Wallet钱包地址是什么？（3分）

36、MD5值为“FF3DABD0A610230C2486BFFBE15E5DFF”的文件在检材四中的位置（2分）

如果从正面来说，我一时间没有想到很好的办法，我的办法就是把文件md5算出来，然后md5进行过滤，因为没法直接搜索md5

直接过滤

37、检材中受害人的微信号是多少？（2分）

小浩是受害者

其他微信

wxid_3azn8eb5lqfq22

38、嫌疑人曾通过微信购买过一个公民信息数据库，该数据库中手机尾号是8686的用户的姓名是（3分）

直接搜索搜不到

思路一：正则表达式爆搜（效率低下）

思路二：多看看

然后拿下

39、嫌疑人手机中是否保存了小西米语音app的账号密码，如有，请写出其密码（5分）

第一种：直接看密码，但是

40、公民信息数据库中，截止到2023年12月31日，年龄大于等于18且小于等于30岁之间的用户信息数量（5分）

然后算一下

41、受害人小浩的手机号码是多少（5分）

上面的信息表里面没有，所以只能找其他的。很乱

然后看到电脑里面edge里面有密码

解密完明显压缩包

然后压缩包密码找不到，11月也是

逆向：本来尝试直接打开，报错

逆向拿下

42、完整的受害人名单是几个人。（6分）

2×3=6

43、受害人转账的总金额是多少（5分）

200+200=400