2024年美亚杯复现(个人赛）

最新推荐文章于 2025-06-10 00:00:00 发布

dd@kay

最新推荐文章于 2025-06-10 00:00:00 发布

阅读量1.3k

点赞数 11

文章标签：学习

本文链接：https://blog.youkuaiyun.com/qq_73861475/article/details/144544177

版权

检材链接（来自美亚官方）：https://pan.baidu.com/s/1ajsVB_15aJ4mzTvd5rHSkQ?pwd=pv1h
容器密码：eS2%u@q#hake2#Z@6LWpQ8^T(R7cg95m\Bv+y;$=/dqxYnEusFf)tb>:HKHwy+e%cR\r=9j:GsK)AV52/3hXfdv8#u7a6JQ^pz><YPNkq*!&

检材列表

Emma的iOS手机镜像档案(Emma_Mobile_Image.zip)

Clara的安卓手机镜像档案(Clara_Smartphone.bin)

David的Windows系统计算器镜像档案(David_Laptop_64GB.e01)

David的8GB U盘镜像档案(David_USB_8GB.e01)

David的安卓手机镜像档案(David_Smartphone_1.zip)

David的Windows系统计算器内存档案(RAM_Capture_David_Laptop.raw)

案情简介

2024年8月某日，香港警方接获一名本地女子Emma报案，指她的姐姐Clara失联多天，希望报告一宗失踪人口的案件。现在你被委派处理这宗案件。在处理该案件期间，你在Emma的同意下提取了她手机的资料，并且协助警方对Clara及其丈夫David的电子装备进行取证工作。请分析以下的资料，还原事件经过

根据案情简介和检材数量大致可以理清楚整个案件的过程，而且个人赛是与团体赛有关系的，都是属于同一个背景，其实在做个人赛时知道是Clara为了帮助妹妹Emma还债把丈夫David的虚拟货币钱包告诉Emma，之后Clara就失踪，然后Emma才去报案。根据赛前的分析和做个人赛的内容就可以怀疑Clara是被丈夫David杀害，至于团体赛的比赛内容应该就是就David为什么会有那么多虚拟货币来进行取证分析。

个人赛 (100个小题, 共200分)

[单选题] Emma 已经几天没有收到她姐姐 Clara的消息了，报警失踪, 她焦虑地将手机提交给警察,希望能找到线索｡警察将手机交给你进行电子数据取证｡你成功提取了Emma手机的镜像｡请根据取证结果回答以下问题｡根据Emma_Mobile.zip, Emma和Clara的微信聊天记录,Emma最后到警署报案并拍摄写有报案编号的卡片,拍摄时的经纬值是多少? (2分)A
A. 22.451721666667, 114.171853333333
B. 22.451553333333, 114.172845
C. 22.451928333333, 114.170503333333
D. 22.451638333333, 114.16993

在Exif信息中找到报案的图片，但是没有经纬度信息

接着去找 Emma和Clara的微信聊天记录，直接去翻数据库message_2.sqlite记录的信息，Clara失踪Emma发消息给Clara，这张图片应该就在最后的聊天记录那里，而且里面还记录了Emma联系不上很着急一直发消息给Clara

其中的CDATA部分指向了一个UUID，在Photos.sqlite数据库中搜索F58B98FE-8010-44B7-8BF7-F23AF15DCFCA，找到了IMG_0019.HEIC，这里有详细的经纬度记录

[单选题] 根据Emma_Mobile.zip, 2024年8月30日下午两点后Emma共致电Clara多少次? (1分)
A. 85
B. 86
C. 87
D. 88

这道题一开始就定位错误，应该直接去Emma数据库里面找的，不应该去其他地方找，尤其是没有按照题目的要求

我直接去找Clara的未接电话，结果是85，但是是错的，应该找数据库的记录

在AddressBook.sqlitedb.db的ABPersonFullTextSearch_content表中可以找到Clara的电话号码为63791704

在CallHistory.storedata.db的ZCALLRECORD表中找到通话记录

时间戳从746692798.229586以后才是2024年8月30日下午两点后

[单选题] 根据Emma和Clara的微信聊天记录,Clara失踪前曾告诉Emma会到哪里? (1分)A
A. 到酒店和丈夫David庆祝结婚周年
B. 吃自助餐
C. 约了朋友见面
D. 去旅行

聊天记录中有

[填空题] 参考Emma_Mobile.zip, Emma的iPhone XR内微信应用程序的版本是多少? (2分)

8.0.50

直接在应用程序中找出来

[多选题] 参考Emma_Mobile.zip, Emma手机中下列哪个选项是正确的? (2分)BD
A. iOS 版本为 17.6.1
B. IMEI 为 356414106484705
C. Apple ID 为 Emma1761@gmail.com
D. 手机曾经安装Metamask 应用程式

这道题做的时候使用的是排除法，排除两个不对的选项剩下的就是正确的，毕竟这是多选题

iOS备份中有记录17.5.1，排除A

设备信息中的Apple ID为emmaemma.851231@gmail.com，排除C，所以最后选BD

[填空题] 参考Emma_Mobile.zip,Emma 手机中 Apple ID 的注册电子邮箱是多少? (2分)

emmaemma.851231@gmail.com

7. [填空题] 参考Emma_Mobile.zip,在2024年,Emma 手机上曾记录的电话卡集成电路卡标识符 (ICCID) 是多少? (答案格式:只需使用阿拉伯数字回答) (2分)
8985200000826445829

本机号码85297837410

查看SIM卡信息

8. [填空题] 参考Emma_Mobile.zip,Emma 手机的蓝牙设备名称 "ELK-BLEDOM" 的通用唯一标识符 (UUID) 是什么? (1分)
8D13F23C-E73C-6A98-AA4F-16C8D7A5F826

根据记录蓝牙的数据库找到

9. [单选题] 你发现了一些线索,Emma 看起来也很可疑,她似乎背负了大量债务｡参考Emma_Mobile.zip,Emma 手机内Safari浏览记录中网页"https://racing.hkjc.com/"的网站标题是什么? (1分)D
A. 香港马会奖券有限公司
B. 六合彩 - Google 搜索
C. 快易钱:网上贷款财务公司 | 足不出户现金即日到手
D. 赛马信息 - 香港赛马会

直接看记录

[单选题] 参考Emma_Mobile.zip,Emma向Clara透露什么原因令Emma欠下巨债? (1分)D
A. 投资孖展
B. 虚拟货币失利
C. 网上赌博
D. 以上皆是

根据之前看Emma与Clara的聊天记录可以知道Emma不仅赌博、投资还网赌

[单选题] 参考Emma_Mobile.zip,收债人要求Emma还款数量? (1分)C
A. 港币
878,990？？？
C. 港币
745,330

收到的信息记录有

[单选题] 参考Emma_Mobile.zip,Emma发送了多少张.PNG图片给Clara,证明自己正被人追债? (2分)B
A. 6
B. 7
C. 8
D. 9

Emma与Clara的聊天记录中有7张截图是关于Emma被追债的

[单选题] 参考Emma_Mobile.zip,Emma用来浏览虚拟货币的网址? (2分)C
A. Google.com
B. Facebook.com
C. IntellaX.io
D. Yahoo.com

浏览器记录中有贷款、网赌、投资等记录，但是认真看一下域名，wallet（钱包），一般虚拟货币是存放在钱包里的，所以就大胆选了 IntellaX

[单选题] 参考Emma_Mobile.zip的浏览器记录,有多少网址与bet365有关? (2分)A
A. 3
B. 13
C. 9
D. 12

全局搜索就只有2个数据库与bet365有关

那就再这两个数据库中找

但是仔细看就会发现这两个数据库的相关网址的url都是同一个

题目问的是有多少网址与bet365有关，记录哪里不同的url有3条

总共就3条

[单选题] 你还发现了一些与不当使用他人加密钱包相关的痕迹｡参考Emma_Mobile.zip,Emma用了哪些恢复短语(Recovery Phrase)进入David的虚拟货币账户? (2分)D
A. stock,avocado,grab,clay
B. light,sadness,segment,ancient
C. toe,talk,elder,oil
D. 以上皆是

根据之前的聊天记录和图片可以得出答案

[单选题] 参考Emma_Mobile.zip,Emma从David处窃取的虚拟货币的名称是什么？ (2分)A
A. IDFC
B. ICAC
C. INIC
D. IFCC

聊天记录有图片

[单选题] 参考Emma_Mobile.zip,Clara偷拍的照片中,David的虚拟货币余额是多少? (2分)C
A. 3266378.99
B. 1044749.22
C. 5022915.66
D. 7822468.44

[单选题] 参考Emma_Mobile.zip,Emma在偷窃David的虚拟货币前,Emma曾向Clara透露有什么事发生在Emma身上? (1分)B
A. 中彩票
B. 欠债
C. 升职
D. 失业

微信聊天记录中有发被追债的短信截图

[多选题] （你查看了Emma手机中的一些照片数字信息,以获取更多与失踪案件的信息） Emma的iPhone XR中 "IMG_0008.HEIC" 的图像与相片名字为的"5005.JPG" 看似为同一张相片,在数码法理鉴证分析下,以下哪样描述是正确? (3分)BC
A. 储存在不同的.db 檔案里？？？？
B. 有不同哈希值
C. IMG_0008.HEIC 为原图, "5005.JPG"为并非原图
D. IMG_0008.HEIC 和名字" 5005.JPG"是同一张相片

HEIC为iOS和macOS的专有格式，一般苹果设备拍摄的照片原图是HEIC格式的，JPG格式可能为缩略图，它们的哈希值不同

[单选题] 参考Emma_Mobile.zip, Emma的iPhone XR中"IMG_0009.HEIC" 的图像显示拍摄参数怎样? (2分)A
A. iPhone XR back camera 4.25mm f/1.8
B. iPhone XR back camera 4.25mm f/2.8
C. iPhone XR back camera 4.25mm f/2
D. iPhone XR back camera 4.25mm f/1.6

这一道题目是与第一题有关的，第一题的图片就是IMG_0009.HEIC，直接根据经纬度或者与图片有关的关键字都能定位到该图片的相关信息

[多选题] 参考Emma_Mobile.zip, Emma的iPhone XR中相片文件IMG_0009.HEIC提供了什么电子证据信息? (3分)BC
A. 此相片是由隔空投送 (Airdrop)得来
B. 此相片由iPhone XR拍摄
C. 此相片的拍摄时间为2024-08-05 13:38:15(UTC+8)
D. 此相片的拍摄时间为2024-08-06 08:30:52(UTC+8)

根据之前做的，知道该相片是iphoneXR拍摄的，再数据库中可以找到对应的时间

[多选题] 参考Emma_Mobile.zip, Emma的iPhone XR内以下哪张照片是实况照片(Live Photos)? (2分)BD
A. IMG_0002.HEIC
B. IMG_0005.HEIC
C. IMG_0004.HEIC
D. IMG_0006.HEIC

IMG_0005.HEIC和IMG_0006.HEIC这两张图片都有对应的PNG，苹果的实况图片格式为HEIC，对应的PNG应该是其中某一帧的静态图片，而IMG_0002.HEIC和IMG_0004.HEIC没有单独的PNG静态图片，应该本身就不是实况图

[单选题] 参考Emma_Mobile.zip,手机里有多少张照片是用手机后置摄像镜头拍摄的? (2分)D
A. 5
B. 6
C. 7
D. 8

根据第20题的提问和数据库的记录可以判断出拍摄时有相同参数的就是使用后置摄像镜头拍摄

[单选题] 参考Emma_Mobile.zip的通讯记录,MesLocalID 224是什么类的文件? (3分)A
A. 相片
B. 影片
C. 文件
D. 报表

在数据库中找到对应的记录，有img一般就是图片，但是根据前后的题目应是相片

[单选题] 依据你在Emma的手机上找到的照片,你告诉调查员Clara最后的位置是在湾仔的一家酒店｡根据你提供的信息,调查员发现Clara在酒店去世,Clara的手机在她的附近, 你对Clara的手机进行取证｡请根据取证结果回答以下问题｡参考Clara_Smartphone.bin,Clara手机的Android操作系统版本是? (1分)A
A. 8.0.0
B. 9.0.0
C. 8.1.0
D. 7.0.0

火眼直接打开就有

[填空题] 参考Clara_Smartphone.bin,Clara手机的版本号(Build Number)是什么? (1分)

OPR1.170623.026

全局搜索

然后再找build.id

27. [填空题] 参考Clara_Smartphone.bin,Clara手机的IMEI号码是多少? (答案格式:只填写阿拉伯数字部分) (1分)

351537092934716

这道题有点懵，在基本信息哪里找不到不知道要去哪里找，结果是要去看应用的使用记录，应用会记录对应的imei码，使用某些软件的时候会记录当前设备的信息，在data分区的data目录中全局搜索imei关键词，在淘宝的数据目录中找到了设备的IMEI

[填空题] 参考Clara_Smartphone.bin,Emma的微信账号是? (2分)

wxid_ltrpgdhvilso22

打开微信直接看到

29. [单选题] 参考Clara_Smartphone.bin,Clara的第一封电子邮件记录的日期? (2分)A
A. 2024-07-10
B. 2024-07-18
C. 2024-07-23
D. 2024-07-30

手机大师取出来的结果是2024.7.10，但是之前还有一些邮件没有日期

[单选题] 参考Clara_Smartphone.bin,在通讯录中"David"的联系人信息还包括什么? (2分)
A. 出生日期
B. LinkedIn
C. 电子邮件
D. 地址

手机大师直接查看

[单选题] 参考Clara_Smartphone.bin,David和Clara之间通话次数? (2分)B
A. 0
B. 8
C. 10
D. 24

火眼查看通话记录

[单选题] 参考Clara_Smartphone.bin,Clara在Chrome浏览器搜索中哪天使用了关键词"popmart 炒价"? (2分)B
A. 2024-08-10
B. 2024-08-15
C. 2024-08-20
D. 2024-08-25

浏览器搜索记录中最早出现的关键词的时间选项中没有，参考记录准确对用选项的是B

[单选题] 参考Clara_Smartphone.bin,2024年7月30日共收到多少封电子邮件? (2分)C
A. 2
B. 3
C. 4
D. 5

手机大师查看收件箱记录

[填空题] 参考Clara_Smartphone.bin,Clara的Gmail账号是? (2分)

clara.ccc0807@gmail.com

直接看邮箱账号

35. [单选题] 参考Clara_Smartphone.bin,Clara的手机安装了哪个版本的WhatsApp? (2分)C
A. 241676000
B. 241676001
C. 241676004
D. 241676007

直接找关于WhatApp的文件，发现有241676000的字符串但是结果是错的，应该导出WhatsApp的安装包然后再GDA反编译查看AndroidManifest，可以准确的看到版本号

[填空题] 参考Clara_Smartphone.bin,Clara的WhatsApp账号? (答案格式:只需填写11位阿拉伯数字) (2分)

85263791704

37. [单选题] 参考Clara_Smartphone.bin,Clara的手机在什么时候安装了小红书APP? (2分)B
A. 2024-07-10
B. 2024-07-16
C. 2024-07-20
D. 2024-07-30

[单选题] 参考Clara_Smartphone.bin,2024年8月21日David的虚拟貨幣钱包里有多少IDFC? (3分)A
A. 5022915.66
B. 3212695.22
C. 210355633.91
D. 以上皆不是

根据该图片的拍摄时间和图片内容可以得出答案

[填空题] 参考Clara_Smartphone.bin,Clara注册的微信账号验证码是多少? (2分)

945025

[填空题] 参考Clara_Smartphone.bin,David为庆祝结婚周年纪念预订了哪家酒店? 提示:请使用大写英文字母作答, 例如:HONG KONG HOTEL) (3分)

CONRAD HONG KONG

根据微信的聊天记录找到预定的酒店

[填空题] 参考Clara_Smartphone.bin,哪个数据库文件存储了微信消息? (答案格式:只需使用全部大写回答, 例如:ABC.DB) (3分)

ENMICROMSG.DB

直接预览信息

[填空题] 参考Clara_Smartphone.bin,哪个数据库文件(.db)存储了WhatsApp訊息? (3分)

msgstore.db

找到对应的软件，预览信息可以得出哪个数据存储WhatApp的信息

[单选题] 参考Clara_Smartphone.bin,Clara在2024年8月29日拍了多少张照片? (2分)B
A. 0
B. 3
C. 4
D. 5

相机找到3张照片

[单选题] 参考Clara_Smartphone.bin,Emma在2024年8月6日通过微信发送了多少张照片给Clara? (2分)A
A. 0
B. 1
C. 5
D. 12

根据8月6日的聊天记录

[填空题] 参考Clara_Smartphone.bin,照片20240829_144717.jpg的拍摄相机型号是什么? (2分)

LG-H930

[单选题] 参考Clara_Smartphone.bin,20240821_121435.jpg的储存路径是什么? (2分)A
A. /media/0/DCIM/Camera
B. /media/1/DCIM/Camera
C. /media/00/DCIM/Camera
D. /media/11/DCIM/Camera

[填空题] 参考Clara_Smartphone.bin,2024年8月20日有多少张截图? (2分)

[单选题] 参考Clara_Smartphone.bin,2024年8月22日被删除微信消息的类型是? (3分)A
A. 照片
B. 视频
C. 文本
D. 以上都不是

根据聊天前后的内容可以推断出是Recovery seed的照片

[填空题] 你在查看Clara的手机镜像后,确定Clara是David的妻子,调查员通过查询酒店预订记录确认了这一点｡他们现在定位David的住所,以进行进一步调查｡你首先分析David的手机｡参考David_Smartphone_1.zip, 根据Contents.db,David 手机接收了通讯软件"Telegram"的验证短信,该验证码是多少? (3分)

84298

[填空题] 参考David_Smartphone_1.zip, David 把手机设置为个人热点,请找出个人热点的密码｡ (3分)

wdfj5674

[判断题] 参考David_Smartphone_1.zip, David 手机曾连接名为"MTR Free Wi-Fi" 的Wi-Fi ｡ (2分)正确
正确
错误

找到存放WiFi的文件

[填空题] 参考David_Smartphone_1.zip, 根据com.tencent.mm_preferences.xml,David 的手机最后登录微信的微信 ID 是? (3分)

wxid_rni3m2o8ngxe22

要求要手机登录的最后微信ID，但是David就只登陆过一个微信账号，那么最后登录的微信ID就是一开始的微信ID

[填空题] 参考David_Smartphone_1.zip, 请指出哪一张图片是于2024年8月28日利用屏幕截取的｡ (答案格式:ABC_123.jpg) (3分)

Screenshot_20240828-153836_Gmail.jpg

其实可以根据之前David与妻子Clara的聊天记录就可以定位到截图，是一张预定酒店的截图

[填空题] 参考 David_Smartphone_1.zip,根据Contents.db,David 手机的型号(Model)? (答案格式:大写英文字母和符号'-' 混合组成) (2分)

SM-G9500

[填空题] 参考 David_Smartphone_1.zip的Contents.db,David所使用的手机SIM 卡的序号? (答案格式:只需要用阿拉伯数目字回答) (1分)

[填空题] 参考 David_Smartphone_1.zip,David 手机安装了应用程序"MetaMask"｡根据persist-root中,"MetaMask"钱包内有多少个账号? (3分)

[单选题] 参考 David_Smartphone_1.zip,根据persist-root中,何时从应用程序"MetaMask"发送虚拟货币至以下地址: 0X10A4F01B80203591CCEE76081A4489AE1CD1281C (3分)B
A. 2024-08-11 1249(GMT+8)
B. 2024-08-14 1658 (GMT+8)
C. 2024-08-14 1659 (GMT+8)
D. 2024-08-16 1724 (GMT+8)

[单选题] 参考 David_Smartphone_1.zip,David 曾利用手机应用程序"MetaMask"三次发送虚拟货币失败｡根据persist-root,发送虚拟货币失败的原因是什麼? (3分)D
A. 网络连接问题
B. 应用程序权限被拒
C. 接收地址错误
D. 手续费不足

[单选题] 你根据易失性(Volatility Level)优先次序,进行内存取证分析David的笔记本电脑｡参考RAM_Capture_David_Laptop.RAW,以下哪一个不是程序"firefox.exe"的PID? (2分)C
A. 9240
B. 8732
C. 5260
D. 3108

使用火眼的内存取证工具

[填空题] 参考RAM_Capture_David_Laptop.RAW,汇出PID:724的程序,其哈希值 (SHA-256) 是? (2分)

89CF04B53119D36654BC5E7EEB5D0829A84238EE03FAA9A03948F5BF4BE44583

找到对应程序

使用Volatility3进行进程数据导出，命令行如下：

vol.exe -f "D:\RAM_Capture_David_Laptop.raw" windows.pslist.PsList --pid 724--dump

使用哈希计算工具进行计算

[单选题] 参考RAM_Capture_David_Laptop.RAW,哪一个是执行PID:724程序的SID? (1分)A
A. S-1-1-0
B. S-1-2-0
C. S-1-5-21-1103701427-1706751984-2965915307-1001
D. S-1-5-21-1103701427-1706751984-2965915307-513

使用Volatility3进行进程SID信息分析，命令行如下：

vol.exe -f "D:\RAM_Capture_David_Laptop.raw" windows.getsids.GetSIDs --pid 724

[填空题] 参考RAM_Capture_David_Laptop.RAW,账户David Tenth的NT LAN Manager的哈希值(NTLM Hash) ? (答案格式:只需使用全部小写及阿拉伯数字回答) (1分)

e14a21fefc5dd81275bb87228586cffc

使用Volatility3进行进程NTLM信息分析，命令行如下：

vol.exe -f "D:\RAM_Capture_David_Laptop.raw" windows.hashdump.Hashdump

[单选题] 在取证中,你发现D盘被BitLocker 加密｡U盘上可能有一些线索,你对U盘进行了取证｡参考David_USB_8GB.e01,David 的U盘文件系统的格式? (2分)A
A. NTFS
B. FAT32
C. exFAT
D. ReFS

取证大师打开直接看

[单选题] 参考David_USB_8GB.e01,David 的U盘文件系统中,每簇(Cluster)定义了多少字节(Byte)? (2分)C
A. 128
B. 256
C. 512
D. 1024

[单选题] 参考David_USB_8GB.e01,David 的U盘中有多少个已删除的文件? (2分)A
A. 1
B. 2
C. 3
D. 4

一开始做的比较匆忙没有细找，直接看火眼取出来的结果，有一张被删除的图片

[单选题] 承上题,参考David_USB_8GB.e01,已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量是多少? (2分)
A. 16
B. 32
C. 64
D. 128
[单选题] 承上题,参考David_USB_8GB.e01,已删除文件的第一个运行的十六进制值(低端字节序 Little-Endian)是多少? (3分)
A. 0x4C3F0DB522
B. 0x4C3F0D22B5
C. 0x224C3F0DB5
D. 0x3F4C0DB522
[填空题] 承上题,参考David_USB_8GB.e01,已删除的文件的实际大小(单位:字节 Byte)是多少? 答案格式:只需使用阿拉伯数字回答 (2分)

1796178

确定删除的图片

[填空题] 承上题,参考David_USB_8GB.e01,已删除文件的第一个运行偏移量(Run Offset)是多少? (答案格式:只需使用阿拉伯数字回答) (2分)

[单选题] 承上题,参考David_USB_8GB.e01,已删除的文件的第一个运行的簇运行长度(Run Length)是多少? (2分)
A. 2408
B. 3509
C. 3128
D. 4021
[单选题] 承上题,参考David_USB_8GB.e01,已删除文件的图像文件像素值(Pixel)是多少? (2分)C
A. 1000 x 2000
B. 2000 x 3000
C. 3000 x 4000
D. 4000 x 5000

导出文件查看

[单选题] 承上题,参考David_USB_8GB.e01,已删除图像文件是用哪个品牌和型号的手机拍摄? (2分)C
A. SAMSUNG SM-A425
B. SAMSUNG SM-A4580
C. SAMSUNG SM-A4260
D. SAMSUNG SM-A5G

导出文件查看属性

[单选题] 在 U盘中,你还发现了一个exe文件,但它被锁定,可能需要进行反编译以便进一步检查｡参考David_USB_8GB.e01,使用x64dbg的字符串搜索(String Search)功能,在Bitlocker.exe中查找哪个字符串最有可能与显示的登录状态有关? (1分)A
A. Welcome
B. Invalid input
C. Login Successful!
D. Access Denied

导出exe文件使用IDA分析

或者使用EXE查看器打开查看字符串

[单选题] 承上題,当找到控制登录成功的逻辑代码时,如何修改汇编代码(Assembly Code)来绕过检查,达到任意输入，都成功登录的效果? (2分)D
A. 修改CMP指令,使其总是比较相等
B. 修改CMP 指令後的跳转指令JNE 為nop,使跳转指令失效
C. 修改MOV指令,使其移动错误的数据
D. 修改TEST 指令後的跳转指令JNE 為nop,使跳转指令失效

通过上题字符串，在IDA中查找” Login Successful!”字符串定位引用位置，通过分析逻辑可以看到，Bitlocker.exe通过TEST和JNE指令配合实现登入成功和失败的提示，所以该题答案为D

[填空题] 参考David_USB_8GB.e01,Bitlocker.exe的正确用户登录名称是? (1分)

david1337

75、76是相互联系的先输入账号再输入密码然后登录成功

[填空题] 参考David_USB_8GB.e01,Bitlocker.exe的正确登录密码是? (2分)

1337david

同上

[单选题] 参考David_USB_8GB.e01,当Bitlocker.exe程序尝试显示登录结果（成功或失败）时,使用了哪一种途径来决定显示的消息? (2分)A
A. 通过检查某个寄存器的值来决定跳转到不同的汇编代码区段
B. 通过调用硬编码的内存地址来显示特定的消息框
C. 通过堆栈中的返回地址来确定要显示的消息
D. 通过逐位操作来修改显示消息的字符串内容

结合74题，显示成功或者失败是通过test eax,eax决定跳转到执行显示信息的代码中，结合选项中的答案，A更符合

[单选题] 参考David_USB_8GB.e01,决定能否解密 Bitlocker Key 的字节的内存偏移量(Memory Offset)（相对于基址"bitlocker.exe"）是什么? (3分)B
A. 0xA0B2
B. 0x808C
C. 0xA0C8
D. 0xA0E0

[单选题] 参考David_USB_8GB.e01,决定能否解密 Bitlocker Key 的内存偏移量(Memory Offset)后,应该如何利用它来进行解密? (2分)A
A. 将该偏移量处的值改为 1 (true),以启用解密过程
B. 将该偏移量处的值改为 0 (false),以重新初始化加密过程
C. 将该偏移量的内容到档中以作解密过程中的key
D. 清空该偏移量的内存并强制退出程序

[单选题] 参考David_USB_8GB.e01,解密后的 Bitlocker Key 是? (3分)A
A. 299255-418649-198198-616891-099682-482306-642609-483527
B. 745823-918273-564738-290183-475920-182736-594827-162839
C. 539823-847291-094857-194756-382910-472918-482937-120984
D. 829384-192837-475910-298374-019283-847362-564738-293847

使用火眼打开看到有一张图片

[单选题] 到目前为止,你已经获得了 BitLocker 密钥以解密 D盤,通过对David 笔记本电脑D盤的分析,并发现了一些重要信息｡你现在将继续调查未加密的 C盤｡参考David_Laptop_64GB.e01,分区格式(Partition)是? (2分)B
A. MBR
B. GPT
C. RAW

[单选题] 参考David_Laptop_64GB.e01,該e01 成功提取的日期和时间是? (2分)
A. 2024-09-05 15:55:28
B. 2024-09-02 11:52:31
C. 2024-09-03 14:37:28
D. 2024-09-03 12:16:49

[填空题] 参考David_Laptop_64GB.e01,最后登录的用户是谁? (答案格式:大写英文字母,小写英文字母和空格混合组成,例如:Tom Hanks) (2分)

David Tenth

查看登录的记录

[单选题] 参考David_Laptop_64GB.e01,用户配置的时区是? (2分)B
A. Australian Central Time
B. China Standard Time
C. New Zealand Standard Time
D. Nepal Time

全国统一使用北京时间，即UTC+8时区。北京、重庆、香港特别行政区以及乌鲁木齐都属于这个时区，即中国标准时区

[单选题] 参考David_Laptop_64GB.e01,David的笔记本电脑曾經连接了多少个设备? (2分)C
A. 1
B. 2
C. 3
D. 4

[填空题] 参考David_Laptop_64GB.e01,David的笔记本电脑上的Firefox浏览器安装了哪些扩展工具? (答案格式:请以大寫英文字母作答，无须留空白位) (2分)

METAMASK

仿真计算机

密码之前就有

299255-418649-198198-616891-099682-482306-642609-483527

用户密码

David Tenth

David19830215

或者看历史记录

[单选题] 参考David_Laptop_64GB.e01,根据用户配置文件中的.lnk文件,最后访问的文件名称是? (2分)B
A. 下載
B. export-token
C. RAM_Capture_DaviD
D. 本機磁碟(E) (2)

仿真后win+r，输入recent，按修改时间倒序排列

[单选题] 参考David_Laptop_64GB.e01,David的笔记本电脑曾經连接了多少个不同的Wi-Fi? (2分)A
A. 1
B. 2
C. 3
D. 4

查看wifi记录，一开始可能是多个，因为wifi连接记录很多，但是连接过的wifi记录只有一个，再加上89题就能确定就是1个

[填空题] 承上题,参考David_Laptop_64GB.e01,该Wi-Fi网络的名称(SSID)是? (答案格式:大写英文字母和小写英文字母混合组成) (2分)

ErrorError5G

[单选题] 参考David_Laptop_64GB.e01,该电脑的Windows操作系统的安装日期是什么? (2分)C
A. 2024-07-31 09:55:37 UTC+8
B. 2024-08-01 13:10:15 UTC+8
C. 2024-07-31 10:18:26 UTC+8
D. 2024-08-01 14:43:55 UTC+8

[单选题] 通过对David 笔记本电脑的电子数据取证和痕迹分析,你了解到David是一名 cryptocurrency 专家｡ (假設虚拟貨幣International Digital Forensics Coin (IDFC)面值是每1個IDFC等如1-HKD IDFC Token Address: 0x56E7A6dd8aA1c78ba77944C94c43054978E89b7b 區塊鏈: Binance Smart Chain) 下列那个网站能够找到区块链:Binance Smart Chain的交易记录? (1分)B
A. binance.com
B. bscscan.com
C. etherscan.io
D. blockchain.com

查看浏览器的历史记录

[单选题] 参考Emma_Mobile.zip中的微信聊天记录分析,Emma用什么方法盜取David的IDFC? (1分)C
A. Emma经Clara盗取了David虚拟货币钱包的私匙(Private Key)
B. Emma经Clara盗取了David虚拟货币钱包的公匙(Public Key)
C. Emma经Clara盗取了David虚拟货币钱包的回复匙(Recovery seed)
D. Emma盗取了David电话

Emma通过Clara获取到了David虚拟货币钱包的Recovery seed，从而盗取了David的IDFC

[单选题] 根据David,Emma及Clara的微信对话,David在什么日期时间发现IDFC被盗? (1分)B
A. 2024-8-22 18:06
B. 2024-8-28 09:14
C. 2024-8-28 09:57
D. 2024-8-29 15:52

[单选题] 参考Emma_Mobile.zip中的微信对话分析,Emma为什么盜取David的IDFC? (1分)D
A. Emma为了买名贵手表
B. Emma为了赌钱
C. Emma为了炒卖虚拟货币
D. Emma为了还财务公司的欠债

Emma被催债

[单选题] 参考David_Laptop_64GB.e01及David,Emma及Clara的微信对话,分析IDFC的交易记录,Emma盜取了David虚拟货币钱包内哪个地址的IDFC? (2分)A
A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c
B. 0x152c90200be61a540875f2a752c328bd19dbfb87
C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220
D. 0x70544880875fe907cee383873ca58da23378caa5

根据David发现IDFC被盗的前后时间来看在David电脑D盘中有交易记录文件export-token-0x56E7A6dd8aA1c78ba77944C94c43054978E89b7b.csv，结果选项

[单选题] 根据David,Emma及Clara的微信对话及IDFC的交易记录作分析,Emma总共盗取了David多少IDFC? (2分)A
A. 90,000 IDFC
B. 170,000 IDFC
C. 9,300,000 IDFC
D. 9,390,000 IDFC

根据上题的记录可以查看8月27日转出多少钱

[多选题] 根据Emma及Clara的微信对话,下列哪些地址是由相同的恢复短语(Recovery Seed)所生成? (3分)ABC
A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c
B. 0x152c90200be61a540875f2a752c328bd19dbfb87
C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220
D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042

使用bip39-standalone，https://bip39.fortunebus.com/ 用恢复短语生成地址

使用助记词stock avocado grab clay light sadness segment ancient toe talk elder oil

[单选题] 根据IDFC的交易记录作分析,总共有多少次IDFC交易流入地址0x10a4f01b80203591ccee76081a4489ae1cd1281c? (1分)C
A. 0
B. 1
C. 2
D. 3

查看记录

[单选题] 参考David_Laptop_64GB.e01,在David计算机的D盘内有一张图片,根据图片上的信息,找出David另一个虚拟货币钱包的恢复短语(2)(Recovery Seed),下列哪一个单词是在此恢复短语(2)(Recovery Seed)内? (3分)D
A. fall
B. bread
C. brain
D. dove

电脑里有图片记录，但是不全只能看到两个完整的单词infant和fragile，在内存镜像中搜索这两个关键词可以找到所有恢复短语

X-way中搜索这两个单词就能定位到完整的单词

[多选题] 承上题,参考David_Laptop_64GB.e01,在IDFC的交易记录中,下列哪些地址由上述恢复短语(2)(Recovery Seed)所生成? (2分)CD
A. 0xb2e3dbea311511ec5bda3e85e061f15366f888a6
B. 0xe90ad3f80e39e83b533eef3ed23c641ec51089c6
C. 0x90f73497E4446f6Cf9881213C32D6af66d799fE5
D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042

根据上面一题拿到了所有的恢复短语infant fragile garlic bracket stove blade stick dove aerobic spin term educate

网址：https://bip39.fortunebus.com/

使用bip39-standalone恢复