2023第九届美亚杯个人赛WP

浏览 559 | 评论 0 | 字数 24640

硝基苯

2023年12月03日

个人赛案情简介

链接：https://www.meiyacup.cn/Ne_d_gci_3_id_67.html
（一）案情

2023月8月的一天，香港警方在调查一起网络诈骗案件时，发现有三名本地男子，分別为李大輝（李大辉），浩賢(浩贤)和Elvis CHUI，并确信这三名被捕男子均为大学同学。怀疑三人背后涉及一个庞大的电信诈骗集团。于是将这三名本地男子拘捕，扣押了三人相关的电子设备并进行分析。

现在你被委派处理这件案件，请依据以下资料分析上述三人是否涉嫌犯罪，并还原事件经过。

（二）检材资料

1.李大輝的安卓手机镜像 (Android.bin)

2.李大輝的macOS系统镜像(Mac OS.img)

3.来自李大輝计算机的一个文件($MFT Record Nr_ 107115, SeqNr_2.txt)

4.浩賢的个人虚拟机文件(Server.zip)

5.浩賢的Windows 10系统虚拟机文件(Windows10.zip)

6.浩賢的iOS手机系统文件(IOS.zip)

7.来自Elvis Chui计算机的一个网络封包文件(網路.pcapng)

8.来自Elvis Chui计算机的镜像文件 (Windows Artifacts.e01)

9.来自Elvis Chui计算机的数据库文件(SQLITE.zip)

10.Elvis Chui的Windows7虚拟机文件(Windows7.zip)

（三）可能用到的软件

1.Windows系统分析工具

2.macOS程序分析工具

3.虚拟机加载工具

4.数据库分析工具

5.网络封包分析工具

6.手机系统分析工具

（四）要求

参赛人员比赛用的计算机不要安装任何防毒工具，以防止不能正确使用所需的比赛软件或检材

涉及考点：Android手机取证、IOS手机取证、Windows电脑取证、macOS电脑取证（该部分没装黑苹果就没做了）、流量分析

1.[填空题]
参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to answer below question 李大辉所用手机移动运营商公司的名称 What is the name of the telecommunication company that Li Dahui's mobile phone is using. 提示:请所有字母都用大写英文 Tips: Please answer in capital letters. (1分)
DUCK
采用火眼证据分析软件对李大辉的Android.bin进行分析，查找到SIM卡使用记录，确定运营商为DUCK

2.[单选题]
参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to
answer below question 李大辉的手机安装了什么即时通讯软件 (Instant
Messaging App)? What instant messaging app is installed on Li Dahui's
mobile phone? (1分)
Whatsapp
微信和Whatsapp之间，考虑到Whatsapp有更多的消息，因此选择Whatsapp

3.[填空题]
参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to
answer below question 李大辉的手机安装了什么反追踪软件? What
anti-tracking software is installed on Li Dahui's mobile phone? 提示: 所有答案字母都用小写字母并用xxx_xxx_xxxxxxx_xxxxxx_xxxx格式作答 Tips:
Please answer the question as below format in lowercase letters. (1分)
找不到
4.[单选题]
参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to
answer below question 李大辉的手机是什么时间成功登入WhatsApp? At what
time did Li Dahui's mobile phone successfully log into WhatsApp? (2分)
2022-08-18_21:56:37
WhatsApp上并没有登录成功的信息，看了看短信，发现通过验证码进行登录的

5.[填空题]
参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to
answer below question 李大辉登入WHATSAPP时的认证短码是什么? What was the verification code that Li Dahui used to log into WhatsApp? 提示: 请以阿拉伯数字作答 Tips: Please answer in arabic numbers. (1分)
304313
接上图
6.[单选题]
参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to
answer below question 李大辉到美丽好化妆品公司的入职时间是何时？ When
did Li Dahui join the Beauty Good Cosmetics Company? (2分)
2017-05-25

7.[单选题]
参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to
answer below question 李大辉曾于什么时间使用了图像编辑软件? At what time did Li Dahui use image editing software? (2分)
找不到
8.[填空题]
参考Server文件夹下的 ' Meiya_VPN.vmdk ' 回答以下题目 With reference to 'Meiya_VPN.vmdk ' in Server folder to answer below question 这个访问服务器使用了哪个端口？ Which port was used for this access server? 提示: 请用阿拉伯数字作答 Tips: Please answer in arabic numbers. (1分)
943
使用火眼进行分析（取证大师无法进行分析），这个应该是个什么服务器，能看到该服务器ip地址

考虑过挂载直接用netstate看，但是挂载又有点麻烦，在Firefox里面发现记录

9.[填空题]
参考Server文件夹下的 ' Meiya_VPN.vmdk ' 回答以下题目 With reference to '
Meiya_VPN.vmdk ' in Server folder to answer below question “User1”账户最近连接到这个访问服务器时使用的IP地址是多少？ What was the latest IP of“User1” account that connected to this access server? 提示: 用IPV4 格式回答 Answer: Please answer in IPV4 format (1分)
192.166.244.167
通过第8题可以得知这是个openvpn的服务器，因为要看"User1"用户的连接情况，优先考虑看日志，日志一般在/var/log下，发现了openvpn的log

下载后通过关键字搜索，发现时间最接近的一条log

10.[多选题]
参考Server文件夹下的 ' Meiya_VPN.vmdk '回答以下题目 With reference to 'Meiya_VPN.vmdk ' in Server folder to answer below question 哪些文件可以找出这个访问服务器的Ubuntu版本？ Which files can find out the Ubuntu
version of this access server? (1分)
lsb-release、issue.net
因为是选择题，直接搜即可

11.[多选题]
参考Server文件夹下的 ' Meiya_VPN.vmdk '回答以下题目 With reference to 'Meiya_VPN.vmdk ' in Server folder to answer below question 哪些文件有助于分辨这是一个存储服务器？Which files could be used to prove this access server?
sys.log
12.[单选题]
参考Server文件夹下的 ' Meiya_VPN.vmdk ' 回答以下题目 With reference to 'Meiya_VPN.vmdk ' in Server folder to answer below question 这个访问服务器所在时区是哪个时区？What is the time zone of this access server?
(2)
UTC -7
/etc/timezone是Ubuntu设置时区的文件，因此，可得时区

13.[填空题]
参考Server文件夹下的 ' Meiya_VPN.vmdk ' 回答以下题目 With reference to 'Meiya_VPN.vmdk ' in Server folder to answer below question 这个访问服务器的“openvpn”帐户密码是多少？ What is the password of the “openvpn”account of this access server? 提示:请用大写字母与阿拉伯数字作答 Tips:Please answer in capital letters and arabic numbers. (2分)
TLfAg6l6dssc

14.[单选题]
参考Server文件夹下的 ' Meiya_VPN.vmdk '回答以下题目 With reference to 'Meiya_VPN.vmdk ' in Server folder to answer below question 在这个访问服务器中，“User1”账户之间的连接所使用的加密算法（密码）是什么？ What is the encryption algorithms (cipher) used for the connections among the
“User1”account in this access server? (2分)
cipher AES-256-CBC
全局搜索user1，发现user1.opvn

15.[填空题]
参考' 网络题目.pcapng ' 文件回答以下题目 With reference to ' 网络题目.pcapng ' file to answer below question 给出正在进行Nmap扫瞄的计算机互联网协议地址? What is the source IP of the nmap scanning? 提示: 以IPV4格式给出答案 Answer: Please answer in IPV4 format. (1分)
192.168.186.132
通过流量包能确定这个包的主人是192.168.186.132，通过搜索关键字nmap发现是132首发出请求

16.[填空题]
参考' 网络题目pcapng' 文件回答以下题目 With reference to ' 网络题目.pcapng ' file to answer below question 有多少个Nmap扫描正在同时进行? How many nmap scanning(s) is/are conducting at the same time? 提示:请给出阿拉伯数字作答 Tips: Please answer in number (1分)
2个
一个UDP扫了45.33.32.156，一个TCP扫了8.8.8.8
17.[单选题]
参考网络题目.pcapng文件回答以下题目 With reference to ' 网络题目.pcapng' file to answer below question 当计算机正在扫瞄8.8.8.8，namp相关的指令是什么 The computer is scanning 8.8.8.8. What is the corresponding nmap command? (1分)
-sT
TCP扫描时，扫描成功会完成TCP三次握手，不开放则返回RST ACK包


18.[单选题]
参考网络题目.pcapng文件回答以下题目 With reference to ' 网络题目.pcapng' file to answer below question 当计算机正在扫瞄45.33.32.156，namp相关的指令是什么 The computer is scanning 45.33.32.156. What is the
corresponding nmap command? (1分)
nmap -sU 45.33.32.156
UDP扫描在流量分析中的特征表现：出现大量UDP会话，且不携带任何数据，另外会有大量ICMP端口不可达的报文，

32.[填空题]
参考 ' Window Artifacts.E01 ' 内的Windows 注册表回答以下题目 With
reference to ' Window Artifacts.E01 ' file to answer below question
Elvis Chui 总共登入过该计算机多少次? According to the windows registry
record of "Window Artifacts.E01", how many times has Elvis Chui logged
into this computer? 提示: 请以阿拉伯数字作? Tips: Please answer in
arabic numbers (1分)
11次

33.[单选题]
参考 ' Window Artifacts.E01 ' 内的Windows 注册表回答以下题目 With
reference to ' Window Artifacts.E01 ' file to answer below question 该计算机的操作系统是在哪一个时区？What is the time zone of the operating
system of this computer? (1分)
UTC +8

34.[单选题]
参考 ' Window Artifacts.E01 '内的Windows 注册表回答以下题目 With
reference to ' Window Artifacts.E01 ' file to answer below question 该计算机的操作系统于何时安装? (以计算机系统时区回答) When was the operating system of this computer installed? (Answer in the time zone of the computer system) (1分)
2023-07-13 11:18:14

35.[多选题]
参考' Window Artifacts.E01 '内的Windows 注册表回答以下题目 With
reference to ' Window Artifacts.E01 ' file to answer below question 哪(几)个程序会于操作系统启动时自动执行? Which program(s) would be
automatically executed upon operating system startup? (1分)
Avast、Steam、OneDrive

36.[单选题]
参考' Window Artifacts.E01 '内的Windows 注册表回答以下题目 With
reference to ' Window Artifacts.E01 ' file to answer below question 该计算机内安装了以下哪一个???? Which one of the following programs was
installed on this computer? (1??)?
WPS Office

37.[填空题]
参考' Window Artifacts.E01 '内的Windows 注册表回答以下题目 With
reference to ' Window Artifacts.E01 ' file to answer below question 计算机内的OneDrive程序版本是什么? What is the version of the OneDrive
program installed on this computer? (1分)
21.220.1024.0005
38.[填空题]
参考' Window Artifacts.E01 '内的Windows 注册表回答以下题目 With
reference to ' Window Artifacts.E01 ' file to answer below question 计算机有一个正在连接的网络接口，该接口连接DHCP服务器的IP地址是多少? What is the IP address of DHCP server. ? 提示: 以 IPV4格式回答 Answer: Please
answer in IPV4 format. (1分)
192.168.88.129

39.[单选题]
参考' Window Artifacts.E01 '内的Windows 注册表回答以下题目 With
reference to ' Window Artifacts.E01 ' file to answer below question 该计算机何时连接过一只U盘? (以计算机系统时区回答) When was a USB flash drive last connected to this computer? (Answer in the time zone of the
computer system) (1分)
2023-07-13 11:48:29

40.[多选题]
参考' Window Artifacts.E01 '回答以下题目 With reference to ' Window
Artifacts.E01 ' file to answer below question Elvis Chui 将哪几个文本文件放在回收站中？ Which text files did Elvis Chui put into the recycle bin?（3分）

41.[单选题]
参考' Window Artifacts.E01 ' 回答以下题目 With reference to ' Window
Artifacts.E01 ' file to answer below question Elvis Chui在什么时间删除了第一个文本文件? (以计算机系统时区回答) What time did Elvis Chui delete the first text file? (Answer in the time zone of the computer system)
(3分)
删除时间： 2023-07-13 11:49:45

42.[填空题]
题目内容请看题目描述。（42） (2分)
参考 ' Window Artifacts.E01 '回答以下题目With reference to ' Window Artifacts.E01 ' file to answer below questionElvis Chui删除的第一个文本文件的文件名是什么?What was the name of the first text file Elvis Chui deleted?提示: 请用小写字母回答及需列明文件格式。如文件名字内有空格位置，请用_标示。例如: go_to_school.docxTips: Please use lowercase to answer the questions and mention the file extension. If a blank space is present, please use _ to represent the blank space. Example: go_to_school.docx
Holiday schedule 2023-07-16.txt
同上
43.[单选题]
参考 ' Window Artifacts.E01 ' 回答以下题目 With reference to ' Window
Artifacts.E01 ' file to answer below question Elvis Chui删除的第一个文本文件在什么时间创建? (以计算机系统时区回答) When was the text file first deleted by Elvis was created? (Answer in the time zone of the computer system) (2分)

44.[填空题]
参考 ' Window Artifacts.E01 ' 回答以下题目 With reference to ' Window
Artifacts.E01 ' file to answer below question Elvis Chui计划于2023年7月15日20点5分有什么活动? What is Elvis Chui's plan at 8:05 PM on July 15,2023? 提示: 答案请与文件内的文字与大细阶相同 Tips: Please answer the exact words and uppercase/lowercase leters shown in the file (1分)
Movie

45.[填空题]
参考 ' Window Artifacts.E01 ' 回答以下题目 With reference to ' Window
Artifacts.E01 ' file to answer below question 该计算机执行STEAM.EXE总共多少次? How many times has STEAM.EXE been opened on this computer? 提示:
请用阿拉伯数字? Tips: Please answer in arabic numbers (1分)
运行次数： 7

53.[单选题]
参考' IOS ' 文件夹回答以下题目 With reference to ' IOS ' to answer below
question 根据 ' com.apple.ios.StoreKitUIService.plist ' , 这部电话是什么型号? According to ' com.apple.ios.StoreKitUIService.plist ', what is
the model of this phone? (1分)
iPhone XR

54.[单选题]
参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' to answer
below question 根据com.apple.ios.StoreKitUIService.plist，上述电话的文件系统是什么? According to com.apple.ios.StoreKitUIService.plist, what is the file system of the phone in question? (1分)
IOS的文件系统是APFS
55.[多选题]
参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' folder to
answer below question 根据ChatStorage.sqlite，哪些对话已锁定? According
to ChatStorage.sqlite where chats are stored, which conversations are
locked? (3分)

Whatsapp中的ChatStorage.sqlite网上搜集到的一些资料

ZWASESSION表

ZSESSIONTYPE包括会话类型ID：0表示与联系人的私人消息，1表示群聊，2表示广播，3表示状态更改
ZCONTACTJID包含联系人或组的标识符；联系人以@s.whatsapp.net结尾，组以@g.us结尾，@status表示用户状态更新
ZPARTNERNAME提供联系人或组的名称
ZMESSAGECOUNTER包括与联系人或组交换的消息数
ZUNREADCOUNT显示联系人或群聊中未读消息的数量
ZLASTMESSAGEDATE提供显示的联系人/组的最后一条消息的时间戳
ZLASTMESSAGE包括ZWAMESSAGE表中联系人或组的最后一条消息的外键

ZWAMESSAGE表

ZCHATSESSION是链接到ZWACHATSSESSION表的外键，有助于识别记录属于哪个会话
ZSORT包括消息在对话中出现时的顺序；如果数字丢失（如1,2,4,7），则可能表明对话中的某些消息已被用户“为我”删除
ZISFROMME表示消息方向：0表示传入消息，1表示传出消息
ZMESSAGEDATE包含消息创建的时间戳
ZSENTDATE提供发送消息的时间戳
ZMESSAGETYPE指示消息是文本（0）、图像（1）、视频（2）、语音消息（3）、联系人卡（4）、位置（5）、组（6）、URL（7）、文件（8）等
ZTEXT包含邮件的文本，如果文本已删除，或者邮件仅包含附件，则ZTEXT为空
ZMEDIATEM为ZWAMEDIATEM表提供外键

其他关于ZWAMESSAGE的分析

1.Z_PK--看起来像一个序列号
2.Z_ENT到ZFILTEREREDRCIPIENTCOUNT——似乎不那么重要
3.ZFLAGS——似乎表示消息状态
4.ZGROUPEVENTYPE——似乎与群聊有关
5.ZISFROMME--消息来自我…此用户发送的消息为1，接收的消息为0
6.ZESSAGEERRORSTATUS到ZSPOTLIGHTSTATUS——看起来像是一般状态
7.ZSTARRED——我们在消息中加了星号吗
8.ZCHATSESSION——表示聊天会话的唯一标识符
9.ZGROUMEMBER——还没看这个
10.ZLASTSESSION——最后一次聊天？没有深入研究
11.ZMEDIAITEM——似乎与媒体项索引有关，可能是其他表之一的标识符
12.ZMESSAGINFO和ZPARENTMESSAGE——看起来足够简单，可以从名称中计算出来
13.ZMESSAGEDATE——可能是消息创建日期（请参阅下面的日期格式讨论）
14.ZSENTDATE——消息发送日期可能是（请参阅下面的日期格式讨论）
15.ZFROMJID——我们是从谁那里得到的（如果是传入消息）
16.ZMEDIASECTIONID——似乎与媒体消息的媒体存储有关，在没有媒体的消息中不显示
17.ZPHASH-嗯…不确定
18.ZPUSHNAME——看起来像你手机上的联系人姓名
19.ZSTANZAID——一些对话/媒体id指示器。媒体信息和文本信息的格式似乎不同
20.ZTEXT--消息文本
21.ZTOJID——我们把它发给了谁（如果是传出消息）

56.[填空题]
参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' folder to
answer below question 根据ChatStorage.sqlite，有多少段录音对话?
According to ChatStorage.sqlite, how many recorded conversations are
there? 提示: 请以阿拉伯数字回答。Tips: Please answer in arabic numbers.
(2分)
45条
互联网实时语音格式一般为audio/ogg; codecs=opus
ZWAMEDIAITEM表中可以看到很多媒体数据，因此应该从这找

57.[单选题]
参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' folder to
answer below question， Apple Cocoa Core Data timestamp 是由什么时间开始?
From what time does the Apple Cocoa Core Data timestamp start? (1分)
2001年1月1日
谷歌去搜索这个开始时间即可
58.[填空题]
参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' folder to
answer below question 根据Photos.sqlite数据库中，有多少段视频可能涉及WhatsApp? According to the Photos.sqlite database, how many videos may be related to WhatsApp? 提示: 请以阿拉伯数字作答 Tips: Please answer in
arabic numbers (2分)
7
链接：
https://github.com/kacos2000/queries/blob/master/
https://appinitio.medium.com/hey-mac-user-where-are-your-photos-d9056ee4963e
通过在数据库中搜素关键词，发现ZCLOUDMASTER表

发现存有文件类型，搜索mpeg-4，即可得到结果

59.[多选题]
参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' to answer
below question 根据Photos.sqlite数据库中，下列哪个选项对IMG_0008.HEIC的描述是错的? According to the ' Photos.sqlite ' database, which of the
following descriptions of IMG_0008.HEIC is incorrect? (3分)
AE
链接：https://github.com/ScottKjr3347/iOS_Local_PL_Photos.sqlite_Queries/blob/main/iOS15/iOS15_LPL_Phsql_Basic.txt
HEIC是iPhone手机拍照的原格式
A. 由第三方软件拍摄
B. 经过修改
C. 由后镜拍摄
D. 用ISO200拍摄
E. 没有储存经纬度
60.[填空题]
题目内容请看题目描述。（60） (1分)
参考 ' IOS ' 文件夹回答以下题目With reference to ' IOS ' folder to answer below question根据 ' sms(ios).db ' 的资料，全局唯一标识符(GUID): DD31C26F-1D72-DE0F-431E-EF98F104402D显示的信息是什么? According to ' sms(ios).db ', what is the message shown on Globally Unique Identifier (GUID) of DD31C26F-1D72-DE0F-431E-EF98F104402D? 提示:答案需要与信息一样(答案包括中文字、阿拉伯数字与符号)Tips: Answer should be same as the message (including Chinese words, arabic numbers and symols)
你的 Uber 驗證碼為 3666. 請勿分享此驗證碼.
全局搜索

61.[多选题]
参考 ' IOS ' 资料夹回答以下题目 With reference to ' IOS ' folder to
answer below question 根据 ' com.burbn.instagram.plist ' 及 '
com.facebook.Facebook.plist ' 手机安装了实时通讯软件Facebook及Instagram的那个版本? (Instant Messaging Apps)? According to
'com.burbn.instagram.plist ' and ' com.facebook.Facebook.plist ', which
version of instant messaging apps (Facebook and Instagram) are installed
on the phone? (1分)
APP的路径在9Apple_iPhone 11 (A2111)ActivevarmobileApplicationscom.burbn.instagramLibraryPreferences
Instagram (Version 278.0.0.19.115)
Facebook (Version 410.0.0.41.116)

62.[填空题]
题目内容请看题目描述。（62） (2分)
参考 ' IOS ' 文件夹回答以下题目With reference to ' IOS ' folder to answer below question根据 ' ChatStorage(ios).sqlite ' , 用户数据Peter Chow (85262012141)在什么日期和时间(以UTC +8时区)曾经通过实时通讯软件送出一个信息(内容为: I am already home)? According to ' ChatStorage(ios).sqlite ', on what day and time (in UTC+8 time zone) did Peter Chan (user information 85262012141) send a message via instant messaging? (Hint: Message Content: I am already home)提示:以UTC +8时区作答,并以YYYY-MM-DD_HH:MM:SS格式作答例如:2023-01-01_10:01:01 (答案无需输入UTC +8)Tips: Please answer the question in UTC +8 timezone and use format YYYY-MM-DD_HH:MM:SS to answer.  Example: 2023-01-01_10:01:01
2023-4-1_11:21

63.[填空题]
题目内容请看题目描述。（63） (1分)
参考 ' IOS ' 文件夹回答以下题目With reference to ' IOS ' folder to answer below question根据影片IMG_0687.MOV的原数据，找出影片拍摄时间? According to original data of video IMG_0687.MOV, please find out the taping time?提示:以UTC +8时区作答,并以YYYY-MM-DD_HH:MM:SS格式作答例如:2023-01-01_10:01:01 (答案无需输入UTC +8)Tips: Please answer the question in UTC +8 timezone and use format YYYY-MM-DD_HH:MM:SS to answer.  Example: 2023-01-01_10:01:01
未找到
64.[单选题]
参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' folder to
answer below question 根据 ' CallHistory(ios).storedata '，哪份表格显示了通话记录? According to ' CallHistory(ios).storedata ',which table(s)
containting the data of call record? (2分)
ZCALLRECORD
65.[填空题]
参考' IOS ' 文件夹回答以下题目 With reference to ' IOS ' folder to
answer below question 根据 ' com.apple.sharingd.plist '，这部手机的隔空投送的身份标识号(AirDrop ID)是什么? Accoding to '
com.apple.sharingd.plist ', What is AirDrop ID of the mobile phone? 提示:请以阿拉伯数字与小写字母作答 Tips: Please answer in arabic numbers and
lowercase letters. (3分)
2abd0940fbdc

66.[填空题]
参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' folder to
answer below question 根据 ' Accounts3.sqlite '，这部手机的苹果使用者账号 (Apple ID) 是什么? According to ' Accounts3.sqlite ', what is the
Apple ID of this mobile phone? 提示:请以电邮格式作答(例:jack2023@hotmail.com) Please answer in email format (Example: jasck2023@hotmail.com)
(2分)
foratcd2023@gmail.com

继续跳过理论
88.[填空题]
题目内容请看题目描述。（88） (1分)
参考' Windows 10 ' 文件夹回答以下题目With reference to ' Windows 10 ' folder to answer below question在 Windows 10 中 UsersqqqqqDownloads，视频文件(mixkit-two-women-laying-together-925-medium.mp4)，在MFT 中分成多少个Data Cluster 储存？n Windows 10, the video file "mixkit-two-women-laying-together-925-medium.mp4" located at UsersqqqqqDownloads is stored in the Master File Table (MFT) using a series of data clusters. The exact number of data clusters used to store the file in the MFT is?提示: 请以阿拉伯数字作答Tips: Please answer in arabic numbers
不大清楚
链接：https://blog.csdn.net/dzqxwzoe/article/details/132819639
89.[单选题]
题目内容请看题目描述。（89） (1分)
参考' Windows 10 ' 文件夹回答以下题目With reference to ' Windows 10 ' folder to answer below question在 Windows 10 中 UsersqqqqqDownloads mixkit-two-woman-laying-together-925-medium.mp4 的last Access 时间是多少?In Windows 10, what is the last Access time of the file ' mixkit-two-woman-laying-together-925-medium.mp4 ' located in ' UsersqqqqqDownloads ' ?
2023-07-10 18:31:32

90.[填空题]
题目内容请看题目描述。（90） (1分)
参考' Windows 7 ' 文件夹回答以下题目With reference to ' Windows 7 ' folder to answer below question在 Windows 7 中 UsersAllenDesktop，有1个MP3 文件 (例:unlock-me-149058.mp3)，用户使用什么程序打开MP3 件?In Windows 7, there is 1 MP3 file (unlock-me-149058.mp3) saved under the path ' UsersAllenDesktop. What program did the user use to open the mp3 file.提示:请以小写字母作答Tips: Please answer in lowercase letters.
potplayer
仿真后发现桌面默认的打开方式是potplayer
91.[单选题]
题目内容请看题目描述。（91） (1分)
参考' Windows 7 ' 文件夹回答以下题目With reference to ' Windows 7 ' folder to answer below question在 Windows 7 中 ' UsersAllenDesktop '有1个MP3 文件 (unlock-me-149058.mp3)，该文件的Zone identiflier为'3'。上述'3'字代表哪一个security Zone ?In Windows 7, there is one MP3 file (unlock-me-149058.mp3) saved under the path ' UsersAllenDesktop.  The zone identiflier of above file is '3'.  What security zone does '3' represent?
Internet Zone
dos下执行 dir /r可以看到这些文件
通过执行notepad unlock-me-149058.mp3:Zone.identifier可以打开
Zone.Id=3表示由Internet下载

92.[单选题]
题目内容请看题目描述。（92） (1分)
参考' Windows 7 ' 文件夹回答以下题目With reference to ' Windows 7 ' folder to answer below question在 Windows 7 中 UsersAllenDesktop有1个MP3 文件 (unlock-me-149058.mp3)，该文件从哪个网站下载? In Windows 7, there is a MP3 file (unlock-me-149058.mp3)saved under the path ' UsersAllenDesktop. Which website was used to download the file?
www.Pixbay.com
通过91题可以发现该数据流文件的下载路径不存在了，因此得换种方式

93.[单选题]
参考' Windows 7 ' 文件夹回答以下题目 With reference to ' Windows 7 '
folder to answer below question 在 Windows 7 中 UsersAllenDownloads
内有mp3文件 (miracle.mp3), 更改名称时间? In Windows 7, there is a MP3
file named "miracle.mp3 saved under the path ' UsersAllenDownloads."
When was the file's name changed? (2分)
2023-07-13 10:55:20
涉及到ntfs日志
链接：https://wenku.baidu.com/view/e8724d65a11614791711cc7931b765ce05087a92.html?_wkts_=1701600422818&bdQuery=ntfs%E6%97%A5%E5%BF%97
选择耗时任务中的ntfs日志分析

找到相关文件

94.[填空题]
题目内容请看题目描述。（94） (1分)
参考' Windows 7 ' 文件夹回答以下题目With reference to ' Windows 7 ' folder to answer below question在 Windows 7 中 UsersAllenDownloads 内有mp3文件 (miracle.mp3), mp3文件更改名称前的名称是什么?In Windows 7, there is an MP3 file named "miracle.mp3saved under the path 'UsersAllenDownloads." What was the name of the MP3 file before it was renamed?
提示: 请以与记录相同的名称与文件格式作答
Tips: Please answer the exact name and file extension of the file
a-small-miracle-132333.mp3
接上图
95.[单选题]
参考' Windows 7 ' 文件夹回答以下题目 With reference to ' Windows 7 '
folder to answer below question 在 Windows 7中有多少个文件曾被potplayer
播放? In Windows 7, how many files have been played by potplayer? (1分)
找不到
96.[填空题]
题目内容请看题目描述。（96） (1分)
参考' Windows 7 ' 文件夹回答以下题目With reference to ' Windows 7 ' folder to answer below question在 Windows 7中, potplayer最后播放的文件名?In Windows 7, what is the name of the file name of last file played by PotPlayer?提示: 请以与记录相同的名称(包括小写字母、阿拉伯数字与符号)与文件格式作答Tips: Please answer the exact name (including lowercase letters, arabic numbers and symbols) and file extension of the file
unlock-me-149058.mp3