2023第九届美亚杯个人赛WP
浏览 677 | 评论 0 | 字数 24640
硝基苯
2023年12月03日
  • 个人赛案情简介

    链接:https://www.meiyacup.cn/Ne_d_gci_3_id_67.html
    (一)案情

    2023月8月的一天,香港警方在调查一起网络诈骗案件时,发现有三名本地男子,分別为李大輝(李大辉),浩賢(浩贤)和Elvis CHUI,并确信这三名被捕男子均为大学同学。怀疑三人背后涉及一个庞大的电信诈骗集团。于是将这三名本地男子拘捕,扣押了三人相关的电子设备并进行分析。

    现在你被委派处理这件案件,请依据以下资料分析上述三人是否涉嫌犯罪,并还原事件经过。

    (二)检材资料

    1.李大輝的安卓手机镜像 (Android.bin)

    2.李大輝的macOS系统镜像(Mac OS.img)

    3.来自李大輝计算机的一个文件($MFT Record Nr_ 107115, SeqNr_2.txt)

    4.浩賢的个人虚拟机文件(Server.zip)

    5.浩賢的Windows 10系统虚拟机文件(Windows10.zip)

    6.浩賢的iOS手机系统文件(IOS.zip)

    7.来自Elvis Chui计算机的一个网络封包文件(網路.pcapng)

    8.来自Elvis Chui计算机的镜像文件 (Windows Artifacts.e01)

    9.来自Elvis Chui计算机的数据库文件(SQLITE.zip)

    10.Elvis Chui的Windows7虚拟机文件(Windows7.zip)

    (三)可能用到的软件

    1.Windows系统分析工具

    2.macOS程序分析工具

    3.虚拟机加载工具

    4.数据库分析工具

    5.网络封包分析工具

    6.手机系统分析工具

    (四)要求

    参赛人员比赛用的计算机不要安装任何防毒工具,以防止不能正确使用所需的比赛软件或检材


    涉及考点:Android手机取证、IOS手机取证、Windows电脑取证、macOS电脑取证(该部分没装黑苹果就没做了)、流量分析

    1.[填空题]
    参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to answer below question 李大辉所用手机移动运营商公司的名称 What is the name of the telecommunication company that Li Dahui's mobile phone is using. 提示:请所有字母都用大写英文 Tips: Please answer in capital letters. (1分)
    DUCK
    采用火眼证据分析软件对李大辉的Android.bin进行分析,查找到SIM卡使用记录,确定运营商为DUCK

    2.[单选题]
    参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to
    answer below question 李大辉的手机安装了什么即时通讯软件 (Instant
    Messaging App)? What instant messaging app is installed on Li Dahui's
    mobile phone? (1分)
    Whatsapp
    微信和Whatsapp之间,考虑到Whatsapp有更多的消息,因此选择Whatsapp
    94683-9uryi0ikqkv.png
    3.[填空题]
    参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to
    answer below question 李大辉的手机安装了什么反追踪软件? What
    anti-tracking software is installed on Li Dahui's mobile phone? 提示: 所有答案字母都用小写字母并用xxx_xxx_xxxxxxx_xxxxxx_xxxx格式作答 Tips:
    Please answer the question as below format in lowercase letters. (1分)
    找不到
    4.[单选题]
    参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to
    answer below question 李大辉的手机是什么时间成功登入WhatsApp? At what
    time did Li Dahui's mobile phone successfully log into WhatsApp? (2分)
    2022-08-18_21:56:37
    WhatsApp上并没有登录成功的信息,看了看短信,发现通过验证码进行登录的
    39650-kuxrxaxp24.png
    5.[填空题]
    参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to
    answer below question 李大辉登入WHATSAPP时的认证短码是什么? What was the verification code that Li Dahui used to log into WhatsApp? 提示: 请以阿拉伯数字作答 Tips: Please answer in arabic numbers. (1分)
    304313
    接上图
    6.[单选题]
    参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to
    answer below question 李大辉到美丽好化妆品公司的入职时间是何时? When
    did Li Dahui join the Beauty Good Cosmetics Company? (2分)
    2017-05-25
    55095-yqg26r8n5wd.png
    7.[单选题]
    参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to
    answer below question 李大辉曾于什么时间使用了图像编辑软件? At what time did Li Dahui use image editing software? (2分)
    找不到
    8.[填空题]
    参考Server文件夹下的 ' Meiya_VPN.vmdk ' 回答以下题目 With reference to 'Meiya_VPN.vmdk ' in Server folder to answer below question 这个访问服务器使用了哪个端口? Which port was used for this access server? 提示: 请用阿拉伯数字作答 Tips: Please answer in arabic numbers. (1分)
    943
    使用火眼进行分析(取证大师无法进行分析),这个应该是个什么服务器,能看到该服务器ip地址
    72553-7nx3c3eka2y.png
    考虑过挂载直接用netstate看,但是挂载又有点麻烦,在Firefox里面发现记录
    94393-uttp47fq8xp.png
    9.[填空题]
    参考Server文件夹下的 ' Meiya_VPN.vmdk ' 回答以下题目 With reference to '
    Meiya_VPN.vmdk ' in Server folder to answer below question “User1”账户最近连接到这个访问服务器时使用的IP地址是多少? What was the latest IP of“User1” account that connected to this access server? 提示: 用IPV4 格式回答 Answer: Please answer in IPV4 format (1分)
    192.166.244.167
    通过第8题可以得知这是个openvpn的服务器,因为要看"User1"用户的连接情况,优先考虑看日志,日志一般在/var/log下,发现了openvpn的log
    28951-6drt2b5ueuj.png
    下载后通过关键字搜索,发现时间最接近的一条log
    94498-21t13ql0w2d.png
    10.[多选题]
    参考Server文件夹下的 ' Meiya_VPN.vmdk '回答以下题目 With reference to 'Meiya_VPN.vmdk ' in Server folder to answer below question 哪些文件可以找出这个访问服务器的Ubuntu版本? Which files can find out the Ubuntu
    version of this access server? (1分)
    lsb-release、issue.net
    因为是选择题,直接搜即可
    49548-qvf4d9e11w.png
    11.[多选题]
    参考Server文件夹下的 ' Meiya_VPN.vmdk '回答以下题目 With reference to 'Meiya_VPN.vmdk ' in Server folder to answer below question 哪些文件有助于分辨这是一个存储服务器?Which files could be used to prove this access server?
    sys.log
    12.[单选题]
    参考Server文件夹下的 ' Meiya_VPN.vmdk ' 回答以下题目 With reference to 'Meiya_VPN.vmdk ' in Server folder to answer below question 这个访问服务器所在时区是哪个时区?What is the time zone of this access server?
    (2)
    UTC -7
    /etc/timezone是Ubuntu设置时区的文件,因此,可得时区
    92593-2zyyi5lhgmp.png
    13.[填空题]
    参考Server文件夹下的 ' Meiya_VPN.vmdk ' 回答以下题目 With reference to 'Meiya_VPN.vmdk ' in Server folder to answer below question 这个访问服务器的“openvpn”帐户密码是多少? What is the password of the “openvpn”account of this access server? 提示:请用大写字母与阿拉伯数字作答 Tips:Please answer in capital letters and arabic numbers. (2分)
    TLfAg6l6dssc
    24447-x71c78exm8q.png
    14.[单选题]
    参考Server文件夹下的 ' Meiya_VPN.vmdk '回答以下题目 With reference to 'Meiya_VPN.vmdk ' in Server folder to answer below question 在这个访问服务器中,“User1”账户之间的连接所使用的加密算法(密码)是什么? What is the encryption algorithms (cipher) used for the connections among the
    “User1”account in this access server? (2分)
    cipher AES-256-CBC
    全局搜索user1,发现user1.opvn
    62756-57nb84h27ck.png
    15.[填空题]
    参考' 网络题目.pcapng ' 文件回答以下题目 With reference to ' 网络题目.pcapng ' file to answer below question 给出正在进行Nmap扫瞄的计算机互联网协议地址? What is the source IP of the nmap scanning? 提示: 以IPV4格式给出答案 Answer: Please answer in IPV4 format. (1分)
    192.168.186.132
    通过流量包能确定这个包的主人是192.168.186.132,通过搜索关键字nmap发现是132首发出请求
    19664-0u1jngi4avle.png
    16.[填空题]
    参考' 网络题目pcapng' 文件回答以下题目 With reference to ' 网络题目.pcapng ' file to answer below question 有多少个Nmap扫描正在同时进行? How many nmap scanning(s) is/are conducting at the same time? 提示:请给出阿拉伯数字作答 Tips: Please answer in number (1分)
    2个
    一个UDP扫了45.33.32.156,一个TCP扫了8.8.8.8
    17.[单选题]
    参考网络题目.pcapng文件回答以下题目 With reference to ' 网络题目.pcapng' file to answer below question 当计算机正在扫瞄8.8.8.8,namp相关的指令是什么 The computer is scanning 8.8.8.8. What is the corresponding nmap command? (1分)
    -sT
    TCP扫描时,扫描成功会完成TCP三次握手,不开放则返回RST ACK包
    00963-3jatejpu001.png
    83993-w6ub8rugo3.png
    18.[单选题]
    参考网络题目.pcapng文件回答以下题目 With reference to ' 网络题目.pcapng' file to answer below question 当计算机正在扫瞄45.33.32.156,namp相关的指令是什么 The computer is scanning 45.33.32.156. What is the
    corresponding nmap command? (1分)
    nmap -sU 45.33.32.156
    UDP扫描在流量分析中的特征表现:出现大量UDP会话,且不携带任何数据,另外会有大量ICMP端口不可达的报文,
    79099-yxhtoqvy4fs.png
    83241-1h788z7doq8.png
    32.[填空题]
    参考 ' Window Artifacts.E01 ' 内的Windows 注册表回答以下题目 With
    reference to ' Window Artifacts.E01 ' file to answer below question
    Elvis Chui 总共登入过该计算机多少次? According to the windows registry
    record of "Window Artifacts.E01", how many times has Elvis Chui logged
    into this computer? 提示: 请以阿拉伯数字作? Tips: Please answer in
    arabic numbers (1分)
    11次
    05103-hzb347i6s9.png
    33.[单选题]
    参考 ' Window Artifacts.E01 ' 内的Windows 注册表回答以下题目 With
    reference to ' Window Artifacts.E01 ' file to answer below question 该计算机的操作系统是在哪一个时区?What is the time zone of the operating
    system of this computer? (1分)
    UTC +8
    73285-civvdvnuonf.png
    34.[单选题]
    参考 ' Window Artifacts.E01 '内的Windows 注册表回答以下题目 With
    reference to ' Window Artifacts.E01 ' file to answer below question 该计算机的操作系统于何时安装? (以计算机系统时区回答) When was the operating system of this computer installed? (Answer in the time zone of the computer system) (1分)
    2023-07-13 11:18:14
    91079-si7wxs5uw3a.png
    35.[多选题]
    参考' Window Artifacts.E01 '内的Windows 注册表回答以下题目 With
    reference to ' Window Artifacts.E01 ' file to answer below question 哪(几)个程序会于操作系统启动时自动执行? Which program(s) would be
    automatically executed upon operating system startup? (1分)
    Avast、Steam、OneDrive
    98532-wchut6xg7x.png
    36.[单选题]
    参考' Window Artifacts.E01 '内的Windows 注册表回答以下题目 With
    reference to ' Window Artifacts.E01 ' file to answer below question 该计算机内安装了以下哪一个???? Which one of the following programs was
    installed on this computer? (1??)?
    WPS Office
    58787-xtxqjl0hk2.png
    37.[填空题]
    参考' Window Artifacts.E01 '内的Windows 注册表回答以下题目 With
    reference to ' Window Artifacts.E01 ' file to answer below question 计算机内的OneDrive程序版本是什么? What is the version of the OneDrive
    program installed on this computer? (1分)
    21.220.1024.0005
    22977-ywxtp15bun8.png38.[填空题]
    参考' Window Artifacts.E01 '内的Windows 注册表回答以下题目 With
    reference to ' Window Artifacts.E01 ' file to answer below question 计算机有一个正在连接的网络接口,该接口连接DHCP服务器的IP地址是多少? What is the IP address of DHCP server. ? 提示: 以 IPV4格式回答 Answer: Please
    answer in IPV4 format. (1分)
    192.168.88.129
    51202-wpuyzib0umj.png
    39.[单选题]
    参考' Window Artifacts.E01 '内的Windows 注册表回答以下题目 With
    reference to ' Window Artifacts.E01 ' file to answer below question 该计算机何时连接过一只U盘? (以计算机系统时区回答) When was a USB flash drive last connected to this computer? (Answer in the time zone of the
    computer system) (1分)
    2023-07-13 11:48:29
    99134-d32tmeowco.png
    40.[多选题]
    参考' Window Artifacts.E01 '回答以下题目 With reference to ' Window
    Artifacts.E01 ' file to answer below question Elvis Chui 将哪几个文本文件放在回收站中? Which text files did Elvis Chui put into the recycle bin?(3分)
    26662-70poizeuahd.png
    41.[单选题]
    参考' Window Artifacts.E01 ' 回答以下题目 With reference to ' Window
    Artifacts.E01 ' file to answer below question Elvis Chui在什么时间删除了第一个文本文件? (以计算机系统时区回答) What time did Elvis Chui delete the first text file? (Answer in the time zone of the computer system)
    (3分)
    删除时间: 2023-07-13 11:49:45
    36370-qa7jg2ppoda.png
    42.[填空题]
    题目内容请看题目描述。(42) (2分)
    参考 ' Window Artifacts.E01 '回答以下题目With reference to ' Window Artifacts.E01 ' file to answer below questionElvis Chui删除的第一个文本文件的文件名是什么?What was the name of the first text file Elvis Chui deleted?提示: 请用小写字母回答及需列明文件格式。如文件名字内有空格位置,请用_标示。例如: go_to_school.docxTips: Please use  lowercase to answer the questions and mention the file extension.  If a blank space is present, please use _ to represent the blank space.  Example: go_to_school.docx
    Holiday schedule 2023-07-16.txt
    同上
    43.[单选题]
    参考 ' Window Artifacts.E01 ' 回答以下题目 With reference to ' Window
    Artifacts.E01 ' file to answer below question Elvis Chui删除的第一个文本文件在什么时间创建? (以计算机系统时区回答) When was the text file first deleted by Elvis was created? (Answer in the time zone of the computer system) (2分)
    30453-97mv5d9hj25.png
    44.[填空题]
    参考 ' Window Artifacts.E01 ' 回答以下题目 With reference to ' Window
    Artifacts.E01 ' file to answer below question Elvis Chui计划于2023年7月15日20点5分有什么活动? What is Elvis Chui's plan at 8:05 PM on July 15,2023? 提示: 答案请与文件内的文字与大细阶相同 Tips: Please answer the exact words and uppercase/lowercase leters shown in the file (1分)
    Movie
    74284-0f84y5oo7rjq.png
    45.[填空题]
    参考 ' Window Artifacts.E01 ' 回答以下题目 With reference to ' Window
    Artifacts.E01 ' file to answer below question 该计算机执行STEAM.EXE总共多少次? How many times has STEAM.EXE been opened on this computer? 提示:
    请用阿拉伯数字? Tips: Please answer in arabic numbers (1分)
    运行次数: 7
    09345-xxfshnm78oe.png
    53.[单选题]
    参考' IOS ' 文件夹回答以下题目 With reference to ' IOS ' to answer below
    question 根据 ' com.apple.ios.StoreKitUIService.plist ' , 这部电话是什么型号? According to ' com.apple.ios.StoreKitUIService.plist ', what is
    the model of this phone? (1分)
    iPhone XR
    81384-etnzk7e6t3t.png
    54.[单选题]
    参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' to answer
    below question 根据com.apple.ios.StoreKitUIService.plist,上述电话的文件系统是什么? According to com.apple.ios.StoreKitUIService.plist, what is the file system of the phone in question? (1分)
    IOS的文件系统是APFS
    55.[多选题]
    参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' folder to
    answer below question 根据ChatStorage.sqlite,哪些对话已锁定? According
    to ChatStorage.sqlite where chats are stored, which conversations are
    locked? (3分)

    Whatsapp中的ChatStorage.sqlite网上搜集到的一些资料

    ZWASESSION表

    ZSESSIONTYPE包括会话类型ID:0表示与联系人的私人消息,1表示群聊,2表示广播,3表示状态更改
    ZCONTACTJID包含联系人或组的标识符;联系人以@s.whatsapp.net结尾,组以@g.us结尾,@status表示用户状态更新
    ZPARTNERNAME提供联系人或组的名称
    ZMESSAGECOUNTER包括与联系人或组交换的消息数
    ZUNREADCOUNT显示联系人或群聊中未读消息的数量
    ZLASTMESSAGEDATE提供显示的联系人/组的最后一条消息的时间戳
    ZLASTMESSAGE包括ZWAMESSAGE表中联系人或组的最后一条消息的外键

    ZWAMESSAGE表

    ZCHATSESSION是链接到ZWACHATSSESSION表的外键,有助于识别记录属于哪个会话
    ZSORT包括消息在对话中出现时的顺序;如果数字丢失(如1,2,4,7),则可能表明对话中的某些消息已被用户“为我”删除
    ZISFROMME表示消息方向:0表示传入消息,1表示传出消息
    ZMESSAGEDATE包含消息创建的时间戳
    ZSENTDATE提供发送消息的时间戳
    ZMESSAGETYPE指示消息是文本(0)、图像(1)、视频(2)、语音消息(3)、联系人卡(4)、位置(5)、组(6)、URL(7)、文件(8)等
    ZTEXT包含邮件的文本,如果文本已删除,或者邮件仅包含附件,则ZTEXT为空
    ZMEDIATEM为ZWAMEDIATEM表提供外键

    其他关于ZWAMESSAGE的分析

    1.Z_PK--看起来像一个序列号
    2.Z_ENT到ZFILTEREREDRCIPIENTCOUNT——似乎不那么重要
    3.ZFLAGS——似乎表示消息状态
    4.ZGROUPEVENTYPE——似乎与群聊有关
    5.ZISFROMME--消息来自我…此用户发送的消息为1,接收的消息为0
    6.ZESSAGEERRORSTATUS到ZSPOTLIGHTSTATUS——看起来像是一般状态
    7.ZSTARRED——我们在消息中加了星号吗
    8.ZCHATSESSION——表示聊天会话的唯一标识符
    9.ZGROUMEMBER——还没看这个
    10.ZLASTSESSION——最后一次聊天?没有深入研究
    11.ZMEDIAITEM——似乎与媒体项索引有关,可能是其他表之一的标识符
    12.ZMESSAGINFO和ZPARENTMESSAGE——看起来足够简单,可以从名称中计算出来
    13.ZMESSAGEDATE——可能是消息创建日期(请参阅下面的日期格式讨论)
    14.ZSENTDATE——消息发送日期可能是(请参阅下面的日期格式讨论)
    15.ZFROMJID——我们是从谁那里得到的(如果是传入消息)
    16.ZMEDIASECTIONID——似乎与媒体消息的媒体存储有关,在没有媒体的消息中不显示
    17.ZPHASH-嗯…不确定
    18.ZPUSHNAME——看起来像你手机上的联系人姓名
    19.ZSTANZAID——一些对话/媒体id指示器。媒体信息和文本信息的格式似乎不同
    20.ZTEXT--消息文本
    21.ZTOJID——我们把它发给了谁(如果是传出消息)

    56.[填空题]
    参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' folder to
    answer below question 根据ChatStorage.sqlite,有多少段录音对话?
    According to ChatStorage.sqlite, how many recorded conversations are
    there? 提示: 请以阿拉伯数字回答。Tips: Please answer in arabic numbers.
    (2分)
    45条
    互联网实时语音格式一般为audio/ogg; codecs=opus
    ZWAMEDIAITEM表中可以看到很多媒体数据,因此应该从这找
    42863-jq6ee62iygs.png
    57.[单选题]
    参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' folder to
    answer below question, Apple Cocoa Core Data timestamp 是由什么时间开始?
    From what time does the Apple Cocoa Core Data timestamp start? (1分)
    2001年1月1日
    谷歌去搜索这个开始时间即可
    58.[填空题]
    参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' folder to
    answer below question 根据Photos.sqlite数据库中,有多少段视频可能涉及WhatsApp? According to the Photos.sqlite database, how many videos may be related to WhatsApp? 提示: 请以阿拉伯数字作答 Tips: Please answer in
    arabic numbers (2分)
    7
    链接:
    https://github.com/kacos2000/queries/blob/master/
    https://appinitio.medium.com/hey-mac-user-where-are-your-photos-d9056ee4963e
    通过在数据库中搜素关键词,发现ZCLOUDMASTER
    21618-nqpnd6fd67e.png
    发现存有文件类型,搜索mpeg-4,即可得到结果
    49496-iijdxfpcyr.png
    59.[多选题]
    参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' to answer
    below question 根据Photos.sqlite数据库中,下列哪个选项对IMG_0008.HEIC的描述是错的? According to the ' Photos.sqlite ' database, which of the
    following descriptions of IMG_0008.HEIC is incorrect? (3分)
    AE
    链接:https://github.com/ScottKjr3347/iOS_Local_PL_Photos.sqlite_Queries/blob/main/iOS15/iOS15_LPL_Phsql_Basic.txt
    HEIC是iPhone手机拍照的原格式
    A. 由第三方软件拍摄
    B. 经过修改
    C. 由后镜拍摄
    D. 用ISO200拍摄
    E. 没有储存经纬度
    60.[填空题]
    题目内容请看题目描述。(60) (1分)
    参考 ' IOS ' 文件夹回答以下题目With reference to ' IOS ' folder to answer below question根据 ' sms(ios).db ' 的资料,全局唯一标识符(GUID): DD31C26F-1D72-DE0F-431E-EF98F104402D显示的信息是什么? According to ' sms(ios).db ', what is the message shown on Globally Unique Identifier (GUID) of DD31C26F-1D72-DE0F-431E-EF98F104402D? 提示:答案需要与信息一样(答案包括中文字、阿拉伯数字与符号)Tips: Answer should be same as the message (including Chinese words, arabic numbers and symols)
    你的 Uber 驗證碼為 3666. 請勿分享此驗證碼.
    全局搜索
    74366-fd6zx2484v.png
    61.[多选题]
    参考 ' IOS ' 资料 夹回答以下题目 With reference to ' IOS ' folder to
    answer below question 根据 ' com.burbn.instagram.plist ' 及 '
    com.facebook.Facebook.plist ' 手机安装了实时通讯软件Facebook及Instagram的那个版本? (Instant Messaging Apps)? According to
    'com.burbn.instagram.plist ' and ' com.facebook.Facebook.plist ', which
    version of instant messaging apps (Facebook and Instagram) are installed
    on the phone? (1分)
    APP的路径在9Apple_iPhone 11 (A2111)ActivevarmobileApplicationscom.burbn.instagramLibraryPreferences
    Instagram (Version 278.0.0.19.115)
    Facebook (Version 410.0.0.41.116)
    76842-d7z9azgkr2e.png
    62.[填空题]
    题目内容请看题目描述。(62) (2分)
    参考 ' IOS ' 文件夹回答以下题目With reference to ' IOS ' folder to answer below question根据 ' ChatStorage(ios).sqlite ' , 用户数据Peter Chow (85262012141)在什么日期和时间(以UTC +8时区)曾经通过实时通讯软件送出一个信息(内容为: I am already home)? According to ' ChatStorage(ios).sqlite ', on what day and time (in UTC+8 time zone) did Peter Chan (user information 85262012141) send a message via instant messaging? (Hint: Message Content: I am already home)提示:以UTC +8时区作答,并以YYYY-MM-DD_HH:MM:SS格式作答 例如:2023-01-01_10:01:01 (答案无需输入UTC +8)Tips: Please answer the question in UTC +8 timezone and use format YYYY-MM-DD_HH:MM:SS to answer.  Example: 2023-01-01_10:01:01
    2023-4-1_11:21
    67444-elban2nn5gk.png
    56001-o7wqyf0atfo.png
    63541-6lw6g2ynwvh.png
    63.[填空题]
    题目内容请看题目描述。(63) (1分)
    参考 ' IOS ' 文件夹回答以下题目With reference to ' IOS ' folder to answer below question根据影片IMG_0687.MOV的原数据,找出影片拍摄时间? According to original data of video IMG_0687.MOV, please find out the taping time?提示:以UTC +8时区作答,并以YYYY-MM-DD_HH:MM:SS格式作答 例如:2023-01-01_10:01:01 (答案无需输入UTC +8)Tips: Please answer the question in UTC +8 timezone and use format YYYY-MM-DD_HH:MM:SS to answer.  Example: 2023-01-01_10:01:01
    未找到
    64.[单选题]
    参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' folder to
    answer below question 根据 ' CallHistory(ios).storedata ',哪份表格显示了通话记录? According to ' CallHistory(ios).storedata ',which table(s)
    containting the data of call record? (2分)
    ZCALLRECORD
    65.[填空题]
    参考' IOS ' 文件夹回答以下题目 With reference to ' IOS ' folder to
    answer below question 根据 ' com.apple.sharingd.plist ',这部手机的隔空投送的身份标识号(AirDrop ID)是什么? Accoding to '
    com.apple.sharingd.plist ', What is AirDrop ID of the mobile phone? 提示:请以阿拉伯数字与小写字母作答 Tips: Please answer in arabic numbers and
    lowercase letters. (3分)
    2abd0940fbdc
    16567-7j8xsg9ldxp.png
    66.[填空题]
    参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' folder to
    answer below question 根据 ' Accounts3.sqlite ',这部手机的苹果使用者账号 (Apple ID) 是什么? According to ' Accounts3.sqlite ', what is the
    Apple ID of this mobile phone? 提示:请以电邮格式作答(例:jack2023@hotmail.com) Please answer in email format (Example: jasck2023@hotmail.com)
    (2分)
    foratcd2023@gmail.com
    82442-ojo0mpz8bhr.png
    继续跳过理论
    88.[填空题]
    题目内容请看题目描述。(88) (1分)
    参考' Windows 10 ' 文件夹回答以下题目With reference to ' Windows 10 ' folder to answer below question在 Windows 10 中 UsersqqqqqDownloads,视频文件(mixkit-two-women-laying-together-925-medium.mp4),在MFT 中分成多少个Data Cluster 储存?n Windows 10, the video file "mixkit-two-women-laying-together-925-medium.mp4" located at UsersqqqqqDownloads is stored in the Master File Table (MFT) using a series of data clusters. The exact number of data clusters used to store the file in the MFT is?提示: 请以阿拉伯数字作答Tips: Please answer in arabic numbers
    不大清楚
    链接:https://blog.csdn.net/dzqxwzoe/article/details/132819639
    89.[单选题]
    题目内容请看题目描述。(89) (1分)
    参考' Windows 10 ' 文件夹回答以下题目With reference to ' Windows 10 ' folder to answer below question在 Windows 10 中 UsersqqqqqDownloads mixkit-two-woman-laying-together-925-medium.mp4 的last Access 时间是多少?In Windows 10, what is the last Access time of the file ' mixkit-two-woman-laying-together-925-medium.mp4 ' located in ' UsersqqqqqDownloads ' ?
    2023-07-10 18:31:32
    40665-tb9b7t5ytb9.png
    90.[填空题]
    题目内容请看题目描述。(90) (1分)
    参考' Windows 7 ' 文件夹回答以下题目With reference to ' Windows 7 ' folder to answer below question在 Windows 7 中 UsersAllenDesktop,有1个MP3 文件 (例:unlock-me-149058.mp3),用户使用什么程序打开MP3 件?In Windows 7, there is 1 MP3 file (unlock-me-149058.mp3) saved under the path ' UsersAllenDesktop. What program did the user use to open the mp3 file.提示:请以小写字母作答Tips: Please answer in lowercase letters.
    potplayer
    仿真后发现桌面默认的打开方式是potplayer
    91.[单选题]
    题目内容请看题目描述。(91) (1分)
    参考' Windows 7 ' 文件夹回答以下题目With reference to ' Windows 7 ' folder to answer below question在 Windows 7 中 ' UsersAllenDesktop '有1个MP3 文件 (unlock-me-149058.mp3),该文件的Zone identiflier为'3'。上述'3'字代表哪一个security Zone ?In Windows 7, there is one MP3 file (unlock-me-149058.mp3) saved under the path ' UsersAllenDesktop.  The zone identiflier of above file is '3'.  What security zone does '3' represent?
    Internet Zone
    dos下执行 dir /r可以看到这些文件
    通过执行notepad unlock-me-149058.mp3:Zone.identifier可以打开
    Zone.Id=3表示由Internet下载
    06304-1jm2nylxjvz.png
    92.[单选题]
    题目内容请看题目描述。(92) (1分)
    参考' Windows 7 ' 文件夹回答以下题目With reference to ' Windows 7 ' folder to answer below question在 Windows 7 中 UsersAllenDesktop有1个MP3 文件 (unlock-me-149058.mp3),该文件从哪个网站下载? In Windows 7, there is a MP3 file (unlock-me-149058.mp3)saved under the path ' UsersAllenDesktop. Which website was used to download the file?
    www.Pixbay.com
    通过91题可以发现该数据流文件的下载路径不存在了,因此得换种方式
    29276-3dpuka8z406.png
    93.[单选题]
    参考' Windows 7 ' 文件夹回答以下题目 With reference to ' Windows 7 '
    folder to answer below question 在 Windows 7 中 UsersAllenDownloads
    内有mp3文件 (miracle.mp3), 更改名称时间? In Windows 7, there is a MP3
    file named "miracle.mp3 saved under the path ' UsersAllenDownloads."
    When was the file's name changed? (2分)
    2023-07-13 10:55:20
    涉及到ntfs日志
    链接:https://wenku.baidu.com/view/e8724d65a11614791711cc7931b765ce05087a92.html?_wkts_=1701600422818&bdQuery=ntfs%E6%97%A5%E5%BF%97
    选择耗时任务中的ntfs日志分析
    62318-19llroaehh1.png
    找到相关文件
    39551-e0cmrqhlebb.png
    94.[填空题]
    题目内容请看题目描述。(94) (1分)
    参考' Windows 7 ' 文件夹回答以下题目With reference to ' Windows 7 ' folder to answer below question在 Windows 7 中 UsersAllenDownloads 内有mp3文件 (miracle.mp3), mp3文件更改名称前的名称是什么?In Windows 7, there is an MP3 file named "miracle.mp3saved under the path 'UsersAllenDownloads." What was the name of the MP3 file before it was renamed?
    提示: 请以与记录相同的名称与文件格式作答
    Tips: Please answer the exact name and file extension of the file
    a-small-miracle-132333.mp3
    接上图
    95.[单选题]
    参考' Windows 7 ' 文件夹回答以下题目 With reference to ' Windows 7 '
    folder to answer below question 在 Windows 7中有多少个文件曾被potplayer
    播放? In Windows 7, how many files have been played by potplayer? (1分)
    找不到
    96.[填空题]
    题目内容请看题目描述。(96) (1分)
    参考' Windows 7 ' 文件夹回答以下题目With reference to ' Windows 7 ' folder to answer below question在 Windows 7中, potplayer最后播放的文件名?In Windows 7, what is the name of the file name of last file played by PotPlayer?提示: 请以与记录相同的名称(包括小写字母、阿拉伯数字与符号)与文件格式作答Tips: Please answer the exact name (including lowercase letters, arabic numbers and symbols) and file extension of the file
    unlock-me-149058.mp3
    66680-dw9pcchcbba.png

    本文作者:硝基苯
    本文链接:https://www.c6sec.com/index.php/archives/855/
    最后修改时间:2023-12-17 22:11:48
    本站未注明转载的文章均为原创,并采用 CC BY-NC-SA 4.0 授权协议,转载请注明来源,谢谢!
    评论已关闭
    评论列表
    暂无评论