Alice的笔记本计算机已成功被取证并制作成镜像(Forensic Image), 下列哪个是镜像的SHA-1哈希值?
SHA-1值为:EB4854774B68058E5B327907DB2AC40AAA2E7DED
Alice的笔记本计算机安装了哪个操作系统(Operating System)?
Windows 10 Pro
在Alice的笔记本, 创建用户帐户的SID是甚么?
创建用户帐户的SID是S-1-5-21-1017277147-4095180158-1226650532-1001
在Alice的笔记本,用户的最后登录时间是甚么时候?(本地时间)
2020-09-30 10:13:43
在Alice的笔记本,最后登录的用户名称是甚么?
Alice
Alice笔记本计算机的名称是甚么?
DESKTOP-DJFFBL6
在Alice的笔记本, 最后登录的用户何时更改了Windows登录密码? (当地时间)
2020-09-16 02:22:20
Alice笔记本计算机的时区是甚么?
CST
在Alice的笔记本, OS分区的文件系统是甚么?
NTFS
计算机上预设安装了甚么浏览器?
依照我们的日常使用经验,老Edge、IE在WIN10老版本(1909之前)都是预装的,新Edge则在1909之后预装
但是选项只有IE
在Alice的笔记本,哪个是最常用的浏览器?
同上
在Alice的笔记本, 最常用的浏览器是甚么版本?
即探寻IE的版本号,我在取证大师与火眼中均未找到,仿真查看
在搜索栏搜索IE,找到IE.exe文件,右键属性查看
IE11
在Alice的笔记本, Alice浏览了哪个在线商店的网站
通过浏览9.29日的浏览记录,发现Alice浏览过hksuning、fortress、apple
在Alice的笔记本, 受害人的信用卡号是甚么?(Ho PCKYI-电子邮件:[email protected])
仿真进入Alice笔记本的Outlook程序,查看附件R3ZZ.txt
得到这位受害者的信息,因此得知,卡号为
5411221001217741
在Alice的笔记本, 受害人的信用卡CSC号码是甚么(何PCKYI-电子邮件:[email protected])
同上 112
除了上述在USB 找出ZIP文件,请找出相同ZIP文件的路径?
这个题讲道理我没看懂他想问什么,直到我用FTK把USB挂载到我自己的机子上的X盘
经过反复验证,我觉得他说的zip文件是download.7z
在仿真机中搜索download.7z
得知在C:\User\Alice\Downloads中
USB驱动器在Alice笔记本计算机上的最后插入时间是何时?(当地时间)
这个题又让我不知道在说啥了,是U盘呢,还是USB设备呢,还是之前提到的USB驱动器呢?根据之前的题目猜测为之前提到的USB驱动器
时间为:2020-09-28 11:13:04
很可惜,没有这个选项
只能以这个为准
2020-09-29 18:01:25
解压的ZIP文件内有哪些文件?
不需要解压密码
log1nx.txt, R3ZZ.txt, WhatsApp Image 2020-09-29 at 18.35.25.jpeg, WhatsApp Image 2020-09-29 at 18.37.47.jpeg
"“ ZIP文件中发票的哈希值(SHA 256)是多少=发票(1)名称:WhatsApp Image 2020-09-29 at 18.35.25.jpeg”"
在原设备中download.7z所在目录下可以找到两张发票文件
利用CERTUTIL命令计算两张发票HASH值
第一张发票的SHA256值为
F4C391A38AB82AD19EDB2B7402DA31F52006C3B4B018F859A451B839878D3EE4
"“ ZIP文件中发票的哈希值(SHA 256)是多少=发票(2)名称:WhatsApp Image 2020-09-29 at 18.37.47.jpeg”"
同上可得,第二张发票的sha256值为
2DAFCC2552A7337844B90F0AB5CDA85BF2F5A71A635E0D3B05731C95937D21F5
Alice笔记本计算机上安装了哪种电子邮件软件?
如你所见 outlook16
Alice笔记本计算机上的电子邮件软件的版本是甚么?
outlook16
Alice笔记本计算机登录电子邮件软件的电子邮件帐户是甚么?
Alice在上述电子邮件对话中获得了哪些数据/文件?
上述电子邮件对话?哪个?
进入outlook16查看,只有一个邮件有附件
log1ns.txt与R3ZZ.txt
该电子邮件的发信者的电子邮件地址是甚么?
上述已收的电子邮件, 发件人的IP地址是甚么?
进入该邮件,查看邮件头
209.85.220.41
在笔记本, Alice的电子邮件地址是甚么?
除了Alice,还有其他电子邮件地址与该骗局有关吗?
那当然是把信息传给Alice的人啦
哪些人有AP和主脑之间的电子邮件记录?有文件传输吗?
啥玩意儿是主脑?主犯嘛?AP不是无线接入点嘛?一脸疑惑
想了想只能选C
C:Alice and Bob, re log1ns.txt and R3ZZ.txt;
在ZIP 文件中, 有多少受害人的信用卡数据被盗?
在所得的R3ZZ.txt中搜索ID
经查有7个
已被黑客盗用其信用卡资料购买的受害者是谁?
我一开始判断这个是卖假手机或者卖水货的。但后来读出来是盗刷信用卡的案子
因为个人赛背景就是盗刷信用卡
因此,看是谁付款就OK了
打开两张发票
有俩受害者,TSE KCNG LON 与 HO PCKYI
被盗用的内容是甚么?
ID PW FNM DOB ADR CTY ZIP PHO NOC CRD EXP CSC
Alice的手机型号是甚么?
可爱的手机大师一跑就出来了,火眼的话只有LG-D855
Model:LG-D855(G3 Global)
Alice手机的操作系统版本是甚么?
操作系统:Android6.0
Alice手机的总储存空间是多少?
看一下手机的照片
歪一下头 看到32G
在Alice 手机, IMG-20200929-WA0002的创建时间是甚么?(本地时间)
2020-09-29 18:24:40
在Alice 手机,IMG-20200929-WA0004的创建时间是甚么?(本地时间)
2020-09-29 18 :25:49
IMG-20200929-WA0002和IMG-20200929-WA0004的元数据和相机型号是甚么?
首先 元数据是描述数据的数据 但是在选项中并未体现,因此,着重于相机型号的确定
相机为LG-D855
C:Manufacturer: LG Electronics, Model: LG-D855
在Alice 手机, 预设浏览器浏览历史记录的文件在哪里?
首先,确定/data在哪个分区(以美亚自身的软件为准,说这个话是因为火眼识别为分区46,但是选项中根本没有分区46)
找到,确定为分区43
通过火眼,跳转源文件,得到相对位置
因此,确定为
Partition43[hda41]\data\com.android.browser\databases\browser2.db(Mobile Forensics System V2)
储存Chrome浏览历史记录的文件是甚么?
同上,跳转源文件
Partition43[hda41]\data\com.android.chrome\app_chrome\Default\History(Mobile Forensics System V2)
Alice手机的Whatsapp ID和账户名称是甚么?
与Bob和Cole的最后WhatsApp的时间是甚么?(本地时间)
因为选项内只有一个时间,认为为群聊的最后时间
2020-09-26 18:37:34
主脑的名字是甚么?
在全部的whatapp上的big big club中,我们看到,Alice想要钱,Cole说要不要加入我们
注意这个 我们
然后Cole与Bob的聊天显示两人为共谋,一个出谋(Cole)一个负责获取信息(Bob),因此,断定Alice是被拉入伙的,同时,Alice手下还有俩小弟,给她跑腿,是盗刷信用卡行为的主要实施者,名字分别为Chris、Tommy
Alice,Bob和Cole之间的WhatsApp群组的ID和名称是甚么?
Big Big Club
哪一个表,显示了聊天群组“ Big Big Club”的创建时间?(本地时间)
首先,进入whatapp的数据库
右击,选中跳转源文件
进入数据库msgstore.db
很幸运,在第一个chat表就找到了创建时间的时间戳
聊天群组“ Big Big Club”是甚么时候创建的?(本地时间)
直接火眼
2020-09-18 09:34:38
Alice是否曾经登陆whatsapp网站?如果有的话,她是在何时登入? 所用的是甚么浏览器? (提示:在移动取证图像上找到结果)(UTC +0)
移动取证图像。?确定不是机翻的镜像嘛?
虽然但是,在手机上,我并未找到whatsapp的访问记录
重回laptop
2020-09-29 18:43:32
Alice如何收到这笔钱?钱包地址是甚么?
在BIG BIG CLUB中Alice自爆用比特币了
钱包地址是1L6fKWpEYvUi8FeG6BnXqfh1joAgmJA1h1
“Deleted by the sender”的media_wa_type是甚么?
看不懂
Alice手机的Wifi MAC地址是甚么?
不会
Alice USB驱动器内的ZIP档案的密码是甚么? (某些字符被刻意用*遮盖)
在计算机照片上发现了两个类似密码的东西,也是本检材内唯二像密码的
我到现在都耿耿于怀那个像空集的玩意儿为啥是0
带入,求得是那个带0的,看选项,认定为QP**!#80**
Alice USB驱动器内的哪一个程序是用作储存秘密数据?
利用雷电APP进行查看,把那些apk文件直接代入
觉得这个很像
确定为这个玩意儿
打开秘密讯息的密码是甚么? (某些字符被刻意用*遮盖)
只能是另一个密码了
**89#h
USB驱动器内,其中一个档案的秘密讯息是甚么? (某些字符被刻意用*遮盖)
哪儿有秘密讯息啊
贴在笔记本计算器机上的密码有甚么用途?
根据上面的题目,确定为B
Alice USB驱动器内的档案有甚么种类?
PNG、apk、7z、zip
Alice USB驱动器的哈希值(SHA-256)是甚么?
在取证大师中选择挂在物理磁盘X,并计算HASH值
得到其SHA256值为
528D94ED83F41C356B0588C2C21ECF563E9D8CA66ED6D97A3D57C26291854DFF
在USB驱动器中找到的ZIP文件(Downloads.7z),它的哈希值(SHA-256)是甚么?
在X盘里用certutil -hashfile命令计算sha256值
得到sha256值为88f68f8755e1f76107d6ee2134ed32babbc91f0b44c7c0ee3850bba74b7e59b8
在Alice的USB内, ZIP文件的最后修改时间是?
修改时间为
2020-09-29 18:46:54