于2022年10月,有市民因接获伪冒快递公司的电邮,不慎地于匪徒架设的假网站提供了个人信用咭资料导致经济损失。 警方追查下发现当中一名受骗市民男子李大輝 (TaiFai) 的信用卡曾经被匪徒在区内的商舖购物。 后来警方根据IP地址,锁定及拘捕了一名男子林浚熙 (阿熙 ChunHei),并于他的居所发现了一批相信曾被用作犯案的电脑及手机装置。
经调查后,警方发现阿熙除上述案件外,他亦牵涉其他的一些犯罪活动。
警方的电子数据取证小组在现场作出初步了调查并对涉案装置进行了电子数据取证。请你根据得到的资料,协助将事件经过还原。
因为手机中有三国演义,所以答案是A
先在火眼选择这个应用程序
在源文件中找到记录数据的E_Tourist.db文件
用navicat连接
发现时间戳
2022-10-11 22:04:00转换成时间戳是1665497040
2022-10-11 22:05:00转换成时间戳是1665497100
最后一行的1665497067转换成时间戳是2022-10-11 22:04:27
所以答案是E
打开图片模块即可得到答案
根据这张图片即可得出答案
使用手机取证即可得到答案
在搜索历史里面即可得到答案
在发票那一栏即可得到答案
根据选项搜索https://bit.ly/,可以找到一个邮件的数据库[email protected]
导出后查看可以在messages或者conversations中找到邮件内容得到答案
接上题图,查看fromAddress中的信息[email protected]
在调查报告里面可以得到答案
在图片中找到excel
打开order.xlsx,里面是789三个月的订单
KMB 1933是公交巴士app,在文件中搜索kmb找到相应的数据库
用navicat连接一下,然后筛选找对应的结果,那个subarea(分区)一列感觉不是灯柱编号,因为明显得到的这些数据对应着两个subarea编号,一个是2一个1,因此我认为名字上的CE1453才是灯柱编号
在相机中跳转到资源文件,然后看创建时间和修改时间是否一致
发现这张图片时间不一致,得到答案
文档中打开Staff card LI taihui.xlsx
得到职员证,即可得到答案
打开短信就能得到答案
从图片分析为标准的酒店
在图片-最近删除即可得到答案
将文件staff A team.pdf导出后用winhex查看文件头
文件签名,简单说就是某类文件的独特标识信息,用来识别这个文件是什么格式的,一般就是前8位,下面是几个常见的文件头
在聊天记录中找到受害者资料,有四个,只有最后一个在档案中
打开档案即可得到答案