Zello服务器部分

1、Zello服务器的哈希值(SHA256)是甚么

A:ACC956EEE5121EDC2F9DC19ACFC8720E443810CBC5B83128EC62F9F4AAEA30B8 B:30B856EEE5121EDC2F9DC19ACFC8720E443810CBC5B83128EC62F9F4AAEAACC9 C:ACC930B856EEE5121EDC2F9DC19ACFC8720E443810CBC5B83128EC62F9F4AAEA D:56EEE5121EDC2F9DC19ACFC8720E443810CBC5B83128EC62F9F4AAEAACC930B8 E:418856EEE5121EDC2F9DC19ACFC8720E443810CBC5B83128EC62F9F4AAEAACC6

答案:B

直接在取证大师里计算即可,计算30GB文件用时大约为6分钟

2、卷组是何时创建的?

A:2020/09/01 10:22

B:2020/09/02 10:22

C:2020/09/03 05:22

D:2020/09/03 16:22

E:2020/09/03 10:22

答案:E

3、卷组的名称是甚么?

A:ubuntu B:Debian C:ubuntu-xp D:Kali-vg E:ubuntu-vg

答案:E

在终端内输入 lvdisplay ,可以得到逻辑卷的详情信息

image-20211103210735074

4、物理卷的PV UUID是多少?

A:FF6neD-j49V-7o4g-Uugw-X

B:IF6neD-j49V-555g-Uugw-XP

C:EF6neO-j49V-704g-Uugw-X

D:IF6neD-j49V-704g-Uugw-X

E:F48neD-j49V-704g-Uugw-X

答案:D

在终端内输入 pvdisplay 查看到物理卷的详情信息

image-20211103214646237

5、卷组的VG UUID是甚么?

A:AaJRmQ-tjaG-tmrX-Vnyu-xhS7-9zDttW

B:ZaRRnQ-S7Tp-tjaG-tmr-Vnyu-xhS7-9zDttW

C:JJJRmQ-S7Tp-tjaG-xhS7-9zDttW

D:XaJRmQ-S7Tp-tjaG-tmrX-Vnyu-xhS7-9zDttW

E:Cannot be found

答案:D

在终端内输入 vgdisplay ,可以得到卷组的详情信息

image-20211103214937227

6、Zello服务器的Linux内核版本是甚么?

A:4.1-generic

B:5.4.0-48-generic

C:5.4-48-static

D:6.4.0-generic

E:Cannot be found

答案:B

在终端内输入 uname -a

image-20211103215211692

查看/proc/version文件;

image-20211105181032720

7、Zello服务器的操作系统版本是甚么?

A:20.03 LTS

B:19.04.1 LTS

C:18.04.1 LTS

D:21.04.2 LTS

E:20.04.1 LTS

答案:E

查看/etc/lsb-release文件;

image-20211105181108315

或者在登陆界面可以看到这样的标识

image-20211103213844772

8、Zello服务器的主机名是甚么?

A:zello

B:zello-group

C:zello-on

D:zello-server

E:server-zello

答案:A

在取证大师能找到

image-20211103214340142

或者在终端内输入 uname -a ,第二个即为主机名

image-20211103215211692

查看/etc/hostname文件

image-20211105181347404

9、Zello服务器的计算器ID是甚么?

A:ff39cddc1d794eb6888962aafa17ab28

B:ab28ff39cddc1d794eb6888962aafa17

C:ff40cddc1d794eb6888962aafa17ab281

D:df39cddc1d794eb6888962aafa17ab2B

E:fdg39cddc1d794eb6888962aafa17ab28

答案:A

“计算器ID”其实就是“计算机ID”,大概是香港那边独特的表达方式吧。

查看/etc/machine-id文件。

image-20211105181450901

10、Zello服务器中使用的wordpress版本是 甚么?

A:5.4.2

B:5.5.1

C:5.5.0.3

D:5.2.4

E:2.5.5

答案:B

在仿真中打开火狐浏览器,恢复的上一次异常关闭会显示WordPress的后台界面,右下角即为版本号

image-20211105181920587

或者在/var/www/html/wordpress/wp-include/version.php中查看。

image-20211105194345238

11、Zello服务器与之同步的主机名是甚么?

A:NTP-server-based

B:NTP-host

C:Zello-server-host

D:NTP-server-host-zello

E:NTP-server-host

答案:E

查看hosts或/etc/ntp.conf文件。

#指定ntp服务器地址

例如 server 192.168.33.44

image-20211105201203598

在终端输入 history 可以看到曾经与NTP-server-host同步过

image-20211105201314077

12、Zello服务器的时区是甚么?

A:Asia/Dhaka

B:Asia/Hong Kong

C:Asia/Bangkok

D:Asia/Yangon

E:Asia/Yekaterinburg

答案:B

这道题的答案在美亚取证大师中并不能找到

通过date命令或查看/etc/timezone文件。

image-20211105202056327

image-20211105202208520

13、有多少个本地用户已登录到Zello服务器?

A:1 B:2 C:3 D:4 E:5

答案:B

查看/etc/passwd文件。

其中每行各个字段含义如下:

13

image-20211105202321065

普通用户有两个特征:一是UID介于500~65535之间;二是shell的起始位置为/bin/bash

image-20211105202636784

命令后面加上 wc -l 可以直接统计个数

image-20211105202836937

14、植入网络目录(Webdirectory)的网页 壳层(Web Shell)的哈希值(MD5)是甚么?

A:FC0C5B5E56D56C6BBA6E1BAD595BECFD

B:FC0CECFD5B5E56D56C6BBA6E1BAD595B

C:CCFO585E56D56C6BBA6E1BAD595BFC0C

D:ED455B5E56D56C6BBA6E1BAD595BFC8C

E:ECFD5B5E56D56C6BBA6E1BAD595BFC0C

答案:E

将wordpress文件夹直接导出,使用火绒进行病毒扫描,找到123.php后门

image-20211109222432223

有eval命令肯定有鬼(doge)

计算其MD5值即可

image-20211109222507594

15、\ var \ www \ html \ wordpress \ net \ 2020 \ Login \ index.php’有 甚么作用?

A:下载木马程序 B:攻击目标服务器 C:上载档案到服务器 D:盗取资料 E:这是个普通页面

答案:D

找到文件,打开后发现有关于passward的信息,猜测是登录界面,一不小心点开了log1ns.txt

image-20211103222309955

其中记录了用户的表单信息,根据下面题的提示,故可知是盗取用户资料

16、钓鱼网站伪装成甚么网站?

A:Yahoo B:Google C:Apple D:Netflix E:Spotify

答案:D

image-20211103222419861

随便翻翻就翻到了

或者可以导出网页index.php打开看一下(皮一皮)

17、下列哪个IP对Zello服务器进行了蛮力攻 击?

A:213.186.93.68 B:223.186.92.68 C:221.186.91.68 D:203.186.94.68 E:203.186.90.50

答案:

大概讲下思路,算是个人见解吧,误笑(doge)

image-20211106203155468

查看终端操作记录可知zello曾经对apache2配置进行操作,故应该能得出所求的与apache2有联系,于是我们在/var/log/apache2目录下寻找线索。

我们使用 FileLocator pro软件,在搜索栏输入各个选项,需要注意勾选压缩文件,否则会被忽略掉

image-20211106204458617

共匹配了1432项

18、Zello Web服务器的URL是甚么?

A:http://zello-online.net/

B:http://zello-onlineshop.com/

C:http://zello-onlineshop.sytes.net/

D:http://zero-onlineshop.org/

E:http://zello-onlineshops.com/

答案:C

想着寻找蛮力的URL地址,肯定被日志文件记录下来了,但是IP却与题目中给出的不相符。

image-20211103222810021

或者在做前面题的时候,曾经看到过zello的web的服务器网页,故可以直接得到答案

19、LVM2容器的第一个扇区是什么?

A:2101248 B:2100049 C:2101250 D:5101246 E:210222

答案:A

20、Zello服务器中LVM2容器的大小(以字节为单位)是甚么?

A:21135367167 B:31135367168 C:3553536000 D:64615367165 E:42425367164

答案:B

image-20211103221605151

扇区、容器大小的计算

起始物理位置位于1075838976,由于单位是byte,而一个区块是512byte,则我们需要将数除512得到的结果就是起始扇区位置

而扇区数为60811264,计算以字节为单位的大小,我们就需要对扇区数乘512,得到的结果就是容器的大小

21、在Zello服务器以及Alice的装置中可以 找到甚么共同文件?

A:login.txt B:inter.zip C:R3ZZ.txt D:password.txt E:Downloads.7z

答案:C

做题思路很简单,就是在取证大师的搜索中挨个文件进行检索即可

image-20211103224350601

Xeno服务器

题目并没有给出XENO的服务器镜像,但是提供了其日志文件,只需要对这个日志文件分析即可。

这个日志文件大约20MB,使用记事本打开竟然还卡了一会,建议写个python脚本自动分析或者用FileLocator pro进行文件内搜索

22、2020年8月29日在Xeno服务器中发现的 攻击类型是甚么?

A:HTTP GET/POST Flood B:NTP Amplification C:Ping of Death D:SYN Flood E:SNMP Flood

答案:A

查看日志可以发现当天服务器收到了大量的GET/POST请求,并且请求的为某几个特定页面,攻击方式应为HTTP GET/POST Flood。

image-20211106211156179

23、哪个IP地址在日志中条目数量最多?

A:14.102.184.0 B:156.145.63.5 C:14.200.184.10 D:14.24.144.219 E:45.133.180.5

答案:A

image-20211106212154842

24、这个登录次数最多的IP地址,它访问最多的是哪个页面?

A:listen.icepush.xml

B:risk.xhtml

C:explorer.xhtml

D:login.jsp

E:listViewRisjs.xhtml

答案:B

(建议编写一个程序统计IP地址、页面出现的次数。或者直接用搜索工具)

image-20211106213254313

选项B有20004个,而选项A有20001个,故选B

25、这个登录次数最多的IP地址来自哪个国 家或地区?

A:Hong Kong B:Macau C:China(Mainland) D:South Africa E:United states

答案:A

直接百度可以看到是香港

image-20211106214555312

在警方提供的调查报告里可以看到IP地址是属于Danile

image-20211106214704910

26、这个登录次数最多的IP地址,合共有多少次成功登录?

A:28 B:18 C:51 D:0 E:80

答案:E

我们打开access.log另存为保存为txt形式,编码特别要选择utf-8

主要思路就是按行读取,分析每行符不符合成功登录

由于存在损坏的数据,所以答案应该比我们得到的结果要大

1
2
3
4
5
6
7
8
time = 0
with open("C:/Users/Administrator/Desktop/123.txt", "r", encoding='utf-8') as f:
    for i in f:
        if "14.102.184.0" in i and "login" in i and "GET" in i:
            dd = i.split(' ')
            if '200' in dd:
                time += 1
print(time)

27、除DDoS之外,还可能涉及其他攻击吗?

A:SQL注入 B:命令注入 C:系统漏洞攻击 D:跨站脚本攻击 E:暴力破解攻击

答案:E

试了那么多次,肯定就是暴力破解攻击啦

28、从该网站下载了多少数据?

A:大概 20 MB B:大概 200 MB C:大概 1 GB D:大概 5 GB E:现有资料不足以作推断

答案:E

疑惑不解。。。。

思路就是每行最后的数字代表了发送的字节数

1
2
3
4
5
6
7
8
data = 0
with open("C:/Users/Administrator/Desktop/123.txt", "r", encoding='utf-8') as f:
    for i in f:
        if "14.102.184.0" in i :
            dd = i.split(' ')[-2]
            if dd.isdigit():
                data += int(dd)
print(data)

216.35.116.91 - - [19/Aug/2000:14:47:37 -0400] “GET / HTTP/1.0” 200 654

第一项信息是远程主机的地址,即它表明访问网站的究竟是谁。在上面的例子中,访问网站的主机是216.35.116.91。随便说一句,这个地址属于一台名为si3001.inktomi.com的机器(要找出这个信息,可以使用nslookup工具查找DNS),inktomi.com是一家制作Web搜索软件的公司。可以看出,仅仅从日志记录的第一项出发,我们就可以得到有关访问者的不少信息。

上例日志记录中的第二项是空白,用一个“-”占位符替代。实际上绝大多数时候这一项都是如此。这个位置用于记录浏览者的标识,这不只是浏览者的登录名字,而是浏览者的email地址或者其他唯一标识符。这个信息由identd返回,或者直接由浏览器返回。很早的时候,那时Netscape 0.9还占据着统治地位,这个位置往往记录着浏览者的email地址。

日志记录的第三项也是空白。这个位置用于记录浏览者进行身份验证时提供的名字。当然,如果网站的某些内容要求用户进行身份验证,那么这项信息是不会空白的。但是,对于大多数网站来说,日志文件的大多数记录中这一项仍旧是空白的。

日志记录的第四项是请求的时间。这个信息用方括号包围,而且采用所谓的“公共日志格式”或“标准英文格式”。因此,上例日志记录表示请求的时间是2000年8月19日星期三14:47:37。时间信息最后的“-0400”表示服务器所处时区位于UTC之前的4小时。

日志记录的第五项信息或许是整个日志记录中最有用的信息,它告诉我们服务器收到的是一个什么样的请求。该项信息的典型格式是“METHOD RESOURCE PROTOCOL”,即“方法 资源 协议”。

METHOD是GET,其他经常可能出现的METHOD还有POST和HEAD。此外还有不少可能出现的合法METHOD,但主要就是这三种。

RESOURCE是指浏览者向服务器请求的文档,或URL。在这个例子中,浏览者请求的是“/”,即网站的主页或根。大多数情况下,“/”指向DocumentRoot目录的index.html文档,但根据服务器配置的不同它也可能指向其他文件。

PROTOCOL通常是HTTP,后面再加上版本号。版本号或者是1.0,或者是1.1,但出现1.0的时候比较多。我们知道,HTTP协议是Web得以工作的基础,HTTP/1.0是HTTP协议的早期版本,而1.1是最近的版本。当前大多数Web客户程序仍使用1.0版本的HTTP协议。

日志记录的第六项信息是状态代码。它告诉我们请求是否成功,或者遇到了什么样的错误。大多数时候,这项值是200,它表示服务器已经成功地响应浏览器的请求。一般地说,以2开头的状态代码表示成功,以3开头的状态代码表示由于各种不同的原因用户请求被重定向到了其他位置,以4开头的状态代码表示客户端存在某种错误,以5开头的状态代码表示服务器遇到了某个错误。

日志记录的第七项表示发送给客户端的总字节数。它告诉我们传输是否被打断(即,该数值是否和文件的大小相同)。把日志记录中的这些值加起来就可以得知服务器在一天、一周或者一月内发送了多少数据。

29、Bob路由器的型号是甚么?

A:BL - WR740N B:TL - WR740N C:Archer c 1200 D:archer c7 E:TP - WRB41N

答案:B

这个可以查看取证照片获取信息

![Bob Router (2)](美亚杯团体赛2020例题笔记/Bob Router (2).JPG)

30、Bob家的IP地址是甚么?

A:15.111.174.91 B:14.101.192.1 C:27.111.174.91 D:1.31.23.101 E:182.11.21.31

答案:C

这题在案件调查报告里面能够找到

image-20211106231431019

31、使用路由器的装置的Mac地址是甚么Alice?

A:00:BA:F5:89:89:FE

B:A4:4E:31:EC:24:00

C:60:67:20:3D:3B:OC

D:00:0A:F5:89:89:FF

E:00AA:F5:82:89:FD

答案:D

32、使用路由器的装置的Mac地址是甚么Cole?

A:8C:3A:E3:93:80:09

B:00:0A:F5:89:89:FF

C:3C:BA:E3:93:80:09

D:00:0A:F5:89:89:FC

E:38:48:4C:17:9A:OC

答案:E

33、谁到访过Bob的家?

A:Alice 及 Cole B:只有Alice C:只有Cole D:只有David E:Alice, Cole 及David

答案:

34、他们甚么时候去过Bob的家?

A:2020/9/16 B:2020/8/18 C:2020/9/25 D:2020/9/30 E:2020/9/28

答案:E

35、Bob的笔记本计算机的哈希值(SHA1)是甚么?

A:57701AC2194A74804DEB0F7332532D39711C5DF0

B:57705DF01AC2194A74804DEB0F7332532D39711C

C:1AC2194A74804DEB0F7332532D39711C57705DF0

D:5DF01AC2194A74804DEB0F7332532D39711C5770

E:6DF01AC2194A74804DEB0F7332532D39711C5778

答案:D

900GB的文件计算SHA1值,用时约一个小时

image-20211104204451005

36、笔记本计算机中安装了甚么电子邮件程序?

A:Big Email Sender

B:Super Email Sender

C:Bulk Email Sender

D:Super Email Sent

E:Super Email Send

答案:B

image-20211104202557632

37、网络钓鱼电子邮件的接收者是储存在甚么文件?

A:NETFLIX.htm.dump

B:NETFLIX.dump

C:NETFLIXS.dump

D:NETFLIX.htm.bak

E:NETFLIX.CONTAINER

答案:A

直接在电脑里搜索相关的文件名

image-20211104203653629

38、在Bob的笔记本, 有什么可疑APK及其功能?

A:检查虚拟货币的价格

B:虚拟专用网络

C:盗取登入名称及密码

D:储存私人资料

E:作为一个洋葱浏览器

答案:A

我们打开手机模拟器,装上APK文件,打开后看到

image-20211104195330486

可以知道作用是检查虚拟货币的价格

39、该可疑APK从什么网站获取资料?

A:https://coinapk.io/v1/exchangerate

B:https://bit.coinapi.io/v1/exchange_rate

C:https://rest.coinapi.io/v1/exchangerate

D:https://rest.net/v1/exchangerates

E:https://online.coinapi.io/v/exchangerate

答案:

40、上述APK中发现的Bitlocker密钥是甚么?

A:74785aaaa B:741852963 C:72564529633 D:bob052963 E:522852693

答案:B

下面有个按钮,点开可以直接看到答案

image-20211104195506848

41、网络钓鱼网站的网页寄存的网站地址是甚么?

A:http://zeta-onlineshop.sytes.net/wordpress/net/2019/Login

B:http://zello-onlineshop.sytes.net/wordpress/net/2020/Login

C:http://zello-onlineshop.sytes.net/nets/2020/Login

D:http://zello-easyshop.sytes.net/wordpresss/net/2020/Login

E:http://zello-onlinemet.sytes.net/wordpres/net/2020

答案:

42、Bob的桌上计算机的哈希值(SHA-256) 是甚么?

A:86C740D5FB096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C2673 B:267340D5FB096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C86C7 C:267386C740D5FB096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C D:40D5FB096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C267386C7 E:B6C740D5F8096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C2673

答案:

这个特指桌上的电脑可以从警方提供的图片中得知

镜像文件约900GB,计算时间大约两个小时,最坑的还是算完了出错了。。。。。

image-20211105000626795

43、Bob的桌上计算机的安装时间是几点? (本地时间)

A:2020/9/13 1:40:00

B:2020/9/15 3:40:00

C:2020/9/17 2:40:00

D:2020/9/15 5:40:00

E:2020/9/15 18:40:00

答案:

44、Bob桌上计算机内发现的网络钓鱼脚本是甚么?(某些字符被刻意用*遮盖) *

A:d*nload.zip B:*ternal.zip C:it*r.zip D:out.zip E:ex**rnal.zip *

答案:

45、该网络钓鱼脚本的功能是甚么?

A:摧毁目标电脑 B:传播电脑病毒 C:收集个人数据 D:发送勒索信息 E:自动化进行分布式拒绝服务攻击

答案:

46、在Bob iphone, 与Alice和Cole通讯记录的完整路径是甚么?

A:File List\User App List\Application/ChatStorage.sqlite Table:ZWAMESSAGE(ZCHATSESSION:4)

B:File List\Download File List\Temp/group.net.WhatsApp.shared/ChatStorage.sqlite Table:ZWAMESSAGE(ZCHATSESSION:3)

C:File List\User File List/group.net.WhatsApps.shared/ChatStorage.sqlite Table:MESSAGE(ZCHATSESSION:4)

D:File List\User File List\Applications/Group/group.net.WhatsApp.shared/ChatStorage.sqlite Table:ZWAMESSAGE(ZCHATSESSION:4)

E: List\Temp File List\Applications/Chat/group.net.WhatsApp.share/ChatStorage.sqlite Table:SESSION:4)

答案:

47、Bob的iPhone的苹果ID是甚么?

A:bobcheung123@gmail.com

B:bobcheung@yahoo.com

C:bobcheung@gmail.com

D:bob23@gmail.com

E:bobcheung123@hotmaillcom

答案:

48、Bob的iPhone的IMEI是甚么?

A:13421004458835 B:23421224458835 C:144410044508835 D:934218004458888 E:23421084450035

答案:

49、Bob iPhone的时区设置是甚么?

A:UTC +8 B:UTC +0 C:UTC -8 D:UTC -10 E:UTC + 6

答案:

50、文件“ VIP.txt”的完整路径是甚么?

A:Bob/mobile/DCIM/Shared/AppGroup/group.whatsapp.WhatsApp.shared /Message/Media//5/c56255d0-a407-4341-afef-7bf5accc52f0.txt

B:Bob/Phone/Containers/Shared/AppGroup/group.net.whatsapps.WhatsApp.sha red /Message/Media/85262547937-1600392878@g.us/c/5/1230.txt

C:Bob/Data/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApps.shar ed /Message/Media/85262547937-1600392878@g.us/c/5/c56255d0-a407-4341-afef7bf5accc52f0.txt

D:Bob/Text/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApp.share d /Messages/Media/85262547937-1600392878@g.us/c/5/c56255d0-a407-4341- afef-7bf5accc5000.txt E:Bob/mobile/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApp.sha red /Message/Media/85262547937-1600392878@g.us/c/5/c56255d0-a407-4341-afef7bf5accc52f0.txt

答案:

51、在Bob iphone, 谁是“ 85262547937- 1600392878@g.us”的聊天群组中的管理员?

A:Bob B:Cole C:Alice D:Alice 及 Bob E:Bob 及 Cole

答案:

52、“ 85262547937-1600392878@g.us”聊天 群组中有多少个附件?

A:6 B:4 C:2 D:3 E:6

答案:

53、Bob iPhone的Airdrop ID是甚么?

A:66E7BBDE9F69 B:Bob-airdrop-28455 C:67E7BBDE9F69-BOB D:Air-Bob-66E7BBDE9F69 E:Bob-iP-66E7BBDE9F69

答案:

54、Bob的iPhone的操作系统版本是甚么?

A:10.3.3 B:10.2.1 C:12.3.1 D:13.3.2 E:10.3.5

答案:

55、Bob在2020-09-17的1451时访问的连结是甚么?(UTC + 0)

A:https://www.apple.com

B:https://www.hackertestinghelp.com/ddos-attack-tools/ (Title:8 Best DDoS Attack Tools (Free DDoS Tool Of The Year 2020))

C:https://www.textttestinghelp.com/ddos-attack-tool/amp/ (Title:8 Best DDoS Attack Tools (Free DDoS Tool Of The Year 2020))

D:https://www.softwaretestinghelp.com/bruteforce-attack-tools/amp/ (Title:8 Best DDoS Attack Tools (Free DDoS Tool Of The Year 2019))

E:https://www.softwaretestinghelp.com/ddos-attack-tools/amp/ (Title:8 Best DDoS Attack Tools (Free DDoS Tool Of The Year 2020))

答案:

56、Bob的Samsung S2的Android ID是甚么?

A:072af229d1da3b3cd

B:71af229d1da3b3cdd

C:Bob72af229d1da3b3cd

D:72af229d1da3b3cd

E:Bob-72af229d1da3b3cd

答案:

57、Bob的Samsung S2的操作系统版本是甚么?

A:4.1.5 B:4.0.1 C:4.0.2 D:4.2.3 E:4.1.2

答案:E

image-20211104204052671

58、Bob Samsung S2的时区设置是甚么?

A:Asia/Hong_Kong B:Asia/Damascus C:Asia/Baku D:Asia/Bangkok E:Asia/Tokyo

答案:A

见上题图

59、“ bitcoin.PNG”的储存位置是甚么?

A:data (ExtX)/Root/media/DCIM/

B:userdata (Ext)/Root/Download/

C:userdata (ExtX)/Root/media/DCIM/

D:userdata/Root//DCIM/

E:userdata (ExtX)/Root/APK/

答案:C

如果在火眼分析中选择跳转到源文件,则会跳转到一个数据库文件,这并不是我们所需要的

image-20211104204222121

所以我们应该选择跳转到资源文件,得到的是一个图片的路径

image-20211104204359015

不过这个分区24看的有点让人烦心,上面标的是DATA,但是答案确实userdata

60、bitcoin.PNG的哈希值(SHA-256)是甚么?

A:b0d5adba030b9f1b0165760881eaeed48330cb3dccc807fe482985a8370b479a

B:0d5b479aadba030b9f1b0165760881eaeed48330cb3dccc807fe482985a8370b

C:adba030b9f1b0165760881eaeed48330cb3dccc807fe482985a8370b0d5b479a

D:479aadba030b9f1b0165760881eaeed48330cb3dccc807fe482985a8370b0d5b

E:450aadba030b9f1b0165760881eaeed48330cb3dccc807fe482985a8370b

答案:D

image-20211104205047240

61、Bob的Samsung S2的wifi mac地址是甚么?

A:21:60:C0:4B:75:11

B:61:21:4B:C0:75:11

C:60:21:C0:BB:11:75

D:60:21:C0:4B:75:11

E:DD:60:21:4B:75:11

答案:

62、“userdata(ExtX)/ Root / media / Download / APK Testing”中的有多少APK檔?

A:7 B:10 C:8 D:9 E:6

答案:B

一开始我在分区24找Root文件夹,突然想起userdata(ExtX)/ Root 等同于分区24,不清楚原因

image-20211104210000949

63、Messagesecure.apk的哈希值(SHA256)是甚么?

A:b4bf2eb1a59e9a8dc25ad02c15761532658747979e63ad356ec5b9c1f623ae57

B:ae572eb1a59e9a8dc25ad02c15761532658747979e63ad356ec5b9c1f623b4bf

C:de57ae572eb1a59e9a8dc25ad02c15761532658747979e63ad356ec5b9c1f623b4bf

D:bd572eb1a59e9a8dc25ad02c15761532658747979e63ad356ec5b9c1f623b4bfb4bf

E:ae025eb1a59e9a8dc25ad02c15761532658747979e63ad356ec5b9c1f623b4bfae57

答案:B

直接在火焰分析里面计算哈希值即可,显示在文件后面,不过拖动起来显示完全有点小麻烦

image-20211104210302246

64、私钥已在bitcoin.PNG中加密。私钥是甚么?

A:NpqGc6yaEjPd7NgBBRz9yUAf447Ei74K8rwuxoia8paBjzDNKzZU

B:KzZUc6yaEjPd7NgBBRz9yUAf447Ei74K8rwuxoia8paBjzDNNpqG

C:NpqGKzZUc6yaEjPd7NgBBRz9yUAf447Ei74K8rwuxoia8paBjzDN

D:c6yaEjPd7NgBBRz9yUAf447Ei74K8rwuxoia8paBjzDNNpqGKzZU

E:c6yaEjPd7NgBBRz9yUAf447Ei74K8rwuxoia8paBjzDNNpqG

答案:

65、apk文件“ flash_chat”的哈希值(SHA256)是甚么?

A:479aadba030b9f1b0165760881eaeed48330cb3dccc807fe482985a8370b0d5b

B:041a731249fa7bbaebd88651e0f5d2c4c3069c6ff8924b80579a2b160e387340

C:ae572eb1a59e9a8dc25ad02c15761532658747979e63ad356ec5b9c1f623b4bf

D:9eccf8ab9bf99a73df864c42ba813973d802c242a74cafeafac946ed43433d62

E:fea06d7dc08152c8153c99ef4e654b683ba02f3679193ff1fd991625cabab10f

答案:

66、哪个文件包含“ flash_chat”聊天记录?

A:userdata (ExtX)/Root/data/co.splusbaby.flash_chat/databases/google_app_measureme nt_local.db

B:userdata (ExtX)/Root/data/co.splusbaby.flash_chat/databases/firestore.%5BDEFAULT %5D.flash-chat-110d8.%28default%29

C:userdata (ExtX)/Root/data/co.splusbaby.flash_chat/databases/google_app_measureme nt_local.db-journal

D:userdata (ExtX)/Root/data/co.splusbaby.flash_chat/databases/firestore.%5BDEFAULT %5D.flash-chat-110d8.%28default%29-journal

E:msgstore.db

答案:

67、从“ flash_chat”找到的Bob的Windows密码是甚么?(某些字符被刻意用*遮盖) *

A:446 B:779 C:11**3 D:pard E:ta

答案:

68、消息的消息号码(Message ID)是甚么?

A:G2iytNuzajD4YU1MGVQz

B:0x04CM9o69pmKByxwnRj

C:j77xBc4hi8En7FTCPrDH

D:diPO4Huk2aymv2SdIubI

E:8XL2u5jIff5j1sKzGGvg

答案:

69、“ flash_chat”消息ID“ aGqBnI5Bxutv24SQvrBL”中的密码是甚么?(某些字符被刻意用*遮盖) *

A:P@ss B:Hild C:Hel*ll D:hel*****ld E:wene

答案:

70、从Bob iMAC 桌面名为Wallet.dat 的档案中可以取得以下那一个比特币地址?(某些字符被刻意用*遮盖)

A:1L***WpEYvUi8FeG6BnXqfh1j**gmJA1h1**

B:**1**MzCeNJHw5***J9vZexkweTtvKp8a1

C:351Wm***npxKSWBwJQ3vXETVKFmus456kU

D:*****fnLp7P8Vu7EA**UJzkngnXxGMZWwo

E:以上都不对

答案:

71、从Wallet.dat档案中取得的比特币地址, 那一个有接收及传送过比特币?(某些字符被刻意用*遮盖)

A:p9c74rqN6ymzGwr9JB**8CPaX2458w****

B:**1WmYyhnpxKSWBwJQ3vXETVKFm***56kU******

C:UTiN5T7yrYXonCu54fWLHDK**Y7dS9*

D:3Q***qGRprZsWWCgLrLDKmwEcwYqX7J*******

E:以上都不对

72、以下那一个比特币接收或传送交易的哈 希值与上述的比特币地址有直接关系? (某些字符被刻意用遮盖

*A:ab****7eea6f1da83c0917602ba086e70b900***b21c0067a96f88ec4775221f

*B:7e515*****fea70dc29a07fbaf410d7fa**610c2a4593d6d11b81b26f37da6db

*C:****0f61e1b80cc1086445c4da8ec9bde6500e2850fc134860b82c97288e

*D:**yaE****NgBBRz9yUAf447Ei74K8rwuxo55k1aBjzDNNpq22U9Kk

*E:以上都不对

73、上述的比特币交易中所涉及多少比特币?

A:0.01282210 BTC

B:0.01459400 BTC

C:0.00175178 BTC

D:0.00234500 BTC

E:以上都不对.

答案:

74、Bob iMac数据磁盘的哈希值(SHA-256)是甚 么?

A:29D4217939E37A4408FAE745363A4635A18CB0EE2E29771449E86F8BD7E7F839

B:29D4217939E37A4408FAE745363A4635A18CB0EE2E29771449E86F8BD7E7

C:D7E729D4217939E37A4408FAE745363A4635A18CB0EE2E29771449E86F8BF839

D:D7E7F83929D4217939E37A4408FAE745363A4635A18CB0EE2E29771449E86F8B

E:F83929D4217939E37A4408FAE745363A4635A18CB0EE2E29771449E86F8BD7E7.

答案:

75、Cole桌上计算机的哈希值(SHA-1)是甚么?

A:0D00A8A853B9001A9FC7BF89D9FBBA790C065CE2

B:0D22A8A853B9001A9FC7BF89D9FBBA795CE2

C:A8A853B9001A9FC7BF89D9FBBA790C065CE20D00

D:5CE20D00A8A853B9001A9FC7BF89D9FBBA790C06

E:5CE2A8A853B9001A9FC7BF89D9FBBA790C060D00.

答案:

76、Cole桌上计算机的用户名是甚么?

A:ADMIN B:COLE C:COLE-DESKTOP D:COLE-PC E:COLE-PC-841315.

答案:

77、在Cole的桌上计算机中发现了多少潜在的受害者?

A:100 B:150 C:200 D:250 E:300.

答案:

78、潜在受害者的数据被储存在哪里?(某些字符被刻 意用遮盖)

`*A:Partition 3\secret\doc**ent.txt

`B:Partition 3\secrets\c**tomer.txt

`C:Partition 3\secrets\vi**.txt

`D:Partition 3\secrets\vi**.zip

E:Partition 3\sec*ets\*ips.doc.

答案:

79、预设浏览器何时安装?

A:2019-10-01 B:2019-12-01 C:2019-12-07 D:2020-09-24 E:2020-09-28.

答案:

80、Cole桌上计算机上预设安装了甚么浏览器?

A:Chrome B:Edge C:Firefox D:Internet Explorer E:Opera.

答案:

上述储存浏览记录的默认浏览器,该文件档案的 类型是什么?

A:bat B:dat C:History D:places E:Web.

答案:

入侵Zello的证据文件是甚么?

A:Event log B:Email C:Pretech D:Ransome note E:WebCacheV01.dat.

答案:

受感染网站的网址是什么?

A:www.apple.com

B:www.google.com

C:www.vmware.com

D:http://fortess.com

E:http://zello-onlineshop.sytes.net.

答案:

Cole桌上计算机上的DDoS勒索字条是甚么? (某些字符被刻意用*遮盖) *

`*A:license.txt

`B:Ransome Note of **OS.txt

`C:Ransome Note of **OS.doc

`D:edb.log

E:**inst.log.

答案:

在Cole桌上计算机上发现的DDoS勒索字条中, 比特币钱包地址是甚么?

A:1L6fKWpEYvUi8FeG6BnXqfh1joAgmJA1h1

B:2A6fKWpEYvUi8FeG6BnXqAA1joAgmJA1h1

C:3F6fKWpEYvUi8FeG11nXqAA1joAgmJA1h1

D:5C6fKWpEYvUi8FeG6BnXqAA1joAgfJA1h1

E:A1h1KWpEYvUi8FeG6BnXqfh1joAgmJ1L6f.

答案:

Cole笔记本计算机的哈希值(SHA-1)是甚 么?

A:2EF559C89F2C5E6A2E02CFF13DBD61E423B89CD2

B:2EF59CD259C89F2C5E6A2E02CFF13DBD61E423B8

C:59C89F2C5E6A2E02CFF13DBD61E423B82EF59CD2

D:8CO259C89F2C5E6A2E02CFF13DBD61E423B82EF5

E:9CD259C89F2C5E6A2E02CFF13DBD61E423B82EF5.

答案:

Cole笔记本计算机有多少个用户帐户?

A:2 B:3 C:4 D:5 E:6.

答案:

当前登录用户帐户的用户名是甚么?

A:Administrator B:Bob C:Cole D:Daniel E:Guest.

答案:

在Cole笔记本的随机存取记忆体中, 是甚么 Windows配置文件?

A:Win7SP1x64

B:Win7SP1x64_25000

C:Win7SP2x64

D:Win2008R2SP1x64_24418

E:Win2008R2SP2x64.

答案:

用户密码的前5个字符是甚么?

A:12345 B:78945 C:passw D:P@ssw E:qazws.

答案:

计算机中可疑的txt文件的名称是甚么?

A:abc.txt B:costomer.txt C:secret.txt D:vips.txt E:No suspicious file was found.

答案:

可疑txt文件曾经出现在哪个路径?

A:C:/Users/Cole

B:C:/Users/Cole/Desktop/

C:C:/Users/Cole/Desktop/Trade

D:E:/USB16GB

E:No suspicious file was found.

答案:

是否有任何证据表明该文件已执行?

A:是的,因为与此文件相关的lnk文件在内存偏移量 (Memory Offset) 0xcd40e382中找到

B:是的,因为与此文件相关的lnk文件在内存偏移量 (Memory Offset) 0x117a86230中找到

C:是的,因为在Cole \ AppData \ Roaming \ Microsoft \ Windows \ Recent \中找到了与此文件相关 的lnk文件

D:找不到执行证据,因为没有与txt文件相关的预取文件

E:找不到可疑文件和lnk文件.

答案:

以下哪个与上述可疑txt文件相关的发现是正确的?

A:在创建可疑txt文件之后,创建/访问了另一个txt文件

B:在创建另一个txt文件之后创建/访问该文件

C:Cole使用Microsoft Word打开文件

D:无法确定与文件相关的时间事件

E:该文件是通过内部网络ip下载的.

答案:

根据系统时间,Cole在2020-09-18 01:01:08 UTC + 0000左右用笔记本计算机做了甚么?

A:他创建了一个新的xls文件

B:他从USB复制了一些文件

C:他打开了一些txt文件

D:他删除了一些文件

E:没有.

答案:

FTK Imager.exe的PID是甚么?

A:368 B:660 C:1288 D:2224 E:2456.

答案:

FTK Imager.exe的父应用程序是甚么?

A:592 B:660 C:1288 D:2224 E:2456.

答案:

FTK Imager.exe使用甚么DLL?

A:mmlang.dll B:Normal.dll C:sensapi.dll D:Secu.dll E:WINNS.dll.

答案:

MpCmdRun.exe的PID是甚么?

A:660 B:1288 C:1388 D:2240 E:2456.

答案:

以下哪个与MpCmdRun.exe相关的项目是正确?

A:该进程于2020-09-17 11:15:57 UTC + 0000创建

B:该过程于2020-09-18 01:20:57 UTC + 0000终止

C:该进程由schost.exe启动

D:该过程是通过网络驱动器启动的

E:这不是合法程序.

答案:

上次启动后,笔记本计算机连接的外部IP是甚么?

A:31.12.82.1

B:40.10.261.1

C:218.112.79.1

D:218.112.172.8

E:未连接/未连接到任何外部IP.

答案:

上次启动后,笔记本计算机连接的网络驱动器路径是甚么?

A:E:/ B:F:/ C:G:/ D:Z:/ E:未连接/未连接到任何外部IP.

答案:

Cole公司的一位客户有一封电子邮件 m*b*@ms**.z**.**.tw,可以在Cole的笔记本计 算机中找到此数据吗? (某些字符被故意用遮盖)

A:是

B:否

C:无法确定,因为找不到这样的文件

D:由于信息太有限,无法确定

E:由于数据已加密,无法确定.

答案:

收到上述电子邮件的客户名称是甚么?

*A:陈志 B:陈志林 C:陈宜 D:郭倍 E:No customer data was found.

答案:

属于上述客户的电话号码是甚么?(某些字符 被故意用*遮盖)

A:3225*1 **

B:61221** *

C:62**682*

D:65257

E:No customer data was found.

答案:

上述客户可能居住的区域是甚么?

A:Hong Kong Island

B:Kowloon City

C:Tsuen Wan

D:Tin Shui wai

E:No customer data was found.

答案:

Cole的PI的哈希值(SHA-256)是甚么?

A:0556EABC9BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7C

B:05569BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7CEABC

C:9BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7C0556EABC

D:AA8C9BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7C0556

E:EABC9BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7C0556.

答案:

Cole PI 装置的操作系统是甚么?

A:Android B:Debian C:Mac D:Ubuntu24 E:Windows.

操作系统是甚么版本?

A:20.1.1 LTS (Focal Fossa)

B:20.01.1 LTS (Focal Fossa)

C:20.02.1 LTS (Focal Fossa)

D:20.03.1 LTS (Focal Fossa)

E:20.04.1 LTS (Focal Fossa).

答案:

装置的文件系统是甚么?

A:Android B:Ext 4 C:EXT D:iOS E:NTFS.

答案:

操作系统的时区是甚么?

A:Asia/Amman B:Asia/ Baku C:Asia/Shanghai D:Asia/Seoul E:Asia/Tokyo.

哪个文件包含儿童色情物品内容?(某些字符 被故意用遮盖)

*A:”Partition 2*r\ptc1.jpg,Partition 2*r\ptc2.jpg,Partition 2*r\ptc3.jpg” *

*B:”Partition 2\v\ptha1.jpg,Partition 2\v\ptha2.jpg,Partition 2\v**\ptha3.jpg” **

C:”Partition 2\mnt\pth.jpg,Partition 2\mnt\pth.jpg,Partition 2\mnt\pth*.jpg”

*D:”Partition 2**hc1.jpg,Partition 2**hc2.jpg,Partition 2**hc3.jpg”

E:”Partition 2\media\pt**.jpg,Partition 2\media\pt**(1).jpg,Partition 2\media\pt**(2).jpg”. **

答案:

Cole PI装置中的儿童色情物品的创建时间是甚么?

A:2020/09/15 11:21

B:2020/09/15 17:21

C:2020/09/15 18:21

D:2020/09/16 19:21

E:242020/09/15 20:21.

Cole NAS的哈希值(SHA-256)是甚么?

A:28715B79890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D

B:2871890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D5B79

C:5B79890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D2871

D:6879890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D2871 、

E:890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D28715B79.

答案:

儿童色情数据存放在哪里?

A:Partition 3\cole-shared\media B:Partition 4\cole\media C:Partition 4\cole_shared\DCIM D:Partition 4\cole_shared\media E:Partition 4\cole_share\mnt.

答案:

设备中现有多少儿童色情数据?

A:1 B:2 C:3 D:4 E:5. Cole NAS

答案:

装置中的儿童色情物品的创建时间是甚么?

A:2020/09/13 16:51

B:2020/09/14 16:50

C:2020/09/14 16:51

D:2020/09/15 16:51

E:2020/09/15 17:57.

答案:

在Cole手机, 的用户个人资料是甚么?

A:colefung@gmail.com

B:colefung99@gmail.com

C:cole909@gmail.com

D:colefung909@gmail.com

E:colefung999@gmail.com.

答案:

Cole的手机上有社交媒体帐户吗?如有,那是甚么?

A:63766465@s.whatsapp.net

B:85263766465@s.whatsapp.net

C:852-62766465@s.whatsapp.net

D:C85263766465@s.whatsapp.net

E:COLE-63766465@s.whatsapp.net.

答案:

Cole与Bob和Alice在同一个小组中进行过交流吗?它是甚么?

A:是的,在whatsapp组ID中的群聊消息:85262547937-1600392878@g.us

B:是的,在whatsapp组ID中的群聊消息:85262547937-1600392878@g.hk

C:是的,在whatsapp组ID中的群聊消息:85252547937-1600392878@.us

D:是的,在whatsapp组ID中的群聊消息:62547937-1600392878@g.us

E:不,他们在Cole的设备中找不到公共聊天组.

答案:

Cole手机的Android ID是甚么?

A:a626a98cb2bb965ec

B:606a98cb2bb965eca

C:626a98cb2bb965ec

D:65ec626a98cb2bb9

E:626aa8cb2bb965ec626a.

答案:

已安装的WhatsApp APK文件的哈希值(SHA256)是甚么?

A:06fa2cce80923de8646f835b72d1fb06a97343a5b7242bc3972627c78e1bb318

B:8e1b06fa2cce80923de8646f835b72d1fb06a97343a5b7242bc3972627c7b318

C:8e1bb31806fa2cce80923de8646f835b72d1fb06a97343a5b7242bc3972627c7

D:b31806fa2cce80923de8646f835b72d1fb06a97343a5b7242bc3972627c78e1b

E:b4l806fa2cce80923de8646f835b72d1fb06a97343a5b7242bc3972627c78elb.

答案:

列出Chrome的五个“关键词搜索”。

A:”bulk mailer, ddos creator, fortress online, parknshop, GitHub malware”

B:”bulk mail, bulk mailers, ddos creator, fortress online, bitcoin”

C:”bulk mail, bulk mai1er, ddos creator, fortress online, bitcoin”

D:”bulk mai1, bulk mailer, ddos creator, parknshop, GitHub malware”

E:”fortress on1ine, bitcoin, apple, parknshop, GitHub malware”.

答案:

在哪里可以找到“Cole的电话”的通话记录?

A:Table:call B:Table:calls C:Table:contact D:Table:contacts E:Table:sms.

答案:

2020-09-01至2020-09-30之间,“Cole”收到 了多少条SMS讯息?

A:2 B:3 C:4 D:5 E:6.

答案:

在Cole的“ whatsapp”联络人中,有多少用户正在使用“ whatsapp”?

A:2 B:3 C:4 D:5 E:6

答案:

127、Daniel的桌上计算机的哈希值(SHA-256)是甚么?

A:E588564CA7AAA5352F6A1215A9F1FBE4

B:FBE4564CA7AAA5352F6A1215A9F1E588

C:01DD40CF28603F421F3A09CD38F1C8AA40A2AC4BFB46ECF8299C38CE6AE44EO5

D:07DD40CF28603F421F3A09CD38F1C8AA40A2AC4BFB46ECF8299C38CE6AE44ED5

E:4ED540CF28603F421F3A09CD38F1C8AA40A2AC4BFB46ECF8299C38CE6AE407DD.

答案:

该桌上计算机操作系统储存在哪个分区上?

A:Partition 1 B:Partition 2 C:Partition 3 D:Partition 4 E:Partition 5.

答案:B

在取证大师中,可以看到分区二有WINDOWS文件夹,故其为操作系统盘

image-20211107000729686

在桌上计算器机中找到Daniel的电子邮件地址是 甚么?

A:daniel43346@gmail.com

B:daniellaw43346@gmail.com

C:daniellaw43346@yahoo.com

D:daniellaw43346@yahoo.com.hk

E:daniellaw43346@ymail.com.

答案:A

image-20211104221341849

该恶意软件感染源是甚么?

A:”daniellaw43346@gmail.com - Daniel_Gmail.pst, Paypal updated:New Account update needs to be noticed”

B:”daniellaw43346@gmail.com - Daniel_Gmails.pst, Paypal updated:New Account update needs to be noticed”

C:”daniellaw@gmail.com - Daniel_Gmail.pst, Paypal updated:New Account update needs to be noticed”

D:”danielaw43346@gmail.com - Daniel_Gmail.pst, Paypal updated:New Account update needs to be noticed”

E:”daniellaw43346@yahoo.com - Daniel_Gmail.pst, Paypal updated:New Account update needs to be noticed”.

答案:

在Daniel的桌面上发现了甚么恶意软件?(某些 字符被刻意用*遮盖)

A:wi**ows.bat

B:ootd-4.0.**2.0.exe

C:7z**00-x64.exe

D:NDP452-KB290**07-x86-x64-AllOS-ENU.exe

E:**deo_view**_3.1.2.4.zip.

答案:

该恶意软件的哈希值(SHA-256)是甚么?

A:508972AFE67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D

B:5089E67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D72AF

C:72AFE67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D5089

D:77AFB67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D50B9

E:E67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D508972AF.

答案:

该恶意软件的功能是甚么?

A:远程桌面协议

B:作为获得管理员级别访问权限的rootkit

C:作为键盘侧录程序 (Keylogger)

D:作为抢夺者 (Snipper)

E:作为特洛伊木马 (Trojan Horse).

答案:

Daniel的MacBook 计算机的哈希值(SHA-1) 是甚么?

A:B90D23B13560A619F682DE76991CD768

B:B9OD23B13560A619F682DE76991CO768

C:C71C21730461FC901FD99F76C3679C3FED0DFAB9

D:C77C21730461FC901FD99F76C3679C3FED0DFA89

E:FAB921730461FC901FD99F76C3679C3FED0DC71C.

答案:

Daniel的MacBook 计算机中有多少个分区?

A:2 B:3 C:4 D:5 E:6

答案:A

image-20211104222447872

Daniel的iPhone的操作系统是甚么版本?

A:12.0.0.1 B:12.3.2 C:12.4.7 D:12.5.1 E:13.4.6.

答案:C

主要难题是获取到iphone的备份密码,否则问题将会困难很多

如果无法猜解密码,则需要查看备份文件中的info.plist

image-20201123095339587

输入备份密码后火焰证据开始分析后得到手机的基本信息

image-20211107003227681

Daniel的iPhone的wifi mac地址是甚么?

A:22:9a:be:c4:99:7b

B:44:9a:be:c4:99:7d

C:50:9a:be:c9:99:7d

D:64:9a:be:c4:99:7d

E:7d:64:9a:be:c4:99.

答案:D

手机的MAC地址在火眼中无法自动识别,需要查看\lockdown\device_values.plist文件。

image-20211107004356491

Daniel的iPhone的IMEI是甚么?

A:256960065058545

B:300960065055854

C:359000065055845

D:356960065055845

E:456960065505845.

答案:D

iPhone上次连接WIFI的SSID是甚么?

A:Netgear

B:Netgear_5G

C:Net24-5G

D:Netgear24_4G

E:Netgear24_5G.

答案:E

image-20211107004235787

根据调查结果,以下哪项关于Daniel的选项是正确的?

A:Daniel 认识 Alice

B:Cole 入侵了 Daniel 的计算机

C:Daniel知情地入侵了Xeno的服务器

D:Daniel是犯罪团伙的一员

E:以上都不对

答案:

疑难杂症

14、植入网络目录(Webdirectory)的网页 壳层(Web Shell)的哈希值(MD5)是甚么?
28、从该网站下载了多少数据?

31-34

39、该可疑APK从什么网站获取资料?

写在最后

EDG NB !!!