致谢

  • 感谢sq学长的wp

问题

资料

  • VC密码:
    个人赛:FEYn0MJLYy9zTQRFHlXGRkVqXv3IkE8h
    团体赛:ZgxQaeiAUe3nrnZ9zEnI3nAxuPIrIPl9

学习西电

  • iOS 检材备份密码密码大多为 0000 或 1234
  • 在检材中的 /var 目录中存储着 Info.plist Manifest.plist Manifest.db Status.plist 和文件扩展名添加了_DEC 的 4 个文件:
    alt text
  • 文件名包含 _DEC 的是提取工具生成的解密后的文件, 因此使用这些解密后的文件覆盖原始加密的文件, 并使用 Plist Editor 将 Manifest.plist 中将备份是否加密的标志改为 false 即可得到未加密的检材文件.
    alt text
  • 之后即可将该目录作为文件集合挂载在火眼取证中进行分析了.
  • 或者, 也可以不对文件进行覆盖, 而是只删除 Manifest.db 并对 Menifest.plist 中的加密标志进行修改, 也可以达到相同的效果.
  • 若直接删除 Menifest.db 和 Menifest.plist, 也可以挂载检材, 但会缺失部分信息.

陈民浩的手机(ioS)

1. 请你使用CHAN_MH.zip检材回答以下问题这个智能手机是什么操作系统?

alt text

  • 脑子瓦特了

2. 在这个手机中,有多少组国际移动设备识别码(IMEI)号码? (请以阿拉伯数字作答)

  • 搜 InternationalMobileEquipmentIdentity
  • 以后不止搜 imei 还要搜全名试试

alt text

6. 蓝牙模组中的蓝牙地址是多少?(请以下格式作答:xx:xx:xx:xx:xx:xx)

  • 同2文件

alt text

7. 这个智能手机曾经启动「个人热点」分享网络,请问他的「热点」名称?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)

(西电)iPhone 的热点 SSID
iPhone 的热点名称在未越狱修改系统文件的情况下无法自定义, 中文系统下默认的热点名称为 <UserName>的iPhone, 英文系统下默认的热点名称为 <UserName>'s iPhone.
若 iPhone 手机未登录 Apple ID 或未设置用户名, 则热点的 SSID 将为 iPhone.

alt text

8. 这个智能手机没有连接过以下哪一个服务集标识符(SSID)

A.Hongn Home
B.CMHK
C.1010 free wifi
D.ErrorError

(西电)用 iLEAPP 分析:

  • 待办,复刻失败

9. 请指出首次连接服务集识别码(SSID)名称为" CMHK"的无线区域网络(Wi-Fi)的日期及时间(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)

  • 没答案

(西电)CMHK 是 China Mobile Hongkong 的简写, 在 apnsettings 或 China Mobile Hongkong 都可以看到关于 CMHK APN 的信息:
【比赛】2025美亚个人复盘_image-1.png

10. 安装了以下即时哪个通讯软件?

i) WhatsApp  ii) WeChat  iii) WhatsApp Business  iv) QQ
  • 还是得火眼应用列表,别Xways搜出来就随便信了(或者搜包名?
  • 最正确的方法是筛选非预装的应用包
  • 新版火眼换成应用列表了没有看到筛选的地方(?

11. 承上题,请指出即时通讯软件"WhatsApp"的版本(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)

alt text

  • 去配置文件看:var\mobile\Applications\group.net.whatsapp.WhatsApp.shared\Library\Preferences\

alt text
alt text
alt text

  • python plist 分析脚本可以快速看 plist 信息但是这里这个版本号是错误的(不知道为什么):
import plistlib
file = open(r"A:\old_computer\a-meiya\111\CHAN_MH_mobile\var\Manifest.plist", "rb")
plist = plistlib.load(file)

import json
whatsapp_data = plist["Applications"]["net.whatsapp.WhatsApp"]
print("\n" + "=" * 50)
print("WhatsApp 应用信息 (JSON 格式):")
print("=" * 50)
print(json.dumps(whatsapp_data, indent=2, ensure_ascii=False))
  • 输出:
WhatsApp 应用信息 (JSON 格式):
==================================================
{
  "CFBundleVersion": "731647702.0",
  "ContainerContentClass": "Data/Application",
  "CFBundleIdentifier": "net.whatsapp.WhatsApp",
  "Path": "/var/containers/Bundle/Application/EC6F8EE4-B607-47CE-A615-9E316B50802B/WhatsApp.app"
}

13. 承上题,与其有传送/接收过资料装置的装置ID是多少? (请依照参赛材料中的原文作答,注意区分大小写、空格及符号)

  • 上一题已经确定了是包名为com.estmob.paprika的软件,这种线下从来没遇到过的小众软件只能翻在 Library 文件夹下,我们能发现存在一个 realm 的数据库文件

alt text

14. 承上题,这个装置名称是?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)

alt text

15. 承上题,本机装置的装置ID是多少?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)

  • 本机ID就是这个手机的设备ID,看这个软件里边的属性表plist文件
  • 谁知道。。
  • 没事我现在知道了(坚强)

alt text

16. 承上题,陈民浩的手机(CHAN_MH_mobile.zip)是传送方或是接收方?

A. 传送方
B. 接收方
C. 传送及接收方

  • 要考虑到不同系统包名可能不一致多搜一搜

在陈民浩的安卓手机中, 在应用数据目录 /data/com.estmob.android.sendanywhere/databases 中的数据库 main.db 中的 devices 表可以看到与该手机连接过的设备 ID 与陈民浩的 iPhone 手机一致
【比赛】2025美亚个人复盘_image-2.png

  • 通过 realm 数据库中文件名搜索到安卓手机中图片,明显为安卓手机截屏

17. 根据传送档案的名称,判断是以下哪一类型? (单选)

A. 屏幕截图
B. 手机拍摄影片
C. PDF文件
D. zip压缩文件

  • 文件名还有上一题找到的图片都证实是 A
    alt text

18. 承上题,接收至哪一个装置?

A. CHAN_MH_mobile.zip
B. blk0_sda.bin
C. FUNG_CC_mobile.zip
D. LAM_KH_Mobile.zip
E. WONG_CW_mobile.zip

存疑!!!

  • 通过16题可得:
    • 有四个安卓截屏文件在 CHAN_MH_mobile.zip 和 blk0_sda.bin 之间传递
    • 文件现在只有 blk0_sda.bin 有
  • 我的推论:blk0_sda.bin 截屏后传送给 CHAN_MH_mobile.zip
  • 答案:16和18题我认为官方答案是冲突的,相当于四个截屏文件有两个接收方(当然可能我理解不对欢迎指出)

alt text

19.承上题,传送方是通过此文档传输软件的哪个模式作出传送?

A. SEND_PARTIALLY
B. SEND_PAPRIKA
C. SEND_DIRECTLY
D. SEND_BYCLOUD
E. SEND_BLUETOOTH

  • 只知道接收方暂时,去找15题答案对象的 main.db 文件
  • 比赛的时候要留着所有找到的数据库在后台
    alt text

23. 有多少个图片文件曾经储存到iCloud?(请以阿拉伯数字作答)

  • 学习sq学长wp
  • 火眼直接看看不见iCloud
  • 我们必须定位到文件位置
  • 在\var\mobile\Library\Mobile Documents\com~apple~CloudDocs这边
  • 打开后发现有两张图片文件
  • 本题为2

alt text
alt text

冯子超的手机FUNG_CC_mobile.zip

26. 这部智能手机曾经连接过以下哪个无线网络

i) THREE_WIFI
ii) wanchai
iii)iPhone(2)
iv) Router
A. 只有 i)
B. 只有 ii) 和 iii)
C. 只有 ii), iii) 和 iv)
D. 以上皆是
alt text
alt text

来源:西电
证据来源是 /var/preferences/SystemConfiguration/com.apple.wifi-private-mac-networks.plist, 该文件中保存了 2 个使用了 iOS 的隐私 WiFi MAC 地址功能的 Wi-Fi 信息, 功能介绍参考Use private Wi-Fi addresses on Apple devices

27. 这部手提手机最早连接(非热点)Wi-Fi的时间是什么?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)

来源:sq wp
非热点WiFi,这边iPhone明显像热点,所以我们要找的其实是wanchai
需要定位系统存储wifi信息的备份内容
在\var\preferences\SystemConfiguration里边找一下

  • 其实就是上题西电找的文件
  • 试试看直接搜呢

alt text

  • 可以呢更方便如果万一不记得放哪里了

alt text

  • 欸源文件也有呀眼瞎咯

alt text
alt text

  • 要注意Z后缀哦!!!GMT +8时区
  • 2025-04-15 19:29:23

来源:西电

  • ISO 8601 标准时间表示
  • 在 ISO 8601 中规定了 2 种标准的时间表示方式:
    • 形如 1970-01-01T00:00:00.000Z: 该时间为 UTC 时间.
    • 形如 1970-01-01T00:00:00.000+00:00: 该时间格式包含时区信息, 时区前的时间为该时区的当地时间

28. 承上题,请列出这个连接的服务集识别码(SSID)?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)

alt text

  • SSID就是这个WiFi的名字。。。
  • wanchai

29. 承上题,请列出这个连接的登入金钥?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)

alt text

30.相册中有两张图像互换格式图片(gif)「IMG_0057.GIF」及「IMG_0062.GIF」,请指出由哪一个软件拍摄?

A. Infltr
B. Discreet
C. Meitu
D. Prisma
alt text

来源:西电引用github项目
alt text

  • 好厉害的东西,存档下,感觉要很了解字段名才能用
  • Photos.Sqlite 数据库可以通过以下文件路径找到:
    • iOS:/private/var/mobile/media/PhotoData/Photos.Sqlite
    • Mac OS:/Users/<USER>/Pictures/PhotosLibrary.photoslibrary/database/Photos.sqlite

31. 曾经以空投(AirDrop)方式成功传送了文件到另外一个装置,以下哪一个陈述是正确的?

A. 传送了一个图片文件
B. 传送了两个图片文件
C. 传送了一个图片文件及一个文件
D. 传送了一个图片文件及两个文件

  • 在iPhone上,其实有一个存储用户人际互动数据的关键数据库文件var\mobile\Library\CoreDuet\People

西电

com.apple.UIKit.activity.AirDrop
com.apple.sharingd
com.apple.mobilesildeshow
com.apple.documentsapp
  • 这些包名从上到下分别是: AirDrop 前端、AirDrop 后端、照片、文档
  • 搜索找到上个引用的文档

alt text
alt text
alt text

32. 原生APP「相片」中,有一个图片文件曾经通过空投"AirDrop"方式成功传送,请指出这个图片文件的文件全名(请包含扩展名,依照参赛材料中的原文作答,注意区分大小写、空格及符号)

alt text
alt text

33. 承上题,请写出这个图片文件的开始传送的日期及时间?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)

alt text

34. 请指出哪一个多媒体文件同时储存在APP「文件」(套件识别码: com.apple.DocumentsApp)及APP「照片」(套件识别码: com.apple.mobileslideshow)中?(请包含扩展名,依照参赛材料中的原文作答,注意区分大小写、空格及符号)

  • 。。。怎么找啊!?

alt text

  • 呜呜呜好吧记小本本学习
  • “文件” APP 的存储目录是 /var/mobile/Applications/group.com.apple.FileProvider.LocalStorage/File Provider Storage/
  • “照片” APP 的存储目录是 /var/mobile/Media/DCIM/100APPLE/
  • 可以看到 2 个同名文件存在于这两个目录中, 分别是 IMG_0008.HEIC 和 IMG_0010.MOV. 将这些文件导出并计算哈希, 发现两个目录中的 IMG_0008.HEIC 并不相同, 而 IMG_0010.MOV 是完全相同的

35. 请指出在 APP "照片"中的图片文件"IMG_0079.JPG"是由哪一个 APP 拍摄

alt text

36. 承上题,已知该图片文件是由上述APP所拍摄,并其后储存在APP「照片」(套件识别码: com.apple.mobileslideshow)成「IMG_0079.JPG」,请问该图片的原文件名称? (请依照参赛材料中的原文作答,注意区分大小写、空格及符号)

  • 直接搜APP名字

alt text
alt text

37. 承上题,请指出原文件的建立时间?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)

alt text

38. 请指出在APP「照片」(套件识别码: com.apple.mobileslideshow)中,储存多媒体文件「IMG_0014.MOV」与储存「IMG_0016.MOV」之间有没有其他多媒体文件储存到APP「照片」中?

A. 有
B. 没有
C. 有拍摄,但没有储存
D. 无法确认
alt text

39. 承上题,以下哪个陈述是正确描述上一题的答案?

A. 制作多媒体文件「IMG_0015.MOV」时,直接储存到隐藏相册中
B. 制作作多媒体文件「IMG_0015.MOV」时,直接上传到iCloud
C. 制作多媒体文件「IMG_0014.MOV」时用了缩时摄影
D. 制作多媒体文件「IMG_0015.MOV」时名称被更改为「IMG_0016.MOV」
alt text

  • 第一次遇到延时摄影的题目

40. APP「照片」(套件识别码: com.apple.mobileslideshow)中,「IMG_0027.HEIC」的原地理位置信息(WGS84)是?

A. (22.2816569, 114.1756115)
B. (22.2826366666667, 114.168503333333)
C. (22.2826216666667, 114.168525)
D. (22.2826216666667, 114.168503333333)
alt text
alt text

  • ???居然是假的
    alt text

41. 曾经通过网络浏览器「Safari」下载了多少个图片文件?

  • 火眼,2

42. 多媒体文件"IMG_0004.MOV"曾被修改后再储存成另一个文件, 该文件名称是?

A. IMG_0085.mov
B. IMG_0086.mov
C. IMG_0087.mov
D. IMG_0088.mov
alt text

43. 曾经通过人工智能聊天APP "POE"查询一个问题,请列出这个问题的完整句子?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)

alt text
alt text
alt text

  • 硬翻啊。。。
    alt text
{
    "__typename": "Message",
    "attachments": [
        {
            "$reference": "MessageAttachment:TWVzc2FnZUF0dGFjaG1lbnQ6MzQ5NDcxNTAy"
        }
    ],
    "authorNickname": "human",
    "authorUser": {
        "$reference": "PoeUser:UG9lVXNlcjoyOTkzNDM5Mzc1"
    },
    "bot": null,
    "canvasTabs": [
    ],
    "chat": {
        "$reference": "Chat:Q2hhdDoxMDY5ODc1MDcw"
    },
    "command": null,
    "contentType": "text_markdown",
    "creationTime": 1744782606792741,
    "hasCitations": false,
    "id": "TWVzc2FnZTozNzcwNTE2MjYzNjY=",
    "isChatAnnouncement": false,
    "isDeleted": false,
    "messageCode": "1mvs4t45lw2et7a3wk4a",
    "messageId": 377051626366,
    "messageStateText": null,
    "reactionCounts": [
    ],
    "referencedMessage": null,
    "responsibleJob": null,
    "sourceType": "chat_input",
    "state": "complete",
    "text": "What’s that mean",
    "viewerCanDelete": true,
    "viewerReaction": null
}

44. 承上题,请指出提问的日期及时间(答题格式: yyyy-MM-dd HH:mm:ss 作答, GMT+8)

  • "creationTime": 1744782606792741,

alt text

45. 承上题,当时使用的是哪一个机器人?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)

【比赛】2025美亚个人复盘_image-3.png

Bot:Qm90OjMwMzc=(3037的base64,怀疑是代码编号)

  • 西电的做法看不懂,学长的和我复盘做的一样
    gpt4_1_mini

46. 承上题,当时的使用者名称是?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)

【比赛】2025美亚个人复盘_image-4.png

  • Duncan

48. 承上题,这个”WeChat ID”关注了多少个「视频号」?

【比赛】2025美亚个人复盘_image-5.png

  • 实际上还蛮好找的,就是火眼视频号右键源文件找到数据库,翻一下找到中文内容,过滤下 fllowstate

50. 即时通讯软件WhatsApp中,封存了下列哪个聊天群?

A. 凤凰VIP会员心得交流群
B. 币淘 群组1
C. Sportsmen
D. Titus Wong Manson Finance

封存应该指 Archive 功能, 大陆地区一般常翻译成"存档"

【比赛】2025美亚个人复盘_image-6.png

  • 知道英文就很好找了

57. 即时通讯软件「WhatsApp」中,总共出现了多少个「投票」活动?(请以阿拉伯数字作答)

【比赛】2025美亚个人复盘_image-7.png

  • 群聊三个,频道12个,通过[投票消息]前缀直接查找

58. 承上题,总共在多少个「投票」活动中作出了投票?(请以阿拉伯数字作答)

【比赛】2025美亚个人复盘_image-8.png

(西电)ZWAMESSAGEINFO.ZRECEIPTINFO 是 Protobuf 编码,但是西电的做法我无法理解,学长的很有道理(
看这一列有个叫ZISFROMME的,从名字可以读出来这玩意如果是1就是机主,根据聊天记录也能判断

【比赛】2025美亚个人复盘_image-9.png

梁燕玲手机LEUNG_YL_Mobile.zip

63. 参考LEUNG_YL_Mobile.zip,文件IMG_0021.HEIC 所拍摄的相机型号是甚么?

  • 忘记当时有没有做出来了

【比赛】2025美亚个人复盘_image-10.png

  • 反正要记得经纬度找ZLATITUDE ZLONGITUDE 两个键名

65. 参考LEUNG_YL_Mobile.zip,文件IMG_0022.JPG是以下哪种方向拍摄?

A. 不旋转
B. 旋转180度
C. 顺时针90度
D. 逆时针90度
【比赛】2025美亚个人复盘_image-11.png
【比赛】2025美亚个人复盘_image-12.png

Orientation标记 Rotate 90 CW 需要旋转90度显示
这通常意味着:照片是横向拍摄的,但拍摄时手机是竖着拿的,所以Exif中设置了旋转标记,让看图软件自动旋转为纵向显示。

"exiftool(-k).exe" -Orientation -n "A:\old_computer\a-meiya\111\25美亚\文件文档_20260306_212130\火眼-文件导出\IMG_0022.JPG"
Orientation                     : 6
-- press ENTER --
  • 很明显 exiftool 更方便耶,目前尝试下来只有这样的前缀可以调用 exiftool(-k).exe,奇奇怪怪但不管了

在Exif标准中,Orientation值的含义如下:

  • 1 = 正常(横向,不需要旋转)
  • 3 = 旋转180度
  • 6 = 顺时针旋转90度(你的情况)
  • 8 = 逆时针旋转90度

67. 参考LEUNG_YL_Mobile.zip,在WhatsApp 与” 85254974406@s.whatsapp.net”聊天对话中,于2025-05-16 11:33:39时的信息所传送的座标(WGS 84)是多少?(请以纬度,经度顺序及以下格式作答xx.xxxxxxxxxxxx, xxx.xxxxxxxxxxxx)

  • 死方法是数据库找

这边我们需要先去ZWAMESSAGE表查看确定好Z_PK,直接定位时间就好
确定好之后我们就可以用1416【Z_PK 值】,再去ZWAMEDIAITEM这张表,根据这张表来得到坐标

  • 但火眼有位置功能:
  • 由于是数据库内信息不能直接跳转但是可以位置页面看名称找

【比赛】2025美亚个人复盘_image-15.png
【比赛】2025美亚个人复盘_image-14.png
【比赛】2025美亚个人复盘_image-13.png

74. 参考LEUNG_YL_Mobile.zip,WhatsApp 聊天群组Happy Sharing within 3 于2025-04-17 10:12:34 传送的WGS 84座标是多少?

A. 22.323436345441, 113.276894376508
B. 22.326923370361, 114.168403625488
C. 21.239876452236, 115.925422314543
D. 20.124955642236, 114.168403625488

  • 一样的题目一样的做法但是火眼解析坐标不存在于选项中 so 翻数据库

  • WhatsApp数据库WAMEDIAITEM 表部分字段:

字段名 类型 说明
_id INTEGER 主键ID
latitude REAL 纬度(如果包含地理位置)
longitude REAL 经度(如果包含地理位置)

【比赛】2025美亚个人复盘_image-16.png

  • 很诡异:
  • ZWAMESSAGE 表 Z_PK 字段 547 对应 WAMEDIAITEM 表 ZMESSAGE 字段
  • ZWAMESSAGE 表 ZMEDIAITEM 字段 504 对应 WAMEDIAITEM 表 Z_PK 字段
  • 前者我复盘的时候用到的,后者是西电用到的
  • 这个还蛮重要的

75. 参考LEUNG_YL_Mobile.zip,Instagram 的版本是?

A. 375.2.0.15.82 (722575504)
B. 376.1.0.14.56 (722575504)
C. 376.1.0.27.82 (722575504)
D. 376.0.0.17.23 (722575504)

  • 直接搜:

【比赛】2025美亚个人复盘_image-17.png

  • 通过包名找:

(西电)在 /var/mobile/Applications/com.burbn.instagram/Library/Preferences/com.burbn.instagram.plist 中也可以看到版本号信息

【比赛】2025美亚个人复盘_image-18.png

76. 参考LEUNG_YL_Mobile.zip,社交媒体软件Instagram 的安装时间?(请以GMT+8时区及格式YYYY-MM-DD hh:mm:ss作答)

  • 还是得找上题法2配置文件
  • ds-app-install-date 或者 mc_freshinstall_time 字段
  • 注意转换+8时区时间

【比赛】2025美亚个人复盘_image-19.png

梁燕玲的 U 盘

跟据你的分析, 警察在香港西贡蕉坑找到一个行李箱, 内藏一名女子尸体, 身上没有任何身份证明文件, 裤袋内搜获一个 U 盘. 根据法医初步检验, 死者头部及颈部有明显瘀伤, 相信曾发生激烈争执, 死因为气管受压导致窒息, 死亡时间相信是在 2025-05-16 09:00 至 10:00. 调查人员初步检查这个U盘, 没有发现可疑资料, 现在交由你进行电子数据鉴定工作.
请参考参赛材料 AP3_LEUNG_YL_USB.E01, 答以下问题.

EFI格式的可启动盘

(ai)一个符合EFI标准的可启动盘,必须具备以下三个特征:

  1. 存在一个特定的分区:这个分区称为EFI系统分区 (ESP)
  2. 特定的格式:该分区必须被格式化为 FAT32 文件系统
  3. 特定的文件和目录结构:该分区的根目录下必须有一个名为 EFI 的文件夹,内部存放着引导文件(如 EFI/BOOT/BOOTX64.EFI

【比赛】2025美亚个人复盘_image-20.png

  • 挂载的共同注意点:
    • vm 要管理员启动,防止无访问挂载点权限
    • 磁盘类型选择SATA,防止pe没有NVMe驱动
    • 稍后安装操作系统
    • 物理磁盘选择挂载位置
    • 设置-显示-加速 3D 可选择启不启动(我忘记取消了也成功了)

法1:使用 FTK Imager 挂载镜像

  • 死活成功不了,efi 和 bios 都试过了

法2:Arsenal Image Mounter

本题检材是混合启动U盘,既支持UEFI启动也支持BIOS启动,两种引I导方式的标志物(55AA和.efi文件)可以共存,因为两种固件只会找自己能识别的那个标志,而忽略另一个。保证了最大的兼容性

  • 唯一注意点:

【比赛】2025美亚个人复盘_image-21.png
(不要用 ftk 会变得不幸呜呜呜)

77. 根据你的分析,警察在香港西贡蕉坑,找到一个行李箱,内藏一名女子尸体,身上没有任何身份证明文件,裤袋内搜获一个U盘,根据法医初步检验,死者头部及颈部有明显瘀伤,相信曾发生激烈争执,死因为气管受压导致窒息,死亡时间相信是在2025-05-16 0900时至1000时 。调查人员初步检查这个U盘,没有发现可疑资料,现在交由你进行电子数据鉴定工作。请参考参赛材料LEUNG_YL_USB.E01,答以下问题参考LEUNG_YL_USB.E01,这个U盘里有多少个分区?(请以阿拉伯数字作答)

【比赛】2025美亚个人复盘_image-22.png
【比赛】2025美亚个人复盘_image-24.png
【比赛】2025美亚个人复盘_image-25.png

  • 很明显就按仿真、xwf 和 ftk 的为准了,火眼不知道什么鬼

78. 参考LEUNG_YL_USB.E01,这个U盘里的分区结构是什么?(请以英文大写作答)

【比赛】2025美亚个人复盘_image-26.png
【比赛】2025美亚个人复盘_image-27.png

  • 三个地方都能看到

79. 参考LEUNG_YL_USB.E01,以下哪项描述是正确的?

i) U盘的总容量是16GB
ii) 文件系统包括 FAT32、exFAT 和 NTFS
iii) exFAT 分区的容量是 16GB
iv) 分区标签名是 “SanDisk”
A. 只有 i) 和 ii)
B. 只有 i) 和 iii)
C. 只有 ii) 和 iv)
D. 以上皆非
【比赛】2025美亚个人复盘_image-28.png
【比赛】2025美亚个人复盘_image-29.png

80. 参考LEUNG_YL_USB.E01,以下哪项描述是正确的?

i) 此U盘曾连接到一台名为 “PC” 的电脑
ii) U盘内存有一个已加密的压缩文件
iii) 已加密的压缩文件的创建日期系 2025-05-15
A. 只有 ii)
B. 只有 iii)
C. 只有 ii) 和 iii)
D. 以上皆是
【比赛】2025美亚个人复盘_image-30.png

81. 承上题,该压缩文件的解压密码是多少?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)

  • 仿真桌面

【比赛】2025美亚个人复盘_image-31.png
【比赛】2025美亚个人复盘_image-32.png

82. 参考LEUNG_YL_USB.E01,以下哪项描述是正确的?

i) 这是一个可引导U盘
ii) 有一个分区标签名为 “EFI”
iii) 卷标日期为 2025-05-15 (UTC +8)
iv) 有一个分区的总容量小于 500 MB
A. 只有 i)
B. 只有 i) 和 ii)
C. 只有 i), iii) 和 iv)
D. 以上皆是

可引导U盘(Bootable USB Drive) 是指包含完整操作系统引导记录,能够被计算机BIOS/UEFI识别并加载启动的USB存储设备。

引导文件:

  • Legacy BIOS 引导(MBR)
必须包含的文件:
├─ 引导扇区代码(MBR,第0扇区)
├─ 分区引导扇区(PBR/VBR)
└─ 引导管理器文件
   ├─ Windows: NTLDR / BOOTMGR
   ├─ Linux: GRUB (stage2) / syslinux
   └─ DOS: IO.SYS / MSDOS.SYS
  • UEFI 引导
必须包含的目录结构:
/EFI/
└── Boot/
    └── bootx64.efi(x64系统)
    └── bootia32.efi(x86系统)
    
或特定厂商路径:
/EFI/Microsoft/Boot/bootmgfw.efi(Windows)
/EFI/ubuntu/grubx64.efi(Ubuntu)

【比赛】2025美亚个人复盘_image-33.png
【比赛】2025美亚个人复盘_image-34.png

(西电)在 EFI 分区中看到火眼虚拟出来的卷标项, 其修改时间为 2025-05-15 21:38:48

83. tammy.txt文件的内容是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)

【比赛】2025美亚个人复盘_image-35.png

(西电)在 EFI 分区的 WEPE 目录中可以看到存储的分区映像文件 WEPE64.WIM导出该文件并解压, 将文件作为文件集合挂载, 可以在 WEPE64/Program Files/tammy.txt 找到题目中提及到的文件

84. 文件“xcontainer”的加密算法是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)

【比赛】2025美亚个人复盘_image-36.png

85. 分析文档 “xcontainer” 的属性。关于此磁盘镜像,以下哪项描述是正确的?

i) 大小为 4943872 字节
ii) 文件系统是 FAT
iii) 没有嵌入式备份头
iv) 块大小为 128 位
A. 只有 i) 和 ii)
B. 只有 ii) 和 iv)
C. 只有 ii), iii) 和 iv)
D. 以上皆是

  • 右键属性:(这里的大小不准不知道为什么)

【比赛】2025美亚个人复盘_image-37.png
【比赛】2025美亚个人复盘_image-36.png

86. WinPE 启动后,系统会自动将核心映像挂载在哪个虚拟机?

A. C:
B. D:
C. X:
D. Z:

WEPE 是Windows PE 核心目录

【比赛】2025美亚个人复盘_image-38.png

88. 必须包含哪个文件,才能启动 Windows PE环境?

A. WEPE64.wim
B. install.wim
C. WinPE.log
D. hiberfil.sys

  • 其他仨搜不到+(西电)WEPE64.WIM 为系统的核心映像文件

89. 若要判断一个U盘是否为可开机的Windows PE,以下哪些文件必须存在?

i) WEPE64.wim 或 boot.wim
ii) bootmgr
iii) EFI\Boot\bootx64.efi
iv) hiberfil.sys
A. 只有 ii 和 iv
B. 只有 i), ii) 和 iii)
C. 只有 i) 和 iv)
D. 以上皆是

(西电)
i) WEPE64.wim 或 boot.wim 是 WinPE 的核心映像文件, 必须存在.
ii) bootmgr 是 Windows 启动管理器, 对于传统 BIOS 启动是必须的.
iii) EFI\Boot\bootx64.efi 是 UEFI 启动文件, 对于 UEFI 启动是必须的.
iv) hiberfil.sys 是 Windows 系统的休眠文件, 与 WinPE 没有直接关系.

90. 这个 WinPE U盘的操作环境 (Operating Environment) 是基于哪一个 Windows 版本?

A. Windows 7
B. Windows 8.1
C. Windows 10 PE
D. Windows 11 PE

  • 仿真看控制面板:

【比赛】2025美亚个人复盘_image-39.png

92. 参考LEUNG_YL_USB.E01,请列出与IQ Coin有关的虚拟钱包的地址(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)

  • 不知道为什么 QR research 扫不出来,umi-ocr 扫出来的:

【比赛】2025美亚个人复盘_image-40.png

虚拟货币截图

根据你综合多项通讯软件的对话记录, 浏览记录及资料分析, 发现冯子超、陈民浩伙同女子梁燕玲共同做了一宗涉及加密货币投资的诈骗案件, 因东窗事发打算携赃而逃. 女子梁燕玲负责处理有关清洗黑钱事项, 警察相信梁燕玲携带同相关材料逃跑, 请你运用电子数据鉴定技巧寻找与加密货币相关的材料, 尽快启动冻结程序.

(西电)本部分使用的检材文件是 IQ_Coin_Type_Transactions.zip, 是有加密的 zip 压缩包. 密码为第 92 题中找到的钱包地址 0x548dafDe4B17d7d3C9485E79B3B5018801C7855E.
我在做题的时候的习惯是将所有的密码, 明显提及到的重要信息(生日, 纪念日, 钱包地址)等存储在一个 txt 文件中, 当需要爆破时我会使用这个 txt 文件作为字典, 配合弱口令字典及 6 位以下数字掩码进行爆破. 我通过这一方法爆破出了压缩包的密码.

  • 没招了学习这个习惯吧(

93. 承上题,这个钱包属于哪一种加密货币(请以英文大写作答)

【比赛】2025美亚个人复盘_image-41.png

94. 承上题,这个钱包总共有多少次存入记录?(请以阿拉伯数字作答)

【比赛】2025美亚个人复盘_image-43.png

95. 承上题,存入款项的支账地址是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)

【比赛】2025美亚个人复盘_image-44.png

  • BscScan 筛选:0x6144ACfdf84bbEC6bccB310516A89D4b3ee48c1A

97. 助记词是由加密货币钱包生成的一系列单词, 帮助用户恢复其私钥. 助记词通常由 12 到 24 个单词组成

A.正确
B.错误

(西电)BIP-39 助记词可以由 3 - 24 个单词组成, 但小于 12 个单词的助记词熵低且易被爆破攻击. 在 BIP-39 Standalone 中如果试图生成小于 12 个单词的助记词, 则会受到警告: Mnemonics with less than 12 words have low entropy and may be guessed by an attacker.