说明

  • 时间情况只做了手机和个人赛检材部分
  • 祝我拖后腿概率downdowndown(≧∀≦)ゞ

前情提要

案情

  • 于 2024 月 9 月某日, 警方于香港湾仔调查一宗怀疑凶杀案件, 并拘捕了男子 David, 涉嫌因金钱问题杀害了其太太 Clara. 你对 David 的电子设备进行了取证检查, 怀疑他与其他三名成员 Alice, Ben 及 John 同属一个诈骗组织并进行不法勾当, 相信他们与案有关. 及后警方检取有关人士的手机和计算机等作进一步调查. 请分析以下的资料, 还原事件经过.

资料

Alice MacOS 系统计算器镜像档案 (Alice_Macbook.e01)
Alice 的安卓手机镜像档案 (Alice_Mobile.bin)
Ben 的 Windows 系统计算器镜像档案 (Ben_Laptop.zip)
Ben 的 Windows 系统计算器分析档案 (BenAttachment.zip)
Ben 的 iOS 手机系统档案 (BeniPhone.zip)
Ben 的 U 盘镜像档案 (BenUSB.e01)
Ben 的 SD 咭镜像档案 (BenSDCard.e01)
Ben 跳转站镜像档案 (Ben_Jumpstation.zip)
John 的 Windows 系统计算器镜像档案 (John_desktop.e01)
John 的 iOS 手机系统备份文件(John_Smartphone_itunebackup.zip)
John 的 NAS 盘镜像档案 1 (John_NAS_1.E01)
John 的 NAS 盘镜像档案 2 (John_NAS_2.E01)
John 的 VR 仪器镜像档案 (John_VR.zip)

Alice 的手机:在个人赛的最后一部分,你对David的数字设备进行了取证检查,发现他与一名成员Alice有可疑的沟通。你现在分析Alice 的手机。

1. 参考Alice_Mobile.bin,Alice所使用的手机网络运营商公司的名称是什么?(答案格式: 请用大写英文字母作答 ,无须留空白)

  • 翻sim卡记录
    alt text

2. 参考Alice_Mobile.bin,Alice 所使用的谷歌电子邮件地址是?(答案格式: 请用小写英文字母作答,例如:abc@google.com)"

  • 。。。gmail原来是谷歌家的。。。蠢了
  • 最后从chrome浏览器找因为gmail有俩

alt text

3. 参考Alice_Mobile.bin,谁向Alice发送了一个含有个人资料的xlsx文件?

A:David;
B:John;
C:Ben;
D:Amy;
E:Harry;
alt text
alt text

4. 承上题,参考Alice_Mobile.bin,该文件以MD5计算的哈希值是? (答案格式: 请用大写英文字母作答和用阿拉伯数字回答)"

  • 5457d5a68673b8d093d7666d515cccb2
  • 5457D5A68673B8D093D7666D515CCCB2

5. 参考Alice_Mobile.bin, Alice于Facebook(脸书)所建立的群组?

A:大学生炒散搵工群;
B:最全面搵工推介;
C:全港笋工好工推介2024;
D:搵工全职兼职;
E:搵工WhatsApp群;
alt text

  • 这道题选项在搞事情, 除了正确选项剩下的都是繁体中文的原文, 虽然可以在检材中搜索到, 但并不是正确选项. 只有真正的选项被写成了简体中文(全港筍工好工推介2024), 检材中无法直接搜到
  • 可以记下来当知识点
  • Facebook 的群组英文并非 Group, 而是 Community.

6. 参考Alice_Mobile.bin, Alice在2024年8月15日于哪个地铁站和"客服人员"相约见面?

A:Chai Wan;
B:Tai Koo;
C:Wan Chai;
D:Central;
E:Mong Kok;

  • 要记得简体,繁体,英文都搜一搜
    alt text

7. 参考Alice_Mobile.bin,受骗女子欧凯被指示将虚拟货币转到哪个钱包地址?

(答案格式: 大写英文字母, 小写英文字母及阿拉伯数字混合组成,例如: 0xDasdGJHI34twebGHJK2354YU34h)

  • 基本上題目有连贯性
  • 记得切换繁体搜一搜
    alt text

8. 参考Alice_Mobile.bin, Alice指示"客服人员"使用什么交通工具离开香港?

A:火车;
B:私家车;
C:飞机;
D:船;
E:货柜车;
alt text

9. [填空题]参考Alice_Mobile.bin,客服人员"ZHANG WEI"的银行卡号是多少?(答案格式:用阿拉伯数字回答, 例如: 54613165456431) (2分)

alt text

10. [单选题]参考Alice_Mobile.bin,Alice总共在脸书(FACEBOOK)上发布了多少张照片?(2分)

A. 1
B. 3
C. 5
D. 7
E. 9

  • 存疑,跳过

11. [填空题]参考Alice_Mobile.bin,应用程序WhatsApp的数据库(database)内,哪个message_type代表发送的内容是表情包(Sticker)?

alt text

12. 参考Alice_Mobile.bin,在Alice手机中,哪一个数据库(Database)记录了照片的数据?(答案格式:只需使用全部大写回答, 例如:ABC.DB)

alt text

  • 注意大写回答

13. 承上题,参考Alice_Mobile.bin,该文件的最后修改日期和时间 (Last Modified Time) 是?(答案格式:YYYY-MM-DD HH:MM:SS)

  • 2024-08-30 17:28:29

从Alice的手机中发现,她一直与一名叫John的成员保持联系,你接着分析John的手机。参考John_Smartphone_itunebackup.zip, 备份密码是「1234」, 回答以下题目:

14. 在WhatsApp通讯软件内「三五成群」群组于什么时间创建?

A:2024-08-29 17:44:38;
B:2024-07-25 15:22:09;
C:2024-07-30 12:45:50;
D:2024-07-30 16:15:34;
alt text

15. 参考John_Smartphone_itunebackup.zip,照片IMG_0007 的创建日期时间是?

A:2024年8月14日星期三下午02:54;
B:2024年9月02日星期三下午12:54;
C:2024年8月14日星期三下午12:54;
D:2024年8月16日星期五下午12:54;
alt text

  • 切换视图!!!!

16. 参考John_Smartphone_itunebackup.zip,John曾使用什么通讯软件联系Ben?

A:Reddit;
B:WhatsApp;
C:WeChat;
D:Line;
alt text

17. 参考John_Smartphone_itunebackup.zip,于“三五成群”群中, 电子表格文件"“Personal_data.xlsx”"是由哪一个电话号码发送到该群组的?(答案格式:只需要用阿拉伯数字回答,包含国际电话区号和电话号码,例如:85290001111)

alt text

  • 85269711024

他与一个叫Ben的人有可疑的沟通。你接着分析Ben的手机。

  • passware kit解密解压后找到的manifest.plist文件得到备份密码
    alt text
  • 但密码是0000。。。。我真没辙了

18. 参考BeniPhone.zip,根据 Ben 手机内通讯软件的记录,"“This is a RAT APK that allows us to control Android devices remotely, enabling data access, monitoring and manipulation through an interface”“是在什么时间接收或发出的?”

A:由 Ben 于 2024-08-02 16:17:07 接收;
B:由 Ben 于 2024-08-05 15:53:37 发出;
C:由 Ben 于 2024-08-05 16:58:12 接收;
D:由 Ben 于 2024-08-05 17:22:47 发出;
alt text

  • 从Join那里看

19. 参考BeniPhone.zip,根据 Ben 手机内的照片记录,"IMG_0011.PNG"是通过哪种方式生成的?

A:从互联网下载;
B:手机拍摄;
C:手机截图;
D:以上皆不是;
alt text
alt text

  • grep再搜,出来俩数据库

alt text
alt text

  • SpringBoard 是 iOS 系统的截图组件, 也可以查看原图来判断

20. 你发现了该犯罪团伙似乎有一个共同的聊天群,其中包含有关可疑资本管理(与虚拟货币相关)的更多线索。参考该聊天群组对话分析,John,David及Alice筹集资金的目的是什么?

A:建立一个网站给人投资虚拟货币;
B:建立一个网站用作行骗;
C:创建虚拟货币钱包用作洗黑钱;
D:写一个Android (APK)应用程序包用作沟通;
alt text

21. 参考該聊天群对话、David,Emma與Clara 的对话及IDFC的交易记录分析,哪一个虚拟货币地址储存John,David及Alice所筹集的IDFC?

A:0xe90ad3f80e39e83b533eef3ed23c641ec51089c6;
B:0x04d079c7ace663bbe1d2c201072d63b036d16ccd;
C:0x10a4f01b80203591ccee76081a4489ae1cd1281c;
D:0x8155c0b8a0c95424f433d8ab6342086f0433e6c4;

  • 个人赛95题

alt text

  • 还有聊天记录:

alt text

  • 去David电脑里面找,直接火眼里面导不出来,仿真看,所以比赛要个人赛后好好看内容,仿真也都不能删

alt text

22. 参考Alice_Mobile.bin,Alice 总共使用了多少个虚拟货币地址直接接收受害人的IDFC?

A:1;
B:3;
C:6;
D:7;
alt text

  • 不包括最前面就6个

23. [多选题] 參考David_Laptop.e01內找到的IDFC交易记录,在收取受害人的IDFC后,它之后会再流向哪些虚拟货币地址? (2分)

A:0xb2e3dbea311511ec5bda3e85e061f15366f888a6;
B:0x70544880875fe907cee383873ca58da23378caa5;
C:0x152c90200be61a540875f2a752c328bd19dbfb87;
D:0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220;

  • 上题剩下仨

24. [单选题] 承上题,上述IDFC去到那些地址后,谁掌管这些IDFC? (提示:分析IDFC的交易记录及个人赛所搜集的证据) (2分)

A. Alice(回復種子:pumpkin fold behind captain shoulder demand print hospital like smoke gate weird)
B. Ben(回復種子:wrap muscle rhythm stamp bundle zebra gorilla shuffle common tattoo ginger awake)
C. John(回復種子:abandon among anxiety pizza evidence face quiz ripple nerve pact nasty unveil)
D. David(回復種子:stock avocado grab clay light sadness segment ancient toe talk elder oil)

  • 结合个人赛David钱包被盗,就能选出来了

25.[单选题]2024年9月,Tom Victor带同其秘书Amy来到警署报案,称其秘书被骗子用人工智能视频在2024年8月29日早上骗去10,000,000 IDFC,清找出该交易的交易哈希(ransaction Hash)?(2分)

A. 0x04dcfbb681e125076c7f3c79ddee7e2b4859881ad031e90cf7fc251a4835792d
B.0x04dcfbb681e125076c7f3c79ddee7e2b4859881ad031e90cf7fc251a4835792a
C.0x04dcfbb681e125076c7f3c79ddee7e2b4859881ad031e90cf7fc251a4835792d
D.0x04dcfbb681e125076c7f3c79ddee7e2b4859881ad031e90cf7fc251a4835792c

  • 0x04dcfbb681e125076c7f3c79ddee7e2b4859881ad031e90cf7fc251a4835792d
  • csv文件用excel打开找到