1. [单选题]工地主管电话的微信账号是什么? (1分)
A. Kasier751111
B.Kasierlee751111
C. Kasierlee
D.以上皆非
找了一圈发现没有与WeChat相关的信息故选D
2.[填空题]工地主管的隔空投送装置置编号是什么? (请以英文全大写及阿拉伯数字回答) (1分)
Air drop即是隔空投送为780F624DF099(苹果手机常识)
3[单选题]工地主管电话的哪一个应用程序有关于经纬度24.490474, 118.110220的纪录? (2分)
A.照片
B. WhatsApp
C. Apple Maps
D. 以上皆非
搜索之后看见来源是map
4.[多选题] 工地主管的手提电话中下列哪些数据正确?(1分)
A. iOS 版本为 12.5.4
B.IMEI为 454120637213361
C. Apple lD 为 [email protected]
D.手机曾经安装dropbox 应用程序
对比图片为ac
5.[填空题]工地主管的电话最常用的浏览器是什么(请以英文全大写回答)(1分)
直接浏览器过滤 很明显全都是Safar
6.[单选题] 工地主管的电话连接过哪一个WiFi?(1分)
A. Kaiser Lee
B.Kaiser
C. Free Wifi
D.Kaiser Home
在无线网络中可以看到是Kaiser Lee
7.[多选题] 工地主管与Alex Chan的Whatsapp 对话中,曾提及以下哪个TeamViewer的用户号码?(3分)
A.435334881
B.453851521
C.435475200
D.456874155
E.435270306
先过滤一下
然后查看图片
故选择ACE
8[填空题]工地主管的WhatsApp中有多少个黑名单的记录?(请以阿拉伯数字回答)(2分)
从源文件跳到该应用的数据库相关文件夹(右下角的源文件复制然后跳转到)
然后找到用户组分区数据库(看英文名字 chatstorage_sqlite应该是和聊天分组有关的)
点进去看一下找到黑名单(black)发现为0
9.[多选题] 以下哪个蓝牙装置的Uuid 曾连接过工地主管的手机?(2分)
A.7F1FE70D-2B15-C245-853D-4196F13CC446
B.1B057C1D-83D3-99A6-D2B1-EC54846C7CEE
C.134ACD1-83D3-99A6-D2B1-EC54846C7CEE
D.7D1BE70D-2C16-D246-851D-491613DD776
这道题也是跳转源文件数据库
看到了连接过的两个设备
故为AB
10.[填空题]工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么?(请以英文全大写及阿拉伯数字回答,不用输入“-”)(1分)
直接在bitlockr解密里面可以看到标识符(右键点击 然后点击bitlocker)
11[填空题]工地主管计算机内的FTP程序FileZilla的用户名称是甚么?(请以英文全大写及阿拉伯数字回答)(3分)
Alex
12[填空题]工地主管的Team Viewer ID是甚么?(请以英文全大写及阿拉伯数字回答)(2分)
故结果为435270306
13.[填空题]工地主管的Team Viewer与哪一个ID连接?(请以英文全大写及阿拉伯数字回答)(3分)
直接在取证大师其他应用里面查看 是420190768
14.[多选题]工地主管曾用计算机浏览器作搜寻,以下哪一个关键词他曾经搜寻?(3分)
A.tiktok
B.web whatsapp
C.facebook
D.lihkg
E.hkgolden
F.web wechat
在用户痕迹->上网记录->搜索记录 搜索可以看到
15[填空题]工地主管计算机的Windows系统的产品标识符是甚么?(请以英文全大写及阿拉伯数字回答,不用输入“-“)(1分)
系统信息里面可寻到
16[填空题]工地主管曾用计算机使用WhatsApp,他曾和以下哪个电话号码沟通?(请以阿拉伯数字回答)(2分)
这道题是真的不懂怎么写,欢迎师傅留言
17.[多选题]工地主管计算机的用户名称是甚么?其用户标识符是甚么?(2分)
A.用户名称: PC1
B.用户名称:PC2
C.用户名称: PC3
D.用户标识符:0x000003E7
E.用户标识符:0x000003E8
F.用户标识符:0x000003E9
在用户信息找到pc1然后把后边 4位10进制 转化了得到16进制
主管的电脑名字为pc1 标志位3e9
18.[单选题] 工地主管计算机的预设浏览器是甚么?(2分)
A.Chrome
B.Firefox
C.Safari
D.以上皆否
仿真出来后直接看
19[填空频工地主管计算机的其中一个分区被人加密,分区内的电子表格Material3.xlsx的哈希值(SHA1)是甚么?(请以英文全大写及阿拉伯数字回答)(1分)
在ftp服务器的取证材料中找到bitlocker的秘钥
把主管E盘恢复
找到电子表格Material3.xlsx
得到 40418B21F6C3E4AF306D5EF3B80A776DA72FC1D2
20.[多选题]路由器的记录中显示以下有哪些IP是公司的电子器材?(3分)
A.192.168.40.128
B.192.168.40.129
C.192.168.40.130
D.192.168.40.131
E.192.168.40.132
直接把这几个都搜索了
然后只有最后一个没有故选abcd
21[填空题]路由器的记录中显示公司的计算机下载了FTP软件,该下载网站的IP是什麼?(请以阿拉伯数字作答,省去”.”符号)(3分)
工地主管的pc上有flizilla
直接在路由器log里面直接搜索
得到 下载该网站的ip是49.12.121.47
22.[多选题)]路由器的记录中显示公司计算机的资料用FTP软件传到了甚么IP地址及利用端口?(2分)
A.IP地址: 2*.2*.2*.114
B.IP地址: 8*.8*.1*.20
C.IP地址: 1*.1*.0*.13
D.端口: 21
E.端口: 80
在取证大师里面可以找到 然后在路由器日志里面搜索(众所周知fliezilla是一款ftp的软件,直接搜索)
对应上边取证大师里的 得到利用21端口
23.[多选题] 路由器的记录中显示以下哪些关键词是表示公司计算机与外界网络联机?(2分)
A.destination
B.ICMP echo request
C.inside
D.outside
E.以上皆是
然后对比发现ICMP都是内部的而其他的都有对外的(个人所见,不一定对)
24.[单选题] 路由器的记录中显示哪一个IP曾以teamviewer 连接公司计算机?(1分)
A. 110.152.0.14
B.52.152.117.114
C.180.152.0.13
D.83.26.80.131
在路由器日志里可以查到这个然后根据它的格式可以选出答案
这个也可以根据第22题的ip格式判断出来
IP地址: 2*.2*.2*.114
只有b符合
25.[多选题]路由器的记录中显示以下哪一个有可能是以teamviewer 遥控公司计算机的时间?(3分)
A.09:31,09:37
B.0933,09:39
C.10:29,10:36
D.10:40
E.10:42
用vscode打开或者用notpad++打开
从9:31-->10:42
26.[填空题]路由器的记录中显示有多少电子器材有可能曾被入侵?(请以阿拉伯数字作答)(2分)
在前边的主管的电脑上的teamview上可看出链接了3台电脑(从手机(iphon6)里面也能看到(曾经发过的3张照片))
27.[多选题]阿力士 iPhone12pro电话于2021年10月21日,以下哪张相片可能曾被分享(UTC+8)?(3分)
A. IMG_0011HEIC
B. IMG_0010. HEIC
C. IMG_0009.HEIC
D. IMG_0008.HEIC
E. IMG_0007. HEIC
被分享过的图片应该就不带有元数据,所以直接在图像里过滤
28.[单选题] 阿力士iPhone 12 pro电话中哪一张相片可能曾被修改拍摄时间?(2分)
A.IMG_0011.HEIC
B.IMG_0010.HEIC
C.IMG_0009.HEIC
D.IMG_0008.HEIC
综合上一题之后应该是先把这张图片的时间给修改了然后又分享出去,故有两张雷同的图片
29.[填空题]阿力士iPhone 12 pro的GSM媒体访问控制地址是什么?(请以英文全大写及阿拉伯数字回答,不用输入”.”)(2分)
查过资料 阿力士iPhone 12 pro的GSM媒体访问控制地址 应该是本机的Mac地址
e0:6d:17:31:92:06
30.[单选题] 阿力士的iphone 12 pro以什么屏幕密码保护?(1分)
A.6位阿拉伯数字密码
B.4位阿拉伯数字密码
C.图形密码
D.以上皆非
31.[多选题]阿力士iphone 12 pro内以下哪一张相片是实况相片(live Photos)? (2分)
A.IMG_0011.HEIC
B.IMG_0010.HEIC
C.IMG_0012.HEIC
D.IMG_0009.HEIC
c选项没有故不选
32.[单选题]以下哪一个是阿力士iphone 12 pro可能曾经连接的装置名称?(2分)
A.Chris's MacBook Pro
B.Chirs's iPhone
C.Chirs's Computer
D.Chirs's Linux.
在联系人里面可以看到曾经和这个人连接过
33.[多选题] 接上题,记录连接时间是什么时候(UTC+8)?(2分)
A.2021年10月21日 00:58:01
B.2021年10月21日 08:58:01
C.2021年10月21日 00:58:29
D.2021年10月21日 08:58:29
接上题
34.[多选题]阿力士iPhone XR中在软件WhatsApp中工地主管与阿力士的对话中曾提到:[巨叫我俾钱喎,BTC係唔係呢个啊?],在进行电子数据取证分析后,以下哪一个是有可能关于此对话的正确描述?(2分)
A 此对话被Kariser Lee删除
B.此对话的附件为一张图片文件
C.此对话被Alex Chan删除
D.此对话是引用Alex Chan回复
查看之前的聊天记录可以看到
35[填空题]阿力士iPhone XR的WhatsApp对话中,阿力士曾要求工地主管支付多少个BTC?(请以阿拉伯数字回答)(1分)
10个 见35题图片
36.[多选题] 阿力士iPhone XR中MG_0056.HEIC”的图像与"5005.JPG*(MD5:96c48152249536d14eaa80086c92fcb9)看似为同一张相片,在电子数据取证分析下,以下哪样描述是正确?(2分)
A.储存在不同的.db里
B.有不同哈希值
C. IMG_0056.HEIC为原图,5005.JPG(MD5:96c48152249536d14eaa80086c92fcb9)为缩略图
D.IMG 0056.HEIC 曾被开启过,所以在I0S系统中创建了缩略图5005.JPG(MD5:96c48152249536d14eaa80086c92fcb9)
这个是 电子数据取证分析的常识可以积累一下
37.[多选题]阿力士iPhone XR中相片檔IMG_0056.HEIC提供了什么电子数据取证的信息?(3分)
A此相片是由隔空投送(Airdrop)得来
B.此相片由iPhone XR拍摄
C.此相片的拍摄时间为2021-10-21 17:45:48(UTC+8)
D.此相片的拍摄时间为2021-09-08 17:35:00(UTC+8)
这个要在数据库里面查看,所以要跳到数据库里面查看信息
38.[单选题] 阿力士iPhone XR中阿力士的电邮账户[email protected]的密码有可能是什么?(1分)
A.Ac19851016
B.Alex1985!
C.Aa475869!
D.以上皆非
这个找了好久发现在notes里面(众所周知记笔记是一个好习惯!!!)
39.[填空题]阿力士iPhone XR曾经连接Wifi"Alex Home”的密码是什么?(请以英文全大写及阿拉伯数字回答)(1分)
这个在密码里面打开之后 看用户的名字直接过滤也行
密码:12345678
40.[单选题] 阿力士iPhone XR经ICloud备份的最后时间是什么?(UTC+8)?(1分)
A.2021-10-21 17:51:38(UTC+8)
B.2021-10-21 18:02:13+(UTC+8)
C.2021-10-21 09:51:38(UTC+8)
D.2021-10-21 10:02:13+(UTC+8)
直接在设备信息里可以看到
41.[填空题]阿力士IPhone XR中的iBoot版本是iBoot-____?(请以阿拉伯数字回答,不用轮入”.”)(1分)
这个可以在文件系统里面找到(这个看好多才知道在这能看到,只能记住吧)
iBoot-6723.120.36
42.多选题阿力士IPhone XR中的WhatsApp群组【团购-新鲜猪肉牛肉-东涌群组-9/30】有以下哪一个成员?(2分)
在聊天中可以找到
43.[单选题]阿力士的计算机显示曾于hongkongcard.com的论坛登记成为会员,以下哪个是他的帐户密码?(3分)
A.Aa475869!
B.Bb475869!
C.Cd475869!
D.以上皆非
在搜索记录里面搜索一下hongkongcard.com,过滤出来
然后在笔记里面可以看到gmail的密码
44.[单选]阿力士的计算机显示阿力士曾用什么方法进入受害者(主管)的计算机?(1分)
A.远程操控
B.特洛伊木马程序
C.勒索软件
D.恶意软件
这道题简直在送分呀肯定是远程操控呀
45.[单选题] 续上题,阿力士最后一次进入受害者(主管)计算机的时间是什么?(2分)
A.于2021年10月18日 10时36分
B.于2021年10月18日18时36分
C.于2021年10月18日6时53分
D.于2021年10月18日18时42分
在控制信息里面可以看到
46.[填空题]阿力士的计算机显示他曾经使用FTP程序,FTP的主机IP地址是什麼?(请以亚拉伯数字作答,省去”.”符号)(2分)
直接在ftp软件里看
得到 218255242114
47[填空题]阿力士的计算机显示于2021年9月至2021年11月期间,计算机曾被登入过多少次?(请以阿拉伯数字回答)(1分)
在系统信息 账户登录可以看到
共28次
48[填空题]阿力士计算机所安装的Microsoft Office 2007 是以下哪一个版本?(请以亚拉伯数字作答,省去”.”符号)(2分)
在安装软件里可以看到
12.0.4518.1014
或者直接仿真出来看
49.[填空题]以下是阿力士计算机中的Basic data partition (EFI 3) 的Volume ID?(请以英文全大写及阿拉伯数字回答)(2分)
这个题不会然后在在网上搜了一下是
打开xways,找一下,分区
在 3\System Volume Information\SPP\OnlineMetadataCache:下面的两个文件都能看见VolumeID: {9705c469-7dca-4d55-ae76-7481b9f1428e}
50.[填空题]阿力士计算机的Window product ID是什么?(请以英文全大写及阿拉伯数字回答,不用输入”-”)(1分)
直接在系统痕迹,系统信息,系统信息里面可以找到
第50题答案为00331-10000-00001-AA411
51.[单选题]阿力士计算机曾经下载一张猴子的图片,以下哪一项描述正确?(1分)
A.该图片是由"https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSgn6ABvcqTfFPjclbjc9hdx1H4P1QsAuVyTQ&usqp=CAU”下载的
B.该图片经过加密
C.该图片于2021-09-30下载
D.该图片是由GIF档转换成PNG檔
看信息分析即可得出答案
52.[填空题] 阿力士计算机所安装的Microsoft Office 2007 的密钥是甚么?(请以英文全大写及阿拉伯数字回答,不用输入”-”)(1分)
在office里面工程文件夹里面可以找到key文件
V77WQ-RPVP6-7MTPG-WH3G9-D44M
53.[单选题] 阿力士FTP服务器用户使用命令行安装了甚么程序?(1分)
A.Docker
B.Chrome
C.FileZilla
D.TeamViewer
直接在取证大师里面看linux的终端记录
安装了docker
54.[多选题]以下哪些档案于阿力士FTP 服务器曾重复出现?(3分)
A.Material1
B.Material2
C.Material3
D.Staff1
E.Staff2
F.Staft3
直接在文件分类里面找Excel表格里面看
由图可知
55.[填空题]在阿力士FTP服务器中,文件夹___曾被用户变更了访问权限(请以英文全大写及阿拉伯数字回答)(2分)由图可知
寻找chmod命令看哪个文件被修改的权限
Dangerous_Project被修改了权限
56[填空题]在阿力士FTP 服务器建设后,有___个额外用户被加入 (请以阿拉伯数字回答)(2分)
寻找pure 命令寻找增加的用户
只加了1个用户wei
57.[单选题]根据阿力士FTP服务器设定显示,此服务器是以___方式连接网络,且是一个__网络状态(1分)
A.无线,公开
B.无线,私人
C.有线,公开
D.有线,私人
ip地址为公网的 故为有线 公开
58.[填空题]阿力士FTP 服务器设定最多使用者数目是_50__(请以阿拉伯数字回答)(2分)
找到配置文件然后打开查看
发现最大(max)50个
59.[填空题]阿力士FTP服务器使用Docker安装了一个FTP程序为____。(例如 space docker/1.1,请输入spacedocker/1.1,不要输入空格)(2分
寻找安装ftp的命令(这些都是基本的linux的命令)
故答案为stilliard/pure-ftpd。
60.[多选题] 阿力士FTP 服务器曾使用过甚么版本的Linux内核?(2分)
A. linux-headers-5.11.0-16
B.linux-headers-5.11.0-17
C.linux-headers-5.11.0-36
D.linux-headers-5.11.0-37
E.linux-headers-5.11.0-40
直接仿真出来然后输入 uname -r 查看内核版本
61.[多选题]阿力士FTP 服务器的磁盘分区,有以下哪一种文件系统?(2分)
A.FAT16
B.FAT32
C.ExFAT
D.HFS+
E.Ext4
直接查看ftp的文件系统类型
- [填空题]阿力士FTP服务器用户输入了指令___去检查现存的Docker容器(例 netstat lntp,清输入netstatlntp,不能输入空格)(3分)
又是一个考察linux的命令的 直接看
查看docker的命令为 dockercontainerps–a