2024“美亚杯”第十届中国电子数据取证大赛资格赛参考WP

文摘   2024-11-11 12:18   中国  

 不到美亚杯,难算取证人。流水的取证人,铁打的美亚杯,又是一年美亚杯,虽然不能参赛,但还是可以做做题目的嘛,每年的美亚杯题目质量都很高,考察技术的同时又贴合实战,还需要细心去发掘一些细节,正好好久没有更新了,刷刷今年的美亚杯题目吧。


文中的思路仅代表个人观点,如有错误之处请大佬指正,具体答案以官方公布为准,欢迎后台加微信一起交流学习


检材链接(来自美亚官方):https://pan.baidu.com/s/1ajsVB_15aJ4mzTvd5rHSkQ?pwd=pv1h容器密码:eS2%u@q#hake2#Z@6LWpQ8^T(R7cg95m\Bv+y;$=/dqxYnEusFf)tb>:HKHwy+e%cR\r=9j:GsK)AV52/3hXfdv8#u7a6JQ^pz><YPNkq*!&



01

案情简介


2024年8月某日,香港警方接获一名本地女子Emma报案,指她的姐姐Clara失联多天,希望报告一宗失踪人口的案件。现在你被委派处理这宗案件。在处理该案件期间,你在Emma的同意下提取了她手机的资料,并且协助警方对Clara及其丈夫David的电子装备进行取证工作。请分析以下的资料,还原事件经过



02


检材列表


Emma的iOS手机镜像档案(Emma_Mobile_Image.zip) 

Clara的安卓手机镜像档案(Clara_Smartphone.bin)

David的Windows系统计算器镜像档案(David_Laptop_64GB.e01)

David的8GB U盘镜像档案(David_USB_8GB.e01)

David的安卓手机镜像档案(David_Smartphone_1.zip) 

David的Windows系统计算器内存档案(RAM_Capture_David_Laptop.raw)



03


题目


1. [单选题] Emma已经几天没有收到她姐姐Clara的消息了,报警失踪,她焦虑地将手机提交给警察,希望能找到线索。警察将手机交给你进行电子数据取证。你成功提取了Emma手机的镜像。请根据取证结果回答以下问题。根据Emma_Mobile.zip,Emma和Clara的微信聊天记录,Emma最后到警署报案并拍摄写有报案编号的卡片,拍摄时的经纬值是多少?(2分)

A. 22.451721666667, 114.171853333333

B. 22.451553333333, 114.172845

C. 22.451928333333, 114.170503333333

D. 22.451638333333, 114.16993

A. 22.451721666667, 114.171853333333

Emma的手机镜像不好解析,可以先通过Clara的看

在Clara和Emma的微信聊天记录中可以找到

找到该图片为27fc50969457c7db12944eb84a36d955.jpg

但是在图片的Exif信息中并没有记录拍摄时的经纬度

在Emma手机的微信聊天数据库message_2.sqlite中找到对应的记录

其中的CDATA部分指向了一个UUID,在Photos.sqlite数据库中搜索F58B98FE-8010-44B7-8BF7-F23AF15DCFCA,找到了IMG_0019.HEIC

对应的经纬度值为22.4517216666667,114.171853333333

A选项可能是少打了一个6


2. [单选题] 根据Emma_Mobile.zip,2024年8月30日下午两点后Emma共致电Clara多少次?(1分)

A. 85

B. 86

C. 87

D. 88

D. 88

在AddressBook.sqlitedb.db的ABPersonFullTextSearch_content表中可以找到Clara的电话号码为63791704

在CallHistory.storedata.db的ZCALLRECORD表中找到通话记录

时间戳可以用DCode解密

从746692798.229586以后才是2024年8月30日下午两点后

SQL语句筛选一下


3. [单选题] 根据Emma和Clara的微信聊天记录,Clara失踪前曾告诉Emma会到哪里?(1分)

A. 到酒店和丈夫David庆祝结婚周年

B. 吃自助餐

C. 约了朋友见面

D. 去旅行

A. 到酒店和丈夫David庆祝结婚周年

查看微信聊天记录可以看到Clara说要和David一起庆祝结婚周年


4. [填空题] 参考Emma_Mobile.zip,Emma的iPhone XR内微信应用程序的版本是多少?(2分)

8.0.50

从Manifest.plist中找到

或者直接在火眼解析出来的应用列表中查看


5. [多选题] 参考Emma_Mobile.zip,Emma手机中下列哪个选项是正确的?(2分)

A. iOS版本为17.6.1

B. IMEI为356414106484705

C. Apple ID为Emma1761@gmail.com

D. 手机曾经安装Metamask应用程式

B. IMEI为356414106484705D. 手机曾经安装Metamask应用程式

iOS版本为17.5.1

IMEI为356414106484705

Apple ID为emmaemma.851231@gmail.com

安装了Metamask


6. [填空题] 参考Emma_Mobile.zip,Emma手机中Apple ID的注册电子邮箱是多少?(2分)

emmaemma.851231@gmail.com


7. [填空题] 参考Emma_Mobile.zip,在2024年,Emma手机上曾记录的电话卡集成电路卡标识符(ICCID)是多少?(答案格式:只需使用阿拉伯数字回答)(2分)

8985200000826445829


8. [填空题] 参考Emma_Mobile.zip,Emma手机的蓝牙设备名称"ELK-BLEDOM"的通用唯一标识符(UUID)是什么?(1分)

8D13F23C-E73C-6A98-AA4F-16C8D7A5F826

在com.apple.MobileBluetooth.ledevices.other.db的OtherDevices表中可以找到


9. [单选题] 你发现了一些线索,Emma看起来也很可疑,她似乎背负了大量债务。参考Emma_Mobile.zip,Emma手机内Safari浏览记录中网页"https://racing.hkjc.com/"的网站标题是什么?(1分)

A. 香港马会奖券有限公司

B. 六合彩 - Google 搜索

C. 快易钱:网上贷款财务公司 | 足不出户现金即日到手

D. 赛马信息 - 香港赛马会

D. 赛马信息 - 香港赛马会

在History.db的history_items表中找到该网址的记录

在history_visits表中找到对应的网站标题为賽馬資訊 - 香港賽馬會


10. [单选题] 参考Emma_Mobile.zip,Emma向Clara透露什么原因令Emma欠下巨债?(1分)

A. 投资孖展

B. 虚拟货币失利

C. 网上赌博

D. 以上皆是

D. 以上皆是


11. [单选题] 参考Emma_Mobile.zip,收债人要求Emma还款数量?(1分)

A. 港币$786,990

B. 港币$878,990

C. 港币$786,980

D. 港币$745,330

C. 港币$786,980


12. [单选题] 参考Emma_Mobile.zip,Emma发送了多少张.PNG图片给Clara,证明自己正被人追债?(2分)

A. 6

B. 7

C. 8

D. 9

B. 7

一共七张图片




13. [单选题] 参考Emma_Mobile.zip,Emma用来浏览虚拟货币的网址?(2分)

A. Google.com

B. Facebook.com

C. IntellaX.io

D. Yahoo.com

C. IntellaX.io

排除法也可以做出来


14. [单选题] 参考Emma_Mobile.zip的浏览器记录,有多少网址与bet365有关? (2分)

A. 3

B. 13

C. 9

D. 12

A. 3

浏览器记录在History.db、SafariTabs.db、Bookmarks.db这三个数据库中

在History.db中搜索bet365无相关记录

在SafariTabs.db中可以搜索到一条记录

在Bookmarks.db中可以搜索到两条记录

这三条记录指向的URL都是相同的

15. [单选题] 你还发现了一些与不当使用他人加密钱包相关的痕迹。参考Emma_Mobile.zip,Emma用了哪些恢复短语(Recovery Phrase)进入David的虚拟货币账户?(2分)

A. stock,avocado,grab,clay

B. light,sadness,segment,ancient

C. toe,talk,elder,oil

D. 以上皆是

D. 以上皆是


16. [单选题] 参考Emma_Mobile.zip,Emma从David处窃取的虚拟货币的名称是什么?(2分)

A. IDFC

B. ICAC

C. INIC

D. IFCC

A. IDFC

在Clara与Emma的微信聊天记录中,Clara给Emma展示过David的加密货币IDFC余额

可以看到Clara是给Emma发送过Recovery seed的,对应了上题的图片

随后就提到了David钱包中的IDFC被人窃取

最后Emma承认了是自己偷了David加密货币


17. [单选题] 参考Emma_Mobile.zip,Clara偷拍的照片中,David的虚拟货币余额是多少?(2分)

A. 3266378.99

B. 1044749.22

C. 5022915.66

D. 7822468.44

C. 5022915.66


18. [单选题] 参考Emma_Mobile.zip,Emma在偷窃David的虚拟货币前,Emma曾向Clara透露有什么事发生在Emma身上?(1分)

A. 中彩票

B. 欠债

C. 升职

D. 失业

B. 欠债


19. [多选题] (你查看了Emma手机中的一些照片数字信息,以获取更多与失踪案件的信息)Emma的iPhone XR中"IMG_0008.HEIC"的图像与相片名字为的"5005.JPG" 看似为同一张相片,在数码法理鉴证分析下,以下哪样描述是正确?(3分)

A. 储存在不同的.db檔案里

B. 有不同哈希值

C. IMG_0008.HEIC为原图,"5005.JPG"为并非原图

D. IMG_0008.HEIC和名字"5005.JPG"是同一张相片

B. 有不同哈希值C. IMG_0008.HEIC为原图,"5005.JPG"为并非原图

HEIC为iOS和macOS的专有格式,一般苹果设备拍摄的照片原图是HEIC格式的,JPG格式可能为缩略图,它们的哈希值不同


20. [单选题] 参考Emma_Mobile.zip,Emma的iPhone XR中"IMG_0009.HEIC" 的图像显示拍摄参数怎样?(2分)

A. iPhone XR back camera 4.25mm f/1.8

B. iPhone XR back camera 4.25mm f/2.8

C. iPhone XR back camera 4.25mm f/2

D. iPhone XR back camera 4.25mm f/1.6

A. iPhone XR back camera 4.25mm f/1.8

在数据库中查找到了A选项的拍摄参数

找到IMG_0009.HEIC相关信息

对比拍摄时的经纬度

和第5条记录可以对上

21. [多选题] 参考Emma_Mobile.zip,Emma的iPhone XR中相片文件IMG_0009.HEIC提供了什么电子证据信息?(3分)

A. 此相片是由隔空投送 (Airdrop)得来

B. 此相片由iPhone XR拍摄

C. 此相片的拍摄时间为2024-08-05 13:38:15(UTC+8)

D. 此相片的拍摄时间为2024-08-06 08:30:52(UTC+8)

B. 此相片由iPhone XR拍摄C. 此相片的拍摄时间为2024-08-05 13:38:15(UTC+8)

由上题可知该照片是由iPhone XR拍摄

拍摄时间为2024:08:05 13:38:15


22. [多选题] 参考Emma_Mobile.zip,Emma的iPhone XR内以下哪张照片是实况照片(Live Photos)?(2分)

A. IMG_0002.HEIC

B. IMG_0005.HEIC

C. IMG_0004.HEIC

D. IMG_0006.HEIC

B. IMG_0005.HEICD. IMG_0006.HEIC

数据库中搜索IMG_000,得到如下结果

个人理解是IMG_0005.HEIC和IMG_0006.HEIC这两张图片都有对应的PNG,苹果的实况图片格式为HEIC,对应的PNG应该是其中某一帧的静态图片,而IMG_0002.HEIC和IMG_0004.HEIC没有单独的PNG静态图片,应该本身就不是实况图


23. [单选题] 参考Emma_Mobile.zip,手机里有多少张照片是用手机后置摄像镜头拍摄的? (2分)

A. 5

B. 6

C. 7

D. 8

D. 8

数据库中搜back camera,共8条结果


24. [单选题] 参考Emma_Mobile.zip的通讯记录,MesLocalID 224是什么类的文件?(3分)

A. 相片

B. 影片

C. 文件

D. 报表

A. 相片

在message_2.sqlite中,为img相片文件


25. [单选题] 依据你在Emma的手机上找到的照片,你告诉调查员Clara最后的位置是在湾仔的一家酒店。根据你提供的信息,调查员发现Clara在酒店去世,Clara的手机在她的附近,你对Clara的手机进行取证。请根据取证结果回答以下问题。 参考Clara_Smartphone.bin,Clara手机的Android操作系统版本是?(1分)

A. 8.0.0

B. 9.0.0

C. 8.1.0

D. 7.0.0

A. 8.0.0


26. [填空题] 参考Clara_Smartphone.bin,Clara手机的版本号(Build Number)是什么?(1分)

OPR1.170623.026

在build.prop中的ro.build.id


27. [填空题] 参考Clara_Smartphone.bin,Clara手机的IMEI号码是多少?(答案格式:只填写阿拉伯数字部分) (1分)

351537092934716

使用某些软件的时候会记录当前设备的信息,在data分区的data目录中全局搜索imei关键词,在淘宝的数据目录中找到了设备的IMEI


28. [填空题] 参考Clara_Smartphone.bin,Emma的微信账号是?(2分)

wxid_t7zgo57j9m0j22


29. [单选题] 参考Clara_Smartphone.bin,Clara的第一封电子邮件记录的日期?(2分)

A. 2024-07-10

B. 2024-07-18

C. 2024-07-23

D. 2024-07-30

A. 2024-07-10


30. [单选题] 参考Clara_Smartphone.bin,在通讯录中"David"的联系人信息还包括什么? (2分)

A. 出生日期

B. LinkedIn

C. 电子邮件

D. 地址

B. LinkedIn


31. [单选题] 参考Clara_Smartphone.bin,David和Clara之间通话次数? (2分)

A. 0

B. 8

C. 10

D. 24

B. 8


32. [单选题] 参考Clara_Smartphone.bin,Clara在Chrome浏览器搜索中哪天使用了关键词"popmart 炒价"? (2分)

A. 2024-08-10

B. 2024-08-15

C. 2024-08-20

D. 2024-08-25

B. 2024-08-15


33. [单选题] 参考Clara_Smartphone.bin,2024年7月30日共收到多少封电子邮件?(2分)

A. 2

B. 3

C. 4

D. 5

C. 4


34. [填空题] 参考Clara_Smartphone.bin,Clara的Gmail账号是? (2分)

clara.ccc0807@gmail.com


35. [单选题] 参考Clara_Smartphone.bin,Clara的手机安装了哪个版本的WhatsApp?(2分)

A. 241676000

B. 241676001

C. 241676004

D. 241676007

C. 241676004

导出WhatsApp的安装包

GDA反编译查看AndroidManifest


36. [填空题] 参考Clara_Smartphone.bin,Clara的WhatsApp账号?(答案格式:只需填写11位阿拉伯数字) (2分)

85263791704


37. [单选题] 参考Clara_Smartphone.bin,Clara的手机在什么时候安装了小红书APP?(2分)

A. 2024-07-10

B. 2024-07-16

C. 2024-07-20

D. 2024-07-30

B. 2024-07-16


38. [单选题] 参考Clara_Smartphone.bin,2024年8月21日David的虚拟貨幣钱包里有多少IDFC?(3分)

A. 5022915.66

B. 3212695.22

C. 210355633.91

D. 以上皆不是

A. 5022915.66


39. [填空题] 参考Clara_Smartphone.bin,Clara注册的微信账号验证码是多少?(2分)

945025


40. [填空题] 参考Clara_Smartphone.bin,David为庆祝结婚周年纪念预订了哪家酒店?提示:请使用大写英文字母作答,例如:HONG KONG HOTEL) (3分)

CONRAD HONG KONG


41. [填空题] 参考Clara_Smartphone.bin,哪个数据库文件存储了微信消息?(答案格式:只需使用全部大写回答, 例如:ABC.DB) (3分)

ENMICROMSG.DB


42. [填空题] 参考Clara_Smartphone.bin,哪个数据库文件(.db)存储了WhatsApp訊息?(3分)

msgstore.db


43. [单选题] 参考Clara_Smartphone.bin,Clara在2024年8月29日拍了多少张照片?(2分)

A. 0

B. 3

C. 4

D. 5

B. 3


44. [单选题] 参考Clara_Smartphone.bin,Emma在2024年8月6日通过微信发送了多少张照片给Clara? (2分)

A. 0

B. 1

C. 5

D. 12

A. 0

8月6日没有发送过


45. [填空题] 参考Clara_Smartphone.bin,照片20240829_144717.jpg的拍摄相机型号是什么?(2分)

LG-H930


46. [单选题] 参考Clara_Smartphone.bin,20240821_121435.jpg的储存路径是什么?(2分)

A. /media/0/DCIM/Camera

B. /media/1/DCIM/Camera

C. /media/00/DCIM/Camera

D. /media/11/DCIM/Camera

A. /media/0/DCIM/Camera


47. [填空题] 参考Clara_Smartphone.bin,2024年8月20日有多少张截图?(2分)

4


48. [单选题] 参考Clara_Smartphone.bin,2024年8月22日被删除微信消息的类型是?(3分)

A. 照片

B. 视频

C. 文本

D. 以上都不是

A. 照片

是Recovery seed的照片


49. [填空题] 你在查看Clara的手机镜像后,确定Clara是David的妻子,调查员通过查询酒店预订记录确认了这一点。他们现在定位David的住所,以进行进一步调查。你首先分析David的手机。参考David_Smartphone_1.zip,根据Contents.db,David手机接收了通讯软件"Telegram"的验证短信,该验证码是多少?(3分)

84298


50. [填空题] 参考David_Smartphone_1.zip,David把手机设置为个人热点,请找出个人热点的密码。(3分)

wdfj5674


51. [判断题] 参考David_Smartphone_1.zip, David 手机曾连接名为"MTR Free Wi-Fi" 的Wi-Fi 。 (2分)

正确


52. [填空题] 参考David_Smartphone_1.zip,根据com.tencent.mm_preferences.xml,David的手机最后登录微信的微信ID是?(3分)

wxid_rni3m2o8ngxe22


53. [填空题] 参考David_Smartphone_1.zip,请指出哪一张图片是于2024年8月28日利用屏幕截取的。(答案格式:ABC_123.jpg) (3分)

Screenshot_20240828-153836_Gmail.jpg


54. [填空题] 参考 David_Smartphone_1.zip,根据Contents.db,David手机的型号(Model)?(答案格式:大写英文字母和符号'-' 混合组成) (2分)

SM-G9500


55. [填空题] 参考 David_Smartphone_1.zip的Contents.db,David所使用的手机SIM 卡的序号?(答案格式:只需要用阿拉伯数目字回答) (1分)

8985200000827530728


56. [填空题] 参考 David_Smartphone_1.zip,David手机安装了应用程序"MetaMask"。根据persist-root中,"MetaMask"钱包内有多少个账号?(3分)

4

解析AccountTackerController


57. [单选题] 参考 David_Smartphone_1.zip,根据persist-root中,何时从应用程序"MetaMask"发送虚拟货币至以下地址: 0X10A4F01B80203591CCEE76081A4489AE1CD1281C (3分)

A. 2024-08-11 1249(GMT+8)

B. 2024-08-14 1658 (GMT+8)

C. 2024-08-14 1659 (GMT+8)

D. 2024-08-16 1724 (GMT+8)

B. 2024-08-14 1658 (GMT+8)

解析TransactionController

找到交易记录对应时间戳

时间戳转换


58. [单选题] 参考 David_Smartphone_1.zip,David曾利用手机应用程序"MetaMask"三次发送虚拟货币失败。根据persist-root,发送虚拟货币失败的原因是什麼?(3分)

A. 网络连接问题

B. 应用程序权限被拒

C. 接收地址错误

D. 手续费不足

D. 手续费不足

解析TransactionController可以找到三处status为failed的交易记录,message都是因为手续费不足


59. [单选题] 你根据易失性(Volatility Level)优先次序,进行内存取证分析David的笔记本电脑。参考RAM_Capture_David_Laptop.RAW,以下哪一个不是程序"firefox.exe"的PID?(2分)

A. 9240

B. 8732

C. 5260

D. 3108

C. 5260

lovelymem一把梭


60. [填空题] 参考RAM_Capture_David_Laptop.RAW,汇出PID:724的程序,其哈希值(SHA-256)是?(2分)

fee23ebcba02987e70d81ca1924c2e9c69d79ac2afea5bbde4fb335a57d4b30c

使用lovelymem加载会自动用MemProcFS挂载,找到其中PID为724的lsass.exe程序,计算SHA256哈希值


61. [单选题] 参考RAM_Capture_David_Laptop.RAW,哪一个是执行PID:724程序的SID?(1分)

A. S-1-1-0

B. S-1-2-0

C. S-1-5-21-1103701427-1706751984-2965915307-1001

D. S-1-5-21-1103701427-1706751984-2965915307-513

A. S-1-1-0


62. [填空题] 参考RAM_Capture_David_Laptop.RAW,账户David Tenth的NT LAN Manager的哈希值(NTLM Hash)?(答案格式:只需使用全部小写及阿拉伯数字回答) (1分)

e14a21fefc5dd81275bb87228586cffc


63. [单选题] 在取证中,你发现D盘被BitLocker加密。U盘上可能有一些线索,你对U盘进行了取证。参考David_USB_8GB.e01,David 的U盘文件系统的格式?(2分)

A. NTFS

B. FAT32

C. exFAT

D. ReFS

A. NTFS

使用X-Ways加载


64. [单选题] 参考David_USB_8GB.e01,David的U盘文件系统中,每簇(Cluster)定义了多少字节(Byte)?(2分)

A. 128

B. 256

C. 512

D. 1024

C. 512


65. [单选题] 参考David_USB_8GB.e01,David的U盘中有多少个已删除的文件?(2分)

A. 1

B. 2

C. 3

D. 4

A. 1


接下来的文件系统和逆向部分可以看 取证布衣 大佬的 第十届美亚杯个人赛内存和优盘解答


80. [单选题] 参考David_USB_8GB.e01,解密后的Bitlocker Key是?(3分)

A. 299255-418649-198198-616891-099682-482306-642609-483527

B. 745823-918273-564738-290183-475920-182736-594827-162839

C. 539823-847291-094857-194756-382910-472918-482937-120984

D. 829384-192837-475910-298374-019283-847362-564738-293847

A. 299255-418649-198198-616891-099682-482306-642609-483527


81. [单选题] 到目前为止,你已经获得了BitLocker密钥以解密D盤,通过对David笔记本电脑D盤的分析,并发现了一些重要信息。你现在将继续调查未加密的C盤。 参考David_Laptop_64GB.e01,分区格式(Partition)是?(2分)

A. MBR

B. GPT

C. RAW

B. GPT


*82. [单选题] 参考David_Laptop_64GB.e01,該e01成功提取的日期和时间是?(2分)

A. 2024-09-05 15:55:28

B. 2024-09-02 11:52:31

C. 2024-09-03 14:37:28

D. 2024-09-03 12:16:49


获取镜像的时间应该是2024-09-09 16:37:36


83. [填空题] 参考David_Laptop_64GB.e01,最后登录的用户是谁?(答案格式:大写英文字母,小写英文字母和空格混合组成,例如:Tom Hanks) (2分)

David Tenth


84. [单选题] 参考David_Laptop_64GB.e01,用户配置的时区是?(2分)

A. Australian Central Time

B. China Standard Time

C. New Zealand Standard Time

D. Nepal Time

B. China Standard Time


85. [单选题] 参考David_Laptop_64GB.e01,David的笔记本电脑曾經连接了多少个设备?(2分)

A. 1

B. 2

C. 3

D. 4

C. 3


86. [填空题] 参考David_Laptop_64GB.e01,David的笔记本电脑上的Firefox浏览器安装了哪些扩展工具?(答案格式:请以大寫英文字母作答,无须留空白位) (2分)

METAMASK


87. [单选题] 参考David_Laptop_64GB.e01,根据用户配置文件中的.lnk文件,最后访问的文件名称是?(2分)

A. 下載

B. export-token

C. RAM_Capture_DaviD

D. 本機磁碟(E) (2)

B. export-token

仿真后win+r,输入recent,按修改时间倒序排列


88. [单选题] 参考David_Laptop_64GB.e01,David的笔记本电脑曾經连接了多少个不同的Wi-Fi? (2分)

A. 1

B. 2

C. 3

D. 4

A. 1


89. [填空题] 承上题,参考David_Laptop_64GB.e01,该Wi-Fi网络的名称(SSID)是?(答案格式:大写英文字母和小写英文字母混合组成) (2分)

ErrorError5G


90. [单选题] 参考David_Laptop_64GB.e0,该电脑的Windows操作系统的安装日期是什么?(2分)

A. 2024-07-31 09:55:37 UTC+8

B. 2024-08-01 13:10:15 UTC+8

C. 2024-07-31 10:18:26 UTC+8

D. 2024-08-01 14:43:55 UTC+8

C. 2024-07-31 10:18:26 UTC+8


91. [单选题] 通过对David 笔记本电脑的电子数据取证和痕迹分析,你了解到David是一名cryptocurrency专家。(假設虚拟貨幣International Digital Forensics Coin (IDFC)面值是每1個IDFC等如1-HKD IDFC Token Address: 0x56E7A6dd8aA1c78ba77944C94c43054978E89b7b 區塊鏈: Binance Smart Chain) 下列那个网站能够找到区块链:Binance Smart Chain的交易记录?(1分)

A. binance.com

B. bscscan.com

C. etherscan.io

D. blockchain.com

B. bscscan.com

对其Firefox浏览器历史记录进行分析,发现使用的是bscscan.com


92. [单选题] 参考Emma_Mobile.zip中的微信聊天记录分析,Emma用什么方法盜取David的IDFC?(1分)

A. Emma经Clara盗取了David虚拟货币钱包的私匙(Private Key)

B. Emma经Clara盗取了David虚拟货币钱包的公匙(Public Key)

C. Emma经Clara盗取了David虚拟货币钱包的回复匙(Recovery seed)

D. Emma盗取了David电话

C. Emma经Clara盗取了David虚拟货币钱包的回复匙(Recovery seed)

Emma通过Clara获取到了David虚拟货币钱包的Recovery seed,从而盗取了David的IDFC


93. [单选题] 根据David,Emma及Clara的微信对话,David在什么日期时间发现IDFC被盗?(1分)

A. 2024-8-22 18:06

B. 2024-8-28 09:14

C. 2024-8-28 09:57

D. 2024-8-29 15:52

C. 2024-8-28 09:57


94. [单选题] 参考Emma_Mobile.zip中的微信对话分析,Emma为什么盜取David的IDFC?(1分)

A. Emma为了买名贵手表

B. Emma为了赌钱

C. Emma为了炒卖虚拟货币

D. Emma为了还财务公司的欠债

D. Emma为了还财务公司的欠债


95. [单选题] 参考David_Laptop_64GB.e01及David,Emma及Clara的微信对话,分析IDFC的交易记录,Emma盜取了David虚拟货币钱包内哪个地址的IDFC? (2分)

A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c

B. 0x152c90200be61a540875f2a752c328bd19dbfb87

C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220

D. 0x70544880875fe907cee383873ca58da23378caa5

A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c

在David电脑D盘中有交易记录文件export-token-0x56E7A6dd8aA1c78ba77944C94c43054978E89b7b.csv

根据Clara与David的微信聊天记录,David是在2024-08-28上午9点多发现IDFC被人盗取,进行交易的时间应该是在2024-08-28上午9点之前

记录中符合时间条件的选项只有A


96. [单选题] 根据David,Emma及Clara的微信对话及IDFC的交易记录作分析,Emma总共盗取了David多少IDFC?(2分)

A. 90,000 IDFC

B. 170,000 IDFC

C. 9,300,000 IDFC

D. 9,390,000 IDFC

A. 90,000 IDFC


97. [多选题] 根据Emma及Clara的微信对话,下列哪些地址是由相同的恢复短语(Recovery Seed)所生成?(3分)

A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c

B. 0x152c90200be61a540875f2a752c328bd19dbfb87

C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220

D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042

A. 0x10a4f01b80203591ccee76081a4489ae1cd1281cB. 0x152c90200be61a540875f2a752c328bd19dbfb87C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220

使用bip39-standalone,用恢复短语生成地址

可以看到ABC三个选项的地址都可以被生成


98. [单选题] 根据IDFC的交易记录作分析,总共有多少次IDFC交易流入地址0x10a4f01b80203591ccee76081a4489ae1cd1281c?(1分)

A. 0

B. 1

C. 2

D. 3

C. 2

筛选To这一列,可以看到有2次交易


99. [单选题] 参考David_Laptop_64GB.e01,在David计算机的D盘内有一张图片,根据图片上的信息,找出David另一个虚拟货币钱包的恢复短语(2)(Recovery Seed),下列哪一个单词是在此恢复短语(2)(Recovery Seed)内?(3分)

A. fall

B. bread

C. brain

D. dove

D. dove

找到该图片

只能看到两个完整的单词infant和fragile,在内存镜像中搜索这两个关键词可以找到所有恢复短语


100. [多选题] 承上题,参考David_Laptop_64GB.e01,在IDFC的交易记录中,下列哪些地址由上述恢复短语(2)(Recovery Seed)所生成?(2分)

A. 0xb2e3dbea311511ec5bda3e85e061f15366f888a6

B. 0xe90ad3f80e39e83b533eef3ed23c641ec51089c6

C. 0x90f73497E4446f6Cf9881213C32D6af66d799fE5

D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042

C. 0x90f73497E4446f6Cf9881213C32D6af66d799fE5D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042

拿到了所有的恢复短语infant fragile garlic bracket stove blade stick dove aerobic spin term educate

使用bip39-standalone恢复

Derivation Path选择BIP44

生成的地址中在IDFC的交易记录中的只有CD选项



04


案情梳理


大体案情应该是Emma与自己的姐姐Clara在微信中讨论关于奢侈品的时候和自己的姐姐提到了自己负债累累,Clara无意中透露给了Emma自己的丈夫David在玩虚拟货币的情况,在Emma的诱骗下,Clara泄露了David的虚拟币钱包助记词,Emma通过助记词获得了David的虚拟币钱包,并盗取了其中的IDFC。David发现IDFC被盗后第一时间怀疑了Clara,Clara询问Emma,Emma一开始装作不知情,最后还是承认自己窃取了David的IDFC,Clara说自己会找机会跟David讲的,刚好碰上了Clara和David的结婚周年纪念日,可能是俩人在酒店庆祝时Clara跟David讲出了事情的原委,或者是David翻看Clara的手机看到了与Emma的聊天记录,导致David起了杀心,杀害了妻子Clara,随后Emma联系不上Clara,无奈之下只好报案请求警察帮助







DFIR蘇小沐
致力于电子数据取证(数字取证)与事件应急响应实战技术经验分享,计算机取证、手机取证、网络取证与犯罪调查、数据恢复、模糊图像增强、司法鉴定等技术研究【蘇小沐】
 最新文章