点击上方蓝字“小谢取证”一起玩耍
前言
最近有段时间没更新文章,感谢9411个还一直关注着"小谢取证"的朋友们,小谢会继续坚持,继续努力带来有质量的文章。这期给大家分享自己写的2023年美亚杯资格赛实操部分的WP,有啥问题可以后台私信或者评论区留言,共同探讨,感谢!
2023年美亚杯资格赛网盘链接:https://pan.baidu.com/s/1T0hYmYmSGrS6zXlGJh0xGQ?pwd=sngc
2023年美亚杯资格赛VC容器密码:
3hqGFfT#B*Yjd74t@f%9fDqs6D^$wVjAvxZkA79*4UV*kVRcq^Zu6Xp87W*p#X3XD%*ER!nHzzTnSEMwy8NEGX6A*%P&#rBUkxypAPKwX4mP3WZuHnYKRc7sA33hd@qS
一、 案情简介
资格赛:
2023月8月的一天,香港警方在调查一起网络诈骗案件时,发现有三名本地男子,分別为李大輝(李大辉),浩賢(浩贤)和Elvis CHUI,并确信这三名被捕男子均为大学同学。怀疑三人背后涉及一个庞大的电信诈骗集团。于是将这三名本地男子拘捕,扣押了三人相关的电子设备并进行分析。
现在你被委派处理这件案件,请依据以下资料分析上述三人是否涉嫌犯罪,并还原事件经过。
二、 资格赛题解
3.1 李大辉的手机镜像(1-7题)
1、参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to answer below question 李大辉所用手机移动运营商公司的名称 What is the name of the telecommunication company that Li Dahui's mobile phone is using. 提示:请所有字母都用大写英文 Tips: Please answer in capital letters. (1分)
答案:DUCK
//
//
分析telephony.db数据库文件,找到siminfo表,分析出该表存储了SIM卡的信息,其中display_name是运营商公司的名称。
2、参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to answer below question 李大辉的手机安装了什么即时通讯软件 (Instant Messaging App)? What instant messaging app is installed on Li Dahui's mobile phone? (1分)
A:WhatsApp B:LINE
C:微信 D:Signal
E:QQ
答案:A C
//官方给出的答案是A 但是解出来还有微信,包括在data分区的app文件夹下有微信的安装包。
//data分区下也有微信的数据包
//知识点:
userdata分区下
/app/目录:用户自己安装的应用程序
/data/目录:应用的用户数据存储的位置
3、参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to answer below question 李大辉的手机安装了什么反追踪软件? What anti-tracking software is installed on Li Dahui's mobile phone? 提示: 所有答案字母都用小写字母并用xxx_xxx_xxxxxxx_xxxxxx_xxxx格式作答 Tips: Please answer the question as below format in lowercase letters. (1分)
答案:air_tag_tracker_detect_lite
localappstate.db数据库文件,该文件记录了本地应用状态信息
4、参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to answer below question 李大辉的手机是什么时间成功登入WhatsApp? At what time did Li Dahui's mobile phone successfully log into WhatsApp? (2分)
A:2022-08-18_21:52:30 B:2022-08-19_21:56:23
C:2022-08-18_21:56:37 D:2022-08-19_06:59:07
E:2022-08-19_07:01:17
答案:C
//验证码一般都是几分钟内有效,答案里符合的时间点只有C。
5、参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to answer below question 李大辉登入WHATSAPP时的认证短码是什么? What was the verification code that Li Dahui used to log into WhatsApp? 提示: 请以阿拉伯数字作答 Tips: Please answer in arabic numbers. (1分)
答案:304313
6、参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to answer below question 李大辉到美丽好化妆品公司的入职时间是何时?When did Li Dahui join the Beauty Good Cosmetics Company? (2分)
A:2016-04-16 B:2016-06-28
C:2017-05-25 D:2017-07-25
E:2017-08-18
答案:C
//在Excel文档分类里找到李大辉的职员证文件,查看HEX信息,实际上是PDF文件。找到该文件,将后缀名改为pdf后成功打开,发现入职日期为2017-05-25。类似该考点在2022年美亚杯个人赛的手机镜像也出现过。
7、参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to answer below question 李大辉曾于什么时间使用了图像编辑软件? At what time did Li Dahui use image editing software? (2分)
A:2022-09-10 B:2022-09-12
C:2022-10-05 D:2022-11-10
E:2022-11-13
答案:2022-10-11
3.2 嫌疑人的服务器镜像(8-14题)
8、参考Server文件夹下的 ' Meiya_VPN.vmdk ' 回答以下题目 With reference to ' Meiya_VPN.vmdk ' in Server folder to answer below question 这个访问服务器使用了哪个端口?Which port was used for this access server? 提示: 请用阿拉伯数字作答 Tips: Please answer in arabic numbers. (1分)
答案:943
9、参考Server文件夹下的 ' Meiya_VPN.vmdk ' 回答以下题目 With reference to ' Meiya_VPN.vmdk ' in Server folder to answer below question “User1”账户最近连接到这个访问服务器时使用的IP地址是多少?What was the latest IP of “User1” account that connected to this access server? 提示: 用IPV4 格式回答 Answer: Please answer in IPV4 format (1分)
答案:192.166.244.167
//法一:搜索User1关键词 先进行索引,索引后实时搜索未果,再使用原始数据进行搜索确定日志所在位置
法二:
该文件openvpnas.log文件导出,用Notepad++再次搜索User1, 即可得到最近访问服务器时间。
//解法二:在/usr/local/openvpn_as/etc/db目录下的log.db文件中记录着用户的登录记录,通过时间排序可以找到User1最后一次登录使用的真实IP为192.166.244.167。
10、参考Server文件夹下的 ' Meiya_VPN.vmdk '回答以下题目 With reference to ' Meiya_VPN.vmdk ' in Server folder to answer below question 哪些文件可以找出这个访问服务器的Ubuntu版本?Which files can find out the Ubuntu version of this access server? (1分)
A:lsb-release B:issue.net
C:.profile D:console
答案:AB
//.profile一般用于配置环境变量相关文件;console一般是终端输入输出内容。
// 直接定位到具体文件查看,一般在 /etc目录下或者文件进行搜索查看内容。
//这题给出的答案是要抛开案例本身来说,可以当成理论题做
法一:
//通过这个日志可以看出,将ens33的网卡重设为192.168.112.138 说明用的是192.168.112.138这个IP
法二:
法三:
//直接设一个虚拟网卡对其进行访问,但只有使用P@ssw0rd1234密码可以成功登录。另外T开头的那个密码却登录失败 这是为什么捏
26、参考' Mac OS.img ' 文件回答以下题目 With reference to ' Mac OS.img ' file to answer below question ' Mac OS.img ' 文件中可以找到多少个符号链接?How many symbolic links can be found in the ' Mac OS.img ' file? (1分)
A:0 B:1
C:2 D:3
答案:B
//符号连接是一种特殊的文件,它指向另一个文件或目录的路径名。它就像是一个快捷方式,当访问符号连接时,系统会自动跳转到它所指向的目标文件或目录进行操作。
27、参考' Mac OS.img ' 文件回答以下题目 With reference to ' Mac OS.img ' file to answer below question 在' Mac OS.img ' 档中使用了哪种分区方案?Which partition scheme was used in the ' Mac OS.img ' ? (2分)
A:Apple Partition Map B:GUID Partition Table
C:Master Boot Record D:HFS+
答案:B
28、参考' Mac OS.img ' '文件回答以下题目 With reference to ' Mac OS.img ' file to answer below question ' Mac OS.img ' 档的文件系统的正确描述是什么?What is the correct description of the file system in the ' Mac OS.img ' ? (1分)
A:HFS+(已启用日志记录)HFS+ (with journaling enabled)
B:HFS+(已启用区分大小写)HFS+ (with case sensitivity enabled)
C:HFS+(已启用日志记录和区分大小写)HFS+ (with journaling and case sensitivity enabled)
D:APFS (已启用区分大小写)APFS (with case sensitivity enabled)
答案:C
29、参考' Mac OS.img ' 文件回答以下题目 With reference to ' Mac OS.img ' file to answer below question 从文件“Car.rtfd”中删除了哪个文件?Which file was deleted from the file "Car.rtfd"? 提示:答案需包括副文件名,并以全小写字母作答,例如 answer.docx Tips: The answer must be in lowercase and include file extension. Example: answer.docx (1分)
(1)答案:yeah.jpg
//在苹果系统中,.rtfd文件是一种富文本格式目录(Rich Text Format Directory)文件。它与普通的.rtf(富文本格式)文件类似,但.rtfd文件可以包含 “附件”,比如图像、PDF、电子表格或其他文件。
以下是关于苹果系统中.rtfd文件的一些特点和相关操作:
1.文件结构:
1..rtfd文件实际上是一个 “包”(bundle),里面包含一个.rtf文件以及与其相关联的附件文件。当在苹果系统中使用支持的应用程序打开.rtfd文件时,文件的附件会显示在文档中。
2.打开方式:
1.苹果系统自带的应用程序如TextEdit(文本编辑)可以打开.rtfd文件。打开TextEdit后,选择 “文件”→“打开”,然后找到你的.rtfd文件即可。如果.rtfd文件中的附件是图像,双击图像可在苹果系统的预览程序中打开。
3.查看内容:
1.在苹果系统的访达(Finder)中,可以右键点击.rtfd文件,选择 “显示包内容” 来查看该文件包中包含的所有文件。这样能看到其中的.rtf文件以及相关的附件文件。
4.应用场景:
1.这种文件格式常用于需要在文本中嵌入其他文件或资源的场景,比如编写带有图片、图表等附件的文档,或者需要将多个相关文件整合在一起的情况。例如,在编写一份报告时,如果报告中需要插入图片、表格等内容,并且希望将这些内容与文本一起保存为一个文件,就可以使用.rtfd格式。
苹果的 “.DocumentRevisions-V100” 文件夹是 macOS 系统的版本数据库文件夹2。其主要作用和特点如下:
1.功能用途:
1.文档版本存储:此文件夹用于保存和检索文档的不同版本。在一些支持版本管理功能的应用程序(如 TextEdit、Keynote、Pages、Numbers 等)中,当用户保存文档时,系统会自动在这个文件夹中生成相应的备份文件,以便用户可以恢复到之前的版本。这类似于 Windows 系统中某些软件的自动备份功能,但在 macOS 中是系统层面的一种机制。
2.数据存储特点:
1.占用空间:随着时间的推移和文档的不断编辑修改,该文件夹可能会占用较大的磁盘空间。因为它几乎保存了文档的所有修改版本,对于频繁编辑文档的用户来说,这些版本数据会不断积累。
2.隐藏属性:它是一个隐藏文件夹,在 Finder 中默认是不可见的。用户需要通过在终端中输入特定命令或者在 Finder 中使用特定的快捷键组合(如 “Command+Shift+.”)才能查看。
//先用“Car.rtfd”关键词进行定位,找到其位置。
30.参考' Mac OS.img '文件回答以下题目
With reference to ' Mac OS.img ' file to answer below question
请提供' Mac OS.img ' 映像文件被“fsck”命令检查的具体时间。
Please provide the specific time when the ' Mac OS.img ' was checked by the "fsck" command.
提示:答案格式为YYYYMMDD-HHMMSS,如2023年1月1日1530时30秒则请回答"20230101-153030")
Tips: The answer format should be YYYYMMDD-HHMMSS. If the answer is 2023-01-01 1530 hrs, the answer should be 20230101-153030.
答案:20230713-082435
//HFS + 卷头部的十六进制特征值开头通常是 “48 2B”。但是如果是大小写敏感、日志式的 HFS + 卷(即 HFSX 卷),其卷头部的前两个字节特征值为 “48 58”。
在分析 HFS 卷头部时,除了关注开头的特征值外,还需要结合其他的结构信息和属性来准确判断是否为真正的 HFS 卷头部,因为单纯依靠这两个字节的特征值可能会存在误判的情况。
31、参考 ' Mac OS.img ' 文件回答以下题目 With reference to ' Mac OS.img ' file to answer below question 在 .dmg 档中删除了多少个文件?How many files were deleted from the .dmg file? (1分)
A:1 B:2
C:3 D:4
答案:D
//在苹果系统中,“trashes” 目录是用于存放被删除文件的特殊文件夹,主要分为以下两种情况:
1.本地磁盘的.trashes 目录:
1.位置:对于本地磁盘,每个用户在其主目录下有一个隐藏的.trashes文件夹。你可以通过在访达中选择 “前往文件夹”,然后输入 “~/.trashes” 来访问(需要按下 “Command + Shift +.” 组合键来显示隐藏文件和文件夹才能看到)。
2.作用:当用户在本地磁盘上删除文件时,这些文件会被移动到该用户的.trashes文件夹中。如果用户误删了文件,可以在废纸篓中找到并恢复这些文件,只要还没有清空废纸篓。
2.外接存储设备的.trashes 目录13:
1.位置:当你在苹果系统中删除外接存储设备(如移动硬盘、U 盘等)上的文件时,会在该存储设备的根目录下创建一个隐藏的.trashes文件夹。该文件夹用于存放从这个外接存储设备上删除的文件。
2.作用:与本地磁盘的.trashes文件夹类似,起到临时存放被删除文件的作用,以便用户在需要时可以恢复文件。如果要查看外接存储设备上的.trashes文件夹,同样需要在访达中显示隐藏文件和文件夹。
3.5 嫌疑人的计算机镜像(32-45题)
32、参考 ' Window Artifacts.E01 ' 内的Windows 注册表回答以下题目 With reference to ' Window Artifacts.E01 ' file to answer below question Elvis Chui 总共登入过该计算机多少次? According to the windows registry record of "Window Artifacts.E01", how many times has Elvis Chui logged into this computer? 提示: 请以阿拉伯数字作答 Tips: Please answer in arabic numbers (1分)
正确答案:11
//先搜索事件id4624 再到描述中过滤关键词“Elvis Chui”
33、参考 ' Window Artifacts.E01 ' 内的Windows 注册表回答以下题目 With reference to ' Window Artifacts.E01 ' file to answer below question 该计算机的操作系统是在哪一个时区? What is the time zone of the operating system of this computer? (1分)
A:UTC +4 B:UTC +8
C:UTC -8 D:UTC -4
答案:B
34、参考 ' Window Artifacts.E01 '内的Windows 注册表回答以下题目 With reference to ' Window Artifacts.E01 ' file to answer below question 该计算机的操作系统于何时安装? (以计算机系统时区回答) When was the operating system of this computer installed? (Answer in the time zone of the computer system) (1分)
A:2023-07-13 19:18:14 B:2023-07-13 11:18:14
C:2023-07-13 03:18:14 D:2023-07-12 19:18:14
答案:B
35、参考' Window Artifacts.E01 '内的Windows 注册表回答以下题目 With reference to ' Window Artifacts.E01 ' file to answer below question 哪(几)个程序会于操作系统启动时自动执行? Which program(s) would be automatically executed upon operating system startup? (1分)
A:Avast B:Steam
C:OneDrive D:QQ
答案:ABC
36、参考' Window Artifacts.E01 '内的Windows 注册表回答以下题目 With reference to ' Window Artifacts.E01 ' file to answer below question 该计算机内安装了以下哪一个程序? Which one of the following programs was installed on this computer? (1分)
A:QQ B:WPS Office
C:Opera D:Kaspersky
答案:B
37、参考' Window Artifacts.E01 '内的Windows 注册表回答以下题目 With reference to ' Window Artifacts.E01 ' file to answer below question 计算机内的OneDrive程序版本是什么? What is the version of the OneDrive program installed on this computer? (1分)
答案:21.220.1024.0005
38、参考' Window Artifacts.E01 '内的Windows 注册表回答以下题目 With reference to ' Window Artifacts.E01 ' file to answer below question 计算机有一个正在连接的网络接口,该接口连接DHCP服务器的IP地址是多少? What is the IP address of DHCP server. ? 提示: 以 IPV4格式回答 Answer: Please answer in IPV4 format. (1分)
答案:192.168.88.254
39、参考' Window Artifacts.E01 '内的Windows 注册表回答以下题目 With reference to ' Window Artifacts.E01 ' file to answer below question 该计算机何时连接过一只U盘? (以计算机系统时区回答) When was a USB flash drive last connected to this computer? (Answer in the time zone of the computer system) (1分)
A:2023-07-13 11:48:26 B:2023-07-13 03:48:29
C:2023-07-12 19:48:29 D:2023-07-13 11:48:29
答案:D
40、参考' Window Artifacts.E01 '回答以下题目 With reference to ' Window Artifacts.E01 ' file to answer below question Elvis Chui 将哪几个文本文件放在回收站中? Which text files did Elvis Chui put into the recycle bin? (3分)
A:$+D10I76A74P.txt B:Holiday schedule 2023-07-16.txt
C:Holiday schedule 2023-07-13.txt D:Minute on 2023-07-01.txt
E:Minute on 2023-07-10.txt
答案:BE
41、参考' Window Artifacts.E01 ' 回答以下题目 With reference to ' Window Artifacts.E01 ' file to answer below question Elvis Chui在什么时间删除了第一个文本文件? (以计算机系统时区回答) What time did Elvis Chui delete the first text file? (Answer in the time zone of the computer system) (3分)
A:2023-07-13 11:50:15 B:2023-07-13 03:49:45
C:2023-07-13 03:50:15 D:2023-07-13 11:49:45
答案:D
42、题目内容请看题目描述。(42) (2分)
参考 ' Window Artifacts.E01 '回答以下题目
With reference to ' Window Artifacts.E01 ' file to answer below question
Elvis Chui删除的第一个文本文件的文件名是什么?
What was the name of the first text file Elvis Chui deleted?
提示: 请用小写字母回答及需列明文件格式。如文件名字内有空格位置,请用_标示。例如: go_to_school.docx
Tips: Please use lowercase to answer the questions and mention the file extension. If a blank space is present, please use _ to represent the blank space. Example: go_to_school.docx
答案:holiday_schedule_2023-07-16.txt
43、参考 ' Window Artifacts.E01 ' 回答以下题目 With reference to ' Window Artifacts.E01 ' file to answer below question Elvis Chui删除的第一个文本文件在什么时间创建? (以计算机系统时区回答) When was the text file first deleted by Elvis was created? (Answer in the time zone of the computer system) (2分)
A:2023-07-13_11:42:39 B:2023-07-13_11:50:49
C:2023-07-13_11:49:45 D:2023-07-13_11:45:22
答案:D
//右键 跳转到原文件
44、参考 ' Window Artifacts.E01 ' 回答以下题目 With reference to ' Window Artifacts.E01 ' file to answer below question Elvis Chui计划于2023年7月15日20点5分有什么活动? What is Elvis Chui's plan at 8:05 PM on July 15, 2023? 提示: 答案请与文件内的文字与大细阶相同 Tips: Please answer the exact words and uppercase/lowercase leters shown in the file (1分)
答案:Movie
45、参考 ' Window Artifacts.E01 ' 回答以下题目 With reference to ' Window Artifacts.E01 ' file to answer below question 该计算机执行STEAM.EXE总共多少次? How many times has STEAM.EXE been opened on this computer? 提示: 请用阿拉伯数字作答 Tips: Please answer in arabic numbers (1分)
答案:7
3.7 嫌疑人的手机镜像(53-66题)
53、参考' IOS ' 文件夹回答以下题目 With reference to ' IOS ' to answer below question 根据 ' com.apple.ios.StoreKitUIService.plist ' , 这部电话是什么型号? According to ' com.apple.ios.StoreKitUIService.plist ', what is the model of this phone? (1分)
A:SAMSUNG S23 B:iPhone X
C:iPhone XR D:iPhone XS
E:iPhone 13
答案:C
54、参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' to answer below question 根据com.apple.ios.StoreKitUIService.plist,上述电话的文件系统是什么? According to com.apple.ios.StoreKitUIService.plist, what is the file system of the phone in question? (1分)
A:FAT32 B:NTFS
C:HFS+ D:APFS
E:EXT4
答案:D
55、参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' folder to answer below question 根据ChatStorage.sqlite,哪些对话已锁定? According to ChatStorage.sqlite where chats are stored, which conversations are locked? (3分)
A:447380449879@.whatsapp.net B:79096209701@.whatsapp.net
C:923109725619@.whatsapp.net D:85256026169@.whatsapp.net
E:status@broadcast
答案:ABC
//131072(二进制:100000000000000000)表示锁定会话状态,将ZFLAGS的值与131072做与运算,得到的值如果是131072,代表该会话已锁定,符合条件的只有ABC三个答案。
56、参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' folder to answer below question 根据ChatStorage.sqlite,有多少段录音对话? According to ChatStorage.sqlite, how many recorded conversations are there? 提示: 请以阿拉伯数字作答 Tips: Please answer in arabic numbers. (2分)
答案:45
//录音文件的后缀名为“opus”
57、参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' folder to answer below question Apple Cocoa Core Data timestamp 是由什么时间开始? From what time does the Apple Cocoa Core Data timestamp start? (1分)
A:2001年1月1日 B:1970年1月1日
C:2006年1月1日 D:1960年1月1日
答案:A
//使用百度搜索“Apple Cocoa Data timestamp”,可以确认时间戳的起始时间为2001年1月1日。
58、参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' folder to answer below question 根据Photos.sqlite数据库中,有多少段视频可能涉及WhatsApp? According to the Photos.sqlite database, how many videos may be related to WhatsApp? 提示: 请以阿拉伯数字作答 Tips: Please answer in arabic numbers (2分)
答案:7?10?//这题不确定,可能我的解题思路有误,请各位大神赐教
59、参考 ' IOS ' 文件夹回答以下题目 With reference to ' IOS ' to answer below question 根据Photos.sqlite数据库中,下列哪个选项对IMG_0008.HEIC的描述是错的? According to the ' Photos.sqlite ' database, which of the following descriptions of IMG_0008.HEIC is incorrect? (3分)
A:由第三方软件拍摄 B:经过修改
C:由后镜拍摄 D:用ISO200拍摄
E:没有储存经纬度
答案:ABDE
3.14 嫌疑人的win10镜像(88-89题)
88、题目内容请看题目描述。(88) (1分)
参考' Windows 10 ' 文件夹回答以下题目
With reference to ' Windows 10 ' folder to answer below question
在 Windows 10 中 \Users\qqqqq\Downloads,视频文件(mixkit-two-women-laying-together-925-medium.mp4),在MFT 中分成多少个Data Cluster 储存?
n Windows 10, the video file "mixkit-two-women-laying-together-925-medium.mp4" located at \Users\qqqqq\Downloads is stored in the Master File Table (MFT) using a series of data clusters. The exact number of data clusters used to store the file in the MFT is?
提示: 请以阿拉伯数字作答
Tips: Please answer in arabic numbers
答案:5
//
用winhex创建案例,加载打开镜像文件Windows 10 x64.vmdk,先使用过滤,再右键分区浏览递归进行查看即可。找出“mixkit-two-women-laying-together-925-medium.mp4”文件位置,再使用右键点击选择导航中的列出文件簇功能即可得。
89、题目内容请看题目描述。(89) (1分)
参考' Windows 10 ' 文件夹回答以下题目
With reference to ' Windows 10 ' folder to answer below question
在 Windows 10 中 \Users\qqqqq\Downloads\ mixkit-two-woman-laying-together-925-medium.mp4 的last Access 时间是多少?
In Windows 10, what is the last Access time of the file ' mixkit-two-woman-laying-together-925-medium.mp4 ' located in ' \Users\qqqqq\Downloads ' ?
A:2023/07/10 18:31:32 B:2023/07/10 18:31:01
C:2023/07/10 19:31:22 D:2023/07/11 19:31:22
答案:A
3.15 嫌疑人的win7镜像(90-96题)
90、题目内容请看题目描述。(90) (1分)
参考' Windows 7 ' 文件夹回答以下题目
With reference to ' Windows 7 ' folder to answer below question
在 Windows 7 中 \Users\Allen\Desktop,有1个MP3 文件 (例:unlock-me-149058.mp3),用户使用什么程序打开该MP3 文件?
In Windows 7, there is 1 MP3 file (unlock-me-149058.mp3) saved under the path ' \Users\Allen\Desktop. What program did the user use to open the mp3 file.
提示:请以小写字母作答
Tips: Please answer in lowercase letters.
答案:potplayer
//仿真打开即可
91、题目内容请看题目描述。(91) (1分)
参考' Windows 7 ' 文件夹回答以下题目
With reference to ' Windows 7 ' folder to answer below question
在 Windows 7 中 ' \Users\Allen\Desktop '有1个MP3 文件 (unlock-me-149058.mp3),该文件的Zone identiflier为'3'。上述'3'字代表哪一个security Zone ?
In Windows 7, there is one MP3 file (unlock-me-149058.mp3) saved under the path ' \Users\Allen\Desktop. The zone identiflier of above file is '3'. What security zone does '3' represent?
A:Local Machine Zone B:Internet Zone
C:Restricted Zone D:Trust Site Zone
答案:B
92、题目内容请看题目描述。(92) (1分)
参考' Windows 7 ' 文件夹回答以下题目
With reference to ' Windows 7 ' folder to answer below question
在 Windows 7 中 \Users\Allen\Desktop有1个MP3 文件 (unlock-me-149058.mp3),该文件从哪个网站下载?
In Windows 7, there is a MP3 file (unlock-me-149058.mp3) saved under the path ' \Users\Allen\Desktop. Which website was used to download the file?
A:www.Pixbay.com B:free-mp3-download.net/
C:https://mp3juices.nu D:mygomp3.com
答案:A
93、参考' Windows 7 ' 文件夹回答以下题目 With reference to ' Windows 7 ' folder to answer below question 在 Windows 7 中 \Users\Allen\Downloads 内有mp3文件 (miracle.mp3), 更改名称时间? In Windows 7, there is a MP3 file named "miracle.mp3 saved under the path ' \Users\Allen\Downloads." When was the file's name changed? (2分)
A:2023-07-13 02:55:20 B:2023-07-15 10:55:20
C:2023-07-12 10:58:04 D:2023-07-13 10:55:20
答案:D
//取证大师-文件溯源
94、题目内容请看题目描述。(94) (1分)
参考' Windows 7 ' 文件夹回答以下题目
With reference to ' Windows 7 ' folder to answer below question
在 Windows 7 中 \Users\Allen\Downloads 内有mp3文件 (miracle.mp3), mp3文件更改名称前的名称是什么?
In Windows 7, there is an MP3 file named "miracle.mp3 saved under the path ' \Users\Allen\Downloads." What was the name of the MP3 file before it was renamed?
提示: 请以与记录相同的名称与文件格式作答
Tips: Please answer the exact name and file extension of the file
答案:a-small-miracle-132333.mp3
95、参考' Windows 7 ' 文件夹回答以下题目 With reference to ' Windows 7 ' folder to answer below question 在 Windows 7中有多少个文件曾被potplayer 播放? In Windows 7, how many files have been played by potplayer? (1分)
A:7 B:8
C:9 D:10
答案:B
查看最近打开文档有8次音频播放记录。
96、题目内容请看题目描述。(96) (1分)
参考' Windows 7 ' 文件夹回答以下题目
With reference to ' Windows 7 ' folder to answer below question
在 Windows 7中, potplayer最后播放的文件名?
In Windows 7, what is the name of the file name of last file played by PotPlayer?
提示: 请以与记录相同的名称(包括小写字母、阿拉伯数字与符号)与文件格式作答
Tips: Please answer the exact name (including lowercase letters, arabic numbers and symbols) and file extension of the file
答案:unlock-me-149058.mp3
//仿真播放清单 即可看到
总结:
2023年美亚杯资格赛的整体难度比2022年的难度高出一大截。
首先从检材上来看,2022年美亚杯资格赛涉及到的检材有手机(两个苹果、一个安卓且能解析),计算机(嵌套一个搭建钓鱼网站的服务器),而2023年美亚杯资格赛涉及的检材有手机(一个安卓(与2022年李大辉手机同个检材,不同考题)一个苹果(不能常规解析))一个苹果镜像(不能常规解析),两个win10,一个win7,一个流量包,一个服务器。
其次,从知识点来看,两届美亚杯考核的知识点都涉及到日志分析,流量包解析,服务器解析,db文件解析。2023年美亚杯的手工解析、数据存储底层原理比2022年美亚杯多。
最后,从题型上看,2023年美亚杯资格赛多出理论题部分,涉及到一些与网络安全相关的知识点,且整体来看,题量上也多了近一倍。
综上所述,美亚杯的资格赛越来越要求参赛选手全面掌握电子数据取证的方方面面,唯有刷历年美亚杯(近4-5年)的题,精刷为突破口,找出其共性,
祝好。
敬请各位大佬关注:小谢取证
扫取二维码获取
更多精彩
小谢取证