电子取证-美亚杯2024

美亚杯2024电子取证题解

案件背景，Emma 已经几天没有收到她姐姐 Clara的消息了，报警失踪, 她焦虑地将手机提交给警察,希望能找到线索｡警察将手机交给你进行电子数据取证｡你成功提取了Emma手机的镜像｡ 请根据取证结果回答以下问题｡
检材介绍：内存，手机三台，U盘一个，电脑一台

Emma_Mobile取证

1. 根据Emma_Mobile.zip, Emma和Clara的微信聊天记录,Emma最后到警署报案并拍摄写有报案编号的卡片,拍摄时的经纬值是多少? 单选

A:22.451721666667, 114.171853333333
B:22.451553333333, 114.172845
C:22.451928333333, 114.170503333333
D:22.451638333333, 114.16993
答案: A
在照片里看不到，去和姐姐的聊天记录里看到了有报警的内容，去找姐姐的手机，看到具体的拍摄时间，回过头来寻找一下具体的经纬度

2. 根据Emma_Mobile.zip, 2024年8月30日下午两点后Emma共致电Clara多少次? 单选

A:85
B:86
C:87
D:88
答案: D，91-2-1=88

3. 根据Emma和Clara的微信聊天记录,Clara失踪前曾告诉Emma会到哪里? 单选

A:到酒店和丈夫David庆祝结婚周年
B:吃自助餐
C:约了朋友见面
D:去旅行
答案: A

4. 参考Emma_Mobile.zip, Emma的iPhone XR内微信应用程序的版本是多少? 填空

答案: 8.0.50

5. 参考Emma_Mobile.zip, Emma手机中下列哪个选项是正确的? 多选

A:iOS 版本为 17.6.1
B:IMEI 为 356414106484705
C:Apple ID 为 Emma1761@gmail.com
D:手机曾经安装Metamask 应用程式
答案: B,D

6. 参考Emma_Mobile.zip,Emma 手机中 Apple ID 的注册电子邮箱是多少? 填空

答案: emmaemma.851231@gmail.com
感觉应该和账号的邮箱一样吧

7. 参考Emma_Mobile.zip,在2024年,Emma 手机上曾记录的电话卡集成电路卡标识符 (ICCID) 是多少?

(答案格式:只需使用阿拉伯数字回答) 填空
答案: 8985200000826445829

8. 参考Emma_Mobile.zip,Emma 手机的蓝牙设备名称 “ELK-BLEDOM” 的通用唯一标识符 (UUID) 是什么? 填空

答案: 8D13F23C-E73C-6A98-AA4F-16C8D7A5F826
超大没找到就去数据库里面找，找bluetooth相关的

9. 你发现了一些线索,Emma 看起来也很可疑,她似乎背负了大量债务｡

参考Emma_Mobile.zip,Emma 手机内Safari浏览记录中网页”https://racing.hkjc.com/"的网站标题是什么? 单选
A:香港马会奖券有限公司
B:六合彩 - Google 搜索
C:快易钱:网上贷款财务公司 | 足不出户现金即日到手
D:赛马信息 - 香港赛马会
答案: D

IOS 中 Safari 浏览记录主要存储在 History.db 数据库文件中

10. 参考Emma_Mobile.zip,Emma向Clara透露什么原因令Emma欠下巨债? 单选

A:投资孖展
B:虚拟货币失利
C:网上赌博
D:以上皆是
答案: D

11. 参考Emma_Mobile.zip,收债人要求Emma还款数量? 单选

A:港币$786,990
B:港币$878,990
C:港币$786,980
D:港币$745,330
答案: C

12. 参考Emma_Mobile.zip,Emma发送了多少张.PNG图片给Clara,证明自己正被人追债? 单选

A:6
B:7
C:8
D:9
答案: B

13. 参考Emma_Mobile.zip,Emma用来浏览虚拟货币的网址? 单选

A:Google.com
B:Facebook.com
C:IntellaX.io
D:Yahoo.com
答案: C

14. 参考Emma_Mobile.zip的浏览器记录,有多少网址与bet365有关? 单选

A:3
B:13
C:9
D:12
答案: A
首先全局搜索一下看看哪些数据库里面有，发现在bookmarks.db和SafariTabs.db里面，然后在这里面找

15. 你还发现了一些与不当使用他人加密钱包相关的痕迹｡

参考Emma_Mobile.zip,Emma用了哪些恢复短语(Recovery Phrase)进入David的虚拟货币账户? 单选
A:stock,avocado,grab,clay
B:light,sadness,segment,ancient
C:toe,talk,elder,oil
D:以上皆是
超大没法预览，找起来太慢了，聊天记录也没啥信息

答案: D

16. 参考Emma_Mobile.zip,Emma从David处窃取的虚拟货币的名称是什么？ 单选

A:IDFC
B:ICAC
C:INIC
D:IFCC
答案: A

17. 参考Emma_Mobile.zip,Clara偷拍的照片中,David的虚拟货币余额是多少? 单选

A:3266378.99
B:1044749.22
C:5022915.66
D:7822468.44
答案: C

18. 参考Emma_Mobile.zip,Emma在偷窃David的虚拟货币前,Emma曾向Clara透露有什么事发生在Emma身上? 单选

A:中彩票
B:欠债
C:升职
D:失业
答案: B
聊天记录和上文有

19. （你查看了Emma手机中的一些照片数字信息,以获取更多与失踪案件的信息）

Emma的iPhone XR中 “IMG_0008.HEIC” 的图像与相片名字为的”5005.JPG” 看似为同一张相片,在数码法理鉴证分析下,以下哪样描述是正确? 多选
A:储存在不同的.db 檔案里
B:有不同哈希值
C:IMG_0008.HEIC 为原图, “5005.JPG”为并非原图
D:IMG_0008.HEIC 和名字” 5005.JPG”是同一张相片
答案: B,C

往年有一道很类似的题目，格式不一样哈希肯定不一样，jpg是缩略图

20. 参考Emma_Mobile.zip, Emma的iPhone XR中”IMG_0009.HEIC” 的图像显示拍摄参数怎样? 单选

A:iPhone XR back camera 4.25mm f/1.8
B:iPhone XR back camera 4.25mm f/2.8
C:iPhone XR back camera 4.25mm f/2
D:iPhone XR back camera 4.25mm f/1.6
答案: A

老演员了，先找pk=9，然后找ZEXTENDEDATTRIBUTES

21. 参考Emma_Mobile.zip, Emma的iPhone XR中相片文件IMG_0009.HEIC提供了什么电子证据信息? 多选

A:此相片是由隔空投送 (Airdrop)得来
B:此相片由iPhone XR拍摄
C:此相片的拍摄时间为2024-08-05 13:38:15(UTC+8)
D:此相片的拍摄时间为2024-08-06 08:30:52(UTC+8)
答案: B,C
图片看上题的，然后时间转化一下就行

22. 参考Emma_Mobile.zip, Emma的iPhone XR内以下哪张照片是实况照片(Live Photos)? 多选

A:IMG_0002.HEIC
B:IMG_0005.HEIC
C:IMG_0004.HEIC
D:IMG_0006.HEIC
答案: A,C

23. 参考Emma_Mobile.zip,手机里有多少张照片是用手机后置摄像镜头拍摄的? 单选

A:5
B:6
C:7
D:8
答案: D

24. 参考Emma_Mobile.zip的通讯记录,MesLocalID 224是什么类的文件? 单选

A:相片
B:影片
C:文件
D:报表
答案: A

MesLocalID 是微信聊天记录数据库中的一个核心字段，主要用于唯一标识单条消息，在电子取证和数据解析场景中具有重要作用
文件关联：若消息是图片、视频等多媒体内容，MesLocalID 会与文件系统中的资源一一对应。例如：
图片文件会存储在 Img/[聊天对象哈希文件夹]/[MesLocalID].pic 路径下；
视频文件会存储在 Video/[聊天对象哈希文件夹]/[MesLocalID].mp4 路径下。
数据库关联：在微信的 MM.sqlite 等核心数据库中，MesLocalID 作为主键，关联着消息的创建时间（CreateTime）、类型（Type）、内容（Message）等关键信息。结合之前的所以是照片

Clara_Mobile取证

25. 依据你在Emma的手机上找到的照片,你告诉调查员Clara最后的位置是在湾仔的一家酒店｡根据你提供的信息,调查员发现Clara在酒店去世,Clara的手机在她的附近, 你对Clara的手机进行取证｡请根据取证结果回答以下问题｡

参考Clara_Smartphone.bin,Clara手机的Android操作系统版本是? 单选
A:8.0.0
B:9.0.0
C:8.1.0
D:7.0.0
答案: A

26. 参考Clara_Smartphone.bin,Clara手机的版本号(Build Number)是什么? 填空

答案: OPR1.170623.026

27. 参考Clara_Smartphone.bin,Clara手机的IMEI号码是多少?

(答案格式:只填写阿拉伯数字部分) 填空
答案: 351537092934716,没想到闲鱼有保存

28. 参考Clara_Smartphone.bin,Emma的微信账号是? 填空

答案: wxid_ltrpgdhvilso22

29. 参考Clara_Smartphone.bin,Clara的第一封电子邮件记录的日期? 单选

A:2024-07-10
B:2024-07-18
C:2024-07-23
D:2024-07-30
答案: A

30. 参考Clara_Smartphone.bin,在通讯录中”David”的联系人信息还包括什么? 单选

A:出生日期
B:LinkedIn
C:电子邮件
D:地址
答案: B

LinkedIn 是一家全球知名的职场社交平台

31. 参考Clara_Smartphone.bin,David和Clara之间通话次数? 单选

A:0
B:8
C:10
D:24
答案: B

32. 参考Clara_Smartphone.bin,Clara在Chrome浏览器搜索中哪天使用了关键词”popmart 炒价”? 单选

A:2024-08-10
B:2024-08-15
C:2024-08-20
D:2024-08-25
答案: B

33. 参考Clara_Smartphone.bin,2024年7月30日共收到多少封电子邮件? 单选

A:2
B:3
C:4
D:5
答案: C

34. 参考Clara_Smartphone.bin,Clara的Gmail账号是? 填空

答案: clara.ccc0807@gmail.com

35. 参考Clara_Smartphone.bin,Clara的手机安装了哪个版本的WhatsApp? 单选

A:241676000
B:241676001
C:241676004
D:241676007
答案: C

Manifest 是软件 / 应用中的配置清单文件，核心作用是向系统或工具声明应用的关键信息，相当于应用的 “身份证 + 说明书”，无实际执行代码，仅存储配置数据
二十分钟！！！
接下来我会详细的复现，首先在超大里面直接找，发现没有具体的版本信息，于是在全局搜索里找base.apk文件，这是安装包文件，然后导出到本地，改后缀名.zip,解压找到AndroidManifest.xml文件，想打开这个文件，需要有AXMLPrinter2.jar,使用教程和安装地址在：AXMLPrinter2.jar安装地址和教程，然后生成txt文件，在里面查找就行

36. 参考Clara_Smartphone.bin,Clara的WhatsApp账号?

(答案格式:只需填写11位阿拉伯数字) 填空
答案: 85263791704

37. 参考Clara_Smartphone.bin,Clara的手机在什么时候安装了小红书APP? 单选

A:2024-07-10
B:2024-07-16
C:2024-07-20
D:2024-07-30
答案: B

38. 参考Clara_Smartphone.bin,2024年8月21日David的虚拟貨幣钱包里有多少IDFC? 单选

A:5022915.66
B:3212695.22
C:210355633.91
D:以上皆不是
答案: A,跟16题一样

39. 参考Clara_Smartphone.bin,Clara注册的微信账号验证码是多少? 填空

答案: 945025

40. 参考Clara_Smartphone.bin,David为庆祝结婚周年纪念预订了哪家酒店?

提示:请使用大写英文字母作答, 例如:HONG KONG HOTEL) 填空
答案: CONRAD HONG KONG

41. 参考Clara_Smartphone.bin,哪个数据库文件存储了微信消息?

(答案格式:只需使用全部大写回答, 例如:ABC.DB)
填空

微信数据库文件主要为EnMicroMsg.db，该文件是加密文件。此外，还有WCDB_Contact.db存储联系人信息，WCDB_Msg.db存储聊天记录等。
我花了一点时间没打开，好像因为微信的这个数据库是加密的
这两题是默认的，问大模型
答案: ENMICROMSG.DB

42. 参考Clara_Smartphone.bin,哪个数据库文件(.db)存储了WhatsApp訊息? 填空

在 LG 手机上，WhatsApp 讯息存储在名为msgstore-yyyy-mm-dd.1.db.cryptXX的数据库文件中，其中yyyy-mm-dd代表备份的日期，XX是加密版本号，如crypt12、crypt14等。
答案: msgstore.db

43. 参考Clara_Smartphone.bin,Clara在2024年8月29日拍了多少张照片? 单选

A:0
B:3
C:4
D:5
答案: B

44. 参考Clara_Smartphone.bin,Emma在2024年8月6日通过微信发送了多少张照片给Clara? 单选

A:0
B:1
C:5
D:12
答案: A

45. 参考Clara_Smartphone.bin,照片20240829_144717.jpg的拍摄相机型号是什么? 填空

答案: LG-H930

46. 参考Clara_Smartphone.bin,20240821_121435.jpg的储存路径是什么? 单选

A:/media/0/DCIM/Camera
B:/media/1/DCIM/Camera
C:/media/00/DCIM/Camera
D:/media/11/DCIM/Camera
答案: A

47. 参考Clara_Smartphone.bin,2024年8月20日有多少张截图? 填空

答案: 4

48. 参考Clara_Smartphone.bin,2024年8月22日被删除微信消息的类型是? 单选

A:照片
B:视频
C:文本
D:以上都不是
答案: A
发现在Clara的聊天记录里那个恢复密钥的图片被删了，但是 Emma 还在聊天记录里

David

49. 你在查看Clara的手机镜像后,确定Clara是David的妻子,调查员通过查询酒店预订记录确认了这一点｡他们现在定位David的住所,以进行进一步调查｡ 你首先分析David的手机｡

参考David_Smartphone_1.zip, 根据Contents.db,David 手机接收了通讯软件”Telegram”的验证短信,该验证码是多少? 填空
答案: 84298

50. 参考David_Smartphone_1.zip, David 把手机设置为个人热点,请找出个人热点的密码｡ 填空

答案: wdfj5674

51. 参考David_Smartphone_1.zip, David 手机曾连接名为”MTR Free Wi-Fi” 的Wi-Fi ｡ 判断是否为真? 单选

答案: 对

52. 参考David_Smartphone_1.zip, 根据com.tencent.mm_preferences.xml,David 的手机最后登录微信的微信 ID 是? 填空

答案: wxid_rni3m2o8ngxe22

53. 参考David_Smartphone_1.zip, 请指出哪一张图片是于2024年8月28日利用屏幕截取的｡

(答案格式:ABC_123.jpg) 填空
答案: Screenshot_20240828-153836_Gmail.jpg
记性好点就能想到酒店截图了

54. 参考 David_Smartphone_1.zip,根据Contents.db,David 手机的型号(Model)?

(答案格式:大写英文字母和符号’-‘ 混合组成) 填空
答案: SM-G9500

55. 参考 David_Smartphone_1.zip的Contents.db,David所使用的手机SIM 卡的序号?

(答案格式:只需要用阿拉伯数目字回答) 填空
答案: 8985200000827530728

sim卡看SerialNumber

56. 参考 David_Smartphone_1.zip,David 手机安装了应用程序”MetaMask”｡根据persist-root中,”MetaMask”钱包内有多少个账号? 填空

答案: 4

persist-root 是安卓系统中的持久化存储分区目录，核心作用是存放设备的 “出厂校准数据” 和 “关键配置信息”，且数据在系统重置、刷机后仍能保留，不会丢失
打开文件搜索一下发现有四个id

57. 参考 David_Smartphone_1.zip,根据persist-root中,何时从应用程序”MetaMask”发送虚拟货币至以下地址: 0X10A4F01B80203591CCEE76081A4489AE1CD1281C 单选

A:2024-08-11 1249(GMT+8)
B:2024-08-14 1658 (GMT+8)
C:2024-08-14 1659 (GMT+8)
D:2024-08-16 1724 (GMT+8)
答案: B
粘给ai找

58. 参考 David_Smartphone_1.zip,David 曾利用手机应用程序”MetaMask”三次发送虚拟货币失败｡根据persist-root,发送虚拟货币失败的原因是什麼? 单选

A:网络连接问题
B:应用程序权限被拒
C:接收地址错误
D:手续费不足
答案: D

内存取证

59. 你根据易失性(Volatility Level)优先次序,进行内存取证分析David的笔记本电脑｡

参考RAM_Capture_David_Laptop.RAW,以下哪一个不是程序”firefox.exe”的PID? 单选
A:9240
B:8732
C:5260
D:3108
答案: C

60. 参考RAM_Capture_David_Laptop.RAW,汇出PID:724的程序,其哈希值 (SHA-256) 是? 填空

答案: 89cf04b53119d36654bc5e7eeb5d0829a84238ee03faa9a03948f5bf4be44583

要在内存分析里导出来，不能去镜像里找，不然会多ddl，哈希就变了

61. 参考RAM_Capture_David_Laptop.RAW,哪一个是执行PID:724程序的SID? 单选

A:S-1-1-0
B:S-1-2-0
C:S-1-5-21-1103701427-1706751984-2965915307-1001
D:S-1-5-21-1103701427-1706751984-2965915307-513
答案: A

常见SID:

{
“S-1-0”: “Null Authority”,
“S-1-0-0”: “Nobody”,
“S-1-1”: “World Authority”,
“S-1-1-0”: “Everyone”,
“S-1-2”: “Local Authority”,
“S-1-2-0”: “Local (Users with the ability to log in locally)”,
“S-1-2-1”: “Console Logon (Users who are logged onto the physical console)”,
“S-1-3”: “Creator Authority”,
“S-1-3-0”: “Creator Owner”,
“S-1-3-1”: “Creator Group”,
“S-1-3-2”: “Creator Owner Server”,
“S-1-3-3”: “Creator Group Server”,
“S-1-3-4”: “Owner Rights”,
“S-1-4”: “Non-unique Authority”,
“S-1-5”: “NT Authority”,
“S-1-5-1”: “Dialup”,
“S-1-5-2”: “Network”,
“S-1-5-3”: “Batch”,
“S-1-5-4”: “Interactive”,
“S-1-5-6”: “Service”,
“S-1-5-7”: “Anonymous”,
“S-1-5-8”: “Proxy”,
“S-1-5-9”: “Enterprise Domain Controllers”,
“S-1-5-10”: “Principal Self”,
“S-1-5-11”: “Authenticated Users”,
“S-1-5-12”: “Restricted Code”,
“S-1-5-13”: “Terminal Server Users”,
“S-1-5-14”: “Remote Interactive Logon”,
“S-1-5-15”: “This Organization”,
“S-1-5-17”: “This Organization (Used by the default IIS user)”,
“S-1-5-18”: “Local System”,
“S-1-5-19”: “NT Authority”,
“S-1-5-20”: “NT Authority”,
“S-1-5-32-544”: “Administrators”,
“S-1-5-32-545”: “Users”,
“S-1-5-32-546”: “Guests”,
“S-1-5-32-555”: “BUILTIN\Remote Desktop Users”,
“S-1-5-80”: “NT Service”,
“S-1-5-32-578”: “Hyper-V Admins”,
“S-1-5-32-579”: “Access Control Assistance Ops”,
“S-1-5-32-580”: “Remote Management Users”,
“S-1-5-65-1”: “This Organization Certificate (Kerberos PAC)”,
“S-1-5-84-0-0-0-0-0”: “Usermode Drivers”,
“S-1-5-113”: “Local Account”,
“S-1-5-114”: “Local Account (Member of Administrators)”,
“S-1-15-2-1”: “Application Package Context”,
“S-1-18-1”: “Authentication Authority Asserted Identity”,
“S-1-18-2”: “Service Asserted Identity”
}

62. 参考RAM_Capture_David_Laptop.RAW,账户David Tenth的NT LAN Manager的哈希值(NTLM Hash) ?

(答案格式:只需使用全部小写及阿拉伯数字回答) 填空
答案: e14a21fefc5dd81275bb87228586cffc

u盘取证

63. 在取证中,你发现D盘被BitLocker 加密｡U盘上可能有一些线索,你对U盘进行了取证｡

参考David_USB_8GB.e01,David 的U盘文件系统的格式? 单选
A:NTFS
B:FAT32
C:exFAT
D:ReFS

分区类型是指对磁盘（如硬盘、U盘）进行划分时，定义的分区格式/文件系统格式，核心作用是规定数据在分区内的存储、管理和访问方式，不同类型适配不同系统和使用场景。

1. 常见分区类型及特点

• NTFS：Windows系统默认分区类型，支持大容量磁盘（最大256TB）、文件权限控制、加密、压缩等功能，稳定性强，是电脑系统盘和数据盘的主流选择。
• FAT32：兼容性极强，支持Windows、macOS、Linux及各类智能设备（如相机、U盘），但单文件最大仅支持4GB，适合小容量存储设备（如老式U盘）。
• exFAT：FAT32的升级版本，解决了单文件4GB限制（最大支持16EB），同时保留兼容性，适合大容量U盘、移动硬盘（需在多系统间切换使用时）。
• APFS：苹果macOS专用分区类型，支持加密、快照、空间共享等功能，针对苹果设备优化，读写速度快。
• EXT4：Linux系统主流分区类型，支持大容量、日志功能（防止数据丢失），稳定性强，仅适配Linux系统。

2. 分区类型的核心影响

• 决定单文件最大容量、分区最大容量。
• 影响数据安全性（如是否支持日志、加密）。
• 限制适配的操作系统（如APFS仅用于macOS，EXT4仅用于Linux）。
  
  答案: A

64. 参考David_USB_8GB.e01,David 的U盘文件系统中,每簇(Cluster)定义了多少字节(Byte)? 单选

A:128
B:256
C:512
D:1024
答案: C

每簇(Cluster)是文件系统中最小的存储单位，每个簇包含多个连续的扇区(sector)，用于存储文件数据。簇的大小直接影响文件系统的性能和空间利用率。

65. 参考David_USB_8GB.e01,David 的U盘中有多少个已删除的文件? 单选

A:1
B:2
C:3
D:4
答案: A

66. 承上题,参考David_USB_8GB.e01,已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量是多少? 单选

A:16
B:32
C:64
D:128

Run List（运行列表）：NTFS 文件系统中，文件数据在磁盘上的存储位置记录（类似 “文件数据的存放地图”）。
因为文件数据可能分散在磁盘不同区域（非连续存储），Run List 会用多个 “运行项（Run）” 记录每段数据的位置和长度。
Run Offset（运行偏移量）：每个 “运行项” 中记录的 “数据起始位置相对于磁盘基准点的偏移值”，通过这个偏移量能精准找到文件数据在磁盘上的物理位置。
2. 整句话的含义
询问 “已删除文件的 Run List 中，包含多少个 Run Offset”—— 本质是问：这个已删除文件的数据，在磁盘上被拆分成了多少段不连续的存储区域（每个存储区域对应 1 个 Run Offset）。
!!!好难，也不知道我是不是真的懂了，但是很爽就对了
直接找MFT文件，然后打开，找到删除的文件，看十六进制数据，找到08的头，后面是48换算十进制是72，减去标签和属性各占四个字节就是64。

答案: C

67. 承上题,参考David_USB_8GB.e01,已删除文件的第一个运行的十六进制值(低端字节序 Little-Endian)是多少?

单选
A:0x4C3F0DB522
B:0x4C3F0D22B5
C:0x224C3F0DB5
D:0x3F4C0DB522
答案: A

daterun的数据
NTFS文档

68. 承上题,参考David_USB_8GB.e01,已删除的文件的实际大小(单位:字节 Byte)是多少?

答案格式:只需使用阿拉伯数字回答 填空
答案: 1796178

69. 承上题,参考David_USB_8GB.e01,已删除文件的第一个运行偏移量(Run Offset)是多少?

(答案格式:只需使用阿拉伯数字回答) 填空
4C3F0DB522,这个是第一个运行偏移字节数据，

要将十六进制字节 4C 3F 0D B5 22 转换为十进制偏移量，需遵循十六进制转十进制的位权计算规则，步骤如下：

字节（十六进制）	位权（2^n）	计算过程
4C	2^32	0x4C × 2^32
3F	2^24	0x3F × 2^24
0D	2^16	0x0D × 2^16
B5	2^8	0xB5 × 2^8
22	2^0	0x22 × 2^0

将各部分计算结果相加：
[
\begin{align*}
&0x4C \times 2^{32} + 0x3F \times 2^{24} + 0x0D \times 2^{16} + 0xB5 \times 2^8 + 0x22 \times 2^0 \
=& 76 \times 4294967296 + 63 \times 16777216 + 13 \times 65536 + 181 \times 256 + 34 \times 1 \
=& 326,417,514,496 + 1,056,964,608 + 851,968 + 46,336 + 34 \
=& 327,474,967,442 \div 16,777,216 \quad (\text{转换为簇偏移，最终得到十进制值}) \
=& 19519
\end{align*}
]

简单来说，就是把反转后的十六进制字节按“每字节对应不同位权”的规则，逐步计算并求和，最终得到十进制的偏移量 19519。
为啥要除16777216，是因为每个簇是16MB，16MB=16777216字节
答案: 19519

70. 承上题,参考David_USB_8GB.e01,已删除的文件的第一个运行的簇运行长度(Run Length)是多少? 单选

A:2408
B:3509
C:3128
D:4021
答案: B
在 NTFS 的运行列表中，簇运行长度可通过End VCN - Start VCN + 1计算（Start VCN=0，End VCN=3508），即 3508 - 0 + 1 = 3509，对应选项B

71. 承上题,参考David_USB_8GB.e01,已删除文件的图像文件像素值(Pixel)是多少? 单选

A:1000 x 2000
B:2000 x 3000
C:3000 x 4000
D:4000 x 5000
答案: C

72. 承上题,参考David_USB_8GB.e01,已删除图像文件是用哪个品牌和型号的手机拍摄? 单选

A:SAMSUNG SM-A425
B:SAMSUNG SM-A4580
C:SAMSUNG SM-A4260
D:SAMSUNG SM-A5G
答案: C

73. 在 U盘中,你还发现了一个exe文件,但它被锁定,可能需要进行反编译以便进一步检查｡

参考David_USB_8GB.e01,使用x64dbg的字符串搜索(String Search)功能,在Bitlocker.exe中查找哪个字符串最有可能与显示的登录状态有关? 单选
A:Welcome
B:Invalid input
C:Login Successful!
D:Access Denied
答案: C

74. 承上題,当找到控制登录成功的逻辑代码时,如何修改汇编代码(Assembly Code)来绕过检查,达到任意输入，都成功登录的效果? 单选

A:修改CMP指令,使其总是比较相等
B:修改CMP 指令後的跳转指令JNE 為nop,使跳转指令失效
C:修改MOV指令,使其移动错误的数据
D:修改TEST 指令後的跳转指令JNE 為nop,使跳转指令失效
答案: B

其实我没懂，好吧，就是依葫芦画瓢，甚至我昨天才知道ida是逆向的软件，我还以为是misc的

75. 参考David_USB_8GB.e01,Bitlocker.exe的正确用户登录名称是? 填空

答案: david1337
俺也不懂，照着做就完事了

76. 参考David_USB_8GB.e01,Bitlocker.exe的正确登录密码是? 填空

俺也不懂，照着做就完事了

答案: 1337david

77. 参考David_USB_8GB.e01,当Bitlocker.exe程序尝试显示登录结果（成功或失败）时,使用了哪一种途径来决定显示的消息? 单选

A:通过检查某个寄存器的值来决定跳转到不同的汇编代码区段
B:通过调用硬编码的内存地址来显示特定的消息框
C:通过堆栈中的返回地址来确定要显示的消息
D:通过逐位操作来修改显示消息的字符串内容

答案: A

78. 参考David_USB_8GB.e01,决定能否解密 Bitlocker Key 的字节的内存偏移量(Memory Offset)（相对于基址”bitlocker.exe”）是什么? 单选

A:0xA0B2
B:0x808C
C:0xA0C8
D:0xA0E0

答案: B

79. 参考David_USB_8GB.e01,决定能否解密 Bitlocker Key 的内存偏移量(Memory Offset)后,应该如何利用它来进行解密? 单选

A:将该偏移量处的值改为 1 (true),以启用解密过程
B:将该偏移量处的值改为 0 (false),以重新初始化加密过程
C:将该偏移量的内容保存到档中以作解密过程中的key
D:清空该偏移量的内存并强制退出程序
永真的话就能解密了，我是这么理解的
答案: A

80. 参考David_USB_8GB.e01,解密后的 Bitlocker Key 是? 单选

A:299255-418649-198198-616891-099682-482306-642609-483527
B:745823-918273-564738-290183-475920-182736-594827-162839
C:539823-847291-094857-194756-382910-472918-482937-120984
D:829384-192837-475910-298374-019283-847362-564738-293847

额，不会，但是我记得图片不是有答案吗，不知道大佬为啥都去逆向了
答案: A

81. 到目前为止,你已经获得了 BitLocker 密钥以解密 D盤,通过对David 笔记本电脑D盤的分析,并发现了一些重要信息｡你现在将继续调查未加密的 C盤｡

参考David_Laptop_64GB.e01,分区格式(Partition)是? 单选
A:MBR
B:GPT
C:RAW
答案: B

82. 参考David_Laptop_64GB.e01,該e01 成功提取的日期和时间是? 单选

A:2024-09-05 15:55:28
B:2024-09-02 11:52:31
C:2024-09-03 14:37:28
D:2024-09-03 12:16:49
答案: 2024-09-09 16:37:36.,答案错了

83. 参考David_Laptop_64GB.e01,最后登录的用户是谁?

(答案格式:大写英文字母,小写英文字母和空格混合组成,例如:Tom Hanks) 填空
答案: David Tenth

84. 参考David_Laptop_64GB.e01,用户配置的时区是? 单选

A:Australian Central Time
B:China Standard Time
C:New Zealand Standard Time
D:Nepal Time
答案: B

85. 参考David_Laptop_64GB.e01,David的笔记本电脑曾經连接了多少个设备? 单选

A:1
B:2
C:3
D:4
答案: D

不会用xway，不会

86. 参考David_Laptop_64GB.e01,David的笔记本电脑上的Firefox浏览器安装了哪些扩展工具?

(答案格式:请以大寫英文字母作答，无须留空白位) 填空
答案: METAMASK

87. 参考David_Laptop_64GB.e01,根据用户配置文件中的.lnk文件,最后访问的文件名称是? 单选

A:下載
B:export-token
C:RAM_Capture_DaviD
D:本機磁碟(E) (2)
答案: A

88. 参考David_Laptop_64GB.e01,David的笔记本电脑曾經连接了多少个不同的Wi-Fi? 单选

A:1
B:2
C:3
D:4
答案: A

89. 承上题,参考David_Laptop_64GB.e01,该Wi-Fi网络的名称(SSID)是?

(答案格式:大写英文字母和小写英文字母混合组成) 填空
答案: ErrorError5G

90. 参考David_Laptop_64GB.e01,该电脑的Windows操作系统的安装日期是什么? 单选

A:2024-07-31 09:55:37 UTC+8
B:2024-08-01 13:10:15 UTC+8
C:2024-07-31 10:18:26 UTC+8
D:2024-08-01 14:43:55 UTC+8
答案: C

91. 通过对David 笔记本电脑的电子数据取证和痕迹分析,你了解到David是一名 cryptocurrency 专家｡

(假設虚拟貨幣International Digital Forensics Coin (IDFC)面值是每1個IDFC等如1-HKD
IDFC Token Address: 0x56E7A6dd8aA1c78ba77944C94c43054978E89b7b
區塊鏈: Binance Smart Chain)
下列那个网站能够找到区块链:Binance Smart Chain的交易记录? 单选
A:binance.com
B:bscscan.com
C:etherscan.io
D:blockchain.com
答案: B

核心结论：正确答案是 B（bscscan.com）。

1. Bscscan.com 是 Binance Smart Chain（BSC）的官方区块链浏览器，专门用于查询该链上的交易记录、代币地址、区块信息等数据。
2. 其他选项均不匹配：binance.com 是加密货币交易平台，无法直接查询区块链原生交易记录；etherscan.io 是以太坊区块链的浏览器，不支持 BSC 链；blockchain.com 主要用于比特币等少数链，不覆盖 BSC。

区块链浏览器的核心作用是可视化区块链上的公开数据，针对不同区块链有专属工具。BSC 作为独立于以太坊的链，需使用对应的 bscscan 进行查询，输入题目中的 IDFC 代币地址即可查看其交易明细。

92. 参考Emma_Mobile.zip中的微信聊天记录分析,Emma用什么方法盜取David的IDFC? 单选

A:Emma经Clara盗取了David虚拟货币钱包的私匙(Private Key)
B:Emma经Clara盗取了David虚拟货币钱包的公匙(Public Key)
C:Emma经Clara盗取了David虚拟货币钱包的回复匙(Recovery seed)
D:Emma盗取了David电话
答案: C
根据之前的题目很容易判断

93. 参考Emma_Mobile.zip中的微信对话分析,Emma为什么盜取David的IDFC? 单选

A:Emma为了买名贵手表
B:Emma为了赌钱
C:Emma为了炒卖虚拟货币
D:Emma为了还财务公司的欠债
答案: D
她欠了很多钱，要还债，之前有提到

94. 根据David,Emma及Clara的微信对话,David在什么日期时间发现IDFC被盗? 单选

A:2024-8-22 18:06
B:2024-8-28 09:14
C:2024-8-28 09:57
D:2024-8-29 15:52
答案: B

95. 参考David_Laptop_64GB.e01及David,Emma及Clara的微信对话,分析IDFC的交易记录,Emma盜取了David虚拟货币钱包内哪个地址的IDFC?

单选
A:0x10a4f01b80203591ccee76081a4489ae1cd1281c
B:0x152c90200be61a540875f2a752c328bd19dbfb87
C:0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220
D:0x70544880875fe907cee383873ca58da23378caa5
答案: A
给个用助记词的网址助记词网站

96. 根据David,Emma及Clara的微信对话及IDFC的交易记录作分析,Emma总共盗取了David多少IDFC? 单选

A:90,000 IDFC
B:170,000 IDFC
C:9,300,000 IDFC
D:9,390,000 IDFC
答案: A

97. 根据Emma及Clara的微信对话,下列哪些地址是由相同的恢复短语(Recovery Seed)所生成? 多选

A:0x10a4f01b80203591ccee76081a4489ae1cd1281c
B:0x152c90200be61a540875f2a752c328bd19dbfb87
C:0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220
D:0x63a8ba1df0404ee41f7c6af8efd2f54006f32042
答案: A,B,C

98. 根据IDFC的交易记录作分析,总共有多少次IDFC交易流入地址0x10a4f01b80203591ccee76081a4489ae1cd1281c? 单选

A:0
B:1
C:2
D:3
答案: C

99. 参考David_Laptop_64GB.e01,在David计算机的D盘内有一张图片,根据图片上的信息,找出David另一个虚拟货币钱包的恢复短语(2)(Recovery Seed),下列哪一个单词是在此恢复短语(2)(Recovery Seed)内? 单选

A:fall
B:bread
C:brain
D:dove
答案: D
在内存镜像里搜索显示的助记词，来找，真的离谱

100. 承上题,参考David_Laptop_64GB.e01,在IDFC的交易记录中,下列哪些地址由上述恢复短语(2)(Recovery Seed)所生成? 多选

A:0xb2e3dbea311511ec5bda3e85e061f15366f888a6
B:0xe90ad3f80e39e83b533eef3ed23c641ec51089c6
C:0x90f73497E4446f6Cf9881213C32D6af66d799fE5
D:0x63a8ba1df0404ee41f7c6af8efd2f54006f32042
答案: C,D

那就到这吧。美亚杯21年以前的我就不打算做的，接下来我会复现数证杯和盘古石之类的，只剩5天了，确实没啥时间了，团体赛的话只能看看视频了，就算复现我也不写博客了。取证还是很有意思的，像解密一样一点一点的搞明白来龙去脉，做题也做得很有意思。24年考的逆向我确实不是很明白，虽然25考的是密码学和隐写，我或多或少看过，但是感觉还是很虚，还是希望这次比赛能有个好成绩吧，加油