背景資料

近日，某市公安機(jī)關(guān)接到多名在校大學(xué)生報(bào)案，稱其在做 “網(wǎng)上兼職刷單”被騙取金錢數(shù)額不等。經(jīng)警方初步調(diào)查發(fā)現(xiàn)嫌疑人張某及同伙經(jīng)常通過社交平臺(tái)以高額回報(bào)為誘餌，套用真實(shí)刷單兼職工作流程，誘騙受害人多次匯款，涉嫌電信詐騙行為。經(jīng)確認(rèn)核實(shí)，警方對(duì)張某進(jìn)行抓捕，并在其家中扣押其筆記本電腦（鏡像文件: Computer Disk.E01）、U盤（鏡像文件: U Disk.001）、安卓手機(jī)（鏡像文件Huawei.dd）、蘋果備份文件（iPhone backup.rar），以及調(diào)取的“基站數(shù)據(jù)”；另外扣押了該組織搭建的商城服務(wù)器（Server01.E01~Server05.E01）

題目

1. 通過對(duì)檢材的分析，獲取嫌疑人張某通過計(jì)算機(jī)遠(yuǎn)程桌面連接過的主機(jī)IP地址。（答案格式如： 192.168.1.233 ）

61.123.57.85

2. 通過對(duì)檢材的分析，請(qǐng)獲取嫌疑人計(jì)算機(jī)連接“ Cai- wifi ”的無線W****iFi密碼。（答案格式如： li123456 ）

q1w2e3r4t5

3. 通過對(duì)檢材的分析，請(qǐng)獲取到嫌疑人計(jì)算機(jī)中Administrator 用戶的系統(tǒng)登錄密碼。（答案格式 如：li123456 ，區(qū)分大小寫）

zhang111

4. 通過對(duì)檢材分析，發(fā)現(xiàn)嫌疑人電腦E分區(qū)進(jìn)行了Bitlocker加密分區(qū)，請(qǐng)對(duì)檢材進(jìn)行取證分析， 找出解開加密分區(qū)的BitLocker 恢復(fù)密鑰：（答案格式如**??*111111-000000-111111-000000-111111- 000000-111111-000000）

U盤的鏡像原始數(shù)據(jù)搜索

453266-711546-651222-404690-209022-647658-426426-536833

5. 通過對(duì)檢材的分析，請(qǐng)找出嫌疑人計(jì)算機(jī)中登錄過的QQ賬號(hào)（答案格式如： 12345678 ）

3416207131

6. 已知嫌疑人U盤檢無法正常讀取，請(qǐng)對(duì)U盤鏡像做修復(fù)和數(shù)據(jù)恢復(fù)，計(jì)算其中“TXT文本”文件的 MD5值。

相關(guān)知識(shí)可以看電腦鏡像中有個(gè)硬盤MBR.docx

確定DBR

使用 取證大師 識(shí)別為 未分配簇

主引導(dǎo)記錄 MBR(Master Boot Record)： 一般為硬盤的第一個(gè)扇區(qū)，負(fù)責(zé)引導(dǎo)操作系統(tǒng)掛載硬盤完成啟動(dòng)工作。

查看分區(qū)1，發(fā)現(xiàn)唯一的分區(qū) DBR 為空白，故取證軟件無法解析文件系統(tǒng)。

于是我們的任務(wù)就是重建出 DBR 扇區(qū)這 (512) 個(gè)字節(jié)的信息，讓取證軟件能讀取該鏡像。

根據(jù)這里的07可以確定為NTFS文件系統(tǒng)

重建DBR

因?yàn)槲疫@里沒有合適的NTFS的DBR所以我手敲的一段，純手敲，沒有一點(diǎn)復(fù)制粘貼。

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F

00000000   EB 52 90 4E 54 46 53 20  20 20 20 00 02 08 00 00   隦 NTFS   
00000010   00 00 00 00 00 F8 00 00  3F 00 FF 00 00 08 00 00        ? ?    
00000020   00 00 00 00 80 00 80 00  FF BF 3A 77 00 00 00 00       € € ?w  
00000030   00 00 0C 00 00 00 00 00  02 00 00 00 00 00 00 00   
00000040   F6 00 00 00 01 00 00 00  5D 55 8E E2 69 8E E2 4E   ?      ]U庘i庘N
00000050   00 00 00 00 FA 33 C0 8E  D0 BC 00 7C FB 68 C0 07       ?缼屑 |鹔?
00000060   1F 1E 68 66 00 CB 88 16  0E 00 66 81 3E 03 00 4E     hf 藞   f >  N
00000070   54 46 53 75 15 B4 41 BB  AA 55 CD 13 72 0C 81 FB   TFSu 碅華U?r  ?
00000080   55 AA 75 06 F7 C1 01 00  75 03 E9 DD 00 1E 83 EC   U猽 髁  u 檁  冹
00000090   18 68 1A 00 B4 48 8A 16  0E 00 8B F4 16 1F CD 13    h  碒?  嬼  ?
000000A0   9F 83 C4 18 9E 58 1F 72  E1 3B 06 0B 00 75 DB A3   焹?瀀 r?   u郟
000000B0   0F 00 C1 2E 0F 00 04 1E  5A 33 DB B9 00 20 2B C8     ?    Z3酃  +?
000000C0   66 FF 06 11 00 03 16 0F  00 8E C2 FF 06 16 00 E8   f       幝   ?
000000D0   4B 00 2B C8 77 EF B8 00  BB CD 1A 66 23 C0 75 2D   K +葁鋦 煌 f#纔-
000000E0   66 81 FB 54 43 50 41 75  24 81 F9 02 01 72 1E 16   f 鸗CPAu$ ? r  
000000F0   68 07 BB 16 68 70 0E 16  68 09 00 66 53 66 53 66   h ?hp  h  fSfSf
00000100   55 16 16 16 68 B8 01 66  61 0E 07 CD 1A 33 C0 BF   U   h?fa  ?3攬
00000110   28 10 B9 D8 0F FC F3 AA  E9 5F 01 90 90 66 60 1E   ( 關(guān) _   f` 
00000120   06 66 A1 11 00 66 03 06  1C 00 1E 66 68 00 00 00    f? f     fh   
00000130   00 66 50 06 53 68 01 00  68 10 00 B4 42 8A 16 0E    fP Sh  h  碆? 
00000140   00 16 1F 8B F4 CD 13 66  59 5B 5A 66 59 66 59 1F      嬼?fY[ZfYfY 
00000150   0F 82 16 00 66 FF 06 11  00 04 16 0F 00 8E C2 FF    ? f       幝
00000160   0E 16 00 75 BC 07 1F 66  61 C3 A0 F8 01 E8 09 00      u? fa脿?? 
00000170   A0 FB 01 E8 03 00 F4 EB  FD B4 01 8B F0 AC 3C 00   狖 ? 綦 嬸? 
00000180   74 09 B4 0E BB 07 00 CD  10 EB F2 C3 0D 0A 41 20   t ?? ?腧? A 
00000190   64 69 73 6B 20 72 65 61  64 20 65 72 72 6F 72 20   disk read error 
000001A0   6F 62 62 75 72 72 65 64  00 0D 0A 42 4F 4F 54 4D   obburred   BOOTM
000001B0   47 52 20 69 73 20 6D 69  73 73 69 6E 67 00 0D 0A   GR is missing   
000001C0   42 4F 4F 54 4D 47 52 20  69 73 20 63 6F 6D 70 72   BOOTMGR is compr
000001D0   65 73 73 65 64 00 0D 0A  50 72 65 73 73 20 43 74   essed   Press Ct
000001E0   72 6C 2B 41 6C 74 2B 44  65 6C 20 74 6F 20 72 65   rl+Alt+Del to re
000001F0   73 74 61 72 74 0D 0A 00  8C A9 BE D6 00 00 55 AA   start   尒局  U?

[scode type=“red”]注意了，這個(gè)不能復(fù)制，因?yàn)楹竺嫖野l(fā)現(xiàn)他是錯(cuò)的。比如 occurred 打成了 obburred。[/scode]

寫入001 U盤鏡像中

前面說到我們是看到鏡像的DBR是空白的，所以我們需要把本地的一個(gè)NTFS的DBR復(fù)制過來，再結(jié)合鏡像的信息，修改部分DBR，然后就可以了。

大概就是劃出來的這幾個(gè)需要一樣，一定要對(duì)比好DBR，因?yàn)檫@個(gè)DBR打錯(cuò)，我找了一個(gè)多小時(shí)才找到

[scode type=“green”]下面才是正確的[/scode]

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F

00007E00   EB 52 90 4E 54 46 53 20  20 20 20 00 02 04 00 00   隦 NTFS   
00007E10   00 00 00 00 00 F8 00 00  3F 00 FF 00 3F 00 00 00        ? ?  ?   
00007E20   00 00 00 00 80 00 80 00  C1 7F 77 00 00 00 00 00       € € ?w   
00007E30   00 00 08 00 00 00 00 00  04 00 00 00 00 00 00 00   
00007E40   F6 00 00 00 01 00 00 00  5D 55 8E E2 69 8E E2 4E   ?      ]U庘i庘N
00007E50   00 00 00 00 FA 33 C0 8E  D0 BC 00 7C FB 68 C0 07       ?缼屑 |鹔?
00007E60   1F 1E 68 66 00 CB 88 16  0E 00 66 81 3E 03 00 4E     hf 藞   f >  N
00007E70   54 46 53 75 15 B4 41 BB  AA 55 CD 13 72 0C 81 FB   TFSu 碅華U?r  ?
00007E80   55 AA 75 06 F7 C1 01 00  75 03 E9 DD 00 1E 83 EC   U猽 髁  u 檁  冹
00007E90   18 68 1A 00 B4 48 8A 16  0E 00 8B F4 16 1F CD 13    h  碒?  嬼  ?
00007EA0   9F 83 C4 18 9E 58 1F 72  E1 3B 06 0B 00 75 DB A3   焹?瀀 r?   u郟
00007EB0   0F 00 C1 2E 0F 00 04 1E  5A 33 DB B9 00 20 2B C8     ?    Z3酃  +?
00007EC0   66 FF 06 11 00 03 16 0F  00 8E C2 FF 06 16 00 E8   f       幝   ?
00007ED0   4B 00 2B C8 77 EF B8 00  BB CD 1A 66 23 C0 75 2D   K +葁鋦 煌 f#纔-
00007EE0   66 81 FB 54 43 50 41 75  24 81 F9 02 01 72 1E 16   f 鸗CPAu$ ? r  
00007EF0   68 07 BB 16 68 70 0E 16  68 09 00 66 53 66 53 66   h ?hp  h  fSfSf
00007F00   55 16 16 16 68 B8 01 66  61 0E 07 CD 1A 33 C0 BF   U   h?fa  ?3攬
00007F10   28 10 B9 D8 0F FC F3 AA  E9 5F 01 90 90 66 60 1E   ( 關(guān) _   f` 
00007F20   06 66 A1 11 00 66 03 06  1C 00 1E 66 68 00 00 00    f? f     fh   
00007F30   00 66 50 06 53 68 01 00  68 10 00 B4 42 8A 16 0E    fP Sh  h  碆? 
00007F40   00 16 1F 8B F4 CD 13 66  59 5B 5A 66 59 66 59 1F      嬼?fY[ZfYfY 
00007F50   0F 82 16 00 66 FF 06 11  00 04 16 0F 00 8E C2 FF    ? f       幝
00007F60   0E 16 00 75 BC 07 1F 66  61 C3 A0 F8 01 E8 09 00      u? fa脿?? 
00007F70   A0 FB 01 E8 03 00 F4 EB  FD B4 01 8B F0 AC 3C 00   狖 ? 綦 嬸? 
00007F80   74 09 B4 0E BB 07 00 CD  10 EB F2 C3 0D 0A 41 20   t ?? ?腧? A 
00007F90   64 69 73 6B 20 72 65 61  64 20 65 72 72 6F 72 20   disk read error 
00007FA0   6F 63 63 75 72 72 65 64  00 0D 0A 42 4F 4F 54 4D   occurred   BOOTM
00007FB0   47 52 20 69 73 20 6D 69  73 73 69 6E 67 00 0D 0A   GR is missing   
00007FC0   42 4F 4F 54 4D 47 52 20  69 73 20 63 6F 6D 70 72   BOOTMGR is compr
00007FD0   65 73 73 65 64 00 0D 0A  50 72 65 73 73 20 43 74   essed   Press Ct
00007FE0   72 6C 2B 41 6C 74 2B 44  65 6C 20 74 6F 20 72 65   rl+Alt+Del to re
00007FF0   73 74 61 72 74 0D 0A 00  8C A9 BE D6 00 00 55 AA   start   尒局  U?

然后在winhex中點(diǎn)擊 ：“查看”-“模板管理器”-“Boot SectorNTFS”

核對(duì)內(nèi)容，如果一致就可以導(dǎo)入取證軟件中分析了，如果導(dǎo)入還是未分配簇就說明肯定有錯(cuò)誤，再次查找。

然后計(jì)算這個(gè)txt的md5值就可以了

7. 通過對(duì)U盤檢材的分析，請(qǐng)找出其文件系統(tǒng)每個(gè)簇占用多少KB?

8. 通過對(duì)檢材的分析，請(qǐng)找出嫌疑人張某的U盤在其計(jì)算機(jī)系統(tǒng)中的設(shè)備GUID號(hào)。（答案格式如： ** {e5u27f8f-4ad8-11e2-aa3b-7ca21e17826e}** ）

9. 通過對(duì)檢材的分析，提取嫌疑人張某郵箱賬號(hào)jackzhang@126.com對(duì)應(yīng)的密碼。（答案格式如： 123123123 ）

66886688

使用第四題的恢復(fù)密鑰串解密Bitlocker加密盤

10. 通過對(duì)計(jì)算機(jī)檢材中標(biāo)準(zhǔn)JPG格式圖片進(jìn)行數(shù)據(jù)恢復(fù)，請(qǐng)找出物理扇區(qū)位置為6801616的圖片 照片的拍攝日期？（答案格式如：1990-9-10 ）

數(shù)據(jù)恢復(fù)選擇 簽名恢復(fù)，普通恢復(fù)找不出

2012-8-20

11. 請(qǐng)對(duì)檢材進(jìn)行分析，找出嫌疑人張某曾經(jīng)上傳過文件的百度網(wǎng)盤賬號(hào)。（答案格式如：abcd123，區(qū)分大小寫）

mydisk447

12. 通過對(duì)檢材的綜合分析，請(qǐng)找出鄭某給嫌疑人張某發(fā)送非法獲取的公民隱私信息數(shù)據(jù)所使用的郵箱賬號(hào)。（答案格式如：abc@gmail.com）

還是簽名恢復(fù)出來的

zq236754689@126.com

13. 通過對(duì)檢材的分析，請(qǐng)找出嫌疑人張某的 Skype 賬號(hào)。（答案格式如：6e82aae4d1624dfc，區(qū)分大小寫）

9dd7b8df5af37e4f

14. 據(jù)悉張某經(jīng)常通過其計(jì)算機(jī)里的某軟件，遠(yuǎn)程連接訪問其偽基站服務(wù)器站點(diǎn)，從而提取相關(guān)資料，根據(jù)對(duì)該軟件的分析找出記錄有“偽基站服務(wù)器”站點(diǎn)的IP 地址。（答案格式如：192.168.1.233）

全局搜索 基站

10.10.10.128

15. 通過對(duì)檢材的關(guān)聯(lián)分析，請(qǐng)找出受害人“林火”在“米老鼠吧網(wǎng)站”上注冊(cè)的用戶名。（答案格式如：abc123，區(qū)分大小寫）

恢復(fù)了30W的數(shù)據(jù)找到這個(gè)郵件，然后壓縮包解壓就得到了數(shù)據(jù)，之后在華為手機(jī)知道林火是hotlin，但是一直找不到，不知道為什么

16. 已知嫌疑人張某經(jīng)常瀏覽 bbs.elecfans.com 網(wǎng)站，并已注冊(cè)成會(huì)員，請(qǐng)對(duì)檢材進(jìn)行分析找出張某在該網(wǎng)站注冊(cè)的賬號(hào)對(duì)應(yīng)的密碼。（答案格式如：abc123，區(qū)分大小寫）

火眼只有賬號(hào)沒有密碼，仿真起來查看

zhang8899

17. 嫌疑人張某從百度網(wǎng)盤下載了某個(gè) RAR 壓縮包文件，請(qǐng)計(jì)算該壓縮包解壓后文件的 MD5 值。（答案格式如：41F930B015A8CE90E02AF3A2F8FB33AF，字母大寫）

根據(jù)百度網(wǎng)盤記錄發(fā)現(xiàn)了下載的是wjz數(shù)據(jù).rar，通過數(shù)據(jù)恢復(fù)找到了這個(gè)文件，但是該文件是加密的

之后分析蘋果手機(jī)的檢材，查看SIM卡信息，發(fā)現(xiàn)手機(jī)號(hào)是該文件的解壓密碼

8269918F9520C8445A4D64B6A115267E

18 .通過計(jì)算機(jī)檢材的取證分析，請(qǐng)找出該團(tuán)伙“客服組”組長(zhǎng)的手機(jī)號(hào)碼。（答案格式如：13812345678）

嫌疑人電腦桌面有一個(gè)：卓越團(tuán)隊(duì)詳細(xì)資料.xls，里面找到了如下信息

但是不知道哪個(gè)是客服組的，通過蘋果手機(jī)的微信聊天記錄，判斷這個(gè)范傳是宣傳組的，所以排除

隨后就開始搜索這幾個(gè)組長(zhǎng)的名字，剛搜到李輝就發(fā)現(xiàn)了客服組.xls這個(gè)文件，所以判斷李輝是組長(zhǎng)，然后找到了他的電話。

13743711043

19. 通過對(duì)檢材的分析，嫌疑人張某通過其計(jì)算機(jī)上傳了某個(gè)文件到百度網(wǎng)盤，請(qǐng)找出上傳該文件總共耗時(shí)多少秒？（答案格式如：65）

軟件直接分析得到

86

20. 通過對(duì)計(jì)算機(jī)檢材進(jìn)行分析，已知嫌疑人電腦中有一個(gè) Excel 文檔（記錄了技術(shù)組成員信息）被人為刪除了，請(qǐng)恢復(fù)該文件并計(jì)算出其 MD5 值。（答案格式如：41F930B015A8CE90E02AF3A2F8FB33AF，字母大寫）

通過微信聊天技術(shù)，知道了這個(gè)備注為技術(shù)組 鄭工不是他們組長(zhǎng)，再結(jié)合他們的成員表，推斷出技術(shù)部組長(zhǎng)是李昊，所以在恢復(fù)數(shù)據(jù)之后搜索該名字，找到xls文件，計(jì)算MD5即可。

851B36BEDD29DD27E294EF285B2064B5

21. 在嫌疑人張某計(jì)算機(jī) D:/photos/手機(jī)/文件夾中，有一張損壞的圖片，無法正常打開，請(qǐng)想辦法打開該圖片，并找出照片中的內(nèi)容（答案格式為：9090）

使用恢復(fù)大師直接修復(fù)

22. 已知嫌疑人張某計(jì)算機(jī)中有涉案封郵件被刪除了，請(qǐng)找出該郵件，并計(jì)算該郵 件 附 件 （ 壓 縮 包 ） 的 MD5 值 。（ 答 案 格 式 如 ：41F930B015A8CE90E02AF3A2F8FB33AF，字母大寫）

沒有恢復(fù)出該文件

23. 通過對(duì)檢材的分析，請(qǐng)找出嫌疑人檢材中保存的 VPN 賬號(hào)。（答案格式如：abc123，區(qū)分大小寫）

My Accounts.docx這個(gè)文件，需要暴力破解

24. 通過對(duì)檢材的分析，請(qǐng)找出受害人李某因刷單被騙實(shí)際損失的總金額？（答案格式如：999）

4933

第一筆支付了328，收到了353，賺了25

第二筆虧了4958，所以4958-25=4933

25. 通過對(duì)檢材的分析，請(qǐng)找出受害人林某用于“刷單”收款的支付寶賬號(hào)。（答案格式如：13812345678）

15759231438

26. 通過對(duì)安卓手機(jī)取證分析，請(qǐng)找出嫌疑人張某在隨手記 APP 中記錄的“現(xiàn)金”賬號(hào)金額是多少。（答案格式如：10000）

36285

直接使用取證大師小程序隨手記賬解析出

27. 通過對(duì)安卓手機(jī)取證分析，請(qǐng)找出嫌疑人張某通過隨手記 APP 在 2019 年 4 月26 日記錄的刷單收入金額。（答案格式如：10000）

14600

查看4月26日這天的收入即可

28. 通過對(duì)檢材分析發(fā)現(xiàn)，請(qǐng)找出受害人李天真的支付寶賬號(hào)（答案格式如：13812345678）

18159667788

查看聊天記錄，發(fā)現(xiàn)收款尾號(hào)是7788

結(jié)合填寫的登記表得到電話

29. 通過對(duì)檢材的分析，請(qǐng)找出嫌疑人張某等人計(jì)劃 2019 年 “五一”前后在 “永定天子溫泉”度假的具體日期。（答案格式如：2019-05-05）

開始時(shí)間： 2019-04-30 18:00:00

結(jié)束時(shí)間： 2019-04-30 22:00:00

30. 通過對(duì)檢材的分析，請(qǐng)找出嫌疑人張某快手 APP 昵稱 “zhangli123733”對(duì)應(yīng)的賬號(hào)。（答案格式如：13812345678）

1334025097

31. 已知嫌疑人張某通過某 APP 發(fā)布了幾條 “招聘兼職”的相關(guān)視頻，請(qǐng)找出其提到的郵箱地址。（答案格式如：abc123@qq.com，區(qū)分大小寫）

手機(jī)視頻中找到

hotfan123@126.com

32. 已知嫌疑人張某在 2019 年 4 月 27 日駕車駛?cè)脒^某萬(wàn)達(dá)廣場(chǎng)，請(qǐng)找出嫌疑人的車牌號(hào)。（答案格式如：閩 F2Z9D8，字母大寫）

沒有找到

33. 通過對(duì)檢材的分析，張某在 2018 年 08 月 29 日 17:38:31 給某號(hào)碼通過電話，請(qǐng)找出通話時(shí)長(zhǎng)（秒）（答案格式如：10）

找到一個(gè)手機(jī)備份文件進(jìn)行分析

60

34. 通過對(duì)檢材的分析，張某在 2018 年 08 月 29 日 17:55:59 分發(fā)了一條短信，請(qǐng)找出該信息接收的手機(jī)號(hào)碼。（答案格式如：13812345678）

17859628390

35. 在嫌疑人張某手機(jī)備忘錄中發(fā)現(xiàn)了一條附帶照片內(nèi)容為 “團(tuán)隊(duì)建設(shè)活動(dòng)初定9.30 ” 的 記 錄 ， 請(qǐng) 找 出 該 照 片 并 計(jì) 算 其 MD5 值 。（ 答 案 格 式 如 ：41F930B015A8CE90E02AF3A2F8FB33AF，字母大寫）

直接全局搜索團(tuán)隊(duì)建設(shè)活動(dòng)初定，然后發(fā)現(xiàn)Memo.db中有相關(guān)信息，查看后發(fā)現(xiàn)照片路徑/data/data/com.example.android.notepad/images/d29c24de$d758$4935$83d3$5233a70b98e9_3120_4160_1536886044989.jpg，計(jì)算md5即可

D0F84B79852C92C14B6400269ECCBFD0

36. 2018 年 8 月 28 號(hào) 9:00-17:00 有一條日程信息，請(qǐng)找出該條記錄的標(biāo)題內(nèi)容。（答案格式如：創(chuàng)客攻堅(jiān)事項(xiàng)）

卓越刷客團(tuán)隊(duì)全體會(huì)議

37. 請(qǐng)對(duì)安卓手機(jī)檢材進(jìn)行分析，嫌疑人張某通過百度地圖 APP 有兩條搜索位置信息，請(qǐng)找出記錄的位置名稱。（答案格式如：北海灣酒店）

特房波特曼酒店

38. 通過對(duì)所給檢材的分析，請(qǐng)找出該嫌疑人使用的 iCloud 同步賬號(hào)。（答案格式如：abc@icloud.com，區(qū)分大小寫）

wangxx200041@icloud.com

39. 通過對(duì)檢材的分析，請(qǐng)找出其嫌疑人微信 wxid_m4ss89d1qaad12 綁定手機(jī)對(duì)應(yīng)的 ICCID 號(hào)。（答案格式如：860000a00000f0000000，區(qū)分大小寫）

898602d51317f2070037

對(duì)應(yīng)蘋果手機(jī)

40. 通過對(duì)檢材的分析判斷，嫌疑人張某目前居住的家可能位于哪里。（答案格式如：泉州市洛江區(qū)）

廈門市同安區(qū)

41. 通過對(duì)檢材的分析，請(qǐng)?zhí)崛∠右扇藦埬程O果手機(jī)加密備忘錄中記錄的 iCloud密碼。（答案格式如：abc123，區(qū)分大小寫）

zhang@200041

之前找備忘錄的時(shí)候，發(fā)現(xiàn)過iCloud密碼，在Huawei.dd/分區(qū)1/data/com.example.android.notepad/databases/note_pad.db

然后導(dǎo)入到以色列那個(gè)軟件中分析，輸入密碼200041

隨后在備忘錄中找到密碼

42. 通過對(duì)檢材的綜合分析，請(qǐng)找出嫌疑人張某計(jì)算機(jī)硬盤中的加密容器的密碼。（答案格式如：abc123，區(qū)分大小寫）

zhangli99

聽安卓手機(jī)的電話錄音

43. 通過綜合取證分析，受害人鐘某收到“招聘信息”短信的日期可能是。

沒有找到

44. 通過綜合取證分析，請(qǐng)找出張某的農(nóng)業(yè)銀行卡賬號(hào)。（答案格式為：622848007756452018）

6228000080003296789

45. 通過對(duì)所給檢材的綜合分析，請(qǐng)找出嫌疑人張某的百度網(wǎng)盤賬號(hào) mydisk447綁定的手機(jī)號(hào)碼。（答案格式如：13812345678）

17114532606

46. 根據(jù)對(duì)檢材的綜合分析，請(qǐng)找出與嫌疑人張某微信好友“小范 宣傳”的真實(shí)姓名。（答案格式如：張三）

范傳

團(tuán)隊(duì)信息表就能找到

47. 通過對(duì)檢材的綜合分析，請(qǐng)找出卓越團(tuán)隊(duì)背后總指揮 “黃總”新的手機(jī)號(hào)碼。（答案格式如：13812345678）

181 5988 3688

黃總就是這里的黃志榮，但是他之后短信說換手機(jī)號(hào)了,因此蘋果手機(jī)里的才是新手機(jī)號(hào)

最后

目前只做這么多，因?yàn)檫@套題真的太惡心了，關(guān)鍵就是恢復(fù)數(shù)據(jù)這里，真的是非常的難受。還剩下偽基站和服務(wù)器，以后有時(shí)間了再做文章來源地址http://www.zghlxwxcb.cn/news/detail-623936.html

到了這里，關(guān)于2020年“創(chuàng)享杯”第一屆電子數(shù)據(jù)取證線上大比武部分Writeup的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！