案情
2023月10月某日,香港警方在新界某地方接报一宗凶杀案。男子李哲圖(李哲圆)被发现用残暴的方式遭杀害。从死者李哲圖的手机检查中,警方发现最近两个月内,死者经常和一名女子李佩妍(Peggy)和三名男子分別因為陳大昆(陈大昆)(Ben),潘志輝(潘志辉)(Peter)和陳好(陈好)(Leo)联系,怀疑他们与案件有关,随后警方提取相关人员的手机和电脑做进一步调查。
经查得知,这三名男子 (陳大昆,潘志輝,陳好) 系同一个诈骗组织,而上述的一名女子李佩妍曾经是男死者李哲圖的女性密友。现在你被委派处理这个案件,请用以下的检材资料分析上述人士是否涉嫌犯罪,并还原事件经过。
检材资料
1.李哲圖的安卓手机镜像文件 (李哲圖的手機鏡像.zip)
2.李哲圖的车辆录像文件(李哲圖的車輛錄像.zip)
3.李哲圖的航拍机系统文件(李哲圖的航拍機.zip)
4.李哲圖的Windows计算机镜像文件(李哲圖的電腦鏡像.zip)
5.来自李哲圖的计算机网络封包文件(packet.pcapng)
6.李佩妍的iOS手机系统文件(李佩妍的手機鏡像.zip)
7.李佩妍的Windows计算机镜像文件(李佩妍的計算機鏡像.zip)
8.陳大昆的iOS手机系统文件(陳大昆的手機.zip)
9.陳大昆的Windows计算机镜像文件(陳大昆的計算機鏡像.zip)
10.陳大昆的macOS计算机镜像文件(陳大昆的MacBook.zip)
11.潘志輝的NAS盘镜像文件(潘志輝的NAS.zip)
12.潘志輝的U盘镜像文件(潘志輝的U盤.zip)
13.潘志輝的Windows计算机镜像文件(潘志輝的計算機鏡像.zip)
14.潘志輝的安卓手机系统文件(潘志輝的手機.zip)
15.陳好的Windows笔记本电脑镜像文件(陳好的計算機.zip)
16.陳好的安卓手机系统文件(陳好的手機.zip)
李哲圖的安卓手机镜像文件 (李哲圖的手機鏡像.zip)
1.参考 ’ blk0_sda.bin ’ 回答以下题目 With reference to ’ blk0_sda’ to answer below question 死者手机中的一个智能家居应用程序中的帐号是什么? What is the user ID of the Deceased’s account in a smart home app? 提示:请以阿拉伯数字填写答案 Tips: Please answer in arabic numbe
1826082897
使用火眼分析得到智能家居软件为米家
2.参考 ’ blk0_sda.bin ’ 回答以下题目 With reference to ’ blk0_sda’ to answer below question 死者手机中的智能家居应用程序内的智能门铃发送的最后一次通知消息的本地时间? what is the local time of the last notification message sent by a smart doorbell in this smart home app? (1分)
2023-09-26 23:51:18
此时的取证软件并没有帮助我门提取出来,那么此时我们可以考虑到一般的信息会存储在数据库中,我们直接去找米家这个app的文件夹
此时直接定位到数据库,进行查找后发现在/data/data/com.xiaomi.smartphone/databases/typelist_v2.db下的messagerecordtypelist表中存在智能门铃发送的通知
然后进行时间戳的转换即可得到答案
3.参考 ’ blk0_sda.bin ’ 回答以下题目 With reference to ’ blk0_sda’ to answer below question 死者在「Carousell」应用程序中首先接触的卖家是售卖什么类型产品的? What is the type of product the Deceased first to approach the seller in the App of “Carousell”? (2分)
Sneakers
直接搜索Carousell可以发现在Gmail中存在相关购买记录的邮件;此时经过对比发现最先接触的是Nike
杨慢慢
5.参考 ’ blk0_sda.bin ’ 回答以下题目 With reference to ’ blk0_sda’ to answer below question 死者曾经用「Fitbit」应用程序记录一次跑步的数据,该次跑步是由何时开始? What time of the Deceased started a run which recorded by the app of “Fitbit”?
2023-09-13 12:37
直接对应着选项进行搜索便可以发现答案
6.参考 ’ blk0_sda.bin ’ 回答以下题目 With reference to ’ blk0_sda’ to answer below question 死者除曾经用「Fitbit」应用程序记录一次跑步的数据外,他也用哪一个应用程序记录同一次跑步? Which of the following APPs used to record the same run? (1分)
Runkeeper
在上题时可以发现在2023-09-13 12:37同时存在另外一个软件在运行刚好与选项对应
7.参考 ’ blk0_sda.bin ’ 回答以下题目 With reference to ’ blk0_sda’ to answer below question 死者跑步起点的经纬度是多少? What is the longitude and latitude of the starting point of the run? (1分)
此时取证软件依旧分析不出来我们还是打算直接去文件夹里面找,数据一般都会被记录到数据库中;定位到blk0_sda.bin/分区24/data/com.fitnesskeeper.runkeeper.pro/databases翻看文件数据库文件;但是此时经过sql查询发现题目的选项都不在数据库中
8.参考 ’ blk0_sda.bin ’ 回答以下题目 With reference to ’ blk0_sda’ to answer below question 无人机卖家的电话号码是多少? What is the telephone number of the drone seller? 提示: 答案包括没有任何空格的国际电话代码,例如0085261231234 Tips: The answer should include the International Calling Code without any space, i.e. 0085261231234) (2分)
0085257352259
此时可以在whatsapp的聊天记录中找到与无人机卖家的聊天记录
12.参考李哲图的手机镜像回答以下题目 With reference to Chris’ mobile phone image to answer below question 李哲图手机内安装了什么恶意软件? What malicious program packages are installed on Chris’s mobile phone? (1分)
com.metasploit.stage和com.cad_epuas_reactnative
SUA一站通
此时直接在文件系统里面搜索com.cad_epuas_reactnative即可发现
此时若是不确定的话也可以直接导出该apk文件丢进app分析工具进行分析
1
李佩妍的手机镜像李佩妍的iOS手机系统文件(李佩妍的手機鏡像.zip)
9.参考李佩妍的手机镜像回答以下题目 With reference to Peggy’s mobile phone image to answer below question 李佩妍在Facebook 建立了一个群组, 该群组的名称是什么? Peggy created a group on Facebook. What is the name of the group? 提示:请用大写英文作答, 不用留空白 Tips: Please answer the question in capital letters, leave no spaces
DJIDRONESHONGKONG
此时依旧没有帮助我们分析出来;还是把目光放在了文件夹的数据库信息中;此时经过寻找发现找不到facebook的文件夹;换了个工具进行分析
导出数据库信息后进行逐个查阅;最终在advanced_thred_info表中发现了群组DJIDRONESHONGKONG
10.参考李佩妍的手机镜像回答以下题目 With reference to Peggy’s mobile phone image to answer below question 李佩妍第一次用计算机登入Facebook帐户的日期和时间? What day and time did Peggy first log in to her Facebook account using a computer? (2分)
2023-07-26 14:37:40
在取证软件中依旧找不到,还是把思路放在了数据库的数据中;依旧是上一题的数据库;在设备记录secure_message_peer_devices_v2中可以找到登入facebook的方式
此时把时间经过时间戳转换即可得到2023-07-26 14:37:40
11.李佩妍在2023年9月3日曾经操作航拍机,请问起飞地点的经纬度是多少?
On September 3, 2023, Li Peiyan operated a drone. What are the latitude and longitude coordinates of the takeoff location?
提示: 以经纬度坐标回答有关答案,答案如 Lat: 22.2846135, Lon: 114.1739116,请用以下格式作答,22.2846135,114.1739116。
For example: Lat: 22.2846135, Lon: 114.1739116, please answer 22.2846135,114.1739116.
1
李佩妍的Windows计算机镜像文件(李佩妍的計算機鏡像.zip)
15.参考李佩妍的计算机镜像回答以下题目 With reference to Peggy’s computer image to answer below question 李哲图计算机的外部IP是多少? What is the external IP of Chris’s computer? 提示: 用IPV4格式回答 Hint: Combine the IP address into a single answer. For example, if the IP address is 123.123.123.123, the answer should be 123123123123. (1分)
59.152.211.13
这题没啥思路;直接使用暴力搜索
16.参考李佩妍的计算机镜像回答以下题目 With reference to Peggy’s computer image to answer below question 李佩妍计算机内的Kali虚拟机时区是多少? What is the time zone of the Kali virtual machine on Peggy’s computer? 提示: 不要输入符号及空白,以全大写英文回答 Tips: Answer in uppercase English without symbols or spaces (1分)
USEASTERN
先找虚拟机的磁盘文件\Windows_简单卷[Volume1]\Program Files\Oracle\Peggy Li
然后右键选择虚拟磁盘解析;解析完直接搜索timezone文件即可发现
18.参考李佩妍的计算机镜像回答以下题目With reference to Peggy’s computer image to answer below question在2023-09-26 10:00 (UTC+8)至 2023-09-26 11:00 (UTC+8)时间内, 李佩妍在李哲图的计算机下载了一个文件,请问文件名是什么?From 2023-09-26 10:00 (UTC+8) to 2023-09-26 11:00 (UTC+8), Peggy downloaded a file on Chris’s computer. What is the name of the file?
19.参考李佩妍的计算机镜像回答以下题目With reference to Peggy’s computer image to answer below question在2023-09-26 11:22 (UTC+8)时间, 李哲图当时所在地方的经纬度是多少?
On 2023-09-26 at 11:22 (UTC+8), where was Chris located?提示: 将经纬度合并回答。如 22.2846135(Latitude) 114.1739116(Longitude),需回答 22.2846135,114.1739116Tips: Combine the latitude and longitude coordinates. For example, if the latitude is 22.2846135 and the longitude is 114.1739116, the answer should be
22.2846135,114.1739116.
李哲圖的Windows计算机镜像文件(李哲圖的電腦鏡像.zip)
17.参考李哲图的计算机镜像回答以下题目 With reference to Chirs’s computer image to answer below question 在李哲图的计算机上,有一个文件内藏有木马病毒,请问该文件的名称是什么? On Chris’s computer, there is a file containing a Trojan virus. What is the name of the file? 提示: 以全大写英文字母回答,不包含符号或空格,例如, “ABC.TXT” Tips: Answer in uppercase English without symbols or spaces. For example ABC.TXT (1分)
20.参考陈好计算机的镜像,从目标服务器窃取数据要执行哪一个文件?(包括文件名的扩展名)提示:以大写英文字母回答,如,ABC.TXT(1分)
21.参考陈好计算机的镜像,用在执行「从目标服务器窃取数据要执行的文件」的软件是什么?(包括文件扩展名)”提示:以大写英文字母回答,ABC.TXT(1分)
22.参考陈好计算机的镜像,存储该「从目标服务器窃取数据要执行的文件」的原始路径是什么?提示:以大写英文字母与以下格式填写答案例如:\USERS\HO328\APPDATA\LOCAL\PROGRAMS\TESTING.TXT
23.参考陈好计算机的镜像,执行该「从目标服务器窃取数据要执行的文件」后将创建哪些文件?(包括文件扩展名)
24.参考陈好计算机的镜像,目标服务器的IP地址及服务器的端口是多少?提示:将IP地址及服务器的端口合并回答。如123.123.123.123:80
25.参考陈好计算机的镜像,通过执行”李佩妍在李哲图的计算机下载的文件”成功窃取了以下哪些数据?i)current_ui_customer_descriptionii)emailiii)tokeniv)customer_stage(1分)
26.参考陈好计算机的镜像,有多少条客户信息被盗取?(包括首尾项目)提示:请以阿拉伯数字作答(1分)
27.参考’TeslaCam.e01’,当哨兵模式运作时,共有多少个镜头将会进行记录?(第三方安装的电子狗不计在内)提示:请以阿拉伯数字作答(1分)
29.参考’TeslaCam.e01’,当哨兵模式运作时,系统会自动记录多长时间的影像?(2分)
30.参考’TeslaCam.e01’,在2023年10月2日上午11时51分,到底发出了什么事件令哨兵模式被触发?请用小写英文字母与以下格式作答xxx_xxx_xxx_xxx(2分)
31.参考’TeslaCam.e01’,男死者李哲图死在9月末,但是其车辆的哨兵模式在2023年10月02日的上午被启动,从SentryClipsFolder内找出有关片段,确认有什么事件引发录制。
32.参考’TeslaCam.e01’,按照SentryClips内’2023-10-02_11-51-40’的活页夹,请找出男死者李哲图私家车当日的停泊位置。提示:以经纬度坐标回答有关答案,答案如Lat:22.2846135,Lon:114.1739116,请用以下格式作答,22.2846135,114.1739116。
33.参考’TeslaCam.e01’,在’event.json’文件,我们发现有一栏显示为”Camera:6”,这是什么意思?提示:请浏览特斯拉有关的网站或讨论区。(3分)
34.参考’TeslaCam.e01’,有人曾驾驶男死者李哲图的车辆前往香港迪斯尼乐园,期间有车辆从男死者的车辆后方驶走,请找出在”2023-09-30alerted”照片中有关车牌号码?请以大写英文与以下格式作答,如:AB_123(3分)
35.参考’dji.go.v5’,按照WhatsApp聊天记录,得知Chris曾与Peggy在2023年09月07日外出玩无人机。飞行记录”DJIFlightRecord_2023-09-07_17-33-52”的文件路径?(1分)
36.参考’dji.go.v5’,在李哲图的LG手机内2023年9月7日内有多少次飞行记录?提示:请用阿拉伯数字作答(2分)
37.参考’dji.go.v5’,尝试找出與原点最远的距离,并从日志文件中找出所有有关区域的经纬度坐标。(3分)
38.参考’dji.go.v5’,在2023年09月07日,Chirs和Peggy曾经外出玩无人机,并用无人机拍摄一张照片”dji_fly_20230907_172136_63_1694078794485_photo_optimized.jpg”,请问拍摄照片时,
无人机的高度值是多少
39.参考’陈好的计算机镜像’,陈好用了云端运算来构建钓鱼网站,这网站的IP地址是多少?提示:以IPV4格式回答,如123.123.123.123(1分)
40.参考’陈好的计算机镜像’,陈好在云端运算建立了linux的系统,请问这系统的使用者ID是什么?提示:请全部用英文小写作答,例子:tommychan(1分)
41.参考’陈好的计算机镜像’,在2023年8月25日至2023年9月05日期间,下列哪些IP地址成功登录云端运算?(2分)
42.参考’陈好的计算机镜像’,在2023年9月10日至2023年9月16日期间,哪个IP地址透过SSH连接,不断密码攻击陈好所使用的云端计算的linux系统?(只计最高值)提示:以IPV4格式回答(2分)
43.参考’陈好的计算机镜像’,陈好所用的云端运算,所用的linux系统,内有安装Mysql,请问哪个是他的密码?(2分)
44.参考’Meiya_StaffB_laptop.e01’,陈好所使用的手机中,用了云端运算来构建钓鱼网站,这网站的主题是什么?(1分)
45.参考’陈好的计算机镜像’,陈好在云端运算上用的Linux系统,请问这个镜像文件的主文件名?提示:请用大写字母与阿拉伯数字作答,并不需要扩展名(1分)
46.参考’陈好的计算机镜像’,陈好构建的钓鱼网站最终偷取了多少位客户的密码?请以阿拉数字作答(3分)
47.参考’陈好的计算机镜像’回答以下题目陈好用了”MAMP”的程序在本地主机测试构建的钓鱼网站,请问他测试时用了哪个网络服务器和用了什么通讯端口?(
48.参考’陈好的计算机镜像’,陈好构建的钓鱼网站,最终成功盗取了几张信用卡的资料?提示:请用阿拉伯数字作答(3分)
49.参考’陈好的计算机镜像’,陈好所用的云端运算中,内装有MicrosoftAzureLinuxVM代理程序,这个程序的功能包含配置,资源扩展,通信,安全性,诊断数据等等,请问个程序的名字是什么?
50.参考’陈好的计算机镜像’,陈好所用的云端运算,以下描述是正确的:(2分)
51.请参考陈大昆MacBook镜像文件回答以下题目:这台MacBook创建了多少个访客账户?(1分)
52.请参考陈大昆MacBook镜像文件回答以下题目:这MacBook的用户名称是什么?(名称包括所有英文字母、数字和符号,区分大小写,不需要空格)
53.请参考陈大昆MacBook镜像文件回答以下题目:这台MacBook中曾连接了多少个WIFI(WIFISSID)?
54.参考’陈大昆的计算机镜像’,在这个取证镜像文件中有多少用户配置文件具有浏览历史?
55.请参考陈大昆MacBook镜像文件回答以下题目:请提供以下文件的内容:“f.rtf”、“a.rtf”、“f1.txt”和“a1.txt”。(填写文件内容所有英文字母、数字和符号,区分大小写,不需要空格)请按照以下格式回答:xxx_xxx_xxx_xxx例子:如(1)的内容是abc,(2)的内容是123,(3)的内容是DEF,(4)的内容是8.8请填写:abc_123_DEF_8.8(
56.请参考陈大昆MacBook镜像文件回答以下题目:有两个加密的.dmg文件在取证镜像文件内。按照.dmg文件的创建时间先后,请填写下面的空白:文件名称包括扩展名(如adcd.dmg)第一个创建.dmg文件的名称是:_____,密码是:____第二个创建.dmg文件的名称是:_____,密码是:____请按照以下格式回答:xxx_xxx_xxx_xxx,例子:如(1)的内容是abc、(2)的内容是123、(3)的内容是DEF、(4)的内容是8.8,答案为:abc_123_DEF_8.8
57.请参考陈大昆MacBook镜像文件回答以下题目:有一个应用程序托管在.dmg文件中,该程序需要一个密钥才能启用,请填写以下空格:(文件名称包括所有英文字母、数字和符号,区分大小写,不需要空格)存有密钥的文件名称是:________密钥的值是:________请按照以下格式回答:xxx_xxx,例子:密钥文件名称是:abc.def,密钥的值是:123,答案为:abc.def_123
58.参考’陈大昆MacBook镜像文件’,按照相关记录,该应用程序使用了哪个版本的引擎?
59.参考’陈大昆MacBook镜像文件’,按照您的检验,以下哪个陈述(或多个陈述)在描述路径“/Desktop/.Spotlight-V100/”下的文件是正确的?
60.参考’潘志辉的计算机镜像’,在换脸软件的“源视频转图片”程序中,不支持下列哪一类文件?
61.参考’潘志辉的计算机镜像’,目标视频转换了多少张图片?
62.参考’潘志辉的计算机镜像’,已换脸的图片储存在哪个路径?
63.参考’潘志辉的计算机镜像’,在这案件中,使用了哪个程序将图片换脸?
64.参考’潘志辉的计算机镜像’,实时换脸软件可使用多少个模型?
65.参考’潘志辉的计算机镜像’,实时换脸软件用了哪一个模型?
66.参考’潘志辉的计算机镜像’,在这案件中,换脸软件训练了哪些模型?(答案不用副文件名,例如Jackie_Chan.dfm只需输入Jackie_Chan)
67.参考’潘志辉的计算机镜像’,4live_SAEHD_model训练了多少迭代次数?(
68.参考’潘志辉的计算机镜像’,换脸软件输出的文件名是什么?
69.参考’潘志辉的计算机镜像’,分析潘志辉计算机的镜像后,相信他曾使用不同的遥距控制软件控制3部设备。请选择他曾使用的遥距控制软件。提示1:软件1显示SamsungGalaxyS7的设备编号(DeviceID):1062919330&潘志辉的计算机设备编号:228758166,提示2:软件2显示LM-G710EAW5的ID:LM-G710EAW1f703895,提示3:软件2显示LG-D855的ID:LGE-LG-D855(2分)
70.参考’潘志辉的计算机镜像’,按照Peter计算机.e01的文件,可推论潘志辉用哪一个软件作一站式管理所有涉及的电子设备
71.参考’潘志辉的计算机与手机镜像’,按照潘志辉的计算机与手机镜像可推论潘志辉正进行以下哪种犯罪
72.参考’潘志辉的计算机镜像’,按照Peter计算机.e01的文件,总共有多少个电子设备登入?提示:请用阿拉伯数目字作答
73.参考’潘志辉的计算机镜像’,按照Peter计算机.e01的文件,潘志辉只有一个电子邮件账户,哪一天是该账户第一次登入Pushbullet?提示:请用YYYY_MM_DD的格式作答
74.参考’潘志辉的计算机镜像’,按照Peter计算机.e01的文件,潘志辉发送大量SMS信息的文件名是甚么?提示:需包括扩展名称如ABC_123.doc
75.参考’潘志辉的计算机镜像’回答以下题目按照Peter计算机.e01的文件,Pushbullet与”发送大量SMS信息的文件”应用了哪一个技术交换信息,提示:请用小写英文全名并以下例子格式答题。例子:graphic_user_interface
76.参考’潘志辉的计算机镜像’,按照Peter计算机.e01的文件,哪一个设备曾经在Pushbullet内向GalaxyS7发送“生财工具”的信息?
77.参考’潘志辉的计算机镜像’回答以下题目按照Peter计算机.e01的文件,开启VMware内ubuntu的密码是多少?提示1(Tips1):相关的Ubuntu文件在ProgramFiles(x86)\Vmware\VMPlayer;Ubuntu的路径为C:\ProgramFiles(x86)\Vmware\VmwarePlayer\UbuntuVM,提示2(Tips2):请以小写英文与附号作答,提示3(Tips):可考虑使用KaliLinux、网上平台与ubuntupassword.txt内所有的数据协助找出密码
78.参考’潘志辉的计算机镜像’,按照Peter计算机.e01的文件,潘志辉应用了哪一个技术把true-ubuntupassword.txt隐藏在ubuntupassword.txt中
79.参考’潘志辉的计算机镜像’,true-ubuntupassword.txt内有一组哈希值,该哈希值是下列哪一种?
80.参考’潘志辉的计算机镜像’回答以下题目,按照Peter计算机.e01的文件,在UbuntuVM在内执行TorBrowser时,在命令提示字符(CommandPrompt)执行netstat指令输出网络数据,以下为部份内容,哪一个数据可以推论潘志辉曾经使用TorBrowser。
81.参考’潘志辉的计算机镜像’回答以下题目按照Peter计算机.e01的档案,潘志辉想把TorBrowser的entry与exitnode修改为澳洲进入,美国离开,但以下A-D项的空白位置潘志辉不懂如何填上内容
82.参考’潘志辉的手机镜像HUAWEI P30 pro’,在潘志辉手机华为P30Pro的WhatsApp与华为NOVA5T的WhatsApp的对话中,曾被修改过的对话,请找出修改前的内容。提示:请用中文与小写字母作答(2分)
83.参考’潘志辉的手机镜像HUAWEI NOVA 5T’,潘志辉的手机华为Nova5T中曾使用哪一个文件以一部激光雕刻机打印了一个QRcode,这个文件名称的扩展名是什么?
84.参考’陈好的手机镜像’,陈好手机的相片20230821_144459在安卓的其中一个数据库中,显示该相片可包含哪个主体?
85.参考’陈大昆的手机镜像’回答以下题,陈大昆的手机被一个itunebackup密码加密保护,这个密码是什么?提示:请用阿拉伯数字作答
86.参考’潘志辉的手机镜像HUAWEIP30pro’,潘志辉手机华为P30pro的WhatsApp社群”香港商品交易群组Hong Kong Trading”,是什么时候建立的(UTC+8)
87.参考’潘志辉的手机镜像HUAWEIP30pro’,潘志辉手机华为P30Pro的WhatsApp的有多少个对话群组不包含对话讯息记录(系统自行发出的不作计算)
88.参考李哲图的计算机镜像,在李哲图传送给Ben的电邮中有2个附加文件,文件的名称是?
89.参考陈大昆的计算机镜像,在陈大昆电脑中,他收到李哲图的电邮,当中有一个加密的压缩文件,该文件的开启密码是?提示:请用全大写字母作答
90.参考陈大昆的计算机镜像回答以下题目,在陈大昆的电脑中,加密的压缩文件NewTarget.rar中有2个文件,一个是加密的Word文件,另一个是图片文件。已知ChiTo曾处理图片以隐藏一段文字,那段文字是?提示:请用英文与标点符号作答
91.参考李哲图的计算机镜像,李哲图曾执行一个程序在”key.bmp”的图片文件中隐藏一段文字,請問他是用哪一个程序?
92.参考陈大昆的计算机镜像回答以下题目,在陈大昆的电脑中,加密的压缩文件NewTarget.rar中有2个文件,一个是加密的Word文件,另一个是图片文件。已知图片的隐藏文字为加密的Word文件的Salt(为一个AES256加密)。在加密的Word文件中,李美玲的年龄为?(3分)
93.参考陈大昆的计算机镜像回答以下题目,在陈大昆的电脑中,加密的压缩文件NewTarget.rar中有2个文件,一个是加密的Word文件,另一个是图片文件。已知图片的隐藏文字为加密的Word文件的Salt(为一个AES256加密)。在加密的Word文件中,钟翠华的电邮为?
94.参考’benckwindow10.e01’,在Ben电脑中,他在Opensea.io中使用了哪些区块链制造NFT?
95.参考’benckwindow10.e01’,在Ben电脑在Opensea.io中所创建的NFT(s)的CollectionID是?需以下例子的格式作答:CollectionID/NumberofNFT(s)sold,例:4561313456
96.参考’benckwindow10.e01’,这个Opensea.io中的CollectionID一共卖出了多少个NFT(s)?提示:请参阅附加资料
97.参考’benckwindow10.e01’,购买上述在Opensea.io中NFT(s)的加密货币地址是?提示:请参阅附加资料與请用大写字母作答,例子:0X1234567ABCDEF
98.参考’benckwindow10.e01’,哪些是购买上述CollectionID内的NFT(s)的交易哈希(TransactionHash)?提示:请参阅附加资料
99.参考’benckwindow10.e01’,在Opensea.io中铸造上述NFT(s)的加密货币地址是?提示:请参阅附加资料与请用大写字母作答,例子(example):0X1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ0123
100.参考’benckwindow10.e01’,在Opensea.io中,由上述加密货币地址所铸造没有CollectionID的NFT找到什么资讯?提示:请参阅附加资料
101.参考’benckwindow10.e01’,合约地址(ContractAddress):0xa071e23fdbdfc23011a28977e102038747373575所使用的是哪一个区块链?提示:请参阅附加资料
102.参考’benckwindow10.e01’,合约地址(ContractAddress):0xa071e23fdbdfc23011a28977e102038747373575的加密货币名称(Name)及简写(Symbol)是?
103.参考’benckwindow10.e01’,加密货币合约地址(ContractAddress):0xa071e23fdbdfc23011a28977e102038747373575在区块链的创建日期时间是?
104.参考’benckwindow10.e01’,加密货币合约址(ContractAddress):0xa071e23fdbdfc23011a28977e102038747373575的总铸造数量是?提示:请参阅附加资料
105.参考’benckwindow10.e01’回答以下题目,第一个储存加密货币合约(ContractAddress):0xa071e23fdbdfc23011a28977e102038747373575的地址是?提示:请参阅附加资料與请用大写字母作答,例子(example):0X1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ0123
105.参考’benckwindow10.e01’回答以下题目,第一个储存加密货币合约(ContractAddress):0xa071e23fdbdfc23011a28977e102038747373575的地址是?提示:请参阅附加资料與请用大写字母作答,例子(example):0X1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ0123
107.参考’benckwindow10.e01’回答以下题目,承上題,请根据铸造加密货币合约地址(ContractAddress):0xa071e23fdbdfc23011a28977e102038747373575的交易哈希(TransactionHash),在Ben电脑中,找出比在以太坊(Ethereum)上确认验证的日期时间早的文件名?提示:请参阅附加资料与请用大写字母作答
108.参考’benckwindow10.e01’,承上題,按照在以太坊(Ethereum)上确认验证的日期时间的文件的创建日期时间、路径及数据,下列哪些推论是正确的?
109.参考’benckwindow10.e01’回答以下题目,以下哪个去中心化交易中心(Dex)能够成功兑换加密货币合约地址(ContractAddress):0xa071e23fdbdfc23011a28977e102038747373575?提示:请参阅附加资料
110.参考’benckwindow10.e01’,截至2023-09-07 1511时,加密货币合约地址(ContractAddress):0xa071e23fdbdfc23011a28977e102038747373575对美元(USD)的市场价格是?
111.参考’benckwindow10.e01’回答以下题目,截至2023-09-20,持有50,000,000个加密货币合约地址(ContractAddress):0xa071e23fdbdfc23011a28977e102038747373575的加密货币地址是?提示:请参阅附加资料與请用大写字母作答
112.参考’benckwindow10.e01’,按照时间线分析Ben电脑活动,在2023-09-06 16:58:10时及2023-09-06 16:58:21时,在”Access-Control-Allow-Origin”中显示了哪一个网站?
113.参考’benckwindow10.e01’,承上題,在2023-09-0616:58:10时及2023-09-0616:58:21时,在”Access-Control-Allow-Origin”中显示的网站有什么功能?
114.参考’benckwindow10.e01’,哪一个扩展名与创建加密货币有关?
115.参考’benckwindow10.e01’回答以下题目,陈大昆被捕后拒绝提供虚疑货币钱包密码及恢复种子,并以挑战口吻响应:「重要信息已经放好在桌面上,难道你没看见吗?」。在Ben电脑内与恢复种子有关的两个文件的扩展名是?
116.参考’benckwindow10.e01’,承上題,在陈大昆电脑内恢复种子的第八个英文单字是?提示:请用大写字母作答
117.参考’benckwindow10.e01’回答以下题目,按照上述恢复种子,请计算出在以太坊(Ethereum)其BIP-44 derivation address=m/44’/60’/0’/0/0的公钥?提示:请用大写字母作答n例子:0X1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ0123(3分)
118.参考’benckwindow10.e01’,按照上述恢复种子,请计算出在波场网络(Tron Network)其BIP-44 derivation address=m/44’/195’/0’/0/2的私钥?提示:请用大写字母与阿拉伯数字作答(3分)
119.参考’NAS-DISK1.e01,NAS-DISK2.e01,NAS-DISK3.e01’,案中所使用的NAS是哪个品牌?提示:请用小写字母作答
120.参考’NAS-DISK1.e01,NAS-DISK2.e01,NAS-DISK3.e01’,NAS所使用的是哪个容错式磁盘阵列的层级(RAIDLEVEL)?提示:请用阿拉伯数字作答
121.参考’NAS-DISK1.e01,NAS-DISK2.e01,NAS-DISK3.e01’,NAS所使用的容错式磁盘阵列是那种数据分布方式(Layout)?提示:请用小写字母作答,如:abc-def
122.参考’NAS-DISK1.e01,NAS-DISK2.e01,NAS-DISK3.e01’,试列出NAS容错式磁盘阵列里面的所有逻辑巻名称(LogicalVolumeName)提示:请用小写英文以及在空格或标点符号位置用以_作答例子(example):abcd_efgh_123
123.参考’NAS-DISK1.e01,NAS-DISK2.e01,NAS-DISK3.e01’,NAS安装了哪个版本的MariaDB?提示:请以以下格式作答,例子(example):21.22.23
124.参考’DiskImage.e01’,试列出数据库内所有表(Table)的名称?因为涉及多在1个项目,请把英文前缀较前的项目放先,并依以下例子的格式作答正确例子:brand&serialnumber错误例子:serialnumber&brand
125.参考’DiskImage.e01’,数据库是那一天被保存?提示:请用YYYY_MM_DD的格式作答,例子(example):1986_01_23(1分)
126.参考’陈大昆的MacBook映象档”中的”0c1c.7z”档案回答以下题目:你可以找出生成”0c1c.bin”这个二进制文件所使用的编译器吗?(编译器名称包括所有英文字母、数字,符号,区分大小阶,不需要空格)(2分)
127.参考’陈大昆的MacBook映象档”中的”0c1c.7z”文件回答以下题目:这个恶意软件具有多少个初始化函数入口点?(请以阿拉伯数字回答,例如:100)
128.参考’陈大昆的MacBook映象档”中的”0c1c.7z”档案回答以下题目:这个二进制文件”0c1c.bin”的入口点是什么?(注意:不同检验工具可能会以不同位移值开始,如:0x00000000或0x00100000,但所有回答请以0x00000000开始)(请以16进制回答,”0x”后的英文字母需大阶,例如:0x0123ABEF)
129.参考‘陈大昆的MacBook映象档”中的”0c1c.7z”文件回答以下题目:恶意软件应该包含一个名为‘.rodata’的部分,请提供这个’.rodata’部分的文件大小(单位为byte),以十进制方式回答您的问题。(请以阿拉伯数字回答,例如:100)
130.参考’陈大昆的MacBook映象档”中的”0c1c.7z”档案回答以下题目:这个恶意软件包含两个与两种知名加密货币名称相关的字符串。它们是什么?(如有英文字母需大阶,并以前缀英文字母由小至大次序回答)请按照以下格式回答:例子:如两种知名加密货币名称分分别是Cat及Apple请填写:APPLE+CAT
131.参考’陈大昆的MacBook映象档”中的”0c1c.7z”文件回答以下题目:以下指令似乎用在加载与CPU绑定相关的指令操作数的内存地址,哪个函数包含了这些指令,请回答该函数的位移值。(注意:不同检验工具可能会以不同位移值开始,如:0x00000000或0x00100000,但所有回答请以0x00000000开始)(请以16进制回答,”0x”后的英文字母需大阶,例如:0x0123ABEF)
132.参考’陈大昆的MacBook映象档”中的”0c1c.7z”文件回答以下题目:以下指令可能用在与加密货币挖矿服务器进行交互。哪个函数包含了这些指令?(注意:不同检验工具可能会以不同位移值开始,如:0x00000000或0x00100000,但所有回答请以0x00000000开始)(请以16进制回答,”0x”后的英文字母需大阶,例如:0x0123ABEF)
133.参考’陈大昆的MacBook映象档”中的”0c1c.7z”文件回答以下题目:这个二进制文件中,有一个加密货币相关联的应用程序,请提供应用程序名称、版本和相关加密货币名称。(如有英文字母需大阶,应用程序版本请以阿拉伯数字及符号作答)
134.参考’陈大昆的MacBook映象档”中的”35ea.7z”文件回答以下题目:你可以找出生成”35ea.bin”这个二进制文件所使用的编译器吗?(编译器名称包括所有英文字母、数字,符号,区分大小阶,不需要空格)
135.参考’陈大昆的MacBook映象档”中的”35ea.7z”文件回答以下题目:这个二进制文件的入口点是什么?(注意:不同检验工具可能会以不同位移值开始,如:0x00000000或0x00100000,但所有回答请以0x00000000开始)(请以16进制回答,”0x”后的英文字母需大阶,例如:0x0123ABEF)(3分)
136.参考’陈大昆的MacBook映象档”中的”35ea.7z”文件回答以下题目:这个二进制文件中包含一个名为‘killVM’的函数。请提供这个函数的大小(单位为byte)并以十进制方式回答。(请以阿拉伯数字回答,例如:100)
137.参考’陈大昆的MacBook映象档”中的”35ea.7z”文件回答以下题目:这个二进制文件应该包含一个名为‘EncrytFile’的函数。请提供这个函数的大小以十进制方式回答您的问题。提示:请用阿拉伯数字作答(3分)
138.參考’陳大昆的MacBook映象檔”中的”35ea.7z”檔案回答以下題目:这个二进制文件中有多少个函数的名称包含‘ENCRYPT’字串?提示:请用阿拉伯数字作答
139.参考’陈大昆的MacBook映象档”中的”35ea.7z”文件回答以下题目:这个二进制文件与哪种勒索软件相关联?请提供其名称。提示:请用大写字母回答