2023中科实数杯

1、检材一硬盘的MD5值为多少？

2、检材一bitlocker的恢复密钥是多少？

有检材3的内存镜像，efdd十几秒解出来了，passware kit得一个小时

3、检材一镜像中用户最近一次打开的文件名是什么？

4、检材一硬盘系统分区的起始位置？

起始位置=起始扇区*扇区的字节大小

仿真后win+r打开对话框，输入MSINFO32.EXE查看系统性息，在存储中找到磁盘，可以看到每个扇区的字节大小。

5、检材一系统的版本号是多少

6、检材一回收站中的文件被删除前的路径

7、检材一给出最后一次修改系统时间前的时间

8、检材一最后一次远程连接本机的时间

9、检材一Chrome浏览器最后一次搜索过的关键词是什么

10、检材一是否连接过U盘，如有，请给出U盘的SN码

11、检材一Edge浏览器最早一次下载过的文件文件名是

12、嫌疑人访问的微博的密码的MD5值

13、检材二备份的设备名称是什么？

14、检材二手机的IOS系统版本是多少

15、检材二备份的时间是多少？（格式：YYYY-MM-DD HH:MM:SS）

16、嫌疑人iphone手机给号码“13502409024”最后一次打电话的时间是。（格式：YYYY-MM-DD HH:MM:SS）

使用计算机里导出iso备份文件，在iso文件里的搜索记录显示，备份密码为5位

爆破一下

17、检材二使用过的号码ICCID是多少

18、检材二手机中高德地图最后搜索的地址

19、检材二手机最后一次登陆/注册“HotsCoin”的时间是（格式：YYYY-MM-DD HH:MM:SS）

20、检材二手机中照片“IMG_0002”的拍摄时间是（格式：YYYY-MM-DD HH:MM:SS）

21、检材二中“小西米语音”app的Bundle ID是什么？

Bundle ID就是应用包名的意思

22、检材二中浏览器最后一次搜索的关键词是什么？

23、嫌疑人和洗钱人员约定电子钱包的品牌是什么，如有多个用顿号分隔。

查看小西米语音的数据库，看看是否有相关聊天记录，文件位置

00008030-001619320C68802E.tar/AppDomain-com.titashow.tangliao/Documents/IM5_CN/9031bc3c805ac5e55ecaa151092c2c4b/IM5_storage/1399634813467579522

24、嫌疑人和洗钱人员约定电子钱包的金额比例是什么。

见上题图

25、检材三中进程“FTK Imager.exe”的PID是多少？

26、检材三中显示的系统时间是多少？

27、检材三中记录的当前系统ip是多少？

28、检材四中迅雷下载过的文件名是什么？

29、检材四中安装了哪些可是实现翻墙（VPN）功能的app？

30、检材四备份的设备系统版本是多少？

这是一台小米手机，在descript.xml文件中可以看到相关信息

31、检材四备份的时间是多少（答案以13位时间戳表示）

同样在descript.xml文件中可以看到相关信息

32、检材四中FileCompress app 包名是什么？

33、检材四中备忘录记录的内容是什么？

34、请列出检材四中所有虚拟币钱包app的包名，如有多个用顿号分隔。

35、检材四中嫌疑人使用Bitcoin Wallet钱包地址是什么？

36、MD5值为“FF3DABD0A610230C2486BFFBE15E5DFF”的文件在检材四中的位置

37、检材中受害人的微信号是多少？

38、嫌疑人曾通过微信购买过一个公民信息数据库，该数据库中手机尾号是8686的用户的姓名是

39、嫌疑人手机中是否保存了小西米语音app的账号密码，如有，请写出其密码

40、公民信息数据库中，截止到2023年12月31日，年龄大于等于18且小于等于30岁之间的用户信息数量

41、受害人小浩的手机号码是多少

找到vc加密容器

结合第36题共找到9、10、11月的诈骗人员名单，其中10、11月份的加密了，根据36题的提示，可以发现文件都是由FileCompress软件压缩加密的

根据分析可知，这是一个自己写的加密工具，逆向看看源码

根据工具中文提示，找到关键加密代码部位

找到写入密码的值

最终打开三个月的诈骗受害者名单

42、完整的受害人名单是几个人。

见上题

43、受害人转账的总金额是多少

合并ISO和ISO备份的微信资金流水