和上一题找到的位置一样

10.[单选题] 承上题，寄出这封电邮的IP地址是?(2分)

B. 65.54.185.39
C. 10.13.105.56
D. 58.152.110.218

原来数据库中的url就是发邮件的地址，但是nslookup查询IP对不上，猜测A

11. [单选题]李大辉手机有一个 'order.xlsx' 的档案被加密了，解密钥匙是什么? (1分)

A. 20221101

B. Nov2022!

C. 2022_Nov!

D. P@ssw0rd!

一个方法是直接在手机图片中看到 

另一个是导出xls文件，选择题选项一个一个试也可以 

12.[填空题]香港的街道上每一枝街灯都有编号。分析李大辉手机里的程序KMB 1933，哪一枝街灯在经度 Latitude) 22.4160270000，纬度(Longitude) 114.2139450000 附近，它的编号是什么?(以大写英及阿拉伯数字回答)(2分)

SC02-S-1100-0

找到该程序数据库文件，再对数据库文件查看分析

 过滤即可

13. [填空题]李大辉的手机里有一张由该手机拍的照片，照片的元资料 (Metadata) 曾被修改，这张照片的档案名是什么?(以大写英文及数字回答，不用回答副档名) (2分)

20220922152622

在照片里面发现了一个修改时间和创建时间不对应的图片 ，拍摄时间抽象到2008年

14. [单选题]分析李大辉的手机里的资料，他在哪一间公司工作? (2分)

A. 步步高贸易公司

B. 盛大国际有限公司

C. 美丽好化妆品公司

D. 永恒化妆品公司

在之前的加密xlsx那里发现了他的员工证

15. [填空题]林浚熙曾经以手机登录Google账户的验证码是什么? (不要输入符号，以大写英文及阿拉伯数字回答) (1分)

G-785186

在手机短信那里即可看到

16. [填空题]林浚熙手机的 'WhatsApp' 号码是什么? ( 号码 ) @s.whatsapp.net? (以阿拉伯数字回答) (1分)

85259308538

17. [单选题]通过分析林浚熙手机的照片，判断他在何处偷拍王晓琳? (1分)

A. 郊野公园

B. 游泳池

C. 交通工具

D. 酒店房间

看聊天记录发的图片是在酒店房间里 

18. [填空题]林浚熙曾经删掉自己拍摄的照片，这张照片的档案名 (Filename) 是什么? (不要输入 '.'，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (2分) 

IMG0444JPG

19. [填空题]王晓琳曾经发送一个PDF档案予林浚熙，这个档案的文件签名 (File Signature) 是什么? (以十六进制数字回答首八位数值，如F0A1C5E1) (2分)

D0CF11E0A1

20. [填空题]承上题，该PDF档案内包含一位曾经被骗的受害者资料。分析林浚熙手机的数据，这位受害者的英文名字是什么? (不要输入符号及空白，以大写英文回答)

WONGSAIPING

 看一下xls文件的人名

 对比一下在WhatsApp给本人发送的信息，发现黄世平符合

21. [单选题]分析林浚熙手机上的数据，他在2022年10月17日计划去什么地方? (2分)

A. 荃湾站

B. 沙田站

C. 以上皆非

D. 国际金融中心二期

查看程序列表，发现有google地图和waze

在waze的数据库com.waze.iphone/Documents/user.db中发现记录，根据时间戳进行转换发现是沙田站

22. [填空题]承上题，上述行程的结束时间是? (如答案为 16:01:59，需回答 160159) (2分)

124500

23. [填空题]于林浚熙的手机里，在2022年9月1日或以后，哪一张照片是由其他手机拍摄的，而它的档案名是什么?(不要输入 '.'，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (2分)

IMG0446HEIC

找到图片的数据库文件，导出来看看

 导出来就不会了，看了大佬的sql语句

select ZASSET.ZFILENAME,ZADDITIONALASSETATTRIBUTES.ZIMPORTEDBYBUNDLEIDENTIFIER,ZADDITIONALASSETATTRIBUTES.ZORIGINALFILENAME from ZASSET,ZADDITIONALASSETATTRIBUTES where ZASSET.Z_PK = ZADDITIONALASSETATTRIBUTES.Z_PK group by ZASSET.ZFILENAME

 直接可以看出来

 也可以看时间来找图片，发现只有IMG0446HEIC是苹果手机拍摄的图片，也可以猜测

24. [单选题]根据照片的数据库 (Photos.sqlite) 资料，哪一个栏目标题 (Column Header) 可以显示这张照片的接收方式? (2分)

A. ZIMPORTEDFROMSOURCEIDENTIFIER

B. ZIMPORTEDBYBUNDLEIDENTIFIER

C. ZRECEIVEMETHODIDENTIFIER

D. ZRECEIVEDFROMIDENTIFIER

25. [单选题]承上题，这张照片通过什么方式接收? (2分)

A. WhatsApp软件传送

B. 以上皆非

C. 蓝牙传送

D. Signal软件传送

E. 网页下载

第23题可以看到使用的是com.apple.sharingd传送的，百度一下发现是AirDrop

26. [填空题]承上题，这张照片原本的档案名 (Original Filename) 是什么? (不要输入 '.'，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (3分)

看上几题结果知道是IMG0730HEIC

27. [填空题]林浚熙手机里有一个备忘录 (Notes) 被上了锁，这个备忘录的名称是什么? (以大写英文及阿拉伯数字回答) (1分)

HALO

 发现有一个备忘录Halo没有显示数据 ，猜测存在上锁

 28. [填空题]承上题，上述备忘录的内容有一串数字，它是什么? (以阿拉伯数字回答) (2分)

不会了

29. [单选题]林浚熙计算机 (Computer) 的操作系统 (Operating System) 版本是什么? (1分)

A. Windows 10 Pro 22H2

B. Windows 10 Home 21H2

C. Windows 10 Pro for Workstations 21H2

D. Windows 10 Pro for Workstations 21H1

30 [填空题] 林浚照计算机安装了什么品牌的虚拟专用网络 Virtual Private Network - VPN)软件?(不要输入符号及空白，以大写英文及阿拉伯数字回答)(1分) 

EXPRESSVPN

31 [填空题] 承上题，分析该虚拟专用网络的日志(Log)，他在哪天安装该虚拟专用网络?(如答案为 2022-12-29，需回答 20221229)(2分) 

20220915

 32. [填空题]检视林浚熙计算机的数据，他使用哪种加密货币 (Cryptocurrency) 以支付虚拟专用网络软件? (以大写英文回答该加密货币的全名，如BITCOIN) (1分)

BITCOIN

可以发现BTC的痕迹 

33. [填空题]林浚熙的加密贷币钱包 (Cryptocurrency Wallet) 名称是什么? (不要输入符号，以大写英文及阿拉伯数字回答) (2分) 

TELLAWIEH

34. [多选题]林浚熙计算机里安装了哪个浏览器 (Web Browser)? (1分)

A. Tor Browser

B. Opera

C. Google Chrome

D. Internet Explorer

E. Microsoft Edge

35. [单选题]林浚熙使用浏览器 'Google Chrome' 曾经浏览最多的是哪一个网站? (1分)

A. https://mail.google.com/mail

B. https://web.whatsapp.com

C. https://gmail.com

D. https://facebook.com

 综合下来whatsapp浏览次数最多

36. [多选题]除了上述网站,林浚熙曾使用浏览器 'Google Chrome' 搜索过什么? (1分)

A. docker image教学

B. tor教学

C. php sql教学

D. electrum教学

E. javascript教学

都搜索看看就行

37. [单选题]林浚熙的计算机安装了一个通讯软件 'Signal'，它的用戶資訊儲存路径是什么? (1分)

A. \Users\HEI\AppData\Roaming\Signal

B. \Program Files (x86)\Signal

C. \Users\HEI\Desktop\Signal

D. \Users\user\Roaming\Signal

38. [填空题]通讯软件 'Signal' 采用一个档案存放用户的聊天记录，它的档案名是什么? (不要输入 '.'，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (2分)

DBSQLITE

看聊天文件跳转到的源文件

39. [填空题] 承上题，对上档案进行分析，林发熙的联络人当中有多少人安装了Siqnal?(以阿拉伯数字回答)(3分)

4

40. [填空题]林浚熙在 'Signal' 曾经与某人对话，那人的手机号码是什么? 需要与区码 (Area Code) 一同回答 (以阿拉伯数字回答) (3分) 

85270711901

 41. [多选题]承上题，两人在 'Signal' 的对话中有些讯息 (Message) 包含附件，这些讯息的 'ID' 包括? (2分)

A. 46a8762b-78ea-49aa-a6f5-b24975ec189f

B. 9729bf92-ab9c-45f7-8147-66234296aele

C. 5b9650fe-3bb6-4182-9900-f56177003672

D. 47233ffe-1a73-4b3d-b97c-626246ec3129

字段hasAttachments表示是否有附件，过滤一下就可以

42 [填空题]承上题，林浚熙曾经于2022年10月20日账Transfer Money) 予上述对话人士,那次眼的参考编号是什么?(以大写英文及阿拉白数字回答)(3分) 

N91088774024

43. [单选题]林浚熙的计算机安装了多少台虚拟机 (Virtual Machine - VM) ? (以阿拉伯数字回答) (1分)

A. 1

B. 2

C. 4

D. 3

44. [单选题]林浚熙的计算机里的虚拟机 (VM) 存放在什么路径? (1分)

A. \Users\Public\Documents\Virtual Machines

B. \Program Files\Virtual Machines

C. \User\HEI\Roaming\Virtual Machines\

D. \Users\HEI\Documents\Virtual Machines

45. [单选题]虚拟机 (VM) 使用什么版本的作业系统 (Operating System) ? (1分)

A. Ubuntu 22.04.1 LTS

B. CentOS Linux release 7.6.1810(Core)

C. CentOS Linux 7.5.1804 (Core)

D. Ubuntu 20.04.5 LTS

仿真进去看看或者看文件路径那儿

46. [多选题]虚拟机 (VM) 中的文件传输服务器 (FTP Server) 有哪些用户? (2分)

A. man

B. admin

C. root

D. ftpuser

E. nobody

在文件下查看

47. [多选题]虚拟机设置了什么网页服务器 (Web Server)? (2分)

A. APACHE

B. WORDPRESS

C. LIGHTTPD

D. IIS

E. NGINX

48. [单选题]网页服务器目录内有图片档案，而此档案的储存位置是? (1分)

A. /var/www/post

B. /var/www/html/post/vendor

C. /var/www/html/post/css

D. /var/www/html/post

E. /var/www/html/post/src

49. [单选题]分析网页服务器的网站数据，假网站的公司名称是什么? (1分)

A. Global Logistics

B. Krick Post Global Logistics

C. Krick Global Logistics

D. Krick Post

看logo

50. [单选题]检视假网站首页的显示， 'AY806369745HK' 代表什么? (1分)

A. 邮件收费号码

B. 邮件序号

C. 邮件号码

D. 邮件参考号码

直接看index.php文件 

51. [填空题]分析假网站的资料，当受害人经假网站输入数据后，网站会产生一个档案，它的档案名是什么? (不要输入 '.'，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (2分)

VUTXT

从index追踪到process，发现是vu.txt 

52. [多选题]分析假网站档案 'process.php' 源码 (Source Code), 推测此档案的用途可能是? (2分)

A. 改变函数

B. 产生档案

C. 发出邮件

D. 更新数据库

53. [填空题] 检视档案process.php' 源码, 林浚照的电邮密码是?(以大写英文回答)(1分)

RTATSCEUCPACOCBDACS

54.[多选题] 分析档案process.php’ 源码, 它不会收集哪些资料?(2分)

A. GPS位置
B. 信用卡号码
C. 短讯验证码
D. 电话号码
E. 电邮地址

55.[填空题] 虚拟机 (VM)安装了 Docker 程序，列出一个以5作为开端的 Doker"镜像 mage) ID (以阿拉伯数字及大写英文回答)（2分)

5d58c024174dd06df1c4d41d8d44b485e3080422374971005270588204ca3b82

56. [填空题] Docker 容器(Container)mysql' 对外开放的通讯端口(Port) 是?(3分)

43306

查看hostconfig.json可以看到

57. [填空题] Docker容器mysql，用户 root' 的密码是?(以大写英文及阿拉伯数字回答)(2分)

2wsx3edc

58. [填空题] Docker容器，mysql 里哪一个数据库储存了大量个人资料?(以大写英文回答)(3分)

krickpost 

59. [填空题]检视 Docker 容器'mysql' 内数据库里的资料，李大辉的出生日期是?(如答案为 2022-12-29，需答 20221229) (3分) 

19850214

60. [多选题] 通过取证调查结果进行分析(包括但不限于以上问题及情节)，林照的行为涉及哪一种罪案?(5分)

A.传送儿童色情物品
B.抢劫
C.诈骗
D.勒索金钱
E.购买毒品

61.[填空题] 王晓琳手机的MEI’ 号是什么?(以阿拉伯数字回答)(1分)

352978115584444

62. [多选题] 王晓琳的手机安装了什么即时通讯软件(lnstant Messaging Apps)?(1分)

A. Signal
B. 微信(WeChat)
C. QQ
D. WhatsApp
E. LINE 

63. [单选题] 王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 PDF档案?(以时区UTC+8回答)(1分)

A.2022-09-30 17:39:53
B.2022-10-01 17:39:53
C.2022-09-30 18:30:28
D.2022-10-01 16:30:22

64. [填空题] 承上题，这个 PDF 档案的MD5哈希值Hash Value) 是什么?(以大写英文及阿拉伯数字回答)(1分)

AE0D6735BBE45B0B8F1AB7838623D9C8

65. [单选题] 王晓琳将这个“PDF 档案发给哪一个用户,而该用户的手机号码是什么?(1分)

A.85297663607
B.85259308538
C.85269707307
D.85246427813

66. [多选题] 王晓琳发出这个，PDF 档案的原因是什么?(1分)

A. 寻求协助
B. 分享档案内容
C. 错误发出
D. 无法开启 

67. [单选题] 承上题，分析王晓琳与上述用户的对话，他们的关系是什么?(1分)

A. 客户
B. 师生
C. 家人
D. 同事 

68.[单选题] 王晓琳于何时要求上述用户删除 张照片?(1分)

A. 2022-10-06
B. 2022-09-28
C. 2022-09-30
D. 2022-10-03

69.[单选题] 承上题，该用户向王晓琳提出什么要求以删除这张照片?(1分)

A. 金钱
B. 毒品
C. 性服务
D. 加密货币

看上一题

70.[单选题] 王晓琳的手机里有什么电了书籍(Electronic Book) ?(2分)

A. 三国演义
B. 红楼梦
C. 水浒传
D. 西游记 

 在应用列表中搜索book，可以找到iBooks的读书软件

  追踪文件，能发现是三国演义