Alice LG Phone部分
P.S.从这部分开始 难度逐渐提升 各位坐好准备加速 还有就Alice手机的Wifi MAC地址是甚么?是个人推荐用火眼的数据分析软件来跑手机镜像 个人感觉比取证大师好用
35.Alice的手机型号是甚么?
火眼跑一遍 就行了
36.Alice手机的操作系统版本是甚么?
送分题
37.Alice手机的总储存空间是多少?
出题人给你准备的东西都是用得到的 包括前面的那个7z压缩包密码 以及这题的手机储存空间 当然如果你没有发现这张图片 那么也可以做 遍历每一个分区 手算储存空间(?
38.在Alice 手机, IMG-20200929-WA0002的创建时间是甚么?(本地时间)
直接软件搜索就行了 不讲了
39.在Alice 手机,IMG-20200929-WA0004的创建时间是甚么?(本地时间)
同上
40.IMG-20200929-WA0002和IMG-20200929-WA0004的元数据和相机型号是甚么?
这里拓展一个知识点 元数据 元数据一般来说只是一串储存在文件里面的字符串(应该可以这么说 记录这个文件的一些基础信息 而我们知道 一般来说文件头也会包含这些信息 意味着如果用16进制查看一个文件 那么他的文件头部分会含有部分元数据
41.在Alice 手机, 预设浏览器浏览历史记录的文件在哪里?
注意 题目要求问的是预设浏览器的历史记录文件 应该都能判断预设浏览器是哪个
42.储存Chrome浏览历史记录的文件是甚么?
这题问的是谷歌浏览器的历史记录 也一样找
43.Alice手机的Whatsapp ID和账户名称是甚么?
这个也是送分的 会看就行
44.与Bob和Cole的最后WhatsApp的时间是甚么?(本地时间)
因为这个是Alice的手机 题目问的是Bob和Cole的最后聊天时间 就知道要去群聊里面找
45.主脑的名字是甚么?
这题说真的我也不知道怎么做 当时我记得是按选项分析的 反正只能是Alice Bob和Cole三个人里面选
46.Alice,Bob和Cole之间的WhatsApp群组的ID和名称是甚么?
送分题 不说了
47.哪一个表,显示了聊天群组“ Big Big Club”的创建时间?(本地时间)
都说哪个表 那肯定从数据库入手 安卓机子的软件很有意思 他每个安装过的软件都会有个com.xxxxx文件夹在主分区的data文件夹下 这个文件夹储存了这个app的所有信息 我们进入这个文件夹 按照题目给的选项开始寻找数据库
48.聊天群组“ Big Big Club”是甚么时候创建的?(本地时间)
送分题
49.Alice是否曾经登陆whatsapp网站?如果有的话,她是在何时登入? 所用的是甚么浏览器? (提示:在移动取证图像上找到结果)(UTC +0)
其实这题最好是从PC上面找 当时做题的时候是这样的 从PC上找就没啥难度 搜索就行
50.Alice如何收到这笔钱?钱包地址是甚么?
送分的
51.“Deleted by the sender”的media_wa_type是甚么?
坐稳了 这题比较难 首先要知道Deleted by the sender是什么意思 这里贴上一张图和一张链接 Sender 个人推测 这个Deleted by the sender的media_wa_type的意思是 这个被sender删掉的内容的media_wa_type是多少 经过石师傅的指点(while(1){print("ssfyyds")}) 明白了这个deleted by the sender其实就有点像微信里面的撤回消息 只不过火眼翻译成中文就是直接翻译成被删除的消息了 所以大概知道 我们要找那几条被删除的消息 然而一个数据库文件有那么多表 虽然猜是知道要从messages表里面找 因为那张表里面存储了所有人的消息 但是如果说要认真做 就得把这个数据库文件放到winhex里面找了 找到了creat 什么什么什么 意思是在messages表里面创建了这个media_wa_type什么的 然后在里面找消息 消息如果被删除的话 肯定在数据库里面是看不到消息发了啥 但是这还不能够完全确定 必须从时间戳入手(还是石师傅教我的 while(1){print("ssfyyds")}) 并且找到了相对应的时间戳 找到相对应的media_wa_type是15
52.Alice手机的Wifi MAC地址是甚么?
可以把这个镜像拖到winhex里面搜一遍
总结
手机这部分的难度就逐渐上来了 不管是对数据的分析归纳 还是对手机本身操作系统的理解 难度都比前一部分大 题目出得很好 可以多做几遍
EOF