25美亚杯个人赛（资格赛）

以下wp会根据玫幽倩的wp进行参考

原文链接：https://mei-you-qian.github.io/2025/11/21/2025%E7%BE%8E%E4%BA%9A%E6%9D%AF-%E8%B5%84%E6%A0%BC%E8%B5%9B/

比赛信息

案情

警方接获报案，前往西贡布袋澳处理一宗“伤人”事件。经初步调查，怀疑男子陈民浩以木棍袭击男子冯子超，导致冯子超头部受伤昏迷。冯子超已被送往医院救治，陈民浩则因涉嫌“伤人”罪被警方当场拘捕，被捕后一直保持缄默，拒绝交代案情细节。

进一步调查显示，两人冲突疑因女子梁燕玲而起。根据现场迹象推断，梁燕玲曾于事发时在场出现，经警方多方搜索后，至今仍未能与她取得联络。请参赛者根据提供的资料，深入分析线索，寻找梁燕玲下落，并还原事件真相。

背景资料

Green Technology Supply Co. Ltd.（绿创科技系统有限公司）为本港网络工程公司，主要业务是为企业客户铺设网络服务及安装各类服务器。

男子 FUNG Chi-chiu（冯子超），英文名为Duncan，30岁，未婚，香港出生，在Green Technology Supply Co. Ltd.任职工程师。

男子 CHAN Man-ho（陈民浩），英文名为Hogan，35岁，未婚，香港出生，在Green Technology Supply Co. Ltd. 任职系统工程师。

女子 LEUNG Yin-ling（梁燕玲），英文名为Ling，28岁，未婚，香港出生，现为自由职业平面设计师。

附加资料

梁燕玲与陈民浩为同居情侣关系

梁燕玲通过陈民浩认识冯子超

三人均为密码学（Crypto）及隐写术（Stego）爱好者

陈民浩经常驾车接载三人前往郊区聚餐，并一同钻研相关技术话题

检材列表

挂载密码

FEYn0MJLYy9zTQRFHlXGRkVqXv3IkE8h

检材哈希值

SHA256: ba7a59bda48932ae5507c4872a0492ee080cd8e6222d9e86fad961038801826e

比塞题

在开始取证之前，必须对苹果备份的密码进行爆破，否则是无法被分析的

找到苹果手机中的Manifest.plist，这是苹果手机统一的核心数据文件，将其拖入passwarekit爆破就好了

FUNG_CC_mobile.zip也是一样的密码

LEUNG_YL_mobile.zip的是1234

很多人默认的密码是0000，或者1234，比赛的时候可以直接尝试一下这两个

1.请你使用CHAN_MH.zip检材回答以下问题这个智能手机是什么操作系统?

A. iOS 17.1.1

B. iOS 17.2.1

C. iOS 17.3.1

D. iOS 17.0.1

如图所示，A

2.在这个手机中，有多少组国际移动设备识别码(IMEI)号码? (请以阿拉伯数字作答)

IMEI（International Mobile Equipment Identity，国际移动设备识别码）是一种用于唯一标识移动通信设备（如手机、平板、部分卫星电话等）的15位数字编码。它类似于设备的“身份证号码”

根据设备信息中识别出来的IMEI直接跳转到源文件

在该文件中找到了2个IMEI

也可以直接全局搜索InternationalMobileEquipmentIdentity，可以得到相同的结果

2

3.承上题，以下哪一个才是正确的国际移动设备识别码(IMEI)号码?

A. 357328098205226

B. 357328097205226

C. 357328096205226

D. 357328095205226

四个选项前面的部分都相同，直接全局搜索35732809

可以知道完整的IMEI为357328098205226

也可以打开苹果手机的配置文件，找到

或者直接看设备信息就可以直接看到

故选A

4.请指出最后使用的使用者身分模组(SIM)的集成电路卡识别码(ICCID)

A. 89852122206020998419

B. 89852122205020998419

C. 89852122204020998419

D. 89852122203020998419

直接看设备信息就可以直接看到

或者查看SIM卡记录

5.请指出最后使用的Apple ID是多少？(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

Apple ID的格式一般为电子邮箱地址或手机号，根据这个就很容易找到了

也可以在基本信息中直接找到

whoishogan@gmail.com

6.蓝牙模组中的蓝牙地址是多少？(请以下格式作答:xx:xx:xx:xx:xx:xx)

这个在火眼中找不到，我们直接在设备信息里面找

在文件中直接搜索Bluetooth就可以看到了

f8:38:80:bb:f5:28

7.这个智能手机曾经启动「个人热点」分享网络，请问他的「热点」名称？(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

对于iOS来说是不支持更改热点名称的，所以热点名称就是和设备名保持一致的（学到了）

就是iPhone

8.这个智能手机没有连接过以下哪一个服务集标识符(SSID)

A. Hongn Home

B. CMHK

C. 1010 free wifi

D. ErrorError

SSID（Service Set Identifier，服务集标识符）是无线网络的名称

根据wifi连接记录排除了CD

我的做法是分别全局搜索AB两个SSID

可以看到Hongn Home没有在手机文件中出现过，故选A

学长的做法是直接参考下一题的题干就知道CMHK肯定出现过

A

9.[美亚也没答案]请指出首次连接服务集识别码(SSID)名称为” CMHK”的无线区域网络(Wi-Fi)的日期及时间(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)

这道题没有答案，但是根据上面全局搜索的结果来看可能是2025-05-16 14:41:01

10.安装了以下即时哪个通讯软件?i) WhatsApp ii) WeChat iii) WhatsApp Business iv) QQ

A. 只有 i) 和 ii)

B. 只有 i), ii) 和 iii)

C. 只有 i), ii) 和 iv)

D. 以上皆是

火眼里面可以直接看到微信和WhatsApp，QQ和WhatsApp Business没有显示出来，在其他应用中也没有，那大概率就没有安装

故选A

11.承上题，请指出即时通讯软件”WhatsApp”的版本(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

寻找WhatsApp的配置文件，检索version

但是该文件里面还有另外一个version

但是值看起来是由base 64编码了，解码后也无法得到常规的版本号格式，所以不用这个

学长的wp中是直接在应用列表中搜索WhatsApp

但是火眼直接得到的并不是该应用的版本号，还是老老实实查看配置文件吧，引以为戒

2.25.14.79

12.陈民浩的手机中，总共安装3个文件传输软件，封包名称分别为com.apple.Sharing.AirDropUI、com.lenovo.anyshare、com.estmob.paprika，其中有哪一个软件曾经用来传送/接收文件功能?

A. com.apple.Sharing.AirDropUI

B. com.lenovo.anyshare

C. com.estmob.paprika

我的第一种做法：

既然涉及到用来传送或接收文件，那么一定会使用网络，所以就在网络使用详情中检索这三个软件

可以看到只有com.estmob.paprika使用过网络，故选C

第二种方法：

在应用列表中依次搜索这三个软件

可见，只有第三个标注了文件传输的功能（但这个方法并不牢靠，万一没有标注就用不了了，这题只是正好凑巧），前两个软件甚至apk大小为0B

C

13.承上题，与其有传送/接收过资料装置的装置ID是多少? (请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

这题看的学长的wp做的，先学习下realm数据库

在应用包中就可以找到这么一个realm数据库

为了分析这种realm文件需要下载一个realm studio

必须要把只读去了才能打开realm studio

打开就能看到ID了

5402313593439

14.承上题，这个装置名称是?(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

同一界面就有

Samsung SM-G930F

15.承上题，本机装置的装置ID是多少?(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

本机装置的ID去软件的属性表文件里面找

3836403626142

16.承上题，陈民浩的手机(CHAN_MH_mobile.zip)是传送方或是接收方?

A. 传送方

B. 接收方

C. 传送及接收方

分析过程从第18题来的

我个人判断选A，但是官方答案选择B

B

17.根据传送档案的名称，判断是以下哪一类型? (单选)

A. 屏幕截图

B. 手机拍摄影片

C. PDF文件

D. zip压缩文件

从文件名就可以看出是屏幕截图

A

18.承上题，接收至哪一个装置?

A. CHAN_MH_mobile.zip

B. blk0_sda.bin

C. FUNG_CC_mobile.zip

D. LAM_KH_Mobile.zip

E. WONG_CW_mobile.zip

根据三星手机的提示找到检材blk0_sda.bin

然后找到了对应的传输文件

再看刚才分析的realm数据库

对比以下时间

发现传输时间早于以上图片生成时间

B

19.承上题，传送方是通过此文档传输软件的哪个模式作出传送?

A. SEND_PARTIALLY

B. SEND_PAPRIKA

C. SEND_DIRECTLY

D. SEND_BYCLOUD

E. SEND_BLUETOOTH

由于所有选项都含有相同的部分，所以在两个检材中全局搜索SEND_

发现只有blk0_sda.bin中有相关信息

然后再把后面不同的部分依次输入筛选

最后可以得知传输模式为SEND_DIRECTLY

我感觉这一块的题目逻辑稍微有点问题，这题问传输方，但是答案是在blk0_sda.bin中找到的，这和18题的结论矛盾了

依照这道题的结论来看，blk0_sda.bin是传输方，CHAN_MH_mobile.zip是接收方，文件传输记录中的时间有误

C

20.从来没有安装以下哪个网络浏览器？

A. Safari

B. Chrome

C. Firefox

D. edge

从分析中可以看到安装了Safari

应用列表中没有看到另外三个，正常安装应用后删除还是会留存痕迹的，所以该设备BCD从来没安装过

BCD

21.承上题，网络浏览器Safari有多少个书签(Bookmark)记录？(请以阿拉伯数字作答)

9

22.承上题，曾经通过Safari浏览器用下列哪一个字词进行过搜索?

A. 非法处理尸体最高刑罚

B. escape room hong kong

C. cypto wallet

D. 非法处理尸体

直接看搜索历史就好了

BCD

23.有多少个图片文件曾经储存到iCloud?(请以阿拉伯数字作答)

火眼没有直接显示，需要去找源文件

2

24.相册中有多少张图片是通过屏幕截图功能取得？(请以阿拉伯数字作答)

15

25.请参考参赛材料FUNG_CC_mobile.zip回答以下问题这部智能手机连接过多少个 Wi-Fi 网络？(请以阿拉伯数字作答)

2

26.这部智能手机曾经连接过以下哪个无线网络？i) THREE_WIFIii) wanchaiiii)iPhone(2)iv) Router

A. 只有 i)

B. 只有 ii) 和 iii)

C. 只有 ii), iii) 和 iv)

D. 以上皆是

如图所示

B

27.这部手提手机最早连接(非热点)Wi-Fi的时间是什么？(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)

iPhone（2）是热点名称，所以我们只需要找wanchai的最早连接时间即可

在手机文件中找到于wifi有关的配置文件

最早连接在 UTC +8 2025-04-15 11:29:23

注意是GMT +8时区，GMT采用的是格林威治时间，与北京标准时间相差8小时所以是2025-04-15 19:29:23

2025-04-15 19:29:23

28.承上题，请列出这个连接的服务集识别码(SSID)?(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

该设备总共就连接过2个网络，其中一个是iPhone（2），这是苹果手机热点固定名称，SSID就是指网络名称，所以就是wanchai

wanchai

29.承上题，请列出这个连接的登入金钥?(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

hellowanchai

30.相册中有两张图像互换格式图片(gif)「IMG_0057.GIF」及「IMG_0062.GIF」，请指出由哪一个软件拍摄?

A. Infltr

B. Discreet

C. Meitu

D. Prisma

先在相册中搜索看看是哪两张图片

直接在应用中找到了

A

31.曾经以空投(AirDrop)方式成功传送了文件到另外一个装置，以下哪一个陈述是正确的？

A. 传送了一个图片文件

B. 传送了两个图片文件

C. 传送了一个图片文件及一个文件

D. 传送了一个图片文件及两个文件

火眼无法分析出来，只能查看空投记录

这边直接从学长那偷过来一个图片

在iPhone上，有一个存储用于人际互动数据的关键数据库文件

var\mobile\Library\CoreDuet\People

我们直接导出到DB，然后谢mysql语句查询一下

SELECT Z_PK,ZBUNDLEID,ZTARGETBUNDLEID FROM ZINTERACTIONS WHERE ZTARGETBUNDLEID IS NOT NULL;

PK是Primary Key 的缩写，表示主键，BUNDLEID表示发起交互的应用程序的ID，TARGETBUNDLEID表示交互目标应用的ID

可以看出来传输了一张图片和一个文件

C

32.原生APP「相片」中，有一个图片文件曾经通过空投”AirDrop”方式成功传送，请指出这个图片文件的文件全名(请包含扩展名，依照参赛材料中的原文作答，注意区分大小写、空格及符号)

查询相片APP的数据库

大概就是从ZASSET表中，由ZLASTSHAREDDATE字段不为空来判断，找出所有曾经被共享过的资源，并列出它们的主键ID和文件名

SELECT Z_PK,ZFILENAME FROM ZASSET WHERE ZLASTSHAREDDATE IS NOT NULL;

我还是不明白为什么

IMG_0083.HEIC

33.承上题，请写出这个图片文件的开始传送的日期及时间？(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)

根据上题继续在数据库中寻找分享时间

766545003，此结果还需转化以下时间戳，放到Dcode中

2025-04-17 01:10:03，记得转化成GMT +8 2025-04-17 09:10:03

2025-04-17 09:10:03

34.请指出哪一个多媒体文件同时储存在APP「文件」(套件识别码: com.apple.DocumentsApp)及APP「照片」(套件识别码: com.apple.mobileslideshow)中？(请包含扩展名，依照参赛材料中的原文作答，注意区分大小写、空格及符号)

明确文件的存储地是

/var/mobile/Applications/group.com.apple.FileProvider.LocalStorage/File Provider Storage

直接搜com.apple.DocumentsApp是搜不到存储位置的

题目说是多媒体文件，这里面只看到了一个视频，那么这个文件大概率就是答案，为了保险起见还是再去照片里看下

再去照片的数据库文件中找一下

发现照片这果然也有这个视频

IMG_0010.MOV

35.请指出在APP「照片」(套件识别码: com.apple.mobileslideshow)中的图片文件「IMG_0079.JPG」是由哪一个APP拍摄？(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

在Discreet中可以直接找到

Discreet

36.承上题，已知该图片文件是由上述APP所拍摄，并其后储存在APP「照片」(套件识别码: com.apple.mobileslideshow)成「IMG_0079.JPG」，请问该图片的原文件名称？ (请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

搜索以下该APP名称就可以找到了

DiscreetCameraApp_1744790959352.png

37.承上题，请指出原文件的建立时间？(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)

如图所示

（火眼时区默认为GMT+8）

2025-04-16 16:09:19

38.请指出在APP「照片」(套件识别码: com.apple.mobileslideshow)中，储存多媒体文件「IMG_0014.MOV」与储存「IMG_0016.MOV」之间有没有其他多媒体文件储存到APP「照片」中？

A. 有

B. 没有

C. 有拍摄，但没有储存

D. 无法确认

显然中间没有存储其他多媒体文件，现在要去验证是否由这样的多媒体文件但是没有存储

对其进行全局搜索，发现没有结果，所以根本就没有这个文件

学习下学长的做法：

查看ZASSET表Z_PK的值是否连续

的确是连续的，说明中间没有插入其他的多媒体文件

B

39.承上题，以下哪个陈述是正确描述上一题的答案？

A. 制作多媒体文件「IMG_0015.MOV」时，直接储存到隐藏相册中

B. 制作作多媒体文件「IMG_0015.MOV」时，直接上传到iCloud

C. 制作多媒体文件「IMG_0014.MOV」时用了缩时摄影

D. 制作多媒体文件「IMG_0015.MOV」时名称被更改为「IMG_0016.MOV」

由于数据库中没有找到IMG_0015.MOV，先分析IMG_0014.MOV

可以看出来IMG_0014.MOV确实用了缩时摄影

（分析一个答案就出来了，那这道题剩下三个选项再考什么？）

也可以直接去分析中看

C

40.APP「照片」(套件识别码: com.apple.mobileslideshow)中，「IMG_0027.HEIC」的原地理位置信息(WGS84)是？

A. (22.2816569, 114.1756115)

B. (22.2826366666667, 114.168503333333)

C. (22.2826216666667, 114.168525)

D. (22.2826216666667, 114.168503333333)

还是在照片数据库中找一下就有了

但是官方wp不是这个答案，估计是看错图片名称了，毕竟27，28，29都是连着的

不过数据都摆在这了，肯定没问题

A

41.曾经通过网络浏览器「Safari」下载了多少个图片文件？

A. 1

B. 2

C. 3

D. 4

直接在分析中就可以看到，只有2张

B

42.多媒体文件「 IMG_0004.MOV」曾被修改后再储存成另一个文件，该文件名称是?

A. IMG_0085.mov

B. IMG_0086.mov

C. IMG_0087.mov

D. IMG_0088.mov

我们需要先去ZADDITIONALASSETATTRIBUTES表里找一下原始名称是IMG_0004.MOV文件，确定其Z_PK，然后再去ASSET找一下现在的

IMG_0004.MOV 的Z_PK 是82

在ZASSET表中对应的是IMG_0085.mov

A

43.曾经通过人工智能聊天APP “POE”查询一个问题，请列出这个问题的完整句子？(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

这道题终于靠自己独立做出来了

明确这是一个软件，我首先需要知道他的包名，直接询问ai “POE”应用的包名可能是什么

直接在应用列表中检索

但是发现没数据

分别保留poe，quora再次尝试

找到了该应用真实的包名

接着在分析中寻找该应用存储的文件

翻看了以下，只有apollo_db.sqlite可能存放着聊天记录

将其导出在DB中分析

将文件内容交给ai分析

写一条sql语句来筛选可能有聊天的记录

SELECT * FROM records WHERE key LIKE 'Message:%';

找到两条含有test的关键信息

{"sourceType":"speak_text","__typename":"SendMessageFollowupActionMessageSource","metadata":"{}"}

{"isDeleted":false,"text":"What’s that mean","chat":{"$reference":"Chat:Q2hhdDoxMDY5ODc1MDcw"},"bot":null,"creationTime":1744782606792741,"attachments":[{"$reference":"MessageAttachment:TWVzc2FnZUF0dGFjaG1lbnQ6MzQ5NDcxNTAy"}],"reactionCounts":[],"command":null,"messageCode":"1mvs4t45lw2et7a3wk4a","authorNickname":"human","viewerReaction":null,"responsibleJob":null,"messageStateText":null,"viewerCanDelete":true,"hasCitations":false,"canvasTabs":[],"id":"TWVzc2FnZTozNzcwNTE2MjYzNjY=","contentType":"text_markdown","__typename":"Message","authorUser":{"$reference":"PoeUser:UG9lVXNlcjoyOTkzNDM5Mzc1"},"messageId":377051626366,"isChatAnnouncement":false,"sourceType":"chat_input","state":"complete","referencedMessage":null}

可以找到查询的问题就是 What’s that mean

What’s that mean

44.承上题，请指出提问的日期及时间(答题格式: yyyy-MM-dd HH:mm:ss 作答, GMT+8)

从上题得到的那条数据中可以看到消息创建的时间

{"isDeleted":false,"text":"What’s that mean","chat":{"$reference":"Chat:Q2hhdDoxMDY5ODc1MDcw"},"bot":null,"creationTime":1744782606792741,"attachments":[{"$reference":"MessageAttachment:TWVzc2FnZUF0dGFjaG1lbnQ6MzQ5NDcxNTAy"}],"reactionCounts":[],"command":null,"messageCode":"1mvs4t45lw2et7a3wk4a","authorNickname":"human","viewerReaction":null,"responsibleJob":null,"messageStateText":null,"viewerCanDelete":true,"hasCitations":false,"canvasTabs":[],"id":"TWVzc2FnZTozNzcwNTE2MjYzNjY=","contentType":"text_markdown","__typename":"Message","authorUser":{"$reference":"PoeUser:UG9lVXNlcjoyOTkzNDM5Mzc1"},"messageId":377051626366,"isChatAnnouncement":false,"sourceType":"chat_input","state":"complete","referencedMessage":null}

“creationTime”:1744782606792741

用Dcode转化一下

第一条显然不符合这个案件发生的时间，所以选择

Unix Microseconds (UTC) 2025-04-16 05:50:06.7927410 Z

记得转换成GMT+8时区

2025-04-16 13:50:06

45.承上题，当时使用的是哪一个机器人?(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

从一开分析得到的记录中我们可以找到chat ID

{“isDeleted”:false,”text”:”What’s that mean”,”chat”:{“$reference”:”Chat:Q2hhdDoxMDY5ODc1MDcw”},”bot”:null,”creationTime”:1744782606792741,”attachments”:[{“$reference”:”MessageAttachment:TWVzc2FnZUF0dGFjaG1lbnQ6MzQ5NDcxNTAy”}],”reactionCounts”:[],”command”:null,”messageCode”:”1mvs4t45lw2et7a3wk4a”,”authorNickname”:”human”,”viewerReaction”:null,”responsibleJob”:null,”messageStateText”:null,”viewerCanDelete”:true,”hasCitations”:false,”canvasTabs”:[],”id”:”TWVzc2FnZTozNzcwNTE2MjYzNjY=”,”contentType”:”text_markdown”,”__typename”:”Message”,”authorUser”:{“$reference”:”PoeUser:UG9lVXNlcjoyOTkzNDM5Mzc1”},”messageId”:377051626366,”isChatAnnouncement”:false,”sourceType”:”chat_input”,”state”:”complete”,”referencedMessage”:null}

Chat:Q2hhdDoxMDY5ODc1MDcw

然后写一条sql语句筛选以下

SELECT * FROM records 
WHERE key = 'Chat:Q2hhdDoxMDY5ODc1MDcw';

{“canvasTabsConnection(first:15)”:{“$reference”:”CanvasTabConnection:Q2FudmFzVGFiQ29ubmVjdGlvbjoxMDY5ODc1MDcw”},”messagesConnection(last:5)”:{“$reference”:”Chat:Q2hhdDoxMDY5ODc1MDcw.messagesConnection(last:5)”},”membersConnection(includeUsers:false)”:{“$reference”:”Chat:Q2hhdDoxMDY5ODc1MDcw.membersConnection(includeUsers:false)”},”lastMessage”:{“$reference”:”Message:TWVzc2FnZTozNzcwNTE2Mzk2Nzg=”},”id”:”Q2hhdDoxMDY5ODc1MDcw”,”viewerIsOwner”:true,”hasMultipleUsers”:false,”title”:”What’s that”,”canvasTabInForeground”:null,”unseenItemCount”:0,”membersIncludeUntrustedBot”:false,”defaultBotObject”:{“$reference”:”Bot:Qm90OjMwMzc=”},”membersConnection(first:1,includeBots:false,includeViewerInUsers:false)”:{“$reference”:”Chat:Q2hhdDoxMDY5ODc1MDcw.membersConnection(first:1,includeBots:false,includeViewerInUsers:false)”},”lastInteractionTime”:1744782607094187,”chatId”:1069875070,”__typename”:”Chat”,”botMembersCount”:1,”lastMessageSeenByAllOtherMembers”:{“$reference”:”Message:TWVzc2FnZTozNzcwNTE2Mzk2Nzg=”},”chatSettingsFieldBotToEdit”:null,”lastNonChatBreakMessage”:{“$reference”:”Message:TWVzc2FnZTozNzcwNTE2Mzk2Nzg=”},”activeJobs”:[],”userMemberToHighlight”:null,”membersCount”:2,”isContextOptimizationOn”:true,”shouldBotAutoRespond”:true}

从中可以得到相关Bot ID为Bot:Qm90OjMwMzc=

再次检索value中含有Bot:Qm90OjMwMzc= 的记录

已经初见端倪了，看到一个GPT

{“bot(inviteCode:null,name:GPT-4.1-mini)”:{“$reference”:”Bot:Qm90OjMwMzc=”},”chats(first:10)”:{“$reference”:”ChatsConnection:10-None-None”},”exploreBotsConnection(after:3031,categoryName:Official,first:8)”:{“$reference”:”BotsConnection:explore-Official-8-3031”},”poeFeed(algorithm:heuristic_v1,alreadyShownStories:[],numStories:20,offset:0,placementType:home)”:[{“$reference”:”PoePost:UG9lUG9zdDoxNTEyOTI4MDAwNzc0MTgw”},{“$reference”:”PoePost:UG9lUG9zdDoxNTEyOTI4MDAwNzc0NTcy”},{“$reference”:”PoePost:UG9lUG9zdDoxNTEyOTI4MDAwNzc0MjMz”},{“$reference”:”PoePost:UG9lUG9zdDoxNTEyOTI4MDAwNzc0MTY2”},{“$reference”:”PoePost:UG9lUG9zdDoxNTEyOTI4MDAwNzc0Njgz”},{“$reference”:”PoePost:UG9lUG9zdDoxNTEyOTI4MDAwNzc0MTU1”}],”viewer”:{“$reference”:”Viewer:Vmlld2VyOjA=”},”newFeature”:null,”supportedExecutableLanguages”:[{“$reference”:”ExecutableLanguageInfo:RXhlY3V0YWJsZUxhbmd1YWdlSW5mbzpweXRob246NDgzMTA5OQ==”}],”botById(botId:3037)”:{“$reference”:”Bot:Qm90OjMwMzc=”},”chats(botId:3037,first:10)”:{“$reference”:”ChatsConnection:10-None-3037”},”supportedPreviewsContentTypes”:[“html”,”react”,”svg”],”chat(chatId:1069875070)”:{“$reference”:”Chat:Q2hhdDoxMDY5ODc1MDcw”},”botCategoriesConnection(first:2)”:{“$reference”:”BotCategoriesConnection:BotCategories-2993439375-2-None”},”exploreBotsConnection(after:3034,categoryName:Official,first:8)”:{“$reference”:”BotsConnection:explore-Official-8-3034”},”exploreBotsConnection(after:5492287,categoryName:Official,first:8)”:{“$reference”:”BotsConnection:explore-Official-8-5492287”}}

根据上述记录，使用的机器人就是GPT-4.1-mini，我们还可以知道这个bot的代号是3037，其实就是Qm90OjMwMzc= base64 解码后的结果

GPT-4.1-mini

但是这题很奇怪

答案不是这个

在刚才检索到的另一条消息中

{“messageCode”:”1mvs30asnwy9ak8k3r3v”,”text”:”The Chinese characters on the box say "意見箱" (yì jiàn xiāng), which means "Suggestion Box" in English. It is a box where people can leave their feedback, opinions, or suggestions.”,”creationTime”:1744782607091463,”viewerReaction”:null,”bot”:{“$reference”:”Bot:Qm90OjMwMzc=”},”responsibleJob”:{“$reference”:”PoeJob:UG9lSm9iOjU4Mzc4NDM2MTE=”},”hasCitations”:false,”isChatAnnouncement”:false,”messageId”:377051639678,”attachmentTruncationState”:”not_truncated”,”attachments”:[],”authorUser”:null,”sourceType”:”chat_input”,”state”:”complete”,”id”:”TWVzc2FnZTozNzcwNTE2Mzk2Nzg=”,”referencedMessage”:null,”chat”:{“$reference”:”Chat:Q2hhdDoxMDY5ODc1MDcw”},”command”:null,”__typename”:”Message”,”isDeleted”:false,”contentType”:”text_markdown”,”followupActions”:[{“$reference”:”Message:TWVzc2FnZTozNzcwNTE2Mzk2Nzg=.followupActions.0”},{“$reference”:”Message:TWVzc2FnZTozNzcwNTE2Mzk2Nzg=.followupActions.1”},{“$reference”:”Message:TWVzc2FnZTozNzcwNTE2Mzk2Nzg=.followupActions.2”},{“$reference”:”Message:TWVzc2FnZTozNzcwNTE2Mzk2Nzg=.followupActions.3”},{“$reference”:”Message:TWVzc2FnZTozNzcwNTE2Mzk2Nzg=.followupActions.4”},{“$reference”:”Message:TWVzc2FnZTozNzcwNTE2Mzk2Nzg=.followupActions.5”},{“$reference”:”Message:TWVzc2FnZTozNzcwNTE2Mzk2Nzg=.followupActions.6”}],”messageStateText”:null,”reactionCounts”:[],”viewerCanDelete”:true,”canvasTabs”:[],”authorNickname”:”gpt4_1_mini”}

“authorNickname”:”gpt4_1_mini”

（这两个名字一定就不一样对吗）

gpt4_1_mini

46.承上题，当时的使用者名称是？(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

还是一开始得到的记录，里面可以找到PoeUser:UG9lVXNlcjoyOTkzNDM5Mzc1

但这显然不是用户的真实名称，而是一个代号 ID

尝试在key中直接检索

得到结果

{“bio”:null,”id”:”UG9lVXNlcjoyOTkzNDM5Mzc1”,”fullName”:”Duncan”,”uid”:2993439375,”profilePhotoUrl(size:small)”:”https://qph.cf2.poecdn.net/main-thumb-2993439375-50-tymoksragfztjqazsfsxyawptkcjfhek.jpeg”,”profilePhotoUrl(size:large)”:”https://qph.cf2.poecdn.net/main-thumb-2993439375-200-tymoksragfztjqazsfsxyawptkcjfhek.jpeg”,”viewerIsFollowing”:false,”viewerIsFollowedBy”:false,”__typename”:”PoeUser”,”isFollowable”:false,”isPoeOnlyUser”:true,”profilePhotoUrl(size:tiny)”:”https://qph.cf2.poecdn.net/main-thumb-2993439375-25-tymoksragfztjqazsfsxyawptkcjfhek.jpeg”,”profilePhotoUrl(size:medium)”:”https://qph.cf2.poecdn.net/main-thumb-2993439375-100-tymoksragfztjqazsfsxyawptkcjfhek.jpeg”,”handle”:null,”viewerIsUser”:true}

可以看到全名是Duncan

再向value中检索

得到结果

{“integerGate(gateName:poe_ios_enable_background_processing_markdown_min_build_number)”:999999999,”autoGeneratedHandle”:”duncan46”,”availableBotsConnection(first:3)”:{“$reference”:”BotsConnection:2993439375-3-None”},”defaultBot”:{“$reference”:”Bot:Qm90OjMwMDI=”},”iosInAppBrowserUrlSubstrings”:[“poe.com/privacy_center”,”poe.com/tos”,”poe.com/privacy”,”poe.com/about”,”poe.com/subscriber_tos”,”poe.com/usage_guidelines”,”poe.com/contact”,”poe.com/name_policy”,”poe.com/pages/privacy-center”,”help.poe.com”],”hasCompletedMultiplayerNux”:false,”availableBotsConnection(first:13)”:{“$reference”:”BotsConnection:2993439375-13-None”},”availableBotsConnection(after:1025,first:10)”:{“$reference”:”BotsConnection:2993439375-10-1025”},”integerGate(gateName:poe_ios_deeplink_private_invite_min_build_number)”:99999999,”integerGate(gateName:poe_ios_badging_min_build_number)”:99999999,”availableBotsConnection(after:5003,first:10)”:{“$reference”:”BotsConnection:2993439375-10-5003”},”announcement”:null,”booleanGate(gateName:poe_force_subscription_state)”:false,”__typename”:”Viewer”,”integerGate(gateName:poe_ios_copy_paste_images_min_build_number)”:41516,”unseenChatCount”:0,”integerGate(gateName:poe_ios_enable_improved_network_status_min_build_number)”:999999999,”promptBotImageDomainWhitelist”:[“i.imgur.com”,”images.unsplash.com”,”pbxt.replicate.delivery”,”qph.fs.quoracdn.net”,”qph.cf2.quoracdn.net”,”qph.cf2.poecdn.net”,”oaidalleapiprodscus.blob.core.windows.net”,”pfst.cf2.poecdn.net”,”storage.googleapis.com”,”fal.media”,”v2.fal.media”,”v3.fal.media”,”dev.w3.org”],”inAppPurchasesIneligibleRegions”:[“CHN”,”RUS”,”URY”,”KEN”,”IDN”,”DZA”,”AGO”,”ARG”,”AZE”,”BMU”,”BOL”,”BWA”,”CYM”,”TCD”,”COD”,”CRI”,”DOM”,”ECU”,”SLV”,”SWZ”,”FJI”,”GAB”,”GTM”,”GUY”,”HND”,”IRQ”,”ISR”,”JAM”,”JOR”,”KWT”,”LBN”,”LBY”,”MDG”,”MWI”,”MRT”,”MUS”,”MNG”,”MNE”,”MAR”,”MOZ”,”MMR”,”NIC”,”MKD”,”PAK”,”PAN”,”PNG”,”PRY”,”PER”,”PHL”,”QAT”,”RWA”,”SEN”,”LKA”,”TZA”,”TTO”,”TUN”,”TKM”,”VEN”,”ZMB”,”AFG”,”AIA”,”ATG”,”BLZ”,”BEN”,”BTN”,”VGB”,”BRU”,”BFA”,”CPV”,”COG”,”CIV”,”DMA”,”GMB”,”GRD”,”GNB”,”LAO”,”LBR”,”MDV”,”MLI”,”FSM”,”MSR”,”NAM”,”NRU”,”NPL”,”NER”,”PLW”,”STP”,”SYC”,”SLE”,”SLB”,”KNA”,”LCA”,”VCT”,”SUR”,”TON”,”TCA”,”VUT”,”YEM”],”fileUploadSizeLimits”:”{"application": 50000000, "audio": 50000000, "image": 150000000, "text": 50000000, "video": 350000000, "total": 350000000}”,”integerGate(gateName:poe_ios_message_timestamps_min_build_number)”:41612,”messagePointInfo”:{“$reference”:”MessagePointInfo:TWVzc2FnZVBvaW50SW5mbzow”},”iosMinEncouragedBuildNumber”:22208,”externalUrlSubstrings”:[],”subscription”:{“$reference”:”Subscription:U3Vic2NyaXB0aW9uOjA=”},”id”:”Vmlld2VyOjA=”,”availableSubscriptionOfferFeatures”:[{“$reference”:”SubscriptionOfferFeature:U3Vic2NyaXB0aW9uT2ZmZXJGZWF0dXJlOjE=”}],”shouldShowTosOnLoginPage”:false,”appleInAppPurchasesSubscriptionTiersEligibleProductIds”:[“com.quora.app.poe.monthly_subscription”,”com.quora.app.poe.annual_subscription”,”com.quora.app.poe.monthly_subscription_10k_day”,”com.quora.app.poe.annual_subscription_10k_day”,”com.quora.app.poe.monthly_subscription_2.5m_month”,”com.quora.app.poe.annual_subscription_2.5m_month”,”com.quora.app.poe.monthly_subscription_5m_month”,”com.quora.app.poe.annual_subscription_5m_month”],”integerGate(gateName:poe_ios_mute_chat_notifications_setting_min_build_number)”:999999999,”booleanGate(gateName:poe_enable_multiplayer_chat_prototype)”:false,”uid”:2993439375,”numInviteCreationsRemaining”:30,”primaryEmail”:”duncanfff666@gmail.com“,”integerGate(gateName:poe_ios_improved_text_editor_min_build_number)”:99999999,”totalUnseenItemCount”:0,”integerGate(gateName:poe_ios_canvas_min_build_number)”:41210,”appRatingPromptInfo”:null,”iosMinSupportedBuildNumber”:32810,”integerGate(gateName:poe_ios_show_file_size_limits)”:null,”integerGate(gateName:poe_ios_read_receipts_min_build_number)”:99999999,”integerGate(gateName:poe_ios_multi_user_invite_flow_min_build_number)”:999999999,”poeUser”:{“$reference”:”PoeUser:UG9lVXNlcjoyOTkzNDM5Mzc1”},”integerGate(gateName:poe_ios_max_upload_image_size_in_bytes)”:50000000,”integerGate(gateName:poe_ios_app_reset_min_build_number)”:41310,”iosUpdateEncouragedCardInfo”:{“$reference”:”Viewer:Vmlld2VyOjA=.iosUpdateEncouragedCardInfo”},”integerGate(gateName:poe_ios_allow_concurrent_message_sends_min_build_number)”:40608,”hasRecentlyUnsubscribed”:false,”integerGate(gateName:poe_ios_subscription_tiers_min_build_number)”:99999999,”isEligibleForSubscriptions”:true}

里面有个

“autoGeneratedHandle”:”duncan46”

说实话这两个都挺像用户名的，可以都试一下，我自己做的时候就先得到了这个结果，但是答案并不是这个

总微信，WhatsApp中可以看到这就是她常用的名字，比赛赶时间可以直接猜了试一下

Duncan

47.请指出即时通讯软件”WeChat”的 “WeChat ID”(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

送分题，直接分析

48.承上题，这个”WeChat ID”关注了多少个「视频号」？

A. 1

B. 2

C. 3

D. 4

这里可以看到所有浏览过的视频号

在上面的收藏中即可看到关注的视频好博主

B

49.请指出即时通讯软件WhatsApp的WhatsApp ID(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

送分题，直接分析

50.即时通讯软件WhatsApp中，封存了下列哪个聊天群？

A. 凤凰VIP会员心得交流群

B. 币淘 群组1

C. Sportsmen

D. Titus Wong Manson Finance

自己做的时候陷入误区了，WhatsApp封存并不是删除的意思

一半用于人多的群，所以很可能是A

验证一下，我们需要去查看WhatsApp的聊天数据库中该群的状态

问下ai WhatsApp的聊天记录一般存储在什么数据库中

我们要找的是群聊的信息，所以去看ChatStorage.sqlite

果然找到了

去把各个表都大致翻看一下，在ZWACHATSESSION中找到了关键信息，里面可以看到所有群聊以及联系人的名字，我们要找的答案一定在这

看ZARCHIVED这列，只有凤凰VIP会员心得交流群显示为1（表示已归档）

A

51.即时通讯软件WhatsApp中，总共追踪了多少个频道？(请以阿拉伯数字作答)

火眼秒了

19

52.即时通讯软件「WhatsApp」中，下列哪个是群组 “Investors” 的管理员？i) 85254974406@s.whatsapp.netii) 85260927726@s.whatsapp.netiii) 85254961408@s.whatsapp.net

A. 只有 i)

B. 只有 i) 和 ii)

C. 只有 ii) 和 iii)

D. 以上皆是

火眼里面可以直接看到

所以85254974406@s.whatsapp.net和85260927726@s.whatsapp.net是管理员

B

53.即时通讯软件「WhatsApp」中，群组 “Investors” 的群组ID？(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

火眼直接分析

120363417204753192@g.us

54.即时通讯软件「WhatsApp」中，「社群」名称是什么？(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

火眼直接分析

We are 3

55.承上题，请指出这个社群的群组图案的哈希值（SHA256格式）。

A. B1A3706C574F81A3EE084FB9509997E06349E86D904D1DC10B879D1D5ED83125

B. B8BA258402925E139CAFBBBBBC809EC160B70BB03DBD4D0F3063F58F69D0B956

C. E43ADC646295BC5011577D4E733B6289D31A5E11ACB45285BE1FF530260DF383

D. 20E64C78F9926548CEEFB1783991A4AD71A6631F3C86002254342E323A898C6A

直接从图片上识别的文字寻找

记录该图片的地址，去文件中找

哈希一下

但是发现算出来的SHA256值跟选项一个都对不上，绝不是计算问题，说明图片不是这张

回到识别图片文本内容的界面，向下翻发现还有两张这样的图片，这两张照片都是jpg格式，直接复制名称取检索一下

这回可以对上选项了

但是另一张哈希出来的结果又不一样

比赛的时候碰到哈希值对不上就去寻找相同图片哈希，没有选项就都试一下，这里要注意了

A

56.即时通讯软件「WhatsApp」中，找出WhatsApp ID:85254961408@s.whatsapp.net曾经是在而现在已经不在的群组，请指出该群组的名称。(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

85254961408@s.whatsapp.net 对应的是陈民浩

去WhatsApp记录数据库查询ZWAGROUPMENBERCHANGE表，直接复制ID检索

复制一下该群的ID，到火眼中核对一下

可以知道是Sportsmen[We are 3]

WhatsApp中[]表示群组所属社群，这并不算群组名称，所以答案里应该把它去除

Sportsmen

57.即时通讯软件「WhatsApp」中，总共出现了多少个「投票」活动？(请以阿拉伯数字作答)

这题没做出来，之前一直在数据库里面找没找到

搜索下投票

看到了投票的结构前面一定带有[投票消息]，那就直接搜索投票消息

可以看到有15个

其实实在不行也可以用笨方法，一个个群输入投票筛选

下面一题的wp也给出了怎么在数据库中查询投票信息的方法

15

58.承上题，总共在多少个「投票」活动中作出了投票？(请以阿拉伯数字作答)

现找到和投票消息紧贴的一条消息

去检索 Suport you

发现这条消息对应的Z_PK为280

那么上面一条投票消息的Z_PK就为279

可以看到投票消息的消息类型为46

那么我们就可以利用46筛选出来所有的投票消息

这边看两个重要的列

第一个，ZISFROMME，这个列表示投票是否由本人发起，本题要求投票的次数，所以得筛选掉值为1的数据

第二个是ZSPOTLIGHTSTATUS，这个列表示能否被索引，其中“7”表示可以被正常索引，“-32768”表示隐藏信息，无法被索引，这里代表投票结果保密，所以该用户投了2次票

2

59.即时通讯软件「WhatsApp」中，根据群组「 IQ COIN 💰💰💰💰」对话内容正在策划，哪一种犯罪计划？

A. 诈骗

B. 抢劫

C. 谋杀

D. 以上都不对

看得出来他们通过盗取个人信息，向假扮CEO谋利

A

60.承上题，该群组建立者的WhatsApp ID是什么？(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

火眼里面能看到

85254974406@s.whatsapp.net

61.承上题，该群组的建立时间是什么？(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)

直接在群聊中就可以看到，火眼的时间已经处理过了，不用再该时区

但是我没弄明白在数据库中怎么找

2025-04-25 16:57:55

62.根据你分析结果。三人因感情瓜葛内讧因而发生这次袭击事件。你怀疑梁燕玲曾到袭击现场，你将你的发现通知警察。警察扩大现场搜索范围，终于在案发现场附近，发现陈民浩名下的小汽车，车上发现一部智能手机。请你以参赛材料LEUNG_YL_Mobile.zip回答以下问题参考LEUNG_YL_Mobile.zip，该手机用作注册iCloud的email?

A. lingleung1502@gmail.com

B. lingleung1502@yahoo.com.hk

C. lingleung1503@gmail.com

D. lingl1502@gmail.com

火眼分析直接看

lingleung1502@gmail.com

63.参考LEUNG_YL_Mobile.zip，文件IMG_0021.HEIC 所拍摄的相机型号是甚么?

A. iPhone SE (3rd generation)

B. iPhone SE (2nd generation)

C. iPhone 12 mini

D. iPhone XR

可以看到这张照片就是由本机相机拍摄的，所以相机型号就是本机型号

A

64.参考LEUNG_YL_Mobile.zip，文件IMG_0005.JPG所拍摄的座标(WGS 84)是多少？(请以纬度,经度的顺序及以下格式作答xx.xxxxxx,xx.xxxxxx)

先找照片的数据库

将其导出使用DB分析

将文件名复制进去检索一下

这答案格式提示神了，给了半个括号但是答案带括号不行

22.337655,114.139441

65.参考LEUNG_YL_Mobile.zip，文件IMG_0022.JPG是以下哪种方向拍摄?

A. 不旋转

B. 旋转180度

C. 顺时针90度

D. 逆时针90度

看的出来逆时针90度拍的

我去其他地方找了一下，也都是逆时针90度拍的

但是官方答案是C，我的理解是拍摄者顺时针转90度拍照，拍出来照片是正的，但是手机里的传感器感应到顺时针转90度，机器认为要变“正”就得逆时针转90度，所以图片就是逆时针转90度得，如果我的推测是正确的，那这题也太阴了，引以为鉴好吧

C

66.文件IMG_0022.JPG的建立时间(GMT +08:00)是?(请以GMT +8时区及以下格式作答: yyyy-MM-dd HH:mm:ss)

2025-05-16 15:10:18

但是这里得到得时间应该是最后修改时间，还得查数据库，注意一下

用Dcode转换一下

2025-05-16 03:33:15.7010000 Z

转化下时区

2025-05-16 11:33:15

67.参考LEUNG_YL_Mobile.zip，在WhatsApp 与”85254974406@s.whatsapp.net”聊天对话中，于2025-05-16 11:33:39时的信息所传送的座标(WGS 84)是多少?(请以纬度,经度顺序及以下格式作答xx.xxxxxxxxxxxx, xxx.xxxxxxxxxxxx)

先确定发了一个位置消息

接下来回到原文

看下上下文

待会检索下 Where are you

导出该数据库

有两条消息，但是本题情景时对冯子超说的，所以是下面一条，查看该消息的Z_PK值

位置消息是这条消息的下一条，所以它的Z_PK值为1416

直接检索1416

接着去ZWAMEDIAITEM表检索ZMESSAGE 1416

22.2760486602783,114.295440673828

68.参考LEUNG_YL_Mobile.zip，在WhatsApp 与 “85254974406@s.whatsapp.net”聊天对话中，于2025-05-16 11:33:39时的信息所传送的座标(WGS 84)所指的餐厅英文名称是? (请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

Fai Kee Seafood Restaurant

69.参考LEUNG_YL_Mobile.zip，在WhatsApp 中聊天群组ID 120363401289578356里，于2025-04-29 08:31:02，机主传送了一个PDF 文件，该PDF的内容是什么？(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

通过时间锁定文件，回到原文中

去pdf一档找这个文件

打开发现是空白的

但是这个文件是由大小的

结合题目背景，三人都是隐写术高手，说明这个文档被隐写了

扔给ai跑

0xe36D4bCf0132B8Dc7317C2Fb9bfa1845629F6638

70.参考LEUNG_YL_Mobile.zip，在WhatsApp 中聊天群组ID 120363401289578356里，有多少个参加者？

A. 2

B. 3

C. 4

D. 5

搜一下ID为120363401289578356的群叫什么

其实就是者三个人

B

71.参考LEUNG_YL_Mobile.zip，于2025-04-25 17:11:37 时使用WhatsApp 所拨打的手机号码是多少?

A. 85254962307

B. 85254961408

C. 85254974406

D. 85254993306

根据时间查看下修改的文件

查询ZCALLRECORD表

可以看到只有第一和第三条记录是打电话记录的

所以只能是

+85254974406

比较奇怪的是，如果去计算一下时间戳，会发现更改时间和题目给的时间对不上，反而是下面+85254961408的一条记录的时间差不多可以对上

也可能是我想复杂了，火眼中可以直接看到通话记录，并且时间完全吻合

A

72.参考LEUNG_YL_Mobile.zip，总共有多少个WhatsApp的通话记录? (包括拨打、接收及未接来电)

A. 4

B. 5

C. 6

D. 7

直接看火眼

D

73.参考LEUNG_YL_Mobile.zip，WhatsApp 聊天群组ID 120363400622997111 的群组名称是?

A. Investors

B. Foodies

C. We are 3

D. Happy Sharing within 3

直接看火眼

D

74.参考LEUNG_YL_Mobile.zip，WhatsApp 聊天群组Happy Sharing within 3 于2025-04-17 10:12:34 传送的WGS 84座标是多少?

A. 22.323436345441, 113.276894376508

B. 22.326923370361, 114.168403625488

C. 21.239876452236, 115.925422314543

D. 20.124955642236, 114.168403625488

将时间转换成时间戳

筛选一下

得到Z_PK值为547

然后跟之前一样的，去ZWAMEDIAITEM表检索

22.3269233703613,114.168403625488

B

75.参考LEUNG_YL_Mobile.zip，Instagram 的版本是?

A. 375.2.0.15.82 (722575504)

B. 376.1.0.14.56 (722575504)

C. 376.1.0.27.82 (722575504)

D. 376.0.0.17.23 (722575504)

本来想偷个懒，直接分析

一看四个选项都有这串数字，只能去找这个应用的配置文件了

找到了

C

76.参考LEUNG_YL_Mobile.zip，社交媒体软件Instagram 的安装时间?(请以GMT+8时区及格式YYYY-MM-DD hh:mm:ss作答)

还是上面那个文件，继续向下翻一翻，看到了关键词install

2025-04-26T03:50:50Z

转化下时区

2025-04-26 11:50:50

77.跟据你的分析，警察在香港西贡蕉坑，找到一个行李箱，内藏一名女子尸体，身上没有任何身份证明文件，裤袋内搜获一个U盘，根据法医初步检验，死者头部及颈部有明显瘀伤，相信曾发生激烈争执，死因为气管受压导致窒息，死亡时间相信是在2025-05-16 0900时至1000时 。调查人员初步检查这个U盘，没有发现可疑资料，现在交由你进行电子数据鉴定工作。请参考参赛材料LEUNG_YL_USB.E01，答以下问题参考LEUNG_YL_USB.E01，这个U盘里有多少个分区？(请以阿拉伯数字作答)

我们首先需要进行u盘仿真

这里参考https://mp.weixin.qq.com/s/_UyMjDHS1G7j_eZ_00VGhQ?scene=1&click_id=1

学习下u盘仿真的过程

2

78.参考LEUNG_YL_USB.E01，这个U盘里的分区结构是什么？(请以英文大写作答)

MBR

79.参考LEUNG_YL_USB.E01，以下哪项描述是正确的？i) U盘的总容量是16GBii) 文件系统包括 FAT32、exFAT 和 NTFSiii) exFAT 分区的容量是 16GBiv) 分区标签名是 “SanDisk”

A. 只有 i) 和 ii)

B. 只有 i) 和 iii)

C. 只有 ii) 和 iv)

D. 以上皆非

之前挂载的时候就看到该U盘的总容量大概在30G左右

故i错

没有NTFS

故ii错

还是这张图，可见exFAT不为16G

故iii错

一个标签名为TIM，另一个标签名为WEPE

故iv错

四个选项都是错的

D

80.参考LEUNG_YL_USB.E01，以下哪项描述是正确的？i) 此U盘曾连接到一台名为 “PC” 的电脑ii) U盘内存有一个已加密的压缩文件iii) 已加密的压缩文件的创建日期系 2025-05-15

A. 只有 ii)

B. 只有 iii)

C. 只有 ii) 和 iii)

D. 以上皆是

可见summy.zip是加密的，ii对

创建日期也对的上，iii对

i没有找到相关日志，应该没连接过

C

81.承上题，该压缩文件的解压密码是多少？(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

密码就是桌面壁纸上的密码

成功解压

54d#e(nm

82.参考LEUNG_YL_USB.E01，以下哪项描述是正确的？i) 这是一个可引导U盘ii) 有一个分区标签名为 “EFI”iii) 卷标日期为 2025-05-15 (UTC +8)iv) 有一个分区的总容量小于 500 MB

A. 只有 i)

B. 只有 i) 和 ii)

C. 只有 i), iii) 和 iv)

D. 以上皆是

虚拟化之后我们就可以正常进入系统

所以这个u盘是个可引导u盘，i对

Xways分析一下

有一个分区为350MB，故iv对

这样一看AB肯定不对

查看一下技术分析

可以看出来ii和iii都是对的

D

83.tammy.txt文件的内容是什么？(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

打开桌面的gogogo1x.txt就可以直接看到

due_diligence

84.文件“xcontainer”的加密算法是什么？(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

这个文件是之前解开的加密压缩包里面的文件

这个文件被VeraCrypt包裹着，肯定和这个文件有很大关系

使用Rstudio分析，可以发现在C:根目录下有个被删除的vc容器key文件

那么推测一下这个文件肯定是用来解锁xcontainer的

我们将这个文件还原，并解密文件

成功还原

我们可以在vc里面看到这个文件的详细属性

可见加密算法是AES(Twofish)

AES(Twofish)

85.分析文档 “xcontainer” 的属性。关于此磁盘镜像，以下哪项描述是正确的？i) 大小为 4943872 字节ii) 文件系统是 FAT iii) 没有嵌入式备份头iv) 块大小为 128 位

A. 只有 i) 和 ii)

B. 只有 ii) 和 iv)

C. 只有 ii), iii) 和 iv)

D. 以上皆是

大小对不上，故i错，显示有内嵌的备份头信息，故iii错，块大小为128位，iv对

查看该盘的文件系统

确实是FAT，故ii对

B

86.WinPE 启动后，系统会自动将核心映像挂载在哪个虚拟机？

A. C:

B. D:

C. X:

D. Z:
如图所示

C

87.下列哪些 Windows PE 指令在预设环境下无法执行？i) Powershellii). Eventvwriii). HostnameiV). Diskpart

A. 只有 i) 和 ii)

B. 只有 iii) 和 iv)

C. 只有 i), ii) 和 iii)

D. 以上皆是
这几个命令一个个试一下就好了

C

88.必须包含哪个文件，才能启动 Windows PE环境？

A. WEPE64.wim

B. install.wim

C. WinPE.log

D. hiberfil.sys

用Rstudio分析，在WEPE中只有上述的WEPE64.wim文件，可见该文件是启动Windows PE环境的必须项

A

89.若要判断一个U盘是否为可开机的Windows PE，以下哪些文件必须存在？i) WEPE64.wim 或 boot.wimii) bootmgriii) EFI\Boot\bootx64.efiiv) hiberfil.sys

A. 只有 ii 和 iv

B. 只有 i), ii) 和 iii)

C. 只有 i) 和 iv)

D. 以上皆是

直接ai

i是WinPE的核心映像文件，必须存在

ii是Windows的启动管理器，对于传统的BIOS启动是必须的

iii是UEFI的启动文件，是UEFI启动必须的

iv是休眠文件，不怎么必须

纯理论题

B

90.这个 WinPE U盘的操作环境 (Operating Environment) 是基于哪一个 Windows 版本？

A. Windows 7

B. Windows 8.1

C. Windows 10 PE

D. Windows 11 PE

直接在虚拟机里面查看此电脑的属性即可

C

91.根据你综合多项通讯软件的对话记录，浏览记录及资料分析，发现冯子超、陈民浩伙同女子梁燕玲共同做了一宗涉及加密货币投资的诈骗案件，因东窗事发打算携赃而逃。女子梁燕玲负责处理有关清洗黑钱事项，警察相信梁燕玲携带同相关材料逃跑，请你运用电子数据鉴定技巧寻找与加密货币相关的材料，尽快启动冻结程序。参考LEUNG_YL_USB.E01，该U盘盘有一个加密的文件，该文件所用的加密软件名称是? (只需回答软件名称，不需要回答软件版本，(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

就是上面提到的那个文件

显然是通过VeraCrypt加密的

VeraCrypt

92.参考LEUNG_YL_USB.E01，请列出与IQ Coin有关的虚拟钱包的地址(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

前面解开的文件挂载后里面有一个图片

扫一下这个二维码，就可以得到地址

0x548dafDe4B17d7d3C9485E79B3B5018801C7855E

93.承上题，这个钱包属于哪一种加密货币(请以英文大写作答)

用刚才得到的地址解压IQ COIN的检材压缩包

解压出来两张图片

在交易记录里面就可以看到是哪种了

BNB

94.承上题，这个钱包总共有多少次存入记录？(请以阿拉伯数字作答)

根据上题的结果，这个钱包地址为

0x548dafDe4B17d7d3C9485E79B3B5018801C7855E

对照交易记录，可以看到只有一条

1

95.承上题，存入款项的支账地址是什么？(请依照参赛材料中的原文作答，注意区分大小写、空格及符号)

用ai帮忙看一下是什么网站

搜索虚拟币地址

找到那一条存入记录，复制fromfrom后面的地址

0x6144ACfdf84bbEC6bccB310516A89D4b3ee48c1A

96.承上题，这项交易传送了多少BEP-20 IQ Coin?(请以阿拉伯数字依照参赛材料中的原文作答，注意区分大小写、空格及符号和不用标点符号 )

直接看图

1000000000

97.助记词是由加密货币钱包生成的一系列单词，帮助用户恢复其私钥。助记词通常由12到24个单词组成

A. 正确

B. 错误

在解密完挂载的xcontainer中有一个文本文件，打开里面就是助记词

正好12个，没问题

A

98.根据你的信息警察查知这个加密钱包涉及近期一宗巨额诈骗案，请你查出这个钱包余额额度，警察将会进行冻结程序
请指出包含有疑似助记词的文件的希哈值(MD5格式)(请以阿拉伯数字和英文大写作答)

直接哈希一下上面提到的那个文件

183b8e0c6365fee834479269141a3f91

这道题有点阴，记得把哈希值里面的英文字母大写

183B8E0C6365FEE834479269141A3F91