Alice LG Phone部分
P.S.從這部分開始 難度逐漸提升 各位坐好准備加速 還有就Alice手機的Wifi MAC地址是甚么?是個人推薦用火眼的數據分析軟件來跑手機鏡像 個人感覺比取證大師好用
35.Alice的手機型號是甚么?
火眼跑一遍 就行了
36.Alice手機的操作系統版本是甚么?
送分題
37.Alice手機的總儲存空間是多少?
出題人給你准備的東西都是用得到的 包括前面的那個7z壓縮包密碼 以及這題的手機儲存空間 當然如果你沒有發現這張圖片 那么也可以做 遍歷每一個分區 手算儲存空間(?
38.在Alice 手機, IMG-20200929-WA0002的創建時間是甚么?(本地時間)
直接軟件搜索就行了 不講了
39.在Alice 手機,IMG-20200929-WA0004的創建時間是甚么?(本地時間)
同上
40.IMG-20200929-WA0002和IMG-20200929-WA0004的元數據和相機型號是甚么?
這里拓展一個知識點 元數據 元數據一般來說只是一串儲存在文件里面的字符串(應該可以這么說 記錄這個文件的一些基礎信息 而我們知道 一般來說文件頭也會包含這些信息 意味着如果用16進制查看一個文件 那么他的文件頭部分會含有部分元數據
41.在Alice 手機, 預設瀏覽器瀏覽歷史記錄的文件在哪里?
注意 題目要求問的是預設瀏覽器的歷史記錄文件 應該都能判斷預設瀏覽器是哪個
42.儲存Chrome瀏覽歷史記錄的文件是甚么?
這題問的是谷歌瀏覽器的歷史記錄 也一樣找
43.Alice手機的Whatsapp ID和賬戶名稱是甚么?
這個也是送分的 會看就行
44.與Bob和Cole的最后WhatsApp的時間是甚么?(本地時間)
因為這個是Alice的手機 題目問的是Bob和Cole的最后聊天時間 就知道要去群聊里面找
45.主腦的名字是甚么?
這題說真的我也不知道怎么做 當時我記得是按選項分析的 反正只能是Alice Bob和Cole三個人里面選
46.Alice,Bob和Cole之間的WhatsApp群組的ID和名稱是甚么?
送分題 不說了
47.哪一個表,顯示了聊天群組“ Big Big Club”的創建時間?(本地時間)
都說哪個表 那肯定從數據庫入手 安卓機子的軟件很有意思 他每個安裝過的軟件都會有個com.xxxxx文件夾在主分區的data文件夾下 這個文件夾儲存了這個app的所有信息 我們進入這個文件夾 按照題目給的選項開始尋找數據庫
48.聊天群組“ Big Big Club”是甚么時候創建的?(本地時間)
送分題
49.Alice是否曾經登陸whatsapp網站?如果有的話,她是在何時登入? 所用的是甚么瀏覽器? (提示:在移動取證圖像上找到結果)(UTC +0)
其實這題最好是從PC上面找 當時做題的時候是這樣的 從PC上找就沒啥難度 搜索就行
50.Alice如何收到這筆錢?錢包地址是甚么?
送分的
51.“Deleted by the sender”的media_wa_type是甚么?
坐穩了 這題比較難 首先要知道Deleted by the sender是什么意思 這里貼上一張圖和一張鏈接 Sender 個人推測 這個Deleted by the sender的media_wa_type的意思是 這個被sender刪掉的內容的media_wa_type是多少 經過石師傅的指點(while(1){print("ssfyyds")}) 明白了這個deleted by the sender其實就有點像微信里面的撤回消息 只不過火眼翻譯成中文就是直接翻譯成被刪除的消息了 所以大概知道 我們要找那幾條被刪除的消息 然而一個數據庫文件有那么多表 雖然猜是知道要從messages表里面找 因為那張表里面存儲了所有人的消息 但是如果說要認真做 就得把這個數據庫文件放到winhex里面找了 找到了creat 什么什么什么 意思是在messages表里面創建了這個media_wa_type什么的 然后在里面找消息 消息如果被刪除的話 肯定在數據庫里面是看不到消息發了啥 但是這還不能夠完全確定 必須從時間戳入手(還是石師傅教我的 while(1){print("ssfyyds")}) 並且找到了相對應的時間戳 找到相對應的media_wa_type是15
52.Alice手機的Wifi MAC地址是甚么?
可以把這個鏡像拖到winhex里面搜一遍
總結
手機這部分的難度就逐漸上來了 不管是對數據的分析歸納 還是對手機本身操作系統的理解 難度都比前一部分大 題目出得很好 可以多做幾遍
EOF