取证练习（一）PC+手机，服务器未完

链接：https://pan.baidu.com/s/1KlkPwzWm7dNO2iRGoTsE7Q?pwd=xyxy

提取码：xyxy

--来自百度网盘超级会员V3的分享

每道题5分，共计200

一、请检查窝点中的手机检材，回答以下问题

1、 该OPPO手机的IMEI是：

A. 860370043989014,860370049389006

B. 860370049389014,860370049389006

C. 860370049389014,860370043989006

D. 860370049839014,860370049839006

2、 该涉案人所使用的的微信ID和关联的手机号是：

A. wxid_rn6kc87f1mb354 16521330311

B. wxid_rn5mjxpw1mb922 17721103461

C. wxid_wi8nf67f1lmd54 15528880561

D. wxid_kshn457f1lm123 15847880501

3、 涉案团伙的最后线下犯罪窝点地址是：

A. 闵行区古美西路86弄44号

B. 田林路1036号科技绿洲三期16号楼101室

C. 上海市合川路科技绿洲3期5-3号楼

D. 闵行区合川路2555号

4、 犯罪团伙所用的诈骗应用apk的sha256值是

A. 71064939606EE601F2F5A888C75F3949CB82A8DF472D15D77EE2A3DF663FC8E9

B. DC0909D078AC1B692836BB0526E52633DDE49D1286631FA0EF9C744925DF545E

C. F67F61057828F57EA663CEBEDD638EE9A4BAF36F69DA7E002CBA54C9F8EAAF85

D. 96B1258E64DA18C323DE8ECE0F89D88B0F0B99F459F209B514F7F500D72B7D1B

在ttlsp和老大哥的聊天记录里有过

搜索

5、 该涉案人手机在3月7日除了上海还可能去过哪个城市？

A. 长春

B. 成都

C. 武汉

D. 北京

6、 该涉案人可能用的输入法是和版本号：

A. 10.9.4

B. 8.32.22.2010171749

C. 10.94

D. 8.32.22.201071749

appinfo.db找到

在OPPO高级备份.tar/RMX1851-220308111347/OppoBackup/app_data/com.sohu.inputmethod.sogouoem/files/user_bak路径下也能找到

7、 该输入法没有哪项权限：

A. 照相

B. 连接网络

C. 修改型号

D. 读取文件

8、 该涉案人和被害人聊天使用skype软件的版本号是？

A. 8.80.0.137

B. 7.37.99.40

C. 6.65.12.11

D. 5.76.34.12

有两个

百度搜一下skype.apk

9、 哪个不是该涉案手机连接过其他手机的蓝牙物理地址:

A. E0:9D:FA:3A:BB:3C

B. E0:64:FA:3A:8B:11

C. 00:45:E2:02:50:BC

D. 00:1A:7D:DA:71:11

找bluetooth

10、 涉案APK的程序入口？

A. W2a.W2Ah5.jsgjzfx.org.cn

B. io.dcloud.PandoraEntryx

C. w2a.W2Ah5.jsgjzfx.org

D. io.dcloud.PandoraEntry

11、 涉案APK连接的服务器地址是？

A.h5.gjzfx.org.cn B.bspapp.com C.yhjj.com D.api.meiqia.com

这题不知道为什么找不到，答案选b，有会的师傅交流下捏

这是我的

12、 以下哪个是APK申请的权限？

A. 测试对受保护存储空间的访问权限

B. 申请系统管理权限

C. 修改手机状态和身份

D. 修改位置信息

13、 APK向服务器传送的数据中，包含一下哪个字段？

A. mc

B. address

C. number

D. dc

二、请检查窝点中的计算机检材，回答以下问题

14、 涉案计算机的计算机全名是？

A. DESKTOP-VC69QPB

B. DESKTOP-KDN38R5

C. DESKTOP-SLU384N

D. DESKTOP-I92E87D

15、 涉案计算机有效账户最后一次登录时间是？

A. 2022-03-15 09:43:04 +08

B. 2022-03-15 09:43:04 +00

C. 2022-03-15 17:43:04 +08

D. 2022-03-15 17:48:04 +00

16、 涉案计算机登录次数最多的账户是什么？登录了多少次？

A. admin 16

B. admin 19

C. administrator 16

D. administrator 19

17、 涉案计算机是否连接过SanDisk优盘，该优盘的序列号是什么？

A. 4C530001180221100781

B. 4C530001180221109491

C. 5D7E0001180221100781

D. 5D7E 0001180221109491

18、 涉案计算机以太网的Ip地址是？

A. 192.168.1.100

B. 192.168.1.101

C. 172.168.1.100

D. 172.168.1.101

19、 涉案Windows计算机通过浏览器是否下载过哪个软件？

A. QQ

B. Navicat

C. Clash

D. wireshark

20、 嫌疑人使用navicat远程连接数据的IP是？

A. 45.77.15.219

B. 45.77.16.229

C. 35.66.15.219

D. 35.66.16.229

仿真，做不出来。。盘古石工具好像是可以一把梭的。。

21、 涉案计算机是否存在加密分区，采用了什么加密方式？

A. Bitlocker

B. TrueCrypt

C. VeraCrypt

D. CnCrypt

BitLocker搜索得

解密即可

22、 涉案计算机加密分区里面word文档文件最后访问时间是什么?

A. 2022-03-14 19：14：45 +08

B. 2022-03-14 19：14：45 +00

C. 2022-03-14 19：10：53 +08

D. 2022-03-14 19：10：53 +00

23、 涉案计算机加密分区中的txt文件SHA256值为？

A.da54693b5f04ea703e23065b53d01d89ca36e0444dee62ba01622e6d186e4712

B.fa7a3b601325cfe85a9d6fff6514804d06754795175c87c3af162eac7dcf693a

C.972403b4b8fdfc211d5a14178be7e02e792cbe6a7bd6ff827ebb2c8909f4e2b8

D.b7254757595ce0228801bd53417895c2b6f28781d98bec8d854f4772c06aea29

顺便看一下内容

flag{1349934913913991394cacacacacacc}

24、 涉案计算机使用的远程连接工具ToDesk的版本是？

A. 4.2.6.03021556

B. 12.5.1.44969

C. 14.28.2935.2

D. 11.0.61030

25、 哪个设备的IP曾经通过向日葵连接到本地计算机？

A. 11.91.214.117

B. 116.246.0.90

C. 58.244.39.225

D. 10.91.215.14

26、 嫌疑人使用的VPN使用了哪种加密算法

A. DES-128-CFB

B. AES-256-cfb

C. MD5

D. SHA

羊圈

好像盘古石又是一把梭

27、 以下哪个地址不会被自动识别走代理通道？

A. carfax.com/index.html

B. api.expekt.com

C. huluim.com/login

D. api.dns100.com

只有d搜不到

28、 以下哪个IP会被代理软件识别为国内IP段进行直连。

A. 1.16.0.1

B. 1.205.0.1

C. 35.2.0.1

D. 56.11.0.1

29、 查看涉案计算机系统日志，判断该涉案计算机最后一次刷新时区信息是什时间？

A. 2022-3-17 9:59:14

B. 2022-3-16 10:02:13

C. 2022-3-15 12:54:44

D. 2022-3-17 10:06:38

一开始做错了，把仿真后的事件也排进去了

三、请检查窝点中的服务器检材，回答以下问题

30、 Liunx服务器的系统内核版本

A. 3.10.0-1127.el7.x86

B. 3.10.0-1127.el7.x86_64

C. 3.11.0-1127.el7.x86_64

D. 3.11.0-1127.el7.x86

31、 该涉案服务器宝塔面板的访问限制域名是什么？

A. h1.jsgjzfx.cn

B. gjjszfx.cn

C. h5.jsgjzfx.cn

D. h5. gjjszfx.cn

32、 涉诈网站目录中数据库连接配置文件的路径

A./www/backup/file_history/www/wwwroot/h1.jsgjzfx.cn/Application/config.php

B./www/backup/file_history/www/wwwroot/h1.jsgjzfx.cn/Application/Home/View/Qts/User/config.php

C./www/wwwroot/h1.jsgjzfx.cn/Application/Common/Conf/config.php

D./www/wwwroot/config.php

33、 登录涉案网站后台，显示有多少用户

A. 922

B. 921

C. 920

D. 919

34、 受害人"好大哥"在涉案网站2022-03-04 14:39:26 充值金额状态

A.重置失败 B.交易中 C.充值完成 D.已充值

35、 涉案网站总成功提现金额

A. 33808154.28

B. 338081541.28

C. 338081653.97

D. 33808165.97

36、 涉案网站的数据库中管理员登录次数最多的ip是哪个

A.112.114.103.205 B.13.124.79.70

C.43.254.219.161 D.14.204.0.87

37、 涉案网站数据库中平仓时间在2020年1月1日-2020年12月31日的实盘交易订单数量

A. 5159

B. 2567

C. 3536

D. 4684

38、 涉案网站数据库中购买"以太坊"交易产品的用户绑定银行名称为"中国工商银行"的用户有多少

A. 4

B. 3

C. 5

D. 7

四、请检查窝点中的路由器检材导出报告，回答以下问题

39、 该窝点中使用路由器的WiFi密码是？

A. TPGuest_8D70

B. admin123

C. TPLink_TL

D. 688561qi

40、 在该窝点中勘验时分配IP为192.168.1.102的设备mac地址是？

A. 84-a9-38-28-f5-95

B. 6c-4b-90-8c-87-8c

C. 80-b6-55-26-f4-4e

D. 00-25-90-83-af-f2