2024美亞杯資格賽

Emma 已經幾天沒有收到她姐姐 Clara的訊息了，報警失蹤, 她焦慮地將手機提交給警察,希望能找到線索｡警察將手機交給你進行電子資料取證｡你成功提取了Emma手機的映象｡ 請根據取證結果回答以下問題｡

1. [單選題] 根據Emma_Mobile.zip, Emma和Clara的微信聊天記錄,Emma最後到警署報案並拍攝寫有報案編號的卡片,拍攝時的經緯值是多少? (2分)

第一次見到這種格式的提取結果，不過資料也沒加密，直接看資料庫message_2.db

這裡提到會去報案，推測下面傳送的圖片是所要求的照片

可以找到檔案的key，得到一個314和時間戳，根據這個可以找到圖片Emma_Mobile_Image\Images\Active\var\mobile\Applications\group.com.tencent.xin\Document\02a951e5aa009ee836c3c1e32b136b21\Img\f6b680e85ab3ca24f9da291a870b72bf\314.pic

透過m_assetUrlForSystem中的uuid，可以找到對應圖片

接下來去查詢資料庫Photos.sqlite，找到經緯度資訊和時間資訊

最後一條進行時間戳轉換，時間是2024-08-30 18:02:09，前後邏輯合理

結果為22.4517216666667, 114.171853333333

2. [單選題] 根據Emma_Mobile.zip, 2024年8月30日下午兩點後Emma共致電Clara多少次? (1分)

檢視資料庫CallHistory.storedata.db，第一張表記錄了時間，第二張表記錄了號碼，第三張表記錄了前兩張表中id的對應關係

可以得到sql

select * from Z_2REMOTEPARTICIPANTHANDLES a left join ZCALLRECORD zc on a.Z_2REMOTEPARTICIPANTCALLS = zc.Z_PK left join ZHANDLE zh on a.Z_3REMOTEPARTICIPANTHANDLES = zh.Z_PK where zc.ZDATE > 746440526.738382 and zh.ZNORMALIZEDVALUE = '+85263791704';

結果為88

3. [單選題] 根據Emma和Clara的微信聊天記錄,Clara失蹤前曾告訴Emma會到哪裡? (1分)

結果為到酒店和丈夫David慶祝結婚週年

4. [填空題] 參考Emma_Mobile.zip, Emma的iPhone XR內微信應用程式的版本是多少? (2分)

檢視Manifest.plist

結果為8.0.50

5. [多選題] 參考Emma_Mobile.zip, Emma手機中下列哪個選項是正確的? (2分)

iOS版本為17.5.1（Manifest.plist）

imei為356414106484705（com.apple.commcenter.plist）

Apple ID為emmaemma.851231@gmail.com（Accounts3.sqlite）

安裝了Metamask（Manifest.plist）

6. [填空題] 參考Emma_Mobile.zip,Emma 手機中 Apple ID 的註冊電子郵箱是多少? (2分)

結果為emmaemma.851231@gmail.com

7. [填空題] 參考Emma_Mobile.zip,在2024年,Emma 手機上曾記錄的電話卡積體電路卡識別符號 (ICCID) 是多少? (答案格式:只需使用阿拉伯數字回答) (2分)

在com.apple.commcenter.plist中

結果為8985200000826445829

8. [填空題] 參考Emma_Mobile.zip,Emma 手機的藍芽裝置名稱 "ELK-BLEDOM" 的通用唯一識別符號 (UUID) 是什麼? (1分)

資料庫com.apple.MobileBluetooth.ledevices.other.db

結果為8D13F23C-E73C-6A98-AA4F-16C8D7A5F826

9. [單選題] 你發現了一些線索,Emma 看起來也很可疑,她似乎揹負了大量債務｡ 參考Emma_Mobile.zip,Emma 手機內Safari瀏覽記錄中網頁"https://racing.hkjc.com/"的網站標題是什麼? (1分)

結果為賽馬資訊 - 香港賽馬會

10. [單選題] 參考Emma_Mobile.zip,Emma向Clara透露什麼原因令Emma欠下鉅債? (1分)

結果為投資孖展、虛擬貨幣失利、 網shangdu博（敏感了）

11. [單選題] 參考Emma_Mobile.zip,收債人要求Emma還款數量? (1分)

檢視sms.db簡訊資料庫

結果為港幣$786980

12. [單選題] 參考Emma_Mobile.zip,Emma傳送了多少張.PNG圖片給Clara,證明自己正被人追債? (2分)

結果為7

13. [單選題] 參考Emma_Mobile.zip,Emma用來瀏覽虛擬貨幣的網址? (2分)

檢視History.db

結果為intellax.io

14. [單選題] 參考Emma_Mobile.zip的瀏覽器記錄,有多少網址與bet365有關? (2分)

地址都是同一個，不知道為什麼要算作3

結果為1

15. [單選題] 你還發現了一些與不當使用他人加密錢包相關的痕跡｡ 參考Emma_Mobile.zip,Emma用了哪些恢復短語(Recovery Phrase)進入David的虛擬貨幣賬戶? (2分)

結果為stock;avocado;grab;clay;light;sadness;segment;ancient;toe;talk;elder;oil

16. [單選題] 參考Emma_Mobile.zip,Emma從David處竊取的虛擬貨幣的名稱是什麼？ (2分)

結果為IDFC

17. [單選題] 參考Emma_Mobile.zip,Clara偷拍的照片中,David的虛擬貨幣餘額是多少? (2分)

結果為5022915.66

18. [單選題] 參考Emma_Mobile.zip,Emma在偷竊David的虛擬貨幣前,Emma曾向Clara透露有什麼事發生在Emma身上? (1分)

結果為欠債

19. [多選題] （你檢視了Emma手機中的一些照片數字資訊,以獲取更多與失蹤案件的資訊） Emma的iPhone XR中 "IMG_0008.HEIC" 的影像與相片名字為的"5005.JPG" 看似為同一張相片,在數碼法理鑑證分析下,以下哪樣描述是正確? (3分)

A. 儲存在不同的.db 檔案裡

B. 有不同雜湊值

C. IMG_0008.HEIC 為原圖, "5005.JPG"為並非原圖

D. IMG_0008.HEIC 和名字" 5005.JPG"是同一張相片

這裡給出了情境，東西不在給出的備份裡，HEIC是蘋果拍照生成的圖片格式，這個格式安卓手機在正常情況下是看不了的。當傳送圖片時，手機或者應用會將圖片的格式進行轉換，改成其他型別。

結果為BC

20. [單選題] 參考Emma_Mobile.zip, Emma的iPhone XR中"IMG_0009.HEIC" 的影像顯示拍攝引數怎樣? (2分)

根據時間來對應，ZASSET中圖片時間為

在ZEXTENDEDATTRIBUTES中進行過濾

結果為iPhone XR back camera 4.25mm f/1.8

21. [多選題] 參考Emma_Mobile.zip, Emma的iPhone XR中相片檔案IMG_0009.HEIC提供了什麼電子證據資訊? (3分)

A. 此相片是由隔空投送 (Airdrop)得來

B. 此相片由iPhone XR拍攝

C. 此相片的拍攝時間為2024-08-05 13:38:15(UTC+8)

D. 此相片的拍攝時間為2024-08-06 08:30:52(UTC+8)

暫時沒看到Airdrop的相關資訊

時間轉換一下是2024-08-05 13:38:15(UTC+8)

結果為BC

22. [多選題] 參考Emma_Mobile.zip, Emma的iPhone XR內以下哪張照片是實況照片(Live Photos)? (2分)

A. IMG_0002.HEIC

B. IMG_0005.HEIC

C. IMG_0004.HEIC

D. IMG_0006.HEIC

初步就根據字尾來吧，HEIC是

結果為AC

23. [單選題] 參考Emma_Mobile.zip,手機裡有多少張照片是用手機後置攝像鏡頭拍攝的? (2分)

結果為8

24. [單選題] 參考Emma_Mobile.zip的通訊記錄,MesLocalID 224是什麼類的檔案? (3分)

注意到Type的值為3

這些都是圖片

結果為相片

依據你在Emma的手機上找到的照片,你告訴調查員Clara最後的位置是在灣仔的一家酒店｡根據你提供的資訊,調查員發現Clara在酒店去世,Clara的手機在她的附近, 你對Clara的手機進行取證｡請根據取證結果回答以下問題｡

25. [單選題] 參考Clara_Smartphone.bin,Clara手機的Android作業系統版本是? (1分)

/system/build.prop

結果為8.0.0

26. [填空題] 參考Clara_Smartphone.bin,Clara手機的版本號(Build Number)是什麼? (1分)

同上

結果為OPR1.170623.026

27. [填空題] 參考Clara_Smartphone.bin,Clara手機的IMEI號碼是多少? (答案格式:只填寫阿拉伯數字部分) (1分)

全域性搜imei即可，在鹹魚裡有記錄

結果為351537092934716

28. [填空題] 參考Clara_Smartphone.bin,Emma的微信賬號是? (2分)

rcontact表

結果為wxid_ltrpgdhvilso22

29. [單選題] 參考Clara_Smartphone.bin,Clara的第一封電子郵件記錄的日期? (2分)

谷歌郵件，是在資料庫（/data/com.google.android.gm/databases/bigTopDataDB.2017474332）中儲存的Protobuf二進位制資料，需要解析一下，我沒有對應的編碼，猜測這個4是時間戳

結果為2024-07-10 11:38:38

30. [單選題] 參考Clara_Smartphone.bin,在通訊錄中"David"的聯絡人資訊還包括什麼? (2分)

contacts2.db中的raw_contact和data表關聯查詢

結果為LinkedIn

31. [單選題] 參考Clara_Smartphone.bin,David和Clara之間通話次數? (2分)

分析calllog.db

結果為8

32. [單選題] 參考Clara_Smartphone.bin,Clara在Chrome瀏覽器搜尋中哪天使用了關鍵詞"popmart 炒價"? (2分)

找到資料庫

給出的選項好像都不對，題目裡的是不分開的popmart，選項裡給的沒有，都是分開的

結果為2024-07-31

33. [單選題] 參考Clara_Smartphone.bin,2024年7月30日共收到多少封電子郵件? (2分)

資料庫中的items表的item_summary_proto欄位的值，解析一下即可

第4封

第5封

第6封

有的答案是4的，軟體是分析的item_messages這張表，但是對應到item_rows_id這個欄位時，5被對應了兩次

而item_messages中的資料想要檢視，則需要先去除開頭的00位元組，然後zlib解壓後用protobuf解析，解析後其中有一封郵件的時間是2024-07-30 15:41:32，內容和第4封一致，所以我也不敢確定到底是3個還是4個，專門為了這個去逆gmail又不合算

結果為4

34. [填空題] 參考Clara_Smartphone.bin,Clara的Gmail賬號是? (2分)

結果為clara.ccc0807@gmail.com

35. [單選題] 參考Clara_Smartphone.bin,Clara的手機安裝了哪個版本的WhatsApp? (2分)

/data/system/packages.xml中搜尋whatsapp

結果為241676004

36. [填空題] 參考Clara_Smartphone.bin,Clara的WhatsApp賬號? (答案格式:只需填寫11位阿拉伯數字) (2分)

/data/data/com.whatsapp/shared_prefs/com.whatsapp_preferences_light.xml

結果為85263791704

37. [單選題] 參考Clara_Smartphone.bin,Clara的手機在什麼時候安裝了小紅書APP? (2分)

同35題，it是安裝時間，16進位制轉會10進位制

結果為2024-07-16 16:50:23

38. [單選題] 參考Clara_Smartphone.bin,2024年8月21日David的虛擬貨幣錢包裡有多少IDFC? (3分)

參考17題，當然從映象中的圖片拍攝時間也可以看到

結果為5022915.66

39. [填空題] 參考Clara_Smartphone.bin,Clara註冊的微信賬號驗證碼是多少? (2分)

檢視資料庫/data/user_de/0/com.android.providers.telephony/databases/mmssms.db

結果為945025

40. [填空題] 參考Clara_Smartphone.bin,David為慶祝結婚週年紀念預訂了哪家酒店? 提示:請使用大寫英文字母作答, 例如:HONG KONG HOTEL) (3分)

結果為Conrad Hong Kong

41. [填空題] 參考Clara_Smartphone.bin,哪個資料庫檔案儲存了微信訊息? (答案格式:只需使用全部大寫回答, 例如:ABC.DB) (3分)

結果為ENMICROMSG.DB

42. [填空題] 參考Clara_Smartphone.bin,哪個資料庫檔案(.db)儲存了WhatsApp訊息? (3分)

結果為msgstore.db

43. [單選題] 參考Clara_Smartphone.bin,Clara在2024年8月29日拍了多少張照片? (2分)

結果為3

44. [單選題] 參考Clara_Smartphone.bin,Emma在2024年8月6日透過微信傳送了多少張照片給Clara? (2分)

結果為0

45. [填空題] 參考Clara_Smartphone.bin,照片20240829_144717.jpg的拍攝相機型號是什麼? (2分)

看exif資訊

結果為LG-H930

46. [單選題] 參考Clara_Smartphone.bin,20240821_121435.jpg的儲存路徑是什麼? (2分)

結果為/media/0/DCIM/Camera

47. [填空題] 參考Clara_Smartphone.bin,2024年8月20日有多少張截圖? (2分)

結果為4

48. [單選題] 參考Clara_Smartphone.bin,2024年8月22日被刪除微信訊息的型別是? (3分)

結果為圖片

你在檢視Clara的手機映象後,確定Clara是David的妻子,調查員透過查詢酒店預訂記錄確認了這一點｡他們現在定位David的住所,以進行進一步調查｡ 你首先分析David的手機｡

49. [填空題] 參考David_Smartphone_1.zip, 根據Contents.db,David 手機接收了通訊軟體"Telegram"的驗證簡訊,該驗證碼是多少? (3分)

備份的Contents.db中

結果為84298

50. [填空題] 參考David_Smartphone_1.zip, David 把手機設定為個人熱點,請找出個人熱點的密碼｡ (3分)

結果為wdfj5674

51. [判斷題] 參考David_Smartphone_1.zip, David 手機曾連線名為"MTR Free Wi-Fi" 的Wi-Fi ｡ (2分)

結果為連線過

52. [填空題] 參考David_Smartphone_1.zip, 根據com.tencent.mm_preferences.xml,David 的手機最後登入微信的微信 ID 是? (3分)

結果為wxid_rni3m2o8ngxe22

53. [填空題] 參考David_Smartphone_1.zip, 請指出哪一張圖片是於2024年8月28日利用螢幕擷取的｡ (答案格式:ABC_123.jpg) (3分)

結果為Screenshot_20240828-153836_Gmail.jpg

54. [填空題] 參考 David_Smartphone_1.zip,根據Contents.db,David 手機的型號(Model)? (答案格式:大寫英文字母和符號'-' 混合組成) (2分)

Contents.db

結果為SM-G9500

55. [填空題] 參考 David_Smartphone_1.zip的Contents.db,David所使用的手機SIM 卡的序號? (答案格式:只需要用阿拉伯數目字回答) (1分)

結果為8985200000827530728

56. [填空題] 參考 David_Smartphone_1.zip,David 手機安裝了應用程式"MetaMask"｡根據persist-root中,"MetaMask"錢包內有多少個賬號? (3分)

結果為4

57. [單選題] 參考 David_Smartphone_1.zip,根據persist-root中,何時從應用程式"MetaMask"傳送虛擬貨幣至以下地址: 0X10A4F01B80203591CCEE76081A4489AE1CD1281C (3分)

結果為2024-08-14 16:58:53

58. [單選題] 參考 David_Smartphone_1.zip,David 曾利用手機應用程式"MetaMask"三次傳送虛擬貨幣失敗｡根據persist-root,傳送虛擬貨幣失敗的原因是什麼? (3分)

結果為手續費不足

你根據易失性(Volatility Level)優先次序,進行記憶體取證分析David的膝上型電腦｡

59. [單選題] 參考RAM_Capture_David_Laptop.RAW,以下哪一個不是程式"firefox.exe"的PID? (2分)

結果為5260

*60. [填空題] 參考RAM_Capture_David_Laptop.RAW,匯出PID:724的程式,其雜湊值 (SHA-256) 是? (2分)

不過vol匯出，會多匯出部分空資料，把這部分去掉

結果為fee23ebcba02987e70d81ca1924c2e9c69d79ac2afea5bbde4fb335a57d4b30c

61. [單選題] 參考RAM_Capture_David_Laptop.RAW,哪一個是執行PID:724程式的SID? (1分)

結果為S-1-1-0

62. [填空題] 參考RAM_Capture_David_Laptop.RAW,賬戶David Tenth的NT LAN Manager的雜湊值(NTLM Hash) ? (答案格式:只需使用全部小寫及阿拉伯數字回答) (1分)

結果為e14a21fefc5dd81275bb87228586cffc

在取證中,你發現D盤被BitLocker 加密｡隨身碟上可能有一些線索,你對隨身碟進行了取證｡

63. [單選題] 參考David_USB_8GB.e01,David 的隨身碟檔案系統的格式? (2分)

結果為NTFS

64. [單選題] 參考David_USB_8GB.e01,David 的隨身碟檔案系統中,每簇(Cluster)定義了多少位元組(Byte)? (2分)

結果為512

65. [單選題] 參考David_USB_8GB.e01,David 的隨身碟中有多少個已刪除的檔案? (2分)

結果為1

66. [單選題] 承上題,參考David_USB_8GB.e01,已刪除的檔案的執行列表(Run List)的執行偏移量(Run Offset)數量是多少? (2分)

轉到檔案記錄

本來想看模板裡有沒有的，但是模板裡好像沒有記錄這一塊，沒有想要的資料，估計是版本太老了

參考一下文章

NTFS（檔案恢復）最簡單情況_ntfs index recovery-CSDN部落格

得知在這一塊中，第一個位元組22，第2個2表示後面兩個位元組的內容為偏移量，第1個2表示從第3個位元組開始的2個位元組表示起始簇號，這一段內容為8個位元組，即64位

既然是64的話，感覺大機率是這個0x40

結果為64

67. [單選題] 承上題,參考David_USB_8GB.e01,已刪除檔案的第一個執行的十六進位制值(低端位元組序 Little-Endian)是多少? (3分)

其實就是端序的問題

結果為0x4C3F0DB522

68. [填空題] 承上題,參考David_USB_8GB.e01,已刪除的檔案的實際大小(單位:位元組 Byte)是多少? 答案格式:只需使用阿拉伯數字回答 (2分)

結果為1796178

69. [填空題] 承上題,參考David_USB_8GB.e01,已刪除檔案的第一個執行偏移量(Run Offset)是多少? (答案格式:只需使用阿拉伯數字回答) (2分)

結果為19519

70. [單選題] 承上題,參考David_USB_8GB.e01,已刪除的檔案的第一個執行的簇執行長度(Run Length)是多少? (2分)

結果為3059

71. [單選題] 承上題,參考David_USB_8GB.e01,已刪除檔案的影像檔案畫素值(Pixel)是多少? (2分)

結果為4000X3000

72. [單選題] 承上題,參考David_USB_8GB.e01,已刪除影像檔案是用哪個品牌和型號的手機拍攝? (2分)

結果為samsung SM-A4260

在 隨身碟中,你還發現了一個exe檔案,但它被鎖定,可能需要進行反編譯以便進一步檢查｡

73. [單選題] 參考David_USB_8GB.e01,使用x64dbg的字串搜尋(String Search)功能,在Bitlocker.exe中查詢哪個字串最有可能與顯示的登入狀態有關? (1分)

結果為Login Successful!

74. [單選題] 承上題,當找到控制登入成功的邏輯程式碼時,如何修改彙編程式碼(Assembly Code)來繞過檢查,達到任意輸入，都成功登入的效果? (2分)

結果為修改CMP 指令後的跳轉指令JNE 為nop,使跳轉指令失效

75. [填空題] 參考David_USB_8GB.e01,Bitlocker.exe的正確使用者登入名稱是? (1分)

先拿賬號密碼

然後渠道後面做判斷，這樣賬號是david1337，密碼是1337david

結果為david1337

76. [填空題] 參考David_USB_8GB.e01,Bitlocker.exe的正確登入密碼是? (2分)

結果為1337david

77. [單選題] 參考David_USB_8GB.e01,當Bitlocker.exe程式嘗試顯示登入結果（成功或失敗）時,使用了哪一種途徑來決定顯示的訊息? (2分)

結果為透過檢查某個暫存器的值來決定跳轉到不同的彙編程式碼區段

78. [單選題] 參考David_USB_8GB.e01,決定能否解密 Bitlocker Key 的位元組的記憶體偏移量(Memory Offset)（相對於基址"bitlocker.exe"）是什麼? (3分)

結果為0x808C

79. [單選題] 參考David_USB_8GB.e01,決定能否解密 Bitlocker Key 的記憶體偏移量(Memory Offset)後,應該如何利用它來進行解密? (2分)

結果為將該偏移量處的值改為 1 (true),以啟用解密過程

80. [單選題] 參考David_USB_8GB.e01,解密後的 Bitlocker Key 是? (3分)

動態除錯，打斷點，將這個變數的值改掉就行了，非0應該都行

結果為299255-418649-198198-616891-099682-482306-642609-483527

到目前為止,你已經獲得了 BitLocker 金鑰以解密 D盤,透過對David 膝上型電腦D盤的分析,並發現了一些重要資訊｡你現在將繼續調查未加密的 C盤｡

81. [單選題] 參考David_Laptop_64GB.e01,分割槽格式(Partition)是? (2分)

結果為GPT

82. [單選題] 參考David_Laptop_64GB.e01,該e01成功提取的日期和時間是? (2分)

結果為2024-09-09 16:37:36

83. [填空題] 參考David_Laptop_64GB.e01,最後登入的使用者是誰? (答案格式:大寫英文字母,小寫英文字母和空格混合組成,例如:Tom Hanks) (2分)

結果為David Tenth

84. [單選題] 參考David_Laptop_64GB.e01,使用者配置的時區是? (2分)

結果為China Standard Time

*85. [單選題] 參考David_Laptop_64GB.e01,David的膝上型電腦曾經連線了多少個裝置? (2分)

結果為3

86. [填空題] 參考David_Laptop_64GB.e01,David的膝上型電腦上的Firefox瀏覽器安裝了哪些擴充套件工具? (答案格式:請以大寫英文字母作答，無須留空白位) (2分)

其他3個似乎不是第三方擴充套件

結果為METAMASK

87. [單選題] 參考David_Laptop_64GB.e01,根據使用者配置檔案中的.lnk檔案,最後訪問的檔名稱是? (2分)

排序

結果為下載

88. [單選題] 參考David_Laptop_64GB.e01,David的膝上型電腦曾經連線了多少個不同的Wi-Fi? (2分)

結果為1

89. [填空題] 承上題,參考David_Laptop_64GB.e01,該Wi-Fi網路的名稱(SSID)是? (答案格式:大寫英文字母和小寫英文字母混合組成) (2分)

結果為ErrorError5G

90. [單選題] 參考David_Laptop_64GB.e01,該電腦的Windows作業系統的安裝日期是什麼? (2分)

結果為2024-07-31 10:18:26

透過對David 膝上型電腦的電子資料取證和痕跡分析,你瞭解到David是一名 cryptocurrency 專家｡

91. [單選題] (假設虛擬貨幣International Digital Forensics Coin (IDFC)面值是每1個IDFC等如1-HKD IDFC Token Address: 0x56E7A6dd8aA1c78ba77944C94c43054978E89b7b 區塊鏈: Binance Smart Chain) 下列那個網站能夠找到區塊鏈:Binance Smart Chain的交易記錄? (1分)

比賽時斷網，題能做說明映象裡能找到，在firefox瀏覽器裡/Users/David Tenth/AppData/Roaming/Mozilla/Firefox/Profiles/olucne5h.default-release/places.sqlite

結果為bscscan.com

92. [單選題] 參考Emma_Mobile.zip中的微信聊天記錄分析,Emma用什麼方法盜取David的IDFC? (1分)

結果為Emma經Clara盜取了David虛擬貨幣錢包的回覆匙(Recovery seed)

93. [單選題] 根據David,Emma及Clara的微信對話,David在什麼日期時間發現IDFC被盜? (1分)

Clara的微信

結果為2024-08-28 09:14:36

94. [單選題] 參考Emma_Mobile.zip中的微信對話分析,Emma為什麼盜取David的IDFC? (1分)

結果為還債

95. [單選題] 參考David_Laptop_64GB.e01及David,Emma及Clara的微信對話,分析IDFC的交易記錄,Emma盜取了David虛擬貨幣錢包內哪個地址的IDFC? (2分)

按理說我肯定上瀏覽器查交易了，不過提供了一個交易記錄的csv（87題）

Emma在26日14點半得知了回覆種子，David在28日9點左右發現失竊

所以只有兩條符合

使用回覆種子恢復後，找不到0x726....這個地址，所以只有下面的這個了

結果為0x10a4f01b80203591ccee76081a4489ae1cd1281c

96. [單選題] 根據David,Emma及Clara的微信對話及IDFC的交易記錄作分析,Emma總共盜取了David多少IDFC? (2分)

結果為90000

97. [多選題] 根據Emma及Clara的微信對話,下列哪些地址是由相同的恢復短語(Recovery Seed)所生成? (3分)

結果為0x10a4f01b80203591ccee76081a4489ae1cd1281c、0x152c90200be61a540875f2a752c328bd19dbfb870x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220

98. [單選題] 根據IDFC的交易記錄作分析,總共有多少次IDFC交易流入地址0x10a4f01b80203591ccee76081a4489ae1cd1281c? (1分)

結果為2

99. [單選題] 參考David_Laptop_64GB.e01,在David計算機的D盤內有一張圖片,根據圖片上的資訊,找出David另一個虛擬貨幣錢包的恢復短語(2)(Recovery Seed),下列哪一個單詞是在此恢復短語(2)(Recovery Seed)內? (3分)

只有2個單詞能看到，其他地方沒有找到，水群的時候有看到說是記憶體裡，我想這個內容比較少，可能是要用mftscan？但是搜尋之後又感覺不像，感覺是認為搞進去的。。

結果為infant fragile garlic bracket stove blade stick dove aerobic spin term educate

100. [多選題] 承上題,參考David_Laptop_64GB.e01,在IDFC的交易記錄中,下列哪些地址由上述恢復短語(2)(Recovery Seed)所生成? (2分)

結果為0x90f73497E4446f6Cf9881213C32D6af66d799fE5、0x63a8ba1df0404ee41f7c6af8efd2f54006f32042