第一次做题，写的比较细比较繁琐

火眼证据分析

火眼证据分析中新建案件，选择镜像文件检材一，打开就会自动创建分析任务进行分析：

也可以点击快速分析，选择任务进行分析：

检材1(计算机磁盘镜像)

1.检材一硬盘的 MD5 值为多少

计算哈希，选择md5

计算过程需要对加密卷解密（文件 -> 右键加密分区 -> 解密），因此最好先把下一问做完再进行计算：

80518BC0DBF3315F806E9EDF7EE13C12

2.检材一 BitLocker 的恢复密钥是多少

使用EFDD，配合检材三给出的的内存镜像爆破：

585805-292292-462539-352495-691284-509212-527219-095942

3.检材一镜像中用户最近一次打开的文件名是什么

依次点击：分析 -> 经典视图 -> 查看最后访问时间

最后一个文件名称为：

列表.xlsx

4.检材一硬盘系统分区的起始位置

查看系统分区：

分区4是引导加载程序位置，之后的分区六应该才是主系统分区（硬盘分区），起始位置为：

649216

5.检材一系统的版本号是多少(格式:x.x.x.x)

分析 -> 基本信息 -> 系统信息：

这里有两个版本号，组合在一起才是题目要求的格式

在win10和win11中，第二位数字（次要版本号）固定为0：

10.0.19042.508

6.检材一回收站中的文件被删除前的路径

分析 -> 基本信息 -> 回收站记录：

C:/Users/rd/Desktop/iTunes(12.13.0.9).exe

7.检材一给出最后一次修改系统时间前的时间(格式: YYYY-MM-DD HH:MM:SS)

分析 -> 基本信息 -> 系统时间变更 -> 时间变更记录：

比对各个更改时间的记录的操作时间，找出最晚操作的时间的原系统时间：

2023-12-12 16:37:12

8.检材一最后一次远程连接本机的时间(格式: YYYY-MM-DD HH:MM:SS）

分析 -> 远程桌面 -> 远程连接过本机的记录：

查看连接成功记录，比对最晚的连接时间：

2023-12-11 15:57:02

9.检材一 Chrome 浏览器最后一次搜索过的关键词是什么

分析 -> Chrome浏览器 -> 历史记录 -> 最后访问时间 ：

从url里面看出搜索内容：

常见的诈骗话术2023

10.检材一是否连接过 U 盘,如有,请给出 U 盘的 SN 码

分析 -> 基本信息 -> USB最近使用记录 -> 操作时间：

查看接入过的最后一个设备：

FC2005927F271

11.检材一 Edge 浏览器最早一次下载过的文件文件名是

分析 -> Edge浏览器 -> 下载记录 -> 结束时间倒序：

第一个i4tools8不知道为什么没有时间，但详细条目显示时间晚于winrar：

 winrar-x64-624scp.exe

12.嫌疑人访问的微博的密码的 MD5 值

分析 -> Chrome浏览器 -> 保存的密码：

微博密码是!dfrDj*&j98_jUe8，计算MD5值：

5cb42860b3b61ef6dd361ad556f48e05

检材二(iPhone 备份数据)

13.检材二备份的设备名称是什么

分析 -> 基本信息 -> 设备信息：

"User"的iPhone

14.检材二手机的 iOS 系统版本是多少

同13题图

17.0

15.检材二备份的时间是多少?(格式: YYYY-MM-DD HH:MM:SS)

同13题图

2023-12-09 15:02:28

16嫌疑人 iPhone 手机给号码"13502409024"最后一次打电话的时间是(格式: YYYY-MM-DD HH:MM:SS)

当前的备份文件中没有通话记录，其实这个藏在检材一中

分析 -> 嵌套证据识别 -> IOS备份：

给出了一个info.plist文件的地址，但他只是配置文件，我们需要回到上层目录，导出完整备份文件：

同时，我们也能把它添加为新检材，扫描过程中会发现这是加密后的文件，需要密码

使用Passware Kit Forensic爆破，这里需要爆破的文件是Manifest.plist，从后文（22题）知道是五位数密码

选择Customize Settings高级设置：

只保留brute-force，修改成五位数字：

爆破：

输入密码后继续分析，分析完成后刷新一下，就会多出新的检材分析结果了

分析 -> 基本信息 -> 通话记录 -> 时间：

 2023-12-04 13:18:50

17.检材二使用过的号码 ICCID 是多少

同13题图

89860000191997734908

18.检材二手机中高德地图最后搜索的地址

分析 -> 高德地图 -> 搜索点：

 双山大道3号

19.检材二手机最后一次登陆/注册"HotsCoin"的时间是(格式: YYYY-MM-DDHH:MM:SS)

HotsCoin是数字交易平台，从短信中能得到登录时间

分析 -> 基本信息 -> 短信：

2023-12-04 13:28:14

20.检材二手机中照片"IMG_0002"的拍摄时间是(格式: YYYY-MM-DD HH:MM:SS)

分析 -> 基本信息 -> 图片 -> IMG_0002：

2023-12-06 11:08:30

21.检材二中"小西米语音" app 的Bundle ID是什么

Bundle ID是iOS应用唯一标识符，也就是包名

分析 -> 基本信息 -> 应用列表 -> 搜索小西米语音：

com.titashow.tangliao

22.检材二中浏览器最后一次搜索的关键词是什么

浏览器不是uc浏览器，指的是safari

分析 -> Safari -> 搜索历史：

ios备份密码忘了怎么办 五位纯数字

这里也就是在提示前面的加密备份文件的密码

23.嫌疑人和洗钱人员约定电子钱包的品牌是什么, 如有多个用顿号分隔

微信聊天记录和信息里都没有相关信息，其他应用里面只有小西米语音有可能了

分析 -> 其他应用 -> 小西米语音 -> 在线连麦平台 -> 文件分类 -> SQLite 文件

其他应用是耗时分析，火眼不会自动分析，需要手动进行选择分析

本来应该是有im5db这个数据库的，我的分析结果里面没有，其他六个都有，也许是因为后缀的原因？

所以直接沿着下面这个路径找了：

/Documents/IM5_CN/9031bc3c805ac5e55ecaa151092c2c4b/IM5_storage/1399634813467579522/im5db

查看message表的content字段：

imToken、Bitcoin

24.嫌疑人和洗钱人员约定电子钱包的金额比例是什么

同上题图：

0.2

检材三(计算机内存镜像)

25.检材三中进程"FTK Imager.exe"的 PID 是多少

不知道为什么我的volatility2不能分析出win10的结果，只好使用volatility3：

python3 vol.py -f ../memdump2023.raw windows.pslist.PsList | grep FTK

11328

26.检材三中显示的系统时间是多少?(格式: YYYY-MM-DD HH:MM:SS)

python3 vol.py -f ../memdump2023.raw windows.info.Info  

 2023-12-12 04:06:25

27.检材三中记录的当前系统ip是多少?

python3 vol.py -f ../memdump2023.raw windows.netscan.NetScan

172.18.7.229

检材四 (红米手机备份数据)

28.检材四中迅雷下载过的文件名是什么?

分析 -> 迅雷 -> 云盘 -> 离线下载目录：

《向银河靠近》.txt

29.检材四中安装了哪些可是实现翻墙(VPN)功能的 app?

没啥说的：

clash

30.检材四备份的设备系统版本是多少?

分析 -> 基本信息-> 设备信息 -> 厂商版本：

 V14.0.2.0.TKSCNXM

31.检材四备份的时间是多少(答案以 13 位时间戳表示)

同上题图，转换时间戳（2023-12-13 17:20:32）：

1702459232429

32.检材四中 FileCompress app 包名是什么?

包名就在检材里面列出，复制黏贴就行：

com.zs.filecompress

33.检材四中备忘录记录的内容是什么?

分析 -> 基本信息-> 便签：

Vcpswd:edgewallet

34.请列出检材四中所有虚拟币钱包 app 的包名, 如有多个用顿号分隔

直接搜索检材里的app，一共六个：

de.schildbach.wallet、com.bitcoin.mwallet、 piuk.blockchain.android、im.token.app、com.paxful.wallet、pro.huobi

35.检材四中嫌疑人使用 Bitcoin Wallet 钱包地址是什么?

在下面路径中找到并导出日志文件：

Bitcoin Wallet(de.schildbach.wallet).bak/apps/de.schildbach.wallet/f/log/wallet.log

搜索walletaddress：

bc1q4ru3a8r0vzymwwcmawvtdyf6hkvt2x9477hjkt

36.MD5 值为"FF3DABD0A610230C2486BFFBE15E5DFF"的文件在检材四中的位置

这一题据说是结合前面提到的FileCompress一路找下去就能发现，不过太电波了：

这里更好的办法是用HashMyFiles，全部算一遍再搜索

然而我不知道怎么使用这个工具，好在火眼有类似的功能

文件 -> 检材四 -> 文件系统 -> 勾选所有文件 -> 右键新建哈希集 -> 勾选项：

创建的新建哈希集任务完成后，选择高级，在文件哈希处输入MD5，过滤范围选择子目录：

成功找到目标文件：

20231213_172032.tar/FileCompress(com.zs.filecompress).bak/FileCompress/11月.txt

综合题目

37.检材中受害人的微信号是多少?

检材二 -> 微信 -> 好友消息，根据聊天记录能判断出受害者就是小浩：

B-I-N-A-R-Y

38.嫌疑人曾通过微信购买过一个公民信息数据库, 该数据库中手机尾号是 8686 的用户的姓名是

从另一个微信好友里面能发现购买数据库的名称为database.sqlite：

这个数据库手机看不了，在电脑里能看：

链接数据库后查找：

SELECT name
FROM users
WHERE phone LIKE '%8686';

章敏

39.嫌疑人手机中是否保存了小西米语音 app 的账号密码, 如有, 请写出其密码

加密iOS备份 -> 钥匙串 -> 网站与应用密码，我们已经知道小西米的包名com.titashow.tangliao：

 jamvU1@wiwgug$bo

40.公民信息数据库中, 截止到 2023 年 12 月 31 日, 年龄大于等于 18 且小于等于 30 岁之间的用户信息数量

在38题中得到的database数据库里进行查询：

select count(*)
from users
where ('20231231' - substr(IDCARD, 7, 8)) between 180000 and 300000;

得到结果：

1572

41.受害人小浩的手机号码是多少

在上面的数据库中没有找到叫小浩的人，微信和短信也没有小浩的联系方式

结果是之前找到的11月.txt是受害者名单，怎么发现的呢？

案件 -> 快速分析 -> 耗时任务 -> 特征分析：

分析任务完成后，在文件 -> 检材 -> 加密文件中找到TrueCrypt容器

在检材1的20231212.E01/分区6/Users/rd/Documents下有一个新建文本文档.txt是加密容器，有88MB：

之前备忘录发现的内容Vcpswd:edgewallet，在检材一edge密码中找到对应内容：

从字面猜测这个密码应该就是vc加密的密码pR7)nZ5&yQ2-oR0<，而加密卷应该就是那个很大的txt文件

挂载：

发现里面存在9月和10月两个名单：

压缩包密码藏在了FileCompress软件中，找出软件安装包（apk）：

FileCompress(com.zs.filecompress).bak/apps/com.zs.filecompress/a

导出后，使用jadx逆向：

com下找到主函数，代码逻辑中得到密码1!8Da9Re5it2b3a.，解密10月和11月：

小浩的手机号：

13533333333

42.完整的受害人名单是几个人

上题得知，一共6人

43.受害人转账的总金额是多少

检材二中有一次付款，加密备份中有两次付款，每次都是200，通过上下文语境能知道三次付款没有重叠

600