前言
to be completed
检材列表
资格赛(含资格赛容器 Individual)
| 来源 | 文件名称 |
|---|---|
| 冯子超身上提取的智能手机 | FUNG_CC_Mobile.zip |
| 陈民浩的智能手机 | CHAN_MH_mobile.zip |
| 陈民浩家中查获的智能手机 | blk0_sda.bin |
| 梁燕玲的智能手机 | LEUNG_YL_mobile.zip |
| 梁燕玲身上提取的 U 盘 | AP3_LEUNG_YL_USB.E01 |
| 加密货币交易截图 | IQ_Coin_Type_Transactions.zip |
团体赛(含资格赛容器 Individual 和团体赛容器 Group)
| 来源 | 文件名称 |
|---|---|
| 林嘉熙身上提取的智能手机 | LAM_KH_mobile.zip |
| 林嘉熙办公室提取的笔记本电脑 | LAM_KH_laptop.e01 |
| 梁雪媚身上提取的智能手机 | LEUNG_SM_mobile.zip |
| 黄智华身上提取的智能手机 | WONG_CW_mobile.zip |
| Mr. Arjun Sharma 查获的电子邮件记录 | Arjun_Sharma_Email.zip |
| 优盛金融控股公司的大型语言模型系统 | manson_server2.e01 |
| 优盛金融控股公司的网络附加存储系统 I | manson_storage1.e01 |
| 优盛金融控股公司的网络附加存储系统 II | manson_storage2.e01 |
| 优盛金融控股公司的网络附加存储系统 III | manson_storage3.e01 |
| 优盛金融控股公司的网络附加存储系统 IV | manson_storage4.e01 |
| 优盛金融控股公司的邮件服务器 | manson_server3.e01 |
| 优胜金融控股公司的 Web 服务器 | manson_server1.e01 |
| 优胜金融控股公司的网络数据包保存文件 | CEO_Traffic.pcapng |
| 冯子超身上提取的智能手机 | FUNG_CC_Mobile.zip |
| 冯子超家中查获的笔记本电脑 | Duncan_laptop.e01 |
| 陈民浩的智能手机 | CHAN_MH_mobile.zip |
| 陈民浩家中查获的智能手机 | blk0_sda.bin |
| 陈民浩家中查获的存储卡 | CHAN_MH_Cam.e01 |
| 梁燕玲的智能手机 | LEUNG_YL_mobile.zip |
| 梁燕玲家中查获的笔记本电脑 | AP3_LEUNG_YL_Laptop.e01 |
| 梁燕玲身上提取的 U 盘 | AP3_LEUNG_YL_USB.E01 |
| 梁燕玲身上提取的存储卡 | LEUNG_YL_SDcard.e01 |
| 加密货币交易截图 | IQ_Coin_Type_Transactions.zip |
容器密码
个人赛 FEYn0MJLYy9zTQRFHlXGRkVqXv3IkE8h
团体赛 ZgxQaeiAUe3nrnZ9zEnI3nAxuPIrIPl9
资格赛
案情
警方接获报案,前往西贡布袋澳处理一宗「伤人」事件。经初步调查,怀疑男子陈民浩以木棍袭击男子冯子超,导致冯子超头部受伤昏迷。冯子超已被送往医院救治,陈民浩则因涉嫌「伤人」罪被警方当场拘捕,被捕后一直保持缄默,拒绝交代案情细节。
进一步调查显示,两人冲突疑因女子梁燕玲而起。根据现场迹象推断,梁燕玲曾于事发时在场出现,经警方多方搜索后,至今仍未能与她取得联络。请参赛者根据提供的资料,深入分析线索,寻找梁燕玲下落,并还原事件真相。
背景资料
- Green Technology Supply Co. Ltd.(绿创科技系统有限公司)为本港网络工程公司,主要业务是为企业客户铺设网络服务及安装各类服务器。
- 男子 FUNG Chi-chiu(冯子超),英文名为 Duncan,30 岁,未婚,香港出生,在 Green Technology Supply Co. Ltd. 任职工程师。
- 男子 CHAN Man-ho(陈民浩),英文名为 Hogan,35 岁,未婚,香港出生,在 Green Technology Supply Co. Ltd. 任职系统工程师。
- 女子 LEUNG Yin-ling(梁燕玲),英文名为 Ling,28 岁,未婚,香港出生,现为自由职业平面设计师。
附加资料
- 梁燕玲与陈民浩为同居情侣关系
- 梁燕玲通过陈民浩认识冯子超
- 三人均为密码学(Crypto)及隐写术(Stego)爱好者
- 陈民浩经常驾车接载三人前往郊区聚餐,并一同钻研相关技术话题
香港警方接到报案,西贡区布袋澳有人持木棍袭击他人,警方到达现场发现冯子超头部受伤昏迷,身上只有一部智能手机但没有身份证明文件。调查后香港警方以伤人罪拘捕了陈民浩。陈民浩被捕后保持沉默,拒绝交代案情,身上搜获一部智能手机,冯子超则被送往医院救治。警方检查了两人的智能手机,并由检验人员进行了检验。冯子超的智能手机资料储存在 FUNG_CC_mobile.zip 文件中,而陈民浩的智能手机资料则储存在 CHAN_MH.zip 文件中。警方希望运用你的电子数据检验知识,在两个人的智能手机中查找办案线索。
陈民浩的智能手机 CHAN_MH_mobile.zip
请你使用 CHAN_MH.zip 检材回答以下问题。
检材名称与题目描述不一致,应为 CHAN_MH_mobile.zip。将 CHAN_MH_mobile.zip 导入 火眼证据分析软件,在「快速分析」中全选 iOS 的条目即可。该检材未设置密码。
第 1 题:这个智能手机是什么操作系统?
A. iOS 17.1.1
B. iOS 17.2.1
C. iOS 17.3.1
D. iOS 17.0.1
本题答案为 A。
在火眼的 分析 > 基本信息 > 设备信息 > 系统版本 中可以直接获得检材的 iOS 版本号为 17.1.1。当然,也可以由 CHAN_MH_mobile/var/Info.plist 的第 3,897 行得到 iOS 版本号。
1 | <dict> |
第 2 题:在这个手机中,有多少组国际移动设备识别码(IMEI)号码?(请以阿拉伯数字作答)
本题答案为 2。
在火眼的 分析 > 基本信息 > 设备信息 > IMEI 中可看到 1 个正在使用卡槽的 IMEI,该 IMEI 在 CHAN_MH_mobile/var/Info.plist 中第 3,878 行亦可找到。
但在 CHAN_MH_mobile/iDevice_info.txt 的第 50 和 51 行,可见该 iPhone 的两个 IMEI。
1 | ... |
考虑到这台机器是 iPhone XS Max(于 44 行 D331pAP 可见),应当是中国大陆、香港或澳门地区的双实体 SIM 卡型号。
第 3 题:承上题,以下哪一个才是正确的国际移动设备识别码(IMEI)号码?
A. 357328098205226
B. 357328097205226
C. 357328096205226
D. 357328095205226
本题答案为 A。
由第 2 题易得。
第 4 题:请指出最后使用的使用者身份模组(SIM)的集成电路卡识别码(ICCID)
A. 89852122206020998419
B. 89852122205020998419
C. 89852122204020998419
D. 89852122203020998419
本题答案为 A。
与第 2 题类似,在火眼的 分析 > 基本信息 > 设备信息 > ICCID 中可得。同理可在 CHAN_MH_mobile/var/Info.plist 的第 3,876 行得到。
1 | <dict> |
第 5 题:请指出最后使用的 Apple ID 是多少?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案为 whoishogan@gmail.com。
与第 2 题类似,在火眼的 分析 > 基本信息 > 设备信息 > 最后登录(Apple ID) iCloud 中可得。同理,可在 CHAN_MH_mobile/var/mobile/Library/Accounts/Accounts3.sqlite 的 ZACCOUNT 表中得到。
第 6 题:蓝牙模组中的蓝牙地址是多少?(请以以下格式作答:xx:xx:xx:xx:xx:xx)
本题答案为 f8:38:80:bb:f5:28。
在 iDevice_info.txt 的第 15 行:
1 | BluetoothAddress: f8:38:80:bb:f5:28 |
第 7 题:这个智能手机曾经启动「个人热点」分享网络,请问他的「热点」名称?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案为 iPhone。
根据 @CopperKoi 在其 iPhone (iOS 26) 上进行的测试,iPhone 的个人热点名称应当与设备名称一致。在火眼的 分析 > 基本信息 > 设备信息 > 设备名称 中可得 iPhone 的名称为 “iPhone”,故其热点名称也应为 “iPhone”。
XDforensics-Wiki 提供了 另一种解法,即,在陈民浩的另一部 Android 手机中可以发现其连接过一个名为 iPhone 的 Wi-Fi,应当为该 iPhone 的热点。
❌ 第 8 题:这个智能手机没有连接过以下哪一个服务集标识符(SSID)?
A. Hongn Home
B. CMHK
C. 1010 free wifi
D. ErrorError
本题为 错题。
在火眼的 分析 > Wi-Fi连接记录 中可以看到该 iPhone 连接过 “1010 free wifi” 和 “ErrorError”,故 A 和 B 都应当被认为正确。考虑到第 9 题询问了名为 “CMHK” 的 Wi-Fi,根据题目的前后连贯性,本题应当要选择 A,但 有足够证据可以证明该 iPhone 未连接过名为 “CMHK” 的 Wi-Fi。
在 X-Ways Forensics 中打开 CHAN_MH_mobile.zip,全局以所有可能的编码搜索 “CMHK”,仅能得到 4 个结果。
除去意外被包含的 2 个结果,”CMHK” 仅位于下述的两个文件:
第 1 个:CHAN_MH_mobile/var/preferences/SystemConfiguration/preferences.plist。使用 Xplist 打开,在该文件的 NetworkServices > 26FCC9C1-37F2-4D56-AD3E-FC8AF272824F > com.apple.CommCenter > Setup 节点下可见 “cmhk” 字样,这是中国移动香港(China Mobile Hong Kong)的蜂窝数据 APN 名称,但它 不是 Wi-Fi 的 SSID。
第 2 个:CHAN_MH_mobile/var/mobile/Library/Preferences/com.apple.networkserviceproxy.plist。难以分析,此处跳过。
故不存在一个 SSID 为 “CMHK” 的 Wi-Fi。本题为错题。
❌ 第 9 题:请指出首次连接服务集识别码(SSID)名称为 “CMHK” 的无线区域网络(Wi-Fi)的日期及时间(请以 GMT+8 时区及以下格式作答:yyyy-MM-dd HH:mm:ss)
本题为 错题。
错误原因已于第 8 题阐释。
第 10 题:安装了以下即时哪个通讯软件?
i) WhatsApp
ii) WeChat
iii) WhatsApp Business
iv) QQ
A. 只有 i) 和 ii)
B. 只有 i)、ii) 和 iii)
C. 只有 i)、ii) 和 iv)
D. 以上皆是
本题答案为 A。
在火眼的 分析 > 应用列表 中,应用类型 处筛选 非系统(非预装) 后比对即可。
或者也可以在 CHAN_MH_mobile/iDevice_info.txt 或 CHAN_MH_mobile/var/Manifest.plist 中找到对应条目,但手动查询的方法过于费事,这里不做演示。
第 11 题:承上题,请指出即时通讯软件 “WhatsApp” 的版本(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案为 731647702.0。
在第 10 题火眼的界面中,直接点击 “WhatsApp Messenger”,即可在下面的「详细信息」中看到版本。手动查询的方法亦跳过演示。
第 12 题:陈民浩的手机中,总共安装 3 个文件传输软件,封包名称分别为 com.apple.Sharing.AirDropUI、com.lenovo.anyshare、com.estmob.paprika,其中有哪一个软件曾经用来 传送/接收 文件?
A. com.apple.Sharing.AirDropUI
B. com.lenovo.anyshare
C. com.estmob.paprika
本题答案为 C。
在火眼的 分析 > 基本信息 > 网络使用详情 中分别搜索 3 个 app 的网络使用情况,注意到仅 com.lenovo.anyshare 和 com.estmob.paprika 存在记录,故答案产生于 B 与 C 之间。
考虑用户习惯:若 com.lenovo.anyshare 能够胜任文件传输任务,则用户一般不会选择打开另一款功能相同的软件。这里,com.estmob.paprika 于用户打开 com.lenovo.anyshare 的 5 分钟后打开,且后者已经具有一定流量,很有可能是用户在传输文件时,因为部分原因从 com.lenovo.anyshare 切换到了 com.estmob.paprika。
同时,com.estmob.paprika 的 .realm 文件亦可印证这一点。使用 Realm Studio 打开 CHAN_MH_mobile/var/mobile/Applications/com.estmob.paprika/Library/com.estmob.sendanywhere.sdk.database.realm,在类 TransferInfoEntity 中可见 transferId 为 78FB9E33-8343-49C7-B7EA-AAC31F686B8C 的一次传输,发生于打开 app 后的约 2 分钟。故用户应当使用 com.estmob.paprika 进行了文件的传输。
另外,我们亦可以对「陈民浩家中的智能手机」blk0_sda.bin 进行分析。注意到用户于 10:50 安装了 com.lenovo.anyshare.gps(对应 com.lenovo.anyshare),却又于 10:56 安装了 com.estmob.android.sendanywhere(对应 com.estmob.paprika),结合在 iPhone 上,用户曾尝试在 10:51 使用 com.lenovo.anyshare,却又在 10:56 打开 com.estmob.paprika 的行为,这验证了我们的猜想:用户在最后使用的是 com.estmob.paprika(com.estmob.android.sendanywhere)进行文件传输。
同时,我们亦可以分析 blk0_sda.bin/Partition21/data/com.estmob.android.sendanywhere/databases/main.db,数据库中表 file_history 记录了和 CHAN_MH_mobile/var/mobile/Applications/com.estmob.paprika/Library/com.estmob.sendanywhere.sdk.database.realm 中记录的一致的文件名。这印证了我们的猜想。
第 13 题:承上题,与其有 传送/接收 过资料装置的装置 ID 是多少?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案为 5402313593439。
在第 12 题 Realm Studio 中,选择类 DeviceInfoEntity,即可看到唯一记录了设备信息的设备的 deviceId。
第 14 题:承上题,这个装置名称是?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案为 Samsung SM-G930F。
在第 13 题 Realm Studio 中,找到条目 deviceName 即可。
第 15 题:承上题,本机装置的装置 ID 是多少?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案为 3836403626142。
在 CHAN_MH_mobile/var/mobile/Applications/com.estmob.paprika/Library/Preferences/com.estmob.paprika.properties.plist 中可得 prop_device_id。
同时,我们亦可以在第 12 题 SQLiteStudio 中,于 main.db 的 recent_device 表中找到该设备的 device_id。
第 16 题:承上题,陈民浩的手机(CHAN_MH_mobile.zip)是传送方或是接收方?
A. 传送方
B. 接收方
C. 传送及接收方
本题答案为 B。
在类 TransferInfoEntity 中任意进入 2 次传输之一,可得 fileName 形如 Screenshot_yyyymmdd-hhmmss_Gallery.jpg。
这显然不是 iOS/iPadOS 的截图的命名规则,因此仅有可能是对侧的 Samsung 手机向这台 iPhone 发送的照片。故这台 iPhone 应是接收方。XDforensics-Wiki 上给出了 更严格的做法,即,从陈民浩家中的智能手机上提取到了这些图片,证实了是由陈民浩的 Samsung 手机向 iPhone 发送。
第 17 题:根据传送档案的名称,判断是以下哪一类型?
A. 屏幕截图
B. 手机拍摄影片
C. PDF 文件
D. zip 压缩文件
本题答案为 A。
显然的。
第 18 题:承上题,接收至哪一个装置?
A. CHAN_MH_mobile.zip
B. blk0_sda.bin
C. FUNG_CC_mobile.zip
D. LAM_KH_Mobile.zip
E. WONG_CW_mobile.zip
本题答案为 A。
显然的。
第 19 题:承上题,传送方是通过此文档传输软件的哪个模式作出传送?
A. SEND_PARTIALLY
B. SEND_PAPRIKA
C. SEND_DIRECTLY
D. SEND_BYCLOUD
E. SEND_BLUETOOTH
本题答案为 C。
在类 TransferInfoEntity 中可见,两次传输的 transferMode 均为 0,但这并未直接指示对应模式的名称。我们需要使用第 12 题中的 main.db,在 transfer_history 表中找到传输模式 mode 为 SEND_DIRECTLY。
第 20 题:从来没有安装以下哪个网络浏览器?
A. Safari
B. Chrome
C. Firefox
D. Edge
本题答案为 BCD。
在火眼的 分析 > 基本信息 > 应用列表 中,在「名称」列中分别手动过滤 4 个 app 并查看即可。
第 21 题:承上题,网络浏览器 Safari 有多少个书签(Bookmark)记录?(请以阿拉伯数字作答)
本题答案为 9。
在火眼的 分析 > 基本信息 > Safari > 书签记录 中可见。
第 22 题:承上题,曾经通过 Safari 浏览器用下列哪一个字词进行过搜索?
A. 非法处理尸体最高刑罚
B. escape room hong kong
C. cypto wallet
D. 非法处理尸体
本题答案为 ABC。
在火眼的 分析 > 基本信息 > Safari > 历史记录 中以 “Google Search” 筛选标题,手动查找即可得到 A、B 和 C 的对应项。值得注意的是,检材中对 A 选项的搜索使用的是繁体,而 C 选项在题目和检材中均为 “crypto” 的 typo。
第 23 题:有多少个图片文件曾经储存到 iCloud?(请以阿拉伯数字作答)
本题答案为 2。
使用 iLEAPP 对该检材 .zip 生成报告后,在 FILES APP > Files App - Files stored in iCloud Drive 页面的第 2 页,即可找到上传到 iCloud 的 2 张图片。
第 24 题:相册中有多少张图片是通过屏幕截图功能取得?(请以阿拉伯数字作答)
本题答案为 15。
于火眼的 分析 > 基本信息 > 图片 > 屏幕快照 可得。
冯子超身上提取的智能手机 FUNG_CC_mobile.zip
请参考参赛材料 FUNG_CC_mobile.zip 回答以下问题。
将 FUNG_CC_mobile.zip 导入火眼。需要注意的是,冯子超的 iPhone 备份文件存在密码,因此火眼在导入文件时要求输入密码。该密码为弱口令 0000。
第 25 题:这部智能手机连接过多少个 Wi-Fi 网络?(请以阿拉伯数字作答)
本题答案为 2。
在火眼的 分析 > 基本信息 > Wi-Fi连接记录 中显然。
第 26 题:这部智能手机曾经连接过以下哪个无线网络?
i) THREE_WIFI
ii) wanchai
iii) iPhone(2)
iv) Router
A. 只有 i)
B. 只有 ii) 和 iii)
C. 只有 ii)、iii) 和 iv)
D. 以上皆是
本题答案为 B。
由第 25 题显然。
火眼分析出的结果均来源于 FUNG_CC_mobile/var/preferences/SystemConfiguration/com.apple.wifi-private-mac-networks.plist,但事实上,FUNG_CC_mobile/var/preferences/SystemConfiguration/com.apple.wifi.plist 中仍记录了一个名为 THREE_WIFI 的 Wi-Fi,它由配置文件添加,由运营商控制。但考虑到该 Wi-Fi 未出现任何 lastJoined、FirstJoinWithNewMacTimestamp 和 privateMacSuccessfulAssocAtleastOnce 等表示连接成功过的字段,且其 NoAssociationWithNewMac 值为 <true/>,有充分证据表明该 Wi-Fi 未连接成功过,故本题答案将其排除在外。
第 27 题:这部手提手机最早连接(非热点)Wi-Fi 的时间是什么? (请以 GMT+8 时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
本题答案为 2025-04-15 19:29:29。
非热点的 Wi-Fi 即 wanchai。在 FUNG_CC_mobile/var/preferences/SystemConfiguration/com.apple.wifi-private-mac-networks.plist 中,查找到 wanchai 的 Wi-Fi 信息,在其中找到 FirstJoinWithNewMacTimestamp 键,即第一次使用随机 MAC 地址连接成功的时间即可。
第 28 题:承上题,请列出这个连接的服务集识别码(SSID)?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案为 wanchai。
显然。
第 29 题:承上题,请列出这个连接的登入金钥?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案为 hellowanchai。
在火眼中,分析 > 钥匙串 > Wi-Fi密码 中找到 wanchai 的 Wi-Fi 密码即可。
第 30 题:相册中有两张图像互换格式图片(.gif)IMG_0057.GIF 及 IMG_0062.GIF,请指出由哪一个软件拍摄?
A. Infltr
B. Discreet
C. Meitu
D. Prisma
本题答案为 A。
在火眼中,分析 > 基本信息 > 图片 > 应用 中转到 Infltr,即可见这两张 .gif。
第 31 题:曾经以空投(AirDrop)方式成功传送了文件到另外一个装置,以下哪一个陈述是正确的?
A. 传送了一个图片文件
B. 传送了两个图片文件
C. 传送了一个图片文件及一个文件
D. 传送了一个图片文件及两个文件
第 32 题:原生 app「照片」中,有一个图片文件曾经通过「隔空投送」(AirDrop)方式成功传送,请指出这个图片文件的文件全名(请包含扩展名,依照参赛材料中的原文作答,注意区分大小写、空格及符号)
第 33 题:承上题,请写出这个图片文件的开始传送的日期及时间?(请以 GMT+8 时区及以下格式作答:yyyy-MM-dd HH:mm:ss)
第 34 题:请指出哪一个多媒体文件同时储存在 app「文件」(套件识别码:com.apple.DocumentsApp)及 app「照片」(套件识别码:com.apple.mobileslideshow)中?(请包含扩展名,依照参赛材料中的原文作答,注意区分大小写、空格及符号)
第 35 题:请指出在 app「照片」(套件识别码:com.apple.mobileslideshow)中的图片文件 IMG_0079.JPG 是由哪一个 app 拍摄?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
第 36 题:承上题,已知该图片文件是由上述 APP 所拍摄,并其后储存在 APP「照片」(套件识别码:com.apple.mobileslideshow)成「IMG_0079.JPG」,请问该图片的原文件名称?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
第 37 题:承上题,请指出原文件的建立时间?(请以 GMT+8 时区及以下格式作答: yyyy-MM-dd HH:mm:ss)
第 38 题:请指出在 app「照片」(套件识别码: com.apple.mobileslideshow)中,储存多媒体文件 IMG_0014.MOV 与储存 IMG_0016.MOV 的时间内有没有其他多媒体文件储存到 app「照片」中?
A. 有
B. 没有
C. 有拍摄,但没有储存
D. 无法确认
第 39 题:承上题,以下哪个陈述是正确描述上一题的答案?
A. 制作多媒体文件 IMG_0015.MOV 时,直接储存到隐藏相册中
B. 制作多媒体文件 IMG_0015.MOV 时,直接上传到 iCloud
C. 制作多媒体文件 IMG_0014.MOV 时用了延时摄影
D. 制作多媒体文件 IMG_0015.MOV 时名称被更改为 IMG_0016.MOV
第 40 题:app「照片」(套件识别码: com.apple.mobileslideshow)中,IMG_0027.HEIC 的原地理位置信息(WGS84)是?
A. (22.2816569, 114.1756115)
B. (22.2826366666667, 114.168503333333)
C. (22.2826216666667, 114.168525)
D. (22.2826216666667, 114.168503333333)
第 41 题:曾经通过网络浏览器 Safari 下载了多少个图片文件?
A. 1
B. 2
C. 3
D. 4
第 42 题:多媒体文件 IMG_0004.MOV 曾被修改后再储存成另一个文件,该文件名称是?
A. IMG_0085.mov
B. IMG_0086.mov
C. IMG_0087.mov
D. IMG_0088.mov
第 43 题:曾经通过人工智能聊天 app “Poe” 查询一个问题,请列出这个问题的完整句子(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
第 44 题:承上题,请指出提问的日期及时间(答题格式: yyyy-MM-dd HH:mm:ss 作答,以 GMT+8)
第 45 题:承上题,当时使用的是哪一个机器人?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
第 46 题:承上题,当时的使用者名称是?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
第 47 题:请指出即时通讯软件 “WeChat” 的 “WeChat ID”(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
第 48 题:承上题,这个 “WeChat ID” 关注了多少个「视频号」?
A. 1
B. 2
C. 3
D. 4
第 49 题:请指出即时通讯软件 WhatsApp 的 WhatsApp ID(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
第 50 题:即时通讯软件 WhatsApp 中,封存了下列哪个聊天群?
A. 凤凰VIP会员心得交流群
B. 币淘 群组1
C. Sportsmen
D. Titus Wong Manson Finance
第 51 题:即时通讯软件 WhatsApp 中,总共追踪了多少个频道?(请以阿拉伯数字作答)
第 52 题:即时通讯软件 WhatsApp 中,下列哪个是群组 “Investors” 的管理员?
i) 85254974406@s.whatsapp.net
ii) 85260927726@s.whatsapp.net
iii) 85254961408@s.whatsapp.net
A. 只有 i)
B. 只有 i) 和 ii)
C. 只有 ii) 和 iii)
D. 以上皆是
第 53 题:即时通讯软件 WhatsApp 中,群组 “Investors” 的群组 ID?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
第 54 题:即时通讯软件 WhatsApp 中,「社群」名称是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
第 55 题:承上题,请指出这个社群的群组图案的哈希值(SHA256 格式)
A. B1A3706C574F81A3EE084FB9509997E06349E86D904D1DC10B879D1D5ED83125
B. B8BA258402925E139CAFBBBBBC809EC160B70BB03DBD4D0F3063F58F69D0B956
C. E43ADC646295BC5011577D4E733B6289D31A5E11ACB45285BE1FF530260DF383
D. 20E64C78F9926548CEEFB1783991A4AD71A6631F3C86002254342E323A898C6A
第 56 题:即时通讯软件 WhatsApp 中,找出 WhatsApp ID 85254961408@s.whatsapp.net 曾经是在而现在已经不在的群组,请指出该群组的名称。(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
第 57 题:即时通讯软件 WhatsApp 中,总共出现了多少个「投票」活动?(请以阿拉伯数字作答)
第 58 题:承上题,总共在多少个「投票」活动中作出了投票?(请以阿拉伯数字作答)
第 59 题:即时通讯软件 WhatsApp 中,根据群组「IQ COIN 💰💰💰💰」的对话内容,正在策划哪一种犯罪计划?
A. 诈骗
B. 抢劫
C. 谋杀
D. 以上都不对
第 60 题:承上题,该群组建立者的 WhatsApp ID 是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
第 61 题:承上题,该群组的建立时间是什么?(请以 GMT+8 时区及以下格式作答:yyyy-MM-dd HH:mm:ss)
根据你的分析结果:三人因感情瓜葛内讧因而发生这次袭击事件。你怀疑梁燕玲曾到袭击现场,你将你的发现通知警察。警察扩大现场搜索范围,终于在案发现场附近,发现陈民浩名下的小汽车,车上发现一部智能手机。
梁燕玲的智能手机 LEUNG_YL_mobile.zip
检材名称与题目描述不一致,应为 LEUNG_YL_mobile.zip。
请你以参赛材料 LEUNG_YL_mobile.zip 回答以下问题。
第 62 题:参考 LEUNG_YL_mobile.zip,该手机用作注册 iCloud 的 E-mail?
A. lingleung1502@gmail.com
B. lingleung1502@yahoo.com.hk
C. lingleung1503@gmail.com
D. lingl1502@gmail.com
第 63 题:参考 LEUNG_YL_mobile.zip,文件 IMG_0021.HEIC 所拍摄的相机型号是什么?
A. iPhone SE (3rd generation)
B. iPhone SE (2nd generation)
C. iPhone 12 mini
D. iPhone XR
第 64 题:参考 LEUNG_YL_mobile.zip,文件 IMG_0005.JPG 所拍摄的座标(WGS 84)是多少?(请以纬度、经度的顺序及以下格式作答 xx.xxxxxx,xx.xxxxxx)
第 65 题:参考 LEUNG_YL_mobile.zip,文件 IMG_0022.JPG 是以下哪种方向拍摄?
A. 不旋转
B. 旋转 180 度
C. 顺时针 90 度
D. 逆时针 90 度
第 66 题:文件 IMG_0022.JPG 的建立时间(GMT+08:00)是?(请以 GMT+8 时区及以下格式作答:yyyy-MM-dd HH:mm:ss)
第 67 题:参考 LEUNG_YL_mobile.zip,在 WhatsApp 与 85254974406@s.whatsapp.net 聊天对话中,于 2025-05-16 11:33:39 时的信息所传送的座标(WGS 84)是多少?(请以纬度,经度顺序及以下格式作答 xx.xxxxxxxxxxxx, xxx.xxxxxxxxxxxx)
第 68 题:参考 LEUNG_YL_mobile.zip,在 WhatsApp 与 85254974406@s.whatsapp.net 聊天对话中,于 2025-05-16 11:33:39 时的信息所传送的座标(WGS 84)所指的餐厅英文名称是?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
第 69 题:参考 LEUNG_YL_mobile.zip,在 WhatsApp 中聊天群组 ID 120363401289578356 里,于 2025-04-29 08:31:02,机主传送了一个 PDF 文件,该 PDF 的内容是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
第 70 题:参考 LEUNG_YL_mobile.zip,在 WhatsApp 中聊天群组 ID 120363401289578356 里,有多少个参加者?
A. 2
B. 3
C. 4
D. 5
第 71 题:参考 LEUNG_YL_mobile.zip,于 2025-04-25 17:11:37 时使用 WhatsApp 所拨打的手机号码是多少?
A. 85254962307
B. 85254961408
C. 85254974406
D. 85254993306
第 72 题:参考 LEUNG_YL_mobile.zip,总共有多少个 WhatsApp 的通话记录?(包括拨打、接收及未接来电)
A. 4
B. 5
C. 6
D. 7
第 73 题:参考 LEUNG_YL_mobile.zip,WhatsApp 聊天群组 ID 120363400622997111 的群组名称是?
A. Investors
B. Foodies
C. We are 3
D. Happy Sharing within 3
第 74 题:参考 LEUNG_YL_mobile.zip,WhatsApp 聊天群组 Happy Sharing within 3 于 2025-04-17 10:12:34 传送的 WGS 84 座标是多少?
A. 22.323436345441, 113.276894376508
B. 22.326923370361, 114.168403625488
C. 21.239876452236, 115.925422314543
D. 20.124955642236, 114.168403625488
第 75 题:参考 LEUNG_YL_mobile.zip,Instagram 的版本是?
A. 375.2.0.15.82 (722575504)
B. 376.1.0.14.56 (722575504)
C. 376.1.0.27.82 (722575504)
D. 376.0.0.17.23 (722575504)
第 76 题:参考 LEUNG_YL_mobile.zip,社交媒体软件 Instagram 的安装时间?(请以 GMT+8 时区及格式 YYYY-MM-DD hh:mm:ss 作答)
根据你的分析,警察在香港西贡蕉坑找到一个行李箱,内藏一名女子尸体,身上没有任何身份证明文件,裤袋内搜获一个 U 盘。根据法医初步检验,死者头部及颈部有明显瘀伤,相信曾发生激烈争执,死因为气管受压导致窒息,死亡时间相信是在 2025-05-16 09:00 至 10:00。调查人员初步检查这个 U 盘,没有发现可疑资料,现在交由你进行电子数据鉴定工作。
梁燕玲身上提取的 U 盘 LEUNG_YL_USB.E01
请参考参赛材料 LEUNG_YL_USB.E01,回答以下问题。
第 77 题:参考 LEUNG_YL_USB.E01,这个 U 盘里有多少个分区?(请以阿拉伯数字作答)
第 78 题:参考 LEUNG_YL_USB.E01,这个 U 盘里的分区结构是什么?(请以英文大写作答)
第 79 题:参考 LEUNG_YL_USB.E01,以下哪项描述是正确的?
i) U 盘的总容量是 16GB
ii) 文件系统包括 FAT32、exFAT 和 NTFS
iii) exFAT 分区的容量是 16GB
iv) 分区标签名是 SanDisk
A. 只有 i) 和 ii)
B. 只有 i) 和 iii)
C. 只有 ii) 和 iv)
D. 以上皆非
第 80 题:参考 LEUNG_YL_USB.E01,以下哪项描述是正确的?
i) 此 U 盘曾连接到一台名为 PC 的电脑
ii) U 盘内存有一个已加密的压缩文件
iii) 已加密的压缩文件的创建日期是 2025-05-15
A. 只有 ii)
B. 只有 iii)
C. 只有 ii) 和 iii)
D. 以上皆是
第 81 题:承上题,该压缩文件的解压密码是多少?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
第 82 题:参考 LEUNG_YL_USB.E01,以下哪项描述是正确的?
i) 这是一个可引导 U 盘
ii) 有一个分区标签名为 EFI
iii) 卷标日期为 2025-05-15 (UTC+8)
iv) 有一个分区的总容量小于 500MB
A. 只有 i)
B. 只有 i) 和 ii)
C. 只有 i), iii) 和 iv)
D. 以上皆是
第 83 题:tammy.txt 文件的内容是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
第 84 题:文件 xcontainer 的加密算法是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
第 85 题:分析文档 xcontainer 的属性。关于此磁盘镜像,以下哪项描述是正确的?
i) 大小为 4943872 字节
ii) 文件系统是 FAT
iii) 没有嵌入式备份头
iv) 块大小为 128 位
A. 只有 i) 和 ii)
B. 只有 ii) 和 iv)
C. 只有 ii)、iii) 和 iv)
D. 以上皆是
第 86 题:WinPE 启动后,系统会自动将核心映像挂载在哪个虚拟机?
A. C:\
B. D:\
C. X:\
D. Z:\
第 87 题:下列哪些指令在 Windows PE 预设环境下无法执行?
i) Powershell
ii). Eventvwr
iii). Hostname
iV). Diskpart
A. 只有 i) 和 ii)
B. 只有 iii) 和 iv)
C. 只有 i)、ii) 和 iii)
D. 以上皆是
第 88 题:必须包含哪个文件,才能启动 Windows PE 环境?
A. WEPE64.wim
B. install.wim
C. WinPE.log
D. hiberfil.sys
第 89 题:若要判断一个 U 盘是否为可开机的 Windows PE,以下哪些文件必须存在?
i) WEPE64.wim 或 boot.wim
ii) bootmgr
iii) EFI\Boot\bootx64.efi
iv) hiberfil.sys
A. 只有 ii 和 iv
B. 只有 i)、ii) 和 iii)
C. 只有 i) 和 iv)
D. 以上皆是
第 90 题:这个 WinPE U 盘的操作环境(Operating Environment)是基于哪一个 Windows 版本?
A. Windows 7
B. Windows 8.1
C. Windows 10 PE
D. Windows 11 PE
根据你综合多项通讯软件的对话记录、浏览记录及资料分析,发现冯子超、陈民浩伙同女子梁燕玲共同做了一宗涉及加密货币投资的诈骗案件,因东窗事发打算携赃而逃。女子梁燕玲负责处理有关清洗黑钱事项。警察相信梁燕玲携带同相关材料逃跑,请你运用电子数据鉴定技巧寻找与加密货币相关的材料,尽快启动冻结程序。
第 91 题:参考 LEUNG_YL_USB.E01,该 U 盘盘有一个加密的文件,该文件所用的加密软件名称是?(只需回答软件名称,不需要回答软件版本,请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
第 92 题:参考 LEUNG_YL_USB.E01,请列出与 IQ Coin 有关的虚拟钱包的地址(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
第 93 题:承上题,这个钱包属于哪一种加密货币(请以英文大写作答)
第 94 题:承上题,这个钱包总共有多少次存入记录?(请以阿拉伯数字作答)
第 95 题:承上题,存入款项的支账地址是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
第 96 题:承上题,这项交易传送了多少 BEP-20 IQ Coin?(请以阿拉伯数字依照参赛材料中的原文作答,注意区分大小写、空格及符号和不用标点符号)
第 97 题:助记词是由加密货币钱包生成的一系列单词,帮助用户恢复其私钥。助记词通常由 12 到 24 个单词组成
A. 正确
B. 错误
根据你的信息,警察查知这个加密钱包涉及近期一宗巨额诈骗案。请你查出这个钱包余额额度,警察将会进行冻结程序。
第 98 题:请指出包含有疑似助记词的文件的希哈值(MD5 格式)(请以阿拉伯数字和英文大写作答)
团体赛
案情
警方调查发现一宗虚拟货币投资诈骗案件,涉及「优盛金融控股有限公司」(Manson Finance Holding Company)旗下的一项投资计划。据该公司首席执行官林嘉熙表示,该计划目前仍处于筹备阶段,但是财务总监梁雪媚则称她在一次线上会议上,收到林嘉熙的指示启动该计划。林嘉熙对此坚决否认,同时指出他从未参与相关的线上会议并提供了充分不在场的证明,证明其当时正在外地休假,同时怀疑有人利用 AI 变面技术参与公司的线上会议。
经初步调查,警方相信案件背后涉及一个由密码学与隐写术爱好者组成的犯罪团伙。请各参赛队伍根据所提供的资料,深入分析各类线索,并承接个人赛已掌握的证据还原案件真相,设法破解被刻意隐藏的加密钱包登录资料,为受害人追回损失。
背景资料
- 优盛金融控股公司(Manson Finance Holding Company)于 2025 年初在注册成立,主营业务为金融业跨业整合投资,控股范围包括信托业、证券业、期货业、创投业、外汇融资等,近期计划拓展业务。
- 男子 LAM Ka-hei(林嘉熙),英文名为 Hayson,40 岁,已婚,香港出生,在优盛金融控股公司任职首席执行官。林嘉熙先生计划开发加密货币投资项目,项目由财务总监梁雪媚小姐领导的销售团队进行市场调研及筹划。
- 女子 LEUNG Suet-mei(梁雪媚),英文名为 May,45 岁,已婚,香港出生,在优盛金融控股公司任职财务总监。梁雪媚小姐领导销售团队进行加密货币投资项目市场调研及筹划。
- 男子 WONG Chi-wah(黄智华),英文名为 Titus,30 岁,已婚,香港出生,在优盛金融控股公司任职信息技术部主管,负责管理公司的计算机及网络系统。为配合公司发展,将公司客户资料及其财务状况整合到人工智能系统,授权员工可通过公司网页直接查询相关资料,并利用人工智能进行大数据分析。
附加资料(承接个人赛故事)
- 梁燕玲与陈民浩为同居情侣关系
- 梁燕玲通过陈民浩认识冯子超
- 三人均为密码学(Crypto)及隐写术(Stego)爱好者
- 陈民浩经常驾车接载三人前往郊区聚餐,并一同钻研相关技术话题
根据你的分析,警方成功定位到曾向与 IQ Coin 关联虚拟钱包进行转账的账户持有人 Mr. Arjun Sharma。据其供述,转账原因是此前收到一封邀请参与名为 IQ Coin 虚拟货币投资的邮件。请根据比赛提供的邮件材料 Arjun_Sharma_email.zip,回答以下问题。
Mr. Arjun Sharma 查获的电子邮件记录 Arjun_Sharma_Email.zip
解压检材后可以得到 6 个 .eml 文件:
1 | ┌──(zeraith㉿stella16)-[~] |
电子邮件及其附件的中文翻译
于文件 Exclusive Invitation_ IQ Coin Pure Growth Fund – Special Offer for You 2025-04-29T18_35_47+08_00.eml 中
尊敬的 Arjun Sharma 先生:
作为优盛金融控股公司的尊贵客户,我们十分荣幸向您推荐全新的投资机遇——IQ Coin 纯增长基金。这款前沿基金专注投资于革命性的区块链加密货币 IQ Coin,该币种目前正迎来爆发式增长窗口。预计 12 个月内收益率最高达 50%,到 2027 年更有望实现 800% 的惊人增长,这将是您进军蓬勃发展的数字资产市场的绝佳契机。
为感谢您的长期支持,我们特别推出专属礼遇:凡于 2025 年 5 月 15 日前完成首笔投资,即可享受全额免除交易手续费及管理费的优惠。此项限时特权将确保您的投资收益从起步阶段即实现最大化。
如需了解更多详情或预约基金份额,请即刻致函销售团队 sales@manson.com。专属于您的投资机遇稍纵即逝,敬请把握良机。
此致
优盛金融控股公司
附件 IQ_1.jpg
于文件 Proposal and Poster for IQ Coin Investment Opportunity 2025-05-01T20_16_16+08_00.eml 中
尊敬的 Arjun:
很高兴日前与您探讨新型加密货币的投资前景。现依约为您呈递我们最新推出的加密货币产品——IQ Coin 的投资方案说明及宣传海报。
IQ Coin 凭借其创新特性,为把握数字资产市场增长机遇提供了极具潜力的投资选择。随信附上的详细方案书将阐述核心优势、市场潜力及投资条款,配套海报则可直观展现 IQ Coin 的价值主张。
请注意此为我经公司备案的个人邮箱,您可随时通过此渠道直接与我联系。作为您的专属投资顾问,我将全程为您提供投资指引。
若有任何疑问或需要补充信息,敬请随时告知。期待能协助您把握这一激动人心的投资机遇。此邮箱已在公司登记备案,我将作为您的个人投资顾问,您可通过电话或本邮箱与我保持联系。
此致
Loring Lisa
销售部经理
投资事业部
优盛金融控股公司
邮箱:lisaloring726@gmail.com
附件 7b3e4512-1d8d-4d54-aa1c-5b004ce23a6f.jpeg
附件 IQ coin proposal.pdf
均衡投资方案(中高风险)
投资期限:中期
编制机构:优盛金融控股公司方案概述
IQ Coin 纯增长基金——均衡方案为追求稳健收益与风险控制的投资者提供平衡策略。本方案全额投资于 IQ Coin,目标 12 个月实现 35% 回报,并通过风险管理机制降低波动性。
投资策略
- 核心配置:100% 投资于 IQ Coin,聚焦长期增长潜力
- 风控措施:每周投资组合再平衡,设置低于入场价 10% 的止损限制,价格冲高时部分获利了结
- 市场择时:逢低战略性建仓,优化入场点位
- 风险等级:中高风险,适合能承受加密货币波动且需风控保障的投资者
费用结构
- 交易手续费:每笔交易 7%(如 买入/卖出 操作)
- 管理年费:每年 2%,按季度扣除
- 绩效费用:年化回报率超过 10% 的部分抽取 20%
预期收益(费后净值)
投资金额(美元) 预期收益(美元) 收益率(%) 风险等级 50,000 15,750 31.5% 中高风险 100,000 31,500 31.5% 中高风险 250,000 78,750 31.5% 中高风险 注:收益已扣除管理费及交易手续费,未包含绩效费用。
市场机遇
2025 年加密货币因机构采纳与 DeFi 创新呈现爆发态势。IQ Coin 凭借人工智能驱动平台,有望复制比特币历史涨势(参考港交所比特币指数 81,504.78 点,单日涨幅 0.34%),预计至 2027 年可实现 600% 增长。
方案优势
- 均衡增长:目标 35% 收益,风险可控
- 创新资产:IQ Coin 技术构筑竞争优势
- 组合互补:与优盛金融控股多元基金(如均衡基金)形成协同效应
风险提示
投资存在重大风险,IQ Coin 价值可能剧烈波动。投资者须自行承担全部潜在损失。过往业绩不代表未来表现,投资前请咨询财务顾问。
执行流程
- 咨询洽谈:联系
sales@mansonfinance.com- 方案研阅:获取含风险说明及费用结构的完整基金文件
- 参与投资:加入均衡方案,把握 IQ Coin 增长机遇
于文件 Re_ Proposal and Poster for IQ Coin Investment Opportunity 2025-05-02T12_13_11+08_00.eml 中
尊敬的 Lisa 女士:
感谢您提供的 IQ Coin 投资方案及相关资料。经审阅后,我有意向投资 100 万港元推进此事,惟需就下列事项获得进一步说明:
- 监管合规——请确认 IQ Coin 是否符合本地及国际加密货币监管要求
- 代币经济与流动性——需要详细的解锁时间表、锁仓安排及流动性保障条款
- 风控措施——针对欺诈/黑客攻击的防护机制(如智能合约审计报告、资产托管方案)
- 后续流程——资金划转与代币交付的具体时间节点
烦请尽快补充相关文件或安排电话会议。期待与您共同落实此次投资机遇。
此致
Arjun Sharma
于文件 Re_ Proposal and Poster for IQ Coin Investment Opportunity 2025-05-02T14_22_16+08_00.eml 中
尊敬的 Arjun 先生:
感谢您对 IQ Coin 的关注及拟投资 100 万港元的意向。我们非常欣喜获悉您对此项目的热忱,并对您细致审阅资料的态度表示赞赏。现将就您提出的问题予以说明,并明确后续步骤:
监管合规性
IQ Coin 严格遵循香港证监会数字资产准则与欧盟《加密货币市场法规》国际标准。我们由专业法律团队持续进行合规评估,并与权威机构合作落实 KYC 及反洗钱流程,确保全面合规运营。
代币经济模型与流动性
- 代币解锁:投资者代币设 24 个月归属期,每六个月释放 25%,以维护市场稳定
- 锁仓安排:核心团队及顾问代币实行 36 个月锁定期,采用阶梯解锁机制
- 流动性保障:总发行量 10% 已注入主流去中心化交易所流动性池,并携手专业做市商提升交易效率
风控机制
- 智能合约审计:已通过 [Reputable Audit Firm Name] 安全检测,关键漏洞检出率为零,可随时调阅审计报告
- 资产托管:委托香港证监会持牌托管机构 Hex Trust,采用 95% 冷存储及多签钱包方案
- 实时防护:部署交易实时监控、双重认证及定期安全审计体系
后续流程
- 文件交付:48 小时内呈递合规报告、审计认证及代币经济模型细则
- 身份验证:将向您发送合规平台链接,需完成 KYC 认证流程
- 资金与代币:通过 KYC 后提供专属收款地址,资金确认后 5 个工作日内完成代币划转
- 会议安排:建议下周召开电话会议,敬请告知您方便的时间段
作为您的专属投资顾问,我将确保整个投资流程顺畅无误。您可通过本邮箱或电话 [Your Phone Number] 随时与我联系,期待与您共同推进此次合作。
此致
Lisa Loring
销售部经理
投资事业部
优盛金融控股公司
附件 IQ_Coin_Compliance_Summary.pdf
IQ Coin 合规性摘要
编制对象:投资者
2025 年 5 月IQ Coin Limited
香港特别行政区1 项目概述
本文旨在阐述 IQ Coin 在全球数字资产市场运营的合规框架。本项目严格遵守香港及国际监管要求,致力于构建投资者保护机制、运营透明度与市场公信力并重的数字生态系统。
2 监管合规架构
2.1 香港监管体系
依据《证券及期货条例》及《反洗钱及反恐怖融资条例》,IQ Coin 遵循香港证监会自 2023 年生效的《虚拟资产服务提供者制度》,主要合规措施包括:
- 持牌运营: 交易平台已获证监会颁发虚拟资产交易平台牌照,接受持续监管
- 反洗钱合规: 执行全面反洗钱及反恐融资政策,涵盖客户尽职调查、可疑交易申报及遵守 FATF 资金转移规则
- 客户资产保障: 95% 客户资产通过持牌合作方采用冷存储托管
2.2 国际标准对接
为支撑全球业务,本项目同步遵循欧盟《加密货币市场法规》等国际框架:
- 信息披露:公开披露包含代币经济模型、治理机制及风险因素的白皮书
- 全球反洗钱标准:遵循 FATF 建议,建立国际交易所与托管机构合作网络
- 储备管理:采用 MiCA 标准的流动性管理机制,确保市场稳定
3 投资者验证与风控流程
通过第三方合规平台实施严格的 KYC 验证,反洗钱程序包含:
- 身份认证:政府签发身份证件及地址证明的收集核验
- 交易监控:运用区块链分析工具实时追踪资金路径与异常交易
- 独立审计:由第三方机构定期进行反洗钱合规审查
4 安全保障体系
- 智能合约审计:经 [Reputable Audit Firm Name] 检测未发现重大漏洞(审计报告备索)
- 资产托管:与 [Trusted Custodian Name] 合作,采用多签钱包及 95% 冷存储方案
- 网络安全:部署双重认证、端到端加密及季度渗透测试
5 结语
通过遵循香港 VASP 制度、对接国际标准及实施健全的风控体系,IQ Coin 为投资者构建安全合规的投资环境。若需进一步咨询,请联络您的专属投资顾问。
附件 IQ_Coin_Tokenomics_Overview.pdf
IQ Coin 代币经济学概览
编制对象:投资者
2025 年 5 月
IQ Coin Limited
香港特别行政区1 项目概述
本文详细阐述 IQ Coin——专为去中心化生态系统交易场景设计的加密货币代币经济模型。该经济模型通过系统性架构保障市场稳定性、激励生态参与并支撑长期价值增长。
2 代币基础信息
- 总发行量:100,000,000 IQC
- 代币类型:[Blockchain Platform, e.g., Ethereum] 生态实用型代币
- 核心功能:支撑 IQ Coin 生态系统内交易、治理与质押场景
3 代币分配方案
代币总量分配如下:
分配类别 占比 说明 公开发售 40% 初始发售阶段向投资者开放的份额 团队保留 15% 创始人及核心团队持有,设 36 个月锁定期 顾问份额 5% 战略顾问专属,设 24 个月归属期 生态发展基金 20% 用于平台开发、战略合作及市场拓展 流动性池 10% 注入主流交易所保障交易流动性 储备金 10% 用于未来战略计划与市场调控 4 解锁与锁仓机制
为维护市场稳定及实现利益协同:
- 投资者代币:24 个月线性归属,每六个月释放 25%
- 团队代币:36 个月锁定期,首 12 个月后开始阶梯式释放
- 顾问代币:24 个月归属期,按季度分批释放
5 流动性保障
- 流动性池:总供应量 10% 部署至去中心化交易所交易对
- 交易所合作:与主流交易所建立战略合作提升市场深度
- 做市机制:携手流动性提供商平抑波动,优化价格发现
6 应用场景
- 交易媒介:平台内商品服务支付结算
- 质押收益:持有者可通过质押获取 5~8% 年化收益并增强网络安全性
- 治理权益:代币持有人享有协议升级与生态提案投票权
7 经济模型
- 通缩机制:部分交易手续费销毁实现持续供应量缩减
- 质押激励:由生态发展基金提供年度 5~8% staking 收益
- 储备调控:市场波动时期运用储备金维持价格稳定
8 总结
IQ Coin 通过精密设计的分配机制、解锁周期、流动性方案与经济模型,构建可持续扩展的生态系统。如需进一步了解,敬请联系您的投资顾问。
于文件 Re_ Proposal and Poster for IQ Coin Investment Opportunity 2025-05-02T14_37_03+08_00.eml 中。
该邮件内容与上一个邮件的内容完全一致,可能是同一个邮件内容发送了两次。
于文件 Re_ Proposal and Poster for IQ Coin Investment Opportunity 2025-05-02T15_14_02+08_00.eml 中。
尊敬的 Arjun 先生:
感谢您确认对 IQ Coin 的 100 万港元投资。我们将在 24 小时内向您发送 KYC/AML 合规验证平台的安全链接,请提交以下材料:
- 政府签发身份证件及地址证明
- 资金来源声明文件
- 用于接收代币分配的区块链钱包地址
通过 KYC 审核后(约 2~3 个工作日),我们将提供收款银行账户信息及付款参考编号,请于 7 个工作日内完成转账。资金确认后 5 个工作日内将完成代币分配。
请务必通过安全通道提交所有资料。如有任何疑问,敬请回复本邮件。我将全程协助您完成投资流程。
此致
Lisa Loring
销售部经理
投资事业部
优盛金融控股公司
邮箱:lisaloring726@gmail.com
第 1 题:在电子邮件取证方面,警方需要注意以下要点
A. 修改邮件时间戳等元数据以迎合调查时间线
B. 全面检索相关草稿箱与已删除邮件数据
C. 必须确认取证行为获得合法授权,并严格限定提取范围
D. 确保元数据完整性,原始 .eml 文件应作为证据链关键环节保存
E. 应备份邮件系统相关日志,确保调查工作有据可查
本题答案为 BCDE。
A 错误。 在数字取证中,任何修改原始数据的行为(如时间戳)都是严格禁止的,因为这破坏了证据的完整性和真实性。修改元数据会导致证据在法庭上不可采,涉嫌篡改证据,可能违反法律程序。取证工作必须保持数据的原始状态,即使时间线与调查不符,也应通过其他方式验证,而不是修改数据。
B 正确。 电子邮件取证应尽可能全面地收集所有相关数据,包括草稿箱和已删除邮件(只要数据可恢复)。这些数据可能包含关键证据,如未发送的草稿或故意删除的邮件,有助于还原事件全貌。取证工具应能恢复已删除数据,确保调查不留死角。
C 正确。 警方进行电子邮件取证前,必须获得合法授权(如搜查令、法院许可或当事人同意),并严格遵守授权范围。超出范围的取证可能侵犯隐私权,导致证据无效。这是法律程序的基本要求,确保取证行为的合法性。
D 正确。 元数据(如发件人、收件人、时间戳、路由信息)是电子邮件证据的核心组成部分,必须保持完整无篡改。原始 .eml 文件(标准电子邮件格式)应作为证据链的关键环节,通过哈希值校验(如 MD5 或 SHA)确保完整性,并记录保管链,以证明证据从收集到法庭呈现未被修改。
E 正确。 邮件系统日志(如登录日志、发送/接收日志、系统操作日志)能提供额外的上下文和审计轨迹,帮助验证电子邮件活动的真实性、时间线和用户行为。备份日志可确保调查过程有据可查,增强证据的可信度和可追溯性。
第 2 题:请分析邮件材料中的附件结构,并指出下列哪项描述是正确的?
A. 邮件的附件文件(PDF)包含 JavaScript 代码,用于从外部来源动态加载内容
B. 邮件的附件文件(JPG)的元数据包含地理位置信息
C. 邮件的附件文件并非以独立附件传输,而是以 Base64 编码方式嵌入在正文中
D. 邮件中有使用标准 ASCII 字符集编码系统表示字符及未加密的纯文本文件的附件文件
E. 以上皆不正确
本题答案为 E。
对于选项 A,我们可以从 6 个 .eml 文件中分离出 3 个 .pdf 附件,附件的内容可见上文「电子邮件及其附件的中文翻译」。
1 | ┌──(zeraith㉿stella16)-[~] |
使用 iText RUPS 打开 3 个 .pdf 分析,未见 JavaScript 代码;或者可以使用 strings 打印出 3 个 .pdf 文件的可读部分,未发现任何 Javascript 和 JS 的字样。故 A 错误。
对于选项 B,附件中共存在 2 个图片。在 文件资源管理器 > 属性 中均未找到位置信息的 EXIF 信息。故 B 错误。
对于选项 C,我们以 Exclusive Invitation_ IQ Coin Pure Growth Fund – Special Offer for You 2025-04-29T18_35_47+08_00.eml 为例。使用 Visual Studio Code 打开该 .eml 文件,在第 83~84 行可见
1 | X-Attached: 3l3st5q1.jpeg |
故可以确认该 .eml 文件确实包含两个图片。
从第 90 行起可见以下的结构:
1 | -----------------------e8b60377f021c55a6fdb1820887907e8 |
头部声明 Content-Type: multipart/related 说明下面的内容包含多个相互关联的部分,这通常可见于 HTML 邮件。我们注意到该邮件由三个部分所构成,它们之间使用 ----...----3584...1525 来分隔。其中第 1 个部分即为 HTML 正文,第 2 个部分是一个 .jpeg 附件,但其 Content-Disposition: inline 说明它是一个内嵌图片,会直接显示在邮件正文的某个位置上,因此它不是传统意义上的附件。而第 3 个部分是一个 .jpg 附件,它的 Content-Disposition: attachment 即说明它是一个可供下载的,传统意义上的附件。由此我们知道,附件(无论 inline 还是 attachment)的 Base64 编码内容都是存放在其独立的 MIME 部分中而非嵌入到正文中,它们不是包含关系,故 C 错误。
对于选项 D,它描述了 Content-Transfer-Encoding: 7bit 或 8bit 的,并且文件类型是 text/plain 的附件。在 3 个 .pdf 文件中均不可见这样的部分。故 D 错误。
第 3 题:请分析邮件的多用途互联网邮件扩展的格式结构(MIME),并指出下列哪种内容编码未被使用
A. 7bit
B. quoted-printable
C. base64
D. binary
E. 8bit
本题答案为 D。
MIME(多用途互联网邮件扩展)定义了多种内容传输编码(Content-Transfer-Encoding),用于在电子邮件中编码非文本数据或处理字符集问题。检材给出的 6 个 .eml 文件似乎仅包含 base64 编码的 MIME,但 7bit、quoted-printable 和 8bit 也是常用的 MIME 编码方式。
使用 strings 检验检材中的 .eml 文件
strings 检验检材中的 .eml 文件1 | ┌──(zeraith㉿stella16)-[/mnt/g/MeiyaCup_2025/Arjun_Sharma_Email] |
- 7bit 用于纯 ASCII 文本,每行不超过 998 个字符。这是客户端和服务器的默认编码:如果邮件内容全是 ASCII,则通常不会显式指定。
- 8bit 用于扩展 ASCII 文本(如 ISO-8859-1),每行不超过 998 个字符。适用于一些非英语文本。如果整个邮件系统(发送方、接收方和所有中间服务器)都声明支持
8BITMIME扩展,则可以直接传输包含非 ASCII 字符的 8 位字节流,这时就会使用 8bit 编码。 - quoted-printable 用于主要包含 ASCII 文本但有少量非 ASCII 字符的数据(如带重音符号的文本),效率高、可读性好。非 ASCII 字符被编码为等号后跟十六进制值(形如
=XX)。 - base64 用于二进制数据(如图像、附件),将数据编码为 ASCII 字符串。但在检材
.eml文件中也被用于编码邮件正文。
但 binary 被 禁止 在 SMTP 邮件中使用,是因为其编码的内容是原始的二进制数据,没有任何行长度限制或特殊字符转义。这样的数据流在经过不同的邮件服务器时,很可能会被服务器错误地解析、修改,从而导致数据损坏。
第 4 题:请分析邮件材料,指出哪两个附件藏有加密货币地址(0x548dafDe4B17d7d3C9485E79B3B5018801C7855E)?
A. IQ_1.jpg 和 IQ coin proposal.pdf
B. IQ_Coin_Tokenomics_Overview.pdf 和 IQ_Coin_Compliance_Summary.pdf
C. 7b3e4512-1d8d-4d54-AA1c-5b004ce23A6f.jpeg 和 IQ_Coin_Compliance_Summary.pdf
D. IQ_1.jpg 和 7b3e4512-1d8d-4d54-AA1c-5b004ce23A6f.jpeg
E. IQ coin proposal.pdf 和 IQ_Coin_Compliance_Summary.pdf
本题答案为 D。
邮件和附件的内容可见上文「电子邮件及其附件的中文翻译」。D 选项中的 2 个图片均包含 QR Code,使用二维码扫描器扫描即可。
第 5 题:在邮件材料(Arjun_Sharma_email.zip)中,哪一封邮件的原始发件人地址是 marketing@manson.com,请指出这封邮件存在于以下哪一个 .eml 文件当中?
A. Exclusive Invitation_ IQ Coin Pure Growth Fund – Special Offer for You 2025-04-29T18_35_47+08_00.eml
B. Proposal and Poster for IQ Coin Investment Opportunity 2025-05-01T20_16_16+08_00.eml
C. Re_ Proposal and Poster for IQ Coin Investment Opportunity 2025-05-02T12_13_11+08_00.eml
D. Re_ Proposal and Poster for IQ Coin Investment Opportunity 2025-05-02T14_22_16+08_00.eml
E. Re_ Proposal and Poster for IQ Coin Investment Opportunity 2025-05-02T14_37_03+08_00.eml
F. Re_ Proposal and Poster for IQ Coin Investment Opportunity 2025-05-02T15_14_02+08_00.eml
G. 以上皆非
本题答案为 A。
使用 Visual Studio Code 打开 Exclusive Invitation_ IQ Coin Pure Growth Fund – Special Offer for You 2025-04-29T18_35_47+08_00.eml,在第 58 行可见:
1 | X-Google-Original-From: Marketing <marketing@manson.com> |
该字段说明了邮件的原始发件人地址。关于该字段的详细解释,可以参阅 What is X-Google-Original-From used for?。
This is a feature of Gmail, likely there to help prevent spoofing. I’m afraid there isn’t anything we can do in Gophish to prevent this.
That’s how Google’s Gmail and G Suite SMTP servers flag your aliases. You need to authorize it in gmail as a send from address and complete verification before the SMTP server will leave your email with the correct “From” address and not flag it.
It’s not 100% transparent as DKIM is still performed with the default SMTP account email. Microsoft’s outlook.com smtp servers provide more useful error messages, instead of just flagging silently like google does. It’s likely a legacy issue.
第 6 题:根据上一题,收件者会见到这封邮件来自哪一个邮箱地址?(依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案为 mansonmfi@gmail.com。
在第 5 题的截图中显然,该字段于第 57 行可见。同时,亦可以使用 Outlook 直接打开该 .eml 文件得到答案。
第 7 题:当你分析邮件头时发现认证接收链(Authenticated Received Chain,简称:ARC)验证结果为 “None” 时,则代表这封邮件没有进行 ARC 邮件验证。在这情况下,我们可以通过以下哪一个方式协助我们判断邮件的真伪?
A. 发件人策略框架(Sender Policy Framework,简称:SPF):检查邮件是否来自其声称的域的授权服务器
B. 域名密钥识别邮件(DomainKeys Identified Mail,简称: DKIM):通过数字签名验证内容在传输过程中有否被篡改,以及是否来自声称的域名
C. 域名对齐(Domain Alignment)邮件中使用的 MAIL FROM(信封发件人)和 From(显示发件人)地址中的域名是否一致
D. 以上皆可以
本题答案为 D。
当分析邮件头时,如果认证接收链(Authenticated Received Chain,ARC)验证结果为 “None”,意味着该邮件没有经过 ARC 验证。ARC 是一种邮件验证机制,旨在在邮件转发过程中保持原有验证结果(如 SPF、DKIM)的一致性,防止在中间服务器处理时验证信息丢失。当 ARC 缺失时,邮件可能经过多个中转服务器,导致原始验证结果不可靠,因此需要依赖其他邮件验证技术来判断邮件的真伪。
对于选项 A,发件人策略框架(Sender Policy Framework,SPF)是一种基于 DNS 的邮件验证协议,允许域所有者指定哪些邮件服务器被授权发送该域的邮件。当收到邮件时,接收服务器会检查邮件的「信封发件人」(即 “Return-Path” 或 “MAIL FROM” 地址)的域名,并查询该域名的 SPF 记录,以验证发送邮件的 IP 地址是否在授权列表中。如果 SPF 验证通过(如邮件头中的 Authentication-Results: spf=pass),表明邮件来自该域的授权服务器,这降低了伪造发件人的风险。如果 SPF 失败,则邮件可能为钓鱼或垃圾邮件。在 ARC 缺失的情况下,SPF 仍然提供基本的发件人身份验证。
对于选项 B,域名密钥识别邮件(DomainKeys Identified Mail,DKIM)是一种基于数字签名的邮件验证方法。发件方使用私钥对邮件头和部分内容生成签名,并将公钥发布在 DNS 记录中。接收服务器通过查询 DNS 获取公钥来验证签名,从而确认邮件在传输过程中未被篡改,且确实来自声称的域名。如果 DKIM 验证通过(如邮件头中的 Authentication-Results: dkim=pass),表明邮件内容完整且发件人域名真实。在 ARC 缺失时,DKIM 可以独立提供内容完整性和发件人身份保证,帮助识别伪造或篡改的邮件。
对于选项 C,域名对齐(Domain Alignment)是 DMARC(Domain-based Message Authentication, Reporting & Conformance)协议的一部分,它检查邮件中「信封发件人」(MAIL FROM)和「显示发件人」(From 头)的域名是否一致或对齐。DMARC 要求 SPF 或 DKIM 验证的域名与 From 头中的域名匹配,以确保发件人身份的一致性。如果域名对齐(如 SPF 或 DKIM 标识的域名与 From 域一致),则邮件更可信。如果不对齐(如邮件头中 From 显示 gmail.com,但 MAIL FROM 使用其他域名),则可能涉及欺骗。在 ARC 缺失时,域名对齐可以帮助检测发件人伪装行为。
当 ARC 验证为 “None” 时,SPF、DKIM 和域名对齐都可以作为辅助判断邮件真伪的方法。这些技术相互补充:SPF 验证发件服务器的合法性、DKIM 验证邮件内容和发件域的真实性、域名对齐确保发件人身份的一致性。结合使用这些方法可以提高邮件真伪判断的准确性,尤其是在 ARC 缺失导致转发验证信息不可靠的情况下。本题答案为 D,因为以上所有方式都可以在 ARC 缺失时协助判断邮件的真伪。
第 8 题:请分析 Exclusive Invitation_ IQ Coin Pure Growth Fund – Special Offer for You 2025-04-29T18_35_47+08_00.eml 文件的邮件头信息,以下哪项说法是正确的?
A. 邮件头中存在与 Gmail 官方信息匹配的字段,验证了转发身份的合法性
B. 邮件头中出现与 Gmail 转发地址或企业域(manson.com)无法对应的异常域名
C. 邮件头内所有域名均与 Gmail 及 manson.com 完全一致,符合规范的域名对齐标准
D. 邮件路由信息与域名引用证实该邮件经 Gmail 服务器发送
E. 邮件头中缺少与 Gmail 或 xxx.com 相关的有效域名记录,导致邮件来源无法验证
本题官方答案为 D,但 A 是可能正确的。
对于选项 A,SPF、DKIM 和 DMARC 的验证在该 .eml 的文件头中均存在:
1 | Authentication-Results: mail.protonmail.ch; spf=pass smtp.mailfrom=gmail.com |
接收方 ProtonMail 的服务器验证了 SPF 记录,结果为 pass,这说明发送邮件的 IP 是被 gmail.com 域的 SPF 记录所授权的,即该邮件确从一个合法的 Google 服务器发出。
1 | Authentication-Results: mail.protonmail.ch; dkim=pass ... header.d=gmail.com |
这说明邮件带有一个属于 gmail.com 域的数字签名,并且 ProtonMail 成功验证了这个签名(dkim=pass)。这证实了邮件在传输过程中没有被篡改,并且确实是由 gmail.com 授权发送的。
1 | Authentication-Results: mail.protonmail.ch; dmarc=pass ... header.from=gmail.com |
DMARC 检查也通过了(dmarc=pass),它通过的条件是 SPF 或 DKIM 至少通过一个,且域名需对齐。DMARC 检查的通过说明邮件完全符合 gmail.com 域设置的安全策略。故选项 A 应当正确,但官方答案未给出 A,可能是对选项的解读有出入。一个可能的分析是,转发行为在技术上是合法的,但很有可能无法确定转发者的身份是合法的。
对于选项 B,我们列出并分别检验邮件头中所有关键的域名:
gmail.com是发件人域,SPF、DKIM 和 DMARC 的验证域proton.me是收件人域protonmail.ch是收件方邮件服务器google.com是发件方邮件服务器1e100.com是 Google 自家的域名,用于其服务器网络manson.com出现在X-Google-Original-From和Reply-To字段,表明了邮件声称的原始发件人或期望的回复地址
唯一可能引起争议的是 8b19b573.com。事实上,Whois 报告该域名仍未被注册,而考虑到该域名出现且唯一出现在地址 emc934bd2e-61fe-4fc1-aab0-2ad6ae796400@8b19b573.com 中,且位于 Message-ID 字段中,零音考虑这可能是发件客户端(这里是 eM_Client)生成的,用于唯一标识一封邮件的标识符,即,它并不参与邮件路由或身份认证,即可以是一个任意的或私有的域名,不应当被认为是异常域名。故选项 B 错误。
对于选项 C,形如 proton.me 和 8b19b573.com 等的域名显然不与 Gmail 和 manson.com 完全一致。故选项 C 错误。
对于选项 D,我们定位到 .eml 文件中所有 Received 和 X-Received 的字段:
1 | ... |
容易发现:邮件由 182.153.247.203 于 2025 年 4 月 29 日 10:39:30(UTC)发送至 smtp.gmail.com,在 3 秒后由 Gmail 服务器 mail-pl1-f193.google.com(IP 209.85.214.193)用 1 秒转发到 ProtonMail 的服务器 mailin050.protonmail.ch,后者最终接收。这清晰表明邮件是通过 Gmail 服务器发送的,故选项 D 正确。
对于选项 D,这是选项 A 的反命题。选项 A 应当正确,故选项 D 错误。
第 9 题:根据 Exclusive Invitation_ IQ Coin Pure Growth Fund – Special Offer for You 2025-04-29T18_35_47+08_00.eml,请列出该邮件使用哪一个邮件客户端软件发送?(请连同版本代号根据标题文件内的原文作答)
本题答案为 eM_Client/10.3.1503.0。
位于文件第 65 行。
1 | ... |
第 10 题:在 Re_ Proposal and Poster for IQ Coin Investment Opportunity 2025-05-02T14_22_16+08_00.eml 邮件中,以下标头组合可用于检测欺骗或标头伪造行为?
A. From、To 和 Subject
B. Message-ID、Received 和 Authentication-Results
C. DKIM、MIME-Version 和 Content-Type
D. Return-Path、X-Gm-Message-State 和 X-Pm-Spam
E. DKIM-Signature、SPF 和 Authentication-Results
本题答案为 B。
对于选项 A,这 3 个头部是邮件中最基本、用户最容易看到的部分,但也是最容易被伪造的,即,攻击者可以轻易修改 From 地址来发动钓鱼攻击。因此这个组合不仅不能用来检测欺骗,反而是欺骗行为的主要目标。故选项 A 错误。
对于选项 B,Received 是邮件的路由记录,由每一台经手的邮件服务器(MTA)添加。构造完整而逻辑自洽的 Received 链条非常困难,故分析它可以揭示邮件的真实路径。Authentication-Results 是接收方服务器 mail.protonmail.ch 添加的验证摘要,它明确指示 SPF、DKIM 和 DMARC 的检查结果(如 pass、fail 或 softfail),这是检验欺骗最直接的证据。Message-ID 可以作为辅助的疑点。这三者包含了路由追踪和身份验证结果,是最适合检测欺骗和标头伪造行为的组合。故选项 B 正确。
对于选项 C,DKIM 确为核心反欺诈工具,但 MIME-Version 和 Content-Type 描述的是邮件内容的格式和结构,这与发件人身份的真伪无关。故选项 C 错误。
对于选项 D,DKIM-Signature 提供了邮件内容和部分头部的加密签名,保证邮件来源可靠且未被篡改。SPF(准确来说是 SPF 的检查结果)就记录在后者 Authentication-Results 中,这在选项 B 中讨论过。选项 D 的组合正确,但选项 B 的 Received 路由记录可以提供更高的安全性,故选择选项 B 更合适。
第 11 题:分析邮件 Re_ Proposal and Poster for IQ Coin Investment Opportunity 2025-05-02T15_14_02+08_00 的 “Received” 标头链,该邮件从发起到送达 ProtonMail 服务器所经历的网络跃点数量为
A. 仅 1 个跃点:通过 Gmail 与 ProtonMail 间的专用直连通道传输
B. 2 个跃点:发件人客户端 -> Gmail 服务器 -> ProtonMail 服务器
C. 3 个跃点:发件人客户端 -> Google 前端服务器 -> Gmail 发送服务器 -> ProtonMail 服务器
D. 4 个跃点:发件人客户端 -> Google 内部代理 -> Gmail 发送服务器 -> Google 外部中继 -> ProtonMail 服务器
E. 无法根据现有标头准确判断跃点数量
本题答案应为 C,但官方答案为 B。
在第 8 题中我们提到:
容易发现:邮件由
182.153.247.203于 2025 年 4 月 29 日 10:39:30(UTC)发送至smtp.gmail.com,在 3 秒后由 Gmail 服务器mail-pl1-f193.google.com(IP209.85.214.193)用 1 秒转发到 ProtonMail 的服务器mailin050.protonmail.ch,后者最终接收。这清晰表明邮件是通过 Gmail 服务器发送的,故选项 D 正确。
因此该邮件从发送到接收,应当经过了 3 个跃点:smtp.gmail.com、mail-pl1-f193.google.com 和 mailin050.protonmail.ch。但标准答案为 B。根据零音掌握的排名靠前的团体赛小组的答题情况,大多数小组在本题均选择了 C,故零音认为本题严谨的答案为 C。出题人可能将 gmail.com 和 google.com 均视为 Gmail 的服务器,故得出了 2 个跃点的结论,但根据对跃点严格的定义,gmail.com 和 google.com 应当不能被归为同一个节点。
优盛金融控股公司的邮件服务器 manson_server3.e01
你开始分析 Manson 公司的外送邮件服务器(SMTP server)。请根据参赛材料 Manson_server3.e01 回答以下问题。
检材名称与题目描述不一致,应为 manson_server3.e01。在 火眼证据分析软件 中导入该 .e01 文件,等待自动分析即可。火眼在中途可能会要求输入 Administrator 账户的密码,这里我们直接点击确认即可跳过。
下文中需要区分的是:「电子邮件服务器」/「外送邮件服务器」/ “SMTP Server” 指的是 hMailServer,「电子邮件客户端(软件)」/「电子邮件客户端软件」/「电子邮件客户端」指的是 Thunderbird。
第 100 题:请列出这个电子邮件服务器的安装日期 (GMT+8)?(答案格式: yyyy-MM-dd)
本题答案为 2025-04-10。
在火眼中转到 分析 > 基本信息 > 安装软件 > 安装软件,并在「软件名称」中定位到 “hMailServer 5.68-B2574” 即可。
第 101 题:请指出外送邮件服务器(SMTP server)中有多少封电子邮件未能成功寄出?
A. 0
B. 2
C. 4
D. 6
E. 8
本题答案为 C。
在火眼中转到 分析 > Eml邮件 > 邮件,可以看到 4 个邮件的主题均为 “Message undeliverable”,这即为未寄出的邮件。内容大致为:
原文
The mail server could not deliver the message to you since the file C:\Program Files (x86)\hMailServer\Data\manson.com\cfo??.eml does not exist on the server.
The file may have been deleted by anti virus software running on the server.
hMailServer
翻译
邮件服务器无法将邮件发送给您,因为服务器上不存在文件 C:\Program Files (x86)\hMailServer\Data\manson.com\cfo??.eml。
该文件可能已被服务器上运行的防病毒软件删除。
hMailServer
第 102 题:根据已安装的语言包,以下哪些是这个外送邮件服务器(SMTP server)的操作界面可以使用的语言?
A. 中文
B. 英文
C. 法文
D. 俄文
E. 瑞典文
本题答案为 BE。
转到 manson_server3/Partition3/Program Files (x86)/hMailServer/Languages,可以看到 english.ini 和 swedish.ini。这即对应了英文和瑞典文。
第 103 题:在 2025-04-29 至 2025-05-08(GMT+8)期间,这个外送邮件服务器(SMTP server)有多个错误记录表示发送邮件失败,当中的错误代码是多少?
A. HM5094
B. HM4354
C. HM5010
D. HM5048
E. HM5026
本题答案为 E。
转到 manson_server3.e01/Partition3/Program Files (x86)/hMailServer/Logs/ERROR_hmailserver_2025-04-29.log,可以得到以下内容:
1 | "ERROR" 3372 "2025-04-29 18:11:05.519" "Severity: 2 (High), Code: HM5048, Source: File::Copy, Description: Could not copy the file C:\Program Files (x86)\hMailServer\Data\manson.com\cfo\62\{6233D566-0368-4E9E-9DBB-CA15E0BB997B}.eml to C:\Program Files (x86)\hMailServer\Data\manson.com\cfo\37\{376045BD-E8A4-4E2D-9D11-CAFF6F8AF186}.eml. Tried 5 times without success., Error code: 3, Message: The system cannot find the path specified" |
我们已经知道邮件发送失败是因为系统找不到指定的文件,因此其对应的错误为 3356、3360 和 3384,它们的错误代码均为 “HM5026”。
第 104 题:在该电子邮件客户端软件的账户设置中, ceo@manson.com 的用户名称是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案为 Hayson.L。
一方面,可以查看 hMailServer 的记录。在火眼中,转到 分析 > Eml邮件 > 邮件,任意打开一个发件人为 ceo@manson.com 的邮件,即可在预览中得到用户名。
另一方面,也可以查看 Thunderbird 的记录。在火眼中,转到 分析 > Thunderbird > localhost-1 > 已发送,即可注意到所有的发件人均名为 Hayson.L。或者可以效仿第 105 题对 Thunderbird 的仿真,在 设置 > 账户设置 中找到「默认身份」下的「您的姓名」即可。
第 105 题:在该电子邮件客户端软件的账户设置,ceo@manson.com 在电子邮件客户端中的 Disk Space 设定,下列哪一项描述是正确的?
A. 系统会自动删除所有已读取的邮件以释放空间
B. 系统会保留最近一封邮件,其余旧邮件会被永久删除
C. 系统会删除超过一定天数的旧邮件,但具体天数未设定
D. 已标记为「已加星号」的邮件永远不会被自动删除
E. 账户设置为不删除任何邮件,仅在容量满时发出警告
本题答案为 D。
手动查阅配置文件过于坐牢。这里,我们使用火眼将整个 manson_server3.e01/Partition3/Users/Administrator/AppData/Roaming/thunderbird/Profiles/j5e2vohh.default-release 导出,随后在本地安装 Thunderbird,并导入检材中的配置。零音在进行本地 Thunderbird 仿真时,Thunderbird 报告无法还原收件箱和发件箱的内容,但这不影响我们的做题。
转到 设置 > 账户设置 > ceo@manson.com > 同步与存储,答案显然为 D。
第 106 题:在该电子邮件客户端软件中,关于 ceo@manson.com 账户的服务器设定,下列哪一项叙述是正确的?
A. 它使用 POP3 协定来收信,服务器地址是 mail.manson.com
B. 账户的安全设置中,连接安全与身份验证方法均被设定为「未配置」
C. 它使用 IMAP 协定,服务器位于本机,并会每 10 分钟自动检查新邮件
D. 它禁用了服务器的新邮件即时推送通知功能
本题答案为 C。
转到 manson_server3.e01/Partition3/Users/Administrator/AppData/Roaming/thunderbird/Profiles/j5e2vohh.default-release/prefs.js,这是 Thunderbird 的配置文件。
prefs.js 全文
prefs.js 全文1 | // Mozilla User Preferences |
首先定位账户。第 76 行
1 | user_pref("mail.identity.id3.useremail", "ceo@manson.com"); |
确证了 id3 这个身份的邮箱是 ceo@manson.com。随后第 54 行
1 | user_pref("mail.account.account4.identities", "id3"); |
确证了 account4 这个账户使用了 id3 身份。随后第 55 行
1 | user_pref("mail.account.account4.server", "server5"); |
确证了 account4 这个账户连接的是 server5。因此:ceo@manson.com 的所有设置都在 server5 的配置块中。
对于选项 A,第 121 行
1 | user_pref("mail.server.server5.type", "imap"); |
确证了 ceo@manson.com 账户(server5)使用的是 IMAP 协议。且第 107 行
1 | user_pref("mail.server.server5.hostname", "localhost"); |
确证了文件记录的服务器地址是 localhost 而非 mail.manson.com。故 A 错误。
对于选项 B,第 102 行
1 | user_pref("mail.server.server5.authMethod", 0); |
authMethod 的值为 0,在 Thunderbird 中代表「自动检测」或「不安全密码」。这是一个较弱的配置。且第 116 行
1 | user_pref("mail.server.server5.socketType", -1); |
socketType 的值为 -1,这意味着客户端并没有被强制要求必须使用 SSL/TLS 或 STARTTLS,它会尝试使用,并可能在服务器不支持时降级到不加密的链接。考虑到用户进行了自定义配置后,其配置才会被写入 prefs.js,而现在 prefs.js 中有这样的配置,即说明用户对连接安全和身份验证方法进行了配置,故 B 错误。
对于选项 C,第 103 行
1 | user_pref("mail.server.server5.check_new_mail", true); |
确证了 Thunderbird 启用了自动检查新邮件的功能,但该 prefs.js 并未包含自定义的新邮件检查时间。Thunderbird 的默认检查时间为 10 分钟,故 Thunderbird 采取默认值 10 分钟。故 C 正确。
对于选项 D,prefs.js 中未明确指出,但 Thunderbird 会默认为服务器端支持 IDLE 的邮箱启用 IDLE。在火眼中,转到 分析 > MySQL解析 > …/MySQL/MySQL Server 5.7/Data > hmail1,在 hm_settings 表中,settingid = 51 处,enableimapidle 的值为 1,这说明服务端开启了 IMAP IDLE(即时推送),所以 Thunderbird 会默认启用 IDLE。故 D 错误。
第 107 题:在该电子邮件客户端(软件)的账户设置,在 SMTP 设定里,关于 ceo@manson.com 的外送邮件服务器(SMTP server),下列哪些叙述是正确的?
A. 服务器名称是 smtp.manson.com
B. 连接埠设定为 587
C. 认证方式为「密码,以不安全方式传输」
D. 连线安全性为 SSL/TLS
本题答案为 BC。
冯子超家中查获的笔记本电脑 Duncan_laptop.e01
你开始分析冯子超(Duncan FUNG)的笔记本电脑。
考虑到在火眼中手动翻阅文件过于坐牢,我们可以直接使用 火眼仿真取证软件,对整个 .e01 文件进行仿真。打开 火眼仿真取证软件,选中 .e01 并等待自动识别操作系统、用户密码等,即可启动仿真。
Duncan_laptop.e01 开启了密码自动过期的功能。因此,按照现实时间启动该虚拟机时,由于 Admin 账户的密码(26483709)已经到期,Windows 在启动页面会要求我们变更该账户的密码。按照要求操作,即可进入桌面。为便于分析,我们可以在「檔案總管」(「文件资源管理器」)中的「檢視」(「查看」)选项卡中勾选「副檔名」(「文件扩展名」)和「隱藏的項目」(「隐藏的项目」)。
谁懂这么大一个 Copilot 糊上来的救赎感。
第 215 题:请列出加密文件 Manson 内藏的是什么文件?(请依照参赛材料中的原文作答,列出整个档案名称及扩展名,注意区分大小写、空格及符号)
本题答案为 login.xlsx。
由第 47 题得到 Manson 的密码为 Ocean_Park。考虑到该计算机上安装了 TrueCrypt,我们考虑 Manson 可能为 TrueCrypt 加密文件。尝试在 TrueCrypt 中挂载,输入密码后得到 login.xlsx。
第 216 题:经调查得知,在 Duncan_laptop.e01 图片文件中,发现有一个档案的资料,跟 mason_finance 数据库中的用户资料很相似﹐怀疑嫌疑人用不法手段盗取,是什么档案?(请依照参赛材料中的原文作答,列出整个档案名称及扩展名,注意区分大小写、空格及符号)
本题答案为 user.csv。
在火眼「嵌套证据分析」中可以得知,该虚拟机中内嵌了一个 Kali Linux 的虚拟机。我们尝试在虚拟机中打开该虚拟机,但发现该虚拟机正在被使用。在对话框中点击 “Take Onwership” 即可。
遗憾地,嵌套虚拟机启动需要虚拟化 Intel VT-x/EPT 或 AMD-V/RVI 的支持,但零音的电脑并不支持 AMD-V,因此无法嵌套虚拟机启动。😭
但注意到该 Kali Linux 虚拟机的全部文件都位于其桌面,故我们使用 X-Ways Forensics 直接将该虚拟机从桌面提取出来,在宿主机启动即可。
不过在宿主机启动之前仍需要先 “Take Ownership” 一次。使用默认账号 kali 和密码 kali 即可登录成功。进入后可以发现,这些文件均位于 /home 和桌面。本题答案即为 ~/user.csv。
第 217 题:经调查得知,在 Duncan_laptop.e01 图片文件中,发现有一个图片,涉及与 May 讨论 IQ coin 的对话, 请问该档的 SHA256 是多少?(请以阿拉伯数字和英文大写作答)
本题答案为 a2f39164f6ca3eb561a9b16450414939c0b6a7640f0993dd19775a5118d634b1。
查找后可得其位于 ~/nrIMFgRg.jpeg。使用 sha256sum 取其 SHA256 即可。
陈民浩家中查获的智能手机 blk0_sda.bin
你开始分析陈民浩(Hogan CHAN)及女子梁燕玲(Ling LEUNG)家中的数码设备,请根据参赛材料 blk0_sda.bin 回答以下问题。
第 218 题:请列出网络浏览器 Chrome 已登录了的 Google 账号是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案为 hoganchan143@gmail.com。
火眼无法直接获取到 Chrome 的 Google 账号。但考虑到一台 Android 设备上的 Google 账号可以通用,我们猜想该账号与 Google 地图和 Gmail 的账号一致。
第 219 题:根据上一题,这个 Google 云端硬盘账户的最后同步时间是什么?(请依照参赛材料中的原文作答,答案格式:yyyy-MM-dd HH:mm:ss)
本题答案为 2025-05-16 17:41:35,但暂无做法。
第 220 题:社交媒体软件 “Facebook” 在 AP2 手机上分配的设备 ID 是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案为 e585180e-d648-4059-8445-2cfc880a33cb。
位于 /blk0_sda.bin/Partition21/data/com.facebook.kanata/databases/prefs.db 的表 preferences 中,key 为 /shared/device_id,对应的 value 即为本题答案。
第 221 题:请根据镜像文件 blk0_sda.bin,陈民浩的家庭连接小米设备的中文名称是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案应为 Xiaomi掃拖機器人 S10+,官方答案为 Xiaomi扫拖机器人 S10+,并将前者判错。
在火眼的 分析 > 米家 > Sweet Home(6799365478) > 我的家庭 > 6799365478的家(117001145701) 中可得。槽点是:本题的标准答案为简体中文,且根据零音对已有队伍答题情况的分析,本题的繁体中文答案判错。不知出题方对此作何考虑。
第 222 题:请根据镜像文件 blk0_sda.bin,陈民浩的小米账户 ID 是多少?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案为 6799365478。
由第 221 题显然。
第 223 题:请根据镜像文件 blk0_sda.bin, 陈民浩的小米设备在手机中储存了多少事件(event)?
A. 0
B. 352
C. 1
D. 325
E. 133
本题答案为 B,但暂无做法。
本题最诡异的地方是出题方对「事件」的定义。事实上,在复盘时,StarCeo 团队找到了接近 10 个类似于事件日志的文件或数据库条目,但经过统计,没有一个文件统计出的事件个数位于 5 个选项以内。
第 224 题:请根据镜像文件 blk0_sda.bin,陈民浩的小米设备完成工作后,手机会创建一张照片,该照片的文件名是什么?(请依照参赛材料中的原文作答,列出整个档案名称及扩展名,注意区分大小写、空格及符号)
本题答案为 clean_log.png。
位于 blk0_sda.bin/Partition21/data/com.xiaomi.smarthome/files/plugin/install/rn/1009571/data/1064204009/files/clean_log.png。选择该地址是出于这样的考虑:rn/ 下仅 1009571 文件夹内存在文件夹 data;且 /data/com.xiaomi.smarthome/shared_prefs/home_room_manager_sp_.xml:
1 |
|
其中的 home_room_content 字段中的 JSON 字符串:
1 | { |
它保存了用户家庭房间的信息。由火眼可得扫拖机器人位于客厅,故在 roomlist 中找到「客廳」,其下对应了两个 did,猜测得到 1064204009 为扫拖机器人。又恰好在 data/ 下仅看到 1064204009 文件夹,故在其中寻找,遍历各个目录即可得到。当然,零音在赛场上绝对没有能力想到这一步。
第 225 题:根据上一题,该照片的创建日期是?(答案格式: yyyy-MM-dd)
本题答案为 2025-05-16。
由 224 题显然。
第 226 题:请根据镜像文件 blk0_sda.bin,陈民浩 Duncan 用过「会行走的」小米家电,它的行走路径信息会储存在一个 XML 格式的文件中,该文件储存在什么地方?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案可为 /data/com.xiaomi.smarthome/files/plugin/install/rn/1009571/data/1064204009/data/config.xml。官方答案为 /data/com.xiaomi.smarthome/files/plugin/install/rn/1009571/data/1064204009/data,并将前者判错。
若完成了第 224 题,则可以发现 ../ 下仅存在两个文件夹 files 和 data,它们都位于扫拖机器人的目录下。自然地,我们会去遍历 data/ 下的内容。这即可得到一个 .xml 文件。
第 227 题:根据上一题,该文件中可以取得什么信息?
A. name
B. Angle
C. map
D. Volt
E. Error
本题答案为 ABC。
在该 .xml 文件中搜索,不难得到 name、Angle 和 map。
第 228 题:米家 app 版本 “80615” 的安装日期是什么?(答案格式:yyyy-MM-dd HH:mm:ss / 请依照参赛材料中的原文作答)
本题答案为 2025-04-16 19:05:27。
在火眼中,分析 > 基本信息 > 应用列表 中找到「米家」,在「详细信息」窗口中可见「安装时间」,即为本题答案。
第 229 题:该版本的最后更新日期时间是?(答案格式:yyyy-MM-dd HH:mm:ss / 请依照参赛材料中的原文作答)
本题答案为 2025-04-22 23:20:32。
在第 228 题的火眼中,下方的「最后升级时间」即为本题答案。
第 230 题:共成功安装了多少个版本的 米家 app?
A. 1
B. 2
C. 3
D. 4
E. 5
本题答案为 D,但暂无做法。
第 231 题:米家 app 有多少次经 Google 自动更新?
A. 1
B. 2
C. 3
D. 4
E. 5
本题答案为 B,但暂无做法。
第 232 题:收到多少次来自 米家 app 的「清扫工作已完成」通知?
A. 1
B. 2
C. 3
D. 4
E. 5
本题答案为 C,但火眼仅识别出了 1 条通知,暂无做法。
第 233 题:手机设定的热点(Hotspot)名称是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案为 AndroidAP4F5D。
在火眼中,分析 > 基本信息 > WIFI信息 > 移动热点 中可得。
第 234 题:请列出热点登录密码(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案为 ygro9745。
由第 233 题显然。
梁燕玲身上提取的存储卡 LEUNG_YL_SDcard.e01
你收到警方通知,法医在检查梁燕玲遗体时,发现她的项链内藏有一张 SD 卡,请根据参赛材料 LEUNG_YL_SD_Card.e01 回答以下问题。
检材名称与题目描述仍然不一致,应为 LEUNG_YL_SDcard.e01。使用 X-Ways Forensics 打开 LEUNG_YL_SDcard.e01,在「专业工具」中选择「将镜像文件转换成磁盘」,右键 SecretSeed.exe 并选择「恢复/复制」即可提取出 SecretSeed.exe。
使用 IDA Pro 打开 SecretSeed.exe,即开始逆向工程。
第 256 题:SecretSeed.exe 程序会要求用户输入账号与密码,请尝试进行逆向工程并找出正确的账号。(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案为 manson。
在 IDA Pro 中追踪到 WinMain 函数,按下 F5 进行类 C 代码生成。注意到:
1 | int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd) |
第 12 行的窗口过程函数 (WNDPROC)sub_140001210,双击并进入跟踪。
(WNDPROC)sub_140001210 反编译函数全文
(WNDPROC)sub_140001210 反编译函数全文1 | LRESULT __fastcall sub_140001210(HWND hWnd, UINT Msg, WPARAM wParam, LPARAM lParam) |
首先分析 UI 创建逻辑。在代码第 36 行起(排版有优化),即 case 1u 处,这里 1u 对应 WM_CREATE:
1 | // 1. 创建静态文本 "Username:" |
推论:::hWnd 对应 Username 输入框,hWnd_0 对应 Password 输入框。
接下来分析输入获取逻辑。在代码第 59 行起(排版有优化),即 case 111u 处,这里 111u 对应 WM_COMMAND:
1 | // 点击 Login 按钮 (ID 103) 后 |
推论:变量 String 存储的是用户输入的用户名,v30 存储的是用户输入的密码。
最后分析代码的校验逻辑。在代码的第 61 行起(排版有优化),我们有:
1 | n7 = 0; |
代码逐个字节比较 String(用户输入)和 aManson(程序内置字符串)。我们双击 aManson 以跟踪其值,得到结果为 “Manson”,故正确的账号为 “Manson”。
1 | .rdata:0000000140003468 aManson: ; DATA XREF: sub_140001210+D1↑o |
第 257 题:找出账号后,请继续进行逆向分析,找出通过登录验证所需的密码。(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案为 manson@MFI。
考虑到第 256 题,校验成功后跳转到 LABEL_11,我们也跳转到 LABEL_11 并继续分析。注意到:
1 | LABEL_11: |
这实际上是两次嵌套循环的逻辑比较,每一轮循环由 2 次比较来比较 2 个字符,直到到达第 11 个字符才停止。仍然双击 aMansonMfi 以跟踪其值,与第 256 题类似地,可以得到密码。
1 | .rdata:0000000140003478 aMansonMfi: ; DATA XREF: sub_140001210+115↑o |
第 258 题:即使输入正确账号与密码,SecretSeed.exe 仍未执行解密过程。以下哪一项最能准确解释该情况的发生原因?
A. AES 密钥未初始化
B. 存储器中的一个旗标未被启用,导致条件跳转跳过解密
C. 使用者输入错误的哈希
D. 密文在 Base64 解码阶段失败
本题答案为 B。
从第 97 行起有这样的逻辑(排版有优化,代码有精简):
1 | LABEL_17: |
在我们的实际运行中,即使输入了正确的用户名和密码(使得 v15 为 0),程序也没有开始解密,反而进入了 else 的「嘲讽」逻辑。这即是因为 byte_140005704 为 false(因此未进入 else if 逻辑)。其余选项均不准确。
第 259 题:成功触发 AES 解密后,SecretSeed.exe 是如何向使用者显示明文内容的?
A. 使用 printf() 输出至控制台
B. 写入 %TEMP% 文件夹中的文件
C. 经 UTF-8 转宽字符后用 MessageBoxW 显示
D. 储存在系统剪贴板中
本题答案为 C。
注意到代码第 136 行:
1 | MessageBoxW(hWndParent, lpWideCharStr, L"Recovery Seed", 0x40u); |
第 260 题:在绕过登录条件并执行 AES 解密后,程序会显示 Recovery Seed 明文。请填入该明文。(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案为 cloud,deer,echo,fish,hawk,idea,juice,leaf,mirror,ocean,puzzle,rose。
考虑到程序自身包含完整解密逻辑,且手动解密在赛场上严重浪费时间,我们使用动态调试的方法得到 Recovery Seed 明文。这里,使用 IDA Pro 在代码第 103 行下断点,选择 Local Windows debugger 并按下 F9 启动调试,打开 Wallet 程序后,输入正确的 Username 和 Password,按下 Login,IDA Pro 提示进入断点逻辑。
按下 F7 使程序单步前进到达 jz 步。考虑到 jz 比较的是 ZF 寄存器的值,当前 ZF 寄存器的值为 0x1,在左侧 IDA View-RIP 窗格中,指向右侧的代码块的绿色箭头闪烁。我们在右上角 General registers 的右半窗口中,修改 ZF 寄存器的值为 0x0,保存后可见指向左侧代码块的红色箭头闪烁,即代表修改成功。
按下 F9 以继续调试,得到 Recovery Seed 明文。
第 261 题:执行文件中使用一组 32 字节的 AES 密钥来解密固定密文。请写出该密钥的字符串内容。(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案为 12345678901234567890123456789012。
注意到代码第 106 行:
1 | strcpy((char *)pbData, "12345678901234567890123456789012"); |
这里,pbData 是一个在栈上分配的、大小为 48 字节的缓冲区,用来存放与加密和解密相关的数据。第 106 行代码使用 strcpy 将字符串字面量 "123...012" 复制到了 pbData 中,而随后 pbData 又作为参数被传入解密函数 sub_140001070 中,且该字符串字面量恰为 32 字符,显然这就是我们要寻找的 AES 密钥。
第 262 题:在逆向分析 SecretSeed.exe 时,即使输入正确账号与密码,程序仍未进行解密。哪一种条件跳转指令最可能造成此行为?
A. JMP(无条件跳转)
B. CALL(函数调用)
C. JZ(条件为零时跳转)
D. INT 3(除错中断)
本题答案为 C。
由第 260 题显然。
第 263 题:通过反汇编逆向分析或出错观察,可以判断程序如何读取 AES 密文以进行解密。请问密文数据最有可能以何种形式储存并存取?
A. 从远端服务器动态下载
B. 以 ASCII 字符串形式硬编码在 .rdata 或 .data 区段中
C. 使用第二层密钥在执行时解密
D. 使用 XOR 混淆后再于存储器重建
本题答案为 B。
观察代码 if (byte_140005704) 代码块中 strcpy 之后的部分,有:
1 | // ... |
程序首先分配了一块 80 字节的内存 hMem,随后循环 80 次,每次都从一个名为 aC1d918cf4f8e69 的数据源中读取信息。双击即可确证这个数据源的确位于 .rdata 段。
函数 sub_140001010 传入了格式化字符串 "%2x",以 sscanf 风格,使得从源中读取的 2 个十六进制字符被转为一个字节,并最终全部存入 hMem 内存中。循环结束后,hMem 就包含了 80 个字节的、可用于解密的二进制密文。因此,密文数据最初是以 ASCII 码的形式,在 .rdata 段存储。
第 264 题:当输入正确的账号密码后,程序会进一步比对一个内部变量,来决定是否显示助记词。请问:该变量在 SecretSeed.exe 中相对 base 的 offset(十六进位)是多少?请用标准的 C 语言十六进位格式(前缀 0x)作答。(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)
本题答案为 0x5704。
对于 64 位映像,其基址通常位于 0x140000000。IDA Pro 一般以变量所在的位置作为名称,根据这样的命名风格,byte_140005704 则应位于内存地址 0x140005704 处。故
$$
\mathtt{0x140005704} - \mathtt{0x140000000} = \mathtt{0x5704}
$$