案件基本情况:
(一)案情
2023月8月的一天,香港警方在调查一起网络诈骗案件时,发现有三名本地男子,分別为李大輝(李大辉),浩賢(浩贤)和Elvis CHUI,并确信这三名被捕男子均为大学同学。怀疑三人背后涉及一个庞大的电信诈骗集团。于是将这三名本地男子拘捕,扣押了三人相关的电子设备并进行分析。
现在你被委派处理这件案件,请依据以下资料分析上述三人是否涉嫌犯罪,并还原事件经过。
(二)检材资料
1.李大輝的安卓手机镜像 (Android.bin)
2.李大輝的macOS系统镜像(Mac OS.img)
3.来自李大輝计算机的一个文件($MFT Record Nr_ 107115, SeqNr_2.txt)
4.浩賢的个人虚拟机文件(Server.zip)
5.浩賢的Windows 10系统虚拟机文件(Windows10.zip)
6.浩賢的iOS手机系统文件(IOS.zip)
7.来自Elvis Chui计算机的一个网络封包文件(網路.pcapng)
8.来自Elvis Chui计算机的镜像文件 (Windows Artifacts.e01)
9.来自Elvis Chui计算机的数据库文件(SQLITE.zip)
10.Elvis Chui的Windows7虚拟机文件(Windows7.zip)
- 参考’Windows 7’文件夹回答以下题目,在Windows 7中\Users\Allen\Desktop,有1个MP3文件(例:unlock-me-149058.mp3),用户使用什么程序打开该MP3文件? 提示:请以小写字母作答
直接仿真查看MP3文件默认打开方式:
答案:potplayer
- 参考’Windows 7’文件夹回答以下题目,在Windows 7中’\Users\Allen\Desktop ‘有1个MP3文件(unlock-me-149058.mp3),该文件的Zone identiflier为’3’。上述’3’字代表哪一个security Zone ?
A. Local Machine Zone
B. Internet Zone
C. Restricted Zone
D. Trust Site Zone
答案:B
3代表网络区域
92. 参考’Windows 7’文件夹回答以下题目,在 Windows 7中\Users\Allen\Desktop有1个MP3文件 (unlock-me-149058.mp3),该文件从哪个网站下载?
A. www.Pixbay.com
B. free-mp3-download.net/
C. https://mp3juices.nu
D. mygomp3.com
答案:A
查看Chrome的Cache:
93. 参考’Windows 7’文件夹回答以下题目,在 Windows 7中\Users\Allen\Downloads内有mp3文件(miracle.mp3),更改名称时间?
A. 2023-07-13 02:55:20
B. 2023-07-15 10:55:20
C. 2023-07-12 10:58:04
D. 2023-07-13 10:55:20
答案:B
查看了火眼的用户手册,才找到了这个所谓的“耗时任务”在哪里:
运行结束后:
可以看到更改名称时间是:2023-7-13 10:55:20
94. 参考’Windows 7’文件夹回答以下题目,在Windows 7中\Users\Allen\Downloads内有mp3文件(miracle.mp3),mp3文件更改名称前的名称是什么?提示: 请以与记录相同的名称与文件格式作答
答案:a-small-miracle-132333.mp3
参考上题
-
参考’Windows 7’文件夹回答以下题目,在Windows 7中有多少个文件曾被potplayer播放?
暂无思路 -
参考’Windows 7’ 文件夹回答以下题目,在Windows 7中,potplayer最后播放的文件名?提示: 请以与记录相同的名称(包括小写字母、阿拉伯数字与符号)与文件格式作答
答案:unlock-me-149058.mp3
仿真后直接打开,查看播放记录:
