Emma 已经几天没有收到她姐姐 Clara的消息了,报警失踪, 她焦虑地将手机提交给警察,希望能找到线索。警察将手机交给你进行电子数据取证。你成功提取了Emma手机的镜像。 请根据取证结果回答以下问题。
1. [单选题] 根据Emma_Mobile.zip, Emma和Clara的微信聊天记录,Emma最后到警署报案并拍摄写有报案编号的卡片,拍摄时的经纬值是多少? (2分)
第一次见到这种格式的提取结果,不过数据也没加密,直接看数据库message_2.db
这里提到会去报案,推测下面发送的图片是所要求的照片
可以找到文件的key,得到一个314和时间戳,根据这个可以找到图片Emma_Mobile_Image\Images\Active\var\mobile\Applications\group.com.tencent.xin\Document\02a951e5aa009ee836c3c1e32b136b21\Img\f6b680e85ab3ca24f9da291a870b72bf\314.pic
通过m_assetUrlForSystem中的uuid,可以找到对应图片
接下来去查找数据库Photos.sqlite,找到经纬度信息和时间信息
最后一条进行时间戳转换,时间是2024-08-30 18:02:09,前后逻辑合理
结果为22.4517216666667, 114.171853333333
2. [单选题] 根据Emma_Mobile.zip, 2024年8月30日下午两点后Emma共致电Clara多少次? (1分)
查看数据库CallHistory.storedata.db,第一张表记录了时间,第二张表记录了号码,第三张表记录了前两张表中id的对应关系
可以得到sql
select * from Z_2REMOTEPARTICIPANTHANDLES a left join ZCALLRECORD zc on a.Z_2REMOTEPARTICIPANTCALLS = zc.Z_PK left join ZHANDLE zh on a.Z_3REMOTEPARTICIPANTHANDLES = zh.Z_PK where zc.ZDATE > 746440526.738382 and zh.ZNORMALIZEDVALUE = '+85263791704';结果为88
3. [单选题] 根据Emma和Clara的微信聊天记录,Clara失踪前曾告诉Emma会到哪里? (1分)
结果为到酒店和丈夫David庆祝结婚周年
4. [填空题] 参考Emma_Mobile.zip, Emma的iPhone XR内微信应用程序的版本是多少? (2分)
查看Manifest.plist
结果为8.0.50
5. [多选题] 参考Emma_Mobile.zip, Emma手机中下列哪个选项是正确的? (2分)
iOS版本为17.5.1(Manifest.plist)
imei为356414106484705(com.apple.commcenter.plist)
Apple ID为[email protected](Accounts3.sqlite)
安装了Metamask(Manifest.plist)
6. [填空题] 参考Emma_Mobile.zip,Emma 手机中 Apple ID 的注册电子邮箱是多少? (2分)
7. [填空题] 参考Emma_Mobile.zip,在2024年,Emma 手机上曾记录的电话卡集成电路卡标识符 (ICCID) 是多少? (答案格式:只需使用阿拉伯数字回答) (2分)
在com.apple.commcenter.plist中
结果为8985200000826445829
8. [填空题] 参考Emma_Mobile.zip,Emma 手机的蓝牙设备名称 "ELK-BLEDOM" 的通用唯一标识符 (UUID) 是什么? (1分)
数据库com.apple.MobileBluetooth.ledevices.other.db
结果为8D13F23C-E73C-6A98-AA4F-16C8D7A5F826
9. [单选题] 你发现了一些线索,Emma 看起来也很可疑,她似乎背负了大量债务。 参考Emma_Mobile.zip,Emma 手机内Safari浏览记录中网页"https://racing.hkjc.com/"的网站标题是什么? (1分)
结果为賽馬資訊 - 香港賽馬會
10. [单选题] 参考Emma_Mobile.zip,Emma向Clara透露什么原因令Emma欠下巨债? (1分)
结果为投资孖展、虚拟货币失利、 网shangdu博(敏感了)
11. [单选题] 参考Emma_Mobile.zip,收债人要求Emma还款数量? (1分)
查看sms.db短信数据库
结果为港幣$786980
12. [单选题] 参考Emma_Mobile.zip,Emma发送了多少张.PNG图片给Clara,证明自己正被人追债? (2分)
结果为7
13. [单选题] 参考Emma_Mobile.zip,Emma用来浏览虚拟货币的网址? (2分)
查看History.db
结果为intellax.io
14. [单选题] 参考Emma_Mobile.zip的浏览器记录,有多少网址与bet365有关? (2分)
地址都是同一个,不知道为什么要算作3
结果为1
15. [单选题] 你还发现了一些与不当使用他人加密钱包相关的痕迹。 参考Emma_Mobile.zip,Emma用了哪些恢复短语(Recovery Phrase)进入David的虚拟货币账户? (2分)
结果为stock;avocado;grab;clay;light;sadness;segment;ancient;toe;talk;elder;oil
16. [单选题] 参考Emma_Mobile.zip,Emma从David处窃取的虚拟货币的名称是什么? (2分)
结果为IDFC
17. [单选题] 参考Emma_Mobile.zip,Clara偷拍的照片中,David的虚拟货币余额是多少? (2分)
结果为5022915.66
18. [单选题] 参考Emma_Mobile.zip,Emma在偷窃David的虚拟货币前,Emma曾向Clara透露有什么事发生在Emma身上? (1分)
结果为欠债
19. [多选题] (你查看了Emma手机中的一些照片数字信息,以获取更多与失踪案件的信息) Emma的iPhone XR中 "IMG_0008.HEIC" 的图像与相片名字为的"5005.JPG" 看似为同一张相片,在数码法理鉴证分析下,以下哪样描述是正确? (3分)
A. 储存在不同的.db 檔案里
B. 有不同哈希值
C. IMG_0008.HEIC 为原图, "5005.JPG"为并非原图
D. IMG_0008.HEIC 和名字" 5005.JPG"是同一张相片
这里给出了情境,东西不在给出的备份里,HEIC是苹果拍照生成的图片格式,这个格式安卓手机在正常情况下是看不了的。当发送图片时,手机或者应用会将图片的格式进行转换,改成其他类型。
结果为BC
20. [单选题] 参考Emma_Mobile.zip, Emma的iPhone XR中"IMG_0009.HEIC" 的图像显示拍摄参数怎样? (2分)
根据时间来对应,ZASSET中图片时间为
在ZEXTENDEDATTRIBUTES中进行过滤
结果为iPhone XR back camera 4.25mm f/1.8
21. [多选题] 参考Emma_Mobile.zip, Emma的iPhone XR中相片文件IMG_0009.HEIC提供了什么电子证据信息? (3分)
A. 此相片是由隔空投送 (Airdrop)得来
B. 此相片由iPhone XR拍摄
C. 此相片的拍摄时间为2024-08-05 13:38:15(UTC+8)
D. 此相片的拍摄时间为2024-08-06 08:30:52(UTC+8)
暂时没看到Airdrop的相关信息
时间转换一下是2024-08-05 13:38:15(UTC+8)
结果为BC
22. [多选题] 参考Emma_Mobile.zip, Emma的iPhone XR内以下哪张照片是实况照片(Live Photos)? (2分)
A. IMG_0002.HEIC
B. IMG_0005.HEIC
C. IMG_0004.HEIC
D. IMG_0006.HEIC
初步就根据后缀来吧,HEIC是
结果为AC
23. [单选题] 参考Emma_Mobile.zip,手机里有多少张照片是用手机后置摄像镜头拍摄的? (2分)
结果为8
24. [单选题] 参考Emma_Mobile.zip的通讯记录,MesLocalID 224是什么类的文件? (3分)
注意到Type的值为3
这些都是图片
结果为相片
依据你在Emma的手机上找到的照片,你告诉调查员Clara最后的位置是在湾仔的一家酒店。根据你提供的信息,调查员发现Clara在酒店去世,Clara的手机在她的附近, 你对Clara的手机进行取证。请根据取证结果回答以下问题。
25. [单选题] 参考Clara_Smartphone.bin,Clara手机的Android操作系统版本是? (1分)
/system/build.prop
结果为8.0.0
26. [填空题] 参考Clara_Smartphone.bin,Clara手机的版本号(Build Number)是什么? (1分)
同上
结果为OPR1.170623.026
27. [填空题] 参考Clara_Smartphone.bin,Clara手机的IMEI号码是多少? (答案格式:只填写阿拉伯数字部分) (1分)
全局搜imei即可,在咸鱼里有记录
结果为351537092934716
28. [填空题] 参考Clara_Smartphone.bin,Emma的微信账号是? (2分)
rcontact表
结果为wxid_ltrpgdhvilso22
29. [单选题] 参考Clara_Smartphone.bin,Clara的第一封电子邮件记录的日期? (2分)
谷歌邮件,是在数据库(/data/com.google.android.gm/databases/bigTopDataDB.2017474332)中保存的Protobuf二进制数据,需要解析一下,我没有对应的编码,猜测这个4是时间戳
结果为2024-07-10 11:38:38
30. [单选题] 参考Clara_Smartphone.bin,在通讯录中"David"的联系人信息还包括什么? (2分)
contacts2.db中的raw_contact和data表关联查询
结果为LinkedIn
31. [单选题] 参考Clara_Smartphone.bin,David和Clara之间通话次数? (2分)
分析calllog.db
结果为8
32. [单选题] 参考Clara_Smartphone.bin,Clara在Chrome浏览器搜索中哪天使用了关键词"popmart 炒价"? (2分)
找到数据库
给出的选项好像都不对,题目里的是不分开的popmart,选项里给的没有,都是分开的
结果为2024-07-31
33. [单选题] 参考Clara_Smartphone.bin,2024年7月30日共收到多少封电子邮件? (2分)
数据库中的items表的item_summary_proto字段的值,解析一下即可
第4封
第5封
第6封
有的答案是4的,软件是分析的item_messages这张表,但是对应到item_rows_id这个字段时,5被对应了两次
而item_messages中的数据想要查看,则需要先去除开头的00字节,然后zlib解压后用protobuf解析,解析后其中有一封邮件的时间是2024-07-30 15:41:32,内容和第4封一致,所以我也不敢确定到底是3个还是4个,专门为了这个去逆gmail又不合算
结果为4
34. [填空题] 参考Clara_Smartphone.bin,Clara的Gmail账号是? (2分)
35. [单选题] 参考Clara_Smartphone.bin,Clara的手机安装了哪个版本的WhatsApp? (2分)
/data/system/packages.xml中搜索whatsapp
结果为241676004
36. [填空题] 参考Clara_Smartphone.bin,Clara的WhatsApp账号? (答案格式:只需填写11位阿拉伯数字) (2分)
/data/data/com.whatsapp/shared_prefs/com.whatsapp_preferences_light.xml
结果为85263791704
37. [单选题] 参考Clara_Smartphone.bin,Clara的手机在什么时候安装了小红书APP? (2分)
同35题,it是安装时间,16进制转会10进制
结果为2024-07-16 16:50:23
38. [单选题] 参考Clara_Smartphone.bin,2024年8月21日David的虚拟貨幣钱包里有多少IDFC? (3分)
参考17题,当然从镜像中的图片拍摄时间也可以看到
结果为5022915.66
39. [填空题] 参考Clara_Smartphone.bin,Clara注册的微信账号验证码是多少? (2分)
查看数据库/data/user_de/0/com.android.providers.telephony/databases/mmssms.db
结果为945025
40. [填空题] 参考Clara_Smartphone.bin,David为庆祝结婚周年纪念预订了哪家酒店? 提示:请使用大写英文字母作答, 例如:HONG KONG HOTEL) (3分)
结果为Conrad Hong Kong
41. [填空题] 参考Clara_Smartphone.bin,哪个数据库文件存储了微信消息? (答案格式:只需使用全部大写回答, 例如:ABC.DB) (3分)
结果为ENMICROMSG.DB
42. [填空题] 参考Clara_Smartphone.bin,哪个数据库文件(.db)存储了WhatsApp訊息? (3分)
结果为msgstore.db
43. [单选题] 参考Clara_Smartphone.bin,Clara在2024年8月29日拍了多少张照片? (2分)
结果为3
44. [单选题] 参考Clara_Smartphone.bin,Emma在2024年8月6日通过微信发送了多少张照片给Clara? (2分)
结果为0
45. [填空题] 参考Clara_Smartphone.bin,照片20240829_144717.jpg的拍摄相机型号是什么? (2分)
看exif信息
结果为LG-H930
46. [单选题] 参考Clara_Smartphone.bin,20240821_121435.jpg的储存路径是什么? (2分)
结果为/media/0/DCIM/Camera
47. [填空题] 参考Clara_Smartphone.bin,2024年8月20日有多少张截图? (2分)
结果为4
48. [单选题] 参考Clara_Smartphone.bin,2024年8月22日被删除微信消息的类型是? (3分)
结果为图片
你在查看Clara的手机镜像后,确定Clara是David的妻子,调查员通过查询酒店预订记录确认了这一点。他们现在定位David的住所,以进行进一步调查。 你首先分析David的手机。
49. [填空题] 参考David_Smartphone_1.zip, 根据Contents.db,David 手机接收了通讯软件"Telegram"的验证短信,该验证码是多少? (3分)
备份的Contents.db中
结果为84298
50. [填空题] 参考David_Smartphone_1.zip, David 把手机设置为个人热点,请找出个人热点的密码。 (3分)
结果为wdfj5674
51. [判断题] 参考David_Smartphone_1.zip, David 手机曾连接名为"MTR Free Wi-Fi" 的Wi-Fi 。 (2分)
结果为连接过
52. [填空题] 参考David_Smartphone_1.zip, 根据com.tencent.mm_preferences.xml,David 的手机最后登录微信的微信 ID 是? (3分)
结果为wxid_rni3m2o8ngxe22
53. [填空题] 参考David_Smartphone_1.zip, 请指出哪一张图片是于2024年8月28日利用屏幕截取的。 (答案格式:ABC_123.jpg) (3分)
结果为Screenshot_20240828-153836_Gmail.jpg
54. [填空题] 参考 David_Smartphone_1.zip,根据Contents.db,David 手机的型号(Model)? (答案格式:大写英文字母和符号'-' 混合组成) (2分)
Contents.db
结果为SM-G9500
55. [填空题] 参考 David_Smartphone_1.zip的Contents.db,David所使用的手机SIM 卡的序号? (答案格式:只需要用阿拉伯数目字回答) (1分)
结果为8985200000827530728
56. [填空题] 参考 David_Smartphone_1.zip,David 手机安装了应用程序"MetaMask"。根据persist-root中,"MetaMask"钱包内有多少个账号? (3分)
结果为4
57. [单选题] 参考 David_Smartphone_1.zip,根据persist-root中,何时从应用程序"MetaMask"发送虚拟货币至以下地址: 0X10A4F01B80203591CCEE76081A4489AE1CD1281C (3分)
结果为2024-08-14 16:58:53
58. [单选题] 参考 David_Smartphone_1.zip,David 曾利用手机应用程序"MetaMask"三次发送虚拟货币失败。根据persist-root,发送虚拟货币失败的原因是什麼? (3分)
结果为手续费不足
你根据易失性(Volatility Level)优先次序,进行内存取证分析David的笔记本电脑。
59. [单选题] 参考RAM_Capture_David_Laptop.RAW,以下哪一个不是程序"firefox.exe"的PID? (2分)
结果为5260
*60. [填空题] 参考RAM_Capture_David_Laptop.RAW,汇出PID:724的程序,其哈希值 (SHA-256) 是? (2分)
不过vol导出,会多导出部分空数据,把这部分去掉
结果为fee23ebcba02987e70d81ca1924c2e9c69d79ac2afea5bbde4fb335a57d4b30c
61. [单选题] 参考RAM_Capture_David_Laptop.RAW,哪一个是执行PID:724程序的SID? (1分)
结果为S-1-1-0
62. [填空题] 参考RAM_Capture_David_Laptop.RAW,账户David Tenth的NT LAN Manager的哈希值(NTLM Hash) ? (答案格式:只需使用全部小写及阿拉伯数字回答) (1分)
结果为e14a21fefc5dd81275bb87228586cffc
在取证中,你发现D盘被BitLocker 加密。U盘上可能有一些线索,你对U盘进行了取证。
63. [单选题] 参考David_USB_8GB.e01,David 的U盘文件系统的格式? (2分)
结果为NTFS
64. [单选题] 参考David_USB_8GB.e01,David 的U盘文件系统中,每簇(Cluster)定义了多少字节(Byte)? (2分)
结果为512
65. [单选题] 参考David_USB_8GB.e01,David 的U盘中有多少个已删除的文件? (2分)
结果为1
66. [单选题] 承上题,参考David_USB_8GB.e01,已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量是多少? (2分)
转到文件记录
本来想看模板里有没有的,但是模板里好像没有记录这一块,没有想要的数据,估计是版本太老了
参考一下文章
NTFS(文件恢复)最简单情况_ntfs index recovery-CSDN博客
得知在这一块中,第一个字节22,第2个2表示后面两个字节的内容为偏移量,第1个2表示从第3个字节开始的2个字节表示起始簇号,这一段内容为8个字节,即64位
既然是64的话,感觉大概率是这个0x40
结果为64
67. [单选题] 承上题,参考David_USB_8GB.e01,已删除文件的第一个运行的十六进制值(低端字节序 Little-Endian)是多少? (3分)
其实就是端序的问题
结果为0x4C3F0DB522
68. [填空题] 承上题,参考David_USB_8GB.e01,已删除的文件的实际大小(单位:字节 Byte)是多少? 答案格式:只需使用阿拉伯数字回答 (2分)
结果为1796178
69. [填空题] 承上题,参考David_USB_8GB.e01,已删除文件的第一个运行偏移量(Run Offset)是多少? (答案格式:只需使用阿拉伯数字回答) (2分)
结果为19519
70. [单选题] 承上题,参考David_USB_8GB.e01,已删除的文件的第一个运行的簇运行长度(Run Length)是多少? (2分)
结果为3059
71. [单选题] 承上题,参考David_USB_8GB.e01,已删除文件的图像文件像素值(Pixel)是多少? (2分)
结果为4000X3000
72. [单选题] 承上题,参考David_USB_8GB.e01,已删除图像文件是用哪个品牌和型号的手机拍摄? (2分)
结果为samsung SM-A4260
在 U盘中,你还发现了一个exe文件,但它被锁定,可能需要进行反编译以便进一步检查。
73. [单选题] 参考David_USB_8GB.e01,使用x64dbg的字符串搜索(String Search)功能,在Bitlocker.exe中查找哪个字符串最有可能与显示的登录状态有关? (1分)
结果为Login Successful!
74. [单选题] 承上題,当找到控制登录成功的逻辑代码时,如何修改汇编代码(Assembly Code)来绕过检查,达到任意输入,都成功登录的效果? (2分)
结果为修改CMP 指令後的跳转指令JNE 為nop,使跳转指令失效
75. [填空题] 参考David_USB_8GB.e01,Bitlocker.exe的正确用户登录名称是? (1分)
先拿账号密码
然后渠道后面做判断,这样账号是david1337,密码是1337david
结果为david1337
76. [填空题] 参考David_USB_8GB.e01,Bitlocker.exe的正确登录密码是? (2分)
结果为1337david
77. [单选题] 参考David_USB_8GB.e01,当Bitlocker.exe程序尝试显示登录结果(成功或失败)时,使用了哪一种途径来决定显示的消息? (2分)
结果为通过检查某个寄存器的值来决定跳转到不同的汇编代码区段
78. [单选题] 参考David_USB_8GB.e01,决定能否解密 Bitlocker Key 的字节的内存偏移量(Memory Offset)(相对于基址"bitlocker.exe")是什么? (3分)
结果为0x808C
79. [单选题] 参考David_USB_8GB.e01,决定能否解密 Bitlocker Key 的内存偏移量(Memory Offset)后,应该如何利用它来进行解密? (2分)
结果为将该偏移量处的值改为 1 (true),以启用解密过程
80. [单选题] 参考David_USB_8GB.e01,解密后的 Bitlocker Key 是? (3分)
动态调试,打断点,将这个变量的值改掉就行了,非0应该都行
结果为299255-418649-198198-616891-099682-482306-642609-483527
到目前为止,你已经获得了 BitLocker 密钥以解密 D盤,通过对David 笔记本电脑D盤的分析,并发现了一些重要信息。你现在将继续调查未加密的 C盤。
81. [单选题] 参考David_Laptop_64GB.e01,分区格式(Partition)是? (2分)
结果为GPT
82. [单选题] 参考David_Laptop_64GB.e01,該e01成功提取的日期和时间是? (2分)
结果为2024-09-09 16:37:36
83. [填空题] 参考David_Laptop_64GB.e01,最后登录的用户是谁? (答案格式:大写英文字母,小写英文字母和空格混合组成,例如:Tom Hanks) (2分)
结果为David Tenth
84. [单选题] 参考David_Laptop_64GB.e01,用户配置的时区是? (2分)
结果为China Standard Time
*85. [单选题] 参考David_Laptop_64GB.e01,David的笔记本电脑曾經连接了多少个设备? (2分)
结果为3
86. [填空题] 参考David_Laptop_64GB.e01,David的笔记本电脑上的Firefox浏览器安装了哪些扩展工具? (答案格式:请以大寫英文字母作答,无须留空白位) (2分)
其他3个似乎不是第三方扩展
结果为METAMASK
87. [单选题] 参考David_Laptop_64GB.e01,根据用户配置文件中的.lnk文件,最后访问的文件名称是? (2分)
排序
结果为下载
88. [单选题] 参考David_Laptop_64GB.e01,David的笔记本电脑曾經连接了多少个不同的Wi-Fi? (2分)
结果为1
89. [填空题] 承上题,参考David_Laptop_64GB.e01,该Wi-Fi网络的名称(SSID)是? (答案格式:大写英文字母和小写英文字母混合组成) (2分)
结果为ErrorError5G
90. [单选题] 参考David_Laptop_64GB.e01,该电脑的Windows操作系统的安装日期是什么? (2分)
结果为2024-07-31 10:18:26
通过对David 笔记本电脑的电子数据取证和痕迹分析,你了解到David是一名 cryptocurrency 专家。
91. [单选题] (假設虚拟貨幣International Digital Forensics Coin (IDFC)面值是每1個IDFC等如1-HKD IDFC Token Address: 0x56E7A6dd8aA1c78ba77944C94c43054978E89b7b 區塊鏈: Binance Smart Chain) 下列那个网站能够找到区块链:Binance Smart Chain的交易记录? (1分)
比赛时断网,题能做说明镜像里能找到,在firefox浏览器里/Users/David Tenth/AppData/Roaming/Mozilla/Firefox/Profiles/olucne5h.default-release/places.sqlite
结果为bscscan.com
92. [单选题] 参考Emma_Mobile.zip中的微信聊天记录分析,Emma用什么方法盜取David的IDFC? (1分)
结果为Emma经Clara盗取了David虚拟货币钱包的回复匙(Recovery seed)
93. [单选题] 根据David,Emma及Clara的微信对话,David在什么日期时间发现IDFC被盗? (1分)
Clara的微信
结果为2024-08-28 09:14:36
94. [单选题] 参考Emma_Mobile.zip中的微信对话分析,Emma为什么盜取David的IDFC? (1分)
结果为还债
95. [单选题] 参考David_Laptop_64GB.e01及David,Emma及Clara的微信对话,分析IDFC的交易记录,Emma盜取了David虚拟货币钱包内哪个地址的IDFC? (2分)
按理说我肯定上浏览器查交易了,不过提供了一个交易记录的csv(87题)
Emma在26日14点半得知了回复种子,David在28日9点左右发现失窃
所以只有两条符合
使用回复种子恢复后,找不到0x726....这个地址,所以只有下面的这个了
结果为0x10a4f01b80203591ccee76081a4489ae1cd1281c
96. [单选题] 根据David,Emma及Clara的微信对话及IDFC的交易记录作分析,Emma总共盗取了David多少IDFC? (2分)
结果为90000
97. [多选题] 根据Emma及Clara的微信对话,下列哪些地址是由相同的恢复短语(Recovery Seed)所生成? (3分)
结果为0x10a4f01b80203591ccee76081a4489ae1cd1281c、0x152c90200be61a540875f2a752c328bd19dbfb870x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220
98. [单选题] 根据IDFC的交易记录作分析,总共有多少次IDFC交易流入地址0x10a4f01b80203591ccee76081a4489ae1cd1281c? (1分)
结果为2
99. [单选题] 参考David_Laptop_64GB.e01,在David计算机的D盘内有一张图片,根据图片上的信息,找出David另一个虚拟货币钱包的恢复短语(2)(Recovery Seed),下列哪一个单词是在此恢复短语(2)(Recovery Seed)内? (3分)
只有2个单词能看到,其他地方没有找到,水群的时候有看到说是内存里,我想这个内容比较少,可能是要用mftscan?但是搜索之后又感觉不像,感觉是认为搞进去的。。
结果为infant fragile garlic bracket stove blade stick dove aerobic spin term educate
100. [多选题] 承上题,参考David_Laptop_64GB.e01,在IDFC的交易记录中,下列哪些地址由上述恢复短语(2)(Recovery Seed)所生成? (2分)
结果为0x90f73497E4446f6Cf9881213C32D6af66d799fE5、0x63a8ba1df0404ee41f7c6af8efd2f54006f32042