美亚团体WP

时间:2024-03-17 22:42:19

2020美亚杯团体赛WP

前几天忙软考,好久没更新,为庆祝软考结束+EDG夺冠,三个人安排五小时打了一波团体,小累~

案例背景

你的电子数据取证调查结果发现一个国际黑客组织牵涉这宗案件。经深入调查后,调查队伍相信该黑客组织入侵了一个名为Zello的本地网上商店官网,黑客组织也针对另一家网上商店Xeno发动网络攻击,使其系统产生故障。调查期间发现三名男子: 张伟华、冯启礼及罗俊杰疑与该案有关。警方在搜查他们的住宅及公司后扣押了数十台电子设备。请分析电子数据证据并重建入侵痕迹。

题目

1、Zello服务器的哈希值(SHA256)是甚么?

30B856EEE5121EDC2F9DC19ACFC8720E443810CBC5B83128EC62F9F4AAEAACC9

2、卷组是何时创建的?

磁盘结构概念:

pv:physical volume,物理磁盘,比如一整块固态硬盘

vg:volume group,即卷组,比如Windows里的新建卷

lv:logical volume,逻辑磁盘,比如c盘、d盘

命令

df -h

可以查看文件系统和磁盘空间。

lvdisplay

2_zello_lvdisplay

可以查看lv的相关信息,比如LV-UUID。pvdisplay和vgdisplay同理。一般需要root权限才可以执行。

答案:

2020/09/03 10:22

3、卷组的名称是甚么?

答案:

ubuntu-vg

4、物理卷的PV UUID是多少?

pvdisplay

答案:

IF6neD-j49V-704g-Uugw-X

5、卷组的VG UUID是甚么?

vgdisplay

答案:

XaJRmQ-S7Tp-tjaG-tmrX-Vnyu-xhS7-9zDttW

6、Zello服务器的Linux内核版本是甚么?

仿真:

uname -a

也可以直接分析。

答案:

5.4.0-48-generic

7、Zello服务器的操作系统版本是甚么?

答案:

Ubuntu 20.04.1 LTS

8、Zello服务器的主机名是甚么?

cat /etc/hostname

答案:

zello

9、Zello服务器的主机名是甚么?

cat /etc/machine-id

9_zello_机器码

答案:

ff39cddc1d794eb6888962aafa17ab28

10、Zello服务器中使用的wordpress版本是甚么?

根据bash得到wordpress安装在/var/www/wordpress里

10_zello_wordpress_install

同时根据查阅得到wordpress的配置文件: wp-config,发现include了 wp-settings.php

cat /var/www/wordpress/wp-config.php
cat /var/www/wordpress/wp-settings.php | grep version.php

10_zello_wordpress_wpconfig

在wp-settings.php中查询version发现require_once version.php:

10_zello_wordpress_version

在目录下查找version.php然后cat得到版本号

find /var/www/wordpress/ | grep version.php
cat /var/www/wordpress/wp-includes/version.php

10_zello_wordpress_version_php

答案:

5.5.1

11、Zello服务器与之同步的主机名是甚么?

cat /etc/hosts

也可以查看ntp文件。

cat /etc/ntp.conf

11_zello_ntp

答案:

NTP-server-host

12、Zello服务器的时区是甚么?

timedatectl

或者查看:

cat /etc/timezone

答案:

Asia/*

13、有多少个本地用户已登录到Zello服务器?

last

13_zello_last

答案:

1

14、植入网络目录(Webdirectory)的网页壳层(Web Shell)的哈希值(MD5)是甚么?

把/var/www文件夹直接导出来,用D盾扫描,找到123.php后门:

14_zello_D盾_123php

同时查看/var/log/access.log.1可以看到123.php,确定123.php为shell文件

14_zello_accesslog1

答案:

ECFD5B5E56D56C6BBA6E1BAD595BFC0C

15 、(由于学校给的题目里这题的题号没加,懒得改了,后面的题号就跟着减一)\var\www\html\wordpress\net\2020\Login\ index.php\'有甚么作用?

把index.php导出来,打开小皮,访问网页看一下:

14

可以看到该网页用来窃取用户账号和密码。

答案:

盗取资料

16、钓鱼网站伪装成甚么网站?

答案:

Netflix

17、下列哪个IP对Zello服务器进行了蛮力攻击?

解压日志文件:

gunzip -d /var/log/apache2/access.log.3.gz

或者用火眼导出来用解压软件解压。

查看access.log.3可以看到中间有大量使用Hydra爆破软件的日志记录(PS:8个日志把人看傻了):

16_zello_Hydra

答案:

203.186.94.68

18、Zello Web服务器的URL是甚么?

cat /etc/hosts或者直接打开仿真的firefox会自动跳转到该页面:

17_zello_URL

答案:

http://zello-onlineshop.sytes.net/

19、LVM2容器的第一个扇区是什么?

取证大师看分区信息,再用扇区512算一下即可。

答案:

2101248

20、Zello服务器中LVM2容器的大小(以字节为单位)是甚么?

答案:

31135367168

21、在Zello服务器以及Alice的装置中可以找到甚么共同文件?

Bash可以看到Zello中有R3ZZ.txt。

20_zello_R3ZZtxt

答案:

R3ZZ.txt

22、2020年8月29日在Xeno服务器中发现的攻击类型是甚么?

查看access.log,里面一堆POST和GET相同的请求(看了wp才知道还有这种攻击)

答案:

HTTP GET/POST Flood

23、哪个IP地址在日志中条目数量最多?

把日志拉一下就看到下面基本都是这条IP

答案:

14.102.184.0

24、这个登录次数最多的IP地址,它访问最多的是哪个页面?

每个选项都带进去搜索,比较匹配次数(比较笨)

尝试使用log paser lizard(很高效),但不知道为什么总是报"cannot find fields directive"错误,很难受

risk.xhtml

25、这个登录次数最多的IP地址来自哪个国家或地区?

查看Meiya Cup 2020\調查報告\互联网服务供货商检查报告_罗俊杰(Daniel).pdf:

24_xeno_香港

*

26、这个登录次数最多的IP地址,合共有多少次成功登录?

不知道搜哪个文件,不会做。。

答案:

18

27、除DDoS之外,还可能涉及其他攻击吗?

搜索:login,发现有多个login.xhtml;jsessionid= ,每个jsessionid都不同,说明是暴力破解session

26_xeno_loginxhtml

答案:

暴力破解攻击

28、从该网站下载了多少数据?

日志状态码后面的数字是服务器与客户端传输的数据大小,单位为字节。

把download对印的14个get请求的传输字节总数算了一下,大约为2.5G

答案:

现有资料不足以作推断

29.Bob路由器的型号是甚么?

TL - WR740N

image

30.Bob家的IP地址是甚么?

27.111.174.91

image

31.使用路由器的装置的Mac地址是甚么- Alice?

这题没找到答案

31、32、33需要推断身份,在个人赛我们已经知道Bob和Cole是Boss,

image

Bob的路由器日志

image

Bob家路由器的MAC——A4:4E:EC:24:00(Bigboss)

从日志可以看出Cole是去过Bob家的,所以Cole肯定是另一个Boss——Moving Boss(38:48:4C:17:9A:OC)

Alice的我还没找到

32.使用路由器的装置的Mac地址是甚么- Cole?

38:48:4C:17:9A:OC

33.谁到访过Bob的家?

Alice 及 Cole

虽然31不会,但是从31题可以看出,Alice是在9月28号用过这个路由器的,所以Alice和Cole都来过

34.他们甚么时候去过Bob的家?

2020/9/28

image

35.Bob的笔记本计算机的哈希值(SHA-1)是甚么?

5DF01AC2194A74804DEB0F7332532D39711C5770

image

36.笔记本计算机中安装了甚么电子邮件程序?

Super Email Sender

选项中只有Super Email Sender

image

37.网络钓鱼电子邮件的接收者是储存在甚么文件?

NETFLIX.htm.dump

image

38.在Bob的笔记本, 有什么可疑APK及其功能?

检查虚拟货币的价格

看到一堆APK,一个个装进去分析吧

image

思路可以从40题的题目入手(团队赛就是这样,要纵观全局,一道题卡住了就看看别的题)

image

我们找到一个APP——bitcoin_ticker(mytracker.apk),他里面有Bitlocker密钥和恢复密钥

image

39.该可疑APK 从什么网站获取资料?

https://rest.coinapi.io/v1/exchangerate

直接暴力搜索

grep "rest.coinapi.io" ./ -nr
strings ./lib/arm64-v8a/libapp.so | grep "rest.coinapi.io"\n

image

40.上述APK中发现的Bitlocker密钥是甚么?

741852963

image

41.网络钓鱼网站的网页寄存的网站地址是甚么?

http://zello-onlineshop.sytes.net/wordpress/net/2020/Login/

image

42.Bob的桌上计算机的哈希值(SHA-256)是甚么?

86C740D5FB096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C2673

image

打开Desktop.E01的镜像

但是有个分区被BitLocker加密了,BitLocker密钥没用,直接用恢复密钥即可解密成功

image

image

仿真

43.Bob的桌上计算机的安装时间是几点?(本地时间)

2020/9/15 3:40:00

image

44.Bob桌上计算机内发现的网络钓鱼脚本是甚么?(某些字符被刻意用*遮盖)

i*t*r.zip (inter.zip)

给仿真的系统整个Everything,爽搜

image

45.该网络钓鱼脚本的功能是甚么?

收集个人数据

inter.zip解压

image

PHP代码审下

image

收集IP和地区

46.在Bob iphone, 与Alice和Cole通讯记录的完整路径是甚么?

File List\User File List\Applications/Group/group.net.WhatsApp.shared/ChatStorage.sqlite

Table:ZWAMESSAGE(ZCHATSESSION:4)

首先,在udf配置文件能找到备份密码1234

image

与Alice和Cole的谈话都在85263762546@s.whatsapp.net群组中

image

image

导出来连接sqlite,85263762546@s.whatsapp.net 的 ZCHATSESSION=4

image

47.Bob的iPhone的苹果ID是甚么?

bobcheung123@gmail.com

image

48.Bob的iPhone的IMEI是甚么?

13421004458835

image

49.Bob iPhone的时区设置是甚么?

UTC +8

grep搜下

image

image

香港时区

50.文件“ VIP.txt”的完整路径是甚么?

Bob/mobile/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApp.shared/Message/Media/85262547937-1600392878@g.us/c/5/c56255d0-a407-4341-afef-7bf5accc52f0.txt

火眼全局搜索

image

50.在Bob iphone, 谁是“ 85262547937-1600392878@g.us”的聊天群组中的管理员?

Alice

聊天记录推断

52.“85262547937-1600392878@g.us”聊天群组中有多少个附件?

4个

image

53.Bob iPhone的Airdrop ID是甚么?

火眼取不出来

54.Bob的iPhone的操作系统版本是甚么?

image

55.Bob在2020-09-17的1451时访问的连结是甚么?(UTC + 0)

https://www.softwaretestinghelp.com/ddos-attack-tools/amp/ (Title:8 Best DDoS Attack Tools (Free DDoS Tool Of The Year 2020))

2020-09-17的2051历史记录

image

56.Bob的Samsung S2的Android ID是甚么?

72af229d1da3b3cd

火眼全局搜索“Android ID”

image

57.Bob的Samsung S2的操作系统版本是甚么?

4.1.2

image

58.Bob Samsung S2的时区设置是甚么?

Asia/Hong_Kong

image

59.“ bitcoin.PNG”的储存位置是甚么?

userdata (ExtX)/Root/media/DCIM/

image

60.bitcoin.PNG的哈希值(SHA-256)是甚么?

479AADBA030B9F1B0165760881EAEED48330CB3DCCC807FE482985A8370B0D5B

image

61.Bob的Samsung S2的wifi mac地址是甚么?

60:21:C0:4B:75:11

mac.info

image

62.“ userdata(ExtX)/ Root / media / Download / APK Testing”中的有多少APK檔?

10

image

63.Messagesecure.apk的哈希值(SHA-256)是甚么?

ae572eb1a59e9a8dc25ad02c15761532658747979e63ad356ec5b9c1f623b4bf

image

64.私钥已在bitcoin.PNG中加密。私钥是甚么?

KzZUc6yaEjPd7NgBBRz9yUAf447Ei74K8rwuxoia8paBjzDNNpqG

发现是用这个App解密的,密钥Aa654321

image

65.apk文件“ flash_chat”的哈希值(SHA-256)是甚么?

041a731249fa7bbaebd88651e0f5d2c4c3069c6ff8924b80579a2b160e387340

这个题要去Alice的手机找的,全局搜索,只有这个是完整的apk

image

算一下SHA-256

image

66.哪个文件包含“ flash_chat”聊天记录?

B

image

67.从“ flash_chat”找到的Bob的Windows密码是甚么?(某些字符被刻意用*遮盖)

112233

navicat连接上题的sqlite

image

68.消息的消息号码(Message ID)是甚么?

0x04CM9o69pmKByxwnRj

刚才消息的ID,同一行

image

69.“ flash_chat”消息ID“ aGqBnI5Bxutv24SQvrBL”中的密码是甚么?(某些字符被刻意用*遮盖)

helloworld

直接找aGqBnI5Bxutv24SQvrBL的消息ID

image

helloworld

70.从Bob iMAC 桌面名为Wallet.dat 的档案中可以取得以下那一个比特币地址?(某些字符被刻意用*遮盖)

3KHtnfnLp7P8Vu7EA4uUJzkngnXxGMZWwo

可以把Wallet.dat放Winhex里正则搜索,或者把MAC中bitcoin的软件下到本地也可以跑出来

image

71.从Wallet.dat档案中取得的比特币地址,那一个有接收及传送过比特币?(某些字符被刻意用*遮盖)

3HeQp9c74rqN6ymzGwr9JB7z8CPaX2458w

可以从https://www.blockchain.com/地址查询验证

image

image

72.以下那一个比特币接收或传送交易的哈希值与上述的比特币地址有直接关系?(某些字符被刻意用*遮盖)

1f9f0f61e1b80cc1086445c4d9159a8ec9bde6500e2850fc134860b82c97288e

image

73.上述的比特币交易中所涉及多少比特币?

0.01455279BTC

image

74.Bob iMac数据磁盘的哈希值(SHA-256)是甚么?

F83929D4217939E37A4408FAE745363A4635A18CB0EE2E29771449E86F8BD7E7.

75、Cole桌上计算机的哈希值(SHA-1)是甚么?

答案:

0D00A8A853B9001A9FC7BF89D9FBBA790C065CE2

76、Cole桌上计算机的用户名是甚么?

答案:

COLE

77、在Cole的桌上计算机中发现了多少潜在的受害者?

打开文件C:/secrets/vips.txt可以看到

答案:

200

78、潜在受害者的数据被储存在哪里?(某些字符被刻意用*遮盖)

答案:

Partition 3\secrets\vips.txt

79、预设浏览器何时安装?

仿真右键edge快捷键,查看内容

答案:

2019-12-07

80、Cole桌上计算机上预设安装了甚么浏览器?

78_cole_desktop_默认安装浏览器

答案:

Internet Explorer

81、上述储存浏览记录的默认浏览器,该文件档案的类型是什么?

用火眼查看Edge历史记录,然后右键跳转到源文件:

79_cole_desktop_浏览记录存储文件后缀

答案:

dat

82、入侵Zello的证据文件是甚么?

证据文件包括浏览记录

答案:

WebCacheV01.dat

83、受感染网站的网址是什么?

(感觉像是前面服务器的题目乱入)

答案:

http://zello-onlineshop.sytes.net

84、Cole桌上计算机上的DDoS勒索字条是甚么?(某些字符被刻意用*遮盖)

仿真桌面上可以看到

82_cole_desktop_ddos_bitcoin

答案:

Ransome Note of DDOS.txt

85、在Cole桌上计算机上发现的DDoS勒索字条中,比特币钱包地址是甚么?

答案:

1L6fKWpEYvUi8FeG6BnXqfh1joAgmJA1h1

86、Cole笔记本计算机的哈希值(SHA-1)是甚么?

答案:

9CD259C89F2C5E6A2E02CFF13DBD61E423B82EF5

87、Cole笔记本计算机有多少个用户帐户?

分析看一下:

85_cole_laptop_users

答案:

3

88、当前登录用户帐户的用户名是甚么?

仿真登录

答案:

Cole

89、在Cole笔记本的随机存取记忆体中, 是甚么Windows配置文件?

有些低版本的volatility在下面96题dlllist里无法解析出应有的dll文件,这里分享一下个人用的volatility以及bench:百度网盘链接 提取码:luks

cmd:

volatility.exe -f F:\美亚杯\美亚杯-2020\camp\cole导出\coleramdump.mem imageinfo

答案:

Win7SP1x64

90、用户密码的前5个字符是甚么?

火眼仿真可以直接看到

答案:

78945

91、计算机中可疑的txt文件的名称是甚么?

查看最近打开文档(个人觉得costomer.txt也蛮可疑的,不过被删了)

89_cole_laptop_可疑文件

答案:

vips.txt

92、可疑txt文件曾经出现在哪个路径?

答案:

C:/Users/Cole/Desktop/

93、是否有任何证据表明该文件已执行?

答案:

是的,因为在Cole \ AppData \ Roaming \ Microsoft \ Windows \ Recent \中找到了与此文件相关的lnk文件

94、以下哪个与上述可疑txt文件相关的发现是正确的?

发现costomer.txt和vips.txt,但对于costomer.txt火眼和取证大师都无法显示创建时间,乃正哥 是看$extend/$UsnJrnl里的$J查看的,但取证大师和火眼都显示该文件夹为空,没有X-Ways。。。就盲猜了

答案:

在创建可疑txt文件之后,创建/访问了另一个txt文件

95、根据系统时间,Cole在2020-09-18 01:01:08 UTC + 0000左右用笔记本计算机做了甚么?

注意使用的UTC+0000,火眼里时间得要再加8h

火眼时间线可以看到这个时间他调用了Eraser.exe进程

93_cole_laptop_可疑文件

答案:

他删除了一些文件

96、FTK Imager.exe的PID是甚么?

volatility.exe -f  F:\美亚杯\美亚杯-2020\camp\cole导出\coleramdump.mem --profile=Win7SP1x64 pslist

94_cole_内存_FTK_PID

答案:

2456

97、FTK Imager.exe的父应用程序是甚么?

PPID为父进程ID

答案:

660

98、FTK Imager.exe使用甚么DLL?

volatility.exe -f  F:\美亚杯\美亚杯-2020\camp\cole导出\coleramdump.mem --profile=Win7SP1x64 dlllist

拖到最下面

96_cole_内存_dlllist

答案:

sensapi.dll

99、MpCmdRun.exe的PID是甚么?

volatility.exe -f  F:\美亚杯\美亚杯-2020\camp\cole导出\coleramdump.mem --profile=Win7SP1x64 psscan

psscan命令可以看到隐藏进程MpCMdRun.exe,而pslist看不到

97_cole_内存_psscan

答案:

1288

100、以下哪个与MpCmdRun.exe相关的项目是正确?

看psscan内容

或者也可以用timeliner:

volatility.exe -f  F:\美亚杯\美亚杯-2020\camp\cole导出\coleramdump.mem --profile=Win7SP1x64 timeliner

搜索进程名称即可

98_cole_内存_timeliner

答案:

该过程于2020-09-18 01:20:57 UTC + 0000终止

101、上次启动后,笔记本计算机连接的外部IP是甚么?

netscan发现都是内部地址

volatility.exe -f  F:\美亚杯\美亚杯-2020\camp\cole导出\coleramdump.mem --profile=Win7SP1x64 netscan

99_cole_内存_netscan

答案:

未连接/未连接到任何外部IP

102、上次启动后,笔记本计算机连接的网络驱动器路径是甚么?

见上题

答案:

未连接/未连接到任何外部IP

103、一位客户有一封电子邮件mb@ms.z.**.tw,可以在Cole的笔记本计算机中找到此数据吗? (某些字符被故意用*遮盖)

取证大师找不到,数据恢复也找不到这个邮件,只能先放了

答案:

104、收到上述电子邮件的客户名称是甚么?

105、属于上述客户的电话号码是甚么? (某些字符被故意用*遮盖)

106、上述客户可能居住的区域是甚么?

107、Cole的PI的哈希值(SHA-256)是甚么?

答案:

EABC9BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7C0556

108、Cole PI 装置的操作系统是甚么?

答案:

Ubuntu24

109、操作系统是甚么版本?

答案:

20.04.1 LTS (Focal Fossa)

110、装置的文件系统是甚么?

答案:

Ext 4

111、操作系统的时区是甚么?

查看/etc/timezone

Asia/Shanghai

112、哪个文件包含儿童色情物品内容?(某些字符被故意用*遮盖)

查看bash_history:

cp \'/media/user/D260-8BA9/pthc1.jpg\' \'/media/user/D260-8BA9/pthc2.jpg\' \'/media/user/D260-8BA9/pthc3.jpg\' /var

110_cole_PI_色情物品

答案:

"Partition 2*r\ptc1.jpg,Partition 2*r\ptc2.jpg,Partition 2*r\ptc3.jpg"

113、Cole PI装置中的儿童色情物品的创建时间是甚么?

答案:

2020/09/15 17:21

114、Cole NAS的哈希值(SHA-256)是甚么?

答案:

5B79890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D2871

115、儿童色情数据存放在哪里?

取证大师会自动恢复动态磁盘,有一个RAID-1,火眼目前分析不出来

113_cole_PI_色情物品

答案:

Partition 3\cole-shared\media

116、设备中现有多少儿童色情数据?

答案:

3

117、Cole NAS装置中的儿童色情物品的创建时间是甚么?

答案:

2020/09/15 16:51

118、在Cole手机, 谷歌的用户个人资料是甚么?

火眼分析(正确的手机bin文件在补充文件里)查看Chrome浏览器账号信息即可

116_cole_bin_用户信息

答案:

colefung909@gmail.com

119、Cole的手机上有社交媒体帐户吗?如有,那是甚么?

WhatsApp账户信息

答案:

85263766465@s.whatsapp.net

120、Cole与Bob和Alice在同一个小组中进行过交流吗?它是甚么?

118_cole_bin_whatsapp_group

答案:

是的,在whatsapp组ID中的群聊消息:85262547937-1600392878@g.us

121、Cole手机的Android ID是甚么?

美亚手机大师V4Bob的解析出来了,Cole的却没解析出来。火眼全局搜索,搜索 android id 也没搜到

想要用盘古石呜呜

答案:

626a98cb2bb965ec

122、已安装的WhatsApp APK文件的哈希值(SHA-256)是甚么?

查看分区31/app/,搜索Whatsapp,然后计算文件夹内的apk

120_cole_nexus_WhatsAppapk_sha256

答案:

B31806FA2CCE80923DE8646F835B72D1FB06A97343A5B7242BC3972627C78E1B

123、列出Chrome的五个“关键词搜索”。

查看搜索历史:

121_cole_nexus_搜索关键字

至于为什么选这五个而排除了其他的关键字,比如apple,个人认为还是要根据嫌疑人作案目的来选择

答案:

"bulk mailer, ddos creator, fortress online, parknshop, GitHub malware"

124、在哪里可以找到“Cole的电话”的通话记录?

火眼分析里查看通话记录,随便点一个跳转到源文件,导出db文件查看

121_cole_nexus_contacts2_db

Navicat查看:

122_cole_nexus_table_calls

答案:

Table:calls

125、2020-09-01至2020-09-30之间,“Cole”收到了多少条SMS讯息?

查看短信,排除被删除的信息

123_cole_nexus_信息

答案:

2

126、在Cole的“ whatsapp”联络人中,有多少用户正在使用“ whatsapp”?

有三个联系人,加上Cole自己

124_cole_nexus_Whatsapp联系人

答案:

4

127.Daniel的桌上计算机的哈希值(SHA-256)是甚么?

07DD40CF28603F421F3A09CD38F1C8AA40A2AC4BFB46ECF8299C38CE6AE44ED5

128.该桌上计算机操作系统储存在哪个分区上?

C盘

129.在桌上计算器机中找到Daniel的电子邮件地址是甚么?

daniellaw43346@gmail.com

仿真后进入outlook邮箱

130.该恶意软件感染源是甚么?

未知

131.在Daniel的桌面上发现了甚么恶意软件?(某些字符被刻意用*遮盖)

video_viewer_3.1.2.4.exe

132.该恶意软件的哈希值(SHA-256)是甚么?

72AFE67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D5089

133.该恶意软件的功能是甚么?

特洛伊木马

134.Daniel的MacBook 计算机的哈希值(SHA-1)是甚么?

C71C21730461FC901FD99F76C3679C3FED0DFAB9

135.Daniel的MacBook 计算机中有多少个分区?

2个

136.Daniel的iPhone的操作系统是甚么版本?

12.4.7

/iPhoneBackup/Lockdown/device_values.plist

137.Daniel的iPhone的wifi mac地址是甚么?

64:9a:be:c4:99:7d

/iPhoneBackup/Lockdown/device_values.plist

138.Daniel的iPhone的IMEI是甚么?

356977063078512

检材照片

139.iPhone上次连接WIFI的SSID是甚么?

Netgear24_5G

140.根据调查结果,以下哪项关于Daniel的选项是正确的?

Cole 入侵了 Daniel 的计算机

总结

这次从Satan哥那偷了一手Grep暴力搜索,效果显著,玩爽了。但不建议大家学,只能算做题的一个小trick,也不好拿这个方法答辩,平常学习的话还是按正常思路耐心寻找比较好。