检材链接（来自美亚官方）：https://pan.baidu.com/s/1ajsVB_15aJ4mzTvd5rHSkQ?pwd=pv1h
容器密码：eS2%u@q#hake2#Z@6LWpQ8^T(R7cg95m\Bv+y;$=/dqxYnEusFf)tb>:HKHwy+e%cR\r=9j:GsK)AV52/3hXfdv8#u7a6JQ^pz><YPNkq*!&

检材列表

Emma的iOS手机镜像档案(Emma_Mobile_Image.zip)

Clara的安卓手机镜像档案(Clara_Smartphone.bin)

David的Windows系统计算器镜像档案(David_Laptop_64GB.e01)

David的8GB U盘镜像档案(David_USB_8GB.e01)

David的安卓手机镜像档案(David_Smartphone_1.zip)

David的Windows系统计算器内存档案(RAM_Capture_David_Laptop.raw)

案情简介

2024年8月某日，香港警方接获一名本地女子Emma报案，指她的姐姐Clara失联多天，希望报告一宗失踪人口的案件。现在你被委派处理这宗案件。在处理该案件期间，你在Emma的同意下提取了她手机的资料，并且协助警方对Clara及其丈夫David的电子装备进行取证工作。请分析以下的资料，还原事件经过

根据案情简介和检材数量大致可以理清楚整个案件的过程，而且个人赛是与团体赛有关系的，都是属于同一个背景，其实在做个人赛时知道是Clara为了帮助妹妹Emma还债把丈夫David的虚拟货币钱包告诉Emma，之后Clara就失踪，然后Emma才去报案。根据赛前的分析和做个人赛的内容就可以怀疑Clara是被丈夫David杀害，至于团体赛的比赛内容应该就是就David为什么会有那么多虚拟货币来进行取证分析。

个人赛 (100个小题, 共200分)

1. [单选题] Emma 已经几天没有收到她姐姐 Clara的消息了，报警失踪, 她焦虑地将手机提交给警察,希望能找到线索｡警察将手机交给你进行电子数据取证｡你成功提取了Emma手机的镜像｡ 请根据取证结果回答以下问题｡ 根据Emma_Mobile.zip, Emma和Clara的微信聊天记录,Emma最后到警署报案并拍摄写有报案编号的卡片,拍摄时的经纬值是多少? (2分)A
   A. 22.451721666667, 114.171853333333
   B. 22.451553333333, 114.172845
   C. 22.451928333333, 114.170503333333
   D. 22.451638333333, 114.16993

在Exif信息中找到报案的图片，但是没有经纬度信息

接着去找 Emma和Clara的微信聊天记录，直接去翻数据库message_2.sqlite记录的信息，Clara失踪Emma发消息给Clara，这张图片应该就在最后的聊天记录那里，而且里面还记录了Emma联系不上很着急一直发消息给Clara

其中的CDATA部分指向了一个UUID，在Photos.sqlite数据库中搜索F58B98FE-8010-44B7-8BF7-F23AF15DCFCA，找到了IMG_0019.HEIC，这里有详细的经纬度记录

1. [单选题] 根据Emma_Mobile.zip, 2024年8月30日下午两点后Emma共致电Clara多少次? (1分)
   A. 85
   B. 86
   C. 87
   D. 88

这道题一开始就定位错误，应该直接去Emma数据库里面找的，不应该去其他地方找，尤其是没有按照题目的要求

我直接去找Clara的未接电话，结果是85，但是是错的，应该找数据库的记录

在AddressBook.sqlitedb.db的ABPersonFullTextSearch_content表中可以找到Clara的电话号码为63791704

在CallHistory.storedata.db的ZCALLRECORD表中找到通话记录

时间戳从746692798.229586以后才是2024年8月30日下午两点后

1. [单选题] 根据Emma和Clara的微信聊天记录,Clara失踪前曾告诉Emma会到哪里? (1分)A
   A. 到酒店和丈夫David庆祝结婚周年
   B. 吃自助餐
   C. 约了朋友见面
   D. 去旅行

聊天记录中有

1. [填空题] 参考Emma_Mobile.zip, Emma的iPhone XR内微信应用程序的版本是多少? (2分)

8.0.50

直接在应用程序中找出来

1. [多选题] 参考Emma_Mobile.zip, Emma手机中下列哪个选项是正确的? (2分)BD
   A. iOS 版本为 17.6.1
   B. IMEI 为 356414106484705
   C. Apple ID 为 Emma1761@gmail.com
   D. 手机曾经安装Metamask 应用程式

这道题做的时候使用的是排除法，排除两个不对的选项剩下的就是正确的，毕竟这是多选题

iOS备份中有记录17.5.1，排除A

设备信息中的Apple ID为emmaemma.851231@gmail.com，排除C，所以最后选BD

1. [填空题] 参考Emma_Mobile.zip,Emma 手机中 Apple ID 的注册电子邮箱是多少? (2分)

emmaemma.851231@gmail.com

7. [填空题] 参考Emma_Mobile.zip,在2024年,Emma 手机上曾记录的电话卡集成电路卡标识符 (ICCID) 是多少? (答案格式:只需使用阿拉伯数字回答) (2分)
8985200000826445829

本机号码85297837410

查看SIM卡信息

8. [填空题] 参考Emma_Mobile.zip,Emma 手机的蓝牙设备名称 "ELK-BLEDOM" 的通用唯一标识符 (UUID) 是什么? (1分)
8D13F23C-E73C-6A98-AA4F-16C8D7A5F826

根据记录蓝牙的数据库找到

9. [单选题] 你发现了一些线索,Emma 看起来也很可疑,她似乎背负了大量债务｡ 参考Emma_Mobile.zip,Emma 手机内Safari浏览记录中网页"https://racing.hkjc.com/"的网站标题是什么? (1分)D
A. 香港马会奖券有限公司
B. 六合彩 - Google 搜索
C. 快易钱:网上贷款财务公司 | 足不出户现金即日到手
D. 赛马信息 - 香港赛马会

直接看记录

1. [单选题] 参考Emma_Mobile.zip,Emma向Clara透露什么原因令Emma欠下巨债? (1分)D
   A. 投资孖展
   B. 虚拟货币失利
   C. 网上赌博
   D. 以上皆是

根据之前看Emma与Clara的聊天记录可以知道Emma不仅赌博、投资还网赌

1. [单选题] 参考Emma_Mobile.zip,收债人要求Emma还款数量? (1分)C
   A. 港币

   

   878,990？？？
   C. 港币

   

   745,330

收到的信息记录有

1. [单选题] 参考Emma_Mobile.zip,Emma发送了多少张.PNG图片给Clara,证明自己正被人追债? (2分)B
   A. 6
   B. 7
   C. 8
   D. 9

Emma与Clara的聊天记录中有7张截图是关于Emma被追债的

1. [单选题] 参考Emma_Mobile.zip,Emma用来浏览虚拟货币的网址? (2分)C
   A. Google.com
   B. Facebook.com
   C. IntellaX.io
   D. Yahoo.com

浏览器记录中有贷款、网赌、投资等记录，但是认真看一下域名，wallet（钱包），一般虚拟货币是存放在钱包里的࿰