案情

于 2024 月 8 月某日, 警方接获一名本地女子 Emma 报案, 指她的姊姊 Clara 失联多天, 希望报告一宗失踪人口的案件. 现在你被委派处理这宗案件. 于处理该案件期间, 你在 Emma 的同意下提取了她手机的资料, 并且协助警方对 Clara 及其丈夫 David 的电子装备进行取证工作. 请分析以下的资料, 还原事件经过.

资料:

1. Emma 的 iOS 手机镜像档案 (Emma_Mobile_Image.zip)
2. Clara 的安卓手机镜像档案 (Clara_Smartphone.bin)
3. David 的 Windows 系统计算器镜像档案 (David_Laptop_64GB.e01)
4. David 的 8GB U 盘镜像档案 (David_USB_8GB.e01)
5. David 的安卓手机镜像档案 (David_Smartphone_1.zip)
6. David 的 Windows 系统计算器内存档案 (RAM_Capture_David_Laptop.raw)

建议软件列表:

1. Windows 系统分析工具
2. 数据库分析工具 (参考例子：DB browser for SQLite, Plist Editor Pro)
3. 手机系统分析工具 (参考例子：手机大师, Autopsy)
4. 内存分析工具 (参考例子: Volatility)

第一题

Emma 和 Clara 的微信聊天记录, Emma 最后到警署报案并拍摄写有报案编号的卡片, 拍摄时的经纬值是多少?

既然是有关于Emma的信息，那么我们先查看Emma的手机镜像，我们发现是一个压缩包，我们使用火眼证据直接打开，查看图片，即可看到目标图片

查看图片，发现其名字为314，我们去数据库中找到其原消息

可以看到，第314条就是原消息

<msg><img hdlength="0" length="139561" aeskey="b3f5f12230235d3dfe4f90e4984c8ebf" encryver="1" md5="44c089af8c9a1414edb8ee6026be3307" originsourcemd5="0bbe83bda8f3e13735e9009078a231f0" filekey="wxid_t7zgo57j9m0j22_314_1725012210" uploadcontinuecount="0" imgsourceurl="" hevc_mid_size="139561" cdnbigimgurl="" cdnmidimgurl="3052020100044b30490201000204a695112702030f525902044b7d9b2b020466d198f2042432353830663531302d623137372d343463312d623732642d6566396562313331663331610204011d0a020201000400" cdnthumburl="3052020100044b30490201000204a695112702030f525902044b7d9b2b020466d198f2042432353830663531302d623137372d343463312d623732642d6566396562313331663331610204011d0a020201000400" cdnthumblength="3971" cdnthumbwidth="90" cdnthumbheight="120" cdnthumbaeskey="b3f5f12230235d3dfe4f90e4984c8ebf"/><appinfo><appid></appid><appname></appname><version>0</version><isforceupdate>1</isforceupdate><mediatagname></mediatagname><messageext></messageext><messageaction></messageaction></appinfo><MMAsset><m_assetUrlForSystem><![CDATA[F58B98FE-8010-44B7-8BF7-F23AF15DCFCA/L0/001]]></m_assetUrlForSystem><m_isNeedOriginImage>0</m_isNeedOriginImage><m_isFailedFromIcloud>0</m_isFailedFromIcloud><m_isLoadingFromIcloud>0</m_isLoadingFromIcloud></MMAsset></msg>

观察到其GUID为F58B98FE-8010-44B7-8BF7-F23AF15DCFCA我们直接到photos.sqlite数据库找到相应图片，即可获得经纬度

第二题

2024 年 8 月 30 日下午 2 点后 Emma 共致电 Clara 多少次?

A. 85

B. 86

C. 87

D. 88

我们使用取证软件打开后系统类型一定要选对，即IOS，否则无法分析出信息

我们直接查看通讯录，可以知道Clara的电话号码为6379 1704。然后我们就可以去通话记录中按照题目要求直接过滤，即可看到记录为88个

即 D

第三题

根据 Emma 和 Clara 的微信聊天记录, Clara 失踪前曾告诉 Emma 会到哪里?

A. 到酒店和丈夫David庆祝结婚周年

B. 吃自助餐

C. 约了朋友见面

D. 去旅行

我们直接查看Emma个Clara的微信聊天记录，可知：

后来就失踪了

故 A

第四题

Emma 的 iPhone XR 内微信应用程序的版本是多少?

我们查看应用列表，然后跳转到源文件，即Manifest.plist，然后使用plisteditor查看文件。我们直接以tencent为关键词查找文件，即可看到版本号

即 8.0.50

第五题

Emma 手机中下列哪个选项是正确的?

A. iOS 版本为 17.6.1

B. IMEI 为 356414106484705

C. Apple ID 为 Emma1761@gmail.com

D. 手机曾经安装 Metamask 应用程序

逐个分析，A选项我们注意到，镜像中有一个IOS备份，应该就是机主的备份，虽然同样在Manifest.plist中也可以找到，但是实在是太难找了，这个也是对的，故A错误

B选项我们不得不去找com.apple.commcenter.plist了，但是我们换一种思路，直接用答案去找内容，找到了，发现它也确实是IMEI，故B正确

C选项直接在基本信息中即可找到，故C错误

D选项，我们直接在应用列表中搜索，确实是可以搜索到的，故D正确

第六题

Emma 手机中 Apple ID 的注册电子邮箱是多少?

见上题， emmaemma.851231\@gmail.com

第七题

在 2024 年, Emma 手机上曾记录的电话卡集成电路卡标识符(ICCID)是多少?

直接查看SIM卡信息即可

第八题

Emma 手机的蓝牙设备名称”ELK-BLEDOM”的通用唯一标识符(UUID)是什么?

我们查看火眼中的蓝牙信息，发现只有MAC地址，我们直接跳转源文件，即com.apple.MobileBluetooth.ledevices.other.db，然后打开即可看到UUID，但是可能是考虑到现实情况很少用到蓝牙设备的UUID，所以没有展示，即 8D13F23C-E73C-6A98-AA4F-16C8D7A5F826

第九题

Emma 手机内 Safari 浏览记录中网页 https://racing.hkjc.com/ 的网站标题是什么?

A. 香港马会奖券有限公司

B. 六合彩 – Google 搜索

C. 快易钱:网上贷款财务公司 | 足不出户现金即日到手

D. 赛马信息 – 香港赛马会

直接查看safari浏览器记录，然后过滤一下就出来了，即 D

第十题

Emma 向 Clara 透露什么原因令 Emma 欠下巨债?

A. 投资孖展

B. 虚拟货币失利

C. 网上赌博

D. 以上皆是

既然是他们两个的聊天，我们直接查看微信聊天记录，故为 D

第十一题

收债人要求 Emma 还款数量?

既然是收债人那么大概率是在短信中，找到即可，即 C