1. Emma已经几天没有收到她姐姐Clara的消息了,报警失踪,她焦虑地将手机提交给警察,希望能找到线索。警察将手机交给你进行电子数据取证。你成功提取了Emma手机的镜像。请根据取证结果回答以下问题。根据Emma_Mobile.zip,Emma和Clara的微信聊天记录,Emma最后到警署报案并拍摄写有报案编号的卡片,拍摄时的经纬值是多少?

A. 22.451721666667, 114.171853333333
B. 22.451553333333, 114.172845
C. 22.451928333333, 114.170503333333
D. 22.451638333333, 114.16993

2024-08-30 18:03:30

跟发送时间最接近的是18.03.30

找到名字之后在另外一个当中找

A

上来就这么难的题,不要命啦

2. 根据Emma_Mobile.zip,2024年8月30日下午两点后Emma共致电Clara多少次?

A. 85
B. 86
C. 87
D. 88

105-17+3=91根据数据库的信息来看打了91通电话

返回再看clara的手机有3通电话是在2点前打的

所以91-3=88

3. 根据Emma和Clara的微信聊天记录,Clara失踪前曾告诉Emma会到哪里?

A. 到酒店和丈夫David庆祝结婚周年
B. 吃自助餐
C. 约了朋友见面
D. 去旅行

A

4. 参考Emma_Mobile.zip,Emma的iPhone XR内微信应用程序的版本是多少?

AI有提到.plist

但是没找到。。

后来在plist中有找到

8.0.50

5. 参考Emma_Mobile.zip,Emma手机中下列哪个选项是正确的?

A. iOS版本为17.6.1
B. IMEI为356414106484705
C. Apple ID为Emma1761@gmail.com
D. 手机曾经安装Metamask应用程式

没想到刚才找的还有用

1.在Emma_Mobile_Image.tar/Emma_Mobile_Image/Images/Active/var/mobile/Applications/group.com.tencent.xin/Document/02a951e5aa009ee836c3c1e32b136b21/Img/f6b680e85ab3ca24f9da291a870b72bf/group.com.tencent.xin.plist中找到:

所以iOS版本是17.5.1

2.

imei是356414106484705

所以是B

3.

C错

4.

~~其实有找到,但是我imei号一模一样不可错啊 ~~我去是多选

**BD**

6. 参考Emma_Mobile.zip,Emma手机中Apple ID的注册电子邮箱是多少?

emmaemma.851231@gmail.com

7. 参考Emma_Mobile.zip,在2024年,Emma手机上曾记录的电话卡集成电路卡标识符(ICCID)是多少?

8985200000826445829

8. 参考Emma_Mobile.zip,Emma手机的蓝牙设备名称”ELK-BLEDOM”的通用唯一标识符(UUID)是什么?

找到了mac地址

接着在数据库找

8D13F23C-E73C-6A98-AA4F-16C8D7A5F826

9. 你发现了一些线索,Emma看起来也很可疑,她似乎背负了大量债务。参考Emma_Mobile.zip,Emma手机内Safari浏览记录中网页”https://racing.hkjc.com/"的网站标题是什么?

A. 香港马会奖券有限公司
B. 六合彩 - Google 搜索
C. 快易钱:网上贷款财务公司 | 足不出户现金即日到手
D. 赛马信息 - 香港赛马会

D

10. 参考Emma_Mobile.zip,Emma向Clara透露什么原因令Emma欠下巨债?

A. 投资孖展
B. 虚拟货币失利
C. 网上赌博
D. 以上皆是

D

11. 参考Emma_Mobile.zip,收债人要求Emma还款数量?

A. 港币$ 786,990
B. 港币 $878,990
C. 港币$ 786,980
D. 港币 $745,330

C

12. 参考Emma_Mobile.zip,Emma发送了多少张.PNG图片给Clara,证明自己正被人追债?

A. 6
B. 7
C. 8
D. 9

数一下即可

B

13. 参考Emma_Mobile.zip,Emma用来浏览虚拟货币的网址?

A. Google.com
B. Facebook.com
C. IntellaX.io
D. Yahoo.com

wallet都来了 C

14. 参考Emma_Mobile.zip的浏览器记录,有多少网址与bet365有关?

A. 3
B. 13
C. 9
D. 12

用x-ways遍历了一遍之后

发现就出现了3个不同网址,A

15. 你还发现了一些与不当使用他人加密钱包相关的痕迹。参考Emma_Mobile.zip,Emma用了哪些恢复短语(Recovery Phrase)进入David的虚拟货币账户?

A. stock,avocado,grab,clay
B. light,sadness,segment,ancient
C. toe,talk,elder,oil
D. 以上皆是

读一下聊天记录应该是emma跑到David办公室之后拍了这个助记词

D

16. 参考Emma_Mobile.zip,Emma从David处窃取的虚拟货币的名称是什么?

A. IDFC
B. ICAC
C. INIC
D. IFCC

A

17. 参考Emma_Mobile.zip,Clara偷拍的照片中,David的虚拟货币余额是多少?

A. 3266378.99
B. 1044749.22
C. 5022915.66
D. 7822468.44

C

18. 参考Emma_Mobile.zip,Emma在偷窃David的虚拟货币前,Emma曾向Clara透露有什么事发生在Emma身上?

A. 中彩票
B. 欠债
C. 升职
D. 失业

先输了欠债再说了还款

B

19. (你查看了Emma手机中的一些照片数字信息,以获取更多与失踪案件的信息)Emma的iPhone XR中”IMG_0008.HEIC”的图像与相片名字为的”5005.JPG” 看似为同一张相片,在数码法理鉴证分析下,以下哪样描述是正确?

A. 储存在不同的.db檔案里
B. 有不同哈希值
C. IMG_0008.HEIC为原图,”5005.JPG”为并非原图
D. IMG_0008.HEIC和名字”5005.JPG”是同一张相片

又要去查那b数据库烦死了

爱谁去查谁去查

20. 参考Emma_Mobile.zip,Emma的iPhone XR中”IMG_0009.HEIC” 的图像显示拍摄参数怎样?

A. iPhone XR back camera 4.25mm f/1.8
B. iPhone XR back camera 4.25mm f/2.8
C. iPhone XR back camera 4.25mm f/2
D. iPhone XR back camera 4.25mm f/1.6

在数据库中找到对应时间

暴力办法是直接搜

还有种办法是直接问ai 查xr参数

21. 参考Emma_Mobile.zip,Emma的iPhone XR中相片文件IMG_0009.HEIC提供了什么电子证据信息?

A. 此相片是由隔空投送 (Airdrop)得来
B. 此相片由iPhone XR拍摄
C. 此相片的拍摄时间为2024-08-05 13:38:15(UTC+8)
D. 此相片的拍摄时间为2024-08-06 08:30:52(UTC+8)

上面数据库有搜到时间

BC

22. 参考Emma_Mobile.zip,Emma的iPhone XR内以下哪张照片是实况照片(Live Photos)?

A. IMG_0002.HEIC
B. IMG_0005.HEIC
C. IMG_0004.HEIC
D. IMG_0006.HEIC

直接没有BD这俩选项 如果看过livephoto的格式话,发现这是一个zip 里面一个heic的格式的照片+视频

所以选了AC

有参考到这

23. 参考Emma_Mobile.zip,手机里有多少张照片是用手机后置摄像镜头拍摄的?

A. 5
B. 6
C. 7
D. 8

这里能数出来.HEIC后缀结尾的文件一共是8个,其他的感觉想截图或者什么

参考-第二个办法是搜iPhone XR back camera可以搜出来多少条记录

D

24. 参考Emma_Mobile.zip的通讯记录,MesLocalID 224是什么类的文件?

A. 相片
B. 影片
C. 文件
D. 报表

发现是短信

再看看第二个数据库

查到是imgmsg所以是传输一个文件

25. 依据你在Emma的手机上找到的照片,你告诉调查员Clara最后的位置是在湾仔的一家酒店。根据你提供的信息,调查员发现Clara在酒店去世,Clara的手机在她的附近,你对Clara的手机进行取证。请根据取证结果回答以下问题。 参考Clara_Smartphone.bin,Clara手机的Android操作系统版本是?

A. 8.0.0
B. 9.0.0
C. 8.1.0
D. 7.0.0

剧情我看到这里我猜是他老公杀的

A

?26. 参考Clara_Smartphone.bin,Clara手机的版本号(Build Number)是什么?

?27. 参考Clara_Smartphone.bin,Clara手机的IMEI号码是多少?

28. 参考Clara_Smartphone.bin,Emma的微信账号是?

wxid_ltrpgdhvilso22

29. 参考Clara_Smartphone.bin,Clara的第一封电子邮件记录的日期?

A. 2024-07-10
B. 2024-07-18
C. 2024-07-23
D. 2024-07-30

A

?30. 参考Clara_Smartphone.bin,在通讯录中”David”的联系人信息还包括什么?

A. 出生日期
B. LinkedIn
C. 电子邮件
D. 地址

31. 参考Clara_Smartphone.bin,David和Clara之间通话次数?

A. 0
B. 8
C. 10
D. 24

B

32. 参考Clara_Smartphone.bin,Clara在Chrome浏览器搜索中哪天使用了关键词”popmart 炒价”?

A. 2024-08-10
B. 2024-08-15
C. 2024-08-20
D. 2024-08-25

BC

33. 参考Clara_Smartphone.bin,2024年7月30日共收到多少封电子邮件?

A. 2
B. 3
C. 4
D. 5

C

34. 参考Clara_Smartphone.bin,Clara的Gmail账号是?

clara.ccc0807@gmail.com

?35. 参考Clara_Smartphone.bin,Clara的手机安装了哪个版本的WhatsApp?

A. 241676000
B. 241676001
C. 241676004
D. 241676007

36. 参考Clara_Smartphone.bin,Clara的WhatsApp账号?

85263791704@s.whatsapp.net

?37. 参考Clara_Smartphone.bin,Clara的手机在什么时候安装了小红书APP?

A. 2024-07-10
B. 2024-07-16
C. 2024-07-20
D. 2024-07-30

?38. 参考Clara_Smartphone.bin,2024年8月21日David的虚拟貨幣钱包里有多少IDFC?

A. 5022915.66
B. 3212695.22
C. 210355633.91
D. 以上皆不是

39. 参考Clara_Smartphone.bin,Clara注册的微信账号验证码是多少?

945025

40. 参考Clara_Smartphone.bin,David为庆祝结婚周年纪念预订了哪家酒店?

香港港丽酒店

41. 参考Clara_Smartphone.bin,哪个数据库文件存储了微信消息?

感觉像这个

EnMicroMsg.db

42. 参考Clara_Smartphone.bin,哪个数据库文件(.db)存储了WhatsApp訊息?

msgstore.db

43. 参考Clara_Smartphone.bin,Clara在2024年8月29日拍了多少张照片?

A. 0
B. 3
C. 4
D. 5

B

44. 参考Clara_Smartphone.bin,Emma在2024年8月6日通过微信发送了多少张照片给Clara?

A. 0
B. 1
C. 5
D. 12

A

45. 参考Clara_Smartphone.bin,照片20240829_144717.jpg的拍摄相机型号是什么?

LG-H930

46. 参考Clara_Smartphone.bin,20240821_121435.jpg的储存路径是什么?

A. /media/0/DCIM/Camera
B. /media/1/DCIM/Camera
C. /media/00/DCIM/Camera
D. /media/11/DCIM/Camera

A

47. 参考Clara_Smartphone.bin,2024年8月20日有多少张截图?

4

?48. 参考Clara_Smartphone.bin,2024年8月22日被删除微信消息的类型是?

A. 照片
B. 视频
C. 文本
D. 以上都不是

49. 你在查看Clara的手机镜像后,确定Clara是David的妻子,调查员通过查询酒店预订记录确认了这一点。他们现在定位David的住所,以进行进一步调查。你首先分析David的手机。参考David_Smartphone_1.zip,根据Contents.db,David手机接收了通讯软件”Telegram”的验证短信,该验证码是多少?

84298

50. 参考David_Smartphone_1.zip,David把手机设置为个人热点,请找出个人热点的密码。

wdfj5674

51. 参考David_Smartphone_1.zip, David 手机曾连接名为”MTR Free Wi-Fi” 的Wi-Fi 。(判断)

52. 参考David_Smartphone_1.zip,根据com.tencent.mm_preferences.xml,David的手机最后登录微信的微信ID是?

其实就是他自己的微信号

wxid_rni3m2o8ngxe22

53. 参考David_Smartphone_1.zip,请指出哪一张图片是于2024年8月28日利用屏幕截取的。

Screenshot_20240828-153836_Gmail.jpg

54. 参考 David_Smartphone_1.zip,根据Contents.db,David手机的型号(Model)?

SM-G9500

55. 参考 David_Smartphone_1.zip的Contents.db,David所使用的手机SIM 卡的序号?

[8985200000827530728]

56. 参考 David_Smartphone_1.zip,David手机安装了应用程序”MetaMask”。根据persist-root中,”MetaMask”钱包内有多少个账号?

搜来搜去就是4个账号

4

57. 参考 David_Smartphone_1.zip,根据persist-root中,何时从应用程序”MetaMask”发送虚拟货币至以下地址: 0X10A4F01B80203591CCEE76081A4489AE1CD1281C

A. 2024-08-11 1249(GMT+8)
B. 2024-08-14 1658 (GMT+8)
C. 2024-08-14 1659 (GMT+8)
D. 2024-08-16 1724 (GMT+8)

1
2
3
4
5
6
7
8
import datetime

timestamp = 1723625933421  # 毫秒级时间戳
# 使用推荐的时区感知方法 (Python 3.11+)
utc_time = datetime.datetime.fromtimestamp(timestamp / 1000.0, tz=datetime.UTC)
# 格式化为字符串 (YYYY-MM-DD HH:MM:SS)
formatted_time = utc_time.strftime("%Y-%m-%d %H:%M:%S")
print("转换结果:", formatted_time)

unix时间戳:1723625933421

2024-08-14 08:58:53这是伦敦时间,中国时间+8即可

B

58. 参考 David_Smartphone_1.zip,David曾利用手机应用程序”MetaMask”三次发送虚拟货币失败。根据persist-root,发送虚拟货币失败的原因是什麼?

A. 网络连接问题
B. 应用程序权限被拒
C. 接收地址错误
D. 手续费不足

搜error到第三个error即可看得到是因为没钱了

D

Releases · Tokeii0/LovelyMem

这里引入一个内存分析的软件LovelyMem

按照配置下载好对应的插件,把对应的插件设置好即可。

59. 你根据易失性(Volatility Level)优先次序,进行内存取证分析David的笔记本电脑。参考RAM_Capture_David_Laptop.RAW,以下哪一个不是程序”firefox.exe”的PID?

A. 9240
B. 8732
C. 5260
D. 3108

进程列表

ABD

60. 参考RAM_Capture_David_Laptop.RAW,汇出PID:724的程序,其哈希值(SHA-256)是?

__

找到文件之后找原进程:

61. 参考RAM_Capture_David_Laptop.RAW,哪一个是执行PID:724程序的SID?

A. S-1-1-0
B. S-1-2-0
C. S-1-5-21-1103701427-1706751984-2965915307-1001
D. S-1-5-21-1103701427-1706751984-2965915307-513

接上题,A

62. 参考RAM_Capture_David_Laptop.RAW,账户David Tenth的NT LAN Manager的哈希值(NTLM Hash)?

63. 在取证中,你发现D盘被BitLocker加密。U盘上可能有一些线索,你对U盘进行了取证。参考David_USB_8GB.e01,David 的U盘文件系统的格式?

A. NTFS
B. FAT32
C. exFAT
D. ReFS

A

64. 参考David_USB_8GB.e01,David的U盘文件系统中,每簇(Cluster)定义了多少字节(Byte)?

A. 128
B. 256
C. 512
D. 1024

C

65. 参考David_USB_8GB.e01,David的U盘中有多少个已删除的文件?

A. 1
B. 2
C. 3
D. 4

A~~/B? ~~(那就默认不包括执行文件)

66. 承上题,参考David_USB_8GB.e01,已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量是多少?

A. 16
B. 32
C. 64
D. 128

在xways中对已删除文件选择文件记录,同时找headerdata runs,发现头长度为64字节,所以偏移量是64

67. 承上题,参考David_USB_8GB.e01,已删除文件的第一个运行的十六进制值(低端字节序 Little-Endian)是多少?

A. 0x4C3F0DB522
B. 0x4C3F0D22B5
C. 0x224C3F0DB5
D. 0x3F4C0DB522

接上题的data runs部分,4C3F0DB522

A

68. 承上题,参考David_USB_8GB.e01,已删除的文件的实际大小(单位:字节 Byte)是多少?

1796178

69. 承上题,参考David_USB_8GB.e01,已删除文件的第一个运行偏移量(Run Offset)是多少?

本题是:参考David_USB_8GB.e01,已删除文件的第一个运行偏移量(Run Offset)是多少?()(这道题是问相对于扇区的偏移量)

66题是:参考David_USB_8GB.e01,已删除的文件的运行列表(Run List)的运行偏移量(Run Offset)数量是多少?(这道题是问偏移量是多少)

法一:

19519

法二:

data runs第一个字节分别是长度和起始簇号的长度,运行偏移为0x4C3F(19519)

1. NTFS(New Technology File System)

  • 定义:Windows NT系列操作系统的标准文件系统
  • 核心特性
    • 使用主文件表(MFT)管理所有文件和目录
    • 日志功能:记录元数据变更,支持恢复
    • 权限控制:支持ACL访问控制列表
    • 大文件支持:最大文件大小16TB(早期版本)

2. MFT(Master File Table)主文件表

  • 作用:相当于图书馆的目录卡片,每个文件/目录对应一条MFT记录
  • 存储位置:通常在分区开始,连续存放
  • 记录大小:固定1024字节(2扇区)
  • 关键特性
    • 记录编号:从0开始(0号记录是MFT本身)
    • 记录状态:通过标志位区分”使用中”和”已删除”

bitlocker_key.jpg为例(MFT记录号39):

70. 承上题,参考David_USB_8GB.e01,已删除的文件的第一个运行的簇运行长度(Run Length)是多少?

A. 2408
B. 3509
C. 3128
D. 4021

接69题:B.3509

71. 承上题,参考David_USB_8GB.e01,已删除文件的图像文件像素值(Pixel)是多少?

A. 1000 x 2000
B. 2000 x 3000
C. 3000 x 4000
D. 4000 x 5000

C

72. 承上题,参考David_USB_8GB.e01,已删除图像文件是用哪个品牌和型号的手机拍摄?

A. SAMSUNG SM-A425
B. SAMSUNG SM-A4580
C. SAMSUNG SM-A4260
D. SAMSUNG SM-A5G

C

73. 在U盘中,你还发现了一个exe文件,但它被锁定,可能需要进行反编译以便进一步检查。参考David_USB_8GB.e01,使用x64dbg的字符串搜索(String Search)功能,在Bitlocker.exe中查找哪个字符串最有可能与显示的登录状态有关?

(这几道题貌似是选择题)

74. 承上題,当找到控制登录成功的逻辑代码时,如何修改汇编代码(Assembly Code)来绕过检查,达到任意输入,都成功登录的效果?

通过TEST和JNE指令配合实现登入成功和失败的提示

75. 参考David_USB_8GB.e01,Bitlocker.exe的正确用户登录名称是?

就那么几个字符串,试试就行了

用户名david1337

密码1337david

76. 参考David_USB_8GB.e01,Bitlocker.exe的正确登录密码是?

接75

77. 参考David_USB_8GB.e01,当Bitlocker.exe程序尝试显示登录结果(成功或失败)时,使用了哪一种途径来决定显示的消息?

显示成功或者失败是通过test eax,eax决定跳转到执行显示信息的代码中

78. 参考David_USB_8GB.e01,决定能否解密Bitlocker Key 的字节的内存偏移量(Memory Offset)(相对于基址”bitlocker.exe”)是什么?

79. 参考David_USB_8GB.e01,决定能否解密Bitlocker Key 的内存偏移量(Memory Offset)后,应该如何利用它来进行解密?

A. 将该偏移量处的值改为 1 (true),以启用解密过程
B. 将该偏移量处的值改为 0 (false),以重新初始化加密过程
C. 将该偏移量的内容保存到档中以作解密过程中的key
D. 清空该偏移量的内存并强制退出程序

byte_14000808C如果=1,那么获得key

A

80. 参考David_USB_8GB.e01,解密后的Bitlocker Key是?

A. 299255-418649-198198-616891-099682-482306-642609-483527
B. 745823-918273-564738-290183-475920-182736-594827-162839
C. 539823-847291-094857-194756-382910-472918-482937-120984
D. 829384-192837-475910-298374-019283-847362-564738-293847

先打断点:

动调:

输入密码之后可以看看这里

把0变成1之后就可以直接向下运行了:

PatchByte(0x7FF71964808C, 1);

断点取消,F9运行:

或者说直接看恢复的图片也行:

81. 到目前为止,你已经获得了BitLocker密钥以解密D盤,通过对David笔记本电脑D盤的分析,并发现了一些重要信息。你现在将继续调查未加密的C盤。 参考David_Laptop_64GB.e01,分区格式(Partition)是?

A. MBR
B. GPT
C. RAW

299255-418649-198198-616891-099682-482306-642609-483527

B

82. 参考David_Laptop_64GB.e01,該e01成功提取的日期和时间是?

A. 2024-09-05 15:55:28
B. 2024-09-02 11:52:31
C. 2024-09-03 14:37:28
D. 2024-09-03 12:16:49

?

83. 参考David_Laptop_64GB.e01,最后登录的用户是谁?

David Tenth

84. 参考David_Laptop_64GB.e01,用户配置的时区是?

A. Australian Central Time
B. China Standard Time
C. New Zealand Standard Time
D. Nepal Time

B

或者:

85. 参考David_Laptop_64GB.e01,David的笔记本电脑曾經连接了多少个设备?

A. 1
B. 2
C. 3
D. 4

86. 参考David_Laptop_64GB.e01,David的笔记本电脑上的Firefox浏览器安装了哪些扩展工具?

metamask

87. 参考David_Laptop_64GB.e01,根据用户配置文件中的.lnk文件,最后访问的文件名称是?

A. 下載
B. export-token
C. RAM_Capture_DaviD
D. 本機磁碟(E) (2)

David_Laptop_64GB.e01/分区6/Users/David Tenth/AppData/Roaming/Microsoft/Windows/Recent

B

88. 参考David_Laptop_64GB.e01,David的笔记本电脑曾經连接了多少个不同的Wi-Fi?

A. 1
B. 2
C. 3
D. 4

89. 承上题,参考David_Laptop_64GB.e01,该Wi-Fi网络的名称(SSID)是?

f12345+f12345

90. 参考David_Laptop_64GB.e0,该电脑的Windows操作系统的安装日期是什么?

A. 2024-07-31 09:55:37 UTC+8
B. 2024-08-01 13:10:15 UTC+8
C. 2024-07-31 10:18:26 UTC+8
D. 2024-08-01 14:43:55 UTC+8

C

91. 通过对David 笔记本电脑的电子数据取证和痕迹分析,你了解到David是一名cryptocurrency专家。(假設虚拟貨幣International Digital Forensics Coin (IDFC)面值是每1個IDFC等如1-HKD IDFC Token Address: 0x56E7A6dd8aA1c78ba77944C94c43054978E89b7b 區塊鏈: Binance Smart Chain) 下列那个网站能够找到区块链:Binance Smart Chain的交易记录?

A. binance.com
B. bscscan.com
C. etherscan.io
D. blockchain.com

B

92. 参考Emma_Mobile.zip中的微信聊天记录分析,Emma用什么方法盜取David的IDFC?

A. Emma经Clara盗取了David虚拟货币钱包的私匙(Private Key)
B. Emma经Clara盗取了David虚拟货币钱包的公匙(Public Key)
C. Emma经Clara盗取了David虚拟货币钱包的回复匙(Recovery seed)
D. Emma盗取了David电话

C

93. 根据David,Emma及Clara的微信对话,David在什么日期时间发现IDFC被盗?

A. 2024-8-22 18:06
B. 2024-8-28 09:14
C. 2024-8-28 09:57
D. 2024-8-29 15:52

94. 参考Emma_Mobile.zip中的微信对话分析,Emma为什么盜取David的IDFC?

A. Emma为了买名贵手表
B. Emma为了赌钱
C. Emma为了炒卖虚拟货币
D. Emma为了还财务公司的欠债

95. 参考David_Laptop_64GB.e01及David,Emma及Clara的微信对话,分析IDFC的交易记录,Emma盜取了David虚拟货币钱包内哪个地址的IDFC?

A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c
B. 0x152c90200be61a540875f2a752c328bd19dbfb87
C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220
D. 0x70544880875fe907cee383873ca58da23378caa5

96. 根据David,Emma及Clara的微信对话及IDFC的交易记录作分析,Emma总共盗取了David多少IDFC?

A. 90,000 IDFC
B. 170,000 IDFC
C. 9,300,000 IDFC
D. 9,390,000 IDFC

97. 根据Emma及Clara的微信对话,下列哪些地址是由相同的恢复短语(Recovery Seed)所生成?

A. 0x10a4f01b80203591ccee76081a4489ae1cd1281c
B. 0x152c90200be61a540875f2a752c328bd19dbfb87
C. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220
D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042

98. 根据IDFC的交易记录作分析,总共有多少次IDFC交易流入地址0x10a4f01b80203591ccee76081a4489ae1cd1281c?

A. 0
B. 1
C. 2
D. 3

99. 参考David_Laptop_64GB.e01,在David计算机的D盘内有一张图片,根据图片上的信息,找出David另一个虚拟货币钱包的恢复短语(2)(Recovery Seed),下列哪一个单词是在此恢复短语(2)(Recovery Seed)内?

A. fall
B. bread
C. brain
D. dove

100. 承上题,参考David_Laptop_64GB.e01,在IDFC的交易记录中,下列哪些地址由上述恢复短语(2)(Recovery Seed)所生成?

A. 0xb2e3dbea311511ec5bda3e85e061f15366f888a6
B. 0xe90ad3f80e39e83b533eef3ed23c641ec51089c6
C. 0x90f73497E4446f6Cf9881213C32D6af66d799fE5
D. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042