2023美亚杯个人赛复盘（三）

案件基本情况：
（一）案情
2023月8月的一天，香港警方在调查一起网络诈骗案件时，发现有三名本地男子，分別为李大輝（李大辉），浩賢(浩贤)和Elvis CHUI，并确信这三名被捕男子均为大学同学。怀疑三人背后涉及一个庞大的电信诈骗集团。于是将这三名本地男子拘捕，扣押了三人相关的电子设备并进行分析。
现在你被委派处理这件案件，请依据以下资料分析上述三人是否涉嫌犯罪，并还原事件经过。
（二）检材资料
1.李大輝的安卓手机镜像 (Android.bin)
2.李大輝的macOS系统镜像(Mac OS.img)
3.来自李大輝计算机的一个文件($MFT Record Nr_ 107115, SeqNr_2.txt)
4.浩賢的个人虚拟机文件(Server.zip)
5.浩賢的Windows 10系统虚拟机文件(Windows10.zip)
6.浩賢的iOS手机系统文件(IOS.zip)
7.来自Elvis Chui计算机的一个网络封包文件(網路.pcapng)
8.来自Elvis Chui计算机的镜像文件 (Windows Artifacts.e01)
9.来自Elvis Chui计算机的数据库文件(SQLITE.zip)
10.Elvis Chui的Windows7虚拟机文件(Windows7.zip)

90. 参考’Windows 7’文件夹回答以下题目，在Windows 7中\Users\Allen\Desktop，有1个MP3文件(例:unlock-me-149058.mp3)，用户使用什么程序打开该MP3文件? 提示:请以小写字母作答
    直接仿真查看MP3文件默认打开方式：
    答案：potplayer
    
91. 参考’Windows 7’文件夹回答以下题目，在Windows 7中’\Users\Allen\Desktop ‘有1个MP3文件(unlock-me-149058.mp3)，该文件的Zone identiflier为’3’。上述’3’字代表哪一个security Zone ?
    A. Local Machine Zone

B. Internet Zone

C. Restricted Zone

D. Trust Site Zone
答案：B
3代表网络区域
92. 参考’Windows 7’文件夹回答以下题目，在 Windows 7中\Users\Allen\Desktop有1个MP3文件 (unlock-me-149058.mp3)，该文件从哪个网站下载？
A. www.Pixbay.com

B. free-mp3-download.net/

C. https://mp3juices.nu

D. mygomp3.com
答案：A
查看Chrome的Cache:

93. 参考’Windows 7’文件夹回答以下题目，在 Windows 7中\Users\Allen\Downloads内有mp3文件(miracle.mp3)，更改名称时间？
A. 2023-07-13 02:55:20

B. 2023-07-15 10:55:20

C. 2023-07-12 10:58:04

D. 2023-07-13 10:55:20
答案：B
查看了火眼的用户手册，才找到了这个所谓的“耗时任务”在哪里：

运行结束后：

可以看到更改名称时间是：2023-7-13 10:55:20
94. 参考’Windows 7’文件夹回答以下题目，在Windows 7中\Users\Allen\Downloads内有mp3文件(miracle.mp3)，mp3文件更改名称前的名称是什么？提示: 请以与记录相同的名称与文件格式作答
答案：a-small-miracle-132333.mp3
参考上题

95. 参考’Windows 7’文件夹回答以下题目，在Windows 7中有多少个文件曾被potplayer播放？
    暂无思路

96. 参考’Windows 7’ 文件夹回答以下题目，在Windows 7中，potplayer最后播放的文件名？提示: 请以与记录相同的名称(包括小写字母、阿拉伯数字与符号)与文件格式作答
    答案：unlock-me-149058.mp3
    仿真后直接打开，查看播放记录：