JiaJia-CP-1
1.佳佳的电脑用户名叫什么(即C:\Users\{name})提取文件列表后搜索路径
得到答案
JiaJia2.最后一次运行计算器的时间?(格式为yyyy-mm-dd_hh:mm:ss,注意冒号为英文冒号)查看用户助手(userassist)
2021-12-10 12:15:47 UTC+0000但是这里是 UTC+0000 需要转化到 UTC+8000
2021-12-10 20:15:47 UTC+8000这里查看时间线(timeline)也可以看到
综上所述
JiaJia_2021-12-10_20:15:47JiaJia-CP-2
1.佳佳在公司使用了一款聊天软件,请问此软件的版本号为?在desktop路径下查看文件,发现聊天软件
将文件dump下来后更改后缀为exe,查看属性,即可看到版本号
3.3.0.02.佳佳在网页上登录了自己的邮箱,请问佳佳的邮箱是?这里想的是如果是本地邮箱登陆会存有登陆信息 但在Storage目录下没有找到,看其他师傅的文章发现是在截屏(screenshot)里
a2492853776@163.com综上所述
3.3.0.0_a2492853776@163.comJiaJia-CP-3
1.佳佳最后一次运行固定在任务栏的google chrome的时间(格式为yyyy-mm-dd_hh:mm:ss,注意冒号为英文冒号)和第一题的计算器一样
2021-12-10 12:28:43 UTC+0000转化到 UTC+8000
2021-12-10 20:28:43 UTC+80002.佳佳解压了从chrome下载了一个压缩文件,此文件的相关内容信息已经写入了到环境中,请问文件的内容是?查看环境变量(envars)
得到答案
Th1s_i5_Ur_P5wd综上所述
2021-12-10_20:28:43_Th1s_i5_Ur_P5wdJiaJia-PC-1
1.产品秘钥(卷影)在 \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform 路径下查看
YC7N8-G7WR6-9WR4H-6Y2W4-KBT6X2.windows系统版本号在 设置-关于 中进行查看
21H2综上所述
YC7N8-G7WR6-9WR4H-6Y2W4-KBT6X_21H2JiaJia-PC-2
1.佳佳的QQ号是多少?可以看到这个电脑里下载了Foxmail,在 C:\Foxmail 7.2\Storage 路径下可以看到登陆信息
得到答案
24928537762.金额统计.rar是由哪个QQ号通过邮箱发送来的?将用户文件在本机中配置进入查看
得到答案
776024403.金额统计文档的作者是谁?解压后查看属性
得到答案
mumuzi综上所述
2492853776_77602440_mumuziJiaJia-PC-3
1.佳佳使用了公司指定的聊天软件,并且使用了此软件的远控功能,请问整个远控持续了多少秒?在邮箱中可以看到使用的远控软件
查看 connection_incoming 文件,可以看到远控时间
计算得到时间
1632.此软件是在多久被开始安装的,请将空格替换成下划线按修改时间排序,查看最早的日志文件
查看最早的日志
日志开始记录的时间就是安装时间,得到答案
2021/12/14_22:14:14.804但是发现在 C:\Program Files\TeamViewer 路径下的不对,最后发现是用户目录(C:\Users\Jia~miao\AppData\Roaming\TeamViewer)下的日志文件开始记录时间
2021/12/14_22:14:00.5703.除开开机密码外,佳佳喜欢使用一个通用密码,请找出此密码。查看桌面可以发现Edge Google和Firefox浏览器,查看浏览器中保存的密码
在Firefox中找到密码,得到答案
Miaojia123综上所述
163_2021/12/14_22:14:00.570_Miaojia123