闻早起部分：

一、闻早起的windows10电脑

（1）.“闻早起”所使用的笔记本电脑使用何种加密程式？

1.在EFI文件中找到加密程式

（2） 教徒“闻早起”所使用的笔记本电脑中安装了一款还原软件，其版本号为？

1.用火眼防真取证创建虚拟机，注意：启动参数不能勾选，网络配置勾选NAT模式，

观察检材的照片，得到密码和pim分别为5FlowerMa)(ThousandGoldQiu]'/[;.和88

  

2.打开虚拟机，输入密码和pim，进入闻早起的电脑

（3）教徒“闻早起”所使用的U盘中，共有几份邪教文档？

1.根据其U盘上的信息可得密码和pim

2.使用磁盘虚拟挂载工具和vc容器进行挂载解密

4.找到4个邪教文件

（4）教徒“闻早起”所使用的U盘中，有一份文档明显提到了自焚时间，其时间为？
(yyyy年mm月dd日，月日中0不保留）

1.在U盘的一个文档中发现自焚时间为2001年1月23日

（5）教徒“闻早起”所使用的笔记本电脑中名为“2023年Q4飞天五子棋教部门规
章.docx”的下载地址为？

1.在闻早起的电脑中找到history文件

2.将此文件复制粘贴到自己的电脑上，再用工具DB来查看数据库，发现在downloads中找到下载的网址

（6）教徒“闻早起”所使用的笔记本电脑中浏览器保存的聊天系统密码为？

1.将webbrowserpassview文件粘贴到闻早起的电脑上

2.打开这个软件，发现存在密码

（7）教徒“闻早起”所使用的笔记本电脑中安装了一款还原软件，其版本型号为？

（8）教徒“闻早起”所使用的笔记本电脑中登录的微信内部id为？

玉文直部分

一、介质取证

（1）介质取证 玉王直所使用的windows电脑中，VeraCryptBootLoader所使用的版本号
为？

1.使用火眼仿真，打开虚拟机，发现vc版本号为1.26.7

（2）玉王直所使用的windows电脑中，系统安装时间为？

密码信息在笔记本检材账面上，pim被撕去一角，1开头，手工爆破至18时解开
[]\BadQianMingMoonGuang14DSS,./
18
密码音为“床前明月光，疑是地上霜。”

（2）玉王直所使用的标签为“飞天五子棋教”的u盘密码为？

在手机检材中，data文件中发现vccrypt.txt，在里面发现U盘密码和pim

（3） 玉王直所使用的标签为“飞天五子棋教”的u盘中“（内部）（机密）飞天五子
棋教福音传播资料”中的“P5_4”集的md5值为？

1.由上题可知其U盘密码

2.使用磁盘虚拟挂载工具和vc容器进行挂载解密，pim为30

3.根据题目，并使用工具计算出它的哈希值

（4）玉王直所使用的标签为“飞天五子棋教”的u盘中共有几个文件？

通过对其U盘的观察，可知有58个文件

（5）玉王直所使用的标签为“飞天五子棋教”的u盘中在“（高层）（绝密）飞天五
子棋教创飞全世界阶段性成果2023Q1-2023Q4”目录中，md5哈希值为“9949205C1999C47A053C53F3C58E852C”的文件名为？

对其中的文件进行计算md5值，发现该文件为为【万宁五子棋】 琉璃秘
境.mp4

（6）玉王直所使用的标签为“IT”的u盘中结尾为.pem的文件md5值为？

密码：Sudden11SpringFengLai,./THTreeLiHuaOpen/.,	pim:22

使用vc挂载成功之后，计算其md5值，md5值为BCE0BEE4D9F6EC6172AD51F64223924C

（7） 玉王直所使用的标签为“IT”的u盘中结尾为.enc的文件md5值为？

在U盘中找到该文件,计算其MD5值，其值为2F1C257AF6ED99B55540115C7D0845C0

（8）玉王直所使用的标签为“IT”的u盘中提到的云服务器提供商的联系电话为？

在服务器管理平台.txt文件中找到联系方式

（9）玉王直所使用的标签为“IT”的u盘中提到的登录云服务器平台登录密码为？
由上提可知Ywz@qzbw.zj.2024

（10）玉王直所使用的标签为“IT”的u盘中结尾为.xsh的文件有几个？

通过在Users文件夹中寻找，找到了五个结尾为.xsh文件

（11）玉王直所使用的windows电脑中，曾经挂过U盘的盘符为？

（12）玉王直所使用的windows电脑中，使用的系统版本Build号为？

（13）玉王直所使用的windows电脑中，玉王直实际登录次数为？