第一次参加美亚杯，手忙脚乱，不过也学到了很多东西，接下来会分篇介绍writeup，感兴趣的小伙伴可以持续关注。

案件基本情况：
（一）案情
2023月8月的一天，香港警方在调查一起网络诈骗案件时，发现有三名本地男子，分別为李大輝（李大辉），浩賢(浩贤)和Elvis CHUI，并确信这三名被捕男子均为大学同学。怀疑三人背后涉及一个庞大的电信诈骗集团。于是将这三名本地男子拘捕，扣押了三人相关的电子设备并进行分析。
现在你被委派处理这件案件，请依据以下资料分析上述三人是否涉嫌犯罪，并还原事件经过。
（二）检材资料
1.李大輝的安卓手机镜像 (Android.bin)
2.李大輝的macOS系统镜像(Mac OS.img)
3.来自李大輝计算机的一个文件($MFT Record Nr_ 107115, SeqNr_2.txt)
4.浩賢的个人虚拟机文件(Server.zip)
5.浩賢的Windows 10系统虚拟机文件(Windows10.zip)
6.浩賢的iOS手机系统文件(IOS.zip)
7.来自Elvis Chui计算机的一个网络封包文件(網路.pcapng)
8.来自Elvis Chui计算机的镜像文件 (Windows Artifacts.e01)
9.来自Elvis Chui计算机的数据库文件(SQLITE.zip)
10.Elvis Chui的Windows7虚拟机文件(Windows7.zip)

第一篇分析来自Elvis Chui计算机的镜像文件 (Windows Artifacts.e01)，题目和解析如下，因为是美亚的比赛，把取证大师和火眼证据分析都拿出来，一题两做，也能熟悉各种软件的使用，博采众长。

32. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目，Elvis Chui 总共登入过该计算机多少次？提示: 请以阿拉伯数字作答
    
    由图可知，登录成功次数为11次。
    

33. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目，该计算机的操作系统是在哪一个时区？

A. UTC +4

B. UTC +8

C. UTC -8

D. UTC -4

34. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目，该计算机的操作系统于何时安装？
    A. 2023-07-13 19:18:14

B. 2023-07-13 11:18:14

C. 2023-07-13 03:18:14

D. 2023-07-12 19:18:14

35. [多选题]参考’Window Artifacts.E01’内的Windows注册表回答以下题目，哪(几)个程序会于操作系统启动时自动执行？
    A. Avast

B. Steam

C. OneDrive

D. QQ

36. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目，该计算机内安装了以下哪一个程序？
    A. QQ

B. WPS Office

C. Opera

D. Kaspersky


这种题目直接挨个搜索就行。
37. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目，计算机内的OneDrive程序版本是什么？

38. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目，计算机有一个正在连接的网络接口，该接口连接DHCP服务器的IP地址是多少？提示: 以 IPV4格式回答
    
    

39. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目，该计算机何时连接过一只U盘？(以计算机系统时区回答)
    A. 2023-07-13 11:48:26

B. 2023-07-13 03:48:29

C. 2023-07-12 19:48:29

D. 2023-07-13 11:48:29

40. [多选题]参考’Window Artifacts.E01’回答以下题目，Elvis Chui 将哪几个文本文件放在回收站中？
    A. $+D10I76A74P.txt

B. Holiday schedule 2023-07-16.txt

C. Holiday schedule 2023-07-13.txt

D. Minute on 2023-07-01.txt

E. Minute on 2023-07-10.txt

41. 参考’Window Artifacts.E01’回答以下题目，Elvis Chui在什么时间删除了第一个文本文件？(以计算机系统时区回答)
    A. 2023-07-13 11:50:15

B. 2023-07-13 03:49:45

C. 2023-07-13 03:50:15

D. 2023-07-13 11:49:45

按删除时间排序后查看第一个。
42. 参考 ’ Window Artifacts.E01 '回答以下题目，Elvis Chui删除的第一个文本文件的文件名是什么？提示: 请用小写字母回答及需列明文件格式。如文件名字内有空格位置，请用_标示。例如: go_to_school.docx
同上题。
43. 参考’Window Artifacts.E01’回答以下题目，Elvis Chui删除的第一个文本文件在什么时间创建？(以计算机系统时区回答)
A. 2023-07-13_11:42:39

B. 2023-07-13_11:50:49

C. 2023-07-13_11:49:45

D. 2023-07-13_11:45:22

直接爆搜：

44. 参考’Window Artifacts.E01’回答以下题目，Elvis Chui计划于2023年7月15日20点5分有什么活动？提示: 答案请与文件内的文字大小写相同
    
    

45. 参考’Window Artifacts.E01’回答以下题目，该计算机执行STEAM.EXE总共多少次？提示: 请用阿拉伯数字作答