2022第八届美亚杯中国电子数据取证资格赛Writeup

做题顺序推荐

王晓琳手机：1-4 61-70

李大辉手机：5-14

林浚熙手机：15-28

林浚熙电脑：29-60

材料

I. 案件详情

于2022年10月，有市民因接获伪冒快递公司的电邮，不慎地于匪徒架设的假网站提供了个人信用咭资料导致经济损失。 警方追查下发现当中一名受骗市民男子李大輝 (TaiFai) 的信用卡曾经被匪徒在区内的商舖购物。 后来警方根据IP地址，锁定及拘捕了一名男子林浚熙 （阿熙 ChunHei），并于他的居所发现了一批相信曾被用作犯案的电脑及手机装置。

经调查后，警方发现阿熙除上述案件外，他亦牵涉其他的一些犯罪活动。

警方的电子数据取证小组在现场作出初步了调查并对涉案装置进行了电子数据取证。请你根据得到的资料，协助将事件经过还原。

II. 警方资料

A)与’林浚熙’相关的资料

编号 1	林浚熙的调查报告
文件路径	Meiya_cup_2022/Individual/Report/ChunHei/林浚熙调查报告.pdf
哈希值： SHA256	1CB8F69DACF1A8DB84F1F0208C46210827C5E182D316F7F9A4AE4CFBB8EBC859

编号 2	林浚熙的手机的电子数据
文件路径	Meiya_cup_2022/Individual/Image/ChunHei/ChunHei_iphone
哈希值： SHA256	34AC7A2B5C3F51563076A758B28088FE92637A4C9E20A60D0F39C23389F51159

编号 3	林浚熙计算机的电子数据
文件路径	Meiya_cup_2022/Individual/Image/ChunHei/ChunHei_Desktop
哈希值： SHA256	49177D9E144944118DF8D0F78DEA90A78F78D95C650B67D942AB2A0DC0EABB38

B)与受害人’李大辉’相关的资料

编号 4	李大辉的调查报告
文件路径	Meiya_cup/Individual/Report/TaiFai/助查人士李大輝调查报告.pdf
哈希值： SHA256	C139AB65AC52FE9B3C9E0C7A9F9D6427F2F18FBE3C16585225F6DD01C4D500D2

编号 5	受害人李大辉的手机电子数据
文件路径	Meiya_cup_2022/Individual/Image/TaiFai/VTM_Mobile
哈希值：	092A7379B063A25A82A03EE07EEF1686BE86DD1F73C6E7B007BC26FADCB66555

C)与女友’王晓琳’相关的资料

编号 6	王晓林的调查报告
文件路径	Meiya_cup/Individual/Report/HiuLam/助查人士王晓琳调查报告.pdf
哈希值： SHA256	5D9FC871259CAC02904947F83C2319E359C7CA916CA657555FF7F41E65A79B8A

编号 7	女友王晓林手机的电子数据
文件路径	Meiya_cup_2022/Individual/Image/HiuLam/HiuLam_iphone
哈希值：	DB81354712AB1DC2BA01033E48CE97F811C77127A447B0928D83AE77A35C508D

有争议的题目

23、25、26、27、28

题目

1. 王晓琳在这本电子书藉里最后对哪段文字加入了重点标示效果 (Highlight)?

A.武松那日早饭罢

B.卿有何妙计

C.宝玉已是三杯过去了

D.就除他做个弼马温罢

解析：

iphone建议使用以色列取证软件分析

首先找到了iBooks这个软件，分析电子书籍就在这个软件的数据库中

点击右侧的运行 SQLite向导他就会自动定位到该软件的数据库

通过搜索得知annotation表是标注的意思，因此要找的答案就在这里

2. 王晓琳的手机里有一个 ‘MTR Mobile (港铁)’ 的手机程序 (Mobile App)。 检视其数据库 (Database) 的数据，王晓琳于2022年10月11日 22:04 时将一行程加入书签 (Bookmark)，这段行程的起点及终点站包括?

A.青衣

B.红磡

C.沙田

D.尖沙咀

E.康城

解析：

依然还是通过搜索找到该软件，并运行SQLite向导

通过查看数据库修改时间，发现E_Tourist.db的时间最为接近

通过对时间戳的转换，发现青衣-沙田为该段行程。

3. 王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片? (以阿拉伯数字回答)

通过过滤HEIC格式的图片，以及10月2日的图片，得到答案

4. 检视王晓琳的手机照片，她于2022年10月2日到过什么地方?

通过对上题图片的查看，发现她去过城门畔塘径

5. 李大辉使用的是一台LG V10的手机，它的型号是什么?

A.LGH961C

B.LGH961N

C.LGH961D

D.LGH960C

E.LGH960H

解析：

火眼分析直接出

6. 李大辉的手机最常搜索的类别 (Category) 是什么?

A.运动

B.护肤品

C.旅游

D.学校

解析：

感觉这人是个代购，各种化妆品

7. 李大辉最近光顾了一家美丰快运公司，这快递件的单号是什么? (不要输入符号及空白，以阿拉伯数字回答)

手机大师中在Gmail分析中找到快递单号 AY806369745

8. 李大辉收到的电邮中有一个钓鱼链结 (Phishing Link)，这个链结的地址是什么? (1分)

A.https://bit.ly/5vM12

B.以上皆非

C.https://bit.ly/3yeARc0

D.http://bit.ly/Hell0

解析：

还是在相同的邮件中找到的

https://bit.ly/3yeARc0

9. 承上题，这封电邮是从哪个电邮地址寄出的?

A.2020ChanChan@hotmail.com

B.以上皆非

C.Cavinchow456@yahoo.com

D.30624700Peter@proton.me

解析：

10. 承上题，寄出这封电邮的IP地址是?

A.10.13.105.56

B.以上皆非

C.65.54.185.39

D.58.152.110.218

解析：

没做出

11.李大辉手机有一个 ‘order.xlsx’ 的档案被加密了，解密钥匙是什么?

A.Nov2022!

B.2022_Nov!

C.20221101

D.P@ssw0rd!

解析：

方法一

一个一个试

方法二

在相机里发现了一张照片，里面有密码

12. 香港的街道上每一枝街灯都有编号。 分析李大辉手机里的程序 ‘KMB 1933’， 哪一枝街灯在经度 (Latitude) 22.4160270000， 纬度 (Longitude) 114.2139450000 附近，它的编号是什么?(以大㝍英及阿拉伯数字回答) (2分)

首先找到KMB 1933应用的数据库，分析数据库

这里有个问题，不知道是CE1453还是SC02-S-1100-0，哪个是灯柱编号就不知道了

但是随后在查找过程中，发现香港灯柱编号是字母加数字的，例如：EB1003

https://www.hyd.gov.hk/tc/our_services/road_resurfacing_works/works_completed.html

所以确定是CE1454

13. 李大辉的手机里有一张由该手机拍的照片，照片的元资料 (Metadata) 曾被修改，这张照片的档案名是什么?(以大写英文及数字回答，不用回答副档名)

这道题不会做，看乃正的wp说是20220922_152622.jpg这个图片拍摄时间是2008年，所以是这个

14. 分析李大辉的手机里的资料，他在哪一间公司工作?

A.盛大国际有限公司

B.美丽好化妆品公司

C.步步高贸易公司

D.永恒化妆品公司

解析：

发现了一个员工证

15. 林浚熙曾经以手机登录Google账户的验证码是什么? (不要输入符号，以大写英文及阿拉伯数字回答)

G-785186

16. 林浚熙手机的 ‘WhatsApp’ 号码是什么? ( 号 码 ) @s.whatsapp.net? (以阿拉伯数字回答)

85259308538

17. 通过分析林浚熙手机的照片，判断他在何处偷拍王晓琳?

聊天记录里找，很明显在酒店

18. 林浚熙曾经删掉自己拍摄的照片，这张照片的档案名 (Filename) 是什么?

在最近删除中找到

IMG_0444.JPG

19. 王晓琳曾经发送一个PDF档案予林浚熙，这个档案的文件签名 (File Signature) 是什么? (以十六进制数字回答首八位数值，如 F0A1C5E1)

还是在聊天记录附件中找到的

20. 承上题，该PDF档案内包含一位曾经被骗的受害者资料。分析林浚熙手机的数据，这位受害者的英文名字是什么?

Wong Sai Ping

使用Excel打开该文件，发现黄世平和手机聊天记录中的一个人名一样

21. 分析林浚熙手机上的数据，他在2022年10月17日计划去什么地方?

A.沙田站

B.以上皆非

C.荃湾站

D.国际金融中心二期

解析：

这人在手机里安了一个Waze这个软件，Waze是一个免费交通导航类应用，可在苹果的设备以及基于谷歌Android移动操作系统和微软的WindowsPhone的设备上运行，其用户已遍及全球约190个国家。Waze利用移动设备的GPS信息来获取有关路面交通流量的信息，从而向汽车驾驶员提供更好的行车路线。

所以这题建议用以色列的取证软件做

在user.db中的EVENTS_PLACE表中发现目标

通过转换时间戳发现了这天去沙田站

22. 承上题，上述行程的结束时间是?

还是一样转换END_TIME时间戳就行

23. 于林浚熙的手机里，在2022年9月1日 或以后，哪一张照片是由其他手机拍摄的，而它的档案名是什么?

这道题有争议，我至少看到了4个答案，IMG_0730.HEIC IMG_0418.JPG IMG_0446.HEIC IMG0445JPG

24. 根据照片的数据库 (Photos.sqlite) 资料，哪一个栏目标题 (Column Header) 可以显示这张照片的接收方式?

A.ZIMPORTEDBYBUNDLEIDENTIFIER

B.ZRECEIVEMETHODIDENTIFIER

C.ZIMPORTEDFROMSOURCEIDENTIFIER

D.ZRECEIVEDFROMIDENTIFIER

解析：

在Photos.sqlite中找到ZADDITIONALASSETATTRIBUTES表，然后在ZIMPORTEDBYBUNDLEIDENTIFIER中发现接收方式

com.apple.sharingd就是Airdrop，以及还有其他的东西。

25. 承上题，这张照片通过什么方式接收?

A.WhatsApp软件传送

B.蓝牙传送

C.Signal软件传送

D.网页下载

E.以上皆非

还是有争议

26. 承上题，这张照片原本的档案名 (Original Filename) 是什么?

有争议

27. 林浚熙手机里有一个备忘录 (Notes) 被上了锁，这个备忘录的名称是什么?

Halo或今天，但是我个人更偏向于Halo

因为，在以色列这个软件中，今天这个备忘录说是被删除的

28. 承上题，上述备忘录的内容有一串数字，它是什么?

未解出

29. 林浚熙计算机 (Computer) 的操作系统 (Operating System) 版本是什么?

A.Windows 10 Home 21H2

B.Windows 10 Pro for Workstations 21H2

C.Windows 10 Pro 22H2

D.Windows 10 Pro for Workstations 21H1

解析：

镜像仿真起来就可以看到

30. 林浚熙计算机安装了什么品牌的虚拟专用网络 (Virtual Private Network - VPN) 软件?

仿真起来在桌面上就可以看到

31. 承上题，分析该虚拟专用网络的日志 (Log)，他在哪天安装该虚拟专用网络?

火眼中，可以看到都是9月15日

32. 检视林浚熙计算机的数据，他使用哪种加密货币 (Cryptocurrency) 以支付虚拟专用网络软件?

桌面上发现了Electrum，根据官网知道他是一个比特币钱包

33. 林浚熙的加密贷币钱包 (Cryptocurrency Wallet) 名称是什么?

打开桌面上的Electrum，发现写了是tellaw_ieh

34. 林浚熙计算机里安装了哪个浏览器 (Web Browser)?

A.Tor Browser

B.Google Chrome

C.Internet Explorer

D.Microsoft Edge

E.Opera

解析：

前四个是可以直接分析得到的。Opera没有找到

35. 林浚熙使用浏览器 ‘Google Chrome’ 曾经浏览最多的是哪一个网站?

whatsapp

36. 除了上述网站,林浚熙曾使用浏览器 ‘Google Chrome’ 搜索过什么?

A.docker image教学

B.php sql教学

C.electrum教学

D.javascript教学

E.tor教学

只有js没有

37. 林浚熙的计算机安装了一个通讯软件 ‘Signal’，它的用戶資訊儲存路径是什么?

A.\Program Files (x86)\Signal

B.\Users\HEI\Desktop\Signal

C.\Users\HEI\AppData\Roaming\Signal

D.\Users\user\Roaming\Signal

解析：

在聊天记录中直接跳转到源文件

38. 通讯软件 ‘Signal’ 采用一个档案存放用户的聊天记录，它的档案名是什么?

和上题一样，db.sqlite就是

39. 承上题，对上述档案迸行分析，林浚熙的联络人当中有多少人安装了Signal?

使用火眼他解析不出，但是盘古石就可以，确实挺牛逼的，除去自己还有4个人，取证大师的小程序可以分析出

后面发现别的师傅手搓数据库得到答案（记住一定要用DB Browser for SQLCipher，我第一遍就因为用成了DB Browser for SQLite导致没有出答案）

1. 找到config.json 从里面找到密钥
2. 把数据库文件导入DB Browser
3. 使用原始密钥解密数据库，记得给密钥前面加上0x。也就是0x45cc1769003bb596166e0d5a01ad20bb056392cc690618764a5204da28476e1b用这个去解密
4. 之后在数据库中找到

40. 林浚熙在 ‘Signal’ 曾经与某人对话，那人的手机号码是什么? 需要与区码 (Area Code) 一同回答

查看火眼分析即可得到

41. 承上题，两人在 ‘Signal’ 的对话中有些讯息 (Message) 包含附件，这些讯息的 ‘ID’ 包括?

A.9729bf92-ab9c-45f7-8147-66234296aele

B.5b9650fe-3bb6-4182-9900-f56177003672

C.46a8762b-78ea-49aa-a6f5-b24975ec189f

D.47233ffe-1a73-4b3d-b97c-626246ec3129

解析：

通过39题手搓数据库得到答案

在message表中，过滤hasAttachments为1然后就可以得到了

42. 承上题，林浚熙曾经于2022年10月20日轉账 (Transfer Money) 予上述对话人士, 那次轉賬的参考编号是什么?

直接看聊天记录就可以得到

43. 林浚熙的计算机安装了多少台虚拟机 (Virtual Machine - VM) ?

方法一

直接仿真出来，看到里面有1台乌班图

方法二

美亚取证大师小程序，有个虚拟机解析，可以分析出

44. 林浚熙的计算机里的虚拟机 (VM) 存放在什么路径?

A.\Program Files\Virtual Machines

B.\User\HEI\Roaming\Virtual Machines\

C.\Users\Public\Documents\Virtual Machines

D.\Users\HEI\Documents\Virtual Machines

解析：

这个也可以使用美亚那个虚拟机解析，跳转到源文件，就可以找到路径了

45. 虚拟机 (VM) 使用什么版本的作业系统 (Operating System) ?

方法一

盘古石可以直接分析出版本乌班图20.04

方法二

把虚拟机整个导出，然后分析一下，就可以看到版本了

46. 虚拟机 (VM) 中的文件传输服务器 (FTP Server) 有哪些用户?

火眼分析的常规用户中可以找到

之后在历史命令中可以看到限制了用户登录

查看/etc/passwd

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-network:x:100:102:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin
systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin
systemd-timesync:x:102:104:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin
messagebus:x:103:106::/nonexistent:/usr/sbin/nologin
syslog:x:104:110::/home/syslog:/usr/sbin/nologin
_apt:x:105:65534::/nonexistent:/usr/sbin/nologin
tss:x:106:111:TPM software stack,,,:/var/lib/tpm:/bin/false
uuidd:x:107:112::/run/uuidd:/usr/sbin/nologin
tcpdump:x:108:113::/nonexistent:/usr/sbin/nologin
landscape:x:109:115::/var/lib/landscape:/usr/sbin/nologin
pollinate:x:110:1::/var/cache/pollinate:/bin/false
usbmux:x:111:46:usbmux daemon,,,:/var/lib/usbmux:/usr/sbin/nologin
systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
user:x:1000:1000:user:/home/user:/bin/bash
lxd:x:998:100::/var/snap/lxd/common/lxd:/bin/false
sshd:x:112:65534::/run/sshd:/usr/sbin/nologin
ftp:x:113:118:ftp daemon,,,:/srv/ftp:/usr/sbin/nologin
ftpuser:x:1001:1001:,,,:/home/ftpuser:/bin/bash
dnsmasq:x:114:65534:dnsmasq,,,:/var/lib/misc:/usr/sbin/nologin
memcache:x:115:120:Memcached,,,:/nonexistent:/bin/false

用户名 (magesh)： 已创建用户的用户名，字符长度 1 个到 12 个字符。

密码(x)：代表加密密码保存在 `/etc/shadow 文件中。

用户 ID(506)：代表用户的 ID 号，每个用户都要有一个唯一的 ID 。UID 号为 0 的是为 root 用户保留的，UID 号 1 到 99 是为系统用户保留的，UID 号 100-999 是为系统账户和群组保留的。

群组 ID (507)：代表群组的 ID 号，每个群组都要有一个唯一的 GID ，保存在 /etc/group文件中。

用户信息(2g Admin - Magesh M)：代表描述字段，可以用来描述用户的信息(LCTT 译注：此处原文疑有误)。

默认目录(/home/mageshm)：代表用户的默认目录。

Shell(/bin/bash)：代表用户使用的 shell 类型。

47. 虚拟机设置了什么网页服务器(Web Server)?

48. 网页服务器目录内有图片档案，而此档案的储存位置是?

一个很牛逼的方法，搜索，直接去搜网站文件css,js,php,html等等

然后就缩小范围，直接搜png，jpg等等就行了

49. 分析网页服务器的网站数据，假网站的公司名称是什么?

A. Krick Global Logistics
B. Global Logistics
C. Krick Post Global Logistics
D. Krick Post

解析：

可以把网站直接启动起来，也可以在上题的目录中看图片logo

50. 检视假网站首页的显示， ‘AY806369745HK’ 代表什么?

A.邮件序号

B.邮件号码

C.邮件收费号码

D.邮件参考号码

解析：

在网站源码中找到

51. 分析假网站的资料，当受害人经假网站输入数据后，网站会产生一个档案，它的档案名是什么?

通过分析源码，发现提交信息后会生成一个vu.txt文件

52. 分析假网站档案 ‘process.php’ 源码 (Source Code), 推测此档案的用途可能是?

A.发出邮件

B.改变函数

C.产生档案

D.更新数据库

解析：

根据上题 产生档案是肯定的。之后分析后面的代码发现有SMTP，所以会发送邮件

53. 检视档案 ‘process.php’ 源码, 林浚熙的电邮密码是?

还是接上题，在SMTP信息中找到了密码

54. 分析档案 ‘process.php’ 源码, 它不会收集哪些资料?

A.电话号码

B.信用卡号码

C.电邮地址

D.GPS位置

E.短讯验证码

解析：

$holdername = $_POST["holdername"];
$cardno = $_POST["cardno"];
$cvv = $_POST["cvv"];
$exp_mth = $_POST["exp_mth"];
$exp_yr = $_POST["exp_yr"];
$email = $_POST["email"];
$email_domn = $_POST["email_domn"];

$fOpen = fopen($resultFile, "a");
fwrite($fOpen, "Date & Time: ".$dateTime."\n");
fwrite($fOpen, "Card Holder: ".$holdername."\n");
fwrite($fOpen, "Card no.: ".$cardno."\n");
fwrite($fOpen, "cvv: ".$cvv."\n");
fwrite($fOpen, "expire date: ".$exp_mth."/".$exp_yr."\n");
fwrite($fOpen, "Email: ".$email."@".$email_domn."\n");
fwrite($fOpen, "Browser Info: ".$browser."\n");
fwrite($fOpen, "\n"); //End of Entry
fclose($fOpen);

分析代码，发现需要的是姓名 卡号 cvv安全码 年月 邮箱。除了这些，其他的都是答案

55. 虚拟机 (VM) 安装了 Docker 程序，列出一个以’5’作为开端的 ‘Docker’ 镜像 (Image) ID

方法一

火眼直接分析得到

方法二

docker images--no-trunc

56. Docker 容器 (Container) ‘mysql’ 对外开放的通讯端口 (Port) 是?

方法一

直接启动即可

root@useru20:/var/www/html/post/src# docker ps -a
CONTAINER ID   IMAGE          COMMAND                  CREATED       STATUS                      PORTS     NAMES
dcb6a7577ab9   nginx          "/docker-entrypoint.…"   4 weeks ago   Exited (0) 11 seconds ago             webserver
ca019376491b   mysql:latest   "docker-entrypoint.s…"   4 weeks ago   Exited (0) 7 seconds ago              mysql
root@useru20:/var/www/html/post/src# docker start ca
ca
root@useru20:/var/www/html/post/src# docker ps -a
CONTAINER ID   IMAGE          COMMAND                  CREATED       STATUS         PORTS                                                    NAMES
ca019376491b   mysql:latest   "docker-entrypoint.s…"   4 weeks ago   Up 4 seconds   33060/tcp, 0.0.0.0:43306->3306/tcp, :::43306->3306/tcp   mysql

看到是43306

方法二

在火眼中，跳转到源文件，查看配置文件

57. Docker容器 ‘mysql’，用户 ‘root’ 的密码是?

查看历史命令发现

docker run --name mysql -p 13306:3306 -e MYSQL_ROOT_PASSWORD=2wsx3edc -d mysql:latest

58. Docker容器 ‘mysql’ 里哪一个数据库储存了大量个人资料?

首先火眼分析出了几个数据库，然后直接使用火眼的数据库分析，就能找到

59. 检视 Docker 容器 ‘mysql’ 内数据库里的资料，李大辉的出生日期是?

接上题，直接数据库里找就行了

1	Li Ta Hui	852-56412770	HK	M	1985-02-14	litahui18@gmail.com

60. 通过取证调查结果迸行分析 (包括但不限于以上问题及情节)，林浚熙的行为涉及哪一种罪案?

A.传送儿童色情物品

B.抢劫

C.诈骗

D.勒索金钱

E.购买毒品

分析：

1. 搭建钓鱼网站是诈骗

2. 以照片要挟女友是勒索钱财

3. 聊天记录中提及了毒品

   

61. 王晓琳手机的 ‘IMEI’ 号是什么?

md，怎么又回来了啊，他为什么就不能把题放一块啊

火眼或者以色列软件直接分析

352978115584444

62. 王晓琳的手机安装了什么即时通讯软件 (Instant Messaging Apps)?

A.WhatsApp

B.微讯 (WeChat)

C.LINE

D.Signal

E.QQ

解析

63. 王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 ‘PDF’ 档案?(以时区UTC+8回答)

A.2022-09-30 18:30:28

B.2022-09-30 17:39:53

C.2022-10-01 17:39:53

D.2022-10-01 16:30:22

注意时区，弘连的默认UTC+8，其他的可能要注意

64. 承上题，这个 ‘PDF’ 档案的MD5哈希值 (Hash Value) 是什么?

65. 王晓琳将这个 ‘PDF’ 档案发给哪一个用户, 而该用户的手机号码是什么?

A.85269707307

B.85297663607

C.85259308538

D.85246427813

解析：

66. 王晓琳发出这个 ‘PDF’ 档案的原因是什么?

A.错误发出

B.寻求协助

C.分享档案内容

D.无法开启

王晓琳打不开，所以找他帮忙

67. 承上题，分析王晓琳与上述用户的对话，他们的关系是什么?

A.家人

B.客户

C.师生

D.同事

之前报告说是情侣，但是没有这个选项，看之前聊天记录，应该是同事。

68. 王晓琳于何时要求上述用户删除一张照片?

A.2022-09-30

B.2022-10-06

C.2022-09-28

D.2022-10-03

69. 承上题，该用户向王晓琳提出什么要求以删除这张照片?

A. 金钱

B. 毒品

C. 性服务

D. 加密货币

这人要钱才删。

70. 王晓琳的手机里有什么电子书藉 (Electronic Book) ?

A.水浒传

B.三国演义

C.红楼梦

D.西游记

和第一题联动，由第一题就知道是三国演义

总结

时间短，任务紧，不是人做的。