2020美亞杯團體賽WP
2020美亞杯團體賽WP
前幾天忙軟考,好久沒更新,為慶祝軟考結束+EDG奪冠,三個人安排五小時打了一波團體,小累~
案例背景
你的電子資料取證調查結果發現一個國際黑客組織牽涉這宗案件。經深入調查後,調查隊伍相信該黑客組織入侵了一個名為Zello的本地網上商店官網,黑客組織也針對另一家網上商店Xeno發動網路攻擊,使其系統產生故障。調查期間發現三名男子: 張偉華、馮啟禮及羅俊傑疑與該案有關。警方在搜查他們的住宅及公司後扣押了數十臺電子裝置。請分析電子資料證據並重建入侵痕跡。
題目
1、Zello伺服器的雜湊值(SHA256)是甚麼?
30B856EEE5121EDC2F9DC19ACFC8720E443810CBC5B83128EC62F9F4AAEAACC9
2、卷組是何時建立的?
磁碟結構概念:
pv:physical volume,物理磁碟,比如一整塊固態硬碟
vg:volume group,即卷組,比如Windows裡的新建卷
lv:logical volume,邏輯磁碟,比如c盤、d盤
命令
df -h
可以檢視檔案系統和磁碟空間。
lvdisplay
可以檢視lv的相關資訊,比如LV-UUID。pvdisplay和vgdisplay同理。一般需要root許可權才可以執行。
答案:
2020/09/03 10:22
3、卷組的名稱是甚麼?
答案:
ubuntu-vg
4、物理卷的PV UUID是多少?
pvdisplay
答案:
IF6neD-j49V-704g-Uugw-X
5、卷組的VG UUID是甚麼?
vgdisplay
答案:
XaJRmQ-S7Tp-tjaG-tmrX-Vnyu-xhS7-9zDttW
6、Zello伺服器的Linux核心版本是甚麼?
模擬:
uname -a
也可以直接分析。
答案:
5.4.0-48-generic
7、Zello伺服器的作業系統版本是甚麼?
答案:
Ubuntu 20.04.1 LTS
8、Zello伺服器的主機名是甚麼?
cat /etc/hostname
答案:
zello
9、Zello伺服器的主機名是甚麼?
cat /etc/machine-id
答案:
ff39cddc1d794eb6888962aafa17ab28
10、Zello伺服器中使用的wordpress版本是甚麼?
根據bash得到wordpress安裝在/var/www/wordpress裡
同時根據查閱得到wordpress的配置檔案: wp-config,發現include了 wp-settings.php
cat /var/www/wordpress/wp-config.php
cat /var/www/wordpress/wp-settings.php | grep version.php
在wp-settings.php中查詢version發現require_once version.php:
在目錄下查詢version.php然後cat得到版本號
find /var/www/wordpress/ | grep version.php
cat /var/www/wordpress/wp-includes/version.php
答案:
5.5.1
11、Zello伺服器與之同步的主機名是甚麼?
cat /etc/hosts
也可以檢視ntp檔案。
cat /etc/ntp.conf
答案:
NTP-server-host
12、Zello伺服器的時區是甚麼?
timedatectl
或者檢視:
cat /etc/timezone
答案:
Asia/Hong Kong
13、有多少個本地使用者已登入到Zello伺服器?
last
答案:
1
14、植入網路目錄(Webdirectory)的網頁殼層(Web Shell)的雜湊值(MD5)是甚麼?
把/var/www資料夾直接匯出來,用D盾掃描,找到123.php後門:
同時檢視/var/log/access.log.1可以看到123.php,確定123.php為shell檔案
答案:
ECFD5B5E56D56C6BBA6E1BAD595BFC0C
15 、(由於學校給的題目裡這題的題號沒加,懶得改了,後面的題號就跟著減一)\var\www\html\wordpress\net\2020\Login\ index.php'有甚麼作用?
把index.php匯出來,開啟小皮,訪問網頁看一下:
可以看到該網頁用來竊取使用者賬號和密碼。
答案:
盜取資料
16、釣魚網站偽裝成甚麼網站?
答案:
Netflix
17、下列哪個IP對Zello伺服器進行了蠻力攻擊?
解壓日誌檔案:
gunzip -d /var/log/apache2/access.log.3.gz
或者用火眼匯出來用解壓軟體解壓。
檢視access.log.3可以看到中間有大量使用Hydra爆破軟體的日誌記錄(PS:8個日誌把人看傻了):
答案:
203.186.94.68
18、Zello Web伺服器的URL是甚麼?
cat /etc/hosts或者直接開啟模擬的firefox會自動跳轉到該頁面:
答案:
http://zello-onlineshop.sytes.net/
19、LVM2容器的第一個扇區是什麼?
取證大師看分割槽資訊,再用扇區512算一下即可。
答案:
2101248
20、Zello伺服器中LVM2容器的大小(以位元組為單位)是甚麼?
答案:
31135367168
21、在Zello伺服器以及Alice的裝置中可以找到甚麼共同檔案?
Bash可以看到Zello中有R3ZZ.txt。
答案:
R3ZZ.txt
22、2020年8月29日在Xeno伺服器中發現的攻擊型別是甚麼?
檢視access.log,裡面一堆POST和GET相同的請求(看了wp才知道還有這種攻擊)
答案:
HTTP GET/POST Flood
23、哪個IP地址在日誌中條目數量最多?
把日誌拉一下就看到下面基本都是這條IP
答案:
14.102.184.0
24、這個登入次數最多的IP地址,它訪問最多的是哪個頁面?
每個選項都帶進去搜索,比較匹配次數(比較笨)
嘗試使用log paser lizard(很高效),但不知道為什麼總是報"cannot find fields directive"錯誤,很難受
risk.xhtml
25、這個登入次數最多的IP地址來自哪個國家或地區?
檢視Meiya Cup 2020\調查報告\網際網路服務供貨商檢查報告_羅俊傑(Daniel).pdf:
Hong Kong
26、這個登入次數最多的IP地址,合共有多少次成功登入?
不知道搜哪個檔案,不會做。。
答案:
18
27、除DDoS之外,還可能涉及其他攻擊嗎?
搜尋:login,發現有多個login.xhtml;jsessionid= ,每個jsessionid都不同,說明是暴力破解session
答案:
暴力破解攻擊
28、從該網站下載了多少資料?
日誌狀態碼後面的數字是伺服器與客戶端傳輸的資料大小,單位為位元組。
把download對印的14個get請求的傳輸位元組總數算了一下,大約為2.5G
答案:
現有資料不足以作推斷
29.Bob路由器的型號是甚麼?
TL - WR740N
30.Bob家的IP地址是甚麼?
27.111.174.91
31.使用路由器的裝置的Mac地址是甚麼- Alice?
這題沒找到答案
31、32、33需要推斷身份,在個人賽我們已經知道Bob和Cole是Boss,
Bob的路由器日誌
Bob家路由器的MAC——A4:4E:EC:24:00(Bigboss)
從日誌可以看出Cole是去過Bob家的,所以Cole肯定是另一個Boss——Moving Boss(38:48:4C:17:9A:OC)
Alice的我還沒找到
32.使用路由器的裝置的Mac地址是甚麼- Cole?
38:48:4C:17:9A:OC
33.誰到訪過Bob的家?
Alice 及 Cole
雖然31不會,但是從31題可以看出,Alice是在9月28號用過這個路由器的,所以Alice和Cole都來過
34.他們甚麼時候去過Bob的家?
2020/9/28
35.Bob的筆記本計算機的雜湊值(SHA-1)是甚麼?
5DF01AC2194A74804DEB0F7332532D39711C5770
36.筆記本計算機中安裝了甚麼電子郵件程式?
Super Email Sender
選項中只有Super Email Sender
37.網路釣魚電子郵件的接收者是儲存在甚麼檔案?
NETFLIX.htm.dump
38.在Bob的筆記本, 有什麼可疑APK及其功能?
檢查虛擬貨幣的價格
看到一堆APK,一個個裝進去分析吧
思路可以從40題的題目入手(團隊賽就是這樣,要縱觀全域性,一道題卡住了就看看別的題)
我們找到一個APP——bitcoin_ticker(mytracker.apk),他裡面有Bitlocker金鑰和恢復金鑰
39.該可疑APK 從什麼網站獲取資料?
https://rest.coinapi.io/v1/exchangerate
直接暴力搜尋
grep "rest.coinapi.io" ./ -nr
strings ./lib/arm64-v8a/libapp.so | grep "rest.coinapi.io"\n
40.上述APK中發現的Bitlocker金鑰是甚麼?
741852963
41.網路釣魚網站的網頁寄存的網站地址是甚麼?
http://zello-onlineshop.sytes.net/wordpress/net/2020/Login/
42.Bob的桌上計算機的雜湊值(SHA-256)是甚麼?
86C740D5FB096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C2673
開啟Desktop.E01的映象
但是有個分割槽被BitLocker加密了,BitLocker金鑰沒用,直接用恢復金鑰即可解密成功
模擬
43.Bob的桌上計算機的安裝時間是幾點?(本地時間)
2020/9/15 3:40:00
44.Bob桌上計算機內發現的網路釣魚指令碼是甚麼?(某些字元被刻意用*遮蓋)
i*t*r.zip (inter.zip)
給模擬的系統整個Everything,爽搜
45.該網路釣魚指令碼的功能是甚麼?
收集個人資料
inter.zip解壓
PHP程式碼審下
收集IP和地區
46.在Bob iphone, 與Alice和Cole通訊記錄的完整路徑是甚麼?
File List\User File List\Applications/Group/group.net.WhatsApp.shared/ChatStorage.sqlite
Table:ZWAMESSAGE(ZCHATSESSION:4)
首先,在udf配置檔案能找到備份密碼1234
與Alice和Cole的談話都在[email protected]群組中
匯出來連線sqlite,[email protected] 的 ZCHATSESSION=4
47.Bob的iPhone的蘋果ID是甚麼?
48.Bob的iPhone的IMEI是甚麼?
13421004458835
49.Bob iPhone的時區設定是甚麼?
UTC +8
grep搜下
香港時區
50.檔案“ VIP.txt”的完整路徑是甚麼?
Bob/mobile/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApp.shared/Message/Media/[email protected]/c/5/c56255d0-a407-4341-afef-7bf5accc52f0.txt
火眼全域性搜尋
50.在Bob iphone, 誰是“ [email protected]”的聊天群組中的管理員?
Alice
聊天記錄推斷
52.“[email protected]”聊天群組中有多少個附件?
4個
53.Bob iPhone的Airdrop ID是甚麼?
火眼取不出來
54.Bob的iPhone的作業系統版本是甚麼?
55.Bob在2020-09-17的1451時訪問的連結是甚麼?(UTC + 0)
https://www.softwaretestinghelp.com/ddos-attack-tools/amp/ (Title:8 Best DDoS Attack Tools (Free DDoS Tool Of The Year 2020))
2020-09-17的2051歷史記錄
56.Bob的Samsung S2的Android ID是甚麼?
72af229d1da3b3cd
火眼全域性搜尋“Android ID”
57.Bob的Samsung S2的作業系統版本是甚麼?
4.1.2
58.Bob Samsung S2的時區設定是甚麼?
Asia/Hong_Kong
59.“ bitcoin.PNG”的儲存位置是甚麼?
userdata (ExtX)/Root/media/DCIM/
60.bitcoin.PNG的雜湊值(SHA-256)是甚麼?
479AADBA030B9F1B0165760881EAEED48330CB3DCCC807FE482985A8370B0D5B
61.Bob的Samsung S2的wifi mac地址是甚麼?
60:21:C0:4B:75:11
mac.info
62.“ userdata(ExtX)/ Root / media / Download / APK Testing”中的有多少APK檔?
10
63.Messagesecure.apk的雜湊值(SHA-256)是甚麼?
ae572eb1a59e9a8dc25ad02c15761532658747979e63ad356ec5b9c1f623b4bf
64.私鑰已在bitcoin.PNG中加密。私鑰是甚麼?
KzZUc6yaEjPd7NgBBRz9yUAf447Ei74K8rwuxoia8paBjzDNNpqG
發現是用這個App解密的,金鑰Aa654321
65.apk檔案“ flash_chat”的雜湊值(SHA-256)是甚麼?
041a731249fa7bbaebd88651e0f5d2c4c3069c6ff8924b80579a2b160e387340
這個題要去Alice的手機找的,全域性搜尋,只有這個是完整的apk
算一下SHA-256
66.哪個檔案包含“ flash_chat”聊天記錄?
B
67.從“ flash_chat”找到的Bob的Windows密碼是甚麼?(某些字元被刻意用*遮蓋)
112233
navicat連線上題的sqlite
68.訊息的訊息號碼(Message ID)是甚麼?
0x04CM9o69pmKByxwnRj
剛才訊息的ID,同一行
69.“ flash_chat”訊息ID“ aGqBnI5Bxutv24SQvrBL”中的密碼是甚麼?(某些字元被刻意用*遮蓋)
helloworld
直接找aGqBnI5Bxutv24SQvrBL的訊息ID
helloworld
70.從Bob iMAC 桌面名為Wallet.dat 的檔案中可以取得以下那一個比特幣地址?(某些字元被刻意用*遮蓋)
3KHtnfnLp7P8Vu7EA4uUJzkngnXxGMZWwo
可以把Wallet.dat放Winhex里正則搜尋,或者把MAC中bitcoin的軟體下到本地也可以跑出來
71.從Wallet.dat檔案中取得的比特幣地址,那一個有接收及傳送過比特幣?(某些字元被刻意用*遮蓋)
3HeQp9c74rqN6ymzGwr9JB7z8CPaX2458w
可以從https://www.blockchain.com/地址查詢驗證
72.以下那一個比特幣接收或傳送交易的雜湊值與上述的比特幣地址有直接關係?(某些字元被刻意用*遮蓋)
1f9f0f61e1b80cc1086445c4d9159a8ec9bde6500e2850fc134860b82c97288e
73.上述的比特幣交易中所涉及多少比特幣?
0.01455279BTC
74.Bob iMac資料磁碟的雜湊值(SHA-256)是甚麼?
F83929D4217939E37A4408FAE745363A4635A18CB0EE2E29771449E86F8BD7E7.
75、Cole桌上計算機的雜湊值(SHA-1)是甚麼?
答案:
0D00A8A853B9001A9FC7BF89D9FBBA790C065CE2
76、Cole桌上計算機的使用者名稱是甚麼?
答案:
COLE
77、在Cole的桌上計算機中發現了多少潛在的受害者?
開啟檔案C:/secrets/vips.txt可以看到
答案:
200
78、潛在受害者的資料被儲存在哪裡?(某些字元被刻意用*遮蓋)
答案:
Partition 3\secrets\vips.txt
79、預設瀏覽器何時安裝?
模擬右鍵edge快捷鍵,檢視內容
答案:
2019-12-07
80、Cole桌上計算機上預設安裝了甚麼瀏覽器?
答案:
Internet Explorer
81、上述儲存瀏覽記錄的預設瀏覽器,該檔案檔案的型別是什麼?
用火眼檢視Edge歷史記錄,然後右鍵跳轉到原始檔:
答案:
dat
82、入侵Zello的證據檔案是甚麼?
證據檔案包括瀏覽記錄
答案:
WebCacheV01.dat
83、受感染網站的網址是什麼?
(感覺像是前面伺服器的題目亂入)
答案:
http://zello-onlineshop.sytes.net
84、Cole桌上計算機上的DDoS勒索字條是甚麼?(某些字元被刻意用*遮蓋)
模擬桌面上可以看到
答案:
Ransome Note of DDOS.txt
85、在Cole桌上計算機上發現的DDoS勒索字條中,比特幣錢包地址是甚麼?
答案:
1L6fKWpEYvUi8FeG6BnXqfh1joAgmJA1h1
86、Cole筆記本計算機的雜湊值(SHA-1)是甚麼?
答案:
9CD259C89F2C5E6A2E02CFF13DBD61E423B82EF5
87、Cole筆記本計算機有多少個使用者帳戶?
分析看一下:
答案:
3
88、當前登入使用者帳戶的使用者名稱是甚麼?
模擬登入
答案:
Cole
89、在Cole筆記本的隨機存取記憶體中, 是甚麼Windows配置檔案?
有些低版本的volatility在下面96題的dlllist裡無法解析出應有的dll檔案,這裡分享一下個人用的volatility以及bench:百度網盤連結 提取碼:luks
cmd:
volatility.exe -f F:\美亞杯\美亞杯-2020\camp\cole匯出\coleramdump.mem imageinfo
答案:
Win7SP1x64
90、使用者密碼的前5個字元是甚麼?
火眼模擬可以直接看到
答案:
78945
91、計算機中可疑的txt檔案的名稱是甚麼?
檢視最近開啟文件(個人覺得costomer.txt也蠻可疑的,不過被刪了)
答案:
vips.txt
92、可疑txt檔案曾經出現在哪個路徑?
答案:
C:/Users/Cole/Desktop/
93、是否有任何證據表明該檔案已執行?
答案:
是的,因為在Cole \ AppData \ Roaming \ Microsoft \ Windows \ Recent \中找到了與此檔案相關的lnk檔案
94、以下哪個與上述可疑txt檔案相關的發現是正確的?
發現costomer.txt和vips.txt,但對於costomer.txt火眼和取證大師都無法顯示建立時間,乃正哥 是看$extend/$UsnJrnl裡的$J檢視的,但取證大師和火眼都顯示該資料夾為空,沒有X-Ways。。。就盲猜了
答案:
在建立可疑txt檔案之後,建立/訪問了另一個txt檔案
95、根據系統時間,Cole在2020-09-18 01:01:08 UTC + 0000左右用筆記本計算機做了甚麼?
注意使用的UTC+0000,火眼裡時間得要再加8h
火眼時間線可以看到這個時間他呼叫了Eraser.exe程序
答案:
他刪除了一些檔案
96、FTK Imager.exe的PID是甚麼?
volatility.exe -f F:\美亞杯\美亞杯-2020\camp\cole匯出\coleramdump.mem --profile=Win7SP1x64 pslist
答案:
2456
97、FTK Imager.exe的父應用程式是甚麼?
PPID為父程序ID
答案:
660
98、FTK Imager.exe使用甚麼DLL?
volatility.exe -f F:\美亞杯\美亞杯-2020\camp\cole匯出\coleramdump.mem --profile=Win7SP1x64 dlllist
拖到最下面
答案:
sensapi.dll
99、MpCmdRun.exe的PID是甚麼?
volatility.exe -f F:\美亞杯\美亞杯-2020\camp\cole匯出\coleramdump.mem --profile=Win7SP1x64 psscan
psscan命令可以看到隱藏程序MpCMdRun.exe,而pslist看不到
答案:
1288
100、以下哪個與MpCmdRun.exe相關的專案是正確?
看psscan內容
或者也可以用timeliner:
volatility.exe -f F:\美亞杯\美亞杯-2020\camp\cole匯出\coleramdump.mem --profile=Win7SP1x64 timeliner
搜尋程序名稱即可
答案:
該過程於2020-09-18 01:20:57 UTC + 0000終止
101、上次啟動後,筆記本計算機連線的外部IP是甚麼?
netscan發現都是內部地址
volatility.exe -f F:\美亞杯\美亞杯-2020\camp\cole匯出\coleramdump.mem --profile=Win7SP1x64 netscan
答案:
未連線/未連線到任何外部IP
102、上次啟動後,筆記本計算機連線的網路驅動器路徑是甚麼?
見上題
答案:
未連線/未連線到任何外部IP
103、一位客戶有一封電子郵件mb@ms.z.**.tw,可以在Cole的筆記本計算機中找到此資料嗎? (某些字元被故意用*遮蓋)
取證大師找不到,資料恢復也找不到這個郵件,只能先放了
答案:
是
104、收到上述電子郵件的客戶名稱是甚麼?
105、屬於上述客戶的電話號碼是甚麼? (某些字元被故意用*遮蓋)
106、上述客戶可能居住的區域是甚麼?
107、Cole的PI的雜湊值(SHA-256)是甚麼?
答案:
EABC9BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7C0556
108、Cole PI 裝置的作業系統是甚麼?
答案:
Ubuntu24
109、作業系統是甚麼版本?
答案:
20.04.1 LTS (Focal Fossa)
110、裝置的檔案系統是甚麼?
答案:
Ext 4
111、作業系統的時區是甚麼?
檢視/etc/timezone
Asia/Shanghai
112、哪個檔案包含兒童色情物品內容?(某些字元被故意用*遮蓋)
檢視bash_history:
cp '/media/user/D260-8BA9/pthc1.jpg' '/media/user/D260-8BA9/pthc2.jpg' '/media/user/D260-8BA9/pthc3.jpg' /var
答案:
"Partition 2*r\ptc1.jpg,Partition 2*r\ptc2.jpg,Partition 2*r\ptc3.jpg"
113、Cole PI裝置中的兒童色情物品的建立時間是甚麼?
答案:
2020/09/15 17:21
114、Cole NAS的雜湊值(SHA-256)是甚麼?
答案:
5B79890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D2871
115、兒童色情資料存放在哪裡?
取證大師會自動恢復動態磁碟,有一個RAID-1,火眼目前分析不出來
答案:
Partition 3\cole-shared\media
116、裝置中現有多少兒童色情資料?
答案:
3
117、Cole NAS裝置中的兒童色情物品的建立時間是甚麼?
答案:
2020/09/15 16:51
118、在Cole手機, 谷歌的使用者個人資料是甚麼?
火眼分析(正確的手機bin檔案在補充檔案裡)檢視Chrome瀏覽器賬號資訊即可
答案:
119、Cole的手機上有社交媒體帳戶嗎?如有,那是甚麼?
WhatsApp賬戶資訊
答案:
120、Cole與Bob和Alice在同一個小組中進行過交流嗎?它是甚麼?
答案:
是的,在whatsapp組ID中的群聊訊息:[email protected]
121、Cole手機的Android ID是甚麼?
美亞手機大師V4Bob的解析出來了,Cole的卻沒解析出來。火眼全域性搜尋,搜尋 android id 也沒搜到
想要用盤古石嗚嗚
答案:
626a98cb2bb965ec
122、已安裝的WhatsApp APK檔案的雜湊值(SHA-256)是甚麼?
檢視分割槽31/app/,搜尋Whatsapp,然後計算資料夾內的apk
答案:
B31806FA2CCE80923DE8646F835B72D1FB06A97343A5B7242BC3972627C78E1B
123、列出Chrome的五個“關鍵詞搜尋”。
檢視搜尋歷史:
至於為什麼選這五個而排除了其他的關鍵字,比如apple,個人認為還是要根據嫌疑人作案目的來選擇
答案:
"bulk mailer, ddos creator, fortress online, parknshop, GitHub malware"
124、在哪裡可以找到“Cole的電話”的通話記錄?
火眼分析裡檢視通話記錄,隨便點一個跳轉到原始檔,匯出db檔案檢視
Navicat檢視:
答案:
Table:calls
125、2020-09-01至2020-09-30之間,“Cole”收到了多少條SMS訊息?
檢視簡訊,排除被刪除的資訊
答案:
2
126、在Cole的“ whatsapp”聯絡人中,有多少使用者正在使用“ whatsapp”?
有三個聯絡人,加上Cole自己
答案:
4
127.Daniel的桌上計算機的雜湊值(SHA-256)是甚麼?
07DD40CF28603F421F3A09CD38F1C8AA40A2AC4BFB46ECF8299C38CE6AE44ED5
128.該桌上計算機作業系統儲存在哪個分割槽上?
C盤
129.在桌上計算器機中找到Daniel的電子郵件地址是甚麼?
模擬後進入outlook郵箱
130.該惡意軟體感染源是甚麼?
未知
131.在Daniel的桌面上發現了甚麼惡意軟體?(某些字元被刻意用*遮蓋)
video_viewer_3.1.2.4.exe
132.該惡意軟體的雜湊值(SHA-256)是甚麼?
72AFE67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D5089
133.該惡意軟體的功能是甚麼?
特洛伊木馬
134.Daniel的MacBook 計算機的雜湊值(SHA-1)是甚麼?
C71C21730461FC901FD99F76C3679C3FED0DFAB9
135.Daniel的MacBook 計算機中有多少個分割槽?
2個
136.Daniel的iPhone的作業系統是甚麼版本?
12.4.7
/iPhoneBackup/Lockdown/device_values.plist
137.Daniel的iPhone的wifi mac地址是甚麼?
64:9a:be:c4:99:7d
/iPhoneBackup/Lockdown/device_values.plist
138.Daniel的iPhone的IMEI是甚麼?
356977063078512
檢材照片
139.iPhone上次連線WIFI的SSID是甚麼?
Netgear24_5G
140.根據調查結果,以下哪項關於Daniel的選項是正確的?
Cole 入侵了 Daniel 的計算機
總結
這次從Satan哥那偷了一手Grep暴力搜尋,效果顯著,玩爽了。但不建議大家學,只能算做題的一個小trick,也不好拿這個方法答辯,平常學習的話還是按正常思路耐心尋找比較好。