美亚杯2022个人赛 Writeup¶
案情简介:
2022 年 10 月,有市民因收到伪冒快递公司的电邮,不慎在犯罪嫌疑人架设的假网站上输入了个人信用卡资料,导致经济损失。经警方调查,发现其中一名受骗市民男子李大輝(TaiFai)的信用卡曾经被犯罪嫌疑人在市内的商店购物。后来警方根据IP地址,锁定及拘捕了一名男子林浚熙(阿熙ChunHei),并在他的居所发现了一批怀疑是作案用的电脑及手机。经取证调查后,警方发现阿熙除上述案件外,他还牵涉其他的一些犯罪活动。 警方的电子数据取证小组在现场作出初步调查,并对涉案设备进行了电子数据取证。请你根据得到的资料,协助将事件经过还原。
资格赛 (70个小题, 共115分)
1.[单选题] 王晓琳在这本电子书藉里最后对哪段文字加入了重点标示效果 (Highlight)? (2 分) [ ] A.武松那日早饭罢 [ ] B.卿有何妙计 [ ] C.宝玉已是三杯过去了 [ ] D.就除他做个弼马温罢
手机中只安装了系统自带的 iBooks, 其备份文件位于 /AppDomainGroup-group.com.apple.iBooks/
.
在其中的 Documents\BKLibrary
目录下可以找到一个数据库, 其中存有书籍信息.
在其中的 Documents\StoreFiles
目录下可以找到一个数据库, 其中存储有批注信息.
2. [多选题]
王晓琳的手机里有一个 'MTR Mobile (港铁)' 的手机程序 (Mobile App)。 检视其数据库 (Database) 的数据,王晓琳于2022年10月11日 22:04 时将一行程加入书签 (Bookmark),这段行程的起点及终点站包括? (2分)
[ ] A.青衣
[ ] B.红磡
[ ] C.沙田
[ ] D.尖沙咀
[ ] E.康城
AC
3. [填空题]
王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片? (以阿拉伯数字回
答) (1分)
90
4. [单选题]
检视王晓琳的手机照片,她于2022年10月2日到过什么地方? (1分)
[ ] A.大榄麦理浩径
[ ] B.大潭郊游径
[ ] C.城门畔塘径
[ ] D.京士柏卫理径
C
5. [单选题]
李大辉使用的是一台LG V10的手机,它的型号是什么? (1分)
[ ] A.LGH961C
[ ] B.LGH961N
[ ] C.LGH961D
[ ] D.LGH960C
[ ] E.LGH960H
B
6. [单选题]
李大辉的手机最常搜索的类别 (Category) 是什么? (1分)
[ ] A.运动
[ ] B.护肤品
[ ] C.旅游
[ ] D.学校
B
7. [填空题]
李大辉最近光顾了一家美丰快运公司,这快递件的单号是什么? (不要输入符号及空白,以阿拉伯数字回答) (1分)
4567 5678 1234 4567
在相册缩略图中可以看到疑似快递单的图片, 但清晰度太差, 看不清楚.
既然缩略图在 DCIM 里, 说明曾经拍过快递单的照片, 但被删除了. 此外, 在各种社交媒体中也没有找到有发送这张照片.
在翻看了手机里所有文件大小大于 100 KB 的图片文件之后依然没有找到. 猜测是某个软件保存了照片的缓存, 扩展名发生了变化.
对镜像进行文件特征分析, 在分析结果中找到了另一张文件的缓存 54363de6fa6ac19d7b38ae4a8660622b498e4017c9c9fa77edafaae214e49b8e.tmp
, 跳转到源路径之后, 在同一个文件夹中可以找到运单的照片缓存/分区57/data/com.google.android.apps.photos/cache/glide_cache/54363de6fa6ac19d7b38ae4a8660622b498e4017c9c9fa77edafaae214e49b8e.tmp
. 这是谷歌相册的相册封面缓存.
8. [单选题]
李大辉收到的电邮中有一个钓鱼链结 (Phishing Link),这个链结的地址是什么?
(1分)
[ ] A.https://bit.ly/5vM12
[ ] B.以上皆非
[ ] C.https://bit.ly/3yeARc0
[ ] D.http://bit.ly/Hell0
C
9. [单选题]
承上题,这封电邮是从哪个电邮地址寄出的? (1分)
[ ] A.2020ChanChan@hotmail.com
[ ] B.以上皆非
[ ] C.Cavinchow456@yahoo.com[ ] D.30624700Peter@proton.me
D
10. [单选题]
承上题,寄出这封电邮的IP地址是? (2分)
[ ] A.10.13.105.56
[ ] B.以上皆非
[ ] C.65.54.185.39
[ ] D.58.152.110.218
此题或许无解. 安卓版的 gmail 并不会下载完整的电邮信息, 而是从服务器获取一个通过 zlib 压缩过的二进制文件, 并将文件解析之后存入数据库, 其中只包含发信邮箱 & 收信邮箱 & 邮件标题 & 邮件正文等信息.
不过排除法可以得出答案 (前提是不选 D):
- 首先, 我们可以排除 B 选项, 因为 A 网段为 10 的 ip 地址是保留 ip.
- 在 ip 查询网站上搜索一下剩下的 2 个 ip 地址, 发现 A 选项为微软所拥有的 ip 地址.
- 而 C 选项香港的一家名为 "网上行" 的网络供应商所拥有的 ip 地址. 结合案件情况, 或许发件人使用的网络由此公司提供.
11. [单选题]
李大辉手机有一个 'order.xlsx' 的档案被加密了,解密钥匙是什么? (1分)
[ ] A.Nov2022!
[ ] B.2022_Nov!
[ ] C.20221101
[ ] D.P@ssw0rd!
A
12. [填空题]
香港的街道上每一枝街灯都有编号。 分析李大辉手机里的程序 'KMB 1933',
哪一枝街灯在经度 (Latitude) 22.4160270000, 纬度 (Longitude)
114.2139450000 附近,它的编号是什么?(以大㝍英及阿拉伯数字回答) (2分)
CE1453
13. [填空题]
李大辉的手机里有一张由该手机拍的照片,照片的元资料 (Metadata) 曾被修改,这张照片的档案名是什么?(以大写英文及数字回答,不用回答副档名) (2分)
20220922_152622.jpg
DCIM 中只有一个文件的创建日期与修改日期不同. 查看图片元数据发现, 其拍摄日期被修改.
20220922_152622.jpg
DCIM 中只有一个文件的创建日期与修改日期不同. 查看图片元数据发现, 其拍摄日期被修改.
14. [单选题]
分析李大辉的手机里的资料,他在哪一间公司工作? (2分)
[ ] A.盛大国际有限公司
[ ] B.美丽好化妆品公司
[ ] C.步步高贸易公司
[ ] D.永恒化妆品公司
B
15. [填空题]
林浚熙曾经以手机登录Google账户的验证码是什么? (不要输入符号,以大写英文及阿拉伯数字回答) (1分)
G785186
16. [填空题]
林浚熙手机的 'WhatsApp' 号码是什么? ( 号 码 ) @s.whatsapp.net? (以阿拉
伯数字回答) (1分)
85259308538
17. [单选题]
通过分析林浚熙手机的照片,判断他在何处偷拍王晓琳? (1分)
[ ] A.游泳池
[ ] B.交通工具
[ ] C.郊野公园
[ ] D.酒店房间
D
18. [填空题]
林浚熙曾经删掉自己拍摄的照片,这张照片的档案名 (Filename) 是什么? (不要
输入 '.',以大写英文及阿拉伯数字回答。 如 Cat10.jpg,需回答CAT10JPG) (2
分)
IMG0444JPG
19. [填空题]
王晓琳曾经发送一个PDF档案予林浚熙,这个档案的文件签名 (File Signature)是什么? (以十六进制数字回答首八位数值,如 F0A1C5E1) (2分)
D0 DF 11 E0
这道题出题人还专门把文件签名的英文标出来了. 文件签名其实就是我们常说的文件头, 这个 PDF 扩展名的文件实际上是一个 Excel 表格文件. 这个文件格式与现在常见的 Office Open XML(OOXML) 格式的文档不同, 它是由 2007 版本之前的 Office 组件创建的 OLESS(OLE Structured Storage) 格式文件.
20. [填空题]
承上题,该PDF档案内包含一位曾经被骗的受害者资料。分析林浚熙手机的数
据,这位受害者的英文名字是什么? (不要输入符号及空白,以大写英文回答) (2
分)
WONGSAIPING
21. [单选题]
分析林浚熙手机上的数据,他在2022年10月17日计划去什么地方? (2分)
[ ] A.沙田站
[ ] B.以上皆非
[ ] C.荃湾站
[ ] D.国际金融中心二期
A:荃湾站
B:沙田站
C:国际金融中心二期
D:以上皆非
手机上安装的全部与行程可能相关的应用有: com.kmb.app1933
(公交信息软件) & com.apple.map
(系统地图服务) & com.google.Maps
(谷歌地图) & com.waze.iphone
(导航软件).
逐一查看数据库后发现, waze 的数据量非常大, 看起来是经常使用的.
在 /AppDomain-com.waze.iphone/Documents/user.db
中的 EVENTS_PLACES
表中可以看到路程规划信息.
转换一下时间戳看到 2022-10-17 有计划去沙田站.
22. [填空题]
承上题,上述行程的结束时间是? (如答案为 16:01:59,需回答 160159) (2分)
见上题
23. [填空题]
于林浚熙的手机里,在2022年9月1日 或以后,哪一张照片是由其他手机拍摄的,而它的档案名是什么?(不要输入 '.',以大写英文及阿拉伯数字回答。 如Cat10.jpg,需回答CAT10JPG) (2分)
Local Photo Library Photos.sqlite Query Variations & WHERE statements – The Forensic Scooter
PK>=293的满足9月1号之后
这道题出现了一些问题, 根据 EXIF 信息, 一共找到 3 张由 iPhone XS 拍摄且创建日期在 2022-09-01 后的照片. (林浚熙的手机型号是 iPhone XR)
如果非要说是哪一张的话, 更有可能是 IMG_0421.HEIC 或 IMG0_0420.HEIC 之中的一张, 因为手机里面还存输了一张明显与 IMG_0422.HEIC 一起拍摄的另外一张照片.
24. [单选题]
根据照片的数据库 (Photos.sqlite) 资料,哪一个栏目标题 (Column Header)可以显示这张照片的接收方式? (2分)
[ ] A.ZIMPORTEDBYBUNDLEIDENTIFIER
[ ] B.ZRECEIVEMETHODIDENTIFIER
[ ] C.ZIMPORTEDFROMSOURCEIDENTIFIER
[ ] D.ZRECEIVEDFROMIDENTIFIER
A:ZIMPORTEDFROMSOURCEIDENTIFIER
B:ZIMPORTEDBYBUNDLEIDENTIFIER
C:ZRECEIVEDFROMIDENTIFIER
D:ZRECEIVEMETHODIDENTIFIER
写一个简单的 python 脚本提取数据库里的所有字段信息:
import sqlite3
import json
con = sqlite3.connect("./Photos.sqlite")
cur = con.cursor()
tables = cur.execute("SELECT name FROM sqlite_master WHERE type = 'table' ORDER BY name;").fetchall()
tables_parsed = dict()
for tablename in tables:
tablename = tablename[0]
tables_parsed[tablename] = list()
cols = cur.execute(f"PRAGMA table_info({tablename});").fetchall()
for col in cols:
tables_parsed[tablename].append(col[1])
con.close()
with open("./Photos.josn", "w") as json_file:
json.dump(tables_parsed, json_file, indent=4)
find = [
"ZIMPORTEDFROMSOURCEIDENTIFIER",
"ZIMPORTEDBYBUNDLEIDENTIFIER",
"ZRECEIVEDFROMIDENTIFIER",
"ZRECEIVEMETHODIDENTIFIER"
]
for table_name, table_columns in tables_parsed.items():
for col_name in find:
if col_name in table_columns:
print(f"{col_name} in {table_name}")
只能找到 ZIMPORTEDBYBUNDLEIDENTIFIER
字段, 位于 ZADDITIONALASSETATTRIBUTES
& ZCLOUDMASTER
& ZGENERICALBUM
三个表中.
25. [单选题]
承上题,这张照片通过什么方式接收? (2分)
[ ] A.WhatsApp软件传送
[ ] B.蓝牙传送
[ ] C.Signal软件传送
[ ] D.网页下载
[ ] E.以上皆非
使用ScottKjr3347/iOS_Local_PL_Photos.sqlite_Queries提供的 sqlite 脚本, 可以看到照片的来源是 com.apple.sharingd
, 应该是苹果的 AirDrop:
NAME: sharingd -- Sharing Daemon that enables AirDrop, Shared Computers, and Remote Disc in the Finder.
SYNOPSIS: sharingd
DESCRIPTION: sharingd is used by the Finder to enable AirDrop file sharing, connecting to shared computers, and accessing Remote Discs from other computers.
**26. [填空题]**承上题,这张照片原本的档案名 (Original Filename) 是什么? (不要输入 '.',以
大写英文及阿拉伯数字回答。 如 Cat10.jpg,需回答CAT10JPG) (3分)
27. [填空题]
林浚熙手机里有一个备忘录 (Notes) 被上了锁,这个备忘录的名称是什么? (以
大写英文及阿拉伯数字回答) (1分)
Halo
备忘录的数据被存储在 /AppDomainGroup-group.com.apple.notes/NoteStore.sqlite
在表 ZICCLOUDSYNCINGOBJECT
中可以看到加密情况:
不过, 这里有两个脚本被加了密. 不过在解密之后, 只有其中一个备忘录中存在数字. 参见下题.
28. [填空题]
承上题,上述备忘录的内容有一串数字,它是什么? (以阿拉伯数字回答) (2分)
123456
这道题有些麻烦, 或许是因为 ios 新版本的 Notes 应用的数据库结构发生了变化, 现有的解析脚本都不能顺利解析. 不过, 既然我们只需要备忘录的标题和内容, 完全可以用比较粗暴简单的办法解决问题: 将脚本中获取上述两个字段的地方做修改.
关于解密原理可以看这个: Ciofeca Forensics - Revisiting Apple Notes (5): Encrypted Notes
我使用的脚本是 threeplanetssoftware/apple_cloud_notes_parser: Parser for Apple Notes data stored on the Cloud as seen on Apple handsets (github.com). 这里给出在 Debian 上的操作流程. 不建议使用 Windows, 因为在编译 Ruby 的 OpenSSL Gem 时会出问题.
安装环境及 Gem:
sudo apt-get install build-essential libsqlite3-dev zlib1g-dev git ruby-full ruby-bundler libssl-dev
git clone https://github.com/threeplanetssoftware/apple_cloud_notes_parser.git
cd apple_cloud_notes_parser
bundle install
如果卡在 bundle install, 网络环境问题, 需要换源:
sed -i "s/rubygems.org/gems.ruby-china.com/g" Gemfile
然后就需要对脚本进行修改了. 要修改的是 lib/AppleNote.rb
和 lib/AppleNoteStore.rb
两个源码.
- 在
lib/AppleNoteStore.rb
中找到 "Skipping Note ID" 这个字符串, 将这句 logger 所在的整个 if...else...end 代码块注释掉, 只保留@notes[tmp_note.note_id] = tmp_note
这一行. - 在
lib/AppleNote.rb
中找到to_csv
函数, 将其中的@account.name
和@folder.name
修改为""
. - 同一个文件中, 找到
generate_html
函数, 将其中的#{@account.name}
和#{@folder.name}
删除.
由于需要爆破密码, 还需要从网上找一个弱口令字典.
最后执行脚本:
ruby notes_cloud_ripper.rb -w /path/to/passwords.dict -f /path/to/NoteStore.sqlite
爆出来密码是 234567
, 备忘录的内容是 Halo\n123456
.
29. [单选题]
林浚熙计算机 (Computer) 的操作系统 (Operating System) 版本是什么? (1分)
[ ] A.Windows 10 Home 21H2
[ ] B.Windows 10 Pro for Workstations 21H2
[ ] C.Windows 10 Pro 22H2
[ ] D.Windows 10 Pro for Workstations 21H1
仿真后能看到是21H2..
B
30. [填空题]
林浚熙计算机安装了什么品牌的虚拟专用网络 (Virtual Private Network -
VPN) 软件? (不要输入符号及空白,以大写英文及阿拉伯数字回答) (1分)
EXPRESSVPN
31. [填空题]
承上题,分析该虚拟专用网络的日志 (Log),他在哪天安装该虚拟专用网络? (如
答案为 2022-12-29,需回答 20221229) (2分)
20220915
32. [填空题]
检视林浚熙计算机的数据,他使用哪种加密货币 (Cryptocurrency) 以支付虚拟
专用网络软件? (以大写英文回答该加密货币的全名,如 BITCOIN) (1分)
BITCOIN
33. [填空题]
林浚熙的加密贷币钱包 (Cryptocurrency Wallet) 名称是什么? (不要输入符
号,以大写英文及阿拉伯数字回答) (2分)
tellaw_ieh
34. [多选题]
林浚熙计算机里安装了哪个浏览器 (Web Browser)? (1分)
[ ] A.Tor Browser
[ ] B.Google Chrome
[ ] C.Internet Explorer
[ ] D.Microsoft Edge
[ ] E.Opera
ABCD
35. [单选题]
林浚熙使用浏览器 'Google Chrome' 曾经浏览最多的是哪一个网站? (1分)
[ ] A.https://web.whatsapp.com
[ ] B.https://gmail.com
[ ] C.https://mail.google.com/mail
[ ] D.https://facebook.com
A
36. [多选题]
除了上述网站,林浚熙曾使用浏览器 'Google Chrome' 搜索过什么? (1分)
[ ] A.image教学
[ ] B.php sql教学
[ ] C.electrum教学
[ ] D.javascript教学
[ ] E.tor教学
ABCE
37. [单选题]
林浚熙的计算机安装了一个通讯软件 'Signal',它的用戶資訊儲存路径是什么?
(1分)
[ ] A.\Program Files (x86)\Signal[ ] B.\Users\HEI\Desktop\Signal
[ ] C.\Users\HEI\AppData\Roaming\Signal
[ ] D.\Users\user\Roaming\Signal
C
38. [填空题]
通讯软件 'Signal' 采用一个档案存放用户的聊天记录,它的档案名是什么? (不
要输入 '.',以大写英文及阿拉伯数字回答。 如 Cat10.jpg,需回答CAT10JPG)
(2分)
DBSQLITE
39. [填空题]
承上题,对上述档案迸行分析,林浚熙的联络人当中有多少人安装了Signal?
(以阿拉伯数字回答) (3分)
1
40. [填空题]
林浚熙在 'Signal' 曾经与某人对话,那人的手机号码是什么? 需要与区码 (Area
Code) 一同回答 (以阿拉伯数字回答) (3分)
85270711901
41. [多选题]
承上题,两人在 'Signal' 的对话中有些讯息 (Message) 包含附件,这些讯息的
'ID' 包括? (2分)
[ ] A.9729bf92-ab9c-45f7-8147-66234296aele
[ ] B.5b9650fe-3bb6-4182-9900-f56177003672
[ ] C.46a8762b-78ea-49aa-a6f5-b24975ec189f
[ ] D.47233ffe-1a73-4b3d-b97c-626246ec3129
AC
42. [填空题]
承上题,林浚熙曾经于2022年10月20日轉账 (Transfer Money) 予上述对话人
士, 那次轉賬的参考编号是什么? (以大写英文及阿拉伯数字回答) (3分)
**43. [单选题]**林浚熙的计算机安装了多少台虚拟机 (Virtual Machine - VM) ? (以阿拉伯数字
回答) (1分)
[ ] A.2
[ ] B.4
[ ] C.1
[ ] D.3
C
44. [单选题]
林浚熙的计算机里的虚拟机 (VM) 存放在什么路径? (1分)
[ ] A.\Program Files\Virtual Machines
[ ] B.\User\HEI\Roaming\Virtual Machines\
[ ] C.\Users\Public\Documents\Virtual Machines
[ ] D.\Users\HEI\Documents\Virtual Machines
D
45. [单选题]
虚拟机 (VM) 使用什么版本的作业系统 (Operating System) ? (1分)
[ ] A.CentOS Linux release 7.6.1810(Core)
[ ] B.CentOS Linux 7.5.1804 (Core)
[ ] C.Ubuntu 22.04.1 LTS
[ ] D.Ubuntu 20.04.5 LTS
D
46. [多选题]
虚拟机 (VM) 中的文件传输服务器 (FTP Server) 有哪些用户? (2分)
[ ] A.man
[ ] B.root
[ ] C.ftpuser
[ ] D.nobody
[ ] E.admin
C
47. [多选题]
虚拟机设置了什么网页服务器 (Web Server)? (2分)
[ ] A.APACHE
[ ] B.LIGHTTPD[ ] C.IIS
[ ] D.NGINX
[ ] E.WORDPRESS
AD
48. [单选题]
网页服务器目录内有图片档案,而此档案的储存位置是? (1分)
[ ] A./var/www/post
[ ] B./var/www/html/post/css
[ ] C./var/www/html/post
[ ] D./var/www/html/post/src
[ ] E./var/www/html/post/vendor
B
49. [单选题]
分析网页服务器的网站数据,假网站的公司名称是什么? (1分)
[ ] A.Krick Post Global Logistics
[ ] B.Krick Global Logistics
[ ] C.Global Logistics
[ ] D.Krick Post
A
50. [单选题]
检视假网站首页的显示, 'AY806369745HK' 代表什么? (1分)
[ ] A.邮件序号
[ ] B.邮件号码
[ ] C.邮件收费号码
[ ] D.邮件参考号码
B
51. [填空题]
分析假网站的资料,当受害人经假网站输入数据后,网站会产生一个档案,它
的档案名是什么? (不要输入 '.',以大写英文及阿拉伯数字回答。 如
Cat10.jpg,需回答CAT10JPG) (2分)
vu.txt
**52. [多选题]**分析假网站档案 'process.php' 源码 (Source Code), 推测此档案的用途可能是?
(2分)
[ ] A.发出邮件
[ ] B.改变函数
[ ] C.产生档案
[ ] D.更新数据库
AC
53. [填空题]
检视档案 'process.php' 源码, 林浚熙的电邮密码是? (以大写英文回答) (1分)
54. [多选题]
分析档案 'process.php' 源码, 它不会收集哪些资料? (2分)
[ ] A.电话号码
[ ] B.信用卡号码
[ ] C.电邮地址
[ ] D.GPS位置
[ ] E.短讯验证码
ADE
55. [填空题]
虚拟机 (VM) 安装了 Docker 程序,列出一个以'5'作为开端的 'Docker' 镜像
(Image) ID (以阿拉伯数字及大写英文回答) (2分)
56. [填空题]
Docker 容器 (Container) 'mysql' 对外开放的通讯端口 (Port) 是? (3分)
43306
57. [填空题]
Docker容器 'mysql',用户 'root' 的密码是? (以大写英文及阿拉伯数字回答) (2
分)
58. [填空题]
Docker容器 'mysql' 里哪一个数据库储存了大量个人资料? (以大写英文回答)
(3分)
59. [填空题]
检视 Docker 容器 'mysql' 内数据库里的资料,李大辉的出生日期是? (如答案
为 2022-12-29,需回答 20221229) (3分)
60. [多选题]
通过取证调查结果迸行分析 (包括但不限于以上问题及情节),林浚熙的行为涉及
哪一种罪案? (5分)
[ ] A.勒索金钱
[ ] B.抢劫
[ ] C.购买毒品
[ ] D.传送儿童色情物品
[ ] E.诈骗
勒索王晓琳
买粉
钓鱼网站诈骗
61. [填空题]
王晓琳手机的 'IMEI' 号是什么? (以阿拉伯数字回答) (1分)
62. [多选题]
王晓琳的手机安装了什么即时通讯软件 (Instant Messaging Apps)? (1分)
[ ] A.WhatsApp
[ ] B.微讯 (WeChat)
[ ] C.LINE
[ ] D.Signal
[ ] E.QQ
**63. [单选题]**王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 'PDF' 档案? (以时区
UTC+8回答) (1分)
[ ] A.2022-09-30 18:30:28
[ ] B.2022-09-30 17:39:53
[ ] C.2022-10-01 17:39:53
[ ] D.2022-10-01 16:30:22
64. [填空题]
承上题,这个 'PDF' 档案的MD5哈希值 (Hash Value) 是什么? (以大写英文及
阿拉伯数字回答) (1分)
AE0D6735BBE45B0B8F1AB7838623D9C8
65. [单选题]
王晓琳将这个 'PDF' 档案发给哪一个用户, 而该用户的手机号码是什么? (1分)
[ ] A.85269707307
[ ] B.85297663607
[ ] C.85259308538
[ ] D.85246427813
66. [多选题]
王晓琳发出这个 'PDF' 档案的原因是什么? (1分)
[ ] A.错误发出
[ ] B.寻求协助
[ ] C.分享档案内容
[ ] D.无法开启
67. [单选题]
承上题,分析王晓琳与上述用户的对话,他们的关系是什么? (1分)
[ ] A.家人
[ ] B.客户
[ ] C.师生
[ ] D.同事
**68. [单选题]**王晓琳于何时要求上述用户删除一张照片? (1分)
[ ] A.2022-09-30
[ ] B.2022-10-06
[ ] C.2022-09-28
[ ] D.2022-10-03
69. [单选题]
承上题,该用户向王晓琳提出什么要求以删除这张照片? (1分)
[ ] A.性服务
[ ] B.金钱
[ ] C.毒品
[ ] D.加密货币
**70. [**单选题]
王晓琳的手机里有什么电子书藉 (Electronic Book) ? (2分)
[ ] A.水浒传
[ ] B.三国演义
[ ] C.红楼梦
[ ] D.西游记
见第一题