2021美亚杯个人赛

挂载密码HfsCk]!pQC-H\5BAc^gBo/^qq)/i21ufiN@H"Y

VTM iPhone6部分

 1. [单选题] 工地主管电话的微信账号是什么? (1分)

A. Kasier751111

B. Kasierlee751111

C. Kasierlee

D. 以上皆非

iphone6解压后得到这三个文件，需要用到cellebritereader，直接程序运行

一开始是英文版，然后在主页的tools里面把语言修改成了中文比较方便

确实是没有找到，所以选择了D选项，以上皆非。

2. [填空题] 工地主管的隔空投送装置编号是什么? (请以英文全大写及阿拉伯数字回答) (1分)

780F624DFO99

设备信息里面有

3. [单选题] 工地主管电话的哪一个应用程序有关于于经纬度24.490474, 118.110220的纪录? (2分)

A. 照片

B. WhatsApp

C. Apple Maps

D. 以上皆非

搜索了一下apple maps，里面有经纬度为24.490474, 118.110220的记录

4. [多选题] 工地主管的手提电话中下列哪些数据正确? (1分)

A. iOS 版本为 12.5.4

B. IMEI 为 454120637213361

C. Apple ID 为 [email protected]

D. 手机曾经安装dropbox 应用程序

设备信息里面有，a是对的

IMEI错了，b错了

c对

d错，搜索不到信息

5. [填空题] 工地主管的电话最常使用的浏览器是什么? (请以英文全大写回答) (1分)

SAFARI

搜索web历史记录，发现基本都是这个浏览器

6. [单选题] 工地主管的电话连接过哪一个WiFi? (1分)

A. Kaiser Lee

B. Kaiser

C. Free Wifi

D. Kaiser Home

搜索无线网络，找到k这个wifi

7. [多选题] 工地主管与Alex Chan的Whatsapp 对话中，曾提及以下哪个TeamViewer的用户号码? (3分)

A. 435334881

B. 453851521

C. 435475200

D. 456874155

E. 435270306

直接搜索teamviewer在聊天记录里面找到三张图片

 

8. [填空题] 工地主管的WhatsApp中有多少个黑名单的记录? (请以阿拉伯数字回答) (2分)

0

查看whatsapp的源文件位置

找到这个数据库，显示黑名单ZWABLACKLISTITEM为0

9. [多选题] 以下哪个蓝牙装置的Uuid 曾连接过工地主管的手机? (2分)

A. 7F1FE70D-2B15-C245-853D-4196F13CC446

B. 1B057C1D-83D3-99A6-D2B1-EC54846C7CEE

C. 134ACD1-83D3-99A6-D2B1-EC54846C7CEE

D. 7D1BE70D-2C16-D246-851D-491613DD776

跟上一题一样，先找到源文件的位置

找到这个文件

主管计算机部分 

10.[填空题] 工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么? (请以英文全大写及阿拉伯数字回答，不用输入"-") (1分)

36EBC18095F741FFBE5B4E56E7AF48B1

我真受不了了，一开始下载的检材有问题，md5错的！！

发现e盘被bt加密

11. [填空题] 工地主管计算机內的FTP程序FileZilla的用户名称是甚么? (请以英文全大写及阿拉伯数字回答) (3分)

alex

 

12. [填空题] 工地主管的Team Viewer ID 是甚么? (请以英文全大写及阿拉伯数字回答) (2分)

435270306

查找一下聊天记录

在问team viewer id

 

lee说这是我的

13. [填空题] 工地主管的Team Viewer与哪一个ID连接? (请以英文全大写及阿拉伯数字回答) (3分)  

420190768 

 

14. [多选题] 工地主管曾用计算机浏览器作搜寻，以下哪一个关键词他曾经搜寻? (3分)
A. tiktok
B. web whatsapp
C. facebook
D. lihkg
E. hkgolden
F.web wechat

我是直接搜索的

一开始审题错误了，必须要是关键词

 

15. [填空题] 工地主管计算机的Windows系统的产品标识符是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分）

003311000000001AA962

产品标识符就是产品id

16. [填空题] 工地主管曾用计算机使用WhatsApp，他曾和以下哪个电话号码沟通? (请以阿拉伯数字回答) (2分)

不会做。

85246761157、85255378389、1574344711、85267367922、1632900304、85297131560、1602580243

看别人wp是从alex的电脑里面找到的，有点离谱是说

17. [多选题] 工地主管计算机的用户名称是甚么? 其用户标识符是甚么? (2分)
A. 用户名称: PC1
B. 用户名称 : PC2
C. 用户名称 : PC3
D. 用户标识符: 0x000003E7
E. 用户标识符 : 0x000003E8
F. 用户标识符: 0x000003E9

在账户名中看到PC1

找到id，但是需要转换一下进制

 

末尾是1001

18. [单选题] 工地主管计算机的预设浏览器是甚么? (2分)

A. Chrome

B. Firefox

C. Safari

D. 以上皆否

仿真进去看看，然后在桌面新建一个html文件，发现就变成了谷歌图标，说明预设浏览器就是谷歌

19. [填空题] 工地主管计算机的其中一个分区被人加密，分区内的电子表格Material3.xlsx的哈希值(SHA1)是甚么? (请以英文全大写及阿拉伯数字回答) (1分)

40418B21F6C3E4AF306D5EF3B80A776DA72FC1D2

先把分区5bitlocker解密了

然后直接搜这个文件，计算sha1值

路由器部分

20. [多选题] 路由器的记录中显示以下有哪些IP是公司的电子器材? (3分)
A. 192.168.40.128
B. 192.168.40.129
C. 192.168.40.130
D. 192.168.40.131
E. 192.168.40.132

直接在日志文件当中搜索这些ip

abcd都可以搜到

21. [填空题] 路由器的记录中显示公司的计算机下载了FTP软件，该下载网站的IP是什麼?(请以亚拉伯数字作答，省去“.”符号) (3分)

491212147

工地主管的 pc 上有 FileZilla

直接在路由器 log 里面直接搜索

得到下载该网站的 ip 是 49.12.121.47

22. [多选题] 路由器的记录中显示公司计算机的资料用FTP软件传到了甚么IP地址及利用端口? (2分)

A. IP地址: 2*.2*.2*.114

B. IP地址: 8*.8*.1*.20

C. IP地址: 1*.1*.0*.13

D. 端口: 21

E. 端口: 80

23. [多选题] 路由器的记录中显示以下哪些关键词是表示公司计算机与外界网络联机? (2分)
A. destination
B. ICMP echo request
C. inside
D. outside
E. 以上皆是

outside​ 表示外网地址，inside​ 表示内网地址，destination​ 表示目标地址， ICMP echo request​ 是 ICMP 回应请求报文（Ping 指令可以产生）。

24. [单选题] 路由器的记录中显示哪一个IP曾以teamviewer 连接公司计算机? (1分)
A. 110.152.0.14
B. 52.152.117.114
C. 180.152.0.13
D. 83.26.80.131

在日志里面搜这些ip，看到outside

25. [多选题] 路由器的记录中显示以下哪一个有可能是以teamviewer 遥控公司计算机的时间? (3分)
A. 09:31, 09:37
B. 0933, 09:39
C. 10:29, 10:36
D. 10:40
E. 10:42
9:31→10:42

26. [填空题] 路由器的记录中显示有多少电子器材有可能曾被入侵? (请以阿拉伯数字作答) (2分)

3

teamviewer与三台计算机连接

 

iPhone 12 pro部分

27. [多选题] 阿力士iPhone 12 pro电话 于2021年10月21日，以下哪一张相片可能曾被分享 (UTC+8)? (3分)
A. IMG_0011.HEIC
B. IMG_0010.HEIC
C. IMG_0009.HEIC
D. IMG_0008.HEIC
E. IMG_0007.HEIC

发现每张图都对应有一张“5005”的图，他们的创建、访问、修改都是相同的

被分享过的图片会生成不带元数据的缩略图，所以直接在图像里过滤

找到 IMG_0011.HEIC 这张图片

28. [单选题] 阿力士iPhone 12 pro电话中哪一张相片可能曾被修改拍摄时间? (2分)
A. IMG_0011.HEIC
B. IMG_0010.HEIC
C. IMG_0009.HEIC
D. IMG_0008.HEIC

可以发现时间被修改了，所以是IMG_0011.HEIC

 

29. [填空题] 阿力士iPhone 12 pro 的GSM媒体访问控制地址是什么? (请以英文全大写及阿拉伯数字回答，不用输入":") (2分)

e06d17319206

搜索GSM媒体访问控制地址是啥

 在设备信息中就有

30. [单选题] 阿力士的iphone 12 pro以什么屏幕密码保护? (1分)

A. 6 位阿拉伯数字密码

B. 4 位阿拉伯数字密码

C. 图形密码

D. 以上皆非

有wp说手工查找pslist文件，找到manifest.plist文件中的WasPasscode的值为false，表示没有设置密码锁。

但是导出后拿记事本打开会乱码

31. [多选题] 阿力士iphone 12 pro内以下哪一张相片是实况相片(live Photos)? (2分)
A. IMG_0011.HEIC
B. IMG_0010.HEIC
C. IMG_0012.HEIC
D. IMG_0009.HEIC
在文件系统中直接就看到实况照片

32. [单选题] 以下哪一个是阿力士iphone 12 pro可能曾经连接的装置名称? (2分)
A. Chris’s MacBook Pro
B. Chirs’s iPhone
C. Chirs’s Computer
D. Chirs’s Linux

在联系人里面找到名称

 33. [多选题] 接上题，记录连接时间是什么时候(UTC+8)? (2分)
A. 2021 年 10 月 21 日 00:58:01
B. 2021 年 10 月 21 日 08:58:01
C. 2021 年 10 月 21 日 00:58:29
D. 2021 年 10 月 21 日 08:58:29

跟刚才一样找到创建日期

 iPhone XR部分

34. [多选题] 阿力士iPhone XR中在软件WhatsApp中工地主管与阿力士的对话中曾提到：[佢叫我俾钱喎，BTC係唔係呢个啊？]。在进行电子数据取证分析后，以下哪一个是有可能关于此对话的正确描述？ (2分)
A. 此对话被 Kariser Lee 删除
B. 此对话的附件为一张图片文件
C. 此对话被 Alex Chan 删除
D. 此对话是引用 Alex Chan 回复

查找聊天记录，发现这句话被删除了，并且附有一张图片

35. [填空题] 阿力士iPhone XR的WhatsApp对话中，阿力士曾要求工地主管支付多少个BTC? (请以阿拉伯数字回答) (1分)

10

聊天记录里面问，10个BTC

36. [多选题] 阿力士iPhone XR中 “IMG_0056.HEIC"的图像与"5005.JPG”(MD5: 96c48152249536d14eaa80086c92fcb9)" 看似为同一张相片，在电子数据取证分析下，以下哪样描述是正确? (2分)

A. 储存在不同的.db 里

B. 有不同哈希值

C. IMG_0056.HEIC 为原图, 5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9)为缩略图

D. IMG_0056.HEIC 曾被开启过，所以在IOS系统中创建了缩略图5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9)

通过查看路径可以发现，5005是IMG_0056的缩略图（看分辨率也可以发现）

MD5不同，所以答案应该是BC

 37. [多选题] 阿力士iPhone XR中相片檔IMG_0056.HEIC提供了什么电子数据取证的信息? (3分)  
A. 此相片是由隔空投送 (Airdrop)得来
B. 此相片由 iPhone XR 拍摄
C. 此相片的拍摄时间为 2021-10-21 17:45:48(UTC+8)
D. 此相片的拍摄时间为 2021-09-08 17:35:00(UTC+8)

在信息里面可以找到拍摄时间以及是12 pro拍摄的

a选项不确定，没有找到，但是有wp说是多选题，只能选ad

38. [单选题] 阿力士iPhone XR中阿力士的电邮账户[email protected]的密码有可能是什么? (1分)

A. Ac19851016

B. Alex1985!

C. Aa475869!

D. 以上皆非

在备注里面找到啦

39. [填空题] 阿力士iPhone XR曾经连接Wifi “Alex Home”的密码是什么? (请以英文全大写及阿拉伯数字回答) (1分)

12345678

在密码里面翻了翻，找到的

40. [单选题] 阿力士iPhone XR经iCloud备份的最后时间是什么?(UTC+8)? (1分)

A. 2021-10-21 17:51:38(UTC+8)
B. 2021-10-21 18:02:13 + (UTC+8)
C. 2021-10-21 09:51:38(UTC+8)
D. 2021-10-21 10:02:13 + (UTC+8)

在信息摘要里面有

41. [填空题] 阿力士iPhone XR中的iBoot版本是iBoot-__________? (请以阿拉伯数字回答，不用轮入“.”) (1分)  

672312036

在phoneinfo文件中找到iboot信息

 42. [多选题] 阿力士iPhone XR中的WhatsApp群组『团购-新鲜猪肉牛肉-东涌群组-9/30』有以下哪一个成员? (2分)
A. [email protected]
B. [email protected]
C. [email protected]
D. [email protected]

在聊天记录里面搜索，然后看到一个什么牛的，里面账号有ad

Alex win部分 

43. [单选题] 阿力士的计算机显示曾于hongkongcard.com 的论坛登记成为会员，以下哪个是他的帐户密码? (3分)
A. Aa475869!
B. Bb475869!
C. Cd475869!
D. 以上皆非

先在取证大师里面搜索hongkongcard.com，看到登录信息

在xr里面找到密码

44. [单选题] 阿力士的计算机显示阿力士曾用什么方法进入受害者(主管)的计算机? (1分)

A. 远程操控

B. 特洛伊木马程序

C. 勒索软件

D. 恶意软件

 根据teamviewer可以知道是远程操控

45. [单选题] 续上题，阿力士最后一次进入受害者(主管)计算机的时间是什么? (2分)
A. 于 2021 年 10 月 18 日 10 时 36 分
B. 于 2021 年 10 月 18 日 18 时 36 分
C. 于 2021 年 10 月 18 日 6 时 53 分
D. 于 2021 年 10 月 18 日 18 时 42 分

在取证大师里面查找teamviewer的连接时间，最晚是d

46. [填空题] 阿力士的计算机显示他曾经使用FTP程序，FTP的主机IP地址是什麼?(请以亚拉伯数字作答，省去“.”符号) (2分）

218255242114

分析一下下载工具filezilla，在里面找到快速连接记录

47. [填空题] 阿力士的计算机显示于2021年9月至2021年11月期间，计算机曾被登入过多少次? (请以阿拉伯数字回答) (1分)

28

看账户信息，筛选了下时间，还是28

48. [填空题] 阿力士计算机所安装的Microsoft Office 2007 是以下哪一个版本? (请以亚拉伯数字作答，省去“.”符号) (2分)

12045181014

在安装的软件里面找到版本号

49. [填空题] 以下是阿力士计算机中的Basic data partition (EFI 3) 的Volume ID? (请以英文全大写及阿拉伯数字回答) (2分)

9705c469-7dca-4d55-ae76-7481b9f1428e

这题！！！！找了我好久！！！！！

别人wp说看到什么volum就要知道和分区、底层等相关了，要用DiskGenius，或者xways

然后我的diskgenius不知道为什么跟别人写的不一样，卷序列号得到的跟别人不一样

然后就用xways了

第一次用xways，也不会用。。

参考一下8X-Ways 必会的基本操作 | CDF训练营（六）

需要新建案件，找一下，分区

在 3\System Volume Information\SPP\OnlineMetadataCache​:下面的两个文件都能看见 VolumeID: {9705c469-7dca-4d55-ae76-7481b9f1428e}

搜索id

终于终于找到了！！！！

50. [填空题] 阿力士计算机的Window product ID是什么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

003311000000001AA411

在取证大师里面找到id

51. [单选题] 阿力士计算机曾经下载一张猴子的图片，以下哪一项描述正确? (1分)
A. 该图片是由
“https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSgn6ABvcqTfFPjcIbjc9hdx1
H4PtQsAuVyTQ&usqp=CAU”下载的
B. 该图片经过加密
C. 该图片于 2021-09-30 下载
D. 该图片是由 GIF 档转换成 PNG 檔

直接搜索这个url，然后找到下载记录了

下载时间是2021-9-29
 

52. [填空题] 阿力士计算机所安装的Microsoft Office 2007 的密钥是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

V77WQRPVP67MTPGWH3G9D44MJ

直接仿真进去了，因为用取证大师需要什么卷影分析我不会哈哈哈

桌面有一个有关Microsoft Office 2007的文件夹，里面有一个license文件，里面有密钥

FTP部分

53. [单选题] 阿力士FTP 服务器用户使用命令行安装了甚么程序? (1分)

A. Docker

B. Chrome

C. FileZilla

D. TeamViewer

在取证大师里面直接搜索ftp 服务器，然后在linux里面找到docker

54. [多选题] 以下哪些档案于阿力士FTP 服务器曾重复出现? (3分)

A. Material1

B. Material2

C. Material3

D. Staff1

E. Staff2

F. Staff3

在取证大师注解搜索的staff，找到重复的记录

搜索material，只找到一个

 55. [填空题] 在阿力士FTP服务器中，文件夹_______曾被用户变更了访问权限(请以英文全大写及阿拉伯数字回答) (2分)

Dangerous_Project

还是在取证大师里面直接搜索ftp服务器，然后在bash历史记录（使用过的命令）里面找到这个文件

56. [填空题] 在阿力士FTP 服务器建设后，有______个额外用户被加入 (请以阿拉伯数字回答) (2分) 

1

还是在刚才搜索的地方

可以发现pure-pw就是增加额外用户的命令

57. [单选题] 根据阿力士FTP服务器设定显示，此服务器是以_____方式连接网络，且是一个_______网络状态 (1分)

A. 无线 , 公开

B. 无线 , 私人

C. 有线 , 公开

D. 有线 , 私人

 在静态网络配置里面

有线网络，连在一个公网ip上

58.[填空题] 阿力士FTP 服务器设定最多使用者数目是  (请以阿拉伯数字回答) (2分)

50

我也是先搜索了ftp服务器，然后查看pure-ftpd.conf文件，里面有最多人数

59. [填空题] 阿力士FTP服务器使用Docker安装了一个FTP程序为___________。(例如 space docker /1.1，请输入 spacedocker/1.1，不要输入空格) (2分)

stilliard/pure-ftpd

还是在bash记录里面有，要拖到最后

60. [多选题] 阿力士FTP 服务器曾使用过甚么版本的Linux内核? (2分)

A. linux-headers-5.11.0-16

B. linux-headers-5.11.0-17

C. linux-headers-5.11.0-36

D. inux-headers-5.11.0-37

E. linux-headers-5.11.0-40

 

但这个只能看到当前的版本号，需要使用命令

dpkg --get-selections | grep linux-image

61. [多选题] 阿力士FTP 服务器的磁盘分区，有以下哪一种文件系统? (2分)

A. FAT16

B. FAT32

C. ExFAT

D. HFS+

E. Ext4

 可以看到分区二的分区类型是FAT32

 分区三的分区类型是EXT4

62. [填空题] 阿力士FTP服务器用户输入了指令 dockercontainerps-a 去检查现存的Docker容器 (例如 netstat lntp，请输入 netstatlntp，不要输入空格) (3分)

本来上网去查怎么检查现存的docker容器

然而在取证大师的命令记录里面没找到

猜测像是docker container ps -a命令，然后去搜了搜，应该没错