2022年第八届美亚杯个人赛复盘
以学生的身份最后一次打美亚杯了还是要记录一下的写个wp告别哈哈。
1.[单选题] 王晓琳在这本电子书籍里最后对哪段文字加入了重点标示效果(Highlight)?(2分)
A. 卿有何妙计
B. 宝玉已是三杯过去了
C. 武松那日早饭罢
D. 就除他做个强马温罢
2.[多选题] 王晓的手机里有一个 MTR Mobile (港)的手机程序(Mobile App)。 检视其数据库(Database) 的数据,王晓琳于2022年10月11日 22:04 时将一行程加入书签(Bookmark),这段行程的起点及终点站包括?(2分)
A. 尖沙咀
B. 红硒
C. 康城
D. 青衣
E. 沙田
实现跳转的是
发现并没有软件内数据的信息
检索手机中的数据库文件发现了3个
挨个打开看也没有,看到全是软件系统自带的数据库,而不是使用软件生成的
那就上大招了
直接在文件系统位置里面找
就一个数据库而且时间也对的上
没有用过MTR这个软件,这样一套下来发现用户在使用这个软件的时候,用户数据会生成一个数据库存放在文件系统下
3.[填空题] 王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片?(以拉伯数字回答)(1分)
手机拍摄的照片,因为王晓琳手机是苹果,拍摄的照片后缀名为HEIC
在HEIC文件下按照时间排序,从3号开始为2022-10-02号的
一直到92号,简单加减法92-2=90
4.[单选题] 检视王晓琳的手机照片,她于2022年10月2日到过什么地方?(1分)
A.大潭郊游径
B.城门畔塘径
C.大榄麦理浩径
D.京士柏卫理径
有一个城门郊野公园
百度一下城门畔塘径和城门郊野公园在一起
方法二:
A. LGH960C
B. LGH961N
C. LGH960H
D. LGH961C
E. LGH961D
6.[单选题] 李大辉的手机最常搜索的类别(Category) 是什么?(1分)
A. 护肤品
B. 旅游
C. 运动
D. 学校
7.[填空题] 李大辉最近光顾了一家美丰快运公司,这快递件的单号是什么?(不要输入符号及空白,以阿拉伯数字回答)(1分)
7到10题都需要手机大师做啦,这个需要解析邮件,火眼解析不了
这道题找到了其他做法
手机里面安装了两个相册,第一个是手机自带的,第二个是google相册,手机相册取证软件都能分析出来,google相册没有哎,直接看它的数据路径
安卓文件的数据路径大概在54分区或者57分区下的data文件夹内
虽然有点糊但是能看哈哈
8.[单选题] 李大辉收到的电邮中有一个钓鱼链结(Phishing Link),这个链结的地址是什么?(1分)
A. 以上皆非
B. https://bit.ly/3yeARcO
C. https://bit.ly/5vM12
D. http://bit.ly/Hell0
就剩下这几道题了,没手机大师分析不了邮箱,试一试数据库行不行
com.google.android.gm是Gmail的Android应用程序
按照上题的思路试一试
这个要全选
9.[单选题] 承上题,这封电邮是从哪个电邮地址寄出的?(1分)
A. 以上皆非
B. [email protected]
C. [email protected]
D. [email protected]
同一个数据库的表
10.[单选题] 承上题,寄出这封电邮的IP地址是?(2分)
A. 以上皆非
B. 65.54.185.39
C. 10.13.105.56
D. 58.152.110.218
数据库表里面没找到,看了正哥的wp,原来数据库中的url就是发邮件的地址
11、 [单选题] 李大辉手机有一个orderxlsx 的档案被加密了,解密钥匙是什么?(1分)
A. 2022 Nov!
B. 20221101
C. Nov2022!
D. P@sswOrd!
这个打开时候选择题选项挨个试一试就行,
手机图片里面也有一个密码—手机的图片很少
12.[填空题]香港的街道上每一枝街灯都有编号。分析李大辉手机里的程序KMB 1933,哪一枝街灯在经度 Latitude) 22.4160270000,纬度(Longitude) 114.2139450000 附近,它的编号是什么?(以大写英及阿拉伯数字回答)(2分)
导出数据库看进行了
13.[填空题]李大辉的手机里有一张由该手机拍的照片,照片的元资料(Metadata) 曾被修改,这张照片的档案名是什么?(以大写英文及数字回答,不用回答副档名)(2分)
没思路
14.[单选题] 分析李大辉的手机里的资料,他在哪一间公司工作?(2分)
A. 美丽好化妆品公司
B. 步步高贸易公司
C. 盛大国际有限公司
D. 永恒化妆品公司
那个加密的文档有一个送货地址
方法二:和加密excle在一起的另一个文件
15、 [填空题] 林浚熙曾经以手机登录Google账户的验证码是什么?(不要输入符号,以大写英文及阿拉伯数字回答)(1分)
16 [填空题] 林浚熙手机的 WhatsApp’ 号码是什么?(号码)@s.whatsapp.net? (以阿拉伯数字回答)(1分)
17.[单选题] 通过分析林浚熙手机的照片,判断他在何处偷拍王晓琳?(1分)
A. 交通工具
B. 郊野公园
C. 游泳池
D. 酒店房间
18.[填空题] 林浚熙曾经删掉自己拍摄的照片,这张照片的档案名(Filename) 是什么?(不要输入,以大写英文及阿拉伯数字回答。如Cat10.jpg,需回答CAT10JPG)(2分)
19.[填空题] 王晓琳曾经发送一个PDF档案予林浚熙,这个档案的文件签名(File Signature) 是什么?(以十六进制数字答首八位数值,如FOA1C5E1)(2分)
D0CF11E0A1
20.[填空题] 承上题,该PDF档案内包含一位曾经被肩的受害者资料。分析林熙手机的数据,这位受害者的英文名字是什么?(不要输入符号及空白,以大写英文回答)(2分)
原来是是doc、xls、xlt、ppt、apr文件
改一下后缀名
改一下后缀名打开了,那么多目标用户,找出来一个被骗的
联系到了他whats给自己发了消息,对比一下
黃世平
21.[单选题] 分析林浚熙手机上的数据,他在2022年10月17日计划去什么地方?(2分)
A. 以上皆非
B. 荃湾站
C. 沙田站
D. 国际金融中心二期
准备去什么地方,脑部是不是去旅游哈哈
看一看有没有类似的出行软件
一下子明了了,这小子要跑哈哈哈
2022年10月17日还是看时间搓
搜索一遍没找到,看了一下时间戳也不是很多,那就笨方法按个转换吧
2022-10-12 10:22:5计划去Sha Tin Station 沙田站开始时间2022-10-17 11:45:0结束时间2022-10-17 12:45:0
22.[填空题] 承上题,上述行程的结束时间是?(如答案为 1:01:59,需回答 160159)(2分)
解析同上
23.[填空题] 于林浚熙的手机里,在2022年9月1日 或以后,哪一张照片是由其他手机拍摄的,而它的档案名是什么?(不要输入,以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG)(2分)
这个没有思路,但是之前的题大多都是数据库做的,直接无脑看数据库了
24.[单选题] 根据照片的数据库Photos.sglite) 资料,哪一个栏目标题(Column Header) 可以显示这张照片的接收方式?(2分)
A. ZRECEIVEMETHODIDENTIFIER
B. ZIMPORTEDFROMSOURCEIDENTIFIER
C. ZIMPORTEDBYBUNDLEIDENTIFIER
D. ZRECEIVEDFROMIDENTIFIER
25 [单选题] 承上题,这张照片通过什么方式接收?(2分)
A. 网页下载
B. 蓝牙传送
C. 以上皆非
D. WhatsApp软件传送
E. Signal软件传送
26[填空题] 承上题,这张照片原本的档案名(Original Filename) 是什么?不要输入,以大写英文及阿拉伯数字回答。如 Cat10,jpg,需回答CAT10JPG)(3分)
搜索数据库,根据下图确定就是第二个数据库了
就是第二个数据库了
看来大佬的解析才知道,ZISPASSTORDPROTECTED的属性为1就是加密的
那就是这两个是加密的了Halo和今天
27 [填空题] 林熙手机里有一个备忘录(Notes)被上了锁,这个备忘录的名称是什么?(以大写英文及阿拉数字回答)(1分)
暂无思路
28 [填空题] 承上题,上述备忘录的内容有一串数字,它是什么?(以阿拉伯数字回答)(2分)
暂无思路
29.[单选题] 林浚熙计算机(Computer) 的操作系统(Operating System) 版本是什么?(1分)
A. Windows 10 Pro for Workstations 21H2
B. Windows 10 Pro 22H2
C. Windows 10 Home 21H2
D. Windows 10 Pro for Workstations 21H1
30 [填空题] 林浚照计算机安装了什么品牌的虚拟专用网络 Virtual Private Network - VPN)软件?(不要输入符号及空白,以大写英文及阿拉伯数字回答)(1分)
31 [填空题] 承上题,分析该虚拟专用网络的日志(Log),他在哪天安装该虚拟专用网络?(如答案为 2022-12-29,需回答 20221229)(2分)
32 [填空题] 检视林浚照计算机的数据,他使用哪种加密货币(Cryptocurrency) 以支付虚拟专用网络软件?以大写英文回答该加密货币的全名,如 BITCOIN)(1分)
33 [填空题] 林浚熙的加密贷钱包Cryptocurrency Wallet) 名称是什么?不要输入符号,以大写英文及阿拉伯数字回答2分)
34 [多选题] 林浚熙计算机里安装了哪个浏览器(Web Browser)? (1分)
35 [单选题] 林浚熙使用浏览器 Google Chrome’ 曾经浏览最多的是哪 个网站? (1分)
A. https://gmail.com
B. https://mail.google.com/mail
C. https://web.whatsapp.com
D. https://facebook.com
36 [多选题] 除了上述网站,林浚熙曾使用浏览器 Google Chrome’ 搜索过什么?(1分)
A. javascript教学
B. php sql教学 C. tor教学 D. docker image教学 E. electrum教学
37 [单选题] 林浚照的计算机安装了一个通讯软件Signal’,它的用户部储存路径是什么?(1分)
A. Users\HEINDesktop Signal
B. Users\HEI\AppData Roaming Signa
C. Program Files (x86)Signal
D. Users\user Roaming Signal
38 [填空题] 通讯软件Signa’ 采用一个档案存放用户的聊天记录,它的档案名是什么?(不要输入,以大写英文及阿拉伯数字回答。如Cat10.jpg,需回答CAT10JPG)(2分)
聊天文件
39[填空题] 承上题,对上档案进行分析,林发熙的联络人当中有多少人安装了Siqnal?(以阿拉伯数字回答)(3分)
取证大师好像暂时还不能分析出signal
40 [填空题] 林浚熙在“Signal’ 曾经与某人对话,那人的手机号码是什么? 需要与区码(Area Code) 一同答(以阿拉伯数字3分)
41 [多选题] 承上题,两人在Signal’ 的对话中有些讯息(Message) 包含附件,这些讯息的 D’包括?(2分)
A.5b9650fe-3bb6-4182-9900-f56177003672
B.46a8762b-78ea-49aa-a6f5-b24975ec189f
C.9729bf92-ab9c-45f7-8147-66234296aele
D.47233ffe-1a73-4b3d-b97c-626246ec3129
思路:导出signal的数据库db.sqlit看聊天附件对应的ID即可
42 [填空题]承上题,林浚熙曾经于2022年10月20日账Transfer Money) 予上述对话人士,那次眼的参考编号是什么?(以大写英文及阿拉白数字回答)(3分)
43 [单选题] 林浚照的计算机安装了多少台虚拟机Virtual Machine - VM) ?(以阿拉伯数字回答)(1分)
A.4
B.1
C.2
D.3
44 [单选题] 林浚熙的计算机里的虚拟机(VM) 存放在什么路径?(1分)
A.User HEI Roaming Virtual Machinesl
B.Users Public Documents Virtual Machines
C.Program Files Virtual Machines
D.\Users\HEINDocuments Virtual Machines
45.[单选题] 虚拟机 (VM) 使用什么版本的作业系统(Operating System) ?(1分)
A. CentOs Linux 7.5.1804 (Core)
B. Ubuntu 22.04.1 LTS
C. CentOS Linux release 7.6.1810(Core)
D. Ubuntu 20.04.5 LTS
46 [多选题] 虚拟机(VM) 中的文件传输服务器(FTP Server) 有哪些用户?(2分)
A. nobody
B. root
C. admin
D. man
E. Ftpuser
服务器跑起来,仿真网探连上
47 [多选题] 虚拟机设置了什么网页服务器(Web Server)? (2分)
A. NGINX
B. LIGHTTPD
C. WORDPRESS
D. APACHE
E. IIS
48[单选题] 网页服务器目录内有图片档案,而此档案的储存位置是?(1分)
A. /var/www/html/post/src
B. /var/www/html/post/css
C. /var/www/html/post/vendor
D. /var/www/post
49 [单选题] 分析网页服务器的网站数据,假网站的公司名称是什么?(1分)
A. Krick Global Logistics
B. Global Logistics
C. Krick Post Global Logistics
D. Krick Post
上道题的图片
50[单选题] 检视假网站首页的显示,AY806369745HK 代表什么?(1分)
A. 邮件号码
B. 邮件收费号码
C. 邮件序号
D. 邮件参考号码
51 [填空题] 分析假网站的资料,当受害人经假网站输入数据后,网站会产生一个档案,它的档案名是什么?(不要输入“,以大写英文及阿拉数字回答。如 Cat10.jpg,需回答CAT10JPG)(2分)
52[多选题] 分析假网站档案,process.php’ 源码(Source Code),推测此档案的用途可能是?(2分)
A. 改变函数
B. 产生档案
C. 发出邮件
D. 更新数据库
53 [填空题] 检视档案process.php’ 源码, 林浚照的电邮密码是?(以大写英文回答)(1分)
54[多选题] 分析档案process.php’ 源码, 它不会收集哪些资料?(2分)
A. GPS位置
B. 信用卡号码
C. 短讯验证码
D. 电话号码
E. 电邮地址
看产生的vu.txt文件即可
55 [填空题] 虚拟机 (VM)安装了 Docker 程序,列出一个以5作为开端的 Doker"镜像 mage) ID (以阿拉伯数字及大写英文回答)(2分)
直接看也行
56 [填空题] Docker 容器(Container)mysql’ 对外开放的通讯端口(Port) 是?(3分)
方法二:
Docker启起来之后,docker ps -a就可以看到了
这个很有意思
本机端口是43306 然后映射的docker端口3306
57[填空题] Docker容器mysql,用户 root’ 的密码是?(以大写英文及阿拉伯数字回答)(2分)
2wsx3edc
58[填空题] Docker容器,mysql 里哪一个数据库储存了大量个人资料?(以大写英文回答)(3分)
进入容器
docker exec
启动docker
启动docker成功
进入docker中的mysql
输入上题中的密码进入mysql
Navicat连接看数据库
发现和网站一样名字的数据库
个人信息
59 [填空题]检视 Docker 容器’mysql’ 内数据库里的资料,李大辉的出生日期是?(如答案为 2022-12-29,需答 20221229) (3分)
李大辉
60[多选题] 通过取证调查结果进行分析(包括但不限于以上问题及情节),林浚熙的行为涉及哪一种罪案?(5分)
A.传送儿童色情物品
B.抢劫
C.诈骗
D.勒索金钱
E.购买毒品
61 [填空题] 王晓琳手机的MEI’ 号是什么?(以阿拉伯数字回答)(1分)
62 [多选题] 王晓琳的手机安装了什么即时通讯软件(lnstant Messaging Apps)?(1分)
A. Signal
B. 微信(WeChat)
C. QQ
D. WhatsApp
E. LINE
63 [单选题] 王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 PDF档案?(以时区UTC+8回答)(1分)
A.2022-09-30 17:39:53
B.2022-10-01 17:39:53
C.2022-09-30 18:30:28
D.2022-10-01 16:30:22
64[填空题] 承上题,这个 PDF 档案的MD5哈希值Hash Value) 是什么?(以大写英文及阿拉伯数字回答)(1分)
65 [单选题] 王晓琳将这个“PDF 档案发给哪一个用户,而该用户的手机号码是什么?(1分)
A.85297663607
B.85259308538
C.85269707307
D.85246427813
66 [多选题] 王晓琳发出这个,PDF 档案的原因是什么?(1分)
A.寻求协助
B.分享档案内容
C.错误发出
D.无法开启
67 [单选题] 承上题,分析王晓琳与上述用户的对话,他们的关系是什么?(1分)
A. 客户
B. 师生
C. 家人
D. 同事
68.[单选题] 王晓琳于何时要求上述用户删除 张照片?(1分)
A. 2022-10-06
B. 2022-09-28
C. 2022-09-30
D. 2022-10-03
69.[单选题] 承上题,该用户向王晓琳提出什么要求以删除这张照片?(1分)
A. 金钱
B. 毒品
C. 性服务
D. 加密货币
70.[单选题] 王晓琳的手机里有什么电了书籍(Electronic Book) ?(2分)
A. 三国演义
B. 红楼梦
C. 水浒传
D. 西游记
结合第一题