2021年美亚杯个人资格赛（记录第一次的取证之旅）

1. [单选题]工地主管电话的微信账号是什么? (1分)

A. Kasier751111

B.Kasierlee751111

C. Kasierlee

D.以上皆非

找了一圈发现没有与WeChat相关的信息故选D

2.[填空题]工地主管的隔空投送装置置编号是什么? (请以英文全大写及阿拉伯数字回答) (1分)

Air drop即是隔空投送为780F624DF099（苹果手机常识）

3[单选题]工地主管电话的哪一个应用程序有关于经纬度24.490474, 118.110220的纪录? (2分)

A.照片

B. WhatsApp

C. Apple Maps

D. 以上皆非

搜索之后看见来源是map

4.[多选题] 工地主管的手提电话中下列哪些数据正确?(1分)

A. iOS 版本为 12.5.4

B.IMEI为 454120637213361

C. Apple lD 为 kaiserlee3660@gmail.com

D.手机曾经安装dropbox 应用程序

对比图片为ac

5.[填空题]工地主管的电话最常用的浏览器是什么（请以英文全大写回答）（1分）

直接浏览器过滤很明显全都是Safar

6.[单选题] 工地主管的电话连接过哪一个WiFi?(1分)

A. Kaiser Lee

B.Kaiser

C. Free Wifi

D.Kaiser Home

在无线网络中可以看到是Kaiser Lee

7.[多选题] 工地主管与Alex Chan的Whatsapp 对话中，曾提及以下哪个TeamViewer的用户号码?(3分)

A.435334881

B.453851521

C.435475200

D.456874155

E.435270306

先过滤一下

然后查看图片

故选择ACE

8[填空题]工地主管的WhatsApp中有多少个黑名单的记录?(请以阿拉伯数字回答)(2分)

从源文件跳到该应用的数据库相关文件夹（右下角的源文件复制然后跳转到）

然后找到用户组分区数据库（看英文名字 chatstorage_sqlite应该是和聊天分组有关的）

点进去看一下找到黑名单（black）发现为0

9.[多选题] 以下哪个蓝牙装置的Uuid 曾连接过工地主管的手机?(2分)

A.7F1FE70D-2B15-C245-853D-4196F13CC446

B.1B057C1D-83D3-99A6-D2B1-EC54846C7CEE

C.134ACD1-83D3-99A6-D2B1-EC54846C7CEE

D.7D1BE70D-2C16-D246-851D-491613DD776

这道题也是跳转源文件数据库

看到了连接过的两个设备

故为AB

10.[填空题]工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么?(请以英文全大写及阿拉伯数字回答，不用输入“-”)(1分)

直接在bitlockr解密里面可以看到标识符（右键点击然后点击bitlocker）

11[填空题]工地主管计算机内的FTP程序FileZilla的用户名称是甚么?(请以英文全大写及阿拉伯数字回答)(3分)

Alex

12[填空题]工地主管的Team Viewer ID是甚么?(请以英文全大写及阿拉伯数字回答)(2分)

故结果为435270306

13.[填空题]工地主管的Team Viewer与哪一个ID连接?(请以英文全大写及阿拉伯数字回答)(3分)

直接在取证大师其他应用里面查看是420190768

14.[多选题]工地主管曾用计算机浏览器作搜寻，以下哪一个关键词他曾经搜寻?(3分)

A.tiktok

B.web whatsapp

C.facebook

D.lihkg

E.hkgolden

F.web wechat

在用户痕迹->上网记录->搜索记录搜索可以看到

15[填空题]工地主管计算机的Windows系统的产品标识符是甚么?(请以英文全大写及阿拉伯数字回答，不用输入“-“)(1分)

系统信息里面可寻到

16[填空题]工地主管曾用计算机使用WhatsApp，他曾和以下哪个电话号码沟通?(请以阿拉伯数字回答)(2分)

这道题是真的不懂怎么写，欢迎师傅留言

17.[多选题]工地主管计算机的用户名称是甚么?其用户标识符是甚么?(2分)

A.用户名称: PC1

B.用户名称:PC2

C.用户名称: PC3

D.用户标识符:0x000003E7

E.用户标识符:0x000003E8

F.用户标识符:0x000003E9

在用户信息找到pc1然后把后边 4位10进制转化了得到16进制

主管的电脑名字为pc1 标志位3e9

18.[单选题] 工地主管计算机的预设浏览器是甚么?(2分)

A.Chrome

B.Firefox

C.Safari

D.以上皆否

仿真出来后直接看

19[填空频工地主管计算机的其中一个分区被人加密，分区内的电子表格Material3.xlsx的哈希值(SHA1)是甚么?(请以英文全大写及阿拉伯数字回答)(1分)

在ftp服务器的取证材料中找到bitlocker的秘钥

把主管E盘恢复

找到电子表格Material3.xlsx

得到 40418B21F6C3E4AF306D5EF3B80A776DA72FC1D2

20.[多选题]路由器的记录中显示以下有哪些IP是公司的电子器材?(3分)

A.192.168.40.128

B.192.168.40.129

C.192.168.40.130

D.192.168.40.131

E.192.168.40.132

直接把这几个都搜索了

然后只有最后一个没有故选abcd

21[填空题]路由器的记录中显示公司的计算机下载了FTP软件，该下载网站的IP是什麼?(请以阿拉伯数字作答，省去”.”符号)(3分)

工地主管的pc上有flizilla

直接在路由器log里面直接搜索

得到下载该网站的ip是49.12.121.47

22.[多选题)]路由器的记录中显示公司计算机的资料用FTP软件传到了甚么IP地址及利用端口?(2分)

A.IP地址: 2*.2*.2*.114

B.IP地址: 8*.8*.1*.20

C.IP地址: 1*.1*.0*.13

D.端口: 21

E.端口: 80

在取证大师里面可以找到然后在路由器日志里面搜索（众所周知fliezilla是一款ftp的软件，直接搜索）

对应上边取证大师里的得到利用21端口

23.[多选题] 路由器的记录中显示以下哪些关键词是表示公司计算机与外界网络联机?(2分)

A.destination

B.ICMP echo request

C.inside

D.outside

E.以上皆是

然后对比发现ICMP都是内部的而其他的都有对外的（个人所见，不一定对）

24.[单选题] 路由器的记录中显示哪一个IP曾以teamviewer 连接公司计算机?(1分)

A. 110.152.0.14

B.52.152.117.114

C.180.152.0.13

D.83.26.80.131

在路由器日志里可以查到这个然后根据它的格式可以选出答案

这个也可以根据第22题的ip格式判断出来

IP地址: 2*.2*.2*.114

只有b符合

25.[多选题]路由器的记录中显示以下哪一个有可能是以teamviewer 遥控公司计算机的时间?(3分)

A.09:31,09:37

B.0933,09:39

C.10:29,10:36

D.10:40

E.10:42

用vscode打开或者用notpad++打开

从9:31-->10:42

26.[填空题]路由器的记录中显示有多少电子器材有可能曾被入侵?(请以阿拉伯数字作答)(2分)

在前边的主管的电脑上的teamview上可看出链接了3台电脑（从手机（iphon6）里面也能看到（曾经发过的3张照片））

27.[多选题]阿力士 iPhone12pro电话于2021年10月21日，以下哪张相片可能曾被分享（UTC+8）？（3分）

A. IMG_0011HEIC

B. IMG_0010. HEIC

C. IMG_0009.HEIC

D. IMG_0008.HEIC

E. IMG_0007. HEIC

被分享过的图片应该就不带有元数据，所以直接在图像里过滤

28.[单选题] 阿力士iPhone 12 pro电话中哪一张相片可能曾被修改拍摄时间?(2分)

A.IMG_0011.HEIC

B.IMG_0010.HEIC

C.IMG_0009.HEIC

D.IMG_0008.HEIC

综合上一题之后应该是先把这张图片的时间给修改了然后又分享出去，故有两张雷同的图片

29.[填空题]阿力士iPhone 12 pro的GSM媒体访问控制地址是什么?(请以英文全大写及阿拉伯数字回答，不用输入”.”)(2分)

查过资料阿力士iPhone 12 pro的GSM媒体访问控制地址应该是本机的Mac地址

e0:6d:17:31:92:06

30.[单选题] 阿力士的iphone 12 pro以什么屏幕密码保护?(1分)

A.6位阿拉伯数字密码

B.4位阿拉伯数字密码

C.图形密码

D.以上皆非

31.[多选题]阿力士iphone 12 pro内以下哪一张相片是实况相片(live Photos)? (2分)

A.IMG_0011.HEIC

B.IMG_0010.HEIC

C.IMG_0012.HEIC

D.IMG_0009.HEIC

c选项没有故不选

32.[单选题]以下哪一个是阿力士iphone 12 pro可能曾经连接的装置名称?(2分)

A.Chris's MacBook Pro

B.Chirs's iPhone

C.Chirs's Computer

D.Chirs's Linux.

在联系人里面可以看到曾经和这个人连接过

33.[多选题] 接上题，记录连接时间是什么时候(UTC+8)?(2分)

A.2021年10月21日 00:58:01

B.2021年10月21日 08:58:01

C.2021年10月21日 00:58:29

D.2021年10月21日 08:58:29

接上题

34.[多选题]阿力士iPhone XR中在软件WhatsApp中工地主管与阿力士的对话中曾提到:[巨叫我俾钱喎，BTC係唔係呢个啊?]，在进行电子数据取证分析后，以下哪一个是有可能关于此对话的正确描述?(2分)

A 此对话被Kariser Lee删除

B.此对话的附件为一张图片文件

C.此对话被Alex Chan删除

D.此对话是引用Alex Chan回复

查看之前的聊天记录可以看到

35[填空题]阿力士iPhone XR的WhatsApp对话中，阿力士曾要求工地主管支付多少个BTC?(请以阿拉伯数字回答)(1分)

10个见35题图片

36.[多选题] 阿力士iPhone XR中MG_0056.HEIC”的图像与"5005.JPG*(MD5:96c48152249536d14eaa80086c92fcb9)看似为同一张相片，在电子数据取证分析下，以下哪样描述是正确?(2分)

A.储存在不同的.db里

B.有不同哈希值

C. IMG_0056.HEIC为原图,5005.JPG(MD5:96c48152249536d14eaa80086c92fcb9)为缩略图

D.IMG 0056.HEIC 曾被开启过，所以在I0S系统中创建了缩略图5005.JPG(MD5:96c48152249536d14eaa80086c92fcb9)

这个是电子数据取证分析的常识可以积累一下

37.[多选题]阿力士iPhone XR中相片檔IMG_0056.HEIC提供了什么电子数据取证的信息?(3分)

A此相片是由隔空投送(Airdrop)得来

B.此相片由iPhone XR拍摄

C.此相片的拍摄时间为2021-10-21 17:45:48(UTC+8)

D.此相片的拍摄时间为2021-09-08 17:35:00(UTC+8)

这个要在数据库里面查看，所以要跳到数据库里面查看信息

38.[单选题] 阿力士iPhone XR中阿力士的电邮账户Alexc19851016@gmail.com的密码有可能是什么?(1分)

A.Ac19851016

B.Alex1985!

C.Aa475869!

D.以上皆非

这个找了好久发现在notes里面（众所周知记笔记是一个好习惯！！！）

39.[填空题]阿力士iPhone XR曾经连接Wifi"Alex Home”的密码是什么?(请以英文全大写及阿拉伯数字回答)(1分)

这个在密码里面打开之后看用户的名字直接过滤也行

密码：12345678

40.[单选题] 阿力士iPhone XR经ICloud备份的最后时间是什么?(UTC+8)?(1分)

A.2021-10-21 17:51:38(UTC+8)

B.2021-10-21 18:02:13+(UTC+8)

C.2021-10-21 09:51:38(UTC+8)

D.2021-10-21 10:02:13+(UTC+8)

直接在设备信息里可以看到

41.[填空题]阿力士IPhone XR中的iBoot版本是iBoot-____?(请以阿拉伯数字回答，不用轮入”.”)(1分)

这个可以在文件系统里面找到（这个看好多才知道在这能看到，只能记住吧）

iBoot-6723.120.36

42.多选题阿力士IPhone XR中的WhatsApp群组【团购-新鲜猪肉牛肉-东涌群组-9/30】有以下哪一个成员?(2分)

A. 85260617332@s.whatsapp.net

B.85260452579@s.whatsapp.net

C.85248791565@s.whatsapp.net

D.85264630956@s.whatsapp.net

在聊天中可以找到

43.[单选题]阿力士的计算机显示曾于hongkongcard.com的论坛登记成为会员，以下哪个是他的帐户密码?(3分)

A.Aa475869!

B.Bb475869!

C.Cd475869!

D.以上皆非

在搜索记录里面搜索一下hongkongcard.com，过滤出来

然后在笔记里面可以看到gmail的密码

44.[单选]阿力士的计算机显示阿力士曾用什么方法进入受害者(主管)的计算机?(1分)

A.远程操控

B.特洛伊木马程序

C.勒索软件

D.恶意软件

这道题简直在送分呀肯定是远程操控呀

45.[单选题] 续上题，阿力士最后一次进入受害者(主管)计算机的时间是什么?(2分)

A.于2021年10月18日 10时36分

B.于2021年10月18日18时36分

C.于2021年10月18日6时53分

D.于2021年10月18日18时42分

在控制信息里面可以看到

46.[填空题]阿力士的计算机显示他曾经使用FTP程序，FTP的主机IP地址是什麼?(请以亚拉伯数字作答，省去”.”符号)(2分)

直接在ftp软件里看

得到 218255242114

47[填空题]阿力士的计算机显示于2021年9月至2021年11月期间，计算机曾被登入过多少次?(请以阿拉伯数字回答)(1分)

在系统信息账户登录可以看到

共28次

48[填空题]阿力士计算机所安装的Microsoft Office 2007 是以下哪一个版本?(请以亚拉伯数字作答，省去”.”符号)(2分)

在安装软件里可以看到

12.0.4518.1014

或者直接仿真出来看

49.[填空题]以下是阿力士计算机中的Basic data partition (EFI 3) 的Volume ID?(请以英文全大写及阿拉伯数字回答)(2分)

这个题不会然后在在网上搜了一下是

打开xways，找一下，分区

在 3\System Volume Information\SPP\OnlineMetadataCache:下面的两个文件都能看见VolumeID: {9705c469-7dca-4d55-ae76-7481b9f1428e}

50.[填空题]阿力士计算机的Window product ID是什么?(请以英文全大写及阿拉伯数字回答，不用输入”-”)(1分)

直接在系统痕迹，系统信息，系统信息里面可以找到

第50题答案为00331-10000-00001-AA411

51.[单选题]阿力士计算机曾经下载一张猴子的图片，以下哪一项描述正确?(1分)

A.该图片是由"https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSgn6ABvcqTfFPjclbjc9hdx1H4P1QsAuVyTQ&usqp=CAU”下载的

B.该图片经过加密

C.该图片于2021-09-30下载

D.该图片是由GIF档转换成PNG檔

看信息分析即可得出答案

52.[填空题] 阿力士计算机所安装的Microsoft Office 2007 的密钥是甚么?(请以英文全大写及阿拉伯数字回答，不用输入”-”)(1分)

在office里面工程文件夹里面可以找到key文件

V77WQ-RPVP6-7MTPG-WH3G9-D44M

53.[单选题] 阿力士FTP服务器用户使用命令行安装了甚么程序?(1分)

A.Docker

B.Chrome

C.FileZilla

D.TeamViewer

直接在取证大师里面看linux的终端记录

安装了docker

54.[多选题]以下哪些档案于阿力士FTP 服务器曾重复出现?(3分)

A.Material1

B.Material2

C.Material3

D.Staff1

E.Staff2

F.Staft3

直接在文件分类里面找Excel表格里面看

由图可知

55.[填空题]在阿力士FTP服务器中，文件夹___曾被用户变更了访问权限(请以英文全大写及阿拉伯数字回答)(2分)由图可知

寻找chmod命令看哪个文件被修改的权限

Dangerous_Project被修改了权限

56[填空题]在阿力士FTP 服务器建设后，有___个额外用户被加入 (请以阿拉伯数字回答)(2分)

寻找pure 命令寻找增加的用户

只加了1个用户wei

57.[单选题]根据阿力士FTP服务器设定显示，此服务器是以___方式连接网络，且是一个__网络状态(1分)

A.无线，公开

B.无线，私人

C.有线，公开

D.有线，私人

ip地址为公网的故为有线公开

58.[填空题]阿力士FTP 服务器设定最多使用者数目是_50__(请以阿拉伯数字回答)(2分)

找到配置文件然后打开查看

发现最大（max）50个

59.[填空题]阿力士FTP服务器使用Docker安装了一个FTP程序为____。(例如 space docker/1.1，请输入spacedocker/1.1，不要输入空格)(2分

寻找安装ftp的命令（这些都是基本的linux的命令）

故答案为stilliard/pure-ftpd。

60.[多选题] 阿力士FTP 服务器曾使用过甚么版本的Linux内核?(2分)

A. linux-headers-5.11.0-16

B.linux-headers-5.11.0-17

C.linux-headers-5.11.0-36

D.linux-headers-5.11.0-37

E.linux-headers-5.11.0-40

直接仿真出来然后输入 uname -r 查看内核版本

61.[多选题]阿力士FTP 服务器的磁盘分区，有以下哪一种文件系统?(2分)

A.FAT16

B.FAT32

C.ExFAT

D.HFS+

E.Ext4

直接查看ftp的文件系统类型

[填空题]阿力士FTP服务器用户输入了指令___去检查现存的Docker容器(例 netstat lntp,清输入netstatlntp,不能输入空格)(3分)

又是一个考察linux的命令的直接看

查看docker的命令为 dockercontainerps–a

2021年美亚杯个人资格赛（记录第一次的取证之旅）相关推荐

2020年第六届美亚杯个人资格赛题目复现
2020年第六届美亚杯个人资格赛题目来源:美亚杯官网:https://www.meiyacup.com/ 工具来源:美亚杯的取证大师.长安杯的火眼仿真和火眼手机证据分析案例背景 2020年9月, ...
2021年美亚杯资格赛解析
第二次参加美亚杯,假期有时间正好好好总结一下,写完资格赛wp 检材情况和案情需要用到的工具: 取证大师 x-way vm 感想赛前由于容器密码的问题折腾了好久,被恶心到了,两个小时做完整个资 ...
2021年美亚杯个人赛复盘
"美亚杯"第七届中国电子数据取证大赛本次比赛共1 个段落, 62 个小题, 总共114分 "美亚杯"第七届中国电子数据取证大赛试题 (62个小题, 共114分 ...
2021陇剑杯线下记录
很久没有发博客了,之前写都是存笔记,但这次觉得有必要发一下,题目也分享一下,自我感受收获挺大的一次比赛. 第一次线下做修复的题目,赛前一直以为陇剑线下只有rhg赛道的pwn和一些流量分析题目,结果还出 ...
“美亚杯”第二届中国电子数据取证大赛答案解析（团体赛）
1. 根据所提供的文件,在映像文件的采集过程中,曾使用那一种的写入保护设备? A)软件写入保护设备 B)WiebeTech写入保护设备 C)EPOS写入保护器 D)Tableau取证工具SATA / ...
“美亚杯”第二届中国电子数据取证大赛答案解析（个人赛）
(一)个人赛-背景介绍 (39题, 50分) Hugo是一个职业黑客,他喜欢透过非法入侵其他人的电脑来炫耀自己高超的计算机技术.他也是一个臭名昭著的匪徒,其敛财手段主要有: 1)网络攻击诈骗: 2)编 ...
2021美亚杯（个人赛）练习记录
因为当时没有参加比赛,用的奇哥给的镜像和参考答案,然后自己重新做了一遍,记录一下自己的思路(我自封大娘级记录,保姆级懂吧). 指路奇哥(奇哥带好人 (๑•̀ㅂ•́)و✧):2021第七届美亚杯中国电子 ...
2021美亚杯资格赛
第一次参加美亚杯,早上的资格赛出了点意外,导致一名队友未进入下午团队赛,最后只剩两个人做团队赛,导致后面有几个镜像没来得及做.第一次写WP,记录一下的思路 1. [单选题]工地主管电话的微信账号是什么 ...
2021美亚杯个人赛记录
一.检材 1.案件背景个人赛 2021年10月某日早上,本市一个名为"大路建设"的高速公路工地主管发现办公室的计算机被加密并无法开启,其后收到了勒索通知.考虑到高速公路的基建安全 ...

2021年美亚杯个人资格赛（记录第一次的取证之旅）

2021年美亚杯个人资格赛（记录第一次的取证之旅）相关推荐

最新文章

热门文章