2021美亚个人赛复盘
Individual的veracrypt密码:HfsCk]<eUqc5Q{(DG$ugiGlt8ezGdaZ>!pQC-H\5BAc^gBo/^qq)/i21ufiN@H"Y
案件背景:
2021年10月某日早上,本市一个名为“大路建设”的高速公路工地主管发现办公室的计算机被加密并无法开启,其后收到了勒索通知。考虑到高速公路的基建安全,主管决定报警。警方调查人员到达现场取证,发现办公室内有三部个人计算机,通过一个老款路由器接入互联网。
经调查相关电子证据后,警方怀疑一位本地男子–阿力士与本案有关,并将他拘捕。现在你被委派处理这起案件,请由以下资料分析阿力士在本案中的违法犯罪行为, 并还原事件经过。
| FTP | FTP.E01 |
| Alex的电脑 | Alex_Windows_Computer.E01 |
| Alex的iphone XR | Alex iPhone XR |
| Alex的iPHone 12 pro | Alex iPHone 12 pro.zip |
| 办公室路由器日志 | Router Log |
| 工地主管办公室的电脑 | VTM-computer.e01 |
| 工地主管的iphone6 | 3个文件 |
| 警方现场勘查的调查报告 | 阿力士的背景资料和调查报告 |
第一次见到CellebriteReader.exe
工地主管的iphone6
1. [单选题] 工地主管电话的微信账号是什么? (1分)
A. Kasier751111
B. Kasierlee751111
C. Kasierlee
D. 以上皆非
D
2. [填空题] 工地主管的隔空投送装置编号是什么? (请以英文全大写及阿拉伯数字回答) (1分)
780F624DF099
AirDrop隔空投送
3. [单选题] 工地主管电话的哪一个应用程序有关于于经纬度24.490474, 118.110220的纪录? (2分)
A. 照片
B. WhatsApp
C. Apple Maps
D. 以上皆非
C
4. [多选题] 工地主管的手提电话中下列哪些数据正确? (1分)
A. iOS 版本为 12.5.4
B. IMEI 为 454120637213361
C. Apple ID 为 kaiserlee3660@gmail.com
D. 手机曾经安装dropbox 应用程序
AC
IMEI是359282063436571,D选项搜不到
5. [填空题] 工地主管的电话最常使用的浏览器是什么? (请以英文全大写回答) (1分)
SAFARI
6. [单选题] 工地主管的电话连接过哪一个WiFi? (1分)
A. Kaiser Lee
B. Kaiser
C. Free Wifi
D. Kaiser Home
A
7. [多选题] 工地主管与Alex Chan的Whatsapp 对话中,曾提及以下哪个TeamViewer的用户号码? (3分)
A. 435334881
B. 453851521
C. 435475200
D. 456874155
E. 435270306
ACE
首页的Chats里面,聊天记录的三张图片
8. [填空题] 工地主管的WhatsApp中有多少个黑名单的记录? (请以阿拉伯数字回答) (2分)
0
把Source改成WhatsApp,聊天记录存在「Kaiser」的 iPhone/mobile/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApp.shared/ChatStorage.sqlite : ,BLACKLISTITEM黑名单项目
9. [多选题] 以下哪个蓝牙装置的Uuid 曾连接过工地主管的手机? (2分)
A. 7F1FE70D-2B15-C245-853D-4196F13CC446
B. 1B057C1D-83D3-99A6-D2B1-EC54846C7CEE
C. 134ACD1-83D3-99A6-D2B1-EC54846C7CEE
D. 7D1BE70D-2C16-D246-851D-491613DD776
AB
蓝牙连接存在「Kaiser」的 iPhone/containers/Shared/SystemGroup/systemgroup.com.apple.bluetooth/Library/Database/com.apple.MobileBluetooth.ledevices.other.db : 0x3FE6 (Table: OtherDevices, Size: 16384 bytes)
工地主管计算机
10. [填空题] 工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么? (请以英文全大写及阿拉伯数字回答,不用输入”-“) (1分)
36EBC18095F741FFBE5B4E56E7AF48B1
右键bitlocker解密,直接就能看到对应的恢复密钥标识
然后搜索bitlocker,在FTP里找到3个txt文件,根据恢复密钥对应的文件名找到正确的txt,把这个文件导出,然后就能解开E盘
11. [填空题] 工地主管计算机內的FTP程序FileZilla的用户名称是甚么? (请以英文全大写及阿拉伯数字回答) (3分)
ALEX
12. [填空题] 工地主管的Team Viewer ID 是甚么? (请以英文全大写及阿拉伯数字回答) (2分)
435270306
“ 这个是我的”指的就是工地主管的
13. [填空题] 工地主管的Team Viewer与哪一个ID连接? (请以英文全大写及阿拉伯数字回答) (3分)
420190768
注意这个地方是被其他远程主机连接信息,是被动的,这个ID不是工地主管的
14. [多选题] 工地主管曾用计算机浏览器作搜寻,以下哪一个关键词他曾经搜寻? (3分)
A. tiktok
B. web whatsapp
C. facebook
D. lihkg
E. hkgolden
F. web wechat
BC
注意那个D选项,关键词他搜的是lighk
15. [填空题] 工地主管计算机的Windows系统的产品标识符是甚么? (请以英文全大写及阿拉伯数字回答,不用输入”-“) (1分)
003311000000001AA962
16. [填空题] 工地主管曾用计算机使用WhatsApp,他曾和以下哪个电话号码沟通? (请以阿拉伯数字回答) (2分)
在VTM_computer里没有找到Whatsup这个软件,在Alex里面找到了,没有直接找到电话号码,只有历史记录看着像
17. [多选题] 工地主管计算机的用户名称是甚么? 其用户标识符是甚么? (2分)
A. 用户名称: PC1
B. 用户名称: PC2
C. 用户名称: PC3
D. 用户标识符: 0x000003E7
E. 用户标识符: 0x000003E8
F. 用户标识符: 0x000003E9
AF
十进制的1001是十六进制的3E9
18. [单选题] 工地主管计算机的预设浏览器是甚么? (2分)
A. Chrome
B. Firefox
C. Safari
D. 以上皆否
D
仿真建一个html文件,预设浏览器应该是Edge
19. [填空题] 工地主管计算机的其中一个分区被人加密,分区内的电子表格Material3.xlsx的哈希值(SHA1)是甚么? (请以英文全大写及阿拉伯数字回答) (1分)
40418B21F6C3E4AF306D5EF3B80A776DA72FC1D2
路由器
20. [多选题] 路由器的记录中显示以下有哪些IP是公司的电子器材? (3分)
A. 192.168.40.128
B. 192.168.40.129
C. 192.168.40.130
D. 192.168.40.131
E. 192.168.40.132
ABCD
128、129、130、131都查找到了,只有132没有查到
21. [填空题] 路由器的记录中显示公司的计算机下载了FTP软件,该下载网站的IP是什麼?(请以亚拉伯数字作答,省去“.”符号) (3分)
491212147
直接搜索ftp什么都没有搜到,主管办公室的电脑里安装有filezilla这个软件,搜索filezilla试试
查到了49.12.121.47
顺便看了看这个ip到底是啥
22. [多选题] 路由器的记录中显示公司计算机的资料用FTP软件传到了甚么IP地址及利用端口? (2分)
A. IP地址: 2*.2*.2*.114
B. IP地址: 8*.8*.1*.20
C. IP地址: 1*.1*.0*.13
D. 端口: 21
E. 端口: 80
AD
23. [多选题] 路由器的记录中显示以下哪些关键词是表示公司计算机与外界网络联机? (2分)
A. destination
B. ICMP echo request
C. inside
D. outside
E. 以上皆是
AD
22题说公司计算机的资料用FTP软件传到了218.255.242.114,与外界网络联机应该就是它
24. [单选题] 路由器的记录中显示哪一个IP曾以teamviewer 连接公司计算机? (1分)
A. 110.152.0.14
B. 52.152.117.114
C. 180.152.0.13
D. 83.26.80.131
B
teamviewer:远程控制计算机,根据上题的outside、destination,以这两个关键词判断
A项跟上题的FileZilla连接的差不多,感觉不是teamviewer
B对
C同A
D是inside
25. [多选题] 路由器的记录中显示以下哪一个有可能是以teamviewer 遥控公司计算机的时间? (3分)
A. 09:31, 09:37
B. 09:33, 09:39
C. 10:29, 10:36
D. 10:40
E. 10:42
ACE
09:31
09:37
10:29
10:36
10:42
26. [填空题] 路由器的记录中显示有多少电子器材有可能曾被入侵? (请以阿拉伯数字作答) (2分)
ALEX iphone 12 pro
27. [多选题] 阿力士iPhone 12 pro电话 于2021年10月21日,以下哪一张相片可能曾被分享 (UTC+8)? (3分)
A. IMG_0011.HEIC
B. IMG_0010.HEIC
C. IMG_0009.HEIC
D. IMG_0008.HEIC
E. IMG_0007.HEIC
A
两张图一样
28. [单选题] 阿力士iPhone 12 pro电话中哪一张相片可能曾被修改拍摄时间? (2分)
A. IMG_0011.HEIC
B. IMG_0010.HEIC
C. IMG_0009.HEIC
D. IMG_0008.HEIC
A
5点33改成了5点34
29. [填空题] 阿力士iPhone 12 pro 的GSM媒体访问控制地址是什么? (请以英文全大写及阿拉伯数字回答,不用输入":") (2分)
e0:6d:17:38:24:20
GSM媒体访问控制地址是MAC地址
30. [单选题] 阿力士的iphone 12 pro以什么屏幕密码保护? (1分)
A. 6位阿拉伯数字密码
B. 4位阿拉伯数字密码
C. 图形密码
D. 以上皆非
D
搜索manifest.plist,找到manifest.plist的路径Apple_A2341 MGLW3LL_A iPhone 12 Pro.zip/Backup Service/00008101-000254A10A21001E/Snapshot/Manifest.plist : 0x7B95 (Size: 88672 bytes),导出manifest.plist,查找pass
WasPasscodeSet的值是false,WasPasscodeSet这个是啥不太清楚
31. [多选题] 阿力士iphone 12 pro内以下哪一张相片是实况相片(live Photos)? (2分)
A. IMG_0011.HEIC
B. IMG_0010.HEIC
C. IMG_0012.HEIC
D. IMG_0009.HEIC
C
32. [单选题] 以下哪一个是阿力士iphone 12 pro可能曾经连接的装置名称? (2分)
A. Chris’s MacBook Pro
B. Chirs’s iPhone
C. Chirs’s Computer
D. Chirs’s Linux
A
33. [多选题] 接上题,记录连接时间是什么时候(UTC+8)? (2分)
A. 2021年10月21日 00:58:01
B. 2021年10月21日 08:58:01
C. 2021年10月21日 00:58:29
D. 2021年10月21日 08:58:29
B
上题截图上的时间是UTC+0,本题题目是UTC+8
ALEX iphone XR
34. [多选题] 阿力士iPhone XR中在软件WhatsApp中工地主管与阿力士的对话中曾提到:[佢叫我俾钱喎,BTC係唔係呢个啊?]。在进行电子数据取证分析后,以下哪一个是有可能关于此对话的正确描述? (2分)
A. 此对话被Kariser Lee删除
B. 此对话的附件为一张图片文件
C. 此对话被Alex Chan 删除
D. 此对话是引用Alex Chan 回复
AB
打开聊天之后的第一个就是
35. [填空题] 阿力士iPhone XR的WhatsApp对话中,阿力士曾要求工地主管支付多少个BTC? (请以阿拉伯数字回答) (1分)
10
上题截图中绿色的回答就是
36. [多选题] 阿力士iPhone XR中 “IMG_0056.HEIC”的图像与"5005.JPG"(MD5: 96c48152249536d14eaa80086c92fcb9)” 看似为同一张相片,在电子数据取证分析下,以下哪样描述是正确? (2分)
A. 储存在不同的.db 里
B. 有不同哈希值
C. IMG_0056.HEIC 为原图, 5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9)为缩略图
D. IMG_0056.HEIC 曾被开启过,所以在IOS系统中创建了缩略图5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9)
BC
A错
BC对,D不确定
37. [多选题] 阿力士iPhone XR中相片檔IMG_0056.HEIC提供了什么电子数据取证的信息? (3分)
A. 此相片是由隔空投送 (Airdrop)得来
B. 此相片由iPhone XR拍摄
C. 此相片的拍摄时间为2021-10-21 17:45:48(UTC+8)
D. 此相片的拍摄时间为2021-09-08 17:35:00(UTC+8)
AC
BD错C对,A不确定,但这题是多选
38. [单选题] 阿力士iPhone XR中阿力士的电邮账户Alexc19851016@gmail.com的密码有可能是什么? (1分)
A. Ac19851016
B. Alex1985!
C. Aa475869!
D. 以上皆非
C
备注里
39. [填空题] 阿力士iPhone XR曾经连接Wifi “Alex Home”的密码是什么? (请以英文全大写及阿拉伯数字回答) (1分)
12345678
密码里面搜Alex Home
40. [单选题] 阿力士iPhone XR经iCloud备份的最后时间是什么?(UTC+8)? (1分)
A. 2021-10-21 17:51:38(UTC+8)
B. 2021-10-21 18:02:13 + (UTC+8)
C. 2021-10-21 09:51:38(UTC+8)
D. 2021-10-21 10:02:13 + (UTC+8)
A
2021-10-21T09:51:38.000+00:00是UTC时间,+8是北京时间
41. [填空题] 阿力士iPhone XR中的iBoot版本是iBoot-__________? (请以阿拉伯数字回答,不用轮入“.”) (1分)
672312036
iphone信息在PhoneInfo.xml里面找
42. [多选题] 阿力士iPhone XR中的WhatsApp群组『团购-新鲜猪肉牛肉-东涌群组-9/30』有以下哪一个成员? (2分)
A. 85260617332@s.whatsapp.net
B. 85260452579@s.whatsapp.net
C. 85248791565@s.whatsapp.net
D. 85264630956@s.whatsapp.net
AD
直接搜没搜到,在WhatsApp的聊天记录里看说明才找到的
ALEX的计算机
43. [单选题] 阿力士的计算机显示曾于hongkongcard.com 的论坛登记成为会员,以下哪个是他的帐户密码? (3分)
A. Aa475869!
B. Bb475869!
C. Cd475869!
D. 以上皆非
A
只找到了登录用户名,没有找到密码,搜索结果也为0
仿真的时候电脑登录密码是A
在Alex iPhone XR里的备注找到了
44. [单选题] 阿力士的计算机显示阿力士曾用什么方法进入受害者(主管)的计算机? (1分)
A. 远程操控
B. 特洛伊木马程序
C. 勒索软件
D. 恶意软件
A
45. [单选题] 续上题,阿力士最后一次进入受害者(主管)计算机的时间是什么? (2分)
A. 于2021年10月18日 10时36分
B. 于2021年10月18日18时36分
C. 于2021年10月18日6时53分
D. 于2021年10月18日18时42分
D
46. [填空题] 阿力士的计算机显示他曾经使用FTP程序,FTP的主机IP地址是什麼?(请以亚拉伯数字作答,省去“.”符号) (2分)
218255242114
47. [填空题] 阿力士的计算机显示于2021年9月至2021年11月期间,计算机曾被登入过多少次? (请以阿拉伯数字回答) (1分)
30
48. [填空题] 阿力士计算机所安装的Microsoft Office 2007 是以下哪一个版本? (请以亚拉伯数字作答,省去“.”符号) (2分)
12045181014
win+R,输入control进入控制面板,查看程序,查看版本号
49. [填空题] 以下是阿力士计算机中的Basic data partition (EFI 3) 的Volume ID? (请以英文全大写及阿拉伯数字回答) (2分)
这题不会
50. [填空题] 阿力士计算机的Window product ID是什么? (请以英文全大写及阿拉伯数字回答,不用输入”-“) (1分)
003311000000001AA411
51. [单选题] 阿力士计算机曾经下载一张猴子的图片,以下哪一项描述正确? (1分)
A. 该图片是由 “https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSgn6ABvcqTfFPjcIbjc9hdx1H4PtQsAuVyTQ&usqp=CAU”下载的
B. 该图片经过加密
C. 该图片于2021-09-30 下载
D. 该图片是由GIF档转换成PNG檔
A
仿真后看到猴子照片是images(1).png,在取证大师中搜索查到
52. [填空题] 阿力士计算机所安装的Microsoft Office 2007 的密钥是甚么? (请以英文全大写及阿拉伯数字回答,不用输入”-“) (1分)
V77WQRPVP67MTPGWH3G9D44MJ
FTP服务器
53. [单选题] 阿力士FTP 服务器用户使用命令行安装了甚么程序? (1分)
A. Docker
B. Chrome
C. FileZilla
D. TeamViewer
A
54. [多选题] 以下哪些档案于阿力士FTP 服务器曾重复出现? (3分)
A. Material1
B. Material2
C. Material3
D. Staff1
E. Staff2
F. Staff3
DEF
搜Material都只出现一次
搜Staff三个文件皆重复出现
55. [填空题] 在阿力士FTP服务器中,文件夹___________曾被用户变更了访问权限(请以英文全大写及阿拉伯数字回答) (2分)
Dangerous_Project
只有这一条使用了chmod命令
56. [填空题] 在阿力士FTP 服务器建设后,有______个额外用户被加入 (请以阿拉伯数字回答) (2分)
1
pure -pw useradd重复了几遍但命令都是一样的,只不过是目录不同
57. [单选题] 根据阿力士FTP服务器设定显示,此服务器是以_____方式连接网络,且是一个_______网络状态 (1分)
A. 无线 , 公开
B. 无线 , 私人
C. 有线 , 公开
D. 有线 , 私人
C
私网地址:
A类地址:10.0.0.0~10.255.255.255
B类地址:172.16.0.0 ~172.31.255.255
C类地址:192.168.0.0~192.168.255.255
明显不是私网地址,Wired connection 1有线连接
58. [填空题] 阿力士FTP 服务器设定最多使用者数目是_____ (请以阿拉伯数字回答) (2分)
50
导出pure-ftpd.conf配置文件,Maximum number of simultaneous users最大同时用户数
Pure-FTPD.conf 中文说明_Accpcjg的博客-CSDN博客
59. [填空题] 阿力士FTP服务器使用Docker安装了一个FTP程序为___________。(例如 space docker /1.1,请输入 spacedocker/1.1,不要输入空格) (2分)
stilliard/pure-ftpd
只有这一条
60. [多选题] 阿力士FTP 服务器曾使用过甚么版本的Linux内核? (2分)
A. linux-headers-5.11.0-16
B. linux-headers-5.11.0-17
C. linux-headers-5.11.0-36
D. inux-headers-5.11.0-37
E. linux-headers-5.11.0-40
AD
查看系统内核:dpkg --get-selections | grep linux-image
61. [多选题] 阿力士FTP 服务器的磁盘分区,有以下哪一种文件系统? (2分)
A. FAT16
B. FAT32
C. ExFAT
D. HFS+
E. Ext4
BE
62. [填空题] 阿力士FTP服务器用户输入了指令_____________去检查现存的Docker容器 (例如 netstat lntp,请输入 netstatlntp,不要输入空格) (3分)
dockercontainerps-a
注意加-a和不加-a的区别
2021美亚个人赛复盘相关推荐
- 2020美亚个人赛复盘
个人赛veracrypt密码:aWJ^64Sxt*LkvloSEfRWTJadfLitpex1M@Vizlj&yB2zsfkn 案件背景: 2020年9月,数名信用卡持有人向警方报案,称他们的 ...
- 2022美亚个人赛复盘
个人赛加密容器解密密钥 CZDGm#&2_Ns$7wSMn%ZGr7xntcHS7d5uFta#Up9544jx_cvP$uFM7?pTDa*jN&QyFDLS8U%hx$fXN^BY ...
- 19美亚个人赛复盘2(手机取证)
21.iPhone手机的线索 自动取证\win.E01\文件分析\手机备份及相关数据 逐一比对 22.在WhatsApp上与谁进行了对话 跳转到源文件,将整个backup文件(务必完整,格式也别变,苹 ...
- 2019美亚个人赛复盘
案件背景: 1. 何源是一名 25 岁的客服人员,在一间电讯公司工作.某日,何源在用 iPhone 手机在政府建筑物 中偷拍车牌期间被警员截停,盘问期间警员检查手机相册发现多张车牌图片,何源情绪紧张, ...
- 2021美亚杯个人赛记录
一.检材 1.案件背景 个人赛 2021年10月某日早上,本市一个名为"大路建设"的高速公路工地主管发现办公室的计算机被加密并无法开启,其后收到了勒索通知.考虑到高速公路的基建安全 ...
- 2021美亚杯(个人赛)练习记录
因为当时没有参加比赛,用的奇哥给的镜像和参考答案,然后自己重新做了一遍,记录一下自己的思路(我自封大娘级记录,保姆级懂吧). 指路奇哥(奇哥带好人 (๑•̀ㅂ•́)و✧):2021第七届美亚杯中国电子 ...
- 2021年美亚杯个人赛复盘
"美亚杯"第七届中国电子数据取证大赛 本次比赛共1 个段落, 62 个小题, 总共114分 "美亚杯"第七届中国电子数据取证大赛试题 (62个小题, 共114分 ...
- 2022年第八届美亚杯个人赛复盘
以学生的身份最后一次打美亚杯了还是要记录一下的写个wp告别哈哈. 1.[单选题] 王晓琳在这本电子书籍里最后对哪段文字加入了重点标示效果(Highlight)?(2分) A. 卿有何妙计 B. 宝玉已 ...
- 2021美亚杯资格赛
第一次参加美亚杯,早上的资格赛出了点意外,导致一名队友未进入下午团队赛,最后只剩两个人做团队赛,导致后面有几个镜像没来得及做.第一次写WP,记录一下的思路 1. [单选题]工地主管电话的微信账号是什么 ...
最新文章
- Sun公司的产品AnswerBook存在多种漏洞
- 周志华《机器学习》课后习题解析(第二章)模型评估与选择
- 分类素材(part4)--大话Python机器学习(上)
- 自己写的一个报表,研究SAP CRM ibase保存问题
- 《淘宝网开店 拍摄 修图 设计 装修 实战150招》一一1.2 选购镜头时应注意的事项...
- 《Python Cookbook 3rd》笔记(1.14):排序不支持原生比较的对象
- Jsp+SSH+Mysql实现的校园课程作业网
- python实现mapreduce求平均值
- jeep智能手表软件测评中心的测试,够了,不要太帅:Jeep黑骑士智能手表深度评测...
- jQuery+PHP+Mysql在线拍照和在线浏览照片
- 使用萤石云的出现设备不在线问题的解决方法
- 笔记本计算机屏幕亮度暗,笔记本屏幕100%还是暗,win10电脑亮度调节失灵
- 关于百度网盘下载过慢的解决方法
- 武汉:“大象转身”,“中国车都”变“中国车谷”的二段跨越
- Lombok 插件安装、使用
- Flink-DataStream执行环境和数据读取
- 【GAOPS002】round robin Verilog实现
- 12306.cn火车票自动订票软件
- 物联网-业务数据智能管理应用设计
- PPTP和L2TP两种连接有什么区别?