2020美亚个人赛复盘

个人赛veracrypt密码：aWJ^64Sxt*LkvloSEfRWTJadfLitpex1M@Vizlj&yB2zsfkn

案件背景：

2020年9月，数名信用卡持有人向警方报案，称他们的信用卡被不知名人士在一家本地网上商店购买手机。订单大部分来自海外的网络地址，但有一宗订单来自本地。警方经调查后发现该本地网络地址的注册地址。上门后在该处发现陈慧贤，她否认与案件有关。

警方在现场扣押一部笔记本计算机、一部手机及一个USB存储设备。在场的初步应变小队在扣押证物前，曾为现场环境及证物拍照。另外, 调查队伍也从网络供货商及网上商店取得了一些与本案有关的资料。现在你被委派处理这宗案件, 请由以下的资料分析陈慧贤在本案中有否犯罪, 还原事件经过。

1-10

1、Alice的笔记本计算机已成功被取证并制作成镜像(Forensic Image), 下列哪个是镜像的SHA-1哈希值?

EB4854774B68058E5B327907DB2AC40AAA2E7DED

2、Alice的笔记本计算机安装了哪个操作系统(Operating System)?

Windows 10 Pro

3、在Alice的笔记本, 创建用户帐户的SID是甚么？

S-1-5-21-1017277147-4095180158-1226650532-1001 

4、在Alice的笔记本,用户的最后登录时间是甚么时候？(本地时间)

2020-09-30 10:13:44 

5、在Alice的笔记本,最后登录的用户名称是甚么？

Alice 

6、Alice笔记本计算机的名称是甚么？

DESKTOP-DJFFBL6 

7、在Alice的笔记本, 最后登录的用户何时更改了Windows登录密码？ （当地时间）

2020-09-16 02:22:20

8、Alice笔记本计算机的时区是甚么？

A:UTC;B:DST;C:CST;D:CDT;E:HKT

 C

9、在Alice的笔记本, OS分区的文件系统是甚么？

NTFS

OS分区是操作系统分区，C盘

10、计算机上预设安装了甚么浏览器？

A:Firefox;B:Chrome;C:Safari;D:Internet Explorer;E:Opera

D

IE、Edge应该都是预装的，但是没有Edge选项

11-20

11、在Alice的笔记本,哪个是最常用的浏览器？

A:Firefox;B:Chrome;C:Safari;D:Internet Explorer;E:Opera

D

根据历史记录应该是Edge，但是没有这个选项

12、在Alice的笔记本, 最常用的浏览器是甚么版本？

Internet Explorer version 11 

13、在Alice的笔记本, Alice浏览了哪个在线商店的网站

A:Sunnings, Apple 及 Microsoft;

B:Microsoft, Apple 及 Fortress;

C:Sunnings, Boardway 及 Fortress;

D:Sunnings, Apple 及 Fortress;

E:Sunnings, Apple 及 Boardway

D

Sunnings

 Apple

Fortress

14、在Alice的笔记本, 受害人的信用卡号是甚么?（Ho PCKYI-电子邮件：shy1211@mtzh.gow.tw）

5411 2210 0121 7741

仿真后在电子邮件里找到

15、在Alice的笔记本, 受害人的信用卡CSC号码是甚么（何PCKYI-电子邮件：shy1211@mtzh.gow.tw）

112 

16、除了上述在USB 找出ZIP文件,请找出相同ZIP文件的路径？

A:Partition 3\Users\Alice\Desktop\Downloads;

B:Partition 3\Users\Alice\Desktop\Temp;

C:Partition 3\Users\Alice\Recent;

D:Partition 3\Users\Alice;

E:Partition 3\Users\Alice\Downloads

E

计算机里面

USB里面

17、ZIP文件的哈希值（SHA-256）是甚么？

88F68F8755E1F76107D6EE2134ED32BABBSHAC91F0B44C7C0EE3850BBA74B7E59B8 

18、ZIP文件的修改时间是多少?(当地时间)

2020-09-29 18:46:54

19、USB驱动器在Alice笔记本计算机上的最后插入时间是何时？(当地时间)

A:2020-09-28 1800 hrs;B:2020-09-27 1802 hrs;C:2020-09-29 1801 hrs;D:2020-09-16 1803 hrs;E:2020-09-29 1202 hrs

C

计算机里的时间都不对 

WPSettings.dat文件最后的修改时间就是

20、解压的ZIP文件内有哪些文件？

log1nx.txt, R3ZZ.txt, WhatsApp Image 2020-09-29 at 18.35.25.jpeg, WhatsApp Image 2020-09-29 at 18.37.47.jpeg

21-30 

21、"“ ZIP文件中发票的哈希值（SHA 256）是多少=发票（1）名称：WhatsApp Image 2020-09-29 at 18.35.25.jpeg”"

F4C391A38AB82AD19EDB2B7402DA31F52006C3B4B018F859A451B839878D3EE4

22、"“ ZIP文件中发票的哈希值（SHA 256）是多少=发票（2）名称：WhatsApp Image 2020-09-29 at 18.37.47.jpeg”"

2DAFCC2552A7337844B90F0AB5CDA85BF2F5A71A635E0D3B05731C95937D21F5

23、Alice笔记本计算机上安装了哪种电子邮件软件？

Outlook 

24、Alice笔记本计算机上的电子邮件软件的版本是甚么？

Outlook  2016

仿真 

25、Alice笔记本计算机登录电子邮件软件的电子邮件帐户是甚么？

alicechen741@gmail.com 

26、Alice在上述电子邮件对话中获得了哪些数据/文件？

log1ns.txt, R3ZZ.txt

27、该电子邮件的发信者的电子邮件地址是甚么？

bobcheung123@gmail.com

28、上述已收的电子邮件, 发件人的IP地址是甚么？

209.85.220.41

29、在笔记本, Alice的电子邮件地址是甚么？

alicechen741@gmail.com 

30、除了Alice，还有其他电子邮件地址与该骗局有关吗？

bobcheung123@gmail.com

31-40

31、哪些人有AP和主脑之间的电子邮件记录？有文件传输吗？

A:Alice and Cole, re log1ns.txt and R3ZZ.txt;

B:Alice and Tommy, re log1ns.txt and R3ZZ.txt;

C:Alice and Bob, re log1ns.txt and R3ZZ.txt;

D:Alice and Chris, re log1ns.txt and R3ZZ.txt;

E:Alice, Bob and Cole, re log1ns.txt and R3ZZ.txt

C

32、在ZIP 文件中, 有多少受害人的信用卡数据被盗?

7

R3ZZ.txt里面有7个受害人

33、已被黑客盗用其信用卡资料购买的受害者是谁?

A:TONG TO ON;B:YUEN MING TIM;C:TSE KONG LON;D:TSE WONG YIN;E:LEE YOI TEI

C

仿真里面的发票照片

34、被盗用的内容是甚么？

A:Name, ccc code, credit card number;B:Name, ccc code, HKID;C:Name, credit card number, aged;D:Name, credit card number, CSC;E:Nil

D

35、Alice的手机型号是甚么？

A:Model:LG-D855(G3 Global);B:Model:LG-D755(G3 Global);C:Model:LG;D:Model:LG-D855(G4 Global);E:Model:LG-BB55(G3 Global)

A

美亚的手机大师我用着不太顺，弘连没取出来，盘古石手机取证系统取出来了

36、Alice手机的操作系统版本是甚么？

Android 6.0

37、Alice手机的总储存空间是多少?

32G

38、在Alice 手机, IMG-20200929-WA0002的创建时间是甚么？(本地时间)

2020-09-29 18:24:40

39、在Alice 手机,IMG-20200929-WA0004的创建时间是甚么？(本地时间)

2020-09-29 18:25:49

40、IMG-20200929-WA0002和IMG-20200929-WA0004的元数据和相机型号是甚么？

A:Manufacturer: LG Electronics, Model:        LG-DD55;

B:Manufacturer: Apple, Model:        A1687;

C:Manufacturer: LG Electronics, Model:        LG-D855;

D:Manufacturer: Samsung, Model:        SM-N7105;

E:Manufacturer: MI, Model:        MI8

C

把图片提取出来，然后用MagicEXIF分析数据

41-50 

41、在Alice 手机, 预设浏览器浏览历史记录的文件在哪里？

A:\Partition43[hda41]\data\com.android.browser\databases\browser2.db(Mobile Forensics System V2);

B:\Partition40[hda41]\data\com.android.chrome\app_chrome\Default\History(Mobile Forensics System V2);

C:\Partition41[hda41]\data\com.android.chrome\app_chrome\Default\History(Mobile Forensics System V2);

D:\Partition42[hda41]\data\com.android.chrome\app_chrome\Default\History(Mobile Forensics System V2);

E:\Partition44[hda41]\data\com.android.chrome\app_chrome\Default\History(Mobile Forensics System V2)

A

两个浏览器，手机浏览器就是预设浏览器

42、储存Chrome浏览历史记录的文件是甚么？

A:\Partition40[hda41]\data\com.android.browser\databases\browser2.db(Mobile Forensics System V2);

B:\Partition41[hda41]\data\com.android.browser\databases\browser2.db(Mobile Forensics System V2);

C:\Partition42[hda41]\data\com.android.browser\databases\browser2.db(Mobile Forensics System V2);

D:\Partition43[hda41]\data\com.android.chrome\app_chrome\Default\History(Mobile Forensics System V2);

E:\Partition44[hda41]\data\com.android.browser\databases\browser2.db(Mobile Forensics System V2)

D

43、Alice手机的Whatsapp ID和账户名称是甚么？

85262547937@s.whatsapp.net，Alice

44、与Bob和Cole的最后WhatsApp的时间是甚么？(本地时间)

2020-09-26 18:47:34

45、主脑的名字是甚么？

Bob、Cole

主脑应该是除了Alice以外的其他主犯

46、Alice，Bob和Cole之间的WhatsApp群组的ID和名称是甚么?

85262547937-1600392878@g.us，Big Big club

47、哪一个表，显示了聊天群组“ Big Big Club”的创建时间？(本地时间)

A:Table:chat;B:Table:chat_list;C:Table:chat_group;D:Table:chat-group;E:Table:chatting_list

B

从聊天群组跳转源文件，将数据库导出，用navicat连接，chat表或者chat_list表

creation创建时间

created_timestamp创建时间戳 

说实话感觉两个都对，选chat_list更靠谱 

48、聊天群组“ Big Big Club”是甚么时候创建的？(本地时间)

2020-09-18 09:34:38

49、Alice是否曾经登陆whatsapp网站？如果有的话，她是在何时登入? 所用的是甚么浏览器？ （提示：在移动取证图像上找到结果）(UTC +0)

A:No;B:Yes. Windows Edge.  2020-09-29, 18:43:44;C:Yes. Windows Edge.  2020-09-29, 10:43:44;D:Yes. Firefox.  2020-09-29, 10:25:44;E:Yes. Firefox.  2020-09-29, 16:43:44

B

50、Alice如何收到这笔钱？钱包地址是甚么？

A:通过比特币钱包:1L6fKWpEYvUi8FeG6BnXqfh1joAgmJA1h1;

B:通过比特币钱包:2L6fKWpEYvUi8FeG6BnXqfh1joAgmJA1h2;

C:通过比特币钱包:3A6fKWpEYvUi8FeG6BnXqfh1joAgmJAlh1;

D:通过比特币钱包:666fKWpEYvUi8FeG6BnXqfh1joAgmJA1h1;

E:通过比特币钱包:FF6fKWpEYvUi8FeG6BnXqfh1jOAgmJA1h1

A

51-61 

51、“Deleted by the sender”的media_wa_type是甚么?

15

So what's next后面，Shell前面就是删除的消息 

在表里找到，media_wa_type是15 

52、Alice手机的Wifi MAC地址是甚么？

A:Intf0MacAddress=000AF58989FF;

B:Intf0MacAddress=0012AF58989FF;

C:Intf0MacAddress=000BF58989FF;

D:Intf0MacAddress=110AF5B989FF;

E:Intf0MacAddress=222AF589B9FF

A

在wifi连接记录里跳转源文件，跳转到wpa_supplicant.conf里，但是里面没有，在上面的WCNSS_qcom_cfg.ini文件里找到了mac地址

53、Alice USB驱动器内的ZIP档案的密码是甚么? (某些字符被刻意用*遮盖)

A:QP**!#80**;B:Qpzm!@****;C:QP******@!;D:**98#*;E:**89#h

A

54、Alice USB驱动器内的哪一个程序是用作储存秘密数据?

A:mytracker.apk;

B:com_cleanmaster_mguard_7.4.6_02_09_2020.apk;

C:crypto_aliens_bch_1.0.2_05_11_2020.apk;

D:de_schildbach_wallet_8.03_06_09_2020.apk;

E:Messagesecure.apk

D

mytracker我的追踪器，Messagesecure信息安全，储存秘密数据应该是D

开启一个雷电模拟器，把导出的apk安装进去，打开确认就是它

55、打开秘密讯息的密码是甚么? (某些字符被刻意用*遮盖)

A:**89#h;B:Qpzm!#****;C:QP******@#;D:**98#*;E:**8#9*

A 

56、USB驱动器内，其中一个档案的秘密讯息是甚么? (某些字符被刻意用*遮盖)

A:Password is ****;B:Alice is the mastermind;C:*****phone pw is ****;D:Alice and Bob are masterminds;E:Phone is ********

C

把USB里面唯一一张图片导出，扔进模拟器里，点击上半部分，然后DECODE，输入图片和密码，解出秘密讯息

57、贴在笔记本计算器机上的密码有甚么用途?

A:Alice笔记本电脑的Bitlocker密码;

B:Alice的USB驱动器的密码;

C:Alice的电子银行密码;

D:从文件恢复安全消息;

E:Alice的手机密码

D

58、Alice USB驱动器内的档案有甚么种类?

A:PNG, ZIP, APK, DOC;B:PNG, ZIP, APK;C:PNG, ZIP, APK, 7Z;D:PNG, DOC, APK, 7Z;E:PNG, ZIP, DOC, 7Z

C

APK

 PNG

ZIP、7Z

59、Alice USB驱动器的哈希值（SHA-256）是甚么？

528D94ED83F41C356B0588C2C21ECF563E9D8CA66ED6D97A3D57C26291854DFF 

60、在USB驱动器中找到的ZIP文件（Downloads.7z），它的哈希值（SHA-256）是甚么？

88F68F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850BBA74B7E59B8

61、在Alice的USB内, ZIP文件的最后修改时间是？

2020-09-29 18:46:54