2022美亚个人赛复盘

个人赛加密容器解密密钥

CZDGm#&2_Ns$7wSMn%ZGr7xntcHS7d5uFta#Up9544jx_cvP$uFM7?pTDa*jN&QyFDLS8U%hx$fXN^BY$Xsj+3@F^y#4QFXb*Uq@wLmkCE7?&Yp+nX6s@hKrzpVE%v?&

案件详情

于2022年10月，有市民因接获伪冒快递公司的电邮，不慎地于匪徒架设的假网站提供了个人信用咭资料导致经济损失。 警方追查下发现当中一名受骗市民男子李大輝 (TaiFai) 的信用卡曾经被匪徒在区内的商舖购物。 后来警方根据IP地址，锁定及拘捕了一名男子林浚熙 （阿熙 ChunHei），并于他的居所发现了一批相信曾被用作犯案的电脑及手机装置。

经调查后，警方发现阿熙除上述案件外，他亦牵涉其他的一些犯罪活动。

警方的电子数据取证小组在现场作出初步了调查并对涉案装置进行了电子数据取证。请你根据得到的资料，协助将事件经过还原。

检材

王晓琳的手机

1、[单选题] 王晓琳在这本电子书籍里最后对哪段文字加入了重点标示效果(Highlight)?(2分)

A. 卿有何妙计

B. 宝玉已是三杯过去了

C. 武松那日早饭罢

D. 就除他做个强马温罢

转70题，她手机里是三国演义

2、[多选题] 王晓琳的手机里有一个 'MTR Mobile '(港铁)的手机程序(Mobile App)。 检视其数据库(Database) 的数据，王晓琳于2022年10月11日 22:04 时将一行程加入书签(Bookmark)，这段行程的起点及终点站包括?(2分)

A. 尖沙咀

B. 红硒

C. 康城

D. 青衣

E. 沙田

找到这个手机程序

跳转到源文件，找到记录数据的E_Tourist.db

用navicat连接，发现时间是时间戳的形式

2022-10-11 22:04:00转换成时间戳是1665497040

2022-10-11 22:05:00转换成时间戳是1665497100

只有最后一行的1665497067是介于中间的，转换成时间戳是2022-10-11 22:04:27

 3、[填空题] 王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片?(以拉伯数字回答)(1分)

90

4、[单选题] 检视王晓琳的手机照片，她于2022年10月2日到过什么地方?(1分)

A. 大潭郊游径

B.城门畔塘径

C. 大榄麦理浩径

D.京士柏卫理径

李大辉手机

5、[单选题] 李大辉使用的是一台LG V10的手机，它的型号是什么?(1分)

A. LGH960C

B. LGH961N

C. LGH960H

D. LGH961C

E. LGH961D

 6、[单选题] 李大辉的手机最常搜索的类别(Category) 是什么?(1分)

A. 护肤品

B. 旅游

C. 运动

D. 学校

7、[填空题] 李大辉最近光顾了一家美丰快运公司，这快递件的单号是什么?(不要输入符号及空白，以阿拉伯数字回答)(1分）

4567567812344567

用弘连的耗时任务，按常见的快递单来看，条形码下面的是快递单号

8、[单选题] 李大辉收到的电邮中有一个钓鱼链结(Phishing Link)，这个链结的地址是什么?(1分)

A. 以上皆非

B. https://bit.ly/3yeARcO

C. https://bit.ly/5vM12

D. http://bit.ly/Hell0

根据选项搜索https://bit.ly/，可以找到一个邮件的数据库mailstore.litahui18@gmail.com.db

导出后查看可以在messages或者conversations中找到邮件内容

9、[单选题] 承上题，这封电邮是从哪个电邮地址寄出的?(1分)

A. 以上皆非

B. Cavinchow456@yahoo.com

C. 2020ChanChan@hotmail.com

D. 30624700Peter@proton.me

接上题图，查看fromAddress中的信息30624700Peter@proton.me

10、[单选题] 承上题，寄出这封电邮的IP地址是?(2分)

A. 以上皆非

B. 65.54.185.39

C. 10.13.105.56

D. 58.152.110.218

邮件是林浚熙寄出的，ip是182.188.122.58

11. [单选题] 李大辉手机有一个order.xlsx 的档案被加密了，解密钥匙是什么?(1分)

A. 2022 Nov!

B. 20221101

C. Nov2022!

D. P@sswOrd!

在图片中找到

打开order.xlsx，里面是789三个月的订单

12、[填空题]香港的街道上每一枝街灯都有编号。分析李大辉手机里的程序 'KMB 1933'， 哪一枝街灯在经度 (Latitude) 22.4160270000， 纬度 (Longitude) 114.2139450000 附近，它的编号是什 么?(以大㝍英及阿拉伯数字回答) (2分)

CE1453

KMB 1933是公交巴士app，在文件中搜索kmb找到相应的数据库

用navicat连接一下，然后筛选，找到对应的结果，那个subarea（分区）一列感觉不是灯柱编号，因为明显得到的这些数据对应着两个subarea编号，一个是2一个1，因此我认为名字上的CE1453才是灯柱编号

13、[填空题]李大辉的手机里有一张由该手机拍的照片，照片的元资料(Metadata) 曾被修改，这张照片的档案名是什么?(以大写英文及数字回答，不用回答副档名)(2分)

20220922_152622.jpg

在相机中跳转到资源文件，然后看创建时间和修改时间是否一致

14、[单选题] 分析李大辉的手机里的资料，他在哪一间公司工作?(2分)

A. 美丽好化妆品公司

B. 步步高贸易公司

C. 盛大国际有限公司

D. 永恒化妆品公司

文档中找到一个Staff card LI taihui.xlsx

林浚熙手机

15. [填空题] 林浚熙曾经以手机登录Google账户的验证码是什么?(不要输入符号，以大写英文及阿拉伯数字回答)(1分)

G-785186

验证码基本都是以短信的形式发送

16. [填空题] 林浚熙手机的' WhatsApp' 号码是什么?(号码)@s.whatsapp.net? (以阿拉伯数字回答)(1分)

85259308538

 17、[单选题] 通过分析林浚熙手机的照片，判断他在何处偷拍王晓琳?(1分)

A. 交通工具

B. 郊野公园

C. 游泳池

D. 酒店房间

标准酒店

18、[填空题] 林浚熙曾经删掉自己拍摄的照片，这张照片的档案名(Filename) 是什么?(不要输入，以大写英文及阿拉伯数字回答。如Cat10.jpg，需回答CAT10JPG)(2分)

IMG_0444.JPG

 19、[填空题] 王晓琳曾经发送一个PDF档案予林浚熙，这个档案的文件签名(File Signature) 是什么?(以十六进制数字答首八位数值，如FOA1C5E1)(2分)

D0CF11E0

还是那个staff A team.pdf，导出后用winhex查看文件头

文件签名，简单说就是某类文件的独特标识信息，用来识别这个文件是什么格式的，一般就是前8位，下面我列出了几个常见的文件头

20、[填空题] 承上题，该PDF档案内包含一位曾经被骗的受害者资料。分析林熙手机的数据，这位受害者的英文名字是什么?(不要输入符号及空白，以大写英文回答)(2分)

WONG SAI PING

在聊天记录中找到受害者资料，有四个，只有最后一个在档案中

21、[单选题] 分析林浚熙手机上的数据，他在2022年10月17日计划去什么地方?(2分)

A. 以上皆非

B. 荃湾站

C. 沙田站

D. 国际金融中心二期

直接搜索选项，搜到一个user.db，跳转到源文件，发现是AppDomain-com.waze.iphone下的数据库，waze是一个导航应用，导出

navicat连接一下，时间戳转换一下，直接出

22、[填空题] 承上题，上述行程的结束时间是?(如答案为 1:01:59，需回答 160159)(2分)

2022-10-17 12:45:00

23、[填空题] 于林浚熙的手机里，在2022年9月1日 或以后，哪一张照片是由其他手机拍摄的，而它的档案名是什么?(不要输入，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG)(2分)

IMG_0730.HEIC

在下一题的基础上，在Photos.sqlite中寻找信息

找朋友的手机实验了一下，无线投送airdrop，比如A向B无线投送一张照片

A可以看出是豆瓣上保存的

B接收到的

A投送的照片在本机上是IMG_4913.HEIC，时间是2022.11.17 22：55，B收到照片在本机上是IMG_4913.HEIC，时间也是2022.11.17 22：55，B本机拍摄的照片数字是连贯的，投送的这张照片和之前的照片名字上的数字不连贯， 并且时间不连续

按照这个规律，可以推测出Photos.sqlite数据库中最后一行的IMG_0730.HEIC就是其他手机拍摄、airdrop投送的

24、[单选题] 根据照片的数据库（Photos.sqlite) 资料，哪一个栏目标题(Column Header) 可以显示这张照片的接收方式?(2分)

A. ZIMPORTEDFROMSOURCEIDENTIFIER 

B. ZIMPORTEDBYBUNDLEIDENTIFIER

C. ZRECEIVEMETHODIDENTIFIER

D. ZRECEIVEDFROMIDENTIFIER 

在ZADDITIONALASSETATTRIBUTES表中的ZIMPORTEDBYBUNDLEIDENTIFIER一列可以找到照片的接收方式

com.apple.sharingd就是airdrop

25. [单选题] 承上题，这张照片通过什么方式接收?(2分)

A. 网页下载

B. 蓝牙传送

C. 以上皆非

D. WhatsApp软件传送

E. Signal软件传送

com.apple.sharingd显示是airdrop传送，使用的是蓝牙和wifi

26. [填空题] 承上题，这张照片原本的档案名(Original Filename) 是什么?不要输入，以大写英文及阿拉伯数字回答。如 Cat10,jpg，需回答CAT10JPG)(3分)

IMG_0730.HEIC

原始文件名可以在ZADDITIONALASSETATTRIBUTES表中的ZORIGINALFILENAME一列中找到

27、[填空题] 林浚熙手机里有一个备忘录(Notes)被上了锁，这个备忘录的名称是什么?(以大写英文及阿拉数字回答)(1分)

Halo或者今天

火眼直接看判断不出是哪个备忘录加密了

搜索note找到了两个数据库NoteStore.sqlite和notes.sqlite，notes.sqlite里面没有什么数据，在NoteStore.sqlite找到了相关的备忘录

NoteStore.sqlite的ZICCLOUDSYNCINGOBJECT表

ZISPASSWORDPROTECTED是受密码保护，只有标题为Halo和今天这两行的这一列的值为1，加密的应该是两个备忘录

DefaultFolder-LocalAccount默认文件夹-本地帐户

TrashFolder-LocalAccount垃圾箱文件夹-本地帐户

ZCRYPTOVERIFIER密码验证者

ZCRYPTOINITIALIZATIONVECTOR密码初始化向量

ZCRYPTOITERATIONCOUNT加密迭代计数

ZCRYPTOINITIALIZATIONVECTOR

password提示是2-7

28. [填空题] 承上题，上述备忘录的内容有一串数字，它是什么?(以阿拉伯数字回答)(2分)

没有解密成功

林浚熙计算机

29、[单选题] 林浚熙计算机(Computer) 的操作系统(Operating System) 版本是什么?(1分)

A. Windows 10 Pro for Workstations 21H2

B. Windows 10 Pro 22H2

C. Windows 10 Home 21H2

D. Windows 10 Pro for Workstations 21H1

仿真一下

30. [填空题] 林浚照计算机安装了什么品牌的虚拟专用网络 Virtual Private Network - VPN)软件?(不要输入符号及空白，以大写英文及阿拉伯数字回答)(1分)

ExpressVPN

31. [填空题] 承上题，分析该虚拟专用网络的日志(Log)，他在哪天安装该虚拟专用网络?(如答案为 2022-12-29，需回答 20221229)(2分)

2022-09-15

32. [填空题] 检视林浚照计算机的数据，他使用哪种加密货币(Cryptocurrency) 以支付虚拟专用网络软件?以大写英文回答该加密货币的全名，如 BITCOIN)(1分)

BITCOIN

在windows自带的图片浏览工具C:/Program Files(x86)/Windows Photos Viewer中可以找到支付相关的图片

33. [填空题] 林浚熙的加密货币钱包Cryptocurrency Wallet) 名称是什么?不要输入符号，以大写英文及阿拉伯数字回答2分)

TELLAWIEH
从上图中可以看出是通过electrum（轻量级比特币客户端）进行支付的，打开软件后直接可以看到钱包

34. [多选题] 林浚熙计算机里安装了哪个浏览器(Web Browser)? (1分)
A.Tor Browser

B.Opera

C.Google Chrome

D.Internet Explorer

E.Microsoft Edge

35. [单选题] 林浚熙使用浏览器 Google Chrome' 曾经浏览最多的是哪 个网站? (1分)

A. https://gmail.com

B. https://mail.google.com/mail

C. https://web.whatsapp.com

D. https://facebook.com

A3条

B89条

C133条

D0条

36. [多选题] 除了上述网站,林浚熙曾使用浏览器 Google Chrome' 搜索过什么?(1分)

A. javascript教学

B. php sql教学

C. tor教学

D. docker image教学

E. electrum教学

37. [单选题] 林浚照的计算机安装了一个通讯软件Signal'，它的用户部储存路径是什么?(1分)
A.\Users\HEI\AppData\Roaming\Signal

B.\Program Files(x86)\Signal

C.\Users\HEI\Desktop\Signal

D.\Users\user\Roaming\Signal

在消息中跳转到源文件

38. [填空题] 通讯软件Signal采用一个档案存放用户的聊天记录，它的档案名是什么?(不要输入，以大写英文及阿拉伯数字回答。如Cat10.jpg，需回答CAT10JPG)(2分)

db.sqlite

见上题图 小程序能直接跑，不知道我的取证大师咋了居然没跑出来

39. [填空题] 承上题，对上档案进行分析，林发熙的联络人当中有多少人安装了Siqnal?(以阿拉伯数字回答)(3分)

小程序能直接跑，不知道我的取证大师咋了居然没跑出来

40. [填空题] 林浚熙在“Signal' 曾经与某人对话，那人的手机号码是什么? 需要与区码(Area Code) 一同答(以阿拉伯数字3分)

85270711901

41. [多选题] 承上题，两人在Signal' 的对话中有些讯息(Message) 包含附件，这些讯息的 'ID'包括?(2分)

A.5b9650fe-3bb6-4182-9900-f56177003672

B.46a8762b-78ea-49aa-a6f5-b24975ec189f

C.9729bf92-ab9c-45f7-8147-66234296aele

D.47233ffe-1a73-4b3d-b97c-626246ec3129

小程序能直接跑，不知道我的取证大师咋了居然没跑出来

42. [填空题]承上题，林浚熙曾经于2022年10月20日转账（Transfer Money) 予上述对话人士,那次转账的参考编号是什么?(以大写英文及阿拉白数字回答)(3分)

N91088774024

43. [单选题] 林浚照的计算机安装了多少台虚拟机Virtual Machine - VM) ?(以阿拉伯数字回答)(1分)

A. 4

B. 1

C. 2

D. 3

44. [单选题] 林浚熙的计算机里的虚拟机(VM) 存放在什么路径?(1分)

A.\Users\Public\Documents \Virtual Machines

B.\Program Files\Virtual Machines

C.\User\HEN\Roaming\Virtual Machines\

D.\Users\HEN\Documents\Virtual Machines

45、[单选题] 虚拟机 (VM) 使用什么版本的作业系统(Operating System) ?(1分)

A. CentOs Linux 7.5.1804 (Core)

B. Ubuntu 22.04.1 LTS

C. CentOS Linux release 7.6.1810(Core)

D. Ubuntu 20.04.5 LTS

先把镜像导出，再进行分析仿真

46. [多选题] 虚拟机(VM) 中的文件传输服务器(FTP Server) 有哪些用户?(2分)

A. nobody

B. root

C. admin

D. man

E. ftpuser

vsftpd.chroot_list文件中的用户可以查看服务器内的所有文件夹及内容

47. [多选题] 虚拟机设置了什么网页服务器(Web Server)? (2分)

A. NGINX

B. LIGHTTPD

C. WORDPRESS

D. APACHE

E. IIS

48. [单选题] 网页服务器目录内有图片档案，而此档案的储存位置是?(1分)

A. /var/www/html/post/src

B. /var/www/html/post/css

C. /var/www/html/post/vendor

D. /var/www/post

xftp连接一下，根据选项找

49. [单选题] 分析网页服务器的网站数据，假网站的公司名称是什么?(1分)

A. Krick Global Logistics

B. Global Logistics

C. Krick Post Global Logistics

D. Krick Post

刚才找到的两张图片，其中一张就是

50. [单选题] 检视假网站首页的显示，AY806369745HK 代表什么?(1分)

A. 邮件号码

B. 邮件收费号码

C. 邮件序号

D. 邮件参考号码

网站首页，看index.php

docker启动起来，之后能打开钓鱼网站，也可以看到

51. [填空题] 分析假网站的资料，当受害人经假网站输入数据后，网站会产生一个档案，它的档案名是什么?(不要输入“，以大写英文及阿拉数字回答。如 Cat10.jpg，需回答CAT10JPG)(2分)

vu.txt

生成的vu.txt已经有数据了

52. [多选题] 分析假网站档案，process.php' 源码(Source Code),推测此档案的用途可能是?(2分)

A. 改变函数

B. 产生档案

C. 发出邮件

D. 更新数据库

产生档案见上题，同时会向chunhe11amm@gmail.com邮箱发出邮件

53. [填空题] 检视档案process.php' 源码, 林浚照的电邮密码是?(以大写英文回答)(1分)

rtatsceucpacocbdacs

见上题

54. [多选题] 分析档案process.php' 源码, 它不会收集哪些资料?(2分)

A. GPS位置

B. 信用卡号码

C. 短讯验证码

D. 电话号码

E. 电邮地址

查看vu.txt中已经收集到的信息，会收集受害人输入数据的时间、持卡人姓名、信用卡号码、信用卡安全码、信用卡到期时间、电邮地址、浏览器信息

55、[填空题]虚拟机 (VM) 安装了 Docker 程序，列出一个以'5'作为开端的 'Docker' 镜像 (Image) ID (以阿拉伯数字及大写英文回答) (2分) 

5d58c024174dd06df1c4d41d8d44b485e3080422374971005270588204ca3b82

56. [填空题]Docker 容器 (Container) 'mysql' 对外开放的通讯端口 (Port) 是? (3分)

43306

docker ps会发现两个容器都没有启动，需启动后再次查看

57. [填空题] Docker容器mysql，用户'root' 的密码是?(以大写英文及阿拉伯数字回答)(2分)

2wsx3edc

58. [填空题] Docker容器，mysql 里哪一个数据库储存了大量个人资料?(以大写英文回答)(3分)

krickpost

用navicat连接，密码填2wsx3edc

密码填123456

连接成功，发现krickpost是个人资料

59. [填空题]检视 Docker 容器'mysql' 内数据库里的资料，李大辉的出生日期是?(如答案为 2022-12-29，需答 20221229) (3分)

1985-02-14

60. [多选题] 通过取证调查结果进行分析(包括但不限于以上问题及情节)，林浚熙的行为涉及哪一种罪案?(5分)

A.传送儿童色情物品

B.抢劫

C.诈骗

D.勒索金钱

E.购买毒品

68、69题显示林浚熙向王晓琳勒索钱财，否则就不删除照片，上面都是林浚熙设置钓鱼网站，诈骗受害人的银行卡信息，然后盗刷银行卡

在signal中的聊天记录显示，他购买了毒品，后面有转账记录，“草”是大麻的黑话

王晓琳手机

61. [填空题] 王晓琳手机的IMEI号是什么?(以阿拉伯数字回答)(1分)

352978115584444

62. [多选题] 王晓琳的手机安装了什么即时通讯软件(lnstant Messaging Apps)?(1分)

A. Signal

B. 微信(WeChat)

C. QQ

D. WhatsApp

E. LINE

在应用列表中找，把应用分类改为即时通信

63. [单选题] 王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 PDF档案?(以时区UTC+8回答)(1分)

A.2022-09-30 17:39:53

B.2022-10-01 17:39:53

C.2022-09-30 18:30:28

D.2022-10-01 16:30:22

文件传输记录有两个

跳转回源文件后

感觉这个文件像是论文，不是档案

另一个传输的文件staff A team.pdf

回到原始位置后，发现文件名实际存储为ac88ac7b-4eac-482c-b534-496fab6067e5.pdf，导出后打不开

聊天记录里写这个是excel

用winhex打开，文件头是D0CF11E0，xls文件

后缀名改为xls，能够正常打开

64. [填空题] 承上题，这个 PDF 档案的MD5哈希值Hash Value) 是什么?(以大写英文及阿拉伯数字回答)(1分)

AE0D6735BBE45B0B8F1AB7838623D9C8

计算一下哈希

65. [单选题] 王晓琳将这个“PDF 档案发给哪一个用户,而该用户的手机号码是什么?(1分)

A.85297663607

B.85259308538

C.85269707307

D.85246427813

将档案发给了85259308538@s.whatsapp.net

在联系人中过滤一下，得到手机号85259308538

66. [多选题] 王晓琳发出这个，PDF 档案的原因是什么?(1分)

A.寻求协助

B.分享档案内容

C.错误发出

D.无法开启

67. [单选题] 承上题，分析王晓琳与上述用户的对话，他们的关系是什么?(1分)

A. 客户

B. 师生

C. 家人

D. 同事

68.[单选题] 王晓琳于何时要求上述用户删除 张照片?(1分)

A. 2022-10-06

B. 2022-09-28

C. 2022-09-30

D. 2022-10-03

69.[单选题] 承上题，该用户向王晓琳提出什么要求以删除这张照片?(1分)

A. 金钱

B. 毒品

C. 性服务

D. 加密货币

70.[单选题] 王晓琳的手机里有什么电子书籍(Electronic Book) ?(2分)

A. 三国演义

B. 红楼梦

C. 水浒传

D. 西游记

在应用列表中搜索book，可以找到iBooks的读书软件

在文件中找到这个应用，有一个文件夹BKSnapshotManager快照管理器，是从中找到一张截图，是三国演义的