21美亚个人赛，工具用火眼和取证大师

个人赛文件打开之后，

 第一个文件夹有一个电脑的镜像，zip.001我解压之后，生成了Individual_Container。然后用Vera Crypt解密。

个人赛解密：HfsCk]<eUqc5Q{(DG$ugiGlt8ezGdaZ>!pQC-H\5BAc^gBo/^qq)/i21ufiN@H"Y

2021年10月某日早上，本市一个名为“大路建设”的高速公路工地主管发现办公室的计算机被加密并无法开启，其后收到了勒索通知。考虑到高速公路的基建安全，主管决定报警。警方调查人员到达现场取证，发现办公室内有三部个人计算机，通过一个老款路由器接入互联网。

经调查相关电子证据后，警方怀疑一位本地男子–阿力士与本案有关，并将他拘捕。现在你被委派处理这起案件,请由以下资料分析阿力士在本案中的违法犯罪行为, 并还原事件经过。

资料:

编号	详情	档案路径
1.	阿力士的背景资料	\Meiya Cup 2021\调查报告\阿力士\阿力士背景资料.PDF
哈希值: (MD5)	4FBE1B4EFC066A049FBD59A1A647F387

编号	详情	档案路径
2.	阿力士的調查報告	\Meiya Cup 2021\调查报告\阿力士\阿力士調查報告.PDF
哈希值: (MD5)	1958105AEFBDBADD844BDE64C21B7A0E

编号	详情	档案路径
3.	警方现场勘查的调查报告	\Meiya Cup 2021\调查报告\警方现场勘查的调查报告\现场勘查的调查报告.PDF
哈希值: (MD5)	2E39CBF6C77B0724D9F8984E4D6857DE

编号	详情	档案路径
4.	高速公路工地办公室路由器的记录	\Meiya Cup 2021\image\VTM\Router Log
哈希值: (MD5)	A2DB858CEB545E72913090B6B3300F4B

编号	详情	档案路径
5.	工地主管办公室计算机的电子数据	\Meiya Cup 2021\image\VTM\VTM_computer
哈希值: (MD5)	F07BEBC31F50E6DEB9E02D93ECE5419D

编号	详情	档案路径
6.	工地主管移动电话的电子数据	\Meiya Cup 2021\image\VTM\VTM_iphone6
哈希值: (MD5)	D053FD7BC38792F232F28F82A23A0416

编号	详情	档案路径
7.	阿力士计算机的电子数据	\Meiya Cup 2021\image\Alex\Alex_Windows_Computer
哈希值: (MD5)	4F856BFEA562D394FEEBCFB0E405CB59

编号	详情	档案路径
8.	阿力士FTP 服务器的电子数据	\Meiya Cup 2021\image\Alex\FTP
哈希值: (MD5)	3BEA78B02A26C01EEB8EF328F4A742B6

编号	详情	档案路径
9.	阿力士移动电话(1)的电子数据	\Meiya Cup 2021\image\Alex\Alex iPHone 12 pro
哈希值: (MD5)	1F0400511A9ACCCFB607D739339006DA

编号	详情	档案路径
10.	阿力士移动电话(2)的电子数据	\Meiya Cup 2021\image\Alex\Alex iPhone XR
哈希值: (MD5)	747C1AD0AD974AD665AD334A718ECE11

   1. [单选题] 工地主管电话的微信账号是什么? (1分)

    A. Kasier751111

    B. Kasierlee751111

    C. Kasierlee

    D. 以上皆非

微信的话，打开主管的手机看看，是个压缩文件，解压之后打开

里面是个软件，就打开看看 （记得更改一下语言）

但好像找不到微信，但其实做过美亚的应该有感觉，在香港这边用WhatsApp挺多的，就只能猜是这个了

2. [填空题] 工地主管的隔空投送装置编号是什么? (请以英文全大写及阿拉伯数字回答) (1分)

780F624DF099

网上搜一下，是airdrop。

3. [单选题] 工地主管电话的哪一个应用程序有关于于经纬度24.490474, 118.110220的纪录? (2分)

A. 照片

B. WhatsApp

C. Apple Maps

D. 以上皆非

位置，搜索一下

4. [多选题] 工地主管的手提电话中下列哪些数据正确? (1分)

A. iOS 版本为 12.5.4

B. IMEI 为 454120637213361

C. Apple ID 为 kaiserlee3660@gmail.com

D. 手机曾经安装dropbox 应用程序

前三个选项可以直接看出来

第四个搜索搜不到 

5. [填空题] 工地主管的电话最常使用的浏览器是什么? (请以英文全大写回答) (1分)

看历史记录，基本上都是safari 

6. [单选题] 工地主管的电话连接过哪一个WiFi? (1分)

A. Kaiser Lee

B. Kaiser

C. Free Wifi

D. Kaiser Home

7. [多选题] 工地主管与Alex Chan的Whatsapp 对话中，曾提及以下哪个TeamViewer的用户号码? (3分)

A. 435334881

B. 453851521

C. 435475200

D. 456874155

E. 435270306

这三个，分别打开照片看看。 

 

8. [填空题] 工地主管的WhatsApp中有多少个黑名单的记录? (请以阿拉伯数字回答) (2分)

0

看联系人不能看出黑名单的，去数据库里看看

这个软件不是很熟悉，我转不到数据库文件

 但是在主页这里的数据文件里面有数据库。

然后就搜索关于WhatsApp的。

感觉这个里面可能会有，然后里面有个black什么的，这个库是空的，所以0个。 

9. [多选题] 以下哪个蓝牙装置的Uuid 曾连接过工地主管的手机? (2分)

A. 7F1FE70D-2B15-C245-853D-4196F13CC446

B. 1B057C1D-83D3-99A6-D2B1-EC54846C7CEE

C. 134ACD1-83D3-99A6-D2B1-EC54846C7CEE

D. 7D1BE70D-2C16-D246-851D-491613DD776

看下蓝牙设备的历史连接，但没有

那就去源文件里面看看

有两个

   10. [填空题] 工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

    36EBC180-95F7-41FF-BE5B-4E56E7AF48B1

 检材换成主管计算机了，取证和火眼都跑一下

说一下，这里的镜像不要选择Vera crypt解密之后，里找到的，要选下的时候就已经有的。

选这个里面的

右键，BitLocker解密，

  11. [填空题] 工地主管计算机內的FTP程序FileZilla的用户名称是甚么? (请以英文全大写及阿拉伯数字回答) (3分)

ALEX

取证大师里面

 12. [填空题] 工地主管的Team Viewer ID 是甚么? (请以英文全大写及阿拉伯数字回答) (2分)

435270306

  13. [填空题] 工地主管的Team Viewer与哪一个ID连接? (请以英文全大写及阿拉伯数字回答) (3分)

420190768 

 

 14. [多选题] 工地主管曾用计算机浏览器作搜寻，以下哪一个关键词他曾经搜寻? (3分)

    A. tiktok

    B. web whatsapp

    C. facebook

    D. lihkg

    E. hkgolden

    F. web wechat

这题直接搜就可以了，注意一下D选项，D在alex的电脑中是有搜索记录的，但在主管的电脑中是没有的。
   15. [填空题] 工地主管计算机的Windows系统的产品标识符是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

系统标识符，各位大佬的解释都是说就是产品ID。

  16. [填空题] 工地主管曾用计算机使用WhatsApp，他曾和以下哪个电话号码沟通? (请以阿拉伯数字回答) (2分)

这题不会，看了数据库，没有看到什么

   17. [多选题] 工地主管计算机的用户名称是甚么? 其用户标识符是甚么? (2分)

    A. 用户名称: PC1

    B. 用户名称: PC2

    C. 用户名称: PC3

    D. 用户标识符: 0x000003E7

    E. 用户标识符: 0x000003E8

    F. 用户标识符: 0x000003E9

用户名称是pc1

 看到的用户标识是S-1-5-21-1376663006-2626393931-4032423365-1001

 看选项开头是ox，十六进制，转换一下 

18. [单选题] 工地主管计算机的预设浏览器是甚么? (2分)

    A. Chrome

    B. Firefox

    C. Safari

    D. 以上皆否

这个的话，仿真一下主管的计算机，然后在桌面新建一个txt文件，然后另存为，把文件的格式改成html，然后看新文件的图标。

    19. [填空题] 工地主管计算机的其中一个分区被人加密，分区内的电子表格Material3.xlsx的哈希值(SHA1)是甚么? (请以英文全大写及阿拉伯数字回答) (1分)

  40418B21F6C3E4AF306D5EF3B80A776DA72FC1D2

这个从第十题得到是BitLocker加密的，要解密就要找到密码，看modest——ybw的博客，里面说美亚有个功能，就是可以直接解析，在没把加密分区解出来的时候就可以通过爆搜找到，但我好像不行。

密匙其实在FTP里有的（看来以后要把每个检材都先跑一边了）

跑ftp的时间记得勾这个

 

 然后试试看

联系前面的恢复密匙应该是第三个，解出来了，然后爆搜

   20. [多选题] 路由器的记录中显示以下有哪些IP是公司的电子器材? (3分)

    A. 192.168.40.128

    B. 192.168.40.129

    C. 192.168.40.130

    D. 192.168.40.131

    E. 192.168.40.132
 

这里要看路由器记录了，用notepad++打开，清爽一点。

先看现场勘察报告，路由器的IP是192.168.40.124，那么只要前面是192.168.40的都连着这个路由器的。就直接根据选项搜就可以了。

  21. [填空题] 路由器的记录中显示公司的计算机下载了FTP软件，该下载网站的IP是什麼?(请以亚拉伯数字作答，省去“.”符号) (3分)

491212147

根据第十一题，看到程序是FileZilla，搜一下 

 看到网址是49.12.121.47

   22. [多选题] 路由器的记录中显示公司计算机的资料用FTP软件传到了甚么IP地址及利用端口? (2分)

    A. IP地址: 2*.2*.2*.114

    B. IP地址: 8*.8*.1*.20

    C. IP地址: 1*.1*.0*.13

    D. 端口: 21

    E. 端口: 80

端口比较容易，网上搜一下，然后去日志里面， 搜/21，因为端口在ip后面，并且会加/，这样子减少一点搜出来的东西

搜出来之后

可以看到ip是218.255.242.114

其实在取证大师里面可以直接看

 23. [多选题] 路由器的记录中显示以下哪些关键词是表示公司计算机与外界网络联机? (2分)

    A. destination

    B. ICMP echo request

    C. inside

    D. outside

    E. 以上皆是

destination是之前下载软件那题看到的，

outside也有

ICMP echo request我不知道，搜一下，log里面是有的。其实搜的到我就可能会选。

但是，有人说找规律感觉两分还是选两个。

 24. [单选题] 路由器的记录中显示哪一个IP曾以teamviewer 连接公司计算机? (1分)

    A. 110.152.0.14

    B. 52.152.117.114

    C. 180.152.0.13

    D. 83.26.80.131

看Alex的勘察报告，他的IP是 

 但选项里没有，就还是要去翻路由器的记录。

就爆搜看看

A选项

这个是from公司的计算机到这个ip，是公司主动去连的。 所以应该不选

B选项

这个可以选。

C选项

这个和A选项一样，也是公司主动去连的。

 D选项

很奇怪，这里又说D选项的IP是内部的。

看了其他人的博客，其实可以去网上搜teamviewer的端口，然后搜端口。

 

 所以选B。 

   25. [多选题] 路由器的记录中显示以下哪一个有可能是以teamviewer 遥控公司计算机的时间? (3分)

    A. 09:31, 09:37

    B. 09:33, 09:39

    C. 10:29, 10:36

    D. 10:40

    E. 10:42

就根据上题的IP然后搜，就可以看到时间

  26. [填空题] 路由器的记录中显示有多少电子器材有可能曾被入侵? (请以阿拉伯数字作答) (2分)

3

应该是三个，就还是搜那个端口，看那一整段讲的是什么意思，

192.168.40.129

192.168.40.130

192.168.40.128

其实也可以猜一下，看工地主管和Alex的聊天记录，主管把自己的teamviewerID和两个同时的ID告诉了Alex,所以应该是三个。

27. [多选题] 阿力士iPhone 12 pro电话 于2021年10月21日，以下哪一张相片可能曾被分享 (UTC+8)? (3分)

    A. IMG_0011.HEIC

    B. IMG_0010.HEIC

    C. IMG_0009.HEIC

    D. IMG_0008.HEIC

    E. IMG_0007.HEIC

换检材。还是那个软件。

这题我不是很懂，

查了一下被分享过的图片会生成不带元数据的缩略图

过滤找一下  不带有元数据的图片

A选项的照片和这张长的一样，但这题是多选题，我就觉得很奇怪。

 28. [单选题] 阿力士iPhone 12 pro电话中哪一张相片可能曾被修改拍摄时间? (2分)

    A. IMG_0011.HEIC

    B. IMG_0010.HEIC

    C. IMG_0009.HEIC

    D. IMG_0008.HEIC

不清楚，但被分享了，时间会修改的

  29. [填空题] 阿力士iPhone 12 pro 的GSM媒体访问控制地址是什么? (请以英文全大写及阿拉伯数字回答，不用输入":") (2分)

E06D17382420 

就是mac地址，但又没有直接的mac地址告诉你，就猜是下面这个。

  30. [单选题] 阿力士的iphone 12 pro以什么屏幕密码保护? (1分)

    A. 6位阿拉伯数字密码

    B. 4位阿拉伯数字密码

    C. 图形密码 

    D. 以上皆非

说实话这个题很难很难，网上解析只有奇安信老大做出来了，

手工查找pslist文件，找到manifest.plist文件中的WasPasscode的值为false，表示没有设置密码锁。

    31. [多选题] 阿力士iphone 12 pro内以下哪一张相片是实况相片(live Photos)? (2分)

    A. IMG_0011.HEIC

    B. IMG_0010.HEIC

    C. IMG_0012.HEIC

    D. IMG_0009.HEIC

 所以实况照片其实是算是视频的

除了C好像都有 

  32. [单选题] 以下哪一个是阿力士iphone 12 pro可能曾经连接的装置名称? (2分)

    A. Chris’s MacBook Pro

    B. Chirs’s iPhone

    C. Chirs’s Computer

    D. Chirs’s Linux

这个软件好像不能直接把连接过的设备给分析出来，就爆搜看看

就A搜的到 

33. [多选题] 接上题，记录连接时间是什么时候(UTC+8)? (2分)

    A. 2021年10月21日 00:58:01

    B. 2021年10月21日 08:58:01

    C. 2021年10月21日 00:58:29

    D. 2021年10月21日 08:58:29

这里有时间，但搞不懂为什么是多选题

  34. [多选题] 阿力士iPhone XR中在软件WhatsApp中工地主管与阿力士的对话中曾提到：[佢叫我俾钱喎，BTC係唔係呢个啊？]。在进行电子数据取证分析后，以下哪一个是有可能关于此对话的正确描述？ (2分)

    A. 此对话被Kariser Lee删除

    B. 此对话的附件为一张图片文件

    C. 此对话被Alex Chan 删除

    D. 此对话是引用Alex Chan 回复

新检材

我在工地主管的手机里也看到了这个对话，我有点分不清是谁删的，但B是可以确定的

  35. [填空题] 阿力士iPhone XR的WhatsApp对话中，阿力士曾要求工地主管支付多少个BTC? (请以阿拉伯数字回答) (1分) 

10

这个看对话

   36. [多选题] 阿力士iPhone XR中 “IMG_0056.HEIC”的图像与"5005.JPG"(MD5: 96c48152249536d14eaa80086c92fcb9)” 看似为同一张相片，在电子数据取证分析下，以下哪样描述是正确? (2分)

    A. 储存在不同的.db 里

    B. 有不同哈希值

    C. IMG_0056.HEIC 为原图, 5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9)为缩略图

    D. IMG_0056.HEIC 曾被开启过，所以在IOS系统中创建了缩略图5005.JPG(MD5:

A选项，我感觉都是照片，应该是在同一个数据库的

B选项，我感觉肯定不一样，文件的大小都不一样

C选项，两张照片看起来是一样的，然后 IMG_0056.HEIC的文件大小要大一点，所以它应该是原               图

D选项，我感觉挺对的

  37. [多选题] 阿力士iPhone XR中相片檔IMG_0056.HEIC提供了什么电子数据取证的信息? (3分)

    A. 此相片是由隔空投送 (Airdrop)得来

    B. 此相片由iPhone XR拍摄

    C. 此相片的拍摄时间为2021-10-21 17:45:48(UTC+8)

    D. 此相片的拍摄时间为2021-09-08 17:35:00(UTC+8)

B错的，不是XR拍的，A不确定，但是多选题

  38. [单选题] 阿力士iPhone XR中阿力士的电邮账户Alexc19851016@gmail.com的密码有可能是什么? (1分)

    A. Ac19851016

    B. Alex1985!

    C. Aa475869!

    D. 以上皆非

爆搜Alexc19851016@gmail.com，然后搜到了

点进去看

39. [填空题] 阿力士iPhone XR曾经连接Wifi “Alex Home”的密码是什么? (请以英文全大写及阿拉伯数字回答) (1分)

直接搜一下

  40. [单选题] 阿力士iPhone XR经iCloud备份的最后时间是什么?(UTC+8)? (1分)

    A. 2021-10-21 17:51:38(UTC+8)

    B. 2021-10-21 18:02:13 + (UTC+8)

    C. 2021-10-21 09:51:38(UTC+8)

    D. 2021-10-21 10:02:13 + (UTC+8)

注意下时区

  41. [填空题] 阿力士iPhone XR中的iBoot版本是iBoot-__________? (请以阿拉伯数字回答，不用轮入“.”) (1分

找不到，按照其他博主的方法是

没有技巧，全是感（到痛苦的）情，纯翻。趁此机会积累一下：

iboot苹果路径：Lockdown srvice/phoneInfo.xml

    42. [多选题] 阿力士iPhone XR中的WhatsApp群组『团购-新鲜猪肉牛肉-东涌群组-9/30』有以下哪一个成员? (2分)

    A. 85260617332@s.whatsapp.net

    B. 85260452579@s.whatsapp.net

    C. 85248791565@s.whatsapp.net

    D. 85264630956@s.whatsapp.net

应该是只有这个群聊了

43. [单选题] 阿力士的计算机显示曾于hongkongcard.com 的论坛登记成为会员，以下哪个是他的帐户密码? (3分)

    A. Aa475869!

    B. Bb475869!

    C. Cd475869!

    D. 以上皆非

 44. [单选题] 阿力士的计算机显示阿力士曾用什么方法进入受害者(主管)的计算机? (1分)

    A. 远程操控

    B. 特洛伊木马程序

    C. 勒索软件

    D. 恶意软件

根据之前的分析，应该是通过teamViewer，

 45. [单选题] 续上题，阿力士最后一次进入受害者(主管)计算机的时间是什么? (2分)

    A. 于2021年10月18日 10时36分

    B. 于2021年10月18日18时36分

    C. 于2021年10月18日6时53分

    D. 于2021年10月18日18时42分

 46. [填空题] 阿力士的计算机显示他曾经使用FTP程序，FTP的主机IP地址是什麼?(请以亚拉伯数字作答，省去“.”符号) (2分)

 

47. [填空题] 阿力士的计算机显示于2021年9月至2021年11月期间，计算机曾被登入过多少次? (请以阿拉伯数字回答) (1分)

但我在登录记录里面数的是28次

   48. [填空题] 阿力士计算机所安装的Microsoft Office 2007 是以下哪一个版本? (请以亚拉伯数字作答，省去“.”符号) (2分)

仿真一下

进入控制面板

    49. [填空题] 以下是阿力士计算机中的Basic data partition (EFI 3) 的Volume ID? (请以英文全大写及阿拉伯数字回答) (2分)

看到什么volum就要知道和分区、底层等相关了，要用DiskGenius，或者xways

   50. [填空题] 阿力士计算机的Window product ID是什么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

    51. [单选题] 阿力士计算机曾经下载一张猴子的图片，以下哪一项描述正确? (1分)

    A. 该图片是由 “https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSgn6ABvcqTfFPjcIbjc9hdx1H4PtQsAuVyTQ&usqp=CAU”下载的

    B. 该图片经过加密

    C. 该图片于2021-09-30 下载

    D. 该图片是由GIF档转换成PNG檔

A比较好得出，就去翻浏览器的下载记录，然后就看到了
  52. [填空题] 阿力士计算机所安装的Microsoft Office 2007 的密钥是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

 V77WQRPVP67MTPGWH3G9D44MJ

 53. [单选题] 阿力士FTP 服务器用户使用命令行安装了甚么程序? (1分)

    A. Docker

    B. Chrome

    C. FileZilla

    D. TeamViewer

开始服务器了，

所以安装了这个

 54. [多选题] 以下哪些档案于阿力士FTP 服务器曾重复出现? (3分)

    A. Material1

    B. Material2

    C. Material3

    D. Staff1

    E. Staff2

    F. Staff3

我是直接搜的，ABC都是只有一个，而DEF我都可以搜到两个。

   55. [填空题] 在阿力士FTP服务器中，文件夹___________曾被用户变更了访问权限(请以英文全大写及阿拉伯数字回答) (2分)

Dangerous_Project

我格式就不改了
 

还是看命令记录吧

火眼里面就找不到，美亚还是得用取证大师

 56. [填空题] 在阿力士FTP 服务器建设后，有______个额外用户被加入 (请以阿拉伯数字回答) (2分)

1

除了root还有一个

  57. [单选题] 根据阿力士FTP服务器设定显示，此服务器是以_____方式连接网络，且是一个_______网络状态 (1分)

    A. 无线 , 公开

    B. 无线 , 私人

    C. 有线 , 公开

    D. 有线 , 私人

这题不清楚，但猜的话我觉得应该是有线吧，公不公开就不清楚了

看了别人的之后，取证大师里面可以看到

应该是有线的，然后跳转到源文件 

 应该是隐私的

  58. [填空题] 阿力士FTP 服务器设定最多使用者数目是_____ (请以阿拉伯数字回答) (2分)

要看ftp的配置文件，所以找“.conf”文件

（我这题其实不会，看来其他人的博客，就说要搜ftpd.conf， 

 

59.[填空题]阿力士FTP服务器使用Docker安装了一个FTP程序为____。(例如 space docker/1.1，请输入spacedocker/1.1，不要输入空格)(2分

stilliard/pure-ftpd
 

所以找pull的命令

 

 

60.[多选题] 阿力士FTP 服务器曾使用过甚么版本的Linux内核?(2分)

A. linux-headers-5.11.0-16

B.linux-headers-5.11.0-17

C.linux-headers-5.11.0-36

D.linux-headers-5.11.0-37

E.linux-headers-5.11.0-40

 

 我这个命令查的是安装过的内核，和题目的使用过还是有区别

乃正哥的命令应该是对的(查出来和我差不多)

 

  61. [多选题] 阿力士FTP 服务器的磁盘分区，有以下哪一种文件系统? (2分)

    A. FAT16

    B. FAT32 

    C. ExFAT

    D. HFS+

    E. Ext4

 62. [填空题] 阿力士FTP服务器用户输入了指令_____________去检查现存的Docker容器 (例如 netstat lntp，请输入 netstatlntp，不要输入空格) (3分)

docker container ps -a

 所以后面要加-a

查找历史命令