个人赛加密容器解密密钥
CZDGm#&2_Ns$7wSMn%ZGr7xntcHS7d5uFta#Up9544jx_cvP$uFM7?pTDa*jN&QyFDLS8U%hx$fXN^BY$Xsj+3@F^y#4QFXb*Uq@wLmkCE7?&Yp+nX6s@hKrzpVE%v?&做完之后还是能发现自己的问题的,数据库取证这块有着很大的问题,sql语句不会写,都已经标出来了,再沉淀沉淀再过来做
王晓琳手机镜像导入的注意问题
不要直接将压缩包导入火眼,这会导致自动取证失效。先解压,再导入取证
1.[单选题]王晓琳在这本电子书藉里最后对哪段文字加入了重点标示效果 (Highlight)? (2分)
A.卿有何妙计
B. 宝玉已是三杯过去了
C. 武松那日早饭罢
D. 就除他做个强马温罢
卿有何妙计和70题有关,既然是《三国演义》,答案显然
不想找了,直接搜索文件没有爆出来,我觉得应该就在数据库里面
2.[多选题]王晓琳的手机里有一个 'MTR Mobile (港铁)' 的手机程序 (Mobile App)。检视其数据库 (Database) 的数据,王晓琳于2022年10月11日 22:04 时将一行程加入书签 (Bookmark),这段行程的起点及终点站包括? (2分)
A.尖沙咀
B. 红硒
C. 康城
D. 青衣
E. 沙田
青衣
沙田
先搜索“MTR”,找到源文件位置,查找源文件中的.db文件
2022年10月11日 22:04修改完成后的文件就一个查看,看到有“bookmark”
这两步就是利用时间戳转换去推出是哪条字段
3.[填空题]王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片? (以阿拉伯数字回答) (1分)
90
4.[单选题]检视王晓琳的手机照片,她于2022年10月2日到过什么地方? (1分)
A.大潭郊游径
B.城门畔塘径
C.大榄麦理浩径
D.京士柏卫理径城门畔塘径
城门畔塘径
检查图库,发现这张照片
5.[单选题]李大辉使用的是一台LG V10的手机,它的型号是什么? (1分)
A.LGH960C
B. LGH961N
C. LGH960H
D. LGH961C
E.LGH961D
LGH961N
6.[单选题]李大辉的手机最常搜索的类别 (Category) 是什么? (1分)
A.护肤品
B. 旅游
C. 运动
D. 学校
护肤品
7.[填空题]李大辉最近光顾了一家美丰快运公司,这快递件的单号是什么? (不要输入符号及空白,以阿拉伯数字回答) (1分)
4567567812344567
检索火眼中的图库,没有找到,去检索应用列表
在这里找到了,google 的一个缓存文件里面,这题确实不好想
8.[单选题]李大辉收到的电邮中有一个钓鱼链结 (Phishing Link),这个链结的地址是什么? (1分)
A.以上皆非
B. https://bit.ly/3yeARcO
C. https://bit.ly/5vM12
D. http://bit.ly/Hell0
https://bit.ly/3yeARcO
先配置过滤搜索条件
导出查看数据库,检索内容
9.[单选题]承上题,这封电邮是从哪个电邮地址寄出的? (1分)
A.2020ChanChan@hotmail.com
B.以上皆非
C.Cavinchow456@yahoo.com
D.30624700Peter@proton.me
30624700Peter@proton.me
根据第九题,conservation对应到这里id字段3
10.[单选题]承上题,寄出这封电邮的IP地址是? (2分)
A. 以上皆非
B. 65.54.185.39
C. 10.13.105.56
D. 58.152.110.218
检视数据库,没找到知识点:安卓GMAIL不会记录邮件ip
11.[单选题]李大辉手机有一个 'order.xlsx' 的档案被加密了,解密钥匙是什么? (1分)
A.2022 Nov!
B. 20221101
C. Nov2022!
D. P@sswOrd!
Nov2022!
之前就已经看到了
检索图库的时候看到的但是比赛的时候选择题没必要这么做,直接代入选项即可,问题是wp就不好写了
12.[填空题]香港的街道上每一枝街灯都有编号。分析李大辉手机里的程序 'KMB 1933',哪一枝街灯在经度 (Latitude) 22.4160270000,纬度 (Longitude) 114.2139450000 附近,它的编号是什么?(以大㝍英及阿拉伯数字回答) (2分)
SC02S11000
从文件夹里找数据库
数据库导出连接查看
利用navicat搜索,这里找到最后选择字段哪个是路灯编号还是比较具有迷惑性的,但想想IBSN码等,要字母和数字,最后做出选择
13.[填空题]李大辉的手机里有一张由该手机拍的照片,照片的元资料 (Metadata) 曾被修改,这张照片的档案名是什么?(以大写英文及数字回答,不用回答副档名) (2分)
20220922_152622.jpg
找到文件夹,检索,创建时间和修改时间要不一样,就这一张
一开始,我是想用取证大师去找这些可疑文件,但是取证大师只能搜索电脑的可疑文件,这里是手机应该转换思路,从检索创建时间和修改时间入手
14.[单选题]分析李大辉的手机里的资料,他在哪一间公司工作? (2分)
A.盛大国际有限公司
B.美丽好化妆品公司
C.步步高贸易公司
D.永恒化妆品公司
美丽好化妆品公司
先检视文件信息,这个一定要有方向,我的第一感觉就告诉我,去找word,excel,ppt,pdf这些文件
15.[填空题]林浚熙曾经以手机登录Google账户的验证码是什么? (不要输入符号,以大写英文及阿拉伯数字回答) (1分)
G785186
思路应该就是去看短信,毕竟是验证码嘛
16.[填空题]林浚熙手机的 'WhatsApp' 号码是什么? ( 号码 ) @s.whatsapp.net? (以阿拉伯数字回答) (1分)
85259308538
17.[单选题]通过分析林浚熙手机的照片,判断他在何处偷拍王晓琳? (1分)
A.交通工具
B. 郊野公园
C. 游泳池
D. 酒店房间
酒店房间
去WhatsApp上查看和王晓琳的聊天记录
18.[填空题]林浚熙曾经删掉自己拍摄的照片,这张照片的档案名 (Filename) 是什么? (不要输入 '.',以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (2分)
IMG0444JPG
找到图库删除的文件
19.[填空题]王晓琳曾经发送一个PDF档案予林浚熙,这个档案的文件签名 (File Signature) 是什么? (以十六进制数字回答首八位数值,如F0A1C5E1) (2分)
D0CF11E0
先找到文件夹位置
去源文件对应的位置找到导出文件签名就是文件头的意思文件损坏,不能正常打开,使用010或者winhex查看十六进制数据
收获:文件签名就是文件头
20.[填空题]承上题,该PDF档案内包含一位曾经被骗的受害者资料。分析林浚熙手机的数据,这位受害者的英文名字是什么? (不要输入符号及空白,以大写英文回答) (2分)
WONG SAI PING
在这里看到是excel的格式,尝试修改文件后缀再打开
成功进入
cvv和信用卡有关,这些应该是受害者的信息对应到excel表格里寻找那位受害者
21.[单选题]分析林浚熙手机上的数据,他在2022年10月17日计划去什么地方? (2分)
A.沙田站
B.以上皆非
C.荃湾站
D.国际金融中心二期沙田站
沙田站这题我第一想法是去看聊天记录,看他有没有和别人约了什么地方但是实际的思路是去看waze这个软件,是个导航软件,没用过苹果,这个软件也是第一次知道
去弘连里面找到这个包,搜索 .db 文件
就三个,直接导出查看手翻
做了时间戳转换,确定是第二个
22.[填空题]承上题,上述行程的结束时间是? (如答案为 16:01:59,需回答 160159) (2分)
124500
转换第二行end_time的时间戳
23.***[填空题]于林浚熙的手机里,在2022年9月1日或以后,哪一张照片是由其他手机拍摄的,而它的档案名是什么?(不要输入 '.',以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (2分)
IMG0446HEIC这题不会,埋个坑,以后会了,能看懂sql语句再过来
根据24题找到的字段来搜索,发现源文件名不一致,说明这个文件是其他手机拍摄的
根据24题找到的字段来搜索,发现源文件名不一致,说明这个文件是其他手机拍摄的
24. ***[单选题]根据照片的数据库 (Photos.sqlite) 资料,哪一个栏目标题 (Column Header) 可以显示这张照片的接收方式? (2分)
A. ZIMPORTEDFROMSOURCEIDENTIFIER
B. ZIMPORTEDBYBUNDLEIDENTIFIER
C. ZRECEIVEMETHODIDENTIFIER
D. ZRECEIVEDFROMIDENTIFIER
25. ***[单选题]承上题,这张照片通过什么方式接收? (2分)
A. WhatsApp软件传送
B. 以上皆非
C. 蓝牙传送
D. Signal软件传送
E. 网页下载
26. ***[填空题]承上题,这张照片原本的档案名 (Original Filename) 是什么? (不要输入 '.',以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (3分)27. ***[填空题]林浚熙手机里有一个备忘录 (Notes) 被上了锁,这个备忘录的名称是什么? (以大写英文及阿拉伯数字回答) (1分)
27.***林浚熙手机里有一个备忘录 (Notes) 被上了锁,这个备忘录的名称是什么? (以大写英文及阿拉伯数字回答) (1分)
28.***[填空题]承上题,上述备忘录的内容有一串数字,它是什么? (以阿拉伯数字回答) (2分)
这六题待我再沉淀沉淀再过来做
29.[单选题]林浚熙计算机 (Computer) 的操作系统 (Operating System) 版本是什么? (1分)
A.Windows 10 Pro 22H2
B.Windows 10 Home 21H2
C.Windows 10 Pro for Workstations 21H2
D.Windows 10 Pro for Workstations 21H1
Windows 10 Pro for Workstations 21H2
在这里使用火眼有个问题,一定要从证据分析软件里面点镜像仿真,这样可以读到Windows的账号和密码,千万不要从火眼仿真直接去挂载,这样不一定可以直接读取到
30.[填空题]林浚熙计算机安装了什么品牌的虚拟专用网络 (Virtual Private Network - VPN) 软件? (不要输入符号及空白,以大写英文及阿拉伯数字回答) (1分)
EXPRESSVPN
弘连可以找到的
美亚也可以
直接仿真进入看也是可以的
31.[填空题]承上题,分析该虚拟专用网络的日志 (Log),他在哪天安装该虚拟专用网络? (如答案为 2022-12-29,需回答 20221229) (2分)
20220915
查看Windows日志即可
32.[填空题]检视林浚熙计算机的数据,他使用哪种加密货币 (Cryptocurrency) 以支付虚拟专用网络软件? (以大写英文回答该加密货币的全名,如BITCOIN) (1分)
BITCON
去看看Express缓存文件
这里有btc,但是觉得太难找了
直接猜可能会更简单点,常见的货币类型就那几个,实在不行就检视文件夹,没多少
这个文件夹应该不会在软件文件夹里面,而应该在这种缓存文件内,但是这两个方向都应该有,需要想到
33.[填空题]林浚熙的加密贷币钱包 (Cryptocurrency Wallet) 名称是什么? (不要输入符号,以大写英文及阿拉伯数字回答) (2分)
TELLAWIEH
仿真后打开软件就能看到
34. [多选题]林浚熙计算机里安装了哪个浏览器 (Web Browser)? (1分)
A. Tor Browser
B. Opera
C. Google Chrome
D. Internet Explorer
E. Microsoft Edge
Tor Browser
Google Chrome
Internet Explorer
Microsoft Edge
去找剩下的Opera Internet Explorer
存在一点点小问题,这里千万不能这样搜索,因为之前可能装过,这些是残留的文件
35. [单选题]林浚熙使用浏览器 'Google Chrome' 曾经浏览最多的是哪一个网站? (1分)
A. https://mail.google.com/mail
B. https://web.whatsapp.com
C. https://gmail.com
D. https://facebook.com
https://web.whatsapp.com
直接排列就能出
36. [多选题]除了上述网站,林浚熙曾使用浏览器 'Google Chrome' 搜索过什么? (1分)
A. docker image教学
B. tor教学
C. php sql教学
D. electrum教学
E. javascript教学
docker image教学
tor教学
php sql教学
electrum教学
docker image教学
electrum教学
tor教学
php sql教学
37. [单选题]林浚熙的计算机安装了一个通讯软件 'Signal',它的用戶資訊儲存路径是什么? (1分)
A. \Users\HEI\AppData\Roaming\Signal
B. \Program Files (x86)\Signal
C. \Users\HEI\Desktop\Signal
D. \Users\user\Roaming\Signal
\Users\HEI\AppData\Roaming\Signal
在这里
38.[填空题]通讯软件 'Signal' 采用一个档案存放用户的聊天记录,它的档案名是什么? (不要输入 '.',以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (2分)
DBSQLITE
通过聊天记录跳转到这里,但是可能加密了,打不开,聊天记录都是存在数据库里面的,signal文件夹下就没太多数据库,检视之后就能排查到
***39. [填空题]承上题,对上述档案迸行分析,林浚熙的联络人当中有多少人安装了Signal? (以阿拉伯数字回答) (3分)
4
***这题也可以手工解密,还没写完
我就猜到了是加密后的数据库,目前我只知道DB Browser可以解密
密码在这里
40. [填空题]林浚熙在 'Signal' 曾经与某人对话,那人的手机号码是什么? 需要与区码 (Area Code) 一同回答 (以阿拉伯数字回答) (3分)
85270711901
***41. [多选题]承上题,两人在 'Signal' 的对话中有些讯息 (Message) 包含附件,这些讯息的 'ID' 包括? (2分)
A. 46a8762b-78ea-49aa-a6f5-b24975ec189f
B. 9729bf92-ab9c-45f7-8147-66234296aele
C. 5b9650fe-3bb6-4182-9900-f56177003672
D. 47233ffe-1a73-4b3d-b97c-626246ec3129
***42. [填空题]承上题,林浚熙曾经于2022年10月20日轉账 (Transfer Money) 予上述对话人士, 那次轉賬的参考编号是什么? (以大写英文及阿拉伯数字回答) (3分)
43. [单选题]林浚熙的计算机安装了多少台虚拟机 (Virtual Machine - VM) ? (以阿拉伯数字回答) (1分)
A. 1
B. 2
C. 4
D. 3
1
44. [单选题]林浚熙的计算机里的虚拟机 (VM) 存放在什么路径? (1分)
A. \Users\Public\Documents\Virtual Machines
B. \Program Files\Virtual Machines
C. \User\HEI\Roaming\Virtual Machines\
D. \Users\HEI\Documents\Virtual Machines
\Users\HEI\Documents\Virtual Machines
45. [单选题]虚拟机 (VM) 使用什么版本的作业系统 (Operating System) ? (1分)
A. Ubuntu 22.04.1 LTS
B. CentOS Linux release 7.6.1810(Core)
C. CentOS Linux 7.5.1804 (Core)
D. Ubuntu 20.04.5 LTS
Ubuntu 20.04.5 LTS
46. [多选题]虚拟机 (VM) 中的文件传输服务器 (FTP Server) 有哪些用户? (2分)
A. man
B. admin
C. root
D. ftpuser
E. Nobody
Man
Root
Nobody
能进入虚拟机,一条命令就可以了,但是虚拟机不能在虚拟机环境运行,换成静态分析的思路
根据44题路径,要导出全部的vm文件,再去自动取证,因为vm文件夹相当于有一个启动顺序的,相互联系
查看你终端命令
查看文件
47. [多选题]虚拟机设置了什么网页服务器 (Web Server)? (2分)
A. APACHE
B. WORDPRESS
C. LIGHTTPD
D. IIS
E. NGINX
APACHE
NGINX
48. [单选题]网页服务器目录内有图片档案,而此档案的储存位置是? (1分)
A. /var/www/post
B. /var/www/html/post/vendor
C. /var/www/html/post/css
D. /var/www/html/post
E. /var/www/html/post/src
/var/www/html/post/css
直接按选项查就行
49. [单选题]分析网页服务器的网站数据,假网站的公司名称是什么? (1分)
A. Global Logistics
B. Krick Post Global Logistics
C. Krick Global Logistics
D. Krick Post
Krick Post Global Logistics
50. [单选题]检视假网站首页的显示, 'AY806369745HK' 代表什么? (1分)
A. 邮件收费号码
B. 邮件序号
C. 邮件号码
D. 邮件参考号码
邮件号码
网上翻一个文件夹,index.php一般是首页源码
51.[填空题]分析假网站的资料,当受害人经假网站输入数据后,网站会产生一个档案,它的档案名是什么? (不要输入 '.',以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (2分)
VUTXT
分析index.php可得
分析process.php可得
52. [多选题]分析假网站档案 'process.php' 源码 (Source Code), 推测此档案的用途可能是? (2分)
A. 产生档案
B. 发出邮件
C. 改变函数
D. 更新数据库
产生档案
发出邮件
53.[填空题]检视档案 'process.php' 源码, 林浚熙的电邮密码是? (以大写英文回答) (1分)
RTATSCEUCPACOCBDACS
简单的代码审计
54. [多选题]分析档案 'process.php' 源码, 它不会收集哪些资料? (2分)
A. 电话号码
B. 短讯验证码
C. 信用卡号码
D. 电邮地址
E. GPS位置
电话号码
短讯验证码
GPS位置
55. [填空题]虚拟机 (VM) 安装了 Docker 程序,列出一个以'5'作为开端的 'Docker' 镜像 (Image) ID (以阿拉伯数字及大写英文回答) (2分)
5D58C024174DD06DF1C4D41D8D44B485E3080422374971005270588204CA3B82
56.[填空题]Docker 容器 (Container) 'mysql' 对外开放的通讯端口 (Port) 是? (3分)
43306
这个只是容器内部开放端口,对外开放端口要去找映射IP
57. [填空题]Docker容器 'mysql',用户 'root' 的密码是? (以大写英文及阿拉伯数字回答) (2分)
2wsx3edc
格式化看的清楚些
***58. [填空题]Docker容器 'mysql' 里哪一个数据库储存了大量个人资料? (以大写英文回答) (3分)
Xshell连接虚拟机,用ip命令查看
***59. [填空题]检视 Docker 容器 'mysql' 内数据库里的资料,李大辉的出生日期是? (如答案为 2022-12-29,需回答 20221229) (3分)
60. [多选题]通过取证调查结果迸行分析 (包括但不限于以上问题及情节),林浚熙的行为涉及哪一种罪案? (5分)
A. 勒索金钱
B. 诈骗
C. 抢劫
D. 购买毒品
E. 传送儿童色情物品
勒索金钱
诈骗
购买毒品61.[填空题]王晓琳手机的 'IMEI' 号是什么? (以阿拉伯数字回答) (1分)
352978115584444
62.[多选题]王晓琳的手机安装了什么即时通讯软件 (Instant Messaging Apps)? (1分)
A. Signal
B. 微信(WeChat)
C. QQ
D. WhatsApp
E.LINE
Signal
微信(WeChat)
WhatsApp
63.[单选题]王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 'PDF' 档案? (以时区UTC+8回答) (1分)
A. 2022-10-01 17:39:53
B. 2022-09-30 18:30:28
C. 2022-09-30 17:39:53
D. 2022-10-01 16:30:22
2022-09-30 17:39:53
在WhatsApp里面
64.[填空题]承上题,这个 'PDF' 档案的MD5哈希值 (Hash Value) 是什么? (以大写英文及阿拉伯数字回答) (1分)
AE0D6735BBE45B0B8F1AB7838623D9C8
65.[单选题]王晓琳将这个 'PDF' 档案发给哪一个用户, 而该用户的手机号码是什么? (1分)
A. 85259308538
B. 85269707307
C. 85297663607
D. 85246427813
85259308538
66.[多选题]王晓琳发出这个 'PDF' 档案的原因是什么? (1分)
A. 分享档案内容
B. 错误发出
C. 寻求协助
D. 无法开启
寻求协助
无法开启
67.[单选题]承上题,分析王晓琳与上述用户的对话,他们的关系是什么? (1分)
A. 师生
B. 家人
C. 客户
D. 同事
同事
68.[单选题]王晓琳于何时要求上述用户删除一张照片? (1分)
A. 2022-09-28
B. 2022-09-30
C. 2022-10-06
D. 2022-10-03
2022-10-03
69.[单选题]承上题,该用户向王晓琳提出什么要求以删除这张照片? (1分)
A. 毒品
B. 性服务
C. 金钱
D. 加密货币
金钱
70.[单选题]王晓琳的手机里有什么电子书藉 (Electronic Book) ? (2分)
A. 红楼梦
B. 水浒传
C. 三国演义
D. 西游记
三国演义
这是第一种,全局搜索的方法,我觉得不太好想
先去看看有啥软件,搜索“book”
这要对苹果手机的目录规范有了解,能看到
这里有图片
这是第二种方法
2614
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
