2022美亚杯个人赛wp

1.[单选题] 王晓琳在这本电子书籍里最后对哪段文字加入了重点标示效果(Highlight)?(2分)A

A. 卿有何妙计

B. 宝玉已是三杯过去了

C. 武松那日早饭罢

D. 就除他做个强马温罢

见70题，是三国演义，因此选A

2. [多选题] 王晓的手机里有一个 MTR Mobile (港)的手机程序(Mobile App)。 检视其数据库(Database) 的数据，王晓琳于2022年10月11日 22:04 时将一行程加入书签(Bookmark)，这段行程的起点及终点站包括?(2分) DE

A. 尖沙咀

B. 红硒

C. 康城

D. 青衣

E. 沙田

在时间线上搜索到这一时间的文件，发现就一个db文件，显然是他

将地点调出，并将时间戳换打开即可找到起始地点，这题就是看弘连用的熟不熟，实在不行把db文件导出使用数据库软件查看也是可以的，我这里用navicat做了一下

创建的时候选择sqlite然后直接打开.db文件即可，连接名就是个名字而已，无意义

一样是可以看到的，而且这软件还没有时间戳换功能，要找网站转换一下

3. [填空题] 王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片?(以拉伯数字回答)(1分) 90

题目问的是用自己的手机拍的照片，所以有两个限制，一是HEIC文件，二是时间，下面记录显示90条

4. [单选题] 检视王晓琳的手机照片，她于2022年10月2日到过什么地方?(1分) B

A. 大潭郊游径

B. 城门畔塘径

C. 大榄麦理浩径

D. 京士柏卫理径

直接翻照片就行

直接地图找位置也是行的

5. [单选题] 李大辉使用的是一台LG V10的手机，它的型号是什么?(1分) B

A. LGH960C

B. LGH961N

C. LGH960H

D. LGH961C

E. LGH961D

解压完是一个bin文件，直接当作镜像文件放进去解析就行了，这题基础

6. [单选题] 李大辉的手机最常搜索的类别(Category) 是什么?(1分) A

A. 护肤品

B. 旅游

C. 运动

D. 学校

搜索记录那直接看浏览器，谷歌看不出来，百度明显是护肤品

7. [填空题] 李大辉最近光顾了一家美丰快运公司，这快递件的单号是什么?(不要输入符号及空白，以阿拉伯数字回答)(1分）AY806369745

8. [单选题] 李大辉收到的电邮中有一个钓鱼链结(Phishing Link)，这个链结的地址是什么?(1分) B

A. 以上皆非

B. https://bit.ly/3yeARcO

C. https://bit.ly/5vM12

D. http://bit.ly/Hell0

找到邮箱的数据库源文件，导出后使用navicat查看

9. [单选题] 承上题，这封电邮是从哪个电邮地址寄出的?(1分) D

A. 以上皆非

B. Cavinchow456@yahoo.com

C. 2020ChanChan@hotmail.com

D. 30624700Peter@proton.me

往前翻翻就行了

10. [单选题] 承上题，寄出这封电邮的IP地址是?(2分)

A. 以上皆非

B. 65.54.185.39

C. 10.13.105.56

D. 58.152.110.218

寄出邮件的ip应该是看gmail文件的，但是没找到，选A？

11. [单选题] 李大辉手机有一个orderxlsx 的档案被加密了，解密钥匙是什么?(1分) A

A. 2022 Nov!

B. 20221101

C. Nov2022!

D. P@sswOrd!

其实做题的话直接拿这个选项一个个试就行了，但其实在相册照片里也有所体现

12. [填空题]香港的街道上每一枝街灯都有编号。分析李大辉手机里的程序KMB 1933，哪一枝街灯在经度 Latitude) 22.4160270000，纬度(Longitude) 114.2139450000 附近，它的编号是什么?(以大写英及阿拉伯数字回答)(2分)SC02-S-1100-0

首先找到该程序的.db文件

将其导出

在navicat中打开，就几个文件翻一下 发现在这里面有经纬度的信息，找到对应的编号

13. [填空题]李大辉的手机里有一张由该手机拍的照片，照片的元资料(Metadata) 曾被修改，这张照片的档案名是什么?(以大写英文及数字回答，不用回答副档名)(2分)

20220922152622JPG

在相册照片选择跳转到资源文件就可以看到各照片对应的创建时间和修改时间了

14. [单选题] 分析李大辉的手机里的资料，他在哪一间公司工作?(2分) A

A. 美丽好化妆品公司

B. 步步高贸易公司

C. 盛大国际有限公司

D. 永恒化妆品公司

查看他本机的文件可以找到相关信息

15. [填空题] 林浚熙曾经以手机登录Google账户的验证码是什么?(不要输入符号，以大写英文及阿拉伯数字回答)(1分) G-785186

在短信里找

16. [填空题] 林浚熙手机的 WhatsApp’ 号码是什么?(号码)@s.whatsapp.net? (以阿拉伯数字回答)(1分) 85259308538

直接找

17. [单选题] 通过分析林浚熙手机的照片，判断他在何处偷拍王晓琳?(1分) D

A. 交通工具

B. 郊野公园

C. 游泳池

D. 酒店房间

应用相册可以看出在酒店

18. [填空题] 林浚熙曾经删掉自己拍摄的照片，这张照片的档案名(Filename) 是什么?(不要输入，以大写英文及阿拉伯数字回答。如Cat10.jpg，需回答CAT10JPG)(2分) IMG_0444.JPG

最近删除里面有

19. [填空题] 王晓琳曾经发送一个PDF档案予林浚熙，这个档案的文件签名(File Signature) 是什么?(以十六进制数字答首八位数值，如FOA1C5E1)(2分) D0 CF 11 E0

20. [填空题] 承上题，该PDF档案内包含一位曾经被肩的受害者资料。分析林熙手机的数据，这位受害者的英文名字是什么?(不要输入符号及空白，以大写英文回答)(2分) Wong Sai Ping

前面的pdf往后翻可以找到姓名和英文名信息

再通过查看聊天记录，找到对应出售个人信息的记录

21. [单选题] 分析林浚熙手机上的数据，他在2022年10月17日计划去什么地方?(2分) C

A. 以上皆非

B. 荃湾站

C. 沙田站

D. 国际金融中心二期

手机上的导航软件wave,查看其数据库

经观察这两个里面都有定位信息，需要进行时间戳换

22. [填空题] 承上题，上述行程的结束时间是?(如答案为 1:01:59，需回答 160159)(2分) 12:45:00

查看end time即可

23. [填空题] 于林浚熙的手机里，在2022年9月1日 或以后，哪一张照片是由其他手机拍摄的，而它的档案名是什么?(不要输入，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG)(2分) IMG_0446.HEIC

通过查看photos.sqlite可以发现这张照片的序号是和前面连不上的，说明是通过airdrop从别人的手机传过来的，再找到对应的在手机中的照片的序号

24. [单选题] 根据照片的数据库Photos.sqlite) 资料，哪一个栏目标题(Column Header) 可以显示这张照片的接收方式?(2分) C

A. ZRECEIVEMETHODIDENTIFIER

B. ZIMPORTEDFROMSOURCEIDENTIFIER

C. ZIMPORTEDBYBUNDLEIDENTIFIER

D. ZRECEIVEDFROMIDENTIFIER

打开文件，手搓每个表查看哪个有相关信息（稍微有点多，一个个看）

25. [单选题] 承上题，这张照片通过什么方式接收?(2分)

A. 网页下载

B. 蓝牙传送

C. 以上皆非

D. WhatsApp软件传送

E. Signal软件传送

airdrop使用的是蓝牙功能

26. [填空题] 承上题，这张照片原本的档案名(Original Filename) 是什么?不要输入，以大写英文及阿拉伯数字回答。如 Cat10,jpg，需回答CAT10JPG)(3分) IMG_0730.HEIC

27. [填空题] 林熙手机里有一个备忘录(Notes)被上了锁，这个备忘录的名称是什么?(以大写英文及阿拉数字回答)(1分)halo

查看notestore数据库文件发现halo和今天两个备忘录都被加密了，个人觉得是halo

其实直接在弘连里看也可以

28. [填空题] 承上题，上述备忘录的内容有一串数字，它是什么?(以阿拉伯数字回答)(2分)

29. [单选题] 林浚熙计算机(Computer) 的操作系统(Operating System) 版本是什么?(1分) A

A. Windows 10 Pro for Workstations 21H2

B. Windows 10 Pro 22H2

C. Windows 10 Home 21H2

D. Windows 10 Pro for Workstations 21H1

若要查看具体版本，弘连看不了需要仿真

30. [填空题] 林浚照计算机安装了什么品牌的虚拟专用网络 Virtual Private Network - VPN)软件?(不要输入符号及空白，以大写英文及阿拉伯数字回答)(1分) EXPRESSVPN

31. [填空题] 承上题，分析该虚拟专用网络的日志(Log)，他在哪天安装该虚拟专用网络?(如答案为 2022-12-29，需回答 20221229)(2分) 2022-09-15

这题大家的观点不一，个人觉得安装驱动是在19年10月21日安装的，而软件是在2022年9月15日安装的

32. [填空题] 检视林浚照计算机的数据，他使用哪种加密货币(Cryptocurrency) 以支付虚拟专用网络软件?以大写英文回答该加密货币的全名，如 BITCOIN)(1分) BITCOIN

综合分析只有比特币

33. [填空题] 林浚熙的加密贷钱包Cryptocurrency Wallet) 名称是什么?不要输入符号，以大写英文及阿拉伯数字回答2分) tellaw_ieh

打开软件就能看到了

34. [多选题] 林浚熙计算机里安装了哪个浏览器(Web Browser)? (1分) ABCE

A. Internet Explorer

B. Microsoft Edge

C. Tor Browser

D. Opera

E. Google Chrome

35. [单选题] 林浚熙使用浏览器 Google Chrome’ 曾经浏览最多的是哪 个网站? (1分) C

A. https://gmail.com 3/1285

B. https://mail.google.com/mail 89/1285

C. https://web.whatsapp.com 133/1285

D. https://facebook.com 0/1285

36. [多选题] 除了上述网站,林浚熙曾使用浏览器 Google Chrome’ 搜索过什么?(1分) BCDE

A. javascript教学

B. php sql教学

C. tor教学

D. docker image教学

E. electrum教学

爆搜吧

37. [单选题] 林浚照的计算机安装了一个通讯软件Signal’，它的用户部储存路径是什么?(1分) B

A. Users\HEINDesktop Signal

B. Users\HEI\AppData Roaming Signa

C. Program Files (x86)Signal

D. Users\user Roaming Signal

直接查看源文件就行

实在不行就爆搜

38. [填空题] 通讯软件Signa’ 采用一个档案存放用户的聊天记录，它的档案名是什么?(不要输入，以大写英文及阿拉伯数字回答。如Cat10.jpg，需回答CAT10JPG)(2分) db.sqlite

选中一条聊天记录查看源文件就行了

39. [填空题] 承上题，对上档案进行分析，林发熙的联络人当中有多少人安装了Siqnal?(以阿拉伯数字回答)(3分) 4

弘连里看到的只有一个联络人，但是查看db.sqlite文件方可确认，尝试打开，发现加密，寻找密码，首先查看其文件路径下的可疑文件，找到key(类似ctf)

关于DB browser sqlite的使用具体看我其他的博客

通过查看conversations可以看到有四个联络人

（其实弘连火眼最新版是可以直接看出来的，上处解答只针对当时比赛的情况）

40. [填空题] 林浚熙在“Signal’ 曾经与某人对话，那人的手机号码是什么? 需要与区码(Area Code) 一同答(以阿拉伯数字3分) 85270711901

41. [多选题] 承上题，两人在Signal’ 的对话中有些讯息(Message) 包含附件，这些讯息的 D’包括?(2分)BC

A.5b9650fe-3bb6-4182-9900-f56177003672

B.46a8762b-78ea-49aa-a6f5-b24975ec189f

C.9729bf92-ab9c-45f7-8147-66234296aele

D.47233ffe-1a73-4b3d-b97c-626246ec3129

查看数据库，message表中hasAttachments设置为1即为附件，对应的的是BC

42. [填空题]承上题，林浚熙曾经于2022年10月20日转账（Transfer Money) 予上述对话人士,那次转账的参考编号是什么?(以大写英文及阿拉白数字回答)(3分)

N91088774024

43. [单选题] 林浚照的计算机安装了多少台虚拟机Virtual Machine - VM) ?(以阿拉伯数字回答)(1分) B

A. 4

B. 1

C. 2

D. 3

在仿真里看比较方便

44. [单选题] 林浚熙的计算机里的虚拟机(VM) 存放在什么路径?(1分) D

A. User HEI Roaming Virtual Machinesl

B. Users Public Documents Virtual Machines

C. Program Files Virtual Machines

D.Users\HEINDocuments Virtual Machines

 

45. [单选题] 虚拟机 (VM) 使用什么版本的作业系统(Operating System) ?(1分) D

A. CentOs Linux 7.5.1804 (Core)

B. Ubuntu 22.04.1 LTS

C. CentOS Linux release 7.6.1810(Core)

D. Ubuntu 20.04.5 LTS

可以尝试直接在虚拟机里打开这个虚拟机，但是要解决联网和账号密码的问题（账号密码我在某个文件里看到了），但是不如直接在火眼添加新建材

如果失败那就导出虚拟机的文件，然后选择对应的磁盘，当作镜像文件进行分析

 

46. [多选题] 虚拟机(VM) 中的文件传输服务器(FTP Server) 有哪些用户?(2分) B E

A. nobody

B. root

C. admin

D. man

E. ftpuser

查看FTP用户的命令

cat /etc/vsftpd.chroot_list

47. [多选题] 虚拟机设置了什么网页服务器(Web Server)? (2分) BD

A. NGINX

B. LIGHTTPD

C. WORDPRESS

D. APACHE

E. IIS

48. [单选题] 网页服务器目录内有图片档案，而此档案的储存位置是?(1分) B

A. /var/www/html/post/src

B. /var/www/html/post/css

C. /var/www/html/post/vendor

D. /var/www/post

 

 

49. [单选题] 分析网页服务器的网站数据，假网站的公司名称是什么?(1分) C

A. Krick Global Logistics

B. Global Logistics

C. Krick Post Global Logistics

D. Krick Post

其实上面一题的照片里面可以看到公司的logo，上面有公司的名称

但因为是学习，所以还是按照正常的步骤来做

网站重构，然后访问肯定能看到公司名称

通过分析历史命令，可以看出是apche2的网站

开启apache服务，尝试进行网站重构

查看服务器的IP地址

前面通过文件的分析是个post网站，因此访问192.168.159.135/post/，访问成功

50. [单选题] 检视假网站首页的显示，AY806369745HK 代表什么?(1分) A

A. 邮件号码

B. 邮件收费号码

C. 邮件序号

D. 邮件参考号码

51. [填空题] 分析假网站的资料，当受害人经假网站输入数据后，网站会产生一个档案，它的档案名是什么?(不要输入“，以大写英文及阿拉数字回答。如 Cat10.jpg，需回答CAT10JPG)(2分) vu.txt

随便在网页上输入一些信息，发现跳转到了process.php文件。到服务器中进行查看该文件，发现和vu.txt文件有关，因此打开post文件中的vu.txt文件发现全都是用户信息，因此确定是vu.txt文件

52. [多选题] 分析假网站档案，process.php’ 源码(Source Code),推测此档案的用途可能是?(2分) BC

A. 改变函数

B. 产生档案

C. 发出邮件

D. 更新数据库

见上题，首先其产生了文档，然后通过分析代码看到最后还有发送邮件的功能

53. [填空题] 检视档案process.php’ 源码, 林浚照的电邮密码是?(以大写英文回答)(1分) rtatsceucpacocbdacs

54. [多选题] 分析档案process.php’ 源码, 它不会收集哪些资料?(2分) ACD

A. GPS位置

B. 信用卡号码

C. 短讯验证码

D. 电话号码

E. 电邮地址

观察网站页面可以初步得出结论，但是保险起见可以通过分析vu.txt文件中的数据得出答案

 

55. [填空题] 虚拟机 (VM)安装了 Docker 程序，列出一个以5作为开端的 Doker"镜像 mage) ID (以阿拉伯数字及大写英文回答)（2分) 5d58c024174d

56[填空题] Docker 容器(Container)mysql’ 对外开放的通讯端口(Port) 是?(3分) 43306

启动mysql,查看其信息即可

57. [填空题] Docker容器mysql，用户 root’ 的密码是?(以大写英文及阿拉伯数字回答)(2分) 2wsx3edc

历史记录里其实有docker的命令，可以找到mysql的密码

 

58. [填空题] Docker容器，mysql 里哪一个数据库储存了大量个人资料?(以大写英文回答)(3分) krickpos

因为docker已经开启，可以使用navicat连接数据库

经过观察找到该数据库为krickpos

 

59. [填空题]检视 Docker 容器’mysql’ 内数据库里的资料，李大辉的出生日期是?(如答案为 2022-12-29，需答 20221229) (3分) 1985-02-14

 

60. [多选题] 通过取证调查结果进行分析(包括但不限于以上问题及情节)，林照的行为涉及哪一种罪案?(5分) CDE

A.传送儿童色情物品

B.抢劫

C.诈骗

D.勒索金钱

E.购买毒品

偷拍前女友照片勒索钱财

钓鱼网站诈骗

手机相册里有很多毒品的照片，同时signal有买毒品的聊天记录

 

61. [填空题] 王晓琳手机的IMEI’ 号是什么?(以阿拉伯数字回答)(1分) 352978115584444

62. [多选题] 王晓琳的手机安装了什么即时通讯软件(lnstant Messaging Apps)?(1分) ABC

A. Signal

B. 微信(WeChat)

C. QQ

D. WhatsApp

E. LINE

 

63. [单选题] 王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 PDF档案?(以时区UTC+8回答)(1分) A

A.2022-09-30 17:39:53

B.2022-10-01 17:39:53

C.2022-09-30 18:30:28

D.2022-10-01 16:30:22

有两个pdf文档，符合选项的就一个

 

64. [填空题] 承上题，这个 PDF 档案的MD5哈希值Hash Value) 是什么?(以大写英文及阿拉伯数字回答)(1分) AE0D6735BBE45B0B8F1AB7838623D9C8

导出计算即可

 

65. [单选题] 王晓琳将这个“PDF 档案发给哪一个用户,而该用户的手机号码是什么?(1分) B

A.85297663607

B.85259308538

C.85269707307

D.85246427813

66. [多选题] 王晓琳发出这个，PDF 档案的原因是什么?(1分) AD

A. 寻求协助

B. 分享档案内容

C. 错误发出

D. 无法开启

能选的只有AD

67. [单选题] 承上题，分析王晓琳与上述用户的对话，他们的关系是什么?(1分) D

A. 客户

B. 师生

C. 家人

D. 同事

见上题，显然是同事

 

68.[单选题] 王晓琳于何时要求上述用户删除 张照片?(1分) D

A. 2022-10-06

B. 2022-09-28

C. 2022-09-30

D. 2022-10-03

69.[单选题] 承上题，该用户向王晓琳提出什么要求以删除这张照片?(1分) A

A. 金钱

B. 毒品

C. 性服务

D. 加密货币

70.[单选题] 王晓琳的手机里有什么电了书籍(Electronic Book) ?(2分) A

A. 三国演义

B. 红楼梦

C. 水浒传

D. 西游记

取证软件每个版本的结果是不一样的，基本新版会更强，但有时候也会导致个别题目无法复现，这题和当时比赛的时候就不太一样，但勉强还能找到相关文件。

首先考虑到手机上的阅读软件，看到有个apple book，当时应该是ibook

翻阅其文件（实在不行就在文件里搜索book，也能有蛛丝马迹）

其实是很好的一道题，但实在不能复现就理解一下思路吧