第八届美亚杯团队赛--王景浩苹果计算机镜像取证（巧用X-Ways解题）

团队赛案例背景：

2022年10月，警方收到AGC集团举报表示该公司网络的电邮系统有可疑连接及流量。经过调查后，警方相信事件与本地一个IP地址有关，于是拘捕了一名男子朗尼 （Rooney），并在他家中检取了一些电脑，网络装置，手机作调查。

2022年10月下旬，两名巡警在街上截查一名男子王景浩（阿浩 KingHo）时， 在他的背包中找到一些从网上下载的制作油漆弹教学材料，阿浩曾作出反抗但最后被制服。经调查后，警员发现阿浩计划于某日向某人投掷油漆弹，警员随后将他拘捕并于他家中检取了一批电脑，手机作调查。深入调查后发现阿浩亦与AGC集团网络被入侵事件有关。

警方的电子数据取证小组在现场作出初步调查并对涉案装置进行了电子数据取证。请你根据警方的资料，协助将事件经过还原。

王景浩（KingHo）苹果计算机镜像（27-50题）

27、王景浩的计算机使用什么文件系统（File System）?

A:exFAT B:APFS

C:HFS D:HFS+

（1）答案：D

（2）工具：取证大师

（3）知识点：计算机文件系统信息查询

（4）解析：

①运行“取证大师”并新建案例，如图27-1所示：。

图27-1

②将AGC集团计算机镜像（King_HO_MacBook_Computer.E01）添加设备到新建的案例中。

图27-2

③取证策略勾选Windows后，进行自动取证。

图27-3

④在“证据文件”查看摘要，即可看到分区类型。

图27-4

28、王景浩计算机的操作系统（Operating System）版本是什么?

A:10.4.11 B:10.9.5

C:10.10.5 D:10.11.6

（1）答案：D

（2）工具：取证大师

（3）知识点：计算机操作系统信息查询

（4）解析：

①在“取证结果-系统信息-当前版本”即可得到正确答案。

图28-1

29、王景浩的计算机当前有多少个用户（包括访客 'Guest' ）?（以阿拉伯数字回答）

（1）答案：3

（2）工具：取证大师

（3）知识点：MacOS用户信息查询

（4）解析：

①MacOS的用户信息存储在/Users文件夹下以用户名命名的文件名，所以可以在“取证结果-MacOS系统信息”看到当前MacOS只有3个用户。

图 29-1

30、王景浩的计算机里有一个用户被删除，被删除的用户名称是什么?（以大写英文回答）

（1）答案：BROTHER

（2）工具：取证大师

（3）知识点：MacOS用户信息查询

（4）解析：

①“取证结果-MacOS系统用户信息-用户删除时间”即可看到被删除的用户。

图30-1

31、王景浩的计算机有多少个 '聚焦' 的搜索记录（Spotlight Search）?（以阿拉伯数字回答）

（1）答案：12

（2）工具：取证大师

（3）知识点：MacOS Spotlight Search记录查询

（4）解析：

①“Spotlight Search”中文为“聚焦搜索”，它是MacOS一个很强大的全局搜索工具，此工具的搜索内容保存在com.apple.spotlight.Shortcuts文件当中，使用X-ways工具的过滤功能，可以发现此文件中有12个关键词。

图31-1

32、当用户设置了自动登录（Auto Login）后，王景浩计算机的操作系统会产生哪个档案?

A:manifest.plist B:info.plist

C:PasswordPanel.strings D:kcpassword

（1）答案：D

（2）工具：取证大师

（3）知识点：MacOS 用户密码本地存储信息查询

（4）解析：

①常识题，MacOS X会将保存的用户密码存放在kcpassword文件中，这样用户就无需再输入密码就可以登录了。

33、王景浩计算机的登录密码（Login Password）是什么?

A:1qa@WS3ed B:3ed$RF5tg

C:5tg^YH7uj D:2ws$RF6yh

（1）答案：D

（2）工具：X-ways

（3）知识点：MacOS 用户密码本地存储信息查询

（4）解析：

①使用工具“X-ways”过滤kcpassword关键词，点击该文件，预览即可看到密码。

图 33-1

34、在王景浩的计算机里，他最后使用哪个电邮地址登录 'iCloud' 账号?

A:kinghoo0w0@gmail.com B:wonghoo588@yahoo.com

C:kingho726@aol.com D:kinghoo0w0@yahoo.com

（1）答案：A

（2）工具：取证大师

（3）知识点：MacOS 邮件信息信息查询

（4）解析：

①使用关键词过滤“iCloud”，可以发现在“取证结果-邮件解析-MacMail邮件记录”中发现“邮件主题”为“Welcome to iCloud”的邮件，所以该“收件人”的邮箱账号即为对应的答案。

图34-1

35、王景浩计算机里的手机备份（iTunes Backup）包含哪些iOS版本?

A:12.5.6 B:15.4

C:15.5 D:16.0.3

（1）答案：AC

（2）工具：取证大师

（3）知识点：MacOS 历史版本信息查询

（4）解析：

①通过取证大师添加王景浩mac笔记本镜像。

②自动取证后，在文件分析中找到手机备份文件位置可以查看到备份信息。如图35-1和35-2所示：

图35-1

图35-2

36、王景浩曾经将一台 iPhone 6 连接他的计算机，请问它最后的连接时间是什么?（以时区UTC+8回答）（如答案为 2022-12-29 16:01:59，需回答 20221229160159）

（1）答案：20221021181451

（2）工具：X-ways

（3）知识点：MacOS 与IOS设备连接信息查询

（4）解析：

①MacOS系统会将连接过的IOS设备，以及设备型号与时间都会记录在com.apple.iPod.plist文件中，使用工具“X-ways”过滤com.apple.iPod.plist关键词，即可看到对应的iPhone6对应的连接时间。

图36-1

37、苹果手机备份的密码（iTunes Backup Encryption Password）会记录在什么档案?

A:Info.plist B:privacy.json

C:Manifest.plist D:PasswordPanel.strings

（1）答案：C

（2）工具：手机取证大师

（3）知识点：iPhone 备份数据密码信息查询

（4）解析：

①iPhone 备份数据密码是记录在Manifest.plist的BackupKeyBag字段

38、以下哪种工具可以用作破解密码?

A:Passware B:John The Ripper

C:HashCat D:Password Recovery Toolkit

（1）答案：ABCD

（2）工具：

（3）知识点：破解工具常识

（4）解析：

①答案中提供的4个工具都可用于破解密码

39、通过 'hashcat' 破解 'iTunes Backup' 密码需要制订一个 'txt' 档案，若该备份的手机iOS版本是10以上，需要按照下列哪个提示字符（String）的数据去制订这个 'txt' 档案?

A:WPKY B:ITER

C:SALT D:DPIC

E:DPSL

（1）答案：ABCDE

（2）工具：HashCat

（3）知识点：“iTunes Backup”密码破解

（4）解析：

①ios 10.x 哈希格式如下: itunesbackup*10*wkpy*iter*salt*dpic*dpsl

40、王景浩采用了4位数字加密了他的iPhone XR的备份，分析它的密码是什么?（以阿拉伯数字回答）

（1）答案：2022

（2）工具：手机取证大师

（3）知识点：“iTunes Backup”密码破解

（4）解析：

①打开手机大师工具集iPhone备份密码破解工具破解工具

②选择备份文件夹中的Manifest.plist文件，设置4位纯数字方式暴力破解

图40-1

41、最后一次连上王景浩计算机的3D打印机的IP 地址是什么?（不要输入答案中的 '.'，以阿拉伯数字回答）

（1）答案：1014140

（2）工具：取证大师

（3）知识点：计算机浏览器历史浏览记录查询、应用数据手动分析

（4）解析：

①首先在王景浩的MacOS中“Google Chrome”浏览器的搜索记录发现王景浩曾有过搜索“3D打印机”的搜索记录，如图41-1。

图41-1

②又在该浏览器中的“2022年9月16日”的下载记录发现有下载“Cura”软件，如图41-2。

图41-2

③该软件是3D打印机软件MacOS会将应用程序的文件数据，部分配置信息保存在/Users/用户名/Library/Application Support/ 文件夹下。查看该文件夹，发现有“cura.log”日志，如图41-3，查看该日志，按时间顺序进行查看即可得到答案，如图41-4。

图41-3

图41-4

42、3D打印机最后一次在王景浩的计算机尝试打印的时间?（以时区UTC+8回答）

A:2022年10月20日下午4時30分

B:2022年10月20日下午18時30分

C:2022年10月21日下午4時30分

D:2022年10月21日下午8時30分

（1）答案：A

（2）工具：取证大师

（3）知识点：计算机应用数据手动分析

（4）解析：

①查看该日志，使用关键词“.gcode”进行搜索，可以查看到最后一次打印的文件，也即最后一次打印的时间也能够看到。

图42-1

43、最后一次经由王景浩计算机打印的3D图档案名字是什么?

A:CE3_balljoint_extender.gcode

B:um3-penguin-real-mini-keychain-merged-tpu.gcode

C:CE3_Prancer.gcode

D:CE3_2020-psu-atx-mount.gcode

（1）答案：B

（2）工具：取证大师

（3）知识点：计算机应用数据手动分析

（4）解析：如上题所述。

44、王景浩计算机的Safari浏览器的默认搜索引擎（Default Search Engine）是什么?

A:百度 B:谷歌

C:360 D:Safari

（1）答案：A

（2）工具：取证大师

（3）知识点：MacOS下Safari默认搜索引擎手动分析

（4）解析：

①Safari的配置文件存储在~/Library/Preferences/com.apple.Safari.plist文件中，在证据文件找到对应的文件导出，使用工具plistEditor进行查看。可以发现搜索引擎的设置是从系统配置中读取。

图44-1

②打开系统配置文件~/Library/Preferences/.GlobalPreference.plist，可以发现搜索引擎被设置成百度，因此选择A。

图 44-2

45、分析王景浩计算机的数据，王景浩的比特币钱包（Bitcoin Wallet）地址是什么?

A:bc1quw… ...zpzjzt B:bc1qm… ...5f7n9g

C:bc1q79… ...h4sq52 D:bc1qsl… ...je7hkk

（1）答案：A

（2）工具：取证大师

（3）知识点：计算机邮件信息查询

（4）解析：

①通过取证大师的“取证结果-邮件解析-MacMail-所有附件”即可看到王景浩发送的比特币钱包地址。

图45-1

46、AGC公司员工 'Carson' 有一个由公司发给他的电邮账户，分析王景浩的计算机数据并找出 'Carson' 的电邮账户密码。

A:AGC2020@pw B:AGC2012@PW

C:AGC2020@hkg D:AGC2021@PW

（1）答案：A

（2）工具：取证大师

（3）知识点：计算机邮件信息查询

（4）解析：

①通过取证大师的“取证结果-邮件解析-Mozilla Thunderbird-收件箱”可以得出“电邮密码”。

图46-1

47、王景浩曾经冒充AGC公司员工 'Carson' 发送电邮给AGC 客户，这封电邮的 'Message-ID' 是什么? 回答它的首８位数值。（以大写英文和阿拉伯数字回答，如 4GEF90GD）

（1）答案：27D9CD30

（2）工具：取证大师

（3）知识点：计算机邮件信息查询

（4）解析：

①首先先从王景浩MAC电脑的“邮箱”分析可以得出，王景浩获取到员工邮箱账号信息的时间为2022.9.30 14:08:24（utc+8），如图47-1，所以王景浩伪装成员工发送客户的时间一定是在该时间之后

图47-1

②由此可以定位到李景浩伪装员工给客户发消息的邮件及发送时间，“右键-跳转到源文件-导出”。如图47-2。

图47-2

③在导出的文件当中，直接过滤“邮件发送”的时间，即可得出答案。如图47-3。

图47-3

48、王景浩采用计算机里的哪种工具进入和盗取AGC公司的数据?

A:Teamviewer B: OpenVPN

C:Remote Desktop Manager D:Tor Browser

（1）答案：AB

（2）工具：取证大师

（3）知识点：计算机TeamViewer连接信息查询

（4）解析：

①综合分析题。A.首先在“AGC集团的计算机”当中“TeamViewer”当中有“ID”号为“358639376”的连接记录，即“AGC集团”计算机被此ID连接过，如图48-1。

图48-1

②在王景浩的Mac电脑中，查看“TeamViewer”日志可以得到此ID，如图48-2，由此可以说明王景浩有通过此工具进行连接。

图48-2

③在王景浩的Mac电脑中，可以发现“OpenVpn”软件的日志文件，分析该文件可以得到VPN的ip地址为“61.238.217.108”，此IP地址为“AGC集团流量包”当中的“攻击IP”，所以得出答案。

图 48-3

49、王景浩在AGC公司盗取了下列什么类型的档案?

A:ost B:xlsx

C:jpg D:docx

（1）答案：AB

（2）工具：FSEParser_V4

（3）知识点：HFS+文件系统历史活动日志查询

（4）解析：

①王景浩所用的 Macbook 的操作系统为 HFS+, 系统中的FSEvent历史活动日志记录在".fseventsd"文件夹中。使用“FSEParser_V4.exe”工具进行分析，如图49-1。

图49-1

②在解析出来的文件夹中，打开“All_FSEVENTS.tsv”文件，又根据AGC服务器被远程登录的时间及 Macbook 的"Desktop"文件夹上发现可疑档案的建立时间综合分析，便能得知王景浩盗取了 xlsx文件及ost文件，如图49-2。

图49-2

50、王景浩的计算机于2022年9月29日曾经接上一个虚拟专用网络（Virtual Private Network - VPN），这个VPN的IP地址是什么?（不要输入答案中的 '.'，以阿拉伯数字回答）

（1）答案：61238217108

（2）工具：X-ways

（3）知识点：VPN工具日志查询

（4）解析：

①可以使用工具“X-ways”过滤“ovpn.log”关键词，可以过滤出VPN工具的日志，再根据题目的日期限定条件即可得出答案。

图50-1

敬请各位大佬关注：小谢取证