2021美亚杯资格赛

第一次参加美亚杯，早上的资格赛出了点意外，导致一名队友未进入下午团队赛，最后只剩两个人做团队赛，导致后面有几个镜像没来得及做。第一次写WP，记录一下的思路

1. [单选题]工地主管电话的微信账号是什么? (1分)

A. Kasier751111

B.Kasierlee751111

C. Kasierlee

D.以上皆非

用Cellebrite Reader 找了一圈没有发现任何有关微信账号的相关信息，判断以上皆非

2.  [填空题]工地主管的隔空投送装置置编号是什么? (请以英文全大写及阿拉伯数字回答)
    (1分)
设备信息摘要可以看到AirDrop ID：780F624DF099

3.  [单选题]工地主管电话的哪一个应用程序有关于经纬度24.490474, 118.110220的纪录?
    (2分)

A.照片

B. WhatsApp

C. Apple Maps

D.以上皆非

 全局搜索一下坐标信息，找到图片发现其来源为Apple Maps

4.[多选题] 工地主管的手提电话中下列哪些数据正确?(1分)

A. iOS 版本为 12.5.4

B.IMEI为 454120637213361

C. Apple lD 为 kaiserlee3660@gmail.com

D.手机曾经安装dropbox 应用程序

对比可知选AC

5.[填空题]工地主管的电话最常用的浏览器是什么（请以英文全大写回答）（1分）

从其Web历史记录中发现其最常用浏览器为FAFARI

6.[单选题] 工地主管的电话连接过哪一个WiFi?(1分)

A. Kaiser Lee

B.Kaiser

C. Free Wifi

D.Kaiser Home

从网络设置中找到曾经连接过的wifi信息

7.[多选题] 工地主管与Alex Chan的Whatsapp
对话中，曾提及以下哪个TeamViewer的用户号码?(3分)

A.435334881

B.453851521

C.435475200

D.456874155

E.435270306

 

从二人的聊天内容中找到三个个TeamViewer账号

8.  [填空题]工地主管的WhatsApp中有多少个黑名单的记录?(请以阿拉伯数字回答)(2分)

 查找相应数据库发现黑名单为0

9.[多选题] 以下哪个蓝牙装置的Uuid 曾连接过工地主管的手机?(2分)

A.7F1FE70D-2B15-C245-853D-4196F13CC446

B.1B057C1D-83D3-99A6-D2B1-EC54846C7CEE

C.134ACD1-83D3-99A6-D2B1-EC54846C7CEE

D.7D1BE70D-2C16-D246-851D-491613DD776

查询数据库找到两个蓝牙设备

10.[填空题]工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么?(请以英文全大写及阿拉伯数字回答，不用输入“-”)(1分)

从Alex的FTP服务器中得到工地主管的Bitlocker修复秘钥标识符(懒得改格式) 

209451-527087-001254-240735-481855-489566-611721-343497

11.  [填空题]工地主管计算机内的FTP程序FileZilla的用户名称是甚么?(请以英文全大写及阿拉伯数字回答)(3分)

查看连接记录发现用户为ALEX

12.[填空题]工地主管的Team Viewer ID是甚么?(请以英文全大写及阿拉伯数字回答)(2分)

从聊天记录里发现工地主管的Team Viewer ID是：435270306

 

13.[填空题]工地主管的Team Viewer与哪一个ID连接?(请以英文全大写及阿拉伯数字回答)(3分)

查看连接记录420190768

14.[多选题]工地主管曾用计算机浏览器作搜寻，以下哪一个关键词他曾经搜寻?(3分)

A.tiktok

B.web whatsapp

C.facebook

D.lihkg

E.hkgolden

F.web wechat

15.[填空题]工地主管计算机的Windows系统的产品标识符是甚么?(请以英文全大写及阿拉伯数字回答，不用输入“-“)(1分)

 取证大师看系统信息找到答案：00331-10000-00001-AA962

16.[填空题]工地主管曾用计算机使用WhatsApp，他曾和以下哪个电话号码沟通?(请以阿拉伯数字回答)(2分)

？？？复盘时候死活找不到，网上翻了一遍也没找到答案，先空着

17.[多选题]工地主管计算机的用户名称是甚么?其用户标识符是甚么?(2分)

A.用户名称: PC1

B.用户名称:PC2

C.用户名称: PC3

D.用户标识符:0x000003E7

E.用户标识符:0x000003E8

F.用户标识符:0x000003E9

 取证大师找到用户信息，再将SID进制转换一下

18.[单选题] 工地主管计算机的预设浏览器是甚么?(2分)

A.Chrome

B.Firefox

C.Safari

D.以上皆否

 直接仿真查看默认程序

推荐X-Ways导出注册表，可以直接查看默认浏览器，windows10仿真又慢又卡

19.  [填空频工地主管计算机的其中一个分区被人加密，分区内的电子表格Material3.xlsx的哈希值(SHA1)是甚么?(请以英文全大写及阿拉伯数字回答)(1分)

FTP服务器中得到Bitlocker的密码，解密后计算哈希40418B21F6C3E4AF306D5EF3B80A776DA72FC1D2

20.[多选题]路由器的记录中显示以下有哪些IP是公司的电子器材?(3分)

A.192.168.40.128

B.192.168.40.129

C.192.168.40.130

D.192.168.40.131

E.192.168.40.132

分析日志文件可得

21.[填空题]路由器的记录中显示公司的计算机下载了FTP软件，该下载网站的IP是什麼?(请以阿拉伯数字作答，省去”.”符号)(3分)

从路由器的日志文件中找到下载ip为：49.12.121.47

22.[多选题)]路由器的记录中显示公司计算机的资料用FTP软件传到了甚么IP地址及利用端口?(2分)

A.IP地址: 2\*.2\*.2\*.114

B.IP地址: 8\*.8\*.1\*.20

C.IP地址: 1\*.1\*.0\*.13

D.端口: 21

E.端口: 80

 从日志文件中搜索，找到A选项，同时推理得到应该为21端口

PS:FTP常用端口20,/21，一个是数据端口，一个是控制端口，控制端口一般为21，而数据端口不一定是20，这和 FTP的应用模式有关，如果是主动模式，应该为20，如果为被动模式，由服务器端和客户端协商而定

23.[多选题] 路由器的记录中显示以下哪些关键词是表示公司计算机与外界网络联机?(2分)

A.destination

B.ICMP echo request

C.inside

D.outside

E.以上皆是

ABC三个选项都能在连接内网时候用到，故排除

24.[单选题] 路由器的记录中显示哪一个IP曾以teamviewer 连接公司计算机?(1分)

A. 110.152.0.14

B.52.152.117.114

C.180.152.0.13

D.83.26.80.131

 从日志文件中搜索得到外界ip连接的记录

PS：TeamViewer的端口使用(截图来着TeamViewer官网)

25.[多选题]路由器的记录中显示以下哪一个有可能是以teamviewer
遥控公司计算机的时间?(3分)

A.09:31,09:37

B.09:33,09:39

C.10:29,10:36

D.10:40

E.10:42

从日志文件中可以找到这几个时间

26.[填空题]路由器的记录中显示有多少电子器材有可能曾被入侵?(请以阿拉伯数字作答)(2分)

从四条外网访问信息中找到，共三个内网ip被用到，推测有3个电子器材被入侵

27.[多选题]阿力士
iPhone12pro电话于2021年10月21日，以下哪张相片可能曾被分享（UTC+8）？（3分）

A. IMG_0011HEIC

B. IMG_0010. HEIC

C. IMG_0009.HEIC

D. IMG_0008.HEIC

E. IMG_0007. HEIC

两张图大小不一样，推测小的为略缩图或分享时候压缩过

 且它不携带元数据，所以确定分享过

28.[单选题] 阿力士iPhone 12 pro电话中哪一张相片可能曾被修改拍摄时间?(2分)

A.IMG_0011.HEIC

B.IMG_0010.HEIC

C.IMG_0009.HEIC

D.IMG_0008.HEIC

并没有找到直接证据，但是推测文件大小较小的一张没有携带元数据，可能是曾被人为修改过

29.[填空题]阿力士iPhone 12
pro的GSM媒体访问控制地址是什么?(请以英文全大写及阿拉伯数字回答，不用输入”.”)(2分)

 设备信息中直接看到MAC地址为：e0:6d:17:31:92:06

30.[单选题] 阿力士的iphone 12 pro以什么屏幕密码保护?(1分)

A.6位阿拉伯数字密码

B.4位阿拉伯数字密码

C.图形密码

D.以上皆非

导出Manifest.plist文件，查看WasPasscodeSet为false，证明该手机没设置密码 

(做题的时候不懂这道题怎么做，赛后看了老师傅的WP，Manifest.plist是一个配置文件，记录一些手机设置信息)

31.[多选题]阿力士iphone 12 pro内以下哪一张相片是实况相片(live Photos)? (2分)

A.IMG_0011.HEIC

B.IMG_0010.HEIC

C.IMG_0012.HEIC

D.IMG_0009.HEIC 

LivePhotos指在照片拍摄前后录制一段1.5秒的动态视频，在视频中找到对应的三段动态视频

32.[单选题]以下哪一个是阿力士iphone 12 pro可能曾经连接的装置名称?(2分)

A.Chris's MacBook Pro

B.Chirs's iPhone

C.Chirs's Computer

D.Chirs's Linux

在interaction中找到曾与Chris's MacBook Pro交互

33.[多选题] 接上题，记录连接时间是什么时候(UTC+8)?(2分)

A.2021年10月21日 00:58:01

B.2021年10月21日 08:58:01

C.2021年10月21日 00:58:29

D.2021年10月21日 08:58:29

 34.[多选题]阿力士iPhone
XR中在软件WhatsApp中工地主管与阿力士的对话中曾提到:[巨叫我俾钱喎，BTC係唔係呢个啊?]，在进行电子数据取证分析后，以下哪一个是有可能关于此对话的正确描述?(2分)

A 此对话被Kariser Lee删除

B.此对话的附件为一张图片文件

C.此对话被Alex Chan删除

D.此对话是引用Alex Chan回复

如图

35.[填空题]阿力士iPhone XR的WhatsApp对话中，阿力士曾要求工地主管支付多少个BTC?(请以阿拉伯数字回答)(1分)

如图推断Alex要求对方支付10个bitcoin 

36.[多选题] 阿力士iPhoneXR中MG_0056.HEIC”的图像与"5005.JPG\*(MD5:96c48152249536d14eaa80086c92fcb9)看似为同一张相片，在电子数据取证分析下，以下哪样描述是正确?(2分)

A.储存在不同的.db里

B.有不同哈希值

C. IMG_0056.HEIC为原图,5005.JPG(MD5:96c48152249536d14eaa80086c92fcb9)为缩略图

D.IMG 0056.HEIC
曾被开启过，所以在I0S系统中创建了缩略图5005.JPG(MD5:96c48152249536d14eaa80086c92fcb9)

 对比推断

37.[多选题]阿力士iPhoneXR中相片檔IMG_0056.HEIC提供了什么电子数据取证的信息?(3分)

A此相片是由隔空投送(Airdrop)得来

B.此相片由iPhone XR拍摄

C.此相片的拍摄时间为2021-10-21 17:45:48(UTC+8)

D.此相片的拍摄时间为2021-09-08 17:35:00(UTC+8)

图片信息显示此图片并非XP所拍摄，推测airdrop传输 ，同时信息也显示了捕获时间

38.[单选题] 阿力士iPhoneXR中阿力士的电邮账户Alexc19851016@gmail.com的密码有可能是什么?(1分)

A.Ac19851016

B.Alex1985!

C.Aa475869!

D.以上皆非

从其备忘录中找到 

39.[填空题]阿力士iPhone XR曾经连接Wifi"Alex
Home”的密码是什么?(请以英文全大写及阿拉伯数字回答)(1分)

连接记录中得到WiFi密码12345678 

40.[单选题] 阿力士iPhone XR经ICloud备份的最后时间是什么?(UTC+8)?(1分)

A.2021-10-21 17:51:38(UTC+8)

B.2021-10-21 18:02:13+(UTC+8)

C.2021-10-21 09:51:38(UTC+8)

D.2021-10-21 10:02:13+(UTC+8)

基本信息中可以得到 

41.[填空题]阿力士IPhoneXR中的iBoot版本是iBoot-14.6?(请以阿拉伯数字回答，不用轮入”.”)(1分)

同40

42.多选题阿力士IPhoneXR中的WhatsApp群组【团购-新鲜猪肉牛肉-东涌群组-9/30】有以下哪一个成员?(2分)

A. 85260617332@s.whatsapp.net

B.85260452579@s.whatsapp.net

C.85248791565@s.whatsapp.net

D.85264630956@s.whatsapp.net

依次搜索得到 

 43.[单选题]阿力士的计算机显示曾于hongkongcard.com的论坛登记成为会员，以下哪个是他的帐户密码?(3分)

A.Aa475869!

B.Bb475869!

C.Cd475869!

D.以上皆非

同38

44.[单选]阿力士的计算机显示阿力士曾用什么方法进入受害者(主管)的计算机?(1分)

A.远程操控

B.特洛伊木马程序

C.勒索软件

D.恶意软件

由前文推断Alex用TeamViewer控制受害者的计算机

45.[单选题] 续上题，阿力士最后一次进入受害者(主管)计算机的时间是什么?(2分)

A.于2021年10月18日 10时36分

B.于2021年10月18日18时36分

C.于2021年10月18日6时53分

D.于2021年10月18日18时42分

查看TeamViewer连接记录 

46.[填空题]阿力士的计算机显示他曾经使用FTP程序，FTP的主机IP地址是什麼?(请以亚拉伯数字作答，省去”.”符号)(2分)

 查看FTP软件的连接记录得到FTP的ip为：218.255.242.114

47.[填空题]阿力士的计算机显示于2021年9月至2021年11月期间，计算机曾被登入过多少次?(请以阿拉伯数字回答)(1分)

查看系统信息得到登录次数 为28(进一步查看登录时间都在范围内，忘了截图了)

48.  [填空题]阿力士计算机所安装的Microsoft Office 2007是以下哪一个版本?(请以亚拉伯数字作答，省去”.”符号)(2分)

 如图所示12.0.4518.1014

49.[填空题]以下是阿力士计算机中的Basic data partition (EFI 3) 的VolumeID?(请以英文全大写及阿拉伯数字回答)(2分)

仿真以后使用detail disk命令查看 

50.[填空题]阿力士计算机的Window product
ID是什么?(请以英文全大写及阿拉伯数字回答，不用输入”-”)(1分)

系统信息中可以直接看到00331-10000-00001-AA411

51.[单选题]阿力士计算机曾经下载一张猴子的图片，以下哪一项描述正确?(1分)

A.该图片是由"https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSgn6ABvcqTfFPjclbjc9hdx1H4P1QsAuVyTQ&usqp=CAU”下载的

B.该图片经过加密

C.该图片于2021-09-30下载

D.该图片是由GIF档转换成PNG檔

 图片可以直接打开，说明无加密，没有证据证明该文件是由GIF转的PNG，在chrome下载记录中可以找到下载地址

52.  [填空题] 阿力士计算机所安装的Microsoft Office 2007的密钥是甚么?(请以英文全大写及阿拉伯数字回答，不用输入”-”)(1分)

从证据文件中找到office的激活码

 

53.[单选题] 阿力士FTP服务器用户使用命令行安装了甚么程序?(1分)

A.Docker

B.Chrome

C.FileZilla

D.TeamViewer

查看历史命令

54.[多选题]以下哪些档案于阿力士FTP 服务器曾重复出现?(3分)

A.Material1

B.Material2

C.Material3

D.Staff1

E.Staff2

F.Staft3

如图所示 

55.[填空题]在阿力士FTP服务器中，文件夹___曾被用户变更了访问权限(请以英文全大写及阿拉伯数字回答)(2分)

历史命令中发现Dangerous_Project文件夹被更改过权限 

56.[填空题]在阿力士FTP 服务器建设后，有___个额外用户被加入
(请以阿拉伯数字回答)(2分)

同样查看历史命令得到又增加了1个用户 

57.[单选题]根据阿力士FTP服务器设定显示，此服务器是以___方式连接网络，且是一个__网络状态(1分)

A.无线，公开

B.无线，私人

C.有线，公开

D.有线，私人

取证大师找到该服务器的网络配置

58.  [填空题]阿力士FTP 服务器设定最多使用者数目是__50_(请以阿拉伯数字回答)(2分)

找到该服务器的配置文件 

59.[填空题]阿力士FTP服务器使用Docker安装了一个FTP程序为____。(例如 space
docker/1.1，请输入spacedocker/1.1，不要输入空格)(2分

查看历史命令可以知道Alex在FTP服务器上装了stilliard/pure-ftpd程序

60.[多选题] 阿力士FTP 服务器曾使用过甚么版本的Linux内核?(2分)

A. linux-headers-5.11.0-16

B.linux-headers-5.11.0-17

C.linux-headers-5.11.0-36

D.linux-headers-5.11.0-37

E.linux-headers-5.11.0-40

 如图所示

61.[多选题]阿力士FTP 服务器的磁盘分区，有以下哪一种文件系统?(2分)

A.FAT16

B.FAT32

C.ExFAT

D.HFS+

E.Ext4

取证大师中查看 

62.[填空题]阿力士FTP服务器用户输入了指令___去检查现存的Docker容器(例 netstat
lntp,清输入netstatlntp,不能输入空格)(3分)

 查看历史命令(YYDS)docker container ps -a
 

第一次参加美亚杯，没有任何经验，就一股子劲嗯造，跟老师傅们比较有很大的不足，在此感谢一下我的队友(站内ID元元努力向上)