22美亚个人赛晋级赛write up（包含第28题解析）

1、

选择题直接对答案进行搜索

最后只有卿有何妙计能找到答案。

看了别人wp，发现这题与70题呼应

2、

在王晓琳手机文件系统中搜索mtr

在以下路径找到数据库E_Tourist.db

将我们需要找到的时间日期转换成时间戳对比

找到这一条数据

所以是青衣

3、

苹果的iOS 11更新后，iPhone 7及其后硬件，在拍摄照片时默认存储为HEIC格式，直接看手机文件系统中的heic格式图片

从序号3到92一共90张照片

4、

在照片中发现当天拍摄的地标

5、

B

6、

比对浏览器和百度的搜索记录后，发现护肤品的数量最多

7、

短信等通知都没找到，在图片里面寻找

该路径

4567567812344567

8、

找到存储邮件的数据库

打开后在conversation表中找到

9、

找到在同一个数据库中的message表中找到（相同的conversation值）

10、

找到该邮件寄送地址https://mail.google.com， ping一下查看链接

找到ip 142.251.42.229

11、

之前翻照片翻到了疑似密码的一张图片

尝试后发现正确，C

12、

找到数据库

搜索经纬度找到

CE1453

13、

创建时间和修改时间不同，被修改过

14、

在一个文档中找到职员证

15、

在信息中找到

G-785186

16、

直接找到

17、

在照片中找到

看起来应该是酒店

18、

查看嫌疑人手机相册最近删除，只有一张照片

19、

在俩人的聊天记录中找到了文件，将他导出

用010 editor（十六进制查看器）查看

文件签名也就是文件头，前八位

20、

查了一下，这个文件头是xls或者word的文件头，而不是pdf

改后缀名为xls后打开

对比嫌疑人记录的受害者姓名，发现Wong Sai Ping名字重复

21、

找到出行app Waze

找到waze数据文件夹，发现一个数据库，打开查看

将2022年10月17日00：00：00和18日00：00：00转换为时间戳

开头应该是166593600—1666022400之间，在数据库中查找

找到沙田站

22、

同上题图，1665981900

23、

打开图片数据库，发现一个较为突兀的名字

0730，1401，1402

其中1401，1402能被搜索到，0730不能，嫌疑较大

根据他的修改时间来找

找到文件名IMG_0446.HEIC

24、

同上题数据库

Imported by Bundle Identifier

表格名是Imported by Bundle Identifier

应该是导入的意思

25、

苹果分享，没有这个选项，C

26、

同23，IMG_0730.HEIC

27、

发现只有一个备忘录打不开

Halo

28、

先做一个mac虚拟机，在其~/Library/Group Containers/group.com.apple.notes目录下，将原本的NoteStore.sqlite等三个数据库文件替换

打开备忘录，发现Halo需要输入密码，在NoteStore.sqlite中找到密码为234567，打开后发现内容是123456

29、

发现不够细致，把计算机仿真起来看看

选A

30、

直接在索引里面搜索VPN得到答案：ExpressVPN

其次，桌面就有

31、

同上题，找到后直接查看他的创建时间

2022-09-15 20:33:27

32、

在桌面发现了一个软件Electrum

网上搜索发现是比特币钱包

BITCOIN

33、

同上，打开Electrum查看

钱包名为：tellaw_ieh

34、

直接用火眼分析软件+桌面查看

所以是ABCE

35、

直接用火眼分析软件查看他的历史浏览记录

排序后应该是WhatsApp

36、

直接搜索，因为有繁体字所以只搜索了“教”

BCDE

37、

直接查看属性

C:\Users\HEI\AppData\Local\Programs\signal-desktop\Signal.exe

38、

随意找一个聊天记录，右键，跳转到源文件

DBSQLITE

39、

打开数据库db.sqlite，发现需要密码，但是signal的密钥是明文保存在路径%AppData/signal/config.json

找到密钥：45cc1769003bb596166e0d5a01ad20bb056392cc690618764a5204da28476e1b

一共五个联系人，其中要去掉号主自己，四个

40、

直接就有

85270711901

41、

查看数据库表message，hasattachment一列，0为无附件，1为有附件

AB

42、

聊天记录直接查看得到

43、

问的是VM，直接查看嵌套证据识别

1个，A

44、

D

45、

火眼跑一下先

D

46、

试着仿真虚拟机，先用火眼仿真软件重置密码为123456，打开

cat /etc/ftpusers，列出所有ftp用户

AE

47、

用网探连接，查看网站列

AE

48、

都打开看看，最后发现是C

49、

答案就是上一题的图片之一

D

50、

在/var/www/html/post/index.php中找到

C

Btw，这题做烦了，直接打开网站首页就可以了

51、

尝试随意输入数据后上传

发现应该是保存在了process.php中，打开看看

把结果写在了“vu.txt”

VUTXT

52、

根据上题，存在A产生档案的行为，另外发现了SMTP协议，存在B发出邮件的行为

AB

53、

直接查看process.php文件得到

RTATSCEUCPACOCBDACS

54、

直接看前台要我们输入哪些信息

ABE

55、

网探软件直接查看获得

5D58C024174DD06DF1C4D41D8D44B485E3080422374971005270588204CA3B82

56、

用docker ps -a命令查看到有一个ca开头的数据库，将他开启

是将本机的43306端口映射至了容器的3306 

43306

57、

在历史命令中找到

2WSX3EDC

58、

用navicat连接数据库看一下

账号root，密码2wsx3edc

在krickpost中发现大量个人信息

KRICKPOST

59、

在之前嫌疑人手机中发现李大辉的英文名

LI TA HUI，用这个名字在数据库中查找

19850214

60、

诈骗＋勒索

交易毒品

ABD

61、

352978115584444

62、

ABD

63、

A

64、

AE0D6735BBE45B0B8F1AB7838623D9C8

65、

B

66、

A

67、

D

68、

D

69、

A

70、

同第一题，A