2022美亚杯--Individual

检材文件下载链接：https://pan.baidu.com/s/1kg8FMeMaj6BIBmuvUZHA3Q?pwd=ngzs
提取码：ngzs

个人赛下载文件解压密码：MeiyaCup2022

个人赛加密容器解密密钥：CZDGm#&2_Ns$7wSMn%ZGr7xntcHS7d5uFta#Up9544jx_cvP$uFM7?pTDa*jN&QyFDLS8U%hx$fXN^BY$Xsj+3@F^y#4QFXb*Uq@wLmkCE7?&Yp+nX6s@hKrzpVE%v?&

---

案件详情

于2022年10月，有市民因接获伪冒快递公司的电邮，不慎地于匪徒架设的假网站提供了个人信用咭资料导致经济损失。 警方追查下发现当中一名受骗市民男子李大輝 (TaiFai) 的信用卡曾经被匪徒在区内的商舖购物。 后来警方根据IP地址，锁定及拘捕了一名男子林浚熙 （阿熙 ChunHei），并于他的居所发现了一批相信曾被用作犯案的电脑及手机装置。

经调查后，警方发现阿熙除上述案件外，他亦牵涉其他的一些犯罪活动。

警方的电子数据取证小组在现场作出初步了调查并对涉案装置进行了电子数据取证。请你根据得到的资料，协助将事件经过还原。

---

检材

A)与’林浚熙’相关的资料

编号 1 林浚熙的调查报告
文件路径 Meiya_cup_2022/Individual/Report/ChunHei/林浚熙调查报告.pdf
哈希值：
SHA256 1CB8F69DACF1A8DB84F1F0208C46210827C5E182D316F7F9A4AE4CFBB8EBC859

编号 2 林浚熙的手机的电子数据
文件路径 Meiya_cup_2022/Individual/Image/ChunHei/ChunHei_iphone
哈希值：
SHA256 34AC7A2B5C3F51563076A758B28088FE92637A4C9E20A60D0F39C23389F51159

编号 3 林浚熙计算机的电子数据
文件路径 Meiya_cup_2022/Individual/Image/ChunHei/ChunHei_Desktop
哈希值：
SHA256 49177D9E144944118DF8D0F78DEA90A78F78D95C650B67D942AB2A0DC0EABB38

B)与受害人’李大辉’相关的资料

编号 4 李大辉的调查报告
文件路径 Meiya_cup/Individual/Report/TaiFai/助查人士李大輝调查报告.pdf
哈希值：
SHA256 C139AB65AC52FE9B3C9E0C7A9F9D6427F2F18FBE3C16585225F6DD01C4D500D2

编号 5 受害人李大辉的手机电子数据
文件路径 Meiya_cup_2022/Individual/Image/TaiFai/VTM_Mobile
哈希值： 092A7379B063A25A82A03EE07EEF1686BE86DD1F73C6E7B007BC26FADCB66555

C)与女友’王晓琳’相关的资料

编号 6 王晓林的调查报告
文件路径 Meiya_cup/Individual/Report/HiuLam/助查人士王晓琳调查报告.pdf
哈希值：
SHA256 5D9FC871259CAC02904947F83C2319E359C7CA916CA657555FF7F41E65A79B8A

编号 7 女友王晓林手机的电子数据
文件路径 Meiya_cup_2022/Individual/Image/HiuLam/HiuLam_iphone
哈希值： DB81354712AB1DC2BA01033E48CE97F811C77127A447B0928D83AE77A35C508D
 

---

题目(70)

王晓琳----手机

1.[单选题] 王晓琳在这本电子书籍里最后对哪段文字加入了重点标示效果(Highlight)?(2分)
A. 卿有何妙计
B. 宝玉已是三杯过去了
C. 武松那日早饭罢
D. 就除他做个强马温罢

2.[多选题] 王晓的手机里有一个 MTR Mobile (港)的手机程序(Mobile App)。 检视其数据库(Database) 的数据，王晓琳于2022年10月11日 22:04 时将一行程加入书签(Bookmark)，这段行程的起点及终点站包括?(2分)
A. 尖沙咀
B. 红硒
C. 康城
D. 青衣
E. 沙田

找到mtr

 转到源文件（跳转不到），直接在文件里搜mtr找到下面的数据库

           导出后用navicat打开

2022-10-11 22:04:00转换成时间戳是1665497040

2022-10-11 22:05:00转换成时间戳是1665497100

只有最后一行的1665497067是介于中间的，转换成时间戳是2022-10-11 22:04:27

3.[填空题] 王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片?(以拉伯数字回答)(1分)

90

按时间筛选

专业做法（当然不是我做的）

在该路径下的照片都是拍的，可以排除保存的照片，导出后筛选一下当天的就可以了 

4.[单选题] 检视王晓琳的手机照片，她于2022

年10月2日到过什么地方?(1分)
A.大潭郊游径
B.城门畔塘径
C.大榄麦理浩径
D.京士柏卫理径

李大辉----手机

5.[单选题] 李大辉使用的是一台LG V10的手机，它的型号是什么?(1分)
A. LGH960C
B. LGH961N
C. LGH960H
D. LGH961C
E. LGH961D

6.[单选题] 李大辉的手机最常搜索的类别(Category) 是什么?(1分)
A. 护肤品
B. 旅游
C. 运动
D. 学校

7.[填空题] 李大辉最近光顾了一家美丰快运公司，这快递件的单号是什么?(不要输入符号及空白，以阿拉伯数字回答)(1分）

单号一般先看短信，图片之类，找不到去看邮件

手机大师分析一下 （火眼貌似不能读取电邮。。。）

AY806369745

8.[单选题] 李大辉收到的电邮中有一个钓鱼链结(Phishing Link)，这个链结的地址是什么?(1分)
A. 以上皆非
B. https://bit.ly/3yeARcO
C. https://bit.ly/5vM12
D. http://bit.ly/Hell0

手机大师，在gmail中找到相关信息

9.[单选题] 承上题，这封电邮是从哪个电邮地址寄出的?(1分)
A. 以上皆非
B. Cavinchow456@yahoo.com
C. 2020ChanChan@hotmail.com
D. 30624700Peter@proton.me

10.[单选题] 承上题，寄出这封电邮的IP地址是?(2分)
A. 以上皆非
B. 65.54.185.39
C. 10.13.105.56
D. 58.152.110.218

找到的高级做法：

邮件来源是嫌疑人林浚熙，然后看现场勘验报告

林浚熙的ip为：182.188.122.58 以上都没有

11.[单选题] 李大辉手机有一个orderxlsx 的档案被加密了，解密钥匙是什么?(1分)
A. 2022 Nov!
B. 20221101
C. Nov2022!
D. P@sswOrd! 

在图库里找到一张便签上面应该就是密码了

打开看看：

12.[填空题]香港的街道上每一枝街灯都有编号。分析李大辉手机里的程序KMB 1933，哪一枝街灯在经度 Latitude) 22.4160270000，纬度(Longitude) 114.2139450000 附近，它的编号是什么?(以大写英及阿拉伯数字回答)(2分)

在应用程序检索一下：

 跳转源文件：

但是不行！！！！找不到数据库文件

那就直接在数据库里搜kmb了：

 导不出来失败了，，，，无所谓我可以在本地资源管理器里打开

 navicat打开也失败了。。 应该是文件损坏了吧？？？（离离原上谱

 13.[填空题]李大辉的手机里有一张由该手机拍的照片，照片的元资料(Metadata) 曾被修改，这张照片的档案名是什么?(以大写英文及数字回
答，不用回答副档名)(2分)

随便找一张图片然后跳转资源文件，查看详情，找到那张创建与修改时间不一样的

 20220922_152622.jpg

14.[单选题] 分析李大辉的手机里的资料，他在哪一间公司工作?(2分)
A. 美丽好化妆品公司
B. 步步高贸易公司
C. 盛大国际有限公司
D. 永恒化妆品公司

这题是由11题的文件引出，在oorder.xlsx文件边还有两个文件

pdf里即为工作证

（以后任何信息都要仔细查看，不然就成功错过了！！！）

 林浚熙----手机

15.[填空题] 林浚熙曾经以手机登录Google账户的验证码是什么?(不要输入符号，以大写英文及阿拉伯数字回答)(1分)

打开林俊晖手机检材，在短信里找

 G-785186

16.[填空题] 林浚熙手机的 WhatsApp’ 号码是什么?(号码)@s.whatsapp.net? (以阿拉伯数字回答)(1分)

85259308538 

17.[单选题] 通过分析林浚熙手机的照片，判断他在何处偷拍王晓琳?(1分)
A. 交通工具
B. 郊野公园
C. 游泳池
D. 酒店房间

你看介些像不像偷拍： 

18.[填空题] 林浚熙曾经删掉自己拍摄的照片，这张照片的档案名(Filename) 是什么?(不要输入，以大写英文及阿拉伯数字回答。如Cat10.jpg，需回答CAT10JPG)(2分)

 IMG_0444.JPG

19.[填空题] 王晓琳曾经发送一个PDF档案予林浚熙，这个档案的文件签名(File Signature) 是什么?(以十六进制数字答首八位数值，如FOA1C5E1)(2分)

直接在whatsapp里文件传输里查找

王晓琳whatsapp账号，与之吻合

 文件导出

 直接打不开，在文件里找到它，查看十六进制（这个PDF文件实质为xls文件）

 D0 CF 11 E0

20.[填空题] 承上题，该PDF档案内包含一位曾经被肩的受害者资料。分析林熙手机的数据，这位受害者的英文名字是什么?(不要输入符号及空白，以大写英文回答)(2分)

先把上题文件后缀修改一下

在聊天记录里找到一些受害者信息

一个一个搜受害者姓名

WONGSAIPING

21.[单选题] 分析林浚熙手机上的数据，他在2022年10月17日计划去什么地方?(2分)
A. 以上皆非
B. 荃湾站
C. 沙田站
D. 国际金融中心二期

发现一个waze的软件，百度一下

 是一个带GPS的软件，跳转源文件，导出相关数据库

 可以看到有一个EVENTS_PLACES的表是计划出行表

 共有两条记录

第二个沙田站时间戳转换一下，可以得到为17日出行 

22.[填空题] 承上题，上述行程的结束时间是?(如答案为 1:01:59，需回答 160159)(2分)

如上图

124500

23.[填空题] 于林浚熙的手机里，在2022年9月1日 或以后，哪一张照片是由其他手机拍摄的，而它的档案名是什么?(不要输入，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG)(2分)

IMG0446HEIC

只能说好难//

图片里分析一下发现，9.1之后拍的照片只有0446 （好像蒙对了 

大佬做法：

根据24题找到的字段来搜索，发现源文件名不一致，说明这个文件是其他手机拍摄的

select ZASSET.ZFILENAME,ZADDITIONALASSETATTRIBUTES.ZIMPORTEDBYBUNDLEIDENTIFIER,ZADDITIONALASSETATTRIBUTES.ZORIGINALFILENAME from ZASSET,ZADDITIONALASSETATTRIBUTES where ZASSET.Z_PK = ZADDITIONALASSETATTRIBUTES.Z_PK group by ZASSET.ZFILENAME

24.[单选题] 根据照片的数据库Photos.sglite) 资料，哪一个栏目标题(Column Header) 可以显示这张照片的接收方式?(2分)
A. ZRECEIVEMETHODIDENTIFIER
B. ZIMPORTEDFROMSOURCEIDENTIFIER
C. ZIMPORTEDBYBUNDLEIDENTIFIER
D. ZRECEIVEDFROMIDENTIFIER

导出数据库文件

25.[单选题] 承上题，这张照片通过什么方式接收?(2分)
A. 网页下载
B. 蓝牙传送
C. 以上皆非
D. WhatsApp软件传送
E. Signal软件传送

详见23 接收方式为apple sharingd 应该就是airdrop

26.[填空题] 承上题，这张照片原本的档案名(Original Filename) 是什么?不要输入，以大写英文及阿拉伯数字回答。如 Cat10,jpg，需回答CAT10JPG)(3分)

IMG0730HEIC

见23题

27.[填空题] 林浚熙手机里有一个备忘录(Notes)被上了锁，这个备忘录的名称是什么?(以大写英文及阿拉数字回答)(1分)

在数据库搜notes，导出

 看到‘Halo’和’今天’都加密

 HALO

28.[填空题] 承上题，上述备忘录的内容有一串数字，它是什么?(以阿拉伯数字回答)(2分)

太难了，大佬都去创建了mac虚拟机 

跳过跳过

林浚熙计算机

29.[单选题] 林浚熙计算机(Computer) 的操作系统(Operating System) 版本是什么?(1分)
A. Windows 10 Pro for Workstations 21H2
B. Windows 10 Pro 22H2
C. Windows 10 Home 21H2
D. Windows 10 Pro for Workstations 21H1

30.[填空题] 林浚照计算机安装了什么品牌的虚拟专用网络 Virtual Private Network - VPN)软件?(不要输入符号及空白，以大写英文及阿拉伯数字回答)(1分)

 

EXPRESSVPN 

31.[填空题] 承上题，分析该虚拟专用网络的日志(Log)，他在哪天安装该虚拟专用网络?(如答案为 2022-12-29，需回答 20221229)(2分)

20220915

32.[填空题] 检视林浚熙计算机的数据，他使用哪种加密货币(Cryptocurrency) 以支付虚拟专用网络软件?以大写英文回答该加密货币的全名，如 BITCOIN)(1分)

BITCOIN

 

33.[填空题] 林浚熙的加密贷钱包Cryptocurrency Wallet) 名称是什么?不要输入符号，以大写英文及阿拉伯数字回答2分)

tellaw_ieh

34.[多选题] 林浚熙计算机里安装了哪个浏览器(Web Browser)? (1分)

A. Internet Explorer

B. Microsoft Edge

C. Tor Browser

D. Opera

E. Google Chrome

除了桌面可见的浏览器，还有以下

35.[单选题] 林浚熙使用浏览器 Google Chrome’ 曾经浏览最多的是哪 个网站? (1分)
A. https://gmail.com
B. https://mail.google.com/mail
C. https://web.whatsapp.com
D. https://facebook.com

依次搜索历史记录条数，发现whatsapp最多

36.[多选题] 除了上述网站,林浚熙曾使用浏览器 Google Chrome’ 搜索过什么?(1分)
A. javascript教学
B. php sql教学
C. tor教学
D. docker image教学
E. electrum教学

 

 

 

37.[单选题] 林浚照的计算机安装了一个通讯软件Signal’，它的用户部储存路径是什么?(1分)
A. Users\HEINDesktop Signal
B. Users\HEI\AppData Roaming Signa
C. Program Files (x86)Signal
D. Users\user Roaming Signal

在聊天记录中跳转源文件 

 

38.[填空题] 通讯软件Signa’ 采用一个档案存放用户的聊天记录，它的档案名是什么?(不要输入，以大写英文及阿拉伯数字回答。如Cat10.jpg，需回答CAT10JPG)(2分)

DBSQLITE

见上题

39.[填空题] 承上题，对上档案进行分析，林发熙的联络人当中有多少人安装了Siqnal?(以阿拉伯数字回答)(3分)

4

用美亚小程序取证

 共5名联系人减去本人 一共4人

40.[填空题] 林浚熙在“Signal’ 曾经与某人对话，那人的手机号码是什么? 需要与区码(Area Code) 一同答(以阿拉伯数字3分)

可以看到，嫌疑人只与Rocky聊过天

+85270711901 

41.[多选题] 承上题，两人在Signal’ 的对话中有些讯息(Message) 包含附件，这些讯息的ID’包括?(2分)
A.5b9650fe-3bb6-4182-9900-f56177003672
B.46a8762b-78ea-49aa-a6f5-b24975ec189f
C.9729bf92-ab9c-45f7-8147-66234296aele
D.47233ffe-1a73-4b3d-b97c-626246ec3129

42.[填空题]承上题，林浚熙曾经于2022年10月20日轉账 (Transfer Money) 予上述对话人士,那次轉賬的参考编号是什么?(以大写英文及阿拉白数字回答)(3分)

N91088774024

43.[单选题] 林浚照的计算机安装了多少台虚拟机Virtual Machine - VM) ?(以阿拉伯数字回答)(1分)
A.4
B.1
C.2
D.3

44.[单选题] 林浚熙的计算机里的虚拟机(VM) 存放在什么路径?(1分)
A.User HEI Roaming Virtual Machinesl
B.Users Public Documents Virtual Machines
C.Program Files Virtual Machines
D.\Users\HEINDocuments Virtual Machines

45.[单选题] 虚拟机 (VM) 使用什么版本的作业系统(Operating System) ?(1分)
A. CentOs Linux 7.5.1804 (Core)
B. Ubuntu 22.04.1 LTS
C. CentOS Linux release 7.6.1810(Core)
D. Ubuntu 20.04.5 LTS

仿真打开虚拟机 

46.[多选题] 虚拟机(VM) 中的文件传输服务器(FTP Server) 有哪些用户?(2分)
A. nobody
B. root
C. admin
D. man
E. ftpuser

直接在仿真里打开虚拟机 但是不知道密码！！

直接导出文件，在取证里面打开，就可以绕过密码了 

以下操作我都是搬运的，根本不会

47.[多选题] 虚拟机设置了什么网页服务器(Web Server)? (2分)

A. NGINX

B. LIGHTTPD

C. WORDPRESS

D. APACHE

E. IIS

 

48.[单选题] 网页服务器目录内有图片档案，而此档案的储存位置是?(1分)
A. /var/www/html/post/src
B. /var/www/html/post/css
C. /var/www/html/post/vendor
D. /var/www/post

 找到图片，然后跳转资源文件

49.[单选题] 分析网页服务器的网站数据，假网站的公司名称是什么?(1分)
A. Krick Global Logistics
B. Global Logistics
C. Krick Post Global Logistics
D. Krick Post

在美亚可以看到图片

50.[单选题] 检视假网站首页的显示，AY806369745HK 代表什么?(1分)
A. 邮件号码
B. 邮件收费号码
C. 邮件序号
D. 邮件参考号码

51.[填空题] 分析假网站的资料，当受害人经假网站输入数据后，网站会产生一个档案，它的档案名是什么?(不要输入“，以大写英文及阿拉数字回答。如 Cat10.jpg，需回答CAT10JPG)(2分)

看下一题得知源码为 process.php

vu.txt

52.[多选题] 分析假网站档案，process.php’ 源码(Source Code),推测此档案的用途可能是?(2分)
A. 改变函数
B. 产生档案
C. 发出邮件
D. 更新数据库

根据上题，可知有“产生档案”用途

同时分析源码可知，还有“发邮件”功能

53.[填空题] 检视档案process.php’ 源码, 林浚照的电邮密码是?(以大写英文回答)(1分)

 RTATSCEUCPACOCBDACS

54.[多选题] 分析档案process.php’ 源码, 它不会收集哪些资料?(2分)
A. GPS位置
B. 信用卡号码
C. 短讯验证码
D. 电话号码
E. 电邮地址

信用卡号码，邮地址

55.[填空题] 虚拟机 (VM)安装了 Docker 程序，列出一个以5作为开端的 Doker"镜像 mage) ID (以阿拉伯数字及大写英文回答)（2分)

5d58c024174dd06df1c4d41d8d44b485e3080422374971005270588204ca3b82
 

56.[填空题] Docker 容器(Container)mysql’ 对外开放的通讯端口(Port) 是?(3分)

43306

57.[填空题] Docker容器mysql，用户 root’ 的密码是?(以大写英文及阿拉伯数字回答)(2分)

2WSC3EDC

58.[填空题] Docker容器，mysql 里哪一个数据库储存了大量个人资料?(以大写英文回答)(3分) 

KRICKPOST

手动找，进入mysql

59.[填空题]检视 Docker 容器’mysql’ 内数据库里的资料，李大辉的出生日期是?(如答案为 2022-12-29，需答 20221229) (3分)

19850214

分析表结构

60[多选题] 通过取证调查结果进行分析(包括但不限于以上问题及情节)，林照的行为涉及哪一种罪案?(5分)
A.传送儿童色情物品
B.抢劫
C.诈骗
D.勒索金钱
E.购买毒品

勒索金钱

 诈骗

61.[填空题] 王晓琳手机的MEI’ 号是什么?(以阿拉伯数字回答)(1分)

352978115584444352978116182982 

62.[多选题] 王晓琳的手机安装了什么即时通讯软件(lnstant Messaging Apps)?(1分)
A. Signal
B. 微信(WeChat)
C. QQ
D. WhatsApp
E. LINE

 

63.[单选题] 王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 PDF档案?(以时区UTC+8回答)(1分)
A.2022-09-30 17:39:53
B.2022-10-01 17:39:53
C.2022-09-30 18:30:28
D.2022-10-01 16:30:22

之前有做到过

64.[填空题] 承上题，这个 PDF 档案的MD5哈希值Hash Value) 是什么?(以大写英文及阿拉伯数字回答)(1分)

AE0D6735BBE45B0B8F1AB7838623D9C8

65.[单选题] 王晓琳将这个“PDF 档案发给哪一个用户,而该用户的手机号码是什么?(1分)
A.85297663607
B.85259308538
C.85269707307
D.85246427813

66.[多选题] 王晓琳发出这个，PDF 档案的原因是什么?(1分)
A.寻求协助
B.分享档案内容
C.错误发出
D.无法开启

67.[单选题] 承上题，分析王晓琳与上述用户的对话，他们的关系是什么?(1分)
A. 客户
B. 师生
C. 家人
D. 同事

68.[单选题] 王晓琳于何时要求上述用户删除 张照片?(1分)
A. 2022-10-06
B. 2022-09-28
C. 2022-09-30
D. 2022-10-03

69.[单选题] 承上题，该用户向王晓琳提出什么要求以删除这张照片?(1分)
A. 金钱
B. 毒品
C. 性服务
D. 加密货币

如上图

70.[单选题] 王晓琳的手机里有什么电了书籍(Electronic Book) ?(2分)
A. 三国演义
B. 红楼梦
C. 水浒传
D. 西游记