21年美亚杯个人题解，由于要准备美亚22，所以认真地刷了一下题，这里也分享一下个人赛题目，希望与大家一起进步。

案件背景：

2021年10月某日早上，本市一个名为“大路建设”的高速公路工地主管发现办公室的计算机被加密并无法开启，其后收到了勒索通知。考虑到高速公路的基建安全，主管决定报警。警方调查人员到达现场取证，发现办公室内有三部个人计算机，通过一个老款路由器接入互联网。

经调查相关电子证据后，警方怀疑一位本地男子–阿力士与本案有关，并将他拘捕。现在你被委派处理这起案件,请由以下资料分析阿力士在本案中的违法犯罪行为, 并还原事件经过。

FTP FTP.E01

Alex的电脑 Alex_Windows_Computer.E01

Alex的iphone XR Alex iPhone XR

Alex的iPHone 12 pro Alex iPHone 12 pro.zip

办公室路由器日志 Router Log

工地主管办公室的电脑 VTM-computer.e01

工地主管的iphone6 3个文件

警方现场勘查的调查报告 阿力士的背景资料和调查报告

第一次见到CellebriteReader.exe

工地主管的iphone6

软件变化说实话很多人适应不了，包括我，中文版都搞了半天，而且这个软件很垃圾，电脑打开很慢，而且容易卡，比赛的时候很紧张，受不了未响应这种垃圾，心态容易奔溃。

我两个小时做完总结：说实话我只做了43道，后面的题目压根没有时间看，客观的说很幸运没有这次考试，这也是我第一次全真模拟，说实话感觉真是不一样，真正现场两个小时我觉得冷静会不足，会非常紧张，说实话我也不知道个人赛多少分能拿奖，应该晋级不难好像做对10几题，拿20分就可以参加团队赛，但是拿奖应该蛮难的，我也不知道，哈哈哈，总结下来就是适应度要提高，我感觉2021题目难了很多很多，真的相比19,20难度上去了很多，而且今年也不知道会咋样，会不会全新软件，都不知道了，软件适应要修炼，攻防选手优势会越来越大，2小时真的是太短了，懂得舍弃也很重要，保证全部题目看完，然后做完是不现实的，但是我相信把简单的题目做完拿奖肯定是没有问题的，个人赛的奖好像含金量很高，哈哈哈相当于团体一等奖比例啦。

官方直播一些建议：非常喜欢开发小程序，小程序能发挥很多作用，要探索小程序，建议提前到共享平台下载好

    1. [单选题] 工地主管电话的微信账号是什么? (1分)

    A. Kasier751111

    B. Kasierlee751111

    C. Kasierlee

    D. 以上皆非

爆搜没有找到，所以以上皆非，选D，这题我找不到，就没做了，也想不到第一题就选这个。

还是要准备好离奇情况发生。

    2. [填空题] 工地主管的隔空投送装置编号是什么? (请以英文全大写及阿拉伯数字回答) (1分)

780F624DF099

直接翻译隔空投送，然后找到AirDrop就好了

    3. [单选题] 工地主管电话的哪一个应用程序有关于于经纬度24.490474, 118.110220的纪录? (2分)

    A. 照片

    B. WhatsApp

    C. Apple Maps

    D. 以上皆非

C

爆搜解决问题

    4. [多选题] 工地主管的手提电话中下列哪些数据正确? (1分)

    A. iOS 版本为 12.5.4

    B. IMEI 为 454120637213361

    C. Apple ID 为 kaiserlee3660@gmail.com

    D. 手机曾经安装dropbox 应用程序

Ac

还是爆搜

    5. [填空题] 工地主管的电话最常使用的浏览器是什么? (请以英文全大写回答) (1分)

 SAFARI

找尾部、历史记录，看到的全部是这个

    6. [单选题] 工地主管的电话连接过哪一个WiFi? (1分)

    A. Kaiser Lee

    B. Kaiser

    C. Free Wifi

    D. Kaiser Home

A

可以选择无线网看，也可以去爆搜

    7. [多选题] 工地主管与Alex Chan的Whatsapp 对话中，曾提及以下哪个TeamViewer的用户号码? (3分)

    A. 435334881

    B. 453851521

    C. 435475200

    D. 456874155

    E. 435270306

Ace

聊天记录要仔细看，特别是厂长与阿力士的对话，我建议可以去翻译一下，粤语在线翻译

在聊天记录里藏了3个

    8. [填空题] 工地主管的WhatsApp中有多少个黑名单的记录? (请以阿拉伯数字回答) (2分)

考试的时候不会

第一步找文件位置，进而去找数据库

 找到sql文件，然后猜测这就是

 网上查一下

所以答案确定为0，主要是看数据库操作，反定位

    9. [多选题] 以下哪个蓝牙装置的Uuid 曾连接过工地主管的手机? (2分)

    A. 7F1FE70D-2B15-C245-853D-4196F13CC446

    B. 1B057C1D-83D3-99A6-D2B1-EC54846C7CEE

    C. 134ACD1-83D3-99A6-D2B1-EC54846C7CEE

    D. 7D1BE70D-2C16-D246-851D-491613DD776

 AB

软件一开始没有写出来，但是给了数据库位置，和前面一题一样，反向检索找到数据库所在位置

「Kaiser」的 iPhone/containers/Shared/SystemGroup/systemgroup.com.apple.bluetooth/Library/Database/com.apple.MobileBluetooth.ledevices.other.db : 0x3F9B(表: OtherDevices，大小: 16384 字节)

    10. [填空题] 工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

36EBC18095F741FFBE5B4E56E7AF48B1

反正不会做，直接美亚大师爆搜，或者去点击E盘，然后右击bitlock解密，也是会显示密匙什么

    11. [填空题] 工地主管计算机內的FTP程序FileZilla的用户名称是甚么? (请以英文全大写及阿拉伯数字回答) (3分)

 ALEX

    12. [填空题] 工地主管的Team Viewer ID 是甚么? (请以英文全大写及阿拉伯数字回答) (2分)

435270306

我是直接弘连看到的

聊天记录里面也能看到，我当时粗心了

    13. [填空题] 工地主管的Team Viewer与哪一个ID连接? (请以英文全大写及阿拉伯数字回答) (3分)

420190768这个是不全的，就是我光看出来的

这里我解释一下为什么，如下是美亚的

 后面这个是火眼的

 果然美亚杯就是喜欢你用美亚的软件做，美亚杯用美亚

    14. [多选题] 工地主管曾用计算机浏览器作搜寻，以下哪一个关键词他曾经搜寻? (3分)

    A. tiktok

    B. web whatsapp

    C. facebook

    D. lihkg

    E. hkgolden

    F. web wechat

CD这个题目我做错，很细很细

首先BCD全部是搜索的到的，下图是D，但是很骚，搜索关键词是lighk，但是题目是lihkg

最骚的是，他lihkg也是搜得到的，但是不是搜索关键词，应该是网站做的一个误导，而且题目还是3分，所以很多人应该错了，要细心，仔细

    15. [填空题] 工地主管计算机的Windows系统的产品标识符是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

只要是软件可以做的，就不要去仿真，仿真太浪费时间，而且涉及到具体操作，非常非常麻烦

 003111000000001AA962

    16. [填空题] 工地主管曾用计算机使用WhatsApp，他曾和以下哪个电话号码沟通? (请以阿拉伯数字回答) (2分)

不会

我真不会，主管的电脑里面是没有的，我网上看了其他大神的博客，对这一题均表示不清楚

我可以给一下官方的wp做一个参考，这个题应该比较骚。

    17. [多选题] 工地主管计算机的用户名称是甚么? 其用户标识符是甚么? (2分)

    A. 用户名称: PC1

    B. 用户名称: PC2

    C. 用户名称: PC3

    D. 用户标识符: 0x000003E7

    E. 用户标识符: 0x000003E8

    F. 用户标识符: 0x000003E9

A

还有一个用户标识符是F，我网上疯狂搜索也找不到，仿真怎么查也看不到

原来用户标识符是这样做的

用户是pc1，后面有一个用户ID，很长的

 

 后面的1001用16进制算出来就是，就是sid的最后一位

    18. [单选题] 工地主管计算机的预设浏览器是甚么? (2分)

    A. Chrome

    B. Firefox

    C. Safari

    D. 以上皆否

D这个我又做错了，首先要理解什么是预设浏览器，就是默认浏览器，不是最早下载的浏览器。

这里叫我一时间做我也不会，我想可以写一个word，然后里面写一个百度网址，点击开就是默认浏览器，我试了一下发现不行，悲伤。

我就把本机的html复制到虚拟机里面，就OK了

    19. [填空题] 工地主管计算机的其中一个分区被人加密，分区内的电子表格Material3.xlsx的哈希值(SHA1)是甚么? (请以英文全大写及阿拉伯数字回答) (1分)

 这里有修复密钥标识，美亚大师里面也看得到，但是无奈这个是解不出来的，我看了网上的解析

要到服务器里面查看，我把FTk放到弘连里面就跑出来了

 这里显示三个，根据前面提示，36e那个，我们初步可以锁定第三个，打开一看，发现无论如何我都无法解密，然后抱着试一试的心态，去看了看美亚，密钥写的蛮好，也确实是那个一个，可是就是不行

 然后我就用美亚大师里解密，还真的打开了，惊奇了，偏爱自家软件过分

我看了官方解析后，发现美亚有个牛逼功能，就是可以直接解析，在没把加密分区解出来的时候就可以通过爆搜找到，真是无敌了软件。

    20. [多选题] 路由器的记录中显示以下有哪些IP是公司的电子器材? (3分)

    A. 192.168.40.128

    B. 192.168.40.129

    C. 192.168.40.130

    D. 192.168.40.131

    E. 192.168.40.132

ABCD

这里讲一下路由器的知识

报告可以知道路由器端口是192.168.40.124

所以可以证明40端口是次局域网内内网ip，就是说所有设备，40都是内网中。如果是后面那个129就说明是公网ip

HTTPS默认端口就是443

FTP的默认端口就是21

方法很简单，在路由器日记里面爆搜就好了

    21. [填空题] 路由器的记录中显示公司的计算机下载了FTP软件，该下载网站的IP是什麼?(请以亚拉伯数字作答，省去“.”符号) (3分)

491212147

直接进行爆搜，发现搜不到

 然后我去网上搜FTP软件有哪几个，然后倒着搜

 

最后发现只有FileZilla是搜得到的，其他全部找不到，投机了

然后顺藤摸瓜找到答案

    22. [多选题] 路由器的记录中显示公司计算机的资料用FTP软件传到了甚么IP地址及利用端口? (2分)

    A. IP地址: 2*.2*.2*.114

    B. IP地址: 8*.8*.1*.20

    C. IP地址: 1*.1*.0*.13

    D. 端口: 21

    E. 端口: 80

BCE完全做错

这题我不会做，去看了解析，发现也做不出来，不如直接看美亚，我客观的说，偏袒软件真的很多。很多大佬也反应做不出来

    23. [多选题] 路由器的记录中显示以下哪些关键词是表示公司计算机与外界网络联机? (2分)

    A. destination

    B. ICMP echo request

    C. inside

    D. outside

    E. 以上皆是

E错了，答案是AD我疑惑的主要是BICMP echo request，我都是百度的，说法主要是接受报文，我当时觉得是联网严格来说确实没有表示和外界网络联机，这题是2分，选两个（我找找规律）

    24. [单选题] 路由器的记录中显示哪一个IP曾以teamviewer 连接公司计算机? (1分)

    A. 110.152.0.14

    B. 52.152.117.114

    C. 180.152.0.13

    D. 83.26.80.131

C错答案是B

正面搜一个都找不到

反向搜索希望排错发现都是有的

 因为公司计算机只有主管的，所以思路就是去找主管

最后找到答案个屁，

最后细致的反向搜B选项用TCP协议

 这是A，我百度了一下发现是关于防火墙的 用UDP协议，由于远程控制需要较高的可靠性，所以TCP协议可靠性高很多，所以也可以模糊的排除UDP链接

 这是C，网址不太对   这里没显示完全，也是TCP链接

 这是D显然不对，这个意思是40端口（主管机器）去访问（inside）83，明显不对

再分享一个骚方法，

直接倒查端口，虽然有风险，但是大部分情况可以，总比做不出来好

    25. [多选题] 路由器的记录中显示以下哪一个有可能是以teamviewer 遥控公司计算机的时间? (3分)

    A. 09:31, 09:37

    B. 09:33, 09:39

    C. 10:29, 10:36

    D. 10:40

    E. 10:42

A不糊

找到IP地址，直接在文件爆搜，找时间就可以了

我考试的时候不会，如果按照上图的话，发现一个都不太像

因为涉及路由器记录，所以还是回路由器里面找，毕竟ip找到了

    26. [填空题] 路由器的记录中显示有多少电子器材有可能曾被入侵? (请以阿拉伯数字作答) (2分)

3

说实话我猜的，因为聊天记录里面有三台电脑，一个是主管，两个是同事的，所以猜测3

    27. [多选题] 阿力士iPhone 12 pro电话 于2021年10月21日，以下哪一张相片可能曾被分享 (UTC+8)? (3分)

    A. IMG_0011.HEIC

    B. IMG_0010.HEIC

    C. IMG_0009.HEIC

    D. IMG_0008.HEIC

    E. IMG_0007.HEIC

B，我是猜的，所以错了，猜的原因是文件夹不一样，我是看路径猜的

总结大佬的经验，这里有两个思路：

1：如果照片是自己拍的，而且分享，那就有两张图片，一大一小

2：如果聊天不发原图，EXIf元数据就没了，也就看不到其他信息，也就解释了为什么微信盆友圈图片是看不到相关的拍摄信息的。

所以11就是被分享的那个

    28. [单选题] 阿力士iPhone 12 pro电话中哪一张相片可能曾被修改拍摄时间? (2分)

    A. IMG_0011.HEIC

    B. IMG_0010.HEIC

    C. IMG_0009.HEIC

    D. IMG_0008.HEIC

D

    29. [填空题] 阿力士iPhone 12 pro 的GSM媒体访问控制地址是什么? (请以英文全大写及阿拉伯数字回答，不用输入":") (2分)

e06d17382420

应该是MAC地址

    30. [单选题] 阿力士的iphone 12 pro以什么屏幕密码保护? (1分)

    A. 6位阿拉伯数字密码

    B. 4位阿拉伯数字密码

    C. 图形密码

    D. 以上皆非

说实话这个题很难很难，网上解析只有奇安信老大做出来了，这里小小的引用一下

手工查找pslist文件，找到manifest.plist文件中的WasPasscode的值为false，表示没有设置密码锁。

我太菜了，不会，放弃了答案是D，可以参考大佬的解法

    31. [多选题] 阿力士iphone 12 pro内以下哪一张相片是实况相片(live Photos)? (2分)

    A. IMG_0011.HEIC

    B. IMG_0010.HEIC

    C. IMG_0012.HEIC

    D. IMG_0009.HEIC

B

实际上答案是ABD

我当时在图片里看，仅仅觉得10路径不一样，我就选了，真的不会

正确的做法是到文件里面去看，实况照片其实就是拍一段视频，所以由mov的

    32. [单选题] 以下哪一个是阿力士iphone 12 pro可能曾经连接的装置名称? (2分)

    A. Chris’s MacBook Pro

    B. Chirs’s iPhone

    C. Chirs’s Computer

    D. Chirs’s Linux

A，啥都不会就爆搜

 发现联系人里面也有

iPhone 12 Pro/mobile/Library/CoreDuet/People/interactionC.db : 0x5FEB(表: ZCONTACTS，大小: 180224 字节)

    33. [多选题] 接上题，记录连接时间是什么时候(UTC+8)? (2分)

    A. 2021年10月21日 00:58:01

    B. 2021年10月21日 08:58:01

    C. 2021年10月21日 00:58:29

    D. 2021年10月21日 08:58:29

B送了

    34. [多选题] 阿力士iPhone XR中在软件WhatsApp中工地主管与阿力士的对话中曾提到：[佢叫我俾钱喎，BTC係唔係呢个啊？]。在进行电子数据取证分析后，以下哪一个是有可能关于此对话的正确描述？ (2分)

    A. 此对话被Kariser Lee删除

    B. 此对话的附件为一张图片文件

    C. 此对话被Alex Chan 删除

    D. 此对话是引用Alex Chan 回复

BD

 

    35. [填空题] 阿力士iPhone XR的WhatsApp对话中，阿力士曾要求工地主管支付多少个BTC? (请以阿拉伯数字回答) (1分)

10

    36. [多选题] 阿力士iPhone XR中 “IMG_0056.HEIC”的图像与"5005.JPG"(MD5: 96c48152249536d14eaa80086c92fcb9)” 看似为同一张相片，在电子数据取证分析下，以下哪样描述是正确? (2分)

    A. 储存在不同的.db 里

    B. 有不同哈希值

    C. IMG_0056.HEIC 为原图, 5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9)为缩略图

    D. IMG_0056.HEIC 曾被开启过，所以在IOS系统中创建了缩略图5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9)

ABCD错了，答案是BC

我会继续学习的

搜索出来发现是这两个图片

A：虽然看起来表面路径不一样，后台文件查了，从大数据库角度而言，确实一样，但是从小的来说确实不是一个db，等会再看看

D:按照前面题目来说，这个是分享图，所以我觉得D也没什么问题

    37. [多选题] 阿力士iPhone XR中相片檔IMG_0056.HEIC提供了什么电子数据取证的信息? (3分)

    A. 此相片是由隔空投送 (Airdrop)得来

    B. 此相片由iPhone XR拍摄

    C. 此相片的拍摄时间为2021-10-21 17:45:48(UTC+8)

    D. 此相片的拍摄时间为2021-09-08 17:35:00(UTC+8)

AD

    38. [单选题] 阿力士iPhone XR中阿力士的电邮账户Alexc19851016@gmail.com的密码有可能是什么? (1分)

    A. Ac19851016

    B. Alex1985!

    C. Aa475869!

    D. 以上皆非

C

    39. [填空题] 阿力士iPhone XR曾经连接Wifi “Alex Home”的密码是什么? (请以英文全大写及阿拉伯数字回答) (1分)

12345678

    40. [单选题] 阿力士iPhone XR经iCloud备份的最后时间是什么?(UTC+8)? (1分)

    A. 2021-10-21 17:51:38(UTC+8)

    B. 2021-10-21 18:02:13 + (UTC+8)

    C. 2021-10-21 09:51:38(UTC+8)

    D. 2021-10-21 10:02:13 + (UTC+8)

A

2021-10-21T09:51:38.000+00:00

    41. [填空题] 阿力士iPhone XR中的iBoot版本是iBoot-__________? (请以阿拉伯数字回答，不用轮入“.”) (1分)

    42. [多选题] 阿力士iPhone XR中的WhatsApp群组『团购-新鲜猪肉牛肉-东涌群组-9/30』有以下哪一个成员? (2分)

    A. 85260617332@s.whatsapp.net

    B. 85260452579@s.whatsapp.net

    C. 85248791565@s.whatsapp.net

    D. 85264630956@s.whatsapp.net

Ad

    43. [单选题] 阿力士的计算机显示曾于hongkongcard.com 的论坛登记成为会员，以下哪个是他的帐户密码? (3分)

    A. Aa475869!

    B. Bb475869!

    C. Cd475869!

    D. 以上皆非

爆搜

A说实话我有很多理由猜A，前面看到了很多A出现，比如那个密码布，比如弘连绕过的时候显示的  密码也是A

    44. [单选题] 阿力士的计算机显示阿力士曾用什么方法进入受害者(主管)的计算机? (1分)

    A. 远程操控

    B. 特洛伊木马程序

    C. 勒索软件

    D. 恶意软件

A

由于提到了太多，所以直接远程超控

    45. [单选题] 续上题，阿力士最后一次进入受害者(主管)计算机的时间是什么? (2分)

    A. 于2021年10月18日 10时36分

    B. 于2021年10月18日18时36分

    C. 于2021年10月18日6时53分

    D. 于2021年10月18日18时42分

D

    46. [填空题] 阿力士的计算机显示他曾经使用FTP程序，FTP的主机IP地址是什麼?(请以亚拉伯数字作答，省去“.”符号) (2分)

    47. [填空题] 阿力士的计算机显示于2021年9月至2021年11月期间，计算机曾被登入过多少次? (请以阿拉伯数字回答) (1分)

28，我又做错了，答案是30次

 但是这个只有28

    48. [填空题] 阿力士计算机所安装的Microsoft Office 2007 是以下哪一个版本? (请以亚拉伯数字作答，省去“.”符号) (2分)

看软件版标准方法是去控制面板

    49. [填空题] 以下是阿力士计算机中的Basic data partition (EFI 3) 的Volume ID? (请以英文全大写及阿拉伯数字回答) (2分)

其实就是一个磁盘，然后直接去看好像不行，这里我推荐乃正哥的做法，用Diskgenius磁盘查看器

解释一下这个是啥

然后我就把软件放进去运行了，不知道什么，我压根看不到E盘

 感觉还是要研究一下更加底层的x-way

    50. [填空题] 阿力士计算机的Window product ID是什么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

说实话，还是软件来的方便

    51. [单选题] 阿力士计算机曾经下载一张猴子的图片，以下哪一项描述正确? (1分)

    A. 该图片是由 “https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSgn6ABvcqTfFPjcIbjc9hdx1H4PtQsAuVyTQ&usqp=CAU”下载的

    B. 该图片经过加密

    C. 该图片于2021-09-30 下载

    D. 该图片是由GIF档转换成PNG檔

A

    52. [填空题] 阿力士计算机所安装的Microsoft Office 2007 的密钥是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

V77WQRPVP67MTPGWH3G9D44MJ

    53. [单选题] 阿力士FTP 服务器用户使用命令行安装了甚么程序? (1分)

    A. Docker

    B. Chrome

    C. FileZilla

    D. TeamViewer

A

    54. [多选题] 以下哪些档案于阿力士FTP 服务器曾重复出现? (3分)

    A. Material1

    B. Material2

    C. Material3

    D. Staff1

    E. Staff2

    F. Staff3

DEF

    55. [填空题] 在阿力士FTP服务器中，文件夹___________曾被用户变更了访问权限(请以英文全大写及阿拉伯数字回答) (2分)

Dangerous_Project

变更权限是chomd

  

    56. [填空题] 在阿力士FTP 服务器建设后，有______个额外用户被加入 (请以阿拉伯数字回答) (2分)

爆搜，发现没

 根据本机，我觉得只有pure

根据命令格式，发现这几个命令全部在添加wai

    57. [单选题] 根据阿力士FTP服务器设定显示，此服务器是以_____方式连接网络，且是一个_______网络状态 (1分)

    A. 无线 , 公开

    B. 无线 , 私人

    C. 有线 , 公开

    D. 有线 , 私人

偶不懂网络，看咯乃正哥的博客

    58. [填空题] 阿力士FTP 服务器设定最多使用者数目是_____ (请以阿拉伯数字回答) (2分)

    59. [填空题] 阿力士FTP服务器使用Docker安装了一个FTP程序为___________。(例如

docker pull

 拉取镜像，可以视为安装

    60. [多选题] 阿力士FTP 服务器曾使用过甚么版本的Linux内核? (2分)

    A. linux-headers-5.11.0-16

    B. linux-headers-5.11.0-17

    C. linux-headers-5.11.0-36

    D. inux-headers-5.11.0-37

    E. linux-headers-5.11.0-40

下图是我第一次做的，看版本内核，但是题目要历史内核

 D

dpkg --get -selections | grep linux-image

乃正哥的指令是对的，可以看到历史

    61. [多选题] 阿力士FTP 服务器的磁盘分区，有以下哪一种文件系统? (2分)

    A. FAT16

    B. FAT32

    C. ExFAT

    D. HFS+

    E. Ext4

BE

    62. [填空题] 阿力士FTP服务器用户输入了指令_____________去检查现存的Docker容器 (例如 netstat lntp，请输入 netstatlntp，不要输入空格) (3分)

docker container ps -a

docker image ls

两个都有，但是考试我建议提交上面那个