21美亚杯团队赛，镜像＋解析，只做了pc+恶意＋内存，希望与大家一起学习进步。

这是镜像，题目也在镜像里面。

链接：https://pan.baidu.com/s/1WMWUWd1M-7HINIWafr7oCg?pwd=ybww
提取码：ybww
--来自百度网盘超级会员V3的分享

说实话，我做的时候是蒙的，检材量太大了，信息量很多，需要三个人密切合作才能做完，而且确实题目过大导致计算机一下子也受不了，我已经用游戏本了，但是感觉还是不太行，今年不会换了，明年考虑台式机，哈哈哈，笔记本已经满足不理我了。

总结：做21团队，需要思维连贯性很强，然后，今年恶意程序绝对会考，之前考了宏，然后21是脱壳，我觉得大概率22也是壳＋恶意程序，所以我ida要加强，真的这一块好难。内存这一块，我做的时候也很不习惯，要加强加强命令熟悉程度。对于小程序，要全部下载下来，真的很强大，很方便，很不错，软件看总比手工好，不断依赖软件一点。FTP我要去了解，基本的，我发现弘连美亚都喜欢这个。各种新奇的无人机，电视，矿机，手表之类的都可能去叫我取证，我要总结方法。爆搜依然无敌，真的，感觉后面很多新奇的题目，就是百度与爆搜，去查信息，比较新奇的矿机，什么都不是，就是文件记录里面看，没什么可以软件分析的，常威的电脑也是，融合虚拟机与3D打印，做就是爆搜，路径也是爆搜比较快。

在做这题之前，涉及到一个检材链接问题，就是说我们之前个人赛的检材是相关的，就是说要连接起来，那我理一下思路，就是两个诈骗方式很相似，手法差不多，第一提问bitlock密码，和个人赛的那个题目很像，本机里面没有，需要到FTP服务器里面爆搜（个人赛是这样的），我记得爆搜完有三个密钥，我是都试了一遍，然后把个人赛那个检材做好了，那不得不怀疑剩下两个密码是不是对应这个的，我试了一下发现是可以的，哈哈哈，运气好，那说明事实上都是用了一个FTk，就是出题人是这样干的，所以三台入侵机器都是一个手法制作的，我这一次会试试看正向解析，就是到

1：工地职员A计算机的修复密钥标识符是什么？(请以大写英文及阿拉伯数字输入答案，不要输入”-“)

标识可以这里看

我发现如果在原来的计算机里搜索，是看不到 的，只有链接，很好理解，犯罪人bitlock加密后确实是把文件删除，不然如何诈骗，哈哈哈，确实，所以我们就去原来那个ftk里面找

2：工地职员A计算机的修复密钥解除锁定是什么？(请以数字输入答案，不要输入”-“)

根据前面找到230那个找到恢复密钥，那就是第三个

 

3：工地职员A的计算机被什么程式加密？

直接选B

A:Ransomware;B:BitLocker;C:AxCrypt;D:PGP;E:FileVault 2;

4：工地职员A的孩子有可能正准备就读什么学校？

我也没有思路，随便翻翻记录，他有很多幼儿园的搜索，猜测一下就好

A:小学;B:中学;C:幼儿园;D:大学;

5:工地职员A并没有打开过哪一个档案？（多选）

用户痕迹里面爆搜，发现只有CE是有，所以答案是ABD

A:Staff3.xlsx;B:Staff4.xlsx;C: Staff1.xlsx;D:Staff2.xlsx;E:BTC address.bmp;

6：工地职员A的计算机被远程控制了多少分钟？(请以阿拉伯数字回答)

看到时间11分钟

7：工地职员A的计算机被加密后，被要求存入的虚疑货币是什么？

电脑仿真后，桌面上看到的勒索信，比特币非常显然。

桌面上有

A:比特币现金;B:比特币;C:以太币;D: 泰达币;

8:在工地职员A的计算机曾经打开过的Excel档案中，有多少人有可能在法律部门工作？(请以阿拉伯数字回答)

看到starff1

因为只打开过staff1所以可以忽略其他的文件

图片违规，但语言可以表述

 筛选可以发现，从事法律的就22个

                                  

---

                                进入B，和A同理，先要bitlock解密，我就不再来一遍了

---

9:工地职员 B 的计算机在什么日期和时间被黑客控制？（多选）

A:2021-10-19 ;B:2021-09-16;C:11:16:41 (UTC +8:00);D:05:55:50 (UTC +8:00);E:18:40:06 (UTC +8:00);

因为看到就这两个，所以我选E

10:工地职员 B 的计算机的MAC Address是什么? (请以大写英文及数字输入答案)

我一下子不知道，直接百度

 这里我用ipconfig显示不全，要用ipconfig -a

 悲伤的事出现了，我发现软件就能看Mac地址

11:工地职员 B 的计算机用户FaFa的 Profile ID 是什么？(请以大写英文及数字输入答案，不要输入”-“)

说实话，美亚香港出题翻译的跟狗一样，我死都不知道什么事profile ID，百度也找不到，最后猜是sid，是根据那个‘-’的提示猜的

 可以看到

12:工地职员 B 的办公室计算机的 Windows CD Key 是什么？(请以大写英文及数字输入答案，不要输入”-“)

不会先百度，可以勉强猜测是激活码

 看到了

13:检查过工地职员 B 的计算机登录档后(Window Registry)，计算机感染了什么恶意软件？

A:Adware;B: Worms;C:Rootkits;D:没有感染任何恶意软件;

A：

 B：

C：

说实话，这题我真的没有看明白，只能爆搜，答案好像也没找出来,我就AB随便猜

安装网上教程，我就在虚拟机装火绒跑一下，发现没有

14:工地职员B的计算机中被加密硬盘内的图片”_120778782_58759559.jpg”，有可能是从下列哪个的途径载入计算机？

A .电邮下载附件

B . USB

C . 网上下载

D . 蓝牙传入

E . Direct-Link

显然网上下载

15:工地职员 B 的计算机 中被加密硬盘内的图片中，人物中衣着有什么颜色？

A . 黄色

B .红色

C .紫色

D . 蓝色

E . 绿色

16:工地职员 B 的计算机有多少个磁盘分区？(请以阿拉伯数字输入答案)

我在仿真里面看只有2个，就是C和D，但是美亚大师里面有5个，还是以大师为准。

17:工地职员 B 的计算机硬盘分割表是什么？(答案请以首字母大写作答)

一开始 不知道什么是磁盘分割表，我就去百度，原来是文件存储办法。

18:在 工地职员 B 的计算机Event Log中最后登入时services.exe的Process ID是什么？(请以阿拉伯数字输入)

不会

由于本人分工在PC  恶意程序 内存 这几块，所以考试的时候没做，但是又临近考试，我实在是没时间做服务器和手机，在这里就先不写了，但是我一定会补上的，我对取证的热爱是一定的，一旦空下来或者比赛打完我一定会补上。

36、【填空题】特普的计算机可能中了病毒,病毒的加壳（Packing )方法是什么?(以英文全大与作答)(2分)

因为涉及文件，这显然是恶意程序分析，所以我比赛的时候就去找文件了，最后也是找到了，我有运气成分，但是也大致是这样猜

科学一点就是美亚看看记录跑出来，从最近浏览里面找

文件拖到电脑一查，发现是UPX壳

37、【单选题】特普的计算机可能中了病毒，病毒的编译工具是甚么？（2分）

A GCC

B Borland

C TCC

D Microsoft Visual C/C++

一般情况加壳的恶意程序是看不到其编译语言的，所以要脱壳，由于我是初学逆向，我都是用工具脱壳的   需要工具的私我，我一定会给你的

然后结果是这样，显示

C++编写

38、【填空题】特普的计箅机可能中了病毒，病毒的编译者使用可能使用的账户名称是甚么？（请以英文全大写作答）（3分）  GPGF

这里我要说一下思路，如果出现账户名，其一定是字符串，抓住string去查找，不可能涉及到反汇编语句里面，所以直接ctrl+F12（部分电脑需要按住fn）调出字符串，然后就可以找到答案

39、特普的计算机可能中了病毒，病毒的自我复制位置是甚么？（2分）

A C:\Temp\temp.txt

B C:\Users\<profile>\Desktop\malware.exe

C C:\Users\public\malware.exe

D C:\a.txt

不会

40、【单选题】特普的计算机可能中了病毒，病毒的修改登录文件位置是甚么？（3分）

A HKLM\SoftwarelMicrosoftwindows\CurrentVersion\Run

B HKCU\Software\Microsoftwwindows\CurrentVersion\ RunOnce

C HKLM\SOFTWARE\Microsoft\windowsNT\CurrentVersion\Profile List

D HKLM\SOFTWARE\MicrosoftwWindowsCurrentVersion\Authentication\LogonUNBackground

不会

41、【多选题】特普的计算机可能中了病毒，病毒留下了 ASCII ART（ASCII艺术，文字图），以下哪个不是病毒留下？（3分）

A HI

B HELLO

C HOW ARE YOU

D GOODBYE

通过暴力查找，找到了，就是手动看，我是真无语了，这就B找得到

42、【单选题】特普的计算机可能中了病毒，病毒扰乱文件目标文件名是甚么？（2分）

A C:\Users\<profile>\Documents\target.txt

B C:\Users\<profile>\Desktopt\target txt

C C:\c.txt

D C:\temp.txt

 不会

43、【单选题】特普的计算机可能中了病毒，病毒扰乱文件方法是甚么？（3

分）

A.+3

B.XOR 5

C.+4

D.-4

不会

这个也不是很理解，就知道fgetc是定位文件读取位置的 会进行+3操作

44、【填空题】特普的计算机中，哪一个是 FTK Imager. exe的程式编号（PID）？（请阿拉伯数字回答）（1分）6136       

关于内存取证，我和大家分享一个很骚的事情，美亚内存取证有两款

工具集的只能去win7 小程序可以win10 我比赛疯狂

做不出来，最后还是我自己的工具 ，小程序建议全部下载，是真的很好用

不是我说，真的快

45、【多选题】特普的计算机中，cmd.exe（PID：4496）它的执行日期及时间是？（1分）

A.2021-10.17

B.2021-10-18

C.2021-10.19

D.10.42:51

E.10:43:09

F.10:43:25

我小程序真的太强了！！！！

46、【填空题】特普的计算机曾经以FTP对外连接，连接的IP是？（请以阿拉伯数字回答，不用输入"."）（2分）

终于是一个软件跑不出来的题了，

看美亚只有本地ip地址，不知道外面链接的是什么，所以还是要回到内存

在我一套操作后，看网络链接是看到了，可是我怎么知道是哪个啊

这里就不得不再次提到我们的小程序，可以美亚有些时候断网，小程序没法下载，真烦，我要去熟悉一下各种东西的ip地址

 再推荐一篇简单的文章

网络基础知识：IP地址和Mac地址

47、【多选题】特普的计算机中，以下哪一个指令于上述连接中有使用过？（3分）

A get

B put

C delete

D bye

E Quit

解释一下这几个命令

et：将文件从远端主机中传送至本地主机中

put：将本地个文件传送至远端主机中

delete：删除文件

bye：中断与服务器的连接

quit：结束与服务器的FTP会话并退出FTP环境

说实话，我需要学习FTP命令，这一块考的很多，我多不会

ftp常见命令大全_xlg1128的博客-CSDN博客_ftp命令

48、【多选题】在Liux的" volatility"中，哪一个指令可以知道此程式支持哪个 Windows版本？（2分）

A vol.py --profile

B vol.py --systeminfo

C vol.py --info

D vol.py--verinfo

 直接在网上搜索资料

，这个也可尝试，但是还是搜索比较好，涉及到2,3版本

---

接下来是矿机部分

---

9.【多选题】在常威的矿机没有进行哪种加密货币掘矿？（2分）

A. Bitcoin

B. Ethereum

C. RVN

D. Dodge

E.ENJ

我原来的思路是直接进行货币倒搜，但是发现不行，答案只有B是的，但是如果纯文字爆搜完全是找得到的，所以这样不行，我想既然货币不知道，那么可以从挖矿软件里入手，开始爆搜

在网上搜了一下挖矿软件，感觉确实需要了解挖矿

推荐一篇文章，讲了目前10大交易所，挖矿的交易所

挖矿app十大排名_真正的挖矿app十大排名_2022十大手机挖矿软件 - 173百科

70.【填空题】在常威矿机有几张显示适配器进行掘矿？2（请以阿拉伯数字回答）（1分）

日志文件中看到只有两个，就是上图

71.【单选题】在常威矿机， hive OS操作系统是什么版本？（1分）

A.5.4.0****

B.6.0.1****

C.7.0.2****

D.10.0.2****

E.15.1.2****

看版本uname -a，虚拟机一下，但是这里要xshell，连一下ip

72.【多选题】在常威矿机中，哪个不是收取掘矿收益的加密货币钱包地址？（1分）

A.0xE365625f4**537151304ceba7C7D9dF0C7E829**

B.Oxe68de863f4c3c3cc0**191b9cefdae91b3e6fbd8**

C.0x00000000897**4136b4a59731680a881895303**

D.0x7335c**2019533d9cc825e2a6e80821fd44e2718**

E.0x00**00008970514136b4a59731680a88895303**

直接全局搜索wallet ，说实话就是尝试，钱包

73.【单选题】在常威矿机中，用于掘矿登入密码是什么？（2分）

A. eg97em**wm

B. Deg97em**wm

C. fea97em**wm

D. eeg97em**wm

E. heg97em**wm

直接爆搜，无敌暴力A

74.【填空题】在常威矿机中，用于掘矿Nvidia显示适配器所使用的驱动程式使用什么版本？（请以英文全大写及阿拉伯数字回答）（1分）4609103

还是在日志里看

75.【多选题】在常威矿机中，用于掘矿显示适配器型号包括什么？（2分）

A. GeForce RTX 3060

B. Quadro P2000

C. RX 6600

D. Ge Force GTX 1660 Ti

E. Ge Force GTX 3070

AB

上图

76.【多选题】在常威矿机，哪天没有进行掘矿？（2分）

A.2021-10-06

B.2021-10-09

C.2021-10-15

D.2021-10-17

E.2021-10-18

 

 除了6号有，其他都没有，所以BCDE

---

下面是pc

---

    85. [单选题] 常威利用Windows 计算机中的VM Kali进行攻击和收取受害人电话的数据，请找出常威的VM存放地址 (2分)

    A. Users\Chris Paul\Desktop\安全防护 Malware\Kali-Linux-2020.2a-amd64_2.vmwarevm

    B. \Users\Chris Paul\Desktop\安全防护 Malware Demo\Kali-Linux-2020.2a-amd64_2.vmwarevm

    C. \Users\Chris Paul\Documents\安全防护 Malware \Kali-Linux-2020.2a-amd64_2.vmwarevm

    D. \Users\Chris Paul\Documents\Virtual Machines

A

美亚一步一步查看路径可以看到是A

    86. [单选题] 常威在收集数据后储存数据于Windows 计算机一个名为"text2.txt"的档案中，随后他将档案移往"\home\kali\Desktop\project\"中, 下述哪个档案可以证明这一点?

i) \root\.bash_history                                                  ii) \home\kali\.bash_history (3分)

    A. 只有 i

    B. 只有ii

    C. 两个也可以

    D. 两个也不可以

D

文件移入虚拟机么有记录，看文件的话，我文件找不到，建议看其他大师的解析。

    87. [单选题] 常威Windows计算机中哪一个程式/档案有可能用作收取受害人电话上的数据? (3分)

    A. \home\kali\Desktop\server_express_ok.js

    B. \home\kali\Desktop\baddish\package.json

    C. \home\kali\Desktop\baddish\server.js

    D. \home\kali\Desktop\server.js

C

我直接找看不到，搜也不行，最后我用弘连把证据就是虚拟机再搜一遍，看到了

感觉题目太多了，受不了了。

    88. [多选题] 常威Windows计算机中显示常威第一次偷取受害人电话数据有机会是在哪一个日子及时间登入 Kali 系统? (2分)

    A. 2021-09-27

    B. 2021-09-29

    C. 2021-09-29

    D. 11:42:47

    E. 16:04:24

    F. 16:30:04

AF

登入kali系统运行虚拟机

    89. [多选题] 常威Windows计算机中以下哪一个檔案的哈希值(MD5)能证明常威曾开启存有客户数据的档案? (2分)

    A. 0ED1DB00F8598AD3C6B331BF0C477AD4

    B. 1E1BDB083F66251A63B79DEA3801E6E9

    C. 575326396E31040FE2E13BE42C55C3E2

    D. 3128604B4A9EC1D37418942555F6B08A

    E. FB5EF33EDEA8ECB5BF07C5DF5332D29F

C

我可以知道，哈希值没法爆搜，所以要看最近浏览记录，然后就有可能查到客户资料，算一下就好了

    90. [单选题] 常威 Windows 计算机中，哪一个档案可以找到USB装置初次连接的时间? (1分)

    A. C:\Windows\setupapi.log

    B. C:\Windows\setupapi.setup.log

    C. C:\Windows\INF\setupapi.setup.log

    D. C:\Windows\INF\setupapi.dev.log

C

直接顺着路径去找

发现AB压根没有，只能看CD，个人感觉不如爆搜

    91. [单选题] 常威 Windows 计算机接驳了一个3D 打印机，以下哪一个哈希值是属于上述打印机的驱动程式文件中的安装信息文件(INF檔)? (提示：关键词包含CH341) (3分)

    A. 1348FA38956*****1770D7C3E63545BC

    B. DBC4F08F835*****FF95420B352B506A

    C. 35E7C67A652*****611EDE19C37241C5

    D. BAE3BE76CC1*****31EB562ABAFE28DE

C

我爆搜出来文件有很多，就是根据关键词搜索，但是根据第二个提示inf，就发现只有一个了

    92. [填空题] 续上题，上述安装信息文件的版本日期是什么? (请以阿拉伯数字，及以下格式回答，例: 2019年3月4日，请回答20190304) (1分)

点开看

    93. [多选题] 常威Windows计算机安装了一些与3D 打印机有关的软件，有可能是以下哪个? (1分)

    A. Ultimaker Cura

    B. 3DPrinterOS

    C. Simplify3D

    D. Creality Slicer

AD

无脑爆搜

    94. [单选题] 续上题，哪一个档案记录了切片软件Creality Slicer曾经开启的3d立体模块(.stl)纪录? (1分)

    A. \Users\Chris Paul\AppData\Roaming\Creality Slicer\stderr.log

    B. \Users\Chris Paul\AppData\Roaming\Creality Slicer\stdout.log

    C. \Users\Chris Paul\AppData\Roaming\Creality Slicer\4.8\Creality Slicer.cfg

    D. \Users\Chris Paul\AppData\Roaming\Creality Slicer\4.8\Creality Slicer.log

D

根据路径去看，只看到CD存在，但是都是看不到的，盲猜log

最后我用弘连搜到了，然后一个一个点进去看，感觉是log

    95. [多选题] 续上题，哪一个3d立体模块(.stl)曾用切片软件Creality Slicer开启? (2分)

    A. clip_sideb.stl

    B. frame.stl

    C. trigger.stl

    D. hand_guard.stl

AB

在前面那个文件里爆搜就好了了，有技术含量，又没技术含量的样子。