20美亚个人赛

2020美亚杯个人赛

链接：https://pan.baidu.com/s/1OPTRHcD7B5s8keOc2WsiQA?pwd=ybww
提取码：ybww
--来自百度网盘超级会员V4的分享 

案例背景
2020年9月，数名信用卡持有人向警方报案，指他们的信用卡被不知名人士在一家本地网上商店购买手机。订单大部分来自海外的网络地址，但有一宗订单来自本地。警方经调查后发现该本地网络地址的注册地址。上门后在该处发现陈慧贤，她否认与案件有关。

警方在现场检获一部笔记本计算机、一部手提电话及一个外置储存装置。在场的初步应变小队在检取证物前，曾为现场环境及证物拍照。另外, 调查队伍亦由网络供货商及网上商店取得了一些与案有关的资料。现在你被委派处理这宗案件, 请由以下的资料分析陈慧贤在本案中有否犯罪, 还原事件经过。

镜像包含资料
(1) 网络地址登记人纪录
(/Meiya Cup 2020/調查報告/互联网服务供货商检查报告_陈慧贤 (Alice).pdf)
(2) 证物照片
(/Meiya Cup 2020/Photo/Alice)
(3) 笔记本计算机的数码法理档案
(/Meiya Cup 2020/Image/Alice/Alice Laptop/Alice_Laptop.e01)
(4) 及外置储存装置的数码法理档案
(/Meiya Cup 2020/Image/Alice/Alice USB/ALICE_USB.e01)
(5) 手提电话的数码法理档案
(/Meiya Cup 2020/Image/Alice/Alice LG Phone/MMC(0x0-0x0747C00000).bin)
(6) 初步应变小队的调查报告
(/Meiya Cup 2020/調查報告/案件调查报告- 被捕人陈慧贤 (Alice).docx)

准备工作

好的电脑，大的内存，牛逼的硬盘。在这里真的强烈建议各位，要是真的重视取证，不是来水的，就对配置用心一点，觉得过关就换内存和硬盘，要是处理器垃圾，就直接换新，电脑性能真的很重要哦！！！

    1、Alice的笔记本计算机已成功被取证并制作成镜像(Forensic Image), 下列哪个是镜像的SHA-1哈希值?

    2、Alice的笔记本计算机安装了哪个操作系统(Operating System)?

    3、在Alice的笔记本, 创建用户帐户的SID是甚么？

    4、在Alice的笔记本,用户的最后登录时间是甚么时候？(本地时间)

    5、在Alice的笔记本,最后登录的用户名称是甚么？

    6、Alice笔记本计算机的名称是甚么？

    7、在Alice的笔记本, 最后登录的用户何时更改了Windows登录密码？ （当地时间）

    8、Alice笔记本计算机的时区是甚么？

    A:UTC;B:DST;C:CST;D:CDT;E:HKT

 C

    9、在Alice的笔记本, OS分区的文件系统是甚么？

NTFS

    10、计算机上预设安装了甚么浏览器？

    A:Firefox;B:Chrome;C:Safari;D:Internet Explorer;E:Opera

D

只有

    11、在Alice的笔记本,哪个是最常用的浏览器？

    A:Firefox;B:Chrome;C:Safari;D:Internet Explorer;E:Opera

D

也不知道咋说，这题出的。

    12、在Alice的笔记本, 最常用的浏览器是甚么版本？

Internet Explorer version 11

 

    13、在Alice的笔记本, Alice浏览了哪个在线商店的网站

    A:Sunnings, Apple 及 Microsoft;

    B:Microsoft, Apple 及 Fortress;

    C:Sunnings, Boardway 及 Fortress;

    D:Sunnings, Apple 及 Fortress;

    E:Sunnings, Apple 及 Boardway

D

Sunnings

 Apple

Fortress

Sunnings   手工看或者爆搜

    14、在Alice的笔记本, 受害人的信用卡号是甚么?（Ho PCKYI-电子邮件：shy1211@mtzh.gow.tw）

无脑爆搜

    15、在Alice的笔记本, 受害人的信用卡CSC号码是甚么（何PCKYI-电子邮件：shy1211@mtzh.gow.tw）

112

同上

    16、除了上述在USB 找出ZIP文件,请找出相同ZIP文件的路径？

    A:Partition 3\Users\Alice\Desktop\Downloads;

    B:Partition 3\Users\Alice\Desktop\Temp;

    C:Partition 3\Users\Alice\Recent;

    D:Partition 3\Users\Alice;

    E:Partition 3\Users\Alice\Downloads

说实话，我题目都没有看明白，意思就是在U盘找一个ZIP，然后到电脑里在找一个相同的ZIP，最后把，看一下电脑的路径，好吧，只能这样了，比较简单

    17、ZIP文件的哈希值（SHA-256）是甚么？

88F68F8755E1F76107D6EE2134ED32BABBSHAC91F0B44C7C0EE3850BBA74B7E59B8

    18、ZIP文件的修改时间是多少?(当地时间)

2020-09-29 18:46:54

    19、USB驱动器在Alice笔记本计算机上的最后插入时间是何时？(当地时间)

    A:2020-09-28 1800 hrs;B:2020-09-27 1802 hrs;C:2020-09-29 1801 hrs;D:2020-09-16 1803 hrs;E:2020-09-29 1202 hrs

C 安装这个来说是没有答案的

弘连成功找到，哈哈哈，有点猜的意思

插入时间另一个思路就看U盘内部文件修改时间，都是可以的，但是脑洞大一点也可以插入不修改

    20、解压的ZIP文件内有哪些文件？

log1nx.txt, R3ZZ.txt, WhatsApp Image 2020-09-29 at 18.35.25.jpeg, WhatsApp Image 2020-09-29 at 18.37.47.jpeg

 涉及到解压问题，其实是有密码提示的

应该就是下面这个QPzm#81@#   解压就可以做题

    21、"“ ZIP文件中发票的哈希值（SHA 256）是多少=发票（1）名称：WhatsApp Image 2020-09-29 at 18.35.25.jpeg”"

F4C391A38AB82AD19EDB2B7402DA31F52006C3B4B018F859A451B839878D3EE4

    22、"“ ZIP文件中发票的哈希值（SHA 256）是多少=发票（2）名称：WhatsApp Image 2020-09-29 at 18.37.47.jpeg”"

2DAFCC2552A7337844B90F0AB5CDA85BF2F5A71A635E0D3B05731C95937D21F5

这两题比较无脑，算一下就好了

    23、Alice笔记本计算机上安装了哪种电子邮件软件？

Outlook

    24、Alice笔记本计算机上的电子邮件软件的版本是甚么？

网上说版本是outlook2016我不太同意，但是去控制面板-卸载里面看没有，他是属于MC的，所以我还是认为后面那更加正确。

    25、Alice笔记本计算机登录电子邮件软件的电子邮件帐户是甚么？

    26、Alice在上述电子邮件对话中获得了哪些数据/文件？

    27、该电子邮件的发信者的电子邮件地址是甚么？

    28、上述已收的电子邮件, 发件人的IP地址是甚么？

由于直接看只有中转id，这里有两个，我觉得客观的找应该要去日志里面确认时间，这一题由于是个人赛，参考前面题目很简单，所以我觉得直接选就好

29.在笔记本, Alice的电子邮件地址是甚么？

alicechen741@gmail.com

30.除了Alice，还有其他电子邮件地址与该骗局有关吗？

提示过于明显

31.哪些人有AP和主脑之间的电子邮件记录？有文件传输吗？

A:Alice and Cole, re log1ns.txt and R3ZZ.txt;

B:Alice and Tommy, re log1ns.txt and R3ZZ.txt;

C:Alice and Bob, re log1ns.txt and R3ZZ.txt;

D:Alice and Chris, re log1ns.txt and R3ZZ.txt;

E:Alice, Bob and Cole, re log1ns.txt and R3ZZ.txt
只看到Bob，其他没看见

32.在ZIP 文件中, 有多少受害人的信用卡数据被盗?

33.已被黑客盗用其信用卡资料购买的受害者是谁?

A:TONG TO ON;B:YUEN MING TIM;C:TSE KONG LON;D:TSE WONG YIN;E:LEE YOI TEI

通过看解压后的 图片，不难发现

34.被盗用的内容是甚么？

A:Name, ccc code, credit card number;

B:Name, ccc code, HKID;

C:Name, credit card number, aged;

D:Name, credit card number, CSC;

E:Nil

 

35.Alice的手机型号是甚么？

36.Alice手机的操作系统版本是甚么？

37.Alice手机的总储存空间是多少?

前一种运气，后面猜一下比较简单

38.在Alice 手机, IMG-20200929-WA0002的创建时间是甚么？(本地时间)


39.在Alice 手机,IMG-20200929-WA0004的创建时间是甚么？(本地时间)

 

40.IMG-20200929-WA0002和IMG-20200929-WA0004的元数据和相机型号是甚么？

41.在Alice 手机, 预设浏览器浏览历史记录的文件在哪里？

A:\Partition43[hda41]\data\com.android.browser\databases\browser2.db(Mobile Forensics System V2);

B:\Partition40[hda41]\data\com.android.chrome\app_chrome\Default\History(Mobile Forensics System V2);

C:\Partition41[hda41]\data\com.android.chrome\app_chrome\Default\History(Mobile Forensics System V2);

D:\Partition42[hda41]\data\com.android.chrome\app_chrome\Default\History(Mobile Forensics System V2);

E:\Partition44[hda41]\data\com.android.chrome\app_chrome\Default\History(Mobile Forensics System V2)
显然手机浏览器是预设浏览器

然后跳转到源文件

42.储存Chrome浏览历史记录的文件是甚么？

A:\Partition40[hda41]\data\com.android.browser\databases\browser2.db(Mobile Forensics System V2);

B:\Partition41[hda41]\data\com.android.browser\databases\browser2.db(Mobile Forensics System V2);

C:\Partition42[hda41]\data\com.android.browser\databases\browser2.db(Mobile Forensics System V2);

D:\Partition43[hda41]\data\com.android.chrome\app_chrome\Default\History(Mobile Forensics System V2);

E:\Partition44[hda41]\data\com.android.browser\databases\browser2.db(Mobile Forensics System V2)

我认为没有答案

43.Alice手机的whatapp ID的账户名称是什么?

44.与Bob和Cole的最后WhatsApp的时间是甚么？(本地时间)

45.主脑的名字是甚么？

应该就是主谋的意思，从群里聊天记录可以看出，Alice就是一个购买人，其他两个骗子

46.Alice,Bob和Cole之间的WhatsApp群组的ID和名称是什么?

47.哪一个表，显示了聊天群组“ Big Big Club”的创建时间？(本地时间)
A:Table:chat;

B:Table:chat_list;

C:Table:chat_group;

D:Table:chat-group;

E:Table:chatting_list

数据库导入到navicat里面，托进入就好了了，时间可以查

48.聊天群组“ Big Big Club”是甚么时候创建的？(本地时间)

去掉尾巴上3个0，使用时间戳转化工具

 

49.Alice是否曾经登陆whatsapp网站？如果有的话，她是在何时登入? 所用的是甚么浏览器？ （提示：在移动取证图像上找到结果）(UTC +0)
A:No;

B:Yes. Windows Edge.  2020-09-29, 18:43:44;

C:Yes. Windows Edge.  2020-09-29, 10:43:44;

D:Yes. Firefox.  2020-09-29, 10:25:44;

E:Yes. Firefox.  2020-09-29, 16:43:44

其实盲猜也可UTC挖坑，BC可以直接选的，就ok了
 

50.Alice如何收到这笔钱？钱包地址是甚么？

A:通过比特币钱包:1L6fKWpEYvUi8FeG6BnXqfh1joAgmJA1h1;

B:通过比特币钱包:2L6fKWpEYvUi8FeG6BnXqfh1joAgmJA1h2;

C:通过比特币钱包:3A6fKWpEYvUi8FeG6BnXqfh1joAgmJAlh1;

D:通过比特币钱包:666fKWpEYvUi8FeG6BnXqfh1joAgmJA1h1;

E:通过比特币钱包:FF6fKWpEYvUi8FeG6BnXqfh1jOAgmJA1h1
显然比特币，钱包聊天记录里面有

51.“Deleted by the sender”的media_wa_type是甚么?

15

52.Alice手机的Wifi MAC地址是甚么？

A:Intf0MacAddress=000AF58989FF;

B:Intf0MacAddress=0012AF58989FF;

C:Intf0MacAddress=000BF58989FF;

D:Intf0MacAddress=110AF5B989FF;

E:Intf0MacAddress=222AF589B9FF

53.Alice USB驱动器内的ZIP档案的密码是甚么? (某些字符被刻意用*遮盖)
就是那个download

54.Alice USB驱动器内的哪一个程序是用作储存秘密数据?

A:mytracker.apk;

B:com_cleanmaster_mguard_7.4.6_02_09_2020.apk;

C:crypto_aliens_bch_1.0.2_05_11_2020.apk;

D:de_schildbach_wallet_8.03_06_09_2020.apk;

E:Messagesecure.apk

5个全部导出下载好，看看就知道有一把锁的是

55.打开秘密讯息的密码是甚么? (某些字符被刻意用*遮盖)
A:**89#h;B:Qpzm!#****;C:QP******@#;D:**98#*;E:**8#9*

安装猜测我知道就是这个，所以A

56.USB驱动器内，其中一个档案的秘密讯息是甚么? (某些字符被刻意用遮盖)

放入你存有信息的图片  放入你的密码，所以我们要找到那种图片，其实应该是一个图片隐写

打开我的加密软件，发现上面写了两消息，图片也在usb里面

57.贴在笔记本计算器机上的密码有甚么用途?

A:Alice笔记本电脑的Bitlocker密码;

B:Alice的USB驱动器的密码;

C:Alice的电子银行密码;

D:从文件恢复安全消息;

E:Alice的手机密码

我觉得BD都对

58.Alice USB驱动器内的档案有甚么种类?
A:PNG, ZIP, APK, DOC;

B:PNG, ZIP, APK;

C:PNG, ZIP, APK, 7Z;

D:PNG, DOC, APK, 7Z;

E:PNG, ZIP, DOC, 7Z

c

59.Alice USB驱动器的哈希值（SHA-256）是甚么？
答案:

60.在USB驱动器中找到的ZIP文件（Downloads.7z），它的哈希值（SHA-256）是甚么？

61.在Alice的USB内, ZIP文件的最后修改时间是？

其实ZIP有两个，我选了一个时间偏后的，我觉得正确率好一点，但是客观的说两个都行