2023美亚杯个人赛复盘（二）

案件基本情况：
（一）案情
2023月8月的一天，香港警方在调查一起网络诈骗案件时，发现有三名本地男子，分別为李大輝（李大辉），浩賢(浩贤)和Elvis CHUI，并确信这三名被捕男子均为大学同学。怀疑三人背后涉及一个庞大的电信诈骗集团。于是将这三名本地男子拘捕，扣押了三人相关的电子设备并进行分析。
现在你被委派处理这件案件，请依据以下资料分析上述三人是否涉嫌犯罪，并还原事件经过。
（二）检材资料
1.李大輝的安卓手机镜像 (Android.bin)
2.李大輝的macOS系统镜像(Mac OS.img)
3.来自李大輝计算机的一个文件($MFT Record Nr_ 107115, SeqNr_2.txt)
4.浩賢的个人虚拟机文件(Server.zip)
5.浩賢的Windows 10系统虚拟机文件(Windows10.zip)
6.浩賢的iOS手机系统文件(IOS.zip)
7.来自Elvis Chui计算机的一个网络封包文件(網路.pcapng)
8.来自Elvis Chui计算机的镜像文件 (Windows Artifacts.e01)
9.来自Elvis Chui计算机的数据库文件(SQLITE.zip)
10.Elvis Chui的Windows7虚拟机文件(Windows7.zip)

1. 参考’Android.bin’回答以下题目，李大辉所用手机移动运营商公司的名称。提示:请所有字母都用大写英文
   答案：DUCK
   
   DUCK是鸭聊佳电话卡，是中国移动香港推出的一款专为港商、旅游、移民的电话卡，由中国移动公司香港分公司运营。
2. 参考’Android.bin’回答以下题目，李大辉的手机安装了什么即时通讯软件 (Instant Messaging App)？

A. WhatsApp

B. LINE

C. 微信

D. Signal

E. QQ

答案：A

3. 参考’Android.bin’回答以下题目李大辉的手机安装了什么反追踪软件？提示: 所有答案字母都用小写字母并用xxx_xxx_xxxxxxx_xxxxxx_xxxx格式作答
暂无思路

5. 参考’Android.bin’回答以下题目，李大辉的手机是什么时间成功登入WhatsApp？
   A. 2022-08-18_21:52:30

B. 2022-08-19_21:56:23

C. 2022-08-18_21:56:37

D. 2022-08-19_06:59:07

E. 2022-08-19_07:01:17

答案：C

获取验证码的时间就是成功登录的时间。
5. 参考’Android.bin’回答以下题目，李大辉登入WHATSAPP时的认证短码是什么？提示: 请以阿拉伯数字作答
答案：304313
参考上一题。
7. 参考’Android.bin’回答以下题目，李大辉到美丽好化妆品公司的入职时间是何时？
A. 2016-04-16

B. 2016-06-28

C. 2017-05-25

D. 2017-07-25

E. 2017-08-18
答案：C

可见应选C
7. 参考’Android.bin’回答以下题目，李大辉曾于什么时间使用了图像编辑软件？
A. 2022-09-10

B. 2022-09-12

C. 2022-10-05

D. 2022-11-10

E. 2022-11-13
暂无思路

8. 参考Server文件夹下的’Meiya_VPN.vmdk’回答以下题目，这个访问服务器使用了哪个端口？提示: 请用阿拉伯数字作答
   答案：943
   
   火眼仿真软件可以对vmdk文件进行仿真，绕过密码，而直接使用虚拟机打开密码绕不过。
   
   应该192.168.112.138是内网地址，218.255.242.114是外网地址，那么943就是使用的端口。
9. 参考Server文件夹下的’Meiya_VPN.vmdk’回答以下题目，“User1”账户最近连接到这个访问服务器时使用的IP地址是多少？提示: 用IPV4 格式回答
   答案：192.166.244.167
   在/var/log下有以下日志文件：
   
   在这三个文件里搜索User1，查看时间离现在最近的：
   
   ip是192.166.244.167
10. [多选题]参考Server文件夹下的’Meiya_VPN.vmdk’回答以下题目，哪些文件可以找出这个访问服务器的Ubuntu版本？
    A. lsb-release

B. issue.net

C. .profile

D. console

如图，这两个文件都可以查看Ubuntu版本。
10. [多选题]参考Server文件夹下的’Meiya_VPN.vmdk’回答以下题目，哪些文件有助于分辨这是一个存储服务器？
A. auth.log

B. sys.log

C. bash_history

D. idconfig
答案：ABC

这个问题的翻译存在很大问题，原文是Which files could be used to prove this access server?
应该翻译成：以下哪些文件能证明这是一个可以访问的服务器？
auth.log记录了系统用户的认证、授权和拒绝信息：

sys.log文件没有找到：

.bash_history文件在每个用户的根目录下，记录的是历史命令：

12. 参考Server文件夹下的’Meiya_VPN.vmdk’回答以下题目这个访问服务器所在时区是哪个时区？
A. UTC +9

B. UTC +8

C. UTC -7

D. UTC
答案：C

/etc/timezone 文件里存储这时区信息，查看得知：

由图可知，时区在西八区，但是选项中只有西七区，不知道为啥，可能是因为西八不好听？？？
13. 参考Server文件夹下的 ’ Meiya_VPN.vmdk ’ 回答以下题目，这个访问服务器的“openvpn”帐户密码是多少？提示:请用大写字母与阿拉伯数字作答
答案：TLfAg616dssc
第一种方式：

第二种方式，找到openvpn的安装目录，查找pass关键字：

14. 参考Server文件夹下的 ’ Meiya_VPN.vmdk '回答以下题目，在这个访问服务器中，“User1”账户之间的连接所使用的加密算法（密码）是什么？
A. Blowfish-CBC

B. 3DES-CBC

C. AES-128-GCM

D. AES-256-CBC
答案：D
先使用匹配符查找包含“User1”的文件，找到一个User1.ovpn，打开看下，发现加密方式：

15. 参考’ 网络题目.pcapng ’ 文件回答以下题目，给出正在进行Nmap扫描的计算机互联网协议地址？提示: 以IPV4格式给出答案
    答案：192.168.186.132
    使用wireshark打开，可以很明显的看到存在对两个ip进行的扫描行为，一个是UDP，一个是TCP，分贝如下：
    
    
    两个扫描行为使用的ip都是192.168.186.132，所以答案就是192.168.186.132。
16. 参考’网络题目.pcapng’文件回答以下题目，有多少个Nmap扫描正在同时进行？提示:请给出阿拉伯数字作答
    答案：2
    参考上题，一共有两个扫描在进行。
17. 参考’网络题目.pcapng’文件回答以下题目，当计算机正在扫瞄8.8.8.8，namp相关的指令是什么？
    A. nmap -sT 8.8.8.8

B. nmap -sU 8.8.8.8

C. nmap -sn -PR 8.8.8.8

D. nmap -sn -PU 8.8.8.8
答案：A

分别看下每个命令的作用，-sT是 TCP connect() 扫描，这是最基本的 TCP 扫描方式；-sU使用UDP 的数据包进行扫描；-sn对目标进行ping检测，不进行端口扫描，ARP扫描，Nmap扫内网最常用的方式; nmap -sn -PU 使用UDP协议进行主机发现扫描
很明显不是在进行主机发现扫描，所以排除CD，对于8.8.8.8的扫描是典型的TCP连接扫描，所以选项是A
18. 参考’网络题目.pcapng’文件回答以下题目，当计算机正在扫瞄45.33.32.156，namp相关的指令是什么？
A. nmap -sT 45.33.32.156

B. nmap -sU 45.33.32.156

C. nmap -sn -45.33.32.156

D. nmap -sn -45.33.32.156
答案：B
参考上题，对于45.33.32.156使用的是UDP扫描，所以选项是B