2021美亚杯（个人赛）练习记录

因为当时没有参加比赛，用的奇哥给的镜像和参考答案，然后自己重新做了一遍，记录一下自己的思路（我自封大娘级记录，保姆级懂吧）。

指路奇哥（奇哥带好人 (๑•̀ㅂ•́)و✧）：2021第七届美亚杯中国电子数据取证大赛详解write up_奇乃正的博客-CSDN博客_美亚杯

一、赛前准备部分

首先下载个人赛镜像（ 以下检材是赛前一日提供下载），得到的包如下：

文件一：image_update打开以后是一个叫VTM-computer的E01镜像文件。

文件二：Individual_Container_zip_Hash Table.xlsx是下载检材的哈希值列表，用以核验下载的包是否完整（顺便问一句，大家下载检材结束以后第一个事儿是全部都计算一遍哈希值来校验吗？我觉得有点耽误时间，有没有好用的哈希计算工具推荐丫✧(≖ ◡ ≖✿)）。

文件三：Individual_Container.zip.001下载以后显示是一个压缩包格式（解压密码：MeiyaCup2021），解压得到Individual_Container加密容器，赛题存储在这里面，需要密码才能通过加载显示出（我用的取证大师，不知道veracrypt工具应该也能？）具体的检材（顺便再问一句，Individual_Container.zip002和003是不是没用啊？后面都没有用到也，可以直接删掉吗？有影响吗？  ≡ω≡）。

二、做题前的准备工作

（一）解密

取证大师-新建案例-随便命名-加密容器-选择加密文件（Individual_Container）-粘贴密码（HfsCk]<eUqc5Q{(DG$ugiGlt8ezGdaZ>!pQC-H\5BAc^gBo/^qq)/i21ufiN@H"Y
）-下一步-开始取证（ps：“下一步”以后叉掉，然后也可以加载出来，不过会比较乱，不好看）

关于容器密码不得不说的二三事：

比赛当天会通过公告发布容器解密密码，听说当日无法复制，而且有折叠，直接拉跨，心态爆炸。

科学的姿势是：在网页开发者工具中复制。

指路远远：2021美亚杯资格赛WP

（二）导出检材

上一步“开始取证后获得的文件列表如下：

1、先观察

第5、6叫List of image and path (individual).docx。顾名思义，镜像文件清单和路径，咱们先导出来。（给小白的括号：勾选-右键-导出-导出勾选关联文件）。打开如下：

2、对照着回到取证大师一个一个勾选，然后一块导出。（ps：第4个，路由器日志不叫这名儿，不过照着”.log"导出就行，毕竟就那一个log文件，没得选）

 ps：有人发现vtm-computer.e01又出现了吗？（会谢，这个是出问题的，建议别管。真正的vtm-computer.e01在前一天下载的update文件里，可以回到第一部分-文件一去看看。）

三、开始做题（一共62道题，2h时间）

我的想法，拿到题目先观察：

（一）1-9题：关键字-工地主管、电话、手机、手机相关应用（微信、蓝牙），所以这几道题我们需要用到的检材是——VTM iPhone6

（不会有人要问为什么吧，回头去看二、（二）、1。  =￣ω￣=）

解压VTM iPhone6，得到：

 

文件一： AccountPackage（目前都没发现有啥用）

文件二：一个阅读器（第一次见）

文件三：VTM iPhone 6.ufdr（第一次见这种格式的文件）

直接把关键字“Cellebrite Reader”“ufdr”放搜索引擎，得到结果如下：

我点击了第二个链接，得到结果：

 行，安装cellebrite reader读ufdr就行。

（快速做题思路：要做题，exe里边肯定没有答案，那答案必定在ufdr里，关键是如何打开，取巧的想，那肯定是给我的个对应的软件打开，那这个cellebritereader.exe多半就是那个对应的软件，直接开整）

1.[单选题] 工地主管电话的微信账号是什么? (1分) 

Kaiser Lee

ps：翻来覆去都没有wecaht，只有这whatsapp，于是我去百度了（为什么要加关键字“香港”，香港银出的题，香港银的案例，香港银做的检材啦，盆友），得到结果如下：

 那么我姑且就先把cellebrietereader里面获得的这个whatsapp的用户作为答案保存吧

2.  [填空题] 工地主管的隔空投送装置编号是什么? (请以英文全大写及阿拉伯数字回答) (1分)

780F624DF099   

3.[单选题] 工地主管电话的哪一个应用程序有关于于经纬度24.490474, 118.110220的纪录?

apple maps

 思路一：直接盲猜 apple maps（但过于草率了哈哈哈哈）

思路二：直接搜索该经纬度，搜一半就行，搜多了出不来。

4. [多选题] 工地主管的手提电话中下列哪些数据正确? (1分)

A. iOS 版本为 12.5.4

B. IMEI 为 454120637213361

C. Apple ID 为 kaiserlee3660@gmail.com

D. 手机曾经安装 dropbox 应用程序

 ps：dropbox（多宝箱）是一款免费网络文件同步工具，直接在软件中搜索，并没有该软件痕迹。

5. [填空题] 工地主管的电话最常使用的浏览器是什么? (请以英文全大写回答) (1分)

safari

6. [单选题] 工地主管的电话连接过哪一个WiFi? (1分)

Kaiser Lee

PS：知识点- SSld：无线局域网络（WLAN）名称（基础知识） 

指路Th0r安全：2021年“美亚杯”全国电子取证比赛复盘

7. [多选题] 工地主管与Alex Chan的Whatsapp 对话中，曾提及以下哪个TeamViewer的用户号码? (3分)        

A. 435334881

B. 453851521

C. 435475200

D. 456874155

E. 435270306

思路：提及了 “Whatsapp 对话”那么要去找聊天记录。找到和“teamviewer”相关的东西。直接搜

ps：建议大家留心一些东西，相关的账号、ID、密码、邮箱啥的，还有聊天在说什么东西，还原发案过程，后续可能需要的！我觉得做题不能乱，逻辑要清晰，一切围绕案件发生后回溯过程而存在。（或者先抓点蛛丝马迹在手里，比如这里面Alex装作电脑维修人员给这个主管修电脑，让主管装Teamviwer，后来发现他是为了控制电脑->留后门->实施Bitlocker加密->比特币勒索。）

思路指路cgspine：2021年第七届“美亚杯”电子数据取证个人赛Write up - UCloud云社区

8. [填空题] 工地主管的WhatsApp中有多少个黑名单的记录? (请以阿拉伯数字回答) (2分)

0

我先搜索了“黑名单”“black”类似的关键字，啥也没有。题外话，笑死于下图，一天都在看啥啊这是（美女的尽头是Lisa（狗头保命.gif） ）：

从“已分析数据”模块是没找到什么黑名单相关的东西的（百度了，在手机上无法直接查看whats对应档案，那我寻思“已分析数据”也没办法把这些应用数据直接展示，那就只有去数据库找了。

数据库的位置：随便打开一个 whatsapp 聊天记录，看右侧源文件的地址，找到其数据库的位置在

iPhone/mobile/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApp.shared/C

hatStorage.sqli

双击ChatStorge.sqlite，发现ZWBLACKLISTITEM，是0

9. [多选题] 以下哪个蓝牙装置的Uuid 曾连接过工地主管的手机? (2分)

A. 7F1FE70D-2B15-C245-853D-4196F13CC446

B. 1B057C1D-83D3-99A6-D2B1-EC54846C7CEE

C. 134ACD1-83D3-99A6-D2B1-EC54846C7CEE

D. 7D1BE70D-2C16-D246-851D-491613DD776

没有直接记录，根据存储路径去翻文件

（二）10-19题：关键字-工地主管、计算机、ftp.所以这几道题我们要用的检材是VTM-conputer.e01、FTP.e01

先把两个镜像给我跑起来，如下：

10. [填空题] 工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

36EBC18095F741FFBE5B4E56E7AF48B1

右键分区5-bitlocker解密-恢复密钥-得到答案（ps：修复密钥标识符就是恢复密钥串的恢复密钥标记）。为什么下图是分区5，因为前面有把小锁哇，不是它是谁呢？(๑′ㅂ`๑），这玩意儿后面肯定要用到，保存好，别扔。11. [填空题] 工地主管计算机內的FTP程序FileZilla的用户名称是甚么? (请以英文全大写及阿拉伯数字回答) (3分)

alex

没事把这个ip和端口记录一下（为啥要存？拜托，他很可能是通过远程控制实现攻击的，后面万一有流量包或者日志要分析嘞） 

12. [填空题] 工地主管的Team Viewer ID 是甚么? (请以英文全大写及阿拉伯数字回答) (2分)

435270306
回看第7题可得答案，知道我当时为啥要说，没事看看他们到底在聊啥了吧。
13. [填空题] 工地主管的Team Viewer与哪一个ID连接? (请以英文全大写及阿拉伯数字回答) (3分)   420190768      

基本上到这就可以知道了，alex通过teamviewer远程连接工地主管的电脑实现攻击。

14. [多选题] 工地主管曾用计算机浏览器作搜寻，以下哪一个关键词他曾经搜寻? (3分)

A. tiktok

B. web whatsapp

C. facebook

D. lihkg

E. hkgolden

F.

 这道题直接搜就完事。

注意D选项，搜出来的确有，但是点开，不对头哈，注意陷阱。

15. [填空题] 工地主管计算机的Windows系统的产品标识符是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分）

003311000000001AA962
系统标识符，各位大佬的解释都是说就是产品ID。产品ID的位置，一般都在系统痕迹-系统信息。 

16. [填空题] 工地主管曾用计算机使用WhatsApp，他曾和以下哪个电话号码沟通? (请以阿拉伯数字回答) (2分)

这个不知道正确答案到底是啥。奇哥在alex的计算机镜像里找到的。（我寻思我比赛的时候肯定想不到从alex这儿找）

17. [多选题] 工地主管计算机的用户名称是甚么? 其用户标识符是甚么? (2分)

A. 用户名称: PC1

B. 用户名称 : PC2

C. 用户名称 : PC3

D. 用户标识符: 0x000003E7

E. 用户标识符 : 0x000003E8

F. 用户标识符: 0x000003E9

老规矩，系统用户名这种去看系统信息-用户信息

但是用户标识SID和答案不一样，因为需要转换成16进制

思路二：从用户登录/注销日志里面去找

​ 18. [单选题] 工地主管计算机的预设浏览器是甚么? (2分)

A. Chrome

B. Firefox

C. Safari

D. 以上皆否

思路一：直接看取证大师上网记录，发现符合选项的也只有google chrome（但是这样做不严谨）

思路二：使用仿真方法做，仿真成功后，在桌面上建一个.html 文件即可发现是 chrome 浏览器的 logo。（正规军的做法）

为什么我仿真电脑直接打不开嘞。必须使用仿真软件吗？

19. [填空题] 工地主管计算机的其中一个分区被人加密，分区内的电子表格Material3.xlsx的哈希值(SHA1)是甚么? (请以英文全大写及阿拉伯数字回答) (1分)

40418B21F6C3E4AF306D5EF3B80A776DA72FC1D2

解题思路：要知道哈希值，首先得拿到Material3.xlsx文件，要拿到这个文件，就要对这个分区进行解密。在第10题就提到了，被bitlocker加密了，我们用取证大师已经直接有了“恢复密钥标识符”，现在还需要“恢复密钥文件”，那么去哪里找呢？

在本镜像内寻找半天无果后（实在不行就先把这道题放着咯），想到了还有ftp镜好像没怎么用。把他给我点开！找！，结果如下：

一共是3个，选哪一个呢？通过第10题我们得到的“恢复密钥标识”，根据对应关系，咱们需要的是第一个txt。 

导出-重新打开vtm-computer镜像案例-分区5-右键bitlocker解密-恢复密钥-选择密钥文件。

解密完成以后，给👴直接搜-右键-跳转到源文件-源文件右键-计算哈希值-然后下边摘要的地方就有值了，如下：

（三）20-26关键字：路由器。所以检材是20211018.log日志文件
20. [多选题] 路由器的记录中显示以下有哪些IP是公司的电子器材? (3分)

A. 192.168.40.128

B. 192.168.40.129

C. 192.168.40.130

D. 192.168.40.131

E. 192.168.40.132

“.log”文件建议用exel导入分列打开（分隔符：空格），实在不行notepad++也不犯法。

新建空白exel-数据-从文本/csv-选择目标文件

 ps：注意，导入的时候可能找不到.log文件，右边要选成”所有文件”

 21. [填空题] 路由器的记录中显示公司的计算机下载了FTP软件，该下载网站的IP是什麼?(请以亚拉伯数字作答，省去“.”符号) (3分)

491212147
思路一：下载了软件==》访问网页下载==》使用https服务==》端口号：443==》直接搜索“443"

 思路二：直接搜索”ftp”，无果。根据第？题提示到，ftp通过filezilla下载。尝试搜索“filezilla”（通过导入exel有个奇怪的问题，某些列好像不见了，所以我在exel里面搜“filezilla”搜不到，但是我用notepad++打开就可以搜到。有没有好心人给我解惑 (　ﾟ∀ﾟ) ﾉ♡）

22. [多选题] 路由器的记录中显示公司计算机的资料用FTP软件传到了甚么IP地址及利用端口? (2分)

218.255.242.114

ps：像有毒一样，上一题题目说答案不加“.”，这一题它又不说了，到底要怎样？

思路一：老规矩，ftp协议21端口，搜索“21”。

搜出来范围比较大，很多ip也被纳入了，耽误事儿，我就返回上一题443端口那道，看了下应该是第一列，直接选中第一列进行搜索，并且把关键字换成“/21”（为什么要加“/”，因为上一题搜出来结果里有“/”，我寻思这样比较精准会更快一些）

23. [多选题] 路由器的记录中显示以下哪些关键词是表示公司计算机与外界网络联机? (2分)

A. destination

B. ICMP echo request

C. inside

D. outside

E. 以上皆是

这道题我可以肯定outside，毕竟我在exel刚才搜ip的时候在表格里面看到了，destination只能说确实也在一起的说算正确答案好像也没毛病，但是按照我头铁的程度，我肯定不会选A。B项是ping命令的时候用的协议，目前也没提到哪里说在ping。

有没有大佬说个靠谱的思路。

24. [单选题] 路由器的记录中显示哪一个IP曾以teamviewer 连接公司计算机? (1分)

A. 110.152.0.14

B. 52.152.117.114

C. 180.152.0.13

D. 83.26.80.131

思路一：先在日志文件（exel）里搜“ teamviewer ”，无果，直接挨个搜选项，只有B出现了

思路二：找ip，众多的情况找端口增加精准度。百度了一番，如下：

 直接搜索“/5938”，得到ip

 

单选题，就这样吧，另外的不搜了，lay了。（提醒下，大家导入.log到exel之前我真的建议先另存为txt文档，不然要丢失数据，我不知道为什么，但是我遇到这样的问题了，导致我又是一顿浪费时间，哭哭。 ┗( T﹏T )┛）

25. [多选题] 路由器的记录中显示以下哪一个有可能是以teamviewer 遥控公司计算机的时间? (3分)

A. 09:31, 09:37

B. 0933, 09:39

C. 10:29, 10:36

D. 10:40

E. 10:42

根据上一题得到的ip来反查访问时间，就是答案。我就不一一截图了，比如以下这个。

26. [填空题] 路由器的记录中显示有多少电子器材有可能曾被入侵? (请以阿拉伯数字作答) (2分)

3

从第17题看，我认为是3个，就那个主管加他的两个同事。（不知道是否有其他思路？）

（四）关键字：阿力士iPhone 12 pro，所以检材是iPhone 12 pro。 （解压以后仿佛回到了iphone6那道题，一样要用cellebritereader做）

27. [多选题] 阿力士iPhone 12 pro电话 于2021年10月21日，以下哪一张相片可能曾被分享 (UTC+8)? (3分)

A. IMG_0011.HEIC

B. IMG_0010.HEIC（A/B无法确定啊，美亚有官方答案吗？）

C. IMG_0009.HEIC

D. IMG_0008.HEIC

E. IMG_0007.HEIC

思路一：直接把选选项拿来搜索，只有A和B有结果。A项如下：

 觉得很奇怪，这个的名字叫5005，但是也被搜出来了，我看到他的存储路径是A项的“IMG_0011.HEIC”，再看看第图中第3个呢？

一模一样的图片，但是名字不一样，大小也不一样，路径也不一样（但路径是一条道上的） ，看出不啥来。

接着搜B项，搜出来一样的好几个结果，一共5个结果，A项3个结果，多了东西，有问题！，基本上出现的问题和A项雷同，但是多了个东西！“outgoingtem”，怎们看怎么可疑，顾名思义跟题目说到的“分享”一致，所以按照这个思路正确答案是B。如下：

而且从文件这里可以作证：

 思路二：找到这五张图片的原图 

不难发现，每张图都对应有一张“5005”的图，他们的创建、访问、修改都是相同的。比如B选项11这张来说5005的时间如下：

IMG_0010.HEIC的时间如下：

唯独A选项，三张图时间都不同。后来看了大佬们的相关解释，原理是：正是因为这张照片可能被分享，分享的时候未通过原图发送，所以没有了元数据，然后手机机主又重新保存了自己发出去的照片，时间这些就发生了变化。

思路三：请看第36题，alex的xr里也有10这张照片的图像（虽然不叫这个名字），我很难不怀疑他用自己的手机在互相传（毕竟我有时候就这么干）

28. [单选题] 阿力士iPhone 12 pro电话中哪一张相片可能曾被修改拍摄时间? (2分)

A. IMG_0011.HEIC

B. IMG_0010.HEIC

C. IMG_0009.HEIC

D. IMG_0008.HEIC

不多赘述了，上一题分析的，时间被改了。这一题选择IMG_0011.HEIC哈哈哈。

29. [填空题] 阿力士iPhone 12 pro 的GSM媒体访问控制地址是什么? (请以英文全大写及阿拉伯数字回答，不用输入":") (2分)

e06d17319206

“GSM媒体访问控制地址”，看不懂，看不懂的名词，百度就完事了，就是mac地址（物理地址）

    

ps： 手机为蓝牙媒体，所以选蓝牙设备的地址

30. [单选题] 阿力士的iphone 12 pro以什么屏幕密码保护? (1分)

A. 6 位阿拉伯数字密码

B. 4 位阿拉伯数字密码

C. 图形密码

D. 以上皆非

奇哥思路：找到“manifest.plist”文件（奇哥说他找研发部问的），文件我直接搜到了，但是我打不开，招了好几个软件，都是年代久远，出现这门那门的问题，算了，弃了。气人 (；′⌒`)

奇哥思路选择的是没有密码，但我觉得可能是有的，我的想法就是下面这个图（不知道是否有官方答案），要我我就选A。

31. [多选题] 阿力士iphone 12 pro内以下哪一张相片是实况相片(live Photos)? (2分)

A. IMG_0011.HEIC

B. IMG_0010.HEIC

C. IMG_0012.HEIC

D. IMG_0009.HEIC

直接就看到了

 其实还有个思路，直接搜live试一试，比如下面这样，挨到挨到看就是了。

32. [单选题] 以下哪一个是阿力士iphone 12 pro可能曾经连接的装置名称? (2分)

A. Chris’s MacBook Pro

B. Chirs’s iPhone

C. Chirs’s Computer

D. Chirs’s Linux

思路一：联系人里面找到

  思路二：时间线里面找

 思路三：直接搜

33. [多选题] 接上题，记录连接时间是什么时候(UTC+8)? (2分)

A. 2021 年 10 月 21 日 00:58:01

B. 2021 年 10 月 21 日 08:58:01（多选题？？有毒？）

C. 2021 年 10 月 21 日 00:58:29

D. 2021 年 10 月 21 日 08:58:29

 （五）34-42题，关键字：阿力士iPhone XR。检材是iPhone XR压缩包，解压后得到ufdr文件，老规矩，用cellebritereader打开。

34. [多选题] 阿力士iPhone XR中在软件WhatsApp中工地主管与阿力士的对话中曾提到：[佢叫我俾钱喎，BTC係唔係呢个啊？]。在进行电子数据取证分析后，以下哪一个是有可能关于此对话的正确描述？ (2分)

A. 此对话被 Kariser Lee 删除

B. 此对话的附件为一张图片文件

C. 此对话被 Alex Chan 删除

D. 此对话是引用 Alex Chan 回复

解题思路，直接找聊天记录。

 刚才看kariser的iphone6的时候并没有看到，所以他删了（当然，因为是多选，C选项alex chan删掉了？删掉了我去哪儿截图，不对。D选项，不是引用的回答，引用的回答的话这句话下面应该吊着引用过的话，不对。所以也可以用排除法选AB）

35. [填空题] 阿力士iPhone XR的WhatsApp对话中，阿力士曾要求工地主管支付多少个BTC? (请以阿拉伯数字回答) (1分)

10

直接看上一题图。

36. [多选题] 阿力士iPhone XR中 “IMG_0056.HEIC”的图像与"5005.JPG"(MD5: 96c48152249536d14eaa80086c92fcb9)” 看似为同一张相片，在电子数据取证分析下，以下哪样描述是正确? (2分)

A. 储存在不同的 .db 里

B. 有不同哈希值

C. 为原图, 5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9)为

缩略图

D. IMG_0056.HEIC 曾被开启过，所以在 IOS 系统中创建了缩略图 5005.JPG(MD5:

96c48152249536d14eaa80086c92fcb9) （这个选项我有理由说他是，也有理由说他不是）

通过查看路径可以发现，5005是IMG_0056的缩略图（看分辨率也可以发现）

A选项？？我搜了.db文件，但是没找到与图库相关的数据库文件，所以我其实不能确定。有没有大佬给我解释下呀，小刘磕头.gif

 

B选项：5005和56的哈希我都计算了下（机制如我直接用取证大师自带的工具嘻嘻），不同。

其实有个偷懒的办法，这款i的哈希没说是SH-1，那我默认MD5也没毛病吧，MD5的话，cellebritereader自带的已经直接计算了的，点那个文件，下面就有：

C项没啥好解释的：看上面两张图大小。一个大一个小，一模一样的图片，除了缩略图，我不作他想。 

D项：我挺纠结的，可以看到上面两张图，56创建时间在前，5005创建时间在后，我可以说他是被开启过。但是56的创建、访问、修改时间没变，我也可以说他没被开启过？（来个大佬帮忙解释下 (๑•̀ㅂ•́)و✧）

37. [多选题] 阿力士iPhone XR中相片檔IMG_0056.HEIC提供了什么电子数据取证的信息? (3分)  

A. 此相片是由隔空投送 (Airdrop)得来

B. 此相片由 iPhone XR 拍摄

C. 此相片的拍摄时间为 2021-10-21 17:45:48(UTC+8)

D. 此相片的拍摄时间为 2021-09-08 17:35:00(UTC+8)

看36题的图片，很明显，是苹果12pro拍摄的，并不是XR拍的，又是多选题，答案应该选AD

38. [单选题] 阿力士iPhone XR中阿力士的电邮账户Alexc19851016@gmail.com的密码有可能是什么? (1分)

Aa475869!

思路一：在备忘录里找到了（怎么说呢，毕竟我自己也是存里面，ipad和iphone的密码经常混淆）

 思路二：是通过CMD5（NT哈希）查看电脑开机密码（其实我不知道在哪找，但是有大佬说他的思路是这样，也没有截图，先留个作业吧就）

39. [填空题] 阿力士iPhone XR曾经连接Wifi “Alex Home”的密码是什么? (请以英文全大写及阿拉伯数字回答) (1分)

12345678

思路一：这道题的答案在做上一道题目的时候顺便翻到的

 思路二：直接搜关键字

40. [单选题] 阿力士iPhone XR经iCloud备份的最后时间是什么?(UTC+8)? (1分)

A. 2021-10-21 17:51:38(UTC+8)

B. 2021-10-21 18:02:13 + (UTC+8)

C. 2021-10-21 09:51:38(UTC+8)

D. 2021-10-21 10:02:13 + (UTC+8)

思路一：直接看基础信息

思路二：搜索关键字“backup”，找到设备信息，双击查看，或者就在这个界面查看。

  PS：注意UTC+8，这是在加载ufdr文件时候跳出来的，注意哈。

41. [填空题] 阿力士iPhone XR中的iBoot版本是iBoot-__________? (请以阿拉伯数字回答，不用轮入“.”) (1分)  

672312036

没有技巧，全是感（到痛苦的）情，纯翻。趁此机会积累一下：

iboot苹果路径：Lockdown srvice/phoneInfo.xml

 

42. [多选题] 阿力士iPhone XR中的WhatsApp群组『团购-新鲜猪肉牛肉-东涌群组-9/30』有以下哪一个成员? (2分)

A. 85260617332@s.whatsapp.net

B. 85260452579@s.whatsapp.net

C. 85248791565@s.whatsapp.net

D. 85264630956@s.whatsapp.net

直接找或者搜 

（六）43-52题，关键字：“阿力士的计算机”，所以检材是Alex_Windows_Computer.e01镜像文件，行，数据跑起来。

43. [单选题] 阿力士的计算机显示曾于hongkongcard.com 的论坛登记成为会员，以下哪个是他的帐户密码? (3分)

A. Aa475869!

B. Bb475869!

C. Cd475869!

D. 以上皆非

选项看起来怪熟悉的，直接搜索“hongkongcard.com”，果然，得到一个熟悉的账号，回到第38题可以得答案：

（ps：这位cgspine大哥提出了NT哈希的那种查找方法，但我不知道咋搞的）

 44. [单选题] 阿力士的计算机显示阿力士曾用什么方法进入受害者(主管)的计算机? (1分)

A. 远程操控

B. 特洛伊木马程序

C. 勒索软件

D. 恶意软件

这道题啊，结合第13题，想起来了吗？直接选呗。

45. [单选题] 续上题，阿力士最后一次进入受害者(主管)计算机的时间是什么? (2分)

A. 于 2021 年 10 月 18 日 10 时 36 分

B. 于 2021 年 10 月 18 日 18 时 36 分

C. 于 2021 年 10 月 18 日 6 时 53 分

D. 于 2021 年 10 月 18 日 18 时 42 分

去找teamviewer的最后一次链接时间。因为是通过teamviewer实现的的远程控制。

46. [填空题] 阿力士的计算机显示他曾经使用FTP程序，FTP的主机IP地址是什麼?(请以亚拉伯数字作答，省去“.”符号) (2分）

218255242114

思路一：ftp，前面第11题提到过用filezilla下载ftp，我们现在在镜像里看看filezilla连接时候的主机IP

思路二：打开刚才的路由器日志文件，前面第22题，公司文件被传送到ftp端，那道题的ip八九不离十。（这道题是十哈哈哈）

47. [填空题] 阿力士的计算机显示于2021年9月至2021年11月期间，计算机曾被登入过多少次? (请以阿拉伯数字回答) (1分)

30

解题思路：这种一般是跟系统痕迹相关。

48. [填空题] 阿力士计算机所安装的Microsoft Office 2007 是以下哪一个版本? (请以亚拉伯数字作答，省去“.”符号) (2分)

12045181014

思路一：仿真看（控制面板）

思路二：直接取证大师里面找

这个截图和答案无关，我觉得可能后面有用，截图保存嘻嘻。

 找了半天无果，过滤试试。（ps:一定记得把绿色的小箭头点上，不然缺文件）

49. [填空题] 以下是阿力士计算机中的Basic data partition (EFI 3) 的Volume ID? (请以英文全大写及阿拉伯数字回答) (2分)

9705c469-7dca-4d55-ae76-7481b9f1428e

解题思路：看到什么volum就要知道和分区、底层等相关了，要用DiskGenius，或者xways

顺便说一下，题目没说不要“-”，就带起。

50. [填空题] 阿力士计算机的Window product ID是什么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

003311000000001AA411

基础题，不多说

 51. [单选题] 阿力士计算机曾经下载一张猴子的图片，以下哪一项描述正确? (1分)

A. 该图片是由

“https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSgn6ABvcqTfFPjcIbjc9hdx1

H4PtQsAuVyTQ&usqp=CAU”下载的

B. 该图片经过加密

C. 该图片于 2021-09-30 下载

D. 该图片是由 GIF 档转换成 PNG 檔

解题思路：直接搜答案-导出png，但是发现是个history文件，卒。

换个思路，根据题目说“下载”，我们去翻一下，得嘞！

52. [填空题] 阿力士计算机所安装的Microsoft Office 2007 的密钥是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

V77WQRPVP67MTPGWH3G9D44MJ

思路一：老规矩，先过滤，再找找。或者直接回到48题，还记得路径吗。记得也没用，直接找找不到，要先卷影分析（因为这个镜像在跑的时候就提示了，但是目前为止都还没有影响做题，闲杂i找不到了，可以试试。） ，卷影分析有点耽误事儿。

 思路二：仿真-产品标识符

（七）52-62题，关键字阿力士FTP。ok，我们的检材是ftp镜像文件。，直接打开案例（之前已跑过数据了，第（二）部分）。

53. [单选题] 阿力士FTP 服务器用户使用命令行安装了甚么程序? (1分)

思路一：取证大师找终端记录

思路二：搜索“bash_history”（无他，唯经验耳，就是linux历史记录嘛）

 思路三：用xways，查看bash_history，看到安装了docker。

54. [多选题] 以下哪些档案于阿力士FTP 服务器曾重复出现? (3分)

A. Material1

B. Material2

C. Material3

D. Staff1

E. Staff2

F. Staff3

思路一：搜就完事儿

思路二：仿真进入docker容器查看

55. [填空题] 在阿力士FTP服务器中，文件夹___________曾被用户变更了访问权限(请以英文全大写及阿拉伯数字回答) (2分）

Dangerous_Project

跟53题一样，去看历史命令

变更文件权限，要熟悉linux命令，哈哈熟悉的777.

56. [填空题] 在阿力士FTP 服务器建设后，有______个额外用户被加入 (请以阿拉伯数字回答) (2分)

1

见上一题的图，pure命令，加入用户，用户名ftpd

57. [单选题] 根据阿力士FTP服务器设定显示，此服务器是以_____方式连接网络，且是一个_______网络状态 (1分)

A. 无线 , 公开

B. 无线 , 私人

C. 有线 , 公开

D. 有线 , 私人（我觉得是D，不清楚正确答案）

我的思路：首先可以看到是有线。

跳转到源文件，可以看到ipv6这里显示了“privacy”

 58. [填空题] 阿力士FTP 服务器设定最多使用者数目是_____ (请以阿拉伯数字回答) (2分)

50

解题思路：需要看ftp的配置文件，所以找“.conf”文件，搜索“ftpd.conf”（ftpd是创建的用户，前面做到过撒）

59. [填空题] 阿力士FTP服务器使用Docker安装了一个FTP程序为___________。(例如 space docker /1.1，请输入 spacedocker/1.1，不要输入空格) (2分)

stilliard/pure-ftpd

解题思路，那肯定要用到docker命令了，并且命令里面包含ftp，要知道dockers pull命令

docker pull 后面一般跟的是拉取的程序镜像，所以答案是后面那一坨。

 60. [多选题] 阿力士FTP 服务器曾使用过甚么版本的Linux内核? (2分)

A. linux-headers-5.11.0-16

B. linux-headers-5.11.0-17

C. linux-headers-5.11.0-36

D. inux-headers-5.11.0-37

E. linux-headers-5.11.0-40

思路一：仿真-输入命令-dpkg --get -selections | grep linux-image

思路二：直接找

思路三：直接搜

61. [多选题] 阿力士FTP 服务器的磁盘分区，有以下哪一种文件系统? (2分)

A. FAT16

B. FAT32

C. ExFAT

D. HFS+

E. Ext4

ps：分区一不确定，不确定的不要乱选。

62. [填空题] 阿力士FTP服务器用户输入了指令_____________去检查现存的Docker容器 (例如 netstat lntp，请输入 netstatlntp，不要输入空格) (3分)

dockercontainerps-a

docker container ps -a是列举所有存在的docker容器命令（含不运行的）。