青云美亚个人赛复盘

青云

2021年“美亚杯”全国电子取证比赛

赛后分析复盘-2022.06.09 个人赛-W

背景

2021年10月某日早上,本市一个名为"大路建设"的高速公路工地主管发现办公室的计算机被加密并无法开启,其后收到了勒索通知。考虑到高速公路的基建安全,主管决定报警。警方调查人员到达现场取证,发现办公室内有三部个人计算机,通过一个老款路由器接入互联网。

经调查相关电子证据后,警方怀疑一位本地男子–阿力士与本案有关,并将他拘捕。现在你被委派处理这起案件,请由以下资料分析阿力士在本案中的违法犯罪行为, 并还原事件经过

使用到的工具:取证大师、火眼仿真等等

1、 [单选题] 工地主管电话的微信账号是什么? (1分)

A. Kasier751111

B. Kasierlee751111

C. Kasierlee

D. 以上皆非

在这里插入图片描述


2. [填空题] 工地主管的隔空投送装置编号是什么? (请以英文全大写及阿拉伯数字回答) (1分)780F624DF099

在这里插入图片描述


3. [单选题] 工地主管电话的哪一个应用程序有关于于经纬度24.490474, 118.110220的纪录? (2分)

A. 照片

B. WhatsApp

C. Apple Maps

D. 以上皆非

在这里插入图片描述


搜索WhatsApp发现并未有,反之,搜索Apple Maps直接出现

在这里插入图片描述


4. [多选题] 工地主管的手提电话中下列哪些数据正确? (1分)

A. iOS 版本为 12.5.4

B. IMEI 为 454120637213361

C. Apple ID 为 kaiserlee3660@gmail.com

D. 手机曾经安装dropbox 应用程序

A:12.5.4

在这里插入图片描述


B:454120637213361为IMSI

在这里插入图片描述


C:

在这里插入图片描述


D:

在这里插入图片描述


5.[填空题] 工地主管的电话最常使用的浏览器是什么? (请以英文全大写回答) (1分)

SAFARI

在这里插入图片描述


可以很清楚的看到所浏览的记录的来源都是SAFARI

在这里插入图片描述


6. [单选题] 工地主管的电话连接过哪一个WiFi? (1分)

A. Kaiser Lee

B. Kaiser

C. Free Wifi

D. Kaiser Home

尝试打开无线网络,随后发现

在这里插入图片描述


有明显的连接名称:Kaiser Lee

在这里插入图片描述
在这里插入图片描述

此处补充一个知识点

知识点

SSld:无线局域网络(WLAN)名称(基础知识)

7. [多选题] 工地主管与Alex Chan的Whatsapp 对话中,曾提及以下哪个TeamViewer的用户号码? (3分)

A. 435334881

B. 453851521

C. 435475200

D. 456874155

E. 435270306

在这里插入图片描述

点开后进行查看,可以很清楚的看到三个账号:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述


8. [填空题] 工地主管的WhatsApp中有多少个黑名单的记录? (请以阿拉伯数字回答) (2分)

0

首先先直接搜索WhatsApp

在这里插入图片描述


点击详细资料
在这里插入图片描述

会发现它的地址
在这里插入图片描述


路径为:

<font color=##FF0000>iPhone/mobile/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApp.shared/ChatStorage.sqlite : 0x5CC8(表: ZWACHATSESSION, ZWAMESSAGE, ZWAGROUPMEMBER,大小: 2760704 位元組)

追寻它的源地址

在这里插入图片描述


这些表的意思不清楚,逐一进行查询

在这里插入图片描述


ZWABLACKLISTITEM这一个的意思为黑名单,以及它的黑名单数量为0

9. [多选题] 以下哪个蓝牙装置的Uuid 曾连接过工地主管的手机? (2分)

A. 7F1FE70D-2B15-C245-853D-4196F13CC446

B. 1B057C1D-83D3-99A6-D2B1-EC54846C7CEE

C. 134ACD1-83D3-99A6-D2B1-EC54846C7CEE

D. 7D1BE70D-2C16-D246-851D-491613DD776

这道题的思路与上一题的是一样的,先直接搜索

在这里插入图片描述


并没有任何信息

随之点开装置连接

在这里插入图片描述
在这里插入图片描述


发现明显的源地址 然后再手工的查找数据库,直接找到两个蓝牙装置

在这里插入图片描述


10.[填空题] 工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么? (请以英文全大写及阿拉伯数字回答,不用输入"-") (1分)

36EBC180-95F7-41FF-BE5B-4E56E7AF48B1

步骤很简单:打开取证大师-加载镜像-解析E盘-得出答案

*在这里插入图片描述


11.[填空题] 工地主管计算机內的FTP程序FileZilla的用户名称是甚么? (请以英文全大写及阿拉伯数字回答) (3分)

FileZilla思路明确,是一个程序,随之查找


发现是在下载工具分析,然后直接查看

在这里插入图片描述


12.[填空题] 工地主管的Team Viewer ID 是甚么? (请以英文全大写及阿拉伯数字回答) (2分)

435270306

在这里插入图片描述

评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值