美亚2021年资格赛

1

D

 经过搜索，都未找到相关信息，因此选d

2

780F624DF099

 

 长见识了，苹果的隔空投送是airdrop

3

 C

在位置信息里查找

4

 AC

 

5

SAFARI

 

6

 

 A

7

 ACE

 查找对应app的聊天记录

8

0

这个手机取证无法直接打开应用分析，只能分析数据库文件，在数据库文件中搜索WhatsApp，然后在chatstorage数据库中找到表zwablacklistitem，发现其中是空的

9

 AB

首先查看蓝牙连接信息

发现两条数据，跳转到目标数据库中查找即得目标信息

 

 10

 36EBC180-95F7-41FF-BE5B-4E56E7AF48B1

方法1：右键E盘，bitlocker解密

方法2：搜索

 

 11

ALEX

 12

420190768      435270306

刚开始弄错了，电脑检材里的是连接主管的用户的ID，非主管的ID，查看之前的聊天记录里，就有

13

 420190768

好吧就是上题的错误答案

 14

BC

查找记录，或者直接搜索

 15

 003311000000001AA962

 16

 在主管的计算机中找不到相关信息

17

 AF

 用户标识符为SID的最后4位

 18

 

 A

仿真打开，随意创建一个html文件，显示的图标即预设浏览器

19

 40418B21F6C3E4AF306D5EF3B80A776DA72FC1D2

在ftp服务器中找到bitlocker密钥

 导出后，将主管的加密分区解锁，找到对应文件计算哈希值

这里补充一句，bitlocker加密会产生两个文件，一个是修复密钥表示符文件（.lnk），还有一个是密钥文件（.txt）结尾。

 20

ABCD 

查看路由器日志文件，前四个都能查到，最后一个查不到 

 

 21

 49.12.121.47

由前面的题目可知，使用的是filezilla软件进行ftp协议

 22

 AD

首先在取证大师里查看IP地址

结果发现没有23端口的选项，在日志中查找 

发现是21端口

或者

ftp协议的默认端口为21，直接日志里查找 “/21”

 23

AD

找到对应路由器传输记录

 

24 

 B

先在日志中找出各个IP所在的记录

 其次该类文件传输用tcp传输的可能性更高，即BC中选1个（就算A不能排除，还是可以在后续分析中排除），看A选项

 不符合由外向内的访问排除

看B选项

 

 

 

 多条记录指出该IP多次与128,129,130的IP建立tcp联系，而且，从主管资料来看，主管的IP为129，这个IP有很大的嫌疑

再看C选项

 总共就出现3次而且还是从内向外的，直接排除

再看D选项

 也只有一条，从内向外，排除

 综上，选B

ps：teamviewer的默认文件传输端口是5938、443、80优先级依次递减   53默认用来解析IP

25

 ACE

直接在记录里搜索alex的IP，对应的时间就是答案

26

 3

聊天记录里有三台电脑，主管和两个同事的，而且在路由器记录里也有三个目标IP

27

A 

首先查看了时间线，没有收或然后参考其他师傅，发现被分享过的文件就不会带有exif元数据（图片元信息Exif，给你详细讲讲 - 知乎 (zhihu.com)），因此过滤一下

 在文件夹视图中发现照片名

28

 

 A

正常的HEIC照片都有2张一样的，但0011有三张，有理由怀疑是A

29

e0:6d:17:38:24:20

 GSM媒体访问控制地址 应该是本机的Mac地址WiFi地址即是Mac地址WiFi mac地址详解_D0m1no的博客-CSDN博客

30

 

 D

手工查找pslist文件，找到manifest.plist文件中的WasPasscode的值为false，表示没有设置密码锁。（引用他人）要用plist编辑器打开

31 

 ABD

实况相片会产生一个对应的mov文件

方法1：查看文件目录

 方法2：搜索“live”

 32

 A

在联系人里查看或者直接搜索

 33

 B

 34

 AB

 35

 10

 36

 BC

排除A。B对D无法判断

37

 AD

 找到文件的原始位置，知道这个图片不是XR拍摄的，但我无法确定这是由隔空投送的，查看exif可以判断拍摄时间，可能排除法吧，将A选出来

38

 C

爆搜，在备注文件中发现密码

39 

 12345678

 搜索出结果

40

 A

"+00.00" 是加0时的标准时间，UTC+8是北京时间，要在原时间上加8时

41

 6723.120.36

 42

 AD

43 

A

搜索发现是Gmail登录

 在iphone xr里搜索记录

 44

 A

由上题可以得出答案

45

 D

查找alex的电脑应用记录

 46

218255242114 

47 

30

48 

12045181014

 49

94C4-4CA5-C44C-8B84

好像都是用Diskgenius查看就能得到结果

 50

 00331-10000-00001-AA411

51

A 

直接搜索得到答案

 52

 V77WQRPVP67MTPGWH3G9D44MJ

 53

A

54 

DEF

 开始想不明白ABC为什么不对，审题后发现“重复出现”因此选DEF

 55

 Dangerous_Project

查看终端记录，后来发现不是这样做的，搜索chmod命令（修改权限）

56 

1

很应景啊，上面刚错的pure这里就用到了，pure是创建虚拟用户的指令 ，wai为用户名

57 

C

 查看网络配置信息

 不知道为啥是公网，上网查了公网ip好像没这么大，wired的意思好像就是有线

58

 50

 固定路径，基础知识，以后就知道了

59

 docker pull 为docker安装程序

60

AD

查看历史内核 dpkg --get -selections | grep linux-image 

 61 

 

BE

 

62 

---

 总结：这一年的题目比起前几年的还是有挑战性的，多了服务器取证，路由器记录，收获颇丰！