2021美亚杯个人赛

Created2023-11-10Updated2024-01-16Visited

背景资料

2021年10月某日早上，本市一个名为“大路建设”的高速公路工地主管发现办公室的计算机被加密并无法开启，其后收到了勒索通知。考虑到高速公路的基建安全，主管决定报警。警方调查人员到达现场取证，发现办公室内有三部个人计算机，通过一个老款路由器接入互联网。
经调查相关电子证据后，警方怀疑一位本地男子–阿力士与本案有关，并将他拘捕。现在你被委派处理这起案件,请由以下资料分析阿力士在本案中的违法犯罪行为, 并还原事件经过。

1.工地主管电话的微信账号是什么？

此时打开阅读器发现并没有存在微信这个app；所以此题选择以上皆非

2.工地主管的隔空投送装置编号是什么？（英文全大写加阿拉伯数字回答）

通过搜索引擎发现iPhone的隔空投送是AirDrop ID

3.工地主管电话的哪一个应用程序有关于经纬度24.490474 118.110220的记录？

4.工地主管的手提电话中下列那些数据正确？

iOS版本、IMEI、Apple ID信息均可在逻辑提取内容中发现；但是此时的安装dropbox却没有找到

5.工地主管的电话最常使用的浏览器是什么？（请以英文全大写回答）

此时在搜索与网络里面发现存在Web历史记录；此时只有Safri有历史记录；因此答案就是Safri

6.工地主管的电话连接过哪一个WIFI？

这个时候在设备与网络里面的无线网络里面查看，此时发现连接过的WIFI：

7.工地主管与 Alex Chan 的 WhatsApp 对话中，曾提及以下哪个 TeamViewer 的用户号码？

此时在消息中的WhatsApp中查找Alex；发现提及了三个TeamViewer的用户号码

8.工地主管的 WhatsApp 中有多少个黑名单的记录？（请以阿拉伯数字回答）

此时的数据一般会保存在数据库里面，此时我们直接在数据库里面搜索whatsapp发现在ChatStrorage.sqlite里面存在ZWABLACKLISTITEM为0

9.以下哪个蓝牙装置的 UUID 曾连接过工地主管的手机？

依旧实在数据库中查看，直接搜索Bluetooth发现了两个蓝牙装置的UUID曾经连接过工地主管的手机

10.工地主管计算机的E盘的 Bitlocker 修复密钥标识符是什么（英文大写加阿拉伯数字，不用输入’-‘）

修复密钥标识符就是修复秘钥标记，右键选择分区5，选择Bitlock解密，解密方式选择修复密钥串即可

11.工地主管计算机内的 FTP 程序 FileZilla 的用户名全称是什么？（英文大写加阿拉伯数字回答）

12.工地主管的 TeamViewer ID 是什么？（请以英语全大写和阿拉伯数字回答）

在之前工地主管手机的whatsapp的聊天记录中可以看到

13.工地主管的 Team Viewer 与哪一个 ID 连接？（请以英语全大写和阿拉伯数字回答）

在取证大师自动取证结果里的其他应用-TeamViewer-被其他主机远程连接的信息，就可以发现题目需要的ID号了

14.工地主管曾用计算机浏览器做搜寻，以下哪一个关键词他曾经搜寻？

直接在搜素引擎中的搜素记录中一一对应寻找对应即可

15.工地主管计算机的 Windows 系统的产品标识符是什么？（请以英文全大写及阿拉伯数字回答，不用输入’-‘）

此时需要我们寻找的是系统的产品标识符；这个时候我们可以直接到系统痕迹里面的系统信息直接查找即可

16.工地主管曾用计算机使用 WhatsApp，他曾和以下哪个电话号码沟通？

这道题是真的不懂怎么写；学长给出的见解是：就根据上下文硬猜是和ALEX通讯了，所以就是ALEX的WhatsApp号，不然我也想不到其他的情况了。

17.工地主管的计算机的用户名称是什么？其用户标识符是什么？

这个时候在系统痕迹中的用户信息中查找发现存在5个用户，但是只有PC1存在登入次数；就可以发现题目需要的用户名和ID号了；1001转成16进制就是0x3e9.

18.工地主管计算机的预设浏览器是什么？

此时直接从使用次数来看即可发现为Chrome的次数明显多余Edge和IE

要是还是不能肯定的话直接进行仿真即可确定是Chrome

19.工地主管计算机的其中一个分区被人加密，分区内的电子表格Material3.xlsx的哈希值（SHA1）是什么？（请以英文全大写及阿拉伯数字回答，不用输入’-‘）

直接进行搜素关键词bitlocker;可以发现BitLocker Recovery Key 36EBC180-95F7-41FF-BE5B-4E56E7AF48B1.lnk

但是很奇怪我这里一直显示无法导出和预览

20.路由器的记录中显示以下有哪些 IP 是公司的电子器材？

直接一个个去搜索即可

21.路由器的记录中显示公司的计算机下载了FTP软件，该下载网站的 IP 是什么？（以阿拉伯数字回答，省去’.’符号）

在取证大师里面可以找到然后在路由器日志里面搜索（众所周知 FileZilla 是一款 ftp 软件，直接搜索）

22.路由器的记录中显示公司计算机的资料用 FTP 软件传到了什么 IP 地址及利用端口？

从取证大师里面找到ftp的连接记录

接下来直接在log里面直接搜即可发现端口为21

23.路由器的记录中显示以下哪些关键词是表示公司计算机与外界网络联机？

算是网络的基本知识了，outside表示外网地址，inside表示内网地址，destination表示目标地址， ICMP echo request是 ICMP 回应请求报文（Ping 指令可以产生）。

24.路由器的记录中显示哪一个 IP 曾以 teamviewer 连接公司计算机？

直接搜5938看看是什么ip进行连接

25.路由器的记录中显示以下哪一个有可能是以 teamviewer 遥控公司计算机的时间？

依旧搜索5938然后根据选项一个个的排查即可

26.路由器记录中显示有多少器材有可能被入侵？

根据之前的聊天记录，应该就是主管自己加上两个同事的主机失陷，因此答案为3。

27.阿力士 iPhone 12 pro 电话于 2021 年 10 月 21 日，以下哪一张照片可能曾被分享（UTC+8）？

被分享过的图片会生成不带元数据的缩略图，所以直接在图像里过滤

28.阿力士 iPhone 12 pro 电话中哪一张相片可能曾被修改拍摄时间？

此时IMG_0008.HEIC这张图片的创建访问修改三个日期不一致，但是其他三张图片的日期是一致的

29.阿力士的 iPhone 12 pro 的 GSM 媒体访问控制地址是什么？（英文全大写加阿拉伯数字回答，不用输入’:’）

媒体访问控制地址就是MAC地址，因此应该就是这个逻辑提取中的WIFI地址

30.阿力士的 iPhone 12 pro 以什么屏幕密码保护？

31.阿力士iphone 12 pro内以下哪一张相片是实况相片(live Photos)？

苹果手机的实况相片有一个特征，那就是会创建一个与照片同名的MOV文件，在/iPhone 12Pro/mobile/Media/DCIM/100APPLE中就可以发现ABD三个图
都存在对应的MOV文件：

32.以下哪一个是阿力士 iphone 12 pro 可能曾经连接的装置名称？

33.接上题，记录连接时间是什么时候（UTC+8）？

在日志的连接中可以看到连接时间

34.阿力士 iPhone XR 中在软件 WhatsApp 中工地主管与阿力士的对话中曾提到：佢叫我俾钱喎，BTC係唔係呢个啊？。在进行电子数据取证分析后，以
下哪一个是有可能关于此对话的正确描述？

35.阿力士 iPhone XR 的 WhatsApp 对话中，阿力士曾要求工地主管支付多少个 BTC ? （请以阿拉伯数字回答）

36.阿力士 iPhone XR 中 “IMG_0056.HEIC”的图像与”5005.JPG”(MD5:96c48152249536d14eaa80086c92fcb9)”看似为同一张相片，在电子数据取证
分析下，以下哪样描述是正确?

此时的考点是取证的常识；iOS的照片都是存储在Photis.plist里；并有有不同哈希值；IMG_0056.HEIC为原图,5005.JPG为缩略图;
IMG 0056.HEIC曾被开启过，所以在I0S系统中创建了缩略图5005.JPG

37.阿力士 iPhone XR 中相片 IMG_0056.HEIC 提供了什么电子数据取证的信息？

很明显这照片不是XR拍摄的，因此就是隔空投送的，然后拍摄时间是捕获时间，而不是创建时间，这里的创建时间应该是XR接收到12 pro隔空投送的时间

38.阿力士iPhone XR中阿力士的电邮账户`Alexc19851016@gmail.com` 的密码有可能是什么？

在备注中找到

39.阿力士 iPhone XR 曾经连接 Wifi “Alex Home” 的密码是什么?

直接去用户账户和信息里面的密码查找

40.阿力士 iPhone XR 经 iCloud 备份的最后时间是什么？（UTC+8）

直接去设备信息中查看

41.阿力士 iPhone XR 中的 iBoot 版本是 iBoot-？(请以阿拉伯数字回答，不用输入”.”)

在Lockdown Service/PhoneInfo.xml里，这个文件中存着手机信息

42.阿力士 iPhone XR 中的 WhatsApp 群组『团购-新鲜猪肉牛肉-东涌群组-9/30』有以下哪一个成员？

43.阿力士的计算机显示曾于 hongkongcard.com 的论坛登记成为会员，以下哪个是他的帐户密码？

44.阿力士的计算机显示阿力士曾用什么方法进入受害者（主管）的计算机？

这道题简直在送分呀肯定是远程操控呀

45.续上题，阿力士最后一次进入受害者（主管）计算机的时间是什么？

46.阿力士的计算机显示他曾经使用 FTP 程序，FTP 的主机 IP 地址是什么？（请以阿拉伯数字作答，省去”.”符号）

47.阿力士的计算机显示于2021年9月至2021年11月期间，计算机曾被登入过多少次？（请以阿拉伯数字回答）

在系统痕迹中的系统信息的用户信息中可以查看为30次

48.阿力士计算机所安装的 Microsoft Office 2007 是以下哪一个版本？（请以阿拉伯数字作答，省去”.”符号）

在系统痕迹中的安装软件中可以查看

49.以下是阿力士计算机中的 Basic data partition (EFI 3) 的 Volume ID ？（请以英文全大写及阿拉伯数字回答）

使用取证大师挂载镜像；然后使用DiskGenius查看卷序列号即可(又从学长那里偷学一招哈哈哈哈hahhhh)

50.阿力士计算机的 Window product ID 是什么？（请以英文全大写及阿拉伯数字回答，不用输入”-“）

在系统痕迹的系统信息中即可查看

51.阿力士计算机曾经下载一张猴子的图片，以下哪一项描述正确？

52.阿力士计算机所安装的 Microsoft Office 2007 的密钥是甚么？（请以英文全大写及阿拉伯数字回答，不用输入”-“）

仿真之后直接在桌面的office里面工程文件夹里面可以找到key文件