2023美亚杯个人赛复盘
案情
2023月8月的一天,香港警方在调查一起网络诈骗案件时,发现有三名本地男子,分別为李大輝(李大辉),浩賢(浩贤)和Elvis CHUI,并确信这三名被捕男子均为大学同学。怀疑三人背后涉及一个庞
大的电信诈骗集团。于是将这三名本地男子拘捕,扣押了三人相关的电子设备并进行分析。
现在你被委派处理这件案件,请依据以下资料分析上述三人是否涉嫌犯罪,并还原事件经过。
检材资料
1.李大輝的安卓手机镜像 (Android.bin)
2.李大輝的macOS系统镜像(Mac OS.img)
3.来自李大輝计算机的一个文件($MFT Record Nr_ 107115, SeqNr_2.txt)
4.浩賢的个人虚拟机文件(Server.zip)
5.浩賢的Windows 10系统虚拟机文件(Windows10.zip)
6.浩賢的iOS手机系统文件(IOS.zip)
7.来自Elvis Chui计算机的一个网络封包文件(網路.pcapng)
8.来自Elvis Chui计算机的镜像文件 (Windows Artifacts.e01)
9.来自Elvis Chui计算机的数据库文件(SQLITE.zip)
10.Elvis Chui的Windows7虚拟机文件(Windows7.zip)
李大輝的安卓手机镜像(Android.bin)
1.参考’Android.bin’回答以下题目,李大辉所用手机移动运营商公司的名称。提示:请所有字母都用大写英文
此时询问到了运营商公司的名称;当时我这题在比武中填的是CMHK此时忽略了这个只是中国移动香港发过来的短信而已;此时真正的手机移动运营商要到SIM卡的使用记录中寻找
2.参考’Android.bin’回答以下题目,李大辉的手机安装了什么即时通讯软件 (Instant Messaging App)?
根据取证软件解析出的内容发现了WhatsApp这个通讯软件
3.参考’Android.bin’回答以下题目李大辉的手机安装了什么反追踪软件?提示: 所有答案字母都用小写字母并用xxx_xxx_xxxxxxx_xxxxxx_xxxx格式作答
这个可以在翻看照片时发现在快照中有一张特殊的图片;这个图片记载了photo_exif_editor_metadata这个软件;功能中的修改图片exif信息也可以理解为反追踪手段
4.参考’Android.bin’回答以下题目,李大辉的手机是什么时间成功登入WhatsApp?
这个时候我们可以在短信中找到WhatsApp发送的认证代码,推测就是在这个时候登入WhatsApp
5.参考’Android.bin’回答以下题目,李大辉登入WHATSAPP时的认证短码是什么?提示: 请以阿拉伯数字作答
参照上图可以知道认证代码为304313
6.参考’Android.bin’回答以下题目,李大辉到美丽好化妆品公司的入职时间是何时?
此时在Office文件信息找到一个加密或者受保护的文件,此时我们跳转到源文件看看;此时发现一个pdf文件打开之后发现是李大辉的职员证,此时标注了入职时间
7.参考’Android.bin’回答以下题目,李大辉曾于什么时间使用了图像编辑软件?
浩賢的个人虚拟机文件(Server.zip)
8.参考Server文件夹下的’Meiya_VPN.vmdk’回答以下题目,这个访问服务器使用了哪个端口?提示: 请用阿拉伯数字作答
此时在回收站里面发现一个txt文档打开之后发现是关于该服务器的信息;里面呈现了端口号943
9.参考Server文件夹下的’Meiya_VPN.vmdk’回答以下题目,“User1”账户最近连接到这个访问服务器时使用的IP地址是多少?提示: 用IPV4 格式回答
此时可以查看openvpn的日志文件进行查看登入情况;直接在火眼里面进行过滤直接搜索openvpn;可以得到日志文件
打开该日志文件之后直接搜索user1可以发现ip地址
10.[多选题]参考Server文件夹下的’Meiya_VPN.vmdk’回答以下题目,哪些文件可以找出这个访问服务器的Ubuntu版本?
因为是不让上网查找,所以直接仿真后测试即可
11.[多选题]参考Server文件夹下的’Meiya_VPN.vmdk’回答以下题目,哪些文件有助于分辨这是一个存储服务器?
auth.log:这个文件记录了用户登录和认证相关的日志信息。它可能包含与存储服务器相关的登录和访问日志。
sys.log:这个文件是系统日志文件,记录了系统的各种事件和错误信息。它可能包含与存储服务器相关的磁盘、文件系统或存储设备的日志信息。
bash_history:bash_history 文件包含了用户在 shell 中执行的命令历史记录。如果用户通过 shell 访问服务器并执行了相关命令,那么这个文件可以提供一些关于访问记录的线索。
12.参考Server文件夹下的’Meiya_VPN.vmdk’回答以下题目这个访问服务器所在时区是哪个时区?
使用命令cat /etc/timezone
13.参考Server文件夹下的 ‘ Meiya_VPN.vmdk ‘ 回答以下题目,这个访问服务器的“openvpn”帐户密码是多少?提示:请用大写字母与阿拉伯数字作答
跟第八题一样,在回收站里面的那个vpn.txt.trashinfo文件中记载了密码为TLFAG6L6DSSC
也可以在在/usr/local/openvpn_as目录找到init.log,为openvpn的初始化日志,在其中筛选password
14.参考Server文件夹下的 ‘ Meiya_VPN.vmdk ‘回答以下题目,在这个访问服务器中,“User1”账户之间的连接所使用的加密算法(密码)是什么?
直接搜索user1;发现存在一个为user1.ovpn的文件
进行预览后发现为AES-256-CBC加密模式
来自Elvis Chui计算机的一个网络封包文件(網路.pcapng)
15.参考’ 网络题目.pcapng ‘ 文件回答以下题目,给出正在进行Nmap扫描的计算机互联网协议地址?提示: 以IPV4格式给出答案
192.168.186.132
分析流量包可以发现192.168.186.132对45.33.32.156、8.8.8.8都进行过扫描
16.参考’网络题目.pcapng’文件回答以下题目,有多少个Nmap扫描正在同时进行?提示:请给出阿拉伯数字作答
2
流量包分析192.168.186.132对45.33.32.156、8.8.8.8都进行过扫描
17.参考’网络题目.pcapng’文件回答以下题目,当计算机正在扫瞄8.8.8.8,namp相关的指令是什么?
nmap -sT 8.8.8.8
由流量包分析可得扫描8.8.8.8是tcp扫描
18.参考’网络题目.pcapng’文件回答以下题目,当计算机正在扫瞄45.33.32.156,namp相关的指令是什么?
nmap -sU 45.33.32.156
流量包分析可得扫瞄45.33.32.156是udp扫描
李大輝的macOS系统镜像(Mac OS.img)
26.参考’Mac OS.img’文件回答以下题目,’Mac OS.img’文件中可以找到多少个符号链接?
通过搜索引擎得知符号链接(Symbolic links),也被称为Symlinks,是一类特殊的文件,指向系统上的其他文件或者目录,可以认为是macOS上的一种比较先进的别名(aliase)
我们直接搜索Symlinks发现=没有后继续搜索aliase发现一个
27.参考’Mac OS.img’文件回答以下题目,在’Mac OS.img’档中使用了哪种分区方案?
此时选择挂载磁盘;然后使用DiskGenius进行分析可以得到分区方案为GPT
28.参考’Mac OS.img’文件回答以下题目,’Mac OS.img’档的文件系统的正确描述是什么?
直接使用取证大师进行分析就可以得到文件系统是HFS+(已启用日志记录和区分大小写)
29.参考’Mac OS.img’文件回答以下题目,从文件“Car.rtfd”中删除了哪个文件?提示:答案需包括副文件名,并以全小写字母作答,例如 answer.docx
此时直接搜索rtfd可以看到出现了三个文件夹;包括了题目中的car.rtfd
这个时候我们打开car.rtfd文件夹可以发现存在两个文件;这个时候我们继续看搜索出来的另外两个文件
此时我们可以看一下该目录.DocumentRevisions-V100;.DocumentRevisions-V100是MacOS的版本控制系统,类似于Git;那么就是可以用来下载文件,这个时候我们继续看一下里面的文件;对
比两个文件我们可以得知多了一个yeah.jpg;那么此时就是我们要寻找的删除文件
30.参考’Mac OS.img’文件回答以下题目,请提供’Mac OS.img’映像文件被“fsck”命令检查的具体时间。提示:答案格式为YYYYMMDD-HHMMSS
根据官方公布的答案推测要的答案是映像文件的分区中最早的记录更新时间,但是需要转换时区
31.参考’Mac OS.img’文件回答以下题目,在.dmg档中删除了多少个文件?
.Trashes是MacOS的废纸篓,相当于Windows的回收站$Recycle.bin
来自Elvis Chui计算机的镜像文件(Windows Artifacts.e01)
32.参考’Window Artifacts.E01’内的Windows注册表回答以下题目,Elvis Chui 总共登入过该计算机多少次?提示: 请以阿拉伯数字作答
11
33.参考’Window Artifacts.E01’内的Windows注册表回答以下题目,该计算机的操作系统是在哪一个时区?
UTC +8
类似这种基本信息的话都可以直接使用取证软件分析出来
34.参考’Window Artifacts.E01’内的Windows注册表回答以下题目,该计算机的操作系统于何时安装?
2023-07-13 11:18:14
35.[多选题]参考’Window Artifacts.E01’内的Windows注册表回答以下题目,哪(几)个程序会于操作系统启动时自动执行
Avast、Steam、OneDrive
36.参考’Window Artifacts.E01’内的Windows注册表回答以下题目,该计算机内安装了以下哪一个程序?
WPS Office
直接进行搜索即可
37.参考’Window Artifacts.E01’内的Windows注册表回答以下题目,计算机内的OneDrive程序版本是什么
21.220.1024.0005
直接进行搜索即可
38.参考’Window Artifacts.E01’内的Windows注册表回答以下题目,计算机有一个正在连接的网络接口,该接口连接DHCP服务器的IP地址是多少?提示: 以 IPV4格式回答
192.168.88.254
在网络连接里面进行查找
39.参考’Window Artifacts.E01’内的Windows注册表回答以下题目,该计算机何时连接过一只U盘?(以计算机系统时区回答)
2023-07-13 11:48:29
40.[多选题]参考’Window Artifacts.E01’回答以下题目,Elvis Chui 将哪几个文本文件放在回收站中?
Minute on 2023-07-10.txt、Holiday schedule 2023-07-16.txt
41.参考’Window Artifacts.E01’回答以下题目,Elvis Chui在什么时间删除了第一个文本文件?(以计算机系统时区回答)
2023-07-13 11:49:45
42.参考 ‘ Window Artifacts.E01 ‘回答以下题目,Elvis Chui删除的第一个文本文件的文件名是什么?提示: 请用小写字母回答及需列明文件格式。如文件名字内有空格位置,请用_标示。
holiday_schedule_2023-07-16.txt
43.参考’Window Artifacts.E01’回答以下题目,Elvis Chui删除的第一个文本文件在什么时间创建?(以计算机系统时区回答)
2023-07-13_11:45:22
定位到原始文件夹路径
接下来直接跳转到该文件夹
44.参考’Window Artifacts.E01’回答以下题目,Elvis Chui计划于2023年7月15日20点5分有什么活动?提示: 答案请与文件内的文字大小写相同
Movie
此时跟前面问的回收站放了哪几个文件给了我们这题寻找的指引,此时我们打开回收站就可以找到Holiday schedule on 2023-07-15.txt
45.参考’Window Artifacts.E01’回答以下题目,该计算机执行STEAM.EXE总共多少次?提示: 请用阿拉伯数字作答
7
这题就纯纯硬找,从安装软件到可执行程序到预执行文件都找一遍
浩賢的iOS手机系统文件(IOS.zip)
53.参考’IOS’文件夹回答以下题目,根据’com.apple.ios.StoreKitUIService.plist’,这部电话是什么型号?
iPhone XR
一个个去搜索即可
54.参考’IOS’文件夹回答以下题目,根据com.apple.ios.StoreKitUIService.plist,上述电话的文件系统是什么?
EXT4
55.[多选题]参考’IOS’文件夹回答以下题目,根据ChatStorage.sqlite,哪些对话已锁定?
56.参考’IOS’文件夹回答以下题目,根据ChatStorage.sqlite,有多少段录音对话?提示: 请以阿拉伯数字作答
57.参考’IOS’文件夹回答以下题目,Apple Cocoa Core Data timestamp是由什么时间开始?
2001年1月1日
积累到一个常识,Core Data时间戳的起始日期是2001年1月1日
58.参考’IOS’文件夹回答以下题目,根据Photos.sqlite数据库中,有多少段视频可能涉及WhatsApp?提示: 请以阿拉伯数字作答
59.[多选题]参考’IOS’文件夹回答以下题目,根据Photos.sqlite数据库中,下列哪个选项对IMG_0008.HEIC的描述是错的?
60.参考’IOS’文件夹回答以下题目,根据’sms(ios).db’的资料,全局唯一标识符(GUID): DD31C26F-1D72-DE0F-431E-EF98F104402D显示的信息是什么? 提示:答案需要与信息一样
61.[多选题]参考’IOS’资料 夹回答以下题目,根据’com.burbn.instagram.plist’及’com.facebook.Facebook.plist’手机安装了实时通讯软件Facebook及Instagram的哪个版本?
62.参考’IOS’文件夹回答以下题目,根据’ChatStorage(ios).sqlite’,用户数据Peter Chow (85262012141)在什么日期和时间(以UTC +8时区)曾经通过实时通讯软件送出一个信息(内容为: I am already home)?提示:以UTC +8时区作答,并以YYYY-MM-DD_HH:MM:SS格式作答 例如:2023-01-01_10:01:01 (答案无需输入UTC +8)
63.参考’ IOS’文件夹回答以下题目,根据影片IMG_0687.MOV的原数据,找出影片拍摄时间? 提示:以UTC +8时区作答,并以YYYY-MM-DD_HH:MM:SS格式作答 例如:2023-01-01_10:01:01 (答案无需输入UTC +8)
64.参考’IOS’文件夹回答以下题目,根据’CallHistory(ios).storedata’,哪份表格显示了通话记录?
65.参考’ IOS ‘ 文件夹回答以下题目,根据’com.apple.sharingd.plist’,这部手机的隔空投送的身份标识号(AirDrop ID)是什么?提示:请以阿拉伯数字与小写字母作答
66.参考’IOS’文件夹回答以下题目,根据’Accounts3.sqlite’,这部手机的苹果使用者账号 (Apple ID) 是什么?提示:请以电邮格式作答(例:jack2023@hotmail.com)
Elvis Chui的Windows7虚拟机文件(Windows7.zip)
90.参考’Windows 7’文件夹回答以下题目,在Windows 7中\Users\Allen\Desktop,有1个MP3文件(例:unlock-me-149058.mp3),用户使用什么程序打开该MP3文件? 提示:请以小写字母作答
potplayer
直接进行仿真后进行播放
91.参考’Windows 7’文件夹回答以下题目,在Windows 7中’\Users\Allen\Desktop ‘有1个MP3文件(unlock-me-149058.mp3),该文件的Zone identiflier为’3’。上述’3’字代表哪一个securit
y Zone ?
考察取证的基础知识Zone identiflier为3代表该文件来自互联网
92.参考’Windows 7’文件夹回答以下题目,在 Windows 7中\Users\Allen\Desktop有1个MP3文件 (unlock-me-149058.mp3),该文件从哪个网站下载?
www.Pixbay.com
直接搜索unlock-me-149058.mp3即可
93.参考’Windows 7’文件夹回答以下题目,在 Windows 7中\Users\Allen\Downloads内有mp3文件(miracle.mp3),更改名称时间?
2023-07-13 10:55:20
此时直接利用取证大师对该文件进行文件溯源
当然也可以直接去解析NTFS日志
94.参考’Windows 7’文件夹回答以下题目,在Windows 7中\Users\Allen\Downloads内有mp3文件(miracle.mp3),mp3文件更改名称前的名称是什么?提示: 请以与记录相同的名称与文件格式作答
a-small-miracle-132333.mp3
依旧是进行文件溯源即可