2022美亚杯个人赛WP
案情简介
2022 年 10 月,有市民因收到伪冒快递公司的电邮,不慎在犯罪嫌疑人架设的假网站上输入了个人信用卡资料,导致经济损失。经警方调查,发现其中一名受骗市民男子李大輝(TaiFai)的信用卡曾经被犯罪嫌疑人在市内的商店购物。后来警方根据IP地址,锁定及拘捕了一名男子林浚熙(阿熙ChunHei),并在他的居所发现了一批怀疑是作案用的电脑及手机。经取证调查后,警方发现阿熙除上述案件外,他还牵涉其他的一些犯罪活动。 警方的电子数据取证小组在现场作出初步调查,并对涉案设备进行了电子数据取证。请你根据得到的资料,协助将事件经过还原。
个人赛VC密码CZDGm#&2_Ns$7wSMn%ZGr7xntcHS7d5uFta#Up9544jx_cvP$uFM7?pTDa*jN&QyFDLS8U%hx$fXN^BY$Xsj+3@F^y#4QFXb*Uq@wLmkCE7?&Yp+nX6s@hKrzpVE%v?&
有师傅说题目顺序有问题。。
1.[单选题] 王晓琳在这本电子书藉里最后对哪段文字加入了重点标示效果 (Highlight)? (2 分) [ ] A.武松那日早饭罢 [ ] B.卿有何妙计 [ ] C.宝玉已是三杯过去了 [ ] D.就除他做个弼马温罢
B
只有系统自带的iBooks。
本题题目顺序有问题,火眼没有直接分析出iBooks,需要自己去找。所以比赛时可以先去跳过本题。
2.王晓琳的手机里有一个 'MTR Mobile (港铁)' 的手机程序 (Mobile App)。 检视其数据库 (Database) 的数据,王晓琳于2022年10月11日 22:04 时将一行程加入书签 (Bookmark),这段行程的起点及终点站包括? (2分)
[ ] A.青衣
[ ] B.红磡
[ ] C.沙田
[ ] D.尖沙咀
[ ] E.康城
AC
直接去找文件,火眼分析的其他应用好像找不到该数据库,转换成时间戳1665497040附近,沙田和青衣
3.王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片? (以阿拉伯数字回
答) (1分)
后缀名是HEIC,筛一下90
4.检视王晓琳的手机照片,她于2022年10月2日到过什么地方? (1分)
[ ] A.大榄麦理浩径
[ ] B.大潭郊游径
[ ] C.城门畔塘径
[ ] D.京士柏卫理径
C识万物一下
5. [单选题]
李大辉使用的是一台LG V10的手机,它的型号是什么? (1分)
[ ] A.LGH961C
[ ] B.LGH961N
[ ] C.LGH961D
[ ] D.LGH960C
[ ] E.LGH960H
B
6. [单选题]
李大辉的手机最常搜索的类别 (Category) 是什么? (1分)
[ ] A.运动
[ ] B.护肤品
[ ] C.旅游
[ ] D.学校
B
手机百度历史记录。
7. [填空题]
李大辉最近光顾了一家美丰快运公司,这快递件的单号是什么? (不要输入符号及空白,以阿拉伯数字回答) (1分)
4567567812344567
网上这道题的解法貌似只有在找到快递单才可以解出来。
问题是不好找到照片
因为这张图片后缀名为png,图片太多了不好找到,而且耗时任务文字识别也没搞出来,很容易忽视。
8. [单选题]
李大辉收到的电邮中有一个钓鱼链结 (Phishing Link),这个链结的地址是什么?
(1分)
[ ] A.https://bit.ly/5vM12
[ ] B.以上皆非
[ ] C.https://bit.ly/3yeARc0
[ ] D.http://bit.ly/Hell0
C
找到Gmail的数据库可解
9. [单选题]
承上题,这封电邮是从哪个电邮地址寄出的? (1分)
[ ] B.以上皆非
D
10. [单选题]
承上题,寄出这封电邮的IP地址是? (2分)
[ ] A.10.13.105.56
[ ] B.以上皆非
[ ] C.65.54.185.39
[ ] D.58.152.110.218
官方答案是以上皆非。
gmail并不会存储IP,只URL
排除法10.为内网IP,65.为微软IP,58.为香港电讯盈科公司的IP这个不好排除毕竟和案情联系紧密。
11. [单选题]
李大辉手机有一个 'order.xlsx' 的档案被加密了,解密钥匙是什么? (1分)
[ ] A.Nov2022!
[ ] B.2022_Nov!
[ ] C.20221101
[ ] D.P@ssw0rd!
A说实话这题可以直接试选项的。。相册里面直接找即可。
12. [填空题]
香港的街道上每一枝街灯都有编号。 分析李大辉手机里的程序 'KMB 1933',
哪一枝街灯在经度 (Latitude) 22.4160270000, 纬度 (Longitude)
114.2139450000 附近,它的编号是什么?(以大㝍英及阿拉伯数字回答) (2分)
CE1453
13. [填空题]
李大辉的手机里有一张由该手机拍的照片,照片的元资料 (Metadata) 曾被修改,这张照片的档案名是什么?(以大写英文及数字回答,不用回答副档名) (2分)
创建时间和修改时间不同的。
20220922_152622.jpg
14. [单选题]
分析李大辉的手机里的资料,他在哪一间公司工作? (2分)
[ ] A.盛大国际有限公司
[ ] B.美丽好化妆品公司
[ ] C.步步高贸易公司
[ ] D.永恒化妆品公司
B
其实上面题的表格看收货地址也可以猜出来。
15. [填空题]
林浚熙曾经以手机登录Google账户的验证码是什么? (不要输入符号,以大写英文及阿拉伯数字回答) (1分)
G785186
16. [填空题]
林浚熙手机的 'WhatsApp' 号码是什么? ( 号 码 ) @s.whatsapp.net? (以阿拉
伯数字回答) (1分)
85259308538
17. [单选题]
通过分析林浚熙手机的照片,判断他在何处偷拍王晓琳? (1分)
[ ] A.游泳池
[ ] B.交通工具
[ ] C.郊野公园
[ ] D.酒店房间
D
18. [填空题]
林浚熙曾经删掉自己拍摄的照片,这张照片的档案名 (Filename) 是什么? (不要
输入 '.',以大写英文及阿拉伯数字回答。 如 Cat10.jpg,需回答CAT10JPG) (2
分)
IMG0444JPG
19. [填空题]
王晓琳曾经发送一个PDF档案予林浚熙,这个档案的文件签名 (File Signature)是什么? (以十六进制数字回答首八位数值,如 F0A1C5E1) (2分)
D0CF11E0
其实就是文件头。
20. [填空题]
承上题,该PDF档案内包含一位曾经被骗的受害者资料。分析林浚熙手机的数
据,这位受害者的英文名字是什么? (不要输入符号及空白,以大写英文回答) (2
分)
sheet5中有对应英文名,在WhatsApp中,林给自己发了每个受害者的信息,所以对应一下。
WONGSAIPING
21. [单选题]
分析林浚熙手机上的数据,他在2022年10月17日计划去什么地方? (2分)
[ ] A.沙田站
[ ] B.以上皆非
[ ] C.荃湾站
[ ] D.国际金融中心二期
A
发现火眼分析了waze,猜测是林某常用的地图app,看数据库即可。
22. [填空题]
承上题,上述行程的结束时间是? (如答案为 16:01:59,需回答 160159) (2分)
1665981900
23. [填空题]
于林浚熙的手机里,在2022年9月1日 或以后,哪一张照片是由其他手机拍摄的,而它的档案名是什么?(不要输入 '.',以大写英文及阿拉伯数字回答。 如Cat10.jpg,需回答CAT10JPG) (2分)
官方答案是IMG0446HEIC
XD的师傅说根据镜头型号来判断不是本手机,本机是XR,而有三张图的标记的XS型号。
网上的解法有两个数据库表进行碰撞找到那张图片。
24. [单选题]
根据照片的数据库 (Photos.sqlite) 资料,哪一个栏目标题 (Column Header)可以显示这张照片的接收方式? (2分)
[ ] A.ZIMPORTEDBYBUNDLEIDENTIFIER
[ ] B.ZRECEIVEMETHODIDENTIFIER
[ ] C.ZIMPORTEDFROMSOURCEIDENTIFIER
[ ] D.ZRECEIVEDFROMIDENTIFIER
A
可以去数据库硬看,毕竟是选择题筛选这四个列即可。
25. [单选题]
承上题,这张照片通过什么方式接收? (2分)
[ ] A.WhatsApp软件传送
[ ] B.蓝牙传送
[ ] C.Signal软件传送
[ ] D.网页下载
[ ] E.以上皆非
E上面做出来这题就基本出了。
26. [填空题]承上题,这张照片原本的档案名 (Original Filename) 是什么? (不要输入 '.',以
大写英文及阿拉伯数字回答。 如 Cat10.jpg,需回答CAT10JPG) (3分)
有Zoriginalfilename列
IMG0730HEIC
27. [填空题]
林浚熙手机里有一个备忘录 (Notes) 被上了锁,这个备忘录的名称是什么? (以
大写英文及阿拉伯数字回答) (1分)
Halo
28. [填空题]
承上题,上述备忘录的内容有一串数字,它是什么? (以阿拉伯数字回答) (2分)
导出notestore.sql存在hint提示2-7说明密码是234567,然后进行解密。但是我打不开该数据库,网上有人搞论文脚本出的
123456
29. [单选题]
林浚熙计算机 (Computer) 的操作系统 (Operating System) 版本是什么? (1分)
[ ] A.Windows 10 Home 21H2
[ ] B.Windows 10 Pro for Workstations 21H2
[ ] C.Windows 10 Pro 22H2
[ ] D.Windows 10 Pro for Workstations 21H1
B
仿真后才看得到具体后面的
30. [填空题]
林浚熙计算机安装了什么品牌的虚拟专用网络 (Virtual Private Network -
VPN) 软件? (不要输入符号及空白,以大写英文及阿拉伯数字回答) (1分)
ExPRESSVPN
31. [填空题]
承上题,分析该虚拟专用网络的日志 (Log),他在哪天安装该虚拟专用网络? (如
答案为 2022-12-29,需回答 20221229) (2分)
20220915
找到对应的log,仿真后位置不太好找直接去搜索ExpressVPN
32. [填空题]
检视林浚熙计算机的数据,他使用哪种加密货币 (Cryptocurrency) 以支付虚拟
专用网络软件? (以大写英文回答该加密货币的全名,如 BITCOIN) (1分)
BITCOIN
33. [填空题]
林浚熙的加密贷币钱包 (Cryptocurrency Wallet) 名称是什么? (不要输入符
号,以大写英文及阿拉伯数字回答) (2分)
tellaw_ieh
讲真,都不认识桌面这个软件。
34. [多选题]
林浚熙计算机里安装了哪个浏览器 (Web Browser)? (1分)
[ ] A.Tor Browser
[ ] B.Google Chrome
[ ] C.Internet Explorer
[ ] D.Microsoft Edge
[ ] E.Opera
ABCD
35. [单选题]
林浚熙使用浏览器 'Google Chrome' 曾经浏览最多的是哪一个网站? (1分)
[ ] A.https://web.whatsapp.com
[ ] B.https://gmail.com
[ ] C.https://mail.google.com/mail
[ ] D.https://facebook.com
A
36. [多选题]
除了上述网站,林浚熙曾使用浏览器 'Google Chrome' 搜索过什么? (1分)
[ ] A.image教学
[ ] B.php sql教学
[ ] C.electrum教学
[ ] D.javascript教学
[ ] E.tor教学
ABCE
37. [单选题]
林浚熙的计算机安装了一个通讯软件 'Signal',它的用戶資訊儲存路径是什么?
(1分)
[ ] A.\Program Files (x86)\Signal
[ ] B.\Users\HEI\Desktop\Signal
[ ] C.\Users\HEI\AppData\Roaming\Signal
[ ] D.\Users\user\Roaming\Signal
C
38. [填空题]
通讯软件 'Signal' 采用一个档案存放用户的聊天记录,它的档案名是什么? (不
要输入 '.',以大写英文及阿拉伯数字回答。 如 Cat10.jpg,需回答CAT10JPG)
(2分)
DBSQLITE火眼看源文件
39. [填空题]
承上题,对上述档案迸行分析,林浚熙的联络人当中有多少人安装了Signal?
(以阿拉伯数字回答) (3分)
4
40. [填空题]
林浚熙在 'Signal' 曾经与某人对话,那人的手机号码是什么? 需要与区码 (Area
Code) 一同回答 (以阿拉伯数字回答) (3分)
85270711901
41. [多选题]
承上题,两人在 'Signal' 的对话中有些讯息 (Message) 包含附件,这些讯息的
'ID' 包括? (2分)
[ ] A.9729bf92-ab9c-45f7-8147-66234296aele
[ ] B.5b9650fe-3bb6-4182-9900-f56177003672
[ ] C.46a8762b-78ea-49aa-a6f5-b24975ec189f
[ ] D.47233ffe-1a73-4b3d-b97c-626246ec3129
AC
这个火眼看不了讯息ID应该是去看数据库。
42. [填空题]
承上题,林浚熙曾经于2022年10月20日轉账 (Transfer Money) 予上述对话人
士, 那次轉賬的参考编号是什么? (以大写英文及阿拉伯数字回答) (3分)
N91088774024
43. [单选题]
林浚熙的计算机安装了多少台虚拟机 (Virtual Machine - VM) ? (以阿拉伯数字
回答) (1分)
[ ] A.2
[ ] B.4
[ ] C.1
[ ] D.3
C
44. [单选题]
林浚熙的计算机里的虚拟机 (VM) 存放在什么路径? (1分)
[ ] A.\Program Files\Virtual Machines
[ ] B.\User\HEI\Roaming\Virtual Machines\
[ ] C.\Users\Public\Documents\Virtual Machines
[ ] D.\Users\HEI\Documents\Virtual Machines
D
45. [单选题]
虚拟机 (VM) 使用什么版本的作业系统 (Operating System) ? (1分)
[ ] A.CentOS Linux release 7.6.1810(Core)
[ ] B.CentOS Linux 7.5.1804 (Core)
[ ] C.Ubuntu 22.04.1 LTS
[ ] D.Ubuntu 20.04.5 LTS
D
46. [多选题]
虚拟机 (VM) 中的文件传输服务器 (FTP Server) 有哪些用户? (2分)
[ ] A.man
[ ] B.root
[ ] C.ftpuser
[ ] D.nobody
[ ] E.admin
不清楚具体是因为我的检材下的出问题了还是火眼更新后的问题仿真后的套里面的虚拟机没法使用,只能通过导出vmdk文件来做不过这样好像更简单了。
BC直接看常规用户只有三个符合选项就两个。
47. [多选题]
虚拟机设置了什么网页服务器 (Web Server)? (2分)
[ ] A.APACHE
[ ] B.LIGHTTPD
[ ] C.IIS
[ ] D.NGINX
[ ] E.WORDPRESS
AD
48. [单选题]
网页服务器目录内有图片档案,而此档案的储存位置是? (1分)
[ ] A./var/www/post
[ ] B./var/www/html/post/css
[ ] C./var/www/html/post
[ ] D./var/www/html/post/src
[ ] E./var/www/html/post/vendor
B
49. [单选题]
分析网页服务器的网站数据,假网站的公司名称是什么? (1分)
[ ] A.Krick Post Global Logistics
[ ] B.Krick Global Logistics
[ ] C.Global Logistics
[ ] D.Krick Post
D就上题的图片
50. [单选题]
检视假网站首页的显示, 'AY806369745HK' 代表什么? (1分)
[ ] A.邮件序号
[ ] B.邮件号码
[ ] C.邮件收费号码
[ ] D.邮件参考号码
B
进入/post即可看到
51. [填空题]
分析假网站的资料,当受害人经假网站输入数据后,网站会产生一个档案,它
的档案名是什么? (不要输入 '.',以大写英文及阿拉伯数字回答。 如
Cat10.jpg,需回答CAT10JPG) (2分)
看process.php分析源码得到vu.txt
52. [多选题]
分析假网站档案 'process.php' 源码 (Source Code), 推测此档案的用途可能是?
(2分)
[ ] A.发出邮件
[ ] B.改变函数
[ ] C.产生档案
[ ] D.更新数据库
BC
53. [填空题]
检视档案 'process.php' 源码, 林浚熙的电邮密码是? (以大写英文回答) (1分)
rtatsceucpacocbdacs
54. [多选题]
分析档案 'process.php' 源码, 它不会收集哪些资料? (2分)
[ ] A.电话号码
[ ] B.信用卡号码
[ ] C.电邮地址
[ ] D.GPS位置
[ ] E.短讯验证码
ADE
55. [填空题]
虚拟机 (VM) 安装了 Docker 程序,列出一个以'5'作为开端的 'Docker' 镜像
(Image) ID (以阿拉伯数字及大写英文回答) (2分)
5d58c024174dd06df1c4d41d8d44b485e3080422374971005270588204ca3b82
58. [填空题]
Docker容器 'mysql' 里哪一个数据库储存了大量个人资料? (以大写英文回答)
(3分)
krickpost
59. [填空题]
检视 Docker 容器 'mysql' 内数据库里的资料,李大辉的出生日期是? (如答案
为 2022-12-29,需回答 20221229) (3分)
19850214
*60.[多选题] **
通过取证调查结果进行分析(包括但不限于以上问题及情节),林照的行为涉及哪一种罪案?(5分)
A.传送儿童色情物品
B.抢劫
C.诈骗
D.勒索金钱
E.购买毒品
CDE
61. [填空题]
王晓琳手机的 'IMEI' 号是什么? (以阿拉伯数字回答) (1分)
352978115584444
62. [多选题]
王晓琳的手机安装了什么即时通讯软件 (Instant Messaging Apps)? (1分)
[ ] A.WhatsApp
[ ] B.微讯 (WeChat)
[ ] C.LINE
[ ] D.Signal
[ ] E.QQ
ABD
最好去看一眼包名。
63. [单选题]
王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 'PDF' 档案? (以时区
UTC+8回答) (1分)
[ ] A.2022-09-30 18:30:28
[ ] B.2022-09-30 17:39:53
[ ] C.2022-10-01 17:39:53
[ ] D.2022-10-01 16:30:22
B
64. [填空题]
承上题,这个 'PDF' 档案的MD5哈希值 (Hash Value) 是什么? (以大写英文及
阿拉伯数字回答) (1分)
ae0d6735bbe45b0b8f1ab7838623d9c8
65. [单选题]
王晓琳将这个 'PDF' 档案发给哪一个用户, 而该用户的手机号码是什么? (1分)
[ ] A.85269707307
[ ] B.85297663607
[ ] C.85259308538
[ ] D.85246427813
C
66. [多选题]
王晓琳发出这个 'PDF' 档案的原因是什么? (1分)
[ ] A.错误发出
[ ] B.寻求协助
[ ] C.分享档案内容
[ ] D.无法开启
D
67. [单选题]
承上题,分析王晓琳与上述用户的对话,他们的关系是什么? (1分)
[ ] A.家人
[ ] B.客户
[ ] C.师生
[ ] D.同事
D
68. [单选题]
王晓琳于何时要求上述用户删除一张照片? (1分)
[ ] A.2022-09-30
[ ] B.2022-10-06
[ ] C.2022-09-28
[ ] D.2022-10-03
D
69. [单选题]
承上题,该用户向王晓琳提出什么要求以删除这张照片? (1分)
[ ] A.性服务
[ ] B.金钱
[ ] C.毒品
[ ] D.加密货币
B
70. [单选题]
王晓琳的手机里有什么电子书藉 (Electronic Book) ? (2分)
[ ] A.水浒传
[ ] B.三国演义
[ ] C.红楼梦
[ ] D.西游记
B