22美亚杯个人赛
22美亚杯个人赛
案例背景
于2022年10月,有市民因接获伪冒快递公司的电邮,不慎地于匪徒架设的假网站提供了个人信用咭资料导致经济损失。 警方追查下发现当中一名受骗市民男子李大輝 (TaiFai) 的信用卡曾经被匪徒在区内的商舖购物。 后来警方根据IP地址,锁定及拘捕了一名男子林浚熙 (阿熙 ChunHei),并于他的居所发现了一批相信曾被用作犯案的电脑及手机装置。
经调查后,警方发现阿熙除上述案件外,他亦牵涉其他的一些犯罪活动。
警方的电子数据取证小组在现场作出初步了调查并对涉案装置进行了电子数据取证。请你根据得到的资料,协助将事件经过还原。
考虑到读音的问题,接下来的解析当中,ChunHei = 林浚熙,HiuLam = 王晓琳,TaiFai = 李大輝。
警方资料
题目
1.王晓琳在这本电子书藉里最后对哪段文字加入了重点标示效果 (Highlight)? (2分)
A.武松那日早饭罢
B.卿有何妙计
C.宝玉已是三杯过去了
D.就除他做个弼马温罢
2.王晓琳的手机里有一个 ‘MTR Mobile (港铁)’ 的手机程序 (Mobile App)。 检视其数据库 (Database) 的数据,王晓琳于2022年10月11日 22:04 时将一行程加入书签 (Bookmark),这段行程的起点及终点站包括? (2分)(多选)
A.青衣
B.尖沙咀
C.红磡
D.康城
E.沙田
先找到MTR程序位置
再寻找得到其中修改时间晚于2022年10月11日 22:04的文件,
直接找到了数据库,导出之后搜索时间戳
3.王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片? (以阿拉伯数字回答) (1分)
手机拍摄的照片,因为王晓琳手机是苹果,拍摄的照片后缀名为HEIC
在HEIC文件下按照时间排序,从3号开始为2022-10-02号的
共90条
4.[单选题] 检视王晓琳的手机照片,她于2022年10月2日到过什么地方?(1分)
A.大潭郊游径
B.城门畔塘径
C.大榄麦理浩径
D.京士柏卫理径
方法一:有一个城门郊野公园
百度一下城门畔塘径和城门郊野公园在一起
方法二:在上一题中可以找到她拍摄的图片,就在城门畔塘径
5.[单选题] 李大辉使用的是一台LG V10的手机,它的型号是什么?(1分)
A. LGH960C
B. LGH961N
C. LGH960H
D. LGH961C
E. LGH961D
6.[单选题] 李大辉的手机最常搜索的类别(Category) 是什么?(1分)
A. 护肤品
B. 旅游
C. 运动
D. 学校
7.[填空题] 李大辉最近光顾了一家美丰快运公司,这快递件的单号是什么?(不要输入符号及空白,以阿拉伯数字回答)(1分)
这个题如果图片找不到的话只能取证大师做
8.李大辉收到的电邮中有一个钓鱼链结 (Phishing Link),这个链结的地址是什么? (1分)
A.https://bit.ly/5vM12
B.以上皆非
C.https://bit.ly/3yeARc0
D.http://bit.ly/Hell0
首先判断数据库存在哪,这个简单,利用mail的作为关键词进行检索,同时利用.db的后缀名进行筛选(这里说的不够严密,在安卓中数据库大概率会是SQLite,所以猜测是.db的后缀名进行筛选),
9.[单选题] 承上题,这封电邮是从哪个电邮地址寄出的?(1分)
A. 以上皆非
B. Cavinchow456@yahoo.com
C. 2020ChanChan@hotmail.com
10.[单选题] 承上题,寄出这封电邮的IP地址是?(2分)
A. 以上皆非
B. 65.54.185.39
C. 10.13.105.56
D. 58.152.110.218
数据库中没有,但是数据库中有一个url解析出来
11.[单选题] 李大辉手机有一个orderxlsx 的档案被加密了,解密钥匙是什么?(1分)
Nov2022!
图片中有
也可以指搜索orderxlsx,然后逐个试试
12.香港的街道上每一枝街灯都有编号。 分析李大辉手机里的程序 ‘KMB 1933’, 哪一枝街灯在经度 (Latitude) 22.4160270000, 纬度 (Longitude) 114.2139450000 附近,它的编号是什么?(以大㝍英及阿拉伯数字回答) (2分)
在包名这一栏搜索,
再利用包名在文件路径搜索,的到安装目录
最后找到KMB_20201208.db的文件路径
没有sqllite studio,火眼的数据库不知道怎么搜索,直接导出来然后word搜索
答案: SC02-S-1100-0
13.李大辉的手机里有一张由该手机拍的照片,照片的元资料 (Metadata) 曾被修改,这张照片的档案名是什么?(以大写英文及数字回答,不用回答副档名) (2分)
这题不难,只有一个文件的创建时间和修改时间不一样
20220922152622JPG
14.[单选题] 分析李大辉的手机里的资料,他在哪一间公司工作?(2分)
A. 美丽好化妆品公司
B. 步步高贸易公司
C. 盛大国际有限公司
D. 永恒化妆品公司
那个加密文档中有一个送货地址
搜索关键词xlsx,找到有可能存放资料的文件,逐一打开查看分析。
15.[填空题] 林浚熙曾经以手机登录Google账户的验证码是什么?(不要输入符号,以大写英文及阿拉伯数字回答)(1分)
G-785186 是您的 Google 驗證碼。
16 [填空题] 林浚熙手机的 WhatsApp’ 号码是什么?(号码)@s.whatsapp.net? (以阿拉伯数字回答)(1分)
17.[单选题] 通过分析林浚熙手机的照片,判断他在何处偷拍王晓琳?(1分)
A. 交通工具
B. 郊野公园
C. 游泳池
D. 酒店房间
18.[填空题] 林浚熙曾经删掉自己拍摄的照片,这张照片的档案名(Filename) 是什么?(不要输入,以大写英文及阿拉伯数字回答。如Cat10.jpg,需回答CAT10JPG)(2分)
19.[填空题] 王晓琳曾经发送一个PDF档案予林浚熙,这个档案的文件签名(File Signature) 是什么?(以十六进制数字答首八位数值,如FOA1C5E1)(2分)
以资源管理器打开会保存到本地,用hex打开就行
20.承上题,该PDF档案内包含一位曾经被骗的受害者资料。分析林浚熙手机的数据,这位受害者的英文名字是什么? (不要输入符号及空白,以大写英文回答) (2分)
WONG SAI PING
21.[单选题] 分析林浚熙手机上的数据,他在2022年10月17日计划去什么地方?(2分)
A. 以上皆非
B. 荃湾站
C. 沙田站
D. 国际金融中心二期
第一步,首先是要找到相关的数据库文件或者.plist文件,既然与地点有关,导航必不可少。结果是找到了一个我根本没用过的软件(也有可能是因为我没用过苹果手机的关系),waze。
22.承上题,上述行程的结束时间是? (如答案为 16:01:59,需回答 160159) (2分)
2022-10-17 12:45:0
23.于林浚熙的手机里,在2022年9月1日 或以后,哪一张照片是由其他手机拍摄的,而它的档案名是什么?(不要输入 ‘.’,以大写英文及阿拉伯数字回答。 如 Cat10.jpg,需回答CAT10JPG) (2分)
24.根据照片的数据库 (Photos.sqlite) 资料,哪一个栏目标题 (Column Header) 可以显示这张照片的接收方式? (2分)
A.ZIMPORTEDBYBUNDLEIDENTIFIER
B.ZRECEIVEMETHODIDENTIFIER
C.ZIMPORTEDFROMSOURCEIDENTIFIER
D.ZRECEIVEDFROMIDENTIFIER
25.承上题,这张照片通过什么方式接收? (2分)
A.WhatsApp软件传送
B.网页下载
C.蓝牙传送
D.以上皆非
E.Signal软件传送
26.承上题,这张照片原本的档案名 (Original Filename) 是什么? (不要输入 ‘.’,以大写英文及阿拉伯数字回答。 如 Cat10.jpg,需回答CAT10JPG) (3分)
27.林浚熙手机里有一个备忘录 (Notes) 被上了锁,这个备忘录的名称是什么? (以大写英文及阿拉伯数字回答) (1分)
28 [填空题] 承上题,上述备忘录的内容有一串数字,它是什么?(以阿拉伯数字回答)(2分)
29.[单选题] 林浚熙计算机(Computer) 的操作系统(Operating System) 版本是什么?(1分)
A. Windows 10 Pro for Workstations 21H2
B. Windows 10 Pro 22H2
C. Windows 10 Home 21H2
D. Windows 10 Pro for Workstations 21H1
30.林浚熙计算机安装了什么品牌的虚拟专用网络 (Virtual Private Network - VPN) 软件? (不要输入符号及空白,以大写英文及阿拉伯数字回答) (1分)
ExpressVPN
31 [填空题] 承上题,分析该虚拟专用网络的日志(Log),他在哪天安装该虚拟专用网络?(如答案为 2022-12-29,需回答 20221229)(2分)
20220915
32 [填空题] 检视林浚照计算机的数据,他使用哪种加密货币(Cryptocurrency) 以支付虚拟专用网络软件?以大写英文回答该加密货币的全名,如 BITCOIN)(1分)
BITCOIN
33.林浚熙的加密贷币钱包 (Cryptocurrency Wallet) 名称是什么? (不要输入符号,以大写英文及阿拉伯数字回答) (2分)
TELLAWIEH
34 [多选题] 林浚熙计算机里安装了哪个浏览器(Web Browser)? (1分)
35 [单选题] 林浚熙使用浏览器 Google Chrome’ 曾经浏览最多的是哪 个网站? (1分)
A:https://web.whatsapp.com
B.https://gmail.com
C.https://mail.google.com/mail
D.https://facebook.com
36.除了上述网站,林浚熙曾使用浏览器 ‘Google Chrome’ 搜索过什么? (1分)
A.docker image教学
B.javascript教学
C.php sql教学
D.tor教学
E.electrum教学
37.林浚熙的计算机安装了一个通讯软件 ‘Signal’,它的用戶資訊儲存路径是什么? (1分)
A.\Program Files (x86)\Signal
B.\Users\HEI\Desktop\Signal
C.\Users\HEI\AppData\Roaming\Signal
D.\Users\user\Roaming\Signal
38 [填空题] 通讯软件Signa’ 采用一个档案存放用户的聊天记录,它的档案名是什么?(不要输入,以大写英文及阿拉伯数字回答。如Cat10.jpg,需回答CAT10JPG)(2分)
聊天记录跳转到源文件
DBSQLITE
39[填空题] 承上题,对上档案进行分析,林发熙的联络人当中有多少人安装了Siqnal?(以阿拉伯数字回答)(3分)
4
40 [填空题] 林浚熙在“Signal’ 曾经与某人对话,那人的手机号码是什么? 需要与区码(Area Code) 一同答(以阿拉伯数字3分)
(85270711901)
41.承上题,两人在 ‘Signal’ 的对话中有些讯息 (Message) 包含附件,这些讯息的 ‘ID’ 包括? (2分)
A.9729bf92-ab9c-45f7-8147-66234296aele
B.5b9650fe-3bb6-4182-9900-f56177003672
C.46a8762b-78ea-49aa-a6f5-b24975ec189f
D.47233ffe-1a73-4b3d-b97c-626246ec3129
首先尝试直接打开数据库,发现没法打开,发现加密了,那就SQL CiPher解密,密码在config.json里面
45cc1769003bb596166e0d5a01ad20bb056392cc690618764a5204da28476e1b
42.承上题,林浚熙曾经于2022年10月20日轉账 (Transfer Money) 予上述对话人士, 那次轉賬的参考编号是什么? (以大写英文及阿拉伯数字回答) (3分)
N91088774024
43.林浚熙的计算机安装了多少台虚拟机 (Virtual Machine - VM) ? (以阿拉伯数字回答) (1分)
在仿真虚拟中只看到一个
更精确的方法是,利用.vmx搜索
一台
44 [单选题] 林浚熙的计算机里的虚拟机(VM) 存放在什么路径?(1分)
A.\Program Files\Virtual Machines
B.\User\HEI\Roaming\Virtual Machines
C.\Users\Public\Documents\Virtual Machines
D.\Users\HEI\Documents\Virtual Machines
45.虚拟机 (VM) 使用什么版本的作业系统 (Operating System) ? (1分)
A.CentOS Linux release 7.6.1810(Core)
B.CentOS Linux 7.5.1804 (Core)
C.Ubuntu 22.04.1 LTS
D.Ubuntu 20.04.5 LTS
虚拟机设置里找到了
46 [多选题] 虚拟机(VM) 中的文件传输服务器(FTP Server) 有哪些用户?(2分)
A. nobody
B. root
C. admin
D. man
E. ftpuser
ChunHei_Desktop.E01/分区1/Users/HEI/Documents/Virtual Machines/Ubuntu 64-bit/
root用户搭建的vsftpd服务,曾编辑过ftp用户,仿真进去查看配置文件
1 | cat /etc/ftpusers |
root可以登录
1 | cat /etc/vsftpd.chroot_list #查看虚拟机(VM) 中的文件传输服务器(FTP Server) 有哪些用户? |
47. [多选题] 虚拟机设置了什么网页服务器(Web Server)? (2分) D
A. NGINX
B. LIGHTTPD
C. WORDPRESS
D. APACHE
E. IIS
看历史命令有没有部署网页服务器
48.[单选题] 网页服务器目录内有图片档案,而此档案的储存位置是?(1分) B
A. /var/www/html/post/src
B. /var/www/html/post/css
C. /var/www/html/post/vendor
D. /var/www/post
题目选项就是提示,指引我们查找网站路径,假网站在前期研判中是重点,检查这整个网站并重构。
通过前面历史记录可以看到只要确保apache2和php起了,网站应该就可以起,
查看apache2的状态
1 | sudo systemctl status apache2 |
这两个就是图片档案这道题到这里就结束了
1 | ip a |
访问一下网站192.168.171.132
查看配置文件
综合分析,网站运行目录应该为/var/www/html/post,比较基础的一个apache站
访问成功
可以继续做题了
49. [单选题] 分析网页服务器的网站数据,假网站的公司名称是什么?(1分)
A. Krick Global Logistics
B. Global Logistics
C. Krick Post Global Logistics
D. Krick Post
看公司logo可知
50. [单选题] 检视假网站首页的显示,AY806369745HK 代表什么?(1分) A
A. 邮件号码
B. 邮件收费号码
C. 邮件序号
D. 邮件参考号码
51. [填空题] 分析假网站的资料,当受害人经假网站输入数据后,网站会产生一个档案,它的档案名是什么?(不要输入“,以大写英文及阿拉数字回答。如 Cat10.jpg,需回答CAT10JPG)(2分) vu.txt
尝试输入信息
输入信息后会跳转到process.php,网站结构简单,包含的文件很少,也可以很简单的直接对每个文件逐一进行检查,查看process.php文件
代码审计一下可以知道,放入了vu.txt
52. [多选题] 分析假网站档案,process.php’ 源码(Source Code),推测此档案的用途可能是?(2分) BC
A. 改变函数
B. 产生档案
C. 发出邮件
D. 更新数据库
存在将$message通过chunhe11amm@gmail.com账户发送到chunhe11amm@gmail.com账户的行为
53. [填空题] 检视档案process.php’ 源码, 林浚照的电邮密码是?(以大写英文回答)(1分)
Password = ‘rtatsceucpacocbdacs’;
54. [多选题] 分析档案process.php’ 源码, 它不会收集哪些资料?(2分)
A. GPS位置
B. 信用卡号码
C. 短讯验证码
D. 电话号码
E. 电邮地址
55.虚拟机 (VM) 安装了 Docker 程序,列出一个以’5’作为开端的 ‘Docker’ 镜像 (Image) ID (以阿拉伯数字及大写英文回答) (2分)
1 | docker images#查看镜像 |
5D58C024174D
1 | docker inspect 5d |
56.Docker 容器 (Container) ‘mysql’ 对外开放的通讯端口 (Port) 是? (3分)
要先启动docker中的mysql
1 | docker ps -a |
1 | docker ps -a |
直接看到:::43306->3306/tcp,
本机端口是43306 然后映射的docker端口3306
那就说明43306
57. [填空题] Docker容器mysql,用户 root’ 的密码是?(以大写英文及阿拉伯数字回答)(2分) 2wsx3edc
一个简单的方法,history
1 | docker run --name mysql -p 13306:3306 -e MYSQL_ROOT_PASSWORD=2wsx3edc -d mysql:latest |
2wsx3edc大写
58. [填空题] Docker容器,mysql 里哪一个数据库储存了大量个人资料?(以大写英文回答)(3分)
1 | cd /var/www/html/post/src |
现在各个应用程序都已经启动完毕了,可以直接尝试使用数据库工具连接数据库
对数据库进行检查,发现krickpost数据库的customer表中存在大量个人数据
59. [填空题]检视 Docker 容器’mysql’ 内数据库里的资料,李大辉的出生日期是?(如答案为 2022-12-29,需答 20221229) (3分)
1985-02-14
60. [多选题] 通过取证调查结果进行分析(包括但不限于以上问题及情节),林照的行为涉及哪一种罪案?(5分) CDE
A.传送儿童色情物品
B.抢劫
C.诈骗
D.勒索金钱
E.购买毒品
搭建诈骗网站、发送钓鱼邮件定性为诈骗
照片要挟为勒索
在signal上购买毒品,手机相册中有毒品照片,
61. [填空题] 王晓琳手机的IMEI’ 号是什么?(以阿拉伯数字回答)(1分)
352978115584444
62. [多选题] 王晓琳的手机安装了什么即时通讯软件(lnstant Messaging Apps)?(1分) ABC
A. Signal
B. 微信(WeChat)
C. QQ
D. WhatsApp
E. LINE
63 [单选题] 王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 PDF档案?(以时区UTC+8回答)(1分) A
A.2022-09-30 17:39:53
B.2022-10-01 17:39:53
C.2022-09-30 18:30:28
D.2022-10-01 16:30:22
通过上面的检查分析,可以知道王晓琳曾向Chunhei求助过,现以王晓琳再查看whatsapp,可以看到王晓琳共发过两个pdf文档,
结合文件发送时间及下题的问题,可以确定该题所问的文档应为[文件]staff A team.pdf,发送时间2022-09-30 17:39:53
64 [填空题] 承上题,这个 PDF 档案的MD5哈希值Hash Value) 是什么?(以大写英文及阿拉伯数字回答)(1分) AE0D6735BBE45B0B8F1AB7838623D9C8
ae0d6735bbe45b0b8f1ab7838623d9c8
65. [单选题] 王晓琳将这个“PDF 档案发给哪一个用户,而该用户的手机号码是什么?(1分) B
A.85297663607
B.85259308538
C.85269707307
D.85246427813
66. [多选题] 王晓琳发出这个,PDF 档案的原因是什么?(1分) AD
A. 寻求协助
B. 分享档案内容
C. 错误发出
D. 无法开启
67. [单选题] 承上题,分析王晓琳与上述用户的对话,他们的关系是什么?(1分) B
A. 客户
B. 师生
C. 家人
D. 同事
根据资料两人曾为男女朋友,但是这里没有问,结合前面聊天记录分析,应该为同事
68.[单选题] 王晓琳于何时要求上述用户删除 张照片?(1分) D
A. 2022-10-06
B. 2022-09-28
C. 2022-09-30
D. 2022-10-03
69.[单选题] 承上题,该用户向王晓琳提出什么要求以删除这张照片?(1分) A
A. 金钱
B. 毒品
C. 性服务
D. 加密货币
70.[单选题] 王晓琳的手机里有什么电了书籍(Electronic Book) ?(2分) A
A. 三国演义
B. 红楼梦
C. 水浒传
D. 西游记
既然是电子书,那应该是iBooks这类软件
