取证--实操

2022年美亚杯个人赛

运用软件DB Browser for SQLite （一款用于查看SQLlite数据库文件的浏览器工具）

火眼，盘古石手机取证系统等

案件详情

于2022年10月，有市民因接获伪冒快递公司的电邮，不慎地于匪徒架设的假网站提供了个人信用咭资料导致经济损失。警方追查下发现当中一名受骗市民男子李大輝 (TaiFai) 的信用卡曾经被匪徒在区内的商舖购物。 后来警方根据IP地址，锁定及拘捕了一名男子++++林浚熙++++（阿熙 ChunHei），并于他的居所发现了一批相信曾被用作犯案的电脑及手机装置。

经调查后，警方发现阿熙除上述案件外，他亦牵涉其他的一些犯罪活动。

警方的电子数据取证小组在现场作出初步了调查并对涉案装置进行了电子数据取证。请你根据得到的资料，协助将事件经过还原。

1. 警方资料

2. 与'林浚熙'相关的资料

|-------------|------------------------------------------------------------------|
| 编号 1 | 林浚熙的调查报告 |
| 文件路径 | Meiya_cup_2022/Individual/Report/ChunHei/林浚熙调查报告.pdf |
| 哈希值： SHA256 | 1CB8F69DACF1A8DB84F1F0208C46210827C5E182D316F7F9A4AE4CFBB8EBC859 |

|-------------|------------------------------------------------------------------|
| 编号 2 | 林浚熙的手机的电子数据 |
| 文件路径 | Meiya_cup_2022/Individual/Image/ChunHei/ChunHei_iphone |
| 哈希值： SHA256 | 34AC7A2B5C3F51563076A758B28088FE92637A4C9E20A60D0F39C23389F51159 |

|-------------|------------------------------------------------------------------|
| 编号 3 | 林浚熙计算机的电子数据 |
| 文件路径 | Meiya_cup_2022/Individual/Image/ChunHei/ChunHei_Desktop |
| 哈希值： SHA256 | 49177D9E144944118DF8D0F78DEA90A78F78D95C650B67D942AB2A0DC0EABB38 |

1. 与受害人'李大辉'相关的资料

|-------------|------------------------------------------------------------------|
| 编号 4 | 李大辉的调查报告 |
| 文件路径 | Meiya_cup/Individual/Report/TaiFai/助查人士李大輝调查报告.pdf |
| 哈希值： SHA256 | C139AB65AC52FE9B3C9E0C7A9F9D6427F2F18FBE3C16585225F6DD01C4D500D2 |

|------|------------------------------------------------------------------|
| 编号 5 | 受害人李大辉的手机电子数据 |
| 文件路径 | Meiya_cup_2022/Individual/Image/TaiFai/VTM_Mobile |
| 哈希值： | 092A7379B063A25A82A03EE07EEF1686BE86DD1F73C6E7B007BC26FADCB66555 |

1. 与女友'王晓琳'相关的资料

|-------------|------------------------------------------------------------------|
| 编号 6 | 王晓林的调查报告 |
| 文件路径 | Meiya_cup/Individual/Report/HiuLam/助查人士王晓琳调查报告.pdf |
| 哈希值： SHA256 | 5D9FC871259CAC02904947F83C2319E359C7CA916CA657555FF7F41E65A79B8A |

|------|------------------------------------------------------------------|
| 编号 7 | 女友王晓林手机的电子数据 |
| 文件路径 | Meiya_cup_2022/Individual/Image/HiuLam/HiuLam_iphone |
| 哈希值： | DB81354712AB1DC2BA01033E48CE97F811C77127A447B0928D83AE77A35C508D |

个人赛部分共70题

1. [单选题] 王晓琳在这本电子书籍里最后对哪段文字加入了重点标示效果(Highlight)?(2分)

A. 卿有何妙计

B. 宝玉已是三杯过去了

C. 武松那日早饭罢

D. 就除他做个强马温罢

解析：本题与最后一题联动。三国演义哈。

\火眼-文件导出\00008030-001155282E38402E.tar\AppDomain-com.apple.iBooks\Documents\storeFiles

先看第70题，再回来看这题

1. [多选题] 王晓琳的手机里有一个 MTR Mobile (港)的手机程序(Mobile App)。 检视其数据库(Database) 的数据，王晓琳于2022年10月11日 22:04 时将一行程加入书签(Bookmark)，这段行程的起点及终点站包括?(2分)

A. 尖沙咀

B. 红硒

C. 康城

D. 青衣

E. 沙田

去里面的文件夹进行查找

关键词：数据库、2022年10月11日 22:04、书签

找到一个，但是内容好像不对，回去继续找

这个时间相近，看看

发现想要的，把bookmark选上

于是找到起点

勾选终点

1. [填空题] 王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片?(以拉伯数字回答)(1分)

90

00008030-001155282E38402E.tar/CameraRollDomain/Media/PhotoData/Thumbnails/V2/DCIM/101APPLE

这个是苹果拍摄的图片文件夹，记好了

导出直接看

1. [单选题] 检视王晓琳的手机照片，她于2022年10月2日到过什么地方?(1分)

1. 大潭郊游径
2. 城门畔塘径
3. 大榄麦理浩径
4. 京士柏卫理径

一张张慢慢看

1. [单选题] 李大辉使用的是一台LG V10的手机，它的型号是什么?(1分)

A. LGH960C

B. LGH961N

C. LGH960H

D. LGH961C

E. LGH961D

解析：使用盘古石手机取证直接可以得到型号

1. [单选题] 李大辉的手机最常搜索的类别(Category) 是什么?(1分)

A. 护肤品

B. 旅游

C. 运动

D. 学校

解析：查看搜索项目直接找到主要搜的是护肤品

1. [填空题] 李大辉最近光顾了一家美丰快运公司，这快递件的单号是什么?(不要输入符号及空白，以阿拉伯数字回答)(1分）

解析：没思路

手机邮箱用手机大师

1. [单选题] 李大辉收到的电邮中有一个钓鱼链结(Phishing Link)，这个链结的地址是什么?(1分)

A. 以上皆非

B. https://bit.ly/3yeARcO

C. https://bit.ly/5vM12

D. http://bit.ly/Hell0

看上一问

1. [单选题] 承上题，这封电邮是从哪个电邮地址寄出的?(1分)

A. 以上皆非

B. Cavinchow456@yahoo.com

C. 2020ChanChan@hotmail.com

D. 30624700Peter@proton.me

1. [单选题] 承上题，寄出这封电邮的IP地址是?(2分)

A. 以上皆非

B. 65.54.185.39

C. 10.13.105.56

D. 58.152.110.218

数据库找到这条消息后拉找到url

然后怎么查ip就不知道了，emmm...

11. [单选题] 李大辉手机有一个orderxlsx 的档案被加密了，解密钥匙是什么?(1分)

A. 2022 Nov!

B. 20221101

C. Nov2022!

D. P@sswOrd!

解析：搜索该文件名称，找到该文件路径，并导出文件，尝试用选项中的密码解密，发现密码Nov2022!是正确的。

1. [填空题]香港的街道上每一枝街灯都有编号。分析李大辉手机里的程序KMB 1933，哪一枝街灯在经度 Latitude) 22.4160270000，纬度(Longitude) 114.2139450000 附近，它的编号是什么?(以大写英及阿拉伯数字回答)(2分)
   SC02-S-1100-0

解析：找到该程序数据库文件，再对数据库文件查看分析

1. [填空题]李大辉的手机里有一张由该手机拍的照片，照片的元资料(Metadata) 曾被修改，这张照片的档案名是什么?(以大写英文及数字回答，不用回答副档名)(2分)

20220922_152622

Android.bin/分区57/media/0/DCIM/Camera

这个是安卓手机相册文件夹

可以发现只有这个是修改时间和创建时间不一样

1. [单选题] 分析李大辉的手机里的资料，他在哪一间公司工作?(2分)

A. 美丽好化妆品公司

B. 步步高贸易公司

C. 盛大国际有限公司

D. 永恒化妆品公司

解析：搜索关键词xlsx，找到有可能存放资料的文件，逐一打开查看分析。

还有原来文件夹找到的一张员工证

15. [填空题] 林浚熙曾经以手机登录Google账户的验证码是什么?(不要输入符号，以大写英文及阿拉伯数字回答)(1分)

G-785186

解析：找手机短信即可看到

16. [填空题] 林浚熙手机的 WhatsApp' 号码是什么?(号码)@s.whatsapp.net? (以阿拉伯数字回答)(1分)

++++85259308538@s.whatsapp.net++++

解析：查找whatsapp账号

1. [单选题] 通过分析林浚熙手机的照片，判断他在何处偷拍王晓琳?(1分)

A. 交通工具

B. 郊野公园

C. 游泳池

D. 酒店房间

解析：分析whatsapp聊天记录

1. [填空题] 林浚熙曾经删掉自己拍摄的照片，这张照片的档案名(Filename) 是什么?(不要输入，以大写英文及阿拉伯数字回答。如Cat10.jpg，需回答CAT10JPG)(2分)

IMG0444JPG

解析：用盘古石手机取证，找最近删除。

1. [填空题] 王晓琳曾经发送一个PDF档案予林浚熙，这个档案的文件签名(File Signature) 是什么?(以十六进制数字答首八位数值，如

FOA1C5E1)(2分)

D0CF11E0

找到对应id的pdf文件

跳转源文件看看就好啦

1. [填空题] 承上题，该PDF档案内包含一位曾经被肩的受害者资料。分析林熙手机的数据，这位受害者的英文名字是什么?(不要输入符号及空白，以大写英文回答)(2分)

WONGSAIPING

你会发现，这个文件头是excel的！

导出后改后缀

然后这么多人，就聊天记录里找点线索

1. [单选题] 分析林浚熙手机上的数据，他在2022年10月17日计划去什么地方?(2分)

A. 以上皆非

B. 荃湾站

C. 沙田站

D. 国际金融中心二期

1. [填空题] 承上题，上述行程的结束时间是?(如答案为 1:01:59，需回答 160159)(2分)

2. [填空题] 于林浚熙的手机里，在2022年9月1日 或以后，哪一张照片是由其他手机拍摄的，而它的档案名是什么?(不要输入，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG)(2分)

IMG0445JPG

解析：找到照片

将9.1后的照片导出，其实并不多

发现一样的

接下来参考大佬的wp：

时间相同，基本确定，要想继续确认，根据上下题提示，需具体分析数据库，导出该数据库

我们将刚导出的这些照片和该数据库的ZADDITIONALASSETATTRIBUTES表可以看到以下一系列信息，

将二表碰撞

这个相册库还是比较大的，对初学者不友好，借助对应的查询语句集可以快速筛我们所需要的内容。但是实话实说手工梭这种数据库这才是真正的电子取证。

Local Photo Library Photos.sqlite Query Variations & WHERE statements -- The Forensic Scooter

感觉不太对但是下面的题还是应该可以写的。

个人疑问：酒店偷拍的照片也是重复的

1. [单选题] 根据照片的数据库Photos.sglite资料，哪一个栏目标题(Column Header) 可以显示这张照片的接收方式?(2分)

A. ZRECEIVEMETHODIDENTIFIER

B. ZIMPORTEDFROMSOURCEIDENTIFIER

C. ZIMPORTEDBYBUNDLEIDENTIFIER

D. ZRECEIVEDFROMIDENTIFIER

解析：可以找到ZIMPORTEDBYBUNDLEIDENTIFIER。

25. [单选题] 承上题，这张照片通过什么方式接收?(2分)

A. 网页下载

B. 蓝牙传送

C. 以上皆非

D. WhatsApp软件传送

E. Signal软件传送

解析：在whatsapp聊天记录里能看到。

26. [填空题] 承上题，这张照片原本的档案名(Original Filename) 是什么?不要输入，以大写英文及阿拉伯数字回答。如 Cat10,jpg，需回答CAT10JPG)(3分)

28. [填空题] 承上题，上述备忘录的内容有一串数字，它是什么?(以阿拉伯数字回答)(2分)

notestore导出

发现两个加密的

1. [单选题] 林浚熙计算机(Computer) 的操作系统(Operating System) 版本是什么?(1分)

A. Windows 10 Pro for Workstations 21H2

B. Windows 10 Pro 22H2

C. Windows 10 Home 21H2

D. Windows 10 Pro for Workstations 21H1

解析：仿真起来看看

30. [填空题] 林浚照计算机安装了什么品牌的虚拟专用网络 Virtual Private Network - VPN)软件?(不要输入符号及空白，以大写英文及阿拉伯数字回答)(1分)

ExpressVPN

解析：

方法一：安装在路径中找到ExpressVPN。

方法二：仿真起来看控制面板

31. [填空题] 承上题，分析该虚拟专用网络的日志(Log)，他在哪天安装该虚拟专用网络?(如答案为 2022-12-29，需回答 20221229)(2分)

解析：

方法一：查看其所在路径日志时间。

方法二：控制面板里直接有时间

虚拟机专用网络------>VPN

32. [填空题] 检视林浚照计算机的数据，他使用哪种加mh币(Cryptocurrency) 以支付虚拟专用网络软件?以大写英文回答该加密货币的全名，如 BITCOIN)(1分)

笔-特

解析：可以在日志用找到bit痕迹

33. [填空题] 林浚熙的加密贷钱包ocurrency Wallet) 名称是什么?不要输入符号，以大写英文及阿拉伯数字回答2分)

tellaw_ieh

解析：

方法一：找到日志中的钱包名称

方法二：仿真，打开软件查看

34. [多选题] 林浚熙计算机里安装了哪个浏览器(Web Browser)? (1分)
    A.Tor Browser

B.Microsoft Edge

C.Google Chrome

D.Opera

E.Internet Explorer

解析：使用盘古石计算机取证自动分析得到。

35. [单选题] 林浚熙使用浏览器 Google Chrome' 曾经浏览最多的是哪 个网站? (1分)

A. https://gmail.com

B. https://mail.google.com/mail

C. https://web.whatsapp.com

D. https://facebook.com

解析：查看历史记录

36. [多选题] 除了上述网站,林浚熙曾使用浏览器 Google Chrome' 搜索过什么?(1分)

A. javascript教学

B. php sql教学

C. tor教学

D. docker image教学

E. electrum教学

解析：搜索关键词 教學

37. [单选题] 林浚照的计算机安装了一个通讯软件Signal'，它的用户部储存路径是什么?(1分)

A. Users\HEINDesktop Signal

B. Users\HEI\AppData Roaming Signa

C. Program Files (x86)Signal

D. Users\user Roaming Signal

解析：查看快捷文件指向路径

38. [填空题] 通讯软件Signal采用一个档案存放用户的聊天记录，它的档案名是什么?(不要输入，以大写英文及阿拉伯数字回答。如Cat10.jpg，需回答CAT10JPG)(2分)

db.sqlite

解析：找到数据库文件即可

39. [填空题] 承上题，对上档案进行分析，林发熙的联络人当中有多少人安装了Siqnal?(以阿拉伯数字回答)(3分)

4

40. [填空题] 林浚熙在"Signal' 曾经与某人对话，那人的手机号码是什么? 需要与区码(Area Code) 一同答(以阿拉伯数字3分)

1666257286302

41. [多选题] 承上题，两人在Signal' 的对话中有些讯息(Message) 包含附件，这些讯息的 D'包括?(2分)

A.5b9650fe-3bb6-4182-9900-f56177003672

B.46a8762b-78ea-49aa-a6f5-b24975ec189f

C.9729bf92-ab9c-45f7-8147-66234296aele

D.47233ffe-1a73-4b3d-b97c-626246ec3129

解析：等于1的才是有附件的，不等于1的不是哦。

42. [填空题]承上题，林浚熙曾经于2022年10月20日账Transfer Money) 予上述对话人士,那次眼的参考编号是什么?(以大写英文及阿拉白数字回答)(3分)

N91088774024

解析：在数据库中找到图片文件名称，并查看编号。

43. [单选题] 林浚照的计算机安装了多少台虚拟机Virtual Machine - VM) ?(以阿拉伯数字回答)(1分)

44. 4

45. 1

46. 2

47. 3
    解析：使用盘古石计算机取证分析系统直接可以找到虚拟机数量

44. [单选题] 林浚熙的计算机里的虚拟机(VM) 存放在什么路径?(1分)

45. User HEI Roaming Virtual Machinesl

46. Users Public Documents Virtual Machines

47. Program Files Virtual Machines

48. \Users\HEINDocuments Virtual Machines

解析：查看对应路径。

1. [单选题] 虚拟机 (VM) 使用什么版本的作业系统(Operating System) ?(1分)

A. CentOs Linux 7.5.1804 (Core)

B. Ubuntu 22.04.1 LTS

C. CentOS Linux release 7.6.1810(Core)

D. Ubuntu 20.04.5 LTS

解析：查看系统版本。

直接打开 （注意是看最上面的）

这里用火眼也行，我遇到了困难，请教了客服，导出到本机后分析vmdx文件

[多选题] 虚拟机(VM) 中的文件传输服务器(FTP Server) 有哪些用户?(2分)

A. nobody

B. root

C. admin

D. man

E. ftpuser

解析：查看终端的历史记录，找对应的配置文件继续查看，不允许匿名登录，只允许本地账号登录。

47. [多选题] 虚拟机设置了什么网页服务器(Web Server)? (2分)

A. NGINX

B. LIGHTTPD

C. WORDPRESS

D. APACHE

E. IIS

解析：看命令历史记录

48. [单选题] 网页服务器目录内有图片档案，而此档案的储存位置是?(1分)

A. /var/www/html/post/src

B. /var/www/html/post/css

C. /var/www/html/post/vendor

D. /var/www/post

解析：搜索大法好

49. [单选题] 分析网页服务器的网站数据，假网站的公司名称是什么?(1分)

A. Krick Global Logistics

B. Global Logistics

C. Krick Post Global Logistics

D. Krick Post

解析：看logo

50. [单选题] 检视假网站首页的显示，AY806369745HK 代表什么?(1分)

A. 邮件号码

B. 邮件收费号码

C. 邮件序号

D. 邮件参考号码

解析：审计源码

51. [填空题] 分析假网站的资料，当受害人经假网站输入数据后，网站会产生一个档案，它的档案名是什么?(不要输入"，以大写英文及阿拉数字回答。如 Cat10.jpg，需回答CAT10JPG)(2分)

vutxt

解析：代码审计

输入信息后发现跳转

查看发现都往vu.txt文件里写

52. [多选题] 分析假网站档案，process.php' 源码(Source Code),推测此档案的用途可能是?(2分)

A. 改变函数

B. 产生档案

C. 发出邮件

D. 更新数据库

解析：代码审计，写入文件和发送邮件。

53. [填空题] 检视档案process.php' 源码, 林浚照的电邮密码是?(以大写英文回答)(1分)

rtatsceucpacocbdacs

54. [多选题] 分析档案process.php' 源码, 它不会收集哪些资料?(2分)

A. GPS位置

B. 信用卡号码

C. 短讯验证码

D. 电话号码

E. 电邮地址

解析：代码审计

55. [填空题] 虚拟机 (VM)安装了 Docker 程序，列出一个以5作为开端的 Doker"镜像 mage) ID (以阿拉伯数字及大写英文回答)（2分)

5d58c024174dd06df1c4d41d8d44b485e3080422374971005270588204ca3b82

解析：取证大师

56. [填空题] Docker 容器(Container)mysql' 对外开放的通讯端口(Port) 是?(3分)43306

解析：查看其配置文件

57. [填空题] Docker容器mysql，用户 root' 的密码是?(以大写英文及阿拉伯数字回答)(2分)

2wsx3edc

解析：看历史记录，搜索关键词mysql

58. [填空题] Docker容器，mysql 里哪一个数据库储存了大量个人资料?(以大写英文回答)(3分)

krickpost

解析：找到并看数据库里的内容

用密码登陆一下sql

用Navicat Premium 12连接

发现krickpost库中的customer表存在大量信息

59. [填空题]检视 Docker 容器'mysql' 内数据库里的资料，李大辉的出生日期是?(如答案为 2022-12-29，需答 20221229) (3分)

19850214

解析：查询数据库

60. [多选题] 通过取证调查结果进行分析(包括但不限于以上问题及情节)，林照的行为涉及哪一种罪案?(5分)

A.传送儿童色情物品

B.抢劫

C.诈骗

D.勒索金钱

E.购买毒品

解析：根据案情分析即可得到。

61. [填空题] 王晓琳手机的MEI' 号是什么?(以阿拉伯数字回答)(1分)

352978115584444

解析：使用盘古石手机取证软件直接得到。

62. [多选题] 王晓琳的手机安装了什么即时通讯软件(lnstant Messaging Apps)?(1分)

A. Signal

B. 微信(WeChat)

C. QQ

D. WhatsApp

E. LINE

解析：弘连火眼直接找到结果。

63. [单选题] 王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 PDF档案?(以时区UTC+8回答)(1分)

A.2022-09-30 17:39:53

B.2022-10-01 17:39:53

C.2022-09-30 18:30:28

D.2022-10-01 16:30:22

解析：查看whatsapp聊天记录。

64. [填空题] 承上题，这个 PDF 档案的MD5哈希值Hash Value) 是什么?(以大写英文及阿拉伯数字回答)(1分)

AE0D6735BBE45B0B8F1AB7838623D9C8

解析：算哈希值

65. [单选题] 王晓琳将这个"PDF 档案发给哪一个用户,而该用户的手机号码是什么?(1分)

A.85297663607

B.85259308538

C.85269707307

D.85246427813

解析：查看聊天软件找到85259308538

66. [多选题] 王晓琳发出这个，PDF 档案的原因是什么?(1分)

67. 寻求协助

68. 分享档案内容

69. 错误发出

70. 无法开启

解析：根据聊天记录案情分析

67. [单选题] 承上题，分析王晓琳与上述用户的对话，他们的关系是什么?(1分)

A. 客户

B. 师生

C. 家人

D. 同事

解析：根据聊天记录分析是同事

68.[单选题] 王晓琳于何时要求上述用户删除 张照片?(1分)

A. 2022-10-06

B. 2022-09-28

C. 2022-09-30

D. 2022-10-03

解析：案情分析

69.[单选题] 承上题，该用户向王晓琳提出什么要求以删除这张照片?(1分)

A. 金钱

B. 毒品

C. 性服务

D. 加密货币

解析：聊天记录分析

70.[单选题] 王晓琳的手机里有什么电了书籍(Electronic Book) ?(2分)

A. 三国演义

B. 红楼梦

C. 水浒传

D. 西游记