个人赛与团队赛下载文件解压密码:MeiyaCup2022
个人赛解压缩时间:
45min左右
团队赛解压缩时间:
1h20min左右
个人赛加密容器解密密钥
CZDGm#&2_Ns$7wSMn%ZGr7xntcHS7d5uFta#Up9544jx_cvP$uFM7?pTDa*jN&QyFDLS8U%hx$fXN^BY$Xsj+3@F^y#4QFXb*Uq@wLmkCE7?&Yp+nX6s@hKrzpVE%v?&团队赛加密容器解密密钥
av?5CAXw;&N`X)6)%B>Y<`Gx[IVq<5F;mAQp]b@ftYpF6v,*88~%wF*CS}.w*7"S(,I[gJE((9cwT@zEh2mY$AK[aZzW&JFR<\FE}RC\Gjx[!ec^GrDne]xK)SuUPMWX案情介绍:
2022年10月,有市民因收到伪冒快递公司的电邮,不慎在犯罪嫌疑人架设的假网站上输入了个人信用卡资料,导致经济损失。经警方调查,发现其中一名受骗市民男子李大輝 (TaiFai) 的信用卡曾经被犯罪嫌疑人用来在市内的商店购物。后来警方根据IP地址,锁定及拘捕了一名男子林浚熙 (阿熙 ChunHei),并在他的居所发现了一批怀疑是作案用的电脑及手机。
经取证调查后,警方发现阿熙除上述案件外,还牵涉其他的一些犯罪活动。
警方的电子数据取证小组在现场作出初步调查,并对涉案设备进行了电子数据取证。请你根据得到的资料,协助将事件经过还原。
1.[填空题]王晓琳手机的 'IMEI' 号是什么? (以阿拉伯数字回答) (1分)
352978115584444
-
多选题\] 王晓琳的手机安装了什么即时通讯软件(lnstant Messaging Apps)?(1分)
B. 微信(WeChat)
C. QQ
D. WhatsApp
E. LINE
ABD
-
单选题\] 王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 PDF档案?(以时区UTC+8回答)(1分)
B.2022-10-01 17:39:53
C.2022-09-30 18:30:28
D.2022-10-01 16:30:22
通过分析几个即时通讯软件,发现在whatsapp中,王晓琳发过两个文档
结合聊天记录上下文分析,可以知道第一个文档即为所求,时间如下
2022-09-30 17:39:53
-
填空题\] 承上题,这个 PDF 档案的MD5哈希值Hash Value) 是什么?(以大写英文及阿拉伯数字回答)(1分)
ae0d6735bbe45b0b8f1ab7838623d9c8
-
单选题\] 王晓琳将这个"PDF 档案发给哪一个用户,而该用户的手机号码是什么?(1分)
B.85259308538
C.85269707307
D.85246427813
B
-
多选题\] 王晓琳发出这个,PDF 档案的原因是什么?(1分)
B. 分享档案内容
C. 错误发出
D. 无法开启
聊天记录可知
AD
-
单选题\] 承上题,分析王晓琳与上述用户的对话,他们的关系是什么?(1分)
B. 师生
C. 家人
D. 同事
D
8.[单选题] 王晓琳于何时要求上述用户删除 张照片?(1分)
A. 2022-10-06
B. 2022-09-28
C. 2022-09-30
D. 2022-10-03
2022-10-03 17:09:09
D
9.[单选题] 承上题,该用户向王晓琳提出什么要求以删除这张照片?(1分)
A. 金钱
B. 毒品
C. 性服务
D. 加密货币
见上文,A
10.[单选题] 王晓琳的手机里有什么电了书籍(Electronic Book) ?(2分)
A. 三国演义
B. 红楼梦
C. 水浒传
D. 西游记
在耗时任务分析里面可以提取到图片中文字的相关内容,可以看到三国演义的内容
而且通过这个,可以确定ibook,经检查也没有其他阅读器类的应用,取证工具无法解析出电子书籍,接下来简单介绍一下遇到手动查看其数据库
也可以在该文件中找到相应的文件
A
-
单选题\] 王晓琳在这本电子书籍里最后对哪段文字加入了重点标示效果(Highlight)?(2分)
B. 宝玉已是三杯过去了
C. 武松那日早饭罢
D. 就除他做个强马温罢
其实这里根据上面一题就已经很明显了,但是如果为了确定的话。还是选择全局搜索
也可以找到
答案是A
12.[多选题] 王晓琳的手机里有一个 MTR Mobile (港)的手机程序(Mobile App)。 检视其数据库(Database) 的数据,王晓琳于2022年10月11日 22:04 时将一行程加入书签(Bookmark),这段行程的起点及终点站包括?(2分)
A. 尖沙咀
B. 红硒
C. 康城
D. 青衣
E. 沙田
在应用列表里面找到了这个应用,跳转
导出了这个数据库,但是里面没有有用的信息
转到文件里面,
里有三个关键字,数据库、2022年10月11日 22:04、书签,然后找行程出发的起点和终点。
对Library下的所有文件进行检查,重点关注上述三个点,
这个MTRSignage.db库虽然时间相近,但是该文件夹下都是系统库
时间排序,发现还有一个文件E tourist db的时间更加接近,导出分析
可以确定
解析时间戳
通过解析几个始发站和终点站的时间戳,可以解析得到,题目所求的时间对应的位置
DE
-
填空题\] 王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片?(以拉伯数字回答)(1分)
因为图片本身数量不多,所以可以直接导出后检索时间
最后检索的时间也是90
-
单选题\] 检视王晓琳的手机照片,她于2022年10月2日到过什么地方?(1分)
B. 城门畔塘径
C. 大榄麦理浩径
D. 京士柏卫理径
在图片中可以找到相关的位置信息提示,或者直接在 位置里面过滤时间
补充知识点:
HEIC文件
-
单选题\] 李大辉使用的是一台LG V10的手机,它的型号是什么?(1分)
B. LGH961N
C. LGH960H
D. LGH961C
E. LGH961D
基础信息 B
-
单选题\] 李大辉的手机最常搜索的类别(Category) 是什么?(1分)
B. 旅游
C. 运动
D. 学校
查看了几个浏览器的搜索记录,goole和系统自带的浏览器没什么有用的信息,在百度里面找到了相关信息
A
-
填空题\] 李大辉最近光顾了一家美丰快运公司,这快递件的单号是什么?(不要输入符号及空白,以阿拉伯数字回答)(1分)
找完以后,发现没有什么相关的信息,同时也筛选了图片文字内容,及有关这家快运公司的信息,但是都找不到,最后是看了wp在这个文件夹里面
4567567812344567
-
单选题\] 李大辉收到的电邮中有一个钓鱼链结(Phishing Link),这个链结的地址是什么?(1分)
这里给了提示就是电子邮箱,本身火眼是分析不了一些邮箱的,而且被分析出的邮箱软件中也没有什么有用的信息,而且从他的检材中可知,他的手机里面有goole浏览器,所以这里推测的邮箱就是goole邮箱,尝试从文件中筛选与goole邮箱中的文件的相关信息
在筛选以后在mailstore.litahui18@gmail.com.db文件中找到了相关的信息
找到了关键信息
你的郵件已準備完畢,編號AY806369745。請點選連結付費 https://bit.ly/3yeARc0
可以得到答案B
-
单选题\] 承上题,这封电邮是从哪个电邮地址寄出的?(1分)
还是在上面的那个文件里面,在conversion表中得到了邮件内容,在message表中得到了关于收发信息的人address
-
单选题\] 承上题,寄出这封电邮的IP地址是?(2分)
B. 65.54.185.39
C. 10.13.105.56
D. 58.152.110.218
由前面几题做出来的答案可知,由邮件的收发地址可知,邮件是由gmali邮箱邮寄出去的,那么很明显这里寄出这封电邮的ip地址就是Google的邮件地址,尝试用ping的方式查看ip
发现都不是,选A
-
单选题\] 李大辉手机有一个orderxlsx 的档案被加密了,解密钥匙是什么?(1分)
B. 20221101
C. Nov2022!
D. P@sswOrd!
在我翻照片的时候,实际上就已经翻到密码了,但是也不确定,这里我看了有关大佬的思路可以。因为这是一个选择题,所以实际上也可以通过一个一个试密码来确定正确的答案
先搜索信息,导出
尝试密码
Nov2022!,解开了文件,这里有一个比较有意思的点就是,对与这个"!"一定要是英文的注意,不然会识别不了
-
填空题\]香港的街道上每一枝街灯都有编号。分析李大辉手机里的程序KMB 1933,哪一枝街灯在经度 Latitude) 22.4160270000,纬度(Longitude) 114.2139450000 附近,它的编号是什么?(以大写英及阿拉伯数字回答)(2分)
进行筛选
所以答案为CE1453
-
填空题\]李大辉的手机里有一张由该手机拍的照片,照片的元资料(Metadata) 曾被修改,这张照片的档案名是什么?(以大写英文及数字回答,不用回答副档名)(2分)
发现很明显密码的那张图片排在前面,跳转源文件查看信息
很明显修改时间和创建时间不一样
答案为:20220922
-
单选题\] 分析李大辉的手机里的资料,他在哪一间公司工作?(2分)
B. 步步高贸易公司
C. 盛大国际有限公司
D. 永恒化妆品公司
其实这里一开始猜想,解密出的xlsx文件中所涉及的送货地址,就可能是A了,但是因为名字不完全一样,所以还是选择再找。本来的思路是去找聊天记录来确定,但是无奈聊天记录太少了,然后转换的思路是从工作是上来找,选择查看他的办公软件信息
在一个pdf里面找到了
A
-
填空题\] 林浚熙曾经以手机登录Google账户的验证码是什么?(不要输入符号,以大写英文及阿拉伯数字回答)(1分)
既然这里说的是验证码,直接在手机短信中可以找到
-
填空题\] 林浚熙手机的 WhatsApp' 号码是什么?(号码)@s.whatsapp.net? (以阿拉伯数字回答)(1分)
这里先选择去这个app里面看看有没有相关消息
直接被分析出来了
-
单选题\] 通过分析林浚熙手机的照片,判断他在何处偷拍王晓琳?(1分)
B. 郊野公园
C. 游泳池
D. 酒店房间
在图片里面找到了一张可疑的偷拍照片,但是还不能确定是不是在酒店
根据这张照片上的时间,筛选了对应的时间段(2号-3号) 确定了,这个椅子的位置是在酒店,而且根据之前两个人聊天的内容也可以知道,这个威胁很大概率就是王晓琳的私密照,所以可以推测答案为酒店。
-
填空题\] 林浚熙曾经删掉自己拍摄的照片,这张照片的档案名(Filename) 是什么?(不要输入,以大写英文及阿拉伯数字回答。如Cat10.jpg,需回答CAT10JPG)(2分)
答案:IMG0444JPG
-
填空题\]王晓琳曾经发送一个PDF档案予林浚熙,这个档案的文件签名 (File Signature) 是什么? (以十六进制数字回答首八位数值,如F0A1C5E1) (2分)
-
单选题\]分析林浚熙手机上的数据,他在2022年10月17日计划去什么地方? (2分)
B. 沙田站
C. 以上皆非
D. 国际金融中心二期
-
填空题\]承上题,上述行程的结束时间是? (如答案为 16:01:59,需回答 160159) (2分)
-
单选题\]根据照片的数据库 (Photos.sqlite) 资料,哪一个栏目标题 (Column Header) 可以显示这张照片的接收方式? (2分)
B. ZIMPORTEDBYBUNDLEIDENTIFIER
C. ZRECEIVEMETHODIDENTIFIER
D. ZRECEIVEDFROMIDENTIFIER
-
单选题\]承上题,这张照片通过什么方式接收? (2分)
B. 以上皆非
C. 蓝牙传送
D. Signal软件传送
E. 网页下载
-
填空题\]承上题,这张照片原本的档案名 (Original Filename) 是什么? (不要输入 '.',以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (3分)
-
填空题\]承上题,上述备忘录的内容有一串数字,它是什么? (以阿拉伯数字回答) (2分)
A. Windows 10 Pro 22H2
B. Windows 10 Home 21H2
C. Windows 10 Pro for Workstations 21H2
D. Windows 10 Pro for Workstations 21H1
-
填空题\]林浚熙计算机安装了什么品牌的虚拟专用网络 (Virtual Private Network - VPN) 软件? (不要输入符号及空白,以大写英文及阿拉伯数字回答) (1分)
-
填空题\]检视林浚熙计算机的数据,他使用哪种加密货币 (Cryptocurrency) 以支付虚拟专用网络软件? (以大写英文回答该加密货币的全名,如BITCOIN) (1分)
-
多选题\]林浚熙计算机里安装了哪个浏览器 (Web Browser)? (1分)
B. Opera
C. Google Chrome
D. Internet Explorer
E. Microsoft Edge
-
单选题\]林浚熙使用浏览器 'Google Chrome' 曾经浏览最多的是哪一个网站? (1分)
-
多选题\]除了上述网站,林浚熙曾使用浏览器 'Google Chrome' 搜索过什么? (1分)
B. tor教学
C. php sql教学
D. electrum教学
E. javascript教学
-
单选题\]林浚熙的计算机安装了一个通讯软件 'Signal',它的用戶資訊儲存路径是什么? (1分)
B. \Program Files (x86)\Signal
C. \Users\HEI\Desktop\Signal
D. \Users\user\Roaming\Signal
-
填空题\]通讯软件 'Signal' 采用一个档案存放用户的聊天记录,它的档案名是什么? (不要输入 '.',以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (2分)
-
填空题\]林浚熙在 'Signal' 曾经与某人对话,那人的手机号码是什么? 需要与区码 (Area Code) 一同回答 (以阿拉伯数字回答) (3分)
A. 46a8762b-78ea-49aa-a6f5-b24975ec189f
B. 9729bf92-ab9c-45f7-8147-66234296aele
C. 5b9650fe-3bb6-4182-9900-f56177003672
D. 47233ffe-1a73-4b3d-b97c-626246ec3129
-
填空题\]承上题,林浚熙曾经于2022年10月20日轉账 (Transfer Money) 予上述对话人士, 那次轉賬的参考编号是什么? (以大写英文及阿拉伯数字回答) (3分)
A. 1
B. 2
C. 4
D. 3
-
单选题\]林浚熙的计算机里的虚拟机 (VM) 存放在什么路径? (1分)
B. \Program Files\Virtual Machines
C. \User\HEI\Roaming\Virtual Machines\
D. \Users\HEI\Documents\Virtual Machines
-
单选题\]虚拟机 (VM) 使用什么版本的作业系统 (Operating System) ? (1分)
B. CentOS Linux release 7.6.1810(Core)
C. CentOS Linux 7.5.1804 (Core)
D. Ubuntu 20.04.5 LTS
-
多选题\]虚拟机 (VM) 中的文件传输服务器 (FTP Server) 有哪些用户? (2分)
B. admin
C. root
D. ftpuser
E. nobody
-
多选题\]虚拟机设置了什么网页服务器 (Web Server)? (2分)
B. WORDPRESS
C. LIGHTTPD
D. IIS
E. NGINX
-
单选题\]网页服务器目录内有图片档案,而此档案的储存位置是? (1分)
B. /var/www/html/post/vendor
C. /var/www/html/post/css
D. /var/www/html/post
E. /var/www/html/post/src
-
单选题\]分析网页服务器的网站数据,假网站的公司名称是什么? (1分)
B. Krick Post Global Logistics
C. Krick Global Logistics
D. Krick Post
-
单选题\]检视假网站首页的显示, 'AY806369745HK' 代表什么? (1分)
B. 邮件序号
C. 邮件号码
D. 邮件参考号码
-
填空题\]分析假网站的资料,当受害人经假网站输入数据后,网站会产生一个档案,它的档案名是什么? (不要输入 '.',以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (2分)
A. 产生档案
B. 发出邮件
C. 改变函数
D. 更新数据库
-
填空题\]检视档案 'process.php' 源码, 林浚熙的电邮密码是? (以大写英文回答) (1分)
A. 电话号码
B. 短讯验证码
C. 信用卡号码
D. 电邮地址
E. GPS位置
-
填空题\]虚拟机 (VM) 安装了 Docker 程序,列出一个以'5'作为开端的 'Docker' 镜像 (Image) ID (以阿拉伯数字及大写英文回答) (2分)
-
填空题\]Docker容器 'mysql',用户 'root' 的密码是? (以大写英文及阿拉伯数字回答) (2分)
-
填空题\]检视 Docker 容器 'mysql' 内数据库里的资料,李大辉的出生日期是? (如答案为 2022-12-29,需回答 20221229) (3分)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
原文链接:https://blog.csdn.net/weixin_44770698/article/details/127856090