个人赛与团队赛下载文件解压密码:MeiyaCup2022
个人赛解压缩时间:
45min左右
团队赛解压缩时间:
1h20min左右
个人赛加密容器解密密钥
CZDGm#&2_Ns$7wSMn%ZGr7xntcHS7d5uFta#Up9544jx_cvP$uFM7?pTDa*jN&QyFDLS8U%hx$fXN^BY$Xsj+3@F^y#4QFXb*Uq@wLmkCE7?&Yp+nX6s@hKrzpVE%v?&
团队赛加密容器解密密钥
av?5CAXw;&N`X)6)%B>Y<`Gx[IVq<5F;mAQp]b@ftYpF6v,*88~%wF*CS}.w*7"S(,I[gJE((9cwT@zEh2mY$AK[aZzW&JFR<\FE}RC\Gjx[!ec^GrDne]xK)SuUPMWX
案情介绍:
2022年10月,有市民因收到伪冒快递公司的电邮,不慎在犯罪嫌疑人架设的假网站上输入了个人信用卡资料,导致经济损失。经警方调查,发现其中一名受骗市民男子李大輝 (TaiFai) 的信用卡曾经被犯罪嫌疑人用来在市内的商店购物。后来警方根据IP地址,锁定及拘捕了一名男子林浚熙 (阿熙 ChunHei),并在他的居所发现了一批怀疑是作案用的电脑及手机。
经取证调查后,警方发现阿熙除上述案件外,还牵涉其他的一些犯罪活动。
警方的电子数据取证小组在现场作出初步调查,并对涉案设备进行了电子数据取证。请你根据得到的资料,协助将事件经过还原。
1.[填空题]王晓琳手机的 'IMEI' 号是什么? (以阿拉伯数字回答) (1分)
352978115584444
- [多选题] 王晓琳的手机安装了什么即时通讯软件(lnstant Messaging Apps)?(1分)
A. Signal
B. 微信(WeChat)
C. QQ
D. WhatsApp
E. LINE
ABD
- [单选题] 王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 PDF档案?(以时区UTC+8回答)(1分)
A.2022-09-30 17:39:53
B.2022-10-01 17:39:53
C.2022-09-30 18:30:28
D.2022-10-01 16:30:22
通过分析几个即时通讯软件,发现在whatsapp中,王晓琳发过两个文档
结合聊天记录上下文分析,可以知道第一个文档即为所求,时间如下
2022-09-30 17:39:53
- [填空题] 承上题,这个 PDF 档案的MD5哈希值Hash Value) 是什么?(以大写英文及阿拉伯数字回答)(1分)
拖到火眼哈希计算工具
ae0d6735bbe45b0b8f1ab7838623d9c8
- [单选题] 王晓琳将这个"PDF 档案发给哪一个用户,而该用户的手机号码是什么?(1分)
A.85297663607
B.85259308538
C.85269707307
D.85246427813
B
- [多选题] 王晓琳发出这个,PDF 档案的原因是什么?(1分)
A. 寻求协助
B. 分享档案内容
C. 错误发出
D. 无法开启
聊天记录可知
AD
- [单选题] 承上题,分析王晓琳与上述用户的对话,他们的关系是什么?(1分)
A. 客户
B. 师生
C. 家人
D. 同事
D
8.[单选题] 王晓琳于何时要求上述用户删除 张照片?(1分)
A. 2022-10-06
B. 2022-09-28
C. 2022-09-30
D. 2022-10-03
2022-10-03 17:09:09
D
9.[单选题] 承上题,该用户向王晓琳提出什么要求以删除这张照片?(1分)
A. 金钱
B. 毒品
C. 性服务
D. 加密货币
见上文,A
10.[单选题] 王晓琳的手机里有什么电了书籍(Electronic Book) ?(2分)
A. 三国演义
B. 红楼梦
C. 水浒传
D. 西游记
在耗时任务分析里面可以提取到图片中文字的相关内容,可以看到三国演义的内容
而且通过这个,可以确定ibook,经检查也没有其他阅读器类的应用,取证工具无法解析出电子书籍,接下来简单介绍一下遇到手动查看其数据库
也可以在该文件中找到相应的文件
A
- [单选题] 王晓琳在这本电子书籍里最后对哪段文字加入了重点标示效果(Highlight)?(2分)
A. 卿有何妙计
B. 宝玉已是三杯过去了
C. 武松那日早饭罢
D. 就除他做个强马温罢
其实这里根据上面一题就已经很明显了,但是如果为了确定的话。还是选择全局搜索
也可以找到
答案是A
12.[多选题] 王晓琳的手机里有一个 MTR Mobile (港)的手机程序(Mobile App)。 检视其数据库(Database) 的数据,王晓琳于2022年10月11日 22:04 时将一行程加入书签(Bookmark),这段行程的起点及终点站包括?(2分)
A. 尖沙咀
B. 红硒
C. 康城
D. 青衣
E. 沙田
在应用列表里面找到了这个应用,跳转
导出了这个数据库,但是里面没有有用的信息
转到文件里面,
里有三个关键字,数据库、2022年10月11日 22:04、书签,然后找行程出发的起点和终点。
对Library下的所有文件进行检查,重点关注上述三个点,
这个MTRSignage.db库虽然时间相近,但是该文件夹下都是系统库
时间排序,发现还有一个文件E tourist db的时间更加接近,导出分析
可以确定
解析时间戳
通过解析几个始发站和终点站的时间戳,可以解析得到,题目所求的时间对应的位置
DE
- [填空题] 王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片?(以拉伯数字回答)(1分)
可以直接在火眼的图片分析中直接筛选时间格式在10月2日00.00-10月2日23.59,可以直接检索出结果
因为图片本身数量不多,所以可以直接导出后检索时间
最后检索的时间也是90
- [单选题] 检视王晓琳的手机照片,她于2022年10月2日到过什么地方?(1分)
A. 大潭郊游径
B. 城门畔塘径
C. 大榄麦理浩径
D. 京士柏卫理径
在图片中可以找到相关的位置信息提示,或者直接在 位置里面过滤时间
补充知识点:
HEIC文件
- [单选题] 李大辉使用的是一台LG V10的手机,它的型号是什么?(1分)
A. LGH960C
B. LGH961N
C. LGH960H
D. LGH961C
E. LGH961D
基础信息 B
- [单选题] 李大辉的手机最常搜索的类别(Category) 是什么?(1分)
A. 护肤品
B. 旅游
C. 运动
D. 学校
查看了几个浏览器的搜索记录,goole和系统自带的浏览器没什么有用的信息,在百度里面找到了相关信息
A
- [填空题] 李大辉最近光顾了一家美丰快运公司,这快递件的单号是什么?(不要输入符号及空白,以阿拉伯数字回答)(1分)
这里的思路选择要么从快递发送的短信来看相关信息,要么就是照片,最后是软件的相关信息,因为取证软件没有分析快递软件的功能,所以这里选择从前面两项入手。
找完以后,发现没有什么相关的信息,同时也筛选了图片文字内容,及有关这家快运公司的信息,但是都找不到,最后是看了wp在这个文件夹里面
4567567812344567
- [单选题] 李大辉收到的电邮中有一个钓鱼链结(Phishing Link),这个链结的地址是什么?(1分)
A. 以上皆非
这里给了提示就是电子邮箱,本身火眼是分析不了一些邮箱的,而且被分析出的邮箱软件中也没有什么有用的信息,而且从他的检材中可知,他的手机里面有goole浏览器,所以这里推测的邮箱就是goole邮箱,尝试从文件中筛选与goole邮箱中的文件的相关信息
在筛选以后在mailstore.litahui18@gmail.com.db文件中找到了相关的信息
找到了关键信息
你的郵件已準備完畢,編號AY806369745。請點選連結付費 https://bit.ly/3yeARc0
可以得到答案B
- [单选题] 承上题,这封电邮是从哪个电邮地址寄出的?(1分)
A. 以上皆非
还是在上面的那个文件里面,在conversion表中得到了邮件内容,在message表中得到了关于收发信息的人address
- [单选题] 承上题,寄出这封电邮的IP地址是?(2分)
A. 以上皆非
B. 65.54.185.39
C. 10.13.105.56
D. 58.152.110.218
由前面几题做出来的答案可知,由邮件的收发地址可知,邮件是由gmali邮箱邮寄出去的,那么很明显这里寄出这封电邮的ip地址就是Google的邮件地址,尝试用ping的方式查看ip
发现都不是,选A
- [单选题] 李大辉手机有一个orderxlsx 的档案被加密了,解密钥匙是什么?(1分)
A. 2022 Nov!
B. 20221101
C. Nov2022!
D. P@sswOrd!
在我翻照片的时候,实际上就已经翻到密码了,但是也不确定,这里我看了有关大佬的思路可以。因为这是一个选择题,所以实际上也可以通过一个一个试密码来确定正确的答案
先搜索信息,导出
尝试密码
Nov2022!,解开了文件,这里有一个比较有意思的点就是,对与这个"!"一定要是英文的注意,不然会识别不了
- [填空题]香港的街道上每一枝街灯都有编号。分析李大辉手机里的程序KMB 1933,哪一枝街灯在经度 Latitude) 22.4160270000,纬度(Longitude) 114.2139450000 附近,它的编号是什么?(以大写英及阿拉伯数字回答)(2分)
这里的思路,因为对于是数据,所以还是选择定位到数据库去查找,导出以后,筛选经纬度
进行筛选
所以答案为CE1453
- [填空题]李大辉的手机里有一张由该手机拍的照片,照片的元资料(Metadata) 曾被修改,这张照片的档案名是什么?(以大写英文及数字回答,不用回答副档名)(2分)
按修改时间排序
发现很明显密码的那张图片排在前面,跳转源文件查看信息
很明显修改时间和创建时间不一样
答案为:20220922
- [单选题] 分析李大辉的手机里的资料,他在哪一间公司工作?(2分)
A. 美丽好化妆品公司
B. 步步高贸易公司
C. 盛大国际有限公司
D. 永恒化妆品公司
其实这里一开始猜想,解密出的xlsx文件中所涉及的送货地址,就可能是A了,但是因为名字不完全一样,所以还是选择再找。本来的思路是去找聊天记录来确定,但是无奈聊天记录太少了,然后转换的思路是从工作是上来找,选择查看他的办公软件信息
在一个pdf里面找到了
A
- [填空题] 林浚熙曾经以手机登录Google账户的验证码是什么?(不要输入符号,以大写英文及阿拉伯数字回答)(1分)
G-785186
既然这里说的是验证码,直接在手机短信中可以找到
- [填空题] 林浚熙手机的 WhatsApp' 号码是什么?(号码)@s.whatsapp.net? (以阿拉伯数字回答)(1分)
85259308538,加上题目所给后缀85259308538@s.whatsapp.net
这里先选择去这个app里面看看有没有相关消息
直接被分析出来了
- [单选题] 通过分析林浚熙手机的照片,判断他在何处偷拍王晓琳?(1分)
A. 交通工具
B. 郊野公园
C. 游泳池
D. 酒店房间
在图片里面找到了一张可疑的偷拍照片,但是还不能确定是不是在酒店
根据这张照片上的时间,筛选了对应的时间段(2号-3号) 确定了,这个椅子的位置是在酒店,而且根据之前两个人聊天的内容也可以知道,这个威胁很大概率就是王晓琳的私密照,所以可以推测答案为酒店。
- [填空题] 林浚熙曾经删掉自己拍摄的照片,这张照片的档案名(Filename) 是什么?(不要输入,以大写英文及阿拉伯数字回答。如Cat10.jpg,需回答CAT10JPG)(2分)
最近删除
答案:IMG0444JPG
-
[填空题]王晓琳曾经发送一个PDF档案予林浚熙,这个档案的文件签名 (File Signature) 是什么? (以十六进制数字回答首八位数值,如F0A1C5E1) (2分)
-
[填空题]承上题,该PDF档案内包含一位曾经被骗的受害者资料。分析林浚熙手机的数据,这位受害者的英文名字是什么? (不要输入符号及空白,以大写英文回答) (2分)
-
[单选题]分析林浚熙手机上的数据,他在2022年10月17日计划去什么地方? (2分)
A. 荃湾站
B. 沙田站
C. 以上皆非
D. 国际金融中心二期
-
[填空题]承上题,上述行程的结束时间是? (如答案为 16:01:59,需回答 160159) (2分)
-
[填空题]于林浚熙的手机里,在2022年9月1日 或以后,哪一张照片是由其他手机拍摄的,而它的档案名是什么?(不要输入 '.',以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (2分)
-
[单选题]根据照片的数据库 (Photos.sqlite) 资料,哪一个栏目标题 (Column Header) 可以显示这张照片的接收方式? (2分)
A. ZIMPORTEDFROMSOURCEIDENTIFIER
B. ZIMPORTEDBYBUNDLEIDENTIFIER
C. ZRECEIVEMETHODIDENTIFIER
D. ZRECEIVEDFROMIDENTIFIER
- [单选题]承上题,这张照片通过什么方式接收? (2分)
A. WhatsApp软件传送
B. 以上皆非
C. 蓝牙传送
D. Signal软件传送
E. 网页下载
-
[填空题]承上题,这张照片原本的档案名 (Original Filename) 是什么? (不要输入 '.',以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (3分)
-
[填空题]林浚熙手机里有一个备忘录 (Notes) 被上了锁,这个备忘录的名称是什么? (以大写英文及阿拉伯数字回答) (1分)
-
[填空题]承上题,上述备忘录的内容有一串数字,它是什么? (以阿拉伯数字回答) (2分)
-
[单选题]林浚熙计算机 (Computer) 的操作系统 (Operating System) 版本是什么? (1分)
A. Windows 10 Pro 22H2
B. Windows 10 Home 21H2
C. Windows 10 Pro for Workstations 21H2
D. Windows 10 Pro for Workstations 21H1
-
[填空题]林浚熙计算机安装了什么品牌的虚拟专用网络 (Virtual Private Network - VPN) 软件? (不要输入符号及空白,以大写英文及阿拉伯数字回答) (1分)
-
[填空题]承上题,分析该虚拟专用网络的日志 (Log),他在哪天安装该虚拟专用网络? (如答案为 2022-12-29,需回答 20221229) (2分)
-
[填空题]检视林浚熙计算机的数据,他使用哪种加密货币 (Cryptocurrency) 以支付虚拟专用网络软件? (以大写英文回答该加密货币的全名,如BITCOIN) (1分)
-
[填空题]林浚熙的加密贷币钱包 (Cryptocurrency Wallet) 名称是什么? (不要输入符号,以大写英文及阿拉伯数字回答) (2分)
-
[多选题]林浚熙计算机里安装了哪个浏览器 (Web Browser)? (1分)
A. Tor Browser
B. Opera
C. Google Chrome
D. Internet Explorer
E. Microsoft Edge
- [单选题]林浚熙使用浏览器 'Google Chrome' 曾经浏览最多的是哪一个网站? (1分)
A. https://mail.google.com/mail
- [多选题]除了上述网站,林浚熙曾使用浏览器 'Google Chrome' 搜索过什么? (1分)
A. docker image教学
B. tor教学
C. php sql教学
D. electrum教学
E. javascript教学
- [单选题]林浚熙的计算机安装了一个通讯软件 'Signal',它的用戶資訊儲存路径是什么? (1分)
A. \Users\HEI\AppData\Roaming\Signal
B. \Program Files (x86)\Signal
C. \Users\HEI\Desktop\Signal
D. \Users\user\Roaming\Signal
-
[填空题]通讯软件 'Signal' 采用一个档案存放用户的聊天记录,它的档案名是什么? (不要输入 '.',以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (2分)
-
[填空题]承上题,对上述档案迸行分析,林浚熙的联络人当中有多少人安装了Signal? (以阿拉伯数字回答) (3分)
-
[填空题]林浚熙在 'Signal' 曾经与某人对话,那人的手机号码是什么? 需要与区码 (Area Code) 一同回答 (以阿拉伯数字回答) (3分)
-
[多选题]承上题,两人在 'Signal' 的对话中有些讯息 (Message) 包含附件,这些讯息的 'ID' 包括? (2分)
A. 46a8762b-78ea-49aa-a6f5-b24975ec189f
B. 9729bf92-ab9c-45f7-8147-66234296aele
C. 5b9650fe-3bb6-4182-9900-f56177003672
D. 47233ffe-1a73-4b3d-b97c-626246ec3129
-
[填空题]承上题,林浚熙曾经于2022年10月20日轉账 (Transfer Money) 予上述对话人士, 那次轉賬的参考编号是什么? (以大写英文及阿拉伯数字回答) (3分)
-
[单选题]林浚熙的计算机安装了多少台虚拟机 (Virtual Machine - VM) ? (以阿拉伯数字回答) (1分)
A. 1
B. 2
C. 4
D. 3
- [单选题]林浚熙的计算机里的虚拟机 (VM) 存放在什么路径? (1分)
A. \Users\Public\Documents\Virtual Machines
B. \Program Files\Virtual Machines
C. \User\HEI\Roaming\Virtual Machines\
D. \Users\HEI\Documents\Virtual Machines
- [单选题]虚拟机 (VM) 使用什么版本的作业系统 (Operating System) ? (1分)
A. Ubuntu 22.04.1 LTS
B. CentOS Linux release 7.6.1810(Core)
C. CentOS Linux 7.5.1804 (Core)
D. Ubuntu 20.04.5 LTS
- [多选题]虚拟机 (VM) 中的文件传输服务器 (FTP Server) 有哪些用户? (2分)
A. man
B. admin
C. root
D. ftpuser
E. nobody
- [多选题]虚拟机设置了什么网页服务器 (Web Server)? (2分)
A. APACHE
B. WORDPRESS
C. LIGHTTPD
D. IIS
E. NGINX
- [单选题]网页服务器目录内有图片档案,而此档案的储存位置是? (1分)
A. /var/www/post
B. /var/www/html/post/vendor
C. /var/www/html/post/css
D. /var/www/html/post
E. /var/www/html/post/src
- [单选题]分析网页服务器的网站数据,假网站的公司名称是什么? (1分)
A. Global Logistics
B. Krick Post Global Logistics
C. Krick Global Logistics
D. Krick Post
- [单选题]检视假网站首页的显示, 'AY806369745HK' 代表什么? (1分)
A. 邮件收费号码
B. 邮件序号
C. 邮件号码
D. 邮件参考号码
-
[填空题]分析假网站的资料,当受害人经假网站输入数据后,网站会产生一个档案,它的档案名是什么? (不要输入 '.',以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (2分)
-
[多选题]分析假网站档案 'process.php' 源码 (Source Code), 推测此档案的用途可能是? (2分)
A. 产生档案
B. 发出邮件
C. 改变函数
D. 更新数据库
-
[填空题]检视档案 'process.php' 源码, 林浚熙的电邮密码是? (以大写英文回答) (1分)
-
[多选题]分析档案 'process.php' 源码, 它不会收集哪些资料? (2分)
A. 电话号码
B. 短讯验证码
C. 信用卡号码
D. 电邮地址
E. GPS位置
-
[填空题]虚拟机 (VM) 安装了 Docker 程序,列出一个以'5'作为开端的 'Docker' 镜像 (Image) ID (以阿拉伯数字及大写英文回答) (2分)
-
[填空题]Docker 容器 (Container) 'mysql' 对外开放的通讯端口 (Port) 是? (3分)
-
[填空题]Docker容器 'mysql',用户 'root' 的密码是? (以大写英文及阿拉伯数字回答) (2分)
-
[填空题]Docker容器 'mysql' 里哪一个数据库储存了大量个人资料? (以大写英文回答) (3分)
-
[填空题]检视 Docker 容器 'mysql' 内数据库里的资料,李大辉的出生日期是? (如答案为 2022-12-29,需回答 20221229) (3分)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
原文链接:https://blog.csdn.net/weixin_44770698/article/details/127856090