2022第八届“美亚杯”资格赛手机在线a v「2022第八届“美亚杯”资格赛」

个人赛加密容器解密密钥

做完之后还是能发现自己的问题的，数据库取证这块有着很大的问题，sql语句不会写，都已经标出来了，再沉淀沉淀再过来做

王晓琳手机镜像导入的注意问题

不要直接将压缩包导入火眼，这会导致自动取证失效。先解压，再导入取证

1.[单选题]王晓琳在这本电子书藉里最后对哪段文字加入了重点标示效果 (Highlight)? (2分)

A.卿有何妙计
B. 宝玉已是三杯过去了
C. 武松那日早饭罢
D. 就除他做个强马温罢

和70题有关，既然是《三国演义》，答案显然

不想找了，直接搜索文件没有爆出来，我觉得应该就在数据库里面

2.[多选题]王晓琳的手机里有一个 'MTR Mobile (港铁)' 的手机程序 (Mobile App)。检视其数据库 (Database) 的数据，王晓琳于2022年10月11日 22:04 时将一行程加入书签 (Bookmark)，这段行程的起点及终点站包括? (2分)

A.尖沙咀
B. 红硒
C. 康城
D. 青衣
E. 沙田

先搜索“MTR”，找到源文件位置，查找源文件中的.db文件

2022年10月11日 22:04修改完成后的文件就一个查看，看到有“bookmark”

 这两步就是利用时间戳转换去推出是哪条字段

3.[填空题]王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片? (以阿拉伯数字回答) (1分)

4.[单选题]检视王晓琳的手机照片，她于2022年10月2日到过什么地方? (1分)

A.大潭郊游径
B.城门畔塘径
C.大榄麦理浩径
D.京士柏卫理径城门畔塘径

检查图库，发现这张照片

5.[单选题]李大辉使用的是一台LG V10的手机，它的型号是什么? (1分)

A.LGH960C
B. LGH961N
C. LGH960H
D. LGH961C
E.LGH961D

6.[单选题]李大辉的手机最常搜索的类别 (Category) 是什么? (1分)

A.护肤品
B. 旅游
C. 运动
D. 学校

7.[填空题]李大辉最近光顾了一家美丰快运公司，这快递件的单号是什么? (不要输入符号及空白，以阿拉伯数字回答) (1分)

检索火眼中的图库，没有找到，去检索应用列表在这里找到了，google 的一个缓存文件里面，这题确实不好想

8.[单选题]李大辉收到的电邮中有一个钓鱼链结 (Phishing Link)，这个链结的地址是什么? (1分)

A.以上皆非
B. https://bit.ly/3yeARcO
C. https://bit.ly/5vM12
D. http://bit.ly/Hell0

先配置过滤搜索条件

导出查看数据库，检索内容

9.[单选题]承上题，这封电邮是从哪个电邮地址寄出的? (1分)

A.2020ChanChan@hotmail.com
B.以上皆非
C.Cavinchow456@yahoo.com
D.30624700Peter@proton.me

根据第九题，conservation对应到这里id字段3

10.[单选题]承上题，寄出这封电邮的IP地址是? (2分)

A. 以上皆非
B. 65.54.185.39
C. 10.13.105.56
D. 58.152.110.218

检视数据库，没找到知识点：安卓GMAIL不会记录邮件ip

11.[单选题]李大辉手机有一个 'order.xlsx' 的档案被加密了，解密钥匙是什么? (1分)

A.2022 Nov!
B. 20221101
C. Nov2022!
D. P@sswOrd!

之前就已经看到了

检索图库的时候看到的但是比赛的时候选择题没必要这么做，直接代入选项即可，问题是wp就不好写了

12.[填空题]香港的街道上每一枝街灯都有编号。分析李大辉手机里的程序 'KMB 1933'，哪一枝街灯在经度 (Latitude) 22.4160270000，纬度 (Longitude) 114.2139450000 附近，它的编号是什么?(以大㝍英及阿拉伯数字回答) (2分)

从文件夹里找数据库

数据库导出连接查看

利用navicat搜索，这里找到最后选择字段哪个是路灯编号还是比较具有迷惑性的，但想想IBSN码等，要字母和数字，最后做出选择

13.[填空题]李大辉的手机里有一张由该手机拍的照片，照片的元资料 (Metadata) 曾被修改，这张照片的档案名是什么?(以大写英文及数字回答，不用回答副档名) (2分)

找到文件夹，检索，创建时间和修改时间要不一样，就这一张

一开始，我是想用取证大师去找这些可疑文件，但是取证大师只能搜索电脑的可疑文件，这里是手机应该转换思路，从检索创建时间和修改时间入手

14.[单选题]分析李大辉的手机里的资料，他在哪一间公司工作? (2分)

A.盛大国际有限公司
B.美丽好化妆品公司
C.步步高贸易公司
D.永恒化妆品公司

先检视文件信息，这个一定要有方向，我的第一感觉就告诉我，去找word，excel，ppt，pdf这些文件

15.[填空题]林浚熙曾经以手机登录Google账户的验证码是什么? (不要输入符号，以大写英文及阿拉伯数字回答) (1分)

思路应该就是去看短信，毕竟是验证码嘛

16.[填空题]林浚熙手机的 'WhatsApp' 号码是什么? ( 号码 ) @s.whatsapp.net? (以阿拉伯数字回答) (1分)

17.[单选题]通过分析林浚熙手机的照片，判断他在何处偷拍王晓琳? (1分)

A.交通工具
B. 郊野公园
C. 游泳池
D. 酒店房间

去WhatsApp上查看和王晓琳的聊天记录

18.[填空题]林浚熙曾经删掉自己拍摄的照片，这张照片的档案名 (Filename) 是什么? (不要输入 '.'，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (2分)

找到图库删除的文件

19.[填空题]王晓琳曾经发送一个PDF档案予林浚熙，这个档案的文件签名 (File Signature) 是什么? (以十六进制数字回答首八位数值，如F0A1C5E1) (2分)

先找到文件夹位置

去源文件对应的位置找到导出文件签名就是文件头的意思文件损坏，不能正常打开，使用010或者winhex查看十六进制数据

收获：文件签名就是文件头

20.[填空题]承上题，该PDF档案内包含一位曾经被骗的受害者资料。分析林浚熙手机的数据，这位受害者的英文名字是什么? (不要输入符号及空白，以大写英文回答) (2分)

在这里看到是excel的格式，尝试修改文件后缀再打开

成功进入

cvv和信用卡有关，这些应该是受害者的信息对应到excel表格里寻找那位受害者

21.[单选题]分析林浚熙手机上的数据，他在2022年10月17日计划去什么地方? (2分)

A.沙田站
B.以上皆非
C.荃湾站
D.国际金融中心二期沙田站

这题我第一想法是去看聊天记录，看他有没有和别人约了什么地方但是实际的思路是去看waze这个软件，是个导航软件，没用过苹果，这个软件也是第一次知道

去弘连里面找到这个包，搜索 .db 文件

就三个，直接导出查看手翻

做了时间戳转换，确定是第二个

22.[填空题]承上题，上述行程的结束时间是? (如答案为 16:01:59，需回答 160159) (2分)

转换第二行end_time的时间戳

23.***[填空题]于林浚熙的手机里，在2022年9月1日或以后，哪一张照片是由其他手机拍摄的，而它的档案名是什么?(不要输入 '.'，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (2分)

IMG0446HEIC这题不会，埋个坑，以后会了，能看懂sql语句再过来

根据24题找到的字段来搜索，发现源文件名不一致，说明这个文件是其他手机拍摄的

根据24题找到的字段来搜索，发现源文件名不一致，说明这个文件是其他手机拍摄的

24. ***[单选题]根据照片的数据库 (Photos.sqlite) 资料，哪一个栏目标题 (Column Header) 可以显示这张照片的接收方式? (2分)

A. ZIMPORTEDFROMSOURCEIDENTIFIER

B. ZIMPORTEDBYBUNDLEIDENTIFIER

C. ZRECEIVEMETHODIDENTIFIER

D. ZRECEIVEDFROMIDENTIFIER

25. ***[单选题]承上题，这张照片通过什么方式接收? (2分)

A. WhatsApp软件传送

B. 以上皆非

C. 蓝牙传送

D. Signal软件传送

E. 网页下载

 26. ***[填空题]承上题，这张照片原本的档案名 (Original Filename) 是什么? (不要输入 '.'，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (3分)27. ***[填空题]林浚熙手机里有一个备忘录 (Notes) 被上了锁，这个备忘录的名称是什么? (以大写英文及阿拉伯数字回答) (1分)

27.***林浚熙手机里有一个备忘录 (Notes) 被上了锁，这个备忘录的名称是什么? (以大写英文及阿拉伯数字回答) (1分)

28.***[填空题]承上题，上述备忘录的内容有一串数字，它是什么? (以阿拉伯数字回答) (2分) 

这六题待我再沉淀沉淀再过来做

29.[单选题]林浚熙计算机 (Computer) 的操作系统 (Operating System) 版本是什么? (1分)

A.Windows 10 Pro 22H2

B.Windows 10 Home 21H2

C.Windows 10 Pro for Workstations 21H2

D.Windows 10 Pro for Workstations 21H1

在这里使用火眼有个问题，一定要从证据分析软件里面点镜像仿真，这样可以读到Windows的账号和密码，千万不要从火眼仿真直接去挂载，这样不一定可以直接读取到

30.[填空题]林浚熙计算机安装了什么品牌的虚拟专用网络 (Virtual Private Network - VPN) 软件? (不要输入符号及空白，以大写英文及阿拉伯数字回答) (1分)

弘连可以找到的

美亚也可以

直接仿真进入看也是可以的

31.[填空题]承上题，分析该虚拟专用网络的日志 (Log)，他在哪天安装该虚拟专用网络? (如答案为 2022-12-29，需回答 20221229) (2分)

查看Windows日志即可

32.[填空题]检视林浚熙计算机的数据，他使用哪种加密货币 (Cryptocurrency) 以支付虚拟专用网络软件? (以大写英文回答该加密货币的全名，如BITCOIN) (1分)

去看看Express缓存文件

这里有btc，但是觉得太难找了

直接猜可能会更简单点，常见的货币类型就那几个，实在不行就检视文件夹，没多少

这个文件夹应该不会在软件文件夹里面，而应该在这种缓存文件内，但是这两个方向都应该有，需要想到

33.[填空题]林浚熙的加密贷币钱包 (Cryptocurrency Wallet) 名称是什么? (不要输入符号，以大写英文及阿拉伯数字回答) (2分)

仿真后打开软件就能看到

34. [多选题]林浚熙计算机里安装了哪个浏览器 (Web Browser)? (1分)

A. Tor Browser

B. Opera

C. Google Chrome

D. Internet Explorer

E. Microsoft Edge

去找剩下的Opera  Internet Explorer

存在一点点小问题，这里千万不能这样搜索，因为之前可能装过，这些是残留的文件

35. [单选题]林浚熙使用浏览器 'Google Chrome' 曾经浏览最多的是哪一个网站? (1分)

A. https://mail.google.com/mail

B. https://web.whatsapp.com

C. https://gmail.com

D. https://facebook.com

直接排列就能出

36. [多选题]除了上述网站,林浚熙曾使用浏览器 'Google Chrome' 搜索过什么? (1分)

A. docker image教学

B. tor教学

C. php sql教学

D. electrum教学

E. javascript教学

docker image教学

electrum教学

tor教学

php sql教学

37. [单选题]林浚熙的计算机安装了一个通讯软件 'Signal'，它的用戶資訊儲存路径是什么? (1分)

A. UsersHEIAppDataRoamingSignal

B. Program Files (x86)Signal

C. UsersHEIDesktopSignal

D. Users퇕RoamingSignal

在这里

38.[填空题]通讯软件 'Signal' 采用一个档案存放用户的聊天记录，它的档案名是什么? (不要输入 '.'，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (2分)

通过聊天记录跳转到这里，但是可能加密了，打不开，聊天记录都是存在数据库里面的，signal文件夹下就没太多数据库，检视之后就能排查到

***39. [填空题]承上题，对上述档案迸行分析，林浚熙的联络人当中有多少人安装了Signal? (以阿拉伯数字回答) (3分)

***这题也可以手工解密,还没写完

我就猜到了是加密后的数据库，目前我只知道DB Browser可以解密

密码在这里

40. [填空题]林浚熙在 'Signal' 曾经与某人对话，那人的手机号码是什么? 需要与区码 (Area Code) 一同回答 (以阿拉伯数字回答) (3分)

***41. [多选题]承上题，两人在 'Signal' 的对话中有些讯息 (Message) 包含附件，这些讯息的 'ID' 包括? (2分)

A. 46a8762b-78ea-49aa-a6f5-b24975ec189f

B. 9729bf92-ab9c-45f7-8147-66234296aele

C. 5b9650fe-3bb6-4182-9900-f56177003672

D. 47233ffe-1a73-4b3d-b97c-626246ec3129

***42. [填空题]承上题，林浚熙曾经于2022年10月20日轉账 (Transfer Money) 予上述对话人士, 那次轉賬的参考编号是什么? (以大写英文及阿拉伯数字回答) (3分)

43. [单选题]林浚熙的计算机安装了多少台虚拟机 (Virtual Machine - VM) ? (以阿拉伯数字回答) (1分)

A. 1

B. 2

C. 4

D. 3

44. [单选题]林浚熙的计算机里的虚拟机 (VM) 存放在什么路径? (1分)

A. UsersPublicDocumentsVirtual Machines

B. Program FilesVirtual Machines

C. UserHEIRoamingVirtual Machines

D. UsersHEIDocumentsVirtual Machines

45. [单选题]虚拟机 (VM) 使用什么版本的作业系统 (Operating System) ? (1分)

A. Ubuntu 22.04.1 LTS

B. CentOS Linux release 7.6.1810(Core)

C. CentOS Linux 7.5.1804 (Core)

D. Ubuntu 20.04.5 LTS

46. [多选题]虚拟机 (VM) 中的文件传输服务器 (FTP Server) 有哪些用户? (2分)

A. man

B. admin

C. root

D. ftpuser

E. Nobody

能进入虚拟机，一条命令就可以了，但是虚拟机不能在虚拟机环境运行，换成静态分析的思路

根据44题路径，要导出全部的vm文件，再去自动取证，因为vm文件夹相当于有一个启动顺序的，相互联系

查看你终端命令

查看文件

47. [多选题]虚拟机设置了什么网页服务器 (Web Server)? (2分)

A. APACHE

B. WORDPRESS

C. LIGHTTPD

D. IIS

E. NGINX

48. [单选题]网页服务器目录内有图片档案，而此档案的储存位置是? (1分)

A. /var/www/post

B. /var/www/html/post/vendor

C. /var/www/html/post/css

D. /var/www/html/post

E. /var/www/html/post/src

直接按选项查就行

49. [单选题]分析网页服务器的网站数据，假网站的公司名称是什么? (1分)

A. Global Logistics

B. Krick Post Global Logistics

C. Krick Global Logistics

D. Krick Post

50. [单选题]检视假网站首页的显示， 'AY806369745HK' 代表什么? (1分)

A. 邮件收费号码

B. 邮件序号

C. 邮件号码

D. 邮件参考号码

网上翻一个文件夹，index.php一般是首页源码

51.[填空题]分析假网站的资料，当受害人经假网站输入数据后，网站会产生一个档案，它的档案名是什么? (不要输入 '.'，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (2分)

分析index.php可得

分析process.php可得

52. [多选题]分析假网站档案 'process.php' 源码 (Source Code), 推测此档案的用途可能是? (2分)

A. 产生档案

B. 发出邮件

C. 改变函数

D. 更新数据库

53.[填空题]检视档案 'process.php' 源码, 林浚熙的电邮密码是? (以大写英文回答) (1分)

简单的代码审计

54. [多选题]分析档案 'process.php' 源码, 它不会收集哪些资料? (2分)

A. 电话号码

B. 短讯验证码

C. 信用卡号码

D. 电邮地址

E. GPS位置

55. [填空题]虚拟机 (VM) 安装了 Docker 程序，列出一个以'5'作为开端的 'Docker' 镜像 (Image) ID (以阿拉伯数字及大写英文回答) (2分)

56.[填空题]Docker 容器 (Container) 'mysql' 对外开放的通讯端口 (Port) 是? (3分)

这个只是容器内部开放端口，对外开放端口要去找映射IP

57. [填空题]Docker容器 'mysql'，用户 'root' 的密码是? (以大写英文及阿拉伯数字回答) (2分)

格式化看的清楚些

***58. [填空题]Docker容器 'mysql' 里哪一个数据库储存了大量个人资料? (以大写英文回答) (3分)

Xshell连接虚拟机，用ip命令查看

***59. [填空题]检视 Docker 容器 'mysql' 内数据库里的资料，李大辉的出生日期是? (如答案为 2022-12-29，需回答 20221229) (3分)

60. [多选题]通过取证调查结果迸行分析 (包括但不限于以上问题及情节)，林浚熙的行为涉及哪一种罪案? (5分)

A. 勒索金钱

B. 诈骗

C. 抢劫

D. 购买毒品

E. 传送儿童色情物品

61.[填空题]王晓琳手机的 'IMEI' 号是什么? (以阿拉伯数字回答) (1分)

62.[多选题]王晓琳的手机安装了什么即时通讯软件 (Instant Messaging Apps)? (1分)
   A. Signal
    B. 微信(WeChat)
    C. QQ
    D. WhatsApp
    E.LINE

63.[单选题]王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 'PDF' 档案? (以时区UTC+8回答) (1分)

A. 2022-10-01 17:39:53

B. 2022-09-30 18:30:28

C. 2022-09-30 17:39:53

D. 2022-10-01 16:30:22

在WhatsApp里面

64.[填空题]承上题，这个 'PDF' 档案的MD5哈希值 (Hash Value) 是什么? (以大写英文及阿拉伯数字回答) (1分)

65.[单选题]王晓琳将这个 'PDF' 档案发给哪一个用户, 而该用户的手机号码是什么? (1分)

A. 85259308538

B. 85269707307

C. 85297663607

D. 85246427813

66.[多选题]王晓琳发出这个 'PDF' 档案的原因是什么? (1分)

A. 分享档案内容

B. 错误发出

C. 寻求协助

D. 无法开启

67.[单选题]承上题，分析王晓琳与上述用户的对话，他们的关系是什么? (1分)

A. 师生

B. 家人

C. 客户

D. 同事

68.[单选题]王晓琳于何时要求上述用户删除一张照片? (1分)

A. 2022-09-28

B. 2022-09-30

C. 2022-10-06

D. 2022-10-03

69.[单选题]承上题，该用户向王晓琳提出什么要求以删除这张照片? (1分)

A. 毒品

B. 性服务

C. 金钱

D. 加密货币 

70.[单选题]王晓琳的手机里有什么电子书藉 (Electronic Book) ? (2分)

A. 红楼梦

B. 水浒传

C. 三国演义

D. 西游记

这是第一种，全局搜索的方法，我觉得不太好想

先去看看有啥软件，搜索“book”

这要对苹果手机的目录规范有了解，能看到

这里有图片