2021年美亚杯个人赛电子取证比赛
本篇文章是从我的公众号上拷过来的,提前声明一下,可能有些地方格式不太对,也可能有一些题目只有答案没有解析。
2021年10月某日早上,本市一个名为“大路建设”的高速公路工地主管发现办公室的计算机被加密并无法开启,其后收到了勒索通知。考虑到高速公路的基建安全,主管决定报警。警方调查人员到达现场取证,发现办公室内有三部个人计算机,通过一个老款路由器接入互联网。经调查相关电子证据后,警方怀疑一位本地男子–阿力士与本案有关,并将他拘捕。现在你被委派处理这起案件,请由以下资料分析阿力士在本案中的违法犯罪行为,并还原事件经过。
阿力士的背景资料:调查报告\阿力士\阿力士背景資料.pdf
阿力士的调查报告:调查报告\阿力士\阿力士調查報告.pdf
警方现场勘查的调查报告:调查报告\警方现场勘查的调查报告\现场勘查的调查报告.pdf
高速公路工地办公室路由器的记录:image\VTM\Router Log\20211018.log
工地主管办公室计算机的电子数据:image\VTM\VTM_computer\VTM-computer.e01
工地主管办公室计算机存储器提取的镜像文件:image\VTM\VTM_computer_memdump\Vtm- computer-memdump.mem
工地主管移动电话的电子数据:image\VTM\VTM_iphone6\Apple_iPhone 6 (A1586)\VTM iPhone6.ufdr
阿力士计算机的电子数据:image\Alex\Alex_Windows_Computer\Alex_Windows_Computer.E01
阿力士FTP服务器的电子数据:image\Alex\FTP\FTP.E01
阿力士移动电话(1)的电子数据:image\Alex\Alex iPHone 12 pro\Apple_A2341 MGLW3LL_A iPhone 12 Pro\Alex iPHone 12 pro.ufdr
阿力士移动电话(2)的电子数据:\image\Alex\Alex iPhone XR\Apple_iPhone XR (A2105)\Alex iPhone XR.ufdr
题目
工地主管 VTM_iphone6(没想到这里居然是用检材里自带的cellebrite软件取证手机)
1.工地主管电话的微信账号 是什么?
Kaiser Lee
2.工地主管的隔空投送装置编号是什么?
隔空投送装置就是airdrop
装置编号就是 ID标识
3.工地主管电话的哪一个应用程序有关于经纬度24.490474, 118.110220的纪录?
先找到位置中的这条经纬度记录
发现是 Apple Maps里面有这条记录
4.工地主管的手提电话中下列哪些数据正确? AC
A. iOS 版本为 12.5.4
B. IMEI 为 454120637213361
C. Apple ID 为 [email protected]
D. 手机曾经安装dropbox 应用程序
没有搜到有关dropbox任何信息,应该是没有安装过
5.工地主管的电话最常用的浏览器是什么 Safari
可以看到好多条url记录都是来自safari这个浏览器 
6.工地主管的电话连接过哪一个WiFi?
A
A. Kaiser Lee
B. Kaiser
C. Free Wifi
D. Kaiser Home
7.工地主管与 Alex Chan 的 Whatsapp 对话中,曾提及以下哪个 TeamViewer 的用户号码? ACE
A. 435334881
B. 453851521
C. 435475200
D. 456874155
E. 435270306
8.工地主管的WhatsApp中有多少个黑名单的记录? 0
翻译过来就是黑名单,0条
9.以下哪个蓝牙装置的 Uuid 曾连接过工地主管的手机? AB
A. 7F1FE70D-2B15-C245-853D-4196F13CC446
B. 1B057C1D-83D3-99A6-D2B1-EC54846C7CEE
C. 134ACD1-83D3-99A6-D2B1-EC54846C7CEE
D. 7D1BE70D-2C16-D246-851D-491613DD776
工地主管计算机 VTM-computer.e01
第一次用美亚的取证大师,感觉就是磁石一样,和火眼没得比……
10.工地主管计算机的 E 盘的 Bitlocker 修复密钥标识符是甚么?
爆搜BitLocker,收回刚才的话,火眼没找到,取证大师找到了….
11.工地主管计算机内的 FTP 程序 FileZilla 的用户名称是甚么? alex
12.工地主管的 Team Viewer ID 是甚么? 435270306
13.工地主管的 Team Viewer 与哪一个 ID 连接? 420190768
就是alex的id
14.工地主管曾用计算机浏览器作搜寻,以下哪一个关键词他曾经搜寻? BC
A. tiktok
B. web whatsapp
C. facebook
D. lihkg
E. hkgolden
F. web wechat
直接取证大师历史记录里找就好了,火眼没找到…
15.工地主管计算机的 Windows 系统的产品标识符是甚么? 003311000000001AA962
产品标识符就是产品id
火眼出来的和取证大师的不一样…那我信取证大师的吧,谁让取证大师是美亚的呢
16.工地主管曾用计算机使用 WhatsApp,他曾和以下哪个电话号码沟通?
85246761157
17.工地主管计算机的用户名称是甚么?其用户标识符是甚么?
AF
18.工地主管计算机的预设浏览器是甚么?
A
19.工地主管计算机的其中一个分区被人加密,分区内的电子表格 Material3.xlsx 的哈希值(SHA1)是甚么?#19-material3xlsx-sha1 “Permanent link”)
40418B21F6C3E4AF306D5EF3B80A776DA72FC1D2
高速公路工地办公室路由器 20211018.log
20.路由器的记录中显示以下有哪些IP是公司的电子器材?ABCD
A. 192.168.40.128
B. 192.168.40.129
C. 192.168.40.130
D. 192.168.40.131
E. 192.168.40.132
一一检索,满足inside内部就行
21.路由器的记录中显示公司的计算机下载了 FTP 软件,该下载网站的 IP 是什麼? 491212147
FTP软件就是filezilla,前面涉及很多了,
22.路由器的记录中显示公司计算机的资料用 FTP 软件传到了甚么 IP 地址及利用端口? AD
A. IP地址: 2*.2*.2*.114
B. IP地址: 8*.8*.1*.20
C. IP地址: 1*.1*.0*.13
D. 端口: 21
E. 端口: 80
其实也能猜到,公司的资料肯定是传到alex的电脑上了,我们可以直接去找alex的计算机ip地址,再回来在log日志里检索确认一下。
这里直接在火眼中找到了该软件的信息
23.路由器的记录中显示以下哪些关键词是表示公司计算机与外界网络联机?DA
A. destination
B. ICMP echo request
C. inside
D. outside
E. 以上皆是
24.路由器的记录中显示哪一个 IP 曾以 teamviewer 连接公司计算机? B
A. 110.152.0.14
B. 52.152.117.114
其实teamviewer的远程连接端口默认为5938,可以记住这个考点
C. 180.152.0.13
D. 83.26.80.131
25.路由器的记录中显示以下哪一个有可能是以 teamviewer 遥控公司计算机的时间? ACE
A. 09:31, 09:37
B. 09:33, 09:39
C. 10:29, 10:36
D. 10:40
E. 10:42
结合上题,被修改的ip地址已经得出来了,那就看看选项里的时间有没有被这个ip连接过,这里可以直接检索这个ip地址,可以看到分别是10:42,9:31,9:37,10:29,10:36,10:42
26.路由器的记录中显示有多少电子器材有可能曾被入侵?
3
25题里已经找出了被修改过的时间,对应着的主机就是曾经被入侵过的主机,分别是
192.168.40.128,192.168.40.129,192.168.40.130
阿里士手机 iPhone12pro
27.阿力士 iPhone12pro 电话于 2021 年 10 月 21 日,以下哪张相片可能曾被分享(UTC+8)? AB
A. IMG_0011.HEIC
B. IMG_0010.HEIC
C. IMG_0009.HEIC
D. IMG_0008.HEIC
E. IMG_0007.HEIC
只有这两张有不带元数据的照片
28.阿力士 iPhone 12 pro 电话中哪一张相片可能曾被修改拍摄时间? D
008还没捕获就被创建了,肯定有问题
A. IMG_0011.HEIC
B. IMG_0010.HEIC
C. IMG_0009.HEIC
D. IMG_0008.HEIC
29.阿力士 iPhone 12 pro 的 GSM 媒体访问控制地址是什么? E06D1740FDBE
好难找
30.阿力士的 iphone 12 pro 以什么屏幕密码保护? D
A. 6 位阿拉伯数字密码
B. 4 位阿拉伯数字密码
C. 图形密码
D. 以上皆非
虽然检材里写的已加密,但是我个人感觉并没有屏保密码
31.阿力士 iphone 12 pro 内以下哪一张相片是实况相片(live Photos)?”Permanent link”) ABD
A. IMG_0011.HEIC
B. IMG_0010.HEIC
C. IMG_0012.HEIC
D. IMG_0009.HEIC
带播放键的应该都是
32.以下哪一个是阿力士 iphone 12 pro 可能曾经连接的装置名称?
联系人里面找到个和答案里的a一样的,可以猜测这个就可能曾经被连接过
A. Chris’s MacBook Pro
B. Chirs’s iPhone
C. Chirs’s Computer
D. Chirs’s Linux
(多选)33.接上题,记录连接时间是什么时候(UTC+8)? BC!!!!!
源数据库文件里找到两个日期,试了好几次时间戳转换都转不出来,没想到这是时间秒,编写python脚本换算
虽然不知道为什么显示1990年,但是后面的时间对的上了
A. 2021 年 10 月 21 日 00:58:01
B. 2021 年 10 月 21 日 08:58:01
C. 2021 年 10 月 21 日 00:58:29
D. 2021 年 10 月 21 日 08:58:29
阿里士手机 Alex iPhone XR
34.阿力士 iPhone XR 中在软件 WhatsApp 中工地主管与阿力士的对话中曾提到:[巨叫我俾钱喎,BTC 係唔係呢个啊?],在进行电子数据取证分析后,以下哪一个是有可能关于此对话的正确描述? AB
A. 此对话被Kariser Lee删除
B. 此对话的附件为一张图片文件
C. 此对话被Alex Chan删除
D. 此对话是引用Alex Chan 回复
表明已被删除
附件是一张图片
35.阿力士 iPhone XR 的 WhatsApp 对话中,阿力士曾要求工地主管支付多少个 BTC?”Permanent link”)
10个
36.阿力士 iPhone XR 中 MG_0056.IHEIC 的图像与 5005.JPG (MD5:96c48152249536d14eaa80086c92fcb9)看似为同一张相片,在电子数据取证分析下,以下哪样描述是正确? BC
A. 储存在不同的.db 里
B. 有不同哈希值
C. IMG_0056.HEIC 为原图, 5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9)为缩略图
D. IMG_0056.HEIC 曾被开启过,所以在IOS系统中创建了缩略图5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9)
确定md5值
明显发现两张图片的md5值不一样
我们一搜HEIC出来了这两个,有点可疑
37.阿力士 iPhone XR 中相片檔 IMG_0056.HEIC 提供了什么电子数据取证的信息?”Permanent link”) AD
A. 此相片是由隔空投送 (Airdrop)得来
B. 此相片由 iPhone XR 拍摄
C. 此相片的拍摄时间为 2021-10-21 17:45:48(UTC+8)
D. 此相片的拍摄时间为 2021-09-08 17:35:00(UTC+8)
很明显,这张照片是由相机拍摄的,但不是XR,既然是多选题,那肯定就是隔空投送过来的了
38.阿力士 iPhone XR 中阿力士的电邮账户 [email protected] 的密码有可能是什么? Aa475869!
备注中这条信息很可疑,应该是
39.阿力士 iPhone XR 曾经连接 Wifi “Alex Home” 的密码是什么? 12345678
一搜索就出来了
40.阿力士 iPhone XR 经 iCloud 备份的最后时间是什么?(UTC+8)? A 注意UTC+8
A. 2021-10-21 17:51:38(UTC+8)
B. 2021-10-21 18:02:13 + (UTC+8)
C. 2021-10-21 09:51:38(UTC+8)
D. 2021-10-21 10:02:13 + (UTC+8)
41.阿力士 iPhone XR 中的 iBoot 版本是 iBoot-____?
iboot:Lockdown srvice/phoneInfo.xml,不光是iboot,好多其他类型的版本号,
42.(多选题)阿力士 iPhone XR 中的 WhatsApp 群组【团购-新鲜猪肉牛肉-东涌群组-9/30】有以下哪一个成员? AD
手机取证心得:
养成搜索的习惯,不论有没有思路,看到题目中的关键词就去全局搜一下,直接定位到相关词语的那个文件,可能会节省好多时间
多记住一些特定的配置文件,比如这次iboot所在的phoneInfo.xml,也会在比赛中节省许多时间,把去翻各种数据库文件的时间花到后面更难更花时间的题目上。
照片被分享后会产生没有元数据的缩略图
阿力士的计算机 Alex_Windows_Computer.E01
43.阿力士的计算机显示曾于 hongkongcard.com 的论坛登记成为会员,以下哪个是他的帐户密码? A
A. Aa475869!
B. Bb475869!
C. Cd475869!
D. 以上皆非
发现A选项很熟悉,而且可以在取证大师中发现这个论坛是用邮箱号登录的,而邮箱号正好是38题中阿力士的电邮账户
44.阿力士的计算机显示阿力士曾用什么方法进入受害者(主管)的计算机? A
A. 远程操控
B. 特洛伊木马程序
C. 勒索软件
D.恶意软件
45.续上题,阿力士最后一次进入受害者(主管)计算机的时间是什么? D
46.阿力士的计算机显示他曾经使用 FTP 程序,FTP 的主机 IP 地址是什麼? 218255242114
47.阿力士的计算机显示于 2021 年 9 月至 2021 年 11 月期间,计算机曾被登入过多少次?30
48.阿力士计算机所安装的 Microsoft Office 2007 是以下哪一个版本?link”)12045181014
49.以下是阿力士计算机中的 Basic data partition (EFI 3) 的 Volume ID?#49-basic-data-partition-efi-3-volume-id “Permanent link”)94C44CA5C44C8B84
50.阿力士计算机的 Windows product ID 是什么? 003311000000001AA411
51.阿力士计算机曾经下载一张猴子的图片,以下哪一项描述正确? A
52.阿力士计算机所安装的 Microsoft Office 2007 的密钥是甚么?V77WORPVP67MTPGWH3G9D44MJ
阿力士 FTP 服务器 FTP.E01
53.阿力士 FTP 服务器用户使用命令行安装了甚么程序? A
54.以下哪些档案于阿力士 FTP 服务器曾重复出现?DEF
A. Material1
B. Material2
C. Material3
D. Staff1
E. Staff2
F. Staff
直接文件系统里搜索,DEF满足
55.在阿力士 FTP 服务器中,文件夹___曾被用户变更了访问权限 Dangerous_Project
chmod 777使我们熟悉的linux中的提权命令。直接全局搜索777可以找到这个文件
56.在阿力士 FTP 服务器建设后,有___个额外用户被加入 1
ftpdserver就是这个服务器,是建立在docker容器里的
在容器命令里发现了useradd的命令
虽然是五条命令,但是只添加了wai这一个用户
57.根据阿力士 FTP 服务器设定显示,此服务器是以___方式连接网络,且是一个__网络状态 C
A. 无线 , 公开
B. 无线 , 私人
C. 有线 , 公开
D. 有线 , 私人
作用范围就是本地,应该是私人网络状态
以太网配置器里并没有无线网卡,只能是有线连接了
处在公网里,公开网络状态
58.阿力士 FTP 服务器设定最多使用者数目是___ 50
去找ftp服务器的配置文件
59.阿力士 FTP 服务器使用 Docker 安装了一个 FTP 程序为____。 stilliard/pure-ftpd
60.阿力士 FTP 服务器曾使用过甚么版本的 Linux 内核? AD
A. linux-headers-5.11.0-16
B. linux-headers-5.11.0-17
C. linux-headers-5.11.0-36
D. inux-headers-5.11.0-37
E. linux-headers-5.11.0-40
全局搜索只看到16 和 37
61.阿力士 FTP 服务器的磁盘分区,有以下哪一种文件系统?BE
A. FAT16
B. FAT32
C. ExFAT
D. HFS+
E. Ext4
xway挂载为磁盘可以看到
62.阿力士FTP服务器用户输入了指令___去检查现存的Docker容器 dockercontainerps-a
- Title: 2021年美亚杯个人赛电子取证比赛
- Author: WL
- Created at : 2025-03-18 22:24:32
- Updated at : 2025-04-12 18:24:36
- Link: https://redefine.ohevan.com/2025/03/18/third/
- License: This work is licensed under CC BY-NC-SA 4.0.