2020美亚杯个人赛

Alice的笔记本计算机已成功被取证并制作成镜像(Forensic Image), 下列哪个是镜像的SHA-1哈希值?

 

 SHA-1值为:EB4854774B68058E5B327907DB2AC40AAA2E7DED


Alice的笔记本计算机安装了哪个操作系统(Operating System)?

 

 Windows 10 Pro


在Alice的笔记本, 创建用户帐户的SID是甚么?

 

 创建用户帐户的SID是S-1-5-21-1017277147-4095180158-1226650532-1001


在Alice的笔记本,用户的最后登录时间是甚么时候?(本地时间)

 

 2020-09-30 10:13:43


在Alice的笔记本,最后登录的用户名称是甚么?

Alice

Alice笔记本计算机的名称是甚么?

 

 DESKTOP-DJFFBL6


在Alice的笔记本, 最后登录的用户何时更改了Windows登录密码? (当地时间)

 

 2020-09-16 02:22:20


Alice笔记本计算机的时区是甚么?

 

 CST


在Alice的笔记本, OS分区的文件系统是甚么?

 

 NTFS


计算机上预设安装了甚么浏览器?

 

 

 依照我们的日常使用经验,老Edge、IE在WIN10老版本(1909之前)都是预装的,新Edge则在1909之后预装

但是选项只有IE

在Alice的笔记本,哪个是最常用的浏览器?

同上

在Alice的笔记本, 最常用的浏览器是甚么版本?

即探寻IE的版本号,我在取证大师与火眼中均未找到,仿真查看

在搜索栏搜索IE,找到IE.exe文件,右键属性查看

 

 

 IE11

 

在Alice的笔记本, Alice浏览了哪个在线商店的网站

通过浏览9.29日的浏览记录,发现Alice浏览过hksuning、fortress、apple

 

 

 

 

 

 

 

 

 

在Alice的笔记本, 受害人的信用卡号是甚么?(Ho PCKYI-电子邮件:shy1211@mtzh.gow.tw)

仿真进入Alice笔记本的Outlook程序,查看附件R3ZZ.txt

 

 

 得到这位受害者的信息,因此得知,卡号为

5411221001217741

在Alice的笔记本, 受害人的信用卡CSC号码是甚么(何PCKYI-电子邮件:shy1211@mtzh.gow.tw)

同上 112

除了上述在USB 找出ZIP文件,请找出相同ZIP文件的路径?

这个题讲道理我没看懂他想问什么,直到我用FTK把USB挂载到我自己的机子上的X盘

 

 

 经过反复验证,我觉得他说的zip文件是download.7z

在仿真机中搜索download.7z

 

 

 得知在C:\User\Alice\Downloads中

USB驱动器在Alice笔记本计算机上的最后插入时间是何时?(当地时间)

这个题又让我不知道在说啥了,是U盘呢,还是USB设备呢,还是之前提到的USB驱动器呢?根据之前的题目猜测为之前提到的USB驱动器

 

 

时间为:2020-09-28 11:13:04

很可惜,没有这个选项

 

 

 

 只能以这个为准

2020-09-29 18:01:25

解压的ZIP文件内有哪些文件?

不需要解压密码

 

 

 log1nx.txt, R3ZZ.txt, WhatsApp Image 2020-09-29 at 18.35.25.jpeg, WhatsApp Image 2020-09-29 at 18.37.47.jpeg

"“ ZIP文件中发票的哈希值(SHA 256)是多少=发票(1)名称:WhatsApp Image 2020-09-29 at 18.35.25.jpeg”"

在原设备中download.7z所在目录下可以找到两张发票文件

 

 

 利用CERTUTIL命令计算两张发票HASH值

 

第一张发票的SHA256值为

 

 F4C391A38AB82AD19EDB2B7402DA31F52006C3B4B018F859A451B839878D3EE4

"“ ZIP文件中发票的哈希值(SHA 256)是多少=发票(2)名称:WhatsApp Image 2020-09-29 at 18.37.47.jpeg”"

同上可得,第二张发票的sha256值为

2DAFCC2552A7337844B90F0AB5CDA85BF2F5A71A635E0D3B05731C95937D21F5

Alice笔记本计算机上安装了哪种电子邮件软件?

 

 如你所见 outlook16

Alice笔记本计算机上的电子邮件软件的版本是甚么?

outlook16

Alice笔记本计算机登录电子邮件软件的电子邮件帐户是甚么?

 

 

 alicechen741@gmail.com

Alice在上述电子邮件对话中获得了哪些数据/文件?

上述电子邮件对话?哪个?

进入outlook16查看,只有一个邮件有附件

 

 

 log1ns.txt与R3ZZ.txt

该电子邮件的发信者的电子邮件地址是甚么?

同上,bobcheung123@gmail.com

上述已收的电子邮件, 发件人的IP地址是甚么?

进入该邮件,查看邮件头

 

 

 209.85.220.41

在笔记本, Alice的电子邮件地址是甚么?

alicechen741@gmail.com


除了Alice,还有其他电子邮件地址与该骗局有关吗?

那当然是把信息传给Alice的人啦

bobcheung123@gmail.com

 

哪些人有AP和主脑之间的电子邮件记录?有文件传输吗?

啥玩意儿是主脑?主犯嘛?AP不是无线接入点嘛?一脸疑惑

想了想只能选C

C:Alice and Bob, re log1ns.txt and R3ZZ.txt;

在ZIP 文件中, 有多少受害人的信用卡数据被盗?

在所得的R3ZZ.txt中搜索ID

 

 

 经查有7个

已被黑客盗用其信用卡资料购买的受害者是谁?

我一开始判断这个是卖假手机或者卖水货的。但后来读出来是盗刷信用卡的案子

 

 

 因为个人赛背景就是盗刷信用卡

因此,看是谁付款就OK了

打开两张发票

 

 

 有俩受害者,TSE KCNG LON 与 HO PCKYI

 

被盗用的内容是甚么?

 

 

 ID PW FNM DOB ADR CTY ZIP PHO NOC CRD EXP CSC

Alice的手机型号是甚么?

 

 

 可爱的手机大师一跑就出来了,火眼的话只有LG-D855

Model:LG-D855(G3 Global)

Alice手机的操作系统版本是甚么?

 

 

 操作系统:Android6.0

Alice手机的总储存空间是多少?

看一下手机的照片

 

 

 歪一下头 看到32G

在Alice 手机, IMG-20200929-WA0002的创建时间是甚么?(本地时间)

 

 

 2020-09-29 18:24:40

 

在Alice 手机,IMG-20200929-WA0004的创建时间是甚么?(本地时间)

 

2020-09-29 18 :25:49

 

 

IMG-20200929-WA0002和IMG-20200929-WA0004的元数据和相机型号是甚么?

首先 元数据是描述数据的数据 但是在选项中并未体现,因此,着重于相机型号的确定

相机为LG-D855

C:Manufacturer: LG Electronics, Model:        LG-D855

在Alice 手机, 预设浏览器浏览历史记录的文件在哪里?

首先,确定/data在哪个分区(以美亚自身的软件为准,说这个话是因为火眼识别为分区46,但是选项中根本没有分区46)

 

 

 找到,确定为分区43

通过火眼,跳转源文件,得到相对位置

 

 

因此,确定为

Partition43[hda41]\data\com.android.browser\databases\browser2.db(Mobile Forensics System V2)

储存Chrome浏览历史记录的文件是甚么?

同上,跳转源文件

 

 

 Partition43[hda41]\data\com.android.chrome\app_chrome\Default\History(Mobile Forensics System V2)

Alice手机的Whatsapp ID和账户名称是甚么?

 

 

 85262547937@s.whatsapp.net

与Bob和Cole的最后WhatsApp的时间是甚么?(本地时间)

因为选项内只有一个时间,认为为群聊的最后时间

 

 

 2020-09-26 18:37:34

主脑的名字是甚么?

在全部的whatapp上的big big club中,我们看到,Alice想要钱,Cole说要不要加入我们

注意这个 我们

然后Cole与Bob的聊天显示两人为共谋,一个出谋(Cole)一个负责获取信息(Bob),因此,断定Alice是被拉入伙的,同时,Alice手下还有俩小弟,给她跑腿,是盗刷信用卡行为的主要实施者,名字分别为Chris、Tommy

Alice,Bob和Cole之间的WhatsApp群组的ID和名称是甚么?

 

 

 

Big Big Club

哪一个表,显示了聊天群组“ Big Big Club”的创建时间?(本地时间)

首先,进入whatapp的数据库

右击,选中跳转源文件

 

 

 进入数据库msgstore.db

 

 

 很幸运,在第一个chat表就找到了创建时间的时间戳

聊天群组“ Big Big Club”是甚么时候创建的?(本地时间)

直接火眼

 

 

 2020-09-18 09:34:38

Alice是否曾经登陆whatsapp网站?如果有的话,她是在何时登入? 所用的是甚么浏览器? (提示:在移动取证图像上找到结果)(UTC +0)

移动取证图像。?确定不是机翻的镜像嘛?
虽然但是,在手机上,我并未找到whatsapp的访问记录

重回laptop

 

 2020-09-29 18:43:32

Alice如何收到这笔钱?钱包地址是甚么?

在BIG BIG CLUB中Alice自爆用比特币了

 

 钱包地址是1L6fKWpEYvUi8FeG6BnXqfh1joAgmJA1h1

 

“Deleted by the sender”的media_wa_type是甚么?

看不懂

Alice手机的Wifi MAC地址是甚么?

不会

Alice USB驱动器内的ZIP档案的密码是甚么? (某些字符被刻意用*遮盖)

在计算机照片上发现了两个类似密码的东西,也是本检材内唯二像密码的

 

 我到现在都耿耿于怀那个像空集的玩意儿为啥是0

带入,求得是那个带0的,看选项,认定为QP**!#80**

 

 

Alice USB驱动器内的哪一个程序是用作储存秘密数据?

利用雷电APP进行查看,把那些apk文件直接代入

 

 觉得这个很像

 

 确定为这个玩意儿

打开秘密讯息的密码是甚么? (某些字符被刻意用*遮盖)

只能是另一个密码了

**89#h

USB驱动器内,其中一个档案的秘密讯息是甚么? (某些字符被刻意用*遮盖)

哪儿有秘密讯息啊

贴在笔记本计算器机上的密码有甚么用途?

根据上面的题目,确定为B

Alice USB驱动器内的档案有甚么种类?

 

 PNG、apk、7z、zip

Alice USB驱动器的哈希值(SHA-256)是甚么?

在取证大师中选择挂在物理磁盘X,并计算HASH值

 

 得到其SHA256值为

528D94ED83F41C356B0588C2C21ECF563E9D8CA66ED6D97A3D57C26291854DFF

在USB驱动器中找到的ZIP文件(Downloads.7z),它的哈希值(SHA-256)是甚么?

在X盘里用certutil -hashfile命令计算sha256值

 

 得到sha256值为88f68f8755e1f76107d6ee2134ed32babbc91f0b44c7c0ee3850bba74b7e59b8

在Alice的USB内, ZIP文件的最后修改时间是?

 

 修改时间为

2020-09-29 18:46:54

 

posted @ 2021-11-07 20:40  R0undab0ut  阅读(872)  评论(0编辑  收藏  举报