23美亚个人赛复盘(实操题)
第一次参加美亚杯,成绩并不理想,三等,明年继续努力✊
容器密码:3hqGFfT#B*Yjd74t@f%9fDqs6D^$wVjAvxZkA79*4UV*kVRcq^Zu6Xp87W*p#X3XD%*ER!nHzzTnSEMwy8NEGX6A*%P&#rBUkxypAPKwX4mP3WZuHnYKRc7sA33hd@qS
(一)案情
2023月8月的一天,香港警方在调查一起网络诈骗案件时,发现有三名本地男子,分別为李大輝(李大辉),浩賢(浩贤)和Elvis CHUI,并确信这三名被捕男子均为大学同学。怀疑三人背后涉及一个庞大的电信诈骗集团。于是将这三名本地男子拘捕,扣押了三人相关的电子设备并进行分析。
现在你被委派处理这件案件,请依据以下资料分析上述三人是否涉嫌犯罪,并还原事件经过。
(二)检材资料
1.李大輝的安卓手机镜像 (Android.bin)
2.李大輝的macOS系统镜像(Mac OS.img)
3.来自李大輝计算机的一个文件($MFT Record Nr_ 107115, SeqNr_2.txt)
4.浩賢的个人虚拟机文件(Server.zip)
5.浩賢的Windows 10系统虚拟机文件(Windows10.zip)
6.浩賢的iOS手机系统文件(IOS.zip)
7.来自Elvis Chui计算机的一个网络封包文件(網路.pcapng)
8.来自Elvis Chui计算机的镜像文件 (Windows Artifacts.e01)
9.来自Elvis Chui计算机的数据库文件(SQLITE.zip)
10.Elvis Chui的Windows7虚拟机文件(Windows7.zip)
(三)可能用到的软件
1.Windows系统分析工具
2.macOS程序分析工具
3.虚拟机加载工具
4.数据库分析工具
5.网络封包分析工具
6.手机系统分析工具
(四)要求
参赛人员比赛用的计算机不要安装任何防毒工具,以防止不能正确使用所需的比赛软件或检材
参考:
赛前准备:
我习惯先大概浏览一遍整个检材大概有个啥,记录一下
李大辉:
VPN:
题目:
李大辉
1. 参考'Android.bin'回答以下题目,李大辉所用手机移动运营商公司的名称。提示:请所有字母都用大写英文
DUCK
2. 参考'Android.bin'回答以下题目,李大辉的手机安装了什么即时通讯软件 (Instant Messaging App)?
A. WhatsApp
B. LINE
C. 微信
D. Signal
E. QQ
*3. 参考'Android.bin'回答以下题目李大辉的手机安装了什么反追踪软件?提示: 所有答案字母都用小写字母并用xxx_xxx_xxxxxxx_xxxxxx_xxxx格式作答
photo_exif_editor-metadata
4. 参考'Android.bin'回答以下题目,李大辉的手机是什么时间成功登入WhatsApp?
A. 2022-08-18_21:52:30
B. 2022-08-19_21:56:23
C. 2022-08-18_21:56:37
D. 2022-08-19_06:59:07
E. 2022-08-19_07:01:17
登录应该是安装之后一丢丢
5. 参考'Android.bin'回答以下题目,李大辉登入WHATSAPP时的认证短码是什么?提示: 请以阿拉伯数字作答
6. 参考'Android.bin'回答以下题目,李大辉到美丽好化妆品公司的入职时间是何时?
A. 2016-04-16
B. 2016-06-28
C. 2017-05-25
D. 2017-07-25
E. 2017-08-18
赛前准备中有
*7. 参考'Android.bin'回答以下题目,李大辉曾于什么时间使用了图像编辑软件?
A. 2022-09-10
B. 2022-09-12
C. 2022-10-05
D. 2022-11-10
E. 2022-11-13
找到一条创建时间与修改时间不同的,怀疑时间给错了
浩贤
8. 参考Server文件夹下的'Meiya_VPN.vmdk'回答以下题目,这个访问服务器使用了哪个端口?提示: 请用阿拉伯数字作答
943
可以看到192.168.112.138就是该服务器的内网ip,还有两个密码,可以先记住
9. 参考Server文件夹下的'Meiya_VPN.vmdk'回答以下题目,“User1”账户最近连接到这个访问服务器时使用的IP地址是多少?提示: 用IPV4 格式回答
去var/log里面寻宝
192.166.244.167
10. [多选题]参考Server文件夹下的'Meiya_VPN.vmdk'回答以下题目,哪些文件可以找出这个访问服务器的Ubuntu版本?
A. lsb-release
B. issue.net
C. .profile
D. console
A、
B、
C、
D、
11、的'Meiya_VPN.vmdk'回答以下题目,哪些文件有助于分辨这是一个存储服务器?
A. auth.log
B. sys.log
C. bash_history
D. idconfig
A、用户认证和登陆的相关记录
B、
C、
D、
12. 参考Server文件夹下的'Meiya_VPN.vmdk'回答以下题目这个访问服务器所在时区是哪个时区?
A. UTC +9
B. UTC +8
C. UTC -7
D. UTC
13. 参考Server文件夹下的 ' Meiya_VPN.vmdk ' 回答以下题目,这个访问服务器的“openvpn”帐户密码是多少?提示:请用大写字母与阿拉伯数字作答
比赛的时候选了第二个,诶哟!
参考师兄的wp
在/usr/local/openvpn_as目录找到init.log,为openvpn的初始化日志,在其中筛选password
TLfAg6l6dssc
14. 参考Server文件夹下的 ' Meiya_VPN.vmdk '回答以下题目,在这个访问服务器中,“User1”账户之间的连接所使用的加密算法(密码)是什么?
A. Blowfish-CBC
B. 3DES-CBC
C. AES-128-GCM
D. AES-256-CBC
15. 参考' 网络题目.pcapng ' 文件回答以下题目,给出正在进行Nmap扫描的计算机互联网协议地址?提示: 以IPV4格式给出答案
16. 参考'网络题目.pcapng'文件回答以下题目,有多少个Nmap扫描正在同时进行?提示:请给出阿拉伯数字作答
17. 参考'网络题目.pcapng'文件回答以下题目,当计算机正在扫瞄8.8.8.8,namp相关的指令是什么?
A. nmap -sT 8.8.8.8
B. nmap -sU 8.8.8.8
C. nmap -sn -PR 8.8.8.8
D. nmap -sn -PU 8.8.8.8
协议都是tcp
18. 参考'网络题目.pcapng'文件回答以下题目,当计算机正在扫瞄45.33.32.156,namp相关的指令是什么?
A. nmap -sT 45.33.32.156
B. nmap -sU 45.33.32.156
C. nmap -sn -45.33.32.156
D. nmap -sn -45.33.32.156
都是UDP
26. 参考'Mac OS.img'文件回答以下题目,'Mac OS.img'文件中可以找到多少个符号链接?
A. 0
B. 1
C. 2
D. 3
27. 参考'Mac OS.img'文件回答以下题目,在'Mac OS.img'档中使用了哪种分区方案?
A. Apple Partition Map
B. GUID Partition Table
C. Master Boot Record
D. HFS
28. 参考'Mac OS.img'文件回答以下题目,'Mac OS.img'档的文件系统的正确描述是什么?
A. HFS+(已启用日志记录)
B. HFS+(已启用区分大小写)
C. HFS+(已启用日志记录和区分大小写)
D. APFS(已启用区分大小写)
不太清楚,三选一盲选
29. 参考'Mac OS.img'文件回答以下题目,从文件“Car.rtfd”中删除了哪个文件?提示:答案需包括副文件名,并以全小写字母作答,例如 answer.docx
30. 参考'Mac OS.img'文件回答以下题目,请提供'Mac OS.img'映像文件被“fsck”命令检查的具体时间。提示:答案格式为YYYYMMDD-HHMMSS,如2023年1月1日15时30分30秒则请回答"20230101-153030"
看最早时间
31. 参考'Mac OS.img'文件回答以下题目,在.dmg档中删除了多少个文件?
A. 1
B. 2
C. 3
D. 4
32. 参考'Window Artifacts.E01'内的Windows注册表回答以下题目,Elvis Chui 总共登入过该计算机多少次?提示: 请以阿拉伯数字作答
11
33. 参考'Window Artifacts.E01'内的Windows注册表回答以下题目,该计算机的操作系统是在哪一个时区?
A. UTC +4
B. UTC +8
C. UTC -8
D. UTC -4
34. 参考'Window Artifacts.E01'内的Windows注册表回答以下题目,该计算机的操作系统于何时安装?
A. 2023-07-13 19:18:14
B. 2023-07-13 11:18:14
C. 2023-07-13 03:18:14
D. 2023-07-12 19:18:14
35. [多选题]参考'Window Artifacts.E01'内的Windows注册表回答以下题目,哪(几)个程序会于操作系统启动时自动执行?
A. Avast
B. Steam
C. OneDrive
D. QQ
36. 参考'Window Artifacts.E01'内的Windows注册表回答以下题目,该计算机内安装了以下哪一个程序?
A. QQ
B. WPS Office
C. Opera
D. Kaspersky
37. 参考'Window Artifacts.E01'内的Windows注册表回答以下题目,计算机内的OneDrive程序版本是什么?
21.220.1024.0005
38. 参考'Window Artifacts.E01'内的Windows注册表回答以下题目,计算机有一个正在连接的网络接口,该接口连接DHCP服务器的IP地址是多少?提示: 以 IPV4格式回答
192.168.88.254
39. 参考'Window Artifacts.E01'内的Windows注册表回答以下题目,该计算机何时连接过一只U盘?(以计算机系统时区回答)
A. 2023-07-13 11:48:26
B. 2023-07-13 03:48:29
C. 2023-07-12 19:48:29
D. 2023-07-13 11:48:29
40. [多选题]参考'Window Artifacts.E01'回答以下题目,Elvis Chui 将哪几个文本文件放在回收站中?
A. $+D10I76A74P.txt
B. Holiday schedule 2023-07-16.txt
C. Holiday schedule 2023-07-13.txt
D. Minute on 2023-07-01.txt
E. Minute on 2023-07-10.txt
41. 参考'Window Artifacts.E01'回答以下题目,Elvis Chui在什么时间删除了第一个文本文件?(以计算机系统时区回答)
A. 2023-07-13 11:50:15
B. 2023-07-13 03:49:45
C. 2023-07-13 03:50:15
D. 2023-07-13 11:49:45
42. 参考 ' Window Artifacts.E01 '回答以下题目,Elvis Chui删除的第一个文本文件的文件名是什么?提示: 请用小写字母回答及需列明文件格式。如文件名字内有空格位置,请用_标示。例如: go_to_school.docx
holiday_schedule_2023-07-16.txt
43. 参考'Window Artifacts.E01'回答以下题目,Elvis Chui删除的第一个文本文件在什么时间创建?(以计算机系统时区回答)
A. 2023-07-13_11:42:39
B. 2023-07-13_11:50:49
C. 2023-07-13_11:49:45
D. 2023-07-13_11:45:22
44. 参考'Window Artifacts.E01'回答以下题目,Elvis Chui计划于2023年7月15日20点5分有什么活动?提示: 答案请与文件内的文字大小写相同
Movie
45. 参考'Window Artifacts.E01'回答以下题目,该计算机执行STEAM.EXE总共多少次?提示: 请用阿拉伯数字作答
7
53. 参考'IOS'文件夹回答以下题目,根据'com.apple.ios.StoreKitUIService.plist',这部电话是什么型号?
A. SAMSUNG S23
B. iPhone X
C. iPhone XR
D. iPhone XS
E. iPhone 13
54. 参考'IOS'文件夹回答以下题目,根据com.apple.ios.StoreKitUIService.plist,上述电话的文件系统是什么?
A. FAT32
B. NTFS
C. HFS+
D. APFS
E. EXT4
常识
*55. [多选题]参考'IOS'文件夹回答以下题目,根据ChatStorage.sqlite,哪些对话已锁定?
A. 447380449879@.whatsapp.net
B. 79096209701@.whatsapp.net
C. 923109725619@.whatsapp.net
D. 85256026169@.whatsapp.net
E. status@broadcast
这里不知道为啥 四个都找到嘞
*56. 参考'IOS'文件夹回答以下题目,根据ChatStorage.sqlite,有多少段录音对话?提示: 请以阿拉伯数字作答
48
不过看答案的意思好像这三条不能算
57. 参考'IOS'文件夹回答以下题目,Apple Cocoa Core Data timestamp是由什么时间开始?
A. 2001年1月1日
B. 1970年1月1日
C. 2006年1月1日
D. 1960年1月1日
常识题
58. 参考'IOS'文件夹回答以下题目,根据Photos.sqlite数据库中,有多少段视频可能涉及WhatsApp?提示: 请以阿拉伯数字作答
7
*59. [多选题]参考'IOS'文件夹回答以下题目,根据Photos.sqlite数据库中,下列哪个选项对IMG_0008.HEIC的描述是错的?
A. 由第三方软件拍摄
B. 经过修改
C. 由后镜拍摄
D. 用ISO200拍摄
E. 没有储存经纬度
在ZASSET中找到IMG_0008.HEIC的Z_PK值为491
A、HEIC是苹果手机相机的原格式
B、不清楚
C、
D、160
E、见上图
60. 参考'IOS'文件夹回答以下题目,根据'sms(ios).db'的资料,全局唯一标识符(GUID): DD31C26F-1D72-DE0F-431E-EF98F104402D显示的信息是什么? 提示:答案需要与信息一样(答案包括中文字、阿拉伯数字与符号)
你的 Uber 驗證碼為 3666. 請勿分享此驗證碼.
61. [多选题]参考'IOS'资料 夹回答以下题目,根据'com.burbn.instagram.plist'及'com.facebook.Facebook.plist'手机安装了实时通讯软件Facebook及Instagram的哪个版本?
A. Instagram (Version 278.0.0.19.115)
B. Facebook (Version 410.0.0.41.116)
C. Instagram (Version 279.0.0.23.112)
D. Facebook (Version 410.0.0.26.115)
E. Instagram (Version 278.0.0.25.115)
F. Facebook (Version 410.0.0.57.116)
62. 参考'IOS'文件夹回答以下题目,根据'ChatStorage(ios).sqlite',用户数据Peter Chow (85262012141)在什么日期和时间(以UTC +8时区)曾经通过实时通讯软件送出一个信息(内容为: I am already home)?提示:以UTC +8时区作答,并以YYYY-MM-DD_HH:MM:SS格式作答 例如:2023-01-01_10:01:01 (答案无需输入UTC +8)
找到了时间 但是对于这个时间戳有点懵,参考师兄wp
*63. 参考' IOS'文件夹回答以下题目,根据影片IMG_0687.MOV的原数据,找出影片拍摄时间? 提示:以UTC +8时区作答,并以YYYY-MM-DD_HH:MM:SS格式作答 例如:2023-01-01_10:01:01 (答案无需输入UTC +8)
2023-06-06_18:11:29
64. 参考'IOS'文件夹回答以下题目,根据'CallHistory(ios).storedata',哪份表格显示了通话记录?
A. ZCALLBPROPERTIES
B. ZCALLRECORD
C. Z_2REMOTEPARTICIPANTHANDLES
D. Z_METADATA
E. Z_MODELCACHE
F. Z_PRIMARYKEY
65. 参考' IOS ' 文件夹回答以下题目,根据'com.apple.sharingd.plist',这部手机的隔空投送的身份标识号(AirDrop ID)是什么?提示:请以阿拉伯数字与小写字母作答
2abd0940fbdc
66. 参考'IOS'文件夹回答以下题目,根据'Accounts3.sqlite',这部手机的苹果使用者账号 (Apple ID) 是什么?提示:请以电邮格式作答(例:jack2023@hotmail.com)
foratcd2023@gmail.com
*88. 参考'Windows 10'文件夹回答以下题目,在Windows 10中\Users\qqqqq\Downloads,视频文件(mixkit-two-women-laying-together-925-medium.mp4),在MFT 中分成多少个Data Cluster储存?提示: 请以阿拉伯数字作答
5
不懂
89. 参考' Windows 10 ' 文件夹回答以下题目,在Windows 10中\Users\qqqqq\Downloads\mixkit-two-woman-laying-together-925-medium.mp4的last Access时间是多少?
A. 2023/07/10 18:31:32
B. 2023/07/10 18:31:01
C. 2023/07/10 19:31:22
D. 2023/07/11 19:31:22
90. 参考'Windows 7'文件夹回答以下题目,在Windows 7中\Users\Allen\Desktop,有1个MP3文件(例:unlock-me-149058.mp3),用户使用什么程序打开该MP3文件? 提示:请以小写字母作答
仿真打开该文件
potplayer
91. 参考'Windows 7'文件夹回答以下题目,在Windows 7中'\Users\Allen\Desktop '有1个MP3文件(unlock-me-149058.mp3),该文件的Zone identiflier为'3'。上述'3'字代表哪一个security Zone ?
A. Local Machine Zone
B. Internet Zone
C. Restricted Zone
D. Trust Site Zone
本地计算机 ZoneId=1
本地局域网 ZoneId=2
受信任的站点 ZoneId=3 来自互联网
92. 参考'Windows 7'文件夹回答以下题目,在 Windows 7中\Users\Allen\Desktop有1个MP3文件 (unlock-me-149058.mp3),该文件从哪个网站下载?
A. www.Pixbay.com
B. free-mp3-download.net/
C. https://mp3juices.nu
D. mygomp3.com
93. 参考'Windows 7'文件夹回答以下题目,在 Windows 7中\Users\Allen\Downloads内有mp3文件(miracle.mp3),更改名称时间?
A. 2023-07-13 02:55:20
B. 2023-07-15 10:55:20
C. 2023-07-12 10:58:04
D. 2023-07-13 10:55:20
找不到答案
94. 参考'Windows 7'文件夹回答以下题目,在Windows 7中\Users\Allen\Downloads内有mp3文件(miracle.mp3),mp3文件更改名称前的名称是什么?提示: 请以与记录相同的名称与文件格式作答
同上
*95. 参考'Windows 7'文件夹回答以下题目,在Windows 7中有多少个文件曾被potplayer播放?
A. 7
B. 8
C. 9
D. 10
本来想找MP3好像不太对
救命
96. 参考'Windows 7' 文件夹回答以下题目,在Windows 7中,potplayer最后播放的文件名?提示: 请以与记录相同的名称(包括小写字母、阿拉伯数字与符号)与文件格式作答、
仿真后直接打开potplayer
unlock-mme-149058.mp3
98. 基于两个SQLite数据库文件“cus_202308102034.json”和“date_202308101120.json”。请编译一个 SQLite 脚本找出谁前往目的地“莫斯科"。包括所有客户的姓名、目的地、“arrival_timestamp_HK”[将时间戳转换为本地时间并将该列命名为“local_time”]。
A. SELECT c.customer_name, c.destination, datetime(d.arrival_timestamp_HK, 'unixepoch', 'localtime') AS arrival_time_hk FROM cus c INNER JOIN date d ON c.destination = d.Destination WHERE c.destination = 'Moscow'B. SELECT cus.customer_name, cus.destination, datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime') AS arrival_time_hk FROM cus INNER JOIN date ON customer_id = date.id WHERE cus.destination = 'Moscow' AND date.Destination = 'Moscow' AND date.arrival_timestamp_HK IS NOT NULL AND datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime')C. SELECT cus.customer_name, cus.destination, date.arrival_timestamp FROM cus INNER JOIN date ON cus.destination = date.destination;WHERE cus.destination = 'Moscow' AND date.Destination = 'Moscow'D. SELECT cus.customer_name, cus.destination, datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime') AS arrival_time_hk FROM cus INNER JOIN date ON cus.destination = date.Destination WHERE cus.destination = 'Moscow' AND date.Destination = 'Moscow' AND date.arrival_timestamp_HK IS NOT NULL AND datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime')
将两个数据库导成mysql,再倒成csv,最后再导出成sqlite,然后带入sql语句
撒花!
本文来自博客园作者:P1ggy,转载请注明原文链接:https://www.cnblogs.com/y1y1/p/17951189
