2020美亚个人赛wp
案例背景
2020年9月,数名信用卡持有人向警方报案,指他们的信用卡被不知名人士在一家本地网上商店购买手机。订单大部分来自海外的网络地址,但有一宗订单来自本地。警方经调查后发现该本地网络地址的注册地址。上门后在该处发现陈慧贤,她否认与案件有关。
警方在现场检获一部笔记本计算机、一部手提电话及一个外置储存装置。在场的初步应变小队在检取证物前,曾为现场环境及证物拍照。另外, 调查队伍亦由网络供货商及网上商店取得了一些与案有关的资料。现在你被委派处理这宗案件, 请由以下的资料分析陈慧贤在本案中有否犯罪, 还原事件经过。
镜像包含资料
(1) 网络地址登记人纪录
(/Meiya Cup 2020/調查報告/互联网服务供货商检查报告_陈慧贤 (Alice).pdf)
(2) 证物照片
(/Meiya Cup 2020/Photo/Alice)
(3) 笔记本计算机的数码法理档案
(/Meiya Cup 2020/Image/Alice/Alice Laptop/Alice_Laptop.e01)
(4) 及外置储存装置的数码法理档案
(/Meiya Cup 2020/Image/Alice/Alice USB/ALICE_USB.e01)
(5) 手提电话的数码法理档案
(/Meiya Cup 2020/Image/Alice/Alice LG Phone/MMC(0x0-0x0747C00000).bin)
(6) 初步应变小队的调查报告
(/Meiya Cup 2020/調查報告/案件调查报告- 被捕人陈慧贤 (Alice).docx)
看文件的时候发现电脑上贴了两个密码,先记录下来
G889#h
QPzm!#5Φ@#
万一有用捏!
笔记本计算机
1.Alice的笔记本计算机已成功被取证并制作成镜像(ForensicImage),下列哪个是镜像的SHA-1哈希值?
A:9A3040D8DE7DB364AA383F9904C446B2;
B:7DED54774B68058E5B327907DB2AC40AAA2EEB48;
C:E84854774B68058E5B327907DBAAC40AAA2E7OED;
D:EB4854774B68058E5B327907DB2AC40AAA2E7DED;
E:46B29A3040D8DE7DB364AA383F9904C4
2.Alice的笔记本计算机安装了哪个操作系统(OperatingSystem)?
A:WindowsXP;
B:Windows7;
C:Windows10Pro;
D:Windows10;
E:Windows8
3.在Alice的笔记本,创建用户帐户的SID是甚么?
A:S-1-5-21-1017277147-4095180158-1226650532-1002;
B:S-1-5-21-1017277147-4095180158-1226650532-1001;
C:S-1-5-21-1017277147-4095180158-1226650531-1001;
D:S-1-5-21-1017277147-4095180158-1226650531-1002;
E:S-1-5-21-1017277147-4095180158-1226650533-1001
4.在Alice的笔记本,用户的最后登录时间是甚么时候?(本地时间)
A:2020-09-291436hrs;
B:2020-09-291437hrs;
C:2020-09-291439hrs;
D:2020-09-291440hrs;
E:2020/09/3010:13
5.在Alice的笔记本,最后登录的用户名称是甚么?
A:Alice;
B:Admin;
C:user;
D:AliceChen;
E:Administrator
6.Alice笔记本计算机的名称是甚么?
A:Alice-DJFFBL6;
B:DESKTOP-DJFFBL6;
C:Admin-DJFFBL6;
D:Alicechen-DJFFBL6;
E:Administrator
见上图
7.在Alice的笔记本,最后登录的用户何时更改了Windows登录密码?
(当地时间)
A:2020-09-150220hrs;
B:2020-09-160221hrs;
C:2020-09-160223hrs;
D:2020-09-160222hrs;
E:2020-09-170224hrs
8.Alice笔记本计算机的时区是甚么?
A:UTC;
B:DST;
C:CST;
D:CDT;
E:HKT
UTC是国际时,UTC+8就是国际时加八小时,是东八区时间,是北京时间。
9.在Alice的笔记本,OS分区的文件系统是甚么?
A:FAT;
B:exFAT;
C:NTFS;
D:Linux;
E:macOS
10.计算机上预设安装了甚么浏览器?
A:Firefox;
B:Chrome;
C:Safari;
D:InternetExplorer;
E:Opera
11.在Alice的笔记本,哪个是最常用的浏览器?
A:Firefox;
B:Chrome;
C:Safari;
D:InternetExplorer;
E:Opera
12.在Alice的笔记本,最常用的浏览器是甚么版本?
A:InternetExplorerversion6;
B:InternetExplorerversion7;
C:InternetExplorerversion11;
D:InternetExplorerversion8;
E:InternetExplorerversion9
13.在Alice的笔记本,Alice浏览了哪个在线商店的网站
A:Sunnings,Apple及Microsoft;
B:Microsoft,Apple及Fortress;
C:Sunnings,Boardway及Fortress;
D:Sunnings,Apple及Fortress;
E:Sunnings,Apple及Boardway
看历史记录更快
14.在Alice的笔记本,受害人的信用卡号是甚么?(HoPCKYI-电子邮件:shy1211@mtzh.gow.tw)
A:3405062106217845;
B:5411221001217741;
C:1478258312348899;
D:7532256112349638;
E:1256963855227894
15在Alice的笔记本,受害人的信用卡CSC号码是甚么(何PCKYI-电子邮件:shy1211@mtzh.gow.tw)
A:123;
B:321;
C:112;
D:121;
E:211
16.除了上述在USB找出ZIP文件,请找出相同ZIP文件的路径?
A:Partition3\Users\Alice\Desktop\Downloads;
B:Partition3\Users\Alice\Desktop\Temp;
C:Partition3\Users\Alice\Recent;
D:Partition3\Users\Alice;
E:Partition3\Users\Alice\Downloads
17.ZIP文件的哈希值(SHA-256)是甚么?
A:59B88F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850BBA74B7E88F6;
B:8BF68F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850BBA73B7EEE77;
C:99F68F8755E1F76107D6EE2134ED32C91F0B44C7C0EE3850BBA74B7E59B8;
D:89F78F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850CCC74B7E59;
E:88F68F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850BBA74B7E59B8
18.ZIP文件的修改时间是多少?(当地时间)
A:2020/09/2718:48;
B:2020/09/0118:47;
C:2020/09/2918:46;
D:2020/09/2418:45;
E:2020/10/0118:44
19.USB驱动器在Alice笔记本计算机上的最后插入时间是何时?(当地时间)
A:2020-09-281800hrs;
B:2020-09-271802hrs;
C:2020-09-291801hrs;
D:2020-09-161803hrs;
E:2020-09-291202hrs
20.解压的ZIP文件内有哪些文件?
A:log1nx.txt,R3ZZ.txt;
B:WhatsAppImage2020-09-29at18.35.25.jpeg,WhatsAppImage 2020-09-29at18.37.47.jpeg;
C:log1nx.txt;
D:R3ZZ.txt;
E:log1nx.txt,R3ZZ.txt,WhatsAppImage2020-09-29at18.35.25.jpeg,WhatsAppImage2020-09-29at18.37.47.jpeg
21.“ZIP文件中发票的哈希值(SHA256)是多少=发票(1)名称:
WhatsAppImage2020-09-29at18.35.25.jpeg”
A:3EE491A38AB82AD19EDB2B7402DA31F52006C3B4B018F859A451B83
9878DF4C3;
B:C391A38AB82AD19EDB2B7402DA31F52006C3B4B018F859A451B8
39878D3EE4F4;
C:34E391A38AB82AD19EDB2B7402DA31F52006C3B4B018F859A451
B839878D8EE5;
D:F4C391A38AB82AD19EDB2B7402DA31F52006C3B4B018F859A451
B839878D3EE4;
E:CCC381A38AB82AD19EDB2B7402DA31F52006C3B4B018F859A451
B839878D3BB4
我在本机用前文记录的密码解压的时候显示文件已损坏
就直接进虚拟机找,然后算
22.“ZIP文件中发票的哈希值(SHA256)是多少=发票(2)
名称:WhatsAppImage2020-09-29at18.37.47.jpeg”
A:21F5CC2552A7337844B90F0AB5CDA85BF2F5A71A635E0D3B05731C9
5937D2DAF;
B:2DAFCC2552A7337844B90F0AB5CDA85BF2F5A71A635E0D3B0573
1C95937D21F5;
C:20AFCC2552A7337844B90F0AB5CDA85BF2F5A71A635E0D3B0573
1C95937D21F5;
D:DA2FCC2552A7337844B90F0AB5CDA85BF2F5A71A635E0D3B057
31C95937D2LF5;
E:A2AFOO2552A7337844B90F0AB5CDA85BF2F5A71A635E0D3B057
31C95937D21F5
23.Alice笔记本计算机上安装了哪种电子邮件软件?
A:Thunderbird;
B:LotusNotes;
C:Nil;
D:Outlook;
E:Mailbird
24.Alice笔记本计算机上的电子邮件软件的版本是甚么?
A:Thunderbird78.0;
B:LotusNotes11;
C:Nil;
D:Outlook2016;
E:Outlook2013
我怕是重命名
所以我打开看了一下
确认是2016
25.Alice笔记本计算机登录电子邮件软件的电子邮件帐户是甚么?
A:alicechen741@gmail.com;
B:alicechen@gmail.com;
C:alice741@gmail.com;
D:alice_chen741@gmail.com;
E:alicechen741@yahoo.com
26.Alice在上述电子邮件对话中获得了哪些数据/文件?
A:log1ns.txt,R3ZZ.txt;
B:log1ns.txt;
C:R3ZZ.txt;
D:log1ox.txt,R3ZZ.txt;
E:log1nx.txt,33Z2.txt
27.该电子邮件的发信者的电子邮件地址是甚么?
A:alicechen741@gmail.com;
B:alice_chen741@gmail.com;
C:bobcheung223@gmail.com;
D:bobcheung123@gmail.cam;
E:bobcheung123@gmail.com
28.上述已收的电子邮件,发件人的IP地址是甚么?
A:209.85.220.41;
B:209.85.221.39;
C:209.85.220.40;
D:209.82.220.42;
E:209.58.220.43
29.在笔记本,Alice的电子邮件地址是甚么?
A:alicechen741@gmail.com;
B:bob123@gmail.com;
C:cole909@gmail.com;
D:alicechen@gmail.com;
E:alice741@gmail.com
30.除了Alice,还有其他电子邮件地址与该骗局有关吗?
A:bob123@gmail.com;
B:cole909@gmail.com;
C:bobcheung123@gmail.com;
D:alicechen@gmail.com;
E:alicechen741@gmail.com
这两题从前几题都能得出来
31.哪些人有AP和主脑之间的电子邮件记录?有文件传输吗?
A:AliceandCole,relog1ns.txtandR3ZZ.txt;
B:AliceandTommy,relog1ns.txtandR3ZZ.txt;
C:AliceandBob,relog1ns.txtandR3ZZ.txt;
D:AliceandChris,relog1ns.txtandR3ZZ.txt;
E:Alice,BobandCole,relog1ns.txtandR3ZZ.txt
都是重复的题目
32.在ZIP文件中,有多少受害人的信用卡数据被盗?
A:3;
B:4;
C:5;
D:7;
E:6
数就好了
33.已被黑客盗用其信用卡资料购买的受害者是谁?
A:TONGTOON;
B:YUENMINGTIM;
C:TSEKONGLON;
D:TSEWONGYIN;
E:LEEYOITEI
34.被盗用的内容是甚么?
A:Name,ccccode,creditcardnumber;
B:Name,ccccode,HKID;
C:Name,creditcardnumber,aged;
D:Name,creditcardnumber,CSC;
E:Nil
nil ->无
35.Alice的手机型号是甚么?
A:Model:LG-D855(G3Global);
B:Model:LG-D755(G3Global);
C:Model:LG;
D:Model:LG-D855(G4Global);
E:Model:LG-BB55(G3Global)
G3还是G4看别人好像都是用盘古石做的捏,没有很难过
36.Alice手机的操作系统版本是甚么?
A:Android4.0(securitypatch=2015-12-01);
B:Android5.0(securitypatch=2015-12-01);
C:Android7.0(securitypatch=2015-12-01);
D:Android8.0(securitypatch=2015-12-01);
E:Android6.0(securitypatch=2015-12-01)
37.Alice手机的总储存空间是多少?
A:64;
B:128;
C:256;
D:16;
E:32
很奇怪
38.在Alice手机,IMG-20200929-WA0002的创建时间是甚么?(本地
时间)
A:2020-08-291824;
B:2020-09-291824;
C:1970-09-291825;
D:2020-09-291024;
E:2020-09-022224
39.在Alice手机,IMG-20200929-WA0004的创建时间是甚么?(本地时
间)
A:2020-09-291825;
B:2020-10-291824;
C:1970-09-291825;
D:2020-08-291024;
E:2020-09-251824
40.IMG-20200929-WA0002和IMG-20200929-WA0004的元数据和相机型号是甚么?
A:Manufacturer:LGElectronics,Model:LG-DD55;
B:Manufacturer:Apple,Model:A1687;
C:Manufacturer:LGElectronics,Model:LG-D855;
D:Manufacturer:Samsung,Model:SM-N7105;
E:Manufacturer:MI,Model:MI8
41.在Alice手机,预设浏览器浏览历史记录的文件在哪里?
A:\Partition43[hda41]\data\com.android.browser\databases\browser
2.db(MobileForensicsSystemV2);
B:\Partition40[hda41]\data\com.android.chrome\app_chrome\Defau
lt\History(MobileForensicsSystemV2);
C:\Partition41[hda41]\data\com.android.chrome\app_chrome\Defau
lt\History(MobileForensicsSystemV2);
D:\Partition42[hda41]\data\com.android.chrome\app_chrome\Defau
lt\History(MobileForensicsSystemV2);
E:\Partition44[hda41]\data\com.android.chrome\app_chrome\Defaul
t\History(MobileForensicsSystemV2)
找到、选中、跳转
42.储存Chrome浏览历史记录的文件是甚么?
A:\Partition40[hda41]\data\com.android.browser\databases\browser2.d
b(MobileForensicsSystemV2);
B:\Partition41[hda41]\data\com.android.browser\databases\browser
2.db(MobileForensicsSystemV2);
C:\Partition42[hda41]\data\com.android.browser\databases\browser
2.db(MobileForensicsSystemV2);
D:\Partition43[hda41]\data\com.android.chrome\app_chrome\Defau
lt\History(MobileForensicsSystemV2);
E:\Partition44[hda41]\data\com.android.browser\databases\browser
2.db(MobileForensicsSystemV2)
同理
43.Alice手机的WhatsappID和账户名称是甚么?
A:85262547937@s.whatsapp.net;
B:62547937@s.whatsapp.net;
C:alice@s.whatsapp.net;
D:83162547937@s.whatsapp.net;
E:B5262547937@s.whatsapp.net
44.Bob和Cole的最后WhatsApp的时间是甚么?(本地时间)
A:2020/9/2618:47;
B:2020/9/2410:25;
C:2020/9/2510:25;
D:2020/9/2410:20;
E:2020/9/2710:25
45.主脑的名字是甚么?
A:Chris及Tommy;
B:Bob及Cole;
C:Bob及Tommy;
D:Alice及Tommy;
E:Alice及Chris
除了alice外的二人
46.Alice,Bob和Cole之间的WhatsApp群组的ID和名称是甚么?
A:62547937-1600392878@g.us"BigBigClub";
B:8526254-7937-1600392878@g.us;
C:86162547937-1600392878@g.hk"BigBigClub";
D:62547937-1600392878@g.hk"BigBigClub";
E:85262547937-1600392878@g.us"BigBigClub"
47.哪一个表,显示了聊天群组“BigBigClub”的创建时间?(本地时间)
A:Table:chat;
B:Table:chat_list;
C:Table:chat_group;
D:Table:chat-group;
E:Table:chatting_list
其他的表找不到,creation创建时间,create_timestamp创建时间戳
不确定选啥,题目说本地时间,那我觉得时间戳存在时区问题??
不知道
48.聊天群组“BigBigClub”是甚么时候创建的?(本地时间)
A:2020/09/1710:34;
B:2020/09/1810:34;
C:2020/09/1808:35;
D:2020/09/1807:34;
E:2020/09/1809:34
49.Alice是否曾经登陆whatsapp网站?如果有的话,她是在何时登入?
所用的是甚么浏览器?(提示:在移动取证图像上找到结果)(UTC+0)
A:No;
B:Yes.WindowsEdge.2020-09-29,18:43:44;
C:Yes.WindowsEdge.2020-09-29,10:43:44;
D:Yes.Firefox.2020-09-29,10:25:44;
E:Yes.Firefox.2020-09-29,16:43:44
记得换时区
50.Alice如何收到这笔钱?钱包地址是甚么?
A:通过比特币钱包:1L6fKWpEYvUi8FeG6BnXqfh1joAgmJA1h1;
B:通过比特币钱包:2L6fKWpEYvUi8FeG6BnXqfh1joAgmJA1h2;
C:通过比特币钱包:3A6fKWpEYvUi8FeG6BnXqfh1joAgmJAlh1;
D:通过比特币钱包:666fKWpEYvUi8FeG6BnXqfh1joAgmJA1h1;
E:通过比特币钱包:FF6fKWpEYvUi8FeG6BnXqfh1jOAgmJA1h1
51.“Deleted by the sender”的media_wa_type是甚么?
A:14;
B:12;
C:13;
D:15;
E:11
去数据库找
52.Alice手机的WifiMAC地址是甚么?
A:Intf0MacAddress=000AF58989FF;
B:Intf0MacAddress=0012AF58989FF;
C:Intf0MacAddress=000BF58989FF;
D:Intf0MacAddress=110AF5B989FF;
E:Intf0MacAddress=222AF589B9FF
跳转后查找
还有做法直接搜索也可以
USB
53.AliceUSB驱动器内的ZIP档案的密码是甚么?(某些字符被刻意用*遮盖)
A:QP**!#80**;
B:Qpzm!@****;
C:QP******@!;
D:**98#*;
E:**89#h
笔记本照片上
上面的是解密密码,在前面的题目已经用过了,那就下面这个
54.AliceUSB驱动器内的哪一个程序是用作储存秘密数据?
A:mytracker.apk;
B:com_cleanmaster_mguard_7.4.6_02_09_2020.apk;
C:crypto_aliens_bch_1.0.2_05_11_2020.apk;
D:de_schildbach_wallet_8.03_06_09_2020.apk;
E:Messagesecure.apk
只有这个打不开
其他的都能打开
只有message上有锁
55.打开秘密讯息的密码是甚么?(某些字符被刻意用*遮盖)
A:**89#h;
B:Qpzm!#****;
C:QP******@#;
D:**98#*;
E:**8#9*
G889#h
56.USB驱动器内,其中一个档案的秘密讯息是甚么?(某些字符被刻意用*遮盖)
A:Passwordis****;
B:Aliceisthemastermind;
C:*****phonepwis****;
D:AliceandBobaremasterminds;
E:Phoneis********
57.贴在笔记本计算器机上的密码有甚么用途?
A:Alice笔记本电脑的Bitlocker密码;
B:Alice的USB驱动器的密码;
C:Alice的电子银行密码;
D:从文件恢复安全消息;
E:Alice的手机密码
58.AliceUSB驱动器内的档案有甚么种类?
A:PNG,ZIP,APK,DOC;
B:PNG,ZIP,APK;
C:PNG,ZIP,APK,7Z;
D:PNG,DOC,APK,7Z;
E:PNG,ZIP,DOC,7Z
59.AliceUSB驱动器的哈希值(SHA-256)是甚么?
A:4DFF94ED83F41C356B0588C2C21ECF563E9D8CA66ED6D97A3D5
7C2629185528D;
B:4DFF528D94ED83F41C356B0588C2C21ECF563E9D8CA66ED6D97A
3D57C2629185;
C:94ED83F41C356B0588C2C21ECF563E9D8CA66ED6D97A3D57C262
91854DFF528D;
D:528D94ED83F41C356B0588C2C21ECF563E9D8CA66ED6D97A3D5
7C26291854DFF;
E:51BD94ED83F41C356B0588C2C21ECF563E9D8CA66ED6D97A3D5
7C26291854OFF
60.在USB驱动器中找到的ZIP文件(Downloads.7z),它的哈希值(SHA-256)是甚么?
A:59B88F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850B
BA74B7E88F6;
B:8BF68F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850B
BA74B7E59BB;
C:88F68F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850B
BA74B7E59B8;
D:88E68F8755E1F76107D6EE2134ED32C91F0B44C7C0EE3850BBA74
B7E59B8;
E:89F68F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850B
BA74B7E59
61.在Alice的USB内,ZIP文件的最后修改时间是?
A:2020/09/2918:46;
B:2020/09/2718:46;
C:2020/09/2818:46;
D:2020/09/2418:47;
E:2020/09/2816:48
本文来自博客园作者:P1ggy,转载请注明原文链接:https://www.cnblogs.com/y1y1/p/17951209
