2023第九届“美亚杯”全国电子数据取证竞赛团体赛参考wp
2024-1-15 08:1:27 Author: 网络安全与取证研究(查看原文) 阅读量:27 收藏

 学生时代参加的第三届美亚杯也是终于拿下了一等奖,不得不说每年美亚杯的检材质量都很高,内容很贴合实战,每次都能接触到新东西,至于机翻的抽象题目,我只能说一言难尽,一人一个680为什么不请专人翻译校对一下,花了一周时间,复盘了一下本次团体赛,希望对各位正在复盘赛题的同学有帮助,大佬勿喷

文中的思路仅代表个人观点,如有错误之处请大佬指正,带*号的是和官方答案有出入以及不会做的题目,欢迎各路大神一起交流学习

检材链接:https://pan.baidu.com/s/1eX624qtRL66s0GYr7ftbeg?pwd=zzd4 容器密码:    团队赛容器密码:#Zfa2w^t88vDk%VSi2CxT5*nBmbWN3W2gosfqFR#4@gj48Gfc$4bCME$mu5$G8foubAy6zFgs5KzMLX9mt^&UoNdBxDnFjV6wz@Fv#oWu#ZQVgB9F%oh57vYiSEGEkbv    附加资料容器密码:RSTq3p%#vxQ6Ckq^LmYS$%RRj8xv#HDR97ofE#LMp2KimG*5bgE5cYpbvZBLEM4%cA8i#^5$^NFEcjpW!YeQQrWsHckKvCoGkm!7kyY$#x3%x#!*q2R4h$4r3B%ewe@X

01

案情

      2023月10月某日,香港警方在新界某地方接报一宗凶杀案。男子李哲圖(李哲圆)被发现用残暴的方式遭杀害。从死者李哲圖的手机检查中,警方发现最近两个月内,死者经常和一名女子李佩妍(Peggy) 和三名男子分別因為陳大昆(陈大昆)(Ben),潘志輝(潘志辉)(Peter)和陳好(陈好)(Leo)联系,怀疑他们与案件有关,随后警方提取相关人员的手机和电脑做进一步调查。

      经查得知,这三名男子 (陳大昆,潘志輝,陳好) 系同一个诈骗组织,而上述的一名女子李佩妍曾经是男死者李哲圖的女性密友。现在你被委派处理这个案件,请用以下的检材资料分析上述人士是否涉嫌犯罪,并还原事件经过。

02


检材资料

1.李哲图的安卓手机镜像文件 (李哲图的手机镜像.zip)

2.李哲图的车辆录像文件(李哲图的车辆录像.zip)

3.李哲图的航拍机系统文件(李哲图的航拍机.zip)

4.李哲图的Windows计算机镜像文件(李哲图的电脑镜像.zip)

5.来自李哲图的计算机网络封包文件(packet.pcapng)

6.李佩妍的iOS手机系统文件(李佩妍的手机镜像.zip)

7.李佩妍的Windows计算机镜像文件(李佩妍的计算机镜像.zip)

8.陈大昆的iOS手机系统文件(陳大昆的手机.zip)

9.陈大昆的Windows计算机镜像文件(陈大昆的计算机镜像.zip)

10.陈大昆的macOS计算机镜像文件(陈大昆的MacBook.zip)

11.潘志辉的NAS盘镜像文件(潘志辉的NAS.zip) 

12.潘志辉的U盘镜像文件(潘志辉的U盘.zip)

13.潘志辉的Windows计算机镜像文件(潘志辉的计算机镜像.zip)

14.潘志辉的安卓手机系统文件(潘志辉的手机.zip) 

15.陈好的Windows笔记本电脑镜像文件(陈好的计算机.zip)

16.陈好的安卓手机系统文件(陈好的手机.zip)

03


题目

大致复盘顺序:李哲图->陈大昆->李佩妍->陈好->潘志辉

1. 参考'blk0_sda.bin'回答以下题目,死者手机中的一个智能家居应用程序中的帐号是什么?提示:请以阿拉伯数字填写答案

1826082897

在/data/com.xiaomi.smarthome/databases/miio.db中的shareuserrecord表的userId字段

2. 参考'blk0_sda.bin'回答以下题目,死者手机中的智能家居应用程序内的智能门铃发送的最后一次通知消息的本地时间?

A. 2023-09-25 07:51:18

B. 2023-09-26 07:51:18

C. 2023-09-26 15:51:18

D. 2023-09-26 23:51:18

E. 2023-09-28 01:11:11

E

在/data/com.xiaomi.smarthome/databases/typelist_v2.db中messagerecordtypelist表中

转换数值最大的时间戳

3. 参考'blk0_sda.bin'回答以下题目,死者在「Carousell」应用程序中首先接触的卖家是售卖什么类型产品的?

A. 无人机 (Drones)

B. 运动鞋 (Sneakers)

C. 电子游戏 (Video Games)

D. 桌上计算机 (Desktops)

E. 饮料 (Beverages)

B

首先在应用列表中定位到Carousell软件

在/data/com.thecarousell.Carousell/databases/carousell_room.db的chat_messages表可以找到聊天记录,可以看到最早创建的聊天对话是channelUrl为F3CB6187-CB42-4CD1-95FC-1C46F8856006-carousell-1711379816的这条,发送的消息为“Hi!我想要呢個!”

在chat_inbox表中找到对应的product为Sneakers

4. 参考'blk0_sda.bin'回答以下题目,死者在「Facebook Messenger」应用程序中最后联系人的使用者的名字?提示:请用简体中文填写答案

杨漫漫

在/data/com.facebook.orca/databases/msys_database_100095371293642的messages表中最后发送消息的sender_id为100092463798036

定位到contacts表中对应id的用户名为杨漫漫

5. 参考'blk0_sda.bin'回答以下题目,死者曾经用「Fitbit」应用程序记录一次跑步的数据,该次跑步是由何时开始?

A. 2023-09-13 12:36 

B. 2023-09-13 12:37

C. 2023-09-13 12:38

D. 2023-09-13 12:39

E. 2023-09-13 12:40

B

找到fitbit

在/data/com.fitbit.FitbitMobile/databases/home.db中可以看到运动对应的id为exercise

找到/data/com.fitbit.FitbitMobile/databases/exercise_db中找到一次跑步的记录

转换start_time

6. 参考'blk0_sda.bin'回答以下题目,死者除曾经用「Fitbit」应用程序记录一次跑步的数据外,他也用哪一个应用程序记录同一次跑步?

A. My Run Tracker

B. FITAPP

C. Fitnesskeeper

D. Nike Run Club

E. Runkeeper

E

在FitBit中记录了本次运动的开始时间和结束时间

在应用列表中搜索选项给出的运动应用软件找到了com.fitnesskeeper.runkeeper.pro和Nike Run Club,在/data/com.fitnesskeeper.runkeeper.pro/databases/RunKeeper.sqlite的trips表中找到一次跑步记录,开始时间几乎吻合(两个软件的秒数不同是合理误差)

转换时间戳

7. 参考'blk0_sda.bin'回答以下题目,死者跑步起点的经纬度是多少?

A. 114.16869, 22.282452

B. 114.16851, 22.281998

C. 114.16847, 22.28182

D. 114.16773, 22.280827

E. 114.16867, 22.280434

E

/data/com.fitnesskeeper.runkeeper.pro/databases/RunKeeper.sqlite的points表第一条

8. 参考'blk0_sda.bin'回答以下题目,无人机卖家的电话号码是多少?提示: 答案包括没有任何空格的国际电话代码,例如0085261231234

0085257352259

在WhatsApp中有聊过买无人机

在WhatsApp的本地通讯录找到手机号

9. 参考李佩妍的手机镜像回答以下题目,李佩妍在Facebook 建立了一个群组, 该群组的名称是什么?提示:请用大写英文作答, 不用留空白

DJIDRONESHONGKONG

翻数据库

/AppDomainGroup-group.com.facebook.Facebook/cask/+100095395891455/FBMessagingMailboxCaskStore/2/fb-msys-100095395891455.db

10. 参考李佩妍的手机镜像回答以下题目,李佩妍第一次用计算机登入Facebook帐户的日期和时间?

A. 2023-07-26 14:37:40 

B. 2023-09-06 18:32:07 

C. 2023-07-26 06:34:40 

D. 2023-09-06 18:34:09

A

问第一次用计算机登入时间,以registration_timestamp_seconds为准

*11. 参考李佩妍的手机镜像回答以下题目,李佩妍在2023年9月3日曾经操作航拍机,请问起飞地点的经纬度是多少?提示: 以经纬度坐标回答有关答案,答案如 Lat: 22.2846135, Lon: 114.1739116,请用以下格式作答,22.2846135,114.1739116。

22.3565559,114.0939615

在应用列表中找到大疆无人机app

找到飞行记录

/AppDomain-com.dji.go/Documents/FlightRecords/DJIFlightRecord_2023-09-03_[17-02-49].txt

导出后用弘连物联网取证分析软件分析

得到的起飞坐标是22.3565578,114.0939622,和官方答案略微有误差

*12.(多选题) 参考李哲图的手机镜像回答以下题目,李哲图手机内安装了什么恶意软件?

A. com.instagram.android 

B. com.whatsapp 

C. org.telegram.messenger 

D. com.xiaomi.smarthome 

E. com.metasploit.stage

F. com.taobao.taobao

G. com.cad_epuas_reactnative

EG

在李哲图手机中的自带浏览器下载记录中可以看到其在http://218.255.242.114这个网站下载了三个apk,极有可能是犯罪分子搭建的虚假的下载平台,用于下载恶意软件

导出apk查看包名

官方给的答案为EFG

13. 参考李哲图的手机镜像回答以下题目,李哲图手机内package “com.cad_epuas_reactnative”的app 名是什么?提示: 请以中文和全英文大写填写答案

SUA一站通

jadx反编译搜app_name

14. 参考李哲图的手机镜像回答以下题目,“com.cad_epuas_reactnative”拆包后, 内有哪一个“类(class)”能找到黑客IP有关的线索?

A. Nhnov 

B. Olyg 

C. Ywnvt 

D. MainActivity

C

GDA反编译apk搜索类,发现Ywnvt中的tcp://218.255.242.114:4321,刚好与12题下载apk的吻合

15. 参考李佩妍的计算机镜像回答以下题目,李哲图计算机的外部IP是多少?提示: 用IPV4格式回答

59.152.211.13

火眼解析的TeamViewer没有记录

在桌面上可以看到还装了AnyDesk

仿真后打开AnyDesk查看最近的连接记录

可以看到ID为564360923

到/Windows/Users/Peggy Li/AppData/Roaming/AnyDesk/ad.trace记录文件中搜索关键词

16. 参考李佩妍的计算机镜像回答以下题目,李佩妍计算机内的Kali虚拟机时区是多少?提示: 不要输入符号及空白,以全大写英文回答

USEASTERN

虚拟机磁盘文件在/Windows/Program Files/Oracle/Peggy Li/kali-linux-2023.3-virtualbox-amd64.vdi

火眼直接添加为新检材解析系统类型很慢,这里直接导出再用火眼分析

时区信息在/etc/timezone

17. 参考李哲图的计算机镜像回答以下题目,在李哲图的计算机上,有一个文件内藏有木马病毒,请问该文件的名称是什么?提示: 以全大写英文字母回答,不包含符号或空格,例如, "ABC.TXT"

GOAL.DOC

在李佩妍的kali虚拟机中可以看到曾经使用过PowerShell Empire和Metasploit

在/var/lib/powershell-empire/server/downloads/8LDZVBKP目录中可以找到,李佩妍获取了李哲图的电脑截图,其中显示在音乐文件夹下有一个goal.doc文件

找到该文件

导出后沙箱分析检测为宏病毒

18. 参考李佩妍的计算机镜像回答以下题目,在2023-09-26 10:00 (UTC+8)至 2023-09-26 11:00 (UTC+8)时间内,李佩妍在李哲图的计算机下载了一个文件,请问文件名是什么?提示: 不要输入符号及空白,以大写英文回答。如,ABC.TXT

BHBRECORDBYDAVID.XLS

查看powershell-empire后门的客户端日志文件/var/lib/powershell-empire/empire/client/downloads/logs/empire_client.log,在2023-09-25 22:05:52从李哲图电脑下载了BHB record by David.xls文件,前面提到在李佩妍的kali中时区为US/Eastern也就是美国东部时间,9月处于夏令时,为UTC-4,所以换算成北京时间需要+12小时,也就是2023-09-05 10:05:52从李哲图的电脑下载了BHB record by David.xls

19. 参考李佩妍的计算机镜像回答以下题目,在2023-09-26 11:22 (UTC+8)时间, 李哲图当时所在地方的经纬度是多少?提示: 将经纬度合并回答。如 22.2846135(Latitude) 114.1739116(Longitude),需回答 22.2846135,114.1739116

22.280348572601053,114.16910499580993

既然是从李佩妍的计算机中分析李哲图所在地点的经纬度,那么该坐标大概率来自李哲图的移动设备,在分析李哲图的手机时发现在手机中有Metasploit生成的后门apk,查看msf的历史记录/root/.msf4/history可以看到曾经监听过一个Android的反向tcp连接

在/root/.msf4/logs/sessions目录找到两个会话的日志

日志中记录了被植入后门的设备的经纬度

20. 参考陈好计算机的镜像回答以下题,从目标服务器窃取数据要执行哪一个文件?(包括文件名的扩展名)提示: 以大写英文字母回答,如:ABC.TXT

MAIN.PY

从24题分析可知要执行

C:\Windows\Users\Ho328\AppData\Local\Programs\Python\Python311\Scripts目录下的main.py来从目标服务器窃取数据

*21. 参考陈好计算机的镜像回答以下题目,用在执行「从目标服务器窃取数据要执行的文件」的软件是什么?(包括文件扩展名)提示: 以大写英文字母回答,ABC.TXT

PYTHONW.EXE

执行main.py需要用到Python

C:\Windows\Users\Ho328\AppData\Local\Programs\Python\Python311目录下有python.exe和pythonw.exe,前者适用于需要控制台交互和显示输出的脚本,而后者适用于后台执行、无需控制台交互的脚本,不懂如何分辨这个脚本是使用的哪个程序启动

*22. 参考陈好计算机的镜像回答以下题目,存储该「从目标服务器窃取数据要执行的文件」的原始路径是什么?提示:以大写英文字母与以下格式填写答案,例如:\USERS\HO328\APPDATA\LOCAL\PROGRAMS\TESTING.TXT

C:\WINDOWS\USERS\HO328\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON311\SCRIPTS\MAIN.PY

根据找到的脚本位置

并没有找到官方给出的在桌面上的相关记录

23.(多选题) 参考陈好计算机的镜像回答以下题目,执行该「从目标服务器窃取数据要执行的文件」后将创建哪些文件?(包括文件扩展名)

A. extracted_customer_data.txt 

B. data.txt

C. pair_device_result.txt 

D. driver-signature.txt

AC

在陈好的计算机中搜索选项中的文件名,只有ABC三个有记录

可以看到A和C的文档都在C:\Users\Ho328\AppData\Local\Programs\Python\Python311\Result目录下,先看一下data.txt,为空

在另外两个文件中发现有用户信息

在C:\Windows\Users\Ho328\AppData\Local\Programs\Python\Python311\Scripts目录下找到main.py

创建extracted_customer_data.txt

创建pair_device_result.txt

24. 参考陈好计算机的镜像回答以下题目,目标服务器的IP地址及服务器的端口是多少?提示:将IP地址及服务器的端口合并回答。如 123.123.123.123:80

59.152.211.13:5000

25. 参考陈好计算机的镜像回答以下题目,通过执行"李佩妍在李哲图的计算机下载的文件"成功窃取了以下哪些数据?

i) current_ui_customer_description

ii) email

iii) token

iiii) customer_stage

A. i, ii, iii 

B. ii,iii,iv

C. i, ii, iv

D. i, iii, iv

E. i, ii, iii, iv

E

26. 参考陈好计算机的镜像回答以下题目,有多少条客户信息被盗取?(包括首尾项目)提示:请以阿拉伯数字作答

1000

分析代码可知在extracted_customer_data.txt中的内容为id和aa,aa就是token

在pair_device_result.txt中的内容为id、profileid和token

对比内容发现两个文件中id和token是对应一样的,id编号从100000001到100001000一共1000条用户信息

27. 参考'TeslaCam.e01'回答以下题目,当哨兵模式运作时,共有多少个镜头将会进行记录?(第三方安装的电子狗不计在内)提示:请以阿拉伯数字作答

4

查看视频文件夹,可以看到有前后左右四个镜头

*28. 参考"https://www.tesla.com/support/videos/watch/live-camera"回答以下题目,当车主利用手机查阅车辆实时影像时共有多少个镜头正在运作以供查阅?提示:请以阿拉伯数字作答

5

比赛不让联网,而且这个网站访问不了

29. 参考'TeslaCam.e01'回答以下题目,当哨兵模式运作时,系统会自动记录多长时间的影像?

A. 5 分钟 

B. 7 分钟 

C. 10分钟 

D. 15分钟 

E. 20分钟

C

在/TeslaCam/SavedClips/2023-09-30_16-53-06/文件夹下可以看到最早的一段视频是2023-09-30_16-42-26

最后一段视频是2023-09-30_16-52-28

间隔10分钟,在SentryClips目录下的视频也一样

*30. 参考'TeslaCam.e01'回答以下题目,在2023年10月2日上午11时51分,到底发出了什么事件令哨兵模式被触发?请用小写英文字母与以下格式作答xxx_xxx_xxx_xxx (2分)

sentry_aware_object_detection

不会

*31. 参考'TeslaCam.e01'回答以下题目,男死者李哲图死在9月末,但是其车辆的哨兵模式在2023年10月02日的上午被启动,从Sentry Clips Folder内找出有关片段,确认有什么事件引发录制。

A. 有车辆从前方驶过 

B. 有动物从前方走过 

C. 有人从前方走过 

D. 有人从后方走过 

E. 有车辆从后方驶过

C

不会

*32. 参考'TeslaCam.e01'回答以下题目,按照Sentry Clips 内 '2023-10-02_11-51-40'的活页夹,请找出男死者李哲图私家车当日的停泊位置。提示: 以经纬度坐标回答有关答案,答案如 Lat: 22.2846135, Lon: 114.1739116,请用以下格式作答,22.2846135,114.1739116。

225.5009,114.139

不会

*33. 参考'TeslaCam.e01'回答以下题目,在'event.json'文件,我们发现有一栏显示为"Camera:6",这是什么意思?提示: 请浏览特斯拉有关的网站或讨论区

A. 前镜头 

B. 后镜头 

C. 右边镜头

D. 左边镜头

C

不会

*34. 参考'TeslaCam.e01'回答以下题目,有人曾驾驶男死者李哲图的车辆前往香港迪斯尼乐园,期间有车辆从男死者的车辆后方驶走,请找出在"2023-09-30_alerted"照片中有关车牌号码?请以大写英文与以下格式作答XX_XXX ,如:AB_123

JV_820

看不清

35. 参考'dji.go.v5'回答以下题目,按照WhatsApp聊天记录,得知Chris曾与Peggy在2023年09月07日外出玩无人机。飞行记录"DJIFlightRecord_2023-09-07_[17-33-52]"的文件路径?

A. DCIM\media\1\Android\data\dji.go.v5\files\FlightRecord 

B. \media\0\Android\data\dji.go.v4\files\FlightRecord 

C. \media\0\Android\data\dji.go.v5\files\FlightRecord 

D. \media\0\Android\dji.go.v5\files\FlightRecord 

C

36. 参考'dji.go.v5'回答以下题目,在李哲图的LG手机内2023年9月7日内有多少次飞行记录?提示:请用阿拉伯数字作答

4

*37.(多选题) 参考'dji.go.v5'回答以下题目,尝试找出與原点最远的距离,并从日志文件中找出所有有关区域的经纬度坐标。

A. 3,064.3 ft 

B. 3,100.1 ft 

C. 3,201.6 ft 

D. Lat: 22.2855113649764, Lon: 114.111954829708

E. Lat: 22.2855161086729, Lon: 114.111957385297

F. Lat: 22.2855211183398, Lon: 114.111960153012 

ADEF

不会

38. 参考'dji.go.v5'回答以下题目 ,在2023年09月07日,Chirs和Peggy曾经外出玩无人机,并用无人机拍摄一张照片"dji_fly_20230907_172136_63_1694078794485_photo_optimized.jpg", 请问拍摄照片时,无人机的高度值是多少?

116.781

39. 参考'陈好的计算机镜像'回答以下题目,陈好用了云端运算来构建钓鱼网站,这网站的IP地址是多少?提示: 以IPV4格式回答,如123.123.123.123

20.187.91.234

在edge浏览器的历史记录中可以看到,陈好使用了微软的Azure云服务,云服务的ip为20.187.91.234

40. 参考'陈好的计算机镜像'回答以下题目,陈好在云端运算建立了linux的系统,请问这系统的使用者ID是什么?提示:请全部用英文小写作答,例子:tommychan

foradmin

在edge浏览器历史记录后面有访问过为虚拟机启用备份的页面

在下载记录中可以看到从Azure下载了一个256G的名为abcd的文件,应该就是云服务器的备份,找到该镜像添加为新检材进行分析

登录最多的用户为foradmin

41.(多选题) 参考 ' 陈好的计算机镜像 ' 回答以下题目,在2023年8月25日至2023年9月05日期间,下列哪些IP地址成功登录云端运算?

A. 203.198.117.194

B. 203.181.6.82 

C. 210.3.89.98

D. 61.92.200.176 

E. 201.198.115.194

ACD

42. 参考 '陈好的计算机镜像 ' 回答以下题目,在2023年9月10日至2023年9月16日期间,哪个IP地址透过SSH 连接,不断密码攻击陈好所使用的云端计算的linux系统?(只计最高值)提示: 以 IPV4 格式回答

170.64.177.67

在登录失败的日志中可以看到103.126.161.83这个ip一直登录未成功,但是时间和题干对应不上

找到/var/log目录下已经被打包为gz文件的符合时间范围的日志文件auth.log.2.gz

其中记录了9月10日至16日的登录日志

筛选关键词“: Failed password for root from”,筛选出所有关于登录失败的数据

筛选的内容保存到另一个txt文件中,以空格作为字段分隔符导入到mysql数据库中

SQL查询对第13列的ip进行计数排序

或者导出为xlsx表格进行筛选

出现次数最多的ip为170.64.177.67

43. 参考 ' 陈好的计算机镜像 ' 回答以下题目,陈好所用的云端运算,所用的linux系统,内有安装Mysql, 请问哪个是他的密码?

A. qwert!@34 

B. 4rfv%TGB6yhn 

C. 3edc%TGB7ujm 

D. 1qaz@WSX3edc 

E. 2wsx$RFV6yhn

D

在历史命令中可以看到备份数据库的命令,使用的foradmin用户的密码为1qaz@WSX3edc

44. 参考 ' Meiya_StaffB_laptop.e01 ' 回答以下题目,陈好所使用的手机中,用了云端运算来构建钓鱼网站,这网站的主题是什么?

A. 征友 

B. 股票投资 

C. 购物网 

D. 求职网 

E. 加密货币投资 

E

查看服务器镜像中网站的index.php

在计算机的浏览器历史记录中也可以得到印证

45. 参考 ' 陈好的计算机镜像 ' 回答以下题目,陈好在云端运算上用的Linux系统, 请问这个镜像文件的主文件名?提示:请用大写字母与阿拉伯数字作答,并不需要扩展名

ABCD

在第40题有分析到

46. 参考 ' 陈好的计算机镜像 ' 回答以下题目,陈好构建的钓鱼网站最终偷取了多少位客户的密码?请以阿拉数字作答

24

在网站的process.php中可以看到,用户的账号密码被保存到了userdata数据库中

在历史命令中对userdata数据库进行了备份,备份为dump.sql文件

在/home/foradmin/tmp目录直接找到dump.sql,本地phpstudy开一个8.0以上版本的mysql,直接运行sql文件还原数据库

一共24条账号密码信息

47. 参考 ' 陈好的计算机镜像 ' 回答以下题目,陈好用了"MAMP"的程序在本地主机测试构建的钓鱼网站,请问他测试时用了哪个网络服务器和用了什么通讯端口?

A. Nginx, 通讯端口是7888 

B. Nginx, 通讯端口是8888 

C. Apache, 通讯端口是7888 

D. Apache, 通讯端口是8888 

D

MAMP是在Mac或Windows上使用的PHP开发环境,用的是Apache+MySQL+PHP,找到MAMP中的Apache配置文件C:\Windows\MAMP\conf\apache\httpd.conf,搜索listen可以看到监听的是8888端口

在浏览器历史记录中也可以看到在本地调试时使用的8888端口

48. 参考 ' 陈好的计算机镜像 ' 回答以下题目,陈好构建的钓鱼网站,最终成功盗取了几张信用卡的资料?提示:请用阿拉伯数字作答

25

查看刚才还原的数据库

49. 参考' 陈好的计算机镜像 ' 回答以下题目,陈好所用的云端运算中,内装有Microsoft Azure Linux VM 代理程序,这个程序的功能包含配置,资源扩展,通信,安全性,诊断数据等等,请问个程序的名字是什么?

waagent

查看/var/lib目录,可以看到waagent

waagent是Microsoft Azure Linux VM 代理

50. 参考  ' 陈好的计算机镜像 '  回答以下题目陈好所用的云端运算,以下描述是正确的

i) 订用账户标识符: 99b1a232-105e-4852-afds-54a74f75668

ii) 虚拟机的计算机名称: Netinvestment

iii) 资源组名: Netinvestmentmeiya_group

iv) 公钥: AAAAB3NzaC1yc2EAAAADAQABAAABgQDS/GbG00y/3DbUI0Q8MrrsvcGTKOad3hYRgApBWlALq48y9bHHmM3DaxM460cnAfz5aDMfVghyX+sevI7PP0UwhevgVUVJ5NZyc98Yi0XDEcPF9nxQOBp49yzwBpy/KwCbMJxBvLNuEtazw+TU6k6bXn62g42f1ljyWZP3vbMGmYnJUjpTE0uhXTqr8PYDKVZrEQWpB2v53IegCXI4La2rScJNKmAIo9pXvdyJkDda74k1vKPj7zUMCsUbpVN/CwZUAZazARyILbz7GK/PvsRp/jWmyo2gbhxk6SoyvRYT8uDK3ifeHcg89jlM6qXS4tGBu2JH+fY/G6WVUJFBjrU9/yyI+i9g9mr+zq5e4D1fWZ/TpLK3RK5JMFUf/L+qQRLoysY6APHZ+WrmM5dJsLgIC9PUmdM3arQGLM6KHQ0+R03phHaK+lo+5QDyVIktJ4wMMfhFSaR6ozHjCzzh8h0Ka+eV6aken1XVs0wIvHYokweRx3W//+N3ZvF9q7cmNuE= generated-by-azure

A. i),ii),iii) 

B. i),iii),iv) 

C. ii),iii),iv) 

D. i),ii),iv)

E. i),ii),iii),iv)

C

i直接全局搜索没有结果

ii计算机名/etc/hostname

iii通过全局搜索在 Azure Monitor Agent 的配置文件/etc/opt/microsoft/azuremonitoragent/config-cache/mcsconfig.lkg.json中找到,同时也找到了订用账户标识符为98b1a343-105e-4972-afba-540b74f75f68

iv公钥在/root/.ssh/authorized_keys

51. 请参考陈大昆MacBook镜像文件回答以下题目:这台MacBook创建了多少个访客账户?

A. 0 

B. 1 

C. 2 

D. 3 

A

查看用户列表,没有找到访客用户

*52. 请参考陈大昆MacBook镜像文件回答以下题目: 这MacBook的用户名称是什么?(名称包括所有英文字母、数字和符号,区分大小写,不需要空格)

ben

这里得到的账户名称是ben

但是官方给出的答案是Chen

53. 请参考陈大昆MacBook镜像文件回答以下题目: 这台MacBook中曾连接了多少个WIFI(WIFI SSID)?

A. 1

B. 2 

C. 3

D. 4

C

*54. 参考 ' 陈大昆的计算机镜像 ' 回答以下题目,在这个取证镜像文件中有多少用户配置文件具有浏览历史?

A. 1 

B. 2 

C. 3 

D. 4 

C

不会

55. 请参考陈大昆MacBook镜像文件回答以下题目: 请提供以下文件的内容:“f.rtf”、“a.rtf”、“f1.rtf” 和 “a1.rtf”。(填写文件内容所有英文字母、数字和符号,区分大小写,不需要空格) 请按照以下格式回答: xxx_xxx_xxx_xxx 例子:如(1)的内容是abc,(2)的内容是123,(3)的内容是DEF,(4)的内容是8.8 请填写: abc_123_DEF_8.8

f.rtf_a.rtf_funnystuff_autogpt

在命令行历史记录中可以找到将这四个rft进行base64编码分别输出到了key-a/b/c/d.txt中

在文档文件夹中找到四个txt

base64解码

56. 请参考陈大昆MacBook镜像文件回答以下题目: 有两个加密的 .dmg 文件在取证镜像文件内。按照.dmg 文件的创建时间先后,请填写下面的空白:文件名称包括扩展名(如adcd.dmg)第一个创建 .dmg 文件的名称是:_____,密码是:____ 第二个创建 .dmg 文件的名称是:_____,密码是:____ 请按照以下格式回答: xxx_xxx_xxx_xxx,例子: 如(1)的内容是abc、(2)的内容是123、(3)的内容是DEF、(4)的内容是8.8,答案为:abc_123_DEF_8.8

funnystuff.dmg_funnystuff_auto.dmg_autogpt

在.Image文件夹下找到auto.dmg和funnystuff.dmg

在命令行历史记录中可以看到是被加密了的,导出

在做第55题提到了四个文件,将文件内容作字典,使用passwarekit跑一下

57. 请参考陈大昆MacBook镜像文件回答以下题目: 有一个应用程序托管在.dmg文件中,该程序需要一个密钥才能启用,请填写以下空格:(文件名称包括所有英文字母、数字和符号,区分大小写,不需要空格) 存有密钥的文件名称是:________ 密钥的值是:________ 请按照以下格式回答: xxx_xxx,例子1: 密钥文件名称是:abc.def,密钥的值是:123,答案为:abc.def_123

.env_sk-Px1cCE5XZsXWYXij0K3BT3BlbkFJ4jVGVQ7eUpOmewvth1ep

使用https://github.com/nlitsme/encrypteddmg解密DMG文件

解密之后得到两个加了-decrypted的dmg文件

对比两个dmg中的内容

题目所问的应该是配置autoGPT项目使用的接口的APIKey,在.env文件中找到

58. 参考'陈大昆的计算机镜像' 回答以下题目,按照相关记录,该应用程序使用了哪个版本的引擎?

gpt-3.5-turbo

在logs目录下的activity.log中找到

59. 参考'陈大昆的计算机镜像'回答以下题目,按照您的检验,以下哪个陈述(或多个陈述)在描述路径“~/Desktop/.Spotlight-V100/”下的文件是正确的?

A. "coins1.jpg alias"是一个档案捷径(alias) 

B. "coins.jpg alias"和"coins1.jpg alias"都是符号链接(Symlink)文件

C. "CryptoWallet-link1"是一个档案捷径(alias) 

D. "CryptoWallet-link1"和"CryptoWallet-link2"链接相同的文件

E. "CryptoWallet-link2"是一个硬链接(Hard Link) 

ADE

alias是使用alias命令创建的档案捷径,相当于给文件起一个别名

alias和符号链接不同,符号链接文件相当于Windows中的快捷方式

CryptoWallet-link1和CryptoWallet-link2两个文件的哈希值一致

在命令行历史中可以看到是链接的同一个文件Crypto-Wallet.jpg

ln命令创建的链接有两种类型:硬链接(Hard Link)和软链接(Symbolic Link),默认是创建硬链接,想要创建软链接则要加上-s参数

60. 参考'潘志辉的计算机镜像'回答以下题目,在换脸软件的“源视频转图片”程序中,不支持下列哪一类文件?

A. data_src.flv 

B. data_src.mpeg 

C. data_scr.mp4 

D. 以上文件都可以支持 

D

根据62题,可知使用的换脸项目为桌面上的DeepFaceLab_NVIDIA_RTX3000_series,根据题干中的“源视频转图片”程序描述,对应的程序很有可能是extract images from video data_src.bat这个批处理脚本所启动的

首先调用_internal\setenv.bat,然后在%WORKSPACE%创建一个名为data_src的目录,使用python执行%DFL_ROOT%下的main.py,指定输入文件为%WORKSPACE%下的data_src开头的任意文件,指定输出目录为%WORKSPACE%下的data_src目录

所以并没有限制源文件的后缀

61. 参考'潘志辉的计算机镜像'回答以下题目,目标视频转换了多少张图片?

A. 897 

B. 316 

C. 1794 

D. 1580

B

62题可以看出转换了316张

62. 参考'潘志辉的计算机镜像'回答以下题目,已换脸的图片储存在哪个路径?

A. (省略) \workspace\data_src\ 

B. (省略) \workspace\data_dst\merged_mask 

C. (省略) \workspace\data_dst\merged 

D. (省略) \workspace\data_dst\aligned 

C

63. 参考'潘志辉的计算机镜像'回答以下题目,在这案件中,使用了哪个程序将图片换脸?

A. train AMP.bat

B. train SAEHD.bat 

C. train Quick96.bat 

D. train AMP SRC-SRC.bat

B

在/workspace/model目录下可以看到用的是SAEHD模型

对应的批处理脚本应该是train SAEHD.bat

64. 参考'潘志辉的计算机镜像'回答以下题目,实时换脸软件可使用多少个模型?

A. 14 

B. 15 

C. 16 

D. 17

C

根据65题可知题干问的模型在桌面的/DeepFaceLive_NVIDIA/userdata/dfm_models目录中,一共16个

65. 参考'潘志辉的计算机镜像'回答以下题目,实时换脸软件用了哪一个模型?

A. Joker.dfm 

B. Jackie_Chan.dfm 

C. DianPian_SAEHD_model.dfm 

D. 4live_SAEHD_model.dfm 

D

在/DeepFaceLive_NVIDIA/testing目录下有一个测试的视频,播放可以看到使用的模型为4live_SAEHD_model.dfm

66. 参考'潘志辉的计算机镜像'回答以下题目,在这案件中,换脸软件训练了哪些模型?(答案不用副文件名, 例如Jackie_Chan.dfm只需输入 Jackie_Chan)

4live_SAEHD,DianPian_SAEHD

如64题图,使用的是DianPian_SAEHD和4live_SAEHD

67. 参考'潘志辉的计算机镜像'回答以下题目,4live_SAEHD_model 训练了多少迭代次数?

1253447

查看DeepFaceLab_NVIDIA_RTX3000_series/workspace/model/4live_SAEHD_summary.txt可知当前迭代次数为1253447

68. 参考'潘志辉的计算机镜像'回答以下题目,换脸软件输出的文件名是什么?

A. 录制_2023_09_19_16_55_20_786.mp4 

B. result.mp4 

C. data_src.mp4 

D. data_dst.mp4

B

BCD三个选项的视频文件都在DeepFaceLab_NVIDIA_RTX3000_series/workspace目录下,查看一下可知是将data_src.mp4中的人脸换到data_dst.mp4人脸上,所以输出的文件名为result.mp4

69. 参考'潘志辉的计算机镜像'回答以下题目,分析潘志辉计算机的镜像后,相信他曾使用不同的遥距控制软件控制3部设备。请选择他曾使用的遥距控制软件。提示1: 软件1显示Samsung Galaxy S7的设备编号(Device ID): 1062919330 & 潘志辉的计算机设备编号: 228758166;提示2:软件2显示LM-G710EAW 5的ID: LM-G710EAW1f703895;提示3: 软件2显示LG-D855的ID: LGE- LG-D855

A. teamviewer 

B. rustdesk

C. totalcontrol 

D. Pushbullet

BC

选项给出的四个软件都有安装

在软件安装目录,以及用户数据目录的配置文件或者日志文件去找题目给出提示中的ID值,这里直接用filelocatorPro搜

在RustDesk的日志文件中找到提示中的软件1相关信息

在Total Control的日志中找到提示中的软件2相关信息

70. 参考'潘志辉的计算机镜像'回答以下题目,按照Peter计算机.e01的文件,可推论潘志辉用哪一个软件作一站式管理所有涉及的电子设备?

A. RustDesk 

B. Total Control 

C. Pushbullet 

D. Teamviewer

C

在69题翻看软件数据目录的时候注意到了在Pushbullet的目录中又有个ctx文件夹,其中有七部手机的图标文件

结合给出的检材,推断管理电子设备的软件就是Pushbullet

71. 参考'潘志辉的计算机与手机镜像'回答以下题目,按照潘志辉的计算机与手机镜像可推论潘志辉正进行以下哪种犯罪

A. 网上求职骗案 (Online employment fraud) 

B. 钓鱼攻击 (Phishing Attack)

C. 裸聊勒索 (Naked Chat Blackmail) 

D. 信用卡盗用 (Credit Card Fraud) 

B

P30Pro的WhatsApp聊天群發財精英群里可知是短信钓鱼

72. 参考'潘志辉的计算机镜像'回答以下题目,按照Peter计算机.e01的文件,总共有多少个电子设备登入Pushbullet?提示:请用阿拉伯数目字作答

7

在第70题提到有7个设备的图标,在上一级文件夹可以看到有几个json的归档文件

在devices.json中可以看到共7台设备

73. 参考'潘志辉的计算机镜像'回答以下题目,按照Peter计算机.e01的文件,潘志辉只有一个电子邮件账户,哪一天是该账户第一次登入Pushbullet?提示:请用YYYY_MM_DD的格式作答

2023_07_20

查看user.json中的created时间

时间戳转换

74. 参考'潘志辉的计算机镜像'回答以下题目,按照Peter计算机.e01的文件,潘志辉发送大量SMS信息的文件名是甚么?提示: 需包括扩展名称如ABC_123.doc

SMS_Pushbullet-2.xlsm

在pushes.json中

*75. 参考'潘志辉的计算机镜像'回答以下题目,按照Peter计算机.e01的文件,Pushbullet与 "发送大量SMS信息的文件"应用了哪一个技术交换信息?提示:请用小写英文全名并以下例子格式答题。例子:graphic_user_interface

application_programming_interface

不会

76. 参考'潘志辉的计算机镜像'回答以下题目,按照Peter计算机.e01的文件,哪一个设备曾经在Pushbullet内向Galaxy S7发送“生财工具”的信息?

A. 手提电话Galaxy S7 

B. 计算机C59204 

C. 手提电话Galaxy S4 

D. 手提电话P30 Pro

B

在pushes.json中找到发送生财工具相关记录

对照devices.json,以iden为对应,发送设备为C59204-DFRNC

接收设备为Galaxy S7

77. 参考'潘志辉的计算机镜像'回答以下题目,按照Peter计算机.e01的文件,开启VMware内ubuntu的密码是多少?提示1(Tips 1):相关的Ubuntu文件在(Relevant file is situated at)Program Files(x86)\Vmware\VM Player,Ubuntu的路径为(Ubuntu path is) C:\Program Files (x86)\Vmware\Vmware Player\Ubuntu VM;提示2(Tips 2): 请以小写英文与附号作答;提示3(Tips): 可考虑使用Kali Linux 、网上平台与ubuntupassword.txt内所有的数据协助找出密码

(newpassword2)

在桌面找到ubuntupassword.txt

但是内容貌似不是密码

下面还有一个流文件记录了哈希值

在线md5解密得到密码为(newpassword2)

78. 参考'潘志辉的计算机镜像'回答以下题目,按照Peter计算机.e01的文件,潘志辉应用了哪一个技术把true-ubuntupassword.txt隐藏在ubuntupassword.txt中

A. 日志记录 (Log record)

B. 数据压缩 (Data Compression)

C. 数据加密 (Data Encryption) 

D. 备用数据流 (Alternate data stream)

D

见上题,火眼识别为流文件

79. 参考'潘志辉的计算机镜像'回答以下题目,true-ubuntupassword.txt内有一组哈希值,该哈希值是下列哪一种?

A. MD5

B. SHA1

C. SHA256

D. SHA512 

A

如77题,md5

80. 参考'潘志辉的计算机镜像'回答以下题目,按照Peter计算机.e01的文件,在Ubuntu VM在内执行Tor Browser时,在命令提示字符(Command Prompt)执行netstat指令输出网络数据,以下为部份内容。i: 192.168.145.128:47312;ii: 127.0.0.1:9150;iii: 192.168.145.128:60994;iv: 127.0.0.1:9151 上述哪一个数据可以推论潘志辉曾经使用Tor Browser

A. i&ii 

B. iii&iv 

C. i&iii 

D. ii&iv 

D

嵌套证据识别找到Ubuntu虚拟机

添加为新检材分析,在历史命令中可以看到在peter的桌面上有Tor

在Peter的桌面上找到了netstat.txt,其中是netstat命令的输出结果

可以看到题干中所给出的ip和端口均存在

在Tor的代理配置文件/etc/tor/torsocks.conf中可以看到使用了本地的9050端口

仿真后启动执行start-tor-browser.desktop启动Tor浏览器查看网络连接信息

81. 参考'潘志辉的计算机镜像'回答以下题目,按照Peter计算机.e01的档案,潘志辉想把Tor Browser的entry 与 exit node 修改为澳洲进入,美国离开,但以下A-D 项的空白位置潘志辉不懂如何填上内容。EntryNodes {A} Strictnodes B ExitNodes {C} Strictnodes D 请把A-D的资料填上,提示: 请以以下格式作答,例子(example): A:us,B:1,C:uk,D:0

A:au,B:1,C:us,D:1

EntryNodes后的A填入指定进入的节点地区名,澳洲为au

Strictnodes后的B设为1则代表强制使用指定的地区的节点

ExitNodes后的C填入指定离开的节点地区名,美国为us

Strictnodes后D与B同理

82. 参考'潘志辉的手机镜像HUAWEI P30 pro'回答以下题目,在潘志辉手机华为P30 Pro 的WhatsApp与华为NOVA 5T 的WhatsApp的对话中,曾被修改过的对话,请找出修改前的内容。提示:请用中文与小写字母作答

再換busd

潘志辉手机部分使用火眼解析需要密码,换用盘古石

P30Pro中的WhatsApp用户为[email protected]

nova5T中的接收相关用户聊天内容为

由此可知在P30Pro的WhatsApp中与nova5T的对话对应的是与用户SMS1的聊天记录

用户SMS 1账号为[email protected]

分析P30Pro中的WhatsApp数据库\Sub A\VOG-L29_AndroidLive_20231016\Active\data\com.whatsapp\databases\msgstore.db,在jid表中筛选出[email protected]对应的_id值为4151

在chat表中筛选出jid_row_id值为4151对应的_id值为147

在message表中筛选出chat_row_id值为147的_id及text_data

在message_edit_info表中可以看到_id为1605的信息被修改过

在message_ftsv2_content表中找到对应docid为1605的信息为“再換busd”

*83. 参考'潘志辉的手机镜像HUAWEI NOVA 5T'回答以下题目,潘志辉的手机华为Nova 5T中曾使用哪一个文件以一部激光雕刻机打印了一个QR code,这个文件名称的扩展名是什么?

1697018471188.jpeg

在nova5t的数据目录下找到hiprint的数据

在\com.hingin.l1.hiprint\databases\hiPrint\hiPrint数据库中的print_history_data表中找到了打印记录,得到文件名为1697018528072fileName.bmp

在print_parameters表中也有一条记录,文件名为1697018528074.jpg

根据表名猜测应该是要打印1697018528074.jpg这张图片,打印机扫描图片保存为1697018528072fileName.bmp,但无论是哪个都与官方给出的答案对不上

84.(多选题) 参考'陈好的手机镜像'回答以下题目,陈好手机的相片20230821_144459在安卓的其中一个数据库中,显示该相片可包含哪个主体?

A. 食物(Food)

B. 饮品(Drink) 

C. 拉面(Ramen)

D. 桌子(Table) 

AC

找到该照片

数据库位置/data/com.android.providers.media/databases/external.db,导出数据库用Navicat打开,在数据库中查找20230821_144459字符串

在一个叫tag_view的视图中找到相关信息

85. 参考'陈大昆的手机镜像'回答以下题,陈大昆的手机被一个itune backup密码加密保护,这个密码是什么?提示:请用阿拉伯数字作答

123456

passwarekit跑Manifest.plist

86. 参考'潘志辉的手机镜像HUAWEI P30 pro'回答以下题目,潘志辉手机华为P30 pro的WhatsApp 社群” 香港商品交易群组 Hong Kong Trading”,是什么时候建立的 (UTC+8)?

A. 2023-02-22 06:16:50 

B. 2023-02-22 14:16:50 

C. 2023-02-16 10:06:50 

D. 2023-02-16 18:06:50

B

WhatsApp数据库的chat表中筛选相关记录

created_timestamp时间戳转换

或者直接盘古石

87. 参考'潘志辉的手机镜像HUAWEI P30 pro'回答以下题目,潘志辉手机华为P30 Pro的 WhatsApp 的有多少个对话群组包含对话讯息记录(系统自行发出的不作计算)?

A. 1 

B. 2 

C. 3

D. 4 

C

推测包含对话讯息的群指的是本机用户和其他用户都有发言的群组,翻看群组聊天记录,只有在發財精英、SMS A、SMS B这三个群中有对话讯息记录

88.(多选题) 参考李哲图的计算机镜像回答以下题目,在李哲图传送给Ben的电邮中有2个附加文件,文件的名称是?

A. New Target.rar 

B. Key.jpg 

C. use_this.png 

D. name.txt

AC

仿真打开桌面上的Thunderbird可以看到

89. 参考陈大昆的计算机镜像回答以下题目,在陈大昆电脑中,他收到李哲图的电邮,当中有一个加密的压缩文件,该文件的开启密码是?提示: 请用全大写字母作答

FOOTBALL

在李哲图的计算机中发现李哲图给陈大昆发送过邮件,邮件中有两个附件文件,在陈大昆的浏览器中找到下载记录

找到文件导出

use_this.png中是playfair密码

去除干扰字符可知内容为passwordfootball,即密码为football,使用FOOTBALL去解压压缩包解压成功

90. 参考陈大昆的计算机镜像回答以下题目,在陈大昆的电脑中,加密的压缩文件New Target.rar中有2个文件,一个是加密的Word文件,另一个是图片文件。已知Chi To曾处理图片以隐藏一段文字,那段文字是?提示: 请用英文与标点符号作答

P@ssw0rd

word文件中是密文

key.bmp是一把钥匙图片

使用openstego获取图片中的隐藏文字

得到隐藏的文字为P@ssw0rd

91. 参考李哲图的计算机镜像回答以下题目,李哲图曾执行一个程序在"key.bmp"的图片文件中隐藏一段文字,請問他是用哪一个程序?

A. Steganography Studio 

B. OpenStego 

C. Steghide 

D. S-Tools 

B

在最近访问的项目中找到key.bmp的访问时间

结合仿真后在桌面看到了openstego

可以看到在最后访问key.bmp前两分钟运行了openstego.bat打开了openstego

92. 参考陈大昆的计算机镜像回答以下题目,在陈大昆的电脑中,加密的压缩文件New Target.rar中有2个文件,一个是加密的Word文件,另一个是图片文件。已知图片的隐藏文字为加密的Word文件的Salt(为一个AES 256 加密)。在加密的Word文件中,李美玲的年龄为?

A. 26 

B. 25 

C. 24 

D. 23 

B

邮件是李哲图发送过来的,而在李哲图的电脑桌面上有openssl,在/Users/chris/AppData/Roaming/Microsoft/Windows/PowerShell/PSReadLine/ConsoleHost_history.txt中找到powershell历史记录

使用openssl进行解密

得到一张记录了个人信息的表

93. 参考陈大昆的计算机镜像回答以下题目,在陈大昆的电脑中,加密的压缩文件New Target.rar中有2个文件,一个是加密的Word文件,另一个是图片文件。已知图片的隐藏文字为加密的Word文件的Salt (为一个AES 256 加密)。在加密的Word文件中,钟翠华的电邮为?

[email protected]

B. [email protected] 

C. [email protected] 

D. [email protected]

A

94.(多选题) 参考'benckwindow10.e01'回答以下题目,在Ben电脑中,他在Opensea.io中使用了哪些区块链制造NFT?

A. Ethereum 

B. Polygon PoS Chain 

C. Arbitrum 

D. Base 

AB

在谷歌浏览器历史记录中有Ethereum相关记录

从Q97、Q100的补充材料截图中也可以得到

95. 参考'benckwindow10.e01'回答以下题目,Ben电脑在Opensea.io中所创建的NFT(s)的Collection ID是?需以下例子的格式作答:Collection ID/Number of NFT(s) sold,例: 4561313456

4346577817

谷歌浏览器历史记录中有

96. 参考'benckwindow10.e01'回答以下题目,这个Opensea.io中的Collection ID一共卖出了多少个NFT(s)?提示:请参阅附加资料

A. 0 

B. 1 

C. 2 

D. 3

C

benck168-1和benck168-2显示sold

97. 参考'benckwindow10.e01'回答以下题目,购买上述在Opensea.io中NFT(s)的加密货币地址是?提示:请参阅附加资料與请用大写字母作答,例子: 0X1234567ABCDEF

0XA2ADC0BF0106D1247AF272C444CFE39264C57F25

98.(多选题)参考'benckwindow10.e01'回答以下题目,哪些是购买上述Collection ID内的NFT(s)的交易哈希(Transaction Hash)?提示:请参阅附加资料

A.0x1c0ab817c6dcd48b065ba66affd5b9fa827a11fee9ae0fb865d3aecd60b7aae1

B.0xcbf3523d199efd2f61fdbc3d7debf706f8eb42c0dbe4a07d0d9472ab7e04c566 

C.0xdc7f2e5362faf3b5ddc9ae0be83d3da7222b34f06e86862b9c0af1cc14e3c3e3 

D.0xaaa011a6b6af54b11f97217d63dfa5f13aef160ebf672b1476de0460ef5b043f 

AB

从96题资料中可知卖方是Benck168,地址为0xeB3c...426f

从97题资料中可知买方是A2ADC0,地址为0xa2ad...7f25

在98题资料中找相关交易记录的Transaction Hash

99. 参考'benckwindow10.e01'回答以下题目,在Opensea.io中铸造上述NFT(s)的加密货币地址是?提示:请参阅附加资料与请用大写字母作答,例子:0X1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ0123

0XEB3C02F1BF7A6E700950F39E4876762F8A44426F

铸币的地址就是Benck168的地址

100. 参考'benckwindow10.e01'回答以下题目,在Opensea.io中,由上述加密货币地址所铸造没有Collection ID的NFT找到什么资讯?提示:请参阅附加资料

A. Uniswap V3 BHB-WETH pool 

B. 0xa071e23fdbdfc23011a28977e102038747373575 

C. Token ID: 561068 

D. 以上皆是 

D

没有Collection ID的NFT

101. 参考'benckwindow10.e01'回答以下题目,合约地址(Contract Address):0xa071e23fdbdfc23011a28977e102038747373575所使用的是哪一个区块链?提示:请参阅附加资料

A. Ethereum 

B. BNB Smart Chain 

C. Polygon PoS Chain 

D. Shibarium

A

只在Ethereum有交易记录

102. 参考'benckwindow10.e01'回答以下题目,合约地址(Contract Address):0xa071e23fdbdfc23011a28977e102038747373575的加密货币名称(Name)及简写(Symbol)是?提示:请参阅附加资料

A. Binance (BNB) 

B. Bihaibi (BHB) 

C. BHB(BHB) 

D. Binince (BHB) 

D

103. 参考'benckwindow10.e01'回答以下题目,加密货币合约地址(Contract Address): 0xa071e23fdbdfc23011a28977e102038747373575在区块链的创建日期时间是?提示:请参阅附加资料

A. 2023-09-06 16:58:11时 

B. 2023-09-07 14:50:35时 

C. 2023-09-15 12:18:47时 

D. 2023-09-19 10:22:11时 

A

104. 参考'benckwindow10.e01'回答以下题目,加密货币合约址(Contract Address): 0xa071e23fdbdfc23011a28977e102038747373575的总铸造数量是?提示:请参阅附加资料

A. 10,000 

B. 100,000,000 

C. 300,000,000 

D. 500,000,000

C

105. 参考'benckwindow10.e01'回答以下题目,第一个储存加密货币合约(Contract Address): 0xa071e23fdbdfc23011a28977e102038747373575的地址是?提示:请参阅附加资料與请用大写字母作答,例子(example): 0X1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ0123

0XEB3C02F1BF7A6E700950F39E4876762F8A44426F

106. 参考'benckwindow10.e01'回答以下题目,铸造加密货币合约地址(Contract Address):0xa071e23fdbdfc23011a28977e102038747373575的交易哈希(Transaction Hash)是?提示:请参阅附加资料與请用大写字母作答,例子:0X1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ0123

0X267C8E68E3A9769261C7DA8257BB80D800AF3D222FB98A63D3C19D5FAB6EB84C

107. 参考'benckwindow10.e01'回答以下题目,承上題,请根据铸造加密货币合约地址(Contract Address): 0xa071e23fdbdfc23011a28977e102038747373575的交易哈希(Transaction Hash),在Ben电脑中,找出比在以太坊 (Ethereum)上确认验证的日期时间早的文件名?提示:请参阅附加资料与请用大写字母作答

9758501C07A1C4A010D029CA1862B8BD98C1E029

火眼时间线先筛选一下2023-09-06 16:58:00到2023-09-06 16:59:00之间创建的文件

发现大多都是在C:\Users\benck168\AppData\Local\Mozilla\Firefox\Profiles\adc969fg.default-release\cache2\entries这个目录,直接filelocatorPro搜索上题得到的交易哈希

根据时间判断应该是9758501C07A1C4A010D029CA1862B8BD98C1E029这个

108.(多选题)参考'benckwindow10.e01'回答以下题目,承上題,按照在以太坊(Ethereum)上确认验证的日期时间的文件的创建日期时间、路径及数据,下列哪些推论是正确的?

A. Ben电脑内发现的交易哈希,比写上以太坊 (Ethereum)被确认验证的交易哈希早出现

B. 此档案与Firefox浏览器有关 

C. 此档案与Chrome浏览器有关 

D. 此档案是由陈大昆电脑的用户benck168创建的

ABD

使用xways加载镜像找到该文件查看详细信息

109. 参考'benckwindow10.e01'回答以下题目,以下哪个去中心化交易中心(Dex) 能够成功兑换加密货币合约地址(Contract Address): 0xa071e23fdbdfc23011a28977e102038747373575?提示:请参阅附加资料

A. Pancake Swap 

B. Uniswap 

C. Shibaswap 

D. 1inch.io 

B

*110. 参考'benckwindow10.e01'回答以下题目,截至2023-09-07 1511时,加密货币合约地址(Contract Address):0xa071e23fdbdfc23011a28977e102038747373575对美元(USD)的市场价格是?提示:请参阅附加资料

A. 0.01636 

B. 0.01638 

C. 0.000009995 

D. 0.00001019 

A

图中显示的市场价格是0.01647

到111题资料中的dextools.io查询又可以找到正确的答案

111. 参考'benckwindow10.e01'回答以下题目,截至2023-09-20,持有50,000,000个加密货币合约地址(Contract Address): 0xa071e23fdbdfc23011a28977e102038747373575的加密货币地址是?提示:请参阅附加资料與请用大写字母作答

0X08B57D2531AC4CD18BC785B9DEB688FFE61A4E8E

*112. 参考'benckwindow10.e01'回答以下题目,按照时间线分析Ben电脑活动,在2023-09-06 16:58:10时及2023-09-06 16:58:21时,在“Access-Control-Allow-Origin”中显示了哪一个网站?

A. https://www.google.com 

B. https://remix.ethereum.org 

C. https://ethereumfoundation.matomo.cloud 

D. https://www.etherscan.io

D

按照题目给出的时间查看浏览器访问记录

对应的Access-Control-Allow-Origin应该是https://www.etherscan.io,意思是只有来自https://www.etherscan.io的网页才能够访问

可能是题目错了

*113. 参考'benckwindow10.e01'回答以下题目,承上題,在2023-09-06 16:58:10时及2023-09-06 16:58:21时,在”Access-Control-Allow-Origin”中显示的网站有什么功能?

A. 太坊区块链上的交易、地址、合约、代币等信息查询 

B. 太坊基金会的网站分析工具,用于跟踪和分析网站访问者的行为和活动 

C. 以太坊官方的在线IDE(集成开发环境),可用于编写、测试和部署智能合约 

D. 网上搜索引擎 

A

www.etherscan.io是一个以太坊区块链浏览器

114. 参考'benckwindow10.e01'回答以下题目,哪一个扩展名与创建加密货币有关?

A. png 

B. sol 

C. mp4 

D. jpeg 

B

桌面上的BHB project文件夹,根据命名推断与创建加密货币有关


115.(多选题) 参考'benckwindow10.e01'回答以下题目,陈大昆被捕后拒绝提供虚疑货币钱包密码及恢复种子,并以挑战口吻响应:「重要信息已经放好在桌面上,难道你没看见吗?」。在Ben电脑内与恢复种子有关的两个文件的扩展名是?

A. png 

B. txt 

C. mp4 

D. jpeg 

BD

在文档目录下有一个重要資訊.txt

仿真后查看桌面,发现桌面壁纸上有一句话,12个字刚好对应12个助记词(个人赛考察到的知识点)

睇下今日有幾多人俾我呃先对应的助记词为stable arrange expect popular train oak harsh grant quality mimic genre eternal

在资源管理器的最近使用过的档案中查看这张图片的属性可以得到后缀

116. 参考'benckwindow10.e01'回答以下题目,承上題,在陈大昆电脑内恢复种子的第八个英文单字是?提示:请用大写字母作答

GRANT

见115题分析

117. 参考'benckwindow10.e01'回答以下题目,按照上述恢复种子,请计算出在以太坊(Ethereum)其BIP-44 derivation address = m/44'/60'/0'/0/0的公钥?提示:请用大写字母作答,例子: 0X1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ0123

0X02ADBBC484E52E921B2678305C092FC794A97C7552BA86B5F3362B892C660E4CCE

使用https://iancoleman.io/bip39/进行助记词转换

输入助记词,选择币种为ETH

下面可得到派生地址的公钥

118. 参考'benckwindow10.e01'回答以下题目,按照上述恢复种子,请计算出在波场网络(Tron Network)其BIP-44 derivation address = m/44'/195'/0'/0/2的私钥?提示:请用大写字母与阿拉伯数字作答

4883C816B7154DD4C66A5674E98564FEBD17CAC51DCB1AD349932177982FA2DF

选择币种为TRX

119. 参考'NAS-DISK1.e01, NAS-DISK2.e01, NAS-DISK3.e01'回答以下题目 ,案中所使用的NAS是哪个品牌?提示:请用小写字母作答

synology

接121题分析,在/@SynoFinder-log/synoelasticd.log中可以看到为SynologyNAS,也就是群晖NAS

120. 参考'NAS-DISK1.e01, NAS-DISK2.e01, NAS-DISK3.e01'回答以下题目,NAS所使用的是哪个容错式磁盘阵列的层级(RAID LEVEL)?提示:请用阿拉伯数字作答

5

使用火眼的raid重组工具


121. 参考'NAS-DISK1.e01, NAS-DISK2.e01, NAS-DISK3.e01'回答以下题目 ,NAS 所使用的容错式磁盘阵列是那种数据分布方式(Layout) ?提示:请用小写字母作答,如: abc-def

left-symmetric

数据分布方式是常规左同步


对应的英文为left-symmetric

或者

使用ftk Imager挂载3个镜像

使用ufs直接检测到了raid

自动重组后的raid设备是SG7:2,右键选择查看raid参数


122. 参考'NAS-DISK1.e01, NAS-DISK2.e01, NAS-DISK3.e01'回答以下题目 ,试列出NAS容错式磁盘阵列里面的所有逻辑巻名称(Logical Volume Name),提示:请用小写英文以及在空格或标点符号位置用以_作答,例子:abcd_efgh_123

syno_vg_reserved_area_volume_1

123. 参考'NAS-DISK1.e01, NAS-DISK2.e01, NAS-DISK3.e01'回答以下题目,NAS安装了哪个版本的MariaDB?提示:请以以下格式作答,例子:21.22.23

10.3.32

在/@appdata/MariaDB10/VERSION中可以看到具体版本号

124. 参考'DiskImage.e01'回答以下题目,试列出数据库内所有表(Table)的名称 ? 因为涉及多在1个项目,请把英文前缀较前的项目放先,并依以下例子的格式作答,正确例子:brand&serialnumber,错误例子:serialnumber&brand

creditcard&users

在FTP目录下找到一个sql文件

本地用phpstudy起一个MySQL8.0以上的环境

Navicat中运行SQL文件重建数据库

得到两个表

125. 参考'DiskImage.e01'回答以下题目,数据库是那一天被保存?提示:请用YYYY_MM_DD的格式作答,例子:1986_01_23

2023_09_20

126. 参考'陈大昆的MacBook映象档'中的"0c1c.7z"档案回答以下题目,你可以找出生成"0c1c.bin"这个二进制文件所使用的编译器吗? (编译器名称包括所有英文字母、数字,符号,区分大小阶,不需要空格)

GCC:(Alpine9.3.0)9.3.0

在funnystuff.dmg中找到maya_quiz.7z,题目所问的0c1c.7z就在其中

exeinfo查看


*127. 参考'陈大昆的MacBook映象档‘中的"0c1c.7z"文件回答以下题目,这个恶意软件具有多少个初始化函数入口点? (请以阿拉伯数字回答,例如:100)

45

不会

128. 参考'陈大昆的MacBook映象档’中的"0c1c.7z"档案回答以下题目,这个二进制文件"0c1c.bin"的入口点是什么?(注意: 不同检验工具可能会以不同位移值开始,如:0x00000000或0x00100000,但所有回答请以0x00000000开始) (请以16进制回答,"0x"后的英文字母需大阶,例如:0x0123ABEF)

0x00068347

Entry Point

129. 参考'陈大昆的MacBook映象档'中的"0c1c.7z"文件回答以下题目,恶意软件应该包含一个名为'.rodata'的部分,请提供这个'.rodata'部分的文件大小(单位为byte),以十进制方式回答您的问题。 (请以阿拉伯数字回答,例如:100)

831408

IDA64打开0c1c.bin,在导航栏选择view>Open Subviews>Segments打开段视图

用end减去start再转为10进制

*130. 参考'陈大昆的MacBook映象档‘中的"0c1c.7z"档案回答以下题目,这个恶意软件包含两个与两种知名加密货币名称相关的字符串。它们是什么?(如有英文字母需大阶,并以前缀英文字母由小至大次序回答)请按照以下格式回答:例子:如两种知名加密货币名称分分别是Cat及Apple请填写: APPLE+CAT

KEVACOIN+REVANCOIN

IDA64中shift+F12查看字符串,搜索coin关键词


只找到Ravencoin

131. 参考'陈大昆的MacBook映象档'中的"0c1c.7z"文件回答以下题目,以下指令似乎用在加载与 CPU 绑定相关的指令操作数的内存地址,哪个函数包含了这些指令,请回答该函数的位移值。--▶ [ lea rdx, str.cpubind.set_thisproc_cpubind ](注意: 不同检验工具可能会以不同位移值开始,如: 0x00000000或0x00100000,但所有回答请以0x00000000开始)(请以16进制回答,"0x"后的英文字母需大阶,例如:0x0123ABEF)

0x004213A0

搜cpubind.set_thisproc_cpubind

132. 参考'陈大昆的MacBook映象档’中的"0c1c.7z"文件回答以下题目,以下指令可能用在与加密货币挖矿服务器进行交互。哪个函数包含了这些指令?--▶ [ lea rsi, str.___p____passPASSWORD___________password_for_mining_server_n ](注意: 不同检验工具可能会以不同位移值开始,如: 0x00000000或0x00100000,但所有回答请以0x00000000开始)(请以16进制回答,"0x"后的英文字母需大阶,例如:0x0123ABEF)

0x00AEAE0

搜索PASSWORD字符串

133. 参考'陈大昆的MacBook映象档'中的"0c1c.7z"文件回答以下题目,这个二进制文件中,有一个加密货币相关联的应用程序,请提供应用程序名称、版本和相关加密货币名称。(如有英文字母需大阶,应用程序版本请以阿拉伯数字及符号作答)应用程序名称: ___(1)___;应用程序版本: ___(2)___;加密货币名称: ___(3)___   请按照以下格式回答: (1)+(2)+(3) 例子:如(1)的内容是abc、(2)的内容是123、(3)的内容是DEF 请填写: ABC+123+DEF

XMRIG+6.19.0+MONERO

接上题找到sub_AEAE0这个函数

百度了解了一下,XMRIG一个门罗币挖矿软件

币种相关在函数后面有提及MoneroOcean

134. 参考'陈大昆的MacBook映象档'中的"35ea.7z"文件回答以下题目,你可以找出生成"35ea.bin"这个二进制文件所使用的编译器吗? (编译器名称包括所有英文字母、数字,符号,区分大小阶,不需要空格)

GCC:(Debian11.3.0-5)11.3.0

135. 参考'陈大昆的MacBook映象档'中的"35ea.7z"文件回答以下题目,这个二进制文件的入口点是什么?(注意: 不同检验工具可能会以不同位移值开始,如: 0x00000000或0x00100000,但所有回答请以0x00000000开始) (请以16进制回答,"0x"后的英文字母需大阶,例如:0x0123ABEF)

0X000024F0

136. 参考'陈大昆的MacBook映象档'中的"35ea.7z"文件回答以下题目,这个二进制文件中包含一个名为 'killVM' 的函数。请提供这个函数的大小(单位为byte)并以十进制方式回答。(请以阿拉伯数字回答,例如:100) 

208

IDA64打开,View>Open subviews>Functions

Length为D0,十六进制转十进制即208


137. 参考 '陈大昆的MacBook映象档"中的"35ea.7z"文件回答以下题目,这个二进制文件应该包含一个名为 'EncrytFile' 的函数。请提供这个函数的大小以十进制方式回答您的问题。提示:请用阿拉伯数字作答

549

138. 参考'陈大昆的MacBook映象檔'中的"35ea.7z"檔案回答以下題目,这个二进制文件中有多少个函数的名称包含'ECRYPT'字串? 提示:请用阿拉伯数字作答

7

搜索一下,是ECRYPT不是ENCRYPT

139. 参考'陈大昆的MacBook映象档‘中的"35ea.7z"文件回答以下题目,这个二进制文件与哪种勒索软件相关联?请提供其名称。提示:请用大写字母回答

CONTI

04


写在最后

题目很多,检材很大,一个人做了几天,文章编辑了两个小时

美亚杯考察的方向不侧重于取证软件的使用,更多的需要自己去手动翻数据库,自己分析其中逻辑,但是能够灵活运用各种取证软件可以达到事半功倍的效果,文中未解决的问题希望各位看官多多提供思路,多多学习交流


点点关注不迷路

喜欢的看官还请多多点赞收藏



文章来源: http://mp.weixin.qq.com/s?__biz=Mzg3NTU3NTY0Nw==&mid=2247488457&idx=1&sn=2e8be7f794767433e3d9c1c273aa56dd&chksm=cef468985bab3f9241abc2c7c78aa986015402dc38d41cc5530e863ab3e66a4e9d691c9dd0ce&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh