21年美亚杯电子数据取证竞赛复现
最后更新时间:
案情背景
2021年10月某日早上,本市一个名为“大路建设”的高速公路工地主管发现办公室的计算机被加密并无法开启,其后收到了勒索通知。考虑到高速公路的基建安全,主管决定报警。警方调查人员到达现场取证,发现办公室内有三部个人计算机,通过一个老款路由器接入互联网。
经调查相关电子证据后,警方怀疑一位本地男子–阿力士与本案有关,并将他拘捕。现在你被委派处理这起案件,请由以下资料分析阿力士在本案中的违法犯罪行为, 并还原事件经过。
One mobile phone which belonged to the Manager
[单选题]工地主管电话的微信账号是什么?
定位至主管的手机,解压,可以看到给了一个手机取证的软件
CellebriteReader
香港人用的都是Whatsapp,所以没有找到微信相关的信息
[填空题]工地主管的隔空投送装置置编号是什么? (请以英文全大写及阿拉伯数字回答)
原来指的是airdrop
[单选题]工地主管电话的哪一个应用程序有关于经纬度24.490474, 118.110220的纪录?
在设备位置中
[多选题] 工地主管的手提电话中下列哪些数据正确?
A. iOS 版本为 12.5.4
B.IMEI为 454120637213361
C. Apple lD 为 kaiserlee3660@gmail.com
D.手机曾经安装dropbox 应用程序
AC
[填空题]工地主管的电话最常用的浏览器是什么(请以英文全大写回答)
SAFARI
[单选题] 工地主管的电话连接过哪一个WiFi?
A. Kaiser Lee
B.Kaiser
C. Free Wifi
D.Kaiser Home
什么是SSID?
知识点- SSld:无线局域网络(WLAN)名称
[多选题] 工地主管与Alex Chan的Whatsapp 对话中,曾提及以下哪个TeamViewer的用户号码?
A.435334881
B.453851521
C.435475200
D.456874155
E.435270306
ACE
这个聊天记录md很多看不懂说啥呢,大概是这个人让主管装一下teamviewer并把ID密码告诉他
[填空题]工地主管的WhatsApp中有多少个黑名单的记录?(请以阿拉伯数字回答)
全局搜索文本”黑名单” “black”并没有出现,因此应该是在WhatsApp的数据库中 ,从聊天记录中去定位
0
[多选题] 以下哪个蓝牙装置的Uuid 曾连接过工地主管的手机?
同样定位至数据库
A.7F1FE70D-2B15-C245-853D-4196F13CC446
B.1B057C1D-83D3-99A6-D2B1-EC54846C7CEE
C.134ACD1-83D3-99A6-D2B1-EC54846C7CEE
D.7D1BE70D-2C16-D246-851D-491613DD776
AB
主管的计算机
取证大师好牛,直接识别到加密分区并支持解密
[填空题]工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么?(请以英文全大写及阿拉伯数字回答,不用输入“-”)
36EBC180-95F7-41FF-BE5B-4E56E7AF48B1
[填空题]工地主管计算机内的FTP程序FileZilla的用户名称是甚么?(请以英文全大写及阿拉伯数字回答)
ALEX
- [填空题]工地主管的Team Viewer ID是甚么?(请以英文全大写及阿拉伯数字回答)
参考第七题的聊天记录就知道主管的ID是435270306
- [填空题]工地主管的Team Viewer与哪一个ID连接?(请以英文全大写及阿拉伯数字回答
420190768
[多选题]工地主管曾用计算机浏览器作搜寻,以下哪一个关键词他曾经搜寻?
A.tiktok
B.web whatsapp
C.facebook
D.lihkg
E.hkgolden
F.web wechat
BC
[填空题]工地主管计算机的Windows系统的产品标识符是甚么?(请以英文全大写及阿拉伯数字回答,不用输入“-“)
003311000000001AA962
[填空题]工地主管曾用计算机使用WhatsApp,他曾和以下哪个电话号码沟通?(请以阿拉伯数字回答)
主管电脑上没搜寻到关于WhatsApp联系人相关的信息,所以先放一放,从被联系人那里找
[多选题]工地主管计算机的用户名称是甚么?其用户标识符是甚么?
A.用户名称: PC1
B.用户名称:PC2
C.用户名称: PC3
D.用户标识符:0x000003E7
E.用户标识符:0x000003E8
F.用户标识符:0x000003E9
ps: 用户标识符给的是16进制形式所以需要转换
A F
[单选题] 工地主管计算机的预设浏览器是甚么?
仿真一下
在设置-默认app中可以看到预设浏览器的选项
[填空频工地主管计算机的其中一个分区被人加密,分区内的电子表格Material3.xlsx的哈希值(SHA1)是甚么?(请以英文全大写及阿拉伯数字回答)
这题目前也做不了,因为我们需要先将被加密分区进行解密
尝试在其他设备探索,之前题目有线索关于FTP客户端的信息,那么很有可能中间有文件经过了FTP传输。去FTP服务器上找找
PS:在第十题中我们已经找到了修复密钥的标识符36EBC180-95F7-41FF-BE5B-4E56E7AF48B1,需要的是恢复密钥的文件,直接在证据文件中搜索
打开之后再去搜索Material3.xlsx
40418B21F6C3E4AF306D5EF3B80A776DA72FC1D2
[多选题]路由器的记录中显示以下有哪些IP是公司的电子器材?
A.192.168.40.128
B.192.168.40.129
C.192.168.40.130
D.192.168.40.131
E.192.168.40.132
132没有找到
ABCD
[填空题]路由器的记录中显示公司的计算机下载了FTP软件,该下载网站的IP是什麼?(请以阿拉伯数字作答,省去”.”符号)
尝试搜索FTP 没有结果;主管电脑上安装的FTP软件为FileZilla,搜索
49.12.121.47
还有一个思路是通过HTTPS的端口为443来搜索
[多选题)]路由器的记录中显示公司计算机的资料用FTP软件传到了甚么IP地址及利用端口?
A.IP地址: 2.2.2*.114
B.IP地址: 8.8.1*.20
C.IP地址: 1.1.0*.13
D.端口: 21
E.端口: 80
之前在主管电脑上有FTP的连接记录,ip为218.255.242.114,搜一下
AD
[多选题] 路由器的记录中显示以下哪些关键词是表示公司计算机与外界网络联机?
A.destination
B.ICMP echo request
C.inside
D.outside
E.以上皆是
参考第21题的文本
A D
算是网络的基本知识了,
outside表示外网地址,inside表示内网地址,destination表示目标地址,ICMP echo request是 ICMP 回应请求报文(Ping 指令可以产生)。[单选题] 路由器的记录中显示哪一个IP曾以teamviewer 连接公司计算机?
A. 110.152.0.14
B.52.152.117.114
C.180.152.0.13
D.83.26.80.131
还是主管的电脑teamviewer连接记录,可以试试定位TeamViewerID 或者开始时间。
发现思路不对,应该从teamviewer端口来查找
B
[多选题]路由器的记录中显示以下哪一个有可能是以teamviewer 遥控公司计算机的时间?
A.09:31,09:37
B.0933,09:39
C.10:29,10:36
D.10:40
E.10:42
从上面就可以定位全部的时间 起始和结束 ACE
[填空题]路由器的记录中显示有多少电子器材有可能曾被入侵?(请以阿拉伯数字作答)
我们已经知道了入侵是通过teamviewer 所以看看它连接了多少个IP
3个
- [多选题]阿力士 iPhone12pro电话于2021年10月21日,以下哪张相片可能曾被分享(UTC+8)?
A. IMG_0011HEIC
B. IMG_0010. HEIC
C. IMG_0009.HEIC
D. IMG_0008.HEIC
E. IMG_0007. HEIC
知识点盲区了:被分享过的图片会生成不带元数据的缩略图,所以直接在图像里过滤
找到对应的原图
A 话说这不是多选题。。。
- [单选题] 阿力士iPhone 12 pro电话中哪一张相片可能曾被修改拍摄时间?
A.IMG_0011.HEIC
B.IMG_0010.HEIC
C.IMG_0009.HEIC
D.IMG_0008.HEIC
结合上题可知修改了时间并分享, A
[填空题]阿力士iPhone 12 pro的GSM媒体访问控制地址是什么?(请以英文全大写及阿拉伯数字回答,不用输入”.”)
就是指的本机MAC地址
手机为蓝牙媒体,所以选蓝牙设备的地址
[单选题] 阿力士的iphone 12 pro以什么屏幕密码保护?
A.6位阿拉伯数字密码
B.4位阿拉伯数字密码
C.图形密码
D.以上皆非
离谱题,手工查找pslist文件,找到manifest.plist文件中的WasPasscode的值为false,表示没有设置密码锁。
[多选题]阿力士iphone 12 pro内以下哪一张相片是实况相片(live Photos)?
A.IMG_0011.HEIC
B.IMG_0010.HEIC
C.IMG_0012.HEIC
D.IMG_0009.HEIC
DAB
[单选题]以下哪一个是阿力士iphone 12 pro可能曾经连接的装置名称?
A.Chris’s MacBook Pro
B.Chirs’s iPhone
C.Chirs’s Computer
D.Chirs’s Linux.
在联系人中可以找到 A
[多选题] 接上题,记录连接时间是什么时候(UTC+8)?
A.2021年10月21日 00:58:01
B.2021年10月21日 08:58:01
C.2021年10月21日 00:58:29
D.2021年10月21日 08:58:29
时间线里也可以看到 B
[多选题]阿力士iPhone XR中在软件WhatsApp中工地主管与阿力士的对话中曾提到:[巨叫我俾钱喎,BTC係唔係呢个啊?],在进行电子数据取证分析后,以下哪一个是有可能关于此对话的正确描述?
巨叫我给钱㖞,BTC是不是这个啊
A 此对话被Kariser Lee删除
B.此对话的附件为一张图片文件
C.此对话被Alex Chan删除
D.此对话是引用Alex Chan回复
AB
[填空题]阿力士iPhone XR的WhatsApp对话中,阿力士曾要求工地主管支付多少个BTC?(请以阿拉伯数字回答)
10
[多选题] 阿力士iPhone XR中MG_0056.HEIC”的图像与”5005.JPG”(MD5:96c48152249536d14eaa80086c92fcb9)看似为同一张相片,在电子数据取证分析下,以下哪样描述是正确?
A.储存在不同的.db里
B.有不同哈希值
C. IMG_0056.HEIC为原图,5005.JPG(MD5:96c48152249536d14eaa80086c92fcb9)为缩略图
D.IMG 0056.HEIC 曾被开启过,所以在I0S系统中创建了缩略图5005.JPG(MD5:96c48152249536d14eaa80086c92fcb9)
哈希肯定不同 ,通过大小也可以判断出5005为缩略图;D的话应该是推断的吧
BCD
[多选题]阿力士iPhone XR中相片檔IMG_0056.HEIC提供了什么电子数据取证的信息?
A此相片是由隔空投送(Airdrop)得来
B.此相片由iPhone XR拍摄
C.此相片的拍摄时间为2021-10-21 17:45:48(UTC+8)
D.此相片的拍摄时间为2021-09-08 17:35:00(UTC+8)
AC A其实不太确定 因为这台设备的AirDrop ID找不到
[单选题] 阿力士iPhone XR中阿力士的电邮账户Alexc19851016@gmail.com的密码有可能是什么?
A.Ac19851016
B.Alex1985!
C.Aa475869!
D.以上皆非
备注里有 C
[填空题]阿力士iPhone XR曾经连接Wifi”Alex Home”的密码是什么?(请以英文全大写及阿拉伯数字回答)
关键词搜索 12345678
[单选题] 阿力士iPhone XR经ICloud备份的最后时间是什么?(UTC+8)?
A.2021-10-21 17:51:38(UTC+8)
B.2021-10-21 18:02:13+(UTC+8)
C.2021-10-21 09:51:38(UTC+8)
D.2021-10-21 10:02:13+(UTC+8)
C
[填空题]阿力士IPhone XR中的iBoot版本是iBoot-____?(请以阿拉伯数字回答,不用轮入”.”)
iboot苹果路径:Lockdown service/phoneInfo.xml
iBoot-6723.120.36
[多选题]阿力士IPhone XR中的WhatsApp群组【团购-新鲜猪肉牛肉-东涌群组-9/30】有以下哪一个成员?
A. 85260617332@s.whatsapp.net
B. 85260452579@s.whatsapp.net
C. 85248791565@s.whatsapp.net
D. 85264630956@s.whatsapp.net
定位数据库太慢了,选择题直接搜吧
AD
Alex的电脑
[单选题]阿力士的计算机显示曾于hongkongcard.com的论坛登记成为会员,以下哪个是他的帐户密码?
A.Aa475869!
B.Bb475869!
C.Cd475869!
D.以上皆非
在浏览器登录信息中可以找到登录名称
结合38题的note
A
[单选]阿力士的计算机显示阿力士曾用什么方法进入受害者(主管)的计算机?
A.远程操控
B.特洛伊木马程序
C.勒索软件
D.恶意软件
结合13题,利用teamviewer远程连接 A
单选题] 续上题,阿力士最后一次进入受害者(主管)计算机的时间是什么?
A.于2021年10月18日 10时36分
B.于2021年10月18日18时36分
C.于2021年10月18日6时53分
D.于2021年10月18日18时42分
D
[填空题]阿力士的计算机显示他曾经使用FTP程序,FTP的主机IP地址是什麼?(请以亚拉伯数字作答,省去”.”符号)
218.255.242.114 这个和路由器连接的FTP记录相照应
[填空题]阿力士的计算机显示于2021年9月至2021年11月期间,计算机曾被登入过多少次?(请以阿拉伯数字回答)
解题思路:这种一般是跟系统痕迹相关。 共28次
[填空题]阿力士计算机所安装的Microsoft Office 2007 是以下哪一个版本?(请以亚拉伯数字作答,省去”.”符号)
仿真直接看
12.0.4518.1014
[填空题]以下是阿力士计算机中的Basic data partition (EFI 3) 的Volume ID?(请以英文全大写及阿拉伯数字回答)
如果利用xways的话路径如下 3\System Volume Information\SPP\OnlineMetadataCache
{9705c469-7dca-4d55-ae76-7481b9f1428e}
[填空题]阿力士计算机的Window product ID是什么?(请以英文全大写及阿拉伯数字回答,不用输入”-”)
00331-10000-00001-AA411
[单选题]阿力士计算机曾经下载一张猴子的图片,以下哪一项描述正确?
B.该图片经过加密
C.该图片于2021-09-30下载
D.该图片是由GIF档转换成PNG檔
针对A,浏览器下载记录看下,有一条比较可疑,对应位置看下
针对C 应该是29日
A
- [填空题] 阿力士计算机所安装的Microsoft Office 2007 的密钥是甚么?(请以英文全大写及阿拉伯数字回答,不用输入”-”)
V77WQ-RPVP6-7MTPG-WH3G9-D44MJ
[单选题] 阿力士FTP服务器用户使用命令行安装了甚么程序?
A.Docker
B.Chrome
C.FileZilla
D.TeamViewer
A
- [多选题]以下哪些档案于阿力士FTP 服务器曾重复出现?
A.Material1
B.Material2
C.Material3
D.Staff1
E.Staff2
F.Staft3
看路径可以知道在docker内部
DEF
[填空题]在阿力士FTP服务器中,文件夹___曾被用户变更了访问权限(请以英文全大写及阿拉伯数字回答)
看历史记录即可知道 Dangerous_Project
[填空题]在阿力士FTP 服务器建设后,有___个额外用户被加入 (请以阿拉伯数字回答)
额外用户 可疑看到有一个 wai
[单选题]根据阿力士FTP服务器设定显示,此服务器是以___方式连接网络,且是一个__网络状态
A.无线,公开
B.无线,私人
C.有线,公开
D.有线,私人
IP地址是公开的 因此有线 公开 C
[填空题]阿力士FTP 服务器设定最多使用者数目是_50__(请以阿拉伯数字回答)
需要看配置文件
ftpd.conf
[填空题]阿力士FTP服务器使用Docker安装了一个FTP程序为____。(例如 space docker/1.1,请输入spacedocker/1.1,不要输入空格)
回看历史记录
stilliard/pure-ftpd
[多选题] 阿力士FTP 服务器曾使用过甚么版本的Linux内核?
A. linux-headers-5.11.0-16
B.linux-headers-5.11.0-17
C.linux-headers-5.11.0-36
D.linux-headers-5.11.0-37
E.linux-headers-5.11.0-40
直接搜吧 关键词 linux-headers
AD
[多选题]阿力士FTP 服务器的磁盘分区,有以下哪一种文件系统?
A.FAT16
B.FAT32
C.ExFAT
D.HFS+
E.Ext4
BE
[填空题]阿力士FTP服务器用户输入了指令___去检查现存的Docker容器(例 netstat lntp,清输入netstatlntp,不能输入空格)
docker container ps -a