Individual_Container.zip.001下载以后显示是一个压缩包格式（解压密码：MeiyaCup2021）

解压得到Individual_Container加密容器，赛题存储在这里面

挂载密码HfsCk]<eUqc5Q{(DG$ugiGlt8ezGdaZ>!pQC-H\5BAc^gBo/^qq)/i21ufiN@H"Y

VTM iPhone6部分

1.[单选题] 工地主管电话的微信账号是什么? (1分)
A. Kasier751111
B. Kasierlee751111
C. Kasierlee
D. 以上皆非

iPhone6解压之后是有三个文件

 就先运行.exe文件看看

这里我们需要等待一下看看，有需要的话也可以在主页里面换成中文

 没有找到所以就是以上皆非，选择D

2. [填空题] 工地主管的隔空投送装置编号是什么? (请以英文全大写及阿拉伯数字回答) (1分）

780F624DFO99

3. [单选题] 工地主管电话的哪一个应用程序有关于于经纬度24.490474, 118.110220的纪录? (2分)

A. 照片

B. WhatsApp

C. Apple Maps

D. 以上皆非

搜索关键词apple map找到相关经纬度信息

4. [多选题] 工地主管的手提电话中下列哪些数据正确? (1分  注意这题示多选题

A. iOS 版本为 12.5.4

B. IMEI 为 454120637213361

C. Apple ID 为 kaiserlee3660@gmail.com

D. 手机曾经安装dropbox 应用程序

a对b就错了

 c对，d搜索没有搜索到

dropbox（多宝箱）是一款免费网络文件同步工具，直接在软件中搜索，并没有该软件痕迹。
5. [填空题] 工地主管的电话最常使用的浏览器是什么? (请以英文全大写回答) (1分)

这题同样也是有一定坑在里面，题目要求我们要大写，所以找到答案需要进行转换

SAFARI

6. [单选题] 工地主管的电话连接过哪一个WiFi? (1分)

A. Kaiser Lee

B. Kaiser

C. Free Wifi

D. Kaiser Home

7. [多选题] 工地主管与Alex Chan的Whatsapp 对话中，曾提及以下哪个TeamViewer的用户号码? (3分)

A. 435334881

B. 453851521

C. 435475200

D. 456874155

E. 435270306

搜索teamviewer

Alex装作电脑维修人员给这个主管修电脑，让主管装Teamviwer，实则是为了控制电脑->留后门->实施Bitlocker加密->比特币勒索。主管的TeamviewerID

其中一个同事的TeamviewerID：

还有一个同事的ID：

所以一共是三个人的ID。

 8. [填空题] 工地主管的WhatsApp中有多少个黑名单的记录? (请以阿拉伯数字回答) (2分)

0

打开一个whatsapp聊天记录，看右侧源文件的地址，找到其数据库的位置在

iPhone/mobile/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApp.shared/ChatStorage.sqlite

 

9. [多选题] 以下哪个蓝牙装置的Uuid 曾连接过工地主管的手机? (2分)注意多选题

A. 7F1FE70D-2B15-C245-853D-4196F13CC446

B. 1B057C1D-83D3-99A6-D2B1-EC54846C7CEE

C. 134ACD1-83D3-99A6-D2B1-EC54846C7CEE

D. 7D1BE70D-2C16-D246-851D-491613DD776

 计算机部分

 10.[填空题] 工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么? (请以英文全大写及阿拉伯数字回答，不用输入"-") (1分)

这几道题我们要用的检材是VTM-conputer.e01、FTP.e01

开始是时候没有发现检材是错的，后面发现确实是错的，用取证大师打开的时候，没有出现E盘

 之所以是E盘，因为它的前面出现了一把小锁，还有就是新建案列的时候也会出现bitlocker加密

 11. [填空题] 工地主管计算机內的FTP程序FileZilla的用户名称是甚么? (请以英文全大写及阿拉伯数字回答) (3分)注意需要大写

ALEX

12. [填空题] 工地主管的Team Viewer ID 是甚么? (请以英文全大写及阿拉伯数字回答) (2分）

435270306

如果还记得第七题

这道题就要有点细心了

13. [填空题] 工地主管的Team Viewer与哪一个ID连接? (请以英文全大写及阿拉伯数字回答) (3分)

  420190768 

14. [多选题] 工地主管曾用计算机浏览器作搜寻，以下哪一个关键词他曾经搜寻? (3分)
A. tiktok
B. web whatsapp
C. facebook
D. lihkg
E. hkgolden
F.web wechat

可以搜出来的不一定是对的，要点进去看看，到底是不是，可能是一个陷阱

15. [填空题] 工地主管计算机的Windows系统的产品标识符是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分）

003311000000001AA962

产品标识符就是产品id，就去系统信息里面找找

16. [填空题] 工地主管曾用计算机使用WhatsApp，他曾和以下哪个电话号码沟通? (请以阿拉伯数字回答) (2分)

找了一会没有找到

奇哥在alex的计算机镜像里找到的

17. [多选题] 工地主管计算机的用户名称是甚么? 其用户标识符是甚么? (2分)

A. 用户名称: PC1
B. 用户名称 : PC2
C. 用户名称 : PC3
D. 用户标识符: 0x000003E7
E. 用户标识符 : 0x000003E8
F. 用户标识符: 0x000003E9

 但是用户标识SID和答案不一样，因为需要转换成16进制

用户标识符一般应遵循如下的命名规则： 1、标识符只能由字母（A~Z, a~z）、数字（0~9）和下划线（_）组成，并且第一个字符必须是字母或下划线，不能是数字。 2、关键字有特殊意义，不能作为标识符

18. [单选题] 工地主管计算机的预设浏览器是甚么? (2分)

使用仿真方法做，仿真成功后，在桌面上建一个.html 文件即可发现是 chrome 浏览器的 logo

19. [填空题] 工地主管计算机的其中一个分区被人加密，分区内的电子表格Material3.xlsx的哈希值(SHA1)是甚么? (请以英文全大写及阿拉伯数字回答) (1分)

40418B21F6C3E4AF306D5EF3B80A776DA72FC1D2

前面分区5bitlocker解密了，然后找到这个文件进行，然后计算sha1值就可以了。

路由器部分

20. [多选题] 路由器的记录中显示以下有哪些IP是公司的电子器材? (3分)
A. 192.168.40.128
B. 192.168.40.129
C. 192.168.40.130
D. 192.168.40.131
E. 192.168.40.132

21. [填空题] 路由器的记录中显示公司的计算机下载了FTP软件，该下载网站的IP是什麼?(请以亚拉伯数字作答，省去“.”符号) (3分)

491212147
在filezilla日志里可以找到一些信息

22. [多选题] 路由器的记录中显示公司计算机的资料用FTP软件传到了甚么IP地址及利用端口? (2分)

AB

A. IP地址: 2*.2*.2*.114

B. IP地址: 8*.8*.1*.20

C. IP地址: 1*.1*.0*.13

D. 端口: 21

E. 端口: 80

 

23. [多选题] 路由器的记录中显示以下哪些关键词是表示公司计算机与外界网络联机? (2分)
A. destination
B. ICMP echo request
C. inside
D. outside
E. 以上皆是

outside​ 表示外网地址，inside​ 表示内网地址，destination​ 表示目标地址， ICMP echo request​ 是 ICMP 回应请求报文（Ping 指令可以产生）。
24. [单选题] 路由器的记录中显示哪一个IP曾以teamviewer 连接公司计算机? (1分)
A. 110.152.0.14
B. 52.152.117.114
C. 180.152.0.13
D. 83.26.80.131

25. [多选题] 路由器的记录中显示以下哪一个有可能是以teamviewer 遥控公司计算机的时间? (3分)
A. 09:31, 09:37
B. 0933, 09:39
C. 10:29, 10:36
D. 10:40
E. 10:42 

答案中可能会出现一个时间段，我们接着刚刚的IP

 

    9:31→10:42

26. [填空题] 路由器的记录中显示有多少电子器材有可能曾被入侵? (请以阿拉伯数字作答) (2分)

3

teamviewer与三台计算机连接