复现一下2022美亚杯

目录

1 全局搜索

2  UNIX时间戳

3

4

5

6

7 谷歌邮箱

8 谷歌邮箱数据库

9

10 查找URL 的ip

11

12

13

14

15

16

17

18

19

20

 21 分析 waze导航

22

23  查看苹果手机接受照片的方式

24

25

 26

27  查找备忘录上锁问文件

28

29

30

31 日志文件

32

33

34

35

36

37

38

39  遇见加密数据库

40

41

42

43 虚拟机分析

44

45

46

47

48

49 源代码分析

50

51

52

53

54

55 docker分析

56

57

58  链接虚拟机docker的数据库

59

60

61 手机的mei号

62

 63

64

65

66

67

 68

69

70

总结

---

1 全局搜索

1. [单选题] 王晓琳在这本电子书籍里最后对哪段文字加入了重点标示效果(Highlight)?(2分)
A. 卿有何妙计
B. 宝玉已是三杯过去了
C. 武松那日早饭罢
D. 就除他做个强马温罢

 搜索->全局搜索

 

 所以答案是 A

2  UNIX时间戳

2. [多选题] 王晓琳的手机里有一个 MTR Mobile (港)的手机程序(Mobile App)。 检视其数据库(Database) 的数据，王晓琳于2022年10月11日 22:04 时将一行程加入书签(Bookmark)，这段行程的起点及终点站包括?(2分)
A. 尖沙咀
B. 红硒
C. 康城
D. 青衣
E. 沙田

首先提示我们MTR Mobile

我们直接搜索

分析->女友手机->基本信息->应用列表->MTR

 

 发现了文件 我们直接去他的目录看看

 看看上面这个数据库

发现里面没有我们想要的

那么我们直接在文件进行搜索

文件->女友手机->MTR

发现了一个文件夹

进去 library 看看

 发现只有一个db

发现和题目时间对得上

王晓琳于2022年10月11日 22:04

 那么我们直接导出看看

 确定了是这个数据库

 这里出现了UNIX时间戳 我们直接装换看看

 

 所以答案是DE

3

3.	[填空题] 王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片?(以拉伯数字回答)(1分)

文件->文件分类->图片->HEIC

然后设置过滤条件 为 2022-10-2 到 2022-10-3

所以答案为90条

4

4.	[单选题] 检视王晓琳的手机照片，她于2022年10月2日到过什么地方?(1分)
A. 大潭郊游径
B. 城门畔塘径
C. 大榄麦理浩径
D. 京士柏卫理径

 位置->过滤时间

 所以答案是B

5

5.	[单选题] 李大辉使用的是一台LG V10的手机，它的型号是什么?(1分)
A. LGH960C
B. LGH961N
C. LGH960H
D. LGH961C
E. LGH961D

转到李大辉

直接去手机设备信息看

 答案是B

6

6.	[单选题] 李大辉的手机最常搜索的类别(Category) 是什么?(1分)
A. 护肤品
B. 旅游
C. 运动
D. 学校

 分析->手机百度-搜索历史

 所以答案是A

7 谷歌邮箱

7.	[填空题] 李大辉最近光顾了一家美丰快运公司，这快递件的单号是什么?(不要输入符号及空白，以阿拉伯数字回答)(1分）

Android.bin/分区57/data/com.google.android.apps.photos/cache/glide_cache

在这个路径下存在google 的相册 里面存在一个照片

 

所以答案是 4567567812344567

8 谷歌邮箱数据库

8.	[单选题] 李大辉收到的电邮中有一个钓鱼链结(Phishing Link)，这个链结的地址是什么?(1分)
A. 以上皆非
B. https://bit.ly/3yeARcO
C. https://bit.ly/5vM12
D. http://bit.ly/Hell0

电邮 直接去看看

谷歌电子邮箱我们无法从火眼直接分析邮箱

直接搜索gmail

发现存在mailstore.litahui18@gmail.com.db数据库

导出后里面存在 message 表

 其中就有钓鱼链接

所以答案是B

9

9.	[单选题] 承上题，这封电邮是从哪个电邮地址寄出的?(1分)
A. 以上皆非
B. Cavinchow456@yahoo.com
C. 2020ChanChan@hotmail.com
D. 30624700Peter@proton.me

选D

10 查找URL 的ip

10.	[单选题] 承上题，寄出这封电邮的IP地址是?(2分)
A. 以上皆非
B. 65.54.185.39
C. 10.13.105.56
D. 58.152.110.218

 这里我们从数据库可以得到url

那么寄出的ip 就是 google的服务器

那么直接ping 一下谷歌的

 

 发现都不是

所以这道题选A

11

11. [单选题] 李大辉手机有一个orderxlsx 的档案被加密了，解密钥匙是什么?(1分)
A. 2022 Nov!
B. 20221101
C. Nov2022!
D. P@sswOrd!

我们在查找 快递单号的时候 就看到了密码

 选C

12

12.	[填空题]香港的街道上每一枝街灯都有编号。分析李大辉手机里的程序KMB 1933，哪一枝街灯在经度 Latitude) 22.4160270000，纬度(Longitude) 114.2139450000 附近，它的编号是什么?(以大写英及阿拉伯数字回答)(2分)

首先搜索 KMB 1933

 这种信息多半是在数据库 我们直接导出数据库

搜坐标即可

 答案是CE1453

13

13.	[填空题]李大辉的手机里有一张由该手机拍的照片，照片的元资料(Metadata) 曾被修改，这张照片的档案名是什么?(以大写英文及数字回
答，不用回答副档名)(2分)

既然是拍的照片 那么就是去系统里查找

基本信息->照片->相机

然后选择修改时间排序

 然后导出

查看档案信息

 答案就是20220922152622

14

14.	[单选题] 分析李大辉的手机里的资料，他在哪一间公司工作?(2分)
A. 美丽好化妆品公司
B. 步步高贸易公司
C. 盛大国际有限公司
D. 永恒化妆品公司

公司工作 看看微信记录

发现没有

直接搜索上搜

 发现命中了A

答案就是A

15

15. [填空题] 林浚熙曾经以手机登录Google账户的验证码是什么?(不要输入符号，以大写英文及阿拉伯数字回答)(1分)

手机登入google一般需要验证码 我们去看看短信

 答案就是 G-785186

16

16. [填空题] 林浚熙手机的 WhatsApp' 号码是什么?(号码)@s.whatsapp.net? (以阿拉伯数字回答)(1分)

直接去看whatapp

答案就是85259308538@s.whatsapp.net

17

17. [单选题] 通过分析林浚熙手机的照片，判断他在何处偷拍王晓琳?(1分)
A. 交通工具
B. 郊野公园
C. 游泳池
D. 酒店房间

让我们分析照片

我们看看

这些照片我们就能选出答案

选D

18

18.	[填空题] 林浚熙曾经删掉自己拍摄的照片，这张照片的档案名(Filename) 是什么?(不要输入，以大写英文及阿拉伯数字回答。如Cat10.jpg，需回答CAT10JPG)(2分)

直接去看最近删除

  答案就是IMG0444JPG

19

19.	[填空题] 王晓琳曾经发送一个PDF档案予林浚熙，这个档案的文件签名(File Signature) 是什么?(以十六进制数字答首八位数值，如
FOA1C5E1)(2分)

首先是王晓琳发送了文件 我们就直接找一下他们的聊天

在whatsapp

里面就存在文件

 发现打不开我们导出 放010看看文件签名

答案就是D0CF11E0

20

20.	[填空题] 承上题，该PDF档案内包含一位曾经被肩的受害者资料。分析林熙手机的数据，这位受害者的英文名字是什么?(不要输入符号及空白，以大写英文回答)(2分)

上面的题目发现了前面 并不是pdf

而是excel 通过excel打开

然后从聊天记录的HEI的聊天发现

 比对知道了是wongsaiping

 21 分析 waze导航

21.	[单选题] 分析林浚熙手机上的数据，他在2022年10月17日计划去什么地方?(2分)
A. 以上皆非
B. 荃湾站
C. 沙田站
D. 国际金融中心二期

首先我们从自动分析中无法找到有用信息

这里存在一个app

 我们直接进入源文件看看 因为如果会有记录说明用户有使用这个

发现存在数据库 我们导出看看

 出现了地址 并且有时间戳 我们进行转换

 发现沙田站就是 10-17的地址

所以这道题选择C

22

22.	[填空题] 承上题，上述行程的结束时间是?(如答案为 1:01:59，需回答 160159)(2分)

一样的数据库中也有

 

 答案是1665981900

23  查看苹果手机接受照片的方式

23. [填空题] 于林浚熙的手机里，在2022年9月1日 或以后，哪一张照片是由其他手机拍摄的，而它的档案名是什么?(不要输入，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG)(2分)

其他手机拍摄我们直接去看看相册发现看不出来

但是苹果手机存在一个数据库

打开 数据库

在

 发现了 sharing的 并且还存在时间 我们直接去查找

 

 所以答案就是 IMG0446HEIC

24

24. [单选题] 根据照片的数据库Photos.sglite资料，哪一个栏目标题(Column Header) 可以显示这张照片的接收方式?(2分)
A. ZRECEIVEMETHODIDENTIFIER
B. ZIMPORTEDFROMSOURCEIDENTIFIER
C. ZIMPORTEDBYBUNDLEIDENTIFIER
D. ZRECEIVEDFROMIDENTIFIER

这道题就是上道题

选C

25

25. [单选题] 承上题，这张照片通过什么方式接收?(2分)
A. 网页下载
B. 蓝牙传送
C. 以上皆非
D. WhatsApp软件传送
E. Signal软件传送

com.apple.sharingd

说明选C 都不是 应该是

 26

[填空题] 承上题，这张照片原本的档案名(Original Filename) 是什么?不要输入，以大写英文及阿拉伯数字回答。如 Cat10,jpg，需回答CAT10JPG)(3分)

原本的档案名

我们可以从数据库里得到

答案是 IMG0730HEIC

27  查找备忘录上锁问文件

27 [填空题] 林熙手机里有一个备忘录(Notes)被上了锁，这个备忘录的名称是什么?(以大写英文及阿拉数字回答)(1分)

搜索 note

两个数据库 打开第一个看看 每一个表都搜索一下 halo

因为备忘录里有halo

 

 出现了

这里我们能发现

 这两个的表和其他不一样 说明这是上锁的

 后面的1 代表是上锁

所以答案是 HALO

28

[填空题] 承上题，上述备忘录的内容有一串数字，它是什么?(以阿拉伯数字回答)(2分)

需要使用脚本或者配置一台Mac虚拟机

29

29. [单选题] 林浚熙计算机(Computer) 的操作系统(Operating System) 版本是什么?(1分)
A. Windows 10 Pro for Workstations 21H2
B. Windows 10 Pro 22H2
C. Windows 10 Home 21H2
D. Windows 10 Pro for Workstations 21H1

创建一个虚拟机

进去查看

选A

30

. [填空题] 林浚照计算机安装了什么品牌的虚拟专用网络 Virtual Private Network - VPN)软件?(不要输入符号及空白，以大写英文及阿拉伯数字回答)(1分)

答案就是 ExpressVPN

31 日志文件

31. [填空题] 承上题，分析该虚拟专用网络的日志(Log)，他在哪天安装该虚拟专用网络?(如答案为 2022-12-29，需回答 20221229)(2分)

 查找log

ChunHei_Desktop.E01/分区1/Users/HEI/AppData/Local/ExpressVPN/v4/Log

答案就是20220915

32

32. [填空题] 检视林浚照计算机的数据，他使用哪种加mh币(Cryptocurrency) 以支付虚拟专用网络软件?以大写英文回答该加密货币的全名，如 BITCOIN)(1分)

需要交易 那么就需要网站

直接每个网站搜一下 vpn

发现了 bitpay

答案就是Bitcoin 比特币

33

33. [填空题] 林浚熙的加密贷钱包ocurrency Wallet) 名称是什么?不要输入符号，以大写英文及阿拉伯数字回答2分)

首先我们 需要知道虚拟钱包的软件

直接搜

发现了 electrum的config

 其中就有账号密码

 或者直接仿真

 所以答案就是tellaw_ieh

34

34. [多选题] 林浚熙计算机里安装了哪个浏览器(Web Browser)? (1分)
A.Tor Browser
B.Microsoft Edge
C.Google Chrome
D.Opera
E.Internet Explorer

直接看火眼

答案就是ACEB

35

35. [单选题] 林浚熙使用浏览器 Google Chrome' 曾经浏览最多的是哪 个网站? (1分)
A. https://gmail.com
B. https://mail.google.com/mail
C. https://web.whatsapp.com
D. https://facebook.com

一个一个看过去

C

36

36. [多选题] 除了上述网站,林浚熙曾使用浏览器 Google Chrome' 搜索过什么?(1分)
A. javascript教学
B. php sql教学
C. tor教学
D. docker image教学
E. electrum教学

BCDE

37

37. [单选题] 林浚照的计算机安装了一个通讯软件Signal'，它的用户部储存路径是什么?(1分)
A. Users\HEINDesktop Signal
B. Users\HEI\AppData Roaming Signa
C. Program Files (x86)Signal
D. Users\user Roaming Signal

选B 直接查看快捷指令指向的地址

38

38. [填空题] 通讯软件Signal采用一个档案存放用户的聊天记录，它的档案名是什么?(不要输入，以大写英文及阿拉伯数字回答。如Cat10.jpg，需回答CAT10JPG)(2分)

存档 那么多半就是数据库 找一找

 找到了

就是 db.sqlite

39  遇见加密数据库

39. [填空题] 承上题，对上档案进行分析，林发熙的联络人当中有多少人安装了Siqnal?(以阿拉伯数字回答)(3分)

首先我们从上一题得到了数据库我们导出文件

 打开后发现是加密的

我们直接去到signal的目录下去看看

ChunHei_Desktop.E01/分区1/Users/HEI/AppData/Roaming/Signal

 当我们看到了 config.json的配置文件的时候发现了key

 45cc1769003bb596166e0d5a01ad20bb056392cc690618764a5204da28476e1b

那我们直接去解密

发现不是密码

那加上0x作为初始口令

0x45cc1769003bb596166e0d5a01ad20bb056392cc690618764a5204da28476e1b

成功打开了

然后再conversation中可以发现

 除了第一个是自己 其他还有四个人

所以答案是4

但是发现了 火眼就分析出来了

40

40. [填空题] 林浚熙在“Signal' 曾经与某人对话，那人的手机号码是什么? 需要与区码(Area Code) 一同答(以阿拉伯数字3分)

仿真里

 发现是king

然后去数据库里看看

答案就是85270711901

从火眼直接看也可以

41

41. [多选题] 承上题，两人在Signal' 的对话中有些讯息(Message) 包含附件，这些讯息的 D'包括?(2分)
A.5b9650fe-3bb6-4182-9900-f56177003672
B.46a8762b-78ea-49aa-a6f5-b24975ec189f
C.9729bf92-ab9c-45f7-8147-66234296aele
D.47233ffe-1a73-4b3d-b97c-626246ec3129

提示我们在message表

那我们去message表看看

hasAttachments字段 意思是附件

其中 会发现有 两个是1

答案就是BC

42

42. [填空题]承上题，林浚熙曾经于2022年10月20日账Transfer Money) 予上述对话人士,那次眼的参考编号是什么?(以大写英文及阿拉白数字回答)(3分)

答案就是N91088774024

43 虚拟机分析

43. [单选题] 林浚照的计算机安装了多少台虚拟机Virtual Machine - VM) ?(以阿拉伯数字回答)(1分)
A. 4
B. 1
C. 2
D. 3

仿真和火眼提取的都可以看

选B

44

44. [单选题] 林浚熙的计算机里的虚拟机(VM) 存放在什么路径?(1分)
A. User HEI Roaming Virtual Machinesl
B. Users Public Documents  Virtual Machines
C. Program Files Virtual Machines
D. \Users\HEINDocuments Virtual Machines	

火眼

 仿真

选D

45

45. [单选题] 虚拟机 (VM) 使用什么版本的作业系统(Operating System) ?(1分)
A. CentOs Linux 7.5.1804 (Core)
B. Ubuntu 22.04.1 LTS
C. CentOS Linux release 7.6.1810(Core)
D. Ubuntu 20.04.5 LTS

查看版本

 选D

46

46. [多选题] 虚拟机(VM) 中的文件传输服务器(FTP Server) 有哪些用户?(2分)
A. nobody
B. root
C. admin
D. man
E. ftpuser

将整个虚拟机导出

然后存入火眼取证

答案是BE

47

47. [多选题] 虚拟机设置了什么网页服务器(Web Server)? (2分) 

A. NGINX

B. LIGHTTPD

C. WORDPRESS

D. APACHE

E. IIS

 答案是AD

48

48. [单选题] 网页服务器目录内有图片档案，而此档案的储存位置是?(1分)
A. /var/www/html/post/src
B. /var/www/html/post/css
C. /var/www/html/post/vendor
D. /var/www/post

直接找就行了

选B

49 源代码分析

49. [单选题] 分析网页服务器的网站数据，假网站的公司名称是什么?(1分)
A. Krick Global Logistics
B. Global Logistics
C. Krick Post Global Logistics
D. Krick Post

直接搜index

 选D

50

50. [单选题] 检视假网站首页的显示，AY806369745HK 代表什么?(1分)
A. 邮件号码
B. 邮件收费号码
C. 邮件序号
D. 邮件参考号码

导出源代码

现在是乱码

加代码

<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>

 所以选A

51

51. [填空题] 分析假网站的资料，当受害人经假网站输入数据后，网站会产生一个档案，它的档案名是什么?(不要输入“，以大写英文及阿拉数字回答。如 Cat10.jpg，需回答CAT10JPG)(2分)

从index追踪到process

打开vu.txt

确实是数据

所以答案就是vu.txt

52

52. [多选题] 分析假网站档案，process.php' 源码(Source Code),推测此档案的用途可能是?(2分)
A. 改变函数
B. 产生档案
C. 发出邮件
D. 更新数据库

首先从51

我们知道了生成档案

 这里又说明是 发出邮箱

所以答案是BC

53

53. [填空题] 检视档案process.php' 源码, 林浚照的电邮密码是?(以大写英文回答)(1分)

 答案是RTATSCEUCPACOCBDACS

54

54. [多选题] 分析档案process.php' 源码, 它不会收集哪些资料?(2分)
A. GPS位置
B. 信用卡号码
C. 短讯验证码
D. 电话号码
E. 电邮地址

答案就是ACE

55 docker分析

55. [填空题] 虚拟机 (VM)安装了 Docker 程序，列出一个以5作为开端的 Doker"镜像 mage) ID (以阿拉伯数字及大写英文回答)（2分)

 答案是

5d58c024174dd06df1c4d41d8d44b485e3080422374971005270588204ca3b82

56

56. [填空题] Docker 容器(Container)mysql' 对外开放的通讯端口(Port) 是?(3分)

 容器列表中的源文件

点开看配置

 

所以答案是 43306

57

57. [填空题] Docker容器mysql，用户 root' 的密码是?(以大写英文及阿拉伯数字回答)(2分)

在历史命令中可以找到

 答案就是2wsx3edc

58  链接虚拟机docker的数据库

58. [填空题] Docker容器，mysql 里哪一个数据库储存了大量个人资料?(以大写英文回答)(3分)

这里我们需要打开虚拟机将mysql启动

但是需要密码

 我们去看看有没有密码

 发现了

进入虚拟机 首先

sudo -i 

切换为root

然后 ipconfig 下载工具查看 ip


查看docker中的mysql是什么

docker ps -a

 这里我的ip是 192.168.222.131

 

 发现docker的id是ca

那我们启动容器

docker start caa

 然后我们打开数据库连接工具

 

 

 发现了信息表

是在krickpost数据库中

所以答案是 krickpost

59

59. [填空题]检视 Docker 容器'mysql' 内数据库里的资料，李大辉的出生日期是?(如答案为 2022-12-29，需答 20221229) (3分)

直接搜

 答案就是 19850214

60

60. [多选题] 通过取证调查结果进行分析(包括但不限于以上问题及情节)，林照的行为涉及哪一种罪案?(5分)
A.传送儿童色情物品
B.抢劫
C.诈骗
D.勒索金钱
E.购买毒品

我们直接去看看聊天记录

 这里体现了毒品

这里体现了勒索

61 手机的mei号

61. [填空题] 王晓琳手机的MEI' 号是什么?(以阿拉伯数字回答)(1分)

答案是 352978115584444

62

62. [多选题] 王晓琳的手机安装了什么即时通讯软件(lnstant Messaging Apps)?(1分)
A. Signal
B. 微信(WeChat)
C. QQ
D. WhatsApp
E. LINE

答案是ABD

 63

63. [单选题] 王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 PDF档案?(以时区UTC+8回答)(1分)
A.2022-09-30 17:39:53
B.2022-10-01 17:39:53
C.2022-09-30 18:30:28
D.2022-10-01 16:30:22

 答案是A

64

64. [填空题] 承上题，这个 PDF 档案的MD5哈希值Hash Value) 是什么?(以大写英文及阿拉伯数字回答)(1分)

答案是 AE0D6735BBE45B0B8F1AB7838623D9C8

65

65. [单选题] 王晓琳将这个“PDF 档案发给哪一个用户,而该用户的手机号码是什么?(1分)
A.85297663607
B.85259308538
C.85269707307
D.85246427813

 答案是B

66

66. [多选题] 王晓琳发出这个，PDF 档案的原因是什么?(1分)
A. 寻求协助
B. 分享档案内容
C. 错误发出
D. 无法开启

看聊天记录

答案是AD        

67

67. [单选题] 承上题，分析王晓琳与上述用户的对话，他们的关系是什么?(1分)
A. 客户
B. 师生
C. 家人
D. 同事

分析出来是同事

 68

68.[单选题] 王晓琳于何时要求上述用户删除 张照片?(1分)
A. 2022-10-06
B. 2022-09-28
C. 2022-09-30
D. 2022-10-03

聊天记录

 选D

69

69.[单选题] 承上题，该用户向王晓琳提出什么要求以删除这张照片?(1分)
A. 金钱
B. 毒品
C. 性服务
D. 加密货币

 

选A

70

70.[单选题] 王晓琳的手机里有什么电了书籍(Electronic Book) ?(2分)
A. 三国演义
B. 红楼梦
C. 水浒传
D. 西游记

苹果手机

那我们搜索book看看

导出可疑选项

然后直接读取

 或者直接从耗时任务中

 能发现是三国演义

所以选择A

到此 美亚2022个人赛结束

总结

很多题目都是根据wp得到想法

比如很多牵扯到数据库的题目

打算以后有机会再做一次 少看点wp