由于是第一次接触学习，本文将着重讲一下我如何使用工具创建“案件”从而进行取证。

加载检材

检材文件下载链接：https://pan.baidu.com/s/1kg8FMeMaj6BIBmuvUZHA3Q?pwd=ngzs
下载文件解压密码：MeiyaCup2022
加密容器解密密钥：
CZDGm#&2_Ns$7wSMn%ZGr7xntcHS7d5uFta#Up9544jx_cvP$uFM7?pTDa*jN&QyFDLS8U%hx$fXN^BY$Xsj+3@F^y#4QFXb*Uq@wLmkCE7?&Yp+nX6s@hKrzpVE%v?&

检材文件下载后，解压"IndividualContainer2022.zip.001"这一个文件 ，解压时间半小时左右。解压完成后生成文件“IndividualContainer2022”：

解压完成后的文件“IndividualContainer2022”使用工具VeraCrypt加载：

VeraCrypt加载完成后直接创建新的分区：

检材加载完毕。

创建案件

Report当中是调查报告，忽略掉。"创建案件"使用的是“Image”中的文件。

输入案件名称，进行“创建案件”：

“添加检材”时，“Desktop”里的文件就选择“镜像文件”，“Mobile”或“iPhone”里的文件是压缩包，进行解压后，选择“文件集合”添加检材。

创建案件完毕。

个人赛部分（共70题）

1.

1. [单选题] 王晓琳在这本电子书籍里最后对哪段文字加入了重点标示效果(Highlight)?(2分)
   A. 卿有何妙计
   B. 宝玉已是三杯过去了
   C. 武松那日早饭罢
   D. 就除他做个强马温罢

全局搜索文字：

全局搜索结果只有“卿有何妙计”，明显这题的答案为A：

答案：A

2.

2. [多选题] 王晓琳的手机里有一个 MTR Mobile (港)的手机程序(Mobile App)。 检视其数据库(Database) 的数据，王晓琳于2022年10月11日 22:04 时将一行程加入书签(Bookmark)，这段行程的起点及终点站包括?(2分)
   A. 尖沙咀
   B. 红硒
   C. 康城
   D. 青衣
   E. 沙田

在她手机中的文件系统搜索关键词“mtr”：

在文件夹Library中发现关键数据库“E_Tourist.db”：

选中“E_Tourist.db”，导出文件：

看哪一条创建时间符号题目描述“2022年10月11日 22:04 ”。查询了一下，这里使用的是时间戳，Unix 时间戳是从1970年1月1日（UTC/GMT的午夜）开始所经过的秒数。

在线工具转换“2022-10-11 22:04:27”：

时间戳为“1665497067”的是这条数据：

答案：DE

3.

3. [填空题] 王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片?(以拉伯数字回答)(1分)

苹果的iOS 11更新后，iPhone 7及其后硬件，在拍摄照片时默认存储为HEIC格式。
AP女友，文件分类，图片，heic，修改时间：起始2022-10-2 结束2022-10-3。
筛选就可以得出答案为90张照片。

答案：90

4.

4. [单选题] 检视王晓琳的手机照片，她于2022年10月2日到过什么地方?(1分)
   A. 大潭郊游径
   B. 城门畔塘径
   C. 大榄麦理浩径
   D. 京士柏卫理径

浏览照片，发现照片中拍到地标：“城门畔塘径”

答案：B

5.

5. [单选题] 李大辉使用的是一台LG V10的手机，它的型号是什么?(1分)
   A. LGH960C
   B. LGH961N
   C. LGH960H
   D. LGH961C
   E. LGH961D

快速分析，李大辉手机基本信息：

答案：B

6.

6. [单选题] 李大辉的手机最常搜索的类别(Category) 是什么?(1分)
   A. 护肤品
   B. 旅游
   C. 运动
   D. 学校

快速分析，浏览器：

手机百度显示的搜索历史中，护肤品搜索最多：

答案：A

7.

7. [填空题] 李大辉最近光顾了一家美丰快运公司，这快递件的单号是什么?(不要输入符号及空白，以阿拉伯数字回答)(1分）

点击文件，文件系统，目录：

Android.bin/分区57/data/com.google.android.apps.photos/cache/glide_cache

里面保存了快递单的图片，单号是：4567567812344567

答案：4567567812344567

8.

8. [单选题] 李大辉收到的电邮中有一个钓鱼链结(Phishing Link)，这个链结的地址是什么?(1分)
   A. 以下皆非
   B. https://bit.ly/3yeARcO
   C. https://bit.ly/5vM12
   D. http://bit.ly/Hell0

点击文件，搜索李大辉的邮箱的数据库文件，如图：

导出选中的这个文件，数据库管理工具打开，查看到题目所述诈骗邮件，找到钓鱼网站：

答案：B

9.

9. [单选题] 承上题，这封电邮是从哪个电邮地址寄出的?(1分)
   A. 以上皆非
   B. Cavinchow456@yahoo.com
   C. 2020ChanChan@hotmail.com
   D. 30624700Peter@proton.me

同样在数据库文件中：

答案：D

10.

10. [单选题] 承上题，寄出这封电邮的IP地址是?(2分)
    A. 以下皆非
    B. 65.54.185.39
    C. 10.13.105.56
    D. 58.152.110.218

在数据库里发现电邮寄送地址是“mail.google.com”，ping一下看ip：

答案：A

11.

11. [单选题] 李大辉手机有一个orderxlsx 的档案被加密了，解密钥匙是什么?(1分)
    A. 2022 Nov!
    B. 20221101
    C. Nov2022!
    D. P@sswOrd!

文档搜索“order”，找到文档导出文件：

在手机图片里面有密码：

密码为“C. Nov2022!”

答案：C

12.

12. [填空题]香港的街道上每一枝街灯都有编号。分析李大辉手机里的程序KMB 1933，哪一枝街灯在经度 Latitude) 22.4160270000，纬度(Longitude) 114.2139450000 附近，它的编号是什么?(以大写英及阿拉伯数字回答)(2分)

文件栏搜索kmb数据库文件，导出数据库文件，搜索经纬度：

答案：CE1453

13.

13. [填空题]李大辉的手机里有一张由该手机拍的照片，照片的元资料(Metadata) 曾被修改，这张照片的档案名是什么?(以大写英文及数字回答，不用回答副档名)(2分)

相机图片数量不多，全部看下来发现是这张密码的图，创建时间和修改时间不一致：

答案：20220922_152622

14.

14. [单选题] 分析李大辉的手机里的资料，他在哪一间公司工作?(2分)
    A. 美丽好化妆品公司
    B. 步步高贸易公司
    C. 盛大国际有限公司
    D. 永恒化妆品公司

在文件中发现有关于他名字的文件，应该是工作单位的文件：

答案：A

15.

15. [填空题] 林浚熙曾经以手机登录Google账户的验证码是什么?(不要输入符号，以大写英文及阿拉伯数字回答)(1分)

查看信息可以找到：

答案：G785186

16.

16. [填空题] 林浚熙手机的 WhatsApp’ 号码是什么?(号码)@s.whatsapp.net? (以阿拉伯数字回答)(1分)

分析这个软件，就会有号码：

答案：85256412770@s.whatsapp.net

17.

17. [单选题] 通过分析林浚熙手机的照片，判断他在何处偷拍王晓琳?(1分)
    A. 交通工具
    B. 郊野公园
    C. 游泳池
    D. 酒店房间

检查林浚熙手机照片，发现这张图片：场景是酒店房间。

答案：D

18.

18. [填空题] 林浚熙曾经删掉自己拍摄的照片，这张照片的档案名(Filename) 是什么?(不要输入，以大写英文及阿拉伯数字回答。如Cat10.jpg，需回答CAT10JPG)(2分)

分析，图片中，只有一张最近删除：

答案：IMG0444JPG

19.

19. [填空题] 王晓琳曾经发送一个PDF档案予林浚熙，这个档案的文件签名(File Signature) 是什么?(以十六进制数字答首八位数值，如
    FOA1C5E1)(2分)

文件签名是什么？简单理解就是文件格式标识。

这个文件在WhatsApp王晓琳与林浚熙的对话中，使用010 Editor看文件签名：

答案：D0CF11E0

20.

20. [填空题] 承上题，该PDF档案内包含一位曾经被肩的受害者资料。分析林熙手机的数据，这位受害者的英文名字是什么?(不要输入符号及空白，以大写英文回答)(2分)

该档案不是PDF，修改后缀为xls或者doc可以打开：

手机WhatsApp数据中，最后一个人为受害者：

答案：WONGSAIPING

21.

21. [单选题] 分析林浚熙手机上的数据，他在2022年10月17日计划去什么地方?(2分)
    A. 以上皆非
    B. 荃湾站
    C. 沙田站
    D. 国际金融中心二期

分析位置出行：

在这个叫waze的位置出行APP发现一个收藏，并且有数据库文件：

将其导出文件，在数据表中发现信息：

将时间戳转换一下，他在2022年10月17日计划去沙田站：

答案：沙田站

22.

22. [填空题] 承上题，上述行程的结束时间是?(如答案为 1:01:59，需回答 160159)(2分)

结束时间也就是后面这个时间戳：

答案：1665981900

23.

23. [填空题] 于林浚熙的手机里，在2022年9月1日 或以后，哪一张照片是由其他手机拍摄的，而它的档案名是什么?(不要输入，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG)(2分)

这张图片在取证王晓琳的时候就见过，考虑到她与林浚熙是男女朋友，这是王晓琳手机拍摄，发送给林浚熙的。

王晓琳手机：

答案：IMG0418JPG

24.

24. [单选题] 根据照片的数据库Photos.sqlite资料，哪一个栏目标题(Column Header) 可以显示这张照片的接收方式?(2分)
    A. ZRECEIVEMETHODIDENTIFIER
    B. ZIMPORTEDFROMSOURCEIDENTIFIER
    C. ZIMPORTEDBYBUNDLEIDENTIFIER
    D. ZRECEIVEDFROMIDENTIFIER

照片数据库文件Photos.sqlite路径如下：
00008020-00017D9E2E44402E.tar/CameraRollDomain/Media/PhotoData

“Imported by Bundle Identifier”这个是导入的方式，也就是“照片的接收方式”：

答案：C

25.

25. [单选题] 承上题，这张照片通过什么方式接收?(2分)
    A. 网页下载
    B. 蓝牙传送
    C. 以上皆非
    D. WhatsApp软件传送
    E. Signal软件传送

没有显示“IMG_0418.JPG”的导入方式（null）：

答案：C

26.

26. [填空题] 承上题，这张照片原本的档案名(Original Filename) 是什么?不要输入，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG)(3分)

原本的档案名要去王晓琳的手机查看：

答案：IMG1403JPG

27.

27 [填空题] 林熙手机里有一个备忘录(Notes)被上了锁，这个备忘录的名称是什么?(以大写英文及阿拉数字回答)(1分)

搜索“note”，出现两个数据库，打开第一个：

显示备忘录“halo”是加密的：

答案：HALO

28.

28. [填空题] 承上题，上述备忘录的内容有一串数字，它是什么?(以阿拉伯数字回答)(2分)

29.

29. [单选题] 林浚熙计算机(Computer) 的操作系统(Operating System) 版本是什么?(1分)
    A. Windows 10 Pro for Workstations 21H2
    B. Windows 10 Pro 22H2
    C. Windows 10 Home 21H2
    D. Windows 10 Pro for Workstations 21H1

创建虚拟机，进入查看：

如图，显示系统为win10 pro for Workstations 21h2。

答案：A

30.

30. [填空题] 林浚照计算机安装了什么品牌的虚拟专用网络 Virtual Private Network - VPN)软件?(不要输入符号及空白，以大写英文及阿拉伯数字回答)(1分)

答案：EXPRESSVPN

31.

31. [填空题] 承上题，分析该虚拟专用网络的日志(Log)，他在哪天安装该虚拟专用网络?(如答案为 2022-12-29，需回答 20221229)(2分)

虚拟机里面找到log文件：

答案：20220915

32.

32. [填空题] 检视林浚照计算机的数据，他使用哪种加mh币(Cryptocurrency) 以支付虚拟专用网络软件?以大写英文回答该加密货币的全名，如 BITCOIN)(1分)

答案：BITCOIN

33.

33. [填空题] 林浚熙的加密贷钱包ocurrency Wallet) 名称是什么?不要输入符号，以大写英文及阿拉伯数字回答2分)

答案：	TELLAWIEH

34.

34. [多选题] 林浚熙计算机里安装了哪个浏览器(Web Browser)? (1分)
    A.Tor Browser
    B.Microsoft Edge
    C.Google Chrome
    D.Opera
    E.Internet Explorer

经过搜索，共有四个：

或者。
通过快速分析，分析一下浏览器：

答案：ABCE

35.

35. [单选题] 林浚熙使用浏览器 Google Chrome曾经浏览最多的是哪个网站? (1分)
    A. https://gmail.com
    B. https://mail.google.com/mail
    C. https://web.whatsapp.com
    D. https://facebook.com

很明显是“C. https://web.whatsapp.com”。

答案：C

36.

36. [多选题] 除了上述网站,林浚熙曾使用浏览器 Google Chrome搜索过什么?(1分)
    A. javascript教学
    B. php sql教学
    C. tor教学
    D. docker image教学
    E. electrum教学

经过查询，没有 javascript教学。

答案：BCDE

37.

37. [单选题] 林浚照的计算机安装了一个通讯软件Signal’，它的用户部储存路径是什么?(1分)
    A. Users\HEINDesktop Signal
    B. Users\HEI\AppData Roaming Signa
    C. Program Files (x86)Signal
    D. Users\user Roaming Signal

答案：B

38.

38. [填空题] 通讯软件Signal采用一个档案存放用户的聊天记录，它的档案名是什么?(不要输入，以大写英文及阿拉伯数字回答。如Cat10.jpg，需回答CAT10JPG)(2分)

快速分析，分析signal：

从聊天记录跳转到源文件：

“档案”是这个数据库“db.sqlite”。

答案：DBSQLITE

39.

39. [填空题] 承上题，对上档案进行分析，林发熙的联络人当中有多少人安装了Siqnal?(以阿拉伯数字回答)(3分)

火眼还是很强的，已经分析出来了是四位联系人。

db.sqlite发现有加密：

signal的目录里面有“config.json”文件保存着key：

key的前面加0x，以原始密钥方式解开文件：

“conversations”表中存着有用户信息，除去“Hel”本人，有四位联系人：

40.

40. [填空题] 林浚熙在“Signal’ 曾经与某人对话，那人的手机号码是什么? 需要与区码(Area Code) 一同答(以阿拉伯数字3分)

就是这个“Rocky”：

虚拟机里面也可以查看：

41.

41. [多选题] 承上题，两人在Signal’ 的对话中有些讯息(Message) 包含附件，这些讯息的 D’包括?(2分)
    A.5b9650fe-3bb6-4182-9900-f56177003672
    B.46a8762b-78ea-49aa-a6f5-b24975ec189f
    C.9729bf92-ab9c-45f7-8147-66234296aele
    D.47233ffe-1a73-4b3d-b97c-626246ec3129

题目提示到查“Message”表：

答案：BC

42.

42. [填空题]承上题，林浚熙曾经于2022年10月20日账Transfer Money) 予上述对话人士,那次眼的参考编号是什么?(以大写英文及阿拉白数字回答)(3分)

答案：N91088774024

43.

43. [单选题] 林浚照的计算机安装了多少台虚拟机Virtual Machine - VM) ?(以阿拉伯数字回答)(1分)
    A. 4
    B. 1
    C. 2
    D. 3

查询到只有一台Ubuntu虚拟机：

答案：B

44.

44. [单选题] 林浚熙的计算机里的虚拟机(VM) 存放在什么路径?(1分)
    A. User HEI Roaming Virtual Machinesl
    B. Users Public Documents Virtual Machines
    C. Program Files Virtual Machines
    D. \Users\HEINDocuments Virtual Machines

虚拟机中查看：

火眼中，跳转到源文件，也可：

答案：D

45.

45. [单选题] 虚拟机 (VM) 使用什么版本的作业系统(Operating System) ?(1分)
    A. CentOs Linux 7.5.1804 (Core)
    B. Ubuntu 22.04.1 LTS
    C. CentOS Linux release 7.6.1810(Core)
    D. Ubuntu 20.04.5 LTS

把虚拟机文件全部导出，VMware打开虚拟机，版本号：

答案：D

46.

46. [多选题] 虚拟机(VM) 中的文件传输服务器(FTP Server) 有哪些用户?(2分)
    A. nobody
    B. root
    C. admin
    D. man
    E. ftpuser

火眼仿真进行创建虚拟机，把他的密码重置：

然后火眼证据分析将它添加进检材：

答案：BE

47.

47. [多选题] 虚拟机设置了什么网页服务器(Web Server)? (2分)
    A. NGINX
    B. LIGHTTPD
    C. WORDPRESS
    D. APACHE
    E. IIS

答案：AD

48.

48. [单选题] 网页服务器目录内有图片档案，而此档案的储存位置是?(1分)
    A. /var/www/html/post/src
    B. /var/www/html/post/css
    C. /var/www/html/post/vendor
    D. /var/www/post

答案：B

49.

49. [单选题] 分析网页服务器的网站数据，假网站的公司名称是什么?(1分)
    A. Krick Global Logistics
    B. Global Logistics
    C. Krick Post Global Logistics
    D. Krick Post

答案：C

50.

50. [单选题] 检视假网站首页的显示，AY806369745HK 代表什么?(1分)
    A. 邮件号码
    B. 邮件收费号码
    C. 邮件序号
    D. 邮件参考号码

导出index.php文件，查看源码发现AY806369745HK是邮件号码：

答案：A

51.

51. [填空题] 分析假网站的资料，当受害人经假网站输入数据后，网站会产生一个档案，它的档案名是什么?(不要输入“，以大写英文及阿拉数字回答。如 Cat10.jpg，需回答CAT10JPG)(2分)

受害人输入数据，网页跳转到"process.php"：

“process.php”：

检查"vu.txt"，其中就是存在受害人数据：

答案：VUTXT

52.

52. [多选题] 分析假网站档案，process.php’ 源码(Source Code),推测此档案的用途可能是?(2分)
    A. 改变函数
    B. 产生档案
    C. 发出邮件
    D. 更新数据库

从这一源码片段看到，“process.php”生成文件vu.txt，将message通过邮件chunhe11amm@gmail.com账户发送到chunhe11amm@gmail.com账户。即产生档案、发出邮件：

答案：BC

53.

53. [填空题] 检视档案process.php’ 源码, 林浚照的电邮密码是?(以大写英文回答)(1分)

答案：RTATSCEUCPACOCBDACS

54.

54. [多选题] 分析档案process.php’ 源码, 它不会收集哪些资料?(2分)
    A. GPS位置
    B. 信用卡号码
    C. 短讯验证码
    D. 电话号码
    E. 电邮地址

其实看vu.txt也可以看出答案：

答案：ACD

55.

55. [填空题] 虚拟机 (VM)安装了 Docker 程序，列出一个以5作为开端的 Doker"镜像 mage) ID (以阿拉伯数字及大写英文回答)（2分)

答案：5D58C024174DD06DF1C4D41D8D44B485E3080422374971005270588204CA3B82

56.

56. [填空题] Docker 容器(Container)mysql’ 对外开放的通讯端口(Port) 是?(3分)

跳转到容器的源文件：

答案：43306

57.

57. [填空题] Docker容器mysql，用户 root’ 的密码是?(以大写英文及阿拉伯数字回答)(2分)

历史命令中有：

答案：2WSX3EDC

58.

58. [填空题] Docker容器，mysql 里哪一个数据库储存了大量个人资料?(以大写英文回答)(3分)

起Ubuntu虚拟机，密码之前使用火眼仿真重置过，是123456。

apt install net-install 下载查看ip的工具
ifconfig 查看ip
docker ps -a 列出容器

现在知道docker的id是ca：

启动容器：

docker start ca

连接数据库：

储存了大量个人资料的数据库就是这个krickpost：

答案：KRICKPOST

59.

59. [填空题]检视 Docker 容器’mysql’ 内数据库里的资料，李大辉的出生日期是?(如答案为 2022-12-29，需答 20221229) (3分)

答案：19850214

60.

60. [多选题] 通过取证调查结果进行分析(包括但不限于以上问题及情节)，林照的行为涉及哪一种罪案?(5分)
    A.传送儿童色情物品
    B.抢劫
    C.诈骗
    D.勒索金钱
    E.购买毒品

答案：CDE

61.

61. [填空题] 王晓琳手机的MEI’ 号是什么?(以阿拉伯数字回答)(1分)

答案：352978115584444

62.

62. [多选题] 王晓琳的手机安装了什么即时通讯软件(lnstant Messaging Apps)?(1分)
    A. Signal
    B. 微信(WeChat)
    C. QQ
    D. WhatsApp
    E. LINE

快速分析一下王晓琳的手机：

答案：ABD

63.

63. [单选题] 王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 PDF档案?(以时区UTC+8回答)(1分)
    A.2022-09-30 17:39:53
    B.2022-10-01 17:39:53
    C.2022-09-30 18:30:28
    D.2022-10-01 16:30:22

WhatsApp中找到：

答案：A

64.

64. [填空题] 承上题，这个 PDF 档案的MD5哈希值Hash Value) 是什么?(以大写英文及阿拉伯数字回答)(1分)

答案：AE0D6735BBE45B0B8F1AB7838623D9C8

65.

65. [单选题] 王晓琳将这个“PDF 档案发给哪一个用户,而该用户的手机号码是什么?(1分)
    A.85297663607
    B.85259308538
    C.85269707307
    D.85246427813

答案：B

66.

66. [多选题] 王晓琳发出这个，PDF 档案的原因是什么?(1分)
    A. 寻求协助
    B. 分享档案内容
    C. 错误发出
    D. 无法开启

答案：A

67.

67. [单选题] 承上题，分析王晓琳与上述用户的对话，他们的关系是什么?(1分)
    A. 客户
    B. 师生
    C. 家人
    D. 同事

答案：D

68.

68.[单选题] 王晓琳于何时要求上述用户删除 张照片?(1分)
A. 2022-10-06
B. 2022-09-28
C. 2022-09-30
D. 2022-10-03

答案：D

69.

69.[单选题] 承上题，该用户向王晓琳提出什么要求以删除这张照片?(1分)
A. 金钱
B. 毒品
C. 性服务
D. 加密货币

答案：A

70.

70.[单选题] 王晓琳的手机里有什么电了书籍(Electronic Book) ?(2分)
A. 三国演义
B. 红楼梦
C. 水浒传
D. 西游记

这一题回顾了第一题，卿有何妙计是出自《三国演义》：

答案：A