2022年美亞杯個人賽
運用軟件DB Browser for SQLite (一款用于查看SQLlite數據庫文件的瀏覽器工具)
火眼,盤古石手機取證系統等
案件詳情
于2022年10月,有市民因接獲偽冒快遞公司的電郵,不慎地于匪徒架設的假網站提供了個人信用咭資料導致經濟損失。警方追查下發現當中一名受騙市民男子李大輝?(TaiFai) 的信用卡曾經被匪徒在區內的商舖購物。 后來警方根據IP地址,鎖定及拘捕了一名男子林浚熙(阿熙 ChunHei),并于他的居所發現了一批相信曾被用作犯案的電腦及手機裝置。
經調查后,警方發現阿熙除上述案件外,他亦牽涉其他的一些犯罪活動。
警方的電子數據取證小組在現場作出初步了調查并對涉案裝置進行了電子數據取證。請你根據得到的資料,協助將事件經過還原。
- 警方資料
- 與'林浚熙'相關的資料
| 編號 1 | 林浚熙的調查報告 |
| 文件路徑 | Meiya_cup_2022/Individual/Report/ChunHei/林浚熙調查報告.pdf |
| 哈希值: SHA256 | 1CB8F69DACF1A8DB84F1F0208C46210827C5E182D316F7F9A4AE4CFBB8EBC859 |
| 編號 2 | 林浚熙的手機的電子數據 |
| 文件路徑 | Meiya_cup_2022/Individual/Image/ChunHei/ChunHei_iphone |
| 哈希值: SHA256 | 34AC7A2B5C3F51563076A758B28088FE92637A4C9E20A60D0F39C23389F51159 |
| 編號 3 | 林浚熙計算機的電子數據 |
| 文件路徑 | Meiya_cup_2022/Individual/Image/ChunHei/ChunHei_Desktop |
| 哈希值: SHA256 | 49177D9E144944118DF8D0F78DEA90A78F78D95C650B67D942AB2A0DC0EABB38 |
- 與受害人'李大輝'相關的資料
| 編號 4 | 李大輝的調查報告 |
| 文件路徑 | Meiya_cup/Individual/Report/TaiFai/助查人士李大輝調查報告.pdf |
| 哈希值: SHA256 | C139AB65AC52FE9B3C9E0C7A9F9D6427F2F18FBE3C16585225F6DD01C4D500D2 |
| 編號 5 | 受害人李大輝的手機電子數據 |
| 文件路徑 | Meiya_cup_2022/Individual/Image/TaiFai/VTM_Mobile |
| 哈希值: | 092A7379B063A25A82A03EE07EEF1686BE86DD1F73C6E7B007BC26FADCB66555 |
- 與女友'王曉琳'相關的資料
| 編號 6 | 王曉林的調查報告 |
| 文件路徑 | Meiya_cup/Individual/Report/HiuLam/助查人士王曉琳調查報告.pdf |
| 哈希值: SHA256 | 5D9FC871259CAC02904947F83C2319E359C7CA916CA657555FF7F41E65A79B8A |
| 編號 7 | 女友王曉林手機的電子數據 |
| 文件路徑 | Meiya_cup_2022/Individual/Image/HiuLam/HiuLam_iphone |
| 哈希值: | DB81354712AB1DC2BA01033E48CE97F811C77127A447B0928D83AE77A35C508D |
個人賽部分共70題
- [單選題] 王曉琳在這本電子書籍里最后對哪段文字加入了重點標示效果(Highlight)?(2分)
A. 卿有何妙計
B. 寶玉已是三杯過去了
C. 武松那日早飯罷
D. 就除他做個強馬溫罷
解析:本題與最后一題聯動。三國演義哈。
\火眼-文件導出\00008030-001155282E38402E.tar\AppDomain-com.apple.iBooks\Documents\storeFiles
先看第70題,再回來看這題
?
- [多選題] 王曉琳的手機里有一個 MTR Mobile (港)的手機程序(Mobile App)。 檢視其數據庫(Database) 的數據,王曉琳于2022年10月11日 22:04 時將一行程加入書簽(Bookmark),這段行程的起點及終點站包括?(2分)
A. 尖沙咀
B. 紅硒
C. 康城
D. 青衣
E. 沙田
?
?
去里面的文件夾進行查找
關鍵詞:數據庫、2022年10月11日 22:04、書簽
?
找到一個,但是內容好像不對,回去繼續找
?這個時間相近,看看
??發現想要的,把bookmark選上
?
?
?
于是找到起點
?勾選終點
?
- [填空題] 王曉琳于2022年10月2日使用她的手機拍攝了多少張的照片?(以拉伯數字回答)(1分)
90
00008030-001155282E38402E.tar/CameraRollDomain/Media/PhotoData/Thumbnails/V2/DCIM/101APPLE
這個是蘋果拍攝的圖片文件夾,記好了
?
?導出直接看
- [單選題] 檢視王曉琳的手機照片,她于2022年10月2日到過什么地方?(1分)
- 大潭郊游徑
- 城門畔塘徑
- 大欖麥理浩徑
- 京士柏衛理徑
一張張慢慢看
?
?
- [單選題] 李大輝使用的是一臺LG V10的手機,它的型號是什么?(1分)
A. LGH960C
B. LGH961N
C. LGH960H
D. LGH961C
E. LGH961D
解析:使用盤古石手機取證直接可以得到型號
?
- [單選題] 李大輝的手機最常搜索的類別(Category) 是什么?(1分)
A. 護膚品
B. 旅游
C. 運動
D. 學校
解析:查看搜索項目直接找到主要搜的是護膚品
?
- [填空題] 李大輝最近光顧了一家美豐快運公司,這快遞件的單號是什么?(不要輸入符號及空白,以阿拉伯數字回答)(1分)
解析:沒思路
手機郵箱用手機大師
?
?
- [單選題] 李大輝收到的電郵中有一個釣魚鏈結(Phishing Link),這個鏈結的地址是什么?(1分)
A. 以上皆非
B. https://bit.ly/3yeARcO
C. https://bit.ly/5vM12
D. http://bit.ly/Hell0
看上一問
?
- [單選題] 承上題,這封電郵是從哪個電郵地址寄出的?(1分)
A. 以上皆非
B. Cavinchow456@yahoo.com
C. 2020ChanChan@hotmail.com
D. 30624700Peter@proton.me
?
- [單選題] 承上題,寄出這封電郵的IP地址是?(2分)
A. 以上皆非
B. 65.54.185.39
C. 10.13.105.56
D. 58.152.110.218
?數據庫找到這條消息后拉找到url
?然后怎么查ip就不知道了,emmm...
11. [單選題] 李大輝手機有一個orderxlsx 的檔案被加密了,解密鑰匙是什么?(1分)
A. 2022 Nov!
B. 20221101
C. Nov2022!
D. P@sswOrd!
解析:搜索該文件名稱,找到該文件路徑,并導出文件,嘗試用選項中的密碼解密,發現密碼Nov2022!是正確的。
?
- [填空題]香港的街道上每一枝街燈都有編號。分析李大輝手機里的程序KMB 1933,哪一枝街燈在經度 Latitude) 22.4160270000,緯度(Longitude) 114.2139450000 附近,它的編號是什么?(以大寫英及阿拉伯數字回答)(2分)
??SC02-S-1100-0
解析:找到該程序數據庫文件,再對數據庫文件查看分析
?
?
?
- [填空題]李大輝的手機里有一張由該手機拍的照片,照片的元資料(Metadata) 曾被修改,這張照片的檔案名是什么?(以大寫英文及數字回答,不用回答副檔名)(2分)
20220922_152622
Android.bin/分區57/media/0/DCIM/Camera
這個是安卓手機相冊文件夾
?可以發現只有這個是修改時間和創建時間不一樣
- [單選題] 分析李大輝的手機里的資料,他在哪一間公司工作?(2分)
A. 美麗好化妝品公司
B. 步步高貿易公司
C. 盛大國際有限公司
D. 永恒化妝品公司
解析:搜索關鍵詞xlsx,找到有可能存放資料的文件,逐一打開查看分析。
??還有原來文件夾找到的一張員工證
?
15. [填空題] 林浚熙曾經以手機登錄Google賬戶的驗證碼是什么?(不要輸入符號,以大寫英文及阿拉伯數字回答)(1分)
G-785186
解析:找手機短信即可看到
?
16. [填空題] 林浚熙手機的 WhatsApp' 號碼是什么?(號碼)@s.whatsapp.net? (以阿拉伯數字回答)(1分)
85259308538@s.whatsapp.net
解析:查找whatsapp賬號
?
- [單選題] 通過分析林浚熙手機的照片,判斷他在何處偷拍王曉琳?(1分)
A. 交通工具
B. 郊野公園
C. 游泳池
D. 酒店房間
解析:分析whatsapp聊天記錄
?
- [填空題] 林浚熙曾經刪掉自己拍攝的照片,這張照片的檔案名(Filename) 是什么?(不要輸入,以大寫英文及阿拉伯數字回答。如Cat10.jpg,需回答CAT10JPG)(2分)
IMG0444JPG
解析:用盤古石手機取證,找最近刪除。
?
- [填空題] 王曉琳曾經發送一個PDF檔案予林浚熙,這個檔案的文件簽名(File Signature) 是什么?(以十六進制數字答首八位數值,如
FOA1C5E1)(2分)
D0CF11E0
?
?找到對應id的pdf文件
?跳轉源文件看看就好啦
- [填空題] 承上題,該PDF檔案內包含一位曾經被肩的受害者資料。分析林熙手機的數據,這位受害者的英文名字是什么?(不要輸入符號及空白,以大寫英文回答)(2分)
WONGSAIPING
你會發現,這個文件頭是excel的!
導出后改后綴
?
?然后這么多人,就聊天記錄里找點線索
?
- [單選題] 分析林浚熙手機上的數據,他在2022年10月17日計劃去什么地方?(2分)
A. 以上皆非
B. 荃灣站
C. 沙田站
D. 國際金融中心二期
- [填空題] 承上題,上述行程的結束時間是?(如答案為 1:01:59,需回答 160159)(2分)
- [填空題] 于林浚熙的手機里,在2022年9月1日 或以后,哪一張照片是由其他手機拍攝的,而它的檔案名是什么?(不要輸入,以大寫英文及阿拉伯數字回答。如 Cat10.jpg,需回答CAT10JPG)(2分)
IMG0445JPG
解析:找到照片
將9.1后的照片導出,其實并不多
?
?
?發現一樣的
接下來參考大佬的wp:
時間相同,基本確定,要想繼續確認,根據上下題提示,需具體分析數據庫,導出該數據庫
?我們將剛導出的這些照片和該數據庫的ZADDITIONALASSETATTRIBUTES表可以看到以下一系列信息,
?將二表碰撞
?
這個相冊庫還是比較大的,對初學者不友好,借助對應的查詢語句集可以快速篩我們所需要的內容。但是實話實說手工梭這種數據庫這才是真正的電子取證。
Local Photo Library Photos.sqlite Query Variations & WHERE statements – The Forensic Scooter
?
感覺不太對但是下面的題還是應該可以寫的。
個人疑問:酒店偷拍的照片也是重復的
- [單選題] 根據照片的數據庫Photos.sglite資料,哪一個欄目標題(Column Header) 可以顯示這張照片的接收方式?(2分)
A. ZRECEIVEMETHODIDENTIFIER
B. ZIMPORTEDFROMSOURCEIDENTIFIER
C. ZIMPORTEDBYBUNDLEIDENTIFIER
D. ZRECEIVEDFROMIDENTIFIER
解析:可以找到ZIMPORTEDBYBUNDLEIDENTIFIER。
?
25. [單選題] 承上題,這張照片通過什么方式接收?(2分)
A. 網頁下載
B. 藍牙傳送
C. 以上皆非
D. WhatsApp軟件傳送
E. Signal軟件傳送
解析:在whatsapp聊天記錄里能看到。
26. [填空題] 承上題,這張照片原本的檔案名(Original Filename) 是什么?不要輸入,以大寫英文及阿拉伯數字回答。如 Cat10,jpg,需回答CAT10JPG)(3分)
28. [填空題] 承上題,上述備忘錄的內容有一串數字,它是什么?(以阿拉伯數字回答)(2分)
?notestore導出
?發現兩個加密的
?
- [單選題] 林浚熙計算機(Computer) 的操作系統(Operating System) 版本是什么?(1分)
A. Windows 10 Pro for Workstations 21H2
B. Windows 10 Pro 22H2
C. Windows 10 Home 21H2
D. Windows 10 Pro for Workstations 21H1
解析:仿真起來看看
30. [填空題] 林浚照計算機安裝了什么品牌的虛擬專用網絡 Virtual Private Network - VPN)軟件?(不要輸入符號及空白,以大寫英文及阿拉伯數字回答)(1分)
ExpressVPN
解析:
方法一:安裝在路徑中找到ExpressVPN。
方法二:仿真起來看控制面板
?
31. [填空題] 承上題,分析該虛擬專用網絡的日志(Log),他在哪天安裝該虛擬專用網絡?(如答案為 2022-12-29,需回答 20221229)(2分)
解析:
方法一:查看其所在路徑日志時間。
方法二:控制面板里直接有時間 ?
虛擬機專用網絡——>VPN
?
32. [填空題] 檢視林浚照計算機的數據,他使用哪種加mh幣(Cryptocurrency) 以支付虛擬專用網絡軟件?以大寫英文回答該加密貨幣的全名,如 BITCOIN)(1分)
筆-特
解析:可以在日志用找到bit痕跡
?
?
33. [填空題] 林浚熙的加密貸錢包ocurrency Wallet) 名稱是什么?不要輸入符號,以大寫英文及阿拉伯數字回答2分)
tellaw_ieh
解析:
方法一:找到日志中的錢包名稱
方法二:仿真,打開軟件查看
34. [多選題] 林浚熙計算機里安裝了哪個瀏覽器(Web Browser)? (1分)
A.Tor Browser
B.Microsoft Edge
C.Google Chrome
D.Opera
E.Internet Explorer
解析:使用盤古石計算機取證自動分析得到。
35. [單選題] 林浚熙使用瀏覽器 Google Chrome' 曾經瀏覽最多的是哪 個網站? (1分)
?
A. https://gmail.com
B. https://mail.google.com/mail
C. https://web.whatsapp.com
D. https://facebook.com
解析:查看歷史記錄
?
36. [多選題] 除了上述網站,林浚熙曾使用瀏覽器 Google Chrome' 搜索過什么?(1分)
A. javascript教學
B. php sql教學
C. tor教學
D. docker image教學
E. electrum教學
解析:搜索關鍵詞 教學
?
37. [單選題] 林浚照的計算機安裝了一個通訊軟件Signal',它的用戶部儲存路徑是什么?(1分)
A. Users\HEINDesktop Signal
B. Users\HEI\AppData Roaming Signa
C. Program Files (x86)Signal
D. Users\user Roaming Signal
解析:查看快捷文件指向路徑
?
?
38. [填空題] 通訊軟件Signal采用一個檔案存放用戶的聊天記錄,它的檔案名是什么?(不要輸入,以大寫英文及阿拉伯數字回答。如Cat10.jpg,需回答CAT10JPG)(2分)
db.sqlite
解析:找到數據庫文件即可
?
39. [填空題] 承上題,對上檔案進行分析,林發熙的聯絡人當中有多少人安裝了Siqnal?(以阿拉伯數字回答)(3分)
4
?
?
40. [填空題] 林浚熙在“Signal' 曾經與某人對話,那人的手機號碼是什么? 需要與區碼(Area Code) 一同答(以阿拉伯數字3分)
1666257286302
?
41. [多選題] 承上題,兩人在Signal' 的對話中有些訊息(Message) 包含附件,這些訊息的 D'包括?(2分)
A.5b9650fe-3bb6-4182-9900-f56177003672
B.46a8762b-78ea-49aa-a6f5-b24975ec189f
C.9729bf92-ab9c-45f7-8147-66234296aele
D.47233ffe-1a73-4b3d-b97c-626246ec3129
解析:等于1的才是有附件的,不等于1的不是哦。
42. [填空題]承上題,林浚熙曾經于2022年10月20日賬Transfer Money) 予上述對話人士,那次眼的參考編號是什么?(以大寫英文及阿拉白數字回答)(3分)
N91088774024
解析:在數據庫中找到圖片文件名稱,并查看編號。
?
?
43. [單選題] 林浚照的計算機安裝了多少臺虛擬機Virtual Machine - VM) ?(以阿拉伯數字回答)(1分)
- 4
- 1
- 2
- 3
解析:使用盤古石計算機取證分析系統直接可以找到虛擬機數量
?
44. [單選題] 林浚熙的計算機里的虛擬機(VM) 存放在什么路徑?(1分)
- User HEI Roaming Virtual Machinesl
- Users Public Documents ?Virtual Machines
- Program Files Virtual Machines
- \Users\HEINDocuments Virtual Machines
解析:查看對應路徑。
?
- [單選題] 虛擬機 (VM) 使用什么版本的作業系統(Operating System) ?(1分)
A. CentOs Linux 7.5.1804 (Core)
B. Ubuntu 22.04.1 LTS
C. CentOS Linux release 7.6.1810(Core)
D. Ubuntu 20.04.5 LTS
解析:查看系統版本。
直接打開 (注意是看最上面的)
這里用火眼也行,我遇到了困難,請教了客服,導出到本機后分析vmdx文件
?
46.
[多選題] 虛擬機(VM) 中的文件傳輸服務器(FTP Server) 有哪些用戶?(2分)
?
A. nobody
B. root
C. admin
D. man
E. ftpuser
解析:查看終端的歷史記錄,找對應的配置文件繼續查看,不允許匿名登錄,只允許本地賬號登錄。
?
47. [多選題] 虛擬機設置了什么網頁服務器(Web Server)? (2分)
A. NGINX
B. LIGHTTPD
C. WORDPRESS
D. APACHE
E. IIS
解析:看命令歷史記錄
48. [單選題] 網頁服務器目錄內有圖片檔案,而此檔案的儲存位置是?(1分)
?
A. /var/www/html/post/src
B. /var/www/html/post/css
C. /var/www/html/post/vendor
D. /var/www/post
解析:搜索大法好
?
49. [單選題] 分析網頁服務器的網站數據,假網站的公司名稱是什么?(1分)
A. Krick Global Logistics
B. Global Logistics
C. Krick Post Global Logistics
D. Krick Post
解析:看logo
50. [單選題] 檢視假網站首頁的顯示,AY806369745HK 代表什么?(1分)
?
A. 郵件號碼
B. 郵件收費號碼
C. 郵件序號
D. 郵件參考號碼
解析:審計源碼
51. [填空題] 分析假網站的資料,當受害人經假網站輸入數據后,網站會產生一個檔案,它的檔案名是什么?(不要輸入“,以大寫英文及阿拉數字回答。如 Cat10.jpg,需回答CAT10JPG)(2分)
vutxt
解析:代碼審計
?輸入信息后發現跳轉
查看發現都往vu.txt文件里寫
52. [多選題] 分析假網站檔案,process.php' 源碼(Source Code),推測此檔案的用途可能是?(2分)
?A. 改變函數
B. 產生檔案
C. 發出郵件
D. 更新數據庫
解析:代碼審計,寫入文件和發送郵件。
53. [填空題] 檢視檔案process.php' 源碼, 林浚照的電郵密碼是?(以大寫英文回答)(1分)
rtatsceucpacocbdacs
54. [多選題] 分析檔案process.php' 源碼, 它不會收集哪些資料?(2分)
?
A. GPS位置
B. 信用卡號碼
C. 短訊驗證碼
D. 電話號碼
E. 電郵地址
解析:代碼審計
55. [填空題] 虛擬機 (VM)安裝了 Docker 程序,列出一個以5作為開端的 Doker"鏡像 mage) ID (以阿拉伯數字及大寫英文回答)(2分)
?
5d58c024174dd06df1c4d41d8d44b485e3080422374971005270588204ca3b82
解析:取證大師
56. [填空題] Docker 容器(Container)mysql' 對外開放的通訊端口(Port) 是?(3分)43306
解析:查看其配置文件
?
57. [填空題] Docker容器mysql,用戶 root' 的密碼是?(以大寫英文及阿拉伯數字回答)(2分)
2wsx3edc
解析:看歷史記錄,搜索關鍵詞mysql
?
58. [填空題] Docker容器,mysql 里哪一個數據庫儲存了大量個人資料?(以大寫英文回答)(3分)
krickpost
解析:找到并看數據庫里的內容
用密碼登陸一下sql
?用Navicat Premium 12連接
?
?發現krickpost庫中的customer表存在大量信息
59. [填空題]檢視 Docker 容器'mysql' 內數據庫里的資料,李大輝的出生日期是?(如答案為 2022-12-29,需答 20221229) (3分)
19850214
解析:查詢數據庫
?
60. [多選題] 通過取證調查結果進行分析(包括但不限于以上問題及情節),林照的行為涉及哪一種罪案?(5分)
A.傳送兒童色情物品
B.搶劫
C.詐騙
D.勒索金錢
E.購買毒品
解析:根據案情分析即可得到。
61. [填空題] 王曉琳手機的MEI' 號是什么?(以阿拉伯數字回答)(1分)
352978115584444
解析:使用盤古石手機取證軟件直接得到。
62. [多選題] 王曉琳的手機安裝了什么即時通訊軟件(lnstant Messaging Apps)?(1分)
?
A. Signal
B. 微信(WeChat)
C. QQ
D. WhatsApp
E. LINE
解析:弘連火眼直接找到結果。
?
63. [單選題] 王曉琳于什么日子和時間曾經通過即時通訊軟件發出一個 PDF檔案?(以時區UTC+8回答)(1分)
?
A.2022-09-30 17:39:53
B.2022-10-01 17:39:53
C.2022-09-30 18:30:28
D.2022-10-01 16:30:22
解析:查看whatsapp聊天記錄。
64. [填空題] 承上題,這個 PDF 檔案的MD5哈希值Hash Value) 是什么?(以大寫英文及阿拉伯數字回答)(1分)
AE0D6735BBE45B0B8F1AB7838623D9C8
?
?
解析:算哈希值
65. [單選題] 王曉琳將這個“PDF 檔案發給哪一個用戶,而該用戶的手機號碼是什么?(1分)
?
A.85297663607
B.85259308538
C.85269707307
D.85246427813
解析:查看聊天軟件找到85259308538
66. [多選題] 王曉琳發出這個,PDF 檔案的原因是什么?(1分)
?
- 尋求協助
- 分享檔案內容
- 錯誤發出
- 無法開啟
解析:根據聊天記錄案情分析
67. [單選題] 承上題,分析王曉琳與上述用戶的對話,他們的關系是什么?(1分)
?
A. 客戶
B. 師生
C. 家人
D. 同事
解析:根據聊天記錄分析是同事
68.[單選題] 王曉琳于何時要求上述用戶刪除 張照片?(1分)
?
A. 2022-10-06
B. 2022-09-28
C. 2022-09-30
D. 2022-10-03
解析:案情分析
69.[單選題] 承上題,該用戶向王曉琳提出什么要求以刪除這張照片?(1分)
?
A. 金錢
B. 毒品
C. 性服務
D. 加密貨幣
解析:聊天記錄分析
70.[單選題] 王曉琳的手機里有什么電了書籍(Electronic Book) ?(2分)
?
A. 三國演義
B. 紅樓夢
C. 水滸傳
D. 西游記
?
?
?
 一文讀懂 Stable Diffusion 工作原理)
—— 速算技巧 - 高照)
)
模式)
嵌套列表,Xpath路徑表達式,XML增刪查改,Implicit,Operator,Xml序列化,淺拷貝與深拷貝)
![[oneAPI] BERT](http://pic.xiahunao.cn/[oneAPI] BERT)