2020年“美亚杯”第六届中国电子数据取证大赛团队赛全解析


美亚杯2020 - 团体赛 Zello&Xeno服务器部分 Write Up

Zello服务器镜像模拟

Zello服务器使用了LVM2硬盘,因此导致了火眼仿真程序生成的虚拟机文件无法直接启动,需要手动在配置中将“EFI引导”更改为“BOIS(Legacy)引导”。

在镜像文件的GPT分区类型也指出该分区为BOIS引导分区。参见GPT 分区详解

image-20201121201412956

此外,还可以将LVM2分区直接挂载在物理机上,再用火眼对LVM2分区进行仿真操作。

不过我正常使用火眼仿真没有问题


01 Zello服务器的哈希值(SHA256)是甚么?

在取证大师中对整个镜像进行SHA256计算即可。

image-20211020103354697


02 卷组是何时创建的?

LVM在每个物理卷头部都维护了一个metadata,其中包含有关于分区的基本信息。参见LVM2—Logical Volume Manager

通过对LVM2分区进行16进制查看即可得到相关信息,其中包含有分区名称、分区创建时间、物理卷的PV UUID、物理卷的VG UUID等信息。同样的信息可以在

/etc/lvm/backup/

目录下找到,这样在Ubuntu-vg中可以看到2/3/4/5题答案。可能会用到时间戳转换

image-20211020104609263


image-20211020104931674

或,取证大师自动识别到卷组

image-20211020103456658

03 卷组的名称是甚么?

除了在02题中所述的metadata中以外,还可以通过使用火眼证据分析软件自动识别出LVM2分区的名称(该软件也可以直接读取LVM2分区中的文件)。

image-20201121203321975


04 物理卷的PV UUID是多少?

仿真后使用命令:

sudo pvdisplay

image-20211020104241631

05 卷组的VG UUID是甚么?

除了在02题中所述的metadata中以外,通过火眼仿真后还可以使用lvm命令进行查看:

sudo lvdisplay -a
sudo pvdisplay
sudo vgdisplay

image-20201121204553414

取证大师查看也可

image-20211020103904116

06 Zello服务器的Linux内核版本是甚么?

07 Zello服务器的操作系统版本是甚么?

06通过uname -a显示全部信息或uname -r查看内核版本; 查看/proc/version文件;

07 查看/etc/lsb-release文件;或者使用命令

lsb-release -a

image-20201121205654186


08 Zello服务器的主机名是甚么?

通过uname -auname -n查看主机名; 查看/etc/hostname文件。

image-20201121210208273


09 Zello服务器的机器ID是甚么?

“计算器ID”其实就是“计算机ID”,大概是香港那边独特的表达方式吧。

查看/etc/machine-id文件。

image-20211020105423650


10 Zello服务器中使用的wordpress版本是甚么?

仿真之后访问网站后台即可在右下角看到版本号。而火狐浏览器的历史记录中就包含了网站的后台地址,甚至打开浏览器之后恢复的上一次异常关闭页面中就有后台页面。

image-20201121211444808

或者在/etc/apache2/apache2.conf中查看源码存放路径

image-20211030142954066

/var/www/html/wordpress/wp-include/version.php中查看。

image-20201121211745288


11 Zello服务器与之同步的主机名是甚么?

查看hosts cat /etc/hosts/etc/ntp.conf文件,或者找root文件夹下的.bash_history中的历史命令

关于ntp.conf文件的作用,详见ntp.conf配置文件详解

image-20211020105908561


12 Zello服务器的时区是甚么?

方法一:通过date命令

image-20201121212853024

方法二:使用 timedatectl 命令查看

image-20211021094712236

方法三:去/etc 下查看 timezone

image-20211021094732384

方法四: 没仿真起来可以查看/etc/localtime link 到哪个文件

image-20211021094752948

方法五: 导出或者查看 localtime 文件最后一行

image-20211021094820401


小tips:用户痕迹能查看终端的可以看看终端配置命令

image-20211020110225906

13 有多少个本地用户已登录到Zello服务器?

查看/etc/passwd文件。

查看用户命令

cat /etc/passwd | grep /bin/bash

其中每行各个字段含义如下:

image

普通用户有两个特征:一是UID介于500~65535之间;二是shell的起始位置为/bin/bash

image-20201121214137347

方法二:、

使用 last 命令可以查看, 只用 zadmin 登录

image-20211021094921237

lastb查看登录失败用户,也是zadmin

没仿真起来后可以导出/var/log/wtmp 文件,放到自己的 linux 环境中使用命令

last –f 文件 查看

image-20211021094959357


14 植入网络目录(Webdirectory)的网页壳层(Web Shell)的哈希值(MD5)是甚么?

/var/www/html/wordpress/目录下的全部文件,导出,使用杀毒软件查杀(windows defender在导出时就会报毒)。

image-20201121214538928

或者以eval(为关键词检索导出文件中的php文件。(使用的搜索工具为FileLocatorPro)

image-20201121214932752

使用命令certutil -hashfile 123.php md5image-20211020134717941

方法二:查看 web 日志

cd /var/log/apache2

gunzip –d access.log.2.gz

vi access.log.2.gz

image-20211021095133425

发现可疑文件 123.php

路径 /var/www/html/wordpress/wp-includes/sales/info/123.php 查看内容

或者访问 http://zello-onlineshop.sytes.net/wp-includes/sales/info/123.php

image-20211021095227142


15 \var\www\html\wordpress\net\2020\Login index.php有甚么作用?

盗取资料

16 钓鱼网站伪装成甚么网站?

查看index.php可以发现这个页面是伪造的Netflix的登录页面,其中第一行包含了crypt.php,结合上一题杀毒软件对crypt.php的报毒,应该是钓鱼网页,网站长这样。

image-20211021095258914


17 下列哪个IP对Zello服务器进行了蛮力攻击?

查看/var/log/apache2/目录下的access.log.x文件,全部导出来。其中有几个被压缩,需要解包。

可用notepad++的文件夹搜索功能

image-20211030144109741可以在access.log.3文件中发现

能看到出现次数

image-20211030144219144

203.186.94.68对服务器进行了1432次请求。

image-20201121221501272


蛮力攻击应该指的是爆破,对日志进行审计,搜索爆破工具关键字 Hydra 得到。

image-20211021095355276

或者在 linux 下使用命令行查看

cd /var/log/apache2

gunzip –d access.log.4.gz

vi access.log.4

18 Zello Web服务器的URL是甚么?

参见第10、11题。

image-20211020143050865

导出来用 notepad++查看

image-20211021095508043

或者使用 Linux 命令行查看

查看 web 日志

vi /var/log/apache2/access.log.2


19 LVM2容器的第一个扇区是什么?

20 Zello服务器中LVM2容器的大小(以字节为单位)是甚么?

在取证大师中查看没有识别出来的LVM2分区(显示为“未分配簇”)的相关信息。辣鸡取证大师终于派上用场了

image-20201121221958633

用 xways 直接看到

image-20211021095612707

或者使用取证大师小程序

image-20211021095700985


21 在Zello服务器以及Alice的装置中可以找到甚么共同文件?

可以在Zello镜像的/var/www/html/wordpress/net/2020/login/目录下找到R3ZZ.txt

image-20211020143729796

或者查看 History

image-20211021095742728


22 2020年8月29日在Xeno服务器中发现的攻击类型是甚么?

2020年8月29日在Xeno服务器中发现的攻击类型是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:HTTP GET/POST Flood;B:NTP Amplification;C:Ping of Death;D:SYN Flood;E:SNMP Flood

实际上应该是9月29日

查看日志可以发现当天服务器收到了大量的GET/POST请求,并且请求的为某几个特定页面,攻击方式应为HTTP GET/POST Flood。

image-20211021095828478


23 哪个IP地址在日志中条目数量最多?

方法一:挨个用 notepad++搜索计数

image-20211021095858458

方法二: 使用 Log Parser

选择 NCSA Log 格式

SELECT remotehostname,count(1) FROM ‘Z:\Meiya Cup 2020\Image\xeno access.log_20200929-20201006\access.log’ group by remotehostname order by count(1) desc

image-20211021095937371

方法三:

linux 使用命令

awk ‘{print $1}’ access.log | sort | uniq -c | sort -nr -k1 | head -n 20

image-20211021100014912

方法四:

先去除日志中所有损坏的行,然后写一个简单的python脚本对出现的IP的次数进行统计即可。 也可以使用搜索工具对每个选项中的IP进行搜索。不懂取证警告

dic = {}
with open("1.txt", "r", encoding='utf-8') as f:
    for i in f:
        ip = i.split(' ')[0]
        if ip in dic:
            dic[ip] += 1
        else:
            dic[ip] = 1
print(dic)

24 这个登录次数最多的IP地址,它访问最多的是哪个页面?

notepad方便一些,就是可能会比较卡。或者logparser

SELECT request,count(1) FROM ‘Z:\Meiya Cup 2020\Image\xeno access.log_20200929- 20201006\access.log’ where remotehostname=’14.102.184.0’ group by request order by count(1) desc

image-20211021100133777

方法二:继续写python脚本。 也可以使用搜索工具进行正则匹配,对每个选项中的页面进行搜索。不懂取证警告+1

times = {
    'A': 0,
    'B': 0,
    'C': 0,
    'D': 0,
    'E': 0,
}
with open("1.txt", "r", encoding='utf-8') as f:
    for i in f:
        if "14.102.184.0" in i:
            if "/listen.icepush.xml HTTP/1.1\" 200" in i:
                times['A'] += 1
            elif "/risk.xhtml HTTP/1.1\" 200" in i:
                times['B'] += 1
            elif "/explorer.xhtml HTTP/1.1\" 200" in i:
                times['C'] += 1
            elif "/login.jsp HTTP/1.1\" 200" in i:
                times['D'] += 1
            elif "/listViewRisjs.xhtml HTTP/1.1\" 200 " in i:
                times['E'] += 1
print(times)

25 这个登录次数最多的IP地址来自哪个国家或地区?

使用离线IP查询工具进行查询,得知是香港的IP。

实际上,这个IP地址就是Daniel的家庭IP地址……

image-20201121230407289


26 这个登录次数最多的IP地址,合共有多少次成功登录?

18次

python脚本:

time = 0
with open("1.txt", "r", encoding='utf-8') as f:
    for i in f:
        if "14.102.184.0" in i and "login" in i:
            dd = i.split(' ')
            if '200' in dd:
                time += 1
print(time)

但因为损坏部分中也可能存在登陆成功的日志,所以实际登录成功次数会略高一些。

过滤出现200的条数

image-20211030145648050

有以下信息可看做成功登陆

image-20211021100240866


27 除DDoS之外,还可能涉及其他攻击吗?


28 从该网站下载了多少数据?

除DDoS之外,还可能涉及其他攻击吗? E 2 第六届美亚杯 电子数据取证 单选 中级 A:SQL注入;B:命令注入;C:系统漏洞攻击;D:跨站脚本攻击;E:暴力破解攻击
从该网站下载了多少数据? E 2 第六届美亚杯 电子数据取证 单选 中级 A:大概 20 MB;B:大概 200 MB;C:大概 1 GB;D:大概 5 GB;E:现有资料不足以作推断

python脚本:

data = 0
with open("1.txt", "r", encoding='utf-8') as f:
    for i in f:
        if "14.102.184.0" in i:
            dd = i.split(' ')[-2]
            if dd.isdigit():
                data += int(dd)    
print(data)

团体赛 Bob部分

29 Bob路由器的型号是甚么?

Bob路由器的型号是甚么? B 1 第六届美亚杯 电子数据取证 单选 初级 A:BL - WR740N;B:TL - WR740N;C:Archer c 1200;D:archer c7;E:TP - WRB41N

可以考虑调查报告和图片中可能有线索

image-20211030150741484

路由器日志也可以看到

image-20211020155529865

image-20211020170408777

30 Bob 家的 IP 地址是甚么? (1 分)

image-20211020170714534

31 使用路由器的装置的Mac地址是甚么- Alice?

使用路由器的装置的Mac地址是甚么- Alice? D 1 第六届美亚杯 电子数据取证 单选 初级 A:00:BA:F5:89:89:FE;B:A4:4E:31:EC:24:00;C:60:67:20:3D:3B:OC;D:00:0A:F5:89:89:FF;E:00AA:F5:82:89:FD

之前Alice的手机中考题涉及到,对Alice手机镜像进行取证,根据选项和34题推断可以推出

image-20211020171229625

32 使用路由器的装置的Mac地址是甚么- Cole?

使用路由器的装置的Mac地址是甚么- Cole? * 1 第六届美亚杯 电子数据取证 单选 初级 A:8C:3A:E3:93:80:09;B:00:0A:F5:89:89:FF;C:3C:BA:E3:93:80:09;D:00:0A:F5:89:89:FC;E:38:48:4C:17:9A:OC

在 bob iphone 上出现和 cole 的桌面计算机 都出现 bigboss 地址 legman 和 technical guy 没找到 同上题图

33* 谁到访过Bob的家?

谁到访过Bob的家? A 2 第六届美亚杯 电子数据取证 单选 中级 A:Alice 及 Cole;B:只有Alice;C:只有Cole;D:只有David;E:Alice, Cole 及David

看路由器日志 Bob 家的路由器日志中出现 Cole 的台式机 Mac 地址,证明 Cole 曾经拜访过 Bob

34* 他们甚么时候去过Bob的家?

他们甚么时候去过Bob的家? 2 第六届美亚杯 电子数据取证 单选 中级 A:2020/9/16;B:2020/8/18;C:2020/9/25;D:2020/9/30;E:2020/9/28

根据问法可以看出上面的题是多个人,而28号是两个人

根据路由器最后连接日期

image-20211020171740475

35 Bob的笔记本计算机的哈希值(SHA-1)是甚么?

Bob的笔记本计算机的哈希值(SHA-1)是甚么? D 1 第六届美亚杯 电子数据取证 单选 初级 A:57701AC2194A74804DEB0F7332532D39711C5DF0;B:57705DF01AC2194A74804DEB0F7332532D39711C;C:1AC2194A74804DEB0F7332532D39711C57705DF0;D:5DF01AC2194A74804DEB0F7332532D39711C5770;E:6DF01AC2194A74804DEB0F7332532D39711C5778

image-20211020162250013

不用计算,打开 xways 直接看也能得到

36

笔记本计算机中安装了甚么电子邮件程序? B 1 第六届美亚杯 电子数据取证 单选 初级 A:Big Email Sender;B:Super Email Sender;C:Bulk Email Sender;D:Super Email Sent;E:Super Email Send

方法一:仿真查看其桌面

image-20211020163015430

仿真可找到

方法二:使用 xways 查看其桌面文件可得到

37* 网络钓鱼电子邮件的接收者是储存在甚么文件?

网络钓鱼电子邮件的接收者是储存在甚么文件? A 1 第六届美亚杯 电子数据取证 单选 初级 A:NETFLIX.htm.dump;B:NETFLIX.dump;C:NETFLIXS.dump;D:NETFLIX.htm.bak;E:NETFLIX.CONTAINER

通过取证大师全文搜索关键词搜索可以搜到

38

在Bob的笔记本, 有什么可疑APK及其功能? A 1 第六届美亚杯 电子数据取证 单选 初级 A:检查虚拟货币的价格;B:虚拟专用网络;C:盗取登入名称及密码;D:储存私人资料;E:作为一个洋葱浏览器

image-20211020190851964

关键词搜apk,发现一个com_bitcoin_poolmonitoring,翻译过来就是A的意思,

发现找错了,

mytracker.apk是可疑apk,安卓虚拟机运行一下看看

image-20211020193123963

image-20211020193056744

39

该可疑APK 从什么网站获取资料? 1 第六届美亚杯 电子数据取证 单选 初级 A:https://coinapk.io/v1/exchangerate;B:https://bit.coinapi.io/v1/exchange_rate;C:https://rest.coinapi.io/v1/exchangerate;D:https://rest.net/v1/exchangerates;E:https://online.coinapi.io/v/exchangerate

使用雷电app智能分析进行分析,

image-20211020194754639

按下面按钮

image-20211020194708311

使用雷电抓包没抓到东西,只好手搜了,解压apk后直接搜https://可找到

image-20211020195946045

40

上述APK中发现的Bitlocker密钥是甚么? B 3 第六届美亚杯 电子数据取证 单选 高级 A:74785aaaa;B:741852963;C:72564529633;D:bob052963;E:522852693

见上图,找到后成功解密 Bob Dektop 计算机的 Bitlocker 加密磁盘。

使用app中的恢复密钥串即可成功解密

image-20211020200637219

41

网络钓鱼网站的网页寄存的网站地址是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:http://zeta-onlineshop.sytes.net/wordpress/net/2019/Login;B:http://zello-onlineshop.sytes.net/wordpress/net/2020/Login;C:http://zello-onlineshop.sytes.net/nets/2020/Login;D:http://zello-easyshop.sytes.net/wordpresss/net/2020/Login;E:http://zello-onlinemet.sytes.net/wordpres/net/2020

image-20211020201027427

仿真这里的历史记录里可找到,看选项算送分题了

image-20211020201107104

42 Bob的桌上计算机的哈希值(SHA-256)是甚么?

Bob的桌上计算机的哈希值(SHA-256)是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:86C740D5FB096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C2673;B:267340D5FB096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C86C7;C:267386C740D5FB096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C;D:40D5FB096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C267386C7;E:B6C740D5F8096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C2673

不用计算,直接xways右键属性里就有

image-20211020202850726

43 更多操作Bob的桌上计算机的安装时间是几点?(本地时间)

Bob的桌上计算机的安装时间是几点?(本地时间) 2 第六届美亚杯 电子数据取证 单选 中级 A:2020/9/13 1:40:00;B:2020/9/15 3:40:00;C:2020/9/17 2:40:00;D:2020/9/15 5:40:00;E:2020/9/15 18:40:00

image-20211020203655796

44 Bob桌上计算机内发现的网络钓鱼脚本是甚么?(某些字符被刻意用*遮盖)

Bob桌上计算机内发现的网络钓鱼脚本是甚么?(某些字符被刻意用*遮盖) 1 第六届美亚杯 电子数据取证 单选 初级 A:dnload.zip;B:ternal.zip;C:itr.zip;D:out.zip;E:exrnal.zip

根据文件分类,zip 后缀就 4 个,对比之前 Zello-onlineshop webserver 上的文件,可 以确认就是钓鱼程序,之前做 Zello 部分题目的时候 inter.zip 比较可疑,它是钓鱼站的 备份文件。

image-20211020204605568

45 该网络钓鱼脚本的功能是甚么?

该网络钓鱼脚本的功能是甚么? C 1 第六届美亚杯 电子数据取证 单选 初级 A:摧毁目标电脑;B:传播电脑病毒;C:收集个人数据;D:发送勒索信息;E:自动化进行分布式拒绝服务攻击

image-20211020205000913扫一下,前面题目也有所涉及

46 在Bob iphone, 与Alice和Cole通讯记录的完整路径是甚么?

在Bob iphone, 与Alice和Cole通讯记录的完整路径是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:File List\User App List\Application/ChatStorage.sqlite Table:ZWAMESSAGE(ZCHATSESSION:4);B:File List\Download File List\Temp/group.net.WhatsApp.shared/ChatStorage.sqlite Table:ZWAMESSAGE(ZCHATSESSION:3);C:File List\User File List/group.net.WhatsApps.shared/ChatStorage.sqlite Table:MESSAGE(ZCHATSESSION:4);D:File List\User File List\Applications/Group/group.net.WhatsApp.shared/ChatStorage.sqlite Table:ZWAMESSAGE(ZCHATSESSION:4);E: List\Temp File List\Applications/Chat/group.net.WhatsApp.share/ChatStorage.sqlite Table:SESSION:4)

涉及到iPhone,将iPhone导入火眼

image-20211020205501072

需要一个备份密码

image-20211020205550987

iPhone备份文件ufd这里可以找到备份文件的密码

image-20211020205807405

image-20211021093315607

47

Bob的iPhone的苹果ID是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:bobcheung123@gmail.com;B:bobcheung@yahoo.com;C:bobcheung@gmail.com;D:bob23@gmail.com;E:bobcheung123@hotmaillcom
image-20211021083545205

image-20211021083545205

48

Bob的iPhone的IMEI是甚么? * 1 第六届美亚杯 电子数据取证 单选 初级 A:13421004458835;B:23421224458835;C:144410044508835;D:934218004458888;E:23421084450035

image-20211021093429008

或者火眼直接也能取到

49

Bob iPhone的时区设置是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:UTC +8;B:UTC +0;C:UTC -8;D:UTC -10;E:UTC + 6

image-20201126180435037

在这个device_values.plist能看到iPhone的时区信息

image-20211021110729592

50

文件“ VIP.txt”的完整路径是甚么? 2 第六届美亚杯 电子数据取证 单选 中级 A:Bob/mobile/DCIM/Shared/AppGroup/group.whatsapp.WhatsApp.shared /Message/Media//5/c56255d0-a407-4341-afef-7bf5accc52f0.txt;B:Bob/Phone/Containers/Shared/AppGroup/group.net.whatsapps.WhatsApp.shared /Message/Media/85262547937-1600392878@g.us/c/5/1230.txt;C:Bob/Data/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApps.shared /Message/Media/85262547937-1600392878@g.us/c/5/c56255d0-a407-4341-afef-7bf5accc52f0.txt;D:Bob/Text/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApp.shared /Messages/Media/85262547937-1600392878@g.us/c/5/c56255d0-a407-4341-afef-7bf5accc5000.txt;E:Bob/mobile/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApp.shared /Message/Media/85262547937-1600392878@g.us/c/5/c56255d0-a407-4341-afef-7bf5accc52f0.txt

3个txt都看一下

image-20211021140322747

51

在Bob iphone, 谁是“ 85262547937-1600392878@g.us”的聊天群组中的管理员? 1 第六届美亚杯 电子数据取证 单选 初级 A:Bob;B:Cole;C:Alice;D:Alice 及 Bob;E:Bob 及 Cole

image-20211021140738388

从资格赛 Alice 的手机记录中分析得到,这个群聊的创建者(即管理员)为 Alice

image-20211021141007233

52 *“ 85262547937-1600392878@g.us”聊天群组中有多少个附件?

85262547937-1600392878@g.us”聊天群组中有多少个附件? 2 第六届美亚杯 电子数据取证 单选 中级 A:6;B:4;C:2;D:3;E:6

2,一个图片一个txt文件

软件只看到两个,在路径下发现有 4 个,一个图片,一个文件,2 个.thumb

image-20211021141556413

用手机大师看,内容类型进行排序,发现有三个文件一张图片

image-20211031162214620

53* Bob iPhone的Airdrop ID是甚么?

Bob iPhone的Airdrop ID是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:66E7BBDE9F69;B:Bob-airdrop-28455;C:67E7BBDE9F69-BOB;D:Air-Bob-66E7BBDE9F69;E:Bob-iP-66E7BBDE9F69

手机大师文件导入选择iTunes备份文件,找到Snapchat文件夹可取证

image-20211030173151194

54

Bob的iPhone的操作系统版本是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:10.3.3;B:10.2.1;C:12.3.1;D:13.3.2;E:10.3.5

image-20211021142124772

55

Bob在2020-09-17的1451时访问的连结是甚么?(UTC + 0) 2 第六届美亚杯 电子数据取证 单选 中级 A:https://www.apple.com;B:https://www.hackertestinghelp.com/ddos-attack-tools/ (Title:8 Best DDoS Attack Tools (Free DDoS Tool Of The Year 2020));C:https://www.textttestinghelp.com/ddos-attack-tool/amp/ (Title:8 Best DDoS Attack Tools (Free DDoS Tool Of The Year 2020));D:https://www.softwaretestinghelp.com/bruteforce-attack-tools/amp/ (Title:8 Best DDoS Attack Tools (Free DDoS Tool Of The Year 2019));E:https://www.softwaretestinghelp.com/ddos-attack-tools/amp/ (Title:8 Best DDoS Attack Tools (Free DDoS Tool Of The Year 2020))

image-20211021144647134

或者手机大师里的搜索证据,按时间范围搜索

image-20211031162512387

56 Bob的Samsung S2的Android ID是甚么?

Bob的Samsung S2的Android ID是甚么? E 1 第六届美亚杯 电子数据取证 单选 初级 A:072af229d1da3b3cd;B:71af229d1da3b3cdd;C:Bob72af229d1da3b3cd;D:72af229d1da3b3cd;E:Bob-72af229d1da3b3cd

image-20211021150052092

57

Bob的Samsung S2的操作系统版本是甚么? E 1 第六届美亚杯 电子数据取证 单选 初级 A:4.1.5;B:4.0.1;C:4.0.2;D:4.2.3;E:4.1.2

image-20211021145158512

58

Bob Samsung S2的时区设置是甚么? A 1 第六届美亚杯 电子数据取证 单选 初级 A:Asia/Hong_Kong;B:Asia/Damascus;C:Asia/Baku;D:Asia/Bangkok;E:Asia/Tokyo

image-20211021145208972

手机大师搜索关键字timezone

image-20211031162801124

59

“ bitcoin.PNG”的储存位置是甚么? C 2 第六届美亚杯 电子数据取证 单选 中级 A:data (ExtX)/Root/media/DCIM/;B:userdata (Ext)/Root/Download/;C:userdata (ExtX)/Root/media/D CIM/;D:userdata/Root//DCIM/;E:userdata (ExtX)/Root/APK/

搜一下图片名

image-20211021150128956

60

bitcoin.PNG的哈希值(SHA-256)是甚么? D 2 第六届美亚杯 电子数据取证 单选 中级 A:b0d5adba030b9f1b0165760881eaeed48330cb3dccc807fe482985a8370b479a;B:0d5b479aadba030b9f1b0165760881eaeed48330cb3dccc807fe482985a8370b;C:adba030b9f1b0165760881eaeed48330cb3dccc807fe482985a8370b0d5b479a;D:479aadba030b9f1b0165760881eaeed48330cb3dccc807fe482985a8370b0d5b;E:450aadba030b9f1b0165760881eaeed48330cb3dccc807fe482985a8370b

算就完事了

61

Bob的Samsung S2的wifi mac地址是甚么? 2 第六届美亚杯 电子数据取证 单选 中级 A:21:60:C0:4B:75:11;B:61:21:4B:C0:75:11;C:60:21:C0:BB:11:75;D:60:21:C0:4B:75:11;E:DD:60:21:4B:75:11

image-20211021150240724

62

“ userdata(ExtX)/ Root / media / Download / APK Testing”中的有多少APK檔? B 2 第六届美亚杯 电子数据取证 单选 中级 A:7;B:10;C:8;D:9;E:6

image-20211021150410235

2个zip,另外10个apk

63

Messagesecure.apk的哈希值(SHA-256)是甚么? B 1 第六届美亚杯 电子数据取证 单选 初级 A:b4bf2eb1a59e9a8dc25ad02c15761532658747979e63ad356ec5b9c1f623ae57;B:ae572eb1a59e9a8dc25ad02c15761532658747979e63ad356ec5b9c1f623b4bf;C:de57ae572eb1a59e9a8dc25ad02c15761532658747979e63ad356ec5b9c1f623b4bf;D:bd572eb1a59e9a8dc25ad02c15761532658747979e63ad356ec5b9c1f623b4bfb4bf;E:ae025eb1a59e9a8dc25ad02c15761532658747979e63ad356ec5b9c1f623b4bfae57

64 私钥已在bitcoin.PNG中加密。私钥是甚么?

私钥已在bitcoin.PNG中加密。私钥是甚么? B 3 第六届美亚杯 电子数据取证 单选 高级 A:NpqGc6yaEjPd7NgBBRz9yUAf447Ei74K8rwuxoia8paBjzDNKzZU;B:KzZUc6yaEjPd7NgBBRz9yUAf447Ei74K8rwuxoia8paBjzDNNpqG;C:NpqGKzZUc6yaEjPd7NgBBRz9yUAf447Ei74K8rwuxoia8paBjzDN;D:c6yaEjPd7NgBBRz9yUAf447Ei74K8rwuxoia8paBjzDNNpqGKzZU;E:c6yaEjPd7NgBBRz9yUAf447Ei74K8rwuxoia8paBjzDNNpqG

在笔记本上有一个纸写着密码 Aa654321,再用 apk 对图片进行解密,原理同个人资 格赛。最好准备个图片编辑工具,比如美图秀秀,强曝光的密码,可以降低亮度和对比 度后看的更清晰。

image-20211021151013261

65 *apk文件“ flash_chat”的哈希值(SHA-256)是甚么?

apk文件“ flash_chat”的哈希值(SHA-256)是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:479aadba030b9f1b0165760881eaeed48330cb3dccc807fe482985a8370b0d5b;B:041a731249fa7bbaebd88651e0f5d2c4c3069c6ff8924b80579a2b160e387340;C:ae572eb1a59e9a8dc25ad02c15761532658747979e63ad356ec5b9c1f623b4bf;D:9eccf8ab9bf99a73df864c42ba813973d802c242a74cafeafac946ed43433d62;E:fea06d7dc08152c8153c99ef4e654b683ba02f3679193ff1fd991625cabab10f

image-20211021153237363

在Alice手机上找到了

image-20211021153528031

很多安装包的名字都是base.apk

66

哪个文件包含“ flash_chat”聊天记录? 2 第六届美亚杯 电子数据取证 单选 中级 A:userdata (ExtX)/Root/data/co.splusbaby.flash_chat/databases/google_app_measurement_local.db;B:userdata (ExtX)/Root/data/co.splusbaby.flash_chat/databases/firestore.%5BDEFAULT%5D.flash-chat-110d8.%28default%29;C:userdata (ExtX)/Root/data/co.splusbaby.flash_chat/databases/google_app_measurement_local.db-journal;D:userdata (ExtX)/Root/data/co.splusbaby.flash_chat/databases/firestore.%5BDEFAULT%5D.flash-chat-110d8.%28default%29-journal;E:msgstore.db

小众软件,厂商的取证软件无法解析,从答案路径找下去,检查数据库情况,数据库 一般是 sqlite 文件。

image-20211021163933802

67

从“ flash_chat”找到的Bob的Windows密码是甚么?(某些字符被刻意用*遮盖) 3 第六届美亚杯 电子数据取证 单选 高级 A:446;B:779;C:113;D:pa*rd;E:ta****

image-20211021165232797

112233

68

消息的消息号码(Message ID)是甚么? 3 第六届美亚杯 电子数据取证 单选 高级 A:G2iytNuzajD4YU1MGVQz;B:0x04CM9o69pmKByxwnRj;C:j77xBc4hi8En7FTCPrDH;D:diPO4Huk2aymv2SdIubI;E:8XL2u5jIff5j1sKzGGvg

image-20211021165326237

69

“ flash_chat”消息ID“ aGqBnI5Bxutv24SQvrBL”中的密码是甚么?(某些字符被刻意用*遮盖) 3 第六届美亚杯 电子数据取证 单选 高级 A:P@ss*;B:Hild;C:Helll;D:hel**ld;E:we****ne

image-20211021165747242

70 从Bob iMAC 桌面名为Wallet.dat 的档案中可以取得以下那一个比特币地址?(某些字符被刻意用*遮盖)

从Bob iMAC 桌面名为Wallet.dat 的档案中可以取得以下那一个比特币地址?(某些字符被刻意用*遮盖) 3 第六届美亚杯 电子数据取证 单选 高级 A:1L*WpEYvUi8FeG6BnXqfh1jgmJA1h1;B:1MzCeNJHw5J9vZexkweTtvKp8a1;C:351WmnpxKSWBwJQ3vXETVKFmus456kU;D:***fnLp7P8Vu7EAUJzkngnXxGMZWwo;E:以上都不对

看现场图片发现桌上的计算机是一台iMac,仿真一下用密码

image-20211020161803698

看出Bob的密码是Aa654321laptop仿真识别到该密码,试了试iMac仿真,无法重置密码,使用该密码可以登陆进去

或者在取证大师中搜索关键词wallet.dat

71

从Wallet.dat档案中取得的比特币地址,那一个有接收及传送过比特币?(某些字符被刻意用*遮盖) 3 第六届美亚杯 电子数据取证 单选 高级 A:**p9c74rqN6ymzGwr9JB8CPaX2458w;B:1WmYyhnpxKSWBwJQ3vXETVKFm*56kU;C:**UTiN5T7yrYXonCu54fWLHDKY7dS9;D:3QqGRprZsWWCgLrLDKmwEcwYqX7J;E:以上都不对

仿真可在桌面上发现,接着导出拖进winhex搜即可

方法一:用正则在 winhex 上直接搜索(正则(1|3)[0-9,a-z,A-Z]{33,34})

image-20211021190316525

方法二:https://github.com/magnux/pywallet 用这个软件跑

命令

pywallet.py --datadir=D:\工具包\工具包\取证工具\pywallet-master\pywallet-master --wallet=oldwallet.dat --dumpwallet >wallet.csv

image-20211021191806318

72 以下那一个比特币接收或传送交易的哈希值与上述的比特币地址有直接关系?(某些字符被刻意用*遮盖)

以下那一个比特币接收或传送交易的哈希值与上述的比特币地址有直接关系?(某些字符被刻意用*遮盖) 3 第六届美亚杯 电子数据取证 单选 高级 A:ab*7eea6f1da83c0917602ba086e70b900b21c0067a96f88ec4775221f;B:7e515***fea70dc29a07fbaf410d7fa610c2a4593d6d11b81b26f37da6db;C:0f61e1b80cc1086445c4da8ec9bde6500e2850fc134860b82c97288e;D:yaE**NgBBRz9yUAf447Ei74K8rwuxo55k1aBjzDNNpq22U9Kk;E:以上都不对

方法一:在 https://btc.tokenview.com/ 或者 oklink.com 可进行查询,只有 A 项进行过交易

方法二:

image-20211021191806318

73

上述的比特币交易中所涉及多少比特币? 3 第六届美亚杯 电子数据取证 单选 高级 A:0.01282210 BTC;B:0.01459400 BTC;C:0.00175178 BTC;D:0.00234500 BTC;E:以上都不对.

image-20211021192111231

查网站就行

74

Bob iMac数据磁盘的哈希值(SHA-256)是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:29D4217939E37A4408FAE745363A4635A18CB0EE2E29771449E86F8BD7E7F839;B:29D4217939E37A4408FAE745363A4635A18CB0EE2E29771449E86F8BD7E7;C:D7E729D4217939E37A4408FAE745363A4635A18CB0EE2E29771449E86F8BF839;D:D7E7F83929D4217939E37A4408FAE745363A4635A18CB0EE2E29771449E86F8B;E:F83929D4217939E37A4408FAE745363A4635A18CB0EE2E29771449E86F8BD7E7.

xways直接打开

image-20211021192331573

团体赛Cole部分

75 更多操作Cole桌上计算机的哈希值(SHA-1)是甚么?

Cole桌上计算机的哈希值(SHA-1)是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:0D00A8A853B9001A9FC7BF89D9FBBA790C065CE2;B:0D22A8A853B9001A9FC7BF89D9FBBA795CE2;C:A8A853B9001A9FC7BF89D9FBBA790C065CE20D00;D:5CE20D00A8A853B9001A9FC7BF89D9FBBA790C06;E:5CE2A8A853B9001A9FC7BF89D9FBBA790C060D00.

image-20211021192845564

76

Cole桌上计算机的用户名是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:ADMIN;B:COLE;C:COLE-DESKTOP;D:COLE-PC;E:COLE-PC-841315.

image-20211021201731435

77

在Cole的桌上计算机中发现了多少潜在的受害者? 2 第六届美亚杯 电子数据取证 单选 中级 A:100;B:150;C:200;D:250;E:300.

image-20211021202131537

200个

78

潜在受害者的数据被储存在哪里?(某些字符被刻意用*遮盖) 2 第六届美亚杯 电子数据取证 单选 中级 A:Partition 3\secret\docent.txt;B:Partition 3\secrets\ctomer.txt;C:Partition 3\secrets\vi.txt;D:Partition 3\secrets\vi.zip;E:Partition 3\secets\ips.doc.

可参考上题图

79

预设浏览器何时安装? 2 第六届美亚杯 电子数据取证 单选 中级 A:2019-10-01;B:2019-12-01;C:2019-12-07;D:2020-09-24;E:2020-09-28.

感觉如果不精确到小时的话,看系统安装时间也是个好方法。

image-20211022084920059

80

Cole桌上计算机上预设安装了甚么浏览器? 1 第六届美亚杯 电子数据取证 单选 初级 A:Chrome;B:Edge;C:Firefox;D:Internet Explorer;E:Opera.

image-20211022084952940

81

上述储存浏览记录的默认浏览器,该文件档案的类型是什么? 1 第六届美亚杯 电子数据取证 单选 初级 A:bat;B:dat;C:History;D:places;E:Web.

image-20211022090213812

找到浏览记录跳转源文件

82

入侵Zello的证据文件是甚么? E 2 第六届美亚杯 电子数据取证 单选 中级 A:Event log;B:Email;C:Pretech;D:Ransome note;E:WebCacheV01.dat.

image-20211022090255380

历史记录源文件

83

受感染网站的网址是什么? 2 第六届美亚杯 电子数据取证 单选 中级 A:www.apple.com;B:www.google.com;C:www.vmware.com; D:http://fortess.com;E:http://zello-onlineshop.sytes.net.

见上

84

Cole桌上计算机上的DDoS勒索字条是甚么?(某些字符被刻意用*遮盖) 2 第六届美亚杯 电子数据取证 单选 中级 A:license.txt;B:Ransome Note of OS.txt;C:Ransome Note of **OS.doc;D:edb.log;E:inst.log.

仿真直接能看到,不仿真搜索关键词 DDoS 关键字也能找到。

image-20211022090528779

85

在Cole桌上计算机上发现的DDoS勒索字条中,比特币钱包地址是甚么? 2 第六届美亚杯 电子数据取证 单选 中级 A:1L6fKWpEYvUi8FeG6BnXqfh1joAgmJA1h1;B:2A6fKWpEYvUi8FeG6BnXqAA1joAgmJA1h1;C:3F6fKWpEYvUi8FeG11nXqAA1joAgmJA1h1;D:5C6fKWpEYvUi8FeG6BnXqAA1joAgfJA1h1;E:A1h1KWpEYvUi8FeG6BnXqfh1joAgmJ1L6f.

image-20211022090645057

86 Cole笔记本计算机的哈希值(SHA-1)是甚么?

Cole笔记本计算机的哈希值(SHA-1)是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:2EF559C89F2C5E6A2E02CFF13DBD61E423B89CD2;B:2EF59CD259C89F2C5E6A2E02CFF13DBD61E423B8;C:59C89F2C5E6A2E02CFF13DBD61E423B82EF59CD2;D:8CO259C89F2C5E6A2E02CFF13DBD61E423B82EF5;E:9CD259C89F2C5E6A2E02CFF13DBD61E423B82EF5.

image-20211022090738257

87

Cole笔记本计算机有多少个用户帐户? 1 第六届美亚杯 电子数据取证 单选 初级 A:2;B:3;C:4;D:5;E:6.

image-20211022090939223

3个

image-20211022091136570

88

当前登录用户帐户的用户名是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:Administrator;B:Bob;C:Cole;D:Daniel;E:Guest.

image-20211022091107142

89

在Cole笔记本的随机存取记忆体中, 是甚么Windows配置文件? 1 第六届美亚杯 电子数据取证 单选 初级 A:Win7SP1x64;B:Win7SP1x64_25000;C:Win7SP2x64;D:Win2008R2SP1x64_24418;E:Win2008R2SP2x64.

image-20211022092142781

90

用户密码的前5个字符是甚么? 3 第六届美亚杯 电子数据取证 单选 高级 A:12345;B:78945;C:passw;D:P@ssw;E:qazws.

两种方法:lsadump和hashdump再去在线md5解码

image-20211022092542863

image-20211022092525423

91

计算机中可疑的txt文件的名称是甚么? 2 第六届美亚杯 电子数据取证 单选 中级 A:abc.txt;B:costomer.txt;C:secret.txt;D:vips.txt;E:No suspicious file was found.

显然是Vips.txt

92

可疑txt文件曾经出现在哪个路径? B 2 第六届美亚杯 电子数据取证 单选 中级 A:C:/Users/Cole;B:C:/Users/Cole/Desktop/;C:C:/Users/Cole/Desktop/Trade;D:E:/USB16GB;E:No suspicious file was found.

image-20211022102036634

93

是否有任何证据表明该文件已执行? C 3 第六届美亚杯 电子数据取证 单选 高级 A:是的,因为与此文件相关的lnk文件在内存偏移量 (Memory Offset) 0xcd40e382中找到;B:是的,因为与此文件相关的lnk文件在内存偏移量 (Memory Offset) 0x117a86230中找到;C:是的,因为在Cole \ AppData \ Roaming \ Microsoft \ Windows \ Recent \中找到了与此文件相关的lnk文件;D:找不到执行证据,因为没有与txt文件相关的预取文件;E:找不到可疑文件和lnk文件.

根据选项往回找

image-20211022112049545

最近访问记录找到该文件,并且看到有lnk文件生成,一般link文件生成说明该文件已经访问过

94*

以下哪个与上述可疑txt文件相关的发现是正确的? A 2 第六届美亚杯 电子数据取证 单选 中级 A:在创建可疑txt文件之后,创建/访问了另一个txt文件;B:在创建另一个txt文件之后创建/访问该文件;C:Cole使用Microsoft Word打开文件;D:无法确定与文件相关的时间事件;E:该文件是通过内部网络ip下载的.

通过分析
//$Extend /UnJrnl/$J ,转换成日志,然后找文件的操作详情。
可以通过两个文件创建向后的时间来进行判断

元文件$UsnJrnl是变更日志文件,作用是记录文件发生的改变,文件一旦改变,其变化会记录在元文件$UsnJrnl中一个被命名为$J的数据属性中。$J数据属性具备稀疏属性,由变更日志项组成。$UsnJrnl中还有一个被命名为$Max的数据属性,用来记录有关用户日志的最大设置信息等参数。$UsnJrnl文件中$J数据属性的变更日志项结构见表4-89。表4-89 $J数据属性的变更日志项结构元文件$UsnJrnl分析-数据恢复迷

image-20211027204250710

image-20211027204308296

image-20211027204312926

或者可分析一下浏览器的历史记录

image-20211031172329654

可看到三分钟后又访问了customers.txt

95

根据系统时间,Cole在2020-09-18 01:01:08 UTC + 0000左右用笔记本计算机做了甚么? D 2 第六届美亚杯 电子数据取证 单选 中级 A:他创建了一个新的xls文件;B:他从USB复制了一些文件;C:他打开了一些txt文件;D:他删除了一些文件;E:没有.

image-20211028192953458

其中在文件系统日志这里能看到详细信息

image-20211028193804019

操作可以看出是删除了某些信息

或者使用取证大师

提供了精确到秒的

2020 09 18 01:01:08 UTC + 0000 ,通过搜时间找到这个时间点

在应用程序运行痕迹最后访问时间排序也可

打开了 eraser.exe(eraser是常见数据擦除软件)
通过分析
//$Extend /UnJrnl/$J ,转换成日志,然后找文件的操作详情。

image-20211028195705318

96

FTK Imager.exe的PID是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:368;B:660;C:1288;D:2224;E:2456.

内存镜像中获取

Pslist 命令

image-20211028202107947

97

FTK Imager.exe的父应用程序是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:592;B:660;C:1288;D:2224;E:2456.

同上

image-20211028202210587

98

FTK Imager.exe使用甚么DLL? 1 第六届美亚杯 电子数据取证 单选 初级 A:mmlang.dll;B:Normal.dll;C:sensapi.dll;D:Secu.dll;E:WINNS.dll.

方法一:dlllist命令,可导出到txt文件后挨个搜索

dllist –pid=2456精确搜索

image-20211028202418232

方法二:使用timeliner 命令

image-20211028202547201

image-20211028202552807

方法三:查找其pf 预读文件

image-20211028203017341

导出后,使用Winprefetchview 来进行查看

image-20211028203038696

99

MpCmdRun.exe的PID是甚么? 2 第六届美亚杯 电子数据取证 单选 中级 A:660;B:1288;C:1388;D:2240;E:2456.

psscan和 psxview 可以查看隐藏进程

image-20211028203153946

100

以下哪个与MpCmdRun.exe相关的项目是正确? 2 第六届美亚杯 电子数据取证 单选 中级 A:该进程于2020-09-17 11:15:57 UTC + 0000创建;B:该过程于2020-09-18 01:20:57 UTC + 0000终止;C:该进程由schost.exe启动;D:该过程是通过网络驱动器启动的;E:这不是合法程序.

image-20211028203909861

101

上次启动后,笔记本计算机连接的外部IP是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:31.12.82.1;B:40.10.261.1;C:218.112.79.1;D:218.112.172.8;E:未连接/未连接到任何外部IP.

使用netscan命令查看有无远程连接进程

foreign address里没有显示ip

image-20211028204003775

102

上次启动后,笔记本计算机连接的网络驱动器路径是甚么? E 1 第六届美亚杯 电子数据取证 单选 初级 A:E:/;B:F:/;C:G:/;D:Z:/;E:未连接/未连接到任何外部IP.

同上题

103*

Cole公司的一位客户有一封电子邮件m*b*@ms**.z**.**.tw,可以在Cole的笔记本计算机中找到此数据吗? (某些字符被故意用*遮盖) A 3 第六届美亚杯 电子数据取证 单选 高级 A:是;B:否;C:无法确定,因为找不到这样的文件;D:由于信息太有限,无法确定;E:由于数据已加密,无法确定.

vips.txt里面有该电子邮件地址

104*

收到上述电子邮件的客户名称是甚么? C 3 第六届美亚杯 电子数据取证 单选 高级 A:陈志;B:陈志林;C:陈宜;D:郭倍;E:No customer data was found.

image-20211031173748427

找到对应的该行

105*

属于上述客户的电话号码是甚么? (某些字符被故意用*遮盖) 3 第六届美亚杯 电子数据取证 单选 高级 A:32251*;B:61221;C:62682;D:65257;E:No customer data was found.

见上图

106*

上述客户可能居住的区域是甚么? 3 第六届美亚杯 电子数据取证 单选 高级 A:Hong Kong Island;B:Kowloon City ;C:Tsuen Wan;D:Tin Shui wai;E:No customer data was found.

TIN SHUI WAI,见上图

107 Cole的PI的哈希值(SHA-256)是甚么?

Cole的PI的哈希值(SHA-256)是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:0556EABC9BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7C;B:05569BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7CEABC;C:9BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7C0556EABC;D:AA8C9BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7C0556;E:EABC9BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7C0556.

image-20211028204907205

108

Cole PI 装置的操作系统是甚么? 2 第六届美亚杯 电子数据取证 单选 中级 A:Android;B:Debian;C:Mac;D:Ubuntu24;E:Windows.

image-20211028205044727

但是仿真失败

火眼导入识别一下

109

操作系统是甚么版本? 2 第六届美亚杯 电子数据取证 单选 中级 A:20.1.1 LTS (Focal Fossa);B:20.01.1 LTS (Focal Fossa);C:20.02.1 LTS (Focal Fossa);D:20.03.1 LTS (Focal Fossa);E:20.04.1 LTS (Focal Fossa).

同上

110

装置的文件系统是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:Android;B:Ext 4;C:EXT;D:iOS;E:NTFS.

image-20211028205427279

image-20211028205507820

111*

操作系统的时区是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:Asia/Amman;B:Asia/ Baku;C:Asia/Shanghai;D:Asia/Seoul;E:Asia/Tokyo.

在/etc/timezone 可以找到

112

哪个文件包含儿童色情物品内容?(某些字符被故意用*遮盖) 1 第六届美亚杯 电子数据取证 单选 初级 A:”Partition 2*r\ptc1.jpg,Partition 2*r\ptc2.jpg,Partition 2*r\ptc3.jpg”;B:”Partition 2\v\ptha1.jpg,Partition 2\v\ptha2.jpg,Partition 2\v\ptha3.jpg” ;C:”Partition 2\mnt\pth.jpg,Partition 2\mnt\pth.jpg,Partition 2\mnt\pth.jpg”;D:”Partition 2*hc1.jpg,Partition 2*hc2.jpg,Partition 2*hc3.jpg”;E:”Partition 2\media\pt*.jpg,Partition 2\media\pt(1).jpg,Partition 2\media\pt(2).jpg”.

找找图片

image-20211029153123796

image-20211029153247278

image-20211029153258279

这三个

113

Cole PI装置中的儿童色情物品的创建时间是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:2020/09/15 11:21;B:2020/09/15 17:21;C:2020/09/15 18:21;D:2020/09/16 19:21;E:242020/09/15 20:21.

image-20211029153358004

114 Cole NAS的哈希值(SHA-256)是甚么?

Cole NAS的哈希值(SHA-256)是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:28715B79890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D;B:2871890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D5B79;C:5B79890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D2871;D:6879890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D2871;E:890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D28715B79.

image-20211029154740393

115

儿童色情数据存放在哪里? 2 第六届美亚杯 电子数据取证 单选 中级 A:Partition 3\cole-shared\media;B:Partition 4\cole\media;C:Partition 4\cole_shared\DCIM;D:Partition 4\cole_shared\media;E:Partition 4\cole_share\mnt.

image-20211029161919073

116

设备中现有多少儿童色情数据? 2 第六届美亚杯 电子数据取证 单选 中级 A:1;B:2;C:3;D:4;E:5.

同上

117

Cole NAS装置中的儿童色情物品的创建时间是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:2020/09/13 16:51;B:2020/09/14 16:50;C:2020/09/14 16:51;D:2020/09/15 16:51;E:2020/09/15 17:57.

image-20211029161936343

118 在Cole手机, 的用户个人资料是甚么?

在Cole手机, 的用户个人资料是甚么? D 1 第六届美亚杯 电子数据取证 单选 初级 A:colefung@gmail.com;B:colefung99@gmail.com;C:cole909@gmail.com;D:colefung909@gmail.com;E:colefung999@gmail.com.

veracrypt里的文件有问题,当时也发了单独的镜像文件下载链接

使用手机大师加载该镜像文件

image-20211031203811004

119

Cole的手机上有社交媒体帐户吗?如有,那是甚么? B 1 第六届美亚杯 电子数据取证 单选 初级 A:63766465@s.whatsapp.net;B:85263766465@s.whatsapp.net;C:852-62766465@s.whatsapp.net;D:C85263766465@s.whatsapp.net;E:COLE-63766465@s.whatsapp.net.

image-20211031204223443

120

Cole与Bob和Alice在同一个小组中进行过交流吗?它是甚么? A 1 第六届美亚杯 电子数据取证 单选 初级 A:是的,在whatsapp组ID中的群聊消息:85262547937-1600392878@g.us;B:是的,在whatsapp组ID中的群聊消息:85262547937-1600392878@g.hk;C:是的,在whatsapp组ID中的群聊消息:85252547937-1600392878@.us;D:是的,在whatsapp组ID中的群聊消息:62547937-1600392878@g.us;E:不,他们在Cole的设备中找不到公共聊天组.

image-20211031204334751

121

Cole手机的Android ID是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:a626a98cb2bb965ec;B:606a98cb2bb965eca;C:626a98cb2bb965ec;D:65ec626a98cb2bb9;E:626aa8cb2bb965ec626a.

image-20211031204526974

122

已安装的WhatsApp APK文件的哈希值(SHA-256)是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:06fa2cce80923de8646f835b72d1fb06a97343a5b7242bc3972627c78e1bb318;B:8e1b06fa2cce80923de8646f835b72d1fb06a97343a5b7242bc3972627c7b318;C:8e1bb31806fa2cce80923de8646f835b72d1fb06a97343a5b7242bc3972627c7;D:b31806fa2cce80923de8646f835b72d1fb06a97343a5b7242bc3972627c78e1b;E:b4l806fa2cce80923de8646f835b72d1fb06a97343a5b7242bc3972627c78elb.

目前不具备手机镜像仿真能力,无法找到该 apk 文件×

手机大师不好寻找,使用取证大师加载可以看到分区名称(火眼就行),在userdata分区有一个app目录,通常app的apk文件下载在此处

image-20211031204820800

找到后计算即可

image-20211031204933190

123

列出Chrome的五个“关键词搜索”。 B 2 第六届美亚杯 电子数据取证 单选 中级 A:”bulk mailer, ddos creator, fortress online, parknshop, GitHub malware”;B:”bulk mail, bulk mailers, ddos creator, fortress online, bitcoin”;C:”bulk mail, bulk mai1er, ddos creator, fortress online, bitcoin”;D:”bulk mai1, bulk mailer, ddos creator, parknshop, GitHub malware”;E:”fortress on1ine, bitcoin, apple, parknshop, GitHub malware”.

image-20211029190155085

小变化,考细心

124

在哪里可以找到“Cole的电话”的通话记录? A 2 第六届美亚杯 电子数据取证 单选 中级 A:Table:call;B:Table:calls;C:Table:contact;D:Table:contacts;E:Table:sms.

火眼找到通话记录源文件

image-20211031205616543

calls表里记载

125

2020-09-01至2020-09-30之间,“Cole”收到了多少条SMS讯息? A 2 第六届美亚杯 电子数据取证 单选 中级 A:2;B:3;C:4;D:5;E:6.

删除的记录一定要减去,
官网的答案 是未删除的条数

image-20211029190232175

image-20211029190353620

126

在Cole的“ whatsapp”联络人中,有多少用户正在使用“ whatsapp”? A 2 第六届美亚杯 电子数据取证 单选 中级 A:2;B:3;C:4;D:5;E:6.

盘古石手机取证直接得出

image-20211029190413362

团体赛Daniel部分

127 Daniel的桌上计算机的哈希值(SHA-256)是甚么?

Daniel的桌上计算机的哈希值(SHA-256)是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:E588564CA7AAA5352F6A1215A9F1FBE4;B:FBE4564CA7AAA5352F6A1215A9F1E588;C:01DD40CF28603F421F3A09CD38F1C8AA40A2AC4BFB46ECF8299C38CE6AE44EO5;D:07DD40CF28603F421F3A09CD38F1C8AA40A2AC4BFB46ECF8299C38CE6AE44ED5;E:4ED540CF28603F421F3A09CD38F1C8AA40A2AC4BFB46ECF8299C38CE6AE407DD.

xways 直接得出

image-20211029190952085

128 该桌上计算机操作系统储存在哪个分区上?

该桌上计算机操作系统储存在哪个分区上? 1 第六届美亚杯 电子数据取证 单选 初级 A:Partition 1;B:Partition 2;C:Partition 3;D:Partition 4;E:Partition 5.

image-20211029192116422

129

在桌上计算器机中找到Daniel的电子邮件地址是甚么? 2 第六届美亚杯 电子数据取证 单选 中级 A:daniel43346@gmail.com;B:daniellaw43346@gmail.com;C:daniellaw43346@yahoo.com;D:daniellaw43346@yahoo.com.hk;E:daniellaw43346@ymail.com.

image-20211029192158435

130

该恶意软件感染源是甚么? 2 第六届美亚杯 电子数据取证 单选 中级 A:”daniellaw43346@gmail.com - Daniel_Gmail.pst, Paypal updated:New Account update needs to be noticed”;B:”daniellaw43346@gmail.com - Daniel_Gmails.pst, Paypal updated:New Account update needs to be noticed”;C:”daniellaw@gmail.com - Daniel_Gmail.pst, Paypal updated:New Account update needs to be noticed”;D:”danielaw43346@gmail.com - Daniel_Gmail.pst, Paypal updated:New Account update needs to be noticed”;E:”daniellaw43346@yahoo.com - Daniel_Gmail.pst, Paypal updated:New Account update needs to be noticed”.

image-20211029192426214

131

在Daniel的桌面上发现了甚么恶意软件?(某些字符被刻意用*遮盖) 2 第六届美亚杯 电子数据取证 单选 中级 A:wiows.bat;B:ootd-4.0.2.0.exe;C:7z00-x64.exe;D:NDP452-KB29007-x86-x64-AllOS-ENU.exe;E:deo_view_3.1.2.4.zip.

在 windows 默认下载目录找到一些文件
全导出后拖进火绒检测可找到

image-20211029194733317

132

该恶意软件的哈希值(SHA-256)是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:508972AFE67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D;B:5089E67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D72AF;C:72AFE67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D5089;D:77AFB67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D50B9;E:E67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D508972AF.

image-20211029194927635

133 **该恶意软件的功能是甚么?

该恶意软件的功能是甚么? E 2 第六届美亚杯 电子数据取证 单选 中级 A:远程桌面协议;B:作为获得管理员级别访问权限的rootkit;C:作为键盘侧录程序 (Keylogger);D:作为抢夺者 (Snipper);E:作为特洛伊木马 (Trojan Horse).

image-20211029194733317

拖入微步云沙箱看看高危行为

image-20211029202407134

提示应该是特洛伊木马

下图从何得出

image-20211030134338858

134 Daniel的MacBook 计算机的哈希值(SHA-1)是甚么?

Daniel的MacBook 计算机的哈希值(SHA-1)是甚么? 1 第六届美亚杯 电子数据取证 单选 初级 A:B90D23B13560A619F682DE76991CD768;B:B9OD23B13560A619F682DE76991CO768;C:C71C21730461FC901FD99F76C3679C3FED0DFAB9;D:C77C21730461FC901FD99F76C3679C3FED0DFA89;E:FAB921730461FC901FD99F76C3679C3FED0DC71C.

image-20211030134406592

135

Daniel的MacBook 计算机中有多少个分区? 1 第六届美亚杯 电子数据取证 单选 初级 A:2;B:3;C:4;D:5;E:6;

image-20211030134646170

136 Daniel的iPhone的操作系统是甚么版本?

Daniel的iPhone的操作系统是甚么版本? 1 第六届美亚杯 电子数据取证 单选 初级 A:12.0.0.1;B:12.3.2;C:12.4.7;D:12.5.1;E:13.4.6.

版本太老了,不匹配,

image-20211102141740796

应该改成Bob这样的iPhone备份格式

image-20211102141835341

无法使用手机大师取出东西,可以使用脚本修改为常见iPhone格式,要不就手动寻找

image-20211030135158690

137

Daniel的iPhone的wifi mac地址是甚么? 2 第六届美亚杯 电子数据取证 单选 中级 A:22:9a:be:c4:99:7b;B:44:9a:be:c4:99:7d;C:50:9a:be:c9:99:7d;D:64:9a:be:c4:99:7d;E:7d:64:9a:be:c4:99.

lockdown文件夹下的device_values.plist

image-20211030134957485

138

Daniel的iPhone的IMEI是甚么? D 2 第六届美亚杯 电子数据取证 单选 中级 A:256960065058545;B:300960065055854;C:359000065055845;D:356960065055845;E:456960065505845.

image-20211030135100631

image-20211030135708696

139

iPhone上次连接WIFI的SSID是甚么? 2 第六届美亚杯 电子数据取证 单选 中级 A:Netgear;B:Netgear_5G;C:Net24-5G;D:Netgear24_4G;E:Netgear24_5G.

修复后手机大师能看到

image-20211102144033261

140

根据调查结果,以下哪项关于Daniel的选项是正确的? E 2 第六届美亚杯 电子数据取证 单选 中级 A:Daniel 认识 Alice;B:Cole 入侵了 Daniel 的计算机;C:Daniel知情地入侵了Xeno的服务器;D:Daniel是犯罪团伙的一员;E:以上都不对.

A Daniel 是cole网上招募到B 入侵zello的 C D 犯罪团伙应该是群里的一员 E


文章作者: lijunliang
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 lijunliang !
评论
 本篇
2020年“美亚杯”第六届中国电子数据取证大赛团队赛全解析 2020年“美亚杯”第六届中国电子数据取证大赛团队赛全解析
为了给2021年美亚杯做准备,这几天重新做了一下前几年美亚杯的题目,团队赛题量很大,涉及到各种各样的镜像,组成一个完整的犯罪体系。做做复现记录一下,期待今年的美亚杯
2021-11-03
下一篇 
2020年“美亚杯”第六届中国电子数据取证大赛个人赛解析 2020年“美亚杯”第六届中国电子数据取证大赛个人赛解析
为了给2021年美亚杯做准备,这几天重新做了一下前几年美亚杯的题目,题量很大,做做复现记录一下。期待今年的美亚杯
2021-11-03
  目录