2020年“美亚杯”第六届中国电子数据取证大赛个人赛解析

美亚杯
取证
发布日期:   2021-11-03
更新日期:   2021-11-06
文章字数:   953
阅读时长:   3 分
阅读次数:  

2020第六届美亚杯中国电子数据取证大赛个人赛(资格赛)writeup

为了给2021年美亚杯做准备,这几天重新做了一下前几年美亚杯的题目,题量很大,做做复现记录一下。

期待今年的美亚杯

个人赛解题-笔记本

img

img

img

第1题

取证大师计算哈希可得sha1,但是e01格式的镜像文件内已经存储了打包镜像时计算的哈希值,我们完全不需要二次计算,只需使用FTK加载镜像,即可看到已经算好的哈希值,秒解

image-20201130200247571

第2到11题

取证大师即可

image-20201130200720106

image-20201130200744183

image-20201130200823858

ps.

CST指的就是中国标准时间,UTC+8:00

image-20201130200943339

image-20201130201037841

image-20201130201104575

第12题

仿真一下,即可看到

image-20201130201721195

ps.

image-20201130201221274

这个不支持虚拟化的bug可以用关闭这里的选项解决,去掉这个钩

image-20201130201318942

第13题

image-20201130201430773

看取证大师的搜索记录

image-20201130201628531

第14、15题

image-20201130202009438

image-20201130202000886

信用卡小知识:

信用卡安全码(英文:Card Security Code)是信用卡在进行网络交易和电话交易时的一个安全特征。它通常是印刷在信用卡上面的3或4位数字,用于证实付款人在交易时是拥有信用卡的,从而防止信用卡欺诈。

信用卡的有效期(exp)

填写的格式一般是 月/年 比如说0912 就是有效期到2012年9月

第16到18题

image-20201130202217228

小知识

压缩文件的英文是zip

仿真电脑,在下载目录可以发现同名的

image-20201130202958313

image-20201130202932170

第19题

这一题我是用排除法做的,从u盘里的 System Volume Information创建时间可以看出是2020-09-29-1801

看着就很像

image-20201130203603513

第20到22题

image-20201130203815546

虽然有加密,但是还是能看里面有啥文件

image-20201130203119916

里面的两张图片其实在download目录下有,跟压缩包里的相同,可以算一下crc

image-20201130204020617

算在外面的图片的哈希即可

image-20201130204103376

image-20201130204051529

第23到31题

image-20201130204154538

取证大师即可

版本可以仿真看

image-20201130204248073

img

取证大师即可

image-20201130204210920

不知道第25和29题,第27和30题之间为啥有重复部分。。

这个第31题,我弄了好久都不知道AP是啥意思

有哪位大佬知道。。。

第32题

image-20201130210239461

找R3ZZ.txt

image-20201130210344287

第33、34题

image-20201130210403405

看那俩购买发票,就是那俩图

image-20201130210556035

第34题我是推断的,就是用信用卡买东西需要提供什么信息

个人赛解题-手机

第35到37题

image-20201130211009194

第35题可以从给的案件调查报告里找到

image-20201130211254522

至于是G3还是G4,emmm,他给的有手机照片,应该能直接看出来,但是我不知道。。。

第36、37题

image-20201130211450822

image-20201130211649419

第38到42题

img

image-20201130211841136

均能用盘古石的手机取证顺利取出

第38

image-20201130211746477

第39

image-20201130211944484

第40

导出后再看就好了

image-20201130212143354

第41、42

稍微有点不一样

image-20201130212327002

image-20201130212638074

第43到51题

image-20201201145328013

第43、44

image-20201201145453592

image-20201201145659776

第45题是推断题

从整体的聊天记录可以看出,cole是提出意见,推动实施的人,bob我倒是没看出来,但是因为只有b选项有cole,所以当时选了b

image-20201201145753152

img

第46题

image-20201201150229857

第47、48题

搜索可得

image-20201201150727040

msgstore.db存储了聊天记录,发现creation,选择Unix时间戳转换可得时间

image-20211019095739267

image-20211019100006911

第49题

image-20201201151053089

image-20201201151118344

image-20201201150756840

image-20201201145344034

第50题

image-20201201150826508

第51题

image-20201201151604727

转时间戳

image-20201201151745288

查数据库

image-20201201151841496

第52题

找到系统分区,从/etc/wifi/WCNSS配置文件可以找到

image-20211019140202055

img
可以把这个镜像拖到winhex里面搜一遍

第53题

image-20201201153255949

给的电脑照片上贴了俩纸条,挨个试一试就好了,那个QPzm的是对的

image-20201201152253053

第54到57题

image-20201201153242021

挨个apk装一遍即可

那俩纸条的另一个就是这个秘密讯息解密的密码

这个apk是解密图片用的,U盘里正好有一个bob photo

image-20201201153559284

第58到61题

image-20201201153953389

img

59

image-20211019094523998

取证大师算一下

60

image-20211019094255981

61

image-20211019094035199

文章作者: marmalade
文章链接: https://marmalade.vip/20meiyacuppersonal.html
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 marmalade !
美亚杯
评论
  目录