22美亚杯个人赛wp

1. 王晓琳手机的 'IMEI' 号是什么? (以阿拉伯数字回答)

352978115584444

美亚和火眼都能看到

2. 王晓琳的手机安装了什么即时通讯软件 (Instant Messaging Apps)?多选

A:WhatsApp;B:LINE;C:微讯 (WeChat);D:Signal;E:QQ

火眼看到了三个，美亚看到了两个

3. 王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 'PDF' 档案? (以时区UTC+8回答)

A:2022-10-01 17:39:53;B:2022-09-30 18:30:28;C:2022-10-01 16:30:22;D:2022-09-30 17:39:53

手机大师和火眼都能看到发送了两个pdf档案，但是答案只符合一个，所以选后头在群组聊天中看到的

4. 承上题，这个 'PDF' 档案的MD5哈希值 (Hash Value) 是什么? (以大写英文及阿拉伯数字回答)

导出后计算

AE0D6735BBE45B0B8F1AB7838623D9C8

5. 王晓琳将这个 'PDF' 档案发给哪一个用户, 而该用户的手机号码是什么?

A:85259308538;B:85269707307;C:85246427813;D:85297663607

6. 王晓琳发出这个 'PDF' 档案的原因是什么?多选

A:分享档案内容;B:错误发出;C:无法开启;D:寻求协助

7. 承上题，分析王晓琳与上述用户的对话，他们的关系是什么?

A:师生;B:家人;C:同事;D:客户

8. 王晓琳于何时要求上述用户删除一张照片?

A:2022-09-28;B:2022-09-30;C:2022-10-03;D:2022-10-06

9. 承上题，该用户向王晓琳提出什么要求以删除这张照片?

A:毒品;B:性服务;C:加密货币;D:金钱

10. 王晓琳的手机里有什么电子书藉 (Electronic Book) ?

A:红楼梦;B:水浒传;C:西游记;D:三国演义

方法一

勾选火眼耗时任务里的ocr文本识别，能找到三国演义

方法二

看了txt和pdf文件都没有什么信息，应该在苹果自己的ibook里面

导出可疑文件

分析文件（注：plist是果子系统特有的存储数据的文件）

发现有一个图片已经记录了答案信息

显然是三国演义

方法三

在BKJaliscoServerSource-v09182016.sqlite文件里面发现了记录（用navicat或者ddb for windows）

11. 王晓琳在这本电子书藉里最后对哪段文字加入了重点标示效果 (Highlight)?

A:宝玉已是三杯过去了;B:武松那日早饭罢;C:就除他做个弼马温罢;D:卿有何妙计

先火眼创建全局搜索把四个选项都先跑着

...................

呃不对

脑子瓦特了

既然已经确定乐视三国演义，那么红楼梦的A排除，武松B的水浒传排除，C是西游记......那么大概率选择D了

火眼的结果也跑出来了，确定是D

12. 王晓琳的手机里有一个 'MTR Mobile (港铁)' 的手机程序 (Mobile App)。 检视其数据库 (Database) 的数据，王晓琳于2022年10月11日 22:04 时将一行程加入书签 (Bookmark)，这段行程的起点及终点站包括?多选

A:青衣;B:沙田;C:红磡;D:尖沙咀;E:康城

火眼搜索mobile找到港铁的文件夹

去library文件夹过滤后缀db，发现只有一个数据库

开始分析，发现疑似书签的信息

创建时间created_time是unix时间戳，用cyberchef工具进行转换

只有16654的时间对得上

对应的书签是青衣与沙田

13. 王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片? (以阿拉伯数字回答)

90

设置时间过滤条件

左下角看到

14. 检视王晓琳的手机照片，她于2022年10月2日到过什么地方?

翻照片可以看到

A:城门畔塘径;B:大榄麦理浩径;C:京士柏卫理径;D:大潭郊游径

打开后可以看到立板上面写的是A，这是方法一

方法二

位置——时间

过滤好时间之后点开图片翻看地图

不是很推荐，找起来比较慢而且可能出错

15. 李大辉使用的是一台LG V10的手机，它的型号是什么?

A:LGH961C;B:LGH961D;C:LGH961N;D:LGH960C;E:LGH960H

16. 李大辉的手机最常搜索的类别 (Category) 是什么?

A:旅游;B:运动;C:学校;D:护肤品

谷歌浏览器和百度可以看到经常浏览购物的相关信息

17. 李大辉最近光顾了一家美丰快运公司，这快递件的单号是什么? (不要输入符号及空白，以阿拉伯数字回答)

4567567812344567

既然是快运公司，百度只搜索了化妆品信息，谷歌访问了雅虎购物网站，那么快递单号可能与谷歌有关

前往data文件夹找谷歌

照片一个一个点开看，有一个关键信息，记下来后面可能要用到

Nov2022!

Nov2022！

但不确定感叹号是中文还是英文，建议两个都试一下

点开最后一张图片发现快递信息

18. 李大辉收到的电邮中有一个钓鱼链结 (Phishing Link)，这个链结的地址是什么?

A:https://bit.ly/3yeARc0;B:https://bit.ly/5vM12;C:http://bit.ly/Hell0;D:以上皆非

答案的前半部分的字是一样的

方法一

搜索试一下

方法二

找到邮箱数据库导出来看一下

确实是答案A，注意id是1745开头

19. 承上题，这封电邮是从哪个电邮地址寄出的?

A:Cavinchow456@yahoo.com;B:2020ChanChan@hotmail.com;C:30624700Peter@proton.me;D:以上皆非

可以看到是答案C

20. 承上题，寄出这封电邮的IP地址是?

A:65.54.185.39;B:10.13.105.56;C:58.152.110.218;D:以上皆非

我们在这里复制一下邮件地址，到浏览器里面去看看

发现是谷歌的地址

是142.251.33.101，和答案都对不上

21. 李大辉手机有一个 'order.xlsx' 的档案被加密了，解密钥匙是什么?

A:20221101;B:Nov2022!;C:P@ssw0rd!;D:2022_Nov!

在17题可以找到密码是Nov2022!

22. 香港的街道上每一枝街灯都有编号。 分析李大辉手机里的程序 'KMB 1933'， 哪一枝街灯在经度 (Latitude) 22.4160270000， 纬度 (Longitude) 114.2139450000 附近，它的编号是什么?(以大㝍英及阿拉伯数字回答)

CE1453

先找到数据库

导出看哪里有经纬度，然后过滤22.4160270000

23. 李大辉的手机里有一张由该手机拍的照片，照片的元资料 (Metadata) 曾被修改，这张照片的档案名是什么?(以大写英文及数字回答，不用回答副档名)

20220922_152622

既然说是手机拍的，那么就去相册里面找

发现有记载密码的图片

导出来分析，气笑了

显然答案就是这个图片

24. 分析李大辉的手机里的资料，他在哪一间公司工作?

A:步步高贸易公司;B:盛大国际有限公司;C:永恒化妆品公司;D:美丽好化妆品公司

25. 林浚熙曾经以手机登录Google账户的验证码是什么? (不要输入符号，以大写英文及阿拉伯数字回答)

G785186

26. 林浚熙手机的 'WhatsApp' 号码是什么? ( 号 码 ) @s.whatsapp.net? (以阿拉伯数字回答)

27. 通过分析林浚熙手机的照片，判断他在何处偷拍王晓琳?

A:郊野公园;B:游泳池;C:酒店房间;D:交通工具

这是女友的即时通讯里面的照片，判断为酒店

28. 林浚熙曾经删掉自己拍摄的照片，这张照片的档案名 (Filename) 是什么? (不要输入 '.'，以大写英文及阿拉伯数字回答。 如 Cat10.jpg，需回答CAT10JPG)

IMG0444JPG ! image.png

29. 王晓琳曾经发送一个PDF档案予林浚熙，这个档案的文件签名 (File Signature) 是什么? (以十六进制数字回答首八位数值，如 F0A1C5E1)

D0CF11E0

30. 承上题，该PDF档案内包含一位曾经被骗的受害者资料。分析林浚熙手机的数据，这位受害者的英文名字是什么? (不要输入符号及空白，以大写英文回答)

WANGSAIPING

31. 分析林浚熙手机上的数据，他在2022年10月17日计划去什么地方?

A:荃湾站;B:沙田站;C:国际金融中心二期;D:以上皆非

能看到这个软件和地址有关

导出来数据库分析

start_time时间戳转换

换成utc+8应该是八点准备走

32. 承上题，上述行程的结束时间是? (如答案为 16:01:59，需回答 160159)

124500

end_time

这里为124500是因为软件转化出来的是utc时区，北京时间是utc+8，需要+8

33. 于林浚熙的手机里，在2022年9月1日 或以后，哪一张照片是由其他手机拍摄的，而它的档案名是什么?(不要输入 '.'，以大写英文及阿拉伯数字回答。 如 Cat10.jpg，需回答CAT10JPG)

IMG0446HEIC

A:ZIMPORTEDFROMSOURCEIDENTIFIER;B:ZIMPORTEDBYBUNDLEIDENTIFIER;C:ZRECEIVEDFROMIDENTIFIER;D:ZRECEIVEMETHODIDENTIFIER

/CameraRollDomain/Media/PhotoData/这里是手机相册的数据库文件夹

/CameraRollDomain/Media/PhotoData/Thumbnails/V2/DCIM/101APPLE这里是拍摄了照片的文件夹

导出数据库文件分析（下一题也提示了应该要去看数据库）

有一个照片是分享过来的而且还有时间信息

下面那个是截图

佐证：

该图片的该项数值：

证明了这个图片的位置距离手机有2000米，显然正常拍摄是不可能出现的

这里我起初以为是IMG0730HEIC，后来做到下面发现不对

我们有照片的时间信息，去火眼里面找一下看看

有一个时间一摸一样的，那么答案应该是IMG0446HEIC

34. 根据照片的数据库 (Photos.sqlite) 资料，哪一个栏目标题 (Column Header) 可以显示这张照片的接收方式?

A:ZIMPORTEDFROMSOURCEIDENTIFIER;B:ZIMPORTEDBYBUNDLEIDENTIFIER;C:ZRECEIVEDFROMIDENTIFIER;D:ZRECEIVEMETHODIDENTIFIER

在上一题中出现com.apple.sharingd的列名就是答案

35. 承上题，这张照片通过什么方式接收?

A:WhatsApp软件传送;B:Signal软件传送;C:蓝牙传送;D:网页下载;E:以上皆非

参考上题

36. 承上题，这张照片原本的档案名 (Original Filename) 是什么? (不要输入 '.'，以大写英文及阿拉伯数字回答。 如 Cat10.jpg，需回答CAT10JPG)

IMG0730HEIC

可以看到这一列对应的就是原文件名......

37. 林浚熙手机里有一个备忘录 (Notes) 被上了锁，这个备忘录的名称是什么? (以大写英文及阿拉伯数字回答)

Halo

在分类里面找数据库文件，发现了这个东西

导出来看看

第一个没啥东西，看到了指向store的路径，去第二个看看

在这个表里面看到了记录的东西

然后开始找不同

中间那两个值为1，被上了锁，让回答英文和数字，那么答案就是Halo

顺带记一下果子手机备忘录的数据库路径HomeDomain/Library/Notes

38. 承上题，上述备忘录的内容有一串数字，它是什么? (以阿拉伯数字回答)

34567

可能需要配置一台mac虚拟机把备忘录放进去看看，但是手上并没有......

配也没配好......

39. 林浚熙计算机 (Computer) 的操作系统 (Operating System) 版本是什么?

A:Windows 10 Pro 22H2;B:Windows 10 Home 21H2;C:Windows 10 Pro for Workstations 21H1;D:Windows 10 Pro for Workstations 21H2

直接看的信息有点不全，仿真进一下看看

自动识别出来了电脑密码，那么就不需要重置了，以免破坏数据，同时也是防止有文件开启了efs加密

打开之后找我的电脑，右键属性查看

40. 林浚熙计算机安装了什么品牌的虚拟专用网络 (Virtual Private Network - VPN) 软件? (不要输入符号及空白，以大写英文及阿拉伯数字回答)

EXPRESSVPN

桌面可以看到

41. 承上题，分析该虚拟专用网络的日志 (Log)，他在哪天安装该虚拟专用网络? (如答案为 2022-12-29，需回答 20221229)

20220915

42. 检视林浚熙计算机的数据，他使用哪种加密货币 (Cryptocurrency) 以支付虚拟专用网络软件? (以大写英文回答该加密货币的全名，如 BITCOIN)

BITCOIN

方法一

桌面上有个Electrum，这个是比特币的钱包

方法二

浏览器历史记录搜索bit也可以找到相关记录

43. 林浚熙的加密贷币钱包 (Cryptocurrency Wallet) 名称是什么? (不要输入符号，以大写英文及阿拉伯数字回答)

TELLAWIEH

方法一

方法二

可以看到用户名和密码

44. 林浚熙计算机里安装了哪个浏览器 (Web Browser)?多选

A:Tor Browser;B:Internet Explorer;C:Google Chrome;D:Microsoft Edge;E:Opera

45. 林浚熙使用浏览器 'Google Chrome' 曾经浏览最多的是哪一个网站?

A:https://mail.google.com/mail;B:https://web.whatsapp.com;C:https://facebook.com;D:https://gmail.com

46. 除了上述网站,林浚熙曾使用浏览器 'Google Chrome' 搜索过什么?多选

A:docker image教学;B:electrum教学;C:php sql教学;D:javascript教学;E:tor教学

一个一个在搜索记录里面过滤即可

47. 林浚熙的计算机安装了一个通讯软件 'Signal'，它的用戶資訊儲存路径是什么?

A:\Users\HEI\AppData\Roaming\Signal;B:\Program Files (x86)\Signal;C:\Users\user\Roaming\Signal;D:\Users\HEI\Desktop\Signal

跳转到源文件

48. 通讯软件 'Signal' 采用一个档案存放用户的聊天记录，它的档案名是什么? (不要输入 '.'，以大写英文及阿拉伯数字回答。 如 Cat10.jpg，需回答CAT10JPG)

DBSQLITE

同上题

49. 承上题，对上述档案迸行分析，林浚熙的联络人当中有多少人安装了Signal? (以阿拉伯数字回答)

4

方法一

火眼直接查看

4个

方法二

导出来数据库看看

有密码

返回数据库的父目录发现有个config.json文件

45cc1769003bb596166e0d5a01ad20bb056392cc690618764a5204da28476e1b

输进去试试

发现不对

从口令换成原始密钥，前面加一个0x试试

成功登陆

除了第一个是自己之外，还有另外四个人

所以答案是4

50. 林浚熙在 'Signal' 曾经与某人对话，那人的手机号码是什么? 需要与区码 (Area Code) 一同回答 (以阿拉伯数字回答)

85270711901

852是香港的区号

86是中国大陆的区号

51. 承上题，两人在 'Signal' 的对话中有些讯息 (Message) 包含附件，这些讯息的 'ID' 包括?

A:46a8762b-78ea-49aa-a6f5-b24975ec189f;B:9729bf92-ab9c-45f7-8147-66234296aele;C:47233ffe-1a73-4b3d-b97c-626246ec3129;D:5b9650fe-3bb6-4182-9900-f56177003672

这算一个

这也算一个

不知道这个算不先记上

表情包也算上

然后到数据库里面翻

14这个是表情的

24这个是“浩”的，应该是个个人名片

和答案对的上的只有13、15

呃呃后续补充，看别的师傅的wp是这里有记录包含信息的值，有俩是1，看这个也行

52. 承上题，林浚熙曾经于2022年10月20日轉账 (Transfer Money) 予上述对话人士, 那次轉賬的参考编号是什么? (以大写英文及阿拉伯数字回答)

N91088774024

聊天记录有

53. 林浚熙的计算机安装了多少台虚拟机 (Virtual Machine - VM) ? (以阿拉伯数字回答)

A:1;B:2;C:3;D:4

一台

54. 林浚熙的计算机里的虚拟机 (VM) 存放在什么路径?

A:\Users\Public\Documents\Virtual Machines;B:\Program Files\Virtual Machines;C:\Users\HEI\Documents\Virtual Machines;D:\User\HEI\Roaming\Virtual Machines\

跳转到源文件查看路径

55. 虚拟机 (VM) 使用什么版本的作业系统 (Operating System) ?

A:Ubuntu 22.04.1 LTS;B:CentOS Linux release 7.6.1810(Core);C:Ubuntu 20.04.5 LTS;D:CentOS Linux 7.5.1804 (Core)

从火眼能知道是乌班图服务器，但是不清楚具体的版本号

导出虚拟机，重新添加为证据，注意选择的是镜像文件，选vmdk

可以看到版本号是20.04.5 LTS，选C

56. 虚拟机 (VM) 中的文件传输服务器 (FTP Server) 有哪些用户?多选

A:man;B:ftpuser;C:root;D:nobody;E:admin

57. 虚拟机设置了什么网页服务器 (Web Server)?多选

A:APACHE;B:IIS;C:LIGHTTPD;D:NGINX;E:WORDPRESS

58. 网页服务器目录内有图片档案，而此档案的储存位置是?

A:/var/www/post;B:/var/www/html/post;C:/var/www/html/post/css;D:/var/www/html/post/src;E:/var/www/html/post/vendor

这个题其实也就是变相告诉了你网站的目录

59. 分析网页服务器的网站数据，假网站的公司名称是什么?

A:Global Logistics;B:Krick Post Global Logistics;C:Krick Post;D:Krick Global Logistics

去找index.php

呃不过要注意黑色字体下面还有字不要漏掉

60. 检视假网站首页的显示， 'AY806369745HK' 代表什么?

A:邮件收费号码;B:邮件序号;C:邮件参考号码;D:邮件号码

61. 分析假网站的资料，当受害人经假网站输入数据后，网站会产生一个档案，它的档案名是什么? (不要输入 '.'，以大写英文及阿拉伯数字回答。 如 Cat10.jpg，需回答CAT10JPG)

VUTXT

好像和process.php有关系？翻了一会...

嗯......很干脆的不会，并没有找出来产生的档案

但是点开vu.txt发现是用户的数据

所以猜测生成的就是vu.txt

62. 分析假网站档案 'process.php' 源码 (Source Code), 推测此档案的用途可能是?多选

A:产生档案;B:发出邮件;C:更新数据库;D:改变函数

据上题提示可能有A，这里他明说了发送邮件，那么就还有B

---

（补：前面犯懒了没有把文件导出来看，导出来之后发现源码不止火眼显示的那些）

这里可以确定有发送邮件，选B

这里可以确定生成了vu.txt

63. 检视档案 'process.php' 源码, 林浚熙的电邮密码是? (以大写英文回答)

rtatsceucpacocbdacs

64. 分析档案 'process.php' 源码, 它不会收集哪些资料?

A:电话号码;B:电邮地址;C:信用卡号码;D:GPS位置;E:短讯验证码

邮箱在前面能看到会收集，B排除

C排除

A、D、E暂且看不出来

65. 虚拟机 (VM) 安装了 Docker 程序，列出一个以'5'作为开端的 'Docker' 镜像 (Image) ID (以阿拉伯数字及大写英文回答)

5D58C024174DD06DF1C4D41D8D44B485E3080422374971005270588204CA3B82

如果这里是在比赛的话，手动换成大写时间上会很吃亏，用cyberchef自动换成大写

66. Docker 容器 (Container) 'mysql' 对外开放的通讯端口 (Port) 是?

3306

这个应该需要仿真，在火眼仿真中把所有经虚拟机文件都添加进去

高级设置中勾上重置用户密码然后创建虚拟机

这里登进去之后发现缺了非常多的东西

返回火眼重新看一下

好吧是我没仔细看

注：mysql默认的端口是3306，可以人为修改

Redis的默认端口是6379

67. Docker容器 'mysql'，用户 'root' 的密码是? (以大写英文及阿拉伯数字回答)

2wsx3edc

在历史命令中可以找到密码是2wsx3edc

注：mysql登录命令mysql -u(user) -p(password)

68. Docker容器 'mysql' 里哪一个数据库储存了大量个人资料? (以大写英文回答)

KRICKPOST

这边参考了别的师傅的wp发现还是要打开虚拟机的，可能不能用火眼重置密码

但是我没找到......所以参考了另一种方法

跳转到数据库文件夹并导出

用恢复大师选择数据库恢复

这里没弄出来名字，回火眼看一下

69. 检视 Docker 容器 'mysql' 内数据库里的资料，李大辉的出生日期是? (如答案为 2022-12-29，需回答 20221229)

19850214

导出数据库后用数据库取证工具进行解析，查询语句如图

70. 通过取证调查结果迸行分析 (包括但不限于以上问题及情节)，林浚熙的行为涉及哪一种罪案?多选

A:勒索金钱;B:购买X品;C:抢劫;D:传送儿童涩X物品;E:诈骗

在先前的题目中看到，选A

Signal中可以看到balabala......选B