2021美亚杯练习

参考博客:

2021第七届美亚杯中国电子数据取证大赛详解write up_美亚杯奇安信杯-CSDN博客

2021美亚杯（个人赛）练习记录_2021年美亚杯个人赛-CSDN博客

[单选题] 工地主管电话的微信账号是什么? (1分) C

A. Kasier751111

B. Kasierlee751111

C. Kasierlee

D. 以上皆非

关键操作: 使用他给的软件寻找用户账户
官方答案是:D没有找到

1
2
3

[填空题] 工地主管的隔空投送装置编号是什么? (请以英文全大写及阿拉伯数字回答) (1分)
隔空投送装置编号: AirDrop ID
780F624DF099

[单选题] 工地主管电话的哪一个应用程序有关于于经纬度24.490474, 118.110220的纪录? (2分)C

A. 照片

B. WhatsApp

C. Apple Maps

D. 以上皆非

直接搜索找到答案Apple Maps

[多选题] 工地主管的手提电话中下列哪些数据正确? (1分)

A. iOS 版本为 12.5.4

B. IMEI 为 454120637213361

C. Apple ID 为 kaiserlee3660@gmail.com

D. 手机曾经安装dropbox 应用程序

由图直接找,AC对,dropbox直接搜,没有故排除

[填空题] 工地主管的电话最常使用的浏览器是什么? (请以英文全大写回答) (1分)
搜索与网络-->web历史记录

答案就是 SAFARI

[单选题] 工地主管的电话连接过哪一个WiFi? (1分)

A. Kaiser Lee

B. Kaiser

C. Free Wifi

D. Kaiser Home

选择无线网络 发现只有这一个故选A

[多选题] 工地主管与Alex Chan的Whatsapp 对话中，曾提及以下哪个TeamViewer的用户号码? (3分)

A. 435334881

B. 453851521

C. 435475200

D. 456874155

E. 435270306

首先每个消息点过去,找到Alex,之后寻找TeamViewer
总共三张图片,点击出来找到答案(就截图一个)
选 ACE

[填空题] 工地主管的WhatsApp中有多少个黑名单的记录? (请以阿拉伯数字回答) (2分)
随便打开一个聊天,找到数据库地址去文件系统里找
找到ChatStorage.sqlite
发现ZWBLACKLISTITEM为0
因此答案为: 0

[多选题] 以下哪个蓝牙装置的Uuid 曾连接过工地主管的手机? (2分)

A. 7F1FE70D-2B15-C245-853D-4196F13CC446

B. 1B057C1D-83D3-99A6-D2B1-EC54846C7CEE

C. 134ACD1-83D3-99A6-D2B1-EC54846C7CEE

D. 7D1BE70D-2C16-D246-851D-491613DD776
打开设备连接,发现蓝牙,但没有发现具体消息,寻找具体路径
发现答案 AB

1
2
3

[填空题] 工地主管计算机內的FTP程序FileZilla的用户名称是甚么? (请以英文全大写及阿拉伯数字回答) (3分)
在电脑内找到程序找到答案
ALEX

1
2
3

[填空题] 工地主管的Team Viewer ID 是甚么? (请以英文全大写及阿拉伯数字回答) (2分)
在第七题有发送一个图片里面有id
435270306

1
2
3

[填空题] 工地主管的Team Viewer与哪一个ID连接? (请以英文全大写及阿拉伯数字回答) (3分)
直接找
420190768

[多选题] 工地主管曾用计算机浏览器作搜寻，以下哪一个关键词他曾经搜寻? (3分)

A. tiktok

B. web whatsapp

C. facebook

D. lihkg

E. hkgolden

F. web wechat

直接搜 选 bc  
d没有搜索记录

[填空题] 工地主管计算机的Windows系统的产品标识符是甚么? (请以英文全大写及阿拉伯数字回答，不用输入"-") (1分)
Windows系统的产品标识符:产品id
一般在 系统痕迹--->系统信息-->系统信息里
003311000000001AA962

1 2	[填空题] 工地主管曾用计算机使用WhatsApp，他曾和以下哪个电话号码沟通? (请以阿拉伯数字回答) (2分) 没找到

[多选题] 工地主管计算机的用户名称是甚么? 其用户标识符是甚么? (2分)

A. 用户名称: PC1

B. 用户名称: PC2

C. 用户名称: PC3

D. 用户标识符: 0x000003E7

E. 用户标识符: 0x000003E8

F. 用户标识符: 0x000003E9

计算机的用户名称一般在
系统信息-->用户信息中
记得把1001转成16进制
选AF

[单选题] 工地主管计算机的预设浏览器是甚么? (2分)

A. Chrome

B. Firefox

C. Safari

D. 以上皆否

符合条件的只有A

[填空题] 工地主管计算机的其中一个分区被人加密，分区内的电子表格Material3.xlsx的哈希值(SHA1)是甚么? (请以英文全大写及阿拉伯数字回答) (1分)
第十题说杯bitlocker加密了,搜索bitlocker,在FTP镜中找到
把密钥和文件扔进去
揭秘成功,在搜索Material3.xlsx
之后右键-->跳转到源文件--->右键计算哈希--->在下面摘要中找到
40418B21F6C3E4AF306D5EF3B80A776DA72FC1D2

[多选题] 路由器的记录中显示以下有哪些IP是公司的电子器材? (3分)

A. 192.168.40.128

B. 192.168.40.129

C. 192.168.40.130

D. 192.168.40.131

E. 192.168.40.132

关键词:路由器 所以检材是20211018.log日志文件
wp说.log建议用exel导入,记得改成所有文件,并且改成空格
然后我们一个一个进去搜E搜不到
选择ABCD

[填空题] 路由器的记录中显示公司的计算机下载了FTP软件，该下载网站的IP是什麼?(请以亚拉伯数字作答，省去"."符号) (3分)

下载了软件--->访问网页下载--->使用https服务--->端口号：443---->直接搜索“443"
或者直接换软件搜索filezilla

[多选题] 路由器的记录中显示公司计算机的资料用FTP软件传到了甚么IP地址及利用端口? (2分)

A. IP地址: 2*.2*.2*.114

B. IP地址: 8*.8*.1*.20

C. IP地址: 1*.1*.0*.13

D. 端口: 21

E. 端口: 80

ftp协议21端口,搜索/21
故选AD

[多选题] 路由器的记录中显示以下哪些关键词是表示公司计算机与外界网络联机? (2分)

A. destination

B. ICMP echo request

C. inside

D. outside

E. 以上皆是

B是ping的操作C肯定不是,故AD

[单选题] 路由器的记录中显示哪一个IP曾以teamviewer 连接公司计算机? (1分)

A. 110.152.0.14

B. 52.152.117.114

C. 180.152.0.13

D. 83.26.80.131

1. 一个一个搜,只有B出现了
2. 搜索5938出现了

[多选题] 路由器的记录中显示以下哪一个有可能是以teamviewer 遥控公司计算机的时间? (3分)

A. 09:31, 09:37

B. 0933, 09:39

C. 10:29, 10:36

D. 10:40

E. 10:42

搜索上题的ip
9:31    10:42    10:29

1
2
3

[填空题] 路由器的记录中显示有多少电子器材有可能曾被入侵? (请以阿拉伯数字作答) (2分)

前面主管发了三个号,以此大概推断是3次

[多选题] 阿力士iPhone 12 pro电话 于2021年10月21日，以下哪一张相片可能曾被分享 (UTC+8)? (3分)

A. IMG_0011.HEIC

B. IMG_0010.HEIC

C. IMG_0009.HEIC

D. IMG_0008.HEIC

E. IMG_0007.HEIC

阿力士iPhone 12 pro,用cellebritereader
解析说是是因为这张照片可能被分享，分享的时候未通过原图发送，所以没有了元数据，然后手机机主又重新保存了自己发出去的照片，时间这些就发生了变化。
另一张图片是因为在OutgoingTemp下,故选AB

[单选题] 阿力士iPhone 12 pro电话中哪一张相片可能曾被修改拍摄时间? (2分)

A. IMG_0011.HEIC

B. IMG_0010.HEIC

C. IMG_0009.HEIC

D. IMG_0008.HEIC

A

[填空题] 阿力士iPhone 12 pro 的GSM媒体访问控制地址是什么? (请以英文全大写及阿拉伯数字回答，不用输入"😊 (2分)
GSM--->手机MAC地址
手机为蓝牙媒体，所以选蓝牙设备的地址
E06D17319206

[单选题] 阿力士的iphone 12 pro以什么屏幕密码保护? (1分)

A. 6位阿拉伯数字密码

B. 4位阿拉伯数字密码

C. 图形密码

D. 以上皆非

答案是D,这题放着

[多选题] 阿力士iphone 12 pro内以下哪一张相片是实况相片(live Photos)? (2分)

A. IMG_0011.HEIC

B. IMG_0010.HEIC

C. IMG_0012.HEIC

D. IMG_0009.HEIC
搜索live挨个找
9 11 10
ABD

[单选题] 以下哪一个是阿力士iphone 12 pro可能曾经连接的装置名称? (2分)

A. Chris’s MacBook Pro

B. Chirs’s iPhone

C. Chirs’s Computer

D. Chirs’s Linux
直接搜,只有A能搜到故选

[多选题] 接上题，记录连接时间是什么时候(UTC+8)? (2分)

A. 2021年10月21日 00:58:01

B. 2021年10月21日 08:58:01

C. 2021年10月21日 00:58:29

D. 2021年10月21日 08:58:29

A

[多选题] 阿力士iPhone XR中在软件WhatsApp中工地主管与阿力士的对话中曾提到：[佢叫我俾钱喎，BTC係唔係呢个啊？]。在进行电子数据取证分析后，以下哪一个是有可能关于此对话的正确描述？ (2分)

A. 此对话被Kariser Lee删除

B. 此对话的附件为一张图片文件

C. 此对话被Alex Chan 删除

D. 此对话是引用Alex Chan 回复

需要打开iphone XR了
A: 在前面主管的手机没看到这条
B: 对的
C: 删了我从哪看到的 错
D: 引用的回答会挂引用的号,因此不是

1 2	[填空题] 阿力士iPhone XR的WhatsApp对话中，阿力士曾要求工地主管支付多少个BTC? (请以阿拉伯数字回答) (1分) 10

[多选题] 阿力士iPhone XR中 “IMG_0056.HEIC"的图像与"5005.JPG”(MD5: 96c48152249536d14eaa80086c92fcb9)" 看似为同一张相片，在电子数据取证分析下，以下哪样描述是正确? (2分)

A. 储存在不同的.db 里

B. 有不同哈希值

C. IMG_0056.HEIC 为原图, 5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9)为缩略图

D. IMG_0056.HEIC 曾被开启过，所以在IOS系统中创建了缩略图5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9)

A: db不清楚,先跳过
B: 由MD5不一样暂时可以看出是对的,保险起见可以去取证大师工具箱里转换
C: 长得一模一样,没缩略
D: 别人说是无法判断

[多选题] 阿力士iPhone XR中相片檔IMG_0056.HEIC提供了什么电子数据取证的信息? (3分)

A. 此相片是由隔空投送 (Airdrop)得来

B. 此相片由iPhone XR拍摄

C. 此相片的拍摄时间为2021-10-21 17:45:48(UTC+8)

D. 此相片的拍摄时间为2021-09-08 17:35:00(UTC+8)

由图:B错 C错  故选AD

[单选题] 阿力士iPhone XR中阿力士的电邮账户Alexc19851016@gmail.com的密码有可能是什么? (1分)

A. Ac19851016

B. Alex1985!

C. Aa475869!

D. 以上皆非

选C

1 2	[填空题] 阿力士iPhone XR曾经连接Wifi "Alex Home"的密码是什么? (请以英文全大写及阿拉伯数字回答) (1分) 12345678

[单选题] 阿力士iPhone XR经iCloud备份的最后时间是什么?(UTC+8)? (1分)
A. 2021-10-21 17:51:38(UTC+8)

B. 2021-10-21 18:02:13 + (UTC+8)

C. 2021-10-21 09:51:38(UTC+8)

D. 2021-10-21 10:02:13 + (UTC+8)
故选C

[填空题] 阿力士iPhone XR中的iBoot版本是iBoot-[6723.120.36]{.underline} ? (请以阿拉伯数字回答，不用轮入".") (1分)
iboot需要硬翻
积累一下:iboot苹果路径：Lockdown srvice/phoneInfo.xml
672312036

[多选题] 阿力士iPhone XR中的WhatsApp群组『团购-新鲜猪肉牛肉-东涌群组-9/30』有以下哪一个成员? (2分)

A. 85260617332@s.whatsapp.net

B. 85260452579@s.whatsapp.net

C. 85248791565@s.whatsapp.net

D. 85264630956@s.whatsapp.net

23搜不到 故选ad

[单选题] 阿力士的计算机显示曾于hongkongcard.com 的论坛登记成为会员，以下哪个是他的帐户密码? (3分)

A. Aa475869!

B. Bb475869!

C. Cd475869!

D. 以上皆非

一个熟悉的账户: 密码看38题
A

[单选题] 阿力士的计算机显示阿力士曾用什么方法进入受害者(主管)的计算机? (1分)

A. 远程操控

B. 特洛伊木马程序

C. 勒索软件

D. 恶意软件

上面的题都有提示在远程连接
A

[单选题] 续上题，阿力士最后一次进入受害者(主管)计算机的时间是什么? (2分)

A. 于2021年10月18日 10时36分

B. 于2021年10月18日18时36分

C. 于2021年10月18日6时53分

D. 于2021年10月18日18时42分
看teamviewer 查找最后一个连接记录
D

1
2

[填空题] 阿力士的计算机显示他曾经使用FTP程序，FTP的主机IP地址是什麼?(请以亚拉伯数字作答，省去"."符号) (2分)
前面提到的FTP是由filezilla下载的,在取证大师找到这个,查看主机ip

1
2
3

[填空题] 阿力士的计算机显示于2021年9月至2021年11月期间，计算机曾被登入过多少次? (请以阿拉伯数字回答) (1分)
计算机曾被登入过多少次思路:
系统痕迹--->系统信息--->用户信息

1
2
3

[填空题] 阿力士计算机所安装的Microsoft Office 2007 是以下哪一个版本? (请以亚拉伯数字作答，省去"."符号) (2分)
直接搜索:---->安装软件--->软件安装记录
12045181014

1 2	[填空题] 以下是阿力士计算机中的Basic data partition (EFI 3) 的Volume ID? (请以英文全大写及阿拉伯数字回答) (2分) 使用DiskGenius查看卷序列号

1
2
3

[填空题] 阿力士计算机的Window product ID是什么? (请以英文全大写及阿拉伯数字回答，不用输入"-") (1分)
计算机的Window product ID 系统痕迹-->系统信息-->系统信息
003311000000001AA411

[单选题] 阿力士计算机曾经下载一张猴子的图片，以下哪一项描述正确? (1分)

A. 该图片是由 "https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSgn6ABvcqTfFPjcIbjc9hdx1H4PtQsAuVyTQ&usqp=CAU"下载的

B. 该图片经过加密

C. 该图片于2021-09-30 下载

D. 该图片是由GIF档转换成PNG檔

直接搜索发现A正确
B: 直接打开了,没有加密
C: 在9 29下载
D: 没看到gif

1
2
3

[填空题] 阿力士计算机所安装的Microsoft Office 2007 的密钥是甚么? (请以英文全大写及阿拉伯数字回答，不用输入"-") (1分)
V77WQRPVP67MTPGWH3G9D44MJ
C盘--->users--->alex--->desktop--->microsoft....找到文档

[单选题] 阿力士FTP 服务器用户使用命令行安装了甚么程序? (1分)

A. Docker

B. Chrome

C. FileZilla

D. TeamViewer

使用命令行--->用户痕迹--->内置应用--->终端记录
一眼就看到 apt install docker.io
A

[多选题] 以下哪些档案于阿力士FTP 服务器曾重复出现? (3分)

A. Material1

B. Material2

C. Material3

D. Staff1

E. Staff2

F. Staff3

直接搜,出现两次或以上就选,最后只有DEF
这里只截图一张

[填空题] 在阿力士FTP服务器中，文件夹Dangerous_Project曾被用户变更了访问权限(请以英文全大写及阿拉伯数字回答) (2分)
访问权限---->终端
chmod777
因此是Dangerous_Project

1 2	[填空题] 在阿力士FTP 服务器建设后，有 ( 1 )个额外用户被加入 (请以阿拉伯数字回答) (2分) pure命令，加入用户，用户名ftpd

[单选题] 根据阿力士FTP服务器设定显示，此服务器是以_____方式连接网络，且是一个_______网络状态 (1分)

A. 无线 , 公开

B. 无线 , 私人

C. 有线 , 公开

D. 有线 , 私人
系统痕迹---->系统信息---->系统信息---->网络配置信息
范围之外了公开网络
并且名字wired connect 选择有线

1
2
3

[填空题] 阿力士FTP 服务器设定最多使用者数目是 50 (请以阿拉伯数字回答) (2分)

需要看ftp的配置文件，所以找“.conf”文件，搜索“ftpd.conf”（ftpd是创建的用户，前面做到过）

1
2
3

[填空题] 阿力士FTP服务器使用Docker安装了一个FTP程序为stilliard/pure-ftpd。(例如 space docker /1.1，请输入 spacedocker/1.1，不要输入空格) (2分)
查看docker命令
docker pull后面跟的就是了

[多选题] 阿力士FTP 服务器曾使用过甚么版本的Linux内核? (2分)

A. linux-headers-5.11.0-16

B. linux-headers-5.11.0-17

C. linux-headers-5.11.0-36

D. inux-headers-5.11.0-37

E. linux-headers-5.11.0-40
直接搜
AD

[多选题] 阿力士FTP 服务器的磁盘分区，有以下哪一种文件系统? (2分)

A. FAT16

B. FAT32

C. ExFAT

D. HFS+

E. Ext4

点击磁盘看左下角
BE

[填空题] 阿力士FTP服务器用户输入了指令 dockercontainerps-a 去检查现存的Docker容器 (例如 netstat lntp，请输入 netstatlntp，不要输入空格) (3分)

dockercontainerps-a

docker container ps -a是列举所有存在的docker容器命令（含不运行的）

总结:

1.隔空投送装置编号: AirDrop ID

2.最常使用的浏览器 搜索与网络-->web历史记录

3.黑名单找到ChatStorage.sqlite发现ZWBLACKLISTITEM为0

4.Bitlocker用取证大师修复密钥标识符右键解密,找到恢复密钥标记

5.Windows系统的产品标识符:  产品id 一般在 系统痕迹--->系统信息-->系统信息里

6.计算机的用户名称一般在   系统信息-->用户信息中

7.路由器---->.log

8.下载了软件--->访问网页下载--->使用https服务--->端口号：443---->直接搜索“443"

9.ftp协议21端口

10.GSM--->手机MAC地址 手机为蓝牙媒体，所以选蓝牙设备的地址

11.iboot苹果路径：Lockdown srvice/phoneInfo.xml

12.计算机曾被登入过多少次思路: 系统痕迹--->系统信息--->用户信息

13.软件---->安装软件--->软件安装记录

14.计算机的Window product ID 系统痕迹-->系统信息-->系统信息

15.文件密钥 C盘--->users--->alex--->desktop--->文件

16.使用命令行--->用户痕迹--->内置应用--->终端记录

第十题有问题这里补充在此:
10.工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么?
从这里开始转用取证大师,把FTP和和VTMcomputer扔进去,看到E盘上锁
右键解密,找到恢复密钥标记