电子取证-美亚杯2021复现

讲道理，这是我第一次复现电子取证的题目，所以我会把复现的过程记录下来，多多少少还是有一点简陋的。

在最开始的地方我先记录一下到手的内容。有三个压缩文件01 02 03和一个补充的E01文件，然后三个文件只需要解压01就可以了这是解压的密码：MeiyaCup2021。基本上就是改年份每一年。然后把解压的文件挂载到VeraCrypt中。挂载的密码是：HfsCk]<eUqc5Q{(DG$ugiGlt8ezGdaZ>!pQC-H\5BAc^gBo/^qq)/i21ufiN@H”Y。再把挂载的文件分别解压得到ufdr文件和一个cellebrite的取证软件。是一家日本的公司做的然后用来对文件夹里的ufdr文件取证。

打开软件先改成中文，然后再把几个计算机的文件导入超级取证大师里面，准备工作基本就完成了。

取证过程

工地主管的iPhone 6

工地主管电话的微信账号是什么?

在celle里面的搜索栏搜素微信的英文wechat，没有结果说明压根没有微信使用的记录。选d

A: Kasier751111;
B:Kasierlee751111;
C:Kasierlee;
D:以上皆非;

工地主管的隔空投送装置编号是什么? (请以英文全大写及阿拉伯数字回答)

隔空投送在ios里面是AIRDROP，就在设备信息里面找就行了
工地主管电话的哪一个应用程序有关于于经纬度24.490474, 118.110220的纪录?

A:照片;
B:WhatsApp;
C:Apple Maps;
D:以上皆非;

直接在搜索栏搜经纬度就行了，结果是apple maps。选c

工地主管的手提电话中下列哪些数据正确?

A:iOS 版本为 12.5.4;
B:IMEI 为 454120637213361;
C:Apple ID 为 kaiserlee3660@gmail.com;
D:手机曾经安装dropbox 应用程序;

前三个在设备信息里查看比对就行了，D选项在搜索栏搜索dropbox，发现没有。选a c

工地主管的电话最常使用的浏览器是什么? (请以英文全大写回答)

在已分析的数据里面的web记录里面有，SAFARI是最常使用的浏览器。
工地主管的电话连接过哪一个WiFi?

A:Kaiser Lee ;
B:Kaiser;
C:Free Wifi;
D:Kaiser Home;

在设备连接/无线网络里面有。选a

工地主管与Alex Chan的Whatsapp 对话中，曾提及以下哪个TeamViewer的用户号码?

A:435334881 ;
B:453851521;
C:435475200;
D:456874155;
E:435270306;

先在在搜索栏搜索TeamViewer，然后得到很多聊天记录，这一段聊天记录很关键，也是工地主管为啥会被远程锁定的原因（备注：这是一个远程连接的软件）。然后在聊天记录的图片里面发现了这三个用户的号码。选a c e

工地主管的WhatsApp中有多少个黑名单的记录? (请以阿拉伯数字回答)

先搜索whatsapp，发现都是聊天记录并没有黑名单的记录，于是在详细信息里面找到原文件ChatStorage.sqlite。打开原文件，发现有个叫blacklistitem的文件，里面是空的因此是0个黑名单记录。
以下哪个蓝牙装置的Uuid 曾连接过工地主管的手机?

A:7F1FE70D-2B15-C245-853D-4196F13CC446;
B:1B057C1D-83D3-99A6-D2B1-EC54846C7CEE;
C:134ACD1-83D3-99A6-D2B1-EC54846C7CEE;
D:7D1BE70D-2C16-D246-851D-491613DD776;

在设备连接/蓝牙里面，发现并没有直接显示，于是还是去详细信息然后源文件里面找，搜索得到a b

工地主管的计算机

工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“)

这个按道理会直接在超级取证大师点开锁住的文件然后右键看Bitlocker就有，但是版本的问题没有只能去passware kit搞了。36EBC18095F741FFBE5B4E56E7AF48B1
工地主管计算机內的FTP程序FileZilla的用户名称是甚么? (请以英文全大写及阿拉伯数字回答)

接下来就是计算机取证了，直接在左侧的工具里面一级一级找，答案是ALEX
工地主管的Team Viewer ID 是甚么? (请以英文全大写及阿拉伯数字回答)

这道题就是上面那个，在聊天记录里面发现两个是同事的一个是自己的。435270306
工地主管的Team Viewer与哪一个ID连接? (请以英文全大写及阿拉伯数字回答)

直接找左边的远程连接，一级一级的找得到答案：435270306
工地主管曾用计算机浏览器作搜寻，以下哪一个关键词他曾经搜寻?

A:tiktok;
B:web whatsapp;
C:facebook;
D:lihkg;
E:hkgolden;
F:web wechat;

可以在搜索栏一个一个搜索也可以在浏览器搜索记录里面一个一个找。答案是：b c d

工地主管计算机的Windows系统的产品标识符是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“)

直接在系统信息里面找，003311000000001AA962
工地主管曾用计算机使用WhatsApp，他曾和以下哪个电话号码沟通? (请以阿拉伯数字回答)

在大师里面发现只有一条记录但是没有具体的信息，那估计还是得回到手机里面找，然后结合背景信息得到应该是和AlEX的聊天，答案：85246761157
工地主管计算机的用户名称是甚么? 其用户标识符是甚么?

A:用户名称: PC1;
B:用户名称: PC2;
C:用户名称: PC3;
D:用户标识符: 0x000003E7;
E:用户标识符: 0x000003E8;
F:用户标识符: 0x000003E9;

在用户信息里面，发现只有PC1，启用了，然后表示符要10进制转化为16进制，答案是a f

工地主管计算机的预设浏览器是甚么?

A:Chrome;
B:Firefox;
C:Safari;
D:以上皆否;

打开仿真，默认浏览器在系统设置里的app的default apps里面然后是Google chrome浏览器 a

工地主管计算机的其中一个分区被人加密，分区内的电子表格Material3.xlsx的哈希值(SHA1)是甚么? (请以英文全大写及阿拉伯数字回答)

这道题要思考一下，因为加密的人是ALEX，所以要去他的FTP服务器里面找，恢复密钥：209451-527087-001254-240735-481855-489566-611721-343497
不是为啥他这个显示的是密码浪费了我好多时间！！！

解锁完后搜索Material3，找到对应的文件，点开上面的哈希计算。答案：40418B21F6C3E4AF306D5EF3B80A776DA72FC1D2

路由记录

路由器的记录中显示以下有哪些IP是公司的电子器材?

A:192.168.40.128;
B:192.168.40.129;
C:192.168.40.130;
D:192.168.40.131;
E:192.168.40.132;

这道题就是打开路由日志一个一个的搜索选项，e选项不存在。答案：*a b c d

路由器的记录中显示公司的计算机下载了FTP软件，该下载网站的IP是什麼?(请以亚拉伯数字作答，省去“.”符号)

首先根据上文知道这个计算机下载的这个软件叫做FileZilla，然后直接在日志里面搜索就可以了，答案：491212147
路由器的记录中显示公司计算机的资料用FTP软件传到了甚么IP地址及利用端口?

A:IP地址: 2*.2*.2*.114;
B:IP地址: 8*.8*.1*.20;
C:IP地址: 1*.1*.0*.13;
D:端口: 21;
E:端口: 80;

搜索了一下，FTP（文件传输协议）默认使用两个核心端口21（命令端口）和20端口，日常使用中默认优先使用21号端口发起连接，20号端口仅在主动模式下用于传输实际文件数据。然后再日记里搜索/21空格来找到，答案是A D

路由器的记录中显示以下哪些关键词是表示公司计算机与外界网络联机?

A:destination;
B:ICMP echo request;
C:inside;
D:outside;
E:以上皆是;

从前面两问里，（to outside: 218.255.242.114/21 (218.255.242.114/21), destination 218.255.242.114）发现，A D是表示公司计算机与外界网络联机的关键词。答案：a d

路由器的记录中显示哪一个IP曾以teamviewer 连接公司计算机?

A:110.152.0.14;
B:52.152.117.114;
C:180.152.0.13;
D:83.26.80.131;

先查询一下teamviewer连接的端口，当 TeamViewer 尝试建立呼出连接时，会优先使用 TCP/UDP 端口 5938，因为该端口能提供最佳性能和可靠性。如果端口 5938 不可用，TeamViewer 会退而求其次，使用 TCP 端口 443。此外，TCP 端口 443 还用于通过管理控制台部署自定义模块、检查更新等场景。只有当端口 5938 和 443 都不可用时，TeamViewer 才会使用 TCP 端口 80，但此端口连接速度较慢且稳定性较差，连接中断后也不会自动重新连接。

因此在日志里搜索/5938,得到答案是B

路由器的记录中显示以下哪一个有可能是以teamviewer 遥控公司计算机的时间?

A:09:31, 09:37;
B:0933, 09:39;
C:10:29, 10:36;
D:10:40;
E:10:42;

直接查询端口号，得到答案：A C E

路由器的记录中显示有多少电子器材有可能曾被入侵? (请以阿拉伯数字作答)

通过搜索52.152.117.114这个IP，可以发现有三个电子器材可能曾被入侵。
同样的也可以结合上文的记录，主管和ALEX的聊天记录里提供了三个电子器材的IP地址，答案：3

ALEX的iPhone 12 pro

阿力士iPhone 12 pro电话于2021年10月21日，以下哪一张相片可能曾被分享 (UTC+8)?

A:IMG_0011.HEIC;
B:IMG_0010.HEIC;
C:IMG_0009.HEIC;
D:IMG_0008.HEIC;
E:IMG_0007.HEIC;

先找时间发现没有照片的记录,再分别查找五个选项,其他的都只有三个记录,唯独b选项多了两个记录(outgoingTemp),选:B

兄弟你以为到这就结束了吗,我发现官方的答案是AB,然后学习了一下大佬的博客我发现实际上a好像也是对的，如果聊天分享不发原图的话，EXIF元数据文件就没了，通过过滤元数据的照片选a

阿力士iPhone 12 pro电话中哪一张相片可能曾被修改拍摄时间?

A:IMG_0011.HEIC;
B:IMG_0010.HEIC;
C:IMG_0009.HEIC;
D:IMG_0008.HEIC;

这道题官方答案选d,但是好多人都说是a,a的话是因为两张相同的时间差了一分多钟,正常只会差几秒,那就先选A

阿力士iPhone 12 pro 的GSM媒体访问控制地址是什么? (请以英文全大写及阿拉伯数字回答，不用输入”:”)

iPhone 没有所谓“GSM MAC 地址”。能查看到的 MAC 地址只有：Wi-Fi 模块的；蓝牙模块的。
那就是WiFi地址:C81EE74AF932
阿力士的iphone 12 pro以什么屏幕密码保护?

A:6位阿拉伯数字密码;
B:4位阿拉伯数字密码;
C:图形密码;
D:以上皆非;

Manifest.plist 是 iOS / iTunes（或 Finder）备份目录内的一个二进制 property list 文件，属于备份的元数据文件之一。它记录了该备份的一些全局信息（比如是否加密、备份版本、备份用到的密钥包/加密信息、已包含的应用信息等），配合 Manifest.db（或旧版的 Manifest.mbdb）、Info.plist、Status.plist 一起描述备份的完整内容。
主要还是要知道加密方式存储在哪个文件,找到并导出plist文件,用vscode查找WasPasscodeSet发现是false,因此没有密码,选D

阿力士iphone 12 pro内以下哪一张相片是实况相片(live Photos)?

A:IMG_0011.HEIC;
B:IMG_0010.HEIC;
C:IMG_0012.HEIC;
D:IMG_0009.HEIC;

实况照片的本质是视频,直接去视频里面查找,发现是A B D

以下哪一个是阿力士iphone 12 pro可能曾经连接的装置名称?

A:Chris’s MacBook Pro;
B:Chirs’s iPhone;
C:Chirs’s Computer;
D:Chirs’s Linux;

直接查找Chirs,发现选A

33.接上题，记录连接时间是什么时候(UTC+8)?

A:2021年10月21日 00:58:01;
B:2021年10月21日 08:58:01;
C:2021年10月21日 00:58:29;
D:2021年10月21日 08:58:29;

额,选B,看上一题

ALEX的iPhone XR

阿力士iPhone XR中在软件WhatsApp中工地主管与阿力士的对话中曾提到：[佢叫我俾钱喎，BTC係唔係呢个啊？]。在进行电子数据取证分析后，以下哪一个是有可能关于此对话的正确描述？

A:此对话被Kariser Lee删除;
B:此对话的附件为一张图片文件;
C:此对话被Alex Chan 删除;
D:此对话是引用Alex Chan 回复;

我们去WhatsApp里面发现了一条这个的聊天记录,上面有被删除的记录,结合之前我们没有在主管的手机里看到这条消息,因此被主管删除了,选A B

阿力士iPhone XR的WhatsApp对话中，阿力士曾要求工地主管支付多少个BTC? (请以阿拉伯数字回答)

10就在上面的记录里.
阿力士iPhone XR中 “IMG_0056.HEIC”的图像与”5005.JPG”(MD5: 96c48152249536d14eaa80086c92fcb9)” 看似为同一张相片，在电子数据取证分析下，以下哪样描述是正确?

A:储存在不同的.db 里;
B:有不同哈希值;
C:IMG_0056.HEIC 为原图, 5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9)为缩略图;
D:IMG_0056.HEIC 曾被开启过，所以在IOS系统中创建了缩略图5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9);

这道题直接做,一张是原始图片一张是缩略图,原始图片不存储在db文件里面.a错误
bc正确,d选项前后没有因果关系,iOS里面无法确认是因为是否开启了而有缩略图.
因此选B C

阿力士iPhone XR中相片檔IMG_0056.HEIC提供了什么电子数据取证的信息?

A:此相片是由隔空投送 (Airdrop)得来;
B:此相片由iPhone XR拍摄 ;
C:此相片的拍摄时间为2021-10-21 17:45:48(UTC+8);
D:此相片的拍摄时间为2021-09-08 17:35:00(UTC+8);

搜索这张图片结合图片信息发现图片是12pro拍的,所以应该是隔空投送的,选A D

阿力士iPhone XR中阿力士的电邮账户Alexc19851016@gmail.com的密码有可能是什么?

A:Ac19851016;
B:Alex1985!;
C:Aa475869!;
D:以上皆非;

直接搜索邮箱,答案:C

阿力士iPhone XR曾经连接Wifi “Alex Home”的密码是什么? (请以英文全大写及阿拉伯数字回答)

直接搜索这个WiFi的名字得到12345678
阿力士iPhone XR经iCloud备份的最后时间是什么?(UTC+8)?

A:2021-10-21 17:51:38(UTC+8);
B:2021-10-21 18:02:13 + (UTC+8);
C:2021-10-21 09:51:38(UTC+8);
D:2021-10-21 10:02:13 + (UTC+8);

在设备信息里可以找到UTC+0的时间,然后手动加八个小时,选A

阿力士iPhone XR中的iBoot版本是iBoot-__________? (请以阿拉伯数字回答，不用轮入“.”)

iBoot 是 iPhone 启动链（boot chain）中的关键引导程序，是 SecureROM（硬件级 BootROM）之后加载的第二阶段引导器。它负责验证内核签名、加载系统映像、执行安全检查（Secure Boot chain）。每台 iPhone、每个 iOS 版本都有特定的 iBoot build（编译号）
在phoneinfo.xml文件里面,然后再里面查找iboot,发现是672312036
阿力士iPhone XR中的WhatsApp群组『团购-新鲜猪肉牛肉-东涌群组-9/30』有以下哪一个成员?

A:85260617332@s.whatsapp.net;
B:85260452579@s.whatsapp.net;
C:85248791565@s.whatsapp.net;
D:85264630956@s.whatsapp.net;

既然是群组,那就找人多的聊天记录,然后在详细信息里面就找到了,选A D

ALEX的计算机

阿力士的计算机显示曾于hongkongcard.com 的论坛登记成为会员，以下哪个是他的帐户密码?

A:Aa475869!;
B:Bb475869!;
C:Cd475869!;
D:以上皆非;

发现登录账号是之前那个邮箱,直接用上面的密码,懒得解密了,选A

阿力士的计算机显示阿力士曾用什么方法进入受害者(主管)的计算机?

A:远程操控;
B:特洛伊木马程序;
C:勒索软件;
D:恶意软件;

结合上文这道题直接选A

续上题，阿力士最后一次进入受害者(主管)计算机的时间是什么?

A:于2021年10月18日 10时36分;
B:于2021年10月18日18时36分;
C:于2021年10月18日6时53分;
D:于2021年10月18日18时42分;

在远程连接里面很容易看到记录,选D

阿力士的计算机显示他曾经使用FTP程序，FTP的主机IP地址是什麼?(请以亚拉伯数字作答，省去“.”符号)

直接在超大里搜索,答案218255242114
阿力士的计算机显示于2021年9月至2021年11月期间，计算机曾被登入过多少次? (请以阿拉伯数字回答)

在用户信息里面可以看到是30次,但是我不是很懂这30次都在这个时间段吗
阿力士计算机所安装的Microsoft Office 2007 是以下哪一个版本? (请以亚拉伯数字作答，省去“.”符号)

直接在超大里面找已经安装的程序,答案:12045181014
以下是阿力士计算机中的Basic data partition (EFI 3) 的Volume ID? (请以英文全大写及阿拉伯数字回答)

用diskgenius打开磁盘，额，这个软件是我的噩梦
阿力士计算机的Window product ID是什么? (请以英文全大写及阿拉伯数字回答，不用输入”-“)

直接在超大里面，找到系统信息，答案是003311000000001AA411
阿力士计算机曾经下载一张猴子的图片，以下哪一项描述正确?

A:该图片是由 “https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSgn6ABvcqTfFPjcIbjc9hdx1H4PtQsAuVyTQ&usqp=CAU”下载的;
B:该图片经过加密;
C:该图片于2021-09-30 下载;
D:该图片是由GIF档转换成PNG檔;

下载的大概率是放在download文件夹里的，找到这个文件夹，然后找到图片的名字images (1).png,然后搜索这个名字，得到下载地址和其他的信息,答案：A

阿力士计算机所安装的Microsoft Office 2007 的密钥是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“)

打开仿真就可以了，答案：V77WQRPVP67MTPGWH3G9D44MJ

ftp服务器

阿力士FTP 服务器用户使用命令行安装了甚么程序?

A:Docker;
B:Chrome;
C:FileZilla;
D:TeamViewer;

直接在超大里面找，终端记录，然后发现只安装了docker，选：A

以下哪些档案于阿力士FTP 服务器曾重复出现?

A:Material1;
B:Material2;
C:Material3;
D:Staff1;
E:Staff2;
F:Staff3;

先在超大里面搜索a，找到文件位置，再去翻找文件，发现DEF重复，选：D E F

在阿力士FTP服务器中，文件夹___________曾被用户变更了访问权限(请以英文全大写及阿拉伯数字回答)

知识点 这是最常见也最可靠的方法——直接用 chmod / chown / setfacl 所以找终端里面的chomd就行了,答案：Dangerous_Project(懒得大写了)
在阿力士FTP 服务器建设后，有______个额外用户被加入 (请以阿拉伯数字回答)

先粘一张，这个是指令

然后在超大的里面看终端的指令，发现只加了一个，答案：1
根据阿力士FTP服务器设定显示，此服务器是以_____方式连接网络，且是一个_______网络状态

A:无线 , 公开;
B:无线 , 私人;
C:有线 , 公开;
D:有线 , 私人;

超大的静态网络配置信息里应该是可以看到的，但是那两个文件我打不开，直接说答案选：C

阿力士FTP 服务器设定最多使用者数目是_____ (请以阿拉伯数字回答)

还是在超大里面找pure-ftpd，找一下配置文件conf，预览文件发现最大是50，答案:50
阿力士FTP服务器使用Docker安装了一个FTP程序为___________。(例如 space docker /1.1，请输入 spacedocker/1.1，不要输入空格)

直接在超大里面找docker的容器信息，得到答案：stilliard/pure-ftpd
阿力士FTP 服务器曾使用过甚么版本的Linux内核?

A:linux-headers-5.11.0-16;
B:linux-headers-5.11.0-17;
C:linux-headers-5.11.0-36;
D:inux-headers-5.11.0-37;
E:linux-headers-5.11.0-40;

仿真进去，然后 dpkg –get-selections：列出当前系统中所有通过 dpkg（Debian 包管理系统）管理的包及其安装状态
然后我的已经删掉了，选：A D

阿力士FTP 服务器的磁盘分区，有以下哪一种文件系统?

A:FAT16;
B:FAT32;
C:ExFAT;
D:HFS+;
E:Ext4;

查看FTP.E01的摘要信息，选：B E

阿力士FTP服务器用户输入了指令_____________去检查现存的Docker容器 (例如 netstat lntp，请输入 netstatlntp，不要输入空格)

查找容器的指令：docker ps -a：用于查看当前主机上所有容器（包含运行中和停止的），答案：dockerps-a
在超大的终端记录里面找找

结束了