电子取证-美亚杯2021复现

时隔一周才继续搞这个，这周感觉浑浑噩噩的，昨天的数证杯做的也是一塌糊涂，错的离谱，接下来的几天还是得好好练练。
老规矩在最开始的地方还是先解压然后挂载输入密码，由于我到手已经是挂载好的，我就不多说了，然后底下的每一个文件还要继续解压，可以用7z解压，然后就把他们放到超级取证大师里面。这一次的话我就简单复现，格式比较随意了。

取证过程

王晓琳手机取证

王晓琳手机的 ‘IMEI’ 号是什么? (以阿拉伯数字回答)
答案：“352978115584444”

不难发现图片里有两个IMEI号，这个其实是国际移动设备识别码，是手机的唯一 “身份证号”，由 15 位数字组成，用于标识全球每一台独立的移动设备，可用于追踪设备、锁定丢失手机等,手机出现 IMEI 1 和 IMEI 2，核心原因是设备支持双卡双待功能,IMEI 1 是设备的主 IMEI，对应主 SIM 卡槽，蜂窝网络主要使用它来识别设备。再解释一下为啥只有一个ICCID，核心原因是 IMEI 对应 “手机设备”，ICCID 对应 “SIM 卡”，两者的数量由 “设备卡槽数” 和 “实际插入的 SIM 卡数” 决定，说明是两个卡槽一张卡。
王晓琳的手机安装了什么即时通讯软件 (Instant Messaging Apps)?
A:WhatsApp;B:LINE;C:微讯 (WeChat);D:Signal;E:QQ
答案：“A C D”
王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 ‘PDF’ 档案? (以时区UTC+8回答)
A:2022-10-01 17:39:53;B:2022-09-30 18:30:28;C:2022-10-01 16:30:22;D:2022-09-30 17:39:53
答案：“2022-09-30 17:39:53”
承上题，这个 ‘PDF’ 档案的MD5哈希值 (Hash Value) 是什么? (以大写英文及阿拉伯数字回答)
答案：“AE0D6735BBE45B0B8F1AB7838623D9C8”

e,没有硬盘，暂时无法导出计算，后续如果我想起来我会补上的，照片也是莫须有的,补上了
王晓琳将这个 ‘PDF’ 档案发给哪一个用户, 而该用户的手机号码是什么?
A:85259308538;B:85269707307;C:85246427813;D:85297663607
答案：“A”
王晓琳发出这个 ‘PDF’ 档案的原因是什么?
A:分享档案内容;B:错误发出;C:无法开启;D:寻求协助
答案：“C D”
承上题，分析王晓琳与上述用户的对话，他们的关系是什么?
A:师生;B:家人;C:同事;D:客户
答案：“C”
王晓琳于何时要求上述用户删除一张照片?
A:2022-09-28;B:2022-09-30;C:2022-10-03;D:2022-10-06
答案：“C”
承上题，该用户向王晓琳提出什么要求以删除这张照片?
A:毒品;B:性服务;C:加密货币;D:金钱
答案：“D”
王晓琳的手机里有什么电子书藉 (Electronic Book) ?
A:红楼梦;B:水浒传;C:西游记;D:三国演义
答案：“D”
/AppDomainGroup-group.com.apple.iBooks/.文件位置
王晓琳在这本电子书藉里最后对哪段文字加入了重点标示效果 (Highlight)?
A:宝玉已是三杯过去了;B:武松那日早饭罢;C:就除他做个弼马温罢;D:卿有何妙计
答案：“D”，逻辑推断一下
王晓琳的手机里有一个 ‘MTR Mobile (港铁)’ 的手机程序 (Mobile App)。检视其数据库 (Database) 的数据，王晓琳于2022年10月11日 22:04 时将一行程加入书签 (Bookmark)，这段行程的起点及终点站包括?
A:青衣;B:沙田;C:红磡;D:尖沙咀;E:康城
答案：“A D”手机取证真的菜啊我
王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片? (以阿拉伯数字回答)
答案：“90”，相机里有87张，动态照片两张和删掉的一张
检视王晓琳的手机照片，她于2022年10月2日到过什么地方?
A:城门畔塘径;B:大榄麦理浩径;C:京士柏卫理径;D:大潭郊游径
答案：“A”

李大辉手机取证

李大辉使用的是一台LG V10的手机，它的型号是什么?
A:LGH961C;B:LGH961D;C:LGH961N;D:LGH960C;E:LGH960H
答案：“C”
李大辉的手机最常搜索的类别 (Category) 是什么?
A:旅游;B:运动;C:学校;D:护肤品
答案：“D”
李大辉最近光顾了一家美丰快运公司，这快递件的单号是什么? (不要输入符号及空白，以阿拉伯数字回答)
答案：“4567 5678 1234 4567”
李大辉收到的电邮中有一个钓鱼链结 (Phishing Link)，这个链结的地址是什么?
A:https://bit.ly/3yeARc0;B:https://bit.ly/5vM12;C:http://bit.ly/Hell0;D:以上皆非
答案：“A”
承上题，这封电邮是从哪个电邮地址寄出的?
A:Cavinchow456@yahoo.com;B:2020ChanChan@hotmail.com;C:30624700Peter@proton.me;D:以上皆非
答案：“C”,看上一题
承上题，寄出这封电邮的IP地址是?
A:65.54.185.39;B:10.13.105.56;C:58.152.110.218;D:以上皆非
答案：“D”，没有写
李大辉手机有一个 ‘order.xlsx’ 的档案被加密了，解密钥匙是什么?
A:20221101;B:Nov2022!;C:P@ssw0rd!;D:2022_Nov!
答案：“B”
香港的街道上每一枝街灯都有编号。分析李大辉手机里的程序 ‘KMB 1933’，哪一枝街灯在经度 (Latitude) 22.4160270000，纬度 (Longitude) 114.2139450000 附近，它的编号是什么?(以大㝍英及阿拉伯数字回答)
答案：“CE1453”,首先找到数据库，然后过滤一下经纬度就找到了
李大辉的手机里有一张由该手机拍的照片，照片的元资料 (Metadata) 曾被修改，这张照片的档案名是什么?(以大写英文及数字回答，不用回答副档名)
答案：“20220922_152622.jpg”
分析李大辉的手机里的资料，他在哪一间公司工作?
A:步步高贸易公司;B:盛大国际有限公司;C:永恒化妆品公司;D:美丽好化妆品公司
答案：“C”

林浚熙手机取证

林浚熙曾经以手机登录Google账户的验证码是什么? (不要输入符号，以大写英文及阿拉伯数字回答)
答案：“G-785186”
林浚熙手机的 ‘WhatsApp’ 号码是什么? ( 号码 ) @s.whatsapp.net? (以阿拉伯数字回答)
答案：“85259308538”
通过分析林浚熙手机的照片，判断他在何处偷拍王晓琳?
A:郊野公园;B:游泳池;C:酒店房间;D:交通工具
答案：“C”
林浚熙曾经删掉自己拍摄的照片，这张照片的档案名 (Filename) 是什么? (不要输入 ‘.’，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG)
答案：“IMG0444JPG”
王晓琳曾经发送一个PDF档案予林浚熙，这个档案的文件签名 (File Signature) 是什么? (以十六进制数字回答首八位数值，如 F0A1C5E1)
答案：“D0CF11E0”

解释一下签名：文件的 “签名” 通常分两种核心类型，需明确区分
数字签名：用于验证文件完整性和来源合法性的加密信息，由开发者 / 签名者通过证书生成，本质是 “电子防伪标签”，能证明文件未被篡改、来源可信（如软件安装包、重要合同文档的签名）。
文件头签名（文件标识）：隐藏在文件二进制数据开头的固定字节序列，用于标识文件类型（如 PDF 文件头是%PDF-1.7，JPG 是FF D8 FF），是系统 / 软件识别 “这是个什么文件” 的依据，并非用于防伪。
这里属性查看没有数字签名，那就是文件头签名，用010查看就行
承上题，该PDF档案内包含一位曾经被骗的受害者资料。分析林浚熙手机的数据，这位受害者的英文名字是什么? (不要输入符号及空白，以大写英文回答)
我们发现在whatsapp的聊天记录有一个林自己和自己的聊天记录，里面存放的是四个受害者的信息，以及将文件的pdf结尾转化为正确的excel结尾，然后仔细比较
答案：“WongSaiPing（假装大写了）”
分析林浚熙手机上的数据，他在2022年10月17日计划去什么地方?
A:荃湾站;B:沙田站;C:国际金融中心二期;D:以上皆非
答案：“B”
承上题，上述行程的结束时间是? (如答案为 16:01:59，需回答 160159)
答案：“2022-10-17 12:45:00”,找到时间戳：1665981900，然后转化一下,图片和上一个一样的
于林浚熙的手机里，在2022年9月1日或以后，哪一张照片是由其他手机拍摄的，而它的档案名是什么?(不要输入 ‘.’，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG)
答案：“**IMG_0730.HEIC(假装修改了)**”

额，我发现这个文件与别的格式不一样
根据照片的数据库 (Photos.sqlite) 资料，哪一个栏目标题 (Column Header) 可以显示这张照片的接收方式?
A:ZIMPORTEDFROMSOURCEIDENTIFIER;B:ZIMPORTEDBYBUNDLEIDENTIFIER;C:ZRECEIVEDFROMIDENTIFIER;D:ZRECEIVEMETHODIDENTIFIER
答案：“A”,火眼可以直接找到数据库（花了我好久没想到火焰直接有），表名：ZADDITIONALASSETATTRIBUTES然后在里面找到就是答案a
承上题，这张照片通过什么方式接收?
A:WhatsApp软件传送;B:Signal软件传送;C:蓝牙传送;D:网页下载;E:以上皆非
答案：“E”
承上题，这张照片原本的档案名 (Original Filename) 是什么? (不要输入 ‘.’，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG)
答案：“**IMG_0730.HEIC(假装修改了)**”,找不到改过的名称
林浚熙手机里有一个备忘录 (Notes) 被上了锁，这个备忘录的名称是什么? (以大写英文及阿拉伯数字回答)
答案：“HALO”,这两题没搞懂
承上题，上述备忘录的内容有一串数字，它是什么? (以阿拉伯数字回答)
答案：“123456”

林浚熙计算机取证

林浚熙计算机 (Computer) 的操作系统 (Operating System) 版本是什么?
A:Windows 10 Pro 22H2;B:Windows 10 Home 21H2;C:Windows 10 Pro for Workstations 21H1;D:Windows 10 Pro for Workstations 21H2
答案：“D”
林浚熙计算机安装了什么品牌的虚拟专用网络 (Virtual Private Network - VPN) 软件? (不要输入符号及空白，以大写英文及阿拉伯数字回答)
答案：“**ExpressVPN(大写)**”
承上题，分析该虚拟专用网络的日志 (Log)，他在哪天安装该虚拟专用网络? (如答案为 2022-12-29，需回答 20221229)
答案：“20220915”
检视林浚熙计算机的数据，他使用哪种加密货币 (Cryptocurrency) 以支付虚拟专用网络软件? (以大写英文回答该加密货币的全名，如 BITCOIN)
答案：“BITCOIN”,查找搜索记录发现有个虚拟货币软件叫做“Electrum”，继续搜索发现是比特币
林浚熙的加密贷币钱包 (Cryptocurrency Wallet) 名称是什么? (不要输入符号，以大写英文及阿拉伯数字回答)
答案：“Electrum”
林浚熙计算机里安装了哪个浏览器 (Web Browser)?
A:Tor Browser;B:Internet Explorer;C:Google Chrome;D:Microsoft Edge;E:Opera
答案：“A;B;C;D”
林浚熙使用浏览器 ‘Google Chrome’ 曾经浏览最多的是哪一个网站?
A:https://mail.google.com/mail;B:https://web.whatsapp.com;C:https://facebook.com;D:https://gmail.com
答案：“B”
除了上述网站,林浚熙曾使用浏览器 ‘Google Chrome’ 搜索过什么?
A:docker image教学;B:electrum教学;C:php sql教学;D:javascript教学;E:tor教学
答案：“A B C E”,一个个搜索
林浚熙的计算机安装了一个通讯软件 ‘Signal’，它的用戶資訊儲存路径是什么?
A:\Users\HEI\AppData\Roaming\Signal;B:\Program Files (x86)\Signal;C:\Users\user\Roaming\Signal;D:\Users\HEI\Desktop\Signal
答案：“A”
通讯软件 ‘Signal’ 采用一个档案存放用户的聊天记录，它的档案名是什么? (不要输入 ‘.’，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG)
答案：“db.sqlite（大写）”，找一下数据库文件，一个是更新的，另一个是存记录的
承上题，对上述档案迸行分析，林浚熙的联络人当中有多少人安装了Signal? (以阿拉伯数字回答)
答案：“4”，找一下联络人，有4个人安装了Signal
林浚熙在 ‘Signal’ 曾经与某人对话，那人的手机号码是什么? 需要与区码 (Area Code) 一同回答 (以阿拉伯数字回答)
答案：“85270711901”
承上题，两人在 ‘Signal’ 的对话中有些讯息 (Message) 包含附件，这些讯息的 ‘ID’ 包括?
A:46a8762b-78ea-49aa-a6f5-b24975ec189f;B:9729bf92-ab9c-45f7-8147-66234296aele;C:47233ffe-1a73-4b3d-b97c-626246ec3129;D:5b9650fe-3bb6-4182-9900-f56177003672
答案：“A B”
承上题，林浚熙曾经于2022年10月20日轉账 (Transfer Money) 予上述对话人士, 那次轉賬的参考编号是什么? (以大写英文及阿拉伯数字回答)
答案：“N91088774024”
林浚熙的计算机安装了多少台虚拟机 (Virtual Machine - VM) ? (以阿拉伯数字回答)
A:1;B:2;C:3;D:4
答案：“A”
林浚熙的计算机里的虚拟机 (VM) 存放在什么路径?
A:\Users\Public\Documents\Virtual Machines;B:\Program Files\Virtual Machines;C:\Users\HEI\Documents\Virtual Machines;D:\User\HEI\Roaming\Virtual Machines
答案：“C”
虚拟机 (VM) 使用什么版本的作业系统 (Operating System) ?
A:Ubuntu 22.04.1 LTS;B:CentOS Linux release 7.6.1810(Core);C:Ubuntu 20.04.5 LTS;D:CentOS Linux 7.5.1804 (Core)
答案：“C”
虚拟机 (VM) 中的文件传输服务器 (FTP Server) 有哪些用户?
A:man;B:ftpuser;C:root;D:nobody;E:admin
答案是：“B C”
首先我也不知道这个虚拟机的账号密码是啥，我试了几个，这个虚拟机的账号密码是：user，user。然后这里考察了一些知识点我粘一下
- cat /etc/vsftpd.chroot_list 这段代码的作用是查看 vsftpd.chroot_list 文件的内容，以了解 vsftpd（一款常用的 FTP 服务软件）中被特殊控制目录访问权限的用户列表.

vsftpd 作为 Linux 系统中主流的 FTP 服务软件，其配置文件和用户控制列表有预设的默认路径。其中，/etc/vsftpd.chroot_list 就是 chroot_list_file 配置项的默认值（可通过 vsftpd.conf 中的 chroot_list_file 参数确认，若未手动修改，就会沿用这个默认路径）
vsftpd 的日志默认记录在 /var/log/vsftpd.log（部分系统可能在 /var/log/auth.log 或通过系统日志服务统一管理）。也可通过 vsftpd 的配置文件 /etc/vsftpd.conf 确认日志路径，查看 vsftpd_log_file 配置项（若配置了则以该路径为准）
直接查看全部日志:cat /var/log/vsftpd.log
筛选包含 “登录”（LOGIN）的记录：grep "LOGIN" /var/log/vsftpd.log
实时监控日志新增内容：tail -f /var/log/vsftpd.log

虚拟机设置了什么网页服务器 (Web Server)?
A:APACHE;B:IIS;C:LIGHTTPD;D:NGINX;E:WORDPRESS
还是先粘一下知识点,答案是：“A D”
- 使用命令 ps axu | grep apache 查看系统中是否运行了 Apache 进程

IIS 是 Windows 系统专属的网页服务器，若虚拟机是 Linux 环境（如题目中的 Ubuntu），默认不会安装。若要验证，需先确认系统是否为 Windows，再通过服务管理工具查看，但在本题场景（Linux 虚拟机）中可直接判断不适用。
使用命令 ps axu | grep lighttpd 查看是否有 Lighttpd 进程运行；或通过 dpkg -l | grep lighttpd（Debian/Ubuntu 系统）查看是否安装了该软件包。
若通过 Docker 运行，使用 docker ps -a | grep nginx 查看是否有 Nginx 相关的容器；若直接在系统中运行，使用 ps axu | grep nginx 查看进程。
WordPress 是内容管理系统（CMS），不是网页服务器。可通过查看网页内容（如访问服务器地址看是否有 WordPress 界面），或通过命令 find / -name “wp-config.php” 2>/dev/null 查找其配置文件来验证是否安装。

网页服务器目录内有图片档案，而此档案的储存位置是?
A:/var/www/post;B:/var/www/html/post;C:/var/www/html/post/css;D:/var/www/html/post/src;E:/var/www/html/post/vendor
答案是：“C”,进入目录一个个的找就行
分析网页服务器的网站数据，假网站的公司名称是什么?
A:Global Logistics;B:Krick Post Global Logistics;C:Krick Post;D:Krick Global Logistics
答案是：“B”
由于是在虚拟机本地部署的，所以我们需要知道虚拟机的IP，然后就在它的虚拟机里sudo apt install net-tools,然后ifconfig,访问http://192.168.234.128/post/就到了这个假网站的首页
检视假网站首页的显示， ‘AY806369745HK’ 代表什么?
答案是：“邮件号码”
分析假网站的资料，当受害人经假网站输入数据后，网站会产生一个档案，它的档案名是什么? (不要输入 ‘.’，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG)
答案是：“VUTXT”,先导出php文件，让ai分析一下，关于如何导出，首先找到虚拟机的vmdk文件然后嵌套计算机取证一下，然后根据文件地址找到对应的文件，导出
分析假网站档案 ‘process.php’ 源码 (Source Code), 推测此档案的用途可能是?
A:产生档案;B:发出邮件;C:更新数据库;D:改变函数
答案是：“A B”
支持选项 A（产生档案）
代码中定义了文件变量 $resultFile = “vu.txt”，通过 fopen($resultFile, “a”) 打开文件（”a” 表示追加写入模式），再用 fwrite 函数将受害人提交的姓名、卡号、CVV 等数据写入该文件，明确实现了 “产生档案并存储数据” 的功能。
支持选项 B（发出邮件）
代码引入了 PHPMailer 邮件工具类，配置了 SMTP 服务器（smtp.gmail.com）、账号密码等信息，将受害人的信息整理为邮件内容（），通过mail->send ()` 函数发送到指定邮箱（chunhe11amm@gmail.com），完成了 “发出邮件” 的功能。
检视档案 ‘process.php’ 源码, 林浚熙的电邮密码是? (以大写英文回答)
答案是：“RTATSCEUCPACOCBDACS”
分析档案 ‘process.php’ 源码, 它不会收集哪些资料?
A:电话号码;B:电邮地址;C:信用卡号码;D:GPS位置;E:短讯验证码
答案是：“A D E”
虚拟机 (VM) 安装了 Docker 程序，列出一个以’5’作为开端的 ‘Docker’ 镜像 (Image) ID (以阿拉伯数字及大写英文回答)
答案是：“**5d58c024174dd06df1c4d41d8d44b485e3080422374971005270588204ca3b82(假装大写)**”长ID64位，短的就是前12位
Docker 容器 (Container) ‘mysql’ 对外开放的通讯端口 (Port) 是?
答案是：“43306”
Docker容器 ‘mysql’，用户 ‘root’ 的密码是? (以大写英文及阿拉伯数字回答)

sudo docker inspect ca019376491b，之后输入用户密码即可正常查看容器的元数据
答案：“2wsx3edc”
Docker容器 ‘mysql’ 里哪一个数据库储存了大量个人资料? (以大写英文回答)
确保 mysql 容器（ID 为 ca019376491b）处于运行状态docker start ca019376491b
答案：“krickpost”
检视 Docker 容器 ‘mysql’ 内数据库里的资料，李大辉的出生日期是? (如答案为 2022-12-29，需回答 20221229)
答案：“1985-02-14”,找到表，然后进去，sql语句：select * from customer where ‘Name’(反引号哦) like ‘%hui’
通过取证调查结果迸行分析 (包括但不限于以上问题及情节)，林浚熙的行为涉及哪一种罪案?
A:勒索金钱;B:购买毒品;C:抢劫;D:传送儿童色情物品;E:诈骗
答案：“A B E”
依据之前的内容