2023第九届“美亚杯”全国电子数据取证竞赛个人赛实操部分参考wp

文中的思路和答案仅代表个人观点，并非标准答案，如有错误之处请大佬指正，带*号的是不会的题目，欢迎各路大神一起交流学习

检材链接：https://pan.baidu.com/s/1F2Y0S0wO2A5wTn6pusWpzg?pwd=qm93 容器密码：3hqGFfT#B*Yjd74t@f%9fDqs6D^$wVjAvxZkA79*4UV*kVRcq^Zu6Xp87W*p#X3XD%*ER!nHzzTnSEMwy8NEGX6A*%P&#rBUkxypAPKwX4mP3WZuHnYKRc7sA33hd@qS

01

—

2023月8月的一天，香港警方在调查一起网络诈骗案件时，发现有三名本地男子，分別为李大輝（李大辉），浩賢(浩贤)和Elvis CHUI，并确信这三名被捕男子均为大学同学。怀疑三人背后涉及一个庞大的电信诈骗集团。于是将这三名本地男子拘捕，扣押了三人相关的电子设备并进行分析。

现在你被委派处理这件案件，请依据以下资料分析上述三人是否涉嫌犯罪，并还原事件经过。

检材资料

1.李大輝的安卓手机镜像 (Android.bin)

2.李大輝的MacOS系统镜像(Mac OS.img)

3.来自李大輝计算机的一个文件($MFT Record Nr_ 107115, SeqNr_2.txt)

4.浩賢的个人虚拟机文件(Server.zip)

5.浩賢的Windows 10系统虚拟机文件(Windows 10.zip)

6.浩賢的iOS手机系统文件(IOS.zip)

7.来自Elvis Chui计算机的一个网络封包文件(網路.pcapng)

8.来自Elvis Chui计算机的镜像文件 (Windows Artifacts.e01)

9.来自Elvis Chui计算机的数据库文件(SQLITE.zip)

10.Elvis Chui的Windows7虚拟机文件(Windows7.zip)

题目

这里是按照同一个对象的检材的顺序来复盘的

李大辉

1. 参考’Android.bin’回答以下题目，李大辉所用手机移动运营商公司的名称。提示:请所有字母都用大写英文

CMHK

中国移动香港

2. 参考’Android.bin’回答以下题目，李大辉的手机安装了什么即时通讯软件 (Instant Messaging App)？

A. WhatsApp

B. LINE

C. 微信

D. Signal

E. QQ

A

根据取证软件解析出的内容，发现有WhatsApp

3. 参考’Android.bin’回答以下题目李大辉的手机安装了什么反追踪软件？提示: 所有答案字母都用小写字母并用xxx_xxx_xxxxxxx_xxxxxx_xxxx格式作答

photo_exif_editor_metadata

在/data/app中看到一个net.xnano.android.photoexifeditor

在图片中找到，可用于删除EXIF数据和GPS定位

4. 参考’Android.bin’回答以下题目，李大辉的手机是什么时间成功登入WhatsApp？

A. 2022-08-18_21:52:30

B. 2022-08-19_21:56:23

C. 2022-08-18_21:56:37

D. 2022-08-19_06:59:07

E. 2022-08-19_07:01:17

C

在短信中找到WhatsApp登录验证码

登录时间是在接到码之后

5. 参考’Android.bin’回答以下题目，李大辉登入WHATSAPP时的认证短码是什么？提示: 请以阿拉伯数字作答

304313

同上题

6. 参考’Android.bin’回答以下题目，李大辉到美丽好化妆品公司的入职时间是何时？

A. 2016-04-16

B. 2016-06-28

C. 2017-05-25

D. 2017-07-25

E. 2017-08-18

C

*7. 参考’Android.bin’回答以下题目，李大辉曾于什么时间使用了图像编辑软件？

A. 2022-09-10

B. 2022-09-12

C. 2022-10-05

D. 2022-11-10

E. 2022-11-13

26. 参考’Mac OS.img’文件回答以下题目，’Mac OS.img’文件中可以找到多少个符号链接？

A. 0

B. 1

C. 2

D. 3

B

将Mac OS.img放到MacOS虚拟机中，双击，会出现一个MyUSB

查看MyUSB，有一个alias文件

27. 参考’Mac OS.img’文件回答以下题目，在’Mac OS.img’档中使用了哪种分区方案？

A. Apple Partition Map

B. GUID Partition Table

C. Master Boot Record

D. HFS+

D

28. 参考’Mac OS.img’文件回答以下题目，’Mac OS.img’档的文件系统的正确描述是什么？

A. HFS+（已启用日志记录）

B. HFS+（已启用区分大小写）

C. HFS+（已启用日志记录和区分大小写）

D. APFS（已启用区分大小写）

C

29. 参考’Mac OS.img’文件回答以下题目，从文件“Car.rtfd”中删除了哪个文件？提示:答案需包括副文件名，并以全小写字母作答，例如 answer.docx

dreamcar.jpg

*30. 参考’Mac OS.img’文件回答以下题目，请提供’Mac OS.img’映像文件被“fsck”命令检查的具体时间。提示:答案格式为YYYYMMDD-HHMMSS，如2023年1月1日15时30分30秒则请回答”20230101-153030″

*31. 参考’Mac OS.img’文件回答以下题目，在.dmg档中删除了多少个文件？

A. 1

B. 2

C. 3

D. 4

88. 参考’Windows 10’文件夹回答以下题目，在Windows 10中UsersqqqqqDownloads，视频文件(mixkit-two-women-laying-together-925-medium.mp4)，在MFT 中分成多少个Data Cluster储存？提示: 请以阿拉伯数字作答

1

在xwforensics中导出$MFT

进行文本搜索

89. 参考’ Windows 10 ‘ 文件夹回答以下题目，在Windows 10中UsersqqqqqDownloadsmixkit-two-woman-laying-together-925-medium.mp4的last Access时间是多少？

A. 2023/07/10 18:31:32

B. 2023/07/10 18:31:01

C. 2023/07/10 19:31:22

D. 2023/07/11 19:31:22

A

浩贤

8. 参考Server文件夹下的’Meiya_VPN.vmdk’回答以下题目，这个访问服务器使用了哪个端口？提示: 请用阿拉伯数字作答

943

在Firefox保存的密码中可以看到openvpn的端口为943

192.168.112.138就是该服务器的内网ip

9. 参考Server文件夹下的’Meiya_VPN.vmdk’回答以下题目，“User1”账户最近连接到这个访问服务器时使用的IP地址是多少？提示: 用IPV4 格式回答

203.198.117.194

在/var/log目录下有openvpnas.log和openvpnas.log.1，根据创建和修改的时间，.1后缀的应该是早一些的日志

在openvpnas.log.1中搜索user1

10. [多选题]参考Server文件夹下的’Meiya_VPN.vmdk’回答以下题目，哪些文件可以找出这个访问服务器的Ubuntu版本？

A. lsb-release

B. issue.net

C. .profile

D. console

AB

/etc/lsb-release

/etc/issue.net

11. [多选题]参考Server文件夹下的’Meiya_VPN.vmdk’回答以下题目，哪些文件有助于分辨这是一个存储服务器？

A. auth.log

B. sys.log

C. bash_history

D. idconfig

AB

机翻有误，应该意思是哪些文件记录了服务器的访问记录

auth.log：这个文件记录了用户登录和认证相关的日志信息。它可能包含与存储服务器相关的登录和访问日志。

sys.log：这个文件是系统日志文件，记录了系统的各种事件和错误信息。它可能包含与存储服务器相关的磁盘、文件系统或存储设备的日志信息。

12. 参考Server文件夹下的’Meiya_VPN.vmdk’回答以下题目这个访问服务器所在时区是哪个时区？

A. UTC +9

B. UTC +8

C. UTC -7

D. UTC

C

13. 参考Server文件夹下的 ‘ Meiya_VPN.vmdk ‘ 回答以下题目，这个访问服务器的“openvpn”帐户密码是多少？提示:请用大写字母与阿拉伯数字作答

P@ssw0rd1234

./etc/init.d/openvpn start启动openvpn服务

浏览器https访问943端口，使用火狐浏览器里面的密码测试登录，使用P@ssw0rd1234登录成功

14. 参考Server文件夹下的 ‘ Meiya_VPN.vmdk ‘回答以下题目，在这个访问服务器中，“User1”账户之间的连接所使用的加密算法（密码）是什么？

A. Blowfish-CBC

B. 3DES-CBC

C. AES-128-GCM

D. AES-256-CBC

D

53. 参考’IOS’文件夹回答以下题目，根据’com.apple.ios.StoreKitUIService.plist’，这部电话是什么型号？

A. SAMSUNG S23

B. iPhone X

C. iPhone XR

D. iPhone XS

E. iPhone 13

C

54. 参考’IOS’文件夹回答以下题目，根据com.apple.ios.StoreKitUIService.plist，上述电话的文件系统是什么？

A. FAT32

B. NTFS

C. HFS+

D. APFS

E. EXT4

D

常识

*55. [多选题]参考’IOS’文件夹回答以下题目，根据ChatStorage.sqlite，哪些对话已锁定？

A. [email protected]

B. [email protected]

C. [email protected]

D. [email protected]

E. status@broadcast

56. 参考’IOS’文件夹回答以下题目，根据ChatStorage.sqlite，有多少段录音对话？提示: 请以阿拉伯数字作答

59

用IOS文件夹下的ChatStorage.sqlite替换掉IOS11ActivevarmobileApplicationsgroup.net.whatsapp.WhatsApp.shared下的ChatStorage.sqlite，用盘古石手机取证分析系统解析

57. 参考’IOS’文件夹回答以下题目，Apple Cocoa Core Data timestamp是由什么时间开始？

A. 2001年1月1日

B. 1970年1月1日

C. 2006年1月1日

D. 1960年1月1日

B

常识，UNIX时间戳的起始日期是1970年1月1日

58. 参考’IOS’文件夹回答以下题目，根据Photos.sqlite数据库中，有多少段视频可能涉及WhatsApp？提示: 请以阿拉伯数字作答

7

59. [多选题]参考’IOS’文件夹回答以下题目，根据Photos.sqlite数据库中，下列哪个选项对IMG_0008.HEIC的描述是错的？

A. 由第三方软件拍摄

B. 经过修改

C. 由后镜拍摄

D. 用ISO200拍摄

E. 没有储存经纬度

AE

HEIC是iPhone手机拍照的原格式

有经纬度

60. 参考’IOS’文件夹回答以下题目，根据’sms(ios).db’的资料，全局唯一标识符(GUID): DD31C26F-1D72-DE0F-431E-EF98F104402D显示的信息是什么? 提示:答案需要与信息一样(答案包括中文字、阿拉伯数字与符号)

你的Uber驗證碼為3666.請勿分享此驗證碼.

61. [多选题]参考’IOS’资料 夹回答以下题目，根据’com.burbn.instagram.plist’及’com.facebook.Facebook.plist’手机安装了实时通讯软件Facebook及Instagram的哪个版本？

A. Instagram (Version 278.0.0.19.115)

B. Facebook (Version 410.0.0.41.116)

C. Instagram (Version 279.0.0.23.112)

D. Facebook (Version 410.0.0.26.115)

E. Instagram (Version 278.0.0.25.115)

F. Facebook (Version 410.0.0.57.116)

AB

Instagram

Facebook

62. 参考’IOS’文件夹回答以下题目，根据’ChatStorage(ios).sqlite’，用户数据Peter Chow (85262012141)在什么日期和时间(以UTC +8时区)曾经通过实时通讯软件送出一个信息(内容为: I am already home)？提示:以UTC +8时区作答,并以YYYY-MM-DD_HH:MM:SS格式作答 例如:2023-01-01_10:01:01 (答案无需输入UTC +8)

2023-04-01_11:21:50

*63. 参考’ IOS’文件夹回答以下题目，根据影片IMG_0687.MOV的原数据，找出影片拍摄时间? 提示:以UTC +8时区作答,并以YYYY-MM-DD_HH:MM:SS格式作答 例如:2023-01-01_10:01:01 (答案无需输入UTC +8)

64. 参考’IOS’文件夹回答以下题目，根据’CallHistory(ios).storedata’，哪份表格显示了通话记录？

A. ZCALLBPROPERTIES

B. ZCALLRECORD

C. Z_2REMOTEPARTICIPANTHANDLES

D. Z_METADATA

E. Z_MODELCACHE

F. Z_PRIMARYKEY

B

65. 参考’ IOS ‘ 文件夹回答以下题目，根据’com.apple.sharingd.plist’，这部手机的隔空投送的身份标识号(AirDrop ID)是什么？提示:请以阿拉伯数字与小写字母作答

2abd0940fbdc

66. 参考’IOS’文件夹回答以下题目，根据’Accounts3.sqlite’，这部手机的苹果使用者账号 (Apple ID) 是什么？提示:请以电邮格式作答(例:[email protected])

[email protected]

Elvis Chui

15. 参考’ 网络题目.pcapng ‘ 文件回答以下题目，给出正在进行Nmap扫描的计算机互联网协议地址？提示: 以IPV4格式给出答案

192.168.186.132

192.168.186.132UDP扫描45.33.32.156

192.168.186.132TCP扫描8.8.8.8

16. 参考’网络题目.pcapng’文件回答以下题目，有多少个Nmap扫描正在同时进行？提示:请给出阿拉伯数字作答

2

一个UDP扫描45.33.32.156，一个TCP扫描8.8.8.8

17. 参考’网络题目.pcapng’文件回答以下题目，当计算机正在扫瞄8.8.8.8，namp相关的指令是什么？

A. nmap -sT 8.8.8.8

B. nmap -sU 8.8.8.8

C. nmap -sn -PR 8.8.8.8

D. nmap -sn -PU 8.8.8.8

A

TCP扫描8.8.8.8

18. 参考’网络题目.pcapng’文件回答以下题目，当计算机正在扫瞄45.33.32.156，namp相关的指令是什么？

A. nmap -sT 45.33.32.156

B. nmap -sU 45.33.32.156

C. nmap -sn -45.33.32.156

D. nmap -sn -45.33.32.156

B

UDP扫描45.33.32.156

32. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目，Elvis Chui 总共登入过该计算机多少次？提示: 请以阿拉伯数字作答

11

33. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目，该计算机的操作系统是在哪一个时区？

A. UTC +4

B. UTC +8

C. UTC -8

D. UTC -4

B

34. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目，该计算机的操作系统于何时安装？

A. 2023-07-13 19:18:14

B. 2023-07-13 11:18:14

C. 2023-07-13 03:18:14

D. 2023-07-12 19:18:14

B

35. [多选题]参考’Window Artifacts.E01’内的Windows注册表回答以下题目，哪(几)个程序会于操作系统启动时自动执行？

A. Avast

B. Steam

C. OneDrive

D. QQ

AB

36. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目，该计算机内安装了以下哪一个程序？

A. QQ

B. WPS Office

C. Opera

D. Kaspersky

B

37. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目，计算机内的OneDrive程序版本是什么？

21.220.1024.0005

38. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目，计算机有一个正在连接的网络接口，该接口连接DHCP服务器的IP地址是多少？提示: 以 IPV4格式回答

192.168.88.129

39. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目，该计算机何时连接过一只U盘？(以计算机系统时区回答)

A. 2023-07-13 11:48:26

B. 2023-07-13 03:48:29

C. 2023-07-12 19:48:29

D. 2023-07-13 11:48:29

A

40. [多选题]参考’Window Artifacts.E01’回答以下题目，Elvis Chui 将哪几个文本文件放在回收站中？

A. $+D10I76A74P.txt

B. Holiday schedule 2023-07-16.txt

C. Holiday schedule 2023-07-13.txt

D. Minute on 2023-07-01.txt

E. Minute on 2023-07-10.txt

BE

41. 参考’Window Artifacts.E01’回答以下题目，Elvis Chui在什么时间删除了第一个文本文件？(以计算机系统时区回答)

A. 2023-07-13 11:50:15

B. 2023-07-13 03:49:45

C. 2023-07-13 03:50:15

D. 2023-07-13 11:49:45

D

42. 参考 ‘ Window Artifacts.E01 ‘回答以下题目，Elvis Chui删除的第一个文本文件的文件名是什么？提示: 请用小写字母回答及需列明文件格式。如文件名字内有空格位置，请用_标示。例如: go_to_school.docx

holiday_schedule_2023-07-16.txt

43. 参考’Window Artifacts.E01’回答以下题目，Elvis Chui删除的第一个文本文件在什么时间创建？(以计算机系统时区回答)

A. 2023-07-13_11:42:39

B. 2023-07-13_11:50:49

C. 2023-07-13_11:49:45

D. 2023-07-13_11:45:22

D

44. 参考’Window Artifacts.E01’回答以下题目，Elvis Chui计划于2023年7月15日20点5分有什么活动？提示: 答案请与文件内的文字大小写相同

Movie

45. 参考’Window Artifacts.E01’回答以下题目，该计算机执行STEAM.EXE总共多少次？提示: 请用阿拉伯数字作答

7

90. 参考’Windows 7’文件夹回答以下题目，在Windows 7中UsersAllenDesktop，有1个MP3文件(例:unlock-me-149058.mp3)，用户使用什么程序打开该MP3文件? 提示:请以小写字母作答

wmplayer.exe

91. 参考’Windows 7’文件夹回答以下题目，在Windows 7中’UsersAllenDesktop ‘有1个MP3文件(unlock-me-149058.mp3)，该文件的Zone identiflier为’3’。上述’3’字代表哪一个security Zone ?

A. Local Machine Zone

B. Internet Zone

C. Restricted Zone

D. Trust Site Zone

B

Zone identiflier为3代表该文件来自互联网

92. 参考’Windows 7’文件夹回答以下题目，在 Windows 7中UsersAllenDesktop有1个MP3文件 (unlock-me-149058.mp3)，该文件从哪个网站下载？

A. www.Pixbay.com

B. free-mp3-download.net/

C. https://mp3juices.nu

D. mygomp3.com

A

93. 参考’Windows 7’文件夹回答以下题目，在 Windows 7中UsersAllenDownloads内有mp3文件(miracle.mp3)，更改名称时间？

A. 2023-07-13 02:55:20

B. 2023-07-15 10:55:20

C. 2023-07-12 10:58:04

D. 2023-07-13 10:55:20

D

解析NTFS日志

94. 参考’Windows 7’文件夹回答以下题目，在Windows 7中UsersAllenDownloads内有mp3文件(miracle.mp3)，mp3文件更改名称前的名称是什么？提示: 请以与记录相同的名称与文件格式作答

a-small-miracle-132333.mp3

*95. 参考’Windows 7’文件夹回答以下题目，在Windows 7中有多少个文件曾被potplayer播放？

A. 7

B. 8

C. 9

D. 10

*96. 参考’Windows 7′ 文件夹回答以下题目，在Windows 7中，potplayer最后播放的文件名？提示: 请以与记录相同的名称(包括小写字母、阿拉伯数字与符号)与文件格式作答

98. 基于两个SQLite数据库文件“cus_202308102034.json”和“date_202308101120.json”。请编译一个 SQLite 脚本找出谁前往目的地“莫斯科”。包括所有客户的姓名、目的地、“arrival_timestamp_HK”[将时间戳转换为本地时间并将该列命名为“local_time”]。

A. SELECT c.customer_name, c.destination, datetime(d.arrival_timestamp_HK, 'unixepoch', 'localtime') AS arrival_time_hk FROM cus c INNER JOIN date d ON c.destination = d.Destination WHERE c.destination = 'Moscow'B. SELECT cus.customer_name, cus.destination, datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime') AS arrival_time_hk FROM cus INNER JOIN date ON customer_id = date.id WHERE cus.destination = 'Moscow' AND date.Destination = 'Moscow' AND date.arrival_timestamp_HK IS NOT NULL AND datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime')C. SELECT cus.customer_name, cus.destination, date.arrival_timestamp FROM cus INNER JOIN date ON cus.destination = date.destination；WHERE cus.destination = 'Moscow' AND date.Destination = 'Moscow'D. SELECT cus.customer_name, cus.destination, datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime') AS arrival_time_hk FROM cus INNER JOIN date ON cus.destination = date.Destination WHERE cus.destination = 'Moscow' AND date.Destination = 'Moscow' AND date.arrival_timestamp_HK IS NOT NULL AND datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime')

D

文件夹中给出了图示

将json文件导入到mysql数据库再将mysql数据库的表导出为csv，再将csv导入到sqlite数据库，执行sqlit语句

A

B

C

D

总结

学生时代最后一次美亚杯，还算圆满，但总有小缺憾，今后也会继续努力的，希望来年能够参加职业组，再战美亚杯！（停更两个月

点点关注不迷路

喜欢的看官还请多多点赞收藏