2021年长安杯电子数据取证比赛复盘完整版（wp）

Posted 2023-03-31 小王ya

第一部分

案情简介

2021年4月25日，上午8点左右，警方接到被害人金某报案，声称自己被敲诈数万元。经询问，昨日金某被嫌疑人诱导裸聊，下载了某“裸聊”软件，导致自己的通讯录和裸聊视频被嫌疑人获取，对其进行敲诈，最终金某不堪重负，选择了报警。警方从金某提供的本人手机中，定向采集到了该“裸聊”软件的安装包—zhibo.apk（检材一）。请对检材一进行分析，获取证据，并根据线索解锁更多检材，深入挖掘出更多与案件有关的信息。

（题目 中需要通过分析出来的答案对检材二三四五解压，解压密码为IP的情况，需要在密码后增加-CAB2021，例： 192.168.100.100-CAB2021）

检查哈希值

本次题目采用VeraCrypt加密容器发放，用VeraCrypt将检材解密，然后挂载，然后我们就得到了一个apk文件和一个检材二的压缩包。

容器密码：

2021第三届CAB-changancup.com

该文件的哈希校验值（MD5）如下：

检材一&二：206f967d6c7ae8477a849e7a7eeedc5e

检材三：99989bdb5720a41f412cd91d2ad76ea1

检材四：d8a7554372f4dc1028c4d2379268f701

检材五：a2ae74451931ea5b010d2df2a4abcb98

注意事项：

解密密码会在比赛前15分钟发放，请使用VC程序加载容器文件,并使用解密密码进行解密；

题目中需要通过分析出来的答案对检材二、三、四、五解密，检材二需要直接使用答案解压，检材三、四、五通过VC发放，解密密码为IP，需要在密码后增加一段盐值，该值会在比赛时题目里面有说明，请大家注意，例：192.168.100.100-salt。

第一题 请计算检材一Apk的SHA256值

使用windows自带的计算工具

certutil -hashfile 检材一-zhibo.apk sha256

3fece1e93be4f422c8446b77b6863eb6a39f19d8fa71ff0250aac10f8bdde73a

第二题 该APK的应用包名为

使用GAD分析，得到

plus.H5B8E45D3

第三题该APK程序在封装服务商的应用唯一标识（APPID）为

唯一标识appid 是对apk的打包工具的记录 可以去调取注册打包工具人的详细信息

H5B8E45D3

可以使用雷电APP智能分析，直接得到，也可以了用jadx工具分析得到assets/data/dcloud_control.xml

第四题 该APK具备下列哪些危险权限(多选题)：

A.读取短信 B.读取通讯录 C.读取精确位置 D.修改通讯录 E.修改短信

第五题 该APK发送回后台服务器的数据包含一下哪些内容(多选题)：

A.手机通讯录 C.手机号码 D.验证码 E.GPS定位信息

将该apk安装至模拟器，点击发现出现 “内涵一点”，直接用jadx搜索

进入该html发现一段代码，使用sojson.v4加密，解密

https://ctf.bugku.com/tool/sojson4

解密得到

A.手机通讯录 C.手机号码 D.验证码 E.GPS定位信息

第六题 该APK程序回传通讯录时,使用的http请求方式为（）

抓包得到POST

第七题该APK程序的回传地址域名为【标准格式：www.abc.com】

见上

www.honglian7001.com

第八题 该APK程序代码中配置的变量apiserver的值为（后面不带/）

见5题sojson.v4解密

www.honglian7001.com/api/uploads

var apiserver ='http://www.honglian7001.com/api/uploads/';

第九题 分析该APK，发现该程序还具备获取短信回传到后台的功能，短信上传服务器接口地址为【标 准格式：www.abc.com/abc】

在代码60行左右能看到发送通讯录的代码

mui.ajax(apiserver +'apisms', 

www.honglian7001.com/api/uploads/apisms

第十题 经分析，发现该APK在运行过程中会在手机中产生一个数据库文件，该文件的文件名为

使用雷电APP分析的Frida脚本里的SQLite数据库，即可得到数据库名为

test.db

第十一题 经分析，发现该APK在运行过程中会在手机中产生一个数据库文件，该数据库的初始密码为

同上题，也可得到初始密码为：

c74d97b01eae257e44aa9d5bade97baf

第二部分

用第7题的答案解压缩检材二

www.honglian7001.com

将检材二使用火眼仿真软件仿真出来

第十二题 检材二的原始硬盘的SHA256值为

E6873068B83AF9988D297C6916329CEC9D8BCB672C6A894D393E68764391C589

第十三题 查询涉案于案发时间段内登陆服务器的IP地址为

进入之后 尝试history,发现命令比较少，使用下面的命令 转到root用户下，发现较多的history 可以使用重定向 将其导出

su root

根据检材背景资料1得知，报案人是在21年4月25日报警的，所以查看4月25日之前登陆的IP，使用last命令看到ip是

192.168.110.203

第十四题 请对检材二进行分析，并回答该服务器在集群中承担的主要作用是（）【格式：文件存储】

负载均衡

第十五题 上一题中，提到的主要功能对应的服务监听的端口为：

80

cd /opt/honglianjingsai/chronusNode/
cat const.js

第十六题 上一题中，提到的服务所使用的启动命今为：

在history中，也可以查看readme

node app.js

第十七题 经分析，该服务对于请求来源IP的处理依据是（）位进行判断【标准格式：9】

3

cd /opt/honglianjingsai/chronusNode/controller
cat ADProxy.js

第十八题 经分析，当判断条件小于50时，服务器会将请求转发到IP为（）的服务器上【标准格式：111.111.111.111】

cat ADProxy.js

192.168.110.111

第十九题 分析，该服务器转发的目标服务器共有台【标准格式：9】

3台 同上

vi /etc/sysconfig/network-scripts/ifcfg-ens33

第二十题 请分析，受害者通讯录被获取时，其设备IP地址为

192.168.110.252

cd /opt/honglianjingsai/chronusNode/logs
ll
发现4.24日志只有一个
cat 2021-4-24-6-26.log

第二十一题 请分析，受害者通讯录被获取后，经由该服务器转发到了IP为（）的服务器上

192.168.110.113

第三部分

下面挂载检材三：

用21题的答案加上盐值-CAB2021，也就是

192.168.110.113-CAB2021

有三个web服务器，但只有其中一个有额外信息，也就是web3，因为他是IP地址大于100的，也就是本次诈骗所用的IP，在里面我们能找到更多的信息。火眼仿真和火眼取证一起上。

输入bt 发现有宝塔面板

内网面板地址登录
http://192.168.110.113:8888/12345678
账号为hl123
选项5，修改新密码为123456

第二十二题 检材三的原始硬盘的SHA256值为：

请分析第21题中，所指的服务器的开机密码为：
205C1120874CE0E24ABFB3BB1525ACF330E05111E4AD1D323F3DEE59265306BF

第二十三题 请分析第21题中，所指的服务器的开机密码为：

在第四部分使用火眼分析

honglian7001

第二十四题 嫌疑人架设网站使用了宝塔面板，请问面板的登陆用户名为：

hl123

链接宝塔时需要将本地虚拟机 虚拟网络编辑器 调整至110网段，并关掉DHCP，也可以链接finalshells

连接finalshell,修改密码

登陆成功

第二十五题 请分析用于重置宝塔面板密码的函数名为

set_panel_pwd()

宝塔面板重置网站密码功能调用的是tools.py
（由老版本宝塔充值密码命令可知：cd /www/server/panel && python tools.py panel testpasswd）

分析tools.py

cat /www/server/panel/tools.py

第二十六题 请分析宝塔面板登陆密码的加密方式所使用的哈希算法为

md5

在tools.py中使用vi搜索功能 /set 按n键进行跳转，找到函数

第二十七题 请分析宝塔面板对于其获认用户的密码一共执行了儿次上题中的哈希算法

3次,（初始一次MD5，后来又有两次MD5拼接）

 cat /www/server/panel/class/public.py
 
 可以使用vi /www/server/panel/class/public.py或者下载该文件
 搜索salt

第二十八题 请分析当前宝塔面板在加密过程中使用的salt值为【区分大小写】

v87ilhAVumZL

cd /www/server/panel/data

发现default.db文件，将其下载，使用navicat打开，发现salt值

第二十九题 请分析该服务器，网站源代码所在的绝对路径为

/www/wwwroot/www.honglian7001

第三十题 请分析，网站所使用的数据库位于IP为（）的服务器上，请使用该IP解压检材5，并重构网站

192.168.110.115

/www/wwwroot/www.honglian7001/app/databae.php

第三十一题 请分析数据库的登陆密码为

wxrM5GtNXk5k5EPX

第三十二题 请尝试重构该网站，并指出，该网站的后台管理界面的入口为【标准格式：/web】

参考网站

https://blog.csdn.net/qq_51233573/article/details/122668215

/admin

用第30题答案去vc加载检材5，加载密码：

192.168.110.115-CAB2021

加载完成之后将其使用FTK挂载，可读可写

然后进行RAID重组

创建块虚拟RAID和自动检测——将刚挂载的盘符拖动至父，然后自动检测

点击创建镜像，逐字节镜像，生成虚拟块 RAID 2.dsk

使用火眼睛仿真对其进行仿真

这时候访问，之前访问本地访问这个界面 因为没有连接数据库所以这里看不到界面

http://192.168.110.113/admin/common/login.shtml

第三十三题 .已该涉案网站代码中对登录用户的密码做了加密处理。请找出加密算法中的salt值【区分大小写】

将其源码拖出来审计一下 找到其定义密码的函数找到其salt值

lshi4AsSUrUOwWV

/www/wwwroot/www.honglian7001/app/admin

第三十四题 请分析该网站的管理员用户的密码为

在下面日志文件中可以找到

security

\\www.honglian7001\\runtime\\log\\202104\\24.log

第三十五题 在对后台账号的密码加密处理过程中，后台一共计算几次哈希值

三次

如果找不到密码 可以连接数据库，重置密码，将12345加密成MD5替换

连接时，发现空用户导致连接数据库无法连接

第一种方法：

vi /etc/my.cnf
在[mysqld]后面任意一行添加“skip-grant-tables”用来跳过密码验证的过程

点击ESC 使用 :wq！保存并退出
使用 service mysqld restart 重启MySQL服务
免密码登陆（注：敲入 mysql -u www_honglian7001 -p 命令然后回车，当需要输入密码时，直接按enter键，便可以不用密码登录到数据库当中）

第二种方法，直接可以使用mysql的SSH连接，使用ssh的账号和密码连接

登陆成功

第三十六题 请统计，后台中，一共有多少条设备记录

6002

第三十七题 请通过后台确认，本案中受害者的手机号码为

这里要注意时区 检材二也就是负载均衡服务器是utc时区，检材二中的日志记录情况 在2021.4.24 6:37（utc时间）左右上传了通讯录 其对应的utc+8时间应为 当日14:37左右手机型号也能对上 由此可以得到受害者手机号码

186644099137

第三十八题 请分析，本案中受害者的通讯录一共有多少条记录

34

第四部分

通过对检材二和三进行分析，警方通过IP落地，警方掌成功抓获犯罪嫌疑人，现将嫌疑人的PC机和手机进行了取证，分别制 作了镜像，请使用第13题的答案对检材四进行解密，并回答下列问题

192.168.110.203-CAB2021

第三十九 请计算检材四-PC的原始硬盘的SHA256值

E9ABE6C8A51A633F809A3B9FE5CE80574AED133BC165B5E1B93109901BB94C2B

第四十题 请分析，检材四-PC的Bitlocker加密分区的解密密钥为

使用取证大师分析

511126-518936-161612-135234-698357-082929-144705-622578

使用密钥串进行解密

然后点击上方自动取证，重新使用取证大师进行取证

第四十一题 请分析，检材四-PC的开机密码为

12306

MD5解密

38a236fbdf9d8e7f074fede16cafe250

或者将恢复密钥填进火眼仿真中，即可自动获取PC的开机密码

第四十二题 经分析发现，检材四-PC是嫌疑人用于管理服务器的设备，其主要通过哪个浏览器控制网站后台

Google Chrome

第四十三题 请计算PC检材中用户目录下的zip文件的sha256值

0DD2C00C8C6DBDEA123373F91A3234D2F07D958355F6CD7126E397E12E8ADBB3

找到该文件，点击上面工具 哈希计算

第四十四题 请分析检材四-phone，该手机的IMEI号为

使用火眼证据分析软件分析手机镜像

868668043754436
868668044204431

第四十五题 请分析检材四-phone，嫌疑人和本案受害者是通过什么软件开始接触的

伊对

第四十六题 请分析检材四-phone，受害者下载恶意APK安装包的地址为

https://cowtransfer.com/s/a6b28b4818904c

第四十七题 请分析检材四-phone，受害者的微信内部ID号为

wxid_op8i06j0aano22

第四十八题 请分析检材四-phone，嫌疑人用于敲诈本案受害者的QQ账号为

1649840939

第四十九题 请综合分析，嫌疑人用于管理敲诈对象的容器文件的SHA256值为

导出前面提到的“我的赚钱工具”，尝试使用12306进行解密压缩包，得到一个虚拟机镜像，用虚拟机打开，发现有开机密码，使用仿真软件加载（选择那个不带后缀0002的镜像），得到密码money

寻找一番无果，发现有快照，还原快照

点开我的电脑，点击快速访问，发现有一个叫 小白鼠 的文件，密钥文件为key.zip，之后用VeraCrypt进行解密

计算小白鼠的SHA256得，也可以在取证大师中加载虚拟机文件

9C4BE29EB5661E6EDD88A364ECC6EF004C15D61B08BD7DD0A393340180F15608

容器加载完成

第五十题 请综合分析嫌疑人检材，另外一受害者“郭先生”的手机号码为

打开郭先生的文件夹

15266668888

第五十一题 通过嫌疑人检材，其中记录了几位受害者的信息

5

第五十二题 请使用第11题的密码解压“金先生转账.zip”文件，并对压缩包中的文件计算SHA256值

解压密码
c74d97b01eae257e44aa9d5bade97baf

SHA256
cd62a83690a53e5b441838bc55ab83be92ff5ed26ec646d43911f119c15df510

命令
certutil -hashfile 金先生转账.jpg sha256

第五十三题 请综合分析，受害者一共被嫌疑人敲诈了多少钱（转账截图被隐藏在多个地方）

6600

支付宝提醒助手里面

伊对 金先生聊天记录里面

微信聊天记录里面

虚拟机压缩包里面

数据库里面，找到我的账单 右键保存数据为1.jpg

600+1000+2000+2000+1000=6600

也可以移步至公众号查看

第七届美亚杯资格赛复盘

“美亚杯”第七届中国电子数据取证大赛
本次比赛共1 个段落, 62 个小题, 总共114分
“美亚杯”第七届中国电子数据取证大赛试题 (62个小题, 共114分)

1. [单选题] 工地主管电话的微信账号是什么? (1分)
   A. Kasier751111
   B. Kasierlee751111
   C. Kasierlee
   D. 以上皆非
   

2. [填空题] 工地主管的隔空投送装置编号是什么? (请以英文全大写及阿拉伯数字回答) (1分)
   780F624DFO99
   

3. [单选题] 工地主管电话的哪一个应用程序有关于于经纬度24.490474, 118.110220的纪录? (2分)
   A. 照片
   B. WhatsApp
   C. Apple Maps
   D. 以上皆非
   

4. [多选题] 工地主管的手提电话中下列哪些数据正确? (1分)
   A. iOS 版本为 12.5.4
   B. IMEI 为 454120637213361
   C. Apple ID 为 kaiserlee3660@gmail.com
   D. 手机曾经安装dropbox 应用程序
   

5. [填空题] 工地主管的电话最常使用的浏览器是什么? (请以英文全大写回答) (1分)
   SAFARI
   

6. [单选题] 工地主管的电话连接过哪一个WiFi? (1分)
   A. Kaiser Lee
   B. Kaiser
   C. Free Wifi
   D. Kaiser Home
   网络SSID是什么意思?无线网络中SSID，是路由器发送的无线信号的名字。
   

7. [多选题] 工地主管与Alex Chan的Whatsapp 对话中，曾提及以下哪个TeamViewer的用户号码? (3分)
   A. 435334881
   B. 453851521
   C. 435475200
   D. 456874155
   E. 435270306

8. [填空题] 工地主管的WhatsApp中有多少个黑名单的记录? (请以阿拉伯数字回答) (2分)
   保存
   随便点开一个聊天记录
   

会显示微信源文件的聊天记录，跳转到这个路径下，找数据库中黑名单的表
黑名单：blacklist

9. [多选题] 以下哪个蓝牙装置的Uuid 曾连接过工地主管的手机? (2分)
   A. 7F1FE70D-2B15-C245-853D-4196F13CC446
   B. 1B057C1D-83D3-99A6-D2B1-EC54846C7CEE
   C. 134ACD1-83D3-99A6-D2B1-EC54846C7CEE
   D. 7D1BE70D-2C16-D246-851D-491613DD776
   

10. [填空题] 工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)
    注意审题：问的是修复密钥标识符
    

直接右键，恢复密钥串
11. [填空题] 工地主管计算机內的FTP程序FileZilla的用户名称是甚么? (请以英文全大写及阿拉伯数字回答) (3分)

12. [填空题] 工地主管的Team Viewer ID 是甚么? (请以英文全大写及阿拉伯数字回答) (2分)
    ALEXC19851016
    

Alex让工地主管安装Team Viewer这个软件并且要id

13. [填空题] 工地主管的Team Viewer与哪一个ID连接? (请以英文全大写及阿拉伯数字回答) (3分)
    420190768
    

14. [多选题] 工地主管曾用计算机浏览器作搜寻，以下哪一个关键词他曾经搜寻? (3分)
    A. tiktok
    B. web whatsapp
    C. facebook
    D. lihkg
    E. hkgolden
    F. web wechat
    

15. [填空题] 工地主管计算机的Windows系统的产品标识符是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

003311000000001AA962
16. [填空题] 工地主管曾用计算机使用WhatsApp，他曾和以下哪个电话号码沟通? (请以阿拉伯数字回答) (2分)
WhatsApp：网络电话，网络短信
没找到、、
17. [多选题] 工地主管计算机的用户名称是甚么? 其用户标识符是甚么? (2分)
A. 用户名称: PC1
B. 用户名称: PC2
C. 用户名称: PC3
D. 用户标识符: 0x000003E7
E. 用户标识符: 0x000003E8
F. 用户标识符: 0x000003E9
工地主管用户名计算机有好几个，但是其他的都是禁用的只有pc1是启用
用户标识符对应这

用户表示的最后几位是10进制，要把它转换成选项中的16进制

18. [单选题] 工地主管计算机的预设浏览器是甚么? (2分)
    A. Chrome
    B. Firefox
    C. Safari
    D. 以上皆否
    这需要仿真，或者使用取证大师中的小程序分析

19. [填空题] 工地主管计算机的其中一个分区被人加密，分区内的电子表格Material3.xlsx的哈希值(SHA1)是甚么? (请以英文全大写及阿拉伯数字回答) (1分)
    在ftp服务器中搜索BitLocker，看到3个解密密钥

分别试了一下，第一个解出来了
20. [多选题] 路由器的记录中显示以下有哪些IP是公司的电子器材? (3分)
A. 192.168.40.128
B. 192.168.40.129
C. 192.168.40.130
D. 192.168.40.131
E. 192.168.40.132
浏览器日志里挨个搜索
21. [填空题] 路由器的记录中显示公司的计算机下载了FTP软件，该下载网站的IP是什麼?(请以亚拉伯数字作答，省去“.”符号) (3分)
FTP服务器ftp软件可以进行ftp上传下载。ftp客户端能够在互联网上双向传输。
在工地主管的电脑里面看到了FileZilla，所以看路由器日志里有没有关于这个的信息

下载ip是49.12.121.47
22. [多选题] 路由器的记录中显示公司计算机的资料用FTP软件传到了甚么IP地址及利用端口? (2分)
A. IP地址: 2*.2*.2*.114
B. IP地址: 8*.8*.1*.20
C. IP地址: 1*.1*.0*.13
D. 端口: 21
E. 端口: 80
取证大师里filezilla客户端也能看到

23. [多选题] 路由器的记录中显示以下哪些关键词是表示公司计算机与外界网络联机? (2分)
    A. destination
    B. ICMP echo request
    C. inside
    D. outside
    E. 以上皆是
    

24. [单选题] 路由器的记录中显示哪一个IP曾以teamviewer 连接公司计算机? (1分)
    A. 110.152.0.14
    B. 52.152.117.114
    C. 180.152.0.13
    D. 83.26.80.131

25. [多选题] 路由器的记录中显示以下哪一个有可能是以teamviewer 遥控公司计算机的时间? (3分)
    A. 09:31, 09:37
    B. 0933, 09:39
    C. 10:29, 10:36
    D. 10:40
    E. 10:42
    24，25互相验证

26. [填空题] 路由器的记录中显示有多少电子器材有可能曾被入侵? (请以阿拉伯数字作答) (2分)
    猜测
    

聊天记录李有三台电脑杯Alex要求安装teamview
27. [多选题] 阿力士iPhone 12 pro电话 于2021年10月21日，以下哪一张相片可能曾被分享 (UTC+8)? (3分)
A. IMG_0011.HEIC
B. IMG_0010.HEIC
C. IMG_0009.HEIC
D. IMG_0008.HEIC
E. IMG_0007.HEIC
知识点：被分享过的图片应该就不带有元数据

28. [单选题] 阿力士iPhone 12 pro电话中哪一张相片可能曾被修改拍摄时间? (2分)
    A. IMG_0011.HEIC
    B. IMG_0010.HEIC
    C. IMG_0009.HEIC
    D. IMG_0008.HEIC
    上题的照片中有两个一模一样的，所以它可能杯修改拍摄时间后发出去了。
29. [填空题] 阿力士iPhone 12 pro 的GSM媒体访问控制地址是什么? (请以英文全大写及阿拉伯数字回答，不用输入"😊 (2分)
    MAC（Medium/Media Access Control）地址，意译为媒体访问控制，或称为物理地址、硬件地址，用来定义网络设备的位置。
    Max地址的格式;
    
    

经过测试手机MAC的max地址和wifi的MAX地址一样
30. [单选题] 阿力士的iphone 12 pro以什么屏幕密码保护? (1分)
A. 6位阿拉伯数字密码
B. 4位阿拉伯数字密码
C. 图形密码
D. 以上皆非
没找到。。
31. [多选题] 阿力士iphone 12 pro内以下哪一张相片是实况相片(live Photos)? (2分)
A. IMG_0011.HEIC
B. IMG_0010.HEIC
C. IMG_0012.HEIC
D. IMG_0009.HEIC
手机的相册里面就没有c这个照片

32. [单选题] 以下哪一个是阿力士iphone 12 pro可能曾经连接的装置名称? (2分)
    A. Chris’s MacBook Pro
    B. Chirs’s iPhone
    C. Chirs’s Computer
    D. Chirs’s Linux
    

33. [多选题] 接上题，记录连接时间是什么时候(UTC+8)? (2分)
    A. 2021年10月21日 00:58:01
    B. 2021年10月21日 08:58:01
    C. 2021年10月21日 00:58:29
    D. 2021年10月21日 08:58:29
    猜测：因为是多选，而创建时间是2121-10-21 0：58：01（utc+0）utc+8是B选项，接下来的时间要在B之后。

34. [多选题] 阿力士iPhone XR中在软件WhatsApp中工地主管与阿力士的对话中曾提到：[佢叫我俾钱喎，BTC係唔係呢个啊？]。在进行电子数据取证分析后，以下哪一个是有可能关于此对话的正确描述？ (2分)
    A. 此对话被Kariser Lee删除
    B. 此对话的附件为一张图片文件
    C. 此对话被Alex Chan 删除
    D. 此对话是引用Alex Chan 回复

35. [填空题] 阿力士iPhone XR的WhatsApp对话中，阿力士曾要求工地主管支付多少个BTC? (请以阿拉伯数字回答) (1分)
    

36. [多选题] 阿力士iPhone XR中 “IMG_0056.HEIC”的图像与"5005.JPG"(MD5: 96c48152249536d14eaa80086c92fcb9)” 看似为同一张相片，在电子数据取证分析下，以下哪样描述是正确? (2分)
    A. 储存在不同的.db 里
    B. 有不同哈希值
    C. IMG_0056.HEIC 为原图, 5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9)为缩略图
    D. IMG_0056.HEIC 曾被开启过，所以在IOS系统中创建了缩略图5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9)
    

C和d不确定
37. [多选题] 阿力士iPhone XR中相片檔IMG_0056.HEIC提供了什么电子数据取证的信息? (3分)
A. 此相片是由隔空投送 (Airdrop)得来
B. 此相片由iPhone XR拍摄
C. 此相片的拍摄时间为2021-10-21 17:45:48(UTC+8)
D. 此相片的拍摄时间为2021-09-08 17:35:00(UTC+8)

没有直接的证据证明a答案，但是是多选题其他的排除了就只能选这个
38. [单选题] 阿力士iPhone XR中阿力士的电邮账户Alexc19851016@gmail.com的密码有可能是什么? (1分)
A. Ac19851016
B. Alex1985!
C. Aa475869!
D. 以上皆非

记事本
39. [填空题] 阿力士iPhone XR曾经连接Wifi “Alex Home”的密码是什么? (请以英文全大写及阿拉伯数字回答) (1分)

信息摘要里面有一个栏目是密码，然后过滤一下
40. [单选题] 阿力士iPhone XR经iCloud备份的最后时间是什么?(UTC+8)? (1分)
A. 2021-10-21 17:51:38(UTC+8)
B. 2021-10-21 18:02:13 + (UTC+8)
C. 2021-10-21 09:51:38(UTC+8)
D. 2021-10-21 10:02:13 + (UTC+8)

41. [填空题] 阿力士iPhone XR中的iBoot版本是iBoot-__________? (请以阿拉伯数字回答，不用轮入“.”) (1分)
    PhoneInfo.xml文件里面写了手机的配置信息，把它复制到记事本中搜索一下。
    

42. [多选题] 阿力士iPhone XR中的WhatsApp群组『团购-新鲜猪肉牛肉-东涌群组-9/30』有以下哪一个成员? (2分)
    A. 85260617332@s.whatsapp.net
    B. 85260452579@s.whatsapp.net
    C. 85248791565@s.whatsapp.net
    D. 85264630956@s.whatsapp.net
    

43. [单选题] 阿力士的计算机显示曾于hongkongcard.com 的论坛登记成为会员，以下哪个是他的帐户密码? (3分)
    A. Aa475869!
    B. Bb475869!
    C. Cd475869!
    D. 以上皆非
    在记事本中可以看到，到此可以推测出这个记事本是用于记录密码

44. [单选题] 阿力士的计算机显示阿力士曾用什么方法进入受害者(主管)的计算机? (1分)
    A. 远程操控
    B. 特洛伊木马程序
    C. 勒索软件
    D. 恶意软件
    根据手机的聊天记录和阿力士计算机的软件中分析
    

45. [单选题] 续上题，阿力士最后一次进入受害者(主管)计算机的时间是什么? (2分)
    A. 于2021年10月18日 10时36分
    B. 于2021年10月18日18时36分
    C. 于2021年10月18日6时53分
    D. 于2021年10月18日18时42分
    这个看阿力士的计算机，
    

46. [填空题] 阿力士的计算机显示他曾经使用FTP程序，FTP的主机IP地址是什麼?(请以亚拉伯数字作答，省去“.”符号) (2分)
    218255242114
    

47. [填空题] 阿力士的计算机显示于2021年9月至2021年11月期间，计算机曾被登入过多少次? (请以阿拉伯数字回答) (1分)
    问计算机登录了多少次

48. [填空题] 阿力士计算机所安装的Microsoft Office 2007 是以下哪一个版本? (请以亚拉伯数字作答，省去“.”符号) (2分)
    12045181014
    

49. [填空题] 以下是阿力士计算机中的Basic data partition (EFI 3) 的Volume ID? (请以英文全大写及阿拉伯数字回答) (2分)
    没做出来。。

50. [填空题] 阿力士计算机的Window product ID是什么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)
    

51. [单选题] 阿力士计算机曾经下载一张猴子的图片，以下哪一项描述正确? (1分)
    A. 该图片是由
    “https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSgn6ABvcqTfFPjcIbjc9hdx1H4PtQsAuVyTQ&usqp=CAU”下载的
    B. 该图片经过加密
    C. 该图片于2021-09-30 下载
    D. 该图片是由GIF档转换成PNG檔
    

52. [填空题] 阿力士计算机所安装的Microsoft Office 2007 的密钥是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)
    取证大师也能做，在Microsoft Offic软件的文件夹下，
    

直接仿真
53. [单选题] 阿力士FTP 服务器用户使用命令行安装了甚么程序? (1分)
A. Docker
B. Chrome
C. FileZilla
D. TeamViewer

54. [多选题] 以下哪些档案于阿力士FTP 服务器曾重复出现? (3分)
    A. Material1
    B. Material2
    C. Material3
    D. Staff1
    E. Staff2
    F. Staff3
    

挨个搜索就可以，复盘的时候偶然看到excle里面就有
55. [填空题] 在阿力士FTP服务器中，文件夹___________曾被用户变更了访问权限(请以英文全大写及阿拉伯数字回答) (2分)
变更权限：
• 文字法：chmod [who][operator][permission]
• 数字法：chmod xxx
都需要命令chmod命令，在历史命令里面找

Chmod +权限 +文件名 +_project
56. [填空题] 在阿力士FTP 服务器建设后，有______个额外用户被加入 (请以阿拉伯数字回答) (2分)

在这些命令中看到了涉及ftp的，分析命令就一个用户名为wai的条件到了
57. [单选题] 根据阿力士FTP服务器设定显示，此服务器是以_____方式连接网络，且是一个_______网络状态 (1分)
A. 无线 , 公开
B. 无线 , 私人
C. 有线 , 公开
D. 有线 , 私人

只有eno1有用，看ip地址不是10开头的，所以它是公网ip
以下为百度搜索：
10开头的IP都是内网IP。即10.0.0.0 到 10.255.255.255是内网IP。不少自家拉的带宽路由分配的都是10开头的IP，这类都是内网IP。

58. [填空题] 阿力士FTP 服务器设定最多使用者数目是_____ (请以阿拉伯数字回答) (2分)
    看服务器的配置文件
    Xways看配置文件
    

59. [填空题] 阿力士FTP服务器使用Docker安装了一个FTP程序为___________。(例如 space docker /1.1，请输入 spacedocker/1.1，不要输入空格) (2分)

关于docker的命令就这么多，挨个排除
百度：
使用 docker 拉取最新版本：
docker pull stilliard/pure-ftpd

60. [多选题] 阿力士FTP 服务器曾使用过甚么版本的Linux内核? (2分)
    A. linux-headers-5.11.0-16
    B. linux-headers-5.11.0-17
    C. linux-headers-5.11.0-36
    D. inux-headers-5.11.0-37
    E. linux-headers-5.11.0-40
    仿真

61. [多选题] 阿力士FTP 服务器的磁盘分区，有以下哪一种文件系统? (2分)
    A. FAT16
    B. FAT32
    C. ExFAT
    D. HFS+
    E. Ext4
    

62. [填空题] 阿力士FTP服务器用户输入了指令_____________去检查现存的Docker容器 (例如 netstat lntp，请输入 netstatlntp，不要输入空格) (3分)
    

Docker container -a