2021美亚团队赛复盘
Posted 五五六六_摆烂机0524号
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了2021美亚团队赛复盘相关的知识,希望对你有一定的参考价值。
veracrypt密码:uR%)Y'Qz-n3oGU`ZJo@(1ntxp8U1+bW;JlZH^I4%0rxf;[N+eQ)Lolrw&E%,4q1
案件背景:
几天后,“大路建设”旗下有一家名为“元材原料”的材料供应子公司,该公司发现几名员工的个人财务资料在网上遭公开发布。为了员工安全,主管决定报警求助。经警方调查发现黑客入侵的手法与“大路建设”的案件十分相似,因此引起调查人员怀疑两起案件有所关联。
经调查后,警方拘捕了“常威”和“特普”两名本地男子,怀疑他们与本案有关。警方在搜查他们的住宅及公司后,扣押了数台数码设备,请分析以下电子数据并重建电子数据痕迹,以确认“常威”和“特普”在本案中是否有违法犯罪,并还原事件经过。
一、与“ 大路建设”相关的资料
| 编号 | 详情 | 档案路径 |
| 1. | 工地职员A的办公室计算机的电子数据 | \\Meiya Cup 2021\\image\\StaffA_computer |
| 2. | 工地职员B的办公室计算机的电子数据 | \\Meiya Cup 2021\\image\\StaffB_computer |
二、与“ 元材原料”相关的资料
| 编号 | 详情 | 档案路径 |
| 1. | 网页服务器的电子数据 | \\Meiya Cup 2021\\image\\Yuen_Choi_Webserver |
三、与“常威”相关的资料
| 编号 | 详情 | 档案路径 |
| 1. | 常威的背景资料 | \\Meiya Cup 2021\\调查报告\\常威\\常威的背景资料.PDF |
| 2. | 常威调查报告 | \\Meiya Cup 2021\\调查报告\\常威\\常威调查报告.PDF |
| 6. | 常威手机的电子数据 | \\Meiya Cup 2021\\image\\Wai\\Wai phone |
| 7. | 常威USB设备的电子数据 | \\Meiya Cup 2021\\image\\Wai\\Wai USB |
| 8. | 常威Windows计算机的电子数据 | \\Meiya Cup 2021\\image\\Wai\\Wai_Windows_Computer |
| 9. | 常威矿机的电子数据 | \\Meiya Cup 2021\\image\\Wai\\HIVE OS |
| 10. | 常威无人机的电子数据 | \\Meiya Cup 2021\\image\\Wai\\Wai Drone |
| 11. | 常威无人机內存储卡的电子数据 | \\Meiya Cup 2021\\image\\Wai\\Wai DJI Drone SD Card |
| 12. | 常威MAC计算机的电子数据 | \\Meiya Cup 2021\\image\\Wai\\Wai_MacBook |
| 13. | 常威LINUX计算机的电子数据 | \\Meiya Cup 2021\\image\\Wai\\Wai_Linux\\Wai_Linux1 |
四、与“特普”有关的资料
| 编号 | 详情 | 档案路径 |
| 14. | 特普的背景资料 | \\Meiya Cup 2021\\调查报告\\特普\\特普的背景资料.PDF |
| 15. | 特普调查报告 | \\Meiya Cup 2021\\调查报告\\特普\\特普调查报告.PDF |
| 16. | 特普Windows计算机的电子数据 | \\Meiya Cup 2021\\image\\DaK Pou\\Dak Pou Windows |
| 17. | 从特普Windows计算机存储器提取的镜像文件 | \\Meiya Cup 2021\\image\\DaK Pou\\Dak Pou Windows_memdump |
| 18. | 特普手机的电子数据 | \\Meiya Cup 2021\\image\\DaK Pou\\Dak Pou phone |
大路建设
工地职员A的办公室计算机
1. [填空题] 工地职员A计算机的修复密钥标识符是什么?(请以大写英文及阿拉伯数字输入答案,不要输入”-“) (1分)
230C1BB3106A4E4EBF5D3D10961585D4
2. [填空题] 工地职员A计算机的修复密钥解除锁定是什么?(请以数字输入答案,不要输入”-“) (1分)
483714461582060962373351019646502348309628684431
在个人赛的FTP服务器里面,483714-461582-060962-373351-019646-502348-309628-684431
3. [单选题] 工地职员A的计算机被什么程式加密? (1分)
A. Ransomware
B. BitLocker
C. AxCrypt
D. PGP
E. FileVault 2
B
4. [单选题] 工地职员A的孩子有可能正准备就读什么学校? (2分)
A. 小学
B. 中学
C. 幼儿园
D. 大学
C
5. [多选题] 工地职员A并没有打开过哪一个档案? (2分)
A. Staff3.xlsx
B. Staff4.xlsx
C. Staff1.xlsx
D. Staff2.xlsx
E. BTC address.bmp
ABD
6. [填空题] 工地职员A的计算机被远程控制了多少分钟?(请以阿拉伯数字回答) (2分)
11
开始时间:2021-10-18 18:42:30,结束时间:2021-10-18 18:53:46,11分16秒
7. [单选题] 工地职员A的计算机被加密后,被要求存入的虚疑货币是什么? (1分)
A. 比特币现金
B. 比特币
C. 以太币
D. 泰达币
B
第5题的选项BTC address.bmp
8. [填空题] 在工地职员A的计算机曾经打开过的Excel档案中,有多少人有可能在法律部门工作?(请以阿拉伯数字回答) (1分)
22
查post是legal的
工地职员B的办公室计算机
恢复密钥串575025-204820-336325-067067-589996-389829-603361-712272
9. [多选题] 工地职员 B 的计算机在什么日期和时间被黑客控制? (2分)
A. 2021-10-19
B. 2021-09-16
C. 11:16:41 (UTC +8:00)
D. 05:55:50 (UTC +8:00)
E. 18:40:06 (UTC +8:00)
E
10. [填空题] 工地职员 B 的计算机的MAC Address是什么? (请以大写英文及数字输入答案) (1分)
000C29E2532D
11. [填空题] 工地职员 B 的计算机用户FaFa的 Profile ID 是什么?(请以大写英文及数字输入答案,不要输入”-“) (1分)
S-1-5-21-1634007002-1203460028-4027450868-1001
12. [填空题] 工地职员 B 的办公室计算机的 Windows CD Key 是什么?(请以大写英文及数字输入答案,不要输入”-“) (1分)
VK7JG-NPHTM-C97JM-9MPGT-3V66T
Win+R打开运行,然后输入regedit,然后打开计算机\\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SoftwareProtectionPlatform,找到BackupProductKeyDefault并双击打开,里面的数值数据就是你电脑的Windows密钥
作者:鸭鸭工作室 https://www.bilibili.com/read/cv13568021 出处:bilibili
13. [单选题] 检查过工地职员 B 的计算机登录档后(Window Registry),计算机感染了什么恶意软件? (2分)
A. Adware
B. Worms
C. Rootkits
D. 没有感染任何恶意软件
D
14. [单选题] 工地职员B的计算机中被加密硬盘内的图片”_120778782_58759559.jpg”,有可能是从下列哪个的途径载入计算机? (1分)
A. 电邮下载附件
B. USB盘
C. 网上下载
D. 蓝芽传入
E. Direct-link
C
15. [多选题] 工地职员 B 的计算机中被加密硬盘内的图片中,人物中衣着有什么颜色? (2分)
A. 黄色
B. 红色
C. 紫色
D. 蓝色
E. 绿色
BE
16. [填空题] 工地职员 B 的计算机有多少个磁盘分区?(请以阿拉伯数字输入答案) (1分)
5
17. [填空题] 工地职员 B 的计算机硬盘分割表是什么?(答案请以首字母大写作答) (2分)
GPT
磁盘-内容-硬盘-内容-更新
18. [填空题] 在 工地职员 B 的计算机Event Log中最后登入时services.exe的Process ID是什么?(请以阿拉伯数字输入) (3分)
1833
不知道
元材原料
网页服务器
19. [填空题] 甚么IP曾经上传档案到网页服务器? (请以阿拉伯数字回答,不用输入”.“) (2分)
20314594120
20. [多选题] 承上题,以下哪试档案曾被上传到网页服务器? (3分)
A. kjk2.jpg
B. kjk2.php
C. b6778k-9.0.php
D. b374k-2.5.php
E. d374k-2.5.php
ABD
见上题图
21. [单选题] 入侵者可能使用甚么漏洞进行入侵网页服务器? (1分)
A. 文件上传漏洞
B. SQL 注入
C. 跨站脚本攻击
D. 格式化字符串弱点
A
上面两题都是关于文件传输的,还有一个uploader.php,推断是文件上传漏洞
22. [多选题] 在网页服务器找到的所有文件档(doc 及 docx)中,有以下哪些文件制作人(Author)? (2分)
A. Kevin L. Brown
B. Peter R. Lee
C. Mary
D. May
E. Colin
AC
23. [多选题] 在网页服务器中,哪个是可疑档案?它如何取得计算机控制权? (3分)
A. 可疑档案: b6778k-9.0.php
B. 可疑档案: b374k-2.5.php
C. 可疑档案: upload.php
D. 透过浏览器远程管理取得计算机控制权
E.透过PuTTY(远程登录工具) 取得计算机控制权
BD
只有zb374k-2.5.php是恶意木马
搜了下b374k-2.5.php,选D
24. [填空题] 在网页服务器中,运行可疑档案需要密码,其密码的哈希值(Hash Value)是甚么? (请以英文全大写及阿拉伯数字回答) (3分)
0DE664ECD2BE02CDD54234A0D1229B43
25. [单选题] 在网页服务器中,可疑档案的译码函数是甚么? (2分)
A. unzip_file('$x,$y')
B. gzdecode (base64_decode($x))
C. gzinflate(base64_decode($x))
D. 以上皆否
C
26. [填空题] 解压后的脚本档的档案大小是多少? (请以字节及阿拉伯数字回答) (3分)
109,041
感恩wzx和base64+gzinflate压缩编码(加密)文件_北方的刀郎的博客-CSDN博客_gzinflate
把编码带入运行脚本,得到解密后的代码
27. [多选题] 解压后的脚本文件内有甚么功能? (3分)
A. 编辑文件
B. 删除文件
C. 更改用户密码
D. 加密文件
E. 重新命名文件
ABE
B374K PHP WEBSHELL:一款简单却功能强大的远程管理工具_terry_air的博客-CSDN博客
28. [单选题] 解压后的脚本含有压缩功能,当中使用的解压方法是甚么? (2分)
A. PclZip.php
B. Unzip_gz()
C. ZipArchive()
D. 以上皆否
C
只找到了ZipArchive()
特普
手机
29. [多选题] 特普的电话中一张于2021年09月30日 10:45:12拍摄的相片包含以下哪些字? (1分)
A. 精忠
B. 报国
C. 忠诚
D. 勇毅
CD
30. [多选题] 特普的电话中的whatsapp账号85268421495@s.whatsapp.net中,有哪些其他人的WhatsApp用户数据记录? ) (2分)
A. 85222117188@s.whatsapp.net
B. 85289853825@s.whatsapp.net
C. 85264795287@s.whatsapp.net
D. 85231882226@s.whatsapp.net
AD
General前面+85
31. [单选题] 特普电话的热点分享密码是什么? (1分)
A. 12345678
B. 69447401bceb
C. Jioijo4542554
D. Dak Pou Home
B
32. [多选题] 特普于经纬度22.278843, 114.165783,没有做什么? (2分)
A. 拍影片
B. 拍照
C. 使用google map
D. 在Whatsapp中分享实时位置
ACD
33. [多选题] 特普于电话中安装了一个可疑软件(版本为2020033001),跟据该可疑软件的安装档,下列哪项描述正确? (2分)
A. 软件名称是安全防护
B. 软件名称是安心回家
C. 软件签名(signAlgorithm)以 SHA512withRSA加密
D. 封包名称(packageName)是org.chromium.webapk.a5b80edf82b436506_v2
A
源文件是userdata (ExtX)/Root/app/www.icthna.net-1/base.apk/androidManifest.xml,跳转到源文件,AndroidManifest.xml中没看出有啥,把apk导出(不展开直接,另存为)
扔进雷电APP中分析,软件名称是安全防护,A对
签名算法是SHA256-RSA,C错
应用包名是www.icthna.net,D错
34. [多选题] 特普于电话中安装了一个可疑软件(版本为2020033001),跟据该可疑软件的安装档,可疑软件中涉及以下安全许可? (2分)
A. android.permission.READ_SMS读取短信内容
B. android.permission.SEND_SMS发送短信
C. android.permission.READ_CONTACTS读取联系人
D. android.permission.BLUETOOTH使用蓝牙
E. android.permission.CLEAR_APP_CACHE清除应用缓存
ABC
35. [填空题] 特普可能在电话中被可疑软件窃取了的验证码是什么? (请以英文全大写及阿拉伯数字回答) (2分)
113476
计算机
36. [填空题] 特普的计算机可能中了病毒,病毒的加壳(Packing)方法是甚么? (请以英文全大写作答) (2分)
UPX
最近浏览文件中翻了一下
在Downloads中找到一个malware.exe
查壳
37. [单选题] 特普的计算机可能中了病毒,病毒的编译工具是甚么? (2分)
A. GCC
B. Borland
C. TCC
D. Microsoft Visual C/C++
D
upx脱壳后查壳,是C++
38. [填空题] 特普的计算机可能中了病毒,病毒的编译者使用可能使用的账户名称是甚么? (请以英文全大写作答) (3分)
GPGF
把malware.exe扔进IDA里面(在IDA View-A 窗口中 , 按下 Shift + F12 快捷键 , 会显示字符串窗口 Strings window , 该窗口中显示常量字符串【Android 逆向】IDA 工具使用 ( IDA 32 位 / 64 位 版本 | 汇编代码视图 IDA View-A | 字符串窗口 Strings window )_韩曙亮的博客-CSDN博客_ida string窗口),第二行的C:\\\\Users\\\\gpgf\\\\Desktop\\\\malware\\\\Release\\\\malware.pdb里可以看到账户名称gpgf
39. [单选题] 特普的计算机可能中了病毒,病毒的自我复制位置是甚么? (2分)
A. C:\\Temp\\temp.txt
B. C:\\Users\\<profile>\\Desktop\\malware.exe
C. C:\\Users\\public\\malware.exe
D. C:\\a.txt
C
在imports界面中发现copyfile函数,拷贝文件函数
双击跳转
绿色的再跳转,感谢wzx
40. [单选题] 特普的计算机可能中了病毒,病毒的修改登录文件位置是甚么? (3分)
A. HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
B. HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
C. HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ProfileList
D.HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Authentication\\LogonUI\\Background
D
修改登录文件位置需要修改注册表,在imports中发现以下函数,以下解析来自ke_yi_
RegSetValueEx函数在注册表项下设置指定值的数据和类型
RegOpenKeyEx函数打开指定的注册表项
RegCloseKey释放一个对指定注册表项的句柄
双击跳转
跳转到004013BC
41. [多选题] 特普的计算机可能中了病毒,病毒留下了ASCII ART(ASCII艺术, 文字图),以下哪个不是病毒留下? (3分)
A. HI
B. HELLO
C. HOW ARE YOU
D. GOODBYE
ACD
emm,hello
42. [单选题] 特普的计算机可能中了病毒,病毒扰乱文件目标文件名是甚么? (2分)
A. C:\\Users\\<profile>\\Documents\\target.txt
B. C:\\Users\\<profile>\\Desktop\\target.txt
C. C:\\c.txt
D. C:\\temp.txt
B
直接搜索了一下C:\\
不太懂为啥选B
43. [单选题] 特普的计算机可能中了病毒,病毒扰乱文件方法是甚么? (3分)
A. + 3
B. XOR 5
C. + 4
D. – 4
A
不懂为啥
计算机内存镜像
44. [填空题] 特普的计算机中,哪一个是 FTK Imager.exe 的程式编号(PID)? (请阿拉伯数字回答) (1分)
6136
volatility
45. [多选题] 特普的计算机中,cmd.exe (PID: 4496) 它的执行日期及时间是? (1分)
A. 2021-10-17
B. 2021-10-18
C. 2021-10-19
D. 10:42:51
E. 10:43:09
F. 10:43:25
CE
2021-10-19 10:43:09 UTC+0000
46. [填空题] 特普的计算机曾经以FTP 对外连接,连接的IP是? (请以阿拉伯数字回答,不用输入".") (2分)
12421717974
124.217.179.74
M:\\Group (including individual)\\Meiya Cup 2021 (all)\\image\\DaK Pou\\Dak Pou Windows_memdump>volatility -f Vtm-computer-memdump.mem --profile=Win10x86 netscan
Volatility Foundation Volatility Framework 2.6
Offset(P) Proto Local Address Foreign Address State Pid Owner Created
0x8e4f6a68 TCPv4 192.168.1.64:62027 23.200.142.82:443 CLOSED 452 explorer.exe
0x8eebba00 UDPv4 127.0.0.1:512 *:* 3768 svchost.exe 2021-10-19 10:48:44 UTC+0000
0x8eeee4f8 TCPv4 192.168.1.64:61979 124.217.179.74:80 CLOSED 1232 svchost.exe
0x8f6c2300 TCPv4 192.168.1.64:61838 104.21.22.84:443 CLOSED 2946991988
0x90226748 UDPv6 ::1:5888 *:* 3768 svchost.exe 2021-10-19 10:48:44 UTC+0000
0x90566190 TCPv4 192.168.1.64:62064 104.79.121.189:80 CLOSED 1232 svchost.exe
0x92f850f8 TCPv4 192.168.1.64:61828 13.225.93.22:443 CLOSED 2946991988
0x94818b80 TCPv4 192.168.1.64:61793 104.212.68.135:443 CLOSED 2946991988
0x9ea1e678 TCPv4 192.168.1.64:61787 104.18.7.51:443 CLOSED 2946991988
0x9ea3d9b0 TCPv4 192.168.1.64:61958 40.126.35.128:443 CLOSED 1232 svchost.exe
0x9eaae318 TCPv4 192.168.1.64:62023 23.78.217.190:80 CLOSED 452 explorer.exe
0x9eb3a888 TCPv4 192.168.1.64:61894 117.18.237.29:80 CLOSED 2946991988
0xa0ed3628 UDPv4 127.0.0.1:512 *:* 0 `D? 2021-10-19 10:48:13 UTC+0000
0xa182bd58 UDPv4 192.168.1.64:512 *:* 3768 svchost.exe 2021-10-19 10:45:44 UTC+0000
0xa1921df0 TCPv4 192.168.1.64:62071 23.77.28.235:443 CLOSED 1232 svchost.exe
0xa19c9468 TCPv4 192.168.1.64:62029 23.200.142.82:443 CLOSED 452 explorer.exe
0xa3d47be0 TCPv4 192.168.1.64:62013 124.217.179.74:80 CLOSED 1232 svchost.exe
0xabdfb3f0 UDPv4 0.0.0.0:0 *:* 1256 svchost.exe 2021-10-19 10:47:07 UTC+0000
0xabd12488 TCPv4 192.168.1.64:61969 52.254.114.65:443 CLOSED 1232 svchost.exe
0xabda6bd8 TCPv4 192.168.1.64:61961 124.217.179.74:80 CLOSED 1232 svchost.exe
0xafa31680 UDPv4 0.0.0.0:0 *:* 1172 svchost.exe 2021-10-19 10:48:44 UTC+0000
0xafa31680 UDPv6 :::0 *:* 1172 svchost.exe 2021-10-19 10:48:44 UTC+0000
0xafa51830 UDPv4 127.0.0.1:512 *:* 0 `D? 2021-10-19 10:47:21 UTC+0000
0xafb51748 UDPv4 0.0.0.0:0 *:* 1232 svchost.exe 2021-09-20 03:08:38 UTC+0000
0xafba0288 UDPv6 ::1:5888 *:* 3768 svchost.exe 2021-10-19 10:48:44 UTC+0000
0xafa3edf0 TCPv4 192.168.1.64:61788 54.230.85.10:443 CLOSED 2946991988
0xafb11988 TCPv4 192.168.1.64:62068 23.77.28.235:443 CLOSED 1232 svchost.exe
0xafb513e0 TCPv4 192.168.1.64:62069 20.190.163.19:443 CLOSED 1232 svchost.exe
0xb569dad8 UDPv4 127.0.0.1:512 *:* 3768 svchost.exe 2021-10-19 10:48:44 UTC+0000
0xb57ad7d8 TCPv4 192.168.1.64:62079 157.55.109.226:80 CLOSED 1572 OneDrive.exe
0xb57fdbc8 TCPv4 192.168.1.64:61966 124.217.179.74:80 CLOSED 1232 svchost.exe
0xb62c3df0 TCPv4 192.168.1.64:62073 20.190.163.19:443 CLOSED 1232 svchost.exe
0xd2487170 TCPv4 192.168.1.64:61925 54.192.19.207:80 CLOSED 4824 SearchUI.exe
0xd25043f0 TCPv4 192.168.1.64:61928 13.226.123.102:80 CLOSED 4824 SearchUI.exe
0xe77e2350 TCPv4 192.168.1.64:61944 124.217.179.74:443 CLOSED 1232 svchost.exe
0xef1161c0 TCPv4 192.168.1.64:61869 13.225.96.50:443 CLOSED 2946991988
0xef119708 TCPv4 192.168.1.64:61899 104.16.14.243:443 CLOSED 2946991988
0xef122b28 TCPv4 192.168.1.64:61862 104.18.6.51:443 CLOSED 2946991988
0xef131ad0 TCPv4 192.168.1.64:61901 34.96.81.209:443 CLOSED 2946991988 47. [多选题] 特普的计算机中,以下哪一个指令于上述连接中有使用过? (3分)
A. get
B. put
C. delete
D. bye
E. quit
BD
get:将文件从远端主机中传送至本地主机中
put:将本地个文件传送至远端主机中
delete:删除文件
bye:中断与服务器的连接
quit:结束与服务器的FTP会话并退出FTP环境
详见:ftp常见命令大全_xlg1128的博客-CSDN博客_ftp命令、Windows命令之ftp命令_恒悦sunsite的博客-CSDN博客_windowsftp命令
48. [多选题] 在Linux 的"Volatility" 中,哪一个指令可以知道此程式支持哪一个Windows 版本? (2分)
A. vol.py --profile
B. vol.py --systeminfo
C. vol.py --info
D. vol.py --verinfo
AC
常威
手机
49. [填空题] 常威手机中的Telegram有可能是在2021年9月24日_____时44分58秒 (UTC +8) 首次下载的。(请以阿拉伯数字输入答案) (2分)
12
2021/9/24 4:44:58(UTC+0)+8=2021/9/24 12:44:58(UTC+0)
50. [填空题] 常威手机曾经连接的无人机名称是什么?(请以英文全大写及阿拉伯数字回答) (1分)
SSPARK
DJI Go 4无人机操纵软件
51. [填空题] 常威手机中,档案“dji1633936161416.mp4”的解像度是 ________________ (例如是1920 x 1280,请输入 19201280)。 (1分)
1280720
找到文件路径Image16 (ExtX)/Root/media/0/DCIM/DJI/dji1633936161416.mp4
根据路径导出视频,1280、720
52. [填空题] 常威手机中,发现于网络上下载的软件“安心出行”安装档的哈希值(MD5)是?(请以英文全大写及阿拉伯数字回答) (2分)
81C342665D9A8D4D02B0FBB7033167B5
找到文件路径Image16 (ExtX)/Root/app/hk.gov.ogcio.leavehomesafe-1/base.apk
保存成apk
扔进雷电APP
53. [多选题] 常威手机中执行软件“安心出行”(版本2.1.3)中涉及以下安全许可? (2分)
A. android.permission.ACCESS_WIFI_STATE 获取WiFi状态
B. android.permission.BATTERY_STATS电量统计
C. android.permission.VIBRATE使用振动
D. android.permission.CONTROL_LOCATION_UPDATES控制定位更新
E. ndroid.permission.CAMERA拍照权限
CE
在AndroidManifest.xml里把选项带入查找,只找到了CE
54. [多选题] 常威手机中软件“安心出行”(版本2.1.3)的安装档(.apk)中,哪个不是它的签名算法? (3分)
A. MD5withRSA
B. SHA256withRSA
C. SHA256withDSA
D. MD5withDSA
ACD
55. [多选题] 于常威的手机中执行软件“安心出行”(版本1)可能会连接至哪一个网站? (2分)
A. https://back-home-****.pages.dev
B. org.chromium.******.a5b80edf82b436506
C. org.chromium.******.a5b80edf82b436506_v2
D. https://back-home-****.pages.dev/manifest.json
AC
版本1的安装包我不知道怎么提取,只找到了C项
USB
56. [单选题] 在常威苹果手提计算机, 用户开机密码是什么 ?(提示:常威 USB 设备中可能有相关数据) (3分)
A. C**sthegoa*
B. Draw**fgd*f
C. Co*kkfid*dd
D. App*is*won
A
先数据恢复再重新取证,cpisthegoat
57. [填空题] 在常威U 盘内有多少磁盘分隔区 ? (请以阿拉伯数字回答) (2分)
4
不会
58. [填空题] 在常威U 盘内有多少份excel 文件 ? (请以阿拉伯数字回答) (1分)
1
59. [填空题] 在常威U 盘内, 内含有多少个客户数据 ? (请以阿拉伯数字回答) (1分)
50
60. [多选题] 以下哪个客户数据储存在常威U 盘内 ? (3分)
A. jmuat1@reference.com
B. cgeraudg@forbes.com
C. cwarmishamo@admin.ch
D. abddfdf@google.com
E. alex1234@apple.com
ABC
MAC计算机
61. [单选题] 常威MAC计算机上一个系统版本是甚么及现正运行哪一个版本的系统? (3分)
A. MacOS 10.11.6 and MacOS 11.6
B. MacOS 10.11.5 and MacOS 11.5
C. MacOS 10.11.4 and MacOS 11.6
D. 以上皆非
A
上一个系统版本信息查看\\Chris - Data:\\root\\private\\var\\db\\PreviousSystemVersion.plist,来自官方wp
62. [多选题] 常威MAC计算机的系统事件纪录内哪个卷标(Flag)是关于储存档案于计算机? (3分)
A. Created
B. InodeMetaMod
C. FinderInfoChanged
D. IsDirectory
E. OwnerChanged
ABCE
不太懂
63. [多选题] 常威MAC计算机曾连接哪一个无线网络SSID? (2分)
A. wai wifi
B. wanchainew1
C. central2
D. Hongkong1
AB
airport
64. [单选题] 常威MAC计算机的使用者甚么时候将”隔空投送”(airdrop)转换至任何人模式? (2分)
A. 2021-10-21 16:52:48 (UTC +8)
B. 2021-10-21 18:52:48 (UTC +8)
C. 2021-10-21 06:52:48 (UTC +8)
D. 2021-10-21 08:52:48 (UTC +8)
不知
65. [填空题] 常威MAC计算机的APFS储存容器的文件签名是________,偏移值为______(例如NTFS及64,请输入 NTFS64)。 (2分)
NXSB32
66. [单选题] 常威MAC计算机的镜像档案内,总共有多少个系统默认的卷标? (1分)
A. 4
B. 5
C. 6
D. 7
B
67. [填空题] 常威MAC计算机的使用者上一次关闭浏览器时,正在浏览多少个网页? (请以阿拉伯数字回答) (3分)
10
68. [多选题] 常威MAC计算机中以下哪个档案并不是iPhone所拍摄的图片? (2分)
A. IMG_0002
B. IMG_0003
C. IMG_0004
D. IMG_0005
E. IMG_0006
AD
矿机
69. [多选题] 在常威的矿机没有进行哪种加密货币掘矿 ? (2分)
A. Bitcoin
B. Ethereum
C. RVN
D. Dodge
E. ENJ
ACDE
找到了Phoenix Miner
找到的Phoenix Miner日志文件,导出,是Eth
70. [填空题] 在常威矿机有几张显示适配器进行掘矿 ? (请以阿拉伯数字回答) (1分)
2
日志文件中两张显卡
71. [单选题] 在常威矿机, hive OS 操作系统是什么版本 ? (1分)
A. 5.4.0 *****
B. 6.0.1 *****
C. 7.0.2 *****
D. 10.0.2*****
E. 15.1.2*****
A
仿真,然后uname –a
72. [多选题] 在常威矿机中, 哪个不是收取掘矿收益的加密货币钱包地址 ? (1分)
A. 0xE365625f4**537151304ceba7C7D9dF0C7E829**
B. 0xe68de863f4c3c3cc0**191b9cefdae91b3e6fbd8**
C. 0x00000000897**f4136b4a59731680a88f895303**
D. 0x7335c**20f9533d9cc825e2a6e80821fd44e27f8**
E. 0x00**000089705f4136b4a59731680a88f895303**
BCDE
搜索wallet, 0xE365625f402537151304ceba7C7D9dF0C7E82986
73. [单选题] 在常威矿机中, 用于掘矿登入密码是什么 ? (2分)
A. eg97em**wm
B. Deg97em**wm
C. feg97em**wm
D. eeg97em**wm
E. heg97em**wm
A
参考2021美亚杯团体赛write up(更正版)_元元努力向上的博客-CSDN博客 ,在rig.conf中找到,1eg97emvzwm
74. [填空题] 在常威矿机中,用于掘矿Nvidia显示适配器所使用的驱动程式使用什么版本?(请以英文全大写及阿拉伯数字回答) (1分)
4609103
75. [多选题] 在常威矿机中, 用于掘矿显示适配器型号包括什么? (2分)
A. GeForce RTX 3060
B. Quadro P2000
C. RX 6600
D. GeForce GTX 1660 Ti
E. GeForce GTX 3070
AB
76. [多选题] 在常威矿机, 哪一天没有进行掘矿? (2分)
A. 2021-10-06
B. 2021-10-09
C. 2021-10-15
D. 2021-10-17
E. 2021-10-18
BCDE
矿机的日志里面只有2021-10-06
无人机
77. [填空题] 常威的无人机中的飞航纪录_________.DAT可见到于2021年10月11日1505时的GPS地点。(请以英文全大写及阿拉伯数字回答) (1分)
FLY096
78. [单选题] 常威的无人机于2021年10月11日15:07:51时之间所在的地点是什么? (1分)
A. 22.269299, 114.200486
B. 22.269353, 114.287267
C. 22.346855, 114.289552
D. 22.269293, 114.201278
D
D与22.269316, 114.201263, 288.746307最接近
79. [填空题] 常威的无人机哪一个档案有最后降落时间的数据(请以英文全大写及阿拉伯数字回答,不用输入".")? (1分)
FLY096DAT
手机
80. [多选题] 常威的手机中哪一个是由常威的无人机于2021年10月11日所拍摄的图像文件? (2分)
A. Containers 货柜
B. Buildings 大厦
C. bicycle 单车
D. Mountain 山
ABD
找到源文件位置Image16 (ExtX)/Root/media/0/DJI/dji.go.v4/FlightRecord/DJIFlightRecord_2021-10-11_[15-06-39].txt
跳转过去后,找到一些图片,山、货柜
大厦
81. [填空题] 常威的手机中显示常威的无人机DJI GO 4的版本是4.3.___?(请以阿拉伯数字回答) (1分)
37
直接搜索DJI,然后跳转到应用程序
82. [多选题] 常威的手机中所安装的DJI GO 4 软件中,以下哪个database没有显示临时禁飞区? (2分)
A. Filesflysafe_app.db
B. Special_warning.db
C. Flysafe_app_dynamic_areas.db
D. Flysafe_polygon_1860.db
ABD
只有C搜到了有
83. [填空题] 常威的手机中在__________.db可知道DJI GO 4 的登入电子邮件(请以英文全大写及阿拉伯数字回答) (1分)
Localappstate
找到源文件路径,Image16 (ExtX)/Root/data/com.android.vending/databases/localappstate.db
跳转到源文件,找到电子邮件
84. [填空题] 常威的手机中在__________.db包含了名为server_timestamp 的资料(请以英文全大写及阿拉伯数字回答) (1分)
Flysafe_app_dynamic_areas
见82题图
windows计算机
85. [单选题] 常威利用Windows 计算机中的VM Kali进行攻击和收取受害人电话的数据,请找出常威的VM存放地址 (2分)
A. Users\\Chris Paul\\Desktop\\安全防护 Malware\\Kali-Linux-2020.2a-amd64_2.vmwarevm
B. \\Users\\Chris Paul\\Desktop\\安全防护 Malware Demo\\Kali-Linux-2020.2a-amd64_2.vmwarevm
C. \\Users\\Chris Paul\\Documents\\安全防护 Malware \\Kali-Linux-2020.2a-amd64_2.vmwarevm
D. \\Users\\Chris Paul\\Documents\\Virtual Machines
A
直接搜
86. [单选题] 常威在收集数据后储存数据于Windows 计算机一个名为"text2.txt"的档案中,随后他将档案移往"\\home\\kali\\Desktop\\project\\"中, 下述哪个档案可以证明这一点? i) \\root\\.bash_history ii) \\home\\kali\\.bash_history (3分)
A. 只有 i
B. 只有ii
C. 两个也可以
D. 两个也不可以
D
不知
87. [单选题] 常威Windows计算机中哪一个程式/档案有可能用作收取受害人电话上的数据? (3分)
A. \\home\\kali\\Desktop\\server_express_ok.js
B. \\home\\kali\\Desktop\\baddish\\package.json
C. \\home\\kali\\Desktop\\baddish\\server.js
D. \\home\\kali\\Desktop\\server.js
C
在Kali-Linux-2020.2a-amd64_2.vmwarevm文件夹中,找到任一以vmdk为扩展名的文件,右键-虚拟磁盘解析,能够将虚拟机直接挂载成证据文件,然后使用对其进行自动取证,在终端记录中可以知道,先进入Desktop/baddish/,在执行server.js,生成test.txt(参考官方wp)
server.js
收集的数据
88. [多选题] 常威Windows计算机中显示常威第一次偷取受害人电话数据有机会是在哪一个日子及时间登入 Kali 系统? (2分)
A. 2021-09-27
B. 2021-09-29
C. 2021-09-29
D. 11:42:47
E. 16:04:24
F. 16:30:04
AF
登入kali系统运行虚拟机
89. [多选题] 常威Windows计算机中以下哪一个檔案的哈希值(MD5)能证明常威曾开启存有客户数据的档案? (2分)
A. 0ED1DB00F8598AD3C6B331BF0C477AD4
B. 1E1BDB083F66251A63B79DEA3801E6E9
C. 575326396E31040FE2E13BE42C55C3E2
D. 3128604B4A9EC1D37418942555F6B08A
E. FB5EF33EDEA8ECB5BF07C5DF5332D29F
C
最近浏览里面有客户资料.xlsx
客戶資料.xlsx的MD5值:21CD88843C1DF6A859D4D50AE85E564D
客戶資料.lnk的MD5值:575326396E31040FE2E13BE42C55C3E2
90. [单选题] 常威 Windows 计算机中,哪一个档案可以找到USB装置初次连接的时间? (1分)
A. C:\\Windows\\setupapi.log
B. C:\\Windows\\setupapi.setup.log
C. C:\\Windows\\INF\\setupapi.setup.log
D. C:\\Windows\\INF\\setupapi.dev.log
C
91. [单选题] 常威 Windows 计算机接驳了一个3D 打印机,以下哪一个哈希值是属于上述打印机的驱动程式文件中的安装信息文件(INF檔)? (提示:关键词包含CH341) (3分)
A. 1348FA38956*****1770D7C3E63545BC
B. DBC4F08F835*****FF95420B352B506A
C. 35E7C67A652*****611EDE19C37241C5
D. BAE3BE76CC1*****31EB562ABAFE28DE
C
直接搜
是oem22.inf,MD5值:35E7C67A6522DED6611EDE19C37241C5
92. [填空题] 续上题,上述安装信息文件的版本日期是什么? (请以阿拉伯数字,及以下格式回答,例: 2019年3月4日,请回答20190304) (1分)
20190130
93. [多选题] 常威Windows计算机安装了一些与3D 打印机有关的软件,有可能是以下哪个? (1分)
A. Ultimaker Cura
B. 3DPrinterOS
C. Simplify3D
D. Creality Slicer
AD
94. [单选题] 续上题,哪一个档案记录了切片软件Creality Slicer曾经开启的3d立体模块(.stl)纪录? (1分)
A. \\Users\\Chris Paul\\AppData\\Roaming\\Creality Slicer\\stderr.log
B. \\Users\\Chris Paul\\AppData\\Roaming\\Creality Slicer\\stdout.log
C. \\Users\\Chris Paul\\AppData\\Roaming\\Creality Slicer\\4.8\\Creality Slicer.cfg
D. \\Users\\Chris Paul\\AppData\\Roaming\\Creality Slicer\\4.8\\Creality Slicer.log
D
Loaded plugin加载的插件
stderr.log,不太了解,排除不了
stdout.log,看着不像,排除
Creality Slicer.cfg
Creality Slicer.log,看着不像,排除
95. [多选题] 续上题,哪一个3d立体模块(.stl)曾用切片软件Creality Slicer开启? (2分)
A. clip_sideb.stl
B. frame.stl
C. trigger.stl
D. hand_guard.stl
AB
linux计算机
96. [填空题] 哪一个是Wai_Linux1.E01 鉴证映像中Linux LVM 磁盘分区的长度? (请以阿拉伯数字回答) (1分)
233388976
fdisk -l
97. [填空题] 常威 LINUX 计算机安装在逻辑卷管理(Logical Volume Manager)的磁盘分区上, 哪一个是卷组(Volume group) 的通用唯一标识符(UUID)? (请以英文全大写及阿拉伯数字回答,不用输入”-“) (1分)
FEKVK3TY1TLUIR2G8LYQ3MVNRVUVZOSL
98. [多选题] 续上题,哪一个是逻辑卷(Logical Volume )设定的名字? (2分)
A. swap
B. root
C. var
D. home
ACD
99. [单选题] 常威 LINUX 计算机曾试用挖矿程式"T-Rex",在相关脚本(script)中哪一个是工人(worker)的名称? (1分)
A. stratum
B. rig0
C. ethash
D. E365625f402537151304ceba7C7D9dF0C7E82986
B
搜索挖矿程式"T-Rex",和ETH相关,在linux中搜索ETH
运行过./ETH-ethermine.sh
找到rig0
100. [填空题] LINUX 系统中利用fdisk 指令下,下列哪一个是 "exFAT"的磁盘分区类型编号(Partition type id)? (请以英文全大写及阿拉伯数字回答) (1分)
0X4F611C33
101. [单选题] 在Linux 的环境下,以下哪一个指令用于激活扫描到的卷组(Volume group) (1分)
A. vgscan
B. vgchange
C. vgdisplay
D. vgacti
以上是关于2021美亚团队赛复盘的主要内容,如果未能解决你的问题,请参考以下文章
第十三届蓝桥杯国赛真题 PythonB组 复盘以及获奖感言(国一!!!)
2021年第七届“美亚杯”电子数据取证个人赛Write up