2022美亚杯个人赛wp(纯文字思路)

zzpu213

于 2025-01-04 23:45:30 发布

阅读量1.8k

点赞数 30

分类专栏：取证文章标签：学习

本文链接：https://blog.youkuaiyun.com/2301_81210668/article/details/144937036

版权

取证专栏收录该内容

9 篇文章

订阅专栏

2022美亚杯个人赛wp(纯文字思路)

vc镜像密码CZDGm#&2_Ns$7wSMn%ZGr7xntcHS7d5uFta#Up9544jx_cvP$uFM7?pTDa*jN&QyFDLS8U%hx$fXN^BY$Xsj+3@F^y#4QFXb*Uq@wLmkCE7?&Yp+nX6s@hKrzpVE%v?&

为什么是纯文字wp呢？单纯因为第一次用md写wp，以为md插入不了图片，凑合看看吧。
这个wp是几个月前做的，也是我第一次完整地做了美亚杯的题目，当时全当记录做题经过了，现在发到这里，也是为了记录自己取证的学习经历

1.[单选题] 王晓琳在这本电子书籍里最后对哪段文字加入了重点标示效果(Highlight)?(2分)

A. 卿有何妙计
B. 宝玉已是三杯过去了
C. 武松那日早饭罢
D. 就除他做个强马温罢

可以直接对答案进行全局搜索或者在应用列表里面搜book，发现用的是ibook，直接去源文件里面里面找数据库，需要点时间

2.[多选题] 王晓琳的手机里有一个 MTR Mobile (港)的手机程序(Mobile App)。检视其数据库(Database) 的数据，王晓琳于2022年10月11日 22:04 时将一行程加入书签(Bookmark)，这段行程的起点及终点站包括?(2分)

A. 尖沙咀
B. 红硒
C. 康城
D. 青衣
E. 沙田

搜索mtr，到文件目录下面，注意关注library，找数据库注意要设置列，把所有列展开

3.[填空题] 王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片?(以拉伯数字回答)(1分)

这里注意需要选择文件的修改时间筛选，而不是创建时间。至于为什么，我也不知道下面这是苹果手机拍照照片存储的路径，可以直接去里面找，这里面能找到正好90张，不过也能发现里面就是有修改时间，没有创建时间。

./CameraRollDomain/Media/PhotoData/Thumbnails/V2/DCIM/101APPLE

4.[单选题] 检视王晓琳的手机照片，她于2022年10月2日到过什么地方?(1分)

A.大潭郊游径
B.城门畔塘径
C.大榄麦理浩径
D.京士柏卫理径

直接去上面的90张图片里面找，找一下就能知道在什么地方也可以尝试一下火眼的位置功能，也还行，就是不太准确

5.[单选题] 李大辉使用的是一台LG V10的手机，它的型号是什么?(1分)

A. LGH960C
B. LGH961N**
C. LGH960H
D. LGH961C
E. LGH961D

火眼直接看就行了

6.[单选题] 李大辉的手机最常搜索的类别(Category) 是什么?(1分)

A. 护肤品
B. 旅游
C. 运动
D. 学校

打开手机百度的搜索记录，直接看见里面都是面膜什么的，直接出了

7.[填空题] 李大辉最近光顾了一家美丰快运公司，这快递件的单号是什么?(不要输入符号及空白，以阿拉伯数字回答)(1分）

4567567812344567

大佬说可以看略缩图，但是我看不了。。。根据他的思路就是有略缩图没有原图，说明大概率是存在缓存里面了缓存图片可以找tmp后缀的图片，直接在全部图片搜tmp后缀的，在某个tmp文件的同目录下找到快递单号。然后这是谷歌相册的封面缓存 ./data/com.google.android.apps.photos/cache/glide_cache/

8.[单选题] 李大辉收到的电邮中有一个钓鱼链结(Phishing Link)，这个链结的地址是什么?(1分)

A. 以上皆非
B. https://bit.ly/3yeARcO
C. https://bit.ly/5vM12
D. http://bit.ly/Hell0

这个题目让我知道了火眼对邮箱的解析还需要提升啊，这点还是美亚的手机软件好用

9.[单选题] 承上题，这封电邮是从哪个电邮地址寄出的?(1分)

A. 以上皆非
B. Cavinchow456@yahoo.com
C. 2020ChanChan@hotmail.com
D. 30624700Peter@proton.me

也在这个邮件里面，手机大师的重要性出来了，今年必定有这个类型的题目，他肯定从自己的优点出题

10.[单选题] 承上题，寄出这封电邮的IP地址是?(2分)

A. 以上皆非
B. 65.54.185.39
C. 10.13.105.56
D. 58.152.110.218

这题大佬们说无解，唯一可能的是ip为香港的但是现在官方答案说是以上皆非，也没有解析看。

11.[单选题] 李大辉手机有一个orderxlsx 的档案被加密了，解密钥匙是什么?(1分)

A. 2022Nov!

B. 20221101

C. Nov2022!

D. P@sswOrd!

这个密码在很多便签上面都有出现，很快就能找到

12.[填空题]香港的街道上每一枝街灯都有编号。分析李大辉手机里的程序KMB 1933，哪一枝街灯在经度 Latitude) 22.4160270000，纬度(Longitude) 114.2139450000 附近，它的编号是什么?(以大写英及阿拉伯数字回答)(2分)

CE1453

找到kmb文件，去data里面找他的数据库，提出来写sql语句

SELECT * FROM "kmb_routestopfile_ST" WHERE lat LIKE '22.41602%' AND lng LIKE '114.21394%' lat LIKE '22.41602%'这个意思是lat近似在22.41602这个范围

13.[填空题]李大辉的手机里有一张由该手机拍的照片，照片的元资料(Metadata) 曾被修改，这张照片的档案名是什么?(以大写英文及数字回

答，不用回答副档名)(2分)

20220922_152622.JPG

照片很少，发现有一张的创建时间和修改时间不一样，猜测它被编辑过，用010editor打开，从下面的struct JPGFILE jpgfile/struct APP1 app1/struct IFD ifdMainImage打开就能找到具体的拍摄时间。但是写的是2008年，基本可以确定是这张图片了

14.[单选题] 分析李大辉的手机里的资料，他在哪一间公司工作?(2分) A

A. 美丽好化妆品公司

B. 步步高贸易公司

C. 盛大国际有限公司

D. 永恒化妆品公司

在刚刚需要密码的那个进货单旁边，都是文档/execl，可以发现他的职工证，取证需要注意这些文件比如pdf，excel，word之类

15.[填空题] 林浚熙曾经以手机登录Google账户的验证码是什么?(不要输入符号，以大写英文及阿拉伯数字回答)(1分)

G-785186

验证码，很简单生活常识，大概率在短信里面，或者在邮箱里面

16.[填空题] 林浚熙手机的 WhatsApp’ 号码是什么?(号码)@s.whatsapp.net? (以阿拉伯数字回答)(1分)

85259308538

直接去whatsapp里面找就出了

17.[单选题] 通过分析林浚熙手机的照片，判断他在何处偷拍王晓琳?(1分)

A. 交通工具
B. 郊野公园
C. 游泳池
D. 酒店房间

题目之间都是有逻辑关系的，上一题提到whatsapp，这一题肯定和whatsapp有比较大的关系。在他和王晓琳的聊天记录里面就能看见，他用偷拍威胁王晓琳，而且图片背景实在酒店的床上。

18.[填空题] 林浚熙曾经删掉自己拍摄的照片，这张照片的档案名(Filename) 是什么?(不要输入，以大写英文及阿拉伯数字回答。如Cat10.jpg，需回答CAT10JPG)(2分)

IMG0444JPG

19.[填空题] 王晓琳曾经发送一个PDF档案予林浚熙，这个档案的文件签名(File Signature) 是什么?(以十六进制数字答首八位数值，如

FOA1C5E1)(2分)

D0CF11E0

文件签名就是文件头，到时候准备一份比较全的文件头，便于线下查找

20.[填空题] 承上题，该PDF档案内包含一位曾经被肩的受害者资料。分析林熙手机的数据，这位受害者的英文名字是什么?(不要输入符号及空白，以大写英文回答)(2分)

WONGSAIPING

根据上一题的pdf文件头，可以把它改成xls或者doc等，发现xls可以打开，里面有一份名单和聊天记录里面的它发给自己的备份有一个名字是相同的，所以可以推测这个人就是被害人

21.[单选题] 分析林浚熙手机上的数据，他在2022年10月17日计划去什么地方?(2分)

A. 以上皆非
B. 荃湾站
C. 沙田站
D. 国际金融中心二期

这道题，得先分析手机里面的软件，在应用里面先选择非系统应用，因为有很多干扰，系统应用有用的都是有应用名的，比如地图、备忘录、浏览器之类的，这题可以将地图放在考虑范围里面。还有自己装的，比如Google地图，还有waze，单看这个名字可能看不懂什么，但是它的全名里面有navigation是导航的意思

于是之间去data里面搜，能搜到，数据量还是比较大的，找到user.db里面的events_places发现了一个好功能，可以之间在列名旁边的那个三横杠里面点开，可以直接转换时间戳。

于是就可以找到17号的时候，他去了沙田站。

22.[填空题] 承上题，上述行程的结束时间是?(如答案为 1:01:59，需回答 160159)(2分)

12:45:00

用了上面的转换，看的非常清楚

23.[填空题] 于林浚熙的手机里，在2022年9月1日或以后，哪一张照片是由其他手机拍摄的，而它的档案名是什么?(不要输入，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG)(2分)

IMG0446HEIC

苹果手机存储图片详情数据库路径./CameraRollDomain/Media/PhotoData/Photos.sqlite

ZADDITIONALASSETATTRIBUTES表中存储了具体的内容分析照片的ZADDITIONALASSETATTRIBUTES和其他照片都不一样可能是gps 水平精度的意思，就可以推测这张图片是其他手机拍的

可以直接看吧，什么表碰撞我也不会，可以校验两张可能图片的哈希值，一样就说明就是那张了吧

24.[单选题] 根据照片的数据库Photos.sglite) 资料，哪一个栏目标题(Column Header) 可以显示这张照片的接收方式?(2分)

A. ZRECEIVEMETHODIDENTIFIER
B. ZIMPORTEDFROMSOURCEIDENTIFIER
C. ZIMPORTEDBYBUNDLEIDENTIFIER
D. ZRECEIVEDFROMIDENTIFIER

这道题这么出，应该上面那道题就是得找这个数据库了就在刚刚那个地方，在设置列里面直接搜这四个名字，发现只有C可以搜到

ZIMPORTEDBYBUNDLEIDENTIFIER这个列下面都是各种包名，应该是说这些图片是这些包传进来的

25.[单选题] 承上题，这张照片通过什么方式接收?(2分)

A. 网页下载
B. 蓝牙传送
C. 以上皆非
D. WhatsApp软件传送
E. Signal软件传送

这题是上面题目的延续，用了这个传输方式传的，com.apple.sharingd看包名可以知道这是苹果官方的share方式，根据资料查询，这大概是NAME: sharingd -- Sharing Daemon that enables AirDrop, Shared Computers, and Remote Disc in the Finder.

SYNOPSIS: sharingd

DESCRIPTION: sharingd is used by the Finder to enable AirDrop file sharing, connecting to shared computers, and accessing Remote Discs from other computers.

26.[填空题] 承上题，这张照片原本的档案名(Original Filename) 是什么?不要输入，以大写英文及阿拉伯数字回答。如 Cat10,jpg，需回答CAT10JPG)(3分)

做不了，没思路，wp都看不懂

27.[填空题] 林浚熙手机里有一个备忘录(Notes)被上了锁，这个备忘录的名称是什么?(以大写英文及阿拉数字回答)(1分)

Halo

备忘录的数据被存储在 /AppDomainGroup-group.com.apple.notes/NoteStore.sqlite

在表 ZICCLOUDSYNCINGOBJECT 中可以看到加密情况:zippasswordprotect这个有1就说明是加密的，其中有两个备忘录都是被加密的，然后知道密码提示2-7，可以尝试弱口令爆破，太麻烦了，遂放弃只能从两个中间猜一个，下一题也做不了

真想爆破好像也得用ruby语言来写脚本

28.[填空题] 承上题，上述备忘录的内容有一串数字，它是什么?(以阿拉伯数字回答)(2分)

123456

跳过了

29.[单选题] 林浚熙计算机(Computer) 的操作系统(Operating System) 版本是什么?(1分)

A. Windows 10 Pro for Workstations 21H2
B. Windows 10 Pro 22H2
C. Windows 10 Home 21H2
D. Windows 10 Pro for Workstations 21H1

仿真起来直接去设置里面的关于里面看，或者还有一个解法就是可以去分析注册表在C://Windows/System32/config里的software文件

30.[填空题] 林浚照计算机安装了什么品牌的虚拟专用网络 Virtual Private Network - VPN)软件?(不要输入符号及空白，以大写英文及阿拉伯数字回答)(1分)

EXPRESSVPN

仿真起来，vpn就在桌面上面

31.[填空题] 承上题，分析该虚拟专用网络的日志(Log)，他在哪天安装该虚拟专用网络?(如答案为 2022-12-29，需回答 20221229)(2分)

20220915

仿真起来直接在计算机里面找Users\HEI\AppData\Local\ExpressVPN\v4\Log\ExpressVPN-installer.log就能找到安装的日期了

32.[填空题] 检视林浚照计算机的数据，他使用哪种加密货币(Cryptocurrency) 以支付虚拟专用网络软件?以大写英文回答该加密货币的全名，如 BITCOIN)(1分)

BITCOIN

可以直接去火眼在浏览器记录里面搜索，搜索到了关于用比特币支付的内容

33.[填空题] 林浚熙的加密贷钱包Cryptocurrency Wallet) 名称是什么?不要输入符号，以大写英文及阿拉伯数字回答(2分)

TELLAWIEH

第一次做的时候以为是electrum这个软件，比特币钱包这方面知识不太多原来是打开之后显示的wallet内容

34.[多选题] 林浚熙计算机里安装了哪个浏览器(Web Browser)? (1分)

A.Tor Browser
B.Microsoft Edge
C.Google Chrome
D.Opera
E.Internet Explorer

好像没必要去搜，火眼里面有这四个浏览器的解析

35.[单选题] 林浚熙使用浏览器 Google Chrome’ 曾经浏览最多的是哪个网站? (1分)

A. https://gmail.com
B. https://mail.google.com/mail
C. https://web.whatsapp.com**
D. https://facebook.com

可以考虑在google里面对每个url进行搜索，发现whatsapp搜出来的是最多的

36.[多选题] 除了上述网站,林浚熙曾使用浏览器 Google Chrome’ 搜索过什么?(1分)

A. javascript教学
B. php sql教学
C. tor教学
D. docker image教学
E. electrum教学

也是直接在goole里面对每个内容进行搜索，或者直接搜索都有的关键字教学

37.[单选题] 林浚照的计算机安装了一个通讯软件Signal’，它的用户部储存路径是什么?(1分)

A. Users\HEI\Desktop\Signal

B. Users\HEI\AppData\Roaming\Signal

C. Program Files (x86)\Signal

D. Users\user\Roaming\Signal

这个建议可以先排除几个，然后直接去路径里面找火眼里面也可以直接根据聊天记录跳转源文件，可以直接找到存储的路径

38.[填空题] 通讯软件Signa’ 采用一个档案存放用户的聊天记录，它的档案名是什么?(不要输入，以大写英文及阿拉伯数字回答。如Cat10.jpg，需回答CAT10JPG)(2分)

SQLITE

在火眼里面对聊天记录跳转是速度最快的也是最准确的方法了，也可以在上一条的目录下找一下数据库文件。

39.[填空题] 承上题，对上档案进行分析，林发熙的联络人当中有多少人安装了Siqnal?(以阿拉伯数字回答)(3分)

数据库被加密了，key在根目录的config.json文件里面，是一串十六进制密码，还得在前面加上0x

目前还没解决自己的数据库打不开加密数据库的事情，不知道为什么。

40.[填空题] 林浚熙在“Signal’ 曾经与某人对话，那人的手机号码是什么? 需要与区码(Area Code) 一同答(以阿拉伯数字3分)

85270711901

火眼打开直接就能看了

41.[多选题] 承上题，两人在Signal’ 的对话中有些讯息(Message) 包含附件，这些讯息的 D’包括?(2分)

A.5b9650fe-3bb6-4182-9900-f56177003672
B.46a8762b-78ea-49aa-a6f5-b24975ec189f
C.9729bf92-ab9c-45f7-8147-66234296aele
D.47233ffe-1a73-4b3d-b97c-626246ec3129

需要解开数据库，结合39题，目前还没解出来

42.[填空题]承上题，林浚熙曾经于2022年10月20日轉账 (Transfer Money) 予上述对话人士, 那次轉賬的参考编号是什么? (以大写英文及阿拉伯数字回答) (3分)

N91088774024

根据上题提示，去signal里面找聊天记录，发现有一张转账图片，里面的编号就是了

43.[单选题] 林浚照的计算机安装了多少台虚拟机Virtual Machine - VM) ?(以阿拉伯数字回答)(1分)

A.4
B.1
C.2
D.3

仿真起来，看虚拟机列表，只存在一个虚拟机。或者火眼里面看，里面发现也只有一个虚拟机

44.[单选题] 林浚熙的计算机里的虚拟机(VM) 存放在什么路径?(1分)

A.User\HEI\Roaming\Virtual Machinesl
B.Users\Public\Documents\Virtual Machines
C.Program Files\Virtual Machines
**D.\Users\HEI\Documents\Virtual Machines**

可以直接去火眼里面看源文件路径，一下就出了。或者打开仿真，在仿真里面看，在document目录下有vmware machine目录，于是就可以找到

45.[单选题] 虚拟机 (VM) 使用什么版本的作业系统(Operating System) ?(1分)

A. CentOs Linux 7.5.1804 (Core)

B. Ubuntu 22.04.1 LTS

C. CentOS Linux release 7.6.1810(Core)

D. Ubuntu 20.04.5 LTS

在虚拟机里面跑不了虚拟机，于是导出来给仿真，当时做的方法不是仿真，是直接去导出文件里面找虚拟机配置文件，也就是vmx后缀的文件，直接点击就打开了。后来，和同学交流发现可以把导出的文件所有vmdk后缀的全部当做镜像仿真，学到了。

仿真起来一进去就有版本号了

46.[多选题] 虚拟机(VM) 中的文件传输服务器(FTP Server) 有哪些用户?(2分)

A. nobody
B. root
C. admin
D. man
E. ftpuser

在目录’/etc’下面的档案’vsftpd.chroot_list’中含有root和ftpuser用户，且在目录’/var/log’下的档案’vsftpd.log.1’在也仅有root和ftpuser登录记录

47.[多选题] 虚拟机设置了什么网页服务器(Web Server)? (2分) D

A. NGINX

B. LIGHTTPD

C. WORDPRESS

D. APACHE

E. IIS

列出docker镜像里面的所有容器sudo docker ps -a

ps aux|grep apache

可以看history，看一下历史的命令

综合火眼发现就nginx和apache

48.[单选题] 网页服务器目录内有图片档案，而此档案的储存位置是?(1分)

A. /var/www/html/post/src

B. /var/www/html/post/css

C. /var/www/html/post/vendor

D. /var/www/post

直接去Ubuntu里面搜就行了，挺好找的

49.[单选题] 分析网页服务器的网站数据，假网站的公司名称是什么?(1分)

先输入ifconfig确认虚拟机ip，打开网站，发现是apache搭建的网站，

根据上一题的内容，html后面跟/post

理论上可以打开的，但是我打不开不是很影响做题，根据上一题的提示，我们把图片下载下来，发现有公司图片。

50.[单选题] 检视假网站首页的显示，AY806369745HK 代表什么?(1分) A

A. 邮件号码

B. 邮件收费号码

C. 邮件序号

D. 邮件参考号码

打开网站就好做了

51.[填空题] 分析假网站的资料，当受害人经假网站输入数据后，网站会产生一个档案，它的档案名是什么?(不要输入“，以大写英文及阿拉数字回答。如 Cat10.jpg，需回答CAT10JPG)(2分)

VUTXT

既然没打开网站，就尝试看一下前端的php文件，发现很多处理完的内容都传到了vu.txt里面

52.[多选题] 分析假网站档案，process.php’ 源码(Source Code),推测此档案的用途可能是?(2分)

A. 改变函数
B. 产生档案**
C. 发出邮件**
D. 更新数据库

上面的vutxt就是产生档案，源码里面还有发送邮件的部分。

53.[填空题] 检视档案process.php’ 源码, 林浚照的电邮密码是?(以大写英文回答)(1分)

rtatsceucpacocbdacs

提示很明显，去里面找，这个程序大概就是登录它的邮箱，然后发送到另外一个目标邮箱里面

54.[多选题] 分析档案process.php’ 源码, 它不会收集哪些资料?(2分) BE

A. GPS位置

B. 信用卡号码

C. 短讯验证码

D. 电话号码

E. 电邮地址

看不了前台，只能看看代码了

一个cardno和mail，就好了

55.[填空题] 虚拟机 (VM)安装了 Docker 程序，列出一个以5作为开端的 Doker"镜像 mage) ID (以阿拉伯数字及大写英文回答)（2分)

5D58C024174DD06DF1C4D41D8D44B485E3080422374971005270588204CA3B82

懒得转大写了，思路是可以用c语言来转，可以了直接用了python来转换

56.[填空题] Docker 容器(Container)mysql’ 对外开放的通讯端口(Port) 是?(3分)

43306

输入docker ps -a，看一下mysql后面的端口号

57.[填空题] Docker容器mysql，用户 root’ 的密码是?(以大写英文及阿拉伯数字回答)(2分)

2wsx3edc

使用history | grep mysql语句过滤history里面包含mysql的语句

58.[填空题] Docker容器，mysql 里哪一个数据库储存了大量个人资料?(以大写英文回答)(3分)

KRICKPOST

docker exec -it ca /bin/bash

docker exec: 这是 Docker 的一个命令，用于在运行中的容器内执行命令。
-it: 这是两个选项的组合。-i 或 --interactive 保持容器的标准输入（STDIN）开放，即使没有附加也是如此。-t 或 --tty 分配一个伪终端或终端，这通常意味着你可以像在本地终端中一样与容器进行交互。组合使用时，-it 允许你以交互方式运行命令，比如 bash 或 shell。
ca: 这是运行中的 Docker 容器的名称或 ID。在这个例子中，ca 是容器的标识符。你需要替换为你实际想要执行命令的容器的名称或 ID。
/bin/bash: 这是你希望在容器内部执行的命令。在这个例子中，它启动了一个 bash shell。这意味着你将获得一个 bash 终端，可以在其中运行命令，就像你在 Linux 机器上的终端中一样。如果容器的基础镜像不包含 bash，你可能需要使用 /bin/sh 或其他可用的 shell。

在名为 ca(在这题中是sql容器) 的运行中的 Docker 容器内部，以交互方式启动一个 bash shell。这允许你直接在容器内执行命令，进行故障排除、文件编辑等操作。

mysql -u root -p

mysql: 这是命令行工具的名称，用于与 MySQL 数据库服务器进行交互。
-u root: 这个选项指定了要连接的 MySQL 数据库的用户名。在这个例子中，用户名是 root，它是 MySQL 数据库服务器的默认管理员账户。
-p: 这个选项告诉 mysql 命令提示用户输入密码。当你执行这个命令时，系统会提示你输入 root 用户的密码。出于安全考虑，密码不会在命令行中显示，也不会在命令的历史记录中留下痕迹。

这是测试链接mysql数据库成功连接之后，可以用navicat连接数据库，到数据库里面看就行了又没有连上，用网探可以连接上