DIDCTF-21美亚杯

1.(单选题) 工地主管电话的微信账号是什么?

仅一次答题机会

A. Kasier751111

B. Kasierlee751111

C. Kasierlee

D. 以上皆非

李主管的微信账号是Kasier Lee

所以都不是

D. 以上皆非

2.工地主管的隔空投送装置置编号是什么?(请以英文全大写及阿拉伯数字回答)

隔空投送？就是手机......

780F624DF099

3.(单选题) 工地主管电话的哪一个应用程序有关于经纬度24.490474, 118.110220的纪录?

仅一次答题机会

A. 照片

B. WhatsApp

C. Apple Maps

D. 以上皆非

C. Apple Maps

4.(多选题) 工地主管的手提电话中下列哪些数据正确?

仅两次答题机会

A. iOS 版本为 12.5.4

B. IMEI为 454120637213361

C. Apple ID 为 kaiserlee3660@gmail.com

D.手机曾经安装 dropbox 应用程序

ios版本为12.5.4

id：kaiserlee3660@gmail.com

IMEI为 359282063436571

D选项没找到

选AC

5.(填空题) 工地主管的电话最常使用的浏览器是什么? (请以英文全大写回答)

SAFARI

6.(单选题) 工地主管的电话连接过哪一个WiFi?

仅一次答题机会

A. Kaiser Lee

B. Kaiser

C. Free Wifi

D. Kaiser Home

A. Kaiser Lee

7.(多选题) 工地主管与Alex Chan的Whatsapp 对话中，曾提及以下哪个TeamViewer的用户号码?

A. 435334881

B. 453851521

C. 435475200

D. 456874155

E. 435270306

我们先找到与Alex Chan的对话，之后找到图片，图片中有信息

435334881

435475200

435270306

选ACE

8.工地主管的WhatsApp中有多少个黑名单的记录? (请以阿拉伯数字回答)

找到文件所在位置

里面有一个叫BLACK

黑名单......

为0

9.(多选题) 以下哪个蓝牙装置的 Uuid 曾连接过工地主管的手机?

A. 7F1FE70D-2B15-C245-853D-4196F13CC446

B. 1B057C1D-83D3-99A6-D2B1-EC54846C7CEE

C. 134ACD1-83D3-99A6-D2B1-EC54846C7CEE

D. 7D1BE70D-2C16-D246-851D-491613DD776

这里没有UUID

iPhone/containers/Shared/SystemGroup/systemgroup.com.apple.bluetooth/Library/Database/com.apple.MobileBluetooth.ledevices.other.db
根据目录翻

7F1FE70D-2B15-C245-853D-4196F13CC446

1B057C1D-83D3-99A6-D2B1-EC54846C7CEE

选项AB

10.工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“)

36EBC18095F741FFBE5B4E56E7AF48B

11.工地主管计算机內的FTP程序FileZilla的用户名称是甚么? (请以英文全大写及阿拉伯数字回答

12.工地主管的Team Viewer ID 是甚么? (请以英文全大写及阿拉伯数字回答)

13.(多选题) 工地主管曾用计算机浏览器作搜寻，以下哪一个关键词他曾经搜寻?

A. tiktok

B. web whatsapp

C. facebook

D. lihkg

E. hkgolden

一个是facebook，

14工地主管计算机的Windows系统的产品标识符是甚么? (请以英文全大写及阿拉伯数字回答，不用输入”-“)

好卡......

而且没有完全显示出来.......

17.(多选题) 工地主管计算机的用户名称是甚么? 其用户标识符是甚么?

A.用户名称: PC1

B.用户名称:PC2

C.用户名称: PC3

D.用户标识符:0x000003E7

E.用户标识符:0x000003E8

F.用户标识符:0x000003E9

PC1

27.(单选题) 阿力士 iPhone12pro电话于2021年10月21日，以下哪张相片可能曾被分享（UTC+8）？

A. IMG_0011.HEIC

B. IMG_0010.HEIC

C. IMG_0009.HEIC

D. IMG_0008.HEIC

E. IMG_0007.HEIC

29.[填空题] 阿力士iPhone 12 pro 的GSM媒体访问控制地址是什么? (请以英文全大写及阿拉伯数字回答，不用输入":")

e06d17382420

32.[单选题] 以下哪一个是阿力士iphone 12 pro可能曾经连接的装置名称?

A. Chris’s MacBook Pro

B. Chirs’s iPhone

C. Chirs’s Computer

D. Chirs’s Linux

Chris’s MacBook Pro

33.[单选题] 接上题，记录连接时间是什么时候(UTC+8)?

A. 2021年10月21日 00:58:01

B. 2021年10月21日 08:58:01

C. 2021年10月21日 00:58:29

D. 2021年10月21日 08:58:29

2021/10/21 8:58:01

34.[多选题] 阿力士iPhone XR中在软件WhatsApp中工地主管与阿力士的对话中曾提到：[佢叫我俾钱喎，BTC係唔係呢个啊？]。在进行电子数据取证分析后，以下哪一个是有可能关于此对话的正确描述？

A. 此对话被Kariser Lee删除

B. 此对话的附件为一张图片文件

C. 此对话被Alex Chan 删除

D. 此对话是引用Alex Chan 回复

直接找到对话

附件是一张图片

35[填空题] 阿力士iPhone XR的WhatsApp对话中，阿力士曾要求工地主管支付多少个BTC? (请以阿拉伯数字回答)

10

36.[多选题] 阿力士iPhone XR中 “IMG_0056.HEIC”的图像与"5005.JPG"(MD5: 96c48152249536d14eaa80086c92fcb9)” 看似为同一张相片，在电子数据取证分析下，以下哪样描述是正确?

A. 储存在不同的.db 里

B. 有不同哈希值

C. IMG_0056.HEIC 为原图，5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9)为缩略图

D. IMG_0056.HEIC 曾被开启过，所以在IOS系统中创建了缩略图5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9)

对比一下

分辨率不同，md5值不同

BC

37.[多选题] 阿力士iPhone XR中相片檔IMG_0056.HEIC提供了什么电子数据取证的信息?

A. 此相片是由隔空投送 (Airdrop)得来

B. 此相片由iPhone XR拍摄

C. 此相片的拍摄时间为2021-10-21 17:45:48(UTC+8)

D. 此相片的拍摄时间为2021-09-08 17:35:00(UTC+8)

根据上面的截图可知，拍摄时间是D ，是由iPhone12pro 拍摄

创建时间和拍摄时间对不上，所以猜测投送而来

但最终答案是AC......

38.[单选题] 阿力士iPhone XR中阿力士的电邮账户Alexc19851016@gmail.com的密码有可能是什么?

A. Ac19851016

B. Alex1985!

C. Aa475869!

D. 以上皆非

备忘录里面......

39.[填空题] 阿力士iPhone XR曾经连接Wifi “Alex Home”的密码是什么? (请以英文全大写及阿拉伯数字回答)

12345678

40.[单选题] 阿力士iPhone XR经iCloud备份的最后时间是什么?(UTC+8)?

A. 2021-10-21 17:51:38(UTC+8)

B. 2021-10-21 18:02:13 + (UTC+8)

C. 2021-10-21 09:51:38(UTC+8)

D. 2021-10-21 10:02:13 + (UTC+8)

转换时间

A

41.[填空题] 阿力士iPhone XR中的iBoot版本是iBoot-[______]? (请以阿拉伯数字回答，不用轮入".")

672312036

42.[多选题] 阿力士iPhone XR中的WhatsApp群组『团购-新鲜猪肉牛肉-东涌群组-9/30』有以下哪一个成员?

A. 85260617332@s.whatsapp.net

B. 85260452579@s.whatsapp.net

C. 85248791565@s.whatsapp.net

D. 85264630956@s.whatsapp.net

直接搜索

AD

47.[填空题] 阿力士的计算机显示于2021年9月至2021年11月期间，计算机曾被登入过多少次? (请以阿拉伯数字回答)

30

48.[填空题] 阿力士计算机所安装的Microsoft Office 2007 是以下哪一个版本? (请以亚拉伯数字作答，省去"."符号)

直接找到安装的应用

12045181014

50.[填空题] 阿力士计算机的Window product ID是什么? (请以英文全大写及阿拉伯数字回答，不用输入"-")

00331-10000-00001-AA411

52.[填空题] 阿力士计算机所安装的Microsoft Office 2007 的密钥是甚么? (请以英文全大写及阿拉伯数字回答，不用输入"-")

V77WQRPVP67MTPGWH3G9D44MJ

54.[多选题] 以下哪些档案于阿力士FTP 服务器曾重复出现?

A. Material1

B. Material2

C. Material3

D. Staff1

E. Staff2

F. Staff3

DEF

60.[多选题] 阿力士FTP 服务器曾使用过甚么版本的Linux内核?

A. linux-headers-5.11.0-16

B. linux-headers-5.11.0-17

C. linux-headers-5.11.0-36

D. inux-headers-5.11.0-37

E. linux-headers-5.11.0-40

AD