2022美亚杯个人赛

做这些题持续了好久好久，先发出来吧，这段时间太忙了，不是很有空取证（哭泣），等过了这周就好啦！

个人赛加密容器解密密钥
CZDGm#&2_Ns$7wSMn%ZGr7xntcHS7d5uFta#Up9544jx_cvP$uFM7?pTDa*jN&QyFDLS8U%hx$fXN^BY$Xsj+3@F^y#4QFXb*Uq@wLmkCE7?&Yp+nX6s@hKrzpVE%v?&

1. 案件详情

于2022年10月，有市民因接获伪冒快递公司的电邮，不慎地于匪徒架设的假网站提供了个人信用咭资料导致经济损失。  警方追查下发现当中一名受骗市民男子李大輝 (TaiFai) 的信用卡曾经被匪徒在区内的商舖购物。 后来警方根据IP地址，锁定及拘捕了一名男子林浚熙 （阿熙 ChunHei），并于他的居所发现了一批相信曾被用作犯案的电脑及手机装置。

经调查后，警方发现阿熙除上述案件外，他亦牵涉其他的一些犯罪活动。

警方的电子数据取证小组在现场作出初步了调查并对涉案装置进行了电子数据取证。请你根据得到的资料，协助将事件经过还原。

1. 警方资料

1. 与'林浚熙'相关的资料

编号 1	林浚熙的调查报告
文件路径	Meiya_cup_2022/Individual/Report/ChunHei/林浚熙调查报告.pdf
哈希值： SHA256	1CB8F69DACF1A8DB84F1F0208C46210827C5E182D316F7F9A4AE4CFBB8EBC859

编号 2	林浚熙的手机的电子数据
文件路径	Meiya_cup_2022/Individual/Image/ChunHei/ChunHei_iphone
哈希值： SHA256	34AC7A2B5C3F51563076A758B28088FE92637A4C9E20A60D0F39C23389F51159

编号 3	林浚熙计算机的电子数据
文件路径	Meiya_cup_2022/Individual/Image/ChunHei/ChunHei_Desktop
哈希值： SHA256	49177D9E144944118DF8D0F78DEA90A78F78D95C650B67D942AB2A0DC0EABB38

1. 与受害人'李大辉'相关的资料

编号 4	李大辉的调查报告
文件路径	Meiya_cup/Individual/Report/TaiFai/助查人士李大輝调查报告.pdf
哈希值： SHA256	C139AB65AC52FE9B3C9E0C7A9F9D6427F2F18FBE3C16585225F6DD01C4D500D2

编号 5	受害人李大辉的手机电子数据
文件路径	Meiya_cup_2022/Individual/Image/TaiFai/VTM_Mobile
哈希值：	092A7379B063A25A82A03EE07EEF1686BE86DD1F73C6E7B007BC26FADCB66555

1. 与女友'王晓琳'相关的资料

编号 6	王晓林的调查报告
文件路径	Meiya_cup/Individual/Report/HiuLam/助查人士王晓琳调查报告.pdf
哈希值： SHA256	5D9FC871259CAC02904947F83C2319E359C7CA916CA657555FF7F41E65A79B8A

编号 7	女友王晓林手机的电子数据
文件路径	Meiya_cup_2022/Individual/Image/HiuLam/HiuLam_iphone
哈希值：	DB81354712AB1DC2BA01033E48CE97F811C77127A447B0928D83AE77A35C508D

1. [单选题]王晓琳在这本电子书藉里最后对哪段文字加入了重点标示效果 (Highlight)? (2分)

A. 宝玉已是三杯过去了

B. 武松那日早饭罢

C. 卿有何妙计

D.就除他做个弼马温罢

2. [多选题]王晓琳的手机里有一个 'MTR Mobile (港铁)' 的手机程序 (Mobile App)。检视其数据库 (Database) 的数据，王晓琳于2022年10月11日 22:04 时将一行程加入书签 (Bookmark)，这段行程的起点及终点站包括? (2分)
A. 青衣

B. 康城

C. 红磡

D. 沙田

E. 尖沙咀

先搜这个程序 

然后跳转源代码

 题目中下一步是数据库这个点

 我就去百度了一下

 那就看.db后缀的文件

。。。只能说没有任何收获

但我还查到了这个

(20条消息) 苹果域对应关系 Manifest.db文件解析_小郑2013的博客-优快云博客

然后就直接去找.db后缀的文件看看

肉眼可见的跟mtr有关的只有这个了

 但看了看发现根本不存在书签这回事，而且时间还是有些不匹配。

那就再看看时间相关的.db文件

发现了这个，时间非常符合 

 偶哟，看这个全路径，跟mtr有关系哎！

看的时候注意一下设置列，不然会错过一些，最后留下面这几项就行了

 

 这题给了我一个下马威。

3. [填空题] 王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片?(以拉伯数字回答)(1分)

90

因为自己用iPhone所以挺喜欢做iOS的手机取证，会有很多方便的地方。 

弘连有点奇怪，取证大师试试。（我错怪弘连了，弘连看那个文件里面的heic照片是对的）

 

这就是为什么我喜欢做iOS，这个格式很熟悉，而且我自己也是搞摄影的hhh

4.[单选题] 检视王晓琳的手机照片，她于2022年10月2日到过什么地方?(1分)
A.大潭郊游径
B.城门畔塘径
C.大榄麦理浩径
D.京士柏卫理径

5.[单选题] 李大辉使用的是一台LG V10的手机，它的型号是什么?(1分)
A. LGH960C
B. LGH961N
C. LGH960H
D. LGH961C
E. LGH961D

6.[单选题] 李大辉的手机最常搜索的类别(Category) 是什么?(1分)
A. 护肤品
B. 旅游
C. 运动
D. 学校

7.[填空题] 李大辉最近光顾了一家美丰快运公司，这快递件的单号是什么?(不要输入符号及空白，以阿拉伯数字回答)(1分）

AY806369745

这题博主们都是用手机大师，而我的手机大师出故障了，就放弃了昂。

8.[单选题] 李大辉收到的电邮中有一个钓鱼链结(Phishing Link)，这个链结的地址是什么?(1分)
A. 以上皆非
B. https://bit.ly/3yeARcO
C. https://bit.ly/5vM12
D. http://bit.ly/Hell0

9.[单选题] 承上题，这封电邮是从哪个电邮地址寄出的?(1分)
A. 以上皆非
B. Cavinchow456@yahoo.com
C. 2020ChanChan@hotmail.com
D. 30624700Peter@proton.me

10.[单选题] 承上题，寄出这封电邮的IP地址是?(2分)
A. 以上皆非
B. 65.54.185.39
C. 10.13.105.56
D. 58.152.110.218

11.   [单选题] 李大辉手机有一个orderxlsx 的档案被加密了，解密钥匙是什么?(1分)
    A. 2022 Nov!
    B. 20221101
    C. Nov2022!
    D. P@sswOrd!

 说实话不看博客我是不会知道看这个图库的。

12.[填空题]香港的街道上每一枝街灯都有编号。分析李大辉手机里的程序KMB 1933，哪一枝街灯在经度 Latitude) 22.4160270000，纬度(Longitude) 114.2139450000 附近，它的编号是什么?(以大写英及阿拉伯数字回答)(2分)

这题好像看了几个跟我同届的同学还有师兄不是很做得出那我也就放弃了。

昨天刚参加完校赛，差劲的不行，排名倒数，安慰奖都没有。那套题很难，之前做题的方法一点没用上，但确实让我意识到自己的不足，也让我意识到一直做题的方法和心态上都存在问题，所以从现在开始我会改变一下我自己啦，同时还得更更更加努力！ 

13.[填空题]李大辉的手机里有一张由该手机拍的照片，照片的元资料(Metadata) 曾被修改，这张照片的档案名是什么?(以大写英文及数字回答，不用回答副档名)(2分)

20220922_152622

注意题目中是用该手机拍的照片，那么直接就从手机相册里面看。然后跳转到资源文件。

先想看一下名称，没有发现什么异常，就看一下修改日期。排序一下，而且要注意一下这个案件发生在十月。排序看到这个是唯一一个10-11改过的，而且创建时间在九月，而其他的照片都是修改时间和创建时间一样的。

 

14.[单选题] 分析李大辉的手机里的资料，他在哪一间公司工作?(2分)
A. 美丽好化妆品公司
B. 步步高贸易公司
C. 盛大国际有限公司
D. 永恒化妆品公司

一开始想从通讯软件里面去分析，但没有结果，看了题目发现让我们分析手机里的资料，果真一点就找到了。（连续两道题警示我认真读题的重要性）

15.    [填空题] 林浚熙曾经以手机登录Google账户的验证码是什么?(不要输入符号，以大写英文及阿拉伯数字回答)(1分)

G785186

16. [填空题] 林浚熙手机的 WhatsApp’ 号码是什么?(号码)@s.whatsapp.net? (以阿拉伯数字回答)(1分)

85259308538@s.whatsapp.net

17.[单选题] 通过分析林浚熙手机的照片，判断他在何处偷拍王晓琳?(1分)
A. 交通工具
B. 郊野公园
C. 游泳池
D. 酒店房间

 相册里找不到，就去通讯软件找，发现这个hiulam就是那个王晓琳。

18.[填空题] 林浚熙曾经删掉自己拍摄的照片，这张照片的档案名(Filename) 是什么?(不要输入，以大写英文及阿拉伯数字回答。如Cat10.jpg，需回答CAT10JPG)(2分)

IMG0444JPG

19. [填空题] 王晓琳曾经发送一个PDF档案予林浚熙，这个档案的文件签名(File Signature) 是什么?(以十六进制数字答首八位数值，如FOA1C5E1)(2分)

D0CF11

这题感觉跟我最初刚做的ctf题有点关系（我也不确定，毕竟学了一下下就放弃了）

20.[填空题] 承上题，该PDF档案内包含一位曾经被肩的受害者资料。分析林熙手机的数据，这位受害者的英文名字是什么?(不要输入符号及空白，以大写英文回答)(2分)

WONGSAIPING

pdf打不开

 多查不会错hhh

 省流：是.xls，我第一次还没成功，重新导了一次才成功。

好多名字，我本以为直接暴搜一下电话号码就行了，全搜完了都没结果。 

看到这个我就好像搞清楚了他为什么给自己发这个卡号了 

 

 

 对上了表格里的名字。

21.[单选题] 分析林浚熙手机上的数据，他在2022年10月17日计划去什么地方?(2分)
A. 以上皆非
B. 荃湾站
C. 沙田站
D. 国际金融中心二期

我把WhatsApp和短信什么的都看了一遍，没有什么信息，如果比赛的话这题肯定放弃了。

先搜一下呗（什么聪明人先简体字转繁体字再去搜啊 啊哈哈哈）

锁定软件->

康康源文件

这里有关events places里面的设置列室友开始时间和结束时间的

所以可能就是这了（其实我是看其他博客的，要是我自己做，不会觉得开始时间结束时间是计划要去的时间） 

 

 

 

22.[填空题] 承上题，上述行程的结束时间是?(如答案为 16:01:59，需回答 160159)

124500

哦看了这题，那是可以想到上一题看开始、结束时间就是的。

23.[填空题] 于林浚熙的手机里，在2022年9月1日 或以后，哪一张照片是由其他手机拍摄的，而它的档案名是什么?(不要输入，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG)(2分)

24.[单选题] 根据照片的数据库Photos.sglite) 资料，哪一个栏目标题(Column Header) 可以显示这张照片的接收方式?(2分)

A. ZRECEIVEMETHODIDENTIFIER
B. ZIMPORTEDFROMSOURCEIDENTIFIER
C. ZIMPORTEDBYBUNDLEIDENTIFIER
D. ZRECEIVEDFROMIDENTIFIER

25. [单选题] 承上题，这张照片通过什么方式接收?(2分)
    A. 网页下载
    B. 蓝牙传送
    C. 以上皆非
    D. WhatsApp软件传送
    E. Signal软件传送

26. [填空题] 承上题，这张照片原本的档案名(Original Filename) 是什么?不要输入，以大写英文及阿拉伯数字回答。如 Cat10,jpg，需回答CAT10JPG)(3分)

27.[填空题] 林熙手机里有一个备忘录(Notes)被上了锁，这个备忘录的名称是什么?(以大写英文及阿拉数字回答)(1分)

28. [填空题] 承上题，上述备忘录的内容有一串数字，它是什么?(以阿拉伯数字回答)(2分)

29.[单选题] 林浚熙计算机(Computer) 的操作系统(Operating System) 版本是什么?(1分)
A. Windows 10 Pro for Workstations 21H2
B. Windows 10 Pro 22H2
C. Windows 10 Home 21H2
D. Windows 10 Pro for Workstations 21H1

30. [填空题] 林浚照计算机安装了什么品牌的虚拟专用网络 Virtual Private Network - VPN)软件?(不要输入符号及空白，以大写英文及阿拉伯数字回答)(1分)

31.  [填空题] 承上题，分析该虚拟专用网络的日志(Log)，他在哪天安装该虚拟专用网络?(如答案为 2022-12-29，需回答 20221229)(2分)

32.    [填空题] 检视林浚照计算机的数据，他使用哪种加密货币(Cryptocurrency) 以支付虚拟专用网络软件?以大写英文回答该加密货币的全名，如 BITCOIN)(1分)

33. [填空题] 林浚熙的加密贷钱包Cryptocurrency Wallet) 名称是什么?不要输入符号，以大写英文及阿拉伯数字回答2分)

34.  [多选题] 林浚熙计算机里安装了哪个浏览器(Web Browser)? (1分)

A.Tor Browser
B.Microsoft Edge
C.Google Chrome
D.Opera
E.Internet Explorer

35.    [单选题] 林浚熙使用浏览器 Google Chrome’ 曾经浏览最多的是哪 个网站? (1分)
    A. https://gmail.com
    B. https://mail.google.com/mail
    C. https://web.whatsapp.com
    D. https://facebook.com

36.[多选题] 除了上述网站,林浚熙曾使用浏览器 Google Chrome’ 搜索过什么?(1分)
    A. javascript教学
    B. php sql教学
    C. tor教学
    D. docker image教学
    E. electrum教学

37.   [单选题] 林浚照的计算机安装了一个通讯软件Signal’，它的用户部储存路径是什么?(1分)
    A. Users\HEINDesktop Signal
    B. Users\HEI\AppData Roaming Signa
    C. Program Files (x86)Signal
    D. Users\user Roaming Signal

38.    [填空题] 通讯软件Signa’ 采用一个档案存放用户的聊天记录，它的档案名是什么?(不要输入，以大写英文及阿拉伯数字回答。如Cat10.jpg，需回答CAT10JPG)(2分)

39. [填空题] 承上题，对上档案进行分析，林发熙的联络人当中有多少人安装了Siqnal?(以阿拉伯数字回答)(3分)