veracrypt密碼：uR%{)Y'Qz-n3oGU`ZJo@(1ntxp8U1+bW;JlZH^I4%0rxf;[N+eQ)Lolrw&E%,4q1

案件背景：

? 幾天后，“大路建設”旗下有一家名為“元材原料”的材料供應子公司，該公司發現幾名員工的個人財務資料在網上遭公開發布。為了員工安全，主管決定報警求助。經警方調查發現黑客入侵的手法與“大路建設”的案件十分相似，因此引起調查人員懷疑兩起案件有所關聯。

? 經調查后，警方拘捕了“常威”和“特普”兩名本地男子，懷疑他們與本案有關。警方在搜查他們的住宅及公司后，扣押了數臺數碼設備，請分析以下電子數據并重建電子數據痕跡，以確認“常威”和“特普”在本案中是否有違法犯罪，并還原事件經過。

一、與“ 大路建設”相關的資料

編號	詳情	檔案路徑
1.	工地職員A的辦公室計算機的電子數據	\Meiya Cup 2021\image\StaffA_computer
2.	工地職員B的辦公室計算機的電子數據	?\Meiya Cup 2021\image\StaffB_computer

二、與“?元材原料”相關的資料

編號	詳情	檔案路徑
1.	網頁服務器的電子數據	\Meiya Cup 2021\image\Yuen_Choi_Webserver

三、與“常威”相關的資料

編號	詳情	檔案路徑
1.	常威的背景資料	\Meiya Cup 2021\調查報告\常威\常威的背景資料.PDF
2.	常威調查報告	\Meiya Cup 2021\調查報告\常威\常威調查報告.PDF
6.	常威手機的電子數據	\Meiya Cup 2021\image\Wai\Wai phone
7.	常威USB設備的電子數據	?\Meiya Cup 2021\image\Wai\Wai USB
8.	常威Windows計算機的電子數據	\Meiya Cup 2021\image\Wai\Wai_Windows_Computer
9.	常威礦機的電子數據	\Meiya Cup 2021\image\Wai\HIVE OS
10.	常威無人機的電子數據	\Meiya Cup 2021\image\Wai\Wai Drone
11.	常威無人機內存儲卡的電子數據	\Meiya Cup 2021\image\Wai\Wai DJI Drone SD Card
12.	常威MAC計算機的電子數據	\Meiya Cup 2021\image\Wai\Wai_MacBook
13.	常威LINUX計算機的電子數據	\Meiya Cup 2021\image\Wai\Wai_Linux\Wai_Linux1

四、與“特普”有關的資料

編號	詳情	檔案路徑
14.	特普的背景資料	\Meiya Cup 2021\調查報告\特普\特普的背景資料.PDF
15.	特普調查報告	\Meiya Cup 2021\調查報告\特普\特普調查報告.PDF
16.	特普Windows計算機的電子數據	\Meiya Cup 2021\image\DaK Pou\Dak Pou Windows
17.	從特普Windows計算機存儲器提取的鏡像文件	\Meiya Cup 2021\image\DaK Pou\Dak Pou Windows_memdump
18.	特普手機的電子數據	\Meiya Cup 2021\image\DaK Pou\Dak Pou phone

大路建設

工地職員A的辦公室計算機

1. [填空題] 工地職員A計算機的修復密鑰標識符是什么？(請以大寫英文及阿拉伯數字輸入答案，不要輸入”-“) (1分)

230C1BB3106A4E4EBF5D3D10961585D4

2. [填空題] 工地職員A計算機的修復密鑰解除鎖定是什么？(請以數字輸入答案，不要輸入”-“) (1分)

483714461582060962373351019646502348309628684431

在個人賽的FTP服務器里面，483714-461582-060962-373351-019646-502348-309628-684431

3. [單選題] 工地職員A的計算機被什么程式加密？ (1分)

A. Ransomware

B. BitLocker

C. AxCrypt

D. PGP

E. FileVault 2

B

4. [單選題] 工地職員A的孩子有可能正準備就讀什么學校？ (2分)

A. 小學

B. 中學

C. 幼兒園

D. 大學

C

5. [多選題] 工地職員A并沒有打開過哪一個檔案？ (2分)

A. Staff3.xlsx

B. Staff4.xlsx

C. Staff1.xlsx

D. Staff2.xlsx

E. BTC address.bmp

ABD

6. [填空題] 工地職員A的計算機被遠程控制了多少分鐘？(請以阿拉伯數字回答) (2分)

11

開始時間：2021-10-18 18:42:30，結束時間：2021-10-18 18:53:46，11分16秒

7. [單選題] 工地職員A的計算機被加密后，被要求存入的虛疑貨幣是什么？ (1分)

A. 比特幣現金

B. 比特幣

C. 以太幣

D. 泰達幣

B

第5題的選項BTC address.bmp

8. [填空題] 在工地職員A的計算機曾經打開過的Excel檔案中，有多少人有可能在法律部門工作？(請以阿拉伯數字回答) (1分)

22

查post是legal的

工地職員B的辦公室計算機

恢復密鑰串575025-204820-336325-067067-589996-389829-603361-712272

9. [多選題] 工地職員 B 的計算機在什么日期和時間被黑客控制？ (2分)

A. 2021-10-19

B. 2021-09-16

C. 11:16:41 (UTC +8:00)

D. 05:55:50 (UTC +8:00)

E. 18:40:06 (UTC +8:00)

E

10. [填空題] 工地職員 B 的計算機的MAC Address是什么? (請以大寫英文及數字輸入答案) (1分)

000C29E2532D

11. [填空題] 工地職員 B 的計算機用戶FaFa的 Profile ID 是什么？(請以大寫英文及數字輸入答案，不要輸入”-“) (1分)

S-1-5-21-1634007002-1203460028-4027450868-1001

12. [填空題] 工地職員 B 的辦公室計算機的 Windows CD Key 是什么？(請以大寫英文及數字輸入答案，不要輸入”-“) (1分)

VK7JG-NPHTM-C97JM-9MPGT-3V66T

Win+R打開運行，然后輸入regedit，然后打開計算機\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform，找到BackupProductKeyDefault并雙擊打開，里面的數值數據就是你電腦的Windows密鑰

作者：鴨鴨工作室 https://www.bilibili.com/read/cv13568021 出處：bilibili?

13. [單選題] 檢查過工地職員 B 的計算機登錄檔后(Window Registry)，計算機感染了什么惡意軟件？ (2分)

A. Adware

B. Worms

C. Rootkits

D. 沒有感染任何惡意軟件

D

14. [單選題] 工地職員B的計算機中被加密硬盤內的圖片”_120778782_58759559.jpg”，有可能是從下列哪個的途徑載入計算機？ (1分)

A. 電郵下載附件

B. USB盤

C. 網上下載

D. 藍芽傳入

E. Direct-link

C

15. [多選題] 工地職員 B 的計算機中被加密硬盤內的圖片中，人物中衣著有什么顏色？ (2分)

A. 黃色

B. 紅色

C. 紫色

D. 藍色

E. 綠色

BE

16. [填空題] 工地職員 B 的計算機有多少個磁盤分區？(請以阿拉伯數字輸入答案) (1分)

5

17. [填空題] 工地職員 B 的計算機硬盤分割表是什么？(答案請以首字母大寫作答) (2分)

GPT

磁盤-內容-硬盤-內容-更新

18. [填空題] 在 工地職員 B 的計算機Event Log中最后登入時services.exe的Process ID是什么？(請以阿拉伯數字輸入) (3分)

1833

不知道

元材原料

網頁服務器

19. [填空題] 甚么IP曾經上傳檔案到網頁服務器? (請以阿拉伯數字回答，不用輸入”.“) (2分)

20314594120

20. [多選題] 承上題，以下哪試檔案曾被上傳到網頁服務器? (3分)

A. kjk2.jpg

B. kjk2.php

C. b6778k-9.0.php

D. b374k-2.5.php

E. d374k-2.5.php

ABD

見上題圖

21. [單選題] 入侵者可能使用甚么漏洞進行入侵網頁服務器? (1分)

A. 文件上傳漏洞

B. SQL 注入

C. 跨站腳本攻擊

D. 格式化字符串弱點

A

上面兩題都是關于文件傳輸的，還有一個uploader.php，推斷是文件上傳漏洞

22. [多選題] 在網頁服務器找到的所有文件檔(doc 及 docx)中，有以下哪些文件制作人(Author)? (2分)

A. Kevin L. Brown

B. Peter R. Lee

C. Mary

D. May

E. Colin

AC

23. [多選題] 在網頁服務器中，哪個是可疑檔案?它如何取得計算機控制權? (3分)

A. 可疑檔案: b6778k-9.0.php

B. 可疑檔案: b374k-2.5.php

C. 可疑檔案: upload.php

D. 透過瀏覽器遠程管理取得計算機控制權

E.透過PuTTY(遠程登錄工具) 取得計算機控制權

BD

只有zb374k-2.5.php是惡意木馬

搜了下b374k-2.5.php，選D

24. [填空題] 在網頁服務器中，運行可疑檔案需要密碼，其密碼的哈希值(Hash Value)是甚么? (請以英文全大寫及阿拉伯數字回答) (3分)

0DE664ECD2BE02CDD54234A0D1229B43

25. [單選題] 在網頁服務器中，可疑檔案的譯碼函數是甚么? (2分)

A. unzip_file('$x,$y')

B. gzdecode (base64_decode($x))

C. gzinflate(base64_decode($x))

D. 以上皆否

C

26. [填空題] 解壓后的腳本檔的檔案大小是多少? (請以字節及阿拉伯數字回答) (3分)

109,041

感恩wzx和base64+gzinflate壓縮編碼（加密）文件_北方的刀郎的博客-CSDN博客_gzinflate

把編碼帶入運行腳本，得到解密后的代碼

27. [多選題] 解壓后的腳本文件內有甚么功能? (3分)

A. 編輯文件

B. 刪除文件

C. 更改用戶密碼

D. 加密文件

E. 重新命名文件

ABE

B374K PHP WEBSHELL：一款簡單卻功能強大的遠程管理工具_terry_air的博客-CSDN博客

28. [單選題] 解壓后的腳本含有壓縮功能，當中使用的解壓方法是甚么? (2分)

A. PclZip.php

B. Unzip_gz()

C. ZipArchive()

D. 以上皆否

C

只找到了ZipArchive()

特普

手機

29. [多選題] 特普的電話中一張于2021年09月30日 10:45:12拍攝的相片包含以下哪些字? (1分)

A. 精忠

B. 報國

C. 忠誠

D. 勇毅

CD

30. [多選題] 特普的電話中的whatsapp賬號85268421495@s.whatsapp.net中，有哪些其他人的WhatsApp用戶數據記錄? ) (2分)

A. 85222117188@s.whatsapp.net

B. 85289853825@s.whatsapp.net

C. 85264795287@s.whatsapp.net

D. 85231882226@s.whatsapp.net

AD

General前面＋85

31. [單選題] 特普電話的熱點分享密碼是什么? (1分)

A. 12345678

B. 69447401bceb

C. Jioijo4542554

D. Dak Pou Home

B

32. [多選題] 特普于經緯度22.278843, 114.165783，沒有做什么? (2分)

A. 拍影片

B. 拍照

C. 使用google map

D. 在Whatsapp中分享實時位置

ACD

33. [多選題] 特普于電話中安裝了一個可疑軟件(版本為2020033001)，跟據該可疑軟件的安裝檔，下列哪項描述正確? (2分)

A. 軟件名稱是安全防護

B. 軟件名稱是安心回家

C. 軟件簽名(signAlgorithm)以 SHA512withRSA加密

D. 封包名稱(packageName)是org.chromium.webapk.a5b80edf82b436506_v2

A

源文件是userdata (ExtX)/Root/app/www.icthna.net-1/base.apk/AndroidManifest.xml，跳轉到源文件，AndroidManifest.xml中沒看出有啥，把apk導出（不展開直接，另存為）

扔進雷電APP中分析，軟件名稱是安全防護，A對

簽名算法是SHA256-RSA，C錯

應用包名是www.icthna.net，D錯

34. [多選題] 特普于電話中安裝了一個可疑軟件(版本為2020033001)，跟據該可疑軟件的安裝檔，可疑軟件中涉及以下安全許可? (2分)

A. android.permission.READ_SMS讀取短信內容

B. android.permission.SEND_SMS發送短信

C. android.permission.READ_CONTACTS讀取聯系人

D. android.permission.BLUETOOTH使用藍牙

E. android.permission.CLEAR_APP_CACHE清除應用緩存

ABC

35. [填空題] 特普可能在電話中被可疑軟件竊取了的驗證碼是什么? (請以英文全大寫及阿拉伯數字回答) (2分)

113476

計算機

36. [填空題] 特普的計算機可能中了病毒，病毒的加殼(Packing)方法是甚么? (請以英文全大寫作答) (2分)

UPX

最近瀏覽文件中翻了一下

在Downloads中找到一個malware.exe

查殼

?

37. [單選題] 特普的計算機可能中了病毒，病毒的編譯工具是甚么? (2分)

A. GCC

B. Borland

C. TCC

D. Microsoft Visual C/C++

D

upx脫殼后查殼，是C++

38. [填空題] 特普的計算機可能中了病毒，病毒的編譯者使用可能使用的賬戶名稱是甚么? (請以英文全大寫作答) (3分)

GPGF

把malware.exe扔進IDA里面（在IDA View-A 窗口中 , 按下 Shift + F12 快捷鍵 , 會顯示字符串窗口 Strings window , 該窗口中顯示常量字符串【Android 逆向】IDA 工具使用 ( IDA 32 位 / 64 位 版本 | 匯編代碼視圖 IDA View-A | 字符串窗口 Strings window )_韓曙亮的博客-CSDN博客_ida string窗口），第二行的C:\\Users\\gpgf\\Desktop\\malware\\Release\\malware.pdb里可以看到賬戶名稱gpgf

39. [單選題] 特普的計算機可能中了病毒，病毒的自我復制位置是甚么? (2分)

A. C:\Temp\temp.txt

B. C:\Users\<profile>\Desktop\malware.exe

C. C:\Users\public\malware.exe

D. C:\a.txt

C

在imports界面中發現copyfile函數，拷貝文件函數

雙擊跳轉?

綠色的再跳轉，感謝wzx

40. [單選題] 特普的計算機可能中了病毒，病毒的修改登錄文件位置是甚么? (3分)

A. HKLM\Software\Microsoft\Windows\CurrentVersion\Run

B. HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

C. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

D.HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\Background

D

修改登錄文件位置需要修改注冊表，在imports中發現以下函數，以下解析來自ke_yi_

RegSetValueEx函數在注冊表項下設置指定值的數據和類型

RegOpenKeyEx函數打開指定的注冊表項

RegCloseKey釋放一個對指定注冊表項的句柄

雙擊跳轉?

跳轉到004013BC?

41. [多選題] 特普的計算機可能中了病毒，病毒留下了ASCII ART(ASCII藝術, 文字圖)，以下哪個不是病毒留下? (3分)

A. HI

B. HELLO

C. HOW ARE YOU

D. GOODBYE

ACD

emm，hello

42. [單選題] 特普的計算機可能中了病毒，病毒擾亂文件目標文件名是甚么? (2分)

A. C:\Users\<profile>\Documents\target.txt

B. C:\Users\<profile>\Desktop\target.txt

C. C:\c.txt

D. C:\temp.txt

B

直接搜索了一下C:\

不太懂為啥選B?

43. [單選題] 特普的計算機可能中了病毒，病毒擾亂文件方法是甚么? (3分)

A. + 3

B. XOR 5

C. + 4

D. – 4

A

不懂為啥?

計算機內存鏡像

44. [填空題] 特普的計算機中，哪一個是 FTK Imager.exe 的程式編號(PID)? (請阿拉伯數字回答) (1分)

6136

volatility

45. [多選題] 特普的計算機中，cmd.exe (PID: 4496) 它的執行日期及時間是? (1分)

A. 2021-10-17

B. 2021-10-18

C. 2021-10-19

D. 10:42:51

E. 10:43:09

F. 10:43:25

CE

2021-10-19 10:43:09 UTC+0000?

46. [填空題] 特普的計算機曾經以FTP 對外連接，連接的IP是? (請以阿拉伯數字回答，不用輸入".") (2分)

12421717974

124.217.179.74

M:\Group (including individual)\Meiya Cup 2021 (all)\image\DaK Pou\Dak Pou Windows_memdump>volatility -f Vtm-computer-memdump.mem --profile=Win10x86 netscan Volatility Foundation Volatility Framework 2.6 Offset(P) Proto Local Address Foreign Address State Pid Owner Created 0x8e4f6a68 TCPv4 192.168.1.64:62027 23.200.142.82:443 CLOSED 452 explorer.exe 0x8eebba00 UDPv4 127.0.0.1:512 *:* 3768 svchost.exe 2021-10-19 10:48:44 UTC+0000 0x8eeee4f8 TCPv4 192.168.1.64:61979 124.217.179.74:80 CLOSED 1232 svchost.exe 0x8f6c2300 TCPv4 192.168.1.64:61838 104.21.22.84:443 CLOSED 2946991988 0x90226748 UDPv6 ::1:5888 *:* 3768 svchost.exe 2021-10-19 10:48:44 UTC+0000 0x90566190 TCPv4 192.168.1.64:62064 104.79.121.189:80 CLOSED 1232 svchost.exe 0x92f850f8 TCPv4 192.168.1.64:61828 13.225.93.22:443 CLOSED 2946991988 0x94818b80 TCPv4 192.168.1.64:61793 104.212.68.135:443 CLOSED 2946991988 0x9ea1e678 TCPv4 192.168.1.64:61787 104.18.7.51:443 CLOSED 2946991988 0x9ea3d9b0 TCPv4 192.168.1.64:61958 40.126.35.128:443 CLOSED 1232 svchost.exe 0x9eaae318 TCPv4 192.168.1.64:62023 23.78.217.190:80 CLOSED 452 explorer.exe 0x9eb3a888 TCPv4 192.168.1.64:61894 117.18.237.29:80 CLOSED 2946991988 0xa0ed3628 UDPv4 127.0.0.1:512 *:* 0 `D? 2021-10-19 10:48:13 UTC+0000 0xa182bd58 UDPv4 192.168.1.64:512 *:* 3768 svchost.exe 2021-10-19 10:45:44 UTC+0000 0xa1921df0 TCPv4 192.168.1.64:62071 23.77.28.235:443 CLOSED 1232 svchost.exe 0xa19c9468 TCPv4 192.168.1.64:62029 23.200.142.82:443 CLOSED 452 explorer.exe 0xa3d47be0 TCPv4 192.168.1.64:62013 124.217.179.74:80 CLOSED 1232 svchost.exe 0xabdfb3f0 UDPv4 0.0.0.0:0 *:* 1256 svchost.exe 2021-10-19 10:47:07 UTC+0000 0xabd12488 TCPv4 192.168.1.64:61969 52.254.114.65:443 CLOSED 1232 svchost.exe 0xabda6bd8 TCPv4 192.168.1.64:61961 124.217.179.74:80 CLOSED 1232 svchost.exe 0xafa31680 UDPv4 0.0.0.0:0 *:* 1172 svchost.exe 2021-10-19 10:48:44 UTC+0000 0xafa31680 UDPv6 :::0 *:* 1172 svchost.exe 2021-10-19 10:48:44 UTC+0000 0xafa51830 UDPv4 127.0.0.1:512 *:* 0 `D? 2021-10-19 10:47:21 UTC+0000 0xafb51748 UDPv4 0.0.0.0:0 *:* 1232 svchost.exe 2021-09-20 03:08:38 UTC+0000 0xafba0288 UDPv6 ::1:5888 *:* 3768 svchost.exe 2021-10-19 10:48:44 UTC+0000 0xafa3edf0 TCPv4 192.168.1.64:61788 54.230.85.10:443 CLOSED 2946991988 0xafb11988 TCPv4 192.168.1.64:62068 23.77.28.235:443 CLOSED 1232 svchost.exe 0xafb513e0 TCPv4 192.168.1.64:62069 20.190.163.19:443 CLOSED 1232 svchost.exe 0xb569dad8 UDPv4 127.0.0.1:512 *:* 3768 svchost.exe 2021-10-19 10:48:44 UTC+0000 0xb57ad7d8 TCPv4 192.168.1.64:62079 157.55.109.226:80 CLOSED 1572 OneDrive.exe 0xb57fdbc8 TCPv4 192.168.1.64:61966 124.217.179.74:80 CLOSED 1232 svchost.exe 0xb62c3df0 TCPv4 192.168.1.64:62073 20.190.163.19:443 CLOSED 1232 svchost.exe 0xd2487170 TCPv4 192.168.1.64:61925 54.192.19.207:80 CLOSED 4824 SearchUI.exe 0xd25043f0 TCPv4 192.168.1.64:61928 13.226.123.102:80 CLOSED 4824 SearchUI.exe 0xe77e2350 TCPv4 192.168.1.64:61944 124.217.179.74:443 CLOSED 1232 svchost.exe 0xef1161c0 TCPv4 192.168.1.64:61869 13.225.96.50:443 CLOSED 2946991988 0xef119708 TCPv4 192.168.1.64:61899 104.16.14.243:443 CLOSED 2946991988 0xef122b28 TCPv4 192.168.1.64:61862 104.18.6.51:443 CLOSED 2946991988 0xef131ad0 TCPv4 192.168.1.64:61901 34.96.81.209:443 CLOSED 2946991988

47. [多選題] 特普的計算機中，以下哪一個指令于上述連接中有使用過? (3分)

A. get

B. put

C. delete

D. bye

E. quit

BD

get：將文件從遠端主機中傳送至本地主機中

put：將本地個文件傳送至遠端主機中

delete：刪除文件

bye：中斷與服務器的連接

quit：結束與服務器的FTP會話并退出FTP環境

詳見：ftp常見命令大全_xlg1128的博客-CSDN博客_ftp命令、Windows命令之ftp命令_恒悅sunsite的博客-CSDN博客_windowsftp命令

48. [多選題] 在Linux 的"Volatility" 中，哪一個指令可以知道此程式支持哪一個Windows 版本? (2分)

A. vol.py --profile

B. vol.py --systeminfo

C. vol.py --info

D. vol.py --verinfo

AC

常威

手機

49. [填空題] 常威手機中的Telegram有可能是在2021年9月24日_____時44分58秒 (UTC +8) 首次下載的。(請以阿拉伯數字輸入答案) (2分)

12

2021/9/24 4:44:58(UTC+0)+8=2021/9/24 12:44:58(UTC+0)

50. [填空題] 常威手機曾經連接的無人機名稱是什么?(請以英文全大寫及阿拉伯數字回答) (1分)

SSPARK

DJI Go 4無人機操縱軟件

51. [填空題] 常威手機中，檔案“dji1633936161416.mp4”的解像度是 ________________ (例如是1920 x 1280，請輸入 19201280)。 (1分)

1280720

找到文件路徑Image16 (ExtX)/Root/media/0/DCIM/DJI/dji1633936161416.mp4

根據路徑導出視頻，1280、720

52. [填空題] 常威手機中，發現于網絡上下載的軟件“安心出行”安裝檔的哈希值(MD5)是?(請以英文全大寫及阿拉伯數字回答) (2分)

81C342665D9A8D4D02B0FBB7033167B5

找到文件路徑Image16 (ExtX)/Root/app/hk.gov.ogcio.leavehomesafe-1/base.apk

保存成apk?

扔進雷電APP

53. [多選題] 常威手機中執行軟件“安心出行”(版本2.1.3)中涉及以下安全許可? (2分)

A. android.permission.ACCESS_WIFI_STATE 獲取WiFi狀態

B. android.permission.BATTERY_STATS電量統計

C. android.permission.VIBRATE使用振動

D. android.permission.CONTROL_LOCATION_UPDATES控制定位更新

E. ndroid.permission.CAMERA拍照權限

CE?

在AndroidManifest.xml里把選項帶入查找，只找到了CE

54. [多選題] 常威手機中軟件“安心出行”(版本2.1.3)的安裝檔(.apk)中，哪個不是它的簽名算法? (3分)

A. MD5withRSA

B. SHA256withRSA

C. SHA256withDSA

D. MD5withDSA

ACD?

55. [多選題] 于常威的手機中執行軟件“安心出行”(版本1)可能會連接至哪一個網站? (2分)

A. https://back-home-****.pages.dev

B. org.chromium.******.a5b80edf82b436506

C. org.chromium.******.a5b80edf82b436506_v2

D. https://back-home-****.pages.dev/manifest.json

AC?

版本1的安裝包我不知道怎么提取，只找到了C項

USB

56. [單選題] 在常威蘋果手提計算機, 用戶開機密碼是什么 ?(提示：常威 USB 設備中可能有相關數據) (3分)

A. C**sthegoa*

B. Draw**fgd*f

C. Co*kkfid*dd

D. App*is*won

A

先數據恢復再重新取證，cpisthegoat

57. [填空題] 在常威U 盤內有多少磁盤分隔區 ? (請以阿拉伯數字回答) (2分)

4

不會

58. [填空題] 在常威U 盤內有多少份excel 文件 ? (請以阿拉伯數字回答) (1分)

1

59. [填空題] 在常威U 盤內, 內含有多少個客戶數據 ? (請以阿拉伯數字回答) (1分)

50

?

60. [多選題] 以下哪個客戶數據儲存在常威U 盤內 ？ (3分)

A. jmuat1@reference.com

B. cgeraudg@forbes.com

C. cwarmishamo@admin.ch

D. abddfdf@google.com

E. alex1234@apple.com

ABC

MAC計算機?

61. [單選題] 常威MAC計算機上一個系統版本是甚么及現正運行哪一個版本的系統? (3分)

A. MacOS 10.11.6 and MacOS 11.6

B. MacOS 10.11.5 and MacOS 11.5

C. MacOS 10.11.4 and MacOS 11.6

D. 以上皆非

A

上一個系統版本信息查看\Chris - Data:\root\private\var\db\PreviousSystemVersion.plist，來自官方wp

62. [多選題] 常威MAC計算機的系統事件紀錄內哪個卷標(Flag)是關于儲存檔案于計算機? (3分)

A. Created

B. InodeMetaMod

C. FinderInfoChanged

D. IsDirectory

E. OwnerChanged

ABCE

不太懂

63. [多選題] 常威MAC計算機曾連接哪一個無線網絡SSID? (2分)

A. wai wifi

B. wanchainew1

C. central2

D. Hongkong1

AB

airport

64. [單選題] 常威MAC計算機的使用者甚么時候將”隔空投送”(airdrop)轉換至任何人模式? (2分)

A. 2021-10-21 16:52:48 (UTC +8)

B. 2021-10-21 18:52:48 (UTC +8)

C. 2021-10-21 06:52:48 (UTC +8)

D. 2021-10-21 08:52:48 (UTC +8)

不知

65. [填空題] 常威MAC計算機的APFS儲存容器的文件簽名是________，偏移值為______(例如NTFS及64，請輸入 NTFS64)。 (2分)

NXSB32

66. [單選題] 常威MAC計算機的鏡像檔案內，總共有多少個系統默認的卷標? (1分)

A. 4

B. 5

C. 6

D. 7

B

67. [填空題] 常威MAC計算機的使用者上一次關閉瀏覽器時，正在瀏覽多少個網頁? (請以阿拉伯數字回答) (3分)

10

68. [多選題] 常威MAC計算機中以下哪個檔案并不是iPhone所拍攝的圖片? (2分)

A. IMG_0002

B. IMG_0003

C. IMG_0004

D. IMG_0005

E. IMG_0006

AD?

礦機

69. [多選題] 在常威的礦機沒有進行哪種加密貨幣掘礦 ? (2分)

A. Bitcoin

B. Ethereum

C. RVN

D. Dodge

E. ENJ

ACDE

找到了Phoenix Miner

找到的Phoenix Miner日志文件，導出，是Eth

70. [填空題] 在常威礦機有幾張顯示適配器進行掘礦 ? (請以阿拉伯數字回答) (1分)

2

日志文件中兩張顯卡

71. [單選題] 在常威礦機, hive OS 操作系統是什么版本 ? (1分)

A. 5.4.0 *****

B. 6.0.1 *****

C. 7.0.2 *****

D. 10.0.2*****

E. 15.1.2*****

A

仿真，然后uname –a

72. [多選題] 在常威礦機中, 哪個不是收取掘礦收益的加密貨幣錢包地址 ? (1分)

A. 0xE365625f4**537151304ceba7C7D9dF0C7E829**

B. 0xe68de863f4c3c3cc0**191b9cefdae91b3e6fbd8**

C. 0x00000000897**f4136b4a59731680a88f895303**

D. 0x7335c**20f9533d9cc825e2a6e80821fd44e27f8**

E. 0x00**000089705f4136b4a59731680a88f895303**

BCDE

搜索wallet，?0xE365625f402537151304ceba7C7D9dF0C7E82986

73. [單選題] 在常威礦機中, 用于掘礦登入密碼是什么 ? (2分)

A. eg97em**wm

B. Deg97em**wm

C. feg97em**wm

D. eeg97em**wm

E. heg97em**wm

A

參考2021美亞杯團體賽write up（更正版）_元元努力向上的博客-CSDN博客?，在rig.conf中找到，1eg97emvzwm

74. [填空題] 在常威礦機中,用于掘礦Nvidia顯示適配器所使用的驅動程式使用什么版本?(請以英文全大寫及阿拉伯數字回答) (1分)

4609103

75. [多選題] 在常威礦機中, 用于掘礦顯示適配器型號包括什么? (2分)

A. GeForce RTX 3060

B. Quadro P2000

C. RX 6600

D. GeForce GTX 1660 Ti

E. GeForce GTX 3070

AB?

76. [多選題] 在常威礦機, 哪一天沒有進行掘礦? (2分)

A. 2021-10-06

B. 2021-10-09

C. 2021-10-15

D. 2021-10-17

E. 2021-10-18

BCDE

礦機的日志里面只有2021-10-06

無人機

77. [填空題] 常威的無人機中的飛航紀錄_________.DAT可見到于2021年10月11日1505時的GPS地點。(請以英文全大寫及阿拉伯數字回答) (1分)

FLY096

78. [單選題] 常威的無人機于2021年10月11日15:07:51時之間所在的地點是什么? (1分)

A. 22.269299, 114.200486

B. 22.269353, 114.287267

C. 22.346855, 114.289552

D. 22.269293, 114.201278

D

D與22.269316, 114.201263, 288.746307最接近

79. [填空題] 常威的無人機哪一個檔案有最后降落時間的數據(請以英文全大寫及阿拉伯數字回答,不用輸入".")？ (1分)

FLY096DAT

手機

80. [多選題] 常威的手機中哪一個是由常威的無人機于2021年10月11日所拍攝的圖像文件? (2分)

A. Containers 貨柜

B. Buildings 大廈

C. bicycle 單車

D. Mountain 山

ABD

找到源文件位置Image16 (ExtX)/Root/media/0/DJI/dji.go.v4/FlightRecord/DJIFlightRecord_2021-10-11_[15-06-39].txt

跳轉過去后，找到一些圖片，山、貨柜

大廈

81. [填空題] 常威的手機中顯示常威的無人機DJI GO 4的版本是4.3.___?(請以阿拉伯數字回答) (1分)

37

直接搜索DJI，然后跳轉到應用程序

82. [多選題] 常威的手機中所安裝的DJI GO 4 軟件中，以下哪個database沒有顯示臨時禁飛區? (2分)

A. Filesflysafe_app.db

B. Special_warning.db

C. Flysafe_app_dynamic_areas.db

D. Flysafe_polygon_1860.db

ABD

只有C搜到了有

83. [填空題] 常威的手機中在__________.db可知道DJI GO 4 的登入電子郵件(請以英文全大寫及阿拉伯數字回答) (1分)

Localappstate

找到源文件路徑，Image16 (ExtX)/Root/data/com.android.vending/databases/localappstate.db

跳轉到源文件，找到電子郵件?

84. [填空題] 常威的手機中在__________.db包含了名為server_timestamp 的資料(請以英文全大寫及阿拉伯數字回答) (1分)

Flysafe_app_dynamic_areas

見82題圖

windows計算機

85. [單選題] 常威利用Windows 計算機中的VM Kali進行攻擊和收取受害人電話的數據，請找出常威的VM存放地址 (2分)

A. Users\Chris Paul\Desktop\安全防護 Malware\Kali-Linux-2020.2a-amd64_2.vmwarevm

B. \Users\Chris Paul\Desktop\安全防護 Malware Demo\Kali-Linux-2020.2a-amd64_2.vmwarevm

C. \Users\Chris Paul\Documents\安全防護 Malware \Kali-Linux-2020.2a-amd64_2.vmwarevm

D. \Users\Chris Paul\Documents\Virtual Machines

A

直接搜

86. [單選題] 常威在收集數據后儲存數據于Windows 計算機一個名為"text2.txt"的檔案中，隨后他將檔案移往"\home\kali\Desktop\project\"中, 下述哪個檔案可以證明這一點? i) \root\.bash_history ii) \home\kali\.bash_history (3分)

A. 只有 i

B. 只有ii

C. 兩個也可以

D. 兩個也不可以

D

不知

87. [單選題] 常威Windows計算機中哪一個程式/檔案有可能用作收取受害人電話上的數據? (3分)

A. \home\kali\Desktop\server_express_ok.js

B. \home\kali\Desktop\baddish\package.json

C. \home\kali\Desktop\baddish\server.js

D. \home\kali\Desktop\server.js

C

在Kali-Linux-2020.2a-amd64_2.vmwarevm文件夾中，找到任一以vmdk為擴展名的文件，右鍵-虛擬磁盤解析，能夠將虛擬機直接掛載成證據文件，然后使用對其進行自動取證，在終端記錄中可以知道，先進入Desktop/baddish/，在執行server.js，生成test.txt（參考官方wp）

server.js

收集的數據

88. [多選題] 常威Windows計算機中顯示常威第一次偷取受害人電話數據有機會是在哪一個日子及時間登入 Kali 系統? (2分)

A. 2021-09-27

B. 2021-09-29

C. 2021-09-29

D. 11:42:47

E. 16:04:24

F. 16:30:04

AF

登入kali系統運行虛擬機

89. [多選題] 常威Windows計算機中以下哪一個檔案的哈希值(MD5)能證明常威曾開啟存有客戶數據的檔案? (2分)

A. 0ED1DB00F8598AD3C6B331BF0C477AD4

B. 1E1BDB083F66251A63B79DEA3801E6E9

C. 575326396E31040FE2E13BE42C55C3E2

D. 3128604B4A9EC1D37418942555F6B08A

E. FB5EF33EDEA8ECB5BF07C5DF5332D29F

C

最近瀏覽里面有客戶資料.xlsx

客戶資料.xlsx的MD5值：21CD88843C1DF6A859D4D50AE85E564D

客戶資料.lnk的MD5值：575326396E31040FE2E13BE42C55C3E2

90. [單選題] 常威 Windows 計算機中，哪一個檔案可以找到USB裝置初次連接的時間? (1分)

A. C:\Windows\setupapi.log

B. C:\Windows\setupapi.setup.log

C. C:\Windows\INF\setupapi.setup.log

D. C:\Windows\INF\setupapi.dev.log

C

91. [單選題] 常威 Windows 計算機接駁了一個3D 打印機，以下哪一個哈希值是屬于上述打印機的驅動程式文件中的安裝信息文件(INF檔)? (提示：關鍵詞包含CH341) (3分)

A. 1348FA38956*****1770D7C3E63545BC

B. DBC4F08F835*****FF95420B352B506A

C. 35E7C67A652*****611EDE19C37241C5

D. BAE3BE76CC1*****31EB562ABAFE28DE

C

直接搜

是oem22.inf，MD5值：35E7C67A6522DED6611EDE19C37241C5

92. [填空題] 續上題，上述安裝信息文件的版本日期是什么? (請以阿拉伯數字，及以下格式回答，例: 2019年3月4日，請回答20190304) (1分)

20190130

93. [多選題] 常威Windows計算機安裝了一些與3D 打印機有關的軟件，有可能是以下哪個? (1分)

A. Ultimaker Cura

B. 3DPrinterOS

C. Simplify3D

D. Creality Slicer

AD

94. [單選題] 續上題，哪一個檔案記錄了切片軟件Creality Slicer曾經開啟的3d立體模塊(.stl)紀錄? (1分)

A. \Users\Chris Paul\AppData\Roaming\Creality Slicer\stderr.log

B. \Users\Chris Paul\AppData\Roaming\Creality Slicer\stdout.log

C. \Users\Chris Paul\AppData\Roaming\Creality Slicer\4.8\Creality Slicer.cfg

D. \Users\Chris Paul\AppData\Roaming\Creality Slicer\4.8\Creality Slicer.log

D

Loaded plugin加載的插件

stderr.log，不太了解，排除不了

stdout.log，看著不像，排除

Creality Slicer.cfg

Creality Slicer.log，看著不像，排除

95. [多選題] 續上題，哪一個3d立體模塊(.stl)曾用切片軟件Creality Slicer開啟? (2分)

A. clip_sideb.stl

B. frame.stl

C. trigger.stl

D. hand_guard.stl

AB

linux計算機

96. [填空題] 哪一個是Wai_Linux1.E01 鑒證映像中Linux LVM 磁盤分區的長度? (請以阿拉伯數字回答) (1分)

233388976

fdisk -l

97. [填空題] 常威 LINUX 計算機安裝在邏輯卷管理(Logical Volume Manager)的磁盤分區上, 哪一個是卷組(Volume group) 的通用唯一標識符(UUID)? (請以英文全大寫及阿拉伯數字回答，不用輸入”-“) (1分)

FEKVK3TY1TLUIR2G8LYQ3MVNRVUVZOSL

98. [多選題] 續上題，哪一個是邏輯卷(Logical Volume )設定的名字? (2分)

A. swap

B. root

C. var

D. home

ACD

99. [單選題] 常威 LINUX 計算機曾試用挖礦程式"T-Rex"，在相關腳本(script)中哪一個是工人(worker)的名稱? (1分)

A. stratum

B. rig0

C. ethash

D. E365625f402537151304ceba7C7D9dF0C7E82986

B

搜索挖礦程式"T-Rex"，和ETH相關，在linux中搜索ETH

運行過./ETH-ethermine.sh

找到rig0

100. [填空題] LINUX 系統中利用fdisk 指令下，下列哪一個是 "exFAT"的磁盤分區類型編號(Partition type id)? (請以英文全大寫及阿拉伯數字回答) (1分)

0X4F611C33??

101. [單選題] 在Linux 的環境下，以下哪一個指令用于激活掃描到的卷組(Volume group) (1分)

A. vgscan

B. vgchange

C. vgdisplay

D. vgactive

B

直接搜就行

102. [單選題] 在Linux 的環境下，下列哪一個指令可以刪除內有檔案的文件夾? (1分)

A. rm -d

B. rm -r

C. rm -rd

D. rm -rf

D

直接搜

103. [填空題] 常威 LINUX 計算機邏輯滾動條 (Logical Volume) 路徑“vg/home”使用了甚么系統建立? (請以英文全大寫回答) (2分)

KALI

lvdisplay

?

104. [填空題] 常威 LINUX 計算機邏輯滾動條 (Logical Volume) 路徑 “vg/root” 的Current LE是什么? (請以阿拉伯數字回答) (1分)

5120

105. [填空題] 常威 LINUX 計算機扇區群組 (Volume group)的Total PE是甚么? (請以阿拉伯數字回答) (1分)

43752

vgdisplay

總結

以上是生活随笔為你收集整理的2021美亚团队赛复盘的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。