因为当时没有参加比赛,用的奇哥给的镜像和参考答案,然后自己重新做了一遍,记录一下自己的思路(我自封大娘级记录,保姆级懂吧)。

指路奇哥(奇哥带好人 (๑•̀ㅂ•́)و✧):2021第七届美亚杯中国电子数据取证大赛详解write up_奇乃正的博客-CSDN博客_美亚杯

一、赛前准备部分

首先下载个人赛镜像( 以下检材是赛前一日提供下载),得到的包如下:

文件一:image_update打开以后是一个叫VTM-computer的E01镜像文件。

文件二:Individual_Container_zip_Hash Table.xlsx是下载检材的哈希值列表,用以核验下载的包是否完整(顺便问一句,大家下载检材结束以后第一个事儿是全部都计算一遍哈希值来校验吗?我觉得有点耽误时间,有没有好用的哈希计算工具推荐丫✧(≖ ◡ ≖✿))。

文件三:Individual_Container.zip.001下载以后显示是一个压缩包格式(解压密码:MeiyaCup2021),解压得到Individual_Container加密容器,赛题存储在这里面,需要密码才能通过加载显示出(我用的取证大师,不知道veracrypt工具应该也能?)具体的检材(顺便再问一句,Individual_Container.zip002和003是不是没用啊?后面都没有用到也,可以直接删掉吗?有影响吗?  ≡ω≡)。

二、做题前的准备工作

(一)解密

取证大师-新建案例-随便命名-加密容器-选择加密文件(Individual_Container)-粘贴密码(HfsCk]<eUqc5Q{(DG$ugiGlt8ezGdaZ>!pQC-H\5BAc^gBo/^qq)/i21ufiN@H"Y
)-下一步-开始取证(ps:“下一步”以后叉掉,然后也可以加载出来,不过会比较乱,不好看)

关于容器密码不得不说的二三事:

比赛当天会通过公告发布容器解密密码,听说当日无法复制,而且有折叠,直接拉跨,心态爆炸。

科学的姿势是:在网页开发者工具中复制。

指路远远:2021美亚杯资格赛WP

(二)导出检材

上一步“开始取证后获得的文件列表如下:

1、先观察

第5、6叫List of image and path (individual).docx。顾名思义,镜像文件清单和路径,咱们先导出来。(给小白的括号:勾选-右键-导出-导出勾选关联文件)。打开如下:

2、对照着回到取证大师一个一个勾选,然后一块导出。(ps:第4个,路由器日志不叫这名儿,不过照着”.log"导出就行,毕竟就那一个log文件,没得选)

ps:有人发现vtm-computer.e01又出现了吗?(会谢,这个是出问题的,建议别管。真正的vtm-computer.e01在前一天下载的update文件里,可以回到第一部分-文件一去看看。)

三、开始做题(一共62道题,2h时间)

我的想法,拿到题目先观察:

(一)1-9题:关键字-工地主管、电话、手机、手机相关应用(微信、蓝牙),所以这几道题我们需要用到的检材是——VTM iPhone6

(不会有人要问为什么吧,回头去看二、(二)、1。  = ̄ω ̄=)

解压VTM iPhone6,得到:

文件一: AccountPackage(目前都没发现有啥用)

文件二:一个阅读器(第一次见)

文件三:VTM iPhone 6.ufdr(第一次见这种格式的文件)

直接把关键字“Cellebrite Reader”“ufdr”放搜索引擎,得到结果如下:

我点击了第二个链接,得到结果:

 行,安装cellebrite reader读ufdr就行。

(快速做题思路:要做题,exe里边肯定没有答案,那答案必定在ufdr里,关键是如何打开,取巧的想,那肯定是给我的个对应的软件打开,那这个cellebritereader.exe多半就是那个对应的软件,直接开整)

1.[单选题] 工地主管电话的微信账号是什么? (1分) 

Kaiser Lee

ps:翻来覆去都没有wecaht,只有这whatsapp,于是我去百度了(为什么要加关键字“香港”,香港银出的题,香港银的案例,香港银做的检材啦,盆友),得到结果如下:

 那么我姑且就先把cellebrietereader里面获得的这个whatsapp的用户作为答案保存吧

2.  [填空题] 工地主管的隔空投送装置编号是什么? (请以英文全大写及阿拉伯数字回答) (1分)

780F624DF099   

3.[单选题] 工地主管电话的哪一个应用程序有关于于经纬度24.490474, 118.110220的纪录?

apple maps

思路一:直接盲猜 apple maps(但过于草率了哈哈哈哈)

思路二:直接搜索该经纬度,搜一半就行,搜多了出不来。

4. [多选题] 工地主管的手提电话中下列哪些数据正确? (1分)

A. iOS 版本为 12.5.4
B. IMEI 为 454120637213361
C. Apple ID 为 kaiserlee3660@gmail.com
D. 手机曾经安装 dropbox 应用程序

 ps:dropbox(多宝箱)是一款免费网络文件同步工具,直接在软件中搜索,并没有该软件痕迹。

5. [填空题] 工地主管的电话最常使用的浏览器是什么? (请以英文全大写回答) (1分)

safari

6. [单选题] 工地主管的电话连接过哪一个WiFi? (1分)

Kaiser Lee

PS:知识点- SSld:无线局域网络(WLAN)名称(基础知识

指路Th0r安全:2021年“美亚杯”全国电子取证比赛复盘

7. [多选题] 工地主管与Alex Chan的Whatsapp 对话中,曾提及以下哪个TeamViewer的用户号码? (3分)    

A. 435334881
B. 453851521
C. 435475200
D. 456874155
E. 435270306
思路:提及了 “Whatsapp 对话”那么要去找聊天记录。找到和“teamviewer”相关的东西。直接搜

ps:建议大家留心一些东西,相关的账号、ID、密码、邮箱啥的,还有聊天在说什么东西,还原发案过程,后续可能需要的!我觉得做题不能乱,逻辑要清晰,一切围绕案件发生后回溯过程而存在。(或者先抓点蛛丝马迹在手里,比如这里面Alex装作电脑维修人员给这个主管修电脑,让主管装Teamviwer,后来发现他是为了控制电脑->留后门->实施Bitlocker加密->比特币勒索。)

思路指路cgspine:2021年第七届“美亚杯”电子数据取证个人赛Write up - UCloud云社区

8. [填空题] 工地主管的WhatsApp中有多少个黑名单的记录? (请以阿拉伯数字回答) (2分)

0

我先搜索了“黑名单”“black”类似的关键字,啥也没有。题外话,笑死于下图,一天都在看啥啊这是(美女的尽头是Lisa(狗头保命.gif) ):

从“已分析数据”模块是没找到什么黑名单相关的东西的(百度了,在手机上无法直接查看whats对应档案,那我寻思“已分析数据”也没办法把这些应用数据直接展示,那就只有去数据库找了。

数据库的位置:随便打开一个 whatsapp 聊天记录,看右侧源文件的地址,找到其数据库的位置在

iPhone/mobile/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApp.shared/C
hatStorage.sqli

双击ChatStorge.sqlite,发现ZWBLACKLISTITEM,是0

9. [多选题] 以下哪个蓝牙装置的Uuid 曾连接过工地主管的手机? (2分)

A. 7F1FE70D-2B15-C245-853D-4196F13CC446
B. 1B057C1D-83D3-99A6-D2B1-EC54846C7CEE
C. 134ACD1-83D3-99A6-D2B1-EC54846C7CEE
D. 7D1BE70D-2C16-D246-851D-491613DD776

没有直接记录,根据存储路径去翻文件

(二)10-19题:关键字-工地主管、计算机、ftp.所以这几道题我们要用的检材是VTM-conputer.e01、FTP.e01

先把两个镜像给我跑起来,如下:

10. [填空题] 工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么? (请以英文全大写及阿拉伯数字回答,不用输入”-“) (1分)

36EBC18095F741FFBE5B4E56E7AF48B1

右键分区5-bitlocker解密-恢复密钥-得到答案(ps:修复密钥标识符就是恢复密钥串的恢复密钥标记)。为什么下图是分区5,因为前面有把小锁哇,不是它是谁呢?(๑′ㅂ`๑),这玩意儿后面肯定要用到,保存好,别扔。11. [填空题] 工地主管计算机內的FTP程序FileZilla的用户名称是甚么? (请以英文全大写及阿拉伯数字回答) (3分)

alex

没事把这个ip和端口记录一下(为啥要存?拜托,他很可能是通过远程控制实现攻击的,后面万一有流量包或者日志要分析嘞)

12. [填空题] 工地主管的Team Viewer ID 是甚么? (请以英文全大写及阿拉伯数字回答) (2分)

435270306
回看第7题可得答案,知道我当时为啥要说,没事看看他们到底在聊啥了吧。
13. [填空题] 工地主管的Team Viewer与哪一个ID连接? (请以英文全大写及阿拉伯数字回答) (3分)   420190768

基本上到这就可以知道了,alex通过teamviewer远程连接工地主管的电脑实现攻击。

14. [多选题] 工地主管曾用计算机浏览器作搜寻,以下哪一个关键词他曾经搜寻? (3分)

A. tiktok
B. web whatsapp
C. facebook
D. lihkg
E. hkgolden
F.

这道题直接搜就完事。

注意D选项,搜出来的确有,但是点开,不对头哈,注意陷阱。

15. [填空题] 工地主管计算机的Windows系统的产品标识符是甚么? (请以英文全大写及阿拉伯数字回答,不用输入”-“) (1分)

003311000000001AA962
系统标识符,各位大佬的解释都是说就是产品ID。产品ID的位置,一般都在系统痕迹-系统信息。

16. [填空题] 工地主管曾用计算机使用WhatsApp,他曾和以下哪个电话号码沟通? (请以阿拉伯数字回答) (2分)

这个不知道正确答案到底是啥。奇哥在alex的计算机镜像里找到的。(我寻思我比赛的时候肯定想不到从alex这儿找)

17. [多选题] 工地主管计算机的用户名称是甚么? 其用户标识符是甚么? (2分)

A. 用户名称: PC1
B. 用户名称 : PC2
C. 用户名称 : PC3
D. 用户标识符: 0x000003E7
E. 用户标识符 : 0x000003E8
F. 用户标识符: 0x000003E9
老规矩,系统用户名这种去看系统信息-用户信息

但是用户标识SID和答案不一样,因为需要转换成16进制

思路二:从用户登录/注销日志里面去找


​ 18. [单选题] 工地主管计算机的预设浏览器是甚么? (2分)

A. Chrome
B. Firefox
C. Safari
D. 以上皆否
思路一:直接看取证大师上网记录,发现符合选项的也只有google chrome(但是这样做不严谨)

思路二:使用仿真方法做,仿真成功后,在桌面上建一个.html 文件即可发现是 chrome 浏览器的 logo。(正规军的做法)

为什么我仿真电脑直接打不开嘞。必须使用仿真软件吗?

19. [填空题] 工地主管计算机的其中一个分区被人加密,分区内的电子表格Material3.xlsx的哈希值(SHA1)是甚么? (请以英文全大写及阿拉伯数字回答) (1分)

40418B21F6C3E4AF306D5EF3B80A776DA72FC1D2

解题思路:要知道哈希值,首先得拿到Material3.xlsx文件,要拿到这个文件,就要对这个分区进行解密。在第10题就提到了,被bitlocker加密了,我们用取证大师已经直接有了“恢复密钥标识符”,现在还需要“恢复密钥文件”,那么去哪里找呢?

在本镜像内寻找半天无果后(实在不行就先把这道题放着咯),想到了还有ftp镜好像没怎么用。把他给我点开!找!,结果如下:

一共是3个,选哪一个呢?通过第10题我们得到的“恢复密钥标识”,根据对应关系,咱们需要的是第一个txt。

导出-重新打开vtm-computer镜像案例-分区5-右键bitlocker解密-恢复密钥-选择密钥文件。


解密完成以后,给

2021美亚杯(个人赛)练习记录相关推荐

  1. 2021美亚杯个人赛记录

    一.检材 1.案件背景 个人赛 2021年10月某日早上,本市一个名为"大路建设"的高速公路工地主管发现办公室的计算机被加密并无法开启,其后收到了勒索通知.考虑到高速公路的基建安全 ...

  2. 2020美亚杯个人赛

    2020美亚杯个人赛 案例背景 2020年9月,数名信用卡持有人向警方报案,指他们的信用卡被不知名人士在一家本地网上商店购买手机.订单大部分来自海外的网络地址,但有一宗订单来自本地.警方经调查后发现该 ...

  3. 2019美亚杯个人赛

    2019美亚杯个人赛 © 版权声明 中国电子数据取证大赛(含之前用过的大赛名称)相关检材和试题等内容,其版权归属于本赛事组委会,使用者在使用或变相使用时,必须声明版权 拥有者是中国电子数据取证大赛组委 ...

  4. 2021年美亚杯个人赛复盘

    "美亚杯"第七届中国电子数据取证大赛 本次比赛共1 个段落, 62 个小题, 总共114分 "美亚杯"第七届中国电子数据取证大赛试题 (62个小题, 共114分 ...

  5. 2021美亚杯资格赛

    第一次参加美亚杯,早上的资格赛出了点意外,导致一名队友未进入下午团队赛,最后只剩两个人做团队赛,导致后面有几个镜像没来得及做.第一次写WP,记录一下的思路 1. [单选题]工地主管电话的微信账号是什么 ...

  6. 19美亚杯个人赛,第一次做取证题目,大佬勿喷。(保姆级教程)

    资格赛 - 案情介绍 1. 何源是一名 25 岁的客服人员,在一间电讯公司工作.某日,何源在用 iPhone 手机在政府建筑物 中偷拍车牌期间被警员截停,盘问期间警员检查手机相册发现多张车牌图片,何源 ...

  7. 2019美亚杯个人赛刷题

    文章目录 写在前面 解题 1. 何源的个人计算机硬盘已成功被取证并制作成镜像(ForensicImage),下列哪个是镜像的SHA1哈希值? 2.在何源的个人计算机中,硬盘中包含哪个操作系统(Oper ...

  8. 2020年美亚杯个人赛wp

    写于2022年美亚杯前夜,疯狂抱佛脚 1. Alice的笔记本计算机已成功被取证并制作成镜像(Forensic Image), 下列哪个是镜像的SHA-1哈希值? A:9A3040D8DE7DB364 ...

  9. 2022年第八届美亚杯个人赛复盘

    以学生的身份最后一次打美亚杯了还是要记录一下的写个wp告别哈哈. 1.[单选题] 王晓琳在这本电子书籍里最后对哪段文字加入了重点标示效果(Highlight)?(2分) A. 卿有何妙计 B. 宝玉已 ...

最新文章

  1. 使用指定glibc编译程序
  2. 《快乐大本营》升级改版 此举对芒果超媒整体收益并无太大影响
  3. Powershell About Active Directory Group Membership of a domain user
  4. Linux编程(10)_进程通信
  5. 关于行内元素的margin padding一些说明;background-color的范围
  6. 计算机科学素养大赛,第六届全国大学生计算机应用能力与信息素养大赛圆满结束...
  7. leetcode-二叉树中的最大路径和
  8. 借助Mendix打造敏捷开发和移动端应用的数字化维修服务平台
  9. 使用python的requests模块实现百思不得其姐抓取(多线程版)
  10. python xlrd 错误:xlrd.biffh.XLRDError: Unsupported format, or corrupt file: Expected BOF reco
  11. 搜索和遍历在图中有何区别和联系?
  12. 众享比特参编 | 《Web3.0前瞻研究报告(2022年)》发布及解读,附下载方式
  13. 深度学习——Metal artifact reduction
  14. c语言中static作用
  15. Solaris IPMP配置
  16. CSS样式书写顺序 与 浏览器内部加载原理
  17. CVPR2019目标检测汇总
  18. 2021最新 阿里云ECS的CPU100%排查
  19. 短视频用户陷入视觉疲劳,AI能否救场
  20. 牛牛!!央视春节晚会应该由他去策划

热门文章

  1. Cannot determine value type from string ‘5ca68b45-78bc-4a68-b3a6-97b0ff73797‘
  2. uniapp如何引入colorUI
  3. CAD数据坐标系统问题
  4. 早该消失的埃菲尔铁塔为何存在至今?
  5. 对应的cuda版本 显卡驱动版本_cuda和显卡驱动版本
  6. 电脑端如何隐藏显示CAD图层内容
  7. NYOJ-999-师傅又被妖怪抓走了
  8. MySQL优化系列3-Linux查看CPU、内存、磁盘、网络信息
  9. 柱状图中最大的矩形多种解法
  10. 学习仿今日头条疫情地图+用户画像(echarts)