2020美亚杯个人赛

案例背景
2020年9月,数名信用卡持有人向警方报案,指他们的信用卡被不知名人士在一家本地网上商店购买手机。订单大部分来自海外的网络地址,但有一宗订单来自本地。警方经调查后发现该本地网络地址的注册地址。上门后在该处发现陈慧贤,她否认与案件有关。

警方在现场检获一部笔记本计算机、一部手提电话及一个外置储存装置。在场的初步应变小队在检取证物前,曾为现场环境及证物拍照。另外, 调查队伍亦由网络供货商及网上商店取得了一些与案有关的资料。现在你被委派处理这宗案件, 请由以下的资料分析陈慧贤在本案中有否犯罪, 还原事件经过。

镜像包含资料
(1) 网络地址登记人纪录
(/Meiya Cup 2020/調查報告/互联网服务供货商检查报告_陈慧贤 (Alice).pdf)
(2) 证物照片
(/Meiya Cup 2020/Photo/Alice)
(3) 笔记本计算机的数码法理档案
(/Meiya Cup 2020/Image/Alice/Alice Laptop/Alice_Laptop.e01)
(4) 及外置储存装置的数码法理档案
(/Meiya Cup 2020/Image/Alice/Alice USB/ALICE_USB.e01)
(5) 手提电话的数码法理档案
(/Meiya Cup 2020/Image/Alice/Alice LG Phone/MMC(0x0-0x0747C00000).bin)
(6) 初步应变小队的调查报告
(/Meiya Cup 2020/調查報告/案件调查报告- 被捕人陈慧贤 (Alice).docx)

准备工作
需要VeraCrypt对比赛方的镜像进行解密,光镜像就179G >_<

镜像分析软件:美亚柏科取证大师,火眼仿真

开始解题^ _ ^
首先将Alice的笔记本计算机镜像和外置储存装置镜像放入取证大师中分析,在分析过程中一定要选“索引”!!!

1.Alice的笔记本计算机已成功被取证并制作成镜像(Forensic Image), 下列哪个是镜像的SHA-1哈希值?

答案:EB4854774B68058E5B327907DB2AC40AAA2E7DED


2.Alice的笔记本计算机安装了哪个操作系统(Operating System)?
答案:Windows 10 Pro

3.在Alice的笔记本, 创建用户帐户的SID是甚么?
答案:S-1-5-21-1017277147-4095180158-1226650532-1001

4.在Alice的笔记本,用户的最后登录时间是甚么时候?(本地时间)
答案:2020-09-30 10:13:43

5.在Alice的笔记本,最后登录的用户名称是甚么?
答案:Alice

6.Alice笔记本计算机的名称是甚么?
答案:DESKTOP-DJFFBL6

7.在Alice的笔记本, 最后登录的用户何时更改了Windows登录密码? (当地时间)
答案:2020-09-16 02:22:20

8.Alice笔记本计算机的时区是甚么?
答案:CST

9.在Alice的笔记本, OS分区的文件系统是甚么?
答案:NTFS


10.计算机上预设安装了甚么浏览器?
依照我们的日常使用经验,老Edge、IE在WIN10老版本(1909之前)都是预装的,新Edge则在1909之后预装
答案:IE

11.在Alice的笔记本,哪个是最常用的浏览器?
答案:IE

12.在Alice的笔记本,哪个是最常用的浏览器是什么版本?
答案:IE11

13.在Alice的笔记本, Alice浏览了哪个在线商店的网站
通过浏览9.29日的浏览记录,发现Alice浏览过hksuning、fortress、apple


14.在Alice的笔记本, 受害人的信用卡号是甚么?(Ho PCKYI-电子邮件:shy1211@mtzh.gow.tw)
答案:5411221001217741
仿真进入Alice笔记本的Outlook程序,查看附件R3ZZ.txt

15.在Alice的笔记本, 受害人的信用卡CSC号码是甚么(何PCKYI-电子邮件:shy1211@mtzh.gow.tw)
答案:112

16.除了上述在USB 找出ZIP文件,请找出相同ZIP文件的路径?
答案:C:\Users\Alice\Downloads
这个题讲道理我没看懂他想问什么,直到我用FTK把USB挂载到我自己的机子上的H盘

17.zip文件的哈希值(SHA-256)是什么?
答案:
88F68F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850BBA74B7E59B8

18.ZIP文件的修改时间是多少?(当地时间)
答案:2020-09-29 18:46:52

19.USB驱动器在Alice笔记本计算机上的最后插入时间是何时?(当地时间)
答案:2020-09-29 18:01:46

20.解压的ZIP文件内有哪些文件?
答案:log1nx.txt, R3ZZ.txt, WhatsApp Image 2020-09-29 at 18.35.25.jpeg, WhatsApp Image 2020-09-29 at 18.37.47.jpeg

21."“ ZIP文件中发票的哈希值(SHA 256)是多少=发票(1)名称:WhatsApp Image 2020-09-29 at 18.35.25.jpeg”"
答案:
F4C391A38AB82AD19EDB2B7402DA31F52006C3B4B018F859A451B839878D3EE4

22."“ ZIP文件中发票的哈希值(SHA 256)是多少=发票(2)名称:WhatsApp Image 2020-09-29 at 18.37.47.jpeg”"
答案:
2DAFCC2552A7337844B90F0AB5CDA85BF2F5A71A635E0D3B05731C95937D21F5

23.Alice笔记本计算机上安装了哪种电子邮件软件?
答案:outlook

24.Alice笔记本计算机上安装电子邮件软件的版本?
答案:outlook2016

25.Alice笔记本计算机登录电子邮件软件的电子邮件帐户是甚么?
答案:alicechen741@gmail.com


26.Alice在上述电子邮件对话中获得了哪些数据/文件?
答案:log1ns.txt和R3ZZ.txt

27.该电子邮件的发信者的电子邮件地址是甚么?
答案:bobcheung123@gmail.com

28.上述已收的电子邮件, 发件人的IP地址是甚么?
答案:209.85.220.41

29.在笔记本, Alice的电子邮件地址是甚么?

答案:alicechen741@gmail.com

30.除了Alice,还有其他电子邮件地址与该骗局有关吗?
答案:bobcheung123@gmail.com

31.哪些人有AP和主脑之间的电子邮件记录?有文件传输吗?
答案:Bob和Alice,log1ns.txt,R3ZZ.txt

32.在ZIP 文件中, 有多少受害人的信用卡数据被盗?
答案:7

33.已被黑客盗用其信用卡资料购买的受害者是谁?
答案:TSE KCNG LON 与 HO PCKYI


34.被盗用的内容是甚么?
答案:ID,PW,FNM,DOB,ADR,CTY,ZIP,PHO,NOC,CRD,EXP,CSC,IP

35.Alice的手机型号是甚么?
答案:g3_global_com

36.Alice手机的操作系统版本是甚么?
答案:6.0

37.Alice手机的总储存空间是多少?

答案:32G

38.在Alice 手机, IMG-20200929-WA0002的创建时间是甚么?(本地时间)
答案:2020‎年‎9‎月‎29‎日,‏‎18:24:40

39.在Alice 手机,IMG-20200929-WA0004的创建时间是甚么?(本地时间)
答案:‎2020‎年‎9‎月‎29‎日,‏‎18:25:49

40.IMG-20200929-WA0002和IMG-20200929-WA0004的元数据和相机型号是甚么?
答案:
首先 元数据是描述数据的数据 但是在选项中并未体现,因此,着重于相机型号的确定
相机型号LG-D855


41.在Alice 手机, 预设浏览器浏览历史记录的文件在哪里?
1.手机浏览器是预设浏览器


2.跳到原文件中

42.储存Chrome浏览历史记录的文件是甚么?
答案:
D:\Partition43[hda41][data\com.android.chromelapp_chrome\Default\History(MobileForensics System v2)


43.Alice手机的whatapp ID的账户名称是什么?
答案:85262547937@s.whatsapp.net

44.与Bob和Cole的最后WhatsApp的时间是甚么?(本地时间)
搭建:2020-09-26 18:47:34

45.主脑的名字是甚么?
答案:Bob及Cole

46.Alice,Bob和Cole之间的WhatsApp群组的ID和名称是什么?
答案:85262547937-1600392878@g.us

47.哪一个表,显示了聊天群组“ Big Big Club”的创建时间?(本地时间)
答案:chat_list
1.首先,进入whatapp的数据库,跳到源文件


2.将这个数据库文件导出分析

48.聊天群组“ Big Big Club”是甚么时候创建的?(本地时间)
答案:2020-09-18 09:34:38

49.Alice是否曾经登陆whatsapp网站?如果有的话,她是在何时登入? 所用的是甚么浏览器? (提示:在移动取证图像上找到结果)(UTC +0)
答案:Yes,Window Edge,2020-09-29,10:43:44
时间是UTC+0,要减去8

50.Alice如何收到这笔钱?钱包地址是甚么?
答案:比特币钱包 1L6fKWpEYvUi8FeG6BnXqfh1joAgmJA1h1

51.“Deleted by the sender”的media_wa_type是甚么?
查找删除的信息,直接跳到源文件,导出数据库进行分析,messages
答案:15

52.Alice手机的Wifi MAC地址是甚么?
WIFI跳到源文件,在文件WCNSS_qcom_cfg.ini中找到wifi MAC地址
答案:Intf0MacAddress=000AF58989FF

53.Alice USB驱动器内的ZIP档案的密码是甚么? (某些字符被刻意用*遮盖)
答案:QP**!#80**

54.Alice USB驱动器内的哪一个程序是用作储存秘密数据?
答案:Messagesecure.apk
1.找到的这个apk,将其导出来

2.利用雷电APP进行查看

55.打开秘密讯息的密码是甚么? (某些字符被刻意用*遮盖)
只能是另一个密码了
答案:G889#h

56.USB驱动器内,其中一个档案的秘密讯息是甚么? (某些字符被刻意用遮盖)
答案:bob iphone pw is 1144

57.贴在笔记本计算器机上的密码有甚么用途?
答案:从文件恢复安全信息

58.Alice USB驱动器内的档案有甚么种类?
**解析:**档案种类就是文件类型
答案:png,zip,7z,apk,

59.Alice USB驱动器的哈希值(SHA-256)是甚么?
答案:
528D94ED83F41C356B0588C2C21ECF563E9D8CA66ED6D97A3D57C26291854DFF

60.在USB驱动器中找到的ZIP文件(Downloads.7z),它的哈希值(SHA-256)是甚么?
答案:
88F68F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850BBA74B7E59B8

61.在Alice的USB内, ZIP文件的最后修改时间是?
答案:2020-09-29 18:01:46

参考链接:
https://blog.csdn.net/weixin_49938323/article/details/109752477
https://www.cnblogs.com/zhwyyswdg/p/14006353.html
https://www.meiyacup.com/Mo_index_gci_36.html
https://www.cnblogs.com/R0undab0ut/p/15521614.html
https://www.it610.com/article/1457335935631929344.htm

2020美亚杯个人赛相关推荐

  1. 2019美亚杯个人赛

    2019美亚杯个人赛 © 版权声明 中国电子数据取证大赛(含之前用过的大赛名称)相关检材和试题等内容,其版权归属于本赛事组委会,使用者在使用或变相使用时,必须声明版权 拥有者是中国电子数据取证大赛组委 ...

  2. 2020年美亚杯个人赛wp

    写于2022年美亚杯前夜,疯狂抱佛脚 1. Alice的笔记本计算机已成功被取证并制作成镜像(Forensic Image), 下列哪个是镜像的SHA-1哈希值? A:9A3040D8DE7DB364 ...

  3. 2019美亚杯个人赛刷题

    文章目录 写在前面 解题 1. 何源的个人计算机硬盘已成功被取证并制作成镜像(ForensicImage),下列哪个是镜像的SHA1哈希值? 2.在何源的个人计算机中,硬盘中包含哪个操作系统(Oper ...

  4. 2021美亚杯个人赛记录

    一.检材 1.案件背景 个人赛 2021年10月某日早上,本市一个名为"大路建设"的高速公路工地主管发现办公室的计算机被加密并无法开启,其后收到了勒索通知.考虑到高速公路的基建安全 ...

  5. 2020美亚杯团体赛刷题 部分题解(1-27、73-124)

    文章目录 写在前面 解题 结语 参考资料 写在前面 美亚杯还是挺考验分工协作的,自己做了zello和xeno的两个Server,还有Cole的设备.记录一下解题思路. 同时由于美亚杯的题目局部的顺序是 ...

  6. 19美亚杯个人赛,第一次做取证题目,大佬勿喷。(保姆级教程)

    资格赛 - 案情介绍 1. 何源是一名 25 岁的客服人员,在一间电讯公司工作.某日,何源在用 iPhone 手机在政府建筑物 中偷拍车牌期间被警员截停,盘问期间警员检查手机相册发现多张车牌图片,何源 ...

  7. 2021年美亚杯个人赛复盘

    "美亚杯"第七届中国电子数据取证大赛 本次比赛共1 个段落, 62 个小题, 总共114分 "美亚杯"第七届中国电子数据取证大赛试题 (62个小题, 共114分 ...

  8. 2022年第八届美亚杯个人赛复盘

    以学生的身份最后一次打美亚杯了还是要记录一下的写个wp告别哈哈. 1.[单选题] 王晓琳在这本电子书籍里最后对哪段文字加入了重点标示效果(Highlight)?(2分) A. 卿有何妙计 B. 宝玉已 ...

  9. 2022美亚杯个人赛

    背景 于2022年10月,有市民因接获伪冒快递公司的电邮,不慎地于匪徒架设的假网站提供了个人信用咭资料导致经济损失. 警方追查下发现当中一名受骗市民男子李大輝 (TaiFai) 的信用卡曾经被匪徒在区 ...

最新文章

  1. 10、Power Query-合并查询与追加查询结合应用
  2. 一个栈桢对应着一个方法
  3. 一夜回到解放前,无数可依情况下如何做好风险控制
  4. cx_oracle写日志信息_浅谈微服务架构之构建日志收集系统
  5. poj 3678 Katu Puzzle 2-SAT
  6. Python使用Telnetlib模块实现telnet远程操作
  7. Java基础知识点面试手册
  8. 昂达v811升级到4.22d之后shell可以使用root权限操控文件系统
  9. 微信公众开发 表情开发php,微信公众帐号开发教程第9篇-QQ表情的发送与接收_PHP教程...
  10. 【官方文档】Fluent Bit 安装在 Windows
  11. WIN10桌面任务栏消失变黑色的解决方法
  12. gulp简单入坑介绍
  13. 高校宿舍管理系统详细需求分析说明书
  14. Chem 3D软件可以改变背景吗
  15. safari 浏览器 JSON Parse error: Unterminated string
  16. 一看就会一学就废之SpringBoot整合通用Mapper以及常用方法
  17. FastDFS,Redis,Solr,ActiveMQ核心技术整合三
  18. Pytorch教程入门系列4----Autograd自动求导机制
  19. python程序设计论文_【程序设计论文】程序设计论文范文(共40篇)
  20. linux点对点聊天室的实现与设计心得,基于Socket接口的Linux与Windows网络聊天室设计与实现...

热门文章

  1. mysql5.7小版本升级-windows
  2. 【英语演讲】Simulation Test 模拟测试
  3. 基于ESp8266的智能插座
  4. Flink优化01---资源配置调优
  5. w7系统怎么开启打印机服务器,Win7如何开启打印机服务?
  6. 大数据挖掘-伤寒论和金匮要略(COVID-19用药启示录)
  7. Server 2008改成个人习惯的配置
  8. 一个只完成了一部分的小游戏。。。
  9. 【论文笔记】CIRNet:基于CycleGAN的无监督循环配准模型
  10. Python如何查询版本号