检材文件下载链接:https://pan.baidu.com/s/1kg8FMeMaj6BIBmuvUZHA3Q?pwd=ngzs

提取码:ngzs

个人赛与团队赛下载文件解压密码:MeiyaCup2022

个人赛解压缩时间:

45min左右

团队赛解压缩时间:

1h20min左右

个人赛加密容器解密密钥

CZDGm#&2_Ns$7wSMn%ZGr7xntcHS7d5uFta#Up9544jx_cvP$uFM7?pTDa*jN&QyFDLS8U%hx$fXN^BY$Xsj+3@F^y#4QFXb*Uq@wLmkCE7?&Yp+nX6s@hKrzpVE%v?&

团队赛加密容器解密密钥

av?5CAXw;&N`X)6)%B>Y<`Gx[IVq<5F;mAQp]b@ftYpF6v,*88~%wF*CS}.w*7"S(,I[gJE((9cwT@zEh2mY$AK[aZzW&JFR<\FE}RC\Gjx[!ec^GrDne]xK)SuUPMWX

个人赛部分共70题

1.[单选题] 王晓琳在这本电子书籍里最后对哪段文字加入了重点标示效果(Highlight)?(2分)
A. 卿有何妙计
B. 宝玉已是三杯过去了
C. 武松那日早饭罢
D. 就除他做个强马温罢

\火眼-文件导出\00008030-001155282E38402E.tar\AppDomain-com.apple.iBooks\Documents\storeFiles

先看第70题,再回来看这题

2.[多选题] 王晓的手机里有一个 MTR Mobile (港)的手机程序(Mobile App)。 检视其数据库(Database) 的数据,王晓琳于2022年10月11日 22:04 时将一行程加入书签(Bookmark),这段行程的起点及终点站包括?(2分)
A. 尖沙咀
B. 红硒
C. 康城
D. 青衣
E. 沙田

去里面的文件夹进行查找

关键词:数据库、2022年10月11日 22:04、书签

找到一个,但是内容好像不对,回去继续找

这个时间相近,看看

发现想要的,把bookmark选上

于是找到起点

勾选终点

3.[填空题] 王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片?(以拉伯数字回答)(1分)

90

00008030-001155282E38402E.tar/CameraRollDomain/Media/PhotoData/Thumbnails/V2/DCIM/101APPLE

这个是苹果拍摄的图片文件夹,记好啦

导出直接看

4.[单选题] 检视王晓琳的手机照片,她于2022年10月2日到过什么地方?(1分)
A.大潭郊游径
B.城门畔塘径
C.大榄麦理浩径
D.京士柏卫理径

慢慢看,就来了

5.[单选题] 李大辉使用的是一台LG V10的手机,它的型号是什么?(1分)
A. LGH960C
B. LGH961N
C. LGH960H
D. LGH961C
E. LGH961D

6.[单选题] 李大辉的手机最常搜索的类别(Category) 是什么?(1分)
A. 护肤品
B. 旅游
C. 运动
D. 学校

精致~

7.[填空题] 李大辉最近光顾了一家美丰快运公司,这快递件的单号是什么?(不要输入符号及空白,以阿拉伯数字回答)(1分)

手机邮箱用手机大师

8.[单选题] 李大辉收到的电邮中有一个钓鱼链结(Phishing Link),这个链结的地址是什么?(1分)
A. 以上皆非
B. https://bit.ly/3yeARcO
C. https://bit.ly/5vM12
D. http://bit.ly/Hell0

9.[单选题] 承上题,这封电邮是从哪个电邮地址寄出的?(1分)
A. 以上皆非
B. Cavinchow456@yahoo.com
C. 2020ChanChan@hotmail.com
D. 30624700Peter@proton.me

这里三题选对软件就简单

10.[单选题] 承上题,寄出这封电邮的IP地址是?(2分)
A. 以上皆非
B. 65.54.185.39
C. 10.13.105.56
D. 58.152.110.218

数据库找到这条消息

后拉找到url

然后怎么查ip就不知道了,emmm...

盲猜A,我不知道!

[单选题] 李大辉手机有一个orderxlsx 的档案被加密了,解密钥匙是什么?(1分)
    A. 2022 Nov!
    B. 20221101
    C. Nov2022!
    D. P@sswOrd!

12.[填空题]香港的街道上每一枝街灯都有编号。分析李大辉手机里的程序KMB 1933,哪一枝街灯在经度 Latitude) 22.4160270000,纬度(Longitude) 114.2139450000 附近,它的编号是什么?(以大写英及阿拉伯数字回答)(2分)

过,学不明白

13.[填空题]李大辉的手机里有一张由该手机拍的照片,照片的元资料(Metadata) 曾被修改,这张照片的档案名是什么?(以大写英文及数字回答,不用回答副档名)(2分)

Android.bin/分区57/media/0/DCIM/Camera

这个是安卓手机相册文件夹

可以发现只有这个是修改时间和创建时间不一样

14.[单选题] 分析李大辉的手机里的资料,他在哪一间公司工作?(2分)
A. 美丽好化妆品公司
B. 步步高贸易公司
C. 盛大国际有限公司
D. 永恒化妆品公司

刚才找到密码的excel打开

还有原来文件夹找到的一张员工证

[填空题] 林浚熙曾经以手机登录Google账户的验证码是什么?(不要输入符号,以大写英文及阿拉伯数字回答)(1分)

[填空题] 林浚熙手机的 WhatsApp’ 号码是什么?(号码)@s.whatsapp.net? (以阿拉伯数字回答)(1分)

17.[单选题] 通过分析林浚熙手机的照片,判断他在何处偷拍王晓琳?(1分)
A. 交通工具
B. 郊野公园
C. 游泳池
D. 酒店房间

在照片里找,发现找不到

去聊天记录里翻翻

18.[填空题] 林浚熙曾经删掉自己拍摄的照片,这张照片的档案名(Filename) 是什么?(不要输入,以大写英文及阿拉伯数字回答。如Cat10.jpg,需回答CAT10JPG)(2分)

19.[填空题] 王晓琳曾经发送一个PDF档案予林浚熙,这个档案的文件签名(File Signature) 是什么?(以十六进制数字答首八位数值,如
FOA1C5E1)(2分)

找到对应id的pdf文件

跳转源文件看看就好啦

20.[填空题] 承上题,该PDF档案内包含一位曾经被肩的受害者资料。分析林熙手机的数据,这位受害者的英文名字是什么?(不要输入符号及空白,以大写英文回答)(2分)

你会发现,这个文件头是excel的!

导出后改后缀

然后这么多人,就聊天记录里找点线索

找到了

21.[单选题] 分析林浚熙手机上的数据,他在2022年10月17日计划去什么地方?(2分)
A. 以上皆非
B. 荃湾站
C. 沙田站
D. 国际金融中心二期

参考其他师傅

22.[填空题] 承上题,上述行程的结束时间是?(如答案为 1:01:59,需回答 160159)(2分)

23.[填空题] 于林浚熙的手机里,在2022年9月1日 或以后,哪一张照片是由其他手机拍摄的,而它的档案名是什么?(不要输入,以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG)(2分)

将9.1后的照片导出,其实并不多

发现一样的

接下来参考许师兄的wp:

时间相同,基本确定,要想继续确认,根据上下题提示,需具体分析数据库,导出该数据库

我们将刚导出的这些照片和该数据库的ZADDITIONALASSETATTRIBUTES表可以看到以下一系列信息,

将二表碰撞

这个相册库还是比较大的,对初学者不友好,借助对应的查询语句集可以快速筛我们所需要的内容。但是实话实说手工梭这种数据库这才是真正的电子取证。

Local Photo Library Photos.sqlite Query Variations & WHERE statements – The Forensic Scooter

感觉不太对但是下面的题还是应该可以写的。

个人疑问:酒店偷拍的照片也是重复的

24.[单选题] 根据照片的数据库Photos.sglite) 资料,哪一个栏目标题(Column Header) 可以显示这张照片的接收方式?(2分)
A. ZRECEIVEMETHODIDENTIFIER
B. ZIMPORTEDFROMSOURCEIDENTIFIER
C. ZIMPORTEDBYBUNDLEIDENTIFIER
D. ZRECEIVEDFROMIDENTIFIER

这是我的,下面借用师兄wp

[单选题] 承上题,这张照片通过什么方式接收?(2分)
    A. 网页下载
    B. 蓝牙传送
    C. 以上皆非
    D. WhatsApp软件传送
    E. Signal软件传送

过滤秒选

[填空题] 承上题,这张照片原本的档案名(Original Filename) 是什么?不要输入,以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG)(3分)

[填空题] 林熙手机里有一个备忘录(Notes)被上了锁,这个备忘录的名称是什么?(以大写英文及阿拉数字回答)(1分)

看不太出来,解析看下一题

[填空题] 承上题,上述备忘录的内容有一串数字,它是什么?(以阿拉伯数字回答)(2分)

notestore导出

发现两个加密的

往后拖可以出上一题答案

有hint诶,234567???

29.[单选题] 林浚熙计算机(Computer) 的操作系统(Operating System) 版本是什么?(1分)
A. Windows 10 Pro for Workstations 21H2
B. Windows 10 Pro 22H2
C. Windows 10 Home 21H2
D. Windows 10 Pro for Workstations 21H1

可以开始仿真了捏!

[填空题] 林浚照计算机安装了什么品牌的虚拟专用网络 Virtual Private Network - VPN)软件?(不要输入符号及空白,以大写英文及阿拉伯数字回答)(1分)

[填空题] 承上题,分析该虚拟专用网络的日志(Log),他在哪天安装该虚拟专用网络?(如答案为 2022-12-29,需回答 20221229)(2分)

虚拟机专用网络——>VPN

[填空题] 检视林浚照计算机的数据,他使用哪种加密货币(Cryptocurrency) 以支付虚拟专用网络软件?以大写英文回答该加密货币的全名,如 BITCOIN)(1分)

[填空题] 林浚熙的加密贷钱包Cryptocurrency Wallet 名称是什么?不要输入符号,以大写英文及阿拉伯数字回答2分)

[多选题] 林浚熙计算机里安装了哪个浏览器(Web Browser)? (1分)

[单选题] 林浚熙使用浏览器 Google Chrome’ 曾经浏览最多的是哪 个网站? (1分)
    A. https://gmail.com
    B. https://mail.google.com/mail
    C. https://web.whatsapp.com
    D. https://facebook.com

[多选题] 除了上述网站,林浚熙曾使用浏览器 Google Chrome’ 搜索过什么?(1分)
    A. javascript教学
    B. php sql教学
    C. tor教学
    D. docker image教学
    E. electrum教学

暴搜???

[单选题] 林浚照的计算机安装了一个通讯软件Signal’,它的用户部储存路径是什么?(1分)

A. Users\HEINDesktop Signal

B. Users\HEI\AppData Roaming Signa

C. Program Files (x86)Signal

D. Users\user Roaming Signal

我觉得看资源管理器比较合适

师兄的做法我觉得更合适,找到记录,跳转

直接找到

[填空题] 通讯软件Signa’ 采用一个档案存放用户的聊天记录,它的档案名是什么?(不要输入,以大写英文及阿拉伯数字回答。如Cat10.jpg,需回答CAT10JPG)(2分)

[填空题] 承上题,对上档案进行分析,林发熙的联络人当中有多少人安装了Signal?(以阿拉伯数字回答)(3分)

看别的师傅的wp,自己直接猜了

[填空题] 林浚熙在“Signal’ 曾经与某人对话,那人的手机号码是什么? 需要与区码(Area Code) 一同答(以阿拉伯数字3分)

[多选题] 承上题,两人在Signal’ 的对话中有些讯息(Message) 包含附件,这些讯息的 D’包括?(2分)
    A.5b9650fe-3bb6-4182-9900-f56177003672
    B.46a8762b-78ea-49aa-a6f5-b24975ec189f
    C.9729bf92-ab9c-45f7-8147-66234296aele
    D.47233ffe-1a73-4b3d-b97c-626246ec3129

抄师兄

[填空题]承上题,林浚熙曾经于2022年10月20日账Transfer Money) 予上述对话人士,那次眼的参考编号是什么?(以大写英文及阿拉白数字回答)(3分)

[单选题] 林浚照的计算机安装了多少台虚拟机Virtual Machine - VM) ?(以阿拉伯数字回答)(1分)
    A.4
    B.1
    C.2
    D.3

[单选题] 林浚熙的计算机里的虚拟机(VM) 存放在什么路径?(1分)
    A.User HEI Roaming Virtual Machinesl
    B.Users Public Documents Virtual Machines
    C.Program Files Virtual Machines
    D.\Users\HEINDocuments Virtual Machines

45.[单选题] 虚拟机 (VM) 使用什么版本的作业系统(Operating System) ?(1分)
A. CentOs Linux 7.5.1804 (Core)
B. Ubuntu 22.04.1 LTS
C. CentOS Linux release 7.6.1810(Core)
D. Ubuntu 20.04.5 LTS

直接打开 (注意是看最上面的)

这里用火眼也行,我遇到了困难,请教了客服,导出到本机后分析vmdx文件

[多选题] 虚拟机(VM) 中的文件传输服务器(FTP Server) 有哪些用户?(2分)
    A. nobody
    B. root
    C. admin
    D. man
    E. ftpuser

看看常规用户有三个

搜索发现全是vsftpd服务

可以看到路径

现用仿真密码绕过

访问vsftpd.conf查看可以找到chroot命令,只有特权进程和根⽤户才能使用 chroot 命令

找到

[多选题] 虚拟机设置了什么网页服务器(Web Server)? (2分)
    A. NGINX
    B. LIGHTTPD
    C. WORDPRESS
    D. APACHE
    E. IIS

history

用网探也行

[单选题] 网页服务器目录内有图片档案,而此档案的储存位置是?(1分)
    A. /var/www/html/post/src
    B. /var/www/html/post/css
    C. /var/www/html/post/vendor
    D. /var/www/post

我的做法,直接暴搜

看师兄wp这题在指引我们查找网站路径

查看apache2状况

访问ip

乱找找到似乎是目录的东西

以上是自己思路

现在总结一下:

Linux下Apache的配置文件是 /etc/apache2/apache2.conf,Apache在启动时会自动读取这个文件的配置信息。而其他的一些配置文件,如 httpd.conf等,则是通过Include指令包含进来。在apache2.conf里有sites-enabled目录,而在 /etc/apache2下还有一个sites-available目录,其实,这里面才是真正的配置文件

直接安装的Apache,配置文件在/etc/httpd/conf/httpd.conf
如果是使用LAMP直接安装的,配置文件应该在/usr/local/apache/conf/httpd.conf

还有一种更高效的方法

在任意目录输入命令httpd -V
查看最底部输出Server compiled with…(服务器编译)下方

访问

[单选题] 分析网页服务器的网站数据,假网站的公司名称是什么?(1分)
    A. Krick Global Logistics
    B. Global Logistics
    C. Krick Post Global Logistics
    D. Krick Post

眼睛别花!!

[单选题] 检视假网站首页的显示,AY806369745HK 代表什么?(1分)
    A. 邮件号码
    B. 邮件收费号码
    C. 邮件序号
    D. 邮件参考号码

提交后发现跳转到

[填空题] 分析假网站的资料,当受害人经假网站输入数据后,网站会产生一个档案,它的档案名是什么?(不要输入“,以大写英文及阿拉数字回答。如 Cat10.jpg,需回答CAT10JPG)(2分)

输入信息后发现跳转

查看发现都往vu.txt文件里写

[多选题] 分析假网站档案,process.php’ 源码(Source Code),推测此档案的用途可能是?(2分)
    A. 改变函数
    B. 产生档案
    C. 发出邮件
    D. 更新数据库

这个分析一下,一个是把信息写入,一个是传输到邮件

[填空题] 检视档案process.php’ 源码, 林浚照的电邮密码是?(以大写英文回答)(1分)

[多选题] 分析档案process.php’ 源码, 它不会收集哪些资料?(2分)
    A. GPS位置
    B. 信用卡号码
    C. 短讯验证码
    D. 电话号码
    E. 电邮地址

[填空题] 虚拟机 (VM)安装了 Docker 程序,列出一个以5作为开端的 Doker"镜像 mage) ID (以阿拉伯数字及大写英文回答)(2分)

这里其实应该是docker inspect 5

用火眼取证大师都能做

[填空题] Docker 容器(Container)mysql’ 对外开放的通讯端口(Port) 是?(3分)43306

或者直接inspect进行查找,方法很多

[填空题] Docker容器mysql,用户 root’ 的密码是?(以大写英文及阿拉伯数字回答)(2分)

历史命令里面找到

[填空题] Docker容器,mysql 里哪一个数据库储存了大量个人资料?(以大写英文回答)(3分)

用密码登陆一下sql

用Navicat Premium 12连接

发现krickpost库中的customer表存在大量信息

[填空题]检视 Docker 容器’mysql’ 内数据库里的资料,李大辉的出生日期是?(如答案为 2022-12-29,需答 20221229) (3分)

[多选题] 通过取证调查结果进行分析(包括但不限于以上问题及情节),林照的行为涉及哪一种罪案?(5分)
    A.传送儿童色情物品
    B.抢劫
    C.诈骗
    D.勒索金钱
    E.购买毒品

[填空题] 王晓琳手机的MEI’ 号是什么?(以阿拉伯数字回答)(1分)

[多选题] 王晓琳的手机安装了什么即时通讯软件(lnstant Messaging Apps)?(1分)
    A. Signal
    B. 微信(WeChat)
    C. QQ
    D. WhatsApp
    E. LINE

[单选题] 王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 PDF档案?(以时区UTC+8回答)(1分)
    A.2022-09-30 17:39:53
    B.2022-10-01 17:39:53
    C.2022-09-30 18:30:28
    D.2022-10-01 16:30:22

[填空题] 承上题,这个 PDF 档案的MD5哈希值Hash Value) 是什么?(以大写英文及阿拉伯数字回答)(1分)

[单选题] 王晓琳将这个“PDF 档案发给哪一个用户,而该用户的手机号码是什么?(1分)
    A.85297663607
    B.85259308538
    C.85269707307
    D.85246427813

[多选题] 王晓琳发出这个,PDF 档案的原因是什么?(1分)
    A.寻求协助
    B.分享档案内容
    C.错误发出
    D.无法开启

[单选题] 承上题,分析王晓琳与上述用户的对话,他们的关系是什么?(1分)
    A. 客户
    B. 师生
    C. 家人
    D. 同事

68.[单选题] 王晓琳于何时要求上述用户删除 张照片?(1分)
A. 2022-10-06
B. 2022-09-28
C. 2022-09-30
D. 2022-10-03

69.[单选题] 承上题,该用户向王晓琳提出什么要求以删除这张照片?(1分)
A. 金钱
B. 毒品
C. 性服务
D. 加密货币

70.[单选题] 王晓琳的手机里有什么电了书籍(Electronic Book) ?(2分)
A. 三国演义
B. 红楼梦
C. 水浒传
D. 西游记

发现快照文件夹,得解

​编辑

2022美亚杯个人wp相关推荐

  1. 2022美亚杯第八届中国电子数据取证大赛-个人赛write up详解,软件就用弘连和美亚,尽量写的细致一点。建议入门看,仅为了解题,没有专业精神。专业选手去看后面推荐的两篇解析,都是大佬。

    建议新手看我的博客,比较简单粗暴,解题率较低,仅仅是为了比赛,入门的同学可以看看.我的水平还很糟糕,之后会努力学习,所以这篇博客也会不断修改完善.博客还有很多不当之处,如有发现不当之处请私信我,我会做 ...

  2. 2020年美亚杯个人赛wp

    写于2022年美亚杯前夜,疯狂抱佛脚 1. Alice的笔记本计算机已成功被取证并制作成镜像(Forensic Image), 下列哪个是镜像的SHA-1哈希值? A:9A3040D8DE7DB364 ...

  3. 2022美亚杯--Individual

    检材文件下载链接:https://pan.baidu.com/s/1kg8FMeMaj6BIBmuvUZHA3Q?pwd=ngzs 提取码:ngzs 个人赛下载文件解压密码:MeiyaCup2022 ...

  4. 2022美亚杯个人赛

    背景 于2022年10月,有市民因接获伪冒快递公司的电邮,不慎地于匪徒架设的假网站提供了个人信用咭资料导致经济损失. 警方追查下发现当中一名受骗市民男子李大輝 (TaiFai) 的信用卡曾经被匪徒在区 ...

  5. 2022美亚杯团体赛

    以不同的角色为解题方向,所有结果均为拙见,打*就是没思路 AGC 2. [填空题]就AGC集团网络的流媒体服务器 (Media Server),有多少个本地用户曾经成功登录过? (以阿拉伯数字回答) ...

  6. 2022蓝帽杯初赛wp

    文章目录 Misc domainhacker domainhacker2 电子取证 手机取证_1 手机取证_2 计算机取证_1 计算机取证_2 计算机取证_3 计算机取证_4 程序分析_1 程序分析_ ...

  7. 2022美亚杯电子数据取证大赛-个人赛

  8. 2017年第三届 美亚杯电子取证 团体赛 wp

    17美亚杯团体 wp 目录 17美亚杯团体 wp Linux Raid LVM Win8 win8 内存 IPad7 Linux Raid LVM Win8 win8 内存 IPad7

  9. 2021美亚杯(个人赛)练习记录

    因为当时没有参加比赛,用的奇哥给的镜像和参考答案,然后自己重新做了一遍,记录一下自己的思路(我自封大娘级记录,保姆级懂吧). 指路奇哥(奇哥带好人 (๑•̀ㅂ•́)و✧):2021第七届美亚杯中国电子 ...

最新文章

  1. GitHub上7000+ Star的Python常用代码合集
  2. python爬虫必会的23个项目
  3. 4.1邮箱的全选,全不选,反选
  4. mysql slave同步_Slave_SQL_Running: No mysql同步故障解决方法
  5. JAVA入门级教学之(布尔型数据类型)
  6. 查询附近的人——GEO
  7. 如何在Ubuntu 14.04上使用Percona XtraBackup创建MySQL数据库的热备份
  8. 创建型模式之工厂方法模式
  9. ASCII码,hex编码,String字符串相互转化及原理
  10. dom4j 解析xml文件demo
  11. android定位欺骗,1020. Android GPS定位欺骗(模拟定位)的3类途径4种方式
  12. 超纤商标为精美时尚服饰再添点睛之笔
  13. 专业测试油耗的软件,油耗软件app哪个好_检测汽车油耗的软件_油耗记录软件车机版...
  14. java opencv 图片读取,边缘化,写出图片操作
  15. 基于Jsp+Servlet的宿舍管理系统(JavaWeb毕业设计源码)
  16. sql 数据存在包含关系的查询
  17. 涨知识--地球自转会影响飞机飞行时间吗?
  18. 记录使用Elasticsearch报错:FORBIDDEN/12/index read-only / allow delete (api)];]; nested exception is Elasti
  19. 动态规划算法 | 最长递增子序列
  20. 【论文评审】怎样审稿?

热门文章

  1. 测试工具网址大全(转)
  2. 办公技巧:各类特殊符号输入快捷键,瞬间提高你的办公效率
  3. 小公司的苦恼,最近好郁闷,不过不要裸辞,不要吐槽上家,生而为猿,我很抱歉!
  4. gta vice city 侠盗猎车手 罪恶都市 作弊码
  5. 计算机高级程序开发,2017计算机javascript高级程序设计简介
  6. php不做手术会怎么样,PHPV_如果不能手术会怎么样_怎么样才能挂上你的号 手术后可以视力恢复吗 - 好大夫在线图文问诊...
  7. Windows 7 Service Pack 1 and all applicable updates are required to install Python 3.6.4(64-bit)
  8. 微信小程序全局音频播放,实现分析
  9. 2021年1月电影网络关注度榜发布 《武汉日夜》成1月最热电影
  10. 近一亿美元失窃,Horizon跨链桥被攻击事件分析