2021美亚团队赛复盘

veracrypt密码：uR%{)Y'Qz-n3oGU`ZJo@(1ntxp8U1+bW;JlZH^I4%0rxf;[N+eQ)Lolrw&E%,4q1

案件背景：

几天后，“大路建设”旗下有一家名为“元材原料”的材料供应子公司，该公司发现几名员工的个人财务资料在网上遭公开发布。为了员工安全，主管决定报警求助。经警方调查发现黑客入侵的手法与“大路建设”的案件十分相似，因此引起调查人员怀疑两起案件有所关联。

经调查后，警方拘捕了“常威”和“特普”两名本地男子，怀疑他们与本案有关。警方在搜查他们的住宅及公司后，扣押了数台数码设备，请分析以下电子数据并重建电子数据痕迹，以确认“常威”和“特普”在本案中是否有违法犯罪，并还原事件经过。

一、与“ 大路建设”相关的资料

编号	详情	档案路径
1.	工地职员A的办公室计算机的电子数据	\Meiya Cup 2021\image\StaffA_computer
2.	工地职员B的办公室计算机的电子数据	\Meiya Cup 2021\image\StaffB_computer

二、与“ 元材原料”相关的资料

编号	详情	档案路径
1.	网页服务器的电子数据	\Meiya Cup 2021\image\Yuen_Choi_Webserver

三、与“常威”相关的资料

编号	详情	档案路径
1.	常威的背景资料	\Meiya Cup 2021\调查报告\常威\常威的背景资料.PDF
2.	常威调查报告	\Meiya Cup 2021\调查报告\常威\常威调查报告.PDF
6.	常威手机的电子数据	\Meiya Cup 2021\image\Wai\Wai phone
7.	常威USB设备的电子数据	\Meiya Cup 2021\image\Wai\Wai USB
8.	常威Windows计算机的电子数据	\Meiya Cup 2021\image\Wai\Wai_Windows_Computer
9.	常威矿机的电子数据	\Meiya Cup 2021\image\Wai\HIVE OS
10.	常威无人机的电子数据	\Meiya Cup 2021\image\Wai\Wai Drone
11.	常威无人机內存储卡的电子数据	\Meiya Cup 2021\image\Wai\Wai DJI Drone SD Card
12.	常威MAC计算机的电子数据	\Meiya Cup 2021\image\Wai\Wai_MacBook
13.	常威LINUX计算机的电子数据	\Meiya Cup 2021\image\Wai\Wai_Linux\Wai_Linux1

四、与“特普”有关的资料

编号	详情	档案路径
14.	特普的背景资料	\Meiya Cup 2021\调查报告\特普\特普的背景资料.PDF
15.	特普调查报告	\Meiya Cup 2021\调查报告\特普\特普调查报告.PDF
16.	特普Windows计算机的电子数据	\Meiya Cup 2021\image\DaK Pou\Dak Pou Windows
17.	从特普Windows计算机存储器提取的镜像文件	\Meiya Cup 2021\image\DaK Pou\Dak Pou Windows_memdump
18.	特普手机的电子数据	\Meiya Cup 2021\image\DaK Pou\Dak Pou phone

大路建设

工地职员A的办公室计算机

1. [填空题] 工地职员A计算机的修复密钥标识符是什么？(请以大写英文及阿拉伯数字输入答案，不要输入”-“) (1分)

230C1BB3106A4E4EBF5D3D10961585D4

2. [填空题] 工地职员A计算机的修复密钥解除锁定是什么？(请以数字输入答案，不要输入”-“) (1分)

483714461582060962373351019646502348309628684431

在个人赛的FTP服务器里面，483714-461582-060962-373351-019646-502348-309628-684431

3. [单选题] 工地职员A的计算机被什么程式加密？ (1分)

A. Ransomware

B. BitLocker

C. AxCrypt

D. PGP

E. FileVault 2

4. [单选题] 工地职员A的孩子有可能正准备就读什么学校？ (2分)

A. 小学

B. 中学

C. 幼儿园

D. 大学

5. [多选题] 工地职员A并没有打开过哪一个档案？ (2分)

A. Staff3.xlsx

B. Staff4.xlsx

C. Staff1.xlsx

D. Staff2.xlsx

E. BTC address.bmp

ABD

6. [填空题] 工地职员A的计算机被远程控制了多少分钟？(请以阿拉伯数字回答) (2分)

开始时间：2021-10-18 18:42:30，结束时间：2021-10-18 18:53:46，11分16秒

7. [单选题] 工地职员A的计算机被加密后，被要求存入的虚疑货币是什么？ (1分)

A. 比特币现金

B. 比特币

C. 以太币

D. 泰达币

第5题的选项BTC address.bmp

8. [填空题] 在工地职员A的计算机曾经打开过的Excel档案中，有多少人有可能在法律部门工作？(请以阿拉伯数字回答) (1分)

查post是legal的

工地职员B的办公室计算机

恢复密钥串575025-204820-336325-067067-589996-389829-603361-712272

9. [多选题] 工地职员 B 的计算机在什么日期和时间被黑客控制？ (2分)

A. 2021-10-19

B. 2021-09-16

C. 11:16:41 (UTC +8:00)

D. 05:55:50 (UTC +8:00)

E. 18:40:06 (UTC +8:00)

10. [填空题] 工地职员 B 的计算机的MAC Address是什么? (请以大写英文及数字输入答案) (1分)

000C29E2532D

11. [填空题] 工地职员 B 的计算机用户FaFa的 Profile ID 是什么？(请以大写英文及数字输入答案，不要输入”-“) (1分)

S-1-5-21-1634007002-1203460028-4027450868-1001

12. [填空题] 工地职员 B 的办公室计算机的 Windows CD Key 是什么？(请以大写英文及数字输入答案，不要输入”-“) (1分)

VK7JG-NPHTM-C97JM-9MPGT-3V66T

Win+R打开运行，然后输入regedit，然后打开计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform，找到BackupProductKeyDefault并双击打开，里面的数值数据就是你电脑的Windows密钥

作者：鸭鸭工作室 https://www.bilibili.com/read/cv13568021 出处：bilibili

13. [单选题] 检查过工地职员 B 的计算机登录档后(Window Registry)，计算机感染了什么恶意软件？ (2分)

A. Adware

B. Worms

C. Rootkits

D. 没有感染任何恶意软件

14. [单选题] 工地职员B的计算机中被加密硬盘内的图片”_120778782_58759559.jpg”，有可能是从下列哪个的途径载入计算机？ (1分)

A. 电邮下载附件

B. USB盘

C. 网上下载

D. 蓝芽传入

E. Direct-link

15. [多选题] 工地职员 B 的计算机中被加密硬盘内的图片中，人物中衣着有什么颜色？ (2分)

A. 黄色

B. 红色

C. 紫色

D. 蓝色

E. 绿色

16. [填空题] 工地职员 B 的计算机有多少个磁盘分区？(请以阿拉伯数字输入答案) (1分)

17. [填空题] 工地职员 B 的计算机硬盘分割表是什么？(答案请以首字母大写作答) (2分)

GPT

磁盘-内容-硬盘-内容-更新

18. [填空题] 在工地职员 B 的计算机Event Log中最后登入时services.exe的Process ID是什么？(请以阿拉伯数字输入) (3分)

1833

不知道

元材原料

网页服务器

19. [填空题] 甚么IP曾经上传档案到网页服务器? (请以阿拉伯数字回答，不用输入”.“) (2分)

20314594120

20. [多选题] 承上题，以下哪试档案曾被上传到网页服务器? (3分)

A. kjk2.jpg

B. kjk2.php

C. b6778k-9.0.php

D. b374k-2.5.php

E. d374k-2.5.php

ABD

见上题图

21. [单选题] 入侵者可能使用甚么漏洞进行入侵网页服务器? (1分)

A. 文件上传漏洞

B. SQL 注入

C. 跨站脚本攻击

D. 格式化字符串弱点

上面两题都是关于文件传输的，还有一个uploader.php，推断是文件上传漏洞

22. [多选题] 在网页服务器找到的所有文件档(doc 及 docx)中，有以下哪些文件制作人(Author)? (2分)

A. Kevin L. Brown

B. Peter R. Lee

C. Mary

D. May

E. Colin

23. [多选题] 在网页服务器中，哪个是可疑档案?它如何取得计算机控制权? (3分)

A. 可疑档案: b6778k-9.0.php

B. 可疑档案: b374k-2.5.php

C. 可疑档案: upload.php

D. 透过浏览器远程管理取得计算机控制权

E.透过PuTTY(远程登录工具) 取得计算机控制权

只有zb374k-2.5.php是恶意木马

搜了下b374k-2.5.php，选D

24. [填空题] 在网页服务器中，运行可疑档案需要密码，其密码的哈希值(Hash Value)是甚么? (请以英文全大写及阿拉伯数字回答) (3分)

0DE664ECD2BE02CDD54234A0D1229B43

25. [单选题] 在网页服务器中，可疑档案的译码函数是甚么? (2分)

A. unzip_file('$x,$y')

B. gzdecode (base64_decode($x))

C. gzinflate(base64_decode($x))

D. 以上皆否

26. [填空题] 解压后的脚本档的档案大小是多少? (请以字节及阿拉伯数字回答) (3分)

109,041

感恩wzx和base64+gzinflate压缩编码（加密）文件_北方的刀郎的博客-CSDN博客_gzinflate

把编码带入运行脚本，得到解密后的代码

27. [多选题] 解压后的脚本文件内有甚么功能? (3分)

A. 编辑文件

B. 删除文件

C. 更改用户密码

D. 加密文件

E. 重新命名文件

ABE

B374K PHP WEBSHELL：一款简单却功能强大的远程管理工具_terry_air的博客-CSDN博客

28. [单选题] 解压后的脚本含有压缩功能，当中使用的解压方法是甚么? (2分)

A. PclZip.php

B. Unzip_gz()

C. ZipArchive()

D. 以上皆否

只找到了ZipArchive()

特普

手机

29. [多选题] 特普的电话中一张于2021年09月30日 10:45:12拍摄的相片包含以下哪些字? (1分)

A. 精忠

B. 报国

C. 忠诚

D. 勇毅

30. [多选题] 特普的电话中的whatsapp账号85268421495@s.whatsapp.net中，有哪些其他人的WhatsApp用户数据记录? ) (2分)

A. 85222117188@s.whatsapp.net

B. 85289853825@s.whatsapp.net

C. 85264795287@s.whatsapp.net

D. 85231882226@s.whatsapp.net

General前面＋85

31. [单选题] 特普电话的热点分享密码是什么? (1分)

A. 12345678

B. 69447401bceb

C. Jioijo4542554

D. Dak Pou Home

32. [多选题] 特普于经纬度22.278843, 114.165783，没有做什么? (2分)

A. 拍影片

B. 拍照

C. 使用google map

D. 在Whatsapp中分享实时位置

ACD

33. [多选题] 特普于电话中安装了一个可疑软件(版本为2020033001)，跟据该可疑软件的安装档，下列哪项描述正确? (2分)

A. 软件名称是安全防护

B. 软件名称是安心回家

C. 软件签名(signAlgorithm)以 SHA512withRSA加密

D. 封包名称(packageName)是org.chromium.webapk.a5b80edf82b436506_v2

源文件是userdata (ExtX)/Root/app/www.icthna.net-1/base.apk/AndroidManifest.xml，跳转到源文件，AndroidManifest.xml中没看出有啥，把apk导出（不展开直接，另存为）

扔进雷电APP中分析，软件名称是安全防护，A对

签名算法是SHA256-RSA，C错

应用包名是www.icthna.net，D错

34. [多选题] 特普于电话中安装了一个可疑软件(版本为2020033001)，跟据该可疑软件的安装档，可疑软件中涉及以下安全许可? (2分)

A. android.permission.READ_SMS读取短信内容

B. android.permission.SEND_SMS发送短信

C. android.permission.READ_CONTACTS读取联系人

D. android.permission.BLUETOOTH使用蓝牙

E. android.permission.CLEAR_APP_CACHE清除应用缓存

ABC

35. [填空题] 特普可能在电话中被可疑软件窃取了的验证码是什么? (请以英文全大写及阿拉伯数字回答) (2分)

113476

计算机

36. [填空题] 特普的计算机可能中了病毒，病毒的加壳(Packing)方法是甚么? (请以英文全大写作答) (2分)

UPX

最近浏览文件中翻了一下

在Downloads中找到一个malware.exe

查壳

37. [单选题] 特普的计算机可能中了病毒，病毒的编译工具是甚么? (2分)

A. GCC

B. Borland

C. TCC

D. Microsoft Visual C/C++

upx脱壳后查壳，是C++

38. [填空题] 特普的计算机可能中了病毒，病毒的编译者使用可能使用的账户名称是甚么? (请以英文全大写作答) (3分)

GPGF

把malware.exe扔进IDA里面（在IDA View-A 窗口中 , 按下 Shift + F12 快捷键 , 会显示字符串窗口 Strings window , 该窗口中显示常量字符串【Android 逆向】IDA 工具使用 ( IDA 32 位 / 64 位版本 | 汇编代码视图 IDA View-A | 字符串窗口 Strings window )_韩曙亮的博客-CSDN博客_ida string窗口），第二行的C:\\Users\\gpgf\\Desktop\\malware\\Release\\malware.pdb里可以看到账户名称gpgf

39. [单选题] 特普的计算机可能中了病毒，病毒的自我复制位置是甚么? (2分)

A. C:\Temp\temp.txt

B. C:\Users\<profile>\Desktop\malware.exe

C. C:\Users\public\malware.exe

D. C:\a.txt

在imports界面中发现copyfile函数，拷贝文件函数

双击跳转

绿色的再跳转，感谢wzx

40. [单选题] 特普的计算机可能中了病毒，病毒的修改登录文件位置是甚么? (3分)

A. HKLM\Software\Microsoft\Windows\CurrentVersion\Run

B. HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

C. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

D.HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\Background

修改登录文件位置需要修改注册表，在imports中发现以下函数，以下解析来自ke_yi_

RegSetValueEx函数在注册表项下设置指定值的数据和类型

RegOpenKeyEx函数打开指定的注册表项

RegCloseKey释放一个对指定注册表项的句柄

双击跳转

跳转到004013BC

41. [多选题] 特普的计算机可能中了病毒，病毒留下了ASCII ART(ASCII艺术, 文字图)，以下哪个不是病毒留下? (3分)

A. HI

B. HELLO

C. HOW ARE YOU

D. GOODBYE

ACD

emm，hello

42. [单选题] 特普的计算机可能中了病毒，病毒扰乱文件目标文件名是甚么? (2分)

A. C:\Users\<profile>\Documents\target.txt

B. C:\Users\<profile>\Desktop\target.txt

C. C:\c.txt

D. C:\temp.txt

直接搜索了一下C:\

不太懂为啥选B

43. [单选题] 特普的计算机可能中了病毒，病毒扰乱文件方法是甚么? (3分)

A. + 3

B. XOR 5

C. + 4

D. – 4

不懂为啥

计算机内存镜像

44. [填空题] 特普的计算机中，哪一个是 FTK Imager.exe 的程式编号(PID)? (请阿拉伯数字回答) (1分)

6136

volatility

45. [多选题] 特普的计算机中，cmd.exe (PID: 4496) 它的执行日期及时间是? (1分)

A. 2021-10-17

B. 2021-10-18

C. 2021-10-19

D. 10:42:51

E. 10:43:09

F. 10:43:25

2021-10-19 10:43:09 UTC+0000

46. [填空题] 特普的计算机曾经以FTP 对外连接，连接的IP是? (请以阿拉伯数字回答，不用输入".") (2分)

12421717974

124.217.179.74

M:\Group (including individual)\Meiya Cup 2021 (all)\image\DaK Pou\Dak Pou Windows_memdump>volatility -f Vtm-computer-memdump.mem --profile=Win10x86 netscan
Volatility Foundation Volatility Framework 2.6
Offset(P)          Proto    Local Address                  Foreign Address      State            Pid      Owner          Created
0x8e4f6a68         TCPv4    192.168.1.64:62027             23.200.142.82:443    CLOSED           452      explorer.exe
0x8eebba00         UDPv4    127.0.0.1:512                  *:*                                   3768     svchost.exe    2021-10-19 10:48:44 UTC+0000
0x8eeee4f8         TCPv4    192.168.1.64:61979             124.217.179.74:80    CLOSED           1232     svchost.exe
0x8f6c2300         TCPv4    192.168.1.64:61838             104.21.22.84:443     CLOSED           2946991988
0x90226748         UDPv6    ::1:5888                       *:*                                   3768     svchost.exe    2021-10-19 10:48:44 UTC+0000
0x90566190         TCPv4    192.168.1.64:62064             104.79.121.189:80    CLOSED           1232     svchost.exe
0x92f850f8         TCPv4    192.168.1.64:61828             13.225.93.22:443     CLOSED           2946991988
0x94818b80         TCPv4    192.168.1.64:61793             104.212.68.135:443   CLOSED           2946991988
0x9ea1e678         TCPv4    192.168.1.64:61787             104.18.7.51:443      CLOSED           2946991988
0x9ea3d9b0         TCPv4    192.168.1.64:61958             40.126.35.128:443    CLOSED           1232     svchost.exe
0x9eaae318         TCPv4    192.168.1.64:62023             23.78.217.190:80     CLOSED           452      explorer.exe
0x9eb3a888         TCPv4    192.168.1.64:61894             117.18.237.29:80     CLOSED           2946991988
0xa0ed3628         UDPv4    127.0.0.1:512                  *:*                                   0       `D?           2021-10-19 10:48:13 UTC+0000
0xa182bd58         UDPv4    192.168.1.64:512               *:*                                   3768     svchost.exe    2021-10-19 10:45:44 UTC+0000
0xa1921df0         TCPv4    192.168.1.64:62071             23.77.28.235:443     CLOSED           1232     svchost.exe
0xa19c9468         TCPv4    192.168.1.64:62029             23.200.142.82:443    CLOSED           452      explorer.exe
0xa3d47be0         TCPv4    192.168.1.64:62013             124.217.179.74:80    CLOSED           1232     svchost.exe
0xabdfb3f0         UDPv4    0.0.0.0:0                      *:*                                   1256     svchost.exe    2021-10-19 10:47:07 UTC+0000
0xabd12488         TCPv4    192.168.1.64:61969             52.254.114.65:443    CLOSED           1232     svchost.exe
0xabda6bd8         TCPv4    192.168.1.64:61961             124.217.179.74:80    CLOSED           1232     svchost.exe
0xafa31680         UDPv4    0.0.0.0:0                      *:*                                   1172     svchost.exe    2021-10-19 10:48:44 UTC+0000
0xafa31680         UDPv6    :::0                           *:*                                   1172     svchost.exe    2021-10-19 10:48:44 UTC+0000
0xafa51830         UDPv4    127.0.0.1:512                  *:*                                   0       `D?           2021-10-19 10:47:21 UTC+0000
0xafb51748         UDPv4    0.0.0.0:0                      *:*                                   1232     svchost.exe    2021-09-20 03:08:38 UTC+0000
0xafba0288         UDPv6    ::1:5888                       *:*                                   3768     svchost.exe    2021-10-19 10:48:44 UTC+0000
0xafa3edf0         TCPv4    192.168.1.64:61788             54.230.85.10:443     CLOSED           2946991988
0xafb11988         TCPv4    192.168.1.64:62068             23.77.28.235:443     CLOSED           1232     svchost.exe
0xafb513e0         TCPv4    192.168.1.64:62069             20.190.163.19:443    CLOSED           1232     svchost.exe
0xb569dad8         UDPv4    127.0.0.1:512                  *:*                                   3768     svchost.exe    2021-10-19 10:48:44 UTC+0000
0xb57ad7d8         TCPv4    192.168.1.64:62079             157.55.109.226:80    CLOSED           1572     OneDrive.exe
0xb57fdbc8         TCPv4    192.168.1.64:61966             124.217.179.74:80    CLOSED           1232     svchost.exe
0xb62c3df0         TCPv4    192.168.1.64:62073             20.190.163.19:443    CLOSED           1232     svchost.exe
0xd2487170         TCPv4    192.168.1.64:61925             54.192.19.207:80     CLOSED           4824     SearchUI.exe
0xd25043f0         TCPv4    192.168.1.64:61928             13.226.123.102:80    CLOSED           4824     SearchUI.exe
0xe77e2350         TCPv4    192.168.1.64:61944             124.217.179.74:443   CLOSED           1232     svchost.exe
0xef1161c0         TCPv4    192.168.1.64:61869             13.225.96.50:443     CLOSED           2946991988
0xef119708         TCPv4    192.168.1.64:61899             104.16.14.243:443    CLOSED           2946991988
0xef122b28         TCPv4    192.168.1.64:61862             104.18.6.51:443      CLOSED           2946991988
0xef131ad0         TCPv4    192.168.1.64:61901             34.96.81.209:443     CLOSED           2946991988

47. [多选题] 特普的计算机中，以下哪一个指令于上述连接中有使用过? (3分)

A. get

B. put

C. delete

D. bye

E. quit

get：将文件从远端主机中传送至本地主机中

put：将本地个文件传送至远端主机中

delete：删除文件

bye：中断与服务器的连接

quit：结束与服务器的FTP会话并退出FTP环境

详见：ftp常见命令大全_xlg1128的博客-CSDN博客_ftp命令、Windows命令之ftp命令_恒悦sunsite的博客-CSDN博客_windowsftp命令

48. [多选题] 在Linux 的"Volatility" 中，哪一个指令可以知道此程式支持哪一个Windows 版本? (2分)

A. vol.py --profile

B. vol.py --systeminfo

C. vol.py --info

D. vol.py --verinfo

常威

手机

49. [填空题] 常威手机中的Telegram有可能是在2021年9月24日_____时44分58秒 (UTC +8) 首次下载的。(请以阿拉伯数字输入答案) (2分)

2021/9/24 4:44:58(UTC+0)+8=2021/9/24 12:44:58(UTC+0)

50. [填空题] 常威手机曾经连接的无人机名称是什么?(请以英文全大写及阿拉伯数字回答) (1分)

SSPARK

DJI Go 4无人机操纵软件

51. [填空题] 常威手机中，档案“dji1633936161416.mp4”的解像度是 ________________ (例如是1920 x 1280，请输入 19201280)。 (1分)

1280720

找到文件路径Image16 (ExtX)/Root/media/0/DCIM/DJI/dji1633936161416.mp4

根据路径导出视频，1280、720

52. [填空题] 常威手机中，发现于网络上下载的软件“安心出行”安装档的哈希值(MD5)是?(请以英文全大写及阿拉伯数字回答) (2分)

81C342665D9A8D4D02B0FBB7033167B5

找到文件路径Image16 (ExtX)/Root/app/hk.gov.ogcio.leavehomesafe-1/base.apk

保存成apk

扔进雷电APP

53. [多选题] 常威手机中执行软件“安心出行”(版本2.1.3)中涉及以下安全许可? (2分)

A. android.permission.ACCESS_WIFI_STATE 获取WiFi状态

B. android.permission.BATTERY_STATS电量统计

C. android.permission.VIBRATE使用振动

D. android.permission.CONTROL_LOCATION_UPDATES控制定位更新

E. ndroid.permission.CAMERA拍照权限

在AndroidManifest.xml里把选项带入查找，只找到了CE

54. [多选题] 常威手机中软件“安心出行”(版本2.1.3)的安装档(.apk)中，哪个不是它的签名算法? (3分)

A. MD5withRSA

B. SHA256withRSA

C. SHA256withDSA

D. MD5withDSA

ACD

55. [多选题] 于常威的手机中执行软件“安心出行”(版本1)可能会连接至哪一个网站? (2分)

A. https://back-home-****.pages.dev

B. org.chromium.******.a5b80edf82b436506

C. org.chromium.******.a5b80edf82b436506_v2

D. https://back-home-****.pages.dev/manifest.json

版本1的安装包我不知道怎么提取，只找到了C项

USB

56. [单选题] 在常威苹果手提计算机, 用户开机密码是什么 ?(提示：常威 USB 设备中可能有相关数据) (3分)

A. C**sthegoa*

B. Draw**fgd*f

C. Co*kkfid*dd

D. App*is*won

先数据恢复再重新取证，cpisthegoat

57. [填空题] 在常威U 盘内有多少磁盘分隔区 ? (请以阿拉伯数字回答) (2分)

不会

58. [填空题] 在常威U 盘内有多少份excel 文件 ? (请以阿拉伯数字回答) (1分)

59. [填空题] 在常威U 盘内, 内含有多少个客户数据 ? (请以阿拉伯数字回答) (1分)

60. [多选题] 以下哪个客户数据储存在常威U 盘内？ (3分)

A. jmuat1@reference.com

B. cgeraudg@forbes.com

C. cwarmishamo@admin.ch

D. abddfdf@google.com

E. alex1234@apple.com

ABC

MAC计算机

61. [单选题] 常威MAC计算机上一个系统版本是甚么及现正运行哪一个版本的系统? (3分)

A. MacOS 10.11.6 and MacOS 11.6

B. MacOS 10.11.5 and MacOS 11.5

C. MacOS 10.11.4 and MacOS 11.6

D. 以上皆非

上一个系统版本信息查看\Chris - Data:\root\private\var\db\PreviousSystemVersion.plist，来自官方wp

62. [多选题] 常威MAC计算机的系统事件纪录内哪个卷标(Flag)是关于储存档案于计算机? (3分)

A. Created

B. InodeMetaMod

C. FinderInfoChanged

D. IsDirectory

E. OwnerChanged

ABCE

不太懂

63. [多选题] 常威MAC计算机曾连接哪一个无线网络SSID? (2分)

A. wai wifi

B. wanchainew1

C. central2

D. Hongkong1

airport

64. [单选题] 常威MAC计算机的使用者甚么时候将”隔空投送”(airdrop)转换至任何人模式? (2分)

A. 2021-10-21 16:52:48 (UTC +8)

B. 2021-10-21 18:52:48 (UTC +8)

C. 2021-10-21 06:52:48 (UTC +8)

D. 2021-10-21 08:52:48 (UTC +8)

不知

65. [填空题] 常威MAC计算机的APFS储存容器的文件签名是________，偏移值为______(例如NTFS及64，请输入 NTFS64)。 (2分)

NXSB32

66. [单选题] 常威MAC计算机的镜像档案内，总共有多少个系统默认的卷标? (1分)

A. 4

B. 5

C. 6

D. 7

67. [填空题] 常威MAC计算机的使用者上一次关闭浏览器时，正在浏览多少个网页? (请以阿拉伯数字回答) (3分)

68. [多选题] 常威MAC计算机中以下哪个档案并不是iPhone所拍摄的图片? (2分)

A. IMG_0002

B. IMG_0003

C. IMG_0004

D. IMG_0005

E. IMG_0006

矿机

69. [多选题] 在常威的矿机没有进行哪种加密货币掘矿 ? (2分)

A. Bitcoin

B. Ethereum

C. RVN

D. Dodge

E. ENJ

ACDE

找到了Phoenix Miner

找到的Phoenix Miner日志文件，导出，是Eth

70. [填空题] 在常威矿机有几张显示适配器进行掘矿 ? (请以阿拉伯数字回答) (1分)

日志文件中两张显卡

71. [单选题] 在常威矿机, hive OS 操作系统是什么版本 ? (1分)

A. 5.4.0 *****

B. 6.0.1 *****

C. 7.0.2 *****

D. 10.0.2*****

E. 15.1.2*****

仿真，然后uname –a

72. [多选题] 在常威矿机中, 哪个不是收取掘矿收益的加密货币钱包地址 ? (1分)

A. 0xE365625f4**537151304ceba7C7D9dF0C7E829**

B. 0xe68de863f4c3c3cc0**191b9cefdae91b3e6fbd8**

C. 0x00000000897**f4136b4a59731680a88f895303**

D. 0x7335c**20f9533d9cc825e2a6e80821fd44e27f8**

E. 0x00**000089705f4136b4a59731680a88f895303**

BCDE

搜索wallet， 0xE365625f402537151304ceba7C7D9dF0C7E82986

73. [单选题] 在常威矿机中, 用于掘矿登入密码是什么 ? (2分)

A. eg97em**wm

B. Deg97em**wm

C. feg97em**wm

D. eeg97em**wm

E. heg97em**wm

参考2021美亚杯团体赛write up（更正版）_元元努力向上的博客-CSDN博客，在rig.conf中找到，1eg97emvzwm

74. [填空题] 在常威矿机中,用于掘矿Nvidia显示适配器所使用的驱动程式使用什么版本?(请以英文全大写及阿拉伯数字回答) (1分)

4609103

75. [多选题] 在常威矿机中, 用于掘矿显示适配器型号包括什么? (2分)

A. GeForce RTX 3060

B. Quadro P2000

C. RX 6600

D. GeForce GTX 1660 Ti

E. GeForce GTX 3070

76. [多选题] 在常威矿机, 哪一天没有进行掘矿? (2分)

A. 2021-10-06

B. 2021-10-09

C. 2021-10-15

D. 2021-10-17

E. 2021-10-18

BCDE

矿机的日志里面只有2021-10-06

无人机

77. [填空题] 常威的无人机中的飞航纪录_________.DAT可见到于2021年10月11日1505时的GPS地点。(请以英文全大写及阿拉伯数字回答) (1分)

FLY096

78. [单选题] 常威的无人机于2021年10月11日15:07:51时之间所在的地点是什么? (1分)

A. 22.269299, 114.200486

B. 22.269353, 114.287267

C. 22.346855, 114.289552

D. 22.269293, 114.201278

D与22.269316, 114.201263, 288.746307最接近

79. [填空题] 常威的无人机哪一个档案有最后降落时间的数据(请以英文全大写及阿拉伯数字回答,不用输入".")？ (1分)

FLY096DAT

手机

80. [多选题] 常威的手机中哪一个是由常威的无人机于2021年10月11日所拍摄的图像文件? (2分)

A. Containers 货柜

B. Buildings 大厦

C. bicycle 单车

D. Mountain 山

ABD

找到源文件位置Image16 (ExtX)/Root/media/0/DJI/dji.go.v4/FlightRecord/DJIFlightRecord_2021-10-11_[15-06-39].txt

跳转过去后，找到一些图片，山、货柜

大厦

81. [填空题] 常威的手机中显示常威的无人机DJI GO 4的版本是4.3.___?(请以阿拉伯数字回答) (1分)

直接搜索DJI，然后跳转到应用程序

82. [多选题] 常威的手机中所安装的DJI GO 4 软件中，以下哪个database没有显示临时禁飞区? (2分)

A. Filesflysafe_app.db

B. Special_warning.db

C. Flysafe_app_dynamic_areas.db

D. Flysafe_polygon_1860.db

ABD

只有C搜到了有

83. [填空题] 常威的手机中在__________.db可知道DJI GO 4 的登入电子邮件(请以英文全大写及阿拉伯数字回答) (1分)

Localappstate

找到源文件路径，Image16 (ExtX)/Root/data/com.android.vending/databases/localappstate.db

跳转到源文件，找到电子邮件

84. [填空题] 常威的手机中在__________.db包含了名为server_timestamp 的资料(请以英文全大写及阿拉伯数字回答) (1分)

Flysafe_app_dynamic_areas

见82题图

windows计算机

85. [单选题] 常威利用Windows 计算机中的VM Kali进行攻击和收取受害人电话的数据，请找出常威的VM存放地址 (2分)

A. Users\Chris Paul\Desktop\安全防护 Malware\Kali-Linux-2020.2a-amd64_2.vmwarevm

B. \Users\Chris Paul\Desktop\安全防护 Malware Demo\Kali-Linux-2020.2a-amd64_2.vmwarevm

C. \Users\Chris Paul\Documents\安全防护 Malware \Kali-Linux-2020.2a-amd64_2.vmwarevm

D. \Users\Chris Paul\Documents\Virtual Machines

直接搜

86. [单选题] 常威在收集数据后储存数据于Windows 计算机一个名为"text2.txt"的档案中，随后他将档案移往"\home\kali\Desktop\project\"中, 下述哪个档案可以证明这一点? i) \root\.bash_history ii) \home\kali\.bash_history (3分)

A. 只有 i

B. 只有ii

C. 两个也可以

D. 两个也不可以

不知

87. [单选题] 常威Windows计算机中哪一个程式/档案有可能用作收取受害人电话上的数据? (3分)

A. \home\kali\Desktop\server_express_ok.js

B. \home\kali\Desktop\baddish\package.json

C. \home\kali\Desktop\baddish\server.js

D. \home\kali\Desktop\server.js

在Kali-Linux-2020.2a-amd64_2.vmwarevm文件夹中，找到任一以vmdk为扩展名的文件，右键-虚拟磁盘解析，能够将虚拟机直接挂载成证据文件，然后使用对其进行自动取证，在终端记录中可以知道，先进入Desktop/baddish/，在执行server.js，生成test.txt（参考官方wp）

server.js

收集的数据

88. [多选题] 常威Windows计算机中显示常威第一次偷取受害人电话数据有机会是在哪一个日子及时间登入 Kali 系统? (2分)

A. 2021-09-27

B. 2021-09-29

C. 2021-09-29

D. 11:42:47

E. 16:04:24

F. 16:30:04

登入kali系统运行虚拟机

89. [多选题] 常威Windows计算机中以下哪一个檔案的哈希值(MD5)能证明常威曾开启存有客户数据的档案? (2分)

A. 0ED1DB00F8598AD3C6B331BF0C477AD4

B. 1E1BDB083F66251A63B79DEA3801E6E9

C. 575326396E31040FE2E13BE42C55C3E2

D. 3128604B4A9EC1D37418942555F6B08A

E. FB5EF33EDEA8ECB5BF07C5DF5332D29F

最近浏览里面有客户资料.xlsx

客戶資料.xlsx的MD5值：21CD88843C1DF6A859D4D50AE85E564D

客戶資料.lnk的MD5值：575326396E31040FE2E13BE42C55C3E2

90. [单选题] 常威 Windows 计算机中，哪一个档案可以找到USB装置初次连接的时间? (1分)

A. C:\Windows\setupapi.log

B. C:\Windows\setupapi.setup.log

C. C:\Windows\INF\setupapi.setup.log

D. C:\Windows\INF\setupapi.dev.log

91. [单选题] 常威 Windows 计算机接驳了一个3D 打印机，以下哪一个哈希值是属于上述打印机的驱动程式文件中的安装信息文件(INF檔)? (提示：关键词包含CH341) (3分)

A. 1348FA38956*****1770D7C3E63545BC

B. DBC4F08F835*****FF95420B352B506A

C. 35E7C67A652*****611EDE19C37241C5

D. BAE3BE76CC1*****31EB562ABAFE28DE

直接搜

是oem22.inf，MD5值：35E7C67A6522DED6611EDE19C37241C5

92. [填空题] 续上题，上述安装信息文件的版本日期是什么? (请以阿拉伯数字，及以下格式回答，例: 2019年3月4日，请回答20190304) (1分)

20190130

93. [多选题] 常威Windows计算机安装了一些与3D 打印机有关的软件，有可能是以下哪个? (1分)

A. Ultimaker Cura

B. 3DPrinterOS

C. Simplify3D

D. Creality Slicer

94. [单选题] 续上题，哪一个档案记录了切片软件Creality Slicer曾经开启的3d立体模块(.stl)纪录? (1分)

A. \Users\Chris Paul\AppData\Roaming\Creality Slicer\stderr.log

B. \Users\Chris Paul\AppData\Roaming\Creality Slicer\stdout.log

C. \Users\Chris Paul\AppData\Roaming\Creality Slicer\4.8\Creality Slicer.cfg

D. \Users\Chris Paul\AppData\Roaming\Creality Slicer\4.8\Creality Slicer.log

Loaded plugin加载的插件

stderr.log，不太了解，排除不了

stdout.log，看着不像，排除

Creality Slicer.cfg

Creality Slicer.log，看着不像，排除

95. [多选题] 续上题，哪一个3d立体模块(.stl)曾用切片软件Creality Slicer开启? (2分)

A. clip_sideb.stl

B. frame.stl

C. trigger.stl

D. hand_guard.stl

linux计算机

96. [填空题] 哪一个是Wai_Linux1.E01 鉴证映像中Linux LVM 磁盘分区的长度? (请以阿拉伯数字回答) (1分)

233388976

fdisk -l

97. [填空题] 常威 LINUX 计算机安装在逻辑卷管理(Logical Volume Manager)的磁盘分区上, 哪一个是卷组(Volume group) 的通用唯一标识符(UUID)? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

FEKVK3TY1TLUIR2G8LYQ3MVNRVUVZOSL

98. [多选题] 续上题，哪一个是逻辑卷(Logical Volume )设定的名字? (2分)

A. swap

B. root

C. var

D. home

ACD

99. [单选题] 常威 LINUX 计算机曾试用挖矿程式"T-Rex"，在相关脚本(script)中哪一个是工人(worker)的名称? (1分)

A. stratum

B. rig0

C. ethash

D. E365625f402537151304ceba7C7D9dF0C7E82986

搜索挖矿程式"T-Rex"，和ETH相关，在linux中搜索ETH

运行过./ETH-ethermine.sh

找到rig0

100. [填空题] LINUX 系统中利用fdisk 指令下，下列哪一个是 "exFAT"的磁盘分区类型编号(Partition type id)? (请以英文全大写及阿拉伯数字回答) (1分)

0X4F611C33

101. [单选题] 在Linux 的环境下，以下哪一个指令用于激活扫描到的卷组(Volume group) (1分)

A. vgscan

B. vgchange

C. vgdisplay

D. vgactive

直接搜就行

102. [单选题] 在Linux 的环境下，下列哪一个指令可以删除内有档案的文件夹? (1分)

A. rm -d

B. rm -r

C. rm -rd

D. rm -rf

直接搜

103. [填空题] 常威 LINUX 计算机逻辑滚动条 (Logical Volume) 路径“vg/home”使用了甚么系统建立? (请以英文全大写回答) (2分)

KALI

lvdisplay

104. [填空题] 常威 LINUX 计算机逻辑滚动条 (Logical Volume) 路径 “vg/root” 的Current LE是什么? (请以阿拉伯数字回答) (1分)

5120

105. [填空题] 常威 LINUX 计算机扇区群组 (Volume group)的Total PE是甚么? (请以阿拉伯数字回答) (1分)

43752

vgdisplay