"美亚杯"第七届中国电子数据取证大赛-个人赛更多网络安全CTF题目，欢迎来polarctf.com来刷题
本人wechat N34939
个人解题思路，有不同见解欢迎讨论。
本次比赛共1 个段落, 62 个小题, 总共114分

检材方面，个人赛由一个加密容器和一个update更新的压缩包组成，检材量和题量非常大，很多检材的报告文件都加了压缩包，需要挨个解压，比武时间相对紧凑，想获得好成绩，需要前期认真分析官方给的案情信息，准备多台高性能计算机便于取证分析。

案情资料官方揭晓

资格赛

2021年10月某日早上，本市一个名为"大路建设"的高速公路工地主管发现办公室的计算机被加密并无法开启，其后收到了勒索通知。考虑到高速公路的基建安全，主管决定报警。警方调查人员到达现场取证，发现办公室内有三部个人计算机，通过一个老款路由器接入互联网。
经调查相关电子证据后，警方怀疑一位本地男子–阿力士与本案有关，并将他拘捕。现在你被委派处理这起案件,请由以下资料分析阿力士在本案中的违法犯罪行为, 并还原事件经过。

资料

±-------±------------------------------------------------------------+
| > 编号 | > 详情 |
±-------±------------------------------------------------------------+
| > 1 | > 阿力士的背景资料 |
±-------±------------------------------------------------------------+
| > 2 | > 警方现场勘查的调查报告 |
±-------±------------------------------------------------------------+
| > 3 | > 高速公路工地办公室路由器的记录 |
±-------±------------------------------------------------------------+
| > 4 | > 工地主管办公室计算机的电子数据 |
±-------±------------------------------------------------------------+
| > 5 | > 工地主管移动电话的电子数据 |
±-------±------------------------------------------------------------+
| > 6 | > 阿力士计算机的电子数据 |
±-------±------------------------------------------------------------+
| > 7 | > 阿力士FTP 服务器的电子数据 |
±-------±------------------------------------------------------------+
| > 8 | > 阿力士移动电话(1)的电子数据 |
±-------±------------------------------------------------------------+
| > 9 | > 阿力士移动电话(2)的电子数据 |
±-------±------------------------------------------------------------+

镜像下载链接：

链接：https://pan.baidu.com/s/1EBGxpAyjXGyogyMw7o_Qsg?pwd=ngzs

提取码：ngzs

个人赛

压缩包

+2FL?89MajaHRE5Q9pp%@V2rwnwK-M=KD4Y55#vyBq99JhT22$%Z2ebkaTNn^s-n

加密容器

HfsCk]<eUqc5Q{(DG$ugiGlt8ezGdaZ>!pQC-H\5BAc^gBo/^qq)/i21ufiN@H"Y

由于美亚杯官方还没有公布答案，以下答案为个人想法，有异议欢迎讨论沟通，欢迎研究解题技巧和方法。

"美亚杯"第七届中国电子数据取证大赛试题 (62个小题, 共114分)

前面这些题主要是cellebrite软件解析的，但是全英文的界面，对中国的小伙伴不是很友好，讲一下设置成中文的方法，选择左上角工具的位置，settings，截图的时候，我已经设置成中文，我已经找到的位置和英文版本的一样，大家能看懂。

然后把这个位置改成Chinese（Simplified）我是中国大陆东北人，繁体看不惯，改成中文简体即可。

1. [单选题] 工地主管电话的微信账号是什么? (1分)

A. Kasier751111

B. Kasierlee751111

C. Kasierlee

D. 以上皆非

没有找到，所以选择了D选项，以上皆非。

2. [填空题] 工地主管的隔空投送装置编号是什么? (请以英文全大写及阿拉伯数字回答) (1分)

780F624DFO99

本次题目给了cellebrite软件的阅读器，不同于往届比武，需要自行使用取证工具进行取证，对cellebrite软件不熟悉的选手，相对不太友好。

3. [单选题] 工地主管电话的哪一个应用程序有关于于经纬度24.490474, 118.110220的纪录? (2分)

A. 照片

B. WhatsApp

C. Apple Maps

D. 以上皆非

打开cellebrite的阅读器，搜索关键词apple map找到相关经纬度信息，本地类似签到送分题，经纬度普遍出现在地图软件中，案件手机为iPhone手机，所以搜索关键词为apple map。

4. [多选题] 工地主管的手提电话中下列哪些数据正确? (1分)

A. iOS 版本为 12.5.4

B. IMEI 为 454120637213361

C. Apple ID 为 kaiserlee3660@gmail.com

D. 手机曾经安装dropbox 应用程序

在基础信息页面里，找到AC是正确的，尝试搜索D选项，搜不到。

5. [填空题] 工地主管的电话最常使用的浏览器是什么? (请以英文全大写回答) (1分)

SAFARI

找web历史记录，基本上都是Safari浏览器。

6. [单选题] 工地主管的电话连接过哪一个WiFi? (1分)

A. Kaiser Lee

B. Kaiser

C. Free Wifi

D. Kaiser Home

将软件改成中文后，选无线网络

7. [多选题] 工地主管与Alex Chan的Whatsapp 对话中，曾提及以下哪个TeamViewer的用户号码? (3分)

A. 435334881

B. 453851521

C. 435475200

D. 456874155

E. 435270306

找到聊天部分，搜索teamviewer，找到是用whatsapp有过提及，来源改成只搜索WhatsApp，再然后找到聊天记录里提及到的三个链接，查看图片。

8. [填空题] 工地主管的WhatsApp中有多少个黑名单的记录? (请以阿拉伯数字回答) (2分)

0

随便打开一个whatsapp聊天记录，看右侧源文件的地址，找到其数据库的位置在

iPhone/mobile/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApp.shared/ChatStorage.sqlite

找到ZWABLACKLISTITEM，发现数量是零

9. [多选题] 以下哪个蓝牙装置的Uuid 曾连接过工地主管的手机? (2分)

A. 7F1FE70D-2B15-C245-853D-4196F13CC446

B. 1B057C1D-83D3-99A6-D2B1-EC54846C7CEE

C. 134ACD1-83D3-99A6-D2B1-EC54846C7CEE

D. 7D1BE70D-2C16-D246-851D-491613DD776

找到了两个蓝牙连接信息，但是取证软件没有解析出这条数据，手工去翻数据库 iPhone/containers/Shared/SystemGroup/systemgroup.com.apple.bluetooth/Library/Database/com.apple.MobileBluetooth.ledevices.other.db

去该路径找到该数据库，得到答案

10. [填空题] 工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么? (请以英文全大写及阿拉伯数字回答，不用输入"-") (1分)

    36EBC18095F741FFBE5B4E56E7AF48B1

11. [填空题] 工地主管计算机內的FTP程序FileZilla的用户名称是甚么? (请以英文全大写及阿拉伯数字回答) (3分)

ALEX

使用取证大师，在下载工具分析里可以找到。

12. [填空题] 工地主管的Team Viewer ID 是甚么? (请以英文全大写及阿拉伯数字回答) (2分)

435270306

这个聊天对话比较多，后面有几个不是工地主管的，聊天说是同事的，不要搞混了。

13. [填空题] 工地主管的Team Viewer与哪一个ID连接? (请以英文全大写及阿拉伯数字回答) (3分)

420190768

14. [多选题] 工地主管曾用计算机浏览器作搜寻，以下哪一个关键词他曾经搜寻? (3分)

A. tiktok

B. web whatsapp

C. facebook

D. lihkg

E. hkgolden

F. web wechat

15. [填空题] 工地主管计算机的Windows系统的产品标识符是甚么? (请以英文全大写及阿拉伯数字回答，不用输入"-") (1分)

003311000000001AA962

感觉产品标识符应该指的是产品ID

16. [填空题] 工地主管曾用计算机使用WhatsApp，他曾和以下哪个电话号码沟通? (请以阿拉伯数字回答) (2分)

    85246761157、85255378389、1574344711、85267367922、1632900304、85297131560、1602580243

    题目中说工地主管的计算机，但是工地主管的计算机中没找到WhatsApp沟通记录，尝试在Alex计算机中查找，找到多个可疑号码，不知道是否正确。

17. [多选题] 工地主管计算机的用户名称是甚么? 其用户标识符是甚么? (2分)

A. 用户名称: PC1

B. 用户名称: PC2

C. 用户名称: PC3

D. 用户标识符: 0x000003E7

E. 用户标识符: 0x000003E8

F. 用户标识符: 0x000003E9

AF

18. [单选题] 工地主管计算机的预设浏览器是甚么? (2分)

A. Chrome

B. Firefox

C. Safari

D. 以上皆否

使用仿真方法做，仿真成功后，在桌面上建一个.html文件即可发现是chrome浏览器的logo。

19. [填空题] 工地主管计算机的其中一个分区被人加密，分区内的电子表格Material3.xlsx的哈希值(SHA1)是甚么? (请以英文全大写及阿拉伯数字回答) (1分)

    40418B21F6C3E4AF306D5EF3B80A776DA72FC1D2

    解锁bitlocker分区，第一步得先找到密钥，在本计算机镜像里没有找到，但是在FTP服务器里找到了。找到密钥后，成功对加密分区解密，然后成功找到了该文件。

20. [多选题] 路由器的记录中显示以下有哪些IP是公司的电子器材? (3分)

A. 192.168.40.128

B. 192.168.40.129

C. 192.168.40.130

D. 192.168.40.131

E. 192.168.40.132

本题问到了网络设备，第一反应，找路由器日志

20. [填空题] 路由器的记录中显示公司的计算机下载了FTP软件，该下载网站的IP是什麼?(请以亚拉伯数字作答，省去"."符号) (3分)

    49.12.121.47

尝试搜索FTP关键词，但是没有找到相关内容，题干提示下载的FTP软件，前面做题提到了用的是Filezilla，搜索Filezilla，找到该IP。

22. [多选题] 路由器的记录中显示公司计算机的资料用FTP软件传到了甚么IP地址及利用端口? (2分)

A. IP地址: 2*.2*.2*.114

B. IP地址: 8*.8*.1*.20

C. IP地址: 1*.1*.0*.13

D. 端口: 21

E. 端口: 80

我看到的端口是23，但是选项里没有，我选了21端口。跳转到日志中进行查看，发现也是23号端口。但该ip在路由器日志里显示的是21号端口。

23. [多选题] 路由器的记录中显示以下哪些关键词是表示公司计算机与外界网络联机? (2分)

A. destination

B. ICMP echo request

C. inside

D. outside

E. 以上皆是

根据上题的ip找到A选项，outside顾名思义是外界的意思。

24. [单选题] 路由器的记录中显示哪一个IP曾以teamviewer 连接公司计算机? (1分)

A. 110.152.0.14

B. 52.152.117.114

C. 180.152.0.13

D. 83.26.80.131

用取证大师看teamviewer解析，找不到相关信息。

尝试在路由器日志里搜索teamviewer，也找不到。

在路由器日志，按照选项，挨个往回搜，找到52.152.117.114。

25. [多选题] 路由器的记录中显示以下哪一个有可能是以teamviewer 遥控公司计算机的时间? (3分)

A. 09:31, 09:37

B. 0933, 09:39

C. 10:29, 10:36

D. 10:40

E. 10:42

根据上题找到的ip地址，搜索找到时间

26. [填空题] 路由器的记录中显示有多少电子器材有可能曾被入侵? (请以阿拉伯数字作答) (2分)

3

从手机里的聊天记录，前面有截图，有三个记录。

27. [多选题] 阿力士iPhone 12 pro电话 于2021年10月21日，以下哪一张相片可能曾被分享 (UTC+8)? (3分)

A. IMG_0011.HEIC

B. IMG_0010.HEIC

C. IMG_0009.HEIC

D. IMG_0008.HEIC

E. IMG_0007.HEIC

Cellebrite软件默认没有显示文件名，找到这里，正常思路找聊天工具里的图和这里重叠的，但是没有找到痕迹。如果聊天分享不发原图的话，EXIF元数据文件就没了，发现这个图和IMG_0011.HEIC一样，所以选A。

28. [单选题] 阿力士iPhone 12 pro电话中哪一张相片可能曾被修改拍摄时间? (2分)

A. IMG_0011.HEIC

B. IMG_0010.HEIC

C. IMG_0009.HEIC

D. IMG_0008.HEIC

叫不准，有可能是这个。

29. [填空题] 阿力士iPhone 12 pro 的GSM媒体访问控制地址是什么? (请以英文全大写及阿拉伯数字回答，不用输入"😊 (2分)

    e0:6d:17:38:24:20

GSM媒体访问控制地址应该是MAC地址

30. [单选题] 阿力士的iphone 12 pro以什么屏幕密码保护? (1分)

A. 6位阿拉伯数字密码

B. 4位阿拉伯数字密码

C. 图形密码

D. 以上皆非

手工查找pslist文件，找到manifest.plist文件中的WasPasscode的值为false，表示没有设置密码锁。

31. [多选题] 阿力士iphone 12 pro内以下哪一张相片是实况相片(live Photos)? (2分)

A. IMG_0011.HEIC

B. IMG_0010.HEIC

C. IMG_0012.HEIC

D. IMG_0009.HEIC

找到实况相片为ABD

32. [单选题] 以下哪一个是阿力士iphone 12 pro可能曾经连接的装置名称? (2分)

A. Chris’s MacBook Pro

B. Chirs’s iPhone

C. Chirs’s Computer

D. Chirs’s Linux

在联系人里找到记录

33. [多选题] 接上题，记录连接时间是什么时候(UTC+8)? (2分)

A. 2021年10月21日 00:58:01

B. 2021年10月21日 08:58:01

C. 2021年10月21日 00:58:29

D. 2021年10月21日 08:58:29

34. [多选题] 阿力士iPhone XR中在软件WhatsApp中工地主管与阿力士的对话中曾提到：[佢叫我俾钱喎，BTC係唔係呢个啊？]。在进行电子数据取证分析后，以下哪一个是有可能关于此对话的正确描述？ (2分)

A. 此对话被Kariser Lee删除

B. 此对话的附件为一张图片文件

C. 此对话被Alex Chan 删除

D. 此对话是引用Alex Chan 回复

35. [填空题] 阿力士iPhone XR的WhatsApp对话中，阿力士曾要求工地主管支付多少个BTC? (请以阿拉伯数字回答) (1分)

10

同上题图

36. [多选题] 阿力士iPhone XR中 “IMG_0056.HEIC"的图像与"5005.JPG”(MD5: 96c48152249536d14eaa80086c92fcb9)" 看似为同一张相片，在电子数据取证分析下，以下哪样描述是正确? (2分)

A. 储存在不同的.db 里

B. 有不同哈希值

C. IMG_0056.HEIC 为原图, 5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9)为缩略图

D. IMG_0056.HEIC 曾被开启过，所以在IOS系统中创建了缩略图5005.JPG(MD5: 96c48152249536d14eaa80086c92fcb9)

常识题，iPhone手机情况，D选项无法确认是否曾被开启。

37. [多选题] 阿力士iPhone XR中相片檔IMG_0056.HEIC提供了什么电子数据取证的信息? (3分)

A. 此相片是由隔空投送 (Airdrop)得来

B. 此相片由iPhone XR拍摄

C. 此相片的拍摄时间为2021-10-21 17:45:48(UTC+8)

D. 此相片的拍摄时间为2021-09-08 17:35:00(UTC+8)

是否是隔空投送无法确定

38. [单选题] 阿力士iPhone XR中阿力士的电邮账户Alexc19851016@gmail.com的密码有可能是什么? (1分)

A. Ac19851016

B. Alex1985!

C. Aa475869!

D. 以上皆非

在备注里找到了，

39. [填空题] 阿力士iPhone XR曾经连接Wifi "Alex Home"的密码是什么? (请以英文全大写及阿拉伯数字回答) (1分)

    12345678

在密码中查找，找到是12345678

40. [单选题] 阿力士iPhone XR经iCloud备份的最后时间是什么?(UTC+8)? (1分)

A. 2021-10-21 17:51:38(UTC+8)

B. 2021-10-21 18:02:13 + (UTC+8)

C. 2021-10-21 09:51:38(UTC+8)

D. 2021-10-21 10:02:13 + (UTC+8)

41. [填空题] 阿力士iPhone XR中的iBoot版本是iBoot-[6723.120.36]{.underline} ? (请以阿拉伯数字回答，不用轮入".") (1分)

42. [多选题] 阿力士iPhone XR中的WhatsApp群组『团购-新鲜猪肉牛肉-东涌群组-9/30』有以下哪一个成员? (2分)

A. 85260617332@s.whatsapp.net

B. 85260452579@s.whatsapp.net

C. 85248791565@s.whatsapp.net

D. 85264630956@s.whatsapp.net

43. [单选题] 阿力士的计算机显示曾于hongkongcard.com 的论坛登记成为会员，以下哪个是他的帐户密码? (3分)

A. Aa475869!

B. Bb475869!

C. Cd475869!

D. 以上皆非

搜索这个网站，发现使用的是Gmail账号，去iPhone XR里找到密码

44. [单选题] 阿力士的计算机显示阿力士曾用什么方法进入受害者(主管)的计算机? (1分)

A. 远程操控

B. 特洛伊木马程序

C. 勒索软件

D. 恶意软件

使用teamViewer，远程操控。

45. [单选题] 续上题，阿力士最后一次进入受害者(主管)计算机的时间是什么? (2分)

A. 于2021年10月18日 10时36分

B. 于2021年10月18日18时36分

C. 于2021年10月18日6时53分

D. 于2021年10月18日18时42分

46. [填空题] 阿力士的计算机显示他曾经使用FTP程序，FTP的主机IP地址是什麼?(请以亚拉伯数字作答，省去"."符号) (2分)

    218255242114

47. [填空题] 阿力士的计算机显示于2021年9月至2021年11月期间，计算机曾被登入过多少次? (请以阿拉伯数字回答) (1分)

30

47. [填空题] 阿力士计算机所安装的Microsoft Office 2007 是以下哪一个版本? (请以亚拉伯数字作答，省去"."符号) (2分)

    12045181014

    仿真后，进入控制面板，找到版本号

48. [填空题] 以下是阿力士计算机中的Basic data partition (EFI 3) 的Volume ID? (请以英文全大写及阿拉伯数字回答) (2分)

    94C4-4CA5-C44C-8B84

    使用DiskGenius，看卷序列号。

49. [填空题] 阿力士计算机的Window product ID是什么? (请以英文全大写及阿拉伯数字回答，不用输入"-") (1分)

    003311000000001AA411
    

51. [单选题] 阿力士计算机曾经下载一张猴子的图片，以下哪一项描述正确? (1分)

A. 该图片是由 "https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSgn6ABvcqTfFPjcIbjc9hdx1H4PtQsAuVyTQ&usqp=CAU"下载的

B. 该图片经过加密

C. 该图片于2021-09-30 下载

D. 该图片是由GIF档转换成PNG檔

搜索这个网址，就找到啦

52. [填空题] 阿力士计算机所安装的Microsoft Office 2007 的密钥是甚么? (请以英文全大写及阿拉伯数字回答，不用输入"-") (1分)

    V77WQRPVP67MTPGWH3G9D44MJ

53. [单选题] 阿力士FTP 服务器用户使用命令行安装了甚么程序? (1分)

A. Docker

B. Chrome

C. FileZilla

D. TeamViewer

历史命令主要是docker

54. [多选题] 以下哪些档案于阿力士FTP 服务器曾重复出现? (3分)

A. Material1

B. Material2

C. Material3

D. Staff1

E. Staff2

F. Staff3

由于前面的工地主管电脑上的加密分区找到过这俩文件名，都是excel表格文件，到FTP服务器里找文档分类即可找得到。

55. [填空题] 在阿力士FTP服务器中，文件夹Dangerous_Project曾被用户变更了访问权限(请以英文全大写及阿拉伯数字回答) (2分)

56. [填空题] 在阿力士FTP 服务器建设后，有 1 个额外用户被加入 (请以阿拉伯数字回答) (2分)

    pure命令是用来创建虚拟用户的，搜一下
    

57. [单选题] 根据阿力士FTP服务器设定显示，此服务器是以_____方式连接网络，且是一个_______网络状态 (1分)

A. 无线 , 公开

B. 无线 , 私人

C. 有线 , 公开

D. 有线 , 私人

有线网络，连在一个公网ip上。正常道理上讲，直接连公网的FTP服务器，不能是无线的吧，我没找到有线网络的有力证据。

57. [填空题] 阿力士FTP 服务器设定最多使用者数目是 50 (请以阿拉伯数字回答) (2分)

58. [填空题] 阿力士FTP服务器使用Docker安装了一个FTP程序为stilliard/pure-ftpd。(例如 space docker /1.1，请输入 spacedocker/1.1，不要输入空格) (2分)

    docker pull 后面一般跟的是拉取的程序镜像

60. [多选题] 阿力士FTP 服务器曾使用过甚么版本的Linux内核? (2分)

A. linux-headers-5.11.0-16

B. linux-headers-5.11.0-17

C. linux-headers-5.11.0-36

D. inux-headers-5.11.0-37

E. linux-headers-5.11.0-40

仿真后输入命令

dpkg --get -selections | grep linux-image

61. [多选题] 阿力士FTP 服务器的磁盘分区，有以下哪一种文件系统? (2分)

A. FAT16

B. FAT32

C. ExFAT

D. HFS+

E. Ext4

62. [填空题] 阿力士FTP服务器用户输入了指令 dockercontainerps-a 去检查现存的Docker容器 (例如 netstat lntp，请输入 netstatlntp，不要输入空格) (3分)