第一次参加美亚杯,手忙脚乱,不过也学到了很多东西,接下来会分篇介绍writeup,感兴趣的小伙伴可以持续关注。

案件基本情况:
(一)案情
2023月8月的一天,香港警方在调查一起网络诈骗案件时,发现有三名本地男子,分別为李大輝(李大辉),浩賢(浩贤)和Elvis CHUI,并确信这三名被捕男子均为大学同学。怀疑三人背后涉及一个庞大的电信诈骗集团。于是将这三名本地男子拘捕,扣押了三人相关的电子设备并进行分析。
现在你被委派处理这件案件,请依据以下资料分析上述三人是否涉嫌犯罪,并还原事件经过。
(二)检材资料
1.李大輝的安卓手机镜像 (Android.bin)
2.李大輝的macOS系统镜像(Mac OS.img)
3.来自李大輝计算机的一个文件($MFT Record Nr_ 107115, SeqNr_2.txt)
4.浩賢的个人虚拟机文件(Server.zip)
5.浩賢的Windows 10系统虚拟机文件(Windows10.zip)
6.浩賢的iOS手机系统文件(IOS.zip)
7.来自Elvis Chui计算机的一个网络封包文件(網路.pcapng)
8.来自Elvis Chui计算机的镜像文件 (Windows Artifacts.e01)
9.来自Elvis Chui计算机的数据库文件(SQLITE.zip)
10.Elvis Chui的Windows7虚拟机文件(Windows7.zip)

第一篇分析来自Elvis Chui计算机的镜像文件 (Windows Artifacts.e01),题目和解析如下,因为是美亚的比赛,把取证大师和火眼证据分析都拿出来,一题两做,也能熟悉各种软件的使用,博采众长。

  1. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目,Elvis Chui 总共登入过该计算机多少次?提示: 请以阿拉伯数字作答
    在这里插入图片描述
    由图可知,登录成功次数为11次。
    在这里插入图片描述

  2. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目,该计算机的操作系统是在哪一个时区?

A. UTC +4

B. UTC +8

C. UTC -8

D. UTC -4
在这里插入图片描述
在这里插入图片描述

  1. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目,该计算机的操作系统于何时安装?
    A. 2023-07-13 19:18:14

B. 2023-07-13 11:18:14

C. 2023-07-13 03:18:14

D. 2023-07-12 19:18:14

在这里插入图片描述
在这里插入图片描述

  1. [多选题]参考’Window Artifacts.E01’内的Windows注册表回答以下题目,哪(几)个程序会于操作系统启动时自动执行?
    A. Avast

B. Steam

C. OneDrive

D. QQ

在这里插入图片描述
在这里插入图片描述

  1. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目,该计算机内安装了以下哪一个程序?
    A. QQ

B. WPS Office

C. Opera

D. Kaspersky
在这里插入图片描述
在这里插入图片描述
这种题目直接挨个搜索就行。
37. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目,计算机内的OneDrive程序版本是什么?
在这里插入图片描述
在这里插入图片描述

  1. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目,计算机有一个正在连接的网络接口,该接口连接DHCP服务器的IP地址是多少?提示: 以 IPV4格式回答
    在这里插入图片描述
    在这里插入图片描述

  2. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目,该计算机何时连接过一只U盘?(以计算机系统时区回答)
    A. 2023-07-13 11:48:26

B. 2023-07-13 03:48:29

C. 2023-07-12 19:48:29

D. 2023-07-13 11:48:29
在这里插入图片描述
在这里插入图片描述

  1. [多选题]参考’Window Artifacts.E01’回答以下题目,Elvis Chui 将哪几个文本文件放在回收站中?
    A. $+D10I76A74P.txt

B. Holiday schedule 2023-07-16.txt

C. Holiday schedule 2023-07-13.txt

D. Minute on 2023-07-01.txt

E. Minute on 2023-07-10.txt

在这里插入图片描述
在这里插入图片描述

  1. 参考’Window Artifacts.E01’回答以下题目,Elvis Chui在什么时间删除了第一个文本文件?(以计算机系统时区回答)
    A. 2023-07-13 11:50:15

B. 2023-07-13 03:49:45

C. 2023-07-13 03:50:15

D. 2023-07-13 11:49:45

在这里插入图片描述
在这里插入图片描述

按删除时间排序后查看第一个。
42. 参考 ’ Window Artifacts.E01 '回答以下题目,Elvis Chui删除的第一个文本文件的文件名是什么?提示: 请用小写字母回答及需列明文件格式。如文件名字内有空格位置,请用_标示。例如: go_to_school.docx
同上题。
43. 参考’Window Artifacts.E01’回答以下题目,Elvis Chui删除的第一个文本文件在什么时间创建?(以计算机系统时区回答)
A. 2023-07-13_11:42:39

B. 2023-07-13_11:50:49

C. 2023-07-13_11:49:45

D. 2023-07-13_11:45:22

直接爆搜:
在这里插入图片描述
在这里插入图片描述

  1. 参考’Window Artifacts.E01’回答以下题目,Elvis Chui计划于2023年7月15日20点5分有什么活动?提示: 答案请与文件内的文字大小写相同
    在这里插入图片描述
    在这里插入图片描述

  2. 参考’Window Artifacts.E01’回答以下题目,该计算机执行STEAM.EXE总共多少次?提示: 请用阿拉伯数字作答
    在这里插入图片描述
    在这里插入图片描述

Logo

开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!

更多推荐