根据官方公布的答案修改了一下，还是有些不会做的题目，文中的思路仅代表个人观点，如有错误之处请大佬指正，带*号的是存疑和不会做的题目，欢迎各路大神一起交流学习

检材链接：https://pan.baidu.com/s/1F2Y0S0wO2A5wTn6pusWpzg?pwd=qm93 容器密码：3hqGFfT#B*Yjd74t@f%9fDqs6D^$wVjAvxZkA79*4UV*kVRcq^Zu6Xp87W*p#X3XD%*ER!nHzzTnSEMwy8NEGX6A*%P&#rBUkxypAPKwX4mP3WZuHnYKRc7sA33hd@qS

01

—

2023月8月的一天，香港警方在调查一起网络诈骗案件时，发现有三名本地男子，分別为李大輝（李大辉），浩賢(浩贤)和Elvis CHUI，并确信这三名被捕男子均为大学同学。怀疑三人背后涉及一个庞大的电信诈骗集团。于是将这三名本地男子拘捕，扣押了三人相关的电子设备并进行分析。

现在你被委派处理这件案件，请依据以下资料分析上述三人是否涉嫌犯罪，并还原事件经过。

检材资料

1.李大輝的安卓手机镜像 (Android.bin)

2.李大輝的MacOS系统镜像(Mac OS.img)

3.来自李大輝计算机的一个文件($MFT Record Nr_ 107115, SeqNr_2.txt)

4.浩賢的个人虚拟机文件(Server.zip)

5.浩賢的Windows 10系统虚拟机文件(Windows 10.zip)

6.浩賢的iOS手机系统文件(IOS.zip)

7.来自Elvis Chui计算机的一个网络封包文件(網路.pcapng)

8.来自Elvis Chui计算机的镜像文件 (Windows Artifacts.e01)

9.来自Elvis Chui计算机的数据库文件(SQLITE.zip)

10.Elvis Chui的Windows7虚拟机文件(Windows7.zip)

题目

这里是按照同一个对象的检材的顺序来复盘的

李大辉

1. 参考'Android.bin'回答以下题目，李大辉所用手机移动运营商公司的名称。提示:请所有字母都用大写英文

DUCK

2. 参考'Android.bin'回答以下题目，李大辉的手机安装了什么即时通讯软件 (Instant Messaging App)？

A. WhatsApp

B. LINE

C. 微信

D. Signal

E. QQ

A

根据取证软件解析出的内容，发现有WhatsApp

*3. 参考'Android.bin'回答以下题目李大辉的手机安装了什么反追踪软件？提示: 所有答案字母都用小写字母并用xxx_xxx_xxxxxxx_xxxxxx_xxxx格式作答

photo_exif_editor-metadata

怀疑官方答案有问题

找到一张截图，与第7题刚好对上，修改图片exif信息也可以理解为反追踪手段

4. 参考'Android.bin'回答以下题目，李大辉的手机是什么时间成功登入WhatsApp？

A. 2022-08-18_21:52:30

B. 2022-08-19_21:56:23

C. 2022-08-18_21:56:37

D. 2022-08-19_06:59:07

E. 2022-08-19_07:01:17

C

在短信中找到WhatsApp登录验证码

登录时间是在接到码之后

5. 参考'Android.bin'回答以下题目，李大辉登入WHATSAPP时的认证短码是什么？提示: 请以阿拉伯数字作答

304313

同上题

6. 参考'Android.bin'回答以下题目，李大辉到美丽好化妆品公司的入职时间是何时？

A. 2016-04-16

B. 2016-06-28

C. 2017-05-25

D. 2017-07-25

E. 2017-08-18

C

*7. 参考'Android.bin'回答以下题目，李大辉曾于什么时间使用了图像编辑软件？

A. 2022-09-10

B. 2022-09-12

C. 2022-10-05

D. 2022-11-10

E. 2022-11-13

C

怀疑是题目选项给错了，有一张修改时间与创建时间不同的图片在2022-10-11修改

26. 参考'Mac OS.img'文件回答以下题目，'Mac OS.img'文件中可以找到多少个符号链接？

A. 0

B. 1

C. 2

D. 3

B

将Mac OS.img放到MacOS虚拟机中，双击，会出现一个MyUSB

查看MyUSB，有一个alias文件

27. 参考'Mac OS.img'文件回答以下题目，在'Mac OS.img'档中使用了哪种分区方案？

A. Apple Partition Map

B. GUID Partition Table

C. Master Boot Record

D. HFS+

B

采用的是GUID分区表

28. 参考'Mac OS.img'文件回答以下题目，'Mac OS.img'档的文件系统的正确描述是什么？

A. HFS+（已启用日志记录）

B. HFS+（已启用区分大小写）

C. HFS+（已启用日志记录和区分大小写）

D. APFS（已启用区分大小写）

C

29. 参考'Mac OS.img'文件回答以下题目，从文件“Car.rtfd”中删除了哪个文件？提示:答案需包括副文件名，并以全小写字母作答，例如 answer.docx

yeah.jpg

rtfd是MacOS上的多信息文本文件

.DocumentRevisions-V100是MacOS的版本控制系统，类似于Git，在其中找到两个rtfd

对比发现少了yeah.jpg

30. 参考'Mac OS.img'文件回答以下题目，请提供'Mac OS.img'映像文件被“fsck”命令检查的具体时间。提示:答案格式为YYYYMMDD-HHMMSS，如2023年1月1日15时30分30秒则请回答"20230101-153030"

20230713-082435

根据官方公布的答案推测要的答案是映像文件的分区中最早的记录更新时间，但是需要转换时区

31. 参考'Mac OS.img'文件回答以下题目，在.dmg档中删除了多少个文件？

A. 1

B. 2

C. 3

D. 4

D

.Trashes是MacOS的废纸篓，相当于Windows的回收站$Recycle.bin

*88. 参考'Windows 10'文件夹回答以下题目，在Windows 10中\Users\qqqqq\Downloads，视频文件(mixkit-two-women-laying-together-925-medium.mp4)，在MFT 中分成多少个Data Cluster储存？提示: 请以阿拉伯数字作答

5

感觉思路会是将$MTF使用mft2csv转换成csv然后分析，但是不知道怎么分析

89. 参考' Windows 10 ' 文件夹回答以下题目，在Windows 10中\Users\qqqqq\Downloads\mixkit-two-woman-laying-together-925-medium.mp4的last Access时间是多少？

A. 2023/07/10 18:31:32

B. 2023/07/10 18:31:01

C. 2023/07/10 19:31:22

D. 2023/07/11 19:31:22

A

浩贤

8. 参考Server文件夹下的'Meiya_VPN.vmdk'回答以下题目，这个访问服务器使用了哪个端口？提示: 请用阿拉伯数字作答

943

在Firefox保存的密码中可以看到openvpn的端口为943

192.168.112.138就是该服务器的内网ip

9. 参考Server文件夹下的'Meiya_VPN.vmdk'回答以下题目，“User1”账户最近连接到这个访问服务器时使用的IP地址是多少？提示: 用IPV4 格式回答

192.166.244.167

在/var/log目录下有openvpnas.log和openvpnas.log.1，根据创建和修改的时间，.1后缀的应该是早一些的日志

在openvpnas.log中搜索user1

10. [多选题]参考Server文件夹下的'Meiya_VPN.vmdk'回答以下题目，哪些文件可以找出这个访问服务器的Ubuntu版本？

A. lsb-release

B. issue.net

C. .profile

D. console

AB

/etc/lsb-release

/etc/issue.net

11. [多选题]参考Server文件夹下的'Meiya_VPN.vmdk'回答以下题目，哪些文件有助于分辨这是一个存储服务器？

A. auth.log

B. sys.log

C. bash_history

D. idconfig

ABC

机翻有误，应该意思是哪些文件记录了服务器的访问记录

auth.log：这个文件记录了用户登录和认证相关的日志信息。它可能包含与存储服务器相关的登录和访问日志。

sys.log：这个文件是系统日志文件，记录了系统的各种事件和错误信息。它可能包含与存储服务器相关的磁盘、文件系统或存储设备的日志信息。

bash_history：bash_history 文件包含了用户在 shell 中执行的命令历史记录。如果用户通过 shell 访问服务器并执行了相关命令，那么这个文件可以提供一些关于访问记录的线索。

12. 参考Server文件夹下的'Meiya_VPN.vmdk'回答以下题目这个访问服务器所在时区是哪个时区？

A. UTC +9

B. UTC +8

C. UTC -7

D. UTC

C

13. 参考Server文件夹下的 ' Meiya_VPN.vmdk ' 回答以下题目，这个访问服务器的“openvpn”帐户密码是多少？提示:请用大写字母与阿拉伯数字作答

TLFAG6L6DSSC

在/usr/local/openvpn_as目录找到init.log，为openvpn的初始化日志，在其中筛选password

14. 参考Server文件夹下的 ' Meiya_VPN.vmdk '回答以下题目，在这个访问服务器中，“User1”账户之间的连接所使用的加密算法（密码）是什么？

A. Blowfish-CBC

B. 3DES-CBC

C. AES-128-GCM

D. AES-256-CBC

D

53. 参考'IOS'文件夹回答以下题目，根据'com.apple.ios.StoreKitUIService.plist'，这部电话是什么型号？

A. SAMSUNG S23

B. iPhone X

C. iPhone XR

D. iPhone XS

E. iPhone 13

C

54. 参考'IOS'文件夹回答以下题目，根据com.apple.ios.StoreKitUIService.plist，上述电话的文件系统是什么？

A. FAT32

B. NTFS

C. HFS+

D. APFS

E. EXT4

D

常识

*55. [多选题]参考'IOS'文件夹回答以下题目，根据ChatStorage.sqlite，哪些对话已锁定？

A. [email protected]

B. [email protected]

C. [email protected]

D. [email protected]

E. status@broadcast

ABC

数据库中找不到与锁定对话相关的字段

*56. 参考'IOS'文件夹回答以下题目，根据ChatStorage.sqlite，有多少段录音对话？提示: 请以阿拉伯数字作答

45

无法得出与答案一致的结果

思路是在数据库的ZWAMEDIAITEM表中筛选ZVCHARDSTRING为audio的记录的条数

57. 参考'IOS'文件夹回答以下题目，Apple Cocoa Core Data timestamp是由什么时间开始？

A. 2001年1月1日

B. 1970年1月1日

C. 2006年1月1日

D. 1960年1月1日

A

积累到一个常识，Core Data时间戳的起始日期是2001年1月1日

58. 参考'IOS'文件夹回答以下题目，根据Photos.sqlite数据库中，有多少段视频可能涉及WhatsApp？提示: 请以阿拉伯数字作答

7

*59. [多选题]参考'IOS'文件夹回答以下题目，根据Photos.sqlite数据库中，下列哪个选项对IMG_0008.HEIC的描述是错的？

A. 由第三方软件拍摄

B. 经过修改

C. 由后镜拍摄

D. 用ISO200拍摄

E. 没有储存经纬度

ADE

怀疑官方答案是错的

A：HEIC是苹果手机相机的原格式

B：是否经过修改暂不清楚

C、D、E：在ZASSET表中找到IMG_0008.HEIC对应的Z_PK值为491，在ZEXTENDEDATTRIBUTES表中可以找到ISO、经纬度、摄像头等信息

是由后置镜头拍摄，ISO为160，存储了经纬度

60. 参考'IOS'文件夹回答以下题目，根据'sms(ios).db'的资料，全局唯一标识符(GUID): DD31C26F-1D72-DE0F-431E-EF98F104402D显示的信息是什么? 提示:答案需要与信息一样(答案包括中文字、阿拉伯数字与符号)

你的 Uber 驗證碼為 3666. 請勿分享此驗證碼.

61. [多选题]参考'IOS'资料 夹回答以下题目，根据'com.burbn.instagram.plist'及'com.facebook.Facebook.plist'手机安装了实时通讯软件Facebook及Instagram的哪个版本？

A. Instagram (Version 278.0.0.19.115)

B. Facebook (Version 410.0.0.41.116)

C. Instagram (Version 279.0.0.23.112)

D. Facebook (Version 410.0.0.26.115)

E. Instagram (Version 278.0.0.25.115)

F. Facebook (Version 410.0.0.57.116)

AB

Instagram

Facebook

62. 参考'IOS'文件夹回答以下题目，根据'ChatStorage(ios).sqlite'，用户数据Peter Chow (85262012141)在什么日期和时间(以UTC +8时区)曾经通过实时通讯软件送出一个信息(内容为: I am already home)？提示:以UTC +8时区作答,并以YYYY-MM-DD_HH:MM:SS格式作答 例如:2023-01-01_10:01:01 (答案无需输入UTC +8)

2023-04-01_11:21:51

这个时间戳不同于UNIX时间戳，是从2001年1月1日起算，可以手动换算也可以用脚本

手工换算，先转换出2001.1.1的时间戳

再与数据库中的时间戳相加后进行转换

得到的时间是UTC时间，需要+8处理

*63. 参考' IOS'文件夹回答以下题目，根据影片IMG_0687.MOV的原数据，找出影片拍摄时间? 提示:以UTC +8时区作答,并以YYYY-MM-DD_HH:MM:SS格式作答 例如:2023-01-01_10:01:01 (答案无需输入UTC +8)

2023-06-06_18:11:29

找不到相关文件的记录

64. 参考'IOS'文件夹回答以下题目，根据'CallHistory(ios).storedata'，哪份表格显示了通话记录？

A. ZCALLBPROPERTIES

B. ZCALLRECORD

C. Z_2REMOTEPARTICIPANTHANDLES

D. Z_METADATA

E. Z_MODELCACHE

F. Z_PRIMARYKEY

B

65. 参考' IOS ' 文件夹回答以下题目，根据'com.apple.sharingd.plist'，这部手机的隔空投送的身份标识号(AirDrop ID)是什么？提示:请以阿拉伯数字与小写字母作答

2abd0940fbdc

66. 参考'IOS'文件夹回答以下题目，根据'Accounts3.sqlite'，这部手机的苹果使用者账号 (Apple ID) 是什么？提示:请以电邮格式作答(例:[email protected])

[email protected]

Elvis Chui

15. 参考' 网络题目.pcapng ' 文件回答以下题目，给出正在进行Nmap扫描的计算机互联网协议地址？提示: 以IPV4格式给出答案

192.168.186.132

192.168.186.132UDP扫描45.33.32.156

192.168.186.132TCP扫描8.8.8.8

16. 参考'网络题目.pcapng'文件回答以下题目，有多少个Nmap扫描正在同时进行？提示:请给出阿拉伯数字作答

2

一个UDP扫描45.33.32.156，一个TCP扫描8.8.8.8

17. 参考'网络题目.pcapng'文件回答以下题目，当计算机正在扫瞄8.8.8.8，namp相关的指令是什么？

A. nmap -sT 8.8.8.8

B. nmap -sU 8.8.8.8

C. nmap -sn -PR 8.8.8.8

D. nmap -sn -PU 8.8.8.8

A

TCP扫描8.8.8.8

18. 参考'网络题目.pcapng'文件回答以下题目，当计算机正在扫瞄45.33.32.156，namp相关的指令是什么？

A. nmap -sT 45.33.32.156

B. nmap -sU 45.33.32.156

C. nmap -sn -45.33.32.156

D. nmap -sn -45.33.32.156

B

UDP扫描45.33.32.156

32. 参考'Window Artifacts.E01'内的Windows注册表回答以下题目，Elvis Chui 总共登入过该计算机多少次？提示: 请以阿拉伯数字作答

11

33. 参考'Window Artifacts.E01'内的Windows注册表回答以下题目，该计算机的操作系统是在哪一个时区？

A. UTC +4

B. UTC +8

C. UTC -8

D. UTC -4

B

34. 参考'Window Artifacts.E01'内的Windows注册表回答以下题目，该计算机的操作系统于何时安装？

A. 2023-07-13 19:18:14

B. 2023-07-13 11:18:14

C. 2023-07-13 03:18:14

D. 2023-07-12 19:18:14

B

35. [多选题]参考'Window Artifacts.E01'内的Windows注册表回答以下题目，哪(几)个程序会于操作系统启动时自动执行？

A. Avast

B. Steam

C. OneDrive

D. QQ

ABC

36. 参考'Window Artifacts.E01'内的Windows注册表回答以下题目，该计算机内安装了以下哪一个程序？

A. QQ

B. WPS Office

C. Opera

D. Kaspersky

B

37. 参考'Window Artifacts.E01'内的Windows注册表回答以下题目，计算机内的OneDrive程序版本是什么？

21.220.1024.0005

38. 参考'Window Artifacts.E01'内的Windows注册表回答以下题目，计算机有一个正在连接的网络接口，该接口连接DHCP服务器的IP地址是多少？提示: 以 IPV4格式回答

192.168.88.254

问的是DHCP服务器ip

39. 参考'Window Artifacts.E01'内的Windows注册表回答以下题目，该计算机何时连接过一只U盘？(以计算机系统时区回答)

A. 2023-07-13 11:48:26

B. 2023-07-13 03:48:29

C. 2023-07-12 19:48:29

D. 2023-07-13 11:48:29

D

40. [多选题]参考'Window Artifacts.E01'回答以下题目，Elvis Chui 将哪几个文本文件放在回收站中？

A. $+D10I76A74P.txt

B. Holiday schedule 2023-07-16.txt

C. Holiday schedule 2023-07-13.txt

D. Minute on 2023-07-01.txt

E. Minute on 2023-07-10.txt

BE

41. 参考'Window Artifacts.E01'回答以下题目，Elvis Chui在什么时间删除了第一个文本文件？(以计算机系统时区回答)

A. 2023-07-13 11:50:15

B. 2023-07-13 03:49:45

C. 2023-07-13 03:50:15

D. 2023-07-13 11:49:45

D

42. 参考 ' Window Artifacts.E01 '回答以下题目，Elvis Chui删除的第一个文本文件的文件名是什么？提示: 请用小写字母回答及需列明文件格式。如文件名字内有空格位置，请用_标示。例如: go_to_school.docx

holiday_schedule_2023-07-16.txt

43. 参考'Window Artifacts.E01'回答以下题目，Elvis Chui删除的第一个文本文件在什么时间创建？(以计算机系统时区回答)

A. 2023-07-13_11:42:39

B. 2023-07-13_11:50:49

C. 2023-07-13_11:49:45

D. 2023-07-13_11:45:22

D

44. 参考'Window Artifacts.E01'回答以下题目，Elvis Chui计划于2023年7月15日20点5分有什么活动？提示: 答案请与文件内的文字大小写相同

Movie

45. 参考'Window Artifacts.E01'回答以下题目，该计算机执行STEAM.EXE总共多少次？提示: 请用阿拉伯数字作答

7

90. 参考'Windows 7'文件夹回答以下题目，在Windows 7中\Users\Allen\Desktop，有1个MP3文件(例:unlock-me-149058.mp3)，用户使用什么程序打开该MP3文件? 提示:请以小写字母作答

potplayer

仿真打开该文件

91. 参考'Windows 7'文件夹回答以下题目，在Windows 7中'\Users\Allen\Desktop '有1个MP3文件(unlock-me-149058.mp3)，该文件的Zone identiflier为'3'。上述'3'字代表哪一个security Zone ?

A. Local Machine Zone

B. Internet Zone

C. Restricted Zone

D. Trust Site Zone

B

Zone identiflier为3代表该文件来自互联网

92. 参考'Windows 7'文件夹回答以下题目，在 Windows 7中\Users\Allen\Desktop有1个MP3文件 (unlock-me-149058.mp3)，该文件从哪个网站下载？

A. www.Pixbay.com

B. free-mp3-download.net/

C. https://mp3juices.nu

D. mygomp3.com

A

93. 参考'Windows 7'文件夹回答以下题目，在 Windows 7中\Users\Allen\Downloads内有mp3文件(miracle.mp3)，更改名称时间？

A. 2023-07-13 02:55:20

B. 2023-07-15 10:55:20

C. 2023-07-12 10:58:04

D. 2023-07-13 10:55:20

D

解析NTFS日志

94. 参考'Windows 7'文件夹回答以下题目，在Windows 7中\Users\Allen\Downloads内有mp3文件(miracle.mp3)，mp3文件更改名称前的名称是什么？提示: 请以与记录相同的名称与文件格式作答

a-small-miracle-132333.mp3

*95. 参考'Windows 7'文件夹回答以下题目，在Windows 7中有多少个文件曾被potplayer播放？

A. 7

B. 8

C. 9

D. 10

B

注册表和potplayer相关目录都翻过了，只找到两个.dpl用来记录播放列表，最近访问的项目中只有6个mp3

96. 参考'Windows 7' 文件夹回答以下题目，在Windows 7中，potplayer最后播放的文件名？提示: 请以与记录相同的名称(包括小写字母、阿拉伯数字与符号)与文件格式作答

unlock-mme-149058.mp3

仿真打开potplayer

98. 基于两个SQLite数据库文件“cus_202308102034.json”和“date_202308101120.json”。请编译一个 SQLite 脚本找出谁前往目的地“莫斯科"。包括所有客户的姓名、目的地、“arrival_timestamp_HK”[将时间戳转换为本地时间并将该列命名为“local_time”]。

A. SELECT c.customer_name, c.destination, datetime(d.arrival_timestamp_HK, 'unixepoch', 'localtime') AS arrival_time_hk FROM cus c INNER JOIN date d ON c.destination = d.Destination WHERE c.destination = 'Moscow'B. SELECT cus.customer_name, cus.destination, datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime') AS arrival_time_hk FROM cus INNER JOIN date ON customer_id = date.id WHERE cus.destination = 'Moscow' AND date.Destination = 'Moscow' AND date.arrival_timestamp_HK IS NOT NULL AND datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime')C. SELECT cus.customer_name, cus.destination, date.arrival_timestamp FROM cus INNER JOIN date ON cus.destination = date.destination；WHERE cus.destination = 'Moscow' AND date.Destination = 'Moscow'D. SELECT cus.customer_name, cus.destination, datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime') AS arrival_time_hk FROM cus INNER JOIN date ON cus.destination = date.Destination WHERE cus.destination = 'Moscow' AND date.Destination = 'Moscow' AND date.arrival_timestamp_HK IS NOT NULL AND datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime')

D

文件夹中给出了图示

将json文件导入到mysql数据库再将mysql数据库的表导出为csv，再将csv导入到sqlite数据库，执行sqlit语句

A

B

C

D

总结

学生时代最后一次美亚杯，还算圆满，但总有小缺憾，今后也会继续努力的，希望来年能够参加职业组，再战美亚杯！（停更两个月

点点关注不迷路

喜欢的看官还请多多点赞收藏