2021美亚杯

背景

2021年10月某日早上,本市一个名为“大路建设”的高速公路工地主管发现办公室的计算机被加密并无法开启,其后收到了勒索通知。考虑到高速公路的基建安全,主管决定报警。警方调查人员到达现场取证,发现办公室内有三部个人计算机,通过一个老款路由器接入互联网。 经调查相关电子证据后,警方怀疑一位本地男子–阿力士与本案有关,并将他拘捕。现在你被委派处理这起案件,请由以下资料分析阿力士在本案中的违法犯罪行为, 并还原事件经过。

资料

编号 详情
1 阿力士的背景资料
2 警方现场勘查的调查报告
3 高速公路工地办公室路由器的记录
4 工地主管办公室计算机的电子数据
5 工地主管移动电话的电子数据
6 阿力士计算机的电子数据
7 阿力士FTP 服务器的电子数据
8 阿力士移动电话(1)的电子数据
9 阿力士移动电话(2)的电子数据

工地主管的移动电话

1.工地主管电话的微信账号是什么?

image-20241014205908577

2.工地主管的隔空投送装置置编号是什么

image-20241014210427991

3.地主管电话的哪一个应用程序有关于经纬度24.490474, 118.110220的纪录

image-20241014210728096

4.工地主管的手提电话中下列哪些数据正确?

A. iOS 版本为 12.5.4

B. IMEI为 454120637213361

C. Apple ID 为 kaiserlee3660@gmail.com

D.手机曾经安装 dropbox 应用程序

image-20241014211027136

5.工地主管的电话最常使用的浏览器是什么

image-20241014211239413

6.工地主管的电话连接过哪一个WiFi

image-20241014211442076

7.工地主管与Alex Chan的Whatsapp 对话中,曾提及以下哪个TeamViewer的用户号码

image-20241014212146266

8.工地主管的WhatsApp中有多少个黑名单的记录

image-20241014212950040

9.以下哪个蓝牙装置的 Uuid 曾连接过工地主管的手机

image-20241014213157967

工地主管的电脑

10.工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么

image-20241014213429627

11.工地主管计算机內的FTP程序FileZilla的用户名称是甚么

image-20241014213608799

12.工地主管的Team Viewer ID 是甚么

image-20241014213708937

13.工地主管的Team Viewer与哪一个ID连接

image-20241014213745161

14.工地主管曾用计算机浏览器作搜寻,以下哪一个关键词他曾经搜寻

一个一个爆搜即可

15.工地主管计算机的Windows系统的产品标识符是甚么?

image-20241014214342270

16.工地主管曾用计算机使用WhatsApp,他曾和以下哪个电话号码沟通

17.工地主管计算机的用户名称是甚么? 其用户标识符是甚么?

image-20241014215035444

18.工地主管计算机的预设浏览器是甚么

image-20241014215311028

19.工地主管计算机的其中一个分区被人加密,分区内的电子表格Material3.xlsx的哈希值(SHA1)是甚么

在嫌疑人的ftp服务器中可以找到

image-20241014221347927

image-20241014221559972

工地主管的路由器

20.路由器的记录中显示以下有哪些IP是公司的电子器材

image-20241015084040613

21.路由器的记录中显示公司的计算机下载了FTP软件,该下载网站的IP是什麼

根据之前印象,下载的软件为filezilla

image-20241015084338424

22.路由器的记录中显示公司计算机的资料用FTP软件传到了甚么IP地址及利用端口

根据计算机检材,看到filezilla传输的ip,查看日志即可

image-20241015084924374

23.路由器的记录中显示以下哪些关键词是表示公司计算机与外界网络联机

24.路由器的记录中显示哪一个IP曾以teamviewer 连接公司计算机

根据时间回溯

image-20241015090015045

image-20241015090034881

25.路由器的记录中显示以下哪一个有可能是以teamviewer 遥控公司计算机的时间

根据上题找到的ip反找时间

image-20241015090314888

26.路由器的记录中显示有多少电子器材有可能曾被入侵

阿力士的iPhone 12 pro

27.阿力士 iPhone12pro电话于2021年10月21日,以下哪张相片可能曾被分享(UTC+8)

28. 阿力士iPhone 12 pro电话中哪一张相片可能曾被修改拍摄时间

29.阿力士iPhone 12 pro 的GSM媒体访问控制地址是什么?

30.阿力士的iphone 12 pro以什么屏幕密码保护

image-20241015094240887

31.阿力士iphone 12 pro内以下哪一张相片是实况相片(live Photos)

到图片保存的根目录下查看

image-20241015095309034

32.以下哪一个是阿力士iphone 12 pro可能曾经连接的装置名称

image-20241015095557108

33.接上题,记录连接时间是什么时候

注意是utc+8

image-20241015095750750

阿力士的iPhone XR

34.阿力士iPhone XR中在软件WhatsApp中工地主管与阿力士的对话中曾提到:[佢叫我俾钱喎,BTC係唔係呢个啊?]。在进行电子数据取证分析后,以下哪一个是有可能关于此对话的正确描述

image-20241015102056129

35.阿力士iPhone XR的WhatsApp对话中,阿力士曾要求工地主管支付多少个BTC?

image-20241015102611270

36.阿力士iPhone XR中 “IMG_0056.HEIC”的图像与”5005.JPG”(MD5: 96c48152249536d14eaa80086c92fcb9)” 看似为同一张相片,在电子数据取证分析下,以下哪样描述是正确

image-20241015102844906

37.阿力士iPhone XR中相片檔IMG_0056.HEIC提供了什么电子数据取证的信息

image-20241015103221325

38.阿力士iPhone XR中阿力士的电邮账户[email protected]的密码有可能是什么

image-20241015103549715

39.阿力士iPhone XR曾经连接Wifi “Alex Home”的密码是什么

image-20241015103632313

40.阿力士iPhone XR经iCloud备份的最后时间是什么

image-20241015104108803

41.阿力士iPhone XR中的iBoot版本是iBoot-[______]?

1
iboot苹果路径:Lockdown srvice/phoneInfo.xml

image-20241015104339466

42.阿力士iPhone XR中的WhatsApp群组『团购-新鲜猪肉牛肉-东涌群组-9/30』有以下哪一个成员

image-20241015104615020

阿力士的计算机

43.阿力士的计算机显示曾于hongkongcard.com 的论坛登记成为会员,以下哪个是他的帐户密码

image-20241015105037520

44.阿力士的计算机显示阿力士曾用什么方法进入受害者(主管)的计算机?

结合聊天记录,知道因该是team viewer远程连接的,验证一下

image-20241015105424143

45.续上题,阿力士最后一次进入受害者(主管)计算机的时间是什么

image-20241015105841347

46.阿力士的计算机显示他曾经使用FTP程序,FTP的主机IP地址是什麼

image-20241015105904570

47.阿力士的计算机显示于2021年9月至2021年11月期间,计算机曾被登入过多少次

image-20241015110041703

48.阿力士计算机所安装的Microsoft Office 2007 是以下哪一个版本

image-20241015110148919

49.以下是阿力士计算机中的Basic data partition (EFI 3) 的Volume ID

image-20241015134144286

50.阿力士计算机的Window product ID是什么

image-20241015134243771

51.阿力士计算机曾经下载一张猴子的图片,以下哪一项描述正确

image-20241015134440890

52.阿力士计算机所安装的Microsoft Office 2007 的密钥是甚么

image-20241015135828046

阿力士的FTP服务器

53.阿力士FTP 服务器用户使用命令行安装了甚么程序

image-20241015135015982

54.以下哪些档案于阿力士FTP 服务器曾重复出现

image-20241015135225851

55.在阿力士FTP服务器中,文件夹___曾被用户变更了访问权限

docker容器中用户运行了变更访问权限的命令

image-20241015140445127

56.阿力士FTP 服务器建设后,有 ___ 个额外用户被加入

image-20241015141043081

57.根据阿力士FTP服务器设定显示,此服务器是以什么方式连接网络,且是一个什么网络状态

到网络配置文件所在的文件夹查找

image-20241015142112031

58.阿力士FTP 服务器设定最多使用者数目是

在ftp服务器的配置文件pure-ftpd.conf

image-20241015143056147

59.阿力士FTP服务器使用Docker安装了一个FTP程序为

image-20241015143220916

60.阿力士FTP 服务器曾使用过甚么版本的Linux内核

image-20241015143443723

61.阿力士FTP 服务器的磁盘分区,有以下哪一种文件系统

image-20241015143551197

62.阿力士FTP服务器用户输入了指令 ___ 去检查现存的Docker容器

image-20241015143655140