2022美亚杯团体赛

1.在朗尼手机于2022年9月30日的 ‘WhatsApp’ 对话里,有一段音讯 (Voice Message) 提到王景浩会给朗尼现金多少作为租用 ‘VPN’ 的租金

将该语音导出,使用倒放工具后即可听到

image-20241026154121568

17.王景浩的USB记忆棒里有一个 ‘Data’ 文件夹 (Folder),它存有哪一种类型的密钥文件

看到有P1,P2,P3,P4四个密钥文件,结合密码学知识判断是.pem类型密钥

image-20241026161241310

18.承上题,’Data’ 文件夹里有一个被加密了的档案,它是被哪一种加密方法加密

看到NOTES文件夹中的截图

image-20241026161446880

21.分析IP地址61.238.217.108向AGC服务器10.0.66.184发送的第一个 ‘GET’ 指令,它请求的统一资源定位系统 (Uniform Resource Locator - URL) 是什么

image-20241026162538446

22.IP地址61.238.217.108曾经向AGC服务器10.0.66.184发送 ‘POST’ 指令,它在 ‘HTML Form’ 项目的 ‘uname’ 栏所输入的字符串是什么

image-20241026164205529

23.AGC服务器10.0.66.184收到IP地址61.238.217.108的 ‘POST’ 指令后,它执行了哪些行动

image-20241026170848854

24.在上述行动后,IP地址61.238.217.108利用哪个端口 (Port) 向AGC服务器10.0.66.184发出指令

image-20241026171019914

image-20241026171039667

25.AGC服务器10.0.66.184里有一个AGC目录 (Directory),它的子目录 (Sub Directory) 包含以下哪一个

image-20241026171155369

26.入侵者迸入AGC服务器10.0.66.184后,他成功执行以下哪些指令

看上题所示命令

27.入侵者曾经传送一个档案到AGC服务器10.0.66.184并将它改名这个档案的原来名称是什么

image-20241026171747452

28.承上题,该档案原档的建立日期是什么

见上题图

29.承上题,该档案的SHA-256哈希值是什么

导出文件,FTP-DATA中的数据后计算即可

image-20241026172917157

31.分析AGC-CS计算机 (Computer) 里最初的作業系統 (Windows) ,它的实際安装时间是什么

image-20241026210623221

32.AGC-CS计算机里的 ‘Acrobat DC’ 软件的安装时间是

image-20241026210746911

33.AGC-CS计算机里的用户 ‘Carson’ 链接了一个网络磁盘机 (Network Drive),在下列哪一个档案有相关资料

image-20241026215758879

34.承上题,用户 ‘Carson’ 连接的网络磁盘机的IP地址是什么

见上题图

35.分析计算机里的电邮数据,当中包含嫌疑人王景浩可能的居住地址,请回答他住址的楼层

image-20241026220214250

36.承上题,王景浩使用的信用卡号码最后四位数字是

image-20241026220252599

37.AGC-CS计算机用户 ‘Carson’ 曾经收到一个电邮并通过里面的链结下载了一个可疑的 ‘Word’ 文件,那个档案的档案名是什么? (不要输入 ‘.’,以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG)

image-20241026221421923

image-20241026221944949

根据浏览器下载的时间判断,得到文件名

image-20241026222112184

38.承上题,分析该 ‘Word’ 文件,它的可能用途是

导出文件,用云沙箱进行分析

39.AGC-CS计算机里有一个名为 ‘admin’ 的用户,它是在何时被建立的

image-20241027152115435

40.黑客第一次采用用户 ‘admin’ 通过远程桌面协议 (Remote Desktop Protocol - RDP) 登录了AGC-CS计算机的时间是

image-20241027152412227

41.黑客入侵AGC-CS计算机后下载了一个扫描端口 (Port Scanning) 的软件,这软件的真正名称是

image-20241027152622303

42.承上题,黑客采用上述软件取得一些计算机的IP地址及媒体访问控制地址 (‘Media Access Control’ Address - MAC Address) 并存到一个名为 ‘ip.txt’ 的档案。当中 ‘192.168.182.130’ 计算机的MAC地址是什么

43. AGC-CS计算机里的一个跳转列表 (Jumplist) 显示了用户 ‘admin’ 曾经采用记事本 (Notepad) 打开了一个文字档案,这个文字档的SHA-256哈希值是什么

image-20241027155145760

44.黑客除了通过 ‘RDP’ 外,还采用什么软件远端控制

image-20241027162308016

57.王景浩的计算机使用什么文件系统

image-20241027170300501

58.王景浩计算机的操作系统 (Operating System) 版本是什么

image-20241027170235263

59. [填空题]王景浩的计算机当前有多少个用户 (包括访客 ‘Guest’ )

存储在User目录下

image-20241027170723157

60.王景浩的计算机里有一个用户被删除,被删除的用户名称是什么

取证大师直接解析出来

image-20241027171201909

image-20241027171413097

62.当用户设置了自动登录 (Auto Login) 后,王景浩计算机的操作系统会产生哪个档案

63.王景浩计算机的登录密码 (Login Password) 是什么

mac设置了自动登录就会产生一个kcpassword文件,用x-way可以自动解析

image-20241027210422082

64.在王景浩的计算机里,他最后使用哪个电邮地址登录 ‘iCloud’ 账号

image-20241027210517702

65.王景浩计算机里的手机备份 (iTunes Backup) 包含哪些iOS版本

image-20241027210606005

66.王景浩曾经将一台 iPhone 6 连接他的计算机,请问它最后的连接时间是什么

image-20241027210724502

67.苹果手机备份的密码 (iTunes Backup Encryption Password) 会记录在什么档案

manifest.plist

68.下哪种工具可以用作破解密码

69.通过 ‘hashcat’ 破解 ‘iTunes Backup’ 密码需要制订一个 ‘txt’ 档案,若该备份的手机iOS版本是10以上,需要按照下列哪个提示字符 (String) 的数据去制订这个 ‘txt’ 档案

70.王景浩采用了4位数字加密了他的iPhone XR的备份,分析它的密码是什么

image-20241027211945832

71.最后一次连上王景浩计算机的3D打印机的IP地址是什么

image-20241028184322655

根据时间判断

image-20241028184457774

72.3D打印机最后一次在王景浩的计算机尝试打印的时间

见上题图

73.最后一次经由王景浩计算机打印的3D图档案名字是什么

74.王景浩计算机的Safari浏览器的默认搜索引擎 (Default Search Engine) 是什么

image-20241028185558978

75.分析王景浩计算机的数据,王景浩的比特币钱包 (Bitcoin Wallet) 地址是什么

在macmail邮箱的附件中,火眼解析不了,取证大师可以

image-20241028190926909

76.AGC公司员工 ‘Carson’ 有一个由公司发给他的电邮账户,分析王景浩的计算机数据并找出 ‘Carson’ 的电邮账户密码

image-20241028191132702

77.王景浩曾经冒充AGC公司员工 ‘Carson’ 发送电邮给AGC 客户,这封电邮的 ‘Message-ID’ 是什么? 回答它的首8位数值

004001d8

image-20241028191818032

78.王景浩采用计算机里的哪种工具进入和盗取AGC公司的数据

79.王景浩在AGC公司盗取了下列什么类型的档案

image-20241028193015457

80.王景浩的计算机于2022年9月29日曾经接上一个虚拟专用网络 (Virtual Private Network - VPN),这个VPN的IP地址是什么

在配置文件里有,但很难找

image-20241028193401360

在AGC的远程连接记录里有其连接时的ip

image-20241028193451286

81.装置 ‘「KingHoo」的iPhone’ 的蓝牙媒体访问控制地址 (MAC Address) 是什么

image-20241028213834864

82.王景浩何时将 ‘小宝’ 加为iPhone XR的手机联络人 (Contact)

image-20241028214841416

83.王景浩的iPhone XR显示他的汇丰银行户口于2022年9月19日收到多少存款

image-20241028214949902

84.王景浩的iPhone XR没有收藏 (Bookmark) 哪家音响品牌的网页

image-20241028215100442

85.王景浩的iPhone XR手机记录了他曾于2022年8月26日试飞无人机,当天试飞的地点在哪里

image-20241030160725464

86.王景浩于2022年8月26日试飞无人机的总飞行时间 (Total Flight Time) 多久

用物联分析软件分析大疆软件目录下的.DAT文件

image-20241030191544527

找到正确的轨迹,查看其轨迹情况,看到有高度在飞行的轨迹和大致时间

image-20241030191642891

87.王景浩用 iPhone XR 拍了一张照片’IMG_0012.HEIC’,那照片什么地方曾被修改

image-20241028221453670

image-20241028221733921

88.承上题,那张照片修改后的经纬度是什么

image-20241028222156217

89.朗尼草莓 (Raspberry) 计算机操作系统的主机名称 (hostname) 是什么

image-20241029093146051

90.以下哪项对于朗尼草莓计算机操作系统的描述是正确的

image-20241029093622500

91.承上题,’VPN’ 服务器的IP地址及端口 (Port) 是什么

image-20241029095127502

92.朗尼草莓计算机操作系统设定了一个档案来储存系统的 ‘log_file’ ,档案名称是什么

image-20241029095321935

93.承上题,检视上述的档案,当中有几个IP地址曾经成功登录这个系统的 ‘VPN’ 服务

image-20241029100111233

image-20241029100148170

94.承上题,检视上述的档案,当中有几个IP地址曾经尝试以 ‘root’ 登入装置但因密码错误而不成功

95.根据装置的过往记录,’log_file’ 是设在 ‘usr/rooney/‘ 的哪个已被删除的子文件夹里 (Sub Directory)

image-20241029101428468

96.王景浩 SD 记忆卡 (SD Memory Card) 的储存容量有多少个字节 (Byte)

image-20241029102539580

97.检视记忆卡上硬盘分区表 (Partition Table) 资讯,记忆卡共有多少个分区

image-20241029102743615

98.检视记忆卡上硬盘分区表资讯,第二个分区的分区代码 (Partition Code) 是什么

image-20241029103056536

99.记忆卡的档案不能被读取,记忆卡受损的原因包括

101.记忆卡第一个文件系统 (File System) 中有一个图片档案,它的SHA-256哈希值是 ‘F7E003781456D2E01CFE0EB46988D5BB433ADF9841164BBB90BAC67C0C9B21AF’。该档案显示了哪些影像

使用diskgenius的恢复文件功能,导出恢复成功的图片文件

image-20241029104337914

用火眼计算hash并筛选,找到图片

image-20241029104405480

102.检视记忆卡的数据,在2022年10月9日约中午12时5分至12时15分之间的录像 (Video) 中,曾经出现哪一个IP地址

image-20241029135124065

103.恢复还原后的记忆卡中,第二个文件系统显示有多少个空闲簇 (Free Cluster)

104.记忆卡第一个文件系统中有一个视频档,它的SHA-256哈希值是 ‘847E1E5FEF64B49C8D689DC3537D619B87666619A7C1EF0CC821153641847C19’,这个视频的档数据存在文件系统 (File System) 的最后的簇号 (Last Cluster Number) 是什么

image-20241029140735588

106.朗尼的计算机有什么软件可以创建比特币钱包

image-20241029143036544

107.朗尼通过比特币替王景浩清洗黑钱,分析朗尼的计算机及手机,朗尼收取王景浩黑钱的比特币地址 (Bitcoin Address) 是什么

朗尼手机里有whatsapp聊天记录

image-20241029190459303

108.朗尼收取王景浩多少比特币作为清洗黑钱的费用

image-20241029190858319

109.朗尼的计算机里有一个没被加密的比特币钱包,它的回复种子 (Recovery Seed) 不包含哪一个英文字

image-20241029150736475

110.朗尼的计算机里有多少个加密了 (Encrypted) 的比特币钱包

打开软件一个一个试

见下题

111.朗尼将加密了的比特币钱包的密码存在他计算机的一个档案里,这个档案的副档名是什么

根据选项后缀名找到特殊文件

image-20241029151804710

在仿真后的计算机中找到该文件,双击即可恢复至原文件

image-20241029151857234

112.朗尼在手机里有一个加密了的比特币钱包,他采用什么应用程序把该钱包里的黑钱转换成另一种加密货币

image-20241029191222492

113.承上题,这次转换加密货币的日期和时间是什么

image-20241029191339336

114.朗尼在计算机里采用什么浏览器 (Browser) 及在什么日期时间在他的计算机安装 ‘MetaMask’

在地址栏内输入

1
chrome://version

image-20241029155102378

进入该目录下的extensions目录下

image-20241029155152447

找到menifest文件查看是哪个插件,查看文件创建时间就是插件的创建时间

image-20241029155758196

115.朗尼在计算机里所创建的非同质化通证 (Non-Fungible Token - NFT) 使用哪一个种区块链 (Blockchain) 技术

image-20241029192915341

116.朗尼在什么日期时间把计算机中创建的非同质化通证 (NFT) 放售

117.朗尼的手机里,有什么应用程序与将黑钱 (比特币) 转换成另一加密货币的地址有关

118.朗尼的手机里,于2022-10-07,15:07时至15:08时做过什么动作

image-20241029194958260

119.承上题,从这个动作中能找到什么资讯

image-20241029195054003

120.在朗尼的计算机旁找到 ‘MetaMask’ 的密码是 ‘opensea741’,找出朗尼计算机里的 ‘MetaMask’ 中有多少加密货币余额

image-20241029195205719

121.朗尼的计算机曾用什么电邮地址登录电邮帐号

image-20241029155947308

122.什么电邮账号曾接收过上述电邮地址发送的电邮

在王的电脑里的电子邮件解析中找到与罗尼账号发来的邮件附件

image-20241030145913977

123.承上题,上述的电邮附件包含哪些类型的档案

找到该文件

image-20241030150259517

对压缩包进行修复

image-20241030150351130

查看内容

image-20241030150455236

124.上述电邮附件里的文件,被遮蔽的英文单字是什么

打开图片是助记词,到metamask插件里找到,发现是一样的

image-20241030153400629

125.根据上述电邮附件里找到的回复种子 (Recovery Seed),计算朗尼在 ‘MetaMask’ 使用的以太币 (Ethereum) 地址。

image-20241030161233401

126.在2022年9月28日18时51分 (UTC+8),朗尼曾经在手机用WhatsApp与王景浩对话,语句 [有灯,风扇经常在转],回复这句话的相关语句是什么

image-20241030154526475

127.朗尼通过手机相约王景浩于10月15日到哪一个地区食晚饭

image-20241030154721992

128.朗尼手机的 ‘WhatsApp’ 号码是什么? ( 号码 ) @s.whatsapp.net

image-20241030154756381

129.朗尼的手机曾连接以下哪一个WIFI网络

image-20241030154823904

130.朗尼的手机曾连接WIFI [SSID: faifai], 它的登录密码是什么

见上题图