2020美亚杯个人赛 做题WP 最后更新时间:2022年01月19日 ## 2020美亚杯个人赛 做题WP 1. Alice的笔记本计算机已成功被取证并制作成镜像(Forensic Image), 下列哪个是镜像的SHA-1哈希值? 2. Alice的笔记本计算机安装了哪个操作系统(Operating System)? ~~取证大师一把梭~~ 操作系统初步判断为Windows,仿真后可以看到是Windows 10 Pro;SHA-1计算略 3. 在Alice的笔记本, 创建用户帐户的SID是甚么? > 查看当前用户SID:whoami /user,仿真后得到 > >  4. 在Alice的笔记本,用户的最后登录时间是甚么时候?(本地时间) 本机-管理-事件检视器-安全性 <a href="https://img13.360buyimg.com/ddimg/jfs/t1/214642/24/3140/52747/618381e7Ea41cd2f8/a5627e2abf400b5a.png" alt="2020美亚杯个人赛 做题WP" title="点击放大图片"><img class="aligncenter" src="https://img13.360buyimg.com/ddimg/jfs/t1/214642/24/3140/52747/618381e7Ea41cd2f8/a5627e2abf400b5a.png" title="2020美亚杯个人赛 做题WP"></a> 5. 在Alice的笔记本,最后登录的用户名称是甚么?  6. Alice笔记本计算机的名称是甚么?-同5 7. 在Alice的笔记本, 最后登录的用户何时更改了Windows登录密码? (当地时间) ~~取证大师一把梭~~ 8. Alice笔记本计算机的时区是甚么?  9. 在Alice的笔记本, OS分区的文件系统是甚么?  10. 计算机上预设安装了甚么浏览器? A:Firefox;B:Chrome;C:Safari;D:Internet Explorer;E:Opera 11. 在Alice的笔记本,哪个是最常用的浏览器? 12. 在Alice的笔记本, 最常用的浏览器是甚么版本? A:Internet Explorer version 6;B:Internet Explorer version 7;C:Internet Explorer version 11;D:Internet Explorer version 8;E:Internet Explorer version 9 我寻思根据12题反推10,11不就出来了吗,更怪的是明明edge的访问历史最多,桌面上面也摆着一个大大的edge,不知道是怎么想的 13. 在Alice的笔记本, Alice浏览了哪个在线商店的网站   14. 在Alice的笔记本, 受害人的信用卡号是甚么?(Ho PCKYI-电子邮件:shy1211@mtzh.gow.tw) 在outlook里第一个邮件的附件(其实火眼里面也可以分析出这两个文件  15. 在Alice的笔记本, 受害人的信用卡CSC号码是甚么(何PCKYI-电子邮件:shy1211@mtzh.gow.tw) 16. 除了上述在USB 找出ZIP文件,请找出相同ZIP文件的路径? Downloads.7z:在火眼中右键回到原始路径查看路径 17. ZIP文件的哈希值(SHA-256)是甚么?右键计算哈希值(流汗黄豆) > SHA-256:88F68F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850BBA74B7E59B8 18. ZIP文件的修改时间是多少?(当地时间) 仿真中可以直接看到为 29/9/2020 18:46 19. USB驱动器在Alice笔记本计算机上的最后插入时间是何时?(当地时间) 基本信息-USB插拔记录-最后一次插时间:2020-09-29 18:01:25 20. 解压的ZIP文件内有哪些文件? 21. “ ZIP文件中发票的哈希值(SHA 256)是多少=发票(1) 名称:WhatsApp Image 2020-09-29 at 18.35.25.jpeg” > Windows自带校验工具“certutil -hashfile 文件名 hash类型 22. 计算另外一张图的SHA256 23. Alice笔记本计算机上安装了哪种电子邮件软件? outlook 24. Alice笔记本计算机上的电子邮件软件的版本是甚么? 在outlook设置里面找了半天结果发现上面写着一个大大的2016 我 是 傻 逼  25. Alice笔记本计算机登录电子邮件软件的电子邮件帐户是甚么?  26. Alice在上述电子邮件对话中获得了哪些数据/文件? 27. 该电子邮件的发信者的电子邮件地址是甚么?  28. 上述已收的电子邮件, 发件人的IP地址是甚么?  29. 在笔记本, Alice的电子邮件地址是甚么? ~~搁这搁这呢~~ 30. 除了Alice,还有其他电子邮件地址与该骗局有关吗? 31. 哪些人有AP和主脑之间的电子邮件记录?有文件传输吗? 32. 在ZIP 文件中, 有多少受害人的信用卡数据被盗? R3ZZ.txt ``` ID : fbm941941@ybhoo.zom.tw ID : shy1211@mtzh.gow.tw ID : jofybbby_99@ybhoo.zom ID : robfrt1401@gmbpl.zom ID : kbty92.tw@ybhoo.zom.tw ID : josffbmm@gmbpl.zom ID : b990991@pzlozz.zom ``` 33. 已被黑客盗用其信用卡资料购买的受害者是谁? 是这位和蔼可亲的shy老师  34. 被盗用的内容是甚么? 还是以shy老师作例子 ``` ID : shy1211@mtzh.gow.tw PW : 441122 ================================================== FNM : HO PCKYI D0B : 05 01 1986 ADR : SHAM SHUI PO CTY : UK ZIP : 9011 PHO : 658325776 ================================================== NOC : HO PCKYI ================================================== CRD : 5411 2210 0121 7741 EXP : 01 2022 CSC : 112 ================================================== IP : 185.86.101.11 ``` 35. Alice的手机型号是甚么? 感觉取证大师的手机取证不是特别好用 手机取证还得看弘连( 从各个地方看到的是LGD855 但是选项里面有一个LGD855 G3还是G4 上中关村在线搜了一下发现这个机型好像没有G4global的型号? 挺迷惑的 36. Alice手机的操作系统版本是甚么?  37. Alice手机的总储存空间是多少? 在证物图片里面找 <a href="https://img10.360buyimg.com/ddimg/jfs/t1/210544/23/7979/287797/61839fd1Eab086442/7e7b3768b90f23a4.png" alt="2020美亚杯个人赛 做题WP" title="点击放大图片"><img class="aligncenter" src="https://img10.360buyimg.com/ddimg/jfs/t1/210544/23/7979/287797/61839fd1Eab086442/7e7b3768b90f23a4.png" title="2020美亚杯个人赛 做题WP"></a> 38. 在Alice 手机, IMG-20200929-WA0002的创建时间是甚么?(本地时间) 39. 在Alice 手机,IMG-20200929-WA0004的创建时间是甚么?(本地时间)  40. IMG-20200929-WA0002和IMG-20200929-WA0004的元数据和相机型号是甚么?  41. 在Alice 手机, 预设浏览器浏览历史记录的文件在哪里? 42. 储存Chrome浏览历史记录的文件是甚么? 工具一把梭,历史记录预览详情里面有文件具体路径和文件名称 43. Alice手机的Whatsapp ID和账户名称是甚么?(终于到了紧张刺激的翻看嫌疑人聊天记录环节 > 85262547937@s.whatsapp.net 44. 与Bob和Cole的最后WhatsApp的时间是甚么?(本地时间)  45. 主脑的名字是甚么? 这个是怎么猜出来的啊 和Bob:每日约着吃饭 和Cole:被鼓励go ahead 答案是Bob和Cole 46. Alice,Bob和Cole之间的WhatsApp群组的ID和名称是甚么?  47. 哪一个表,显示了聊天群组“ Big Big Club”的创建时间?(本地时间) A:Table:chat;B:Table:chat_list;C:Table:chat_group;D:Table:chat-group;E:Table:chatting_list 跳转到源文件之后可以预览详情,之后可以进入chatlist 往右侧拖动有一串数字“1600392878000”,百度得(看别人WP)是unix时间戳,转换后得到:2020-09-18 09:34:38 > [Unix时间戳(Unix timestamp)转换工具 - 在线工具 (usey.cn)](http://www.usey.cn/timestamp) 48. 聊天群组“ Big Big Club”是甚么时候创建的?(本地时间) 49. Alice是否曾经登陆whatsapp网站?如果有的话,她是在何时登入? 所用的是甚么浏览器? (提示:在移动取证图像上找到结果)**(UTC +0)**  注意是UTC+0而CST是UTC+8,转换时间之后应该是2020-09-29 10:43:32 50. Alice如何收到这笔钱?钱包地址是甚么?  51. “Deleted by the sender”的media_wa_type是甚么? 为什么是未删除且在messages里面找啊  52. Alice手机的Wifi MAC地址是甚么? 53. Alice USB驱动器内的ZIP档案的密码是甚么? (某些字符被刻意用*遮盖) 证物图片上粘贴的黄色便签  54. Alice USB驱动器内的哪一个程序是用作储存秘密数据?(MessageSecure 55. 打开秘密讯息的密码是甚么? (某些字符被刻意用*遮盖)(另外一张便签 56. USB驱动器内,其中一个档案的秘密讯息是甚么? (某些字符被刻意用*遮盖) 利用usb里面的Messagesecure和Bob Photo对54中的字符进行解密,得到bob iPhone pw is 1144(抄的WP,升win11正式版把雷神模拟器给卸载了,不想装回来复现,比赛之前一定装回来 57. 贴在笔记本计算器机上的密码有甚么用途?(这题也是顶级迷惑 A:Alice笔记本电脑的Bitlocker密码;B:Alice的USB驱动器的密码;C:Alice的电子银行密码;D:从文件恢复安全消息;E:Alice的手机密码 ~~不是Bob?不是Bob?不是Bob?不是Bob?不是Bob?不是Bob?~~ 58. Alice USB驱动器内的档案有甚么种类? 不多作评价,看看有什么种类就行了 59. Alice USB驱动器的哈希值(SHA-256)是甚么? SHA256:528D94ED83F41C356B0588C2C21ECF563E9D8CA66ED6D97A3D57C26291854DFF 60. 在USB驱动器中找到的ZIP文件(Downloads.7z),它的哈希值(SHA-256)是甚么? 88F68F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850BBA74B7E59B8(小文件算的还挺快的,但是为什么大一点的文件power shell算的和取证软件的不一样而且这两个取证软件都要跑特别久 61. 在Alice的USB内, ZIP文件的最后修改时间是? 
Comments | NOTHING