青云美亚个人赛复盘

青云

2021年“美亚杯”全国电子取证比赛

赛后分析复盘-2022.06.09 个人赛-W

背景

2021年10月某日早上，本市一个名为”大路建设”的高速公路工地主管发现办公室的计算机被加密并无法开启，其后收到了勒索通知。考虑到高速公路的基建安全，主管决定 警。警方调查人员到达现场取证，发现办公室内有三部个人计算机，通过一个老款路由器接入互联 。

经调查相关电子证据后，警方怀疑一位本地男子–阿力士与本案有关，并将他拘捕。现在你被委派处理这起案件,请由以下资料分析阿力士在本案中的违法犯罪行为, 并还原事件经过

使用到的工具：取证大师、火眼仿真等等

1、 [单选题] 工地主管电话的微信账 是什么(1分)

A. Kasier751111

B. Kasierlee751111

C. Kasierlee

D. 以上皆非

3. [单选题] 工地主管电话的哪一个应用程序有关于于经纬度24.490474, 118.110220的纪录(2分)

A. 照片

B. WhatsApp

C. Apple Maps

D. 以上皆非

4. [多选题] 工地主管的手提电话中下列哪些数据正确(1分)

A. iOS 版本为 12.5.4

B. IMEI 为 454120637213361

C. Apple ID 为 kaiserlee3660@gmail.com

D. 手机曾经安装dropbox 应用程序

A：12.5.4

C:

5.[填空题] 工地主管的电话最常使用的浏览器是什么(请以英文全大写回答) (1分)

SAFARI

6. [单选题] 工地主管的电话连接过哪一个WiFi(1分)

A. Kaiser Lee

B. Kaiser

C. Free Wifi

D. Kaiser Home

尝试打开无线 络，随后发现

点开后进行查看，可以很清楚的看到三个账 ：

点击详细资料

路径为：

<font color=##FF0000>iPhone/mobile/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApp.shared/ChatStorage.sqlite : 0x5CC8(表: ZWACHATSESSION, ZWAMESSAGE, ZWAGROUPMEMBER，大小: 2760704 位元組)

追寻它的源地址

ZWABLACKLISTITEM这一个的意思为黑名单，以及它的黑名单数量为0

9. [多选题] 以下哪个蓝牙装置的Uuid 曾连接过工地主管的手机(2分)

A. 7F1FE70D-2B15-C245-853D-4196F13CC446

B. 1B057C1D-83D3-99A6-D2B1-EC54846C7CEE

C. 134ACD1-83D3-99A6-D2B1-EC54846C7CEE

D. 7D1BE70D-2C16-D246-851D-491613DD776

这道题的思路与上一题的是一样的，先直接搜索

10.[填空题] 工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么(请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

36EBC180-95F7-41FF-BE5B-4E56E7AF48B1

步骤很简单：打开取证大师-加载镜像-解析E盘-得出答案

*

12.[填空题] 工地主管的Team Viewer ID 是甚么(请以英文全大写及阿拉伯数字回答) (2分)

435270306

13.[填空题] 工地主管的Team Viewer与哪一个ID连接(请以英文全大写及阿拉伯数字回答) (3分)

420190768

003311000000001AA962

一般计算机的基本信息都会存在于 系统痕迹-系统信息-“其中”

易得出用户名称：PC1 但是用户标识符会发现找不到

思路：首先我将0x000003E9放入百度查询，发现是十六进制数，那么反推，用户标识

符可能就是一个 十进制数→十六进制数

会很容易地发现它的SIP（用户标识）：

S-1-5-21-1376663006-2626393931-4032423365-1001

然后我依次将每一个数字进行转换

1376663006

1001

进行解析

打开后，寻找Material3.xlsx

20. [多选题] 路由器的记录中显示以下有哪些IP是公司的电子器材(3分)

A. 192.168.40.128

B. 192.168.40.129

C. 192.168.40.130

D. 192.168.40.131

E. 192.168.40.132

在路由器的日志内寻找

知识点

“.log”后缀

因此 它的IP地址为49.12.121.47

22. [多选题] 路由器的记录中显示公司计算机的资料用FTP软件传到了甚么IP地址及利用端口(2分)

A. IP地址: 2*.2*.2*.114

B. IP地址: 8*.8*.1*.20

C. IP地址: 1*.1*.0*.13

D. 端口: 21

E. 端口: 80

首先我先在log文件内寻找，总共只有三个FileZilla，并且端口 以及IP地址未有

23. [多选题] 路由器的记录中显示以下哪些关键词是表示公司计算机与外界 络联机(2分)

A. destination

B. ICMP echo request

C. inside

D. outside

E. 以上皆是

思路：

首先我是直接搜索这四个关键词，发现在log文件内都有，起初选择E，但是路由器的主机只有一个IP，就是218.255.242.114，那么查看这个IP所关联的关键词，会发现只有destination与outside，因此选择AD

随后，在日志中查找，也未发现 直接搜索上述IP地址， 发现只有A选项110.152.0.14、B选项52.152.117.114

在日志存在 且 都存在outside，无法判断

发现一个问题：52.152.117.114中有tcp traffic from outside 而110.152.0.14

并没有这个，只有outside（外部）。所以选择B选项