2020美亞杯個人賽

Alice的筆記本計算機已成功被取證並制作成鏡像(Forensic Image), 下列哪個是鏡像的SHA-1哈希值?

 

 SHA-1值為：EB4854774B68058E5B327907DB2AC40AAA2E7DED

Alice的筆記本計算機安裝了哪個操作系統(Operating System)?

 

 Windows 10 Pro

在Alice的筆記本, 創建用戶帳戶的SID是甚么？

 

 創建用戶帳戶的SID是S-1-5-21-1017277147-4095180158-1226650532-1001

在Alice的筆記本,用戶的最后登錄時間是甚么時候？(本地時間)

 

 2020-09-30 10：13：43

在Alice的筆記本,最后登錄的用戶名稱是甚么？

Alice

Alice筆記本計算機的名稱是甚么？

 

 DESKTOP-DJFFBL6

在Alice的筆記本, 最后登錄的用戶何時更改了Windows登錄密碼？ （當地時間）

 

 2020-09-16 02:22:20

Alice筆記本計算機的時區是甚么？

 

 CST

在Alice的筆記本, OS分區的文件系統是甚么？

 

 NTFS

計算機上預設安裝了甚么瀏覽器？

 

 

 依照我們的日常使用經驗，老Edge、IE在WIN10老版本(1909之前)都是預裝的，新Edge則在1909之后預裝

但是選項只有IE

在Alice的筆記本,哪個是最常用的瀏覽器？

同上

在Alice的筆記本, 最常用的瀏覽器是甚么版本？

即探尋IE的版本號，我在取證大師與火眼中均未找到，仿真查看

在搜索欄搜索IE，找到IE.exe文件，右鍵屬性查看

 

 

 IE11

 

在Alice的筆記本, Alice瀏覽了哪個在線商店的網站

通過瀏覽9.29日的瀏覽記錄，發現Alice瀏覽過hksuning、fortress、apple

 

 

 

 

 

 

 

 

 

在Alice的筆記本, 受害人的信用卡號是甚么?（Ho PCKYI-電子郵件：shy1211@mtzh.gow.tw）

仿真進入Alice筆記本的Outlook程序，查看附件R3ZZ.txt

 

 

 得到這位受害者的信息，因此得知，卡號為

5411221001217741

在Alice的筆記本, 受害人的信用卡CSC號碼是甚么（何PCKYI-電子郵件：shy1211@mtzh.gow.tw）

同上 112

除了上述在USB 找出ZIP文件,請找出相同ZIP文件的路徑？

這個題講道理我沒看懂他想問什么，直到我用FTK把USB掛載到我自己的機子上的X盤

 

 

 經過反復驗證，我覺得他說的zip文件是download.7z

在仿真機中搜索download.7z

 

 

 得知在C:\User\Alice\Downloads中

USB驅動器在Alice筆記本計算機上的最后插入時間是何時？(當地時間)

這個題又讓我不知道在說啥了，是U盤呢，還是USB設備呢，還是之前提到的USB驅動器呢？根據之前的題目猜測為之前提到的USB驅動器

 

 

時間為：2020-09-28 11:13:04

很可惜，沒有這個選項

 

 

 

 只能以這個為准

2020-09-29 18:01:25

解壓的ZIP文件內有哪些文件？

不需要解壓密碼

 

 

 log1nx.txt, R3ZZ.txt, WhatsApp Image 2020-09-29 at 18.35.25.jpeg, WhatsApp Image 2020-09-29 at 18.37.47.jpeg

"“ ZIP文件中發票的哈希值（SHA 256）是多少=發票（1）名稱：WhatsApp Image 2020-09-29 at 18.35.25.jpeg”"

在原設備中download.7z所在目錄下可以找到兩張發票文件

 

 

 利用CERTUTIL命令計算兩張發票HASH值

 

第一張發票的SHA256值為

 

 F4C391A38AB82AD19EDB2B7402DA31F52006C3B4B018F859A451B839878D3EE4

"“ ZIP文件中發票的哈希值（SHA 256）是多少=發票（2）名稱：WhatsApp Image 2020-09-29 at 18.37.47.jpeg”"

同上可得，第二張發票的sha256值為

2DAFCC2552A7337844B90F0AB5CDA85BF2F5A71A635E0D3B05731C95937D21F5

Alice筆記本計算機上安裝了哪種電子郵件軟件？

 

 如你所見 outlook16

Alice筆記本計算機上的電子郵件軟件的版本是甚么？

outlook16

Alice筆記本計算機登錄電子郵件軟件的電子郵件帳戶是甚么？

 

 

 alicechen741@gmail.com

Alice在上述電子郵件對話中獲得了哪些數據/文件？

上述電子郵件對話？哪個？

進入outlook16查看，只有一個郵件有附件

 

 

 log1ns.txt與R3ZZ.txt

該電子郵件的發信者的電子郵件地址是甚么？

同上，bobcheung123@gmail.com

上述已收的電子郵件, 發件人的IP地址是甚么？

進入該郵件，查看郵件頭

 

 

 209.85.220.41

在筆記本, Alice的電子郵件地址是甚么？

alicechen741@gmail.com

除了Alice，還有其他電子郵件地址與該騙局有關嗎？

那當然是把信息傳給Alice的人啦

bobcheung123@gmail.com

 

哪些人有AP和主腦之間的電子郵件記錄？有文件傳輸嗎？

啥玩意兒是主腦？主犯嘛？AP不是無線接入點嘛？一臉疑惑

想了想只能選C

C:Alice and Bob, re log1ns.txt and R3ZZ.txt;

在ZIP 文件中, 有多少受害人的信用卡數據被盜?

在所得的R3ZZ.txt中搜索ID

 

 

 經查有7個

已被黑客盜用其信用卡資料購買的受害者是誰?

我一開始判斷這個是賣假手機或者賣水貨的。但后來讀出來是盜刷信用卡的案子

 

 

 因為個人賽背景就是盜刷信用卡

因此，看是誰付款就OK了

打開兩張發票

 

 

 有倆受害者，TSE KCNG LON 與 HO PCKYI

 

被盜用的內容是甚么？

 

 

 ID PW FNM DOB ADR CTY ZIP PHO NOC CRD EXP CSC

Alice的手機型號是甚么？

 

 

 可愛的手機大師一跑就出來了，火眼的話只有LG-D855

Model:LG-D855(G3 Global)

Alice手機的操作系統版本是甚么？

 

 

 操作系統：Android6.0

Alice手機的總儲存空間是多少?

看一下手機的照片

 

 

 歪一下頭 看到32G

在Alice 手機, IMG-20200929-WA0002的創建時間是甚么？(本地時間)

 

 

 2020-09-29 18：24：40

 

在Alice 手機,IMG-20200929-WA0004的創建時間是甚么？(本地時間)

 

2020-09-29 18 ：25：49

 

 

IMG-20200929-WA0002和IMG-20200929-WA0004的元數據和相機型號是甚么？

首先 元數據是描述數據的數據 但是在選項中並未體現，因此，着重於相機型號的確定

相機為LG-D855

C:Manufacturer: LG Electronics, Model:        LG-D855

在Alice 手機, 預設瀏覽器瀏覽歷史記錄的文件在哪里？

首先，確定/data在哪個分區（以美亞自身的軟件為准，說這個話是因為火眼識別為分區46，但是選項中根本沒有分區46）

 

 

 找到，確定為分區43

通過火眼，跳轉源文件，得到相對位置

 

 

因此，確定為

Partition43[hda41]\data\com.android.browser\databases\browser2.db(Mobile Forensics System V2)

儲存Chrome瀏覽歷史記錄的文件是甚么？

同上，跳轉源文件

 

 

 Partition43[hda41]\data\com.android.chrome\app_chrome\Default\History(Mobile Forensics System V2)

Alice手機的Whatsapp ID和賬戶名稱是甚么？

 

 

 85262547937@s.whatsapp.net

與Bob和Cole的最后WhatsApp的時間是甚么？(本地時間)

因為選項內只有一個時間，認為為群聊的最后時間

 

 

 2020-09-26 18：37：34

主腦的名字是甚么？

在全部的whatapp上的big big club中，我們看到，Alice想要錢，Cole說要不要加入我們

注意這個 我們

然后Cole與Bob的聊天顯示兩人為共謀，一個出謀(Cole)一個負責獲取信息(Bob)，因此，斷定Alice是被拉入伙的，同時，Alice手下還有倆小弟，給她跑腿，是盜刷信用卡行為的主要實施者，名字分別為Chris、Tommy

Alice，Bob和Cole之間的WhatsApp群組的ID和名稱是甚么?

 

 

 

Big Big Club

哪一個表，顯示了聊天群組“ Big Big Club”的創建時間？(本地時間)

首先，進入whatapp的數據庫

右擊，選中跳轉源文件

 

 

 進入數據庫msgstore.db

 

 

 很幸運，在第一個chat表就找到了創建時間的時間戳

聊天群組“ Big Big Club”是甚么時候創建的？(本地時間)

直接火眼

 

 

 2020-09-18 09：34：38

Alice是否曾經登陸whatsapp網站？如果有的話，她是在何時登入? 所用的是甚么瀏覽器？ （提示：在移動取證圖像上找到結果）(UTC +0)

移動取證圖像。？確定不是機翻的鏡像嘛？
雖然但是，在手機上，我並未找到whatsapp的訪問記錄

重回laptop

 

 2020-09-29 18：43：32

Alice如何收到這筆錢？錢包地址是甚么？

在BIG BIG CLUB中Alice自爆用比特幣了

 

 錢包地址是1L6fKWpEYvUi8FeG6BnXqfh1joAgmJA1h1

 

“Deleted by the sender”的media_wa_type是甚么?

看不懂

Alice手機的Wifi MAC地址是甚么？

不會

Alice USB驅動器內的ZIP檔案的密碼是甚么? (某些字符被刻意用*遮蓋)

在計算機照片上發現了兩個類似密碼的東西，也是本檢材內唯二像密碼的

 

 我到現在都耿耿於懷那個像空集的玩意兒為啥是0

帶入，求得是那個帶0的，看選項，認定為QP**!#80**

 

 

Alice USB驅動器內的哪一個程序是用作儲存秘密數據?

利用雷電APP進行查看，把那些apk文件直接代入

 

 覺得這個很像

 

 確定為這個玩意兒

打開秘密訊息的密碼是甚么? (某些字符被刻意用*遮蓋)

只能是另一個密碼了

**89#h

USB驅動器內，其中一個檔案的秘密訊息是甚么? (某些字符被刻意用*遮蓋)

哪兒有秘密訊息啊

貼在筆記本計算器機上的密碼有甚么用途?

根據上面的題目，確定為B

Alice USB驅動器內的檔案有甚么種類?

 

 PNG、apk、7z、zip

Alice USB驅動器的哈希值（SHA-256）是甚么？

在取證大師中選擇掛在物理磁盤X，並計算HASH值

 

 得到其SHA256值為

528D94ED83F41C356B0588C2C21ECF563E9D8CA66ED6D97A3D57C26291854DFF

在USB驅動器中找到的ZIP文件（Downloads.7z），它的哈希值（SHA-256）是甚么？

在X盤里用certutil -hashfile命令計算sha256值

 

 得到sha256值為88f68f8755e1f76107d6ee2134ed32babbc91f0b44c7c0ee3850bba74b7e59b8

在Alice的USB內, ZIP文件的最后修改時間是？

 

 修改時間為

2020-09-29 18:46:54