25美亚杯 部分个人wp留档

今年题太多了,做不完,根本做不完
趁还有热乎劲把一部分做的题在这里写写留个记录
自己手搓的,答案不一定正确,欢迎各位大佬指正

个人赛检材挂载密码

FEYn0MJLYy9zTQRFHlXGRkVqXv3IkE8h

团体赛检材挂载密码

ZgxQaeiAUe3nrnZ9zEnI3nAxuPIrIPl9

团队赛

邮件

1.

根据你的分析,警方成功定位到曾向与IQCoin关联虚拟钱包进行转账的账户持有人Mr.Arjun Sharma。据其供述,转账原因是此前收到一封邀请参与名为“IQ Coin”虚拟货币投资的邮件。请根据比赛提供的邮件材料(Arjun_Sharma_email.zip),回答以下问题 在电子邮件取证方面,警方需要注意以下要点:(1分)
A.修改邮件时间戳等元数据以迎合调查时间线
B.全面检索相关草稿箱与已删除邮件数据
C.必须确认取证行为获得合法授权,并严格限定提取范围
D.确保元数据完整性,原始.eml文件应作为证据链关键环节保存
E.应备份邮件系统相关日志,确保调查工作有据可查

BCDE

算是个……常识题?

2.

请分析邮件材料中的附件结构,并指出下列哪项描述是正确的?(1分)
A.邮件的附件文件(PDF)包含JavaScript代码,用于从外部来源动态加载内容
B.邮件的附件文件(JPG)的元数据包含地理位置信息
C.邮件的附件文件并非以独立附件传输,而是以Base64编码方式嵌入在正文中
D.邮件中有使用标准ASCII字符集编码系统表示字符及未加密的纯文本文件的附件文件
E. 以上皆不正确

C

看邮件头可以看到有base64编码
image

3.

(存疑)请分析邮件的多用途互联网邮件扩展的格式结构(MIME),并指出下列哪种内容编码未被使用:(1分)
A.7bit
B.quoted-printable
C.base64
D.binary
E.8bit
在邮件里面只能看到UTF-8和base64两种编码
MIME:https://www.cnblogs.com/chenxinshuo/p/11979159.html

B

4.

请分析邮件材料,指出哪两个附件藏有加密货币地址? (1分)
A.IQ_1.jpg 和IQ_coin_proposal.pdf
B.IQ_Coin_Tokenomics_Overview.pdf和IQ_Coin_Compliance_Summary.pdf
C.7b3e4512-1d8d-4d54-AA1C-5b004ce23A6f.jpeg和IQ_Coin_Compliance_Summary.pdf
D.IQ_1.jpg和7b3e4512-1d8d-4d54-AA1c-5b004ce23A6f.jpeg
E.IQ_coin_proposal.pdf和IQ_Coin_Compliance_Summary.pdf

D

把附件从邮件里下载出来,发现这俩图片都有二维码,扫出来就是加密货币地址
上午个人赛其实也提到过这个,把地址的二维码嵌到图上

5.

在邮件材料(Arjun_Sharma_email.zip)中,哪一封邮件的原始发件人地址系marketing@manson.com,请指出这封邮件存在于以下哪一个EML文件当中?(1分)
挨个看一下发件人,可以看到这个带抄送的
image
就他了

Exclusive Invitation_ IQ Coin Pure Growth Fund – Special Offer for You 2025-04-29T18_35_47+08_00.eml

6.

根据上一题,收件者会见到这封邮件来自哪一个邮箱地址?(依照参赛材料中的原文作答,注意区分大小写、空格及符号)(1分)
查看发件人即可
image

mansonmfi@gmail.com

7.

当你分析邮件头时发现认证接收链(Authenticated Received Chain简称:ARC)验证结果为“None"时,则代表这封邮件没有进行ARC邮件验证。在这情况下,我们可以通过以下哪一个方式协助我们判断邮件的真伪?(1分)
也算是个常识题吧
SPF DKIM MAILFROM和From比对

D

8.

请分析「Exclusive Invitation_IQ Coin Pure Growth Fund-SpecialOffer for You 2025-04-29T18_35_47+08_00.eml」文件的邮件头信息,以下哪项说法是正确的?(1分)
往下翻可以看到一个@8b19b573.com,这不就是无法对应的异常域名吗
image

B

9.

根据「Exclusive Invitation_IQ Coin Pure Growth Fund-Special Offerfor You 2025-04-29T18_35 47+08_00.eml」,请列出使用哪一个邮件客户端软件发送?(请连同版本代号根据标题文件内的原文作答)(1分)
还是翻邮件头,找UserAgent
image

eM_Client/10.3.1503.0

10.

(存疑)在[Re Proposal and Poster for IQ Coin Investment Opportunity2025-05-02T14 22 16+08_00.eml」邮件中,以下标头组合可用于检测欺骗或标头伪造行为?(1分)
看选项判断了

E

11.

分析邮件 「Re_Proposal and Poster for IQ Coin InvestmentOpportunity 2025-05-02T15_14_02+08_00」的"Received”标头链,该邮件从发起到送达ProtonMail服务器所经历的网络跃点数量为:(1分)
同样得扒邮件头,可以看到经过了两次谷歌的服务器,最后再到接收服务器,总共三个跃点
11

C

12.

对比邮件[Re_Proposal and Poster for IQ Coin InvestmentOpportunity 2025-05-02T15_14_02+08_00| 与 [Re_Proposal and Poster for IQ Coin Investment Opportunity」,发现两者源自相同的IPv6地址。下列哪个是正确的?(1分)
可以搜索谷歌的负载均衡器

D

13.

在分析“Re_Proposal and Poster for 1Q Coin InvestmentOpportunity 2025-05-02T15_14_02+08 00.eml"时发现这封邮件通过传输层安全协议的第1.3版(TLSv1.3)传送 这一个传送使用了以下哪一个加密套件?: (1分)
依旧扒邮件头,可见加密方法
13

A

14.

Exclusive Invitation_ IQ Coin Pure Growth Fund - Special Offer for You 2025-04-29T18 35 47+08 00.eml请检查此邮件的 Message-ID 与发件人地址关系,并判断是否存在伪造嫌疑。(1分)
跟第8题连起来了,发件人地址和这个Message-ID不一致,肯定伪造的

正确

15.

对电子邮件“Re_Proposal and Poster for IQ Coin InvestmentOpportunity 2025-05-02T14_37_03+08_00.eml"进行溯源分析,请列出邮件进入标准化投递链条的起点即第一个接收这封邮件的服务器日期及时间(GMT+8)。(答案格式:yyyy-MM-dd HH:mm:ss)(1分)
还是找邮件头,可以看到最早被gmail服务器接收到的时间
15

2025-05-02 14:37:00

16.

根据上一题,这个日期时间是否等于这封邮件的建立时间(1分)
肯定不是,发送者骑服务器上也做不到

错误

blockchain

这一部分题目主要是在BNB链上对IQCoin的追踪

17.

在2025年5月中,地址0x548dafDe4B17d7d3C9485E79B3B5018801C7855E进行了多少次涉及BEP-20 IQCoin的交易?(请用阿拉伯数字回答。)(1分)
用区块链浏览器搜索题目所给地址,可以看到是一进一出
17

2

18.

由2025-03-07 至2025-05-02期间内,BEP-20 IQ Coin处理了多少次交易?(请用阿拉伯数字回答。)(1分)
通过上一题可以跳转到这个IQCoin的合约地址,查交易记录就可以了
18-1
18-2
虚拟币除了主币以外发行都是依赖智能合约的

25

19.

地址0x96DAA8de384c1d2bD09EA45589fA1cE05F3d2246最近一次涉及BEP-20 IQ Coin的交易是何时(UTC)?(答案格式:yyyy-MM-ddHH:mm:ss)(1分)
还是根据地址查交易,注意题目要求的是UTC时间
19

2025-05-02 07:44:39

20.

在2025-04-25 at 09:52:36(UTC),地址0x96DAA8de384c1d2bD09EA45589fA1cE05F3d2246传送了多少 BEP-20 IQCoin?(请用阿拉伯数字回答和不用标点符号)(1分)
20

150000000

21.

在2025-05-02 09:49:14(UTC),地址0x96DAA8de384c1d2bD09EA45589fA1cE05F3d2246传送了 BEP-20IQ Coin。在这次交易于15分钟内,最终的接收地址(final receiving address)是?(1分)
这个转了好几次,第一次
21
第二次
21-2
第三次
21-3
终点
21-4

B

22.

在2025年5月,地址0x6144ACfdf84bbEC6bccB310516A89D4b3ee48c1A作为发送方发起了多少次BEP-20 IQ Coin交易?(请用阿拉伯数字回答。)(1分)
显示两条,但是看交易哈希就一个
22

A

23.

地址0x6144ACfdf84bbEC6bccB310516A89D4b3ee48c1A在BNBSmart Chain 上最早的BEP-20 IQ Coin交易记录是什么时候(UTC)?(答案格式:yyyy-MM-dd HH:mm:ss)(1分)
23

2025-04-11 06:37:14

24.

在BEP-20 IQ Coin交易中,最小的交易金额是多少?(请用阿拉伯数字回答,例如,如果答案是一万,请回答“10000”,不用标点符号)(1分)
查看IQCoin的持仓情况,最少的只有面额为15w的一笔转账,推测是15w
24

150000

25.

参考比赛材料crypto_trace.zip,请指出截至2025年5月3日为止,第23条所提及的加密钱包地址,持有多少BEP-20 IQ Coin?(1分)
在上个题用到的持仓页面也能看到这个地址
25

970000000

CEO_Laptop

38.

请根据林嘉熙笔记本电脑的取证镜像文件CEO_laptop.e01回答以下问题这部电脑安装了哪一个操作系统?(1分)
火眼可见
image

Windows 7 Enterprise,ver.6.1,Build:7600

39.

请写出这个操作系统的安装日期(UTC+8)(答案格式:yyyy-MM-dd)(1分)
同上,火眼可见
image

2025-04-12

40.

这个操作系统安装了以下哪一个通讯软件?(1分)
搜了一下发现选项给的里面只有Zoom是存在的

Zoom

41.

这个操作系统以什么方式使用WhatsApp服务?(1分)
查看浏览器浏览记录可以看到用的网页版
image

WhatsApp网页版

42.

根据上一题,通过哪一个浏览器使用WhatsApp服务?(1分)

Chrome

流量分析

48.

经查黄智华(TITUS WONG)聘用曾冯子超(Duncan FUNG)建立公司系统,怀疑与此次事件有关,你建议警方到Manson公司调查,你亦会一同到现场进行电子数据搜查。据技术人员黄智华(TITUS WONG)供称,公司网站、广告显示屏(广告系统)和电子邮件系统有异常情况。应林嘉熙要求,进行网络流量及封包监听检查及停用网络存储服务器(NAS),请根据参赛材料CEO_Traffic.pcapng回答以下问题 开始抓包的日期及时间(UTC)?(1分)
WireShark打开看捕获详细信息就好了
image

2025-05-09 17:43:16

49.

根据上一题,抓包总时长是多少?(答案格式:mm:ss)(1分)
同上
image

18:44

50.

根据上一题,共捕获多少数据包?(请以阿拉伯数字作答)(1分)
image

6316

51.

根据上一题数据链路层中哪个设备的MAC地址活跃度最高?(请以阿拉伯数字和英文小写作答)(1分)
查看会话统计
可以看到这个会话达到了5MB
image

e8:65:5f:1f:55:49

52.

根据上一题,进行抓包工作的设备使用了哪一个网络接口?(1分)
回到捕获文件属性
image

以太网3

53.

根据上一题, 进行抓包工作设备的网络地址(IPv4)是多少? (请依照参赛材料中的原文作答, 注意区分大小写、 空格及符号)(1分)
通过以太网抓包应该是本地ip,推测是这个分组最多的
image

192.168.20.100

54.

哪个IPv4地址不属于公司内网使用? (请依照参赛材料中的原文作答, 注意区分大小写、空格及符号)(1分)
查看所有的ipv4地址
image
后面六个还有两个169开头的是本地地址,组播地址和广播地址,可以排除
image
剩下两个可以通过CEO笔记本检材的远程连接记录排除
image

10.213.45.11

55.

续接上题,该IPv4地址在哪个端口已建立连接?(请以阿拉伯数字作答)(1分)
筛选addr为这个ip的包 ip.addr == 10.213.45.11
查看端点可以看到
image

49159

56.

续接上题,共捕获多少通过这个连接传递的数据包?(请以阿拉伯数字作答)(1分)
筛出来了,看右下角就可以了
image

162

57.

续接上题,这个请求曾经尝试连接哪个文件夹?(1分)
看筛出来的SMB协议,可以看到访问了Meeting和Manson
image

Meeting Manson

58.

续接上题,那个服务器回应了什么?(1分)
NOT FOUND
image

未找到

CEO_Laptop

75.

你开始检查林嘉熙的笔记本电脑,请根据比赛材料CEO_Laptop.e01回答以下问题:根据该系统登录记录,有多少用户账户曾登录该系统(不含内置Administrator账户)?(请以阿拉伯数字作答)(1分)
在Windows事件日志里筛选事件id4624(登录成功),然后再二次筛选SID含有S-1-5-21-244795756-2605320691-3516395164的项,把用户账户登录记录筛出来,然后查看分析
image
可以发现有1000(CEO)、1003(CEOO)和1004(CEO2)的登录记录

3

76.

根据上一题,系统上建立了哪些用户账户?i:CEO ii: CEOO iii:CEO1 iv:CEO2(1分)

I II IV

77.

林嘉熙在2025-04-29至2025-05-08离开香港期间,他的笔记本电脑放置在办公室内,他没有授权其他人可使用这台笔记本电脑。在上述期间这台电脑有什么账户登入的记录?(1分)
继续按照时间筛选,有十条登录记录,是CEO和CEO2
image

CEO CEO2

78.

在上述的时段,有多少次登入记录?(请以阿拉伯数字回答)(1分)

10

79.

在上述的时段,这些登入是使用哪个IP地址登入?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)(1分)
查看日志详细信息就可以了
image

182.239.117.11

80.

根据上一题,使用这个网络地址作出登录请求的工作站名称是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)(1分)
同上(存疑)
此处登录日志中均为同一个IP地址,但Workstation不一样
image
image
我填的

KALI

另一个就是本机

CEO-PC

81.

根据上一题,哪一个账户最后一次成功登录?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)(1分)
image
可以看到是CEO2

CEO2

82.

发现某个账户是在何时被删除的(UTC+8)?(答案格式:yyyy-MM-dd HH:mm:ss)(1分)
保持筛选SID的同时搜索摘要里含delete的
image
可以看到是CEOO被删了

2025-04-28 18:06:13

83.

最近一次管理员权限分配的日期是?(答案格式:yyyy-MM-dd)(1分)
管理员权限分配关系到本地安全组,筛选摘要含security-enabled的项
image
可以看到最后一次权限分配是将CEO2设为管理员账户
image

2025-04-29 15:19:41
SID

在创建帐户或组时,系统将生成用于标识特定帐户或组的 SID。 当 SID 用作用户或组的唯一标识符时,永远不能再次使用它来标识另一个用户或组。通过查看最后一个SID也可以判断系统中存在(过)的账户数量
https://learn.microsoft.com/zh-cn/windows-server/identity/ad-ds/manage/understand-security-identifiers

84.

根据上一题,请识别所有己挂载的网络驱动器,指出所有对应盘符(1分)
直接用火眼查看
image
仿真起来也能看得到
image

T Z

85.

根据公司职员供称,在公司的「广告机软件信息发布系统」及在公司网页均发现张贴了与Mr. Arjun Sharma收到来自Manson Finance Limited有关IQCon推广邮件的附件内容类似的画面。据系统管理员报告,这个[广告机软件信息发布系统」由林嘉熙的笔记本操控,请根据比赛材料CEO_Laptop.e01回答以下问题:这个「广告机软件信息发布系统」的执行文件名称是什么(请依照参赛材料中的原文作答,列出整个档案名称及扩展名,注意区分大小写、空格及符号)(1分)
仿真起来之后在桌面上可以看到快捷方式,直接查看属性可以看到指向的exe文件是ServerMonitor.exe
image

ServerMonitor.exe

86.

这个「广告机软件信息发布系统」用作存放播放材料的文件夹名称是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)(1分)
在火眼里面检查媒体文件找到了四张海报,直接通过海报跳转到保存位置
image
image

toDisplay

87.

根据上一题,请列出最早上传到这个文件夹的多媒体文件完整的文件名?(请依照参赛材料中的原文作答,列出整个档案名称及扩展名,注意区分大小写、空格及符号)(1分)
在C:/Media/信息发布系统服务器/Web/App_Data下找到了SQLite数据库,导出后使用Navicat打开查看
media.20240601.sqlite下action_log表可以看到是各种操作记录,筛选上传档案类型 第一个不是上传到这个文件夹的
第二个是上传到toDisplay的 manson1.png
image

manson1.png

88.

使用者于哪一天首次成功登入「广告机软件信息发布系统」(GMT+8)?(答案格式:yyyy-MM-dd)(1分)
把筛选换成“登入 成功”,第一个应该是开发者登入的而非使用者
image

2025-04-24

89.

「广告机软件信息发布系统」,有多少次成功登入?(1分)
做上一个题也能看见

6

90.

设定成用作「广告机软件信息发布系统」显示器的电脑的系统版本是多少?(1分)
同一个数据库里有一个player_attribute表,里面写着显示器电脑的所有信息
image

Microsoft Windows NT 6.2.9200.0

91.

设定成用作「广告机软件信息发布系统」的显示器的电脑的网络地址(IP Address)是多少?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)(1分)
同上

192.168.20.15

92.

在2025-04-29 至2025-05-08期间,共有多少个多媒体文件被上传至「广告机软件信息发布系统」用作存放播放材料的文件夹?(1分)
回到action_log表,可见只有4-29上传了四张海报
image

4

93.

根据上一题,这些多媒体文件被编排到播放节目中,请列出这个节目名称是什么?(请依照参赛材料中的原文作答,注意区分大小写、空格及符号)(1分)
筛选节目
image
可以看到最后留下来的节目只有p1一个

p1

94.

在2025-04-29 至2025-05-08期间,请列出最后注销「广告机软件信息发布系统」的日期及时间(GMT+8)?(答案格式:yyyy-MM-dd HH:mm:ss)(请依照参赛材料中的原文作答)(1分)
不确定,日志最后记录到2025-04-29 17:23:57.2718925
image

2025-04-29 17:23:57

95.

「广告机软件信息发布系统」中有多少个使用者账号?(1分)
在role表里面可以看到3个用户
image

3

96.

关于网页浏览器活动,下列哪项描述正确?i:搜索网页版WhatsApp ii:浏览数字标牌系统 iii:打开PDF文件 iv:搜索惠普驱动程序(1分)
Chrome 搜索网页版WhatsApp
image
Chrome 浏览数字标牌系统
image
IE 搜索惠普驱动程序
image
Firefox 打开PDF文件
image

I II III IV
posted @ 2025-11-16 01:15  summer_2lc  阅读(331)  评论(2)    收藏  举报