2024美亚团体赛Joyooo

挂载密码： bWuDw#3qthnMpLz8+6>c!CHFmPKgB&?J5f:A4^{a);d=*ysv7Rxn>fzT}BH8;JV#qSpF5C7kb4DsA$?a+9E6KZ3\xRwW=(jceu:NvvXD7r@&9YJz/nwbh<A:Pma4(K%3!

Alice的手机

在个人赛的最后一部分, 你对 David 的数字设备进行了取证检查, 发现他与一名成员 Alice 有可疑的沟通. 你现在分析 Alice 的手机.

1、Alice 所使用的手机网络运营商公司的名称是什么?

中国移动

2、Alice 所使用的谷歌电子邮件地址是?

alicecutter94@gmail.com

3、[单选题]谁向Alice发送了一个含有个人资料的.xlsx文件?

B
A. David

B. John

C. Ben

D. Amy

E. Harry

4、承上题, 该文件的 MD5 哈希值是?

5457d5a68673b8d093d7666d515cccb2

文件名: C:\hlnet\1-1762482395\Alice_Mobile.bin\分区1\media\0\WhatsApp\Media\WhatsApp Documents\personal_data.xlsx
文件大小: 10928 字节 (10.67 KB)
修改日期: 2024-08-19 16:23
MD5: 5457d5a68673b8d093d7666d515cccb2
SHA1: a94a2741a42ace167561753034da23c9fa2a196f
SHA256: b2d7abafdf67ffb0cefcceeeee8cc5ac0a1ed266b75f13e58b66244347f0dd5a
CRC32: d27fb6fe

5*、[单选题]Alice 于 Facebook 所建立的群组是?

C

A. 大学生炒散搵工群

B. 最全面搵工推介

C. 全港笋工好工推介2024

D. 搵工全职兼职

E. 搵工WhatsApp群
需要kexue上网一下（我豆kexue上网居然是敏感词

6、[单选题]Alice 在 2024 年 8 月 15 日于哪个地铁站和"客服人员"相约见面?

A. Chai Wan

B. Tai Koo

C. Wan Chai

D. Central

E. Mong Kok

7、受骗女子欧凯被指示将虚拟货币转到哪个钱包地址?

0xdA9AE5b1bA2F404D0490dcd18a5C2247866FD148

8、Alice 指示"客服人员"使用什么交通工具离开香港?

D
A. 火车

B. 私家车

C. 飞机

D. 船

E. 货柜车
whatsapp聊天中有说用船走

9、客服人员"ZHANG WEI"的银行卡号是多少?

6212345678987654321

10*、Alice 总共在 Facebook 上发布了多少张照片?

E
A. 1

B. 3

C. 5

D. 7

E. 9
翻data目录

11、应用程序 WhatsApp 的数据库(msgstore.db)中, 哪个 message_type 代表发送的内容是表情包(Sticker)?

20

12、在 Alice 手机中, 哪一个数据库记录了照片的数据?

13、承上题, 该文件的最后修改日期和时间是?

John的手机

从 Alice 的手机中发现, 她一直与一名叫 John 的成员保持联系. 你接着分析 John的 手机.

参考John_Smartphone_itunebackup.zip, 备份密码是1234.

14、在 WhatsApp 通讯软件内, "三五成群"群组于什么时间创建?

15、照片 IMG_0007 的创建日期时间是?

16、John 曾使用什么通讯软件联系 Ben?

A. Reddit

B. WhatsApp

C. WeChat

D. Line

17、于"三五成群"群中，电子表格文件 Personal_data.xlsx 是由哪一个电话号码发送到该群组的?

Ben的手机

这个检材用火眼无法正常识别，火眼会给他识别成iTunes备份文件，需要提供备份密码

但实际上这就是一个iPhone的文件集合，这里我们用AXIOM来分析

18、根据 Ben 手机内通讯软件的记录, 以下内容是在什么时间接收或发出的?

B


A. 由 Ben 于 2024-08-02 16:17:07 接收

B. 由 Ben 于 2024-08-05 15:53:37 发出

C. 由 Ben 于 2024-08-05 16:58:12 接收

D. 由 Ben 于 2024-08-05 17:22:47 发出

19、根据 Ben 手机内的照片记录, IMG_0011.PNG 是通过哪种方式生成的?

C

A. 从互联网下载

B. 手机拍摄

C. 手机截图

D. 以上皆不是

综合分析

20、John、David 及 Alice 筹集资金的目的是什么?

A. 建立一个网站给人投资虚拟货币

B. 建立一个网站用作行骗

C. 创建虚拟货币钱包用作洗黑钱

D. 写一个Android (APK)应用程序包用作沟通

21*、哪一个虚拟货币地址储存 John、David 及 Alice 所筹集的 IDFC?

A. 0xe90ad3f80e39e83b533eef3ed23c641ec51089c6

B. 0x04d079c7ace663bbe1d2c201072d63b036d16ccd

C. 0x10a4f01b80203591ccee76081a4489ae1cd1281c

D. 0x8155c0b8a0c95424f433d8ab6342086f0433e6c4

22、Alice 总共使用了多少个虚拟货币地址直接接收受害人的 IDFC?

David的电脑

beyond团体赛用个人赛检材

23、参考 IDFC 交易记录, 在收取受害人的 IDFC 后, 它之后会再流向哪些虚拟货币地址?

24、承上题, 上述 IDFC 去到那些地址后, 谁掌管这些IDFC?

25、2024 年 9 月, Tom Victor 带同其秘书 Amy 来到警署报案, 称其秘书被骗子用人工智能视频在 2024 年 8 月 29 日早上骗去 10,000,000 IDFC. 请找出该交易的交易哈希?

26、就现时搜集到的证据、David_Laptop_64GB.e01 内的资料及 IDFC 的资金流分析, 下列哪些虚拟货币地址是最终诈骗集团储存犯罪所得的地址?

APK逆向

Ben的电脑
27、你现在查看 Ben 的笔记本电脑, 并发现了 APK 文件. 一般而言, APK的关键组成部分是什么?
A

A. AndroidManifest.xml, classes.dex, resources.arsc, res/

B. AndroidManifest.xml, META-INF/, res/, assets/

C. classes.dex, lib/, AndroidManifest.xml, META-INF/

D. res/, assets/, AndroidManifest.xml, classes.dex

常识题

28、Joshe_Investment.apk 没有 classes.dex 文件, 而是有 smali 文件, 以下哪一个陈述是正确的?

A.这是一个经过逆向工程制作的 APK

B. 该 APK 已损坏

C. 文件结构不完整

D. APK 包含加密代码

A

29、Ben 使用了哪个工具包生成恶意 APK 以控制受害者的设备?

A. Metasploit

B. SpyNote

C. QuasarRAT

D. AhMyth

30、参考Ben_Laptop.zip内的Joshe Investment.apk,确认哪个 .xml 文件被特别添加为主活动(activity_main)的布局文件?

A. activity_main.xml

B. main_activity.xml

C. main.xml

D. Thisismain.xml

31、被指定为主活动层(activity_main layer) xml 文件的公共 ID?

A. 0x7f040000

B. 0x7f050000

C. 0x7f060000

D. 0x7f070000

32、应用程序没有要求的权限?

A. android.permission.READ_CONTACTS

B. android.permission.USE_FINGERPRINT

C. android.permission.WRITE_CALENDAR

D. android.permission.ACCESS_FINE_LOCATION

33、在ahmyth/mine/king/ahmyth/ 文件夹下的 b.smali 文件的主要功能是什么

34、在 ahmyth/mine/king/ahmyth/ 文件夹下的 b.smali 文件中, 字节数组在发送到服务器之前执行了哪一系列操作, 最终的图像格式是?

35、在 ahmyth/mine/king/ahmyth/ 文件夹下的 b.smali 文件中, 图像在发送到服务器时的压缩比率是多少?

A. 50%

B. 30%

C. 20%

D. 10%

36、在 ahmyth/mine/king/ahmyth/ 文件夹下的 ConnectionManager.smali, sendReq 方法的目的是什么?

A. C2 服务器向受感染的设备发送请求

B. 处理用户接口的更新

C. 建立到 C2 服务器的网络连接

D. 管理应用程序设置

37、承上题, C2 服务器的 IP 地址及端口号?

38、在 ahmyth/mine/king/ahmyth/ 文件夹下的 g.smali 文件中, MediaRecorder 被初始化用于录音. 如果 setAudioSource() 方法使用了错误的参数, 会发生什么, 且这将如何影响录音过程的功能?

39、在 ahmyth/mine/king/ahmyth/ 文件夹下的 g.smali 文件中, TimerTask 用于在启动 MediaRecorder 后调度动作. TimerTask 在这个过程中有什么作用?

40、在 ahmyth/mine/king/ahmyth/ 文件夹下的 h.smali 文件中, method a()和 method b() 的主要功能有什么区别

41、在 ahmyth/mine/king/ahmyth/ 文件夹下的 h.smali 文件中, method b() 需要哪些参数?

Ben的电脑

在分析 Ben 的笔记本电脑时, 你从调查人员那里获得了以下信息:

在对一名被捕的犯罪集团成员进行审讯时获得的情报显示, Ben 对 John 心怀怨恨, 因为 John 扣留了 Ben 的犯罪收益份额. 因此, Ben 加密了 John 的机密文件夹, 以限制他的访问.

42、解密 secretExcel.encrypted 的第一步应该是什么

43、在加密文件 secretExcel.encrypted 中, 初始向量(IV)的值是什么?

A. 64f4e21c1e4cc3a60137da79e75bf973

B. a6b7e84f91827c3d2a94bfed7b5ca9d1

C. 3b29d2a46aab93bba07c6893d1b8e93a

D. 7f8d9b2a14c5aef3786d12c4b6e2d4f9

44、在加密文件 secretExcel.encrypted 中, 盐值(SALT)是什么?

A. 5d5ca840accf95169288de5bf85dacd7bb05ad888afac26efd05cc436c4a5424

B. a3d9f0e4b7c8d5a9c2e7f0b3a5d7c6b1b8e7a2f9c3d1e4f5a6b9c0d7e1f2b4c8

C. f2e1d0c9b8a7f6e5d4c3b2a1e8f7d6c5b4a3d2f1e0c9b8a7d6e5c4b3a2f1e0d9

D. c7b6a5d4e3f2d1c0e9d8b7a6f5e4d3c2b1a0e9f8d7c6b5a4b3c2d1e0f9e8d7c6

45、查看 encrypt.py 代码, 如果更改 PBKDF2 的 count 参数会产生什么影响?

A. 仅影响解密时所需的计算性能

B. 仅影响加密的安全性

C. 同时影响所需的计算性能和安全性

D. 没有影响

46、根据分析及计算后, 解密 secrectExcel.encrypted 所用的 key 具体值是什么?

A:b'\xb2T\xc2\xb9\xb7wf9\x95Y\xcc)\xec\xff\x0e\xb6\xf6\x03\x92z\xc6\xe4\x11P\x07@\x94\xbcl\xfd\x95\xc5';

B:b'/T_\r\x1e\xb8\xe6_\xcd\x01\x95\xde\xb8\r\xb3\xb6\nVp\xeb\xf1S\xb4m\xd6wH\xc4\xc8\xcf\xed';

C:b'\xea\x15\xf9\x05\x85\xe8h\x87\xc4\xf0O\x8a\xba1\x96\x05b\xf9\xa3g\xbaMm\xa4\t,\xe0Q\x87\x8e\xfb\x8c';

D:b'q!\xae2\x1fvo\xb6]\xfb\x1f\x8c\xe5\x18\x03\x0b\xcc\xc93\xf7/us\x8a\x1e;\xd2\xe3\x81\x05\xaa\x04'

Alice 的笔记本电脑

87.计算机名称是?
Alice’s MacBook Pro

88.Alice 的计算机运行的 MacOS Monterey 版本是？
12.7.4

89.Alice 的计算机的 EN0 MAC 地址是？
F4-5C-89-A1-C0-07

90.Alice 在 2024 年 8 月 19 日收到了一个包含 15 个人个人资料的 Excel 文件, 她是从哪一个平台下载的?
whatsapp
联系手机知道是whatsapp

91.承上题, Alice 何时在她的 Mac 上安装了上述应用程序？
2024\08\19 09:57:00

92.Alice 在 2024 年 8 月 19 日截取了两张关于电骗中心位置的屏幕截图, 她使用哪个浏览器搜索该位置?
safari
截图放在桌面，还挺好心

93.她的计算机的 TeamViewer Client ID 是多少?
358639376

94.Alice 通过哪种方式登录 TeamViewer 获取包含个人数据的 Excel 文件？
A
A.

Teamviewer Desktop Application

B.

web.teamviewer.com

C.

Anydesk

D.

以上皆不是
95.承上题, 该 Excel 文件的文件名是?
C

A. newfile.xlsx

B. personal_data.xlsx

C. Personal_details_2.xlsx

D. Kingsoft_Et_Stocka.xlsx

96.承上题, Alice 何时通过 TeamViewer 获取该文件?
2024-08-23 17:31:53

97.Alice 连接的另一台计算机的 TeamViewer ID 是多少?

358639376