2024美亚杯团体赛详细题解
<h3>1. [填空题] 在个人赛的最后一部分,你对David的数字设备进行了取证检查,发现他与一名成员Alice有可疑的沟通。你现在分析Alice 的手机。 参考Alice_Mobile.bin,Alice所使用的手机网络运营商公司的名称是什么? (答案格式: 请用大写英文字母作答 ,无须留空白) (1分)</h3>
首先手机运营商不同于手机厂商,所以三星是错误的,先看sim卡的信息,这里没有显示运营商但是显示名称这里可以看到是Lucky HK
2. [填空题] 参考Alice_Mobile.bin,Alice 所使用的谷歌电子邮件地址是? (答案格式: 请用小写英文字母作答,例如:abc@google.com) (2分)
谷歌邮件首先看有无gmail或者邮件信息,直接看gmail的信息即可,但是可以发现会有两个邮箱,再看谷歌地图的账号信息,就能确定用户的邮箱是alicecutter94@gmail.com
3. [单选题] 参考Alice_Mobile.bin,谁向Alice发送了一个含有个人资料的xlsx文件? (1分)
在WhatsAPP中可以看到具体信息,首先可以直接找xlsx的后缀名找文件,再看文件的源地址
再根据app名称来找具体的聊天信息
4. [填空题] 承上题,参考Alice_Mobile.bin,该文件以MD5计算的哈希值是? (答案格式: 请用大写英文字母作答和用阿拉伯数字回答) (1分)
直接计算即可
5. [单选题] 参考Alice_Mobile.bin, Alice于Facebook(脸书)所建立的群组? (1分)
在消息这里看到有选项中对应的最全面搵工推介,所以可以确定,也可以在暴搜中搜索全部的四个选项那个
6. [单选题] 参考Alice_Mobile.bin, Alice在2024年8月15日于哪个地铁站和"客服人员"相约见面? (2分)
暴搜地铁,客服,station关键字,最后找到这个聊天记录中有关地铁的信息
7. [填空题] 参考Alice_Mobile.bin,受骗女子欧凯被指示将虚拟货币转到哪个钱包地址? (答案格式: 大写英文字母, 小写英文字母及阿拉伯数字混合组成,例如: 0xDasdGJHI34twebGHJK2354YU34h) (2分)
根据之前的分析,这个群组可能就是诈骗的群聊,同时群里包括客服人员和受害人
消息记录中就可以知道钱包地址
8. [单选题] 参考Alice_Mobile.bin, Alice指示"客服人员"使用什么交通工具离开香港? (1分)
根据消息记录中的boarding和boat,可以确定交通工具是与船有关的
9. [填空题] 参考Alice_Mobile.bin,客服人员"ZHANG WEI"的银行卡号是多少? (答案格式:用阿拉伯数字回答, 例如: 54613165456431) (2分)
在与zhangwei的个人聊天记录中可以发现他发过自己的银行卡照片,可以读到银行卡号
10. [单选题] 参考Alice_Mobile.bin,Alice总共在脸书(FACEBOOK)上发布了多少张照片? (2分)
没有找到图片信息,有两张图片是存在聊天信息中的,但不是alice发布的
11. [填空题] 参考Alice_Mobile.bin,应用程序WhatsApp的数据库 (database) 内, 哪个message_type代表发送的内容是表情包 (Sticker)? (答案格式:用阿拉伯数字回答) (3分)
首先在message表中找到有关表情包图片的数据,记录下起row_id,匹配message中的row_id来得到type内容,这里其他大部分都是图片,886这个id对应的是Sticker,所以用886这个id去找
过滤掉886之后就能找到对应的type值了
12. [填空题] 参考Alice_Mobile.bin,在Alice手机中,哪一个数据库(Database)记录了照片的数据? (答案格式:只需使用全部大写回答, 例如:ABC.DB) (2分)
随便找一个图片然后看他的源地址就行了,不过这个是安卓文件系统的固定数据库
13. [填空题] 承上题,参考Alice_Mobile.bin,该文件的最后修改日期和时间 (Last Modified Time) 是? (答案格式:YYYY-MM-DD HH:MM:SS) (2分)
直接看最后修改时间即可
14. [单选题] 从Alice的手机中发现,她一直与一名叫John的成员保持联系,你接着分析John的手机。 参考John_Smartphone_itunebackup, 备份密码是「1234」, 回答以下题目: 在WhatsApp通讯软件内「三五成群」群组于什么时间创建? (2分)
15. [单选题] 参考John_Smartphone_itunebackup.zip,照片IMG_007 的创建日期时间是? (2分)
直接再手机分析中搜索图片的名称即可
16. [单选题] 参考John_Smartphone_itunebackup.zip,John曾使用什么通讯软件联系Ben? (2分)
看Whatsapp就能看到有ben的信息
17. [填空题] 参考John_Smartphone_itunebackup.zip,于“三五成群”群中, 电子表格文件"Personal_data.xlsx"是由哪一个电话号码发送到该群组的? (答案格式:只需要用阿拉伯数字回答,包含国际电话区号和电话号码,例如:85290001111) (2分)
这里有两个表格信息,在群组里看才能找到对应的电话号码
18. [单选题] 他与一个叫Ben的人有可疑的沟通。你接着分析Ben的手机。 参考BeniPhone.zip,根据 Ben 手机内通讯软件的记录,"This is a RAT APK that allows us to control Android devices remotely, enabling data access, monitoring and manipulation through an interface"是在什么时间接收或发出的? (1分)
这里看john的手机一样可以得到
19. [单选题] 参考BeniPhone.zip,根据 Ben 手机内的照片记录,"IMG_0011.PNG"是通过哪种方式生成的? (2分)
看图片的内容就能知道是截图的
20. [单选题] 你发现了该犯罪团伙似乎有一个共同的聊天群,其中包含有关可疑资本管理(与虚拟货币相关)的更多线索。 参考该聊天群组对话分析,John,David及Alice筹集资金的目的是什么? (1分)
看聊天记录,他们是要创建一个网站来获得用户个人信息,还有创建虚拟货币钱包的信息,所以选择创建虚拟钱包来洗钱
21. [单选题] 参考該聊天群对话、David,Emma與Clara 的对话及IDFC的交易记录分析,哪一个虚拟货币地址储存John,David及Alice所筹集的IDFC? (3分)
聊天记录中可以看到这个时间点进行一次转账,再去看个人赛的david的转账记录
22. [单选题] 参考Alice_Mobile.bin,Alice 总共使用了多少个虚拟货币地址直接接收受害人的IDFC? (2分)
搜索idfc,得到有7个有关于idfc的消息记录,其中提到了6个地址来收虚拟币
23. [多选题] 參考David_Laptop.e01內找到的IDFC交易记录,在收取受害人的IDFC后,它之后会再流向哪些虚拟货币地址? (2分)
这里把地址和个人赛的交易记录比对一下可以找到,同时在聊天记录里也能找到回收虚拟币的地址
24. [单选题] 承上题,上述IDFC去到那些地址后,谁掌管这些IDFC? (提示:分析IDFC的交易记录及个人赛所搜集的证据) (2分)
这里个人赛有提到david手上的回复种子,所以应该是david
25. [单选题] 2024年9月,Tom Victor带同其秘书Amy来到警署报案,称其秘书被骗子用人工智能视频在2024年8月29日早上骗去10,000,000 IDFC,请找出该交易的交易哈希(Transaction Hash) ? (2分)
根据时间和金额查表就行了
26. [多选题] 就現時搜集到的證據、David_Laptop_64GB.e01内的资料及IDFC的资金流分析,下列哪些虚擬货币地址是最終诈骗集团儲存犯罪所得的地址? (3分)
这里筛去表中的受害人地址和中转地址,可以找到还剩下0x63a8ba1df0404ee41f7c6af8efd2f54006f32042
27. [单选题] 你现在查看Ben的笔记本电脑,并发现了 APK 文件。 一般而言,APK 的关键组成部分是什么? (3分)
这里的选项说实话不太好选,我觉得如果单纯解压apk的话,个人倾向于选C
28. [单选题] 参考Ben_Laptop.zip内的Joshe Investment.apk, 这个 APK 没有 classes.dex 文件,而是有 smali 文件,以下哪一个陈述是正确的? (3分)
这是因为classes.dex被编译为smail,但是没有被打包成apk
29. [单选题] 参考Ben_Laptop.zip内的Joshe Investment.apk, Ben 使用了哪个工具包生成恶意APK 以控制受害者的设备? (1分)
这题从答案入手,这里看包名可以发现是D
30. [单选题] 参考Ben_Laptop.zip内的Joshe Investment.apk,确认哪个 .xml 文件被特别添加为主活动(activity_main)的布局文件? (3分)
这里可以看出将Thisismain.xml设置为主活动的布局文件
31. [单选题] 参考Ben_Laptop.zip内的Joshe Investment.apk, 确认被指定为主活动层(activity main layer) .xml 文件的公共 ID? (3分)
ID是R.layout.Thisismain,但是选项中的是地址,所以看smali代码在同样的位置找到地址信息
32. [单选题] 参考Ben_Laptop.zip内的Joshe Investment.apk,确认应用程序没有要求的权限? (3分)
下面是所有的权限设置,一个个筛选
33. [单选题] 参考Ben_Laptop.zip内的Joshe Investment.apk,ahmyth/mine/king/ahmyth/ 文件夹下的 b.smali 文件的主要功能是什么? (3分)
34. [单选题] 参考Ben_Laptop.zip内的Joshe Investment.apk,在 ahmyth/mine/king/ahmyth/ 文件夹下的 b.smali 文件中,字节数组(Byte Array)在发送到服务器之前执行了哪一系列操作,最终的图像格式是? (3分)
35. [单选题] 参考Ben_Laptop.zip内的Joshe Investment.apk, 在 ahmyth/mine/king/ahmyth/ 文件夹下的b.smali文件中,图像在发送到服务器時的压缩比率是多少? (6分)
36. [单选题] 参考Ben_Laptop.zip内的Joshe Investment.apk,在 ahmyth/mine/king/ahmyth/ 文件夹下的 ConnectionManager.smali 中,sendReq method 的目的是什么? (6分)
37. [单选题] 承上题,参考Ben_Laptop.zip内的Joshe Investment.apk,C2服务器的 IP 地址及端口号? (6分)
38. [单选题] 参考Ben_Laptop.zip内的Joshe Investment.apk, ahmyth/mine/king/ahmyth/ 文件夹下的 g.smali 文件中,MediaRecorder 被初始化用于录音。如果 setAudioSource() 方法使用了错误的参数,会发生什么,且这将如何影响录音过程的功能? (6分)
39. [单选题] 有争议参考Ben_Laptop.zip内的Joshe Investment.apk, ahmyth/mine/king/ahmyth/ 文件夹下的 g.smali 文件中,TimerTask 用于在启动 MediaRecorder 后调度动作。TimerTask 在这个过程中有什么作用? (6分)
40. [单选题] 参考Ben_Laptop.zip内的Joshe Investment.apk, 在 ahmyth/mine/king/ahmyth/ 文件夹下的 h.smali 文件中,method a() 和method b() 的主要功能有什么区别? (6分)
41. [单选题] 参考Ben_Laptop.zip内的Joshe Investment.apk, 在 ahmyth/mine/king/ahmyth/ 文件夹下的 h.smali 文件中,method b() 需要哪些参数? (6分)
(团队的逆向还是交给队友吧,现在临时报也多是AI分析)
42. [单选题] 在分析Ben的笔记本电脑时,你从调查人员那里获得了以下信息:在对一名被捕的犯罪集团成员进行审问时获得的情报显示,Ben对John心怀怨恨,因为John扣留了Ben的犯罪收益份额。因此,Ben加密了John的机密文件夹,以限制他的访问。 参考Ben_Laptop.zip,解密secretExcel.encrypted的第一步应该是什么? (2分)
这里是用aes加密,要解密的话需要先获得iv和salt,看代码中
f_out.write(cipher.iv) # IV被写入加密文件的开头 f_out.write(salt) encrypted_data = cipher.encrypt(pad(data, AES.block_size)) f_out.write(encrypted_data)
这里的iv在最开头,所以要先提取出来才能进行解密,所以选择B
43. [单选题] 参考Ben_Laptop.zip,在加密文件secretExcel.encrypted中,初始向量 (Initial Vector) 的值是什么? (2分)
前16个字节就是
44. [单选题] 参考Ben_Laptop.zip,在加密文件secretExcel.encrypted中,盐值 (SALT) 是什么? (2分)
后32字节就是
45. [单选题] 参考Ben_Laptop.zip,查看 'encrypt.py'代码,如果更改'PBKDF2' 的 'count' 参数会产生什么影响?(2分)
这里count是迭代的次数,所以,应试技巧的话,也该选C
46. [单选题] 参考Ben_Laptop.zip,根据分析及计算后,解密secrectExcel.encrypted所用的key具体值是什么? (3分)
用加密代码中的式子来得到key的值
47. [单选题] 参考Ben_Laptop.zip,解密后的 Excel 文件中,程琳的电话号码是什么? (3分)
利用计算的key和iv来解密文件
得到表格文件
48. [填空题] 参考Ben_Laptop.zip,解密后的 Excel 文件中,周亮的ID/Passport Number是什么? (提示:只需使用阿拉伯数字回答) (3分)
49.Ben 想要有效地搜索信息, 他可以使用以下哪个 Google 高级搜索运算符来搜索某个特定网站?
这是一个常识题,site:来限定即可
50.参考材料1.pdf, Ben 试图入侵一个系统, 他尝试在系统中打开 HTTP 服务器. 使用 Python 内置的 http.server 模块启动基本 HTTP 服务器的命令是什么, 以便攻击者从目标机器下载文件?
这里主要是确定用的什么端口打开的,9000
51.参考材料2.pdf, Ben 准备了几个用于黑客攻击的脚本, 这段代码的攻击目的是什么?
用排除法来做的话,填充 268 bytes,大概率是缓冲区溢出(我是pwn小白)
52.参考材料3.pdf, Ben 准备了几个用于黑客攻击的脚本, 他采用了什么技术来保护代码?
根据代码内容可以看出,这里将一些加密函数都用其他函数拼接或者改写,可以确定是代码混淆,后续看其他人的wp知道weevely3: Weaponized web shell 是一个 webshell 生成 & 链接工具,所以根据这个就能确定是将webshell混淆了
53.参考材料4.pdf, 他利用了什么方法来获取反弹 Shell?
根据这个上传路径和方法都能判断出是通过文件上传漏洞来上传木马来获得shell
54.参考1.pcap, Ben 使用了哪些命令来扫描目标机器?
根据扫描的端口数量范围和时间可以确定ii是有的
用科来分析一下可以得到具体的攻击行为
55.参考2.pcap, 第 56 号数据包的代码功能是什么?
这里用了反弹shell
56.参考1.pcap, 当 Ben 成功进入目标系统时, 攻击者获取的账户是什么?
这里我是用的搜索的方法,因为问返回的账户,那应该用了whoami的指令,所以找到有NBSS流量,返回的是root
57.Ben 正在尝试入侵一个系统, 并且他正在进行开源研究. 他发现 nc -vp 9000 将被用来接到反弹 Shell. Ben 将使用什么命令来创建反弹 Shell?
看之前的56号数据库就能得到答案了
58.参考材料5.pdf, Ben 输入了 find / -perm -4000 2>/dev/null 后, 显示了材料5.pdf的内容. 这些内容所显示的文件除具有执行权限, 还设置了什么?
看这里的-perm -4000,当权限设置为SUID的时候,即显示4000,所以这里是为了找到suid提权执行,算渗透的知识点了
59.Ben 发现了下面的命令 import pty; pty.spawn("/bin/bash"), 它的功能是?
这里也是渗透的知识点吧,用py来获得一个交互对话,方便输命令,如果权限管理不到位还能获得高权限
60. [填空题] 你注意到Ben的笔记本电脑上安装了暗网 Tor,请回答以下问题。 Ben应该输入什么命令来在 Kali Linux 中执行 Tor 浏览器? (答案格式:小写英文字母和符号'-'混合作答,例如:abc-def) (4分)
这里因为命令都是一样的,所以直接写torbrowser-launcher,也可以把嵌套的虚拟机分析完看里面的命令行记录也可以
61. [单选题] 参考Ben_Laptop.zip,Ben经常使用 Tor 浏览器,该 Tor 浏览器把多少个 .onion 链接添加为书签? (2分)
只有四个是用户添加的,其他的Tor Project Bookmarks都是tor自带的
62. [单选题] 在检查Ben的记录时,发现了Port 9151的连接,那是指Ben在使用什么浏览器? (2分)
不知道为什么没有9151的连接,应该是通过连接找PID,然后找进程使用的程序,是tor.exe
63. [判断题] 参考材料6.pdf,应该保持默认设置,以便 Firefox 浏览器使用 Tor 网络? (2分)
错误的,使用火狐来使用tor网络需要插件
67. [单选题] 调查员把一只属于Ben的U盘和一张SD卡交给了你进行分析。 参考Ben_USB.e01,是什么导致了“满汉全席.jpg”和“满汉全席Secret.jpg”之间的大小差异? (2分)
secrect后面嵌套了一个文件
68. [填空题] 参考BenSDCard.e01,Ben的SD卡的解密密码是? (2分)
上面的文件分离出来是一个文档,SD卡的密钥就是IamRich123!
这个SD卡是被加密的,用ufs可以解密
里面有两个表格文件
69. [填空题] 参考Ben_Laptop.zip,在2024/08/23 14:54:59 UTC+8,Ben 浏览了哪个网站? (答案格式: "https://xxxxxx.com/") (1分)
看浏览器对应时间就行了,这里的时区也是匹配的
70. [填空题] 参考Ben_Laptop.zip,Ben 浏览上一题所述的网站时连接到他的计算机的 Wi-Fi MAC 地址是? (答案格式:"A1:B2:C3:D4:E5:F6") (1分)
按照时间的话,应该就是90:61:AE:C0:90:C2,但是和标准答案不一样
71. [单选题] 参考Ben_Laptop.zip和Ben_Jumpstation.zip,回答以下问题: Ben的计算机使用下列哪款远程桌面软件访问了Ben的跳转站(Jumpstation)? (2分)
按这个选项的话,其实一开始是排除ii的,因为电脑上没有anydesk的分析记录,但是向日葵和tv都有,但是向日葵的日志是空的,电脑里是有AnyDesk的,但是看跳转站的记录里应该是用向日葵连接的,所以不太确定,猜的
72. [填空题] 参考Ben_Jumpstation.zip,Ben的跳转站 (Jumpstation)IP 地址和子网掩码(Subnet mask)是什么? (答案格式:192.168.1.1/28) (1分)
73. [填空题] 参考Ben_Jumpstation.zip,在Ben的跳转站(Jumpstation)上,该远程桌面软件中的访问ID是什么? (答案格式:请用阿拉伯数字作答) (2分)
74. [填空题] 参考Ben_Jumpstation.zip,Alice何时从跳转站(Jumpstation)下载了文件?(请以UTC+8回答) (答案格式:YYYY-MM-DD HH:MM:SS) (2分)
在日志文件中,先找alice的连接时间
找到下载文件的操作位置,这里的时间是2024/08/23 02:31:55.410
但其实这是出题人的坑,这里修改过机器的时间,
再看时区就能看到变成了UTC-8
所以要把这个操作时间改成+8的时间(其实题目中也有提示,这里要求UTC+8),所以是2024/08/23 18:31:55.410
75. [单选题] 参考Ben_Jumpstation.zip,有多少个访问ID连接过跳转站 (Jumpstation)? (2分)
中间部分计网题先跳过,多是基础题,和检材关系不大
87. [单选题] 通过从跳转站获得的信息(Ben_Jumpstation.zip),你认为Alice的笔记本电脑可能包含与犯罪相关的更多信息。你建议调查员进一步扣押Alice的笔记本电脑进行分析。 参考Alice_Macbook.e01,计算机名称是? (1分)
88. [填空题] 参考Alice_Macbook.e01,Alice的计算机运行的macOS Monterey版本是? (答案格式:123.456.789) (1分)
这里是因为系统准备了12.7.6的更新但是还没有开始,所以其中的preboot 卷已经覆盖但是系统还是12.7.5,这里也可以仿真起来看到系统的版本号
89.[填空题] 参考Alice_Macbook.e01,Alice的计算机的EN0 MAC地址是? (答案格式: xx:xx:xx:xx:xx:xx, 小写英文字母和阿拉伯数字混合组成) (1分)
90. [填空题] 参考Alice_Macbook.e01,Alice在2024年8月19日收到了一个包含15个人个人资料的Excel文件,她是从哪一个平台下载这个文件的? (答案格式: 请用小写英文作答 (无须留空白位),例如:facebook) (2分)
可以注意到这里的Whatapp安装包,说明电脑上是有安装这个软件的,可以联系到之前的群组聊天,可能是在whatapp里面下的
在whatsapp的数据库应该可以找到具体的记录,但是更快速地办法是找下载时的记录文件,在Whatsapp中有保存记录
91. [填空题] 承上题,参考Alice_Macbook.e01,Alice是何时在她的Mac上安装了上述应用程序? (答案格式:YYYY-MM-DD HH:MM) (2分)
这里软件的文件在2024-08-15 07:31:38就已经创建了,但是官方答案是2024-08-19 10:03,不太明白,如果软件没有安装的话,为什么存储文件就已经创建了
但是如果按照下载里的安装包的话,应该是8-19才下载安装包的,然后看时间线的分析是在10:03开始在数据库中写入数据,这样的话倒是可以解释的通
92. [填空题] 参考Alice_Macbook.e01,Alice在2024年8月19日在计算机上截取了两张屏幕截图,都是关于安置客服人员的电骗中心位置,她是使用哪个浏览器来搜索这个位置? (1分)
8-19这天搜索过多次谷歌地图,猜测应该就是这个浏览器
93. [填空题] 参考Alice_Macbook.e01,她的计算机的Team Viewer ClientID是多少? (答案格式:只需使用阿拉伯数字回答) (1分)
94. [单选题] 参考Alice_Macbook.e01,Alice曾经登录Teamviewer并获取一个包含个人数据的excel文件,Alice是透过以下哪一个方法登录Teamviewer以获取该文件? (2分)
这里可以看浏览器的记录,是用web.teamviewer.com去登陆的
95. [单选题] 承上题,上述包含个人数据文件的文件名是? (2分)
注意文件和记录的时间,对比之后然后根据包含个人数据的文件名,可以确定是桌面上这个文件
96. [填空题] 承上题,参考Alice_Macbook.e01,Alice是何时通过Teamviewer 获取上述包含个人资料的文件的? (答案格式:YYYY-MM-DD HH:MM) (2分)
2024-08-23 17:31:53
97. [填空题] 参考Alice_Macbook.e01,Alice透过Teamviewer连接另一台计算机以获取文件的Teamviewer ID是多少? (答案格式:只需使用阿拉伯数字回答) (2分)
看url的信息就行了
98. [填空题] 同样,跳转站(Ben_Jumpstation.zip)也指向一些可能从John的桌面计算机获取的关键信息。 参考John_Desktop.e01, 系统最后关机时间是? (答案格式:YYYY-MM-DD HH:MM:SS) (2分)
这里可以直接看最后一次正常关机,但是没有说是正常还是非正常也算,因为9月3号还有一次,但是这个是睡眠状态
99. [单选题] 参考John_Desktop.E01, 系统连接USB SanDisk 3.2Gen 1, 其序列号是? (2分)
100. [判断题] 参考John_Desktop.e01, 于2024年8月28日13时57分21, John曾连接过Meta Quest 3吗? (2分)
这个时候还没有弹出,所以是的
101. [填空题] 参考John_Desktop.E01, John在何时打开了Joshe investment.JPG文件? (答案格式:YYYY-MM-DD HH:MM:SS) (2分)
这里有两个时间,一个是文件快捷方式的最后访问时间,一个是jpg文件的最后访问时间,这里官方用的是2024-08-01 16:57:09
102. [填空题] 参考John_Desktop.e01, 用户 "DESKTOP-HDKJIJJ" 的安全标识符(SID)是? (答案格式:大写英文字母,阿拉伯数字和符号'-' 混合组成) (2分)
这题问的其实是local的SID,但是这个问法吧,问了个设备名称……
本地用户的 SID去掉最后一截
S-1-5-21-938709476-2694722248-4044499888
103. [单选题] 参考John_Desktop.e01, 有多少个用户帐户是停用(disabled)? (2分)
4
104. [填空题] 参考John_Desktop.E01, 该计算机被动态主机配置协议(DHCP) 所分配的IP位址是? (答案格式:123.123.123.123) (2分)
105. [单选题] 参考John_Desktop.E01, DF_2024_08_29_10_01_27_906.mp4 是什么类型的视频? (2分)
这是个AI换脸的吧
106. [单选题] 在搜查John住所期间,调查员检取了一副虛疑實景 (VR) 眼鏡进行了取证检查。 参考Quest_3_2G0YC5ZFB307D7.zip 文件,虛疑實景 (VR) 眼鏡有多少个使用者? (3分)
1
107. [单选题] 参考Quest_3_2G0YC5ZFB307D7.zip,VR 眼鏡默认安装了什么即时通讯软件 (Instant Messaging App)? (3分)
在/profile/list_packages.txt里,发现有whatapp
108. [填空题] 参考Quest_3_2G0YC5ZFB307D7.zip, 虛疑實景 (VR) 眼鏡应用程序"Gun Raiders"的版本是? (答案格式:1.2.3) (2分)
109. [判断题] 参考Quest_3_2G0YC5ZFB307D7.zip,VR 眼镜应用程序"Gun Raiders",可以启动设备发现或操纵蓝牙 (2分)
有的
110. [填空题] 参考Quest_3_2G0YC5ZFB307D7.zip,在DCIM 文件夹内,VR 眼镜有多少视频的文件修改时间是2024年8月13日? (答案格式:请以阿拉伯数字作答) (2分)
111. [填空题] 参考Quest_3_2G0YC5ZFB307D7.zip,在提供的网络信息中,虛疑實景 (VR) 眼鏡'wlan0' 网络接口的 IPv4 地址是? (答案格式:123.123.123.123) (2分)
112. [单选题] 除了以上John的所有设备之外,调查员还发现了一台NAS存储设备,并转交你进行分析。 参考 John_NAS_1.E01 和 John_NAS_2.E01,它是哪一种独立磁盘冗余阵列 (RAID)? (2分)
挂载两个盘后自动识别并重组获得一个新的磁盘 这里可以识别到是RAID1
113. [判断题] 参考 John_NAS_1.E01 和 John_NAS_2.E01,该NAS的容量有512GB (2分)
这里可以看到一共有426g的储存,所以是错的
114. [单选题] 参考 John_NAS_1.E01 和 John_NAS_2.E01,该NAS的可用空间有多少? (3分)
可用的空间是总存储去掉已经使用的,所以用x-way分析能得到剩余的空间
115. [判断题]! 参考 John_NAS_1.E01 和 John_NAS_2.E01,该NAS 的文件系统格式是EXT3 (2分)
系统是ext4
116. [单选题] 参考 John_NAS_1.E01 和 John_NAS_2.E01,该NAS 的用户人数有多少个? (2分)
数据分区里有两个用户的配置文件
117. [单选题] 参考 John_NAS_1.E01 和 John_NAS_2.E01,该 NAS 内有多少张圖片标示 'This is a Child PORN PHOTO' ? (2分)
5
118. [填空题] 参考 John_NAS_1.E01 和 John_NAS_2.E01,视频 ING_VID_8081695_10s.mp4 在什么时候放进 NAS 内? (答案格式:YYYY-MM-DD HH:MM:SS) (3分)
119. [填空题] 参考 John_NAS_1.E01 和 John_NAS_2.E01,dcdb711a52a94fe9b6eb742a6919410D.mp4是在哪个网站下载的? (答案格式:www.abcd.com) (3分)
www.vjshi.com/,但是官方答案是www.aliyun.com
@eaDir 文件夹是用来储存视频元数据的文件
但是如果从视频来看的话,视频的元数据中是www.aliyun.com
120. [填空题] 参考John_Desktop.E01,John 访问NAS使用的网络地址是? (答案格式:123.123.123.123) (2分)
121. [单选题] 参考John_Desktop.E01, 该 NAS 的网络驱动器盘符(Network Drive Letter)是? (2分)
Z
122. [判断题] 参考John_Desktop.E01, John_NAS_1.E01 和 John_NAS_2.E01, 当中的v文件夹内的视频及照片数量是相同的? (2分)
在John_Desktop里是50个视频,NAS里面是50个视频,但是官方是否,这里只看文件夹里的话,那就应该是是一样的,或者看的是NAS里的视频加上图片,那就有点混乱了
123. [填空题] 参考 John_NAS_1.E01 和 John_NAS_2.E01,该NAS的a文件夹中, "1.jpeg" 是由哪个网站生成? (答案格式: abcd.com) (2分)
124. [填空题] 参考 John_NAS_1.E01 和 John_NAS_2.E01,该NAS的c文件夹中, 有一个被删除了的照片, 它的名称是什么? (答案格式:小写英文字母,阿拉伯数字和符号'-' 混合组成, 例如: 123-abcf-456.jpg) (2分)
125. [填空题] 根据你以上的发现,你直觉认为有无辜的人被雇为所谓的客服人员,他们的安全仍然存在疑虑。你决定再次查看Alice的手机镜像以确认你的推测。 参考Alice_Mobile.bin,于2024年8月16日,Alice使用外送程序 "Foodpanda" 于哪间店铺点餐? (答案格式:大写英文字母,例如: GOODCAFE(CENTRAL)) (3分)
数据库里面有一条订单信息,但是这个时间戳转出来是8月30号的,这个有点没懂,时区的话差了半个月,但是只有这一个记录,就不多想了
126. [单选题] 参考Alice_Mobile.bin,于2024年8月30日,Alice使用外送程序 "Foodpanda" 点餐用了哪种方式付款? (2分)
用的PayMe
127. [填空题] 参考Alice_Mobile.bin,Alice最后使用外卖程序 "Foodpanda" 的日期? (答案格式:YYYY-MM-DD) (2分)
这里看数据库里,点单的时间的话那就是8月30号,看数据的最后修改时间应该也是8月30日
但是如果是app文件中最后的修改日期的话,那就是9月2日,也就是官方的答案,但是没用做点餐,那可能是后续联网app的一些其他功能在使用或者使用者没有使用点餐功能
128. [单选题] 参考Alice_Mobile.bin,Alice要求安排"客务人员"逃到哪里? (2分)
南非
129. [单选题] 参考Alice_Mobile.bin,Alice曾经向“客服人员”发送一张照片, 指出上船地点的位置, 拍摄这张照片的GPS经纬值是什么? (2分)
找到船的照片,然后查看原图中的gps信息,这里要找相册的原图才有信息,聊天记录中保存的没有信息 Alice_Mobile.bin/分区1/media/0/DCIM/Camera/20240816_162805.jpg
130. [单选题] 参考Alice_Mobile.bin,根据多媒体文件的分析,于2024年8月16日,Alice曾到哪里进行拍摄?
之前的照片信息也有拍到这个地方,大生围
浙公网安备 33010602011771号