既然报名了美亚当然得学一下取证了,先写一下21年的美亚吧

检材处理

首先下载的检材有一个电脑的镜像文件,和压缩包
解压这个压缩包。

里面是一个加密容器,将加密容器用VeraCrypt打开,进入容器文件,可以发现一个检材列表


根据列表一个个整理检材

1.工地主管电话的微信账号是什么?

主办方在手机附件内,带了一个取证软件,我们直接打开这个软件。

在聊天报告里可以发现,其使用的聊天软件是whatapp,没有微信,所以这题选d,工地主管没有微信

2.工地主管的隔空投送装置置编号是什么?

首先了解一下什么是隔空投送

我们搜索AirDrop

3.工地主管电话的哪一个应用程序有关于经纬度24.490474, 118.110220的纪录?

同样搜索

4.工地主管的手提电话中下列哪些数据正确?

选A,C

5.工地主管的电话最常使用的浏览器是什么? (请以英文全大写回答)

SAFARI
网页浏览记录里有浏览器名称

6.工地主管的电话连接过哪一个WiFi?

再无线网络了可以找到之前连接的WiFi名

7.工地主管与Alex Chan的Whatsapp 对话中,曾提及以下哪个TeamViewer的用户号码?

聊天记录的这三张图片含有用户ID

8.工地主管的WhatsApp中有多少个黑名单的记录? (请以阿拉伯数字回答)

从数据库里找会发现找不到blacklist

9.以下哪个蓝牙装置的 Uuid 曾连接过工地主管的手机?

10.工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么? (请以英文全大写及阿拉伯数字回答,不用输入”-“)

搜索Bitlocker可以找到

11.工地主管计算机內的FTP程序FileZilla的用户名称是甚么?

12.工地主管的Team Viewer ID 是甚么? (请以英文全大写及阿拉伯数字回答)

13.工地主管的Team Viewer与哪一个ID连接? (请以英文全大写及阿拉伯数字回答)

14.(多选题) 工地主管曾用计算机浏览器作搜寻,以下哪一个关键词他曾经搜寻?

选择facebook和web whatsapp,linkg没有再关键词出现,而是再网页url出现

工地主管计算机的Windows系统的产品标识符是甚么? (请以英文全大写及阿拉伯数字回答,不用输入”-“)

16.工地主管曾用计算机使用WhatsApp,他曾和以下哪个电话号码沟通?

我们可以看到whatsapp的log文件打开可以才出来应该记录了web端的一些内容。
查一下85246761157可以查到,那应该就是这个了

17.(多选题) 工地主管计算机的用户名称是甚么? 其用户标识符是甚么?

PC1

18.(单选题) 工地主管计算机的预设浏览器是甚么?

预设浏览器其实就是默认浏览器
我们可以打开仿真之后创建应该html文件,也可以从浏览器的使用数量上猜出是谷歌

19.

20.(多选题) 路由器的记录中显示以下有哪些IP是公司的电子器材?

一个个搜可以搜出来abcd都是

21.路由器的记录中显示公司的计算机下载了FTP软件,该下载网站的IP是什麼?(请以亚拉伯数字作答,省去”.”符号)

49.12.121.147

22.(多选题) 路由器的记录中显示公司计算机的资料用FTP软件传到了甚么IP地址及利用端口?

我们看软件连接记录可以发现ip

在log里搜一下可以发现其ip和端口

23.(多选题) 路由器的记录中显示以下哪些关键词是表示公司计算机与外界网络联机?

FTP通信的两个关键词outside(输出)和destiation(目标)都可以表示

24.路由器的记录中显示哪一个IP曾以teamviewer 连接公司计算机?

打开连接信息的文件可以发现详细的连接日志。发现连接时间在18号的9点31分10s。在路由日志中查找发现找不到,但是找到了相近时间

猜测为延迟。
定位后就会发现ip为52.152.117.114

25.(多选题) 路由器的记录中显示以下哪一个有可能是以 teamviewer 遥控公司计算机的时间?

在日志以ip来搜索可以找到时间

26.路由器的记录中显示有多少电子器材有可能曾被入侵?(请以阿拉伯数字作答)

投稿ip来搜索看日志可以发现有三个时间段的teamviewer记录所以应该是3

27.阿力士 iPhone12pro电话于2021年10月21日,以下哪张相片可能曾被分享(UTC+8)?

分享过的图片会产生一个没有元数据的缩略图片,所以应该是11

28.阿力士iPhone 12 pro电话中哪一张相片可能曾被修改拍摄时间?

29.阿力士iPhone 12 pro 的GSM媒体访问控制地址是什么? 请以英文全大写及阿拉伯数字回答,不用输入”:

GSM其实就是mac地址

30.阿力士的iphone 12 pro以什么屏幕密码保护?

31.阿力士iphone 12 pro内以下哪一张相片是实况相片(live Photos)?

ios的实况照片的拍摄会在同文件下生成mov文件。

32.以下哪一个是阿力士iphone 12 pro可能曾经连接的装置名称?

Chris’s MacBook Pro

33.接上题,记录连接时间是什么时候(UTC+8)?

题目要求UTC+8所以就加8小时即可

34.阿力士iPhone XR中在软件WhatsApp中工地主管与阿力士的对话中曾提到:佢叫我俾钱喎,BTC係唔係呢个啊?。在进行电子数据取证分析后,以下哪一个是有可能关于此对话的正确描述?

可以发现在KariserLee和Alex的WhatsApp的该条聊天都被删除,而Alex并没有权限删除Kariser Lee的聊天记录,而KariserLee可以撤回消息。且附件有一张图片

35. 阿力士iPhone XR的WhatsApp对话中,阿力士曾要求工地主管支付多少个BTC? (请以阿拉伯数字回答)

10个

36.阿力士iPhone XR中 “IMG_0056.HEIC”的图像与”5005.JPG”(MD5: 96c48152249536d14eaa80086c92fcb9)” 看似为同一张相片,在电子数据取证分析下,以下哪样描述是正确?

两个的图片md5值不同。
5005.JPG的分辨率更低所以5005是缩略图

37.阿力士iPhone XR中相片檔IMG_0056.HEIC提供了什么电子数据取证的信息?

拍摄时间是捕获时间比创建时间早且相机型号是iPhone12pro,所以应该是12pro拍摄的。
又因为是多选所以应该是airdrop的文件

38. 阿力士iPhone XR中阿力士的电邮账户Alexc19851016@gmail.com的密码有可能是什么?

直接搜邮箱就可以找到密码

39. 阿力士iPhone XR曾经连接Wifi “Alex Home”的密码是什么? (请以英文全大写及阿拉伯数字回答)

123456

40.阿力士iPhone XR经iCloud备份的最后时间是什么?(UTC+8)?

看设备信息可以看到云备份时间

41.阿力士iPhone XR中的iBoot版本是 (请以阿拉伯数字回答,不用轮入”.”)

查看phoneinfo文件

42.阿力士iPhone XR中的WhatsApp群组『团购-新鲜猪肉牛肉-东涌群组-9/30』有以下哪一个成员?

43.阿力士的计算机显示曾于hongkongcard.com 的论坛登记成为会员,以下哪个是他的帐户密码?

可以发现为谷歌账号,我们在38题里有找到密码

44.阿力士的计算机显示阿力士曾用什么方法进入受害者(主管)的计算机?

用的是远控软件

45.续上题,阿力士最后一次进入受害者(主管)计算机的时间是什么?

远控记录可以看到时间

46.阿力士的计算机显示他曾经使用FTP程序,FTP的主机IP地址是什麼?(请以亚拉伯数字作答,省去”.”符号)

47.阿力士的计算机显示于2021年9月至2021年11月期间,计算机曾被登入过多少次? (请以阿拉伯数字回答)

48.阿力士计算机所安装的Microsoft Office 2007 是以下哪一个版本? (请以亚拉伯数字作答,省去”.”符号)

仿真后再软件中查看,也可以再控制面板了查看

49.以下是阿力士计算机中的Basic data partition (EFI 3) 的Volume ID?(请以英文全大写及阿拉伯数字回答)

Volume卷ID,我们将镜像挂载到E盘,如何再使用DiskGenius打开查看ID

50.阿力士计算机的Window product ID是什么? (请以英文全大写及阿拉伯数字回答,不用输入”-“)

产品ID

51.阿力士计算机曾经下载一张猴子的图片,以下哪一项描述正确?

再浏览器的下载记录里可以找到下载了一些图片,打开发现image(1)是猴子

52.阿力士计算机所安装的Microsoft Office 2007 的密钥是甚么? (请以英文全大写及阿拉伯数字回答,不用输入”-“)

仿真打开桌面的Microsoft 文件夹里面有key

53.阿力士FTP 服务器用户使用命令行安装了甚么程序?

下载了docker

54.以下哪些档案于阿力士FTP 服务器曾重复出现?

一个个搜能搜出答案

55.在阿力士FTP服务器中,文件夹_曾被用户变更了访问权限(请以英文全大写及阿拉伯数字回答)

56.在阿力士FTP 服务器建设后,有 _ 个额外用户被加入 (请以阿拉伯数字回答)

加入了wai

57.根据阿力士FTP服务器设定显示,此服务器是以方式连接网络,且是一个网络状态

58.阿力士FTP 服务器设定最多使用者数目是 _ (请以阿拉伯数字回答)

50个

59.阿力士FTP服务器使用Docker安装了一个FTP程序为_。(例如 space docker/1.1,请输入spacedocker/1.1,不要输入空格)

60.阿力士FTP 服务器曾使用过甚么版本的Linux内核?

61.阿力士FTP 服务器的磁盘分区,有以下哪一种文件系统?

62.阿力士FTP服务器用户输入了指令 _ 去检查现存的Docker容器 (例如 netstat lntp,请输入 netstatlntp,不要输入空格)