目录

一、前言

二、Zello部分

 三、Bob部分

路由器部分（29-34）

 LaPTOP部分（35-41）

 Desktop部分（42-25）

 Phone部分（46-55）

 S2部分（56-69）

 IMAC部分（70-74）

 四、Cole部分

Desktop部分（75-85）

 LaPTOP部分（86-106）

 PI部分（107-117）

 手机部分（118-126）

 五、DAnniel部分

Desktop部分（127-133）

 MAC部分（134-135）

 Phone部分（136-140）

---

一、前言

  最近也是恰好备战第七届美亚杯࿰c;参加了美亚的培训࿰c;跟着复盘又重新做了一次2020年的赛题࿰c;个人赛很简单࿰c;网上也有很多版本࿰c;团赛好像没有完整的WP࿰c;当然我的WP也不够完整࿰c;也有部分的题没有得到答案࿰c;有什么不对的地方࿰c;师兄们可以指正。

  总的来说难度不大࿰c;但是需要的时间应该是不少的࿰c;且关联性也比较强࿰c;尽管是团队协作也需要尽可能的多交流彼此发现的成果࿰c;不然很难达到协作的目的。

   手机取证方面遇到了很大的难题࿰c;特别是安卓的wifi mac地址和IOS高版本的BACk up 取证࿰c;网上有一些资料࿰c;但是没有拿到dd文件能够取到的东西很有限。

  运用到的工具：X-ways、取证大师、火眼一系列软件（仿真、分析）、效率源的手机取证工具、notepad++、quickhash

有高见的话࿰c;V：Faith_Tsir

二、Zello部分

1. 30B856EEE5121EDC2F9DC19ACFC8720E443810CBC5B83128EC62F9F4AAEAACC9

   

   ---

2. 想法比较取巧࿰c;直接查看磁盘最早的文件创建时间。可以看到是2020-09-03-10:22

   

3. 直接查看即可：ubantu-vg

   

4. @H_618_78@Pv卷和LV卷的信息都在/etc/lvm/BACkup中可以看到࿰c;用Xways打开预览。PV UUID：IF6neD-j49V-704g-Uugw-X1fS-y4dE-8GV73g

   

5. @H_618_78@同样VG UUID：XaJRmQ-S7Tp-tjaG-tmrX-VNyu-xhS7-

   

   9zDttW

6. 直接查看: 5.4.0.48

   

7.  20.04.1 LTS

8.  Uname -a 查看：zello。文件位置位于/etc/hostname

   

9. 查看/etc/machine-id:

   

10. 仿真进去可以看到版本号࿰c;也可以通过查看varwwwwordpresswp-includesversion.php可以看到是“5.5.1”

    

    

11. 通过选项还有history命令考虑到可能是ntp服务 @H_618_78@

    

    查看/etc/ntp.cnf文件发现：NTP-server-host

12. 查看/etc/timezone或者仿真输入命令：timedatactl

    

13.  通过last命令查看只有一个zadmain用户在登录

14. 用D盾扫整个www目录࿰c;123.php很有嫌疑（这个名字就很离谱）拿去算一下

    

     

    

15. 用记事本打开123.php࿰c;分析一下代码࿰c;很容易看懂。

    

16. title名字是Netflix

    

17. 查看var/log/apache的日志࿰c;导出以后用notepad++查看࿰c;搜索一下࿰c;在log.3很明显的找到爆破痕迹。203.186.94.68（Hydra）。有渗透经验的同志应该很清楚Hydra（九头蛇爆破工具）࿰c;在kali环境中使用࿰c;非常强大。

    

    

18. http://zello-onlineshop.sytes.net

    

19. 取证大师查看即可࿰c;xways也可以

    

20. 取证大师可以直接看（忘记截图了）
21. 直接搜索txt文件

    

22. 题目有些出错࿰c;应该是9.29日的。查看access.log࿰c;很明显的发现是http get/post洪流

    @H_321_197@

23. 直接notepad++计数比较

    

    

24. 还是选择使用直接利用选项计数比较

    

    

25. 这其实是BOB的IP地址࿰c;在前面的案情里就可以发现࿰c;所以是在香港

    

26. Count出来只有10条࿰c;Np++直接搜索“loggingout”（这题网上没有其他很好的答案）
27. 前面有看到有爆破攻击“hydra“（详看第17题）
28. 这个题不知道咋做。希望有大神给我解答。

 三、Bob部分

路由器部分（29-34）

1. 在BOB有关的图片里就可以找到路由器型号。

   

2. BOB的调查报告里面里其的IP地址。

   

3. 用X-ways查看Alice手机镜像 /etc/wifi/WCNSS_qcom_cfg.ini

   

   

4. 找到一个࿰c;但是跟答案给的不对

   

5. （毕竟从Alice镜像里面就可以发现这俩人有明显的PY关系࿰c;有极大嫌疑）所以是Alice和Cole两人都连过Bob的路由器。如果能有他们的MAC地址就确定了。
6. 看路由器的连接记录࿰c;日期就是到访日期。

   @H_198_262@

 LaPTOP部分（35-41）

做的时候把Desktop和LaPTOP搞混淆了࿰c;前者是台式机࿰c;后者是笔记本电脑࿰c;吃了没文化的亏。

1. 哈希直接计算即可（时间比较长࿰c;计算的时候可以看看后面的题）

   

2. 可以通过仿真࿰c;也可以直接在取证大师分析上看到：Super email sender

   

   

3. 仿真进去点开看就可以查看到收件地址࿰c;桌面的记事本上存着一个࿰c;但是选项没有࿰c;于是在选项里找࿰c;发现NETFLIX.htm.dump存在的文件和桌面上的记事本内容一样࿰c;都是保存的邮件地址。

   

   

4. Apk程序比较多࿰c;发现cointracker比较可疑（事实上是挨个找࿰c;最后才找到这货的）查看功能࿰c;应该是虚拟货币汇率之类的。

   

5. 这个题美亚也没给怎么做的࿰c;抓包也没抓出来࿰c;有懂apk的大佬也许可以试试。
6. 741852963

   

7.  这个是zello部分的࿰c;不知道题目为什么设置在这里࿰c;这个目录看得很清楚࿰c;里面有设置的保存的两个关键txt文件࿰c;作为盗刷信用卡的关键组成  www目录有两个wordpress࿰c;一个是本来有的࿰c;另外一个就是钓鱼网站也就是html里面的。

   

 Desktop部分（42-25）

1. 直接计算哈希

   

2. 直接查看分析结果

   

3. 符合题目要求的就只有一个zip文件࿰c;其他都是软件自带的zip包࿰c;提取出来查看就很明确了。

   

   

4. D盾扫一下࿰c;功能就是在收集个人数据

   

   

 Phone部分（46-55）

这个题难在是个备份文件夹࿰c;不是个镜像࿰c;得找到特定的文件夹（snapshot）才行࿰c;才能解析࿰c;备份密码藏在一个ufd文件里。

1. 手机大师好像取不出来࿰c;不知道是不是试用版的原因࿰c;用火眼的可以直接跳转到聊天记录的源文件地址

   

2. 查看取证结果基本信息即可

   

3. 同上

   

4. 手机大师能把时区取出来࿰c;火眼不行（害）࿰c;也许可以直接搜索 timezone

   

5. 文件系统里面找txt文件即可

   

6. 在Alice的手机镜像里就知道࿰c;Alice是创建群聊的那个人࿰c;所以起码Alice是管理员（该题可以通过火眼跳转源文件查看数据库文件来看࿰c;不过也相对麻烦）
7. 4个附件:3个文件（vip.txt+2个https://）+一个图片
8. 手机大师试用版没取出来
9. 10.3.3直接看即可
10. 查看浏览器记录࿰c;注意时间是UTC+0

    

 S2部分（56-69）

1. Android id: 72af229d1da3b3cd

   

2. 操作系统版本：4.1.2

   

3. 时区：GMT+8 就是香港时间（UTC和GMT代表的同一个意思࿰c;中国时间就是UTC/GMT+8）

   

4. 

   Bitcoin.png的储存位置：
5. 计算即可

   

6. 手机大师里有࿰c;也可以直接用Xways查看/wifi/.mac.info

   

   

   

7. 直接在该目录下查看即可

   

8. 直接计算哈希值

   

9. BOB的电脑的证据图上保存着他的电脑密码࿰c;即Aa654321࿰c;这也是密钥࿰c;解出私钥。

   

10.  在Alice手机检材中搜索flash_chat࿰c;然后定位到这个位置࿰c;发现其实里面的apk文件也叫base.apk࿰c;提取出来计算哈希

    

11. 这道题就只有挨着选项去看了࿰c;如果对安卓文件系统熟悉的话࿰c;可以知道安装好的apk会将数据库文件放在/data/app/database里面࿰c;挨个查看࿰c;发现在第一个文件里（%29结尾那个）

    

    

12. 直接进行选项搜索࿰c;因为这个文件我也不知道用什么查看器查看比较好࿰c;np++查看仍然有很多部分是被乱码了的࿰c;不过还好能看。

    

13.  继续在这里查看需要的线索࿰c;

    

14. 挺难找的这个࿰c;还是通过搜索消息ID查看上下文࿰c;发现可疑的࿰c;答案是Helloworld

    

 IMAC部分（70-74）

1. 这个Wallet钱包（文件名叫old.wallet.dat)必须得用比特币软件才能打开࿰c;下载Bitcoin core软件（就在官网下载exe文件）之后打开钱包。我没有打开成功࿰c;所以我是先创建了一个钱包࿰c;然后把old Wallet.dat替换掉我创建的 Wallet之后实现的）之后可以导出收货地址。

   

   

2. 最近交易的这一笔࿰c;如图。

   

3. 这个要在Bit.com上搜索才行࿰c;不联网是不可能的

   

4. 点进去看交易记录࿰c;可以很清楚的看到金额

   

5. 居然是算一个300多G的哈希…我认为有些时候还是没有必要凑些题来让人做..（真的够算很久）

   

 四、Cole部分

Desktop部分（75-85）

1. 计算哈希（这是最无聊的）

   

2. 用户名（Cole的电脑当然是Cole了）

   

3. 查看最近浏览的文件࿰c;发现vips.txt࿰c;很可疑导出后查看源文件

   

4. 路径直接查看

   

5. 预设浏览器安装时间：安装系统的时候就该是安装预设浏览器的时间

   

6. 浏览器 IE（仿真进去看看也可以）

   

7. 取证大师跳转到源文件࿰c;dat文件

   

8. 查看历史记录࿰c;结合zello服务器的取证结果࿰c;就很明显了。

   

9. 同上
10. 在txt文件里面找࿰c;或者仿真进去看（题目的意思肯定是很明显的位置࿰c;那么很可能直接出现在桌面）

    

11. 点开该文件可以发现勒索信息。

    

 LaPTOP部分（86-106）

1.  又来了࿰c;哈希值

   

2. 发现三个用户信息

   

3. 登录的肯定得是 Cole啊..

   

4. 仿真可以看到࿰c;对内存镜像跑一下也可以

   

5. 仿真直接看到密码（789456）不然还得从NT哈希去CMD5上去查
6. 取证分析的时候发现D盘存在卷影分析࿰c;分析出三个卷影࿰c;一直到解析到2020-9-26的快照才找到可疑txt。桌面上存在两个txt文件。

   

   

7. 桌面上找到该文件࿰c;仿真恢复不了快照࿰c;不知道为啥࿰c;只能在取证大师上看见。

   

8. 能够找到Ink快捷方式

   

9. 在文件时间上发现࿰c; vips.txt和custome.txt有联系࿰c;创建vips.txt三分钟后创建访问了customers。Vips前面发现过࿰c;是收集泄漏个人信息的数据。

   

10. 想到查看应用程序访问记录࿰c;通过选项联想到是否是使用了 Eraser数据擦除工具删除东西。注意题目是UTC+0

    

11. 使用volatility分析内存镜像࿰c;pslist命令查看Pid

    

12. 同理查看PPID。
13. dlllist命令查看

    

14. psscan命令可以找到该进程࿰c;但是pslist里面没有࿰c;有点搞不懂这俩有啥区别。

    

15. 可以看到开始时间和截至时间࿰c;截至时间正确。

    

16. 在网络连接查看没有远程连接࿰c;用户信息里也没有远程用户信息。

    

17. 同样没有
18. Vips.txt里存在该线索࿰c;并不是这个检材里的࿰c;这个检材里的已经被擦除了࿰c;看不了࿰c;得去其他检材里找到的VIPs.txt里面搜索该数据。

    

19. CHAN YEE
20. 626566826
21. Tin SHUI WAI

 PI部分（107-117）

该部分自动取证时间较长࿰c;但题目没有问及特别深的部分࿰c;所以自动取证的时候可以选择部分进行取证࿰c;更可以用Xways同步查看

1. 计算哈希值

   

2. 系统是Ubantu

   

3. 20.04
4. Ext4

   

5. 查看/etc/timezone

   

6. 在/Var根目录下可以看到这几个图片࿰c;很容易发现

   

   

7. 文件的创建时间࿰c;直接可以查看

   

8. NAS里有动态卷࿰c;用QUICKHASH无法计算࿰c;只能用取证大师跑࿰c;不知道怎么回事

   

9. 动态卷里直接看到三张图片位置

   

10. 3张
11. 直接查看图片的信息

    

 手机部分（118-126）

1. 同步账号直接查看

   

2.  直接可以看出࿰c;也可以从alice手机里找到他的whatapp账号

   

3. 三个人的手机取出来都有相同的 whatsapp结果。

   @H_216_772@

4. 很离谱࿰c;只有手机大师能取这个出来࿰c;安卓ID

   

5. Apk文件叫base.apk（有时候自己用QQ传apk也是这个包名࿰c;是自动改的还是怎么不太明白）导出来以后就可以计算了

   

   

6.   手机大师和火眼都能跑出来࿰c;直接看搜索记录

   

7. 火眼yyds࿰c;通讯记录跳转到源文件后查看数据库

   

8. 一共看到两条短信

   @H_477_801@

9. 查看解析结果࿰c;除开几个客服࿰c;只有4个（BOB、A、Recharge、Balance）

   

 五、DAnniel部分

Desktop部分（127-133）

1. 直接计算哈希值：

   

2. 很明显在分区2中

   

3. 在邮件解析中查看࿰c;后面130题选项中也给了提示

   

4. 邮件解析中发现有个账户名为testone11223344用testone11223344@protonmail.com给Daniel发了邮箱࿰c;然后Daniel下载了一个附件之后就应该是中招了。

   

5. 桌面上没有文件࿰c;恢复了2个快照以后也没有发现。然后在文件里面搜索zip/exe文件,发现可疑文件࿰c;video_vierwer压缩包只有4KB大小࿰c;解压下来也只有几十KB。

   

   

6. 计算一下哈希值

   

7. 报毒报的是特洛伊木马࿰c;但是答案给的是远程桌面

 MAC部分（134-135）

1. 计算 哈希值（也是计算了很久）

   

2. 直接取证大师打开（没必要分析了࿰c;都没有这部分的题

   

 Phone部分（136-140）

1. 这个备份文件也不好取࿰c;我用效率源软件的进行文件夹解析࿰c;对解压好的BACkup进行解析࿰c;发现有备份密码࿰c;盲猜一个1234弱口令࿰c;解析出了部分内容。

   

2. 解不出来
3. 能够解析出IMEI码

   

4. 没有࿰c;还是没有
5. 从丹尼尔的桌面机就可以发现࿰c;这货应该是被入侵的࿰c;而不是黑客࿰c;所以跟犯罪团伙没有关系࿰c;所以选没有关系。Cole入侵的是Zello࿰c;不是Daniel。

---

---