目錄

一、前言

二、Zello部分

三、Bob部分

路由器部分（29-34）

Laptop部分（35-41）

Desktop部分（42-25）

Phone部分（46-55）

S2部分（56-69）

IMAC部分（70-74）

四、Cole部分

Desktop部分（75-85）

Laptop部分（86-106）

PI部分（107-117）

手機部分（118-126）

五、Danniel部分

Desktop部分（127-133）

MAC部分（134-135）

Phone部分（136-140）

一、前言

最近也是恰好備戰第七屆美亞杯，參加了美亞的培訓，跟著復盤又重新做了一次2020年的賽題，個人賽很簡單，網上也有很多版本，團賽好像沒有完整的WP，當然我的WP也不夠完整，也有部分的題沒有得到答案，有什么不對的地方，師兄們可以指正，

總的來說難度不大，但是需要的時間應該是不少的，且關聯性也比較強，盡管是團隊協作也需要盡可能的多交流彼此發現的成果，不然很難達到協作的目的，

手機取證方面遇到了很大的難題，特別是安卓的wifi mac地址和IOS高版本的back up 取證，網上有一些資料，但是沒有拿到dd檔案能夠取到的東西很有限，

運用到的工具：X-ways、取證大師、火眼一系列軟體（仿真、分析）、效率源的手機取證工具、notepad++、quickhash

有高見的話，V：Faith_Tsir

二、Zello部分

1. 30B856EEE5121EDC2F9DC19ACFC8720E443810CBC5B83128EC62F9F4AAEAACC9

   ---

2. 想法比較取巧，直接查看磁盤最早的檔案創建時間，可以看到是2020-09-03-10:22
3. 直接查看即可：ubantu-vg

4. Pv卷和LV卷的資訊都在/etc/lvm/backup中可以看到，用xways打開預覽，PV UUID：IF6neD-j49V-704g-Uugw-X1fS-y4dE-8GV73g

5. 同樣VG UUID：XaJRmQ-S7Tp-tjaG-tmrX-VNyu-xhS7-
   9zDttW

6. 直接查看: 5.4.0.48

7. 20.04.1 LTS

8. Uname -a 查看：zello，檔案位置位于/etc/hostname

9. 查看/etc/machine-id:

   
   

10. 仿真進去可以看到版本號，也可以通過查看\var\www\wordpress\wp-includes\version.php可以看到是“5.5.1”
11. 通過選項還有history命令考慮到可能是ntp服務

    
    查看/etc/ntp.cnf檔案發現：NTP-server-host

12. 查看/etc/timezone或者仿真輸入命令：timedatactl

13. 通過last命令查看只有一個zadmain用戶在登錄

14. 用D盾掃整個www目錄，123.php很有嫌疑（這個名字就很離譜）拿去算一下

    

15. 用記事本打開123.php，分析一下代碼，很容易看懂，

16. Title名字是Netflix
17. 查看var/log/apache的日志，匯出以后用notepad++查看，搜索一下，在log.3很明顯的找到爆破痕跡，203.186.94.68（Hydra），有滲透經驗的同志應該很清楚Hydra（九頭蛇爆破工具），在kali環境中使用，非常強大，
18. http://zello-onlineshop.sytes.net
19. 取證大師查看即可，xways也可以
20. 取證大師可以直接看（忘記截圖了）
21. 直接搜索txt檔案
22. 題目有些出錯，應該是9.29日的，查看access.log，很明顯的發現是http get/post洪流
23. 直接notepad++計數比較
24. 還是選擇使用直接利用選項計數比較
25. 這其實是BOB的IP地址，在前面的案情里就可以發現，所以是在香港
26. Count出來只有10條，Np++直接搜索“loggingout”（這題網上沒有其他很好的答案）
27. 前面有看到有爆破攻擊“hydra“（詳看第17題）
28. 這個題不知道咋做，希望有大神給我解答，

三、Bob部分

路由器部分（29-34）

1. 在BOB有關的圖片里就可以找到路由器型號，
2. BOB的調查報告里面里其的IP地址，
3. 用X-ways查看Alice手機鏡像 /etc/wifi/WCNSS_qcom_cfg.ini
4. 找到一個，但是跟答案給的不對
5. （畢竟從Alice鏡像里面就可以發現這倆人有明顯的PY關系，有極大嫌疑）所以是Alice和Cole兩人都連過Bob的路由器，如果能有他們的MAC地址就確定了，
6. 看路由器的連接記錄，日期就是到訪日期，

Laptop部分（35-41）

做的時候把Desktop和Laptop搞混淆了，前者是臺式機，后者是筆記本電腦，吃了沒文化的虧，

1. 哈希直接計算即可（時間比較長，計算的時候可以看看后面的題）
2. 可以通過仿真，也可以直接在取證大師分析上看到：Super email sender
3. 仿真進去點開看就可以查看到收件地址，桌面的記事本上存著一個，但是選項沒有，于是在選項里找，發現NETFLIX.htm.dump存在的檔案和桌面上的記事本內容一樣，都是保存的郵件地址，
4. Apk程式比較多，發現cointracker比較可疑（事實上是挨個找，最后才找到這貨的）查看功能，應該是虛擬貨幣匯率之類的，
5. 這個題美亞也沒給怎么做的，抓包也沒抓出來，有懂apk的大佬也許可以試試，
6. 741852963
   

7. 這個是zello部分的，不知道題目為什么設定在這里，這個目錄看得很清楚，里面有設定的保存的兩個關鍵txt檔案，作為盜刷信用卡的關鍵組成 www目錄有兩個wordpress，一個是本來有的，另外一個就是釣魚網站也就是html里面的，

Desktop部分（42-25）

1. 直接計算哈希
2. 直接查看分析結果
3. 符合題目要求的就只有一個zip檔案，其他都是軟體自帶的zip包，提取出來查看就很明確了，
4. D盾掃一下，功能就是在收集個人資料

Phone部分（46-55）

這個題難在是個備份檔案夾，不是個鏡像，得找到特定的檔案夾（snapshot）才行，才能決議，備份密碼藏在一個ufd檔案里，

1. 手機大師好像取不出來，不知道是不是試用版的原因，用火眼的可以直接跳轉到聊天記錄的源檔案地址
2. 查看取證結果基本資訊即可
3. 同上
4. 手機大師能把時區取出來，火眼不行（害），也許可以直接搜索
   timezone
5. 檔案系統里面找txt檔案即可
6. 在Alice的手機鏡像里就知道，Alice是創建群聊的那個人，所以起碼Alice是管理員（該題可以通過火眼跳轉源檔案查看資料庫檔案來看，不過也相對麻煩）
7. 4個附件:3個檔案（vip.txt+2個https://）+一個圖片
8. 手機大師試用版沒取出來
9. 10.3.3直接看即可
10. 查看瀏覽器記錄，注意時間是UTC+0

S2部分（56-69）

1. Android id: 72af229d1da3b3cd
2. 作業系統版本：4.1.2
3. 時區：GMT+8 就是香港時間（UTC和GMT代表的同一個意思，中國時間就是UTC/GMT+8）
4. 
   Bitcoin.png的儲存位置：
5. 計算即可
6. 手機大師里有，也可以直接用xways查看/wifi/.mac.info
7. 直接在該目錄下查看即可
8. 直接計算哈希值
9. BOB的電腦的證據圖上保存著他的電腦密碼，即Aa654321，這也是密鑰，解出私鑰，
10. 在Alice手機檢材中搜索flash_chat，然后定位到這個位置，發現其實里面的apk檔案也叫base.apk，提取出來計算哈希
11. 這道題就只有挨著選項去看了，如果對安卓檔案系統熟悉的話，可以知道安裝好的apk會將資料庫檔案放在/data/app/database里面，挨個查看，發現在第一個檔案里（%29結尾那個）
12. 直接進行選項搜索，因為這個檔案我也不知道用什么查看器查看比較好，np++查看仍然有很多部分是被亂碼了的，不過還好能看，
13. 繼續在這里查看需要的線索，
14. 挺難找的這個，還是通過搜索訊息ID查看背景關系，發現可疑的，答案是helloworld

IMAC部分（70-74）

1. 這個Wallet錢包（檔案名叫old.wallet.dat)必須得用位元幣軟體才能打開，下載Bitcoin core軟體（就在官網下載exe檔案）之后打開錢包，我沒有打開成功，所以我是先創建了一個錢包，然后把old Wallet.dat替換掉我創建的 Wallet之后實作的）之后可以匯出識訓地址，
2. 最近交易的這一筆，如圖，
3. 這個要在Bit.com上搜索才行，不聯網是不可能的
4. 點進去看交易記錄，可以很清楚的看到金額
5. 居然是算一個300多G的哈希…我認為有些時候還是沒有必要湊些題來讓人做..（真的夠算很久）

四、Cole部分

Desktop部分（75-85）

1. 計算哈希（這是最無聊的）
2. 用戶名（Cole的電腦當然是Cole了）

3. 查看最近瀏覽的檔案，發現vips.txt，很可疑匯出后查看源檔案

4. 路徑直接查看

5. 預設瀏覽器安裝時間：安裝系統的時候就該是安裝預設瀏覽器的時間

6. 瀏覽器 IE（仿真進去看看也可以）
7. 取證大師跳轉到源檔案，dat檔案
8. 查看歷史記錄，結合zello服務器的取證結果，就很明顯了，
9. 同上
10. 在txt檔案里面找，或者仿真進去看（題目的意思肯定是很明顯的位置，那么很可能直接出現在桌面）
11. 點開該檔案可以發現勒索資訊，

Laptop部分（86-106）

1. 又來了，哈希值
2. 發現三個用戶資訊
3. 登錄的肯定得是 Cole啊..
4. 仿真可以看到，對記憶體鏡像跑一下也可以
5. 仿真直接看到密碼（789456）不然還得從NT哈希去CMD5上去查
6. 取證分析的時候發現D盤存在卷影分析，分析出三個卷影，一直到決議到2020-9-26的快照才找到可疑txt，桌面上存在兩個txt檔案，
7. 桌面上找到該檔案，仿真恢復不了快照，不知道為啥，只能在取證大師上看見，
8. 能夠找到Ink快捷方式
9. 在檔案時間上發現， vips.txt和custome.txt有聯系，創建vips.txt三分鐘后創建訪問了customers，Vips前面發現過，是收集泄漏個人資訊的資料，
10. 想到查看應用程式訪問記錄，通過選項聯想到是否是使用了
    Eraser資料擦除工具洗掉東西，注意題目是UTC+0
11. 使用volatility分析記憶體鏡像，pslist命令查看Pid
12. 同理查看PPID，
13. dlllist命令查看
14. psscan命令可以找到該行程，但是pslist里面沒有，有點搞不懂這倆有啥區別，
15. 可以看到開始時間和截至時間，截至時間正確，
16. 在網路連接查看沒有遠程連接，用戶資訊里也沒有遠程用戶資訊，
17. 同樣沒有
18. Vips.txt里存在該線索，并不是這個檢材里的，這個檢材里的已經被擦除了，看不了，得去其他檢材里找到的VIPS.txt里面搜索該資料，
19. CHAN YEE
20. 626566826
21. TIN SHUI WAI

PI部分（107-117）

該部分自動取證時間較長，但題目沒有問及特別深的部分，所以自動取證的時候可以選擇部分進行取證，更可以用xways同步查看

1. 計算哈希值
2. 系統是Ubantu
3. 20.04
4. Ext4
5. 查看/etc/timezone
6. 在/Var根目錄下可以看到這幾個圖片，很容易發現
7. 檔案的創建時間，直接可以查看
8. NAS里有動態卷，用QUICKHASH無法計算，只能用取證大師跑，不知道怎么回事
9. 動態卷里直接看到三張圖片位置
10. 3張
11. 直接查看圖片的資訊

手機部分（118-126）

1. 同步賬號直接查看

2. 直接可以看出，也可以從alice手機里找到他的whatapp賬號

3. 三個人的手機取出來都有相同的 whatsapp結果，

4. 很離譜，只有手機大師能取這個出來，安卓ID
5. Apk檔案叫base.apk（有時候自己用QQ傳apk也是這個包名，是自動改的還是怎么不太明白）匯出來以后就可以計算了
6. 手機大師和火眼都能跑出來，直接看搜索記錄
7. 火眼yyds，通訊記錄跳轉到源檔案后查看資料庫
8. 一共看到兩條短信
9. 查看決議結果，除開幾個客服，只有4個（BOB、A、Recharge、Balance）

五、Danniel部分

Desktop部分（127-133）

1. 直接計算哈希值：

2. 很明顯在磁區2中

   

3. 在郵件決議中查看，后面130題選項中也給了提示

4. 郵件決議中發現有個賬戶名為testone11223344用testone11223344@protonmail.com給Daniel發了郵箱，然后Daniel下載了一個附件之后就應該是中招了，

5. 桌面上沒有檔案，恢復了2個快照以后也沒有發現，然后在檔案里面搜索zip/exe檔案,發現可疑檔案，video_vierwer壓縮包只有4KB大小，解壓下來也只有幾十KB，
6. 計算一下哈希值
7. 報毒報的是特洛伊木馬，但是答案給的是遠程桌面

MAC部分（134-135）

1. 計算 哈希值（也是計算了很久）
2. 直接取證大師打開（沒必要分析了，都沒有這部分的題

Phone部分（136-140）

1. 這個備份檔案也不好取，我用效率源軟體的進行檔案夾決議，對解壓好的backup進行決議，發現有備份密碼，盲猜一個1234弱口令，決議出了部分內容，
2. 解不出來
3. 能夠決議出IMEI碼
4. 沒有，還是沒有
5. 從丹尼爾的桌面機就可以發現，這貨應該是被入侵的，而不是黑客，所以跟犯罪團伙沒有關系，所以選沒有關系，Cole入侵的是Zello，不是Daniel，