点击上方蓝字“小谢取证”一起玩耍
在此谢谢各位好朋友对往期美亚杯题解文章的转载、点赞、在看。应粉丝朋友要求贴出镜像下载链接,今天特地整理了下,也献上往期下载链接。
本期朗尼计算机检材网盘下载地址:
链接:https://pan.baidu.com/s/1_GSx6UTws8j0zA18yl6Tbg?pwd=2458
往期王景浩苹果计算机题解:
小谢,公众号:小谢取证第八届美亚杯团队赛--王景浩苹果计算机镜像取证(巧用X-Ways解题)
往期王景浩苹果计算机检材网盘下载地址:
链接:https://pan.baidu.com/s/1odv968vt6EGarj1modHaOw?pwd=gs0j
团队赛案例背景:
2022年10月,警方收到AGC集团举报表示该公司网络的电邮系统有可疑连接及流量。经过调查后,警方相信事件与本地一个IP地址有关,于是拘捕了一名男子朗尼 (Rooney),并在他家中检取了一些电脑,网络装置,手机作调查。
2022年10月下旬,两名巡警在街上截查一名男子王景浩(阿浩 KingHo)时, 在他的背包中找到一些从网上下载的制作油漆弹教学材料,阿浩曾作出反抗但最后被制服。经调查后,警员发现阿浩计划于某日向某人投掷油漆弹,警员随后将他拘捕并于他家中检取了一批电脑,手机作调查。深入调查后发现阿浩亦与AGC集团网络被入侵事件有关。
警方的电子数据取证小组在现场作出初步调查并对涉案装置进行了电子数据取证。请你根据警方的资料,协助将事件经过还原。
关于朗尼现勘报告:
朗尼计算机镜像(76-95题)
76、朗尼的计算机有什么软件可以创建比特币钱包(Bitcoin Wallet)?
A:MetaMask B:Electrum
C:Trezor D:以上皆非
(1)答案:B
(2)工具:电子数据仿真取证系统
(3)知识点:计算机系统仿真
(4)解析:
①“仿真”之后,在朗尼电脑上有“Electrum”软件,打开后,发现其软件可以打开钱包,也可以创建钱包。
图76-1
77、朗尼通过比特币替王景浩清洗黑钱,分析朗尼的计算机及手机,朗尼收取王景浩黑钱的比特币地址(Bitcoin Address)是什么?(以大写英文及阿拉伯数字回答)
(1)答案:BC1Q0R0L3LH63WY865CD560KN3UHJQRWGGVTY4ZJ8N
(2)工具:电子数据仿真取证系统、手机取证大师
(3)知识点:Electrum转账记录信息查询、手机WhatsApp聊天记录查询
(4)解析:
①方法一:通过“仿真”,打开朗尼计算机中的“Electurm”软件,点击“历史交易记录”的详情,即可得到钱包地址。如图77-1。
图77-1
②方法二:从朗尼的手机镜像分析“Whatsapp”的聊天记录,从朗尼和王景浩的聊天记录可以得到朗尼收取王景浩黑钱的比特币地址。如图77-2。
图77-2
78、朗尼收取王景浩多少比特币作为清洗黑钱的费用?
A:1% B:4%
C:7% D:10%
E:15%
(1)答案:D
(2)工具:手机取证大师
(3)知识点:手机WhatsApp聊天记录查询
(4)解析:
①从朗尼的手机镜像分析“Whatsapp”的聊天记录,从朗尼和王景浩的聊天记录可以得到朗尼收取王景浩洗黑钱的费用,如图78-1所示:
图78-1
79、朗尼的计算机里有一个没被加密的比特币钱包,它的回复种子(Recovery Seed)不包含哪一个英文字?
A:oppose B:area
C:twice D:roast
(1)答案:D
(2)工具:电子数据仿真取证系统
(3)知识点:计算机系统仿真、Electrum钱包Recovery Seed查询
(4)解析:
①打开“Electrum”软件。在“Wallet”菜单下的“seed”即可查看回复的种子。
图 79-1
80、朗尼的计算机里有多少个加密了(Encrypted)的比特币钱包?
A:1 B:2
C:3 D:4
E:5
(1)答案:E
(2)工具:电子数据仿真取证系统
(3)知识点:计算机系统仿真、Electrum钱包加密状态查询
(4)解析:
①进行“仿真”后,可以通过“Electrum”打开“钱包”,选择钱包打开,即可看到,除“rc”钱包没被加密外,其余“钱包”均可被打开。
图 80-1
81、朗尼将加密了的比特币钱包的密码存在他计算机的一个档案里,这个档案的副档名是什么?(以大写英文及阿拉伯数字回答)
A:DMG B:PDF
C:ASD D:ZIP
E:PNG
(1)答案:C
(2)工具:取证大师
(3)知识点:Word文档自动保存恢复
(4)解析:
①ASD文件是Word的自动保存文件。当遭遇意外断电,重启等原因时可以备份文件。通过取证大师过滤“ASD文件后缀名”可以得出被加密的比特币钱包密码。
图81-1
82、朗尼在手机里有一个加密了的比特币钱包,他采用什么应用程序把该钱包里的黑钱转换成另一种加密货币?
A:Safepal B:Metamask
C:Changelly D:Opensea
(1)答案:C
(2)工具:手机取证大师
(3)知识点:手机媒体文件信息查询
(4)解析:
①在“手机大师”当中的“检材列表-媒体文件-图片-截屏”即可知道朗尼采用Changelly应用程序把该钱包里的黑钱转换成另一种加密货币。
图 82-1
83、承上题,这次转换加密货币的日期和时间是什么?(以时区UTC+8回答)
A:2022-10-07 10:29时
B:2022-10-07 11:06时
C:2022-10-07 11:07时
D:2022-10-07 13:54时
(1)答案:C
(2)工具:手机取证大师
(3)知识点:手机媒体文件信息查询
(4)解析:
①在“手机大师”当中的“检材列表-媒体文件-图片-截屏”即可知道朗尼采用Changelly应用程序把黑钱转换成另一种加密货币的时间。
图 83-1
84、朗尼在计算机里采用什么浏览器(Browser)及在什么日期时间在他的计算机安装 'MetaMask' ?(以时区UTC+8回答)
A:Chrome 2022-08-25 12:35时 B:Chrome 2022-10-07 14:29时
C:Firefox 2022-08-25 12:35时 D:Firefox 2022-10-07 14:29时
(1)答案:A
(2)工具:取证大师
(3)知识点:计算机Google Chrome浏览器历史记录查询
(4)解析:
①朗尼计算机中“Google Chrome浏览器”的历史浏览记录在“2022-08-25 12:35:55”首次访问“chrome-extension://nkbihfbeogaeaoehlefnkodbefgpgknn/home.html”,如图84-1。
图84-1
②将该连接使用“Google Chrome浏览器”打开,发现是“MetaMask”插件,如图84-2。
图84-2
85、朗尼在计算机里所创建的非同质化通证(Non-Fungible Token - NFT)使用哪一个种区块链(Blockchain)技术?
A:Ethereum B:Polygon
C:Solana D:Arbitrum
E:Klaytn
(1)答案:A
(2)工具:取证大师
(3)知识点:计算机Google Chrome浏览器历史记录查询
(4)解析:
①通过检查Chrome浏览器历史记录可以发现,朗尼在opensea平台上基于以太坊的技术创建了NFT,因此选择A
图85-1
86、朗尼在什么日期时间把计算机中创建的非同质化通证(NFT)放售?(以时区UTC+8回答)
A:2022-10-07 14:47时 B:2022-10-07 14:49时
C:2022-10-07 14:52 D:2022-10-07 14:54时
(1)答案:C
(2)工具:取证大师
(3)知识点:计算机Google Chrome浏览器历史记录查询
(4)解析:
①接上题,在创建NFT之后,通过检查Chrome浏览器历史记录可以发现朗尼在2022-10-07 14:52时将创建的NFT进行放售,因此选择C。
图86-1
87、朗尼的手机里,有什么应用程序与将黑钱(比特币)转换成另一加密货币的地址有关?
A:Metamask B:Opensea
C:Safepal D:YouTube
(1)答案:AB
(2)工具:手机取证大师、取证大师
(3)知识点:手机图片信息查询、手机应用程序数据库手动分析
(4)解析:
①首先,从手机中的截图(第83题)得知于2022-10-07 11:07时进行了一次加密货币的转换。在截图中除时间外还未得知收款的“eth”地址为 "21Fd8B7fB21...0Ec5da97074f"。透过此地址你就能在手机中得知应用程序"Metamask"和"opensea"相关。同时在“data”文件夹下也能够看到相关应用程序的数据,其中可以看到“Metamask”的数据库文件的“eth”地址,如图87-1。
图87-1
②通过解析/data/io.opensea/cache/sentry/68463112b882bf1d6e7f7006c85dd9b17d572b9f文件,也能够看到该“eth”地址,如图87-2。
图87-2
88、朗尼的手机里,于2022-10-07,15:07时至15:08时做过什么动作?(以时区UTC+8回答)
A:登录 'Metamask' B:登录 'Opensea'
C:屏幕截图(Screen Capture) D:登录 'YouTube'
(1)答案:C
(2)工具:手机取证大师
(3)知识点:手机图片信息查询
(4)解析:
①根据题目所给的时间点,可以在“截图”当中发现此截图照片的信息与该时间点是吻合的,如图88-1。
图88-1
②预览可得,如图88-2。
图88-2
89、承上题,从这个动作中能找到什么信息?
A:Opensea.io
B:Ethereum Main Network
C:Your purchase is complete
D:Subtotal = 0.0253 ETH
E:Good Luck
(1)答案:ABCDE
(2)工具:手机取证大师
(3)知识点:手机图片信息查询
(4)解析:
①如图88-2所给的信息获得。
90、在朗尼的计算机旁找到 'MetaMask' 的密码是 'opensea741',找出朗尼计算机里的 'MetaMask' 中有多少加密货币余额?(不要输入 '.',以阿拉伯数字回答,如 0.137 需回答 0137)
(1)答案:00247
(2)工具:电子数据仿真取证系统
(3)知识点:计算机浏览器扩展MetaMask信息查询
(4)解析:
(1)使用在“84”题当中得到的“MetaMask”插件地址在“Google Chrome浏览器”中打开,输入密码“opensea741”,即可看到加密货币的余额。
图90-1
91、朗尼的计算机曾用什么电邮地址登录电邮帐号?(不要输入答案中的 '@' 及 '.',以大写英文及阿拉伯数字回答,如 name@mail.com,需回答 NAMEMAILCOM)
(1)答案:ROONEYCHAN19830801GMAILCOM
(2)工具:取证大师
(3)知识点:计算机浏览器历史浏览记录信息查询
(4)解析:
①在朗尼计算机中“Google Chrome浏览器”的历史浏览记录可以看到朗尼所登录的电邮账号。
图91-1
92、什么电邮账号曾接收过上述电邮地址发送的电邮?(不要输入答案中的 '@' 及 '.',以大写英文及阿拉伯数字回答,如 name@mail.com,需回答 NAMEMAILCOM)
(1)答案:KINGHOO0W0GMAILCOM
(2)工具:取证大师
(3)知识点:计算机邮件信息查询
(4)解析:
①综合分析题。在于王景浩的计算机中的邮箱往来当中,有发现王景浩有与朗尼进行邮箱通信,并且王景浩接收了朗尼发来的附件“Recovery Seed.zip”。
图 92-1
93、承上题,上述的电邮附件包含哪些类型的档案?
A:pdf B:doc
C:png D:txt
E:jpg
(1)答案:DE
(2)工具:取证大师
(3)知识点:压缩文件修复
(4)解析:
①在朗尼计算机中将“Recovery Seed.zip”过滤出来,使用“十六进制”查看该文件,发现每个“PK”紧跟着两个ZIP压缩包当中的“txt文档”的文件名,但在最后一个“PK”的标志当中没有发现文件名。所以怀疑是做了“特殊处理”,如图93-1。
图93-1
②所以将该文件导出,使用“WINRAR”工具自带的修复压缩文件进行修复,如图93-2。
图93-2
③再次打开该文件即可得到修复出来一张“recovery seed.jpg”文件,如图93-3。
图93-3
94、上述电邮附件里的文件,被遮蔽的英文单字是什么?(以大写英文回答)
(1)答案:TEACH
(2)工具:电子数据仿真取证系统
(3)知识点:计算机浏览器扩展MetaMask信息查询
(4)解析:
①接上题,修复出来的图片如图94-1。
图94-1
②由上图的信息可知,此照片记录着助记词,又由于在“第90题”提到的“MetaMask”,所以尝试打开“MetaMask”插件,发现与照片相匹配的助记词信息。
图94-2
95、根据上述电邮附件里找到的回复种子(Recovery Seed),计算朗尼在 'MetaMask' 使用的以太币(Ethereum)地址。(提示:BIP-44 derivation path = m/44'/60'/0'/0/0)(以大写英文及阿拉伯数字回答)
(1)答案:0X2AAEAB9592B749CE6355ED19D048F86F5EA5D819
(2)工具:Mnemonic Code Converter、电子数据仿真取证系统
(3)知识点:Recovery Seed计算以太币地址、计算机浏览器扩展MetaMask信息查询
(4)解析:
①根据题目所给的提示,使用“Mnemonic Code Converter”工具(本届大赛建议工具)进行计算,如图95-1。
图95-1
②方法二:使用“仿真”,打开朗尼计算机里“Google Chrome浏览器”的以太坊浏览器扩展插件,如图95-2。
图95-2
③打开该插件,也能够获得以太币的钱包地址(以太币是以太坊的一种数字货币),如图95-3。
图95-3
敬请各位大佬关注:小谢取证
扫取二维码获取
更多精彩
小谢取证
