案情简介

资格赛：

于2022年10月，有市民因接获伪冒快递公司的电邮，不慎地于匪徒架设的假网站提供了个人信用卡资料导致经济损失。 警方追查下发现当中一名受骗市民男子李大辉 (TaiFai) 的信用卡曾经被匪徒用于区内的商铺购物。后来警方根据IP地址，锁定及拘捕了一名男子林浚熙 （阿熙 ChunHei），并于他的居所发现了一批相信曾被用作犯案的电脑及手机装置。

经调查后，警方发现阿熙除上述案件外，他亦牵涉其他的一些犯罪活动。

警方的电子数据取证小组在现场作出初步调查并对涉案装置进行了电子数据取证。请你根据得到的资料，协助将事件经过还原。

3.5 林浚熙服务器的电子数据（55-70题）

55、虚拟机（VM）使用什么版本的作业系统（Operating System）?

A:Ubuntu 22.04.1 LTS

B:CentOS Linux release 7.6.1810（Core）

C:Ubuntu 20.04.5 LTS

D:CentOS Linux 7.5.1804（Core）

（1）答案：C

（2）工具：电子数据仿真取证系统

（3）知识点：计算机操作系统版本的获取

（4）解析：

①通过仿真软件加载导出的虚拟机文件，可识别出作业系统版本为Ubuntu 20.04.5 LTS。

图55-1

②进入系统后也可以看到作业系统版本为Ubuntu 20.04.5 LTS。

图55-2

56、虚拟机（VM）中的文件传输服务器（FTP Server）有哪些用户?

A:man

B:ftpuser

C:root

D:nobody

E:admin

（1）答案：BC

（2）工具：电子数据仿真取证系统

（3）知识点：ftp基础知识和日志的查看

（4）解析：

①在目录'/etc'下面的档案'vsftpd.chroot_list'中含有root和ftpuser用户，且在目录'/var/log'下的档案'vsftpd.log.1'中也仅有root和ftpuser登陆成功记录。

图56-1

57、虚拟机设置了什么网页服务器（Web Server）?

A:APACHE

B:IIS

C:LIGHTTPD

D:NGINX

E:WORDPRESS

（1）答案：AD

（2）工具：电子数据仿真取证系统

（3）知识点：Linux平台下docker的基础知识

（4）解析：

①通过命令'docker ps -a' 查看到webserver使用了nginx的image。

图57-1

②通过命令 'ps axu |grep apache'查看到运行了apache。

图57-2

58、网页服务器目录内有图片档案，而此档案的储存位置是?

A:/var/www/post

B:/var/www/html/post

C:/var/www/html/post/css

D:/var/www/html/post/src

E:/var/www/html/post/vendor

（1）答案：C

（2）工具：电子数据仿真取证系统

（3）知识点：Linux平台下网站的目录框架

（4）解析：

①通过查看在'/var/www/html/post/css'目录下有png图片档案。

图58-1

59、分析网页服务器的网站数据，假网站的公司名称是什么?

A:Global Logistics

B:Krick Post Global Logistics

C:Krick Post

D:Krick Global Logistics

（1）答案：B

（2）工具：电子数据仿真取证系统

（3）知识点：Linux平台下网站的目录框架

（4）解析：

①将目录'/var/www/html/post/css'下的图片档案'KPlogo.png'，导出到本地，并打开可以查看到公司名称为Krick Post Global Logistics。

图59-1

60、检视假网站首页的显示， 'AY806369745HK' 代表什么?

A:邮件收费号码

B:邮件序号

C:邮件参考号码

D:邮件号码

（1）答案：D

（2）工具：电子数据仿真取证系统

（3）知识点：Linux平台下网站的目录框架、php源码阅读

（4）解析：

①通过打开目录'/var/www/html/post'下的档案'index.php',可以看到'AY806369745HK' 代表邮件号码。

图60-1

61、分析假网站的资料，当受害人经假网站输入数据后，网站会产生一个档案，它的档案名是什么?（不要输入 '.'，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG）

（1）答案：VUTXT

（2）工具：电子数据仿真取证系统

（3）知识点：Linux平台下网站的目录框架、php源码阅读

（4）解析：

①通过打开目录'/var/www/html/post'下的档案'process.php'，可以看到结果输入文档为vu.txt。

图61-1

62、分析假网站档案 'process.php' 源码（Source Code）, 推测此档案的用途可能是?

A:产生档案

B:发出邮件

C:更新数据库

D:改变函数

（1）答案：AB

（2）工具：电子数据仿真取证系统

（3）知识点：Linux平台下网站的目录框架、php源码阅读

（4）解析：

①通过打开目录'/var/www/html/post'下的'process.php' ,可以分析出有'产生档案'用途。

图62-1

②通过打开目录'/var/www/html/post'下的'process.php' ,可以分析出有'发出邮件'用途。

图62-2

63、检视档案 'process.php' 源码, 林浚熙的电邮密码是?（以大写英文回答）

（1）答案：RTATSCEUCPACOCBDACS

（2）工具：电子数据仿真取证系统

（3）知识点：Linux平台下网站的目录框架、php源码阅读

（4）解析：

①通过打开目录'/var/www/html/post'下的'process.php' ,可以看到电邮密码为'RTATSCEUCPACOCBDACS'。

图63-1

64、分析档案 'process.php' 源码, 它不会收集哪些资料?

A:电话号码

B:电邮地址

C:信用卡号码

D:GPS位置

E:短讯验证码

（1）答案：AE

（2）工具：电子数据仿真取证系统

（3）知识点：Linux平台下网站的目录框架、php源码阅读

（4）解析：

①通过打开目录'/var/www/html/post'下的'process.php' ，可以看到有收集'Card Holder','Card no','cvv','expire date','Email','Browser Info'。

图64-1

65、虚拟机（VM）安装了 Docker 程序，列出一个以'5'作为开端的 'Docker' 镜像（Image）ID（以阿拉伯数字及大写英文回答）

（1）答案：5D58C024174D

（2）工具：电子数据仿真取证系统

（3）知识点：Linux平台下Docker基础知识-查看本地镜像

（4）解析：

①通过命令'docker images' 可以看到以'5'作为开端的 'Docker' 镜像（Image）ID 为'5D58C024174D'。

图65-1

66、Docker 容器（Container）'mysql' 对外开放的通讯端口（Port）是?

（1）答案：43306

（2）工具：电子数据仿真取证系统

（3）知识点：Linux平台下Docker基础知识-查询容器配置

（4）解析：

①通过命令'docker ps -a',查看docker的所有容器。

图66-1

②通过命令 'docker inspect ca019376491b'，获取容器（Container）'mysql'的元数据，可以查看到容器（Container）'mysql' 对外开放的通讯端口（Port）是'43306'。

图66-2

67、Docker容器 'mysql'，用户 'root' 的密码是?（以大写英文及阿拉伯数字回答）

（1）答案：2WSX3EDC

（2）工具：电子数据仿真取证系统

（3）知识点：Linux平台下Docker基础知识-查询容器配置

（4）解析：

①通过命令 'docker inspect ca019376491b'，获取容器（Container）'mysql'的元数据，可以查看到容器 'mysql'，用户 'root' 的密码是'2WSX3EDC'。

图67-1

68、Docker容器 'mysql' 里哪一个数据库储存了大量个人资料?（以大写英文回答）

（1）答案：KRICKPOST

（2）工具：电子数据仿真取证系统、NAVICAT

（3）知识点：Linux平台下Docker基础知识-启动容器、MySQL连接及查询

（4）解析：

①通过命令 'docker start ca019376491b'，启动容器 'mysql'。

图68-1

②通过数据库连接工具，连接该数据库，可以看到数据库'KRICKPOST'数据库中的表'CUSTOMER'表储存了大量个人资料。

图68-2

69、检视 Docker 容器 'mysql' 内数据库里的资料，李大辉的出生日期是?（如答案为 2022-12-29，需回答 20221229）

（1）答案：19850214

（2）工具：电子数据仿真取证系统、NAVICAT

（3）知识点：MySQL连接及查询

（4）解析：

①通过sql语句'select * from customer where `Name` like '%hui' '可以查询到李大辉的出生日期为'1985-02-14'。

图69-1

70、通过取证调查结果进行分析（包括但不限于以上问题及情节），林浚熙的行为涉及哪一种罪案?

A:勒索金钱

B:购买毒品

C:抢劫

D:传送儿童色情物品

E:诈骗

（1）答案：ABE

（2）工具：手机取证大师

（3）知识点：综合分析

（4）解析：

①从林浚熙的手机检材中，提取到的WhatsApp聊天记录中可以发现他曾勒索王晓琳，因此需要选择A。

图70-1 WhatsApp聊天记录

②从林浚熙的计算机检材中提取到的Signal聊天记录，可以发现他曾在Signal上购买毒品，因此选择B。

图70-2 Signal聊天记录

③结合林浚熙盗取信用卡信息的行为，触犯了信用卡诈骗罪，因此选择E。

原文始发于微信公众号（小谢取证）：2022年美亚杯资格赛林俊熙服务器题解