2024美亚杯案例背景解读（非官方-附官方建议小工具下载（文末粉丝福利））

关于2024年美亚杯官方所给出的案例背景，在这里，小谢以个人的角度做一个解读。非官方，仅为个人见解，如有纰漏之处，请大佬多多指教。另附官方建议小工具下载（文末福利）。官方提供的检材链接：https://pan.baidu.com/s/1ajsVB_15aJ4mzTvd5rHSkQ?pwd=pv1h

下面我们先引用一下2024年美亚杯官方团体赛与资格赛的案例背景。

从整体上来看，今年的资格赛与团体赛是有关联的，22年与23年美亚杯的资格赛与团体赛关联性不大，在21年的美亚杯与今年的美亚杯资格赛与团体赛是有关联的，也就是说资格赛当中的某些线索将可能用于团体赛当中。例如在21年的美亚杯当中，工地主管的电脑。团体赛交代“David，涉嫌因金钱问题杀害了其太太Clara”，从这点可以看出，个人赛当中的David检材含有杀害其太太“Clara”的线索。团队赛是涉及“David”的犯罪团伙成员Alice，Ben及John的检材，在他们这些检材中，将可能体现“David”的通联记录与如何通过网络攻击的方式去窃取受害人的信息。

从检材上具体分析，在资格赛出现的检材涉及到：

从检材的角度总体来看，与2022年美亚杯资格赛所给的检材（两个苹果手机检材，1个安卓手机检材，一个计算机检材（嵌套一个ubuntu服务器））有5个，这次资格赛表面上看所给的检材有6个：

1.两个安卓手机镜像：Clara_Smartphone.bin和David_Smartphone_1.zip），这其中肯定会涉及到像22年和23年对于.db或.Sqlite数据库文件进行解析，特别是2023美亚杯的资格赛当中对于whatsapp的应用程序底层的存储数据的数据库文件解析是难点。

2.苹果手机检材：Emma_Mobile_Image.zip）给的是一个压缩包，需要将其解压，有可能给的是完整的苹果手机备份文件夹，正常用手机取证软件解析即可，也不排除像2023年资格赛给的一个IOS文件夹，手工解析各.plist文件与.db文件。    

3.笔记本计算机检材：David的Windows系统计算器镜像档案(David_Laptop_64GB.e01)。David是本案例中的主角，在2023年美亚杯资格赛的案例主角林俊熙计算机检材中有ubuntu服务器，也可注意一下有无服务器镜像或是流量包等其他嵌套的检材。

4.U盘镜像：David_USB_8GB.e01。在2023年美亚杯团体赛中也出现过U盘的检材。这次的资格赛有可能涉及视频、图像的大多数考核的是底层的数据恢复，有可能其数据恢复难度大也可能成为团体赛中重要的线索。

5.内存检材：David的Windows系统计算器内存档案(RAM_Capture_David_Laptop.raw) 。在2021年与2019年美亚杯检材都有涉及内存的解析。其往届考核的题与知识点争取这两天整理汇总出篇文章。官方所给的检材中又有Volatility，故基本的Volatility的基本使用方法与命令需要掌握。

从上述的资格赛建议软件来看：

1.数据库分析工具：

（1）DB browser for SQLite：涉及到的有对.db文件进行解析，可以使用DB browser for SQLite与Navicat解析之，使用DB browser for SQLite软件的好处是提供解密功能，如果有.db数据库是加密的，可以找到对应的密钥值解密。如2022年美亚杯的signal软件，使用其密钥值解析之，现取证大师的小程序已支持对该软件的解析。使用Navicat的好处是可以对所有的数据进行检索，快速定位数据所在的位置。

（2）Plist Editor Pro：苹果备份文件夹涉及到对plist文件进行解析，一个是可以使用此软件，另外一个也可安装爱思助手，即可打开。那么，这里存在一个问题，我们如何在这么多的数据中定位所要的数据？我们可以先使用手机取证软件对苹果备份文件进行解析，解析完成后的文件夹，使用取证大师加载该文件夹，再使用其“原始数据”搜索之。

2.手机系统分析工具

（1）手机大师：官方指定的手机取证软件，也可能有它存在的意义。可联系4008886688美亚官方的客服电话进行获取授权。

（2）Autopsy：是一款非常优秀且功能强大的免费开源数字取证分析工具。—【蘇小沐】来自蘇小沐的文章教程：https://blog.csdn.net/NDASH/article/details/128178986

3.内存分析工具

（1）Volatility：主要是掌握命令与各插件的使用。这里参考路baby的文章：

https://blog.csdn.net/m0_68012373/article/details/127419463    

在官方所给出的团体赛案例背景当中，主要涉及到Alice,Ben和John三个人的检材。Alice涉及到两个检材，Ben和John分别涉及到6个检材和5个检材，所以重点在Ben和John。在这三个人当中，Alice这个名字最早是出现在美亚杯是在2020年第六届美亚杯资格赛以Alice的笔记本检材、LG手机、USB驱动器检材出现。Ben的名字是在2023年团体赛中Ben的MacBook、手机、Win10系统镜像。所以是否可能会出现2022年的检材，2023年再次出现的情形呢？总之，刷题是不会错的。

团体赛出现的检材涉及到：    

1.团体赛的检材还是一如既往地多，毕竟是3个人协助（如果3人都过了资格赛）。团体赛出现的Alice的MacOS系统计算机镜像可以2022年美亚杯团体赛中的王景浩Macbook检材、2023年Ben的MacBook检材作为练习的检材。

2.在Ben检材中出现了跳转站镜像，以下是对跳转站镜像的解释:    

可见，Ben可能为技术人员，进行网站的搭建，并且从案例背景出发，很有可能是钓鱼网站，诱导受害者输入账号、密码。

3.在John检材中出现了NAS镜像，这里以2023年美亚杯潘志辉的NAS为练习，这里可能出现磁盘阵列，用UFS软件对其解析，后续有时间推篇raid重组的文章。除此之外，还出现VR仪器镜像档案：

从官方所推荐的团体赛软件来看，可能涉及到的方向有安卓逆向、PC逆向（可刷2023年团体赛逆向相关部分）、注册表解析、虚拟币解析（可刷2022年与2023年虚拟货币相关部分）、流量包解析、信息收集、黑客攻击等。

最后，来波福利，关注“小谢取证”的朋友，只需在后台回复“美亚杯”，即可获得2024官方推荐软件下载的百度网盘（非官方）。