2022美亚杯团队赛复盘简要思路

美亚杯团队赛近期花了点时间进行复盘，整体来说，题目的整体考察范围依然很广，但是今年的题出现一些新的考点。

简单复盘来看，人员分工上，以往一般按照检材分工比较合适，分为计算机、手机和服务器，覆盖考点也相对均衡，今年的题目分成三个完整人员身份，粗略看来按人员分会更加合适，即ACG（以服务器为主）、王景浩（以计算机为主）、鲁尼（以手机为主），实际王景浩镜像中包含两个iOS备份，手机分量也不低，鲁尼的手机内容不多，主要难点在计算机中的比特币钱包部分，服务器部分计算机的内容也不少。所以整体上考察的还是团队中每个人的综合能力。

工具准备上，取证大师+弘连火眼分析+仿真yyds，配合一些常用小工具，几乎平趟，尤其是弘连，计算机+手机同步分析，手机数据库内容直接查看，几乎必不可少。

题目方面，先说AGC部分。

核心部分看似是raid，其实涉及不多。

Media Server的5个镜像中，sda是核心镜像，题目包含2-10，后面4个盘的阵列一般猜raid5，但是用winhex查看，发现前两个一样，后两个一样，必然有raid1，内容就好做了，其实题目也就6道而已。

AGC_Server是一个完整的raid，实际用ftk加载后，用ufs直接自动重组，两个数据盘的内容都可以出现，分别导出系统盘内容和111的vmdk即可直接做题。

流量包部分完全独立，题目两也不小，包括21-30，有基础的直接解即可。

还剩下一个常规计算机的镜像，搜索分析即可。

第二部分是王景浩的内容，主要一个mac镜像和两个U盘。

mac镜像的核心是那两个iOS加密备份数据，这个是个新考点。美亚4501的小工具里有爆破的工具，但是时间很长，按照题目中hashcat的方法可以从网上查到，尝试可解，最终结果是2022。

两个U盘主要考察的是winhex手动分析，这个知识基本是在一开始学取证的时候就接触了，不过好久没用确实容易手生。

最后一个部分是鲁尼，鲁尼的核心在比特币和草莓派的考察，尤其是比特币内容，占了大部分题目，这块要是之前接触过还好，否则现场还得百度很多内容。

草莓派其实就是简易Linux系统，题目主要围绕syslog来考，找到日志导出用notepad分析即可。

这一部分难度不大，应该是团队赛中三个部分最简单的部分。

总的来说，这次比赛考察知识点依然全面，故事的连贯性上虽不如以往几届比赛，但是题目上有大量明显交叉，如果只看单独内容，可能有些题完全解不出来，所以团队配合上有了更高标准。