29.对镜像PC.E01分析,该镜像源盘的MD5值是?(字母全大写,填写格式如:1AB12C33F1) (10分)
E44AA73AE91144C987D20990034F4775
30.对镜像PC.E01分析,系统最后一次关机时间是?(填写格式如:2011-01-11 10:11:11) (10分)
透过问题看本质,相关取证工具判定开关机时间的依据为分析系统日志文件
c:WINDOWSsystem32configSysEvent.Evt
的事件ID,正常关机事件ID:6006、开始事件ID:6005。
31.对镜像PC.E01分析,系统用户Administrator登录次数为多少?(填写格式数字 如:10) (10分)
32.对镜像PC.E01分析,得知该计算机的DHCPIP地址是?(填写格式:192.168.1.1) (10分)
通过研究相关取证工具,发现可以通过解析注册表文件c:WINDOWSsystem32configsystem,
在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceTcpipParametersInterfaces下找到相关网卡,在DhcpIPAddress选项里查看其IP。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
33.对镜像PC.E01分析,得知该计算机登录QQ账号是(填写格式如:345123456) (10分)
C:DocumentsandSettingsAdministratorMyDocumentsTencentFiles,
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
34.对镜像PC.E01分析,该计算机安装TureCrypt加密容器,其版本为多少?(内容不包含字母,填写格式如:5.1) (10分)
C:WINDOWSsystem32configsoftware中,但是并没有找到truecrypt的注册项,直接用相关取证工具查看。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
35.对镜像PC.E01分析,加密容器密钥文件为系统盘根目录下的“m”文件,其大小为多少字节?(格式填写数字 如:10) (10分)
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
36.接上题,将加密分区(分区3)进行解密,得知张三工商银行卡号为多少?(填写格式数字,无空格 如:62225123456321654) (10分)
将上题的密钥文件m导出,选中加密分区(分区3),右击Turecrypt解密,在对话框里添加密钥文件完成解密。
解密后,根目录存在一个名为zh.txt的文件,目测是“账号”的简写,打开后发现正是张三的工商银行卡。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
37.对镜像PC.E01分析,该操作系统密码为空,请查看EFS加密文件,并分析出张三建行卡号为多少?(填写格式数字,无空格 如:62225123456321654) (10分)
通过取证工具很快发现了EFS加密文件在E盘的zhongyao文件夹下,如何解密成了一个问题。经过查询资料可知,EFS加密大概类似ACL,根据特定用户来设置访问权限。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
这么看来解密就简单了,查看文件属性,以白名单用户来访问该文件即可。但是比较坑的是用白名单用户administrator访问后提示“权限不足”,于是尝试将C盘下发现的证书都导入系统,再次访问相关文件得到银行卡号。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
此题还有“旁门左道”,常规思路应该是先在取证结果里检索相关关键字。这里我们以“建设”为关键字进行查找,发现某软件里有提及建设银行卡号。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
38.通过对1.dll恶意程序分析,得知DllMain的地址是什么?(格式按大写字母与数字组合填写 如:AB12DC) (10分)
将恶意程序1.dll拖进IDA中,自动停留在入口处,主窗口左下角为DllMain的物理地址。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
39.通过对1.dll恶意程序分析,gethostbyname函数定位到什么地址?(格式按大写字母与数字组合填写 如:AB12DC) (10分)
通过查询资料可知,DLL中函数导入表主要存放了该程序调用的外部函数、函数导入表则是存放了供外部调用的本地函数(初学逆向,如有问题请斧正)。因此在IDA的函数导入表窗口查找该函数,其左侧就是该函数的物理地址。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
40.接上题,有多少个函数调用了函数gethostbyname (格式数字 如:1) (5分)
通过查询资料得知,IDA中查看某函数被调用的次数,需要先找到函数的位置,接着进入交叉引用中查看,type中的p表示调用流、r表示读取属性,去除重复出现的函数,得到的就是实际调用的次数。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
41.通过对1.dll恶意程序分析,详细分析位于0x10001757处的gethostbyname调用,DNS请求将被触发的域名是?(格式:小写字母、数字、.组合 如www.sina12.com) (10分)
按快捷键g打开跳转地址对话框,输入10001757后来到该地址。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
发现其参数为off_10019040[0] + 13。该参数表示从off_10019040偏移量13位开始才是最终的地址。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
验证一下。off_10019040[0]对应的数据是“[”,而[12]则对应“]”,总体就构成了“[This is RDO]”。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
答案:pics.praticalmalwareanalysis.com。
42.通过对1.dll恶意程序分析,IDA Pro识别了在0x10001656处的子函数中的多少个局部变量?(格式:填写数字 如:1) (5分)
按快捷键g跳转到该地址,发现存在大量的变量参数。经大佬点拨,这些都是局部变量和参数,其中带负号的都是局部变量,这里一共有23个带负号的,也就是23个局部变量。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
43.通过对1.dll恶意程序分析,IDA Pro识别了在0x10001656处的子函数中的多少个参数?(格式填写数字 如:1) (5分)
44.通过对1.dll恶意程序分析,字符串“cmd.exe /c”位于哪里?(格式:格式按大写字母与数字组合填写 如:AB12DC) (5分)
查看字符串。在IDA中选择菜单栏中的view,在open subviews中找到strings,这时候会将DLL中所有的字符串展示出来,拖到后面会发现其物理地址。当然也可以用搜索字符串功能。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
45.接上题,在引用“cmd.exe /c” 的代码所在的区域发生了什么?(5分)
双击找到其汇编程序位置,按F5将其还原成伪代码,根据上下文中调用的函数可知,开启一个shell会话。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
46.通过对1.dll恶意程序分析,0x1000FF58处子函数中若对 ”robotwork” 字符串的memcmp比较是成功的,会发生什么?(5分)
按快捷键g跳转到相关地址,来到其函数入口。在0x1001044C处发现此处为一个判断,双击进入sub_100052A2(s)。根据函数名推测是对注册表“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion”的WorkTime项进行查询并取出结果。
接着来到sub_100038EE函数,双击进入,出现了send函数,经查询得知其向一个已连接的socket发送数据。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
答案:通过注册表中取出机器工作时间的值,然后组成一个字符串,最后通过套接字发送出去。
47.通过对1.dll恶意程序分析,PSLIST导出函数最后导出了什么文件(格式小写字母、数字与.组合填写 如:abc1123.abc) (5分)
在函数导出表窗口中找到PSLIST函数,双击来到其函数体。经过对其中三个函数的简单分析,发现大部分功能是查看进程情况并通过套接字发送出去,但是这道题要求我们找到其导出的文件,需要继续对这几个函数分析。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
接着在几个函数里发现共同存在sub_1000620C。跟进去发现有操作文件读写的功能,进而对其操作的文件进一步查看,找到写入的文件名。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
48.通过对1.dll恶意程序分析,DllMain直接调用了多少个API?(格式填写数字 如:1) (5分)
49.接上题,DllMain函数有几个参数?(格式填写数字 如:1) (5分)
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
50.通过对1.dll恶意程序分析,程序在0x10001358处对sleep的调用会睡眠多少秒?(格式:填写数字 如:1) (5分)
按快捷键g跳转到相应地址。发现休眠参数1000*V16,表示V16毫秒;接着双击off_10019020[0],发现参数V16对应的数据是30,偏移加13表示从该数组的第13位开始才是真正的数据(30)。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
51.通过对1.dll恶意程序分析,在10001701处是一个对Socket的调用。它的第2个参数是什么?(格式:填写数字 如:1) (5分)
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)")
52.通过对1.dll恶意程序分析,搜索in指令(0xED)的使用。使用这个指令目的什么?(5分)
53.通过对1.dll恶意程序分析,将光标跳转到0x1001D988处,对加密的内容进行解密,解密后的内容为?(格式填写大小写字母、 空格、 , 组合 如:abc,dgMACgd dddAA) (10分)
原文始发于微信公众号(信息时代的犯罪侦查):如解剖麻雀般地回忆一场小型电子数据取证竞赛(3)
评论