使用小程序破解美亚杯中虚拟机、暗网部分题目

admin 2022年11月24日22:15:53CTF专场 取证分析评论1 views1979字阅读6分35秒阅读模式

“美亚杯”第八届中国电子数据取证大赛已于11月13日圆满落幕(点击划线处了解更多)。本届大赛题目由香港大学和香港警务处联合出题,不仅涉及了计算机取证分析、手机取证分析、服务器数据库分析、网络抓包分析等部分,还包含了虚拟机取证分析、暗网取证分析等,综合考察了参赛选手的电子数据取证能力。




学而不思则罔,思而不学则殆。赛程结束后举行的赛后复盘也吸引着学界、业界的广泛关注。复盘大会上,在各选手的经验交流中频繁提及“取证小程序”


“取证小程序”是一种运行于取证软件、利用Python脚本对电子数据进行提取和分析的应用。随着“取证小程序”不断升级完善,功能也在不断增加,无论是在协助警方办案,还是在各大比武现场及比赛现场中,“取证小程序”都发挥着不容忽视的重要作用。



实战题目


使用小程序破解美亚杯中虚拟机、暗网部分题目

图1 虚拟机部分赛题


使用小程序破解美亚杯中虚拟机、暗网部分题目

图2 暗网取证分析相关赛题



赛题解析



01

虚拟机解析


“虚拟机解析”取证小程序是一款在第三届“创享杯”中由参赛选手北京市公安局马远声研发所研发的针对检材中的虚拟机文件进行快速解析的功能性小程序,可以直观地分析虚拟机的基础配置信息、快照信息以及运行记录等用户使用痕迹,在取证过程中能够辅助取证人员开展下一步的取证分析工作。


在本届“美亚杯”大赛中,涉及虚拟机部分的相关赛题用“虚拟机解析”小程序直接进行解析,可快速完成答题,极大提高参赛选手的做题效率。

使用小程序破解美亚杯中虚拟机、暗网部分题目

图3 虚拟机解析小程序取证大师下载路径


行取证小程序“虚拟机解析”可以快速分析出嫌疑人的计算机中只安装了1台虚拟机。


使用小程序破解美亚杯中虚拟机、暗网部分题目

图4 虚拟机台数

通过观察虚拟机磁盘文件存放位置可推断出虚拟机存放在“UsersHEIDocumentsVirtual Machines”路径下,如下图:

使用小程序破解美亚杯中虚拟机、暗网部分题目图5 虚拟机磁盘文件存放路径

也可以在虚拟机“基础配置”栏右击跳转源文件,在证据文件目录下找到虚拟机存放路径。

使用小程序破解美亚杯中虚拟机、暗网部分题目

使用小程序破解美亚杯中虚拟机、暗网部分题目图6 虚拟机基础配置源文件存放路径

运行“虚拟机解析”小程序时,在自动取证过程中会提示“发现虚拟磁盘文件!请跳转源文件右键分析虚拟机”这一弹窗,这也是在提醒我们虚拟磁盘文件中包含着重要信息,让我们注意。

使用小程序破解美亚杯中虚拟机、暗网部分题目图7 自动取证时虚拟磁盘文件弹窗

使用小程序破解美亚杯中虚拟机、暗网部分题目图8 跳转源文件

使用小程序破解美亚杯中虚拟机、暗网部分题目图9 虚拟磁盘解析

虚拟磁盘解析后我们会看到证据文件多了一个带有红色感叹号的分区,这个时候我们只需要选择该分区,然后右键点击扫描磁盘结构。

使用小程序破解美亚杯中虚拟机、暗网部分题目图10 扫描磁盘结构

使用小程序破解美亚杯中虚拟机、暗网部分题目图11 扫描磁盘结构后的结果

使用小程序破解美亚杯中虚拟机、暗网部分题目图12 对ubuntu-lv自动取证

对扫描出的磁盘结构进行自动取证,通过查看系统痕迹里的系统信息来获取该虚拟机的系统版本号。

使用小程序破解美亚杯中虚拟机、暗网部分题目图13 虚拟机系统版本

后续题目,也是基于扫描磁盘结构后才能够进行解答,这恰恰证明了取证小程序在此次比赛中起到的重要作用,倘若没有前面的解析,那么后续要在短短两个小时中去分析虚拟机结构配置,其难度可想而知。

02

暗网解析
有些不法分子为了牟利会通过一些违法渠道登录暗网进行非法交易,而“暗网解析”取证小程序便可针对嫌疑人的犯罪行为进行解析该款小程序不仅对Tor浏览器有一个深入的解析,而且还能对嫌疑人的比特币钱包信息做完整取证。
“暗网取证”小程序在取证大师共享平台上的下载量与浏览量常年排名前三,这也说明该款小程序应用之广泛、受众之多。“暗网取证”也是历届“美亚杯”的热门考题,在本届亦有相关题目。

使用小程序破解美亚杯中虚拟机、暗网部分题目图14 暗网取证小程序取证大师下载路径

暗网取证部分考题问及嫌疑人计算机中包含几个浏览器,其中 Internet Explorer OperaMicrosoft EdgeGoogle Chrome等四个浏览器用取证大师自动取证即可解析出是否使用过。
行自动取证后可发现,取证大师“上网记录”栏中只有Internet ExplorerMicrosoft EdgeGoogle Chrome3个浏览器。由于题目为多选题,因此在未确定答案的前提下,需判断剩下的Tor浏览器是否被嫌疑人使用过。

使用小程序破解美亚杯中虚拟机、暗网部分题目图15 取证大师自动取证后浏览器结果

在运行“暗网取证”小程序后,此问题便迎刃而解。“暗网取证”小程序解析后,结果显示有Tor浏览器的使用痕迹,因此可以判定嫌疑人计算机中还包含Tor浏览器。

使用小程序破解美亚杯中虚拟机、暗网部分题目图 16Tor浏览器解析

在比赛过程中,该题成为高频失分点。许多选手在取证大师自动取证后便判定嫌疑人计算机中只包含Internet Explorer、 Opera、Microsoft Edge、Google Chrome这3个浏览器,殊不知这是一个小陷阱,细心处理下才会发现嫌疑人还使用过Tor浏览器。这次比赛虽没有对Tor浏览器进行深入的设题,但却用一个简单的题目将其作为分水岭,不得不赞叹出题组的巧思。


本届“美亚杯”与以往相比,在一些题目的处理上虽没有直接明了地表露出难易程度,恰恰在简单的地方让人意想不到。在比赛过程中运用“取证小程序”,再结合自身的取证经验,便能达到事半功倍的效果。


原文始发于微信公众号(网络安全与取证研究):使用小程序破解美亚杯中虚拟机、暗网部分题目

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月24日22:15:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  使用小程序破解美亚杯中虚拟机、暗网部分题目 http://cn-sec.com/archives/1423047.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: