电子数据取证每日一练-windows取证4

admin 2024年9月27日09:26:18评论11 views字数 4958阅读16分31秒阅读模式

本文系读者来稿,撰稿人为WelK1n,目前包括了2024FIC决赛的Windows部分内容,整体思路清晰,步骤详细。

本公众号欢迎读者来稿,保证充分尊重撰稿人意见,有投稿意愿的还请后台私信。

电子数据取证每日一练

    本栏目主要是针对比赛题目进行分析和解题思路分享,只进行知识分享,不具一定的实战能力,后台不解答涉及可能侵害他人权利的问题,切勿用于违法犯罪活动。如果有工作方面的解答需求,请后台联系添加微信私聊。

2024fic决赛windows部分

2023年3月15日凌晨,受害人短视频平台上看到一段近期火爆的交通事故视频,留言后有人通过私信联系,称有一个赚大钱的机会,该人自称李某,提议让他到他们平台充值做代理;最终受害人发现自己被卷入了一个复杂的网络传销犯罪活动中,从而报案。

经过一段时间的侦查,2023年3月25日,警方最终锁定了"lalala李"网络水军团伙的技术人员卢某,一举拿下了卢某的住所;当天上午,警方开始对卢某某的个人计算机进行现场勘验。在管理工具历史记录中,发现了大量访问某个PVE云服务器控制台的记录。初步判断该云服务器可能为该团伙网络引流的主要平台。经过进一步追查,警方发现该PVE云服务器租用于某知名云服务商,服务器上运行着数个不同的虚拟机实例;平台通过虚拟软件模拟多部手机,利用网络水军的力量在各大平台发布伪造的图片传播负面新闻,引流受害者加入平台。

在深入分析虚拟机镜像后,警方终于发现这些虚拟机背后运行着一个复杂的网络传销平台!最终,警方展开了一场声势浩大的收网行动,成功捣毁了该犯罪团伙。案件中的主要成员李安弘、卢某某等人均被依法逮捕。接下来,我们将深入分析关键证据镜像文件,揭开这个庞大网络传销窝点的犯罪事实。

检材情况:卢某个人计算机---PersonalPC.E01, MD5:6ee6056aaf226c019426c468c0d3bc7b

赛题和工具网盘地址:公众号菜单栏

学习目标:了解通过查看二进制文件来获取文件信息,使用hashcat爆破文档密码,了解回收站的存放机制,对ai取证进行了解

使用工具(在网盘地址中提供):使用工具(在网盘地址中提供):Arsenal Image Mounter、FTK3.3版本、X-ways、Winhex、VMware Workstation、hashcat、office2john

难度:中等难度

题目一览

1.请分析卢某的计算机,并计算原始检材的SHA256值。

2.嫌疑人回收站中的"备忘录.txt"文件SHA1 值为?

3.嫌疑人使用ssh连接工具,该工具的名称为?【答案格式:fic123】

4.嫌疑人使用ssh连接工具,其中连接名为node的连接记录,连接的端口为?【答案格式:123】

5.在2024-03-12 17:13左右,嫌疑人计算机最少连接了多少台安卓虚拟机。【答案格式:1】

6.软件“QtScrcpy”的配置文件显示,嫌疑人配置了台安卓虚拟机(以连接端口计数)。【答案格式:123】

7.嫌疑人桌面文件"老婆.png"的SHA256哈希值为?【答案格式:abc123】

8.嫌疑人把xls文件藏入老婆.png中,该xls的密码为?【答案格式:Abc123】

9.嫌疑人桌面"2024年3月13日星期三 日报.docx"文档密码为?【答案格式:Abc123】

10.嫌疑人使用的AI软件名称为?【答案格式:abc-df-abc】

11.嫌疑人使用的AI软件监听端口为?【答案格式:1】

12.AI软件安装目录下的“2024-03-13”目录,其中由AI生成的图片有多少张?【答案格式:1】

13.嫌疑人使用Ai软件生成燃烧的汽车图片使用的模型SHA256哈希值为?

14.嫌疑人使用Ai软件生成燃烧的汽车图片(00036-957419862.png)使用的正向提示词,包含哪些?
A.chinaB.high wayC.fast speedD.car on fireE.no people

15.嫌疑人桌面文件"老婆.png"的图像生成种子是__。【答案格式:123】

本题所需知识点

1.Windows 回收站文件乱码?

当一个文件被删除之后,Windows 将会自动将其重命名之后再放到一个自己维护的一个文件夹(即$Recycle.Bin)里。因此,在回收站中重名的文件实际上是不同名,但是资源管理器中打开依然是同名?

首先认识回收站文件夹的结构。每个分区(C盘、D盘...)都会有一个$Recycle.Bin回收站文件夹,其中以用户SID命名的文件夹内存储了不同用户丢弃到回收站的文件。

SID也就是安全标识符(Security Identifiers),是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的 SID。回收站使用SID的目的是访问控制,防止用户访问到其他用户回收站内的文件。

电子数据取证每日一练-windows取证4

接着看文件名。事实上删除的文件在回收站中都会产生两个文件,这两个文件具有相同的后缀和ID,唯一的区别是它们的前缀不同,$R 开头的文件中存储着文件的实际内容,而$I前缀的文件存储着这个文件在被你丢进回收站之前的文件名,路径,时间等信息

电子数据取证每日一练-windows取证4

分析一下$I开头的文件,第一行后8个字节存储删除文件大小,第二行前八个字节存储删除文件时间,后面的是文件的原路径

02EE,转换十进制就是750byte

电子数据取证每日一练-windows取证4

1DA 7B80 9D31 38D0,转换十进制为133554931284130000,使用Windows的时间同步工具w32tm即可得出时间

w32tm /ntte 转换为十进制的时间

电子数据取证每日一练-windows取证4

其实删除文件时间可以直接看$I文件的创建时间,因为删除文件的那一刻$I才创建

电子数据取证每日一练-windows取证4

如果文件路径的中文是乱码的情况(和我一样),那么设置字符集为Unicode就可以了

电子数据取证每日一练-windows取证4

再来看一下$R开头的文件,这个文件存储实际内容,010需要选择字符集为UTF-8才能看到。x-ways可以直接看

电子数据取证每日一练-windows取证4

2.office文件密码掩码爆破

遇到一个Office文件被加密?!怎么办!

电子数据取证每日一练-windows取证4

  1. office2john提取hash

    电子数据取证每日一练-windows取证4

  2. 使用hashcat进行爆破

    hashcat.exe -m 9800 "$oldoffice$4*107c23885fafc2941281e5ea12155a9c*88fa443a510634975fe401a428fdb5b2*596498685ef86b45dc44ca45e30f6c8d5d366eae" -a 3 -1 ?l?u?d ?1?1?1?1?1?1rd

    电子数据取证每日一练-windows取证4

    步骤只有两步,具体的一些细节还是要搞清楚

    hashcat模式选择(-m)

    参考这个网站https://hashcat.net/wiki/doku.php?id=example_hashes

    电子数据取证每日一练-windows取证4

    hashcat掩码模式(-a 3)

    0 Straight(字典破解)
    1 Combination(组合破解)
    3 Brute-force(掩码暴力破解)
    6 Hybrid dict + mask(混合字典+掩码)
    7 Hybrid mask + dict(混合掩码+字典)

    掩码字符集的设置(-1)

    -1,-2,-3,-4代表用户自定义字符集

    Hashcat默认的掩码一共有9种:?l表示a-z,?u表示A-Z,?d表示0-9,?a表示键盘上所有的特殊字符,?s表示键盘上所有的可见字符,?h表示8bit 0xc0-0xff的十六进制,?D表示8bit的德语字符,?F表示8bit的法语字符,?R表示8bit的俄语字符。

    掩码设置(?1?1?1?1?1?1rd)

    rd是已知的,?1是占位符,表明从字符集1中取字符

题目解析

  1. 请分析卢某的计算机,并计算原始检材的SHA256值。

    工具---计算hash值

    用其他工具会快一点

    电子数据取证每日一练-windows取证4

    答案:524c3e14cbe6f1880f2a8115643a0c7d1f6463f052f6bcd23d572c54b664e49c
  2. 嫌疑人回收站中的"备忘录.txt"文件SHA1 值为?

    通过前文得知回收站中的文件有两个,这里计算$R开头的文件即可

    答案:fded9342533d92fa46fc4aabd113765a7a352ceb
  3. 嫌疑人使用ssh连接工具,该工具的名称为?【答案格式:fic123】

    仿真起来可以看到两款远控程序,打开MobaXterm需要master password,在备忘录.txt中记录了密码mobapass00

    电子数据取证每日一练-windows取证4

    MobaXterm有Linux连接记录

    电子数据取证每日一练-windows取证4

    答案:MobaXterm
  4. 嫌疑人使用ssh连接工具,其中连接名为node的连接记录,连接的端口为?【答案格式:123】

    电子数据取证每日一练-windows取证4

    答案:122
  5. 在2024-03-12 17:13左右,嫌疑人计算机最少连接了多少台安卓虚拟机。【答案格式:1】

    QtScrcpy的config/userdata.ini中没找到连接的时间

    电子数据取证每日一练-windows取证4

    但在“图片”文件夹中找到一张2024-03-12 17:13左右的截图,其中有5台设备

    电子数据取证每日一练-windows取证4

    答案:5
  6. 软件“QtScrcpy”的配置文件显示,嫌疑人配置了台安卓虚拟机(以连接端口计数)。【答案格式:123】

    userdata.ini中记录安卓虚拟机的连接信息,大致浏览一下都是192开头,直接notepad++计数

    电子数据取证每日一练-windows取证4

    答案:15
  7. 嫌疑人桌面文件"老婆.png"的SHA256哈希值为?【答案格式:abc123】

    /User/Luck/Desktop/老婆.png

    电子数据取证每日一练-windows取证4

    答案:02139bf305630ceffadd6926c202bae655c79d25a64f5c7a1c62bc4c91c9ccf1
  8. 嫌疑人把xls文件藏入老婆.png中,该xls的密码为?【答案格式:Abc123】

    备忘录.txt中存有隐写信息,寻找xls的文件头:D0CF11E0,将xls分离出来

    电子数据取证每日一练-windows取证4

    电子数据取证每日一练-windows取证4

    前文中的office掩码爆破

    答案:P1ssw0rd
  9. 嫌疑人桌面"2024年3月13日星期三 日报.docx"文档密码为?【答案格式:Abc123】

    还是Office掩码爆破,步骤和前文中的一致

    hashcat.exe -m 9600 "$office$*2013*100000*256*16*12126a7d4fc8a58b5433ddc3fa3638e2*466cbf646d8984a7174d4dce8ec4251e*1d987da8a3b17c1b60a67cc05480dca814a3cfbad77f88326ba63e5a310b52b5" -a 3 -1 ?d P?1ssw?1rd
    答案:P1ssw1rd
  10. 嫌疑人使用的AI软件名称为?【答案格式:abc-df-abc】

    在最近打开文件(/User/Luck/AppData/Roaming/Microsoft/Windows/Recent)中发现Stable Diffusion,通过lnk文件定位到原位置

    电子数据取证每日一练-windows取证4

    电子数据取证每日一练-windows取证4

    答案:stable-diffusion-webui
  11. 嫌疑人使用的AI软件监听端口为?【答案格式:1】

    AI软件是webUI,那么从Edge浏览器的历史记录中查询到

    电子数据取证每日一练-windows取证4

    电子数据取证每日一练-windows取证4

    答案:7860
  12. AI软件安装目录下的“2024-03-13”目录,其中由AI生成的图片有多少张?【答案格式:1】

    电子数据取证每日一练-windows取证4

    答案:41
  13. 嫌疑人使用Ai软件生成燃烧的汽车图片使用的模型SHA256哈希值为?

    打开汽车燃烧图片到010中,可以看到文件头中记载了model:v1-5-pruned-emaonly

    电子数据取证每日一练-windows取证4

    电子数据取证每日一练-windows取证4

    在model目录中找到相应的模型,计算hash即可

    答案:22e8515aa5985b776afc1e48647f23f5651a317d2497a91232d03a1c4feeae2c
  14. 嫌疑人使用Ai软件生成燃烧的汽车图片(00036-957419862.png)使用的正向提示词,包含哪些?

    A.china

    B.high way

    C.fast speed

    D.car on fire

    E.no people

    电子数据取证每日一练-windows取证4

    答案:ABD
  15. 嫌疑人桌面文件"老婆.png"的图像生成种子是__。【答案格式:123】

    继续找文件头

电子数据取证每日一练-windows取证4

答案:3719279995

总结

本题目涉及到了传统的windows取证内容,也涉及到了当下热门的ai取证内容,通过查看二进制获取元数据信息。也涉及到了hashcat对文档的解密,可以对比破解shadow文件来学习。

往期内容推荐

电子数据取证每日一练往期合集

原文始发于微信公众号(网络安全与取证研究):电子数据取证每日一练-windows取证4

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月27日09:26:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   电子数据取证每日一练-windows取证4https://cn-sec.com/archives/3212939.html

发表评论

匿名网友 填写信息