本文系读者来稿,撰稿人为WelK1n,目前包括了2024FIC决赛的Windows部分内容,整体思路清晰,步骤详细。
本公众号欢迎读者来稿,保证充分尊重撰稿人意见,有投稿意愿的还请后台私信。
电子数据取证每日一练
2024fic决赛windows部分
2023年3月15日凌晨,受害人短视频平台上看到一段近期火爆的交通事故视频,留言后有人通过私信联系,称有一个赚大钱的机会,该人自称李某,提议让他到他们平台充值做代理;最终受害人发现自己被卷入了一个复杂的网络传销犯罪活动中,从而报案。
经过一段时间的侦查,2023年3月25日,警方最终锁定了"lalala李"网络水军团伙的技术人员卢某,一举拿下了卢某的住所;当天上午,警方开始对卢某某的个人计算机进行现场勘验。在管理工具历史记录中,发现了大量访问某个PVE云服务器控制台的记录。初步判断该云服务器可能为该团伙网络引流的主要平台。经过进一步追查,警方发现该PVE云服务器租用于某知名云服务商,服务器上运行着数个不同的虚拟机实例;平台通过虚拟软件模拟多部手机,利用网络水军的力量在各大平台发布伪造的图片传播负面新闻,引流受害者加入平台。
在深入分析虚拟机镜像后,警方终于发现这些虚拟机背后运行着一个复杂的网络传销平台!最终,警方展开了一场声势浩大的收网行动,成功捣毁了该犯罪团伙。案件中的主要成员李安弘、卢某某等人均被依法逮捕。接下来,我们将深入分析关键证据镜像文件,揭开这个庞大网络传销窝点的犯罪事实。
检材情况:卢某个人计算机---PersonalPC.E01, MD5:6ee6056aaf226c019426c468c0d3bc7b
赛题和工具网盘地址:公众号菜单栏
学习目标:了解通过查看二进制文件来获取文件信息,使用hashcat爆破文档密码,了解回收站的存放机制,对ai取证进行了解
使用工具(在网盘地址中提供):使用工具(在网盘地址中提供):Arsenal Image Mounter、FTK3.3版本、X-ways、Winhex、VMware Workstation、hashcat、office2john
难度:中等难度
题目一览
1.请分析卢某的计算机,并计算原始检材的SHA256值。
2.嫌疑人回收站中的"备忘录.txt"文件SHA1 值为?
3.嫌疑人使用ssh连接工具,该工具的名称为?【答案格式:fic123】
4.嫌疑人使用ssh连接工具,其中连接名为node的连接记录,连接的端口为?【答案格式:123】
5.在2024-03-12 17:13左右,嫌疑人计算机最少连接了多少台安卓虚拟机。【答案格式:1】
6.软件“QtScrcpy”的配置文件显示,嫌疑人配置了台安卓虚拟机(以连接端口计数)。【答案格式:123】
7.嫌疑人桌面文件"老婆.png"的SHA256哈希值为?【答案格式:abc123】
8.嫌疑人把xls文件藏入老婆.png中,该xls的密码为?【答案格式:Abc123】
9.嫌疑人桌面"2024年3月13日星期三 日报.docx"文档密码为?【答案格式:Abc123】
10.嫌疑人使用的AI软件名称为?【答案格式:abc-df-abc】
11.嫌疑人使用的AI软件监听端口为?【答案格式:1】
12.AI软件安装目录下的“2024-03-13”目录,其中由AI生成的图片有多少张?【答案格式:1】
13.嫌疑人使用Ai软件生成燃烧的汽车图片使用的模型SHA256哈希值为?
14.嫌疑人使用Ai软件生成燃烧的汽车图片(00036-957419862.png)使用的正向提示词,包含哪些?A.chinaB.high wayC.fast speedD.car on fireE.no people
15.嫌疑人桌面文件"老婆.png"的图像生成种子是__。【答案格式:123】
本题所需知识点
1.Windows 回收站文件乱码?
当一个文件被删除之后,Windows 将会自动将其重命名之后再放到一个自己维护的一个文件夹(即$Recycle.Bin)里。因此,在回收站中重名的文件实际上是不同名,但是资源管理器中打开依然是同名?
首先认识回收站文件夹的结构。每个分区(C盘、D盘...)都会有一个$Recycle.Bin回收站文件夹,其中以用户SID命名的文件夹内存储了不同用户丢弃到回收站的文件。
SID也就是安全标识符(Security Identifiers),是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的 SID。回收站使用SID的目的是访问控制,防止用户访问到其他用户回收站内的文件。
接着看文件名。事实上删除的文件在回收站中都会产生两个文件,这两个文件具有相同的后缀和ID,唯一的区别是它们的前缀不同,$R
开头的文件中存储着文件的实际内容,而$I
前缀的文件存储着这个文件在被你丢进回收站之前的文件名,路径,时间等信息。
分析一下$I
开头的文件,第一行后8个字节存储删除文件大小,第二行前八个字节存储删除文件时间,后面的是文件的原路径
02EE,转换十进制就是750byte
1DA 7B80 9D31 38D0,转换十进制为133554931284130000,使用Windows的时间同步工具w32tm
即可得出时间
w32tm /ntte 转换为十进制的时间
其实删除文件时间可以直接看$I
文件的创建时间,因为删除文件的那一刻$I
才创建
如果文件路径的中文是乱码的情况(和我一样),那么设置字符集为Unicode就可以了
再来看一下$R
开头的文件,这个文件存储实际内容,010需要选择字符集为UTF-8才能看到。x-ways可以直接看
2.office文件密码掩码爆破
遇到一个Office文件被加密?!怎么办!
-
office2john提取hash
-
使用hashcat进行爆破
hashcat.exe -m 9800 "$oldoffice$4*107c23885fafc2941281e5ea12155a9c*88fa443a510634975fe401a428fdb5b2*596498685ef86b45dc44ca45e30f6c8d5d366eae" -a 3 -1 ?l?u?d ?1?1?1?1?1?1rd
步骤只有两步,具体的一些细节还是要搞清楚
hashcat模式选择(-m)
参考这个网站https://hashcat.net/wiki/doku.php?id=example_hashes
hashcat掩码模式(-a 3)
0 Straight(字典破解)
1 Combination(组合破解)
3 Brute-force(掩码暴力破解)
6 Hybrid dict + mask(混合字典+掩码)
7 Hybrid mask + dict(混合掩码+字典)掩码字符集的设置(-1)
-1,-2,-3,-4
代表用户自定义字符集Hashcat默认的掩码一共有9种:?l表示a-z,?u表示A-Z,?d表示0-9,?a表示键盘上所有的特殊字符,?s表示键盘上所有的可见字符,?h表示8bit 0xc0-0xff的十六进制,?D表示8bit的德语字符,?F表示8bit的法语字符,?R表示8bit的俄语字符。
掩码设置(?1?1?1?1?1?1rd)
rd是已知的,
?1
是占位符,表明从字符集1中取字符
题目解析
-
请分析卢某的计算机,并计算原始检材的SHA256值。
工具---计算hash值
用其他工具会快一点
答案:524c3e14cbe6f1880f2a8115643a0c7d1f6463f052f6bcd23d572c54b664e49c
-
嫌疑人回收站中的"备忘录.txt"文件SHA1 值为?
通过前文得知回收站中的文件有两个,这里计算
$R
开头的文件即可答案:fded9342533d92fa46fc4aabd113765a7a352ceb
-
嫌疑人使用ssh连接工具,该工具的名称为?【答案格式:fic123】
仿真起来可以看到两款远控程序,打开MobaXterm需要master password,在备忘录.txt中记录了密码
mobapass00
MobaXterm有Linux连接记录
答案:MobaXterm
-
嫌疑人使用ssh连接工具,其中连接名为node的连接记录,连接的端口为?【答案格式:123】
答案:122
-
在2024-03-12 17:13左右,嫌疑人计算机最少连接了多少台安卓虚拟机。【答案格式:1】
QtScrcpy的
config/userdata.ini
中没找到连接的时间但在“图片”文件夹中找到一张2024-03-12 17:13左右的截图,其中有5台设备
答案:5
-
软件“QtScrcpy”的配置文件显示,嫌疑人配置了台安卓虚拟机(以连接端口计数)。【答案格式:123】
userdata.ini中记录安卓虚拟机的连接信息,大致浏览一下都是192开头,直接notepad++计数
答案:15
-
嫌疑人桌面文件"老婆.png"的SHA256哈希值为?【答案格式:abc123】
/User/Luck/Desktop/老婆.png
答案:02139bf305630ceffadd6926c202bae655c79d25a64f5c7a1c62bc4c91c9ccf1
-
嫌疑人把xls文件藏入老婆.png中,该xls的密码为?【答案格式:Abc123】
备忘录.txt中存有隐写信息,寻找xls的文件头:D0CF11E0,将xls分离出来
前文中的office掩码爆破
答案:P1ssw0rd
-
嫌疑人桌面"2024年3月13日星期三 日报.docx"文档密码为?【答案格式:Abc123】
还是Office掩码爆破,步骤和前文中的一致
hashcat.exe -m 9600 "$office$*2013*100000*256*16*12126a7d4fc8a58b5433ddc3fa3638e2*466cbf646d8984a7174d4dce8ec4251e*1d987da8a3b17c1b60a67cc05480dca814a3cfbad77f88326ba63e5a310b52b5" -a 3 -1 ?d P?1ssw?1rd
答案:P1ssw1rd
-
嫌疑人使用的AI软件名称为?【答案格式:abc-df-abc】
在最近打开文件(
/User/Luck/AppData/Roaming/Microsoft/Windows/Recent
)中发现Stable Diffusion,通过lnk文件定位到原位置答案:stable-diffusion-webui
-
嫌疑人使用的AI软件监听端口为?【答案格式:1】
AI软件是webUI,那么从Edge浏览器的历史记录中查询到
答案:7860
-
AI软件安装目录下的“2024-03-13”目录,其中由AI生成的图片有多少张?【答案格式:1】
答案:41
-
嫌疑人使用Ai软件生成燃烧的汽车图片使用的模型SHA256哈希值为?
打开汽车燃烧图片到010中,可以看到文件头中记载了model:v1-5-pruned-emaonly
在model目录中找到相应的模型,计算hash即可
答案:22e8515aa5985b776afc1e48647f23f5651a317d2497a91232d03a1c4feeae2c
-
嫌疑人使用Ai软件生成燃烧的汽车图片(00036-957419862.png)使用的正向提示词,包含哪些?
A.china
B.high way
C.fast speed
D.car on fire
E.no people
答案:ABD
-
嫌疑人桌面文件"老婆.png"的图像生成种子是__。【答案格式:123】
继续找文件头
答案:3719279995
总结
本题目涉及到了传统的windows取证内容,也涉及到了当下热门的ai取证内容,通过查看二进制获取元数据信息。也涉及到了hashcat对文档的解密,可以对比破解shadow文件来学习。
往期内容推荐
原文始发于微信公众号(网络安全与取证研究):电子数据取证每日一练-windows取证4
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论