本栏目主要是针对比赛题目进行分析和解题思路分享，只进行知识分享，不具一定的实战能力，后台不解答涉及可能侵害他人权利的问题，切勿用于违法犯罪活动。如果有工作方面的解答需求，请后台联系添加微信私聊。

AfricanFalls Blue Team Lab

期末考试终于结束了（极限突击期末，不然就挂了），之后会比较频繁的更新。这次题目没有一个比较清楚的过程或者案情，总体来说就是对windows一些常用的取证做题方向做了题目联系，可以对注册表用户密码破解、外置驱动器插入（shellbags）、回收站以及应用程序使用情况做一个了解。

地址：https://cyberdefenders.org/blueteam-ctf-challenges/africanfalls/

赛题和工具网盘地址：在公众号发送“电子数据取证每日一练”可以得到题目和工具（不分享企业厂商工具）

学习目标：掌握镜像哈希的计算、熟悉注册表的内容提取、了解如何提取应用程序的使用情况

使用工具(均为开源工具)：DB Browser、Shellbags Explorer、FTK imager、X-ways、hashcat、mimikatz_trunk、WinPrefetchView

难度：中等难度

题目一览：

1.What is the MD5 hash value of the suspect disk?
2.What phrase did the suspect search for on 2021-04-29 18:17:38 UTC? (three words, two spaces in between)
3.What is the IPv4 address of the FTP server the suspect connected to?
4.What date and time was a password list deleted in UTC? (YYYY-MM-DD HH:MM:SS UTC)
5.How many times was Tor Browser ran on the suspect's computer? (number only)
6.What is the suspect's email address?
7.What is the FQDN did the suspect port scan?
8.What country was picture "20210429_152043.jpg" allegedly taken in?
9.What is the parent folder name picture "20210429_151535.jpg" was in before the suspect copy it to "contact" folder on his desktop?
10.A Windows password hashes for an account are below. What is the user's password? Anon:1001:aad3b435b51404eeaad3b435b51404ee:3DE1A36F6DDB8E036DFD75E8E20C4AF4:::
11.What is the user "John Doe's" Windows login password?

本题所需知识点：

1.镜像证据的hash计算

计算的是挂载后的hash值而不是镜像文件的hash值，因为一般证据的固定是对磁盘固定，生成的文件会含有一些元数据的信息，所以导致二者的hash不一致。

2.回收站文件夹结构

子文件夹（每个用户一个）：

• 子文件夹名称通常是用户的 SID。例如，S-1-5-21-1234567890-123456789-123456789-1001。

• 每个子文件夹对应一个用户，存储该用户删除的文件和文件夹。

回收站文件：

• 每个用户的子文件夹内包含删除的文件和文件夹。回收站中的每个文件或文件夹有两个相关联的文件：

  • $R 前缀文件：存储被删除的文件内容。例如，$R5T8U9V.doc。

  • $I 前缀文件：存储被删除文件的元数据，包括原始路径和删除时间。例如，$I5T8U9V.doc。

3.Prefetch文件夹

位于Windows系统的系统盘（通常是C盘）中，路径为“WindowsPrefetch”。这个文件夹主要用于存储操作系统预读取的数据信息。当计算机启动时，操作系统会根据预设的配置，预先加载一些系统文件、应用程序等数据到内存中，以提高系统的启动速度和响应速度。这些预加载的数据文件就存储在Prefetch文件夹中。

Prefetch文件夹中存储着许多以.pf为扩展名的文件，这些文件是操作系统预读取的程序和文件信息。每个文件都包含了程序或文件的名称、加载地址、加载时间、版本号等信息。当程序或文件被加载时，操作系统会在Prefetch文件夹中创建一个相应的预读取文件，记录加载过程的相关信息。这样，下次启动时，操作系统就可以根据这些信息，判断是否需要再次加载该程序或文件，从而加快系统的启动速度。

4.shellbags

ShellBags是一组用来记录文件夹（包括挂载网络驱动器文件夹和挂载设备的文件夹）的名称、大小、图标、视图、位置的注册表项，或称为BagMRU。每次对文件夹的操作，ShellBags的信息都会更新，而且包含时间戳信息。是Windows系统改善用户体验的功能之一。即使删除文件夹后，ShellBags仍然会保留文件夹的信息。因此可以用来揭示用户的活动。建议看一下下面的文章，对shellbags有一个全面的了解。

https://www.cnblogs.com/hetianlab/p/14986186.html

5.谷歌浏览器的时间戳类型

不止谷歌，Edge等基于Chromium的应该都适用WebKit时间戳类型。

WebKit时间戳：从1601年1月1日（UTC/GMT的午夜）开始所经过的微秒数

Unix时间戳：从1970年1月1日（UTC/GMT的午夜）开始所经过的秒/毫秒数

下面是相关的文章：

https://cloud.tencent.com/developer/article/2211531

题目解析

1.What is the MD5 hash value of the suspect disk?

9471e69c95d8909ae60ddff30d50ffa1

里面有一个ftk导出生成的文件DiskDrigger.ad1.txt

注意这个md5不是文件的md5

而是磁盘的md5，通过看导出记录或者使用FTK挂载后进行hash校验都可以得到

2.What phrase did the suspect search for on 2021-04-29 18:17:38 UTC? (three words, two spaces in between)

password cracking lists

要注意一下检材的浏览器有三个

使用ftk挂载（注意挂在时的读写模式）后在appdata/local目录下面找到谷歌浏览器的数据（上一期每日一题有将过于appdata的内容）

然后打开数据库后转换一下时间戳

这里要注意chrome使用的是webkit时间戳：https://www.epochconverter.com/webkit

3.What is the IPv4 address of the FTP server the suspect connected to?

192.168.1.20

在appdata下面可以看到有一个filezilla的工具

在目录E:�01Win10.e01_Partition 2 [50647MB]_NONAME [NTFS][root]UsersJohn DoeAppDataRoamingFileZilla下可以找到连接的信息

4.What date and time was a password list deleted in UTC? (YYYY-MM-DD HH:MM:SS UTC)

在回收站的目录下面可以找到下面这个文件里面是删除的字典

注意要看$I的文件，这个记录的是删除文件的元数据

记得把时间时区转换一下：2021-04-29 18:22:17 UTC

5.How many times was Tor Browser ran on the suspect's computer? (number only)

0次，用prefetch查看器查看prefetch的文件夹，可以找到tor安装器访问过一次，但是并没有使用过tor浏览器

在查看器中设置查看文件

6.What is the suspect's email address?

因为给的检材里面没有邮箱工具，所以看一下浏览器记录，在历史记录中能够找到邮箱

[email protected]

7.What is the FQDN did the suspect port scan?

在桌面上找到了nmap，所以可能使用nmap扫描的，看一下powershell的记录

可以找到域名：dfir.science

8.What country was picture "20210429_152043.jpg" allegedly taken in?

在picture里面有一个contact可以找到照片，然后查看照片的exif信息

然后再地图上找可以找到赞比亚（Zambia）

9.What is the parent folder name picture "20210429_151535.jpg" was in before  the suspect copy it to "contact" folder on his desktop?

查看注册表看复制操作记录

通过查看exif了解到这个图片来自lg手机，所以原来的文件夹应该是手机的存放位置，所以通过查看USRCLASS.DAT文件来看一下原来文件存放的位置在哪里。

加载数据文件之后，可以发现左面有很多之前连接过的设备，对于lg手机存放照片的位置在Absolute path: DesktopThis PCLG Q7Internal storageDCIMCamera

10.A Windows password hashes for an account are below. What is the user's password? Anon:1001:aad3b435b51404eeaad3b435b51404ee:3DE1A36F6DDB8E036DFD75E8E20C4AF4:::

一开始用hashcat进行破解，字典用的是rockyou.txt，user1.txt里面就是题目给的内容

 hashcat  -m 1000 -a 0 -o cracked.txt user1.txt rockyou.txt

但是发现没有密码，所以尝试使用在线破解（https://hashes.com/en/decrypt/hash），破解lmhash（3DE1A36F6DDB8E036DFD75E8E20C4AF4）然后得到密码

11.What is the user "John Doe's" Windows login password?

用猕猴桃对sam的hash进行提取

mimikatz # lsadump::sam /system:"C:[...]WindowsSystem32configSYSTEM" /sam:"C:[...]WindowsSystem32configSAM"

提取后得到htlmhash，然后扔到网站上破解一下

用passware（该工具在这里属于另一种做法，暂时不放到工具中提供，后面更新到内存镜像的内容时会提供）爆破也能出来

总结

这套题目主要是对windows的目录和注册表分析的深入了解，对文件底层的内容进行取证，从镜像证据的hash计算到注册表的分析。也是属于比较典型的脱离厂商工具的题目，厂商工具只能提供一个辅助作用，大部分题目还是要手工取证来得到答案，掌握好这次题目的内容，可以以自己的电脑为例子进行一下复刻，应该能学到很多新的知识。

原文始发于微信公众号（网络安全与取证研究）：电子数据取证每日一练-windows取证2