电子数据取证每日一练

2022年长安杯windows部分

建议搭配服务器取证4一起学习

上一期内容：电子数据取证每日一练-服务器取证4

案情介绍

2021年5月，公安机关侦破了一起投资理财诈骗类案件，受害人陈昊民向公安机关报案称其在微信上认识一名昵称为yang88的网友，在其诱导下通过一款名为维斯塔斯的APP，进行投资理财，被诈骗6万余万元。接警后，经过公安机关的分析，锁定了涉案APP后台服务器。后经过公安机关侦查和研判发现杨某有重大犯罪嫌疑，经过多次摸排后，公安机关在杨某住所将其抓获，并扣押了杨某手机1部、电脑1台，据杨某交代，其网站服务器为租用的云服务器。上述检材已分别制作了镜像和调证，假设本案电子数据由你负责勘验，请结合案情，完成取证题目。

地址：后台发送电子数据取证每日一练

赛题和工具网盘地址：后台发送电子数据取证每日一练可以得到题目和工具（不分享企业厂商工具）

学习目标：了解wsl的原始目录、掌握好windows仿真技能

使用工具（在网盘地址中提供）：Arsenal Image Mounter、FTK3.3版本、X-ways、Winhex、VMware Workstation

难度：简单难度（仿真有一定难度）

题目一览

11. 检材2中，windows账户Web King的登录密码

12. 检材2中，除检材1以外，还远程连接过哪个IP地址？并用该地址解压检材3

13. 检材2中，powershell中输入的最后一条命令是

14. 检材2中，下载的涉案网站源代码文件名为

15. 检材2中，网站管理后台root账号的密码为

16. 检材2中，技术员使用的WSL子系统发行版本是

17. 检材2中，运行的数据库服务版本号是

18. 上述数据库debian-sys-maint用户的初始密码是

本题所需知识点

1.windows仿真

使用ftk仿真有蓝屏的不稳定风险，但是其他的工具挂载都仿真不成功，所以这里使用了FTK3.3版本进行仿真。

本人仿真的时候，就持续了十几分钟就关闭了，但是做题一般来说足够了，大不了重新仿真一个。

这里就简单写一下仿真的过程，具体的仿真过程会单独写一篇文章详细说明

2.WSL

WSL的文件存储位置依赖于安装的版本

1. WSL 1：

• Linux文件系统存储在AppDatalocallxss目录下。

• 每个Linux发行版的根文件系统存储在各自的子目录中。

2. WSL 2：

• 使用虚拟机磁盘（VHD）存储Linux文件系统，通常位于AppDatalocalPackages<DistroPackage>。

Windows中的WSL配置文件路径

1. 全局配置文件：C:Users<用户名>.wslconfig

2. 特定发行版配置文件： 每个WSL发行版内的/etc/wsl.conf

3.浏览器保存的密码

这是一个经验之谈，一般都会通过主机访问服务器，而访问的工具一般是用远程连接或web页面，所以查看浏览器保存的密码是一个十分重要的任务。

4.MySQL 和 MariaDB数据库

MySQL 或 MariaDB 的数据库文件通常存放在 /var/lib/mysql 目录下。这个目录包含所有数据库的实际数据文件和其他必要文件。

数据目录：/var/lib/mysql
    每个数据库都有一个子目录，其名称对应数据库名称。
    每个数据库目录下包含表数据文件（例如 .ibd 文件）、定义文件（例如 .frm 文件）等。

配置文件的详细说明

/etc/mysql/my.cnf：

/etc/mysql/my.cnf：
    这是主配置文件，包含服务器的全局设置。
    该文件可以包含对其他配置文件的引用，例如 /etc/mysql/conf.d/ 目录中的文件。

典型内容：
[mysqld]
user            = mysql
pid-file        = /var/run/mysqld/mysqld.pid
socket          = /var/run/mysqld/mysqld.sock
port            = 3306
basedir         = /usr
datadir         = /var/lib/mysql
tmpdir          = /tmp
lc-messages-dir = /usr/share/mysql

/etc/mysql/debian.cnf：

/etc/mysql/debian.cnf：
包含 debian-sys-maint 用户的登录信息，用于系统维护脚本。

典型内容：
[client]
host     = localhost
user     = debian-sys-maint
password = <password>
socket   = /var/run/mysqld/mysqld.sock

[mysql_upgrade]
host     = localhost
user     = debian-sys-maint
password = <password>
socket   = /var/run/mysqld/mysqld.sock
basedir  = /usr

注：在某些 Linux 发行版上安装 MySQL 时，最后可能安装的是 MariaDB，因为它是很多（不是全部）Linux 发行版的默认设置。其中：Red Hat Enterprise/CentOS/Fedora/Debian 发行版默认会安装 MariaDB，而其他发行版（如 Ubuntu）默认安装 MySQL。

题目解析

检材二

根据IP地址落地及后续侦查，抓获了搭建网站的技术员，扣押了其个人电脑并制作镜像“检材2”，分析所有掌握的检材回答下列问题

通过第2题答案，解压检材2（在服务器取证4电子数据取证每日一练-服务器取证4）

11.检材2中，windows账户Web King的登录密码

挂载之后使用猕猴桃获取hash

lsadump::sam /system:"J:WindowsSystem32configSYSTEM" /sam:"J:WindowsSystem32configSAM"

找到目标用户的hash

Hash NTLM: 7ec356a830f3ff153346b018879cfbf1

hashcat  -m 1000 -a 0 7ec356a830f3ff153346b018879cfbf1 rockyou.txt

找到密码

12.检材2中，除172.16.80.133以外，还远程连接过哪个IP地址？

在用户目录的文档里面有一个远程连接的工具，查看一下对话可以找到

C:UsersWeb KingDocumentsNetSarang Computer7XshellSessions

在sessions文件下面是对话，也就是连接记录，里面一共有两个地址

还有一个是172.16.80.128

13.检材2中，powershell中输入的最后一条命令是

这个知识点在电子数据取证每日一练-windows取证中讲过，可以详细了解一下：AppData文件夹

在C:UsersWeb KingAppDataRoamingMicrosoftWindowsPowerShellPSReadLine目录下面是powershell的历史记录

14.检材2中，下载的涉案网站源代码文件名为

在下载里面，有几个压缩包，挨个看一下，然后上网查一下是什么，就能判断出来

15.检材2中，网站管理后台root账号的密码为

浏览器的密码建议还是仿真查看，本地破解加密数据库的话有一点难度，这也是常考的点，服务器的密码一般要从浏览器中查看

16检材2中，技术员使用的WSL子系统发行版本是

或者使用Xways找到wsl的文件目录，文件目录名称就是wsl的发行版本，有两个版本，里面文件多的是正常使用的版本

17.检材2中，运行的数据库服务版本号是

数据库在wsl里面

18.上述数据库debian-sys-maint用户的初始密码是

这个debian-sys-maint用户是debian数据库的默认用户，直接找

但是这里发先要root权限，root密码不是用户密码，所以这里使用Xways

总结

这一个检材的内容重点在于学习如何手动仿真windows的镜像，然后了解wsl的存放位置和功能——类似于docker，掌握好仿真的能力是为后面进一步分析windows镜像打下基础。同时了解MySQL和MariaDB的区别，和在哪些发行版中会出现哪种数据库。

如果喜欢我们的文章，不妨关注我们，如果想一起学习交流，可以公众号私信我们

往期内容推荐

原文始发于微信公众号（网络安全与取证研究）：电子数据取证每日一练-windows取证3