【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

admin 2024年10月30日10:21:47评论20 views字数 7008阅读23分21秒阅读模式

以下文章来源于公众号【金新路406取证人】

来源:第四届“美亚杯”电子数据取证竞赛资格赛 手工版WP

本篇由读者 dafashi 投稿,虽然题目相对较基础,但作者主要使用XWF进行分析,分析思路和手法都很有意思。编者相信本WP能提供另一个看待、处理、分析检材的角度,也能给暂时无法获取到商用取证软件的读者一个参考。

祝各位在取证的路上越走越远,也希望有想法的读者踊跃投稿!

案情介绍

林胜(Victor)是一名三十岁的中学教师。一天,他在家中使用计算机期间,收到一封勒索邮件,其中列出  他电子邮件用户名和密码,及其他个人资料,并声称他的用户数据已被窃取,计算机已被入侵。黑客向林胜勒索两个比特币,否则会使用他的个人用户数据作非法用途。林无力支付,于是报警,并向警方提供了他的个人计算机作检验。

现你被委派对林的计算机进行电子数据取证,还原事件经过。

取证工具

参赛队需自备取证设备和取证工具:

  • 内存分析工具

  • 介质取证分析工具

  • 手机取证分析工具

  • 网络取证分析工具

  • 恶意软件分析工具

  • 虚拟桌面工具(如 vmware)

  • 所有证据文件与镜像,总容量在 500GB 之内(三) 镜像文件

你会获得林胜(Victor)计算机的硬盘镜像文件(Victor_PC.E01)。根据这个镜像文件的内容,回答相关的问题。

本次比赛共 1 个章节, 50 个小题, 比赛时长 118 分钟, 总共 100 分

1 Victor 的笔记本电脑己成功取证并制作成法证映像档 (Forensic Image),下列哪个是其     MD5 哈希值? (2 分)
A. FC20782C21751AB76B2A93F3A17922D0
B. 5F1BDEB87EE9F710C90CFB3A0BB01616
C. A0BB016160CFB3A0BB0161661670CFB3
D. 917ED59083C8B35C54D3FCBFE4C4BB0B
E. FC20782C21751BA76B2A93F3A17922D0

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

亦可自己使用哈希计算工具计算

2 根据法证映像档 (Forensic Image),确定原笔记本内有多少个硬盘分区? (2 分)
A. 1
B. 2
C. 3
D. 4
E. 5

Xway 恢复丢失分区

选中磁盘——工具——磁盘工具——扫描丢失的分区

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

发现没有丢失的分区,即三个

3 你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)? (答案格式: 扇区, Sector) (2     分)
A. 0
B. 2048
C. 1048576
D. 62916608
E. 32213303296

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

即系统盘的起始扇区位置:判断系统盘——查看起始扇区位置

4 你能找到硬盘操作系统分区的物理大少吗 (字节 byte)? (2 分)
A. 62709760
B. 62910464
C. 104857600
D. 32107397120
E. 32210157568

查看系统分区的属性【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

5 操作系统分区的文件系统是哪种? (2 分)
A. FAT32
B. EXFAT
C. NTFS
D. EXT3
E. HFS+

同上题

6 操作系统分区,每个簇(Cluster)包含几个扇区(sectors)? (2 分)
A. 2
B. 4
C. 6
D. 8
E. 16

由第四题可知,4096/512 = 8

7 在操作系统分区内,$MFT 的物理起始扇区位置(Starting  physical sector)是什么? (2 分)
A. 62919936
B. 67086648
C. 68942784
D. 69208064
E. 79865960

同第三题,先显示起始扇区位置,再查看系统盘的 $MFT 的起始扇区位置

8 请找出系统文件“SOFTWARE",请问操作系统的安装日期是? (答案格式 -“世界协调     时间":YYYY-MM-DD HH:MM  UTC) (2 分)
A. 2018-10-25 08:08 UTC
B. 2018-10-25 08:09 UTC
C. 2018-10-25 08:10 UTC
D. 2018-10-25 08:11 UTC
E. 2018-10-25 08:12 UTC

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

注册表在系统盘 /windows/system32/config

../Software,用 system 模板导出

9 用户“victor"的唯一标识符(SID)是什么?(答案格式:RID) (2 分)
A. 1001
B. 1002
C. 1003
D. 1004
E. 1005

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

同上,identity 模板导出 software 注册表

10 用户“Lily"的唯一标识符(SID)是什么?(答案格式:RID) (2 分)
A. 1001
B. 1002
C. 1003
D. 1004
E. 1005

同上

11 Victor 上一次更改系统登入密码是? (答案格式 -“本地时间":YYYY-MM-DD     HH:MM +8) (2 分)
A 2018-11-01 16:08  +8
B 2018-11:01 14:15 +8
C 2018-10-26 17:00  +8
D 2018-10-25 08:08 +8
E 2018-10-25 16:08  +8

History 模板打开 sam 注册表【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

12 Lily 上一次更改系统登入密码是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM     +8) (2 分)
A. 2018-11-01 03:02:01 +8
B. 2018-11:02 11:13:33 +8
C. 2018-10-26 17:00:45 +8
D. 2018-10-30 12:30:40 +8
E. 2018-10-27 12:08:37 +8

同上

13 Victor 总共登录系统多少次?  (2 分)
A. 3
B. 16
C. 33
D. 36
E. 45

同上

14 以下哪个帐号已经被禁用? (2 分)
A. Administrator
B. victor
C. Lily
D. simon
E. 以上皆不是

同上

15 以下哪个帐系统权限最低? (2 分)
A. Administrator
B. victor
C. Lily
D. simon
E. 以上权限一样

Identity 模板打开 sam 注册表

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

Guest 用户权限最低,1004simon

16 以下哪个帐号曾经远端登录系统? (2 分)
A. Administrator
B. victor
C. Lily
D. simon
E. 远端登入已被禁止

略,暂无思路,仿真或许可以

17 硬盘操作系统的版本? (2 分)
A. Windows 7 Enterprise (32 位)
B. Windows 7 Enterprise (64 位)
C. Windows 7 Professional (32 位)
D. Windows 7 Professional (64 位)
E. Windows 7 Ultimate (64 位)

同第 8 题,位数无法判断。。

18 操作系统的最新服务包(Service Pack)版本号是什么? (2 分)
A. Service Pack  1
B. Service Pack  2
C. Service Pack  3
D. Service Pack  4
E. Service Pack  5

同 8

19 下列哪个是 victor 的默认打印机? (2 分)
A. HP OfficeJet 250 Mobile  Series
B. CutePDF Writer
C. Microsoft XPS Document  Writer
D. PDF Complete
E. AL-M2330

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

依旧是查看注册表,路径为系统盘 /user/**用户/NTUSER 也可 printer 模板导出查看

20 在 2018-10-31  08:29:32 +8 时间, 账号 simon 曾经使用以下哪个文件?  (2 分)
A. Microsoft 商店.url
B. ug.jpeg
C. Reddy Resume.doc
D. grocerylistsDOTorg_Spreadsheet_v1_1.xls
E. InvoiceTemplate.docx

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WPHistory 打开 Simon 的 ntuser 注册表,搜索,只有 Reddy Resume.docgrocerylistsDOTorg_Spreadsheet_v1_1.xls,根据路径查找这两个文件,reddy 比较符合,而 gro 这个文件创建时间太晚了,不符合

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

21 接上题,开启上述文件的程序是? (2 分)
A. Internet Explorer
B. Firefox
C. 画图
D. WPS 表格
E. WPS 文字

接上题,注册表中用到的是 wps,根据常识也能选出

22 以下哪个是 victor 的默认网页浏览器? (2 分)
A. Internet Explorer
B. Google Chrome
C. 360 浏览器
D. Firefox
E. 迅雷浏览器

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

依旧注册表

23 victor 的回收站里面有一张地图,以下哪个是这张地图原来的文件名? (2 分)
A. 捕获.PNG
B. 抓取.PNG
C. Screenshot.PNG
D. Map.bmp
E. Map.jpg

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

24 接上题,上述地图原来的储存路径是? (2 分)
A. C:UsersvictorPictures
B. C:UsersvictorDocuments
C. C:UsersvictorDesktop
D. C:UsersvictorDownloads
E. C:

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

25 找出一个名为"request for quotation.lnk"的档案,并指出该 LNK 文件的目标路径? (2 分)
A. C:UsersvictorPictures
B. C:UsersvictorDocuments
C. C:UsersvictorDesktop
D. C:UsersvictorDownloads
E. C:

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

26 接上题,上述文件上一次开启的时间是?  (答案格式  -“本地时间":YYYY-MM-DD     HH:MM:SS +8) (2 分)
A. 2018-10-29 15:11:43 +8
B. 2018-10-29 19:24:16 +8
C. 2018-10-29 15:11:42 +8
D. 2018-11-01 14:51:25 +8
E. 2018-10-29 07:11:42 +8

见上图

27 接上题,"request for quotation.lnk"的元数据(metadata)记录了以下哪个网卡的物理地     址(mac address)? (2 分)
A. 00:0C:29:70:F4:47
B. 00:50:56:C0:00:13
C. 47:F4:70:29:0C:00
D. E4:A7:A0:CB:66:C7
E. 00:0C:29:70:F4:47

同上图

28 系统账号 victor 使用以下哪个电子邮件发送/接收的程序? (2 分)
A. Outlook express
B. Lotus Note
C. Thunderbird
D. Roundcube
E. 没有安装以上软件

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

打开 victor 的软件用户数据,发现 thunderbird

29 系统经哪个 IP 地址,登录互联网? (2 分)
A. 10.0.4.1
B. 10.0.4.128
C. 192.168.72.2
D. 192.168.72.128
E. 192.168.72.233

找注册表,不放图了

30 在该操作系统中,曾经连接数个 USB 移动储存装置 (U 盘),下列那个是该系统连接过的     USB 移动储存装置 ?  (2 分)
A. Verbatim USB  Device
B. USB Mass storage USB Device
C. WD 2500BMV External USB Device
D. SanDisk Cruzer  Fit USB Device
E. Seagate 250 External USB Device

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

依旧注册表,对system使用 system 模板解析。

31 在操作系统中,上述 U 盘曾被指派以下哪个磁盘分区代号(Drive Letter) ? (2  分)
A. D:
B. E:
C. F:
D. G:
E. Z:

同上

32 该操作系统中,下列哪个是最后的关机时间?(答案格式 -“世界协调时间":YYYY-MM-
A. 2018-11-02 08:59:38 UTC
B. 2018-11-02 10:22:40 UTC
C. 2018-11-02 10:23:03 UTC
D. 2018-11-02 10:47:28 UTC
E. 2018-11-02 10:47:51 UTC

同 8

33 该操作系统中,下列哪个是计算机的主机名? (2 分)
A. VICTOR-COMPUTER
B. WORKGROUP
C. SIMON-HOME
D. VICTOR-HOME
E. LILY-HOME

同 8

34 接上题,设定为上述计算机主机名前是什么名称? (2 分)
A. 42P323K467-22
B. 37L4247F27-25
C. WIN-6S2GC51RGL9
D. USER-PC
E. MY-PC

本题存疑

35 接上题,上述计算机主机名设定时间是? (答案格式  -“本地时间":YYYY-MM-DD     HH:MM:SS +8) (2 分)
A. 2018-10-24 11:07:22 +8
B. 2018-10-28 12:22:59 +8
C. 2018-10-27 13:45:18 +8
D. 2018-10-25 16:04:19 +8
E. 2018-10-25 16:07:38 +8

略,思路是查看系统盘 /windows/system32/winevt/logs/system.evtx ,更改主机名的 事件ID6001 ,较晚的一个时间即答案

36 在该操作系统中,下列哪个是用户 victor 日常使用的电邮账号?  (2 分)
A. [email protected]
B. [email protected]
C. [email protected]
D. [email protected]
E. 以上皆不是

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

37 victor 上一次更改上述电邮账号密码是什么时候?(答案格式 -“本地时间":YYYY-MM-     DD) (2 分)
A. 2018-10-29
B. 2018-10-30
C. 2018-10-31
D. 2018-11-1
E. 2018-11-2

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

38 victor 什么时候收到勒索电邮?(答案格式 -“本地时间":YYYY-MM-DD HH:MM +8)     (2 分)
A. 2018-11-02 09:09  +8
B. 2018-11-02 09:10  +8
C. 2018-11-02 10:09  +8
D. 2018-11-02 17:09  +8
E. 2018-11-02 17:10  +8

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

取证大师和 xway 结果存在偏差

39 以下哪个是发出勒索邮件的的 IP 地址? (2 分)
A. 10.152.64.57
B. 10.152.64.217
C. 220.246.55.13
D. 74.208.4.220
E. 10.76.45.13

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

40 勒索邮件的附件解压后有一个病毒文件,这个文件的 MD5 哈希值是? (2 分)
A. 72596F71248531853F37D4BD15D088C4
B. 15B64B15CC5A5442196471690D4A088B
C. 67A1487E296328C9E802D50741D8DB9C
D. 72596F71248DH3S92LS7D4BD15D088C4
E. 5BB71EF8E95A5249EF4C2A8CFF9A1E1C

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

41 上述的病毒文件什么时间被系统执行? (答案格式 -“本地时间":YYYY-MM-DD     HH:MM +8) (2 分)
A. 2018-11-02 14:15  +8
B. 2018-11-02 17:09  +8
C. 2018-11-02 17:13  +8
D. 2018-11-02 17:20  +8
E. 2018-11-02 17:23 +8

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

Ntuser 使用 history 解析:

42 这个病毒是否会在重新开机后自动运行?如会,它是通过下列哪个程序执行? (2 分)
A. Thunder.exe
B. QyKernel.exe
C. QyClient.exe
D. javaw.exe
E. 病毒不会自动执行

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

43 病毒文件被执行后有以下哪个文件被生成? (2 分)
A. E8S377N3N8UOAMS82PQJ.temp
B. tbc_stat_cache.dat
C. JNativeHook_4940080920928265976.dll
D. 83aa4cc77f591dfc2374580bbd95f6ba.tmp
E. downloads.json

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

44 接上题,上述文件有什么功能? (2 分)
A. 获取镜头权限
B. 追踪键盘记录
C. 抓取浏览器密码
D. 抓取系统登入密码
E. 存取系统分区

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

45 以下哪个是系统安装的第三方输入法软件? (2 分)
A. sogou pinyin
B. sogou wubi
C. Baidu Pinyin
D. QQ Pingyin
E. 以上皆不是

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

46 操作系统是跟哪一个时间服务器自动同步? (2 分)
A. time.nist.gov
B. time-a.nist.gov
C. time.windows.com
D. time-b.nist.gov
E. time-nw.nist.gov

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

47 法证人员于 2018-11-02 下午 6 时 25 分到场,之后对系统作以下哪项取证? (2 分)
A. 抓取荧幕画面
B. 备份使用者资料
C. 备份浏览记录
D. 抓取网络数据包
E. 制作内存镜像档

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

48 法证人员到场后,以下哪个软件曾经在系统里运行过? (2 分)
A. wireshark.exe
B. Magnet RAM capture.exe
C. Lightscreen.exe
D. fastdump.exe
E. 以上皆不是

上题可知

49 接上题,所抓取的资料被储存为以下哪个文件? (2 分)
A. victor_PC_networktraffic.pcapng
B. Lily_PC.networktraffice.pcapng
C. PC_ screenshot.PNG
D. victor_PC_memdump.dmp
E. Lily_PC_memdump.dmp

【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WP

50 接上题,上述档案储存到以下哪个分区? (2 分)
A. D:
B. E:
C. F:
D. G:
E. H:

上题可知

原文始发于微信公众号(DFIR蘇小沐):【美亚杯】第四届“美亚杯”电子数据取证竞赛资格赛 手工版WP

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月30日10:21:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【美亚杯】第四届美亚杯电子数据取证竞赛资格赛 手工版WPhttps://cn-sec.com/archives/3331260.html

发表评论

匿名网友 填写信息