【电子取证】2024数证杯——计算机取证+U盘

admin 2024年12月15日23:34:05评论10 views字数 4241阅读14分8秒阅读模式

对计算机镜像进行分析,计算该镜像中ESP分区的SM3值后8位为?(答案格式:大写字母与数字组合,如:D23DDF44) (2分)【BE1073】

【电子取证】2024数证杯——计算机取证+U盘
image

ESP(EFI System Partition,EFI 系统分区)是一种特殊的分区,主要用于支持基于 UEFI(Unified Extensible Firmware Interface,统一可扩展固件接口)的系统启动。它是 GPT(GUID Partition Table)分区表格式的一部分。

ESP 分区的功能

  1. 存储引导加载程序

    • 保存操作系统的引导加载程序(如 Windows Boot Manager、GRUB 等)和相关文件。
    • 每个安装在计算机上的操作系统通常会在 ESP 分区中创建一个子目录来存储自己的引导文件。
  2. 支持系统启动

    • 在基于 UEFI 的系统中,固件会读取 ESP 分区中的引导文件以启动操作系统。
    • 传统的 BIOS 使用主引导记录(MBR)来启动系统,而 UEFI 则依赖 ESP。
  3. 存储 UEFI 应用程序

    • 包括硬件诊断工具、固件更新工具等。
  4. 多操作系统支持

    • 如果一台电脑安装了多个操作系统,ESP 分区可以存储每个系统的启动文件。

ESP 分区的特点

  • 文件系统

    • 通常使用 FAT32 文件系统,因为 UEFI 固件需要支持它。
  • 大小

    • 一般为 100MB 至 500MB,具体大小取决于安装的操作系统和需求。
  • 标识符

    • GPT 分区表中,ESP 的分区类型 GUID 是:C12A7328-F81F-11D2-BA4B-00A0C93EC93B
  • 挂载点

    • 在 Linux 系统中通常挂载为 /boot/efi,而在 Windows 中不会为其分配盘符。

对计算机镜像进行分析,该操作系统超管账户最后一次注销时间为?(时区为UTC+08:00)(答案格式如:1970-01-01 00:00:00) (2分)【2024-10-25 22:57:34】

【电子取证】2024数证杯——计算机取证+U盘
image

对计算机镜像进行分析,该操作系统超管账户有记录的登录次数为?(填写数字,答案格式如:1234) (2分)【26】

此处存疑,因为只是说了有记录的登录次数,但是有两次登录失败不知道算不算登录参数

【电子取证】2024数证杯——计算机取证+U盘
image

对计算机镜像进行分析,该操作系统设置的账户密码最长存留期为多少天?(填写数字,答案格式如:1234) (2分)【42】

这个就是涉及到密码策略,这个东西很常见,大到系统,如windows,linux,小到软件,比如mysql这些都有密码策略

win+R打开运行界面输入gpedit.msc,打开本地组策略编辑器

【电子取证】2024数证杯——计算机取证+U盘
image

对计算机镜像进行分析,该操作系统安装的数据擦除软件的版本为?(答案格式:1.23) (2分)【5.86】

本题考查常识,计算机中软件的默认安装目录的名称为Program FilesProgram Files(x86),在各个盘里面都会存在

最后是在C盘的Program Files目录下有一个名为Eraser的软件(翻译过来就是橡皮),进入目录之后打开

【电子取证】2024数证杯——计算机取证+U盘
image
【电子取证】2024数证杯——计算机取证+U盘
image

对计算机镜像进行分析,该操作系统接入过一名称为“Realtek USB Disk autorun USB Device”的USB设备,其接入时分配的盘符为?(答案格式:A:) (2分)【E:】

软件梭的题

【电子取证】2024数证杯——计算机取证+U盘
image

对计算机镜像进行分析,该操作系统无线网卡分配的默认网关地址为?(答案格式:127.0.0.1) (2分)【192.168.43.104】

软件梭的题

【电子取证】2024数证杯——计算机取证+U盘
image

对计算机镜像进行分析,该操作系统配置的连接NAS共享文件夹的IP地址为?(答案格式:127.0.0.1) (2分)【192.168.188.1】

软件梭的题

【电子取证】2024数证杯——计算机取证+U盘
image

对计算机镜像进行分析,写出“吵群技巧.txt”文件SM3值的后8位?(大写字母与数字组合,如:D23DDF44) (2分)【10887AE1】

直接搜吵群技巧搜不出来,说明这个文件不是直接存在的,那就大概率是在压缩包里面

我们直接搜压缩包

找到了,在话术、方法、技巧.zip里面

但是由于SM3是国密算法,所以certutil不支持,老老实实导出来用软件算吧

【电子取证】2024数证杯——计算机取证+U盘
image
【电子取证】2024数证杯——计算机取证+U盘
image

对计算机镜像进行分析,该操作系统通过SSH连接工具连接CCTalk测试环境的SSH端口为?(填写数字,答案格式如:1234) (2分)【12849】

远程连接的题,该电脑上有一个Xshell打开看看

【电子取证】2024数证杯——计算机取证+U盘
image

对计算机镜像进行分析,该操作系统通过SSH连接工具连接的CCTalk境外服务器是哪个运营商的?(填写汉字,答案格式:阿里云) (2分)【亚马逊】

说实话,下次仿真计算机的时候先看回收站,坑的我裤衩子都不剩

【电子取证】2024数证杯——计算机取证+U盘
image

Xmanager的SSH连接工具除了Xshell还有Xftp。后缀分别为.xsh.xfp

还原CCTalk.xfp之后,点开Xftp,用在线软件查一下Whois就出来了,是Amazon亚马逊的IP

【电子取证】2024数证杯——计算机取证+U盘
image
【电子取证】2024数证杯——计算机取证+U盘
image

对计算机镜像进行分析,获取机主保存在本机的U盾序号的后4位数字为?(填写数字,答案格式如:1234) (2分)【6409】

当然先搜一下U盾,出来这么一张照片

我敲?隐写?上一次碰隐写好像还是上一次

binwalk一下发现一个PNG,再foremost一下,就出来了隐藏的图片

【电子取证】2024数证杯——计算机取证+U盘
image
【电子取证】2024数证杯——计算机取证+U盘
image

对计算机镜像进行分析,机主存储的某篇新闻报道“小程序搅动资源争夺战”的发表年份为?(答案格式:2024) (2分)【2019】

这种信息要么就在文件头要么就在文件屁股

直接找就行了

【电子取证】2024数证杯——计算机取证+U盘
image

对计算机镜像进行分析,该操作系统访问“环球商贸”的IP地址为?(答案格式:127.0.0.1) (2分)【39.108.126.128】

【电子取证】2024数证杯——计算机取证+U盘
image

对计算机镜像进行分析,“环球商贸”服务器配置的登录密码为?(答案按照实际填写,字母存在大小写) (2分)【HQSM#20231108@gwWeB】

软件梭的题

【电子取证】2024数证杯——计算机取证+U盘
image

对计算机镜像进行分析,机主安装的PC-Server服务环境的登录密码是?(答案按照实际填写,字母全小写) (2分)【jlb654321】

和上一个题一样

【电子取证】2024数证杯——计算机取证+U盘
image

对计算机镜像进行分析,其搭建的宝塔面板的登录密码为?(按实际值填写) (2分)

从快速访问里面可以看到,有一个虚拟磁盘,挂载挂不上,直接当新检材

仿真起来之后需要先设置一下网络,因为直接NAT出来是没网的

【电子取证】2024数证杯——计算机取证+U盘
image

进入/etc/netplan目录修改配置文件00-installer-config.yaml

将原来的eth0修改为ens33

【电子取证】2024数证杯——计算机取证+U盘
image
【电子取证】2024数证杯——计算机取证+U盘
image

然后用finashell连上(好家伙,计算机取证爆改服务器取证)

【电子取证】2024数证杯——计算机取证+U盘
image

然后bt 14一下

发现密码不给看,那就别怪我暴力了

费一下电脑,全局搜一下账号吧,想不到什么好办法

【电子取证】2024数证杯——计算机取证+U盘
image

对计算机镜像进行分析,机主搭建的宝塔环境中绑定的宝塔账号是?(按实际值填写) (4分)【17859628390】

【电子取证】2024数证杯——计算机取证+U盘
image

对计算机镜像进行分析,机主搭建的宝塔面板中Mysql环境的root密码为?(按实际值填写) (4分)【123456】

宝塔里面看就行了

【电子取证】2024数证杯——计算机取证+U盘
image

对计算机镜像进行分析,机主搭建的宝塔面板中Mysql环境连接的端口号为?(填写数字,答案格式如:1234) (2分)【3306】

看配置文件

【电子取证】2024数证杯——计算机取证+U盘
image

接上题,“卡号分组”表所在的数据库名为?(答案按照实际填写,字母全小写) (4分)【a_train2023】

又是数据库,还是经典三步走

create user 'shuzheng'@'%' identified by '123456';                              #创建用户
grant all privileges on *.* to 'shuzheng'@'%' identified by '123456';           #授权
flush privileges;                                                               #刷新权限
【电子取证】2024数证杯——计算机取证+U盘
image

然后用Navicat连接,注意这一次需要加一个SSH隧道,直接连接数据库会连不上,具体原因尚不明确,可能是宝塔的安全策略,求各位大佬看见教一教弟弟

【电子取证】2024数证杯——计算机取证+U盘
image
【电子取证】2024数证杯——计算机取证+U盘
image

接上题,“孙华锦”在2020-07-01 10:49:07时间节点的交易余额为?(答案格式:1234.56) (4分)【6610.94】

两个筛选条件

【电子取证】2024数证杯——计算机取证+U盘
image

对U盘镜像进行分析,其镜像中共有几个分区?(填写数字,答案格式如:1234) (2分)【2】

【电子取证】2024数证杯——计算机取证+U盘
image

对U盘镜像进行分析,其中FAT32主分区的FAT表数量有几个?(请使用十进制数方式填写答案,答案格式:1234) (2分)【1】

DiskGenius,磁盘-打开虚拟磁盘文件,然后右键未格式化的两个分区,分别点击恢复文件

【电子取证】2024数证杯——计算机取证+U盘
image

另一种方法

搜索Fat表头的十六进制F8FFFF

【电子取证】2024数证杯——计算机取证+U盘
image

对U盘镜像进行分析,其中FAT32主分区定义的每扇区字节数为?(请使用十进制数方式填写答案,答案格式:1234) (2分)【512】

算一下不就得了

1G是1073741824字节

U盘总共2097152个扇区

【电子取证】2024数证杯——计算机取证+U盘
image

咳咳,突然发现好像没那么麻烦,好像可以直接看

【电子取证】2024数证杯——计算机取证+U盘
image

对U盘镜像进行分析,其中FAT32主分区的文件系统前保留扇区数为?(请使用十进制数方式填写答案,答案格式:1234) (2分)【7345】

保留扇区数是从分区的第一个扇区开始,到 FAT 表区域之前的扇区数量。

【电子取证】2024数证杯——计算机取证+U盘
image

对U盘镜像进行分析,其中FAT32主分区的FAT1表相对于整个磁盘的起始扇区数为?(请使用十进制数方式填写答案,答案格式:1234) (2分)

FAT1 的起始扇区号是相对于分区起始扇区,也就是2048+7345=9393

【电子取证】2024数证杯——计算机取证+U盘
image

对U盘镜像进行分析,其中NTFS逻辑分区的$MFT起始簇号为?(请使用十进制数方式填写答案,答案格式:1234) (2分)【39082】

该磁盘八个扇区一个簇,算一算出来了就

【电子取证】2024数证杯——计算机取证+U盘
image
【电子取证】2024数证杯——计算机取证+U盘
image

对U盘镜像进行分析,其中NTFS逻辑分区的簇大小为多少个扇区?(请使用十进制数方式填写答案,答案格式:1234) (4分)【8】

同上题

【电子取证】2024数证杯——计算机取证+U盘
image

对U盘镜像进行分析,请从该镜像的两个分区中找出使用“新建文本文档.txt”记录的同一个MD5值的两部分信息,并写出该MD5值的第13--20位字符串。(答案格式:大写字母与数字组合,如:D23DDF44) (4分)【d668aee2】

在导出照片目录里面有一张损坏的照片

【电子取证】2024数证杯——计算机取证+U盘
image

和前面照片进行对比,发现文件头没了,那就补上

【电子取证】2024数证杯——计算机取证+U盘
image
【电子取证】2024数证杯——计算机取证+U盘
image
【电子取证】2024数证杯——计算机取证+U盘
image
【电子取证】2024数证杯——计算机取证+U盘
image

原文始发于微信公众号(sec0nd安全):【电子取证】2024数证杯——计算机取证+U盘

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月15日23:34:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【电子取证】2024数证杯——计算机取证+U盘https://cn-sec.com/archives/3509852.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息