【电子取证】2024数证杯——计算机取证+U盘

2024年12月15日23:34:05评论10 views字数 4241阅读14分8秒阅读模式

对计算机镜像进行分析，计算该镜像中ESP分区的SM3值后8位为？（答案格式：大写字母与数字组合，如：D23DDF44） (2分)【BE1073】

❝

ESP（EFI System Partition，EFI 系统分区）是一种特殊的分区，主要用于支持基于 UEFI（Unified Extensible Firmware Interface，统一可扩展固件接口）的系统启动。它是 GPT（GUID Partition Table）分区表格式的一部分。

ESP 分区的功能

存储引导加载程序：

保存操作系统的引导加载程序（如 Windows Boot Manager、GRUB 等）和相关文件。

每个安装在计算机上的操作系统通常会在 ESP 分区中创建一个子目录来存储自己的引导文件。

支持系统启动：

在基于 UEFI 的系统中，固件会读取 ESP 分区中的引导文件以启动操作系统。

传统的 BIOS 使用主引导记录（MBR）来启动系统，而 UEFI 则依赖 ESP。

存储 UEFI 应用程序：

包括硬件诊断工具、固件更新工具等。

多操作系统支持：

如果一台电脑安装了多个操作系统，ESP 分区可以存储每个系统的启动文件。

ESP 分区的特点

文件系统：

通常使用 FAT32 文件系统，因为 UEFI 固件需要支持它。

大小：

一般为 100MB 至 500MB，具体大小取决于安装的操作系统和需求。

标识符：

GPT 分区表中，ESP 的分区类型 GUID 是：C12A7328-F81F-11D2-BA4B-00A0C93EC93B。

挂载点：

在 Linux 系统中通常挂载为 /boot/efi，而在 Windows 中不会为其分配盘符。

对计算机镜像进行分析，该操作系统超管账户最后一次注销时间为？（时区为UTC+08:00）（答案格式如：1970-01-01 00:00:00） (2分)【2024-10-25 22:57:34】

对计算机镜像进行分析，该操作系统超管账户有记录的登录次数为？（填写数字，答案格式如：1234） (2分)【26】

此处存疑，因为只是说了有记录的登录次数，但是有两次登录失败不知道算不算登录参数

对计算机镜像进行分析，该操作系统设置的账户密码最长存留期为多少天？（填写数字，答案格式如：1234） (2分)【42】

这个就是涉及到密码策略，这个东西很常见，大到系统，如windows，linux，小到软件，比如mysql这些都有密码策略

win+R打开运行界面输入gpedit.msc，打开本地组策略编辑器

对计算机镜像进行分析，该操作系统安装的数据擦除软件的版本为？（答案格式：1.23） (2分)【5.86】

本题考查常识，计算机中软件的默认安装目录的名称为Program Files或Program Files(x86)，在各个盘里面都会存在

最后是在C盘的Program Files目录下有一个名为Eraser的软件（翻译过来就是橡皮），进入目录之后打开

对计算机镜像进行分析，该操作系统接入过一名称为“Realtek USB Disk autorun USB Device”的USB设备，其接入时分配的盘符为？（答案格式：A:） (2分)【E:】

软件梭的题

对计算机镜像进行分析，该操作系统无线网卡分配的默认网关地址为？（答案格式：127.0.0.1） (2分)【192.168.43.104】

软件梭的题

对计算机镜像进行分析，该操作系统配置的连接NAS共享文件夹的IP地址为？（答案格式：127.0.0.1） (2分)【192.168.188.1】

软件梭的题

对计算机镜像进行分析，写出“吵群技巧.txt”文件SM3值的后8位？（大写字母与数字组合，如：D23DDF44） (2分)【10887AE1】

直接搜吵群技巧搜不出来，说明这个文件不是直接存在的，那就大概率是在压缩包里面

我们直接搜压缩包

找到了，在话术、方法、技巧.zip里面

但是由于SM3是国密算法，所以certutil不支持，老老实实导出来用软件算吧

对计算机镜像进行分析，该操作系统通过SSH连接工具连接CCTalk测试环境的SSH端口为？（填写数字，答案格式如：1234） (2分)【12849】

远程连接的题，该电脑上有一个Xshell打开看看

对计算机镜像进行分析，该操作系统通过SSH连接工具连接的CCTalk境外服务器是哪个运营商的？（填写汉字，答案格式：阿里云） (2分)【亚马逊】

说实话，下次仿真计算机的时候先看回收站，坑的我裤衩子都不剩

Xmanager的SSH连接工具除了Xshell还有Xftp。后缀分别为.xsh和.xfp

还原CCTalk.xfp之后，点开Xftp，用在线软件查一下Whois就出来了，是Amazon亚马逊的IP

对计算机镜像进行分析，获取机主保存在本机的U盾序号的后4位数字为？（填写数字，答案格式如：1234） (2分)【6409】

当然先搜一下U盾，出来这么一张照片

我敲？隐写？上一次碰隐写好像还是上一次

binwalk一下发现一个PNG，再foremost一下，就出来了隐藏的图片

对计算机镜像进行分析，机主存储的某篇新闻报道“小程序搅动资源争夺战”的发表年份为？（答案格式：2024） (2分)【2019】

这种信息要么就在文件头要么就在文件屁股

直接找就行了

对计算机镜像进行分析，该操作系统访问“环球商贸”的IP地址为？（答案格式：127.0.0.1） (2分)【39.108.126.128】

对计算机镜像进行分析，“环球商贸”服务器配置的登录密码为？（答案按照实际填写，字母存在大小写） (2分)【HQSM#20231108@gwWeB】

软件梭的题

对计算机镜像进行分析，机主安装的PC-Server服务环境的登录密码是？（答案按照实际填写，字母全小写） (2分)【jlb654321】

和上一个题一样

对计算机镜像进行分析，其搭建的宝塔面板的登录密码为？（按实际值填写） (2分)

从快速访问里面可以看到，有一个虚拟磁盘，挂载挂不上，直接当新检材

仿真起来之后需要先设置一下网络，因为直接NAT出来是没网的

进入/etc/netplan目录修改配置文件00-installer-config.yaml

将原来的eth0修改为ens33

然后用finashell连上（好家伙，计算机取证爆改服务器取证）

然后bt 14一下

发现密码不给看，那就别怪我暴力了

费一下电脑，全局搜一下账号吧，想不到什么好办法

对计算机镜像进行分析，机主搭建的宝塔环境中绑定的宝塔账号是？（按实际值填写） (4分)【17859628390】

梭

对计算机镜像进行分析，机主搭建的宝塔面板中Mysql环境的root密码为？（按实际值填写） (4分)【123456】

宝塔里面看就行了

对计算机镜像进行分析，机主搭建的宝塔面板中Mysql环境连接的端口号为？（填写数字，答案格式如：1234） (2分)【3306】

看配置文件

接上题，“卡号分组”表所在的数据库名为？（答案按照实际填写，字母全小写） (4分)【a_train2023】

又是数据库，还是经典三步走

create user 'shuzheng'@'%' identified by '123456';                              #创建用户
grant all privileges on *.* to 'shuzheng'@'%' identified by '123456';           #授权
flush privileges;                                                               #刷新权限