【电子取证】2024数证杯决赛团队赛——计算+内存取证

1. 计算机中曾挂载的bitlocker加密的分区的驱动器号为？（答案格式：大写字母，如C） (2.0分)【V】

我直接去日志里面搜了，找到两个，一个X盘和一个V盘，V盘是被解锁了，题目问的是曾挂载，应该就是V盘

2. 分析计算机和内存检材，计算机中的Bitlocker加密分区的恢复密钥后6位为？（答案格式：123456） (4.0分)【432267】

这个就是比较注重思路的，首先因为是计算机嘛，电脑配置吃紧的情况下能不仿真做就不仿真。直接放到PasswareKit里面是没有BitLocker分区的。也就是说大概率这是一个虚拟磁盘文件加的Bitlocker锁。这就是做这一道题的思路

虚拟磁盘文件的后缀是.vhd

搜出来三个，怎么说呢，去实际挂在一下试试，你要是说挨个破解一下试试，那倒是也行，看个人了，两种思路都可以

DJ2B0408.vhd打开就是一个表格文件，这个也就是上一个题目出现的X盘

Q1-3-3_2.vhd就是被Bitlocker加密了，也就是V盘

接下来就是破解了，时间会很长，慢慢等，不急

时间真的很长，吃电脑配置了属于是

3.计算机中通过向日葵接收的最后一个文件名称为？（答案格式：需带后缀名，如Abc.doc） (4.0分) 【我们走在大路上.doc】

找到向日葵的文件目录（怎么找应该不用说吧，右击桌面图标然后打开文件位置），有个log目录，里面一个history文本文档命名得特立独行

4. 计算机中加密容器8df84968a5b8c4d072c4daa4fd02cb19的解密密码为？ (2.0分)【ppnn13%323658970YYZZ】

这个也是思路问题。在上下文没有过多线索的时候，坚信线索基本就是在当前文件夹，或者在图片里面。图片里面找了但是没有找到，当前文件夹下有一个重要资料，打开也没什么重要的东西。那就只能用X-way看看，毕竟数证太爱搞Misc了。

调一下右上角的这个编码再看

5. 接上题，计算机中曾挂载的该加密容器分区中最后访问的文件，其文件名为？（答案格式：需带后缀名，如Abc.doc） (2.0分)【captcha6.png】

通过分析出来的软件发现该计算机上有TC

用TC挂载一下

6. 请找到计算机中MD5值为2EA4D8A203F6CAFBDA0F6947EE2F0FE5的文件，写出其文件内容；（答案格式：需与实际一致，且涉及符号的部分半角全角需与实际一致） (4.0分)

这个题怎么说呢，看直觉，有文件内容，优先考虑文本文档，doc和docx文档

没错，做到现在我很懵，实在不知道咋做了，去看了一下其他佬的解答，说实话，更蒙了

为什么我算出来的哈希不一样，我甚至用好几个软件爱你都算了，我的哈希没算错。所以是我的检材下的不对么

7. 计算机中[email protected]在2010年5月11日收到的邮件附件图片中的联系电话为？ (6.0分)

找到图片，我寻思这也不是jpg的ASCII码啊

没办法，不能太依赖软件，这也是数证比赛的一个特色。去看一下原文件，发现了不得了的东西：异或08+base64

8. 计算机中MD5值为E653DF74D36008353C88F5A58B8F9326的文件是从哪个网址上下载的？（答案格式：http://abc/...） (1.0分)【http://suprbaydvdcaynfo4dgdzgxb4zuso7rftlil5yg5kqjefnw4wq4ulcad.onion/attachment.php?aid=3909】

三个浏览器只有一个有下载记录，保险起见确认一下，没问题了就是这个

9. 计算机中2024年11月12日 11:23:25访问的暗网网址为？（答案格式：http://abc/...） (1.0分)【http://suprbaydvdcaynfo4dgdzgxb4zuso7rftlil5yg5kqjefnw4wq4ulcad.onion/Thread-The-Guess-The-Movie-game】

10. 请找到嫌疑人曾经接收的文件“DefeatedJoyousNightingale.pdf“，计算其SHA-256值；（答案格式：如遇字母全大写） (6.0分)【B4380011D8C1E4AB6CCCA1380CE81F9B9144EA8D06E9814210D63A959B74E6E3】

没啥好说的

11. 计算机中包含由两个字母、五个数字、“CW”和四个数字组成的内容的文件名是？（答案格式：需带后缀名，如Abc.doc） (3.0分)【CheerfulSuperDonkey.text】

正则一下

[A-Za-z]{2}d{5}CWd{4}

12. 请写出计算机中系统分区上文件系统的卷序列号；（答案格式：全部8字节，小端序，忽略空格，如FA33C08ED0BC007C） (2.0分)【FED7CE66】

题目要求小端序，就是FED7CE66

13. 计算机中最后接入的U盘的卷标名称是什么？（答案格式：如abcd111A） (5.0分)【xing120G】

先找最后接入的U盘，名字是DataTraveler 3.0

再到设备信息里面对应

14. 计算机中程序wordpad.exe一共运行了多少次？（答案格式：请直接写数字，如6） (1.0分)【2】

15. 计算机内存中正打开的图片中的动物为？（答案格式：直接写出动物名称，如狗） (4.0分)【猫】

先找进程，PsScan一下

第一次接触MemProcFS这个工具，结果我的电脑一直下不下来，只能搬到仿真机上了

memfs.exe -device E:检材_内存.mem -forensic 1

找到PID 8692，把minidump拿下来

然后将将minidump.dmp重命名为minidump.data，使用Gimp打开，慢慢调位移，高度高一点，宽度慢慢调

16. 计算机内存中本地浏览器使用哪个端口连接到了184.30.21.38？（答案格式：纯数字） (2.0分)【50391】

17. 计算机内存中极速浏览器最后浏览的网址的登录密码？（答案格式：与实际大小写需一致） (5.0分)

指定forensic 4 模式，找到数据库路径

找到极速浏览器的程序名称JiSu.exe

然后对应到M盘的name目录，确定极速浏览器的PID

写一个SQL语句

SELECT sz
FROM v_timeline
WHERE PID IN (5436, 5708, 10520, 10732, 10932, 10940, 11008, 11116, 11660)
ORDER BY ft;

进入仿真机，访问该网站，发现用户名是zhang333

用BrupSuite爆破一下

比赛结束之后应该密码改掉了已经，所以复盘爆破不出来