【数证杯】第一届数证杯个人赛——介质取证(转载)

文摘   2024-12-11 08:41   江苏  

以下文章来源于:金星路406取证人,作者XWays4N6。


本栏目主要是针对比赛题目进行分析和解题思路分享,只进行知识分享,不具一定的实战能力,后台不解答涉及可能侵害他人权利的问题,切勿用于违法犯罪活动。如果有工作方面的解答需求,请后台联系添加微信私聊。

数证杯介质取证的WP应该已经有人做过了,不过我更希望是分享一下自己的思路和见解。本WP主要使用XWF完成,其次使用火眼取证和仿真辅助,和我比赛时的状态基本一致。本人思路不一定完整和严谨,但是通过这个思路得出的答案肯定是对的。因为是写的做题思路和心路历程,所以也略显啰嗦,如有不周全或有误的地方,也希望各位能及时指出,感谢!此外,也不要觉得使用XWF很难,虽然XWF有一定门槛,且偏向手工取证,但是事实上在取证时能大幅提高解题效率。


1、计算机中曾挂载的Bitlocker加密分区的恢复密钥后6位为?(答案格式:6位数字) (1.0分)

在赛中,想要快速搜索BitLocker加密分区恢复密钥的话,一般可以通过同步搜索和过滤器来查找。我一般会搜索以下三个字符串:

BitLocker 驱动器加密恢复密钥
恢复密钥:
BitLocker Drive Encryption recovery key

基本上半分钟就能搜索好:

同时,也会尝试进行过滤,一般是递归浏览计算机检材的所有分区,然后进行过滤。我在此处使用的是郭老师精心整理的过滤条件:

过滤条件的下载地址为:

https://www.cflab.net/Support/Download/tools.html

适用于20.x版本:https://www.cflab.net/Support/Download/apps/%E8%BF%87%E6%BB%A4%E6%9D%A1%E4%BB%B6-20.x.zip

适用于19.8版本:https://www.cflab.net/Support/Download/apps/%E8%BF%87%E6%BB%A4%E6%9D%A1%E4%BB%B6-19.8.zip

过滤后,也能快速找到恢复密钥:


2、请写出曾远程连接过该计算机的IP;(答案格式:6.6.6.6) (1.0分)

1分题,一般是直接能被解析出来的。

RDP记录中寻找即可。

因为远程连接的方式非常多,所以还是建议大家把常用的几个远程控制工具(ToDesk、向日葵Oray Sunlogin、TeamViewer、Rust Desk、AnyDesk、Splashtop、Parsec等)都检查一下,如果没有的话那应该就是RDP了,可以通过日志来检查。具体检查方式如下:

eventvwr中,在应用程序和服务日志中,定位到Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational,过滤1149这个ID,就能查询到RDP的登录记录:

此外,在注册表HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\中,记录了用户曾经在自己的电脑上登陆过哪些远程电脑。

最后需要补充一下,如果Windows系统中安装了Linux子系统,出题人也可能会把使用ssh登录子系统的行为认为是远程连接到该电脑,对于此,在XWF中过滤Linux的终端历史记录文件即可。


3、计算机中曾挂载的vhd非加密分区驱动器号为?(答案格式:大写,如D) (1.0分)

本题我没找到能够直接梭的办法,我主要使用多种方式交叉验证得到结果,是挂载为的M盘。

首先先找到这两个vhd文件:

确定了分别是 338899.vhd 和 996600.vhd,打开并解释为磁盘后能发现,338899.vhd(1GB)为 BitLocker 加密后的虚拟磁盘,另一个可以直接查看内容,所以本题所问的应该就是 996600.vhd 文件。打开后,可以看到主要有以下几个文件,注意时间信息:

同时在XWF解析的注册表报告中,能看到在 2024/11/09 20:59:10 +8时,有关于vhd的操作:

在仿真后的电脑中,能看到最近访问记录:

发现了有M盘和R盘的记录,但是明显M盘中没有名称中带有 286 的文件,所以此时我们基本可以知道,非加密分区被挂载为了M盘。

然后带着这个推测,我们继续检查最近使用记录,能找到我们刚才关注的虚拟磁盘中的文件,时间基本能对应上(与挂载操作相差50秒左右)。

同时也能在最近使用记录中找到关于vhd文件本身的操作(被访问,很有可能就是被挂载),时间也和vhd的挂载时间高度近似(相差十秒左右):

此外,如果您已经将 BitLocker 卷解密,会发现:M有的R都有,R有的M不一定有

结合以上种种条件,基本可以确定是被挂载到M分区了。

另外,如果直接挂载vhd文件,也能基本确定被分配到M分区(川哥指教):


4、接上题,分区中最后修改时间的文件MD5值为?(答案格式:全大写) (1.0分)

0A7152C5AA002A3D65DC5C5C5FAAB868


5、请找到计算机中的Veracrypt加密容器,并写出其解密密码?(答案格式:字母大小写与实际需一致) (6.0分)

先找到加密容器:

实在找不到的时候,我一般是从大到小排序,然后查看十六进制值。

一般来说,做题到这个程度应该是懵的,因为没有任何线索和提示,所以此时应该先往下做,后面找到线索了再记录考虑。

后来,我们找到了模拟器的备份文件,是7z的格式:

导出来,解压,分析vmdk,在微信记录中找到了VC密码:

1P2P3$$pian5p6p78pian


6、请写出IP为202.113.81.243的发件人向机主发送的最后一封邮件附件的MD5值;(答案格式:全大写) (1.0分)

比赛中,赛方进行了说明:请大家注意下,计算机取证第6题补充说明下:题干中所述发送的邮件指的是某IP向机主发送的最后一封邮件!

先过滤出邮件文件:

对所有过滤出来的文件做磁盘快照,记得勾选解析邮件:

因为没法直接过滤发件IP,所以我们在同步搜索中搜索IP:202.113.81.243

并且这文件的时间都是一样的:

所以只能挨个看了,看出来后对附件做磁盘快照,查看哈希:

即:6CF25FFF7D2882DBF5722B3B9E382B5F


7、计算机中Will Wight - Cradle Series (Books 1-12)- MOBI.torrent文件的下载地址为?(答案格式:http://...) (1.0分)

拿这个文件名去同步搜索,能在某基于Firefox的浏览器的记录里面(places.sqlite)直接找到:

找到后咱做个磁盘快照,然后浏览这个数据库文件,查看解析出来了什么:

其实这个是能够和 torrent 文件的元数据对应上的:


8、计算机中lqrazqq016j41.jpg文件的删除时间为?(UTC+0800)(答案格式:1990-01-01 01:01:01) (1.0分)

这个好说,回收站见,注意时区问题:

9、Fikret Ceker曾经向机主发送过一张照片,请找到该图片写出其拍摄的GPS坐标;(答案格式:保留小数点后4位,如33.3333N,33.3333E) (3.0分)

这道题XWF的解析有点问题,需要手工解析base64,最后我是用弘连来解析的:

EXIF信息中的GPS坐标挺迷的,在这里应该是需要用小数来表示,我用 exiftool 解析出来是:40.0112N,112.7000,但是因为不同软件在进位和舍弃上存在一定的分歧,所以用其他软件解析出来又可能会相差0.0001左右,比如川哥给到的答案:结果为40.0112N,112.7001E

本题知道怎么做就行,能不能做对完全看运气。我介质取证是满分,所以我知道我的答案和思路应该没啥大问题,个人感觉还是出题的时候考虑得不够周全,如果保留三位小数部分就会好很多。


10、计算机中用户“李四”在最后一次成功登录之前登录失败了多少次? (答案格式:纯数字) (3.0分)

本题需要翻日志,比赛中图快,直接在软件里面搜,事实上在 enentvwr 中搜索也是一样的:

DFIR蘇小沐
致力于电子数据取证(数字取证)与事件应急响应实战技术经验分享,计算机取证、手机取证、网络取证与犯罪调查、数据恢复、模糊图像增强、司法鉴定等技术研究【蘇小沐】
 最新文章