以下文章来源于公众号【金新路406取证人】
本篇由读者 dafashi 投稿,虽然题目相对较基础,但作者主要使用XWF进行分析,分析思路和手法都很有意思。编者相信本WP能提供另一个看待、处理、分析检材的角度,也能给暂时无法获取到商用取证软件的读者一个参考。
祝各位在取证的路上越走越远,也希望有想法的读者踊跃投稿!
案情介绍
林胜(Victor)是一名三十岁的中学教师。一天,他在家中使用计算机期间,收到一封勒索邮件,其中列出 他电子邮件用户名和密码,及其他个人资料,并声称他的用户数据已被窃取,计算机已被入侵。黑客向林胜勒索两个比特币,否则会使用他的个人用户数据作非法用途。林无力支付,于是报警,并向警方提供了他的个人计算机作检验。
现你被委派对林的计算机进行电子数据取证,还原事件经过。
取证工具
参赛队需自备取证设备和取证工具:
内存分析工具
介质取证分析工具
手机取证分析工具
网络取证分析工具
恶意软件分析工具
虚拟桌面工具(如 vmware)
所有证据文件与镜像,总容量在 500GB 之内(三) 镜像文件
你会获得林胜(Victor)计算机的硬盘镜像文件(Victor_PC.E01)。根据这个镜像文件的内容,回答相关的问题。
本次比赛共 1 个章节, 50 个小题, 比赛时长 118 分钟, 总共 100 分
1 | Victor 的笔记本电脑己成功取证并制作成法证映像档 (Forensic Image),下列哪个是其 MD5 哈希值? (2 分) |
---|---|
A. | FC20782C21751AB76B2A93F3A17922D0 |
B. | 5F1BDEB87EE9F710C90CFB3A0BB01616 |
C. | A0BB016160CFB3A0BB0161661670CFB3 |
D. | 917ED59083C8B35C54D3FCBFE4C4BB0B |
E. | FC20782C21751BA76B2A93F3A17922D0 |
亦可自己使用哈希计算工具计算
2 | 根据法证映像档 (Forensic Image),确定原笔记本内有多少个硬盘分区? (2 分) |
---|---|
A. | 1 |
B. | 2 |
C. | 3 |
D. | 4 |
E. | 5 |
Xway 恢复丢失分区
选中磁盘——工具——磁盘工具——扫描丢失的分区
发现没有丢失的分区,即三个
3 | 你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)? (答案格式: 扇区, Sector) (2 分) |
---|---|
A. | 0 |
B. | 2048 |
C. | 1048576 |
D. | 62916608 |
E. | 32213303296 |
即系统盘的起始扇区位置:判断系统盘——查看起始扇区位置
4 | 你能找到硬盘操作系统分区的物理大少吗 (字节 byte)? (2 分) |
---|---|
A. | 62709760 |
B. | 62910464 |
C. | 104857600 |
D. | 32107397120 |
E. | 32210157568 |
查看系统分区的属性
5 | 操作系统分区的文件系统是哪种? (2 分) |
---|---|
A. | FAT32 |
B. | EXFAT |
C. | NTFS |
D. | EXT3 |
E. | HFS+ |
同上题
6 | 操作系统分区,每个簇(Cluster)包含几个扇区(sectors)? (2 分) |
---|---|
A. | 2 |
B. | 4 |
C. | 6 |
D. | 8 |
E. | 16 |
由第四题可知,4096/512 = 8
7 | 在操作系统分区内,$MFT 的物理起始扇区位置(Starting physical sector)是什么? (2 分) |
---|---|
A. | 62919936 |
B. | 67086648 |
C. | 68942784 |
D. | 69208064 |
E. | 79865960 |
同第三题,先显示起始扇区位置,再查看系统盘的 $MFT
的起始扇区位置
8 | 请找出系统文件“SOFTWARE",请问操作系统的安装日期是? (答案格式 -“世界协调 时间":YYYY-MM-DD HH:MM UTC) (2 分) |
---|---|
A. | 2018-10-25 08:08 UTC |
B. | 2018-10-25 08:09 UTC |
C. | 2018-10-25 08:10 UTC |
D. | 2018-10-25 08:11 UTC |
E. | 2018-10-25 08:12 UTC |
注册表在系统盘 /windows/system32/config
里
../Software
,用 system
模板导出
9 | 用户“victor"的唯一标识符(SID)是什么?(答案格式:RID) (2 分) |
---|---|
A. | 1001 |
B. | 1002 |
C. | 1003 |
D. | 1004 |
E. | 1005 |
同上,identity
模板导出 software
注册表
10 | 用户“Lily"的唯一标识符(SID)是什么?(答案格式:RID) (2 分) |
---|---|
A. | 1001 |
B. | 1002 |
C. | 1003 |
D. | 1004 |
E. | 1005 |
同上
11 | Victor 上一次更改系统登入密码是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2 分) |
---|---|
A | 2018-11-01 16:08 +8 |
B | 2018-11:01 14:15 +8 |
C | 2018-10-26 17:00 +8 |
D | 2018-10-25 08:08 +8 |
E | 2018-10-25 16:08 +8 |
History
模板打开 sam
注册表
12 | Lily 上一次更改系统登入密码是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2 分) |
---|---|
A. | 2018-11-01 03:02:01 +8 |
B. | 2018-11:02 11:13:33 +8 |
C. | 2018-10-26 17:00:45 +8 |
D. | 2018-10-30 12:30:40 +8 |
E. | 2018-10-27 12:08:37 +8 |
同上
13 | Victor 总共登录系统多少次? (2 分) |
---|---|
A. | 3 |
B. | 16 |
C. | 33 |
D. | 36 |
E. | 45 |
同上
14 | 以下哪个帐号已经被禁用? (2 分) |
---|---|
A. | Administrator |
B. | victor |
C. | Lily |
D. | simon |
E. | 以上皆不是 |
同上
15 | 以下哪个帐系统权限最低? (2 分) |
---|---|
A. | Administrator |
B. | victor |
C. | Lily |
D. | simon |
E. | 以上权限一样 |
Identity 模板打开 sam 注册表
Guest
用户权限最低,1004
是 simon
16 | 以下哪个帐号曾经远端登录系统? (2 分) |
---|---|
A. | Administrator |
B. | victor |
C. | Lily |
D. | simon |
E. | 远端登入已被禁止 |
略,暂无思路,仿真或许可以
17 | 硬盘操作系统的版本? (2 分) |
---|---|
A. | Windows 7 Enterprise (32 位) |
B. | Windows 7 Enterprise (64 位) |
C. | Windows 7 Professional (32 位) |
D. | Windows 7 Professional (64 位) |
E. | Windows 7 Ultimate (64 位) |
同第 8 题,位数无法判断。。
18 | 操作系统的最新服务包(Service Pack)版本号是什么? (2 分) |
---|---|
A. | Service Pack 1 |
B. | Service Pack 2 |
C. | Service Pack 3 |
D. | Service Pack 4 |
E. | Service Pack 5 |
同 8
19 | 下列哪个是 victor 的默认打印机? (2 分) |
---|---|
A. | HP OfficeJet 250 Mobile Series |
B. | CutePDF Writer |
C. | Microsoft XPS Document Writer |
D. | PDF Complete |
E. | AL-M2330 |
依旧是查看注册表,路径为系统盘 /user/**用户/NTUSER
也可 printer
模板导出查看
20 | 在 2018-10-31 08:29:32 +8 时间, 账号 simon 曾经使用以下哪个文件? (2 分) |
---|---|
A. | Microsoft 商店.url |
B. | ug.jpeg |
C. | Reddy Resume.doc |
D. | grocerylistsDOTorg_Spreadsheet_v1_1.xls |
E. | InvoiceTemplate.docx |
History
打开 Simon 的 ntuser
注册表,搜索,只有 Reddy Resume.doc
和 grocerylistsDOTorg_Spreadsheet_v1_1.xls
,根据路径查找这两个文件,reddy
比较符合,而 gro
这个文件创建时间太晚了,不符合
21 | 接上题,开启上述文件的程序是? (2 分) |
---|---|
A. | Internet Explorer |
B. | Firefox |
C. | 画图 |
D. | WPS 表格 |
E. | WPS 文字 |
接上题,注册表中用到的是 wps,根据常识也能选出
22 | 以下哪个是 victor 的默认网页浏览器? (2 分) |
---|---|
A. | Internet Explorer |
B. | Google Chrome |
C. | 360 浏览器 |
D. | Firefox |
E. | 迅雷浏览器 |
依旧注册表
23 | victor 的回收站里面有一张地图,以下哪个是这张地图原来的文件名? (2 分) |
---|---|
A. | 捕获.PNG |
B. | 抓取.PNG |
C. | Screenshot.PNG |
D. | Map.bmp |
E. | Map.jpg |
24 | 接上题,上述地图原来的储存路径是? (2 分) |
---|---|
A. | C:\Users\victor\Pictures |
B. | C:\Users\victor\Documents |
C. | C:\Users\victor\Desktop |
D. | C:\Users\victor\Downloads |
E. | C:\ |
25 | 找出一个名为"request for quotation.lnk"的档案,并指出该 LNK 文件的目标路径? (2 分) |
---|---|
A. | C:\Users\victor\Pictures |
B. | C:\Users\victor\Documents |
C. | C:\Users\victor\Desktop |
D. | C:\Users\victor\Downloads |
E. | C:\ |
26 | 接上题,上述文件上一次开启的时间是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (2 分) |
---|---|
A. | 2018-10-29 15:11:43 +8 |
B. | 2018-10-29 19:24:16 +8 |
C. | 2018-10-29 15:11:42 +8 |
D. | 2018-11-01 14:51:25 +8 |
E. | 2018-10-29 07:11:42 +8 |
见上图
27 | 接上题,"request for quotation.lnk"的元数据(metadata)记录了以下哪个网卡的物理地 址(mac address)? (2 分) |
---|---|
A. | 00:0C:29:70:F4:47 |
B. | 00:50:56:C0:00:13 |
C. | 47:F4:70:29:0C:00 |
D. | E4:A7:A0:CB:66:C7 |
E. | 00:0C:29:70:F4:47 |
同上图
28 | 系统账号 victor 使用以下哪个电子邮件发送/接收的程序? (2 分) |
---|---|
A. | Outlook express |
B. | Lotus Note |
C. | Thunderbird |
D. | Roundcube |
E. | 没有安装以上软件 |
打开 victor
的软件用户数据,发现 thunderbird
29 | 系统经哪个 IP 地址,登录互联网? (2 分) |
---|---|
A. | 10.0.4.1 |
B. | 10.0.4.128 |
C. | 192.168.72.2 |
D. | 192.168.72.128 |
E. | 192.168.72.233 |
找注册表,不放图了
30 | 在该操作系统中,曾经连接数个 USB 移动储存装置 (U 盘),下列那个是该系统连接过的 USB 移动储存装置 ? (2 分) |
---|---|
A. | Verbatim USB Device |
B. | USB Mass storage USB Device |
C. | WD 2500BMV External USB Device |
D. | SanDisk Cruzer Fit USB Device |
E. | Seagate 250 External USB Device |
依旧注册表,对system
使用 system
模板解析。
31 | 在操作系统中,上述 U 盘曾被指派以下哪个磁盘分区代号(Drive Letter) ? (2 分) |
---|---|
A. | D: |
B. | E: |
C. | F: |
D. | G: |
E. | Z: |
同上
32 | 该操作系统中,下列哪个是最后的关机时间?(答案格式 -“世界协调时间":YYYY-MM- |
---|---|
A. | 2018-11-02 08:59:38 UTC |
B. | 2018-11-02 10:22:40 UTC |
C. | 2018-11-02 10:23:03 UTC |
D. | 2018-11-02 10:47:28 UTC |
E. | 2018-11-02 10:47:51 UTC |
同 8
33 | 该操作系统中,下列哪个是计算机的主机名? (2 分) |
---|---|
A. | VICTOR-COMPUTER |
B. | WORKGROUP |
C. | SIMON-HOME |
D. | VICTOR-HOME |
E. | LILY-HOME |
同 8
34 | 接上题,设定为上述计算机主机名前是什么名称? (2 分) |
---|---|
A. | 42P323K467-22 |
B. | 37L4247F27-25 |
C. | WIN-6S2GC51RGL9 |
D. | USER-PC |
E. | MY-PC |
本题存疑
35 | 接上题,上述计算机主机名设定时间是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (2 分) |
---|---|
A. | 2018-10-24 11:07:22 +8 |
B. | 2018-10-28 12:22:59 +8 |
C. | 2018-10-27 13:45:18 +8 |
D. | 2018-10-25 16:04:19 +8 |
E. | 2018-10-25 16:07:38 +8 |
略,思路是查看系统盘 /windows/system32/winevt/logs/system.evtx
,更改主机名的 事件ID
是 6001
,较晚的一个时间即答案
36 | 在该操作系统中,下列哪个是用户 victor 日常使用的电邮账号? (2 分) |
---|---|
A. | victor201811@hotmail.com |
B. | wictor2018111@hotmail.com |
C. | victor_201811@google.com |
D. | victorlam2018@hotmail.com |
E. | 以上皆不是 |
37 | victor 上一次更改上述电邮账号密码是什么时候?(答案格式 -“本地时间":YYYY-MM- DD) (2 分) |
---|---|
A. | 2018-10-29 |
B. | 2018-10-30 |
C. | 2018-10-31 |
D. | 2018-11-1 |
E. | 2018-11-2 |
38 | victor 什么时候收到勒索电邮?(答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2 分) |
---|---|
A. | 2018-11-02 09:09 +8 |
B. | 2018-11-02 09:10 +8 |
C. | 2018-11-02 10:09 +8 |
D. | 2018-11-02 17:09 +8 |
E. | 2018-11-02 17:10 +8 |
取证大师和 xway 结果存在偏差
39 | 以下哪个是发出勒索邮件的的 IP 地址? (2 分) |
---|---|
A. | 10.152.64.57 |
B. | 10.152.64.217 |
C. | 220.246.55.13 |
D. | 74.208.4.220 |
E. | 10.76.45.13 |
40 | 勒索邮件的附件解压后有一个病毒文件,这个文件的 MD5 哈希值是? (2 分) |
---|---|
A. | 72596F71248531853F37D4BD15D088C4 |
B. | 15B64B15CC5A5442196471690D4A088B |
C. | 67A1487E296328C9E802D50741D8DB9C |
D. | 72596F71248DH3S92LS7D4BD15D088C4 |
E. | 5BB71EF8E95A5249EF4C2A8CFF9A1E1C |
41 | 上述的病毒文件什么时间被系统执行? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2 分) |
---|---|
A. | 2018-11-02 14:15 +8 |
B. | 2018-11-02 17:09 +8 |
C. | 2018-11-02 17:13 +8 |
D. | 2018-11-02 17:20 +8 |
E. | 2018-11-02 17:23 +8 |
对Ntuser
使用 history
解析:
42 | 这个病毒是否会在重新开机后自动运行?如会,它是通过下列哪个程序执行? (2 分) |
---|---|
A. | Thunder.exe |
B. | QyKernel.exe |
C. | QyClient.exe |
D. | javaw.exe |
E. | 病毒不会自动执行 |
43 | 病毒文件被执行后有以下哪个文件被生成? (2 分) |
---|---|
A. | E8S377N3N8UOAMS82PQJ.temp |
B. | tbc_stat_cache.dat |
C. | JNativeHook_4940080920928265976.dll |
D. | 83aa4cc77f591dfc2374580bbd95f6ba.tmp |
E. | downloads.json |
44 | 接上题,上述文件有什么功能? (2 分) |
---|---|
A. | 获取镜头权限 |
B. | 追踪键盘记录 |
C. | 抓取浏览器密码 |
D. | 抓取系统登入密码 |
E. | 存取系统分区 |
45 | 以下哪个是系统安装的第三方输入法软件? (2 分) |
---|---|
A. | sogou pinyin |
B. | sogou wubi |
C. | Baidu Pinyin |
D. | QQ Pingyin |
E. | 以上皆不是 |
46 | 操作系统是跟哪一个时间服务器自动同步? (2 分) |
---|---|
A. | time.nist.gov |
B. | time-a.nist.gov |
C. | time.windows.com |
D. | time-b.nist.gov |
E. | time-nw.nist.gov |
47 | 法证人员于 2018-11-02 下午 6 时 25 分到场,之后对系统作以下哪项取证? (2 分) |
---|---|
A. | 抓取荧幕画面 |
B. | 备份使用者资料 |
C. | 备份浏览记录 |
D. | 抓取网络数据包 |
E. | 制作内存镜像档 |
48 | 法证人员到场后,以下哪个软件曾经在系统里运行过? (2 分) |
---|---|
A. | wireshark.exe |
B. | Magnet RAM capture.exe |
C. | Lightscreen.exe |
D. | fastdump.exe |
E. | 以上皆不是 |
上题可知
49 | 接上题,所抓取的资料被储存为以下哪个文件? (2 分) |
---|---|
A. | victor_PC_networktraffic.pcapng |
B. | Lily_PC.networktraffice.pcapng |
C. | PC_ screenshot.PNG |
D. | victor_PC_memdump.dmp |
E. | Lily_PC_memdump.dmp |
50 | 接上题,上述档案储存到以下哪个分区? (2 分) |
---|---|
A. | D: |
B. | E: |
C. | F: |
D. | G: |
E. | H: |
上题可知