【美亚杯】第四届“美亚杯”电子数据取证竞赛资格赛 手工版WP

文摘   2024-10-29 22:15   江苏  

以下文章来源于公众号【金新路406取证人】

来源:第四届“美亚杯”电子数据取证竞赛资格赛 手工版WP

本篇由读者 dafashi 投稿,虽然题目相对较基础,但作者主要使用XWF进行分析,分析思路和手法都很有意思。编者相信本WP能提供另一个看待、处理、分析检材的角度,也能给暂时无法获取到商用取证软件的读者一个参考。

祝各位在取证的路上越走越远,也希望有想法的读者踊跃投稿!


案情介绍

林胜(Victor)是一名三十岁的中学教师。一天,他在家中使用计算机期间,收到一封勒索邮件,其中列出  他电子邮件用户名和密码,及其他个人资料,并声称他的用户数据已被窃取,计算机已被入侵。黑客向林胜勒索两个比特币,否则会使用他的个人用户数据作非法用途。林无力支付,于是报警,并向警方提供了他的个人计算机作检验。

现你被委派对林的计算机进行电子数据取证,还原事件经过。

取证工具

参赛队需自备取证设备和取证工具:

  • 内存分析工具

  • 介质取证分析工具

  • 手机取证分析工具

  • 网络取证分析工具

  • 恶意软件分析工具

  • 虚拟桌面工具(如 vmware)

  • 所有证据文件与镜像,总容量在 500GB 之内(三) 镜像文件

你会获得林胜(Victor)计算机的硬盘镜像文件(Victor_PC.E01)。根据这个镜像文件的内容,回答相关的问题。


本次比赛共 1 个章节, 50 个小题, 比赛时长 118 分钟, 总共 100 分

1Victor 的笔记本电脑己成功取证并制作成法证映像档 (Forensic Image),下列哪个是其     MD5 哈希值? (2 分)
A.FC20782C21751AB76B2A93F3A17922D0
B.5F1BDEB87EE9F710C90CFB3A0BB01616
C.A0BB016160CFB3A0BB0161661670CFB3
D.917ED59083C8B35C54D3FCBFE4C4BB0B
E.FC20782C21751BA76B2A93F3A17922D0

亦可自己使用哈希计算工具计算

2根据法证映像档 (Forensic Image),确定原笔记本内有多少个硬盘分区? (2 分)
A.1
B.2
C.3
D.4
E.5

Xway 恢复丢失分区

选中磁盘——工具——磁盘工具——扫描丢失的分区

发现没有丢失的分区,即三个

3你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)? (答案格式: 扇区, Sector) (2     分)
A.0
B.2048
C.1048576
D.62916608
E.32213303296

即系统盘的起始扇区位置:判断系统盘——查看起始扇区位置

4你能找到硬盘操作系统分区的物理大少吗 (字节 byte)? (2 分)
A.62709760
B.62910464
C.104857600
D.32107397120
E.32210157568

查看系统分区的属性

5操作系统分区的文件系统是哪种? (2 分)
A.FAT32
B.EXFAT
C.NTFS
D.EXT3
E.HFS+

同上题

6操作系统分区,每个簇(Cluster)包含几个扇区(sectors)? (2 分)
A.2
B.4
C.6
D.8
E.16

由第四题可知,4096/512 = 8

7在操作系统分区内,$MFT 的物理起始扇区位置(Starting  physical sector)是什么? (2 分)
A.62919936
B.67086648
C.68942784
D.69208064
E.79865960

同第三题,先显示起始扇区位置,再查看系统盘的 $MFT 的起始扇区位置

8请找出系统文件“SOFTWARE",请问操作系统的安装日期是? (答案格式 -“世界协调     时间":YYYY-MM-DD HH:MM  UTC) (2 分)
A.2018-10-25 08:08 UTC
B.2018-10-25 08:09 UTC
C.2018-10-25 08:10 UTC
D.2018-10-25 08:11 UTC
E.2018-10-25 08:12 UTC

注册表在系统盘 /windows/system32/config

../Software,用 system 模板导出

9用户“victor"的唯一标识符(SID)是什么?(答案格式:RID) (2 分)
A.1001
B.1002
C.1003
D.1004
E.1005

同上,identity 模板导出 software 注册表

10用户“Lily"的唯一标识符(SID)是什么?(答案格式:RID) (2 分)
A.1001
B.1002
C.1003
D.1004
E.1005

同上

11Victor 上一次更改系统登入密码是? (答案格式 -“本地时间":YYYY-MM-DD     HH:MM +8) (2 分)
A2018-11-01 16:08  +8
B2018-11:01 14:15 +8
C2018-10-26 17:00  +8
D2018-10-25 08:08 +8
E2018-10-25 16:08  +8

History 模板打开 sam 注册表

12Lily 上一次更改系统登入密码是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM     +8) (2 分)
A.2018-11-01 03:02:01 +8
B.2018-11:02 11:13:33 +8
C.2018-10-26 17:00:45 +8
D.2018-10-30 12:30:40 +8
E.2018-10-27 12:08:37 +8

同上

13Victor 总共登录系统多少次?  (2 分)
A.3
B.16
C.33
D.36
E.45

同上

14以下哪个帐号已经被禁用? (2 分)
A.Administrator
B.victor
C.Lily
D.simon
E.以上皆不是

同上

15以下哪个帐系统权限最低? (2 分)
A.Administrator
B.victor
C.Lily
D.simon
E.以上权限一样

Identity 模板打开 sam 注册表

Guest 用户权限最低,1004simon

16以下哪个帐号曾经远端登录系统? (2 分)
A.Administrator
B.victor
C.Lily
D.simon
E.远端登入已被禁止

略,暂无思路,仿真或许可以

17硬盘操作系统的版本? (2 分)
A.Windows 7 Enterprise (32 位)
B.Windows 7 Enterprise (64 位)
C.Windows 7 Professional (32 位)
D.Windows 7 Professional (64 位)
E.Windows 7 Ultimate (64 位)

同第 8 题,位数无法判断。。

18操作系统的最新服务包(Service Pack)版本号是什么? (2 分)
A.Service Pack  1
B.Service Pack  2
C.Service Pack  3
D.Service Pack  4
E.Service Pack  5

同 8

19下列哪个是 victor 的默认打印机? (2 分)
A.HP OfficeJet 250 Mobile  Series
B.CutePDF Writer
C.Microsoft XPS Document  Writer
D.PDF Complete
E.AL-M2330

依旧是查看注册表,路径为系统盘 /user/**用户/NTUSER 也可 printer 模板导出查看

20在 2018-10-31  08:29:32 +8 时间, 账号 simon 曾经使用以下哪个文件?  (2 分)
A.Microsoft 商店.url
B.ug.jpeg
C.Reddy Resume.doc
D.grocerylistsDOTorg_Spreadsheet_v1_1.xls
E.InvoiceTemplate.docx

History 打开 Simon 的 ntuser 注册表,搜索,只有 Reddy Resume.docgrocerylistsDOTorg_Spreadsheet_v1_1.xls,根据路径查找这两个文件,reddy 比较符合,而 gro 这个文件创建时间太晚了,不符合

21接上题,开启上述文件的程序是? (2 分)
A.Internet Explorer
B.Firefox
C.画图
D.WPS 表格
E.WPS 文字

接上题,注册表中用到的是 wps,根据常识也能选出

22以下哪个是 victor 的默认网页浏览器? (2 分)
A.Internet Explorer
B.Google Chrome
C.360 浏览器
D.Firefox
E.迅雷浏览器

依旧注册表

23victor 的回收站里面有一张地图,以下哪个是这张地图原来的文件名? (2 分)
A.捕获.PNG
B.抓取.PNG
C.Screenshot.PNG
D.Map.bmp
E.Map.jpg

24接上题,上述地图原来的储存路径是? (2 分)
A.C:\Users\victor\Pictures
B.C:\Users\victor\Documents
C.C:\Users\victor\Desktop
D.C:\Users\victor\Downloads
E.C:\

25找出一个名为"request for quotation.lnk"的档案,并指出该 LNK 文件的目标路径? (2 分)
A.C:\Users\victor\Pictures
B.C:\Users\victor\Documents
C.C:\Users\victor\Desktop
D.C:\Users\victor\Downloads
E.C:\

26接上题,上述文件上一次开启的时间是?  (答案格式  -“本地时间":YYYY-MM-DD     HH:MM:SS +8) (2 分)
A.2018-10-29 15:11:43 +8
B.2018-10-29 19:24:16 +8
C.2018-10-29 15:11:42 +8
D.2018-11-01 14:51:25 +8
E.2018-10-29 07:11:42 +8

见上图

27接上题,"request for quotation.lnk"的元数据(metadata)记录了以下哪个网卡的物理地     址(mac address)? (2 分)
A.00:0C:29:70:F4:47
B.00:50:56:C0:00:13
C.47:F4:70:29:0C:00
D.E4:A7:A0:CB:66:C7
E.00:0C:29:70:F4:47

同上图

28系统账号 victor 使用以下哪个电子邮件发送/接收的程序? (2 分)
A.Outlook express
B.Lotus Note
C.Thunderbird
D.Roundcube
E.没有安装以上软件

打开 victor 的软件用户数据,发现 thunderbird

29系统经哪个 IP 地址,登录互联网? (2 分)
A.10.0.4.1
B.10.0.4.128
C.192.168.72.2
D.192.168.72.128
E.192.168.72.233

找注册表,不放图了

30在该操作系统中,曾经连接数个 USB 移动储存装置 (U 盘),下列那个是该系统连接过的     USB 移动储存装置 ?  (2 分)
A.Verbatim USB  Device
B.USB Mass storage USB Device
C.WD 2500BMV External USB Device
D.SanDisk Cruzer  Fit USB Device
E.Seagate 250 External USB Device

依旧注册表,对system使用 system 模板解析。

31在操作系统中,上述 U 盘曾被指派以下哪个磁盘分区代号(Drive Letter) ? (2  分)
A.D:
B.E:
C.F:
D.G:
E.Z:

同上

32该操作系统中,下列哪个是最后的关机时间?(答案格式 -“世界协调时间":YYYY-MM-
A.2018-11-02 08:59:38 UTC
B.2018-11-02 10:22:40 UTC
C.2018-11-02 10:23:03 UTC
D.2018-11-02 10:47:28 UTC
E.2018-11-02 10:47:51 UTC

同 8

33该操作系统中,下列哪个是计算机的主机名? (2 分)
A.VICTOR-COMPUTER
B.WORKGROUP
C.SIMON-HOME
D.VICTOR-HOME
E.LILY-HOME

同 8

34接上题,设定为上述计算机主机名前是什么名称? (2 分)
A.42P323K467-22
B.37L4247F27-25
C.WIN-6S2GC51RGL9
D.USER-PC
E.MY-PC

本题存疑

35接上题,上述计算机主机名设定时间是? (答案格式  -“本地时间":YYYY-MM-DD     HH:MM:SS +8) (2 分)
A.2018-10-24 11:07:22 +8
B.2018-10-28 12:22:59 +8
C.2018-10-27 13:45:18 +8
D.2018-10-25 16:04:19 +8
E.2018-10-25 16:07:38 +8

略,思路是查看系统盘 /windows/system32/winevt/logs/system.evtx ,更改主机名的 事件ID6001 ,较晚的一个时间即答案

36在该操作系统中,下列哪个是用户 victor 日常使用的电邮账号?  (2 分)
A.victor201811@hotmail.com
B.wictor2018111@hotmail.com
C.victor_201811@google.com
D.victorlam2018@hotmail.com
E.以上皆不是

37victor 上一次更改上述电邮账号密码是什么时候?(答案格式 -“本地时间":YYYY-MM-     DD) (2 分)
A.2018-10-29
B.2018-10-30
C.2018-10-31
D.2018-11-1
E.2018-11-2

38victor 什么时候收到勒索电邮?(答案格式 -“本地时间":YYYY-MM-DD HH:MM +8)     (2 分)
A.2018-11-02 09:09  +8
B.2018-11-02 09:10  +8
C.2018-11-02 10:09  +8
D.2018-11-02 17:09  +8
E.2018-11-02 17:10  +8

取证大师和 xway 结果存在偏差

39以下哪个是发出勒索邮件的的 IP 地址? (2 分)
A.10.152.64.57
B.10.152.64.217
C.220.246.55.13
D.74.208.4.220
E.10.76.45.13

40勒索邮件的附件解压后有一个病毒文件,这个文件的 MD5 哈希值是? (2 分)
A.72596F71248531853F37D4BD15D088C4
B.15B64B15CC5A5442196471690D4A088B
C.67A1487E296328C9E802D50741D8DB9C
D.72596F71248DH3S92LS7D4BD15D088C4
E.5BB71EF8E95A5249EF4C2A8CFF9A1E1C

41上述的病毒文件什么时间被系统执行? (答案格式 -“本地时间":YYYY-MM-DD     HH:MM +8) (2 分)
A.2018-11-02 14:15  +8
B.2018-11-02 17:09  +8
C.2018-11-02 17:13  +8
D.2018-11-02 17:20  +8
E.2018-11-02 17:23 +8

Ntuser 使用 history 解析:

42这个病毒是否会在重新开机后自动运行?如会,它是通过下列哪个程序执行? (2 分)
A.Thunder.exe
B.QyKernel.exe
C.QyClient.exe
D.javaw.exe
E.病毒不会自动执行

43病毒文件被执行后有以下哪个文件被生成? (2 分)
A.E8S377N3N8UOAMS82PQJ.temp
B.tbc_stat_cache.dat
C.JNativeHook_4940080920928265976.dll
D.83aa4cc77f591dfc2374580bbd95f6ba.tmp
E.downloads.json

44接上题,上述文件有什么功能? (2 分)
A.获取镜头权限
B.追踪键盘记录
C.抓取浏览器密码
D.抓取系统登入密码
E.存取系统分区

45以下哪个是系统安装的第三方输入法软件? (2 分)
A.sogou pinyin
B.sogou wubi
C.Baidu Pinyin
D.QQ Pingyin
E.以上皆不是


46操作系统是跟哪一个时间服务器自动同步? (2 分)
A.time.nist.gov
B.time-a.nist.gov
C.time.windows.com
D.time-b.nist.gov
E.time-nw.nist.gov

47法证人员于 2018-11-02 下午 6 时 25 分到场,之后对系统作以下哪项取证? (2 分)
A.抓取荧幕画面
B.备份使用者资料
C.备份浏览记录
D.抓取网络数据包
E.制作内存镜像档

48法证人员到场后,以下哪个软件曾经在系统里运行过? (2 分)
A.wireshark.exe
B.Magnet RAM capture.exe
C.Lightscreen.exe
D.fastdump.exe
E.以上皆不是

上题可知

49接上题,所抓取的资料被储存为以下哪个文件? (2 分)
A.victor_PC_networktraffic.pcapng
B.Lily_PC.networktraffice.pcapng
C.PC_ screenshot.PNG
D.victor_PC_memdump.dmp
E.Lily_PC_memdump.dmp

50接上题,上述档案储存到以下哪个分区? (2 分)
A.D:
B.E:
C.F:
D.G:
E.H:

上题可知


DFIR蘇小沐
致力于电子数据取证(数字取证)与事件应急响应实战技术经验分享,计算机取证、手机取证、网络取证与犯罪调查、数据恢复、模糊图像增强、司法鉴定等技术研究【蘇小沐】
 最新文章