取证小白 因为时间冲突 没有来得及参加比赛 现在让小白复盘一下 听说服务器取证挺难的
(不多说 我们来用小白思路 复盘一下)
持续更新中
先看一下案情信息
一共有三个人 分别是 闻早起 海公牛 玉王直
简要案情
检材清单
可以看到量还是蛮大的
开始做题
接下来我们开始做题目吧(为了方便以前面的序号为题号)
2-6
2. 先放入火眼里面跑一下 发现了文件分类里面有一个文件夹中存在vc
所以先盲猜 答案是VeraCrypt
现在 我们知道的太少了 所以先答VC吧
3.仿真一下镜像 要吧相关参数都取消掉 这样能保证正常运行
操作系统是win10 x64
找到对应的密码和pim
5FlowerMa)(ThousandGoldQiu]'/[;.
88
进去之后直接就弹出来了这个
![](https://img-blog.csdnimg.cn/direct/b0615ee3e92e490ea548d0cb940b5b2f.png)
![](https://img-blog.csdnimg.cn/direct/6744ef31a175435cbc831b7bb4a9ecbd.png)
所以答案应该是冰点还原软件
并且在c盘中寻找没有找到bitlocker 所以第二题应该是对的
4.先找一下这个路径 下是不是有内部的微信号
![](https://img-blog.csdnimg.cn/direct/2698196096d341bebf7ac25f0d8b3bfd.png)
![](https://img-blog.csdnimg.cn/direct/0874493133d34a07b35ba6ec291f329b.png)
果然找到了 很明显最后下面这个是微信的账号 wxid_bsvr29ygby9712
5.先查找 发现有三个 看文件的位置应该第一个是从网站上面下载下来的
![](https://img-blog.csdnimg.cn/direct/4785db9322974617b87140fc954bfb35.png)
在浏览器中只可以看到内网的网址 我们要接着去找对应的url
![](https://img-blog.csdnimg.cn/direct/62d1455a79ed428087ef47ff000ff905.png)
先询问一下数据库的地址
![](https://img-blog.csdnimg.cn/direct/464c2fd387a44e11abd56780af7f0aa6.png)
ok 接下来就是用sql browser来查一下就行
![](https://img-blog.csdnimg.cn/direct/b836783764c341a89115faaca244dff9.png)
可以看到对应下载端口11001下的完整路径
http://openim.sys.lab:11001/#/chat/si_4690220374_6898676456
6.使用password kit 直接跑一遍
![](https://img-blog.csdnimg.cn/direct/a48bd74de2d945eda8af1d328813d1c4.png)
e29************ 版本太低了没有找全密码
换个破解密码的软件
![](https://img-blog.csdnimg.cn/direct/d08a454a8df946ed88bb5f349d2ffa84.png)
一下子就出来了 密码是e290c5be371f4
6-11
![](https://img-blog.csdnimg.cn/direct/54609d40b51847deba0043fdca602f90.png)
7.第一次做u盘取证题目 就是现将u盘挂载然后 用vc解密就可以运行
![](https://img-blog.csdnimg.cn/direct/e7fb6e37451e471282662ce72015bed8.png)
![](https://img-blog.csdnimg.cn/direct/e13ef0af55f34d20af81548a2a2d5fba.png)
通过 剪裁的题目中我们可以看出来密码和pim
分别是:
GlGjSSy)(*QyHfBqz()- 15
![](https://img-blog.csdnimg.cn/direct/b3e078a6220741dab71ee54b1cb1c8a2.png)
![](https://img-blog.csdnimg.cn/direct/270a8929b520461b863f3f7d2f98cd8c.png)
就可以看出来 一共有 4个文件
8. 打开文档寻找
![](https://img-blog.csdnimg.cn/direct/3eb94a7ff55e41c48f89ac012141077d.png)
时间是2001/1/23
9. 在微信文件中找到了一个疑似恶意木马的exe文件
![](https://img-blog.csdnimg.cn/direct/a4ae40fa1e86446486951aca5f966331.png)
![](https://img-blog.csdnimg.cn/direct/7e44f10ff68e4702837f868a25042748.png)
用powershell 计算一下 exe的sha256
10. 放入软件里面分析一下就出来了 算一下一共是10个
![](https://img-blog.csdnimg.cn/direct/bc5a76dd0c9d4747932a7a1b97bd5d9a.png)
11.接着分析
![](https://img-blog.csdnimg.cn/direct/385c6a6c6f4148e78896d98c5d20ea7a.png)
导入的函数计算相加一下 就是264
12-19
![](https://img-blog.csdnimg.cn/direct/5481470c6ead47c89060e1b7522ca02b.png)
暂时未做 后面再补
20-30
![](https://img-blog.csdnimg.cn/direct/d5f0452059d64f54a9d5d4e4560bf102.png)
20
21
22
进入服务器取证部分 一下是 服务器ip地址划分表
![](https://img-blog.csdnimg.cn/direct/3bfbc027f20c4dd18b17cdd033a4bf13.png)
然后挂载 虚拟服务器
![](https://img-blog.csdnimg.cn/direct/bebe6980931040d299c184172d37852c.png)
31-40
![](https://img-blog.csdnimg.cn/direct/243f22336f9b4d8cb35bf41639d120b3.png)
41-50
51-60
61-70
61.和之前一样先挂载上来 然后在图片信息中找到相应的秘密
![](https://img-blog.csdnimg.cn/direct/7501e5923ecd4165989aad93722a65d1.png)
控制面板中可以找到相关的信息
62.
![](https://img-blog.csdnimg.cn/direct/df0aaa9ace944b5c8aa878cc3bc51833.png)
通过cmd可以直接输出
63.通过查找注册表可以得到 答案
![](https://img-blog.csdnimg.cn/direct/246fb02e45c34660b7b2bb0ee7e5e4a9.png)
![](https://img-blog.csdnimg.cn/direct/d43ce4ad4c144e53bfa741e6ade1dc45.png)
曾经挂载过 EF盘中
64
![](https://img-blog.csdnimg.cn/direct/6600bb4177f446198a7c3d44f7c8e2e5.png)
根据这个可以知道号为 7601
65
![](https://img-blog.csdnimg.cn/direct/f9c059a7e0c241a588f5c75796b0089e.png)
可以知道一共出来14次 然后本日的登录信息也在其中 我们可以直接找出来 有13次 但是有冰点还原所以 无法得知
66
在电脑里找半天没找到 无语了 最后在手机镜像里面找到了
![](https://img-blog.csdnimg.cn/direct/59a1e4bcca2e4dabb0debab1474da475.png)
密码是 ChaoPing2AnOpen)(*FengZheng1FanOver=-()
pim 应该是后面的30
和之前一样挂载之后解密
![](https://img-blog.csdnimg.cn/direct/8dae2bbe84904b2db85c4ee1fcc29422.png)
17-3+16+17+11=58 个文件一共
67.
![](https://img-blog.csdnimg.cn/direct/6742b914043e4614a6c4c079c00a4def.png)
【万宁五子棋】 琉璃秘境.mp4
68.
![](https://img-blog.csdnimg.cn/direct/d5f0ba15ec7b494298d5ca0a0dc3aed7.png)
接着挂载
![](https://img-blog.csdnimg.cn/direct/5f1a3a922d1342b1910d88c593dca7c1.png)
然后搜索一下 就出来了MD5: bce0bee4d9f6ec6172ad51f64223924c
71-80
![](https://img-blog.csdnimg.cn/direct/70712d30003d4a6581aeeeb78a162d73.png)
71.
![](https://img-blog.csdnimg.cn/direct/25197276bd13409abc6529cd72567e8f.png)
MD5: bce0bee4d9f6ec6172ad51f64223924c
72.
![](https://img-blog.csdnimg.cn/direct/76168ee81677464aa9841a4c151fc980.png)
找到了嗷
18268381608 (这是不是出题人的手机号呀goutou)
![](https://img-blog.csdnimg.cn/direct/2532a2c08c324afd97b69e4a81aff40e.png)
73.密码也在上图中有 就不多说了
74.一共5个
![](https://img-blog.csdnimg.cn/direct/8e9f3bc593cc49cdbff962980a17c2cf.png)
75.
![](https://img-blog.csdnimg.cn/direct/aa14ec2e756f4de7989d56b0fc824c30.png)
软件直接跑出来了
76. 应该是畅动力吧 (应该不可能是密约空间这种运动吧 hhhh)
![](https://img-blog.csdnimg.cn/direct/16a88396914948b69bdf323a6e9e793c.png)
77. 用其他应用分析找到了存放数据库的目录
然后就找到了最后一次跑步的起始点
![](https://img-blog.csdnimg.cn/direct/0cb0ec3ca25a496782e8cd38dd4e2a12.png)
30.17108659263663,120.15221402698702,gps,1671410521373,2.0,72.17
78. 很明显应该是微信
![](https://img-blog.csdnimg.cn/direct/50cb19acc8bb4bf4a8cdffde7cd1c49f.png)
79
就是这个 然后改一下大写就行了
80
这里我们把那个文件点导出来记得复制然后把后缀改为 .apk的格式
![](https://img-blog.csdnimg.cn/direct/0a0458f786ed47bfa06a3e61f898d6ee.png)
这里可以知道包名咯
81-90
![](https://img-blog.csdnimg.cn/direct/ccdbe9df713841dcb5dab8103475e545.png)
81
哈哈哈 用之前的手机号尝试一下注册 然后网站就爆出来了
![](https://img-blog.csdnimg.cn/direct/4dfbe1a378914b9caa6728bd935fb855.png)
看下面就是网址咯
82
![](https://img-blog.csdnimg.cn/direct/59267ebce647473eaaeb2da658d17bf3.png)
找一下就来了 ABCD
83
![](https://img-blog.csdnimg.cn/direct/83d4f309dab24da68ccfaf1cbd824db3.png)
找到时间戳咯
1710859432815 找个时间戳转换器就行了
![](https://img-blog.csdnimg.cn/direct/22afd85d2c544717bad557902dd7b971.png)
84
85
![](https://img-blog.csdnimg.cn/direct/86089b0f13d3421dbed62470b1e19893.png)
只有7个朋友 又让我找到了
86
![](https://img-blog.csdnimg.cn/direct/c4562c1cbcf747ddab89fbec3b523e21.png)
这里要记得把content勾选上 然后分析这七段聊天记录 就可以发现一共有4个
87
![](https://img-blog.csdnimg.cn/direct/3be0df7332104286a621a592015a0af4.png)
这里发现有上级对下级的话
应该是刘三姐咯
88
89
90