案情介绍
目录
2024年4月,卢某报案至警方,声称自己疑似遭受了“杀猪盘”诈骗,大量钱财被骗走。卢某透露,在与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏,起初资金出入均属正常。但随后,李某称赌博平台为提升安全性,更换了地址和玩法,转为通过群聊抢红包形式进行赌博。随着赌资不断增加,卢某投入巨额资金后,发现无法再访问该网站,同时李某也失去联系,卢某遂意识到自己被骗。在经济压力下,卢某选择报警,并承认参与赌博活动,愿意承担相应法律后果。警方依据卢某提供的线索和手机数据,迅速锁定犯罪团伙,并在一藏匿地点成功抓获犯罪嫌疑人李某和赵某。警方对嫌疑人持有的物品进行了证据固定:李某手机被标记为检材1,窝点内服务器为检材2,赵某使用的计算机为检材3。 接下来,请取证工作者根据案情和这些检材进行深入分析,并解答后续问题。
Windows部分
1.分析技术员赵某的windows镜像,并计算赵某计算机的原始镜像的SHA1值为?忽略大小写
FFD2777C0B966D5FC07F2BAED1DA5782F8DE5AD6
火眼直接分析,要等一会儿。
2.分析技术员赵某的windows镜像,疑似VeraCrypt加密容器的文件的SHA1值为?忽略大小写
B25E2804B586394778C800D410ED7BCDC05A19C8
首先是疑似vc加密容器,可以在火眼里先看一些疑似文件,或者直接仿真在里面看一看,找到一个2024fic,这样的文件应该会敏感一点。
哈希值计算一下就可以了
3.据赵某供述,他会将常用的密码放置在一个文档内,分析技术员赵某的windows镜像,找到技术员赵某的密码字典,并计算该文件的SHA1值?忽略大小写
E6EB3D28C53E903A71880961ABB553EF09089007
同样在文档中,还有一个commonpwd.txt,打开一看就是一个密码本,符合题目
4. 据赵某供述,他将加密容器的密码隐写在一张图片内,隐写在图片中的容器密码是?
qwerasdfzxcv
这题其实比赛的时候太武断了,没考虑到只能提交一次答案,所以直接提交了图片上的答案,很亏,应该仔细看看的。还是同样的目录下,pswd.jpg打开时一个密码,但是题目说隐写,所以肯定没那么简单,拿到主机010打开,看到最后有real password
5. 分析技术员赵某的windows镜像,bitlocker的恢复密钥是什么【答题格式:111111-222222-333333-444444-555555-666666-777777-888888】
404052-011088-453090-291500-377751-349536-330429-257235
这题就回到了2024fic的文件,由于题目提示,所以vc挂载一下,看看内容 ,挂载密码就是上一题得出的密码。
6. 分析技术员赵某的windows镜像,bitlocker分区的起始扇区数是【答题格式:1024】
146794496
这里就是,火眼直接看
7. 分析技术员赵某的windows镜像,默认的浏览器是
Chrome
这里也是火眼分析出来
8. 分析技术员赵某的windows镜像,私有聊天服务器的密码为【答题格式:abc123】
Zhao
解密扇区仿真起来之后,就可以看见有一个私有聊天密码,上面是账号下面是密码
9. 分析技术员赵某的windows镜像,嫌疑人计算机中有疑似使用AI技术生成的进行赌博宣传的图片,该图片中,宣传的赌博网站地址为?【答题格式:www.baidu.com】
www.585975.com
打开的图片前面有一张有网站,就是赌博网站
10. 分析技术员赵某的windows镜像,赵某使用的AI换脸工具名称为?
Roop
这里打开D盘的文件,可以找到有关换脸的软件
11. 分析技术员赵某的windows镜像,使用AI换脸功能生成了一张图片,该图片的名称为【答题格式:1.txt】
db.jpg
查看readme.md
--source为指定源文件,就是需要的脸的图片;--target为指定目标文件,就是需要换脸的文件;--output为指定结果,就是换脸后的图片
查看一下powershell的记录
12. 分析技术员赵某的windows镜像,ai换脸生成图片的参数中--similar-face-distance值为【答题格式:20.12】
0.85
见上题
13. 分析技术员赵某的windows镜像,嫌疑人使用AI换脸功能所使用的原始图片名称为【答题格式:abc.txt】
dst01.jpeg
见11题
14. 分析技术员赵某的windows镜像,赵某与李某沟通中提到的“二维码”解密所用的网站url地址为?【答题格式:http://www.baidu.com/1.html】
根据解密网站的提示,和在线网站,查看浏览器记录
15. 分析技术员赵某的windows镜像,赵某架设聊天服务器的原始IP地址为?【答题格式:192.168.1.1】
192.168.8.17
见上题,可以看见这个网站有admin和users操作,所以判断为聊天服务器 (同时提示了MoneyMoney)
16. 分析技术员赵某的windows镜像,据赵某交代,其在窝点中直接操作服务器进行部署,环境搭建好了之后,使用个人计算机登录聊天室进行沟通,请分析赵某第一次访问聊天室的时间为?
2024-03-14 20:32:08
见上题的截图,可以看见访问时间
17. 分析技术员赵某的windows镜像,openwrt的后台管理密码是
hl@7001
检索过程中找到带有openwrt的图片,附带网址,在谷歌浏览器中保存的密码中就有对应网站,即密码
18. 分析技术员赵某的windows镜像,嫌疑人可能使用什么云来进行文件存储?【答题格式:阿里云】
易有云
浏览器记录中翻到关于文件储存
19.分析技术员赵某的windows镜像,工资表密码是多少【答题格式:abc123】
aa123456
用密码本commonpwd爆破表格
20.分析技术员赵某的windows镜像,张伟的工资是多少【答题格式:20】
28300
打开工资表,第一个就是张伟
小总结
Windows部分基本不难,但是得到的很多信息其实不确定是不是这个点,而且一次提交机会,容错率很低,提交太急也会容易失分 ,正式打的第二次比赛,还不太熟练检索信息的使用工具,欢迎批评。
扫一扫
2781
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
