2016 第二届美亚杯个人赛Wp（自用笔记）

前景概要：
你会获得一个包含Hugo电脑硬盘的镜像文件，其文件名为“Competition_HD1.E01＂，该文件是由AccessData FTK Imager采集而来的。根据Hugo电脑硬盘的内容，请回答以下问题：

1.请写下Hugo电脑硬盘的MD5哈希值。
解题：使用取证大师，计算Hugo电脑硬盘的MD5值
答案：f895fd18e47a5371aec6db72d0aedca7
 

2.你能找到多少个硬盘分区？
解题：使用取证大师，查看硬盘分区数
答案：3

3.根据主引導記錄（MBR），以下哪組偏移显示了包含操作系统分区的总扇区数？

主引导记录（Master Boot Record，MBR）是一个位于硬盘磁盘扇区0的小型程序，大约512字节。它的主要功能是在计算机启动过程中找到并加载操作系统的引导装载程序（如Windows的NTLDR或Linux的grub）。MBR包含了分区表，用于描述硬盘上可用的分区信息，以及引导扇区指针，它指向操作系统实际安装在硬盘的第一个扇区。

当电脑从电源打开时，MBR会读取并解析分区表，然后选择用户想要启动的操作系统，将其加载到内存，以便开始引导过程。由于MBR只能存储最多四个分区的信息，所以对于现代的大容量硬盘，通常会使用更先进的引导机制，比如GPT（GUID Partition Table），而不再依赖MBR。

解题：不会

4.根据主引導記錄（MBR），包含操作系统的分区的总扇区数是多少？
解题：同上题，16进制为6176000，转换为10进制102195200

答案：不会

5.请找出系统文件“SOFTWARE＂，请问操作系统的安装日期是？
（答案格式－“世界协调时间＂：YYYY-MM-DD HH:MM UTC）
答案：2016-09-09 05:26 UTC
解题：使用取证大师，找到的时间是UTC+8所以应该注意-8小时

6.用户“Hugo＂的唯一标识符（SID）是什么？（答案格式：RID）

SID也就是安全标识符(Security Identifiers)，是标识用户、组和计算机帐户的唯一的号码

答案： 1000
解题：使用取证大师查找用户名Hugo下的sid

7.于包含操作系统的分区內，B i t m a p 的 物 理 起 始 偏 移 位 置 是 什 么 ？ （ 答 案 格 式 ： 256363 ）

答案：3219619840

解题：使用取证大师找Bitmap的物理位置减去，分区2的物理位置 3325526016-105906176 = 3219619840

8.硬盘的操作系统是什么？
答案： 视窗7
解题： 使用取证大师找到操作系统。
 

9.操作系统的最新服务包（Service Pack）版本号是什么？
答案： Service pack 1
解题：同上题序号10即为答案。

10.其中一个分布式拒绝服务／拒绝服务工具的readme文件中声明“SECURITY TESTING PURPOSES ONLY！＂请找出该readme文件，并列出文件中的前十二字符？
答案： GoldenEye =
解题：搜索文件名关键词readme，找到了该文件快捷方式，导出快捷方式对应的路径，找出该文件，打开文件后，找前12字符。

11.一个用户拥有分布式拒绝服务／拒绝服务（DDOS／DOS）工具？
答案： Hugo
解题：同上题，Hugo用户

12.用户 “Hugo＂的收藏夹中是否含有任何与“黑客＂相关的链接？若有，请列举出相关链接。
（答案格式：http://123.com/abc.htm）
答案：https://0day.work/
解题：找Hugo上网记录中每个浏览器的收藏夹

13.Hugo有时会自己编写程序代码。请问Hugo用什么语言编写程序？
（答案格式：ProgramLanguageName）
答案： Python
解题： 找到他写的脚本后缀名是py
 

14.请检查Hugo在桌面上的快捷方式文件，其中有一个快捷方式文件的创建日期是“2016-09-14＂（世界协调时间／UTC），请问该文件的目标位置是什么？
（答案格式：D:\folder\123.abc）
答案：C:\Users\Hugo\AppData\Local\Programs\Python\Python35-32\python.exe
解题：去Hugo桌面找到该快键方式，导出文件找其路径

15.请找一个“shellcode＂的文件夹，该文件夹中含有一个用于连接HTC Touch2设备的程序。请列举出其中任何的电子邮件地址。
（答案格式：abcd@email.com）
答案：celilunuver@gmail.com
解题：通过搜索找到该文件夹，仔细反查里边文件内容，在15136.cpp中找到电子邮件地址。
 

16.Hugo承认曾经进行网络攻击诈骗，并且把诈骗金额记录在电脑中。请问，保存有诈骗金额记录的文件名是什么？
（答案格式：123.abc）
答案：Important.xlsx
解题： 根据翻找常用文件夹，在我的文档里找到，
 

17.在所有用户中，用于电子邮件发送/接收的程序名称是什么？
答案： Foxmail
解题：邮件解析中找到使用的软件名
 

18.根据上述问题，请于注册表(registry)找出该电子邮件发送/接收程序的版本号。
（答案格式：1.3.4.5）
 不会

19.Hugo的主要电子邮件地址是什么？
（答案格式：abc@mail.com）
答案：hackerthehugo@qq.com
解题：通过找foxmail里找到他的主要邮件地址
 

20.加分题︰Hugo有任何其他属于Google的电子邮件地址吗？
（答案格式：abcd@gmail.com）
答案：hugo82618@gmail.com
解题： 搜索关键词@gmail.com即可找到
 

21.Hugo编写了一个获取击键信息（k）的程序。请问，该程序的文件名是什么？（keystrokes  ）
（答案格式：123.abc）
答案： malware.py（恶意软件）
解题：attack——认真读python代码。

22.根据上述问题，程序中攻击者的IP地址是什么？
（答案格式：123.123.123.123）
答案： 192.168.4.78
解题：记事本打开——查找ip。

23.Hugo也编写了另一个程序，并存储在同一个文件夹中，该程序开启一个用于建立连接的端口。请问，该端口号是多少？
（答案格式：8080）
答案：443
解题：读代码
 

24.Hugo有时会注入恶意脚本到已经被攻击的网站中盗取PayPal的用户帐户和密码。请找到该脚本。请问，用于存储盗窃信息的文件名称是什么？
（答案格式：123.abc）
答案：Passwd.txt
解题：在我的文档下面找到了一段PHP代码，从代码中即可得知。

PHP：Hypertext Preprocessor，中文名：“超文本预处理器”是一种通用开源脚本语言。语法吸收了C语言、java和Perl的特点，利于学习，使用广泛，主要适用于web开发领域。用PHP做出的动态页面与其他的编程语言相比，PHP是将程序嵌入到HTML（标准通用标记语言下的一个应用）文档中去执行，执行效率比完全生成HTML标记的CGI要高许多；PHP还可以执行编译后代码，编译可以达到加密和优化代码运行，使代码运行更快。
————————————————

 原文链接：https://blog.csdn.net/Jack0610/article/details/110733859

25.Hugo用于PayPal的网络钓鱼电子邮件，请问，该PayPal帐户号码是什么？
（答案格式：98-765-4321）
答案：12-976-9860
解题：找到该电子邮件，并读内容。
 

26.根据上述问题，网络钓鱼电子邮件将链接到一个URL查看交易的细节。请问，该链接的URL是什么？
（答案格式：http://abc.com/abc.htm）
答案：http://158.69.201.134/login.html
解题：

27. 请问哪一个文件中保存了微软互联网浏览器的历史浏览记录？
（答案格式：123.abc）
答案：Index.dat
解题：找出微软浏览器的历史记录，并跳转到源文件

28.根据上述问题，那个档案储存了Hugo的微软互联网浏览器的缓存记录（cache history）？（答案格式：C:\folder\subfolder\123.abc）
答案：C:\Users\Hugo\AppData\Local\Microsoft\Feeds Cache\index.dat
解题：方法同上题

29.根据微软互联网浏览器的历史浏览记录，Hugo在2016-09-13，02:32:34（世界协调时间／UTC），曾访问域／主机的名称／地址是什么？(10:32)
（答案格式：http://www.abc.com.cn）
答案：
解题：找IE的浏览记录，并按时间筛选。

30.请找出Mozilla Firefox的互联网历史文本，上述文本的名称是什么？
（答案格式：123.abc）
答案： places.sqlite
解题： 方法同27 28题
 

31.请检查视窗用户Hugo中的Mozilla Firefox互联网历史文本，他是在那一天（世界协调时间／UTC），访问网页www.xshellz.com？
（答案格式：YYYY-MM-DD）
答案： 2016-09-13
解题：搜索关键词www.xshellz.com
 

32.请问哪一个文件中保存了Google Chrome浏览器的历史浏览记录？
答案：History
解题：方法同27 28 30题
 

33.该电脑中可能含有Jason的相关信息，例如电子邮件地址。请问，Jason的电子邮件地址是什么？
(提示：21个字符)
答案： jasonforensics@qq.com
解题：认真找邮件，即可发现
 

34.有没有发现其他可以与手机通讯的聊天程式？
（答案格式：ProgramName）(程序名字)
答案：WeChat
解题：在即时通讯软件中找到微信电脑版

35.有没有发现任何包括安全文件传输功能的传输工具？
（答案格式：123.abc）
答案：WinSCP.exe
解题：在downloads文件夹里发现了该软件
 

36.根据上述问题，该文件传输工具是从哪里下载的？
（答案格式：https://domain.abc）
答案：https://winscp.net
解题：关键词搜索
 

37.根据上述问题，请问用户使用哪一个浏览器下载该文件传输工具？
答案： Chrome
解题：在谷歌上网记录中的下载记录可找到
 

38.有没有发现任何已下载的远程访问工具？若有，请列举。
（答案格式：123.abc）
答案：putty.exe
解题：在Hugo的桌面上发现有putty.exe

39.加分题︰根据远程访问工具，请问用户曾连接到哪一个主机名？
答案：不会