前几天刚打完第三届“中科实数杯”的团队赛,特此在这里写一下解题的过程
考试说明:
考试介绍 :🌎考试说明:有嫌疑人在使用Windows系统,取证人员对该系统进行了硬盘镜像。通过自己的工具软件对档案袋中的镜像文件进行提取、分析、逆向、恢复、破解、查找等,在线完成填空、简答和司法鉴定意见书。司法鉴定意见书必须以 pdf 格式上传。全部完成后点击提交按钮,完成团体赛的比赛。
🔔司法鉴定意见书
注意事项:1.鉴定文书应便于办案机关及非专业人员理解和使用。 2.无需验证样品中文件、数据的真实性。 3结果评价依赖于鉴定文书信息的规范性、充分性,不规范、不充分将影响最终的评价结果。
检材:
镜像文件/备份文件:
windows7disk.E01-------(共300分)
SHA256.txt ----------------(校验完整性)
附件:司法鉴定意见书模板
工具软件:
取证大师V6.1.78829RTM(FMP)
火眼证据分析软件 v4.10.0.28739
火眼仿真取证软件 v3.9.2.2438
APK Easy Tool_v1.59.2
雷电APP智能分析 v1.3.1.2549
🌎Question🌎:
磁盘镜像分析(300分)--------基于硬盘镜像文件(windows7disk.E01)
1、请找出使用Bitlocker加密的虚拟磁盘文件恢复密钥文件名是什么。(20)
BitLocker 恢复密钥 666E6292-906B-4A9B-9167-4DB146123BAD.txt
这题很简单,我们用火眼证据分析软件导入镜像后,快速分析能在txt格式的文档里面找到这个文件
2、请找出用户“poiuy”的登录密码。(10分)
稍微翻一下就能看到用户列表里面的poiuy的密码
3、请找出操作系统最后登录的用户。(10分)
这个也是很好找,最后一次登陆是poiuy
4、请找出操作系统中安装的浏览器名称的对应的安装日期。(10分)
Chrome浏览器,能看到分析出来的浏览器除了默认的IE就是这个浏览器了,安装日期是20210503
5、请找出操作系统中安装的浏览器最后浏览过的网站域名。(10分)
很明显是passport.baidu.com
6、请找出使用Bitlocker加密的虚拟磁盘文件中文件名为“新建文本文档.txt”的文件内容。(10)
先要找到加密的虚拟磁盘文件,我们用火眼仿真软件,能看到路径下有两个vhd(vhd是一种虚拟磁盘文件)的加密的虚拟磁盘文件
而且里边就有密钥文件,用火眼证据分析软件,直接添加检材,用密钥把两个文件都试一下,发现只有第二个my1.vhd能解开,添加检材,快速分析
发现里面只有一个文件,新建文件夹内容就是:C6B1DC7D41DFF9D85800217E7F8CC3BF7A89BA349C69A5B2C4E9