个人赛
背景介绍
Eden 有丰富的业余爱好与特殊的职业。他是一个恋童癖,超爱收集儿童色情相关的东西。他
也是一个臭名昭著的匪徒,其敛财的主要手段主要有:裸聊敲诈;制造炸弹;假币制造;通过编
写及分发病毒邮件盗窃用户信息;在线拍卖平台欺诈(在用户付款之后,却不寄送出所拍物品)
等等。
Eden 最近被逮捕,他的电脑也被没收了并送至法证取证检查处。你是一个数字取证
调查员,并且接到了 Eden 被送检的硬盘。你负责调查 Eden 曾经是否进行过任何的非法活
动。在取得了硬盘的法证镜像之后,请解答如下问题
运用取证工具分析检材:
-
系统安装时间:
2015-08-07 16:45:52 -
系统版本号
5.1 -
系统产品编号
76481-641-1471224-23942 -
注册者名称
Test -
该计算机所设定的时区
UTC +08:00 Beijing -
最后登录日期(YYYY/MM/DD)
2015-08-07 16:33:39 -
最后关机时间(hh:mm)
2015-08-10 18:23:58
分析网卡信息得知其ip地址
- IP 地址
192.168.180.129 - MAC 地址 000c2912a037j.
- 硬盘标记(Disk signature)E7DEE7
请给出桌面图片所对应的 MD5 值。
USB设备同样可以直接分析记录得出
3. 曾经有 USB 存储设备连接至计算机,请列出该 USB 存储设备的 S/N 号码。
CCBB1410081257510038214000
“Eden”, “Jess”, 及 “Eddie”之间是否有非法的行为?请理清三人之间非法行为的关系,并将相应的非法行为从选项中填写至相应的横线中。
a. A、F,E
b. C、E
c. A
分析邮件内容:
这封邮件包含“病毒程序”,可以看到是由eden发给了Eddie、jess、john
,得知eden与Eddie、jess之间存在的违法关系,而john题目没涉及
这封邮件得知,eden与jess之间存在的违法关系
这封邮件由 jess 发给eden和eddie,得知其存在的违法关系
这封邮件从其附件内容得知关于‘制造炸弹’的违法关系
下面找文件和MD5的
在文件分析可以依次计算相应文件md5值
邮箱信息同样从邮件分析得到
已删除文件:
分析回收站可以得到
MD5:导出后用工具计算即可
另外并不是所有题目所要求收集的信息都真的存在,需要自行取证判断。
团队赛
背景介绍
审问 Eden 之后发现,他的朋友 Johnson 不仅仅是一个黑客,更是一个电脑高手。
Johnson 开发并传播不少应用程序,其中也包括窃取网站敏感信息的恶意软件。Johnson
曾经通过邮件发送一个网络数据 dump 给 Eden,用以展示其中一个恶意软件的违法行为。
随后他因为挪用公款、窃取公司重要的客户信息而被起诉。据悉,有目击者称看到
Johnson 当日驾车从公司离开,而当日驾车行驶记录可作为他本人是否来往公司窃取数据
的重要证据。
近日,Johnson 被逮捕,他的电脑也被没收了并送至法证取证检查处。经过初始简单
查看之后,警方发现在他的 windows 7 系统里面安装了一个 Linux 的虚拟机。你是一个
数字取证调查员,受警方委托接到了 Johnson 被送检的硬盘。你负责调查 Johnson 的电脑
中是否有为了推广恶意软件而对外发送的网络数据包、所窃取的客户信息、及行车记录。
在取得了硬盘的法证镜像之后,请解答如下问题:
- 请给出相应 Linux 虚拟机所在的文件夹名称:
VM-ubuntu
- 请在 Johnson 的电子邮件中找出相应的网络数据包,并提供如下信息:
a. 网络数据包的名称及后缀名(例如:readme.txt)
traffic-analysis-exercise.pcap
邮件中发现网络数据包
b. 网络数据包的 md5 值
8D69DE03A33FB4AA1E9C63583007D1CB
跳转源文件路径,计算当前文件md5
-
被恶意软件感染的电脑的主机的信息:
a. 主机名
b. IP 地址:37.200.69.143
c. MAC 地址:00:50:56:f3:ca:52 -
在该事件中被利用的网站的基本信息:
a. IP 地址:82.150.140.30
b. 域名:http://www.ciniholland.nl/ -
传播该漏洞/病毒网站的基本信息
a. IP 地址:93.184.216.34
b. 域名:http://www.example.com
- 重定向 URL 所指向的漏洞利用工具包的到达网页域名是什么?http://24corp-shop.com
这个包的referer是http://24corp-shop.com,可知通过http://24corp-shop.com的重定向来攻击37.200.69.143
- 除了到达页面(含有 CVE-2013-2551IE 漏洞),漏洞利用工具包还发送了其他的漏洞。
请从下列选项中选择出相应的漏洞:b
I. Flash 漏洞
II. IE 漏洞
III. Windows 漏洞
IV. office 漏洞
V. Java 漏洞
a. I & II
b. I & V
c. II & IV
d. III & V
e. II & IV - 恶意代码的有效载荷(payload)总共被传递了几次?297
10. 被利用的网站中哪个文件或网页中含有重定向 URL 链接的恶意脚本?A
A. Index Page
B. Second Page
C. Third Page
D. Fourth Page
E. Fifth Page
10.请提取出该网络数据包中恶意程序/文件,并选择出对应的两个 MD5 值:(2 分)
I. 7b3baa7d6bb3720f369219789e38d6ab
II. c45e9f2a3954e44296c1178c3a3d2b28
III. 1e34fdebbf655cebea78b45e43520ddf
IV. 6ccb3791c0b857158ffd1dabb0a49695
V. 2cc9bd30cd18cdc8884b3cc837e7a3cd
a. I & IV
b. I & III
c. II & V
d. III & IV
e. III & V
11.Linux 系统的基本信息:
需要将镜像中Ubuntu虚拟磁盘文件导出,用VMware打开,再通过 修改用户密码后登录,也可以对Ubuntu虚拟磁盘文件进行取证
a. 系统安装日期(YYYY/MM/DD):2015-08-26 15:53:57
b. Linux 系统版本号:14.04
c. 最后登录日期(YYYY/MM/DD):2015-09-04 14:28:18
d. 最后关机时间(hh:mm)
e. IP 地址:192.168.220.128
f. 请选择哪一个是终端 Terminal 的最后 1 个命令:sudo fdisk -l
12.被窃取的客户信息是一个 mysql 数据库,请提供 mysql 数据库基本信息:
现在需要进入mysql,查看数据,但是我们没有密码,前面提到的修改用户密码的方法同样适用于root用户,以root身份进入打开mysql
g. Mysql 版本(例如:1.1):5.5.44
h. DB 数据库存储地址\存储路径(例如:/sys/dev/):/var/lib/mysql
i. 数据库表名称
表信息:
j. 请提供数据库中名字 Name 为 Jessamine B. Underwood 的电话、信用卡号、密码、
及 Email 记录
13.你能从电脑中找到任何的 Johnson 所盗取的公司进出账记录么?如果有的话,请协助提供如下信息:
a. 进出账记录的文件名(例如:readme.txt):
文件在加密文件里,密码在邮件里为 7316
CashDairy.xlsx
b. 在该记录中,Johnson 借款金额为:100000
14.你能从电脑中找到行程记录仪所记录的视频或者地图截图么?如有,请列举其文件类型及对应 MD5 值。
文件名:CombinedPicture.jpg
MD5值:E931E11283641473564383A51B85FACA
文件名:MOV_1051.MP4
MD5值:2D76D94DCF833EBF9847D3DB1C15BA26
文件名:MOV_1052.MP4
MD5值:6295AD06E8B810DC89E54FEB721847AD
扫一扫
263
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
