案情简介
在一起电诈案件中,受害者称自己的银行卡被他人冒用,曾收到假冒公安的短信,因为自己在一个 P2P 网站中理财,假冒公安称该网站已被列外非法网站,要自己到公安备案网站填写自己的信息,并帮助自己追回本金,因此信以为真,在网站上填写了自己的信息和绑定的银行卡信息;办案机关推测嫌疑人可能是获取了 P2P 网站中的注册用户信息,从而进行定向诈骗,因此调取了 P2P 理财网站的服务器,现委派你对该服务器进行电子数据取证。
你获得该 P2P 理财网站服务器硬盘镜像文件“检材 1.E01”,根据这个镜像文件,回答下列问题:
选C,直接算
选D,仿真软件识别出了系统版本
选A,仿真一打开就看见了
选B
或者
选C,这里的意思是该磁盘分了两个区,而且第二个区又分成了两个逻辑卷(LVM),即下图中的分区3和分区4,它们属于分区2,。这题问的就是分区二的起始地址。
选D
选C
D
选B
选C
选C
选D
选B,这类题需要查看端口映射
选B,同样由上图知开了22号端口,所以是ssh
选C,由上图知
选C
选D,根据容器ID来判断
选B,由上面端口映射知
选B,不能以nginx容器id就选,还是得进去看一下
选A,搜索vue2-element-touzi-admin
选C,还是一个一个进入容器去看,当然16f…是Nginx容器,肯定在这里面了
选D,由日志可知
选A
选B,由日志可知
选C,由日志得知
选C,去容器里看
选C,发现存在mongo的docker镜像,并且确实开了容器
选D,将mongo的容器启起来就能看见端口映射了,或者某大师可以直接看。
选D,网站目录容器里server路径有配置文件
选A,同上
选D,同上
选B,根据配置文件显示,查看mongo连接语句得知
https://www.runoob.com/mongodb/mongodb-connections.html
选A,由终端记录可知
选D,直接搜选项,这题是三个数据库都有按照,但是只有D选项的路径是正确的,而且从后面的题目也能看出仅有mongo在使用
选C,按照路径去找
选C,直接搜索mango,在配置文件里也有日志路径
选B,从日志中可见创建了user表,之后也从该表插入和查询数据
A
看配置文件,最好是导出来看,仿真进去可能乱码,或者视图不好看等,导出来会比较好
B
选D,审日志,搜索test.user可见对这个表的操作,注意command记录。需要花几分钟才能找到。
后面也有删除test数据库的操作
插入一个小结:
这类服务器的题要注意一个黑客入侵时间,从bash历史入手,看对那个文件进行了操作,再去看那个文件的创建时间或者访问时间,大致得到入侵时间
选C,搜选项,搜常用行为特征
选D
此题不会
D
选A,由42题截图知
检材三
选B,bash历史就得知该服务器曾安装pptpd
选D,仿真查看时区信息,得知是东六区,处于东六区的是dhaka,孟加拉地区
也可以从bash历史里见到
选A,直接搜索选项
选A,直接搜索选项
选B,从bash历史里得知配置文件路径,查看配置文件
D 导出option文件,文本打开搜索
选C,C、D选项都存在该文件,得导出去看,会发现D选项是空的,而C选项是有记录的。
选A,导出日志,搜索时间
选D,如上图
选B,做法同上题
选D,北京时间为东八区,故+2
选B,仿真后发现仅存在B选项网卡,且bash历史有相关记录
选D,这题就崴,B、D选项都创建,但是后来B选项被删了。
选C,搜索流量包,wireshark分析
A
选C
选A、C、C,系统信息,用户信息
选A
选A
选D,最近访问记录->压缩软件使用记录内四个选项都有,但是最近访问文档时间可以对应的是D选项
选D,应用程序运行痕迹
选D,直接搜文件
选B,搜索ip,发现存在ssh密钥文件
选B,搜索选项,仅存在B选项文件,且B选项创建时间在连接服务器后不久。
选C,由上题图片知,当文件开始下载时创建,下载完毕时记录为修改时间,相差15秒。
手机取证部分
选C
B
选A
选A
选C,这题是题目有问题,由聊天记录得知
选B,一共恢复出三个链接
选C,某大师下载记录得知
选C,根据恢复的短信得知
B
B
选C,导出压缩包即可
选C,这个按下载结束时间
选D,直接搜
选B,直接搜
选B,直接搜
C
选A,能找到最近的就是下图
B
选D,百度搜索文件名