本文参考: 第一届“龙信杯”电子数据取证竞赛Writeup-CSDN博客
介质取证
1.对PC镜像分析,请确定涉案电脑的开机密码是___。(标准格式:123456)
Longxin360004
解析:使用龙信的仿真软件进行仿真得出;使用火眼的仿真会被跳过;
2.涉案计算机最后一次正常关机时间_______。(标准格式:2023-1-11.11:11:11)
2023-09-16 18:20:34
解析:
3.分析涉案计算机,在2022年11月4日此电脑共开机时长为_______。(标准格式:1小时1分1秒)
解析:
4.对PC镜像分析,请确认微信是否是开机自启动程序。(标准格式:是/否)
是
解析:
5.检材硬盘中有一个加密分区,给出其中“我的秘密.jpg”文档的解密内容。(标准格式:Longxin0924)
Mimi1234
解析:使用回复密钥串对分区进行解密之后,将数据进行恢复然后重新取证,对我的秘密.jpg进行预览,然后使用工具进行解密;
6.接上题,请问该嫌疑人10月份工资是_______元。(标准格式:123)
19821
解析:外面的工资条是错误的,真的工资条在文件.zip里面;将文件.zip导出,使用上一题的密码进行解密,然后得到工资条
7.对PC镜像进行分析,浏览器中使用过QQ邮箱,请问该邮箱的密码是______。(标准格式:Longxin0924)
Longxin@2023
解析:仿真后浏览器有对改密码进行保存(使用龙信的仿真进去才有,火眼仿真进去没有);
8.结合手机镜像分析,得出一个推广ID,请在此检材找到此海报,请写出路径。(标准格式:D:\X\X\1.txt)
C:\Program Files (x86)\Tencent\WeChat\2.png
解析:在取证大师中进行图片预览遍历,得到两张符合推广ID的图片,然后返回源目录,发现2.png文件下有wechat得出该图片即为该题目需要的海报路径
9.请找出嫌疑人的2022年收入共_______。(标准格式:123)
205673
解析:找到一个可疑的dd文件,然后将其导出进行挂载,选择密钥文件进行解密,密钥文件为上一题的照片,然后使用X-ways进行挂载,在RECYCLE.BIN中找到$RD2Q1OW.xlsx将其导出,进行sum计算即为答案
会跳出来一个窗口,选是;
10.分析此海报,请找到嫌疑人的银行卡号。(标准格式:62225123456321654)
6320005020052013476
解析:在海报的十六进制数最后一段;
虚拟币分析
根据计算机镜像进行以下题目回答
1.分析涉案计算机,正确填写中转地址当前的代币种类______。(标准格式:BNB)
ETH
解析:首先判断虚拟币为手机镜像文件,对各个虚拟器后缀进行检索,在取证大师中对计算机里面的夜深模拟器后缀npbk进行检索,得到一个111.npbk文件,然后对文件进行后缀名修改为rar文件格式,解压出来将文件镜像扔进火眼中进行分析;
2.分析涉案计算机,正确填写中转地址当前的代币余额数量_______。(标准格式:1.23)
0
解析:打开夜神多开器将后缀为.npbk的文件导入,然后打开软件得到金额数量为0;记得仿真进去时候要断网。
3.根据中转地址转账记录找出买币方地址。买币方地址:_____(标准格式:0x123ABC)
0x63AA203086938f82380A6A3521cCBf9c56d111eA
解析:由火眼得到中转地址为 0x2c008FceA82D40907CD4d733ae0D801415EB41D1,然后进行交易记录分析,先由中转地址付款给0x63AA203086938f82380A6A3521cCBf9c56d111eA
,然后再从中转地址付款给 0x2c008FceA82D40907CD4d733ae0D801415EB41D1,1.0ETH,从而猜测付款方为0x63AA203086938f82380A6A3521cCBf9c56d111e
4.根据中转地址转账记录统计买方地址转账金额。转账金额:____ ETH.(标准格式:12.3)
150.5
解析:
5.在创建钱包时,应用APP都会建议我们进行助记词备份,方便以后忘记密码后找回钱包,在办案过程中时常会拿到犯罪嫌疑人备份的助记词的情况。请从以下三组助记词中判断出格式正确的一组( )
A
解析:
6.假设上题中正确的助记词为通过侦察找到的嫌疑人钱包助记词备份(已知地址属于以太坊链),请在模拟器中通过imToken APP恢复嫌疑人钱包,并选出正确钱包地址( )
0x63AA203086938f82380A6A3521cCBf9c56d111eA
解析:添加钱包然后选择助记词进行添加raw sausage art hub inspire dizzy funny exile local middle shed primary;密码随便填写,操作过程中全程断网,然后得到钱包地址。
流量分析
请根据流量包进行以下题目回答
1.分析“数据包1.cap”,请问客户端为什么访问不了服务器。( )
Dos攻击
解析:Dos攻击特征为短时间内tcp流量很高
DDoS攻击的流量具有以下几个特征: 大规模性:攻击流量通常非常庞大,可以达到几百GBps的速度。 高流量:攻击流量的速度非常快,可以在短时间内占用目标服务器的带宽和资源。
2.分析“数据包1.cap”,出问题的服务器IP地址是_______。(格式:127.0.0.1)
10.5.0.19
解析:统计->会话->conversation类型选中tcp,udp
其中字节为0的为异常服务器ip
3.分析“数据包1.cap”,文件下发服务器的IP地址是_______。(标准格式:127.0.0.1)
120.210.129.29
解析:对上题出问题的服务器ip进行两次搜索即:
ip.addr==ip.addr==10.5.0.19
然后进行tcp流跟踪
4.分析“数据包1.cap”,攻击者利用_______漏洞进行远程代码执行。(标准格式:XXX)
structs2
解析:得知远程则对http流进行追踪,还是原来的可疑服务器ip,然后寻找http报文流,进行追踪
5.分析“数据包1.cap”,请提取恶意文件,并校验该文件的MD5值为_______。(标准格式:abcd)
87540c645d003e6eebf1102e6f904197
解析:
6.分析“数据包2.cap”,其获取文件的路径是________。(标准格式:D:/X/X/1.txt)
C:/Users/Administrator/Downloads/新建文件夹/新建文件夹/mail.png
https://www.iamwawa.cn/urldecode.html
7.分析“数据包2.cap”,文件下载服务器的认证账号密码是_______。(标准格式:123)
admin:passwd
解析:对上面追踪的进行分析,密码在Authorization里
8.分析“数据包2.cap”,其下载的文件名大小有________字节。(标准格式:123)
211625
解析: