第一届龙信杯介质取证+虚拟币分析+流量分析

本文参考： 第一届“龙信杯”电子数据取证竞赛Writeup-CSDN博客

2023龙信杯流量分析wp_22的卡卡的博客-CSDN博客

介质取证

1.对PC镜像分析，请确定涉案电脑的开机密码是___。（标准格式：123456）

Longxin360004

解析：使用龙信的仿真软件进行仿真得出；使用火眼的仿真会被跳过；

2.涉案计算机最后一次正常关机时间_______。（标准格式：2023-1-11.11:11:11）

2023-09-16 18:20:34

解析：

3.分析涉案计算机，在2022年11月4日此电脑共开机时长为_______。（标准格式：1小时1分1秒）

解析：

4.对PC镜像分析，请确认微信是否是开机自启动程序。（标准格式：是/否）

是

解析：

5.检材硬盘中有一个加密分区，给出其中“我的秘密.jpg”文档的解密内容。（标准格式：Longxin0924）

Mimi1234

解析：使用回复密钥串对分区进行解密之后，将数据进行恢复然后重新取证，对我的秘密.jpg进行预览，然后使用工具进行解密；

6.接上题，请问该嫌疑人10月份工资是_______元。（标准格式：123）

19821

解析：外面的工资条是错误的，真的工资条在文件.zip里面；将文件.zip导出，使用上一题的密码进行解密，然后得到工资条

7.对PC镜像进行分析，浏览器中使用过QQ邮箱，请问该邮箱的密码是______。（标准格式：Longxin0924）

Longxin@2023

解析：仿真后浏览器有对改密码进行保存（使用龙信的仿真进去才有，火眼仿真进去没有）；

8.结合手机镜像分析，得出一个推广ID，请在此检材找到此海报，请写出路径。（标准格式：D:\X\X\1.txt）

C:\Program Files (x86)\Tencent\WeChat\2.png

解析：在取证大师中进行图片预览遍历，得到两张符合推广ID的图片，然后返回源目录，发现2.png文件下有wechat得出该图片即为该题目需要的海报路径

9.请找出嫌疑人的2022年收入共_______。（标准格式：123）

205673

解析：找到一个可疑的dd文件，然后将其导出进行挂载，选择密钥文件进行解密，密钥文件为上一题的照片，然后使用X-ways进行挂载，在RECYCLE.BIN中找到$RD2Q1OW.xlsx将其导出，进行sum计算即为答案

会跳出来一个窗口，选是；

10.分析此海报，请找到嫌疑人的银行卡号。（标准格式：62225123456321654）

6320005020052013476

解析：在海报的十六进制数最后一段；

虚拟币分析

根据计算机镜像进行以下题目回答

1.分析涉案计算机，正确填写中转地址当前的代币种类______。（标准格式：BNB）

ETH

解析：首先判断虚拟币为手机镜像文件，对各个虚拟器后缀进行检索，在取证大师中对计算机里面的夜深模拟器后缀npbk进行检索，得到一个111.npbk文件，然后对文件进行后缀名修改为rar文件格式，解压出来将文件镜像扔进火眼中进行分析；

2.分析涉案计算机，正确填写中转地址当前的代币余额数量_______。（标准格式：1.23）

0

解析：打开夜神多开器将后缀为.npbk的文件导入，然后打开软件得到金额数量为0；记得仿真进去时候要断网。

3.根据中转地址转账记录找出买币方地址。买币方地址：_____（标准格式：0x123ABC)

0x63AA203086938f82380A6A3521cCBf9c56d111eA

解析：由火眼得到中转地址为 0x2c008FceA82D40907CD4d733ae0D801415EB41D1，然后进行交易记录分析，先由中转地址付款给0x63AA203086938f82380A6A3521cCBf9c56d111eA
，然后再从中转地址付款给 0x2c008FceA82D40907CD4d733ae0D801415EB41D1，1.0ETH，从而猜测付款方为0x63AA203086938f82380A6A3521cCBf9c56d111e

4.根据中转地址转账记录统计买方地址转账金额。转账金额：____ ETH.（标准格式:12.3）

150.5

解析：

5.在创建钱包时，应用APP都会建议我们进行助记词备份，方便以后忘记密码后找回钱包，在办案过程中时常会拿到犯罪嫌疑人备份的助记词的情况。请从以下三组助记词中判断出格式正确的一组（ ）

A

解析：

6.假设上题中正确的助记词为通过侦察找到的嫌疑人钱包助记词备份（已知地址属于以太坊链），请在模拟器中通过imToken APP恢复嫌疑人钱包，并选出正确钱包地址（ ）

0x63AA203086938f82380A6A3521cCBf9c56d111eA

解析：添加钱包然后选择助记词进行添加raw sausage art hub inspire dizzy funny exile local middle shed primary；密码随便填写，操作过程中全程断网，然后得到钱包地址。

流量分析

请根据流量包进行以下题目回答

1.分析“数据包1.cap”，请问客户端为什么访问不了服务器。（ ）

Dos攻击

解析：Dos攻击特征为短时间内tcp流量很高

DDoS攻击的流量具有以下几个特征： 大规模性：攻击流量通常非常庞大，可以达到几百GBps的速度。 高流量：攻击流量的速度非常快，可以在短时间内占用目标服务器的带宽和资源。

2.分析“数据包1.cap”，出问题的服务器IP地址是_______。（格式：127.0.0.1）

10.5.0.19

解析：统计->会话->conversation类型选中tcp，udp

其中字节为0的为异常服务器ip

3.分析“数据包1.cap”，文件下发服务器的IP地址是_______。（标准格式：127.0.0.1）

120.210.129.29

解析：对上题出问题的服务器ip进行两次搜索即：

ip.addr==ip.addr==10.5.0.19

然后进行tcp流跟踪

4.分析“数据包1.cap”，攻击者利用_______漏洞进行远程代码执行。（标准格式：XXX）

structs2

解析：得知远程则对http流进行追踪，还是原来的可疑服务器ip，然后寻找http报文流，进行追踪

5.分析“数据包1.cap”，请提取恶意文件，并校验该文件的MD5值为_______。(标准格式:abcd)

87540c645d003e6eebf1102e6f904197

解析：

6.分析“数据包2.cap”，其获取文件的路径是________。（标准格式：D:/X/X/1.txt）

C:/Users/Administrator/Downloads/新建文件夹/新建文件夹/mail.png

https://www.iamwawa.cn/urldecode.html

7.分析“数据包2.cap”，文件下载服务器的认证账号密码是_______。（标准格式：123）

admin：passwd

解析：对上面追踪的进行分析，密码在Authorization里

8.分析“数据包2.cap”，其下载的文件名大小有________字节。（标准格式：123）

211625

解析：