计算机取证
1.请计算计算机检材2023FIC-PC.E01的原始磁盘的SHA256值(不区分大小写)
在火眼软件中可以直接算出来sha-256值
FDD3ED3893E31D6E9A363A83969AA701D06E0E3E3628B7DC97A8A23C13FF027D
2.检材2023FIC-PC.E01的计算机开机密码为
在镜像仿真出来以后,密码直接就出来了
1qaz@WSX3edczhaohong
3.请根据笔录交代,分析计算机检材,找出airdrop投递的图片内容中,违法网站的域名为?(答案格式:www.baidu.com)
在桌面有个广告,里面有张照片,可以直接看到网址
www.HLHL.com
4.请计算嫌疑人计算机中名为“测试模拟器.ldbk”的文件的SHA256值
在文件中先打开测试环境,就能找到需要求的测试模拟器了
我是直接在虚拟机中求的sha256值,可以去网上下一个7z
第二种办法是用本机自带工具
CertUtil [选项] -hashfile 文件路径 哈希算法
我这里是把模拟器拖到了虚拟机桌面上,所以路径改为C盘了
certutil -hashfile C:\Users\L\Desktop\测试模拟器.ldbk sha256
053950850ec6200c1a06a84b6374bd62242064780f7f680ca23932ee53dc0110
5.请根据笔录交代,分析计算机检材,钱包对应的密钥计算过程中,调用了以下哪种算法?(多选)
A、AES B、DES C、BASE58 D、BASE64 E、HKDF
CE
6.请分析2023FIC-PC.E01检材,并回答,发现嫌疑人计算机中使用了哪种远程工具?(单选)
A、ToDesk B、Xshell C、向日葵 D、网探 E、RayLink
可以看到向日葵远程协助
C
7.请综合分析检材,嫌疑人于2023年8月22日进行远程控制时,被控端的公网IP为
可以看到他的公网ip
116.192.174.254
8.请综合分析检材,嫌疑人于2023年8月22日进行远程控制时,被控端的内网IP为
点开详细信息也可以看到局域网信息
172.19.0.129
9.请综合分析检材,嫌疑人于2023年8月22日进行远程控制时,被控端通过连接远程工具的中转服务器实现的P2P连接,该中转服务器的IP为
58.215.100.83
10.请综合分析检材,嫌疑人于2023年8月22日进行远程控制时,于什么时间释放远控行为?(答案各位为:23:59:59)
18:39:17