【“到此一游”系列】(菜鸡参加“美亚杯” 电子取证大赛感受)

最新推荐文章于 2024-04-11 21:04:41 发布
最新推荐文章于 2024-04-11 21:04:41 发布
阅读量1.5k 收藏 15
点赞数 5
分类专栏: # 到此一游系列
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhys666/article/details/109694713
版权

到此一游 -- 美亚杯

感受及经验

背景

  • 因为本菜鸡急切地想参加各种比赛,拓宽自己的知识面,于是我报名参加了“美亚杯”电子取证大赛。而本届比赛是 第一次线上赛
  • 因为是抱着试一试,长点见识的态度参加的,所以即使我是我们小队的队长,我也没有为这个比赛做准备。
  • 因为我也没有准备,所以我今天早起才安装好所需要的软件(指导老师会分享,如果要参加的话,注意 下载安装 )。
  • 包括 取证大师手机大师,等等。(今天我就用了个 取证大师 ,不得不说,取证大师这个软件 真的强!!! ,我真的很佩服做出来这个软件的人!!!)
  • 说实话,这比赛必须要 内存和运行内存都要大 的电脑,至少 16+512G,和我一个配置的(我这是最低配) ,个人赛的案例镜像 190G!!! ,团体赛案例 890G!!! ,这只是 案例镜像 (我也不知道到底怎么称呼,大概意思就是这),比赛的时候还需要把各种案例镜像中的各种镜像都保存到本地,所以真的是比赛 钞能力 啊,/(ㄒoㄒ)/~~,可怜的本菜鸡一共才 512G 存储,就下了个个人赛案例镜像,还有里边两个小镜像,直接爆红,还有个129G的镜像实在是心有余而力不足
    在这里插入图片描述
  • 不过我也就做了这些准备,取证大师还不会用,是比赛开始以后慢慢摸索才大致会用的,つ﹏⊂,有监考软件,会自动关闭 钉钉,QQ,微信,向日葵可远程连接或能找外援 的应用,但必须联网,因为监考软件也是联网的好像
  • 我们小组的人员配置
    • 人(一个队伍 至少一人,至多三人
    • 我是队长
    • 两个长见识
    • 一个挂名充数
  • 今天比的赛,人走得很快。。。(这又是什么阴间语录)
  • 因为是今天比的赛,所以昨天和今天我才看了两眼钉钉群,大致了解了一下比赛情况。
    • 场比赛
    • 第一场,上午,资格赛,也是个人赛
      • 因为队伍成员水平不一样,所以通过资格赛选出 有水平的参赛者 参加下午的比赛。
    • 第二场,团队赛
      • 这时候比赛的都是较为 精英 的参赛选手,角逐最后的胜利。

比赛现场

1. 上午八点二十
  • 下发监考系统。
2. 九点
  • 开始比赛,发放解码密码。
  • 对了,忘了说了,虽然提前发了案例镜像,但里边是需要解码才能查看文件的,而解码的密码正式比赛才会发
3. 十一点
  • 结束比赛,提交卷子,将解题截图上传到指定邮箱

我的比赛过程

  • 开始比赛后,因为事先没有做准备,所以我一共花了一个多小时来摸索,到最后半个小时我才大致知道怎么做,在文章后边我会讲一下我的想法。
  • 解密完成后会得到一个如下图所示的列表
    在这里插入图片描述
  • 这就是这个案例镜像中所有的文件夹 DOM树结构,我就挨个点看看了看,有 ___jpg,png,doc,e01,bin(后两个为镜像文件的后缀名)___,但其实这些在这里都已经为你分类好了,我后来才看见,つ﹏⊂
  • 我先看了一下 图片(jpg,png)和文档(docx,doc) ,大致了解了讲了个什么案例,今年讲的是
    在这里插入图片描述
  • 然后我看了看图片,其中有一张图片是 Alice 的 laptop

在这里插入图片描述

  • 当时我一看到上边贴的纸条,脑子里就有一个想法, 这是密码!!! ,虽然不知道是哪里的密码,但他一定是有用的密码,可是那个 Φ 让我有点迷惑。
  • 然后我看题,有些题看图片就能选出来,就做了一些题。
  • 剩下的做不出来了,我就去看其他文件,但是我不知道 e01,bin 等都是 镜像文件 ,不过我还是试了一下 导出 这个功能

在这里插入图片描述

  • 这个选项可以 将选中的文件导出到本地 ,我根据自己电脑的容量,选择了 USB设备的镜像 ALICE_USB.e01
  • 导出后要怎么查看这个文件呢,因为不能上网查资料,我就看取证大师,发现了这个功能

在这里插入图片描述
在这里插入图片描述

  • 我先选择的 单一文件/文件夹 ,打开后发现效果不理想,后来又尝试磁盘镜像,结果还真的能打开,直到比赛结束,我也就主要做了做和 USB 有关的题,分析结果如下图

在这里插入图片描述

  • 大的就不说了,就说一道题吧,如下图所示

在这里插入图片描述

  • 问解压密码是什么,我一看这个格式,不就和 贴在 laptop 上的密码格式一样吗!虽然有些字符被遮盖了 ,然后我看到 A 选项,发现是 80 ,我当时恍然大悟,那个 Φ 其实指的是 0!!! ,我尝试了一下,果然是对的,太开心了!!!*^____^*
  • 最后联蒙带猜,所有题都答完了。
  • 本以为这次真的混了,没资格参加团体赛,可最后晋级名单中竟然 有我 ,不知道是我真的答题得的分到了晋级线,还是赛组委看到我们小队都太菜了,就选了小队中得分最高的,给我们小队个参赛机会
  • 可不管怎么说,确实收获满满

比赛经验

这次比赛没白参加,我大致了解了如何取解题

我的思路是

1. 第一步
  • 解密后,先 查看文档(doc,docx) ,了解一下讲的是什么事儿,再看看获得了什么信息,保存到了什么文件中
2. 第二步
  • 看看 图片(jpg,png) ,说不定会有什么收获
3.第三步
  • 根据自己电脑的性能,导出各种设备镜像 ,再每个打开分析
  • 这只是我这个首次参加的菜鸡的一些经验,还望各位看到我这篇文章的大佬们 手下留情 ,如果可以的话,球球各位带带我这个菜鸡吧!!! ,/(ㄒoㄒ)/~~

结尾

以上就是我要分享的内容,因为学识尚浅,会有不足,还请各位大佬指正。
有什么问题也可在评论区留言。
在这里插入图片描述

白御空
关注
专栏目录
[网络安全提高篇] 一一〇.强网CTF的Web Write-Up(上) 寻宝、赌徒、EasyWeb、pop_master
杨秀璋的专栏
06-15 3万+
强网作为国内最好的CTF比赛之一,搞安全的博友和初学者都可以去尝试下。整体而言,比赛题目的水准仍然非常高,尤其是RE和PWN,包括Web,所以还是有很多知识点值得我们学习的。最后,非常感谢参考文献的大佬们,尤其是Nu1L战队(推荐VX关注他们),也感谢许多参加比赛的伙伴和博友们。如果您是一名安全初学者,不妨多参加比赛,每一次CTF比赛都能让我们学到很多东西,即使是赛后的WP,也能成长不少。同时有个遗憾,比赛完后题目不能打开复现,将就看吧。
网络取证实验报告
12-28
1、加强学生对计算机取证的了解,以及实际动手操作进行取证的能力 2、学会在操作系统中的计算机取证和网络环境下的计算机取证 3、学会对取得的证据进行简单分析。
2024年电子数据取证“獬豸”比赛
最新发布
iwlmo的博客
04-11 1785
在手机里可以看到电脑bitlocker的密码桌面文件解压需要密码在邮件里可以看到桌面文件密码是个手机号为555的直接掩码爆破一下解压出来一个date文件以后需要读取内容,这时候需要开一个数据库,我用的是小皮找到数据库的date文件一键替换date(这个时候数据库服务一定要是关着的,才能替换成功),然后打开my.ini在mysqld底下添加skip-grant-tables,绕过权限就能链接进来了。
电子取证赛的一些总结
welcome.php
05-10 1034
某比赛html比赛平台练习:https://download.csdn.net/download/qq_34844644/10887908 基本工具: 取证大师、 手机取证DC-4501、 法证通 额外工具: kali linux 内存分析 winhex 数据库查看软件 电脑配置推荐(i7 八代+16G内存) 附上某比赛答案及题目链接:https://300188.cn/news/detail-2...
2023 年全国网络安全行业职业技能大赛-电子数据取证分析师总决赛解析WP
Aluxian_的博客
01-24 3200
简介电子数据取证分析师项目需要选手对各类电子数据的现场及在线提取固定,如不同的存储介质、智能终端、服务器及数据库、物联网和工程控制系统等,恢复基于物理修复或数据特征等的电子数据,并进行分析。项目旨在测评参赛选手在电子数据的提取、固定、恢复、分析等一系列理论知识和技术技能。任务描述本项目需要运用不同的电子数据取证技术,任务有以下部分:电子数据提取与固定电子数据恢复电子数据分析1.在开始配置前详细阅读所有的任务。每一项任务都可能和前后任务的完成有所依赖。依赖于上一项或下一项的完成。
2020年第六届“美亚”中国电子数据取证大赛 资格赛 解题(一)
热门推荐
weixin_49938323的博客
11-18 1万+
美亚 美亚官网:http://www.meiyacup.com/In_index_gci_7.html 案例背景 2020年9月,数名信用卡持有人向警方报案,指他们的信用卡被不知名人士在一家本地网上商店购买手机。订单大部分来自海外的网络地址,但有一宗订单来自本地。警方经调查后发现该本地网络地址的注册地址。上门后在该处发现陈慧贤,她否认与案件有关。 警方在现场检获一部笔记本计算机、一部手提电话及一个外置储存装置。在场的初步应变小队在检取证物前,曾为现场环境及证物拍照。另外, 调查队伍亦由网络供货商及网上商
关于2019年电子设计大赛F题 纸张计数显示装置【第一弹】
qq_45037925的博客
08-21 9795
前言:这里是真的菜鸡,是第一次参加电赛,也是第一次写这种博客,虽然比赛发生了些事故,还是准备写点东西记录一下吧。。有什么搞错了的地方之类的欢迎指正(/ω\)。。 PART 1赛前准备&结果赛前准备结果成员分工结构部分主要程序附加部分 赛前准备&结果 赛前准备 赛前准备我们队并没有用多长时间。 我是大概比赛前1-2天才开始准备一下的,当然主要原因是我很菜所以负责的内容并不多。。 当时...
wmctf2021 Flag Thief && 祥云 层层取证 && 陇剑 wifi && 羊城 辣鸡取证
weixin_45805993的博客
09-18 821
0x00我是菜鸡 这题算是做过的取证题里很复杂的了,拿出来复现一下 大部分内容参考了套神的博客,先贴在上面 https://blog.csdn.net/qq_42880719/article/details/120000111 0x01题解 因为没有取证大师,我这里先选择了用FTK挂载镜像 Hint:曾远程过其他电脑 从大神的博客学到这里大概有几种思路 1.default.rdp文件 2.注册表搜索Terminal Server Client 3.BMC 与bin缓存文件,可缓存远程桌面图片,文件位置:%
全国大学生软件测试大赛 2023年预选赛 -有架测试需求文档.pdf
10-22
全国大学生软件测试大赛是一个旨在培养和提升高校学生在软件测试领域技能的重要竞赛,特别是对于Web应用程序测试方面。参赛者需要掌握一系列的测试技术与方法,包括功能测试、界面测试、性能测试和安全测试,以便在...
参加过的DM NLP CV的一些比赛和练习赛(菜鸡比赛记)光学习不如认真敲点代码!!!.zip
08-24
在这个压缩包文件中,我们可以看到一个名为"ori_code"的子文件夹,这通常意味着它包含了一些原始的代码文件,可能记录了作者在参与数据挖掘(DM)、自然语言处理(NLP)和计算机视觉(CV)相关比赛时的实践过程。...
数据库修复取证大师Sql Extractor[预览版] V10.96.rar
12-08
软件特色:针对勒索病毒加密的SQL 数据库有特殊的修复算法,可匹配用友,金蝶数据库结构关系. 支持7.0、SQL2000、SQL2005、SQL2008、 SQL2008R2 、SQL2012、 SQL2014、 SQL2016; •SQL数据库修复软件操作简便; •可以修复数据库置疑状态; •可以修复数据库无法附加或附加报错; •可以修复数据表查询错误; •可以修复MDF文件损坏; •可以修复数据库备份文件损坏; •可以修复数据库被恢复后还是坏的; •可以修复一致性错误; •可以修复错误823; •可以修复输入数据有误; •可以修复运算溢出; •可以修复SQL数据库某些应用程序出错; •可以修复并行事务发生死锁; •支持数据库删除数据的恢复; •支持从日志LDF文件恢复删除的记录; 软件特色:针对勒索病毒加密的SQL 数据库有特殊的修复算法,可匹配用友,金蝶数据库结构关系. 支持7.0、SQL2000、SQL2005、SQL2008、 SQL2008R2 、SQL2012、 SQL2014、 SQL2016; •SQL数据库修复软件操作简便; •可以修复数据库置疑状态; •可以修复数据库无法附加或附加报错; •可以修复数据表查询错误; •可以修复MDF文件损坏; •可以修复数据库备份文件损坏; •可以修复数据库被恢复后还是坏的; •可以修复一致性错误; •可以修复错误823; •可以修复输入数据有误; •可以修复运算溢出; •可以修复SQL数据库某些应用程序出错; •可以修复并行事务发生死锁; •支持数据库删除数据的恢复; •支持从日志LDF文件恢复删除的记录;
案例分析1_实验报告.docx
06-15
一、实验项目名称 案例分析练习题1 二、实验目的 1、熟悉取证大师的使用 2、使用取证大师加载磁盘镜像“案例分析练习.E01”,并对该镜像进行分析。 要求寻找下列问题: 1)新建案例,命名为“计算机取证实验案例分析”,并填写调查人员姓名,添加设备镜像“案例分析练习.E01” 。 2)分析该案例中相关操作系统信息操作系统版本? 3)系统安装时间? 4)最后一次正常关机时间? 5)嫌疑人登录Windows 的用户名为? 6)网卡的IP 地址为? 7)该对象曾在IE 浏览器输入哪些网址? 8)该案例中Windows 最近运行记录包括哪些? 9)该对象最近访问过哪些文档? 10)在现场勘查中搜查到里对象的一个U 盘,设备名称为“SMI USB DISK USB Device”,请确认对象是否在该计算机中使用过,如果有,请找出其最后一次使用该设备的时间? 11)通过取证分析,请确认对象是否删除过“201005210.jpg”图片,如果有请找出其具体的删除时间? 12)该案例中网络映射的地址为? 13)快速找出案例中被删除的jpg 和txt 文件数? 14)该对象曾经使用了什么邮件客户端进行收发邮件? 15)通过技术分析,可以得知对象计算机曾经用过哪些类型的反取证技术手段? 16)分析出案例中对象恶意修改过扩展名的jpg 图片有几张?分别为? 17)该案例镜像文件的md5 值为? 18)该案例中文件“4.JPG”的md5 值为?
X-WaysX.rar电子取证神器
04-05
取证神器X-Ways最新完整版,免加密狗 十分好用的上万元取证神器永久免费版 一工具搞定美亚
2020美亚全国电子数据取证大赛有感
m0_46625346的博客
11-15 3192
总结感悟 2020第六届美亚终于结束了,心里感觉舒畅了不少,虽然结果有些差,但我感觉,这个备赛过程中,我和队友收获了很多,之间配合的也越来越默契,希望下届美亚我们可以去的更好的名次。加油,冲啊! 下面配上我们的成绩图,大佬就不要吐槽了,我们也就参加过两次取证比赛。。。 一次西安电子科技大举办的长安,第二次就是美亚了。 我们尽力了。明年继续! 比赛完,正好和朋友出去过生日 出去浪啦哈哈 需要2020美亚资格赛WP的可以找我资源区,免费下载哈!!! 记得点关注点赞呀!!!! ...
内存取证_V&N2020 公开赛Misc-内存取证 Writeup
weixin_39869959的博客
01-12 475
随随便便打个比赛,这道题是做到的最恶心的。卡了接近12h。废话少说,先来看题。内存取证,附件下载下来是个512M的内存Dump。直接上神器 Volatility,看看有啥进程。存在以下几个可疑的mspaint.exenotepad.exeTrueCrypt.exe 取证大师扫一下,看到个 share.txt,提示百度云链接,以及提取码 heem(或者你愿意也可以手动在strings里面找可疑的,笑...
19美亚个人赛电子取证
孤勇傻兔的博客
10-19 1550
选A 系统信息 这里就是指系统分区 容量=扇区数*512
电子数据取证-日志分析(第1题)
qq_36933272的博客
09-01 764
access_log是nginx的一种日志结构:记录每一次Http请求的访问状态,用于分析每一次请求和交互,行为进行分析,依赖于log_format实现。 因为是上传木马,应该是post方式提交,木马一般是php或jsp文件 查找集中在post、(.*)php、upload这些关键词 查找到上传文件叫file.php 输入ip得到key ...
美亚”初体验,资格赛经历
xiaohe_he178的博客
11-13 1393
第七届美亚电子取证,导师发在群里的比赛消息,我和同门好奇的报了名,什么都没准备,赛前一晚上下载了资格赛的材料(通过资格赛才可以参加团队赛),和取证大师(其实没用上),材料是19G的三个压缩包,分卷的,只有001可以解压缩 (团队赛材料的图片) 解压后 知道开赛还没太清楚怎么看题,进去比赛网站右边会发公告,提示下载veracrypt(其实之前钉钉群里就告诉了没注意看) 下载好,把001解压出来的文件放入就可以得到全部压缩文件里的资料,是关于嫌疑人和被害人相关手机、电脑文件...
2022美亚第八届中国电子数据取证大赛-个人赛write up详解,软件就用弘连和美亚,尽量写的细致一点。建议入门看,仅为了解题,没有专业精神。专业选手去看后面推荐的两篇解析,都是大佬。
ntrybw的博客
01-31 4156
我的说明:就软件来说,美亚真的落后很多,取证大师解析都出不来,还是弘连厉害,我考前因为觉得美亚软件很垃圾,手机大师没有下载,导致很多手机的题目心态慌张,很吃亏,所以建议大家都下载下来,美亚长安结束官方都会对软件做一定的更新,我此处为了模拟考试的环境,我对软件不做更新。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值