| Q1 | 内存镜像取证分析 | |
| 共100分 | 有嫌疑人在使用Windows系统浏览网页和QQ聊天,并可能存在打印行为,取证人员对该系统进行了内存镜像。基于内存镜像文件(Q1.Windows7_memory.dd),要求: | |
| 1 | 请分析系统中进程的运行情况,给出正在运行的进程数量。(10分) | |
| 2 | 请找出登录系统中的用户的SID号。(10分) | |
| 3 | 请分析出该系统的启动时间,即开机时间。(10分) | |
| 4 | 请找出正在运行的所有以b开头的进程名(不区分大小写),写出其对应的程序的完整路径。(10分) | |
| 5 | 该系统中的打印服务是否开启,请给出其状态(SERVICE_RUNNING /SERVICE_STOPPED)。(10分) | |
| 6 | 请给出系统联网时使用的IP地址。(10分) | |
| 7 | 请找出监听TCP端口为8088的进程,给出进程名和程序路径。(10分) | |
| 8 | 请给出UDP端口7273的开启时间。(10分) | |
| 9 | 请找出正在上网的进程,列出其建立的所有TCP连接,包括本地和远端的IP地址和端口号。(20分) | |
1、pslist
2、getsids
3、pslist (system)
4、pslist >1.txt & dlllist
5、(美亚)取证大师工具集内存镜像解析工具解析 & svcscan | findstr print
6、netscan
127.0.0.1是本机地址,任何一台都可以用 一般调试程序时可以用 自己给自己的机子发信息
IP192.168.1.1 是IP的地址 只有一台可以用
7、netscan | findstr 8088 得到进程名和进程号(5800)
dlllist -p 5800
8、netscan | findstr 7273 created时间 (注意+8)
注意netscan以后显示的连接有两种连接方式,tcp端口和udp端口
9、netscan | findstr tcp|find listening(established)均可 ,有争议
(established 建立 listening 监听 closed 关闭)
| Q2 | Windows磁盘镜像取证分析 | |
| 共150分 | 在某起涉及伪造电子文档的时间属性的案例中,当事人所使用的电脑被取证人员固定,该电脑中的硬盘制作的镜像文件为Q2.Windows_disk.dd,现基于该镜像,请分析如下事项: | |
| 10 | 请通过分析给出该操作系统的详细版本号,以及安装时间。(10分) | |
| 11 | 找出系统最后一次的正常关机时间。(10分) | |
| 12 | 查找最后一次登录系统中的用户账号。(10分) | |
| 13 | 找出所有安装的浏览器名称和对应的安装时间。(10分) | |
| 14 | 查找系统中最后一次使用的QQ号码以及退出时间。(10分) | |
| 15 | 分析各浏览器访问的网页记录,找出最后一次的访问网址。(20分) | |
| 16 | 分析磁盘中是否有文件删除的痕迹,列出被删除的文件名和路径。(20分) | |
| 17 | 检查系统日期和时间有无更改,列出更改的详细情况。(20分) | |
| 18 | 给出在该系统上登录百度网盘的账号名称。(10分) | |
| 19 | 找出曾经连接过该系统的USB移动储存装置(U盘)的最后一次插拔时间。(10分) | |
| 20 | 请找出最后一次通过Word编辑的文档名称和修改时间。(20分) | |
10、略 注意取证大师内显示的时间都是东八区时间,取证大师自己调整过来了
11、略
12、略
13、系统痕迹\安装软件\其他软件
这里找到4个浏览器下载的记录、跳转到源文件可以发现是从注册表中知道的,加上ie浏览器总共5个。其他的浏览器跳转到源文件可以发现不是从注册表中来的,并且修改时间早于创建时间,因为他是copy进来的,创建时间是对的,修改时间是错的(因为没有修改过,所以修改时间是用了拷贝之前的时间)这几个不算。
14、退出时间得不到,有点问题
15、慢慢找
略
| Q3 | 手机镜像取证分析 | |
| 共150分 | 在某起与手机犯罪有关的案件中,嫌疑人声称自己根本就没有用手机做过任何违法的事情,现在他的手机已经被查收,技术人员制作了该手机存储的全盘镜像,镜像文件为mobile.dd。现在要求基于该镜像文件,做以下调查: | |
| 21 | 检材手机data分区的MD5和SHA256哈希值。(20分) | |
| 22 | 检材手机的设备名称和IMEI码。(10分) | |
| 23 | 检材手机连接过的WiFi名称及密码。(10分) | |
| 24 | 找出手机中曾经使用过的QQ号码。(10分) | |
| 25 | 最后一个接通电话的日期、通话号码及时长。(10分) | |
| 26 | 手机中象棋游戏的应用包名称及安装时间。(10分) | |
| 27 | 手机浏览器中搜索过的关键词数量及最后一次搜索的关键词。(10分) | |
| 28 | 2018年使用浏览器访问次数最多的Web网站及其最后访问时间。(20分) | |
| 29 | 手机最后一次的开机时间。(10分) | |
| 30 | 手机中被删除的通话记录条数和其中通话次数最少的未接电话号码。(20分) | |
| 31 | 该手机在某个时间后没有再收发过短、彩信,找出这个时间。(10分) | |
| 32 | 手机曾进行过数据恢复操作,请找出最后一次数据恢复完成的时间。(10分) | |
没有什么值得记录的,简单题,弘连美亚都可以做
| Q4 | 加密磁盘分析 | |
| 背景: 夜深了,但不是每个人都睡了,财务小Y还在加班。事务终于处理完了,小Y起身准备回家,环顾四周,他发现办公室只有他一个人。想着,公司明天就要派发股票了,而每人派发股票的数量,完全根据财务电脑上的一个文件决定,而该文件放在一个加密磁盘里。而且小Y也知道要访问那个文件的密码,同时还知道有部分假密码存放在某个网址上,这些假密码虽然也可以打开加密磁盘,但不能访问到真正的绝密文件。 小Y首先用知道的密码打开了《股票分配书——绝密.xls》,在看完文件后,小Y先把原文件打包发送到自己的服务器上,而后偷偷的改了个数字,并且熟练地摁了下Ctrl+S。正准备离开时,小Y感觉这样好像很容易被发现,能不能再做点其他操作混淆一下?想了想,小Y再次坐了下来,打开存放密码的网址,获取到密码后,打开了一个跟之前不同的《股票分配书——绝密.xls》。 正在这时老板突然出现了,小Y手忙脚乱的把excel关闭了,但完全来不及关掉所有窗口。而他们老板刚好是个取证高手,迅速固定了现场,提取了正在运行的财务电脑中的内存数据、加密盘数据,保存成两个镜像文件:Q4.crypted_disk.vhd 和Q4.Windows_XP_XP3_memory.dd。 作为取证分析人员的你,需要对提取到的数据进行以下分析: | ||
| 共200分 | 33 | 获取小Y使用的浏览器及对应的进程号PID。(10分) |
| 34 | 找到小Y访问过的存放密码的网址,得到其中的flag。(20分) | |
| 35 | 获取财务电脑上加密磁盘使用的加密软件名称。(10分) | |
| 36 | 找出小Y最后打开的假的《股票分配书——绝密.xls》文件的密码。(10分) | |
| 37 | 小Y最后打开的假的《股票分配书——绝密.xls》文件里有个flag,找到它。(10分) | |
| 38 | 分析获取小Y使用的财务电脑的账号。(10分) | |
| 39 | 分析并得到小Y使用的财务电脑的密码。(20分) | |
| 40 | 小Y通过网络发送了某个文件,分析其发往何处,得到目的地址。(20分) | |
| 41 | 小Y发送的文件中有个flag,找到它。(30分) | |
| 42 | 小Y得到真正的绝密文件时,使用了解密密钥;请在内存镜像中查找用来解密的密钥信息。(30分) | |
| 43 | 分析获取被改了数字的《股票分配书——绝密.xls》文件,对比发出去的文件,得到被修改数据的前后数字。(30分) | |
33、pslist
34、iehistory
35、pslist找找
36、在有内存镜像和加密盘镜像的情况下用passware可以得到脱密的结果,得到一个密码就是结果
加密盘若得到了密码可以用vc工具挂载后打开(无密码的可以直接挂载),发现盘中文件可以直接打开,故得到的密码就是文件的密码
37、同上挂载后可得flag
38、39、passware的memory analysis可以分析内存中存在的账号和密码
40、41、因为pslist中发现了nc.exe,故用cmdscan查看终端命令记录,其中的nc就是远程连接命令,可以看到向目标路径传输了什么东西
1165
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
