电子取证
文章平均质量分 60
孤勇silly兔
qq:2952591573,可联系
展开
-
18美亚团队电子取证(D部分;DatabaseServer)
这个比19年的麻烦,但是还是能用取证大师去取的首先添加镜像,然后会提示是否动态分析,选是;然后,进去之后先退出自动取证,再对raid5进行磁盘结构扫描,会扫出三个逻辑卷;最后,再对这三个逻辑卷进行自动取证给的就是三个磁盘镜像三个逻辑卷,属于两个卷组,vg1,vg2这里不能盲目看home在哪个逻辑卷,这不叫挂载,LVhome里面auxsup则为用户目录,所以LVhome就是挂载的home目录,而LVsys里的home目录为空。卷组信息相关文件都是二进制文件,无法直接打开,需要原创 2021-11-12 16:47:19 · 1305 阅读 · 0 评论 -
18美亚团队电子取证(C部分;Streaming Server)
从系统日志入手,btmp记录登录失败日志,若该文件比较大的话,可能涉及暴力破解。wtmp记录当前用户登录状况,这两个文件都是二进制文件,只能在linux环境下用命令读取,由于我的工具仿真无法这个镜像,所以只有提供这个思路了。这个得从日志入手这题,我只能用排除法,首先A,B选项是网关,然后D选项是FTP服务器题目说的是首次输入时,从终端记录得知用户“pi”首次执行失败后以root用户再次执行。sudo su指:当前用户暂时申请root权限,所以这里应该还是算用户“pi”安装的...原创 2021-11-11 17:03:17 · 164 阅读 · 0 评论 -
18美亚团队电子取证(A,B部分;c2server、IT_Notebook)
需要仿真进去用 blkid上面两题中服务账户就指虚拟用户,系统账户就指系统用户pure-pw命令操作创建虚拟用户:pure-pw useradd ftp用户名 -u 系统用户名 -d 目录-u 是将虚拟用户与系统用户关联起来,使用虚拟用户登录后会以系统用户身份读写-d 是指定家目录,使虚拟用户只能访问指定的目录创建用户信息数据库(创建完后必须操作):pure-pw mkdb仿真进去之后在用户目录下存在FTP文件夹,里面有arp.txt其内容如下,第一条记录的ip为 .1 的地址...原创 2021-11-10 21:17:17 · 411 阅读 · 0 评论 -
19美亚杯团队电子取证(RAID部分)
组建该RAID步骤:1,用FTK挂载全部四个镜像,注意设置为可编辑权限2,某大师直接添加RADI镜像,并自动计算序列,即可计算结果即为Raid5strip size in sectors:指条带大小同上,计算得出同上,计算得出选C,有且只有一个分区选C选D,server.js发现存在shell后门选A,由上题shell命令可知选E,这里有访问url的操作选D,存在四个case,执行不同的指令选E,由源码知...原创 2021-11-10 17:06:48 · 706 阅读 · 2 评论 -
19美亚杯团队电子取证(MacBookAir部分)
选B选D,这题不能仿真去查看配置,因为仿真之后的硬件设施是由你的VMware决定的,只能去找到镜像里的配置信息文件。对MAC确实不熟,找了好久。搜索Hardware选D选D选A选E选E选B选D,这同级目录下有个2022年的,确实明显选E选D,对应浏览器历史逐个搜索或者名称排序找一下选A...原创 2021-11-10 10:00:10 · 326 阅读 · 0 评论 -
19美亚杯团队电子取证(Linux部分)
选C选B选E,直接对照终端记录选B仿真选C选E选B,从取证结果跳转源文件选C,四月那个选项没有就按选项有的来选E,出现两个就可以选E了,但是还是都找一下这题我确实找不出来,我想到去搜索monodevelop等看看相关文件的创建日期,但是也无果,希望有做出来的的朋友,能告知我一下,非常感谢。选A,搜索agent.exe,从命令历史得知...原创 2021-11-09 19:53:38 · 300 阅读 · 0 评论 -
19美亚杯团队电子取证(PCAP部分)
D选项,短时间内对同一ip发起大量tcp包,虽然testc里也存在大量tcp包,但是从交互上来看,是正常响应的。而D选项的两个包,是大量单方面发送的包,已经实现DDos攻击了。按时间排序选C选B,同上选A,统计->协议分级选B选A,看视频得知选C选D选E这段包末尾,十六进制转换后为\r\n...原创 2021-11-09 17:47:29 · 241 阅读 · 0 评论 -
19长安杯电子取证
案情简介在一起电诈案件中,受害者称自己的银行卡被他人冒用,曾收到假冒公安的短信,因为自己在一个 P2P 网站中理财,假冒公安称该网站已被列外非法网站,要自己到公安备案网站填写自己的信息,并帮助自己追回本金,因此信以为真,在网站上填写了自己的信息和绑定的银行卡信息;办案机关推测嫌疑人可能是获取了 P2P 网站中的注册用户信息,从而进行定向诈骗,因此调取了 P2P 理财网站的服务器,现委派你对该服务器进行电子数据取证。你获得该 P2P 理财网站服务器硬盘镜像文件“检材 1.E01”,根据这个镜像文件,回答下原创 2021-11-08 14:54:33 · 1060 阅读 · 0 评论 -
20美亚杯团队电子取证(1-28)
选B,直接算按系统安装时间之前最接近的来原创 2021-10-31 17:00:02 · 283 阅读 · 0 评论 -
20美亚杯个人电子取证
这个得看证据文件,里面有相关照片直接去图片里找这个导出看属性根据选项来找注意选A,E选项开头字符是B原创 2021-10-30 19:58:21 · 788 阅读 · 0 评论 -
19美亚个人赛电子取证
选A系统信息这里就是指系统分区容量=扇区数*512原创 2021-10-19 11:36:16 · 1549 阅读 · 5 评论 -
17美亚团队赛电子取证
案件背景:Gary被逮捕后;其计算机被没收并送至计算机取证实验室。经调查后,执法机关再逮捕一名疑犯 Eric,并检取其家中计算机(window 8),并而根据其家中计算机纪录,执法机关再于其他地方取得一台与案有关的服务器,而该服务器内含四个硬盘。该服务器是运行LINUX系统。由于事件涉及Windows 7,8,LINUX及 Mac IOS系统,故取证团队有可能需要使用相关系统之取证工具(105题,105分)选B,直接计算得到选C,在应用路径下找到工具名称选B选A,该镜像的时区的东八区,题目要求原创 2021-10-15 11:32:02 · 387 阅读 · 0 评论 -
18美亚个人赛电子取证
背景:1.林胜(Victor)是一名三十岁的中学教师。一天﹐他在家中使用计算机期间﹐收到一封勒索邮件﹐其中列出他电子邮件用户名和密码﹐及其他涸人资料﹐亚声称他的用户数据已被窃取﹐计算机已被入侵·黑客向林胜勒索两个比特币﹐否则会使用他的个人用户数据作非法用途·林无力支付﹐于是报警﹐并向警方提供了他的个人计算机作检验·2.现你被委派对林的计算机进行电子数据取证﹐还原事件经过。E盘为系统分区磁盘中每个扇区的大小一般是512字节,磁盘物理大小=扇区数*512...原创 2021-10-12 11:26:34 · 1676 阅读 · 1 评论 -
17美亚个人赛电子取证
个人赛背景:年代久远,已经找不到了选A3个选EMFT,全称Master File Table,即主文件表,它是NTFS文件系统的核心。它是包含了NTFS卷中所有文件信息的数据库,在$MFT 中每个文件(包括MFT本身)至少有一个MFT,记录着该文件的各种信息。这些信息被称为属性。...原创 2021-10-08 20:23:45 · 479 阅读 · 0 评论 -
15年美亚杯电子取证
个人赛背景介绍Eden 有丰富的业余爱好与特殊的职业。他是一个恋童癖,超爱收集儿童色情相关的东西。他也是一个臭名昭著的匪徒,其敛财的主要手段主要有:裸聊敲诈;制造炸弹;假币制造;通过编写及分发病毒邮件盗窃用户信息;在线拍卖平台欺诈(在用户付款之后,却不寄送出所拍物品)等等。Eden 最近被逮捕,他的电脑也被没收了并送至法证取证检查处。你是一个数字取证调查员,并且接到了 Eden 被送检的硬盘。你负责调查 Eden 曾经是否进行过任何的非法活动。在取得了硬盘的法证镜像之后,请解答如下问题运用原创 2021-09-12 18:05:47 · 902 阅读 · 1 评论