(一)个人赛-背景介绍 (39题, 50分)
Hugo是一个职业黑客,他喜欢透过非法入侵其他人的电脑来炫耀自己高超的计算机技术。他也是一个臭名昭著的匪徒,其敛财手段主要有:
1)网络攻击诈骗;
2)编写及分发计算机病毒;
3)网络诈骗。
Hugo最近被逮捕,他的计算机也被没收了并送至法证取证检查处。你是一个计算机取证专家,你负责调查Hugo曾经是否进行过任何的非法活动,并找出其同党的数据。
注: 如题目出現“C:\",即C盘,代表包含操作系统分区
如答案需要表示包含操作系统分区,請C盘即“C:\ "代表
你会获得一个包含Hugo电脑硬盘的镜像文件,其文件名为“Competition_HD1.E01",该文件是由AccessData FTK Imager采集而来的。根据Hugo电脑硬盘的内容,请回答以下问题:
1.请写下Hugo电脑硬盘的MD5哈希值。
2. 你能找到多少个硬盘分区?
A) 1
B) 2
C) 3
D) 4
E) 5
C
3.根据主引導記錄(MBR),以下哪組偏移显示了包含操作系统分区的总扇区数?
A) 偏移 446-449
B) 偏移 458-461
C) 偏移 474-477
D) 偏移 490-493
E) 偏移 506-509
C
用X-Ways查看
-
根据主引導記錄(MBR),包含操作系统的分区的总扇区数是多少?
(答案格式:5246852048 sectors)
102195200 sectors
包含操作系统的分区为D盘
-
请找出系统文件“SOFTWARE",请问操作系统的安装日期是?
(答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC)
A) 1996-01-04 02:56 UTC
B) 2009-06-10 21:10 UTC
C) 2015-04-14 07:12 UTC
D) 2016-09-09 05:26 UTC
E) 2016-09-13 02:28 UTC
D
在系统信息中查找
-
用户“Hugo"的唯一标识符(SID)是什么?(答案格式:RID)
A) 1000
B) 1001
C) 1002
D) 1003
E) 1007
A
在用户信息中查找
-
于包含操作系统的分区內,$Bitmap的物理起始偏移位置是什么?
(答案格式:256363)
3219619840
-
硬盘的操作系统是什么?
A) 视窗XP
B) 视窗7
C) 视窗8
D) 视窗10
E) 视窗CE
B
在系统信息中查看
9.操作系统的最新服务包(Service Pack)版本号是什么?
A) Service pack 1
B) Service pack 2
C) Service pack 3
D) Service pack 4
E) Service pack 5
A
在系统信息中查看
1
- 其中一个分布式拒绝服务/拒绝服务工具的readme文件中声明“SECURITY TESTING PURPOSES ONLY!"请找出该readme文件,并列出文件中的前十二字符?
GoldenEye===
搜索readme.md文件,只有4个,一个个查看发现GoldenEye中有SECURITY TESTING PURPOSES ONLY!
-
哪一个用户拥有分布式拒绝服务/拒绝服务(DDOS/DOS)工具?
A) Home
B) Hugo
C) Administrator
D) Mike
E) Public
B
路径在Hugo文件夹下
-
用户 “Hugo"的收藏夹中是否含有任何与“黑客"相关的链接?若有,请列举出相关链接。
(答案格式:http://123.com/abc.htm)
http://5566.net/hack-.htm
搜索hack相关词,发现只有IE收藏夹有一个
-
Hugo有时会自己编写程序代码。请问Hugo用什么语言编写程序?
(答案格式:ProgramLanguageName)
Python
搜索常见语言文件(py,cpp,c,h,php,class)
-
请检查Hugo在桌面上的快捷方式文件,其中有一个快捷方式文件的创建日期是“2016-09-14"(世界协调时间/UTC),请问该文件的目标位置是什么?
(答案格式:D:\folder\123.abc)
C:\Users\Hugo\AppData\Local
Programs\Python\Python35-32
python.exe
搜索关键词“快捷方式”,只有一个结果命中
-
请找一个“shellcode"的文件夹,该文件夹中含有一个用于连接HTC Touch2设备的程序。请列举出其中任何的电子邮件地址。
(答案格式:abcd@email.com)
celilunuver@gmail.com
搜索“shellcode”,在文件夹下预览,发现15116.cpp文件用于连接HTC Touch2
-
Hugo承认曾经进行网络攻击诈骗,并且把诈骗金额记录在电脑中。请问,保存有诈骗金额记录的文件名是什么?
(答案格式:123.abc)
Important.xlsx
记录诈骗金额一般存放在excel表中,搜索xls和xlsx文件,预览得Important.xlsx存放
-
在所有用户中,用于电子邮件发送/接收的程序名称是什么?
A) Gmail
B) Foxmail
C) 新浪邮箱
D) 网易163
E) 阿里邮箱
B
Foxmail
- 根据上述问题,请于注册表(registry) 找出该电子邮件发送/接收程序的版本号。
(答案格式:1.3.4.5)
7.2.7.174
搜索源文件导出查看
-
Hugo的主要电子邮件地址是什么?
(答案格式:abc@mail.com)
hackerthehugo@qq.com
-
加分题︰Hugo有任何其他属于Google的电子邮件地址吗?
(答案格式:abcd@gmail.com)
hugo82618@gmail.com
搜索上网记录发现
-
Hugo编写了一个获取击键信息(k)的程序。请问,该程序的文件名是什么?
(答案格式:123.abc)
malware.py
首先搜索py文件,有很多,其中malware.py很可疑,因为malware是恶意软件的意思,打开查看果真是
-
根据上述问题,程序中攻击者的IP地址是什么?
(答案格式:123.123.123.123)
192.168.4.78
查看上题脚本
-
Hugo也编写了另一个程序,并存储在同一个文件夹中,该程序开启一个用于建立连接的端口。请问,该端口号是多少?
(答案格式:8080)
443
由题意为test.py
-
Hugo有时会注入恶意脚本到已经被攻击的网站中盗取PayPal的用户帐户和密码。请找到该脚本。请问,用于存储盗窃信息的文件名称是什么?
(答案格式:123.abc)
Passwd.txt
因为是网站,木马可能为php文件,搜索php文件,发现login.php文件中有相关信息
-
Hugo用于PayPal的网络钓鱼电子邮件,请问,该PayPal帐户号码是什么?
(答案格式:98-765-4321)
12-976-9860
将邮件导出得
-
根据上述问题,网络钓鱼电子邮件将链接到一个URL查看交易的细节。请问,该链接的URL是什么?
(答案格式:http://abc.com/abc.htm)
http://158.69.201.134/login.html
同上题
-
请问哪一个文件中保存了微软互联网浏览器的历史浏览记录?
(答案格式:123.abc)
Index.dat
点击一条上网记录,跳转到源文件得
-
根据上述问题,那个档案储存了Hugo的微软互联网浏览器的缓存记录(cache history)?(答案格式:C:\folder\subfolder\123.abc)
C:\Users\Hugo\AppData\Local
Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
做法同上题
1
-
根据微软互联网浏览器的历史浏览记录,Hugo在2016-09-13,02:32:34(世界协调时间/UTC),曾访问域/主机的名称/地址是什么?
(答案格式:http://www.abc.com.cn)
http://www.chiark.greenend.org.uk
根据时间搜索
-
请找出Mozilla Firefox的互联网历史文本,上述文本的名称是什么?
(答案格式:123.abc)
places.sqlite
点击一条上网记录,跳转到源文件得
-
请检查视窗用户Hugo中的Mozilla Firefox互联网历史文本,他是在那一天(世界协调时间/UTC),访问网页www.xshellz.com?
(答案格式:YYYY-MM-DD)
2016-09-13
1 -
请问哪一个文件中保存了Google Chrome浏览器的历史浏览记录?
History
点击一条上网记录,跳转到源文件得
-
该电脑中可能含有Jason的相关信息,例如电子邮件地址。请问,Jason的电子邮件地址是什么?
(提示:21个字符)
jasonforensics@qq.com
导出邮件得
-
有没有发现其他可以与手机通讯的聊天程式?
(答案格式:ProgramName)
WeChat
-
有没有发现任何包括安全文件传输功能的传输工具?
(答案格式:123.abc)
WinSCP.exe
-
根据上述问题,该文件传输工具是从哪里下载的?
(答案格式:https://domain.abc)
https://winscp.net
搜索WINSCP,查看下载记录得
-
根据上述问题,请问用户使用哪一个浏览器下载该文件传输工具?
A) Internet Explorer
B) Firefox
C) Chrome
D) 以上任何一个都没有
C
-
有没有发现任何已下载的远程访问工具?若有,请列举。
(答案格式:123.abc)
putty.exe
-
加分题︰根据远程访问工具,请问用户曾连接到哪一个主机名?
shell.xshellz.com
搜索内容ftp,发现WinSCP.ini中存在相关信息