“美亚杯”第二届中国电子数据取证大赛答案解析（个人赛）

（一）个人赛-背景介绍 (39题, 50分)

Hugo是一个职业黑客，他喜欢透过非法入侵其他人的电脑来炫耀自己高超的计算机技术。他也是一个臭名昭著的匪徒，其敛财手段主要有：
1）网络攻击诈骗；
2）编写及分发计算机病毒；
3）网络诈骗。
Hugo最近被逮捕，他的计算机也被没收了并送至法证取证检查处。你是一个计算机取证专家，你负责调查Hugo曾经是否进行过任何的非法活动，并找出其同党的数据。
注: 如题目出現“C:\＂，即Ｃ盘，代表包含操作系统分区
如答案需要表示包含操作系统分区，請Ｃ盘即“C:\ ＂代表

你会获得一个包含Hugo电脑硬盘的镜像文件，其文件名为“Competition_HD1.E01＂，该文件是由AccessData FTK Imager采集而来的。根据Hugo电脑硬盘的内容，请回答以下问题：

1.请写下Hugo电脑硬盘的MD5哈希值。

2. 你能找到多少个硬盘分区？
A) 1
B) 2
C) 3
D) 4
E) 5

C

3.根据主引導記錄（MBR），以下哪組偏移显示了包含操作系统分区的总扇区数？
A) 偏移 446-449
B) 偏移 458-461
C) 偏移 474-477
D) 偏移 490-493
E) 偏移 506-509
C
用X-Ways查看

4. 根据主引導記錄（MBR），包含操作系统的分区的总扇区数是多少？
   （答案格式：5246852048 sectors）
   102195200 sectors
   包含操作系统的分区为D盘
   

5. 请找出系统文件“SOFTWARE＂，请问操作系统的安装日期是？
   （答案格式 －“世界协调时间＂：YYYY-MM-DD HH:MM UTC）

A) 1996-01-04 02:56 UTC
B) 2009-06-10 21:10 UTC
C) 2015-04-14 07:12 UTC
D) 2016-09-09 05:26 UTC
E) 2016-09-13 02:28 UTC
D
在系统信息中查找

6. 用户“Hugo＂的唯一标识符（SID）是什么？（答案格式：RID）
   A) 1000
   B) 1001
   C) 1002
   D) 1003
   E) 1007
   A
   在用户信息中查找
   

7. 于包含操作系统的分区內，$Bitmap的物理起始偏移位置是什么？
   （答案格式：256363）
   3219619840
   

8. 硬盘的操作系统是什么？
   A) 视窗XP
   B) 视窗7
   C) 视窗8
   D) 视窗10
   E) 视窗CE
   B
   在系统信息中查看
   

9.操作系统的最新服务包（Service Pack）版本号是什么？
A) Service pack 1
B) Service pack 2
C) Service pack 3
D) Service pack 4
E) Service pack 5
A
在系统信息中查看

1

10. 其中一个分布式拒绝服务／拒绝服务工具的readme文件中声明“SECURITY TESTING PURPOSES ONLY！＂请找出该readme文件，并列出文件中的前十二字符？

GoldenEye===
搜索readme.md文件，只有4个，一个个查看发现GoldenEye中有SECURITY TESTING PURPOSES ONLY！

11. 哪一个用户拥有分布式拒绝服务／拒绝服务（DDOS／DOS）工具？
    A) Home
    B) Hugo
    C) Administrator
    D) Mike
    E) Public
    B
    路径在Hugo文件夹下
    

12. 用户 “Hugo＂的收藏夹中是否含有任何与“黑客＂相关的链接？若有，请列举出相关链接。
    （答案格式：http://123.com/abc.htm）
    http://5566.net/hack-.htm
    搜索hack相关词，发现只有IE收藏夹有一个
    

13. Hugo有时会自己编写程序代码。请问Hugo用什么语言编写程序？
    （答案格式：ProgramLanguageName）
    Python
    搜索常见语言文件(py,cpp,c,h,php,class)
    

14. 请检查Hugo在桌面上的快捷方式文件，其中有一个快捷方式文件的创建日期是“2016-09-14＂（世界协调时间／UTC），请问该文件的目标位置是什么？
    （答案格式：D:\folder\123.abc）
    C:\Users\Hugo\AppData\Local
    Programs\Python\Python35-32
    python.exe
    搜索关键词“快捷方式”，只有一个结果命中
    

15. 请找一个“shellcode＂的文件夹，该文件夹中含有一个用于连接HTC Touch2设备的程序。请列举出其中任何的电子邮件地址。
    （答案格式：abcd@email.com）
    celilunuver@gmail.com
    搜索“shellcode”，在文件夹下预览，发现15116.cpp文件用于连接HTC Touch2
    

16. Hugo承认曾经进行网络攻击诈骗，并且把诈骗金额记录在电脑中。请问，保存有诈骗金额记录的文件名是什么？
    （答案格式：123.abc）
    Important.xlsx
    记录诈骗金额一般存放在excel表中，搜索xls和xlsx文件，预览得Important.xlsx存放
    

17. 在所有用户中，用于电子邮件发送/接收的程序名称是什么？
    A) Gmail
    B) Foxmail
    C) 新浪邮箱
    D) 网易163
    E) 阿里邮箱
    B

Foxmail

18. 根据上述问题，请于注册表(registry) 找出该电子邮件发送/接收程序的版本号。
    （答案格式：1.3.4.5）
    7.2.7.174
    搜索源文件导出查看

19. Hugo的主要电子邮件地址是什么？
    （答案格式：abc@mail.com）
    hackerthehugo@qq.com
    

20. 加分题︰Hugo有任何其他属于Google的电子邮件地址吗？
    （答案格式：abcd@gmail.com）
    hugo82618@gmail.com
    搜索上网记录发现
    

21. Hugo编写了一个获取击键信息（k）的程序。请问，该程序的文件名是什么？
    （答案格式：123.abc）
    malware.py
    首先搜索py文件，有很多，其中malware.py很可疑，因为malware是恶意软件的意思，打开查看果真是
    
    

22. 根据上述问题，程序中攻击者的IP地址是什么？
    （答案格式：123.123.123.123）
    192.168.4.78
    查看上题脚本
    

23. Hugo也编写了另一个程序，并存储在同一个文件夹中，该程序开启一个用于建立连接的端口。请问，该端口号是多少？
    （答案格式：8080）
    443
    由题意为test.py
    
    

24. Hugo有时会注入恶意脚本到已经被攻击的网站中盗取PayPal的用户帐户和密码。请找到该脚本。请问，用于存储盗窃信息的文件名称是什么？
    （答案格式：123.abc）
    Passwd.txt
    因为是网站，木马可能为php文件，搜索php文件，发现login.php文件中有相关信息
    
    

25. Hugo用于PayPal的网络钓鱼电子邮件，请问，该PayPal帐户号码是什么？
    （答案格式：98-765-4321）
    12-976-9860
    将邮件导出得
    

26. 根据上述问题，网络钓鱼电子邮件将链接到一个URL查看交易的细节。请问，该链接的URL是什么？
    （答案格式：http://abc.com/abc.htm）
    http://158.69.201.134/login.html
    同上题
    

27. 请问哪一个文件中保存了微软互联网浏览器的历史浏览记录？
    （答案格式：123.abc）
    Index.dat
    点击一条上网记录，跳转到源文件得
    

28. 根据上述问题，那个档案储存了Hugo的微软互联网浏览器的缓存记录（cache history）？（答案格式：C:\folder\subfolder\123.abc）
    C:\Users\Hugo\AppData\Local
    Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
    做法同上题
    

    1

29. 根据微软互联网浏览器的历史浏览记录，Hugo在2016-09-13，02:32:34（世界协调时间／UTC），曾访问域／主机的名称／地址是什么？
    （答案格式：http://www.abc.com.cn）
    http://www.chiark.greenend.org.uk
    根据时间搜索
    

30. 请找出Mozilla Firefox的互联网历史文本，上述文本的名称是什么？
    （答案格式：123.abc）
    places.sqlite
    点击一条上网记录，跳转到源文件得
    

31. 请检查视窗用户Hugo中的Mozilla Firefox互联网历史文本，他是在那一天（世界协调时间／UTC），访问网页www.xshellz.com？
    （答案格式：YYYY-MM-DD）
    2016-09-13
    1

32. 请问哪一个文件中保存了Google Chrome浏览器的历史浏览记录？
    History
    点击一条上网记录，跳转到源文件得
    

33. 该电脑中可能含有Jason的相关信息，例如电子邮件地址。请问，Jason的电子邮件地址是什么？
    (提示：21个字符)
    jasonforensics@qq.com
    导出邮件得
    

34. 有没有发现其他可以与手机通讯的聊天程式？
    （答案格式：ProgramName）
    WeChat
    

35. 有没有发现任何包括安全文件传输功能的传输工具？
    （答案格式：123.abc）
    WinSCP.exe
    

36. 根据上述问题，该文件传输工具是从哪里下载的？
    （答案格式：https://domain.abc）
    https://winscp.net
    搜索WINSCP，查看下载记录得
    

37. 根据上述问题，请问用户使用哪一个浏览器下载该文件传输工具？
    A) Internet Explorer
    B) Firefox
    C) Chrome
    D) 以上任何一个都没有
    C
    

38. 有没有发现任何已下载的远程访问工具？若有，请列举。
    （答案格式：123.abc）
    putty.exe
    

39. 加分题︰根据远程访问工具，请问用户曾连接到哪一个主机名？
    shell.xshellz.com
    搜索内容ftp，发现WinSCP.ini中存在相关信息