15美亚个人赛
个人赛–背景介绍
Eden有丰富的业余爱好与特殊的职业。他是一个恋童癖,超爱收集儿童色情相关的东西。他也是一个臭名昭著的匪徒,其敛财的主要手段主要有:裸聊敲诈;制造炸弹;假币制造;通过编写及分发病毒邮件盗窃用户信息;在线拍卖平台欺诈(在用户付款之后,却不寄送出所拍物品)等等。
Eden最近被逮捕,他的电脑也被没收了并送至法证取证检查处。你是一个数字取证调查员,并且接到了Eden被送检的硬盘。你负责调查Eden曾经是否进行过任何的非法活动。在取得了硬盘的法证镜像之后,请解答如下问题:(总分25分)
1.请找出如下windows XP系统信息:(10分)
a. 系统安装时间 (YYYY/MM/DD)
答案:2015/08/07
解题:
b. 系统版本号
答案:5.1
解题:
c. 系统产品编号
答案:76481-641-1471224-23942
解题:
d. 注册者名称
答案:Test
解题:
e. 该计算机所设定的时区
答案:中国标准时间
f. 最后登录日期(YYYY/MM/DD)
答案:2015/08/10
解题:
g. 最后关机时间(hh:mm)
答案:18:23
解题:
h. IP地址
答案:192.168.180.129
解题:
i. MAC地址
答案:
解题:
j. 硬盘标记(Disk signature)
答案:
解题
2.请给出桌面图片所对应的MD5值。(1分)
3.曾经有USB存储设备连接至计算机,请列出该USB存储设备的S/N号码。(1分)
答案:CCBB1410081257510038214000
解题:
4. “Eden”, “Jess”, 及 “Eddie”之间是否有非法的行为?请理清三人之间非法行为的关系,并将相应的非法行为从选项中填写至相应的横线中。(3分)
a. ____________
b. ____________
c. ____________
A. 儿童色情
B. 裸聊敲诈
C. 制造炸弹
D. 假币制造
E. 病毒”MS040.exe”
F. 线拍卖平台欺诈
答案:a:AEF b:CE c:A
解题:
可以看到jess和eden直接有传递儿童色情的邮件,还有线上网站交易流水,所有a有AF两项。eddie和eden满足C和F,eden给eddie和jess发的搞笑视频邮件里的链接是http://www.example.com/firsttc/MS040.exe。jess发的儿童色情图片同时给了eden和eddie。
5 该用户是否有如下的不法行为,若有请列举相关证据。
a. 儿童色情
b. 裸聊敲诈
c. 制造炸弹
d. 假币制造
e. 病毒”MS040.exe”
f. 线拍卖平台欺诈
答案:
a.儿童色情
6.jpg
7.jpg
8.jpg
9.jpg
10.jpg
b.裸聊敲诈 无
c. 制造炸弹
答案:
military_manual_explosives_demolitions_540.jpg
删除文件:
FM-5-25-Explosives-and-Demolitions-1967.pdf
Peerless explosives Co. add.jpg
解题:
d. 假币制造
答案:
文件名:
10Dollar.jpg
10HKD-cash.jpg
10HKD-coin.jpg
10HKD_Front.jpg
20HKD.jpg
邮件:
第一句话:哇噻。
发送者:John Blank
接收者:Eden.icdfi2015@gmail.com
解题:在文件夹‘钱’中
e. 病毒”MS040.exe”
文件名:MS040.exe
邮件:
f. 线拍卖平台欺诈
邮件:
15美亚团队赛
2015“美亚杯”全国电子数据取证大赛—团队赛
团队赛 团队赛 –背景介绍 背景介绍 背景介绍
审问Eden之后发现,他的朋友Johnson不仅仅是一个黑客,更是一个电脑高手。Johnson开发并传播不少应用程序,其中也包括窃取网站敏感信息的恶意软件。Johnson曾经通过邮件发送一个网络数据dump给Eden,用以展示其中一个恶意软件的违法行为。
随后他因为挪用公款、窃取公司重要的客户信息而被起诉。据悉,有目击者称看到Johnson当日驾车从公司离开,而当日驾车行驶记录可作为他本人是否来往公司窃取数据的重要证据。
近日,Johnson被逮捕,他的电脑也被没收了并送至法证取证检查处。经过初始简单查看之后,警方发现在他的windows 7 系统里面安装了一个Linux的虚拟机。你是一个数字取证调查员,受警方委托接到了Johnson被送检的硬盘。你负责调查Johnson的电脑中是否有为了推广恶意软件而对外发送的网络数据包、所窃取的客户信息、及行车记录。在取得了硬盘的法证镜像之后,请解答如下问题:
1.请给出相应Linux虚拟机所在的文件夹名称:
答案:VM-Ubuntu
解题:
2. 请在Johnson的电子邮件中找出相应的网络数据包,并提供如下信息:
a. 网络数据包的名称及后缀名(例如:readme.txt)
答案:
名称:traffic-analysis-exercise
后缀名: pcap
解题:
b. 网络数据包的md5值
MD5: 41D34D07AA81F3CB5EE12315CC5C88A9
3.被恶意软件感染的电脑的主机的信息:
a. 主机名
b. IP地址
答案:37.200.69.143
c. MAC地址
答案:00:50:56:f3:ca:52
4.在该事件中被利用的网站的基本信息:
a. IP地址
答案:82.150.140.30
b. 域名
答案:http://www.ciniholland.nl/
5.传播该漏洞/病毒网站的基本信息
a. IP地址
答案:93.184.216.34
b. 域名
答案:http://www.example.com
解题:
6.重定向URL所指向的漏洞利用工具包的到达网页域名是什么?
答案:http://24corp-shop.com/
7.除了到达页面(含有CVE-2013-2551IE漏洞),漏洞利用工具包还发送了其他的漏洞。请从下列选项中选择出相应的漏洞:
I. Flash漏洞
II. IE漏洞
III. Windows漏洞
IV. office漏洞
V. Java漏洞
a. I & II
b. I & V
c. II & IV
d. III & V
e. II & IV
8.恶意代码的有效载荷(payload)总共被传递了几次?
答案:297
解题:
9.被利用的网站中哪个文件或网页中含有重定向URL链接的恶意脚本?
A. Index Page
B. Second Page
C. Third Page
D. Fourth Page
E. Fifth Page
答案:
解题:
10.请提取出该网络数据包中恶意程序/文件,并选择出对应的两个MD5值:
I. 7b3baa7d6bb3720f369219789e38d6ab
II. c45e9f2a3954e44296c1178c3a3d2b28
III. 1e34fdebbf655cebea78b45e43520ddf
IV. 6ccb3791c0b857158ffd1dabb0a49695
V. 2cc9bd30cd18cdc8884b3cc837e7a3cd
a. I & IV
b. I & III
c. II & V
d. III & IV
e. III & V
11.Linux系统的基本信息:
解题:使用VM将虚拟机进行仿真,然后尝试修改用户cidfi的密码
a. 系统安装日期(YYYY/MM/DD)
答案:2015/08/27
解题:首先查看时区
是PDT,需要加15才是北京时间
b. Linux系统版本号
答案:14.04
解题:
c. 最后登录日期(YYYY/MM/DD)
答案:2015/09/04
解题:
d. 最后关机时间(hh:mm)
e. IP地址
答案:192.168.220.128
解题:
f. 请选择哪一个是终端Terminal的最后1个命令
答案:sudo fdisk -l
解题:使用history命令,mysql -V是我仿真后使用的
12.被窃取的客户信息是一个mysql数据库,请提供mysql数据库基本信息:
g. Mysql版本
答案:5.5.44
解题:
h. DB数据库存储地址\存储路径
答案:/var/lib/mysql/
解题:
i. 数据库表名称
答案:contact_list
解题:
j. 请提供数据库中名字Name为Jessamine B. Underwood的电话、信用卡号、密码、及Email记录
答案:如下图
解题:
13.你能从电脑中找到任何的Johnson所盗取的公司进出账记录么?如果有的话,请协助提供如下信息:
a. 进出账记录的文件名(例如:readme.txt):
答案:
名称:CashDairy.xlsx
解题:在邮件里发现密码,在加密文件中发现xlsx
b. 在该记录中,Johnson借款金额为:
答案:100000
解题:
14.你能从电脑中找到行程记录仪所记录的视频或者地图截图么?如有,请列举其文件类型及对应MD5值
答案:
文件名:MOV_1051.MP4
MD5:2D76D94DCF833EBF9847D3DB1C15BA26
文件名:MOV_1052.MP4
MD5:6295AD06E8B810DC89E54FEB721847AD
文件名:CombinedPicture.jpg
MD5:E931E11283641473564383A51B85FACA
解题:
搜索mp4
跳转到源文件
2562
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
