【2024数证杯】初赛-计算机（U盘）取证

栖山️_0x5317

已于 2024-12-24 15:22:08 修改

阅读量555

点赞数 5

分类专栏：电子取证文章标签：安全 php

于 2024-12-18 13:26:15 首次发布

本文链接：https://blog.csdn.net/qq_48149564/article/details/144553925

版权

电子取证专栏收录该内容

4 篇文章

订阅专栏

2024_数证杯电子取证大赛

背景介绍

“数证杯”采取线上初赛与线下决赛结合的形式进行。线上初赛采用团队赛的方式在互联网内开展，每队最多3人，最少1人。通过线上初赛的选手可晋级线下决赛，线下决赛采用“团队赛+个人赛”的形式开展
为深入贯彻国家关于强化网络安全和信息化发展的战略方针，提升我国在电子数据取证与分析领域的专业技术水平，推动产业界、学术界和研究机构的深度合作，进一步培养和构建电子数据取证技术的专业人才队伍，首届“数证杯”电子数据取证分析大赛。

1.[填空题]
对计算机镜像进行分析，计算该镜像中ESP分区的SM3值后8位为?(答案格式:大写字母与数字组合，如:D23DDF44)(2分)

BDBE1073

2.对计算机镜像进行分析，该操作系统超管账户最后一次注销时间为？（时区为UTC+08:00）（答案格式如：1970-01-01 00:00:00） (2分)【2024-10-25 21:56:15】

在这里插入图片描述

3.对计算机镜像进行分析，该操作系统超管账户有记录的登录次数为？（填写数字，答案格式如：1234） (2分)【21】

在这里插入图片描述

4.对计算机镜像进行分析，该操作系统设置的账户密码最长存留期为多少天？（填写数字，答案格式如：1234） (2分)【42】

这个就是涉及到密码策略，这个东西很常见，大到系统，如windows，linux，小到软件，比如mysql这些都有密码策略
win+R打开运行界面输入gpedit.msc，打开本地组策略编辑器,计算机配置-安全设置-密码策略中
在这里插入图片描述

5.对计算机镜像进行分析，该操作系统安装的数据擦除软件的版本为？（答案格式：1.23） (2分)【5.86.1】

在C盘的Program Files目录下有一个名为Eraser的软件（翻译过来就是橡皮），进入目录之后打开readme.txt发现版本，但是我从软件上看是5.86.1 唉~
在这里插入图片描述

6.对计算机镜像进行分析，该操作系统接入过一名称为“Realtek USB Disk autorun USB Device”的USB设备，其接入时分配的盘符为？（答案格式：A:） (2分)【E:】

在这里插入图片描述
7.对计算机镜像进行分析，该操作系统无线网卡分配的默认网关地址为？（答案格式：127.0.0.1） (2分)【192.168.43.1】

8.对计算机镜像进行分析，该操作系统配置的连接NAS共享文件夹的IP地址为？（答案格式：127.0.0.1） (2分)【192.168.188.1】

1
9.对计算机镜像进行分析，写出“吵群技巧.txt”文件SM3值的后8位？（大写字母与数字组合，如：D23DDF44） (2分)【10887AE1】
直接搜吵群技巧搜不出来，说明这个文件不是直接存在的
那就大概率是在压缩包里面在文档目录找到了，在话术、方法、技巧.zip里面
直接使用hash工具计算
在这里插入图片描述

10.对计算机镜像进行分析，该操作系统通过SSH连接工具连接CCTalk测试环境的SSH端口为？（填写数字，答案格式如：1234） (2分)【12849】

在这里插入图片描述

11.对计算机镜像进行分析，该操作系统通过SSH连接工具连接的CCTalk境外服务器是哪个运营商的？（填写汉字，答案格式：阿里云） (2分)【亚马逊】

在回收站中找到Xmanager的SSH连接工具除了Xshell还有Xftp。后缀分别为.xsh和.xfp
还原CCTalk.xfp之后，点开Xftp，用在线软件查一下Whois就出来了，是Amazon亚马逊的IP
在这里插入图片描述

12.对计算机镜像进行分析，获取机主保存在本机的U盾序号的后4位数字为？（填写数字，答案格式如：1234） (2分)【6409】

搜U盾，出来这么一张照片
binwalk一下发现一个PNG，再使用foremost一下，就出来了隐藏的图片
在这里插入图片描述
13.对计算机镜像进行分析，机主存储的某篇新闻报道“小程序搅动资源争夺战”的发表年份为？（答案格式：2024） (2分)【2019】
在下载目录下找到文件直接拖到010editor文件末尾就有时间

14.对计算机镜像进行分析，该操作系统访问“环球商贸”的IP地址为？（答案格式：127.0.0.1） (2分)【39.108.126.128】

盘古石取证浏览器收藏夹就有
在这里插入图片描述
15.对计算机镜像进行分析，该操作系统访问“环球商贸”的IP地址为？（答案格式：127.0.0.1） (2分)【39.108.126.128】

16.对计算机镜像进行分析，“环球商贸”服务器配置的登录密码为？（答案按照实际填写，字母存在大小写） (2分)【HQSM#20231108@gwWeB】
把连接导出然后把打开文件把加密后的密码放到在线解密解码

在这里插入图片描述

17.对计算机镜像进行分析，机主安装的PC-Server服务环境的登录密码是？（答案按照实际填写，字母全小写） (2分)【jlb654321】

和上题步骤一样
在这里插入图片描述

	18.对计算机镜像进行分析，机主搭建的宝塔面板的安全入口为？（答案格式：/abc123)(2分）  答：/c38b336a

把快速访问的虚拟磁盘拖出来直接当检材使用取证跑一下找到登录入口

在这里插入图片描述

19.[填空题]对计算机镜像进行分析，机主搭建的宝塔面板的登录账号为？（答案格式：abcd)(2分）   答：igmxcdsa

需要自己配置一下地址
在这里插入图片描述
这里我使用xtermail SSH连接使用命令查看账号

bt 14

在这里插入图片描述

20.对计算机镜像进行分析，其搭建的宝塔面板的登录密码为？（按实际值填写）(2分)

没找到

21.对计算机镜像进行分析，机主搭建的宝塔环境中绑定的宝塔账号是？（按实际值填写） (4分)【17859628390】

登录宝塔在宝塔面板设置打开f12直接搜手机号后4位就出来了
在这里插入图片描述

22.对计算机镜像进行分析，机主搭建的宝塔面板中Mysql环境的root密码为？（按实际值填写） (4分)【123456】

宝塔里面看就行了
在这里插入图片描述

23.对计算机镜像进行分析，机主搭建的宝塔面板中Mysql环境连接的端口号为？（填写数字，答案格式如：1234） (2分)【3306】

看配置文件
在这里插入图片描述

25.接上题，“卡号分组”表所在的数据库名为？（答案按照实际填写，字母全小写） (4分)【a_train2023】

需要注意一点是连数据库时需要先ssh隧道连接上
在这里插入图片描述

24.[填空题接上题，"孙华锦”在2020-07-01 10:49:07时间节点的交易余额为？（答案格式：1234.56）(4分)   答：6610.94
两个筛选条件

交易户名=孙华锦and
交易时间=2020-07-01 10:49:07

在这里插入图片描述

U盘

1.对U盘镜像进行分析，其镜像中共有几个分区？（填写数字，答案格式如：1234） (2分)  答：【2】

在这里插入图片描述

2.对U盘镜像进行分析，其中FAT32主分区的FAT表数量有几个？（请使用十进制数方式填写答案，答案格式：1234） (2分)   	   答【1】

直接使用R-Studio打开镜像，全盘扫描得到
在这里插入图片描述

3.对U盘镜像进行分析，其中FAT32主分区定义的每扇区字节数为？（请使用十进制数方式填写答案，答案格式：1234） (2分)      答【512】

直接使用DiskGenius看就行了
在这里插入图片描述

4.对U盘镜像进行分析，其中FAT32主分区的文件系统前保留扇区数为？（请使用十进制数方式填写答案，答案格式：1234） (2分)       答【7345】

在这里插入图片描述

5.[填空题]对U盘镜像进行分析，其中NTFS逻辑分区的$MFT起始簇号为?(请使用十进制数方式填写答案，答案格式:1234)(2分)

39082簇

6.[填空题]
对U盘镜像进行分析，其中NTFS逻辑分区的簇大小为多少个扇区?(请使用十进制数方式填写答案，答案格式:1234)(4分)

上图写了8个扇区