2020美亚杯个人赛头脑风暴

最新推荐文章于 2024-08-09 17:53:56 发布
最新推荐文章于 2024-08-09 17:53:56 发布
阅读量4.9k 收藏 34
点赞数 8
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46065653/article/details/109783261
版权

个人赛

## 案情介绍:

2020年9月,数名信用卡持有人向警方报案,指他们的信用卡被不知名人士在一家本地网上商店购买手机。订单大部分来自海外的网络地址,但有一宗订单来自本地。警方经调查后发现该本地网络地址的注册地址。上门后在该处发现陈慧贤,她否认与案件有关。

警方在现场检获一部笔记本计算机、一部手提电话及一个外置储存装置。在场的初步应变小队在检取证物前,曾为现场环境及证物拍照。另外, 调查队伍亦由网络供货商及网上商店取得了一些与案有关的资料。现在你被委派处理这宗案件, 请由以下的资料分析陈慧贤在本案中有否犯罪, 还原事件经过。

资料:
(1) 网络地址登记人纪录
(/Meiya Cup 2020/調查報告/互联网服务供货商检查报告_陈慧贤 (Alice).pdf)
(2) 证物照片
(/Meiya Cup 2020/Photo/Alice)
(3) 笔记本计算机的数码法理档案
(/Meiya Cup 2020/Image/Alice/Alice Laptop/Alice_Laptop.e01)
(4) 及外置储存装置的数码法理档案
(/Meiya Cup 2020/Image/Alice/Alice USB/ALICE_USB.e01)
(5) 手提电话的数码法理档案
(/Meiya Cup 2020/Image/Alice/Alice LG Phone/MMC(0x0-0x0747C00000).bin)
(6) 初步应变小队的调查报告
(/Meiya Cup 2020/調查報告/案件调查报告- 被捕人陈慧贤 (Alice).docx)
调查报告如下:在这里插入图片描述

头脑风暴

黑色笔记本计算机(一部) 没有提及苹果,那一般就是Windows镜像 取证大师(备不同厂家的取证大师) 金色手提电话(一部) Android镜像, 手机取证大师 外置储存装置,USB存储介质,容量4G,标有:imation 可能是加密容器,密码可能就是imation

现场环境及证物照片

包装盒信息

正常解析,

备份分析文件

镜像挂载工具

本地网络地址的注册地址

IP地址

地点:香港 可能考你时区(世界协调时间:北京是东八区,领先UTC时间八个小时)

信用卡

邮件解析

路由器日志 取证大师,小程序

恶意程序,木马,APP找到程序,逆向

APP

包名

域名或IP

权限

流量包

Windows,Mac OS

Android镜像

正常解析,

备份分析文件

镜像挂载工具

一些常用解题技巧(19美亚个人赛)

1.逻辑区块地址(LBA)是描述计算机存储设备上数据所在区块的通用机制,一般用在像硬盘这样的辅助记忆设备。LBA可以意指某个数据区块的地址或是某个地址所指向的数据区块。
方法:FMP证据文件 -> 展开镜像 -> 选中 分区X -> 摘要 -> 查看 物理位置:但是这个内存物理地址的单位是字节(Byte),而一个逻辑区块占用512位,所以要将这个值除以512,算出来与答案。

2.硬盘操作系统分区的大小:
方法:FMP证据文件 -> 展开镜像 -> 选中 分区X->在摘要里查看设备大小:48.73GB 该数值乘以 2^20之后算出来的字节大小与答案最接近。

3.MFT,即主文件表,是NTFS文件系统的核心,每个文件和目录的信息都包含在MFT中,每个文件和目录至少有一个MFT项。正常情况MFT以元文件的形式存储在相应磁盘分区的根目录中,但是是隐藏的。FMP可以直接访问到该文件。
方法:FMP证据文件 -> 展开镜像 -> 选中 分区X -> 选中 $MFT -> 摘要 查看物理扇区位置

4.世界协调时间:北京是东八区,领先UTC时间八个小时

5.SID为用户标识 (Security Identifiers)标识用户、组和计算机帐户的唯一的号码
方法:(1)可以直接在FMP的 取证结果 -> 系统痕迹 -> 用户信息 -> 摘要 里找到用户SID号,取后四位。
(2)可以使用注册表编辑器(CMD下输入regedit)查看。但是因为只有镜像文件,还是直接用FMP比较方便

6.(1)取证结果 -> 系统痕迹 -> 系统信息 -> 无线上网 里面的“接口GUID”应该是该机器网卡的GUID;
所以要分析系统连接WIFI的日志情况,需要找到日志文件然后用事件查看器来找GUID。
(2)也可以在 取证结果 -> 密码/密钥检索 -> 无线账号 里面找到对应星巴克WIFI的网络GUID。

7.分派得到的IP地址
方法:取证结果 -> 系统痕迹 -> 系统信息 -> 网络配置 -> 网络连接,找到DHCPIP地址一栏有D选项的IP地址,得到答案。

8.文件最后存取日期,考虑到.exe文件一般不会被写,所以这个日期应该是最后的访问时间

9.MBR解析包含DBR,一个DBR 521字节。
分区总容量:*512

10.时区:

11.不同备份文件路径

12.下载文件:用下载路径-user-dowlons

13.暗网取证:新版取证大师小程序;手工分析:sqlite分析(无加密)——origins文件下

14.网页跳转:A网站到B网站

15.内存镜像:volatility,

16.TCP连接命令:volatility——netscan

17.注册表虚拟地址:

18.APK(本质就是压缩包)
手机模拟器——ADB.exe(手机调试)
查看APP包名:dumpsys activity top I grep ACTIVITY
获取APP的APK完整命令:pm path +“恶意程序包名”
adb push 电脑-手机
adb pull 手机-电脑 手机文件路径+电脑保存路径

在线分析平台:哈勃、微步
静态分析:用jadx分析.dex
DC-5300模拟器脱壳
在这里插入图片描述

jr 野良
关注
专栏目录
2020第六届美亚全国电子数据取证大赛个人赛wp
dazaogege的博客
10-27 2456
2020第六届美亚全国电子数据取证大赛个人赛wp
2020第六届美亚中国电子数据取证大赛个人资格赛
ShenZ的博客
01-22 2391
2020第六届美亚中国电子数据取证大赛个人资格赛 这一套还不错,个人赛的检材也各个有联系,检材照片和笔录让人身临其境。 第一次用富文本编辑器,感觉好酷 目录 笔记本计算机 手机 USB 笔记本计算机 1.Alice的笔记本计算机已成功被取证并制作成镜像(ForensicImage),下列哪个是镜像的SHA-1哈希值?
2020美亚个人赛
m_de_g的博客
11-11 2709
2020美亚个人赛 案例背景 2020年9月,数名信用卡持有人向警方报案,指他们的信用卡被不知名人士在一家本地网上商店购买手机。订单大部分来自海外的网络地址,但有一宗订单来自本地。警方经调查后发现该本地网络地址的注册地址。上门后在该处发现陈慧贤,她否认与案件有关。 警方在现场检获一部笔记本计算机、一部手提电话及一个外置储存装置。在场的初步应变小队在检取证物前,曾为现场环境及证物拍照。另外, 调查队伍亦由网络供货商及网上商店取得了一些与案有关的资料。现在你被委派处理这宗案件, 请由以下的资料分析陈慧贤在本案
美亚2022团体赛——个人新手向wp
2301_80780402的博客
08-09 2858
A. JunB. JulC. AugD. SepE. OctF. 以上皆非Pool说明了是media0,那直接去media0去找就可以了同样在附件里就能看到D.对比时间的话,这个是最晚的这里应该去判断哪一台才是iPhone6,但是好像看不出来先找到时间找对应的ip见上题搜一下.gcode就可以了。
2019美亚个人赛叨叨解题过程
wx1111_的博客
04-06 1万+
用弘连的时候就看到了熟悉的证据嵌套识别,也就是说有手机备份,然后学习了一下方法,跳转源代码,然后把文件导出来,放回去分析,但是不知道为什么弘连上下下来不完整,就去取证大师里面找手机备份,阴差阳错直接看到了APPLE然后就找到了那个源文件,从取证大师里面下下来就完整了,放回去又碰到了问题,弘连根本分析不出什么东西来,结果弄了一晚上重启一下弘连就搞定了。看来取证大师里面下载的也是不完整的!看一个博主说要预览该图片源文件,直接导出手机备份,在备份里找图片,要不然哈希是错误的,所以说如果要哈希值,要这么做哦~
2019第五届美亚全国电子数据取证大赛团队赛wp
dazaogege的博客
10-16 3015
2019第五届美亚全国电子数据取证大赛团队赛wp
19美亚 团队赛(完整版)
muxin2068的博客
04-05 1516
A:ShortcutB:HistoryC:TempD:RecentE:Desktop。
美亚全国2018第四届电子数据取证竞赛-个人赛
05-02
美亚全国2018第四届电子数据取证竞赛-个人赛 电子取证竞赛是测试电子取证专业人员的技能和技术的竞赛,本竞赛旨在提高电子取证技术的应用和普及。 本竞赛包括了多个题目,涵盖了电子取证的多个方面,包括MD5...
2020美亚团体赛刷题 部分题解(1-27、73-124)
7ruth0hn的博客
11-08 5776
文章目录写在前面解题结语参考资料 写在前面 美亚还是挺考验分工协作的,自己做了zello和xeno的两个Server,还有Cole的设备。记录一下解题思路。 同时由于美亚的题目局部的顺序是打乱的,所以会有题目不连贯、难度骤降骤升、逻辑前果后因的情况。 取证工具: 取证大师V6.1.80018RTM、弘连火眼证据分析软件v4.14.0.33748、弘连火眼仿真取证V4.1.1.2972、VMware Workstation 解题 1.Zello服务器的哈希值(SHA256)是甚么? 30B856EEE51
2020年第六届 美亚电子取证 团体赛 wp
ShenZ的博客
01-26 7068
2020年第六届 美亚电子取证 团体赛 wp一、案情简介二、检材三、题目ZelloXenoBob 张伟华Bob的桌上计算机Bob iphoneSamsung S2Bob iMACCole 冯启礼Cole桌上计算机Cole笔记本计算机Cole笔记本的随机存取记忆体Cole的PICole NASCole手机Daniel 罗俊杰Daniel的桌上计算机Daniel的MacBookDaniel的iPhone 一、案情简介 你的电子数据取证调查结果发现一个国际黑客组织牵涉这宗案件。经深入调查后,调查队伍相信该黑客组
2017年第三届 美亚电子取证 个人赛题解
algae
04-24 8336
CPPU名侦社2020寒假作业,记录一下自己做的过程。 在这个案例里嫌疑人反侦察意识较弱,题目也不难,很适合大家做(做法不唯一,仅供参考)。 做完这些题目不需要太深的计算机知识,但是取证大师肯定是用得更加熟练了。 以后取证比赛的题目考察的内容会越来越深的,所以还是要好好学习各种基础知识和相关软件设备的使用~ —————————————————————————————— 案件背景: Gar...
2020美亚电子数据取证大赛-个人赛
weixin_44770698的博客
11-04 1万+
2020美亚电子数据取证大赛-个人赛(刷题)
19美亚个人赛题解,我认真地做一下,解析尽可能认真,希望与各位准备比赛的小伙伴一起进步。
热门推荐
ntrybw的博客
10-08 4万+
在何源的个人计算机中,用户”Administrator”的 Internet Explorer 浏览器的 start page 是以下哪个?在2019-10-31(UTC+8),何源用iPhone手机在车库拍了一些车的照片,请问最早的那张车照片是什么时候拍的?12 在何源的个人计算机中,用户“He Yuan”曾经在挂载为“E”盘的 USB 移动储存装置中访问过一些文件/文件。在何源的个人计算机中,何源 iPhone 手机中的一些图片曾被同步到他的百度网盘中,请问图片“2019-06-21。
2019美亚团体赛刷题 部分题解(1-42、106-116)
7ruth0hn的博客
11-10 6997
文章目录写在前面使用工具刷题1.在黑客路由器里,有一台设备的MAC地址为00:11:6B:47:4D:55,请问它的IP地址是什么?2.在黑客路由器里,发现一设备的IP地址为192.168.0.103,请问该设备为如下哪一个:3.警方已经查证所有连接此router的设备都归黑客所有,根據黑客路由器的訊息,下列哪组(设备---ip)是错误的:4.Hacker现场检获的Windows主机硬盘已成功取证并制作成镜像Win1.E01,下列哪个是其硬盘证据文件的MD5哈希值。5.MD5hash算法会产生一个什么大小的
【2023美亚】团队赛赛题(无解析版)
0xac001d09
11-14 5804
提示:请参阅附加资料 Tips: Please refer to additional information (1分)参考 ’ benckwindow10.e01 ’ 回答以下题目 With reference to ‘benckwindow10.e01’ to answer below question 按照时间线分析Ben电脑活动,在2023-09-06 16:58:10时及2023-09-06 16:58:21时,在”Access-Control-Allow-Origin”中显示了哪一个网站?
volatility内存取证学习,美亚比赛版,密码+注册表
ntrybw的博客
09-10 1621
密码主要是看后半段,蓝色部分,cmd5可以破解,输进去试一下,如果是闭网环境,那就需要相应软件,比如说hashcat一般31开头就是空密码,其他就去接一下就好。3:ntuser.dat (对应用户的注册表值,某种程度上,也可以佐证用户,就是有哪几个用户。解释hivelist,查看注册表信息,virtual是虚拟地址,physical是物理地址。要知道内存镜像的架构,知道内存是在什么操作系统下面获取的,最关键一步。要把内存里面的注册表信息导出,可以用可视化,dum那个,新建一个文件夹。开头一般是系统管理员,
2022年第八届美亚个人赛复盘
weixin_46452743的博客
03-22 7732
分析李大辉手机里的程序KMB 1933,哪一枝街灯在经度 Latitude) 22.4160270000,纬度(Longitude) 114.2139450000 附近,它的编号是什么?检视其数据库(Database) 的数据,王晓琳于2022年10月11日 22:04 时将一行程加入书签(Bookmark),这段行程的起点及终点站包括?(不要输入符号及空白,以大写英文回答)(2分)13.[填空题]李大辉的手机里有一张由该手机拍的照片,照片的元资料(Metadata) 曾被修改,这张照片的档案名是什么?
21美亚团队赛,镜像+解析,只做了pc+恶意+内存,希望与大家一起学习进步。
ntrybw的博客
10-04 3216
各种新奇的无人机,电视,矿机,手表之类的都可能去叫我取证,我要总结方法。说实话,我做的时候是蒙的,检材量太大了,信息量很多,需要三个人密切合作才能做完,而且确实题目过大导致计算机一下子也受不了,我已经用游戏本了,但是感觉还是不太行,今年不会换了,明年考虑台式机,哈哈哈,笔记本已经满足不理我了。由于本人分工在PC 恶意程序 内存 这几块,所以考试的时候没做,但是又临近考试,我实在是没时间做服务器和手机,在这里就先不写了,但是我一定会补上的,我对取证的热爱是一定的,一旦空下来或者比赛打完我一定会补上。
2023美亚资格赛镜像
最新发布
08-15
很抱歉,关于您提到的“2023美亚资格赛镜像”,我无法提供具体的信息,因为我的知识截止日期是2023年4月,而我无法访问互联网来检索最新的数据。美亚资格赛镜像可能指的是某个特定比赛的资格赛环节的网络镜像...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

jr 野良

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值