美亚杯
博主今年是大二学生,第一次参加“美亚杯”,第一次写wp😁(欢迎提出错误🙃)
美亚杯官网:http://www.meiyacup.com/In_index_gci_7.html
案例背景
2020年9月,数名信用卡持有人向警方报案,指他们的信用卡被不知名人士在一家本地网上商店购买手机。订单大部分来自海外的网络地址,但有一宗订单来自本地。警方经调查后发现该本地网络地址的注册地址。上门后在该处发现陈慧贤,她否认与案件有关。
警方在现场检获一部笔记本计算机、一部手提电话及一个外置储存装置。在场的初步应变小队在检取证物前,曾为现场环境及证物拍照。另外, 调查队伍亦由网络供货商及网上商店取得了一些与案有关的资料。现在你被委派处理这宗案件, 请由以下的资料分析陈慧贤在本案中有否犯罪, 还原事件经过。
镜像包含资料
(1) 网络地址登记人纪录
(/Meiya Cup 2020/調查報告/互联网服务供货商检查报告_陈慧贤 (Alice).pdf)
(2) 证物照片
(/Meiya Cup 2020/Photo/Alice)
(3) 笔记本计算机的数码法理档案
(/Meiya Cup 2020/Image/Alice/Alice Laptop/Alice_Laptop.e01)
(4) 及外置储存装置的数码法理档案
(/Meiya Cup 2020/Image/Alice/Alice USB/ALICE_USB.e01)
(5) 手提电话的数码法理档案
(/Meiya Cup 2020/Image/Alice/Alice LG Phone/MMC(0x0-0x0747C00000).bin)
(6) 初步应变小队的调查报告
(/Meiya Cup 2020/調查報告/案件调查报告- 被捕人陈慧贤 (Alice).docx)
准备工作
需要VeraCrypt对比赛方的镜像进行解密,光镜像就179G >_<
镜像分析软件:美亚柏科取证大师,手机大师(听说弘连的火眼取证手机镜像比较全面╮( ̄▽  ̄)╭)
开始解题^ _ ^
首先将Alice的笔记本计算机镜像和外置储存装置镜像放入取证大师中分析,在分析过程中一定要选“索引”!!!
1.Alice的笔记本计算机已成功被取证并制作成镜像(Forensic Image), 下列哪个是镜像的SHA-1哈希值?
2.Alice的笔记本计算机安装了哪个操作系统(Operating System)?
取证结果——系统痕迹——系统信息——产品名称:Windows 10 Pro
3.在Alice的笔记本, 创建用户帐户的SID是甚么?
取证结果——系统痕迹——用户信息——可以找到用户名:Administrator
在摘要中可以看到此用户描述为管理電腦/網域的內建帳戶(香港警务处出题,所以是繁体⊙﹏⊙)
但是吧,又在后面看见此用户名被禁用了,然后Alice这个用户名和Administrator是一个用户组(๑><๑)
所以创建用户账户的SID在摘要中可以看到:
4.在Alice的笔记本,用户的最后登录时间是甚么时候?(本地时间)
取证结果——系统痕迹——账户登录
对账户登录时间进行排序,可以看到账户名为Alice的账户是最后登录的,所以得到答案:2020-09-30 10:13:44
5.在Alice的笔记本,最后登录的用户名称是甚么?
由上题得为Alice
6.Alice笔记本计算机的名称是甚么?
取证结果——系统痕迹——系统信息——完整计算机名
即可看到计算机名称:DESKTOP-DJFFBL6
7.在Alice的笔记本, 最后登录的用户何时更改了Windows登录密码? (当地时间)
由4题可知最后登录用户Alice,所以在用户信息中查看Alice,即可在摘要中看到该用户何时更改windows登录密码 get^^
8.Alice笔记本计算机的时区是甚么?
取证结果——系统信息——时区信息
但是选项中由UTC(但UTC是协调世界时,不是香港所在的时区),所以应该是HKT
9.在Alice的笔记本, OS分区的文件系统是甚么?
10.计算机上预设安装了甚么浏览器?
取证结果——上网痕迹
可以看到两个浏览器IE和Edge,根据常识可知预设浏览器是IE😀
11.在Alice的笔记本,哪个是最常用的浏览器?
在上网记录中,看到Edge浏览器有3227条记录⊙o⊙
但是答案中没有Edge,只有IE
所以答案是:IE
12.在Alice的笔记本, 最常用的浏览器是甚么版本?
当看到这道题的时候,在取证大师中没有找到相关信息,所以就对Alice的笔记本镜像做了仿真,但是仿真出来需要密码😑
所以,当时答题的时候就选了一个最新版本的:Internet Explorer version 11
13.在Alice的笔记本, Alice浏览了哪个在线商店的网站
在取证结果——上网记录中分别查看IE和Edge两个浏览器的记录,可以在Edge浏览器中的搜索记录中看到:“apple、fortress 豐澤電器、suning蘇寧電器”三个在线商城网站∩^∩,所以答案就很明了了😁
14.在Alice的笔记本, 受害人的信用卡号是甚么?(Ho PCKYI-电子邮件:shy1211@mtzh.gow.tw)
看到题目的时候不知道去哪里找信用卡号╯▂╰,所以直接搜索题目括号中给的邮箱,可以搜到三个txt文件,依次打开查看,在文件为R3ZZ.txt的文件中可以看到关于题目邮箱中的具体信息,所以可以找到选项中的答案CRD!!!
15.在Alice的笔记本, 受害人的信用卡CSC号码是甚么(何PCKYI-电子邮件:shy1211@mtzh.gow.tw)
与12题问题基本一致,所以可以得出答案为CSC:112
16.除了上述在USB 找出ZIP文件,请找出相同ZIP文件的路径?
由12题找到的“R3ZZ.txt”文件,在Alice的笔记本计算机镜像中寻找,可以找到一个文件名为:“Downloads.7z”的加密文件,所以此相同ZIP文件的路径为:“分区3_本地磁盘[C]:\Users\Alice\Downloads\Downloads.7z”
17.ZIP文件的哈希值(SHA-256)是甚么?
由上题继续可知ZIP文件的SHA-256:
“88F68F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850BBA74B7E59B8”
因为取证大师在分析的时候是不会计算SHA-256,所以需要重新计算一次!
18.ZIP文件的修改时间是多少?(当地时间)
由14题找到的文件查看摘要即可找到修改时间:**2020-09-29 18:46:52**
19.USB驱动器在Alice笔记本计算机上的最后插入时间是何时?(当地时间)
取证结果——系统痕迹——USB设备使用痕迹
但是没有找到外置储存装置(ALICE_USB.e01),所以对此外置储存装置镜像进行分析,可以看到其中有两个文件,看到其修改时间,所以USB驱动器在Alice笔记本上最后插入时间为:2020-09-29 18:01:46
20.解压的ZIP文件内有哪些文件?
由15题找到的“Downloads.7z”文件,对其进行预览可以得到其中包含的文件
21.“ ZIP文件中发票的哈希值(SHA 256)是多少=发票(1)名称:WhatsApp Image 2020-09-29 at 18.35.25.jpeg”
因为此文件为加密文件,但是在所给的证物照片中Alice laptop Photo有一个电脑照片其中有两串字符,而“QPzm!#80@#”为机密文件密码,对要求文件进行SHA 256计算,所得结果为:f4c391a38ab82ad19edb2b7402da31f52006c3b4b018f859a451b839878d3ee4
22.“ ZIP文件中发票的哈希值(SHA 256)是多少=发票(2)名称:WhatsApp Image 2020-09-29 at 18.37.47.jpeg”
由上题步骤可得要求文件SHA 256:“2dafcc2552a7337844b90f0ab5cda85bf2f5a71a635e0d3b05731c95937d21f5”
23.Alice笔记本计算机上安装了哪种电子邮件软件?
24.Alice笔记本计算机上的电子邮件软件的版本是甚么?
当然是最新的了🙃
25.Alice笔记本计算机登录电子邮件软件的电子邮件帐户是甚么?
由23题可知!!!
不知道什么原因,取证大师一查看邮件解析就自动闪退😞,所以资格赛解题就暂时解到这里吧🥺
博主先去蹭个新取证软件🤨,再重新取证。
谢谢😙
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
