题目
对给定取证镜像文件进行分析,搜寻证据关键字(线索关键字为“evidence 1”、“evidence 2”、……、“evidence 10”,有文本形式也有图片形式,不区分大小写),请提取和固定比赛要求的标的证据文件,并按样例的格式要求填写相关信息,证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中,您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术,还需要熟悉常用的文件格式(如办公文档、压缩文档、图片等)
任务素材清单:
任务2: 计算机单机取证 | ||
任务编号 | 在取证镜像中的文件名 | 镜像中原文件Hash码(MD5,不区分大小写) |
evidence 1 | ||
evidence 2 | ||
evidence 3 | ||
evidence 4 | ||
evidence 5 | ||
evidence 6 | ||
evidence 7 | ||
evidence 8 | ||
evidence 9 | ||
evidence 10 |
磁盘镜像文件
使用autopsy进行取证
思路一
搜索字符串,使用keyboard search搜索一下,直接搜索evidence
这边直接搜索完全没用,但是秉承着犟种精神,我们将证据编号全都搜索一编。
evidence10
找到。将MD5和文件名提交,完成第一个取证。
思路二
点开各个项目文件挨个查看,发现
evidence8
并在查看文件目录的时候发现一串类似base的编码
使用CaptfEncoder跨平台网络安全工具套件进行解码,解出
evidence1
思路三
查看是否修改了文件后缀,在autopsy之中照片的原始格式没问题,可以在略缩图中显示。
全部将文件照片过一遍并没有发现被修改的照片。
思路四
从文件名进行查看,此处也并没有什么发现。
思路五
寻找一些特殊特征。
在挨个点开查看的文件中发现一个wb.zip的文件,查看到它的后缀是zip的压缩包,但是原始数据头是png的照片格式。导出分析。
进行解压文件,发现解压失败。
使用winrar进行修复之后文件之内并没有东西,现在猜测需要将文件进行后缀名修改,进行打开。发现并没有什么有效的信息。直接使用CaptfEncoder工具打开文件查看。
发现其中的crc校验码错误,了解到这个照片的宽高被修改。到这个地方就被卡住,只能去寻找大佬的破解脚本,具体教程在这里。https://www.cnblogs.com/yunqian2017/p/14449346.html
通过大佬的脚本破解出照片的真实大小。将大小在编辑器中修改完毕之后保存查看然后发现
evidence7
这其中还可以进行逆向主动将照片的宽高修改完毕之后进行计算crc。
import zlib
with open('1.png','rb') as image_data:
bin_data=image_data.read()
data = bytearray(bin_data[12:29])#截取待计算的字符串
crc32key = zlib.crc32(data)#使用函数计算
print(hex(crc32key))
不过修改之后算出的crc我不会用都后面再研究一下。