个人赛-背景介绍 (39题, 50分)

Hugo是一个职业黑客,他喜欢透过非法入侵其他人的电脑来炫耀自己高超的计算机技术。他也是一个臭名昭著的匪徒,其敛财手段主要有:

1)网络攻击诈骗;

2)编写及分发计算机病毒;

3)网络诈骗。

Hugo最近被逮捕,他的计算机也被没收了并送至法证取证检查处。你是一个计算机取证专家,你负责调查Hugo曾经是否进行过任何的非法活动,并找出其同党的数据。

注: 如题目出現“C:\",即C盘,代表包含操作系统分区

​ 如答案需要表示包含操作系统分区,请C盘即“C:\ "代表

题目

你会获得一个包含Hugo电脑硬盘的镜像文件,其文件名为“Competition_HD1.E01",该文件是由AccessData FTK Imager采集而来的。根据Hugo电脑硬盘的内容,请回答以下问题:

01 请写下Hugo电脑硬盘的MD5哈希值。

解题

思路:打开取证大师,进行查看

答案

Hugo电脑硬盘的MD5哈希值为:F895FD18E47A5371AEC6DB72D0AEDCA7

02 你能找到多少个硬盘分区?

A) 1

B) 2

C) 3

D) 4

E) 5

解题

思路:打开取证大师查看证据文件发现有几个硬盘分区

答案

所以有3个硬盘分区,答案为C.

03 根据主引导记录(MBR),以下哪组偏移显示了包含操作系统分区的总扇区数?

A) 偏移 446-449

B) 偏移 458-461

C) 偏移 474-477

D) 偏移 490-493

E) 偏移 506-509

解题

思路:首先我们在取证大师里发现分区二是系统所在的分区,又因为MBR的结束标志是55 AA,打开X-ways进行镜像加载,查看

image-20230408235240058

image-20230408235322984

答案

所以C) 偏移 474-477包含操作系统分区的总扇区数

04 根据主引導記錄(MBR),包含操作系统的分区的总扇区数是多少?(答案格式:5246852048 sectors)

解题

思路:找到操作系统所在分区为D盘,使用取证大师可以看到包含操作系统的分区总扇区数目。

答案

包含操作系统的分区的总扇区数是102,195,200 sectors

05 请找出系统文件“SOFTWARE",请问操作系统的安装日期是? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC)

A) 1996-01-04 02:56 UTC

B) 2009-06-10 21:10 UTC

C) 2015-04-14 07:12 UTC

D) 2016-09-09 05:26 UTC

E) 2016-09-13 02:28 UTC

解题

思路:查看安装时间:使用取证大师,取证结果>系统信息>安装时间

查看系统安装所在时区:取证结果>时区信息

:我们看到时区信息为UTC+8,所以答案与我们找到的应该相差8个小时。

答案

操作系统的安装日期是2016-09-09 05:26 UTC

06 用户“Hugo"的唯一标识符(SID)是什么?(答案格式:RID)

A) 1000

B) 1001

C) 1002

D) 1003

E) 1007

解题

思路:使用取证大师查看用户信息

答案

用户“Hugo"的唯一标识符(SID)是A)1000

07 包含操作系统的分区內,$Bitmap的物理起始偏移位置是什么?(答案格式:256363)

解题

​ 使用取证大师查看

image-20230407234958053

接着用取证大师查看分区2(前面知道系统盘是分区2)的物理地址为

image-20230407235144192

所以我们用3,325,526,016-105,906,176即为所得

image-20230407235323978

答案

$Bitmap的物理起始偏移位置是3,219,619,840

08 硬盘的操作系统是什么?

A) 视窗XP

B) 视窗7

C) 视窗8

D) 视窗10

E) 视窗CE

解题

思路:使用取证大师查看

答案

硬盘的操作系统是:B视窗7

09 操作系统的最新服务包(Service Pack)版本号是什么?

A) Service pack 1

B) Service pack 2

C) Service pack 3

D) Service pack 4

E) Service pack 5

解题

使用取证大师搜索关键字Service Pack

答案

操作系统的最新服务包(Service Pack)版本号:A) Service pack 1

10 其中一个分布式拒绝服务/拒绝服务工具的readme文件中声明“SECURITY TESTING PURPOSES ONLY!"请找出该readme文件,并列出文件中的前十二字符?

解题

在取证大师里搜索readme关键字,发现系统痕迹中有readme快捷方式

导出文件

使用笔记软件打开这个文件

答案

文件中的前十二字符为:GoldenEye =

11 哪一个用户拥有分布式拒绝服务/拒绝服务(DDOS/DOS)工具?

A) Home

B) Hugo

C) Administrator

D) Mike

E) Public

解题

同上题可知用户拥Hugo有分布式拒绝服务/拒绝服务(DDOS/DOS)工具

答案

B)Hugo

12 用户 “Hugo"的收藏夹中是否含有任何与“黑客"相关的链接?若有,请列举出相关链接。(答案格式:http://123.com/abc.htm)

解题

使用取证大师,检索这个镜像的浏览器收藏夹发现有用信息。

答案

链接为:https://0day.work/和http://5566.net/hack-.htm

13 Hugo有时会自己编写程序代码。请问Hugo用什么语言编写程序?(答案格式:ProgramLanguageName)

解题

使用取证大师查看系统安装的软件可以发现仅有python与编程相关

答案

Hugo用python语言编写程序

14 请检查Hugo在桌面上的快捷方式文件,其中有一个快捷方式文件的创建日期是“2016-09-14"(世界协调时间/UTC),请问该文件的目标位置是什么?(答案格式:D:\folder\123.abc)

解题

使用电子数据仿真系统进行系统的仿真,发现符合题目要求的是python的快捷方式

答案

文件的目标位置是:C:\Users\Hugo\AppData\Local\Programs\Python\Python35-32\python.exe

15 请找一个“shellcode"的文件夹,该文件夹中含有一个用于连接HTC Touch2设备的程序。请列举出其中任何的电子邮件地址。(答案格式:abcd@email.com

解题

思路:这个题我是纯纯暴力去找的,因为文件不是很多,所以一个个点开看的,有好的思路可以和我交流。

使用取证大师检索关键字:shellcode找到这个文件夹

img

img

img

答案

其中任何的电子邮件地址:f3arm3d3ar@gmail.comAli.Razmjoo1994@Gmail.Com

16 Hugo承认曾经进行网络攻击诈骗,并且把诈骗金额记录在电脑中。请问,保存有诈骗金额记录的文件名是什么?(答案格式:123.abc)

解题

思路:通过打开仿真系统我们发现一个表格记录着金额往来

答案

保存有诈骗金额记录的文件名是Important.xlsx

17 在所有用户中,用于电子邮件发送/接收的程序名称是什么?

A) Gmail

B) Foxmail

C) 新浪邮箱

D) 网易163

E) 阿里邮箱

解题

思路:使用取证大师发现了使用的是Foxmail

答案

在所有用户中,用于电子邮件发送/接收的程序名称是Foxmail

18 根据上述问题,请于注册表(registry) 找出该电子邮件发送/接收程序的版本号。(答案格式:1.3.4.5)

解题

思路:

     使用注册表查看软件查看注册表,然后搜索关键词**Foxmail**

image-20230407233408861

答案

​ 该电子邮件发送/接收程序的版本号为7.2.7.174

19 Hugo的主要电子邮件地址是什么?(答案格式:abc@mail.com)

解题

思路:从取证大师的案情概括可以看出Hugo的主要电子邮件地址

答案

Hugo的主要电子邮件地址为:hackerthehugo@qq.com

20 加分题︰Hugo有任何其他属于Google的电子邮件地址吗?(答案格式:abcd@gmail.com)

解题

思路:通过使用取证大师检索关键字@gmail.com

答案

Hugo有任何其他属于Google的电子邮件地址为:hugo82618@gmail.com

21 Hugo编写了一个获取击键信息(k)的程序。请问,该程序的文件名是什么?(答案格式:123.abc)

解题

思路:因为前面的题目我们可以知道Hugo使用python的编程语言,所以我们应该使用取证大师检索关键字.py

定位文件发现不是,但是在找到的文件上面存在一个malware.py,打开发现是符合题目的

答案

Hugo编写了一个获取击键信息(k)的程序为:malware.py

22 根据上述问题,程序中攻击者的IP地址是什么?(答案格式:123.123.123.123)

解题

思路:和上题一样,观察py代码发现关键信息:

img

答案

程序中攻击者的IP地址是192.168.4.78

23 Hugo也编写了另一个程序,并存储在同一个文件夹中,该程序开启一个用于建立连接的端口。请问,该端口号是多少?(答案格式:8080)

解题

思路:检索另一个文件,发现端口号

答案

端口号是:443

24 Hugo有时会注入恶意脚本到已经被攻击的网站中盗取PayPal的用户帐户和密码。请找到该脚本。请问,用于存储盗窃信息的文件名称是什么?(答案格式:123.abc)

解题

思路:我的思路是使用仿真系统发现一个文件名为login.php,打开发现符合题目信息

接着使用取证大师打开这个文件发现是题目需要的

答案

存储盗窃信息的文件名称是:login.php

25 Hugo用于PayPal的网络钓鱼电子邮件,请问,该PayPal帐户号码是什么?(答案格式:98-765-4321)

解题

思路:使用取证大师检索邮件信息发现邮件中包含paypal账号

答案

该PayPal帐户号码是12-976-9860

26 根据上述问题,网络钓鱼电子邮件将链接到一个URL查看交易的细节。请问,该链接的URL是什么?(答案格式:http://abc.com/abc.htm)

解题

思路:同上题

答案

该链接的URL是http://158.69.201.134/login.html

27 请问哪一个文件中保存了微软互联网浏览器的历史浏览记录?(答案格式:123.abc)

解题

思路:使用取证大师找到IE游览器的历史浏览记录,接着跳转源文件

跳转到这个文件index.dat

答案

index.dat文件中保存了微软互联网浏览器的历史浏览记录

28 根据上述问题,那个档案储存了Hugo的微软互联网浏览器的缓存记录(cache history)?(答案格式:C:\folder\subfolder\123.abc)

解题

思路:同上题,找到信息后跳转源文件

答案

C:\Users\Hugo\AppData\Local\Microsoft\Feeds Cache\index.dat档案储存了Hugo的微软互联网浏览器的缓存记录(cache history)

29 根据微软互联网浏览器的历史浏览记录,Hugo在2016-09-13,02:32:34(世界协调时间/UTC),曾访问域/主机的名称/地址是什么?(答案格式:http://www.abc.com.cn)

解题

思路:使用取证大师检索2016年9月的历史记录,寻找10:32:34(题目给的时区是世界标准时间,系统时区是:UTC+8)

答案

访问域/主机的名称/地址是http://www.chiark.greenend.org.uk

30 请找出Mozilla Firefox的互联网历史记录文件,上述文本的名称是什么?(答案格式:123.abc)

解题

思路:使用取证大师检索Firefox的历史记录,随机选一个记录,跳转到原文件

答案

Mozilla Firefox的互联网历史记录文件为:places.sqlite

31 请检查视窗用户Hugo中的Mozilla Firefox互联网历史文本,他是在那一天(世界协调时间/UTC),访问网页www.xshellz.com?(答案格式:YYYY-MM-DD)

解题

答案

他是在2016-09-13(世界协调时间/UTC),访问网页www.xshellz.com

32 请问哪一个文件中保存了Google Chrome浏览器的历史浏览记录?

解题

思路:同上题,找到google浏览器的历史记录,随机找一个文件,跳转到源文件

答案

History文件中保存了Google Chrome浏览器的历史浏览记录

33 该电脑中可能含有Jason的相关信息,例如电子邮件地址。请问,Jason的电子邮件地址是什么?(提示:21个字符)

解题

思路:使用取证大师检索Hugo的发送邮件,发现Jason的邮件地址为:jasonforensics@qq.com

答案

Jason的电子邮件地址是jasonforensics@qq.com

34 有没有发现其他可以与手机通讯的聊天程序?(答案格式:ProgramName)

解题

思路:使用取证大师检索关键字mobile,发现用户安装的软件中有一个名为Wondershare MobileTrans的软件

使用浏览器查询发现这个软件可以和手机进行通信

答案

Wondershare MobileTrans

35 有没有发现任何包括安全文件传输功能的传输工具?(答案格式:123.abc)

解题

思路:检索浏览器下载记录发现下面这个文件

使用浏览器查询这个软件

答案

安全文件传输功能的传输工具是:WinSCP.exe

36 根据上述问题,该文件传输工具是从哪里下载的?(答案格式:https://domain.abc)

解题

思路:通过上题我们发现下载地址

答案

文件传输工具是从https://cdn.winscp.net下载的

37 根据上述问题,请问用户使用哪一个浏览器下载该文件传输工具?

A) Internet Explorer

B) Firefox

C) Chrome

D) 以上任何一个都没有

解题

思路:我们通过35题发现这个文件在Chrome浏览器

答案

C:Chrome

38 有没有发现任何已下载的远程访问工具?若有,请列举。(答案格式:123.abc)

解题

思路:通过仿真系统打开发现桌面存在一个远程访问软件putty

答案

已下载的远程访问工具putty.exe

39 加分题︰根据远程访问工具,请问用户曾连接到哪一个主机名?

解题

思路:查看putty的注册表

答案

用户曾连接到一个主机名为:shell.xshellz.com