2015年美亚杯个人赛WP
使用工具
取证大师试用版(划重点:官网可申请试用,所以别问我要了)
案情介绍
Eden有丰富的业余爱好与特殊的职业。他是一个恋童癖,超爱收集儿童色情相关的东西。他也是一个臭名昭著的匪徒,其敛财的主要手段主要有:裸聊敲诈;制造炸弹;假币制造;通过编写及分发病毒邮件盗窃用户信息;在线拍卖平台欺诈(在用户付款之后,却不寄送出所拍物品)等等。
Eden最近被逮捕,他的电脑也被没收了并送至法证取证检查处。你是一个数字取证调查员,并且接到了Eden被送检的硬盘。你负责调查Eden曾经是否进行过任何的非法活动。
准备工作
- 打开取证大师试用版新建案件
- 在案情中加入镜像
- 开始自动取证
题目
在取得了硬盘的法证镜像之后,请解答如下问题:(总分25分)
题目1:请找出如下windows XP系统信息:(10分)
a. 操作系统版本号(xp sp1 5.1/xp sp2 5.2/xp sp3 5.1/xp sp2 5.2)
所以答案为xp sp3 5.1
b. 系统所有者
所以答案为:Administrator
c. 系统ID号
所以答案为:76481-641-1471224-23942
d. 系统安装时间
所以答案为:2015-08-07 16:45:52
e. 最后一次登录时间
所以答案为:2015-08-10 14:59:53
f. 最后一次正常关机时间
所以答案为:2015-08-10 18:23:58
g. 系统时区设置
所以答案为:中国标准时间
h. 系统IP地址
所以答案为:192.168.180.129
i. MAC地址
怎么查看MAC地址?
https://zhuanlan.zhihu.com/p/112149333
通过上述链接我们可以根据网络适配器进行查看
所以答案为:4D36E972-E325-11CE-BFC1-08002BE10318
k.硬盘序列号
采用镜像仿真,进入系统使用命令行查看
1.list disk
- select disk 0
select disk 0
所以答案为: E7DEE7DE
题目2:请给出桌面图片所对应的MD5值。(1分)
打开美亚提供的电子数据仿真取证系统,这个实现仿真还需要提前安装Vmware(划重点:美亚提供的试用版,别找我要)
点击打开系统后,自动跳转到Vmware,进入仿真系统,进入桌面可以看到桌面图片
通过取证大师定位到这个图片,导出图片使用命令行(certutil -hashfile 文件绝对路径 MD5)得出图片的MD5值
输入命令certutil -hashfile 文件绝对路径 MD5
所以得出桌面壁纸的MD5值为:0798e7a4949a75560d79944f94e3c73a
题目3.曾经有USB存储设备连接至计算机,请列出该USB存储设备的S/N号码(1分)
所以该USB存储设备的S/N号码为:CCBB1410081257510038214000
题目4.“Eden”, “Jess”, 及 “Eddie”之间是否有非法的行为?请理清三人之间非法行为的关系,并将相应的非法行为从选项中填写至相应的横线中。(3分)
a. A、F、E
b. C、E
c. A
总结
- 了解到简单的取证思路。
- 有些东西的定位还是不行,比如USB的那个、以及系统硬件的一些东西。
- 需要多加练习,并且尝试不同的思路。
