使用工具

取证大师试用版(划重点官网可申请试用,所以别问我要了

案情介绍

审问Eden之后发现,他的朋友Johnson不仅仅是一个黑客,更是一个电脑高手。Johnson开发并传播不少应用程序,其中也包括窃取网站敏感信息的恶意软件。Johnson曾经通过邮件发送一个网络数据dump给Eden,用以展示其中一个恶意软件的违法行为。

随后他因为挪用公款、窃取公司重要的客户信息而被起诉。据悉,有目击者称看到Johnson当日驾车从公司离开,而当日驾车行驶记录可作为他本人是否来往公司窃取数据的重要证据。

近日,Johnson被逮捕,他的电脑也被没收了并送至法证取证检查处。经过初始简单查看之后,警方发现在他的windows 7 系统里面安装了一个Linux的虚拟机。你是一个数字取证调查员,受警方委托接到了Johnson被送检的硬盘。

准备工作

  • 打开取证大师试用版新建案件

    image-20230326180847973

  • 在案情中加入镜像

    image-20230326180915645

  • 开始自动取证

    image-20230326181031366

题目

你负责调查Johnson的电脑中是否有为了推广恶意软件而对外发送的网络数据包、所窃取的客户信息、及行车记录。在取得了硬盘的法证镜像之后,请解答如下问题:(总分35分)

1. 请给出相应Linux虚拟机所在的文件夹名称:(1分)

解题

通过分析可知这个电脑里使用的虚拟软件是VMware,在证据文件里,可以找到linux虚拟机Ubuntu的路径

image-20230326183017449

答案

所以答案为:分区1_本地磁盘[C]:\VM-Ubuntu

2. 请在Johnson的电子邮件中找出相应的网络数据包,并提供如下信息:(2分)

a. 网络数据包的名称及后缀名(例如:readme.txt)

b. 网络数据包的md5值

解题

a. 网络数据包的名称及后缀名(例如:readme.txt)

image-20230326183803403

网络数据包的名称及后缀名为:traffic-analysis-exercise.pcap

b. 网络数据包的md5值

点击附件跳转源文件

image-20230326184313628

跳转到原件查看md5值

image-20230326184216260

网络数据包的md5值为:8D69DE03A33FB4AA1E9C63583007D1CB

答案

网络数据包的名称及后缀名为:名称为:traffic-analysis-exercise,后缀为pcap

网络数据包的md5值为:8D69DE03A33FB4AA1E9C63583007D1CB

3. 被恶意软件感染的电脑的主机的信息:(3分)

通过分析数据包可以发现

a. 主机名

b. IP地址

c. MAC地址

解题

IP地址为172.16.165.165

使用wireshark查看conversation

image-20230328150123472

image-20230328150202413

追踪dhcp查看主机名和MAC地址

image-20230328150311369

image-20230328150359477

image-20230328150422320

所以主机名为:K34EN6W3N-PC

MAC为:f0:19:af:02:9b:f1

答案

a. 主机名 :K34EN6W3N-PC

b. IP地址 :172.16.165.165

c. MAC地址:f0:19:af:02:9b:f1

4. 在该事件中被利用的网站的基本信息:(2分)

a. IP地址

b. 域名

解题

这个我太会分析流量包怎么分析,是一点点扒出来(需要学学)

image-20230328112627959

image-20230328112729724

答案

ip地址:37.97.254.27

www.ciniholland.nl

5. 传播该漏洞/病毒网站的基本信息(2分)

a. IP地址

b. 域名

解题

在这里说以目前CSDN能搜到的15年团队赛的WP都是错的(关于这3-9的题解)

使用brim这个软件进行分析,检索关键字exploit | fuse(传播就是利用英文为exploit )

我们可以看到源ip为:37.200.69.143

image-20230328234949210

对应域名我使用的是一个在线网站查看的https://apackets.com/upload上传流量包即可

image-20230328235952540

得出域名为:stand.trustandprobaterealty.com

答案

所以答案为:

a. IP地址 :93.184.216.34

b. 域名:stand.trustandprobaterealty.com

6. 重定向URL所指向的漏洞利用工具包的到达网页域名是什么?(1分)

解题

image-20230329000908439

答案

所以答案为: http://24corp-shop.com/

7. 除了到达页面(含有CVE-2013-2551IE漏洞),漏洞利用工具包还发送了其他的漏洞。请从下列选项中选择出相应的漏洞:(1分)

I. Flash漏洞

II. IE漏洞

III. Windows漏洞

IV. office漏洞

V. Java漏洞

a. I & II

b. I & V

c. II & IV

d. III & V

e. II & IV

解题

这个题目我采用的是数据包分析网站:https://packettotal.com/这个网站可以检测出恶意的行为,来看到漏洞利用包发送的漏洞

image-20230329122531894

答案

选择为 b:漏洞利用工具包还发送了其他的漏洞为Java和Flash漏洞

8. 恶意代码的有效载荷(payload)总共被传递了几次?(1分)

解题

使用wireshark打开数据包,分析http导出对象

image-20230329131216684

一共3次msdownload

答案

所以恶意代码的有效载荷(payload)总共被传递了3次

9.请提取出该网络数据包中恶意程序/文件,并选择出对应的两个MD5值:(2分)

I. 7b3baa7d6bb3720f369219789e38d6ab

II. c45e9f2a3954e44296c1178c3a3d2b28

III. 1e34fdebbf655cebea78b45e43520ddf

IV. 6ccb3791c0b857158ffd1dabb0a49695

V. 2cc9bd30cd18cdc8884b3cc837e7a3cd

a. I & IV

b. I & III

c. II & V

d. III & IV

e. III & V

解题

使用brim输入以下命令:

1
_path=="files" source=="HTTP" 37.200.69.143 in tx_hosts | cut tx_hosts, rx_hosts, md5, mime_type

image-20230329130511517

得到两者的md5为:7b3baa7d6bb3720f369219789e38d6ab和1e34fdebbf655cebea78b45e43520ddf

答案

所以答案为b

10.Linux系统的基本信息:(6分)

a. 系统安装日期(YYYY/MM/DD)

b. Linux系统版本号

c. 最后登录日期(YYYY/MM/DD)

d. 最后关机时间(hh:mm)

e. IP地址

f. 请选择哪一个是终端Terminal的最后1个命令

解题

a. 系统安装日期(YYYY/MM/DD)

2015-08-26 15:58:26

image-20230327145910392

也可以将Ubuntu镜像导出,使用取证大师进行分析系统安装时间

image-20230327164748749

b. Linux系统版本号

14.04

打开仿真系统,进入镜像里,打开里面的虚拟机文件,进入ubuntu 系统使用命令uname -a查看版本号

image-20230327152605402

也可以将Ubuntu镜像导出,使用取证大师进行分析系统Linux系统版本号

image-20230327164900055

c. 最后登录日期(YYYY/MM/DD)

打开仿真系统将虚拟机文件进行导出,将镜像加载取证大师中去

image-20230327164312184

image-20230327165039077

所以最后登录日期为:2015-09-04 14:28:18

d. 最后关机时间(hh:mm)

image-20230327172443721

所以最后关机时间为:2015-09-04 14:38:56

e. IP地址

image-20230327172817090

所以ip地址为:192.168.220.128

f. 请选择哪一个是终端Terminal的最后1个命令

使用仿真软件,将Ubuntu进行仿真,这样做的目的是为了绕过密码,仿真软件会把密码重置为123456

image-20230327173939753

进入系统

image-20230327173854814

使用命令history查看终端Terminal的最后1个命令的最后一条命令,从下图可知,最后一条命令为 sudo fdisk -l(最后一条history是我们刚输入的,应该除去)

image-20230327174210383

答案

a. 系统安装日期(YYYY/MM/DD) :2015-08-26 15:58:26

b. Linux系统版本号 :14.04

c. 最后登录日期(YYYY/MM/DD) :2015-09-04 14:28:18

d. 最后关机时间(hh:mm) :2015-09-04 14:38:56

e. IP地址 :192.168.220.128

f. 请选择哪一个是终端Terminal的最后1个命令 :sudo fdisk -l

11.被窃取的客户信息是一个mysql数据库,请提供mysql数据库基本信息:(共5分)

g. Mysql版本(1分)(例如:1.1)

h. DB数据库存储地址\存储路径(1分)(例如:/sys/dev/)

i. 数据库表名称(1分)

j. 请提供数据库中名字Name为Jessamine B. Underwood的电话、信用卡号、密码、及Email记录(2分)

Name
Phone
Credit_Card_Number
Password
Email

解题

g. Mysql版本(1分)(例如:1.1)

在Ubuntu中使用命令:sudo mysql -V

所以MySQL的版本为: 5.5.44

image-20230327175517382

h. DB数据库存储地址\存储路径(1分)(例如:/sys/dev/)

注:Ubuntu查询mysql存储地址的命令为:mysql -u root -p(本数据库无密码,可直接回车,进入mysql中)

image-20230327191001374

接着使用命令show variables like ‘%data%’;查询:可知mysql数据库的存储地址为 /var/lib/mysql/

image-20230327191108025

所以答案为: /var/lib/mysql/

i. 数据库表名称(1分)

数据库表名称为:contact_list

image-20230327191655534

所以答案为:contact_list

j. 请提供数据库中名字Name为Jessamine B. Underwood的电话、信用卡号、密码、及Email记录(2分)

使用命令use customer进入customer数据库

image-20230327192542766

image-20230327192521374

使用命令select * from contact_list where name=’Jessamine B. Underwood’;查看Name为Jessamine B. Underwood的电话、信用卡号、密码、及Email记录

image-20230327192639376

1 | Jessamine B. Underwood | 634-284 Curae; Rd. | 1-194-769-5195 | 4248106365744023 | 7316 | porttitor@egestasDuisac.net

Name Jessamine B. Underwood
Phone 1-194-769-5195
Credit_Card_Number 4248106365744023
Password 7316
Email porttitor@egestasDuisac.net

答案

g. Mysql版本(1分)(例如:1.1)

5.5.44

h. DB数据库存储地址\存储路径(1分)(例如:/sys/dev/)

/var/lib/mysql/

i. 数据库表名称(1分)

contact_list

j. 请提供数据库中名字Name为Jessamine B. Underwood的电话、信用卡号、密码、及Email记录(2分)

Name Jessamine B. Underwood
Phone 1-194-769-5195
Credit_Card_Number 4248106365744023
Password 7316
Email porttitor@egestasDuisac.net

12.你能从电脑中找到任何的Johnson所盗取的公司进出账记录么?如果有的话,请协助提供如下信息:(2分)

a. 进出账记录的文件名(例如:readme.txt):

b. 在该记录中,Johnson借款金额为:

解题

a. 进出账记录的文件名(例如:readme.txt):

邮件中我们可以知道是加密文件,接着我们去找去取证大师寻找加密文件

image-20230327200909712

从做题的角度,肯定是可以解密的文件,所以我们尝试第3个,或者一个个尝试。

image-20230327200946272

获取源文件,导出文件

image-20230327201059054

image-20230327201127906

得到文件名为:CashDairy.xlsx

image-20230327201441680

进出账的记录的文件名为:

b. 在该记录中,Johnson借款金额为:

输入右键中给的加密密码,得到Johnson的借款金额为:100000

image-20230327201233060

image-20230327201308069

答案

a. 进出账记录的文件名(例如:readme.txt):CashDairy.xlsx

b. 在该记录中,Johnson借款金额为: 100000

13.你能从电脑中找到行程记录仪所记录的视频或者地图截图么?如有,请列举其文件类型及对应MD5值。(5分)

文件类型 MD5
1
2
3
4

解题

行程记录仪所记录的视频:

我的思路是首先通过仿真挂载,进入系统使用文件搜索工具everything进行搜索mp4

image-20230327204351261

发现两个命名后缀为.MP4的文件,将两个视频进行导出,发现其为行车记录仪视频(截图没法上传图床不知道为啥)

就是下面这两个视频

image-20230327205611123

接着通过取证大师定位这两个视频的位置,并计算md5值

image-20230327205800376

image-20230327205821442

image-20230327205908836

md5值分别为:2D76D94DCF833EBF9847D3DB1C15BA26和6295AD06E8B810DC89E54FEB721847AD

地图截图:

我的思路是:因为都是行车记录仪的东西,应该在一个大的文件夹中,在仿真中找到的视频所在的文件夹,最后找到一个地球截图(图片敏感,所以进行打码)

image-20230327211024101

文件名为:CombinedPicture格式为.jpg

image-20230327211202439

在取证大师中找到这个文件,并计算md5值

image-20230327211325845

image-20230327211354843

image-20230327211426670

image-20230327211455499

所以这个文件的md5值为:E931E11283641473564383A51B85FACA

答案

文件类型 MD5
1 MOV_1051.MP4 MP4 2D76D94DCF833EBF9847D3DB1C15BA26
2 MOV_1052.MP4 MP4 6295AD06E8B810DC89E54FEB721847AD
3 CombinedPicture.jpg jpg E931E11283641473564383A51B85FACA
4

总结

  1. 数据包的分析能力不足,需要多加练习。
  2. 文件的联想能力不足,在那个加密文件那里,想到可能在加密文件那没敢去尝试,取证就要去多试。
  3. 对linux的取证能力需要加强
  4. 练习时要多尝试不同的方法,但是比赛时一定要找到快速解题的方法。
  5. 道阻且长。