arttnba3's old blog

- arttnba3的垃圾堆积处 -

0%

【电子取证-0x02】美亚杯第五届全国电子取证竞赛资格赛write up by arttnba3

0x00.绪论

“美亚杯”中国电子数据取证大赛是由中国刑事警察学院主办、厦门美亚柏科承办的中国电子数据取证大赛,也是国内较为有名的数据取证比赛

作为网安专业的小萌新去年对此毫不知情(知情了我可能也过不了资格赛),于是今年想要去玩玩(指划水),所以打算趁时间还够把过去的几次比赛的真题给刷一刷XD

注:题目版权属于美亚杯赛事组委会

注:本人感觉取证比赛就是熟练运用各种工具的比赛…( 取证软件公司的硬广

0x01.工具

硬件:

  • Microsoft Surface Book 2
  • Samsung 1T SSD

软件:

  • 取证大师试用版
  • AccessData FTK Imager
  • VMWare Workstation Pro 16
  • 火眼证据分析软件V4(付费授权)
  • 火眼仿真取证软件(付费授权)
  • volatility
  • Dependency Worker

0x02.资格赛 - 案情介绍

image.png

image.png

0x03.资格赛 - 单项选择题

开局自然首先是把惯例的火眼+取证大师自动分析弄上

image.png

image.png

image.png

1.A

image.png

见取证大师【摘要】部分

image.png

2.C

image.png

毫无疑问是win10家庭版

image.png

3.D

image.png

从摘要中可以看出犯罪嫌疑人的系统盘是NTFS,而他(表面上)只有一个磁盘分区,他在使用自己的计算机时的磁盘分区就应当是NTFS,需要注意的是不要被不可见的ESP寄存器分区给迷惑了

image.png

4.A

image.png

还是看摘要,但是这里我计算出来的大小比正确答案多12个扇区…希望后续能有大师傅答疑解惑

image.png

5.E

image.png

image.png

题目选项还是分页的,想起来高中被完形填空支配的恐惧

取证大师里一搜就有

image.png

6.A

image.png

安装时间在取证大师里可以直接看到

image.png

需要注意的是题目问的时区是UTC,而犯罪嫌疑人的电脑时区是UTC+8(见第八题),故需要减8h

7.A

image.png

闭着眼睛你都应该知道应当是512B

在取证大师的【摘要】里可以看到是512B

image.png

8.E

_X5Q5M_7ZJ0MF6IGLD__Y1T.png

可以在取证大师里看到是utc+8

热知识:GMT = UTC + 0

image.png

9.D

RZ0@`WRM@RV_UWVUQK0`U_G.png

取证大师一梭子带走

image.png

10.B

![@_JFV_4J7~~DJ3TU__@`_SS.png](https://i.loli.net/2020/11/08/BRtzZPJWxKVoSwp.png)

取证大师里可以很清晰地看到各个用户的信息

image.png

11.A

J@@JH_BYA__II_OA__KI31A.png

这道题稍微绕了一个弯

在取证大师中我们看到的唯一挂载了盘符E:的设备是Generic Flash Disk USB Device,在答案中并没有这个选项

image.png

众所周知Generic Flash Disk USB Device通用闪存设备,也就是说犯罪嫌疑人插入过一个闪存设备,该设备被挂载到盘符E

从设备拔插时间线分析可知其他的存储设备插入时也会先从盘符E开始分配起,而五个选项中只有A设备出现在USB使用记录中(其实光凭这一点就能选出A了⑧

12.C

_9ICF__5RT1QZ40J8__GPOG.png

直接看用户痕迹中属于E:目录下的即可,需要注意的是题目问的是【不是】

image.png

13.B

1_N~W50~N_P_NSKW0QQYI09.png

还是在取证大师里翻一圈【最近访问的文档】就有了

14.C

RKZ1H8C3JWUC_L~ZI_DQ07J.png

还是一搜就有

image.png

15.E

image.png

image.png

先用取证大师找到文件提取出来,拖到Dependency Walker里一看就有了

需要注意的是电脑性能像我这样差的会卡挺久

image.png

NO0W6JSQ_~YMYYHM~83ZNWG.png

MXJT487_GN18RTL5VM6N3DK.png

FE54D_XKB3~MW3X_PB_2~DQ.png

0KG93Q_T4_52I84_A12J3S1.png

16.C

image.png

使用火眼仿真进虚拟机一看就是蓝色

image.png

17.B

image.png

首先这几个文件我都没在根目录下找到

Windows中用来在休眠状态储存内存数据的文件就是HIBERFIL.SYS,所以直接选B即可,有关这个文件的详情可以百度康康

关于这五个文件的简单说明(来自百度):

WIN386.SWP为虚拟内存交换文件,存放内存中长时间闲置的程序

HIBERFIL.SYS为内存备份文件,电脑休眠时会将内存所有内容写入该文件中,以便唤醒时快速恢复

PAGEFILE.SYS为虚拟内存页面文件,也就是虚拟内存

NTUSER.DAT为用户配置文件

SWAPFILE.SYS为Metro App的虚拟内存交换文件,比较生僻

18.D

image.png

还是常识类题目,有关win的一些基本概念可以看这里这里

19.A

image.png

取证大师查看网络连接即可

image.png

20.E

image.png

image.png

火眼仿真里切到Admin账号一看就有了

image.png

21.C

image.png

一开始找这个备份一直没啥思路,直到我看到取证大师首页就有分析结果…

image.png

将整个文件夹导出,使用火眼证据分析软件取证大师进行分析,开启我们下一个阶段的解题

image.png

image.png

在火眼当中我们可以看出题目中的iCloud的id与犯罪嫌疑人的iCloud的id不同

image.png

22.D

image.png

还是火眼里可以直接找出的内容

image.png

23.A

image.png

这一个在What's App里的联系人中可以看到

image.png

24.B

image.png

还是在火眼里,粗略翻一翻可以发现除了B以外的都有搜过

25.E

image.png

image.png

还是秒出的混分题,火眼一翻就有

image.png

26.B

image.png

首先从逻辑上进行分析如果是和老板聊洗钱的话那么在案情简介上就会提到这件事情而且整个案情也会发生变化所以必然没有聊到这个话题

与中介谈买房:

2020-11-9-20-19.png

和 带 黑 阔 进 行 嘿 产 交 易:(后面还会涉及到这个)

image.png

与网贷谈借钱:(当程序员也太惨了,没有头发也没有钱QAQ)

image.png

与朋友谈炒房:(房价泡沫快破⑧(恼))

image.png

可以看得出来除了洗钱的内容以外都聊到了

27.C

屏幕截图 2020-11-09 202807.png

可以在火眼的微信聊天记录里发现才2000条数据就敢出来卖?too young too simple!

image.png

28.D

image.png

还是在微信聊天记录里这也太便宜了⑧

image.png

29.D

image.png

这一道题稍微有一丶丶绕,在手机备份里本身的图片是裂图,但是在电脑镜像中我们可以看到嫌疑人在电脑上也登录过自己的微信,因此我们重新回电脑镜像里可以看到这个交易的图片

image.png

需要注意的是电脑上有多个BTC地址的图片,还好出题人没有屑到两个都放在一个选项里,所以我们可以直接选出来

30.E

image.png

image.png

还是在其与 带 嘿 阔 的聊天记录里

image.png

31.E

image.png

需要注意的是虽然前面的聊天记录里说到密码通过邮箱打过去了,但是后面的聊天记录里我们可以看到的是通过邮箱发过去的密码是错误的,正确的密码还是在其与 带 嘿 阔 的聊天记录里

image.png

32.A

image.png

很明显就是Kevin没有暗示某社交媒体上某个美🐕的意思

image.png

33.E

image.png

在聊天记录里可以看到是Black Sheep此处艾特black watch

image.png

34.D?

image.png

(问就是没找到这张图,我菜死了

35.B

image.png

image.png

(问就是没找到这张图,我菜死了

36.D

image.png

首先在取证大师里我们可以看到有几个加密文件,最下面那个文件名看着比较正常(因为选项中的几个后缀名只匹配到了这一个),跟进到源文件看看

image.png

可以看到是一个用户内部ID为1000的用户放在回收站($Recycle.Bin)里的文件

1605107632851

ID1000就是He Yuan,直接往该用户垃圾桶里翻就能找到文件名了

image.png

37.A

image.png

在最近访问记录里看到访问了盘符C:与盘符A:,故猜测是挂载到了盘符A:

image.png

38.C

image.png

在取证结果->云存储客户端里可以看到应当是Heyuan515

image.png

39.A

image.png

和上题一样的位置

image.png

40.C

image.png

image.png

见百度云管家的文件缓存记录

image.png

41.A

image.png

可以使用Python计算时间戳(其实我也是现查的

image.png

为什么打了个此题无效的标签…可能是因为比赛期间根本没法算⑧(假如不知道这个方法的话

42.B

image.png

见百度云本地缓存记录,大小0字节的两个是文件夹,剩下的就都是普通文件了

image.png

43.D

image.png

在火眼里逐项搜索即可

image.png

image.png

image.png

image.png

image.png

44.C

image.png

其实在邮件记录里就可以看到一封注册谷歌账号后的默认导航邮件

image.png

45.B

image.png

在火眼的下载记录里有

image.png

46.D

image.png

几个浏览器历史记录搜一遍过去就有了

image.png

47.

image.png

首先了解Tor浏览器相关知识:

image.png

Tor是基于火狐浏览器修改而成的,而火狐浏览器的历史记录存留在数据库places.sqlite

image.png

image.png

查找places.sqlite文件,将tor目录下的那一个提取出来,

image.png

image.png

48.

image.png

49.

image.png

image.png

50.

image.png

51.

image.png

为了准备今年的美亚杯,清理硬盘空间的过程中一不小心把内存镜像删了,明天重新拷一份回来再看看…

52.

image.png

53.

image.png

54.

Welcome to my other publishing channels