准备参加第三届的比赛了,特意把第二届的比赛写一下,第一次写wp,不足之处请多多指点
案件背景:
第二部分------案件背景介绍🌎王刚(英文名kugoo)是一家国内大型电子商务公司的服务器管理员,他负责公司多台服务器的日常运维管理。
王刚利用个人职位之便,私下将客户的资料卖给第三方获得高额回报。电商平台的不少客户遭受诈骗和营销推广骚扰,该企业纷纷收到投诉,公司怀疑有人泄漏了平台的用户数据。
该公司聘请第三方专业取证调查公司协助开展调查,需调查王刚在职期间利用个人职位之便贩卖客户信息的行为及关键证据。在王刚工作的电脑上发现其使用了VMware虚拟机,现将虚拟机磁盘制作成E01镜像文件。要求对其虚拟机中的数据进行分析。🌎
你会获得一个王刚电脑硬盘中存储的虚拟机的镜像文件A,该虚拟机已经制作为E01证据文件格式,其文件名为“WangGang_Practical.E01",文件是由AccessData FTK Imager采集而来的。根据镜像文件中的内容,请回答以下问题:
🌎民警在某繁华地段路口抓住正在发法轮功宣传资料的嫌疑人乙,传单主题为“卫星锅教程”和“这是一个传奇的故事(法轮功宣传)”,据其口述,他否认自己正在宣传法轮功,并称自己只是受雇于一个陌生人,按小时计费地发传单,并不知道自己手中传单材料的真实内容和来源。警方希望能从扣押的电脑中得到相关证明和线索。找到传单材料的真实来源和其他涉案人员或信息。甲(大狗)为警方初步掌握的和其QQ有联系的另一嫌疑人。🌎
检材:
镜像文件/备份文件:
WangGang_Practical.E01-------第二部分(共50题,每题5分)
资料B-手机文件 --------- ----------第三部分(共20题,每题5分)
C.e01----------------------------------第三部分(共10题,每题5分)
工具软件:
取证大师V6.1.78829RTM(FMP)
火眼证据分析软件 v4.10.0.28739
火眼仿真取证软件 v3.9.2.2438
🌎Question🌎:
1.请写下王刚(Kugoo)虚拟机磁盘的SHA-1哈希值的最后6个字符
求SHA-1哈希值。就是求检材e01镜像的哈希,直接添加任务可以算出来
但是得注意如果只勾选SHA-1的话速度会快很多
2.硬盘分区1的设备序列号是多少?
取证大师,选中分区1详细信息里面就可以看到
。
3.硬盘分区1的设备序列号是多少?
取证大师选中镜像看详细信息下面就有。
4.硬盘存在一个BitLocker加密分区,其总扇区数是多少?
需要解密的应该是F盘(下图是解密后的信息)
5.请问该镜像的操作系统类型是多少位的?
取证结果-----系统信息------操作系统类型
6.请找出Kugoo(Windows帐户)最后一次登录时间为?
取证结果-----账号登陆。(最上面那个就是最后登陆时间)
7. Kugoo王刚通过浏览器使用搜索引擎搜索过哪些加密软件?D
A.1Password
B.KeePass
C. TrueCrypt
D. VeraCrypt
在浏览器搜索里面能找到信息(只有IE浏览器里面能看到D选项,其他信息浏览器搜索记录没发现)
8. 硬盘的操作系统是什么?B
A. Windows XP
B. Windows 7
C. Windows 8
D. Windows 10
取证结果\系统痕迹\系统信息\系统信息-----直接能看到
9. Kugoo电脑中内置的本地网卡接口Intel® PRO/1000 MT Network Connection的最后一次IP地址是什么?
直接搜索关键词 Intel® 发现只有网络配置出现了ip地址–192.168.87.129(也不知道是不是最后一次)
🔔10. 根据上述问题,该本地网卡接口MAC地址是什么?
同上题的图片,第一栏就是MAC地址。00-0C-29-D0-75-1D
🔔11. Kugoo电脑安装了几个Windows系统补丁?E
A. 1
B. 2
C. 3
D. 4
E. 5
取证结果\自动取证\WangGang_Practical.E01\系统痕迹\安装软件\系统补丁(里面就有五个补丁)
12. KeePass 2.lnk快捷方式文件指向的目标文件的路径是什么?
D:\ProgramData\Microsoft\Windows\Start Menu\Programs\KeePass 2.lnk
直接实时搜索,然后在证据文件里面找到命中文件名,右键跳转原文件。注意,这只是找到快捷方式的路径,不是导向目标文件的路径。 我们打开火眼仿真软件,将镜像文件导入
选择绕过密码之后(一般都能绕过,但是这个镜像我勾上了绕过密码打开还是需要登陆密码,我用火眼证据分析软件能直接看到登陆密码!!!)直接打开。界面如下:
我们需要找到目标文件(KeePass 2.lnk的指向),试一下菜单里面直接搜索
一下子就找到了我们需要找到的目标文件。
13. 客户资料-样本数据.lnk快捷方式文件指向的目标文件的路径是什么?
指向:Q:\数据输出\老胡
刚打开仿真,
在开始菜单那找到Foxmail里面一下就找到了目标文件的路径!!!
14. 在Kugoo电脑中访问的微软IE上网记录中存在几个服务提供商的网页邮箱(Webmail)?
A. 1
B. 2
C. 3
D. 以上答案均不正确
这题也是取证大师找一下上网记录里一一比对,貌似是只有新浪的邮箱
15. 请检查Kugoo在桌面上的内容,其中有一个myfile的文件夹的创建时间是什么?(答案格式 -“协调世界时间":YYYY-MM-DD HH:MM UTC)
不知道为啥文件名多了个s,但是桌面也只有这个文件夹,所以创建时间如上图
16. myfile文件夹中含有几个实际存在的文件 (不含ADS属性虚拟文件)?(答案格式: 123)
有五个文件,这里我提一下,这五个xlsx是用了EFS加密,也就是
把这个勾勾去掉即可恢复,但是如果不仿真的话,解起来挺麻烦的,这里我直接把五个文件给解开了。
17. Kugoo用户的下载目录中下载了哪些文件,请写出具体名称(答案格式:123.exe)
仿真之后这些题都挺简单的,直接在C:\Users\kugoo\Downloads里面找下载的文件夹打开即可
有三个文件,第一个desktop.ini的话是存储用户对文件夹的个性设置,是可以被隐藏的文件,不是下载了的文件,所以这里只有两个文件Evernote_6.6.4.5512.exe和VeraCrypt Setup 1.21.exe
18. Kugoo安装了Evernote印象笔记程序,请写出该程序的数据库所在路径
(答案格式: C:\abc\def.exe)
这题得对这个印象笔记有一定熟悉,打开仿真,进入程序里面
格式为exb的文件即为本地数据文件
C:\Users\kugoo\Evernote\Databases\kugoo0910#app.yinxiang.com.exb
19. EverNote笔记中记录哪两条信息,请写出信息内容。
1.老胡资料准备
2.房贷还款8000元(每月20日)
直接打开印象笔记就能看到
20. 请找出虚拟机中存在的BitLocker加密磁盘的恢复密钥文件,并写出恢复密钥信息。
(答案格式:154588-294633-329228-223674-073085-589558-181566-299606)
取证大师里面找:自动取证\WangGang_Practical.E01\文件分析\文件分类\办公文档
里面的txt文件中有一个文件叫
里面就有恢复密钥信息
21. Kugoo负责管理公司多台服务器,请写出他远程管理的服务器的IP地址(3个)
(答案格式:202.101.103.51)
打开取证大师,取证结果----远程桌面里面有这三个记录
22. 在Kugoo进入Windows后,在哪个盘符的驱动器中看到包含ziliao和zhaopian两个文件夹?
A. D
B. E
C. F
D. G
这题仿真打开每个盘符看一眼就知道是A选项
- 硬盘中一个名为trip.jpg的文件,其物理位置的偏移为多少字节?
(答案格式:27210355001)
求其物理位置偏移其实是找它的物理位置,我们通过实时搜索trip.jpg找到证据文件\命中文件名,
然后右键跳转原文件就 
找到了物理位置
24. 王刚的电子邮件中有一个联系人为老胡,他们之间存在数据交易买卖,收费标准是什么? (答案格式: 1.5元/条数据,整数或保留1位小数)
取证大师里面:自动取证\WangGang_Practical.E01\邮件解析\Foxmail\kugoo0910@sina.com\收件箱火狐邮箱里面就能找到跟老胡的聊天记录
25. 根据上述问题,老胡最近一次计划买多少万条数据资料?
A. 5万
B. 10万
C. 15万
D. 20万
上题图片里面有提到需要五万条 A
26. 王刚与联系人小美的电子邮件中可以推断出王刚生日是几月几日?(答案格式:10月8日)
也是在Foxmail邮箱里面
往下翻翻能看到是教师节过的生日。9月10号
27. 王刚Kugoo设置的桌面背景墙纸是来自哪个文件,请写出具体路径?
(答案格式:C:\folder\subfolder\123.png)
这题我用火眼仿真做的,直接找路径C:\Users\kugoo\Documents\Wallpaper就能看到桌面壁纸的图片了
28. Kugoo在Windows系统中设置了忘记密码的提示信息,请写出提示信息文字。(答案格式: my special day)
(答案格式: my special day)
虚拟机打开镜像文件后(仿真)在登陆页面输错一次密码之后会显示
密码提示就是my birthday。
29. Kugoo曾下载过百度云盘软件,请写出具体的下载开始时间
(答案格式 -“协调世界时间":YYYY-MM-DD HH:MM UTC)
这题就是要你找被删除的百度云盘最开始下载的时间。
打开桌面上的迅雷能看到百度云盘的安装包 2017年8月16日,22:10:28。
也可通过取证大师
30. Kugoo曾通过百度云盘上传“客户资料-样本数据2.rar”,请写出具体的上传时间。(答案格式 -“协调世界时间":YYYY-MM-DD HH:MM UTC)
<hr style=" border:solid; width:100px; height:1px;" color=#000000 size=2">
31. 请找出VeraCrypt加密过的加密容器文件, 请写出该文件具体位置(文件所在的驱动器盘符需以Kugoo在Windows系统中看到的盘符为准)
(答案格式:C:\folder\subfolder\123.png)
通过取证大师找到Kugoodata这个名字,发现它大小和占用空间严重不符,能看出是经过VeraCrypt加密的容器文件。
- Kugoo在Evernote程序中使用了哪个邮箱地址进行登录?
(答案格式:abc@def.com )
直接打开虚拟机桌面上的印象笔记\文件里面直接能看到
33. Kugoo搜索过几个电商平台?B
A. 1
B. 2
C. 3
D. 4
取证大师看浏览器记录,我好像只找到两个??!
34. VeraCrypt文件夹下有几个反取证软件?C
A. 5
B. 6
C. 7
D. 8
虚拟机打开C盘的C:\Program Files\VeraCrypt就能看到里面的文件,取格式为exe的一个有7个
35. Kugoo共用了几种文件加密方式?C
A. 1
B. 2
C. 3
D. 4
取证大师:自动取证\WangGang_Practical.E01\文件分析\加密文件
有三种加密方法
36. Kugoo使用的云存储是哪个平台?
应该是百度云盘吧,取证大师里面的云储存只有百度云盘、
37. 磁盘中共有音频文件多少条?
能看到有2088条
38. 在磁盘所存储的图片中,已经被修改过的图片有多少张?
还是取证大师的基本操作
39. 在磁盘所存储的图片中,未被修改过的图片有多少张?
跟上题一样,图片里面说了有6张未被修改
40. 用户妻子小美的QQ号是多少?
取证大师:邮箱里面就有发件人的邮箱,是qq邮箱发送的
- 该镜像中,首次更改用户账户时间是何时?
这里能看到用户账号更改的配置文件信息,之前好像只被改过一次。
42. 移动存储设备Port_#0001.Hub_#0003的SN号是多少?
SN:000650268328
还是取证大师基本操作,注意名称别对错了。
43. 用户使用的文档阅读软件是?
仿真进去的文档都是默认wps的打开方式
44. 镜像中文件“产品外观及图纸.docx”的MD5值是多少?
这题走了大弯路,一开始没看到下面有md5,以为要恢复文件,捣鼓了很久才发现直接搜就能出答案了
45. 用户系统最后一次打的补丁是针对什么漏洞?
下面有说明是针对说明漏洞名称
46. 镜像中照片IMG_0181.jpg的修改时间是什么时候?
下面就有图片修改的时间
47. 文件“客户资料-上海-10000.xlsx”的存储路径是什么?
虚拟机桌面上的文件夹就有这文件,路径是C:\Users\kugoo\Desktop\myfiles。
48. 快捷方式“客户资料.lnk”指向的目标文件是?
M:\数据输出\客户资料.xlsx
直接win键菜单里面搜索客户资料也能找到
49. 本机主动连接过的远程记录有几个?
取证大师有三个,上面有题让你找ip地址,这里直接问有几个 0.0
50. 用户最后一次运行“explorer.exe”是什么时间? 
开始键里面直接搜索文件,属性里面就能看到:
2010年11月21日,5:29:20
第二部分
6. 该手机的串号(IMEI)为多少?
手机取证我用的比较多的是火眼证据分析,这里打开软件后建立案例,添加检材:
因为给的是备份文件,这里选文件集合(有些给的是压缩包,也选这个)选好后打开稍等片刻就会提示你这个文件夹是ios备份文件,快速分析好之后就可以开始做题了
这里就能看见IMEI信息,353345079763944
7. 该手机的准确型号为那款手机?
当产品类型与设备型号不符,准确型号取设备型号,所以手机是品牌:苹果 型号:iPhone 6s。
8. 该手机的操作系统是哪个版本?
还是看设备信息,这里版本号是10.3.3
9. 这部手机的iCloud账号是什么?
iPhone里的APPID和iCloud是两个账号,但是相互之间能互相登陆,所以iCloud跟appid是一样的。图片参考第六题745022994@qq.com
10.这部手机机主的身份证号为多少?
这题我一开始没什么思路,找了半天,用了全局搜索带上身份证号的正则表达式,搞了半天结果图库里面前面几张就是身份证的图片,不过这里有两张身份证。
(这里不能把身份证照片放上来就不放了,自习操作脑补)
我就猜测是机主的身份证是第二张申雄的,后面做题时也能确定是申雄。
所以身份证号就为:510322199312140412
11. 这部手机机主的手机号是多少?
18081660762,手机上登陆过四个微信,本人的手机号是这个,还有他老婆和他两个小号
12. 2018年01月01日手机机主去过什么地方?
自贡市第一人民医院
13. 上题是根据什么方法得到位置信息的?
手机WiFi记录里面说明了他那天连上过医院的wifi,说明去过医院
14.这部手机一共使用过几个手机卡,手机卡的ICCID分别是多号?
火眼证据分析能直接看到sim卡记录,里面有三个ICCID,所以能判断是使用过三张手机卡,ICCID分别是89860316248134063796、89860315248130159615、89860317248130098878
15. 这部手机登陆过几个QQ号,QQ号和QQ昵称为什么?
题目误导我以为有其他的手机登陆信息,我找了很久还是只能找到一个手机号,结果就是一个!👿
一个qq,qq号为:1602711974,昵称为:SM*。
16.这部手机登录过几个微信号,微信号和微信昵称为什么?
上面也提到过登陆过四个手机号,就不一一展开写了
17.嫌疑人在犯罪准备阶段,曾在网上查询过域名买卖方面的信息,请问是在什么时间,通过什么方式查询的?
👀18. 嫌疑人去过自贡大山铺站,请问去大山铺站之前嫌疑人的经纬度是多少?
19. 微信号为SC19910405的关系人,曾于2018年3月2日01时07分53秒向嫌疑人转过一笔钱,请问转账金额为多少?
这里直接用时间线搜索能搜索出答案 2400
20. 针对上题交易事件,嫌疑人的收款方式是什么?
微信红包转账
第四部分
1. 查明甲乙联系途径
咋一看这镜像啥都没有,第一反应是这镜像打包前被删除的挺干净的
VM加载windows XP的镜像好像还不太行,直接跑取证大师,基本操作之后,发现qq那里有聊天记录好像涉及了犯罪信息
这里能判断这两个联系人可能就是甲和乙,qq内容涉及到Foxmail,所以答案是:QQ聊天,邮箱(他电脑上邮箱用的是Foxmail)
2. 传单材料的内容
上图qq内容告诉你去邮箱找,密码线索也是邮箱密码
这里直接看到了密码😋太好了,直接拿来解压
试了一下,密码是abc123!@#
里面就是内容。
3. 电脑里用户有多少个,SID分别是多少
有九个喔,一个个慢慢抄💥
4. 嫌疑人乙是否打印过甲发送给他的文档材料
明显有打印记录,时间也对的上,应该就是这个打印记录了,打印过
5. 在嫌疑人乙使用的设备中有一型号00jb-00kfa0的WD移动硬盘,请确认该硬盘序列号:
直接搜索关键字,能搜索出结果
6. 该计算机最后一次正常关机时间是什么时候?
基本操作,不多提了
7. 嫌疑人乙电脑都可以通过哪些方式进行网络连接?嫌疑人连接过的无线网络的ssid名字是什么。嫌疑人最后一次使用的ip是什么?
连接过的无线网络应该是 无线网络连接 4(SSID号就是无线名称),ip:192.168.18.149
9. 嫌疑人乙的电脑共有几个分区,每个分区的大小是多少字节,占用哪些扇区?
有四个分区,取证大师能直接看见
10. 计算wmp11.log 文件的SHA256值。
直接搜索这个文件名,跳转源文件之后右键能计算SHA256
11. 嫌疑人乙的电脑里有一个文件叫“winnt.bmp”,该文件占分区内的哪些扇区?文章来源:https://www.toymoban.com/news/detail-492791.html
起始的物理扇区是86159,文件大小是49,152(字节)所以直接用文件大小除以512算出占用的扇区数(95.94),再加上起始扇区位置,就是占用的扇区(86,254.94)约为86255
所以是86159-86255。文章来源地址https://www.toymoban.com/news/detail-492791.html
到了这里,关于第二届“中科实数杯”全国电子数据取证 wp的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
