2022年_蓝帽杯_电子取证复现笔记

计算机取证

1. 【计算机取证】请给出计算机镜像pc.e01的SHA-1值？[答案格式：大小写均可]

直接使用盘古石计算机取证分析系统自带属性页面，查看SHA-1值即可

2. 【计算机取证】给出pc.e01在提取时候的检查员？[答案格式：admin]

一开始踩大坑，先是xways软件不会用，后来发现pc.e01导都导错了，背大锅

盘古石分析系统还是不要太相信，这玩意导出的pc.e01哈希和原本经过VeraCrypt解密后的容器的哈希完全不同

具体做法是经由VeraCrypt解密后的磁盘容器挂载到本机上，然后将里面的pc.e01文件导入到Xways

解密容器

创建新案件，导入镜像

查看属性

3. 【计算机取证】请给出嫌疑人计算机内IE浏览器首页地址？[答案格式：http://www.baidu.com]

使用仿真系统打开pc.e01镜像

发现Windows登录yang88用户时需要密码，在盘古石计算机取证分析系统中发现了NTLM的值

考虑使用爆破NTLM获取登录密码，无果（悲

后来发现仿真系统中可以去除密码，然后进入Windows系统

直接打开IE浏览器，首页网址提交即可

4. 【计算机取证】请给出嫌疑人杨某登录理财网站前台所用账号密码？[答案格式：root/admin]

在账号密码目录下发现了理财网站相关信息

在仿真系统中打开访问网页以为会有密码提示，结果没有。。。。

寄。。。

5. 请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号？[答案格式：xxxx(xx)]

6. 【计算机取证】请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1？[答案格式：大小写均可]

根据经验，在文件大小这么大应该是个容器之类的。。

添加为新的检材

在分区02_本地磁盘中发现了C盘清理.bat

7. 【计算机取证】请给出嫌疑人Vera Crypt加密容器的解密密码？[答案格式：admin!@#]

容器文件如下，一般查看文件大小和文件后缀可以判断

在计算机取证下给了你pc.E01文件和内存文件，内存中应该是存有数据包括密钥

所以新建案件，导入检材中选择为内存镜像

导出VeraCrypt密钥

导入相应的VC密钥

最终在重要资料中发现密码

8. 【计算机取证】请给出嫌疑人电脑内iSCSI服务器对外端口号？[答案格式：8080]

了解一下这个iSCSl协议

iSCSI（Internet Small Computer System Interface）服务器是一种用于存储和数据传输的网络协议和服务。它允许计算机通过TCP/IP网络连接到存储设备，以便在网络上访问存储资源，就像这些资源连接到本地计算机一样。

查看一下仿真Windows里的所有软件，发现了StarWind，查看一下这款软件的用途

StarWind是一家专注于虚拟化和存储解决方案的软件公司

9. 【计算机取证】请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码？[答案格式：root/admin]

在CHAP认证下看到了账户名和密码

在盘古石取证分析系统中查看相关配置文件

CFG 是 Configuration（配置）的缩写，通常用于指示一个文件包含程序、应用程序或操作系统的配置信息。这些文件可以包含各种设置、选项和参数，用于自定义软件或系统的行为。CFG 文件通常是文本文件，以纯文本或一种特定的格式（如INI格式）保存配置信息。

即可获得密码

10. 分析嫌疑人电脑内提现记录表，用户“mi51888”提现总额为多少？[答案格式：10000]

在上述的VC加密容器中可以找到提现记录文件，筛选即可

icfh