2018年美亚杯电子取证资格赛-解题记录
WP
萌新第一次做取证题。之前试过团队赛的题目,结果被虐麻了,就回来做资格赛来找手感。
wp是边做题边写的,错误的地方会用删除线修正并用斜体字进行注释。
1.Victor的笔记本电脑己成功取证并制作成法证映像档 (Forensic Image),下列哪个是其MD5哈希值? (2分)E
自带的就有
2.根据法证映像档 (Forensic Image),确定原笔记本内有多少个硬盘分区? (2分)BC
系统保留可以忽略
草,原来系统保留也算一个硬盘分区吗?可我用弘连起的虚拟机只有C和D盘,简直太离谱了。果然打美亚杯还得用美亚自家的东西
3.你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)? (答案格式: 扇区, Sector) (2分)D
差点就把第一个当成系统分区了。。。。
4 你能找到硬盘操作系统分区的物理大少吗 (字节byte)? (2分)BE
同上图
物理大小=扇区数*512。这里疏忽了,很不应该。
5 操作系统分区的文件系统是哪种? (2分)C
同上图
6 操作系统分区,每个簇(Cluster)包含几个扇区(sectors)? (2分)D
首先获得簇的信息
根据硬盘大小可以推测扇区大小为512B(要是4k一个簇一个扇区就太离谱了),所以8个
后来查了一下,可以直接看BPB表
7 在操作系统分区内,$MFT的物理起始扇区位置(Starting physical sector)是什么? (2分)D
BPB里面直接找到MFT的簇起始位置,加上基地址算一下就好了
8 请找出系统文件“SOFTWARE",请问操作系统的安装日期是? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC) (2分)A
UTC换算-8一下就好了
但是对不上答案……取证软件的问题?
无所谓,直接查信息jiu就可以了
9 用户“victor"的唯一标识符(SID)是什么?(答案格式:RID) (2分)A
10 用户“Lily"的唯一标识符(SID)是什么?(答案格式:RID) (2分)C
11 Victor上一次更改系统登入密码是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)E
这里需要注意一下时区,答案已经是本地时间了
12 Lily上一次更改系统登入密码是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)D
13 Victor 总共登录系统多少次? (2分)D
14 以下哪个帐号已经被禁用? (2分)A
其实仿真出来的系统里面本来就看不到administrator
15 以下哪个帐系统权限最低? (2分)ED
全是管理员
不能靠这个查看用户来确定用户权限……要么看用户组,要么换取证大师()
16 以下哪个帐号曾经远端登录系统? (2分)E
说实话心都凉了半截。。。
日志和注册表里面也没有remote链接的记录
谁都有可能的话,也就是谁都可以不是。没办法,只能蒙一个了。
事后想想其实查看完日志和注册表都没有线索,已经可以说明远程没开了。不过这里有更直接的查看远程连接的方式
17 硬盘操作系统的版本? (2分)D
18 操作系统的最新服务包(Service Pack)版本号是什么? (2分)A
19 下列哪个是victor的默认打印机? (2分)B
20 在2018-10-31 08:29:32 +8时间, 账号simon曾经使用以下哪个文件? (2分)C
21 接上题,开启上述文件的程序是? (2分)E
22 以下哪个是victor的默认网页浏览器? (2分)D
虽然按逻辑上没有人会把IE当默认浏览器,但是刷题还是得走个流程的
(另提一句,我的CPU开始锁频了)
23 victor的回收站里面有一张地图,以下哪个是这张地图原来的文件名? (2分)A
24 接上题,上述地图原来的储存路径是? (2分)C
25 找出一个名为"request for quotation.lnk"的档案,并指出该LNK文件的目标路径? (2分)C
这里我感觉题目有点问题……姑且先存个底
26 接上题,上述文件上一次开启的时间是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (2分)CD
我还以为说的是快捷方式的打开时间
27 接上题,"request for quotation.lnk"的元数据(metadata)记录了以下哪个网卡的物理地址(mac address)? (2分)D
28 系统账号victor使用以下哪个电子邮件发送/接收的程序? (2分)C
29 系统经哪个IP地址,登录互联网? (2分)AD
真是裂开……不知道是不是弘连仿真起来的问题,网络配置什么全都没了,ipconfig出来的还是我本机的地址(NET模式)。下次还是手动起一个好了。现在是真没办法,已经没时间了。
| 29 | 系统经哪个IP地址,登录互联网? (2分) | |
|---|---|---|
| A. | 10.0.4.1 | |
| B. | 10.0.4.128 | |
| C. | 192.168.72.2 | |
| D. | 192.168.72.128 | |
| E. | 192.168.72.233 |
但事实上我们可以从答案上想办法。因为访问互联网肯定是要经过路由的,所以同网段下的CDE肯定排除。剩下两个10自然选择路由器A。
这边我有两个错误:1.不认真看完网络配置信息。2.先入为主地认为所谓经过IP一定是经过路由器。其实也可以是本机地址
30 在该操作系统中,曾经连接数个USB移动储存装置 (U盘),下列那个是该系统连接过的USB移动储存装置 ? (2分)D
31 在操作系统中,上述U盘曾被指派以下哪个磁盘分区代号(Drive Letter) ? (2分)C
逻辑上讲D盘后面就是E盘,但因为不能排除有其他设备接入过,所以姑且还是找了一下,果然有猫腻
32 该操作系统中,下列哪个是最后的关机时间? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM:SS UTC) (2分)BE
弘连取出来的数据和答案误差3秒,应该没问题吧。。。
这两个地方看到的数据原来是不一样的吗?
33 该操作系统中,下列哪个是计算机的主机名? (2分)D
34 接上题,设定为上述计算机主机名前是什么名称? (2分)C
35 接上题,上述计算机主机名设定时间是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (2分)E
没啥办法呢……只能翻时间线了。最接近应该就是了
后来才知道可以直接看事件ID来看改名时间
36 在该操作系统中,下列哪个是用户victor日常使用的电邮账号? (2分)A
37 victor 上一次更改上述电邮账号密码是什么时候? (答案格式 -“本地时间":YYYY-MM-DD) (2分)A
38 victor什么时候收到勒索电邮? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)D
39 以下哪个是发出勒索邮件的的IP地址? (2分)
邮件来自cheerful.com,但因为是五年前的题目了,所以这个域名早就换人了,IP也没得找……
说白了就是没办法
40 勒索邮件的附件解压后有一个病毒文件,这个文件的MD5哈希值是? (2分)B
41 上述的病毒文件什么时间被系统执行? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)C
42 这个病毒是否会在重新开机后自动运行?如会,它是通过下列哪个程序执行? (2分)D
沙箱跑一下,该有的都有了。
也可以手动逆向,但程序本身有反调试和加密,感觉不是很好弄。
43 病毒文件被执行后有以下哪个文件被生成? (2分)C
44 接上题,上述文件有什么功能? (2分)B
45 以下哪个是系统安装的第三方输入法软件? (2分)A
46 操作系统是跟哪一个时间服务器自动同步? (2分)C
47 法证人员于2018-11-02 下午6时25分到场,之后对系统作以下哪项取证? (2分)CE
这方面题目没有啥经验啊……很大程度上得靠时间线了
emmmm,后面都找到dmp文件了,却忘了回来改答案
48 法证人员到场后,以下哪个软件曾经在系统里运行过? (2分)B
49 接上题,所抓取的资料被储存为以下哪个文件? (2分)D
50 接上题,上述档案储存到以下哪个分区? (2分)C
总结
感觉还是很有意思的,学到了不少东西。
但下次做美亚的题目我一定要换成取证大师(残念)
