2024数证杯线上赛复盘-计算机 U盘部分

软件：弘联全家桶 hexdit diskgenius R-stdio
挂载密码：/TP2G-h`q#(Ss!EUq,RR:Ss9"@!R"{-.kNw+-(gwGq.YLDS-|NEWH(GT3;6;
镜像文件：通过网盘分享的文件：初赛
链接: https://pan.baidu.com/s/1q9sBIaT6yHLpulMgkKUUSw?pwd=4bvm 提取码: 4bvm
--来自百度网盘超级会员v5的分享
计算机取证板块

1. 对计算机镜像分析，计算该镜像中esp分区的sm3值的后八位
   计算机esp分区一般指分区文件系统使用fat32的分区，而且有且只有一个
   答案：BDBE1073
   

2. [填空题]对计算机镜像进行分析，该操作系统超管账户最后一次注销时间为？（时区为UTC+08:00）（答案格式如：1970-01-01 00:00:00） (2分)
   火眼中在分析-基本信息-登录信息中找到登录成功的记录，按时间倒序排列，找到时间。（这次检材中本机登录基本都是超管，但其实最好确认一下这对应的是不是要求的用户admin）
   答案： 2024-10-25 22:57:32
   

3. [填空题]对计算机镜像进行分析，该操作系统超管账户有记录的登录次数为？（填写数字，答案格式如：1234） (2分)
   这道题有点歧义，按照我的理解是超管账户有记录的登录成功的次数，但从火眼可以看出还有两次登录失败的记录，如果严格意义应该把所有记录算上，姑且先算是24次，以官方wp为准
   答案：24
   

4. [填空题]对计算机镜像进行分析，该操作系统设置的账户密码最长存留期为多少天？（填写数字，答案格式如：1234） (2分)
   问的是账户密码最长留存期，可以选择查看事件日志-windows日志中的安全日志搜一下密码策略就能找到，或者简单点直接搜全局也能找到（取证大师能直接梭出来）
   答案：42
   

5. [填空题]对计算机镜像进行分析，该操作系统安装的数据擦除软件的版本为？（答案格式：1.23） (2分)
   数据擦除软件，对比下载的软件中，有个叫eraser的很明显，都叫橡皮擦了那必然是数据擦除了啊，对应看就行
   答案：5.86
   

6. [填空题]对计算机镜像进行分析，该操作系统接入过一名称为“Realtek USB Disk autorun USB Device”的USB设备，其接入时分配的盘符为？（答案格式：A:） (2分)
   Usb设备中查看即可，别忘了冒号
   答案：E:
   

7. [填空题]对计算机镜像进行分析，该操作系统无线网卡分配的默认网关地址为？（答案格式：127.0.0.1） (2分)
   在网络配置-网络连接中找到wlan，后面那个dhcp服务地址即是默认网关
   答案：192.168.43.1
   
   

8. [填空题]对计算机镜像进行分析，该操作系统配置的连接NAS共享文件夹的IP地址为？（答案格式：127.0.0.1） (2分)
   题干说NASip，在网络配置-网络位置可以看到NAS的ip，不要被share给迷惑了，前缀说的是NAS
   答案：192.168.188.1
   

9. [填空题]对计算机镜像进行分析，写出“吵群技巧.txt”文件SM3值的后8位？（大写字母与数字组合，如：D23DDF44） (2分)
   在全局搜索搜一下，可以看到这个txt在一个压缩包里面，右键点击跳转到对应的源文件去，再右键点击用本地默认程序打开，将吵群技巧.txt解压出来用cyberchef算一下sm3值就行（注意要把小写改成大写）
   答案：10887AE1
   
   

10.[填空题]对计算机镜像进行分析，该操作系统通过SSH连接工具连接CCTalk测试环境的SSH端口为？（填写数字，答案格式如：1234） (2分)
在Xshell中找到记录，直接一把梭
答案：12849

11. [填空题]对计算机镜像进行分析，该操作系统通过SSH连接工具连接的CCTalk境外服务器是哪个运营商的？（填写汉字，答案格式：阿里云） (2分)
    工具里看不出来了，仿真出来查看一下有无线索，但是把xshell中的cctalk发到xftp也看不到，搁回收站看到了，还原一下在xftp里打开，搜一下ip属地即可
    答案：亚马逊云
    
    
    

12. [填空题]对计算机镜像进行分析，获取机主保存在本机的U盾序号的后4位数字为？（填写数字，答案格式如：1234） (2分)
    还是全局搜索一下U盾关键词，能找到一个图片，在文件-文件分类-图片中搜索一下U盾，看到这图是个二次元图，考虑存在隐写，导出来foremost分离一下，能得到一个png，得到U盾图片。
    答案：6409
    
    
    

13. [填空题]对计算机镜像进行分析，机主存储的某篇新闻报道“小程序搅动资源争夺战”的发表年份为？（答案格式：2024） (2分)
    直接上网一搜即可
    答案：2019
    

14. [填空题]对计算机镜像进行分析，该操作系统访问“环球商贸”的IP地址为？（答案格式：127.0.0.1） (2分)
    计算机镜像中在finalshell可以看到历史记录
    答案：39.108.126.128
    

15. [填空题]对计算机镜像进行分析，“环球商贸”服务器配置的登录密码为？（答案按照实际填写，字母存在大小写） (2分)
    Finalshell导出环球商贸的记录，在json文件中找到password，加密了，想办法解下密,上网搜到了finalshell的解密脚本，跑一下即可（搁红框的地方填加密字符串）
    答案：HQSM#20231108@gwWeB
    
    

16. [填空题]对计算机镜像进行分析，机主安装的PC-Server服务环境的登录密码是？（答案按照实际填写，字母全小写） (2分)
    同上面，直接提取出来json文件来用脚本跑出密码
    答案：jlb654321
    
    

17.[填空题]对计算机镜像进行分析，机主搭建的宝塔面板的安全入口为？（答案格式：/abc123） (2分)
在分析中查看浏览器历史记录，可以看到宝塔访问的网址，带有/+无意义字符串的就是安全入口，其实就是这个网站单独对用户的一个访问地址，用过宝塔就知道后面跟的都不一样，那有意义的字符串，像什么database啊，config啊那就是配置页面了
答案：/c38b336a

18. [填空题]对计算机镜像进行分析，机主搭建的宝塔面板的登录账号为？（答案格式：abcd） (2分)
    这题就得必须把开始在计算机检材中扫出来的嵌套检材给分析一下了，刚好可以对上题做一个印证，导出这个镜像放入火眼分析一下可以看到登录账号，还有安全入口。
    答案：igmxcdsa
    

19. [填空题]对计算机镜像进行分析，其搭建的宝塔面板的登录密码为？（按实际值填写） (2分)
    需要登录宝塔面板看看密码，先挂载一下这个镜像把服务器跑起来，ifconfig查看发现只有回环地址loop，ifconfig -a查看一下有网卡ens33但是没配置，配置一下：
    首先在网络适配器选择模式为自定义vnet8（nat），在编辑-虚拟网络编辑器处将以下地方修改一下，保存，回到虚拟机，修改配置文件 vi /etc/netplan/01-network-manager-all.yaml
    书写如下内容保存，接着重启服务systemctl start systemd-networkd（该命令正确的话无回显）用systemctl status systemd-networkd查看状态如下图，接着netplan apply查看有无报错信息（图中不算是报错，这是在root账户登录编辑前面yaml文件提示的不安全，ovsdb那个是指网络配置无法保存，但是咱就一次实验，无所谓可以不管），接着就可以ifconfig查看一下了，出现配置的网卡信息即可，用你本机的命令行试着ping一下，能通就行,不通的话将本地机的网络配置中将虚拟网卡vnet8从dhcp模式修改为手动，将配置如下
    接着解题，用你本机的ssh工具连接下来开宝塔面板（你也可以在虚拟机用systemctl status ssh查看一下服务开没开，默认开着的），接着修改密码登录bt管理后台，查看密码（但好像这是随机密码啊，先不管了）
    答案：tt7Zjckb6F
    
    
    
    
    
    
    
    
    
    
    
    

20. [填空题]对计算机镜像进行分析，机主搭建的宝塔环境中绑定的宝塔账号是？（按实际值填写） (4分)
    直接在宝塔后台是看不到的，所以还是像前面获取密码的题一样，找userinfo.json文件来看，在宝塔-文件-直接从根目录（包含子目录）开搜，找到双击查看到账号
    答案：17859628390
    
    

21. [填空题]对计算机镜像进行分析，机主搭建的宝塔面板中Mysql环境的root密码为？（按实际值填写） (4分)
    火眼一把梭，在navicat里查看
    答案：123456
    

22. [填空题]对计算机镜像进行分析，机主搭建的宝塔面板中Mysql环境连接的端口号为？（填写数字，答案格式如：1234） (2分)
    同上图红框，如果比赛遇到实在找不到，猜也猜默认的3306（bushi）
    答案：3306

23. [填空题]接上题，“卡号分组”表所在的数据库名为？（答案按照实际填写，字母全小写） (4分)
    火眼一把梭，还是navicat下面查看
    答案：a_trian2023
    
    24.[填空题]接上题，”孙华锦”在2020-07-01 10：49：07时间节点的交易余额为？（答案格式：1234.56）(4分)
    Navicat连接数据库查看即可，刚才设置了对应ip，在火眼里也能看到账户密码，注意设置ssh，在资金总表里查看，设置查找字段：交易户名和交易时间即可
    答案：6610.94
    
    

U盘部分
25.[填空题]对U盘镜像进行分析，其镜像中共有几个分区？（填写数字，答案格式如：1234)(2分)
使用r-stido查看U盘镜像
答案：2

26.[填空题]对U盘镜像进行分析，其中FAT32主分区的FAT表数量有几个？（请使用十进制数方式填写答案，答案格式：1234）(2分)
还是在r-stdio查看分区大小和实际大小一致，fat表只有一个
答案：1

27. [填空题]对U盘镜像进行分析，其中FAT32主分区定义的每扇区字节数为？（请使用十进制数方式填写答案，答案格式：1234）(2分)
    r-stdio没找到，换diskgenius查看，恢复文件后查看分区参数即可，补充一个上题的答案
    答案：512
    
    

28. [填空题]对U盘镜像进行分析，其中FAT32主分区的文件系统前保留扇区数为？（请使用十进制数方式填写答案，答案格式：1234)(2分)
    这个不太确定，按照默认来说FAT32主分区保留扇区数应该是32
    答案：32

29. [填空题]对U盘镜像进行分析，其中FAT32主分区的FAT1表相对于整个磁盘的起始扇区数为？（请使用十进制数方式填写答案，答案格式：1234)(2分)
    还是diskgenius里查看。
    答案：7345
    

30.[填空题]对U盘镜像进行分析，其中NTFS逻辑分区的$MFT起始簇号为？（请使用十进制数方式填写答案，答案格式：1234）(2分)

起始扇区号为876672，扇区大小为512字节，簇大小是4096字节，4096/512=8
起始簇号为876672/8=109584
答案：109584
31.[填空题]对U盘镜像进行分析，其中NTFS逻辑分区的簇大小为多少个扇区？（请使用十进制数方式填写答案，答案格式：1234)(4分)
如上题计算
答案：8
32. [填空题]对盘镜像进行分析，请从该镜像的两个分区中找出使用”新建文本文档txt”记录的同一个MD5值的两部分信息，并写出该MD5值的第13-20位字符串。（答案格式：大写字母与数字组合，如 D23DDF44)(4分)
先看了没有叫新建文本文档的文件，查看u盘里的图片，发现两个分区里都有个文件头损毁的jpg，导出修一下即可文件头即可
答案：d668aee2