2019年长安杯电子数据取证比赛 个人总结

一、回忆经历

赛前：

ZYL 突然过来问我，这里有个比赛要不要一起去玩一玩，反正不收费，地点就在学校。我看了看题目类型，感觉有点慌。

“这些题目都好鬼畜啊，登陆历史、操作记录之类的东西该去哪里找。。。”

“我怎么知道他邮件和微信发了什么消息啊。。”

TT 在旁边一笑：”到时候你直接把镜像丢进软件里去分析就可以啦~“

于是比赛前一天晚上，我们俩在电脑上装好了分析软件，甚至根本不知道怎么操作使用。

赛时：

人还挺多。

虽说是超级小的小比赛，但来的人着实不少，E楼那种大型的讨论实验室，坐的满满当当。看了一下场地分配图，我俩坐在了墙角的位置。

对面是甘肃政法大学的团队，两位小姐姐 + 一位大哥，提着行李箱就进场了，随后从里面掏出三台看起来超级厉害的微星笔记本（或者说是移动工作站）。我俩低头看看自己的装备：一台华为轻薄本、一台联想Thinkpad，瞬时感觉获奖希望渺茫。

”凉了“

题目发下来之后，我们才摸清楚电子取证比赛的基本套路：假定一个案件，分析犯罪嫌疑人、受害人的电子设备，摸清案件起因经过结果、分析嫌疑人犯罪动机、搜索嫌疑人犯罪证据。涉及的题目类型有：Windows、Linux 的基本知识，系统属性（安装时间、开机时间等），密码爆破、磁盘分析、登陆历史记录、文件历史记录、Android 手机镜像（联系人、邮件、微信、电话等），Linux 服务器基础（各种Server 的工作原理）。大部分内容还算熟悉，尤其是Docker 一块的内容，碰巧比赛前几天维护了一个用Docker 做的答题服务器，所以对题目中涉及的基本指令和文件系统并不太陌生。当然还要感谢ZYL 学神姐姐的疯狂输出，把Windows 镜像和各种日志分析到皮都不剩。

中午的饭盒挺好吃。

电子取证比赛除了基本的答题，还要做一个答辩PPT，分析案件和讲解题目。鉴于只有一等奖的团队才有机会上台做比赛分享，我们队的PPT 就做的很随意。

比赛结束后，看到自己的分数，满分100分，最终拿到70多分（貌似），虽然不是特别高，但总算还有收获，比赛关键是重在参与。

然而万万没有想到，大多数队伍只拿到五六十分，我们用70分的成绩顺利挤进一等奖第三名。🤣

于是非常不情愿地赶工做出来一个还算说的过去的PPT，非常不情愿地上台做了简单的分享，非常尴尬地下了台。

赛后：

原来这是西北地区几所高校老师策划一起探讨交流组织的友谊赛。

认识了非常有趣的西北政法大学的JZ 老师，两个月后的美亚杯，他也率队去厦门参赛了，具体下篇总结再谈。

电子取证真的很有趣，和犯罪嫌疑人斗智斗勇的感觉超爽。

随后一个月参加了美亚杯的赛前集训。

二、工具解放生产力

当我知道我接下来要做什么工作，但这项工作本身非常复杂时，我就会考虑使用自动化工具帮助我。取证分析软件能帮我自动扫描磁盘中关于系统配置的各项文件，并将处理结果格式化，帮助我一眼看穿结果。

但工具应该顺着人的思考去做自动化处理，而不能主导人的思考。例如，binwalk 通过扫描磁盘内容发现文件头对文件进行分析，但如果文件头出现1bit 的损坏，它就会束手无策。

只用工具而不思考，是不会取得进步的。

三、勇于尝试和探索

如果我当时稍微有些犹豫，拒绝了学神姐姐的邀请，那这辈子可能从此与取证比赛无缘。

如果我当时因为睡觉错过了比赛时间，那我可能就此失去了一个与众位大佬交流的机会。

重在参与，不能留遗憾。

四、总结反思很重要

要分析一个犯罪嫌疑人的犯罪动机和作案手段，最好的方法就是自己去体验一次犯罪。

取证调查员如果并不了解什么是比特币，不知道如何在黑市用比特币进行交易，那么无论做多么详尽的分析，都总会一头雾水。

磁盘阵列和文件系统很复杂，需要重点学习（https://xdforensics-wiki.github.io/XDforensics-wiki/win/）