18年美亚杯团体赛-B部分 WRITE UP
IT_NOTEBOOK部分
13.根据镜像文件 "IT_Notebook.E01" 的内容,回答关于荣科数码(RKD)的笔记本计算机的问题。荣科数码(RKD)的笔记本计算机,其操作系统共有多少个可登录用户?
这个用取证大师跑一下 送分(命题
14.该笔记本计算机硬盘的第5分区为Bitlocker加密盘,寻找相关的恢复密钥。该密钥最后一组数字为?
我们知道bitlocker密钥的格式是固定的 48个数字 每六个中间用"-"隔开 我们可以用正则进行原始数据搜索
15.该笔记本计算机硬盘的操作系统是什么?
用取证大师跑一下 送分的
16.黑客是通过什么方式入侵该笔记本计算机的操作系统?
看到几千条的断开连接记录 就知道了 况且这个BLACK-I在上一部分太显眼了 不确定的话可以打开远程桌面日志仔细看
17.接上题,黑客是通过哪个网络地址(IP Address)入侵该荣科数码的操作系统?
看上图的ip地址 192.168.7.102
18.接上题,黑客首次成功入侵该操作系统的日期时间?
暴力破解远程桌面肯定暴力撬开密码了 所以可以查看这个ip的远程第一次连接成功时间 就是黑客成功入侵的时间 送分 不过要注意时间是否要转换
19.接上题,黑客用于入侵该操作系统的工作站名称?
BLACK-I不用多说
20.黑客在该笔记本计算机的Windows资源管理器(Windows Explorer)中曾搜寻过的文字?
讲道理我还头一次见到这个知识点(?
21.入侵该笔记本计算机后,黑客透过命令提示符(cmd)执行某些命令,紧接生成了什么文件?
这题算是半猜的 毕竟这三个文件都有可能是cmd执行生成的 去搜索了一下 选项里面每一个文件的位置都一样 生成时间上也很接近 所以就都选上了
22.从笔记本计算机中,寻找黑客的命令控制服务器(C&C服务器)的网络位置?
好像是第一部分里面我们知道 黑客是通过FTP协议传输文件的(有点忘了 那肯定在这个电脑里面要找一下FTP的相关文件
23.黑客在该笔记本计算机系统通过什么形式链接命令控制服务器(C&C服务器)?
上一题讲了
24.黑客从命令控制服务器(C&C服务器)下载过什么档案到该笔记本计算机?
这题挺奇怪的 说是PC镜像 但是得从C2服务器的日志里面找 之前做第一部分C2服务器的时候有印象 黑客Download了iepv.zip这个文件 应该说这几个选项里面就他被下载了
25.黑客从笔记本计算机的网络浏览器Internet Explorer下载过什么档案?
这题查看浏览器下载记录就行了 不截图了
26.黑客入侵该笔记本计算机系统后,曾安装过什么软件?
这题还挺有意思 之前我们知道了黑客入侵成功该计算机的时间 我们发现11月1号15点31分之后 就只有OneDrive和7z被安装了 然后上题也知道了黑客从网页上面下载了7z安装包
27.在笔记本计算机中,黑客执行程序\Users\Administrator\Desktop\netscan_portable\64-bit\netscan.exe的具体时间? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8)
这题也挺坑的 按理来说最正确的做法应该是要从C2服务器里面导出这个exe文件(因为PC端的被删了 然后在拉到软件里面分析 然后这里发现 搜索netscan之后 在应用程序运行痕迹里面 只有这个pf文件 没有netscan.exe文件的痕迹 推测应该跟word文档执行之后生成lnk文件一个道理 选创建时间
28.2018年11月1日16:06,在笔记本计算机中有多少个关于网络信息的档案被黑客建立?
这题是真不会做 大佬们还请指点指点
29.在笔记本计算机中,黑客执行程序\Users\Administrator\Desktop\iepv\iepv.exe的具体时间? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8)
这题跟27题一个道理 就不再赘述了
30.接上题,执行程序iepv.exe涉及什么dll文件?
也是得导出 然后拖进软件里面分析一遍 或者是导出了之后在虚拟机里面跑一遍
31.接上题,紧接程序iepv.exe执行后,有什么档案被建立,该档案哈希值(MD5)为?
同27题
32.在笔记本计算机中,黑客曾执行程序\Users\Administrator\Downloads\mimikatz_trunk\x64\mimikatz.exe多少次?
这个也是基本的 取证大师搜一下就行了
33.接上题,执行上述mimikatz.exe后,黑客曾经输入了什么命令符?
这题还挺牛 题目选项字打错了(也许是我这边题目下载的就是错的 首先找到软件 然后看到了他的日志文件 嘶 打开就是答案了
34.接上题,mimikatz.exe执行上述命令符后,哪项信息可被黑客用作破解该系统其他用户的密码?
这题做题的时候也是满脸的不爽 有点想打出题人 首先题目有两个关键词 一个是破解 一个是其他用户
看得出来黑客破解的是Adminbalabalabala这个用户(看ip 然后其他用户 发现只有auxsup了(应该吧我懒得找了 懒狗实锤 然后还是在那个.log文件里面查看日志
AC选项不是auxsup这个用户的 只剩下CD然后一个比较坑的知识点就是 题目说要能供黑客破解 SHA1密码是不能破解的 所以只能选那个NTLM加密的密码 一时语塞
35.接上题,续上述mimikatz的结果,该密码长度为多少字符?
找一个可以解密NTML密码的网站就行了
36.在笔记本计算机中,黑客是否使用网络浏览器进入过荣科数码的网络摄像机(IPCamera)进行浏览?如进入过,具体日期及时间为? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8)
可能浏览器的记录给删掉了 在浏览记录里面找不到 百度了一下这个INetCache文件夹 了解了这个是一个浏览器的临时文件文件夹 这里面储存了浏览网页时候的临时文件 然后注意 黑客在攻破这台电脑的时候使用的是Adminbalabalbala账号 不是那个auxsup账号 时间不要选错了
37.在笔记本计算机中,除网络浏览器外,黑客还通过什么软件入侵网络摄像机(IPCamera)?
不会做 个人觉得很可能在第一部分里面 但是由于第一部分镜像做完了就删了(? 这题暂时鸽了
38.在笔记本计算机中,黑客从网络摄像机提取了1个档案到该系统硬盘,该档案的哈希值(MD5)为
这题由于37题不会做 刚接触这题的时候也不会做 但是做完了39题之后就会做了 读者可以先看看39题
39.接上题,分析上述从网络摄像机提取的档案,除账户admin外还有什么登陆账户发现?
我在做38题的时候 没找到那个文档 他这说的太泛了 先做了39 他说的是 这个黑客搞了一个文档下来 我觉得黑客搞个文档下来不可能当摆设不看吧 我就去找了下最近访问的文档记录
诶 这个关键词应该很敏感才对 没错这个文件看上去就像是camera的用户列表文件
40.接上题,网络摄像机可以透过什么方式链接多流媒体服务器?
啊这 一时语塞 这个应该是要百度的吧 反正我不会
41.在笔记本计算机中,黑客曾经使用系统的记事本(Notepad)最后开启的一个文件名称为?
这个看图就行
42.在笔记本计算机中,黑客最后把被入侵用户桌面的档案全部删除,具体删除的日期时间是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8)
这个wp是做完好一段写的 有点忘了 这题当时不会做 现在也没镜像了 有可能是在Recycle.bin里面看吧 先鸽了 到时候有空再补
总结
这部分还好 没有多难的地方 可能就32 33 36 39这几题稍微有点难 总体难度不大 学会了一点 如果做不动了就看看能不能找到日志文件 还有一点就是要揣测一下嫌疑人的举动 想想看如果你是他 你把这些文件下下来你会干什么
EOF