20年美亚杯个人赛-Alice_Laptop部分WRITE UP

Alice_Laptop的部分

P.S.这部分好像得用最新版本取证大师才能跑的出结果 旧版本的好像自动取证结果是0 咱也不知道为啥 咱也不敢问

1.Alice的笔记本计算机已成功被取证并制作成镜像(Forensic Image), 下列哪个是镜像的SHA-1哈希值?
这题就不讲了吧 这个取证大师跑一下就好了

2.Alice的笔记本计算机安装了哪个操作系统(Operating System)?

3.在Alice的笔记本, 创建用户帐户的SID是甚么？

4.在Alice的笔记本,用户的最后登录时间是甚么时候？(本地时间)

5.在Alice的笔记本,最后登录的用户名称是甚么？
上图可得

6.Alice笔记本计算机的名称是甚么？

上面这几题都没什么好讲的 都属于送分题

7.在Alice的笔记本, 最后登录的用户何时更改了Windows登录密码？ （当地时间）

这个知识点考过好几次了 用户更改密码会在系统日志里面出现 我们不用在日志里面一个个看 我们可以直接搜索关键字"密码"就行了

8.Alice笔记本计算机的时区是甚么？

这种题目也是送分的 不能不会做吧

9.在Alice的笔记本, OS分区的文件系统是甚么？

OS分区一般是C盘 取证大师摘要那边看一下就行

10.计算机上预设安装了甚么浏览器？

也很简单 有手就行

11.在Alice的笔记本,哪个是最常用的浏览器？

注意噢 是最常用的 不是默认浏览器 最常用的浏览器我们可以直接通过看浏览记录的条数来判断 但是如果题目考的是默认浏览器 可以仿真 也可以通过查看注册表信息来找

12.在Alice的笔记本, 最常用的浏览器是甚么版本？


这题可能出题人笔误了 问的是最常用浏览器 但是题目选项(我记得是只有IE的版本 可能出题人想表达的是默认浏览器的版本吧 抛开这个问题 如果让你寻找IE浏览器的版本号 我们如果说在安装软件那边看不到的话 其实最保险的方法还是仿真(没错又是石师傅告诉我的while(1){print("ssfyyds")}) 从program files那边看到IE版本是IE9 但是如果我们通过仿真的方法 进到系统里会发现IE的版本是IE11 当然还是以仿真为准

13.在Alice的笔记本, Alice浏览了哪个在线商店的网站

这题真就是直接在浏览器里面找 没啥好讲的

14.在Alice的笔记本, 受害人的信用卡号是甚么?（Ho PCKYI-电子邮件：shy1211@mtzh.gow.tw）


这题看到题目给的一个Hints 看到了一个电子邮件地址 找了一圈没收获之后开始从这个邮件出发 在取证大师里面搜索这个邮件地址的前几位 发现有命中内容 跳到源文件之后发现 这两个文件都记录着所有受害者的名字 地址 卡号 密码

15.在Alice的笔记本, 受害人的信用卡CSC号码是甚么（何PCKYI-电子邮件：shy1211@mtzh.gow.tw）
在上一题的那个文件里面找一找就行了

16.除了上述在USB 找出ZIP文件,请找出相同ZIP文件的路径？

也就是说 这个嫌疑人 把USB里面的东西拉到了PC里面 解压之后没有删掉 刚刚我找到的是在PC端的文件 我们要去USB里面找 这里就不跳到USB里面了 毕竟是复盘 知道了这个zip文件叫Downloads.7z 然后我们在电脑里面搜索这个文件 文件虽然被加密了 但是可以打开看到里面的文件叫什么 这样可以对得上号

17.ZIP文件的哈希值（SHA-256）是甚么？
算一下就行

18.ZIP文件的修改时间是多少?(当地时间)
这个也是 看一下就行

19.USB驱动器在Alice笔记本计算机上的最后插入时间是何时？(当地时间)

送分题不好意思之前图贴错了

20.解压的ZIP文件内有哪些文件？
打开压缩包康康就知道了

21.“ ZIP文件中发票的哈希值（SHA 256）是多少=发票（1）名称：WhatsApp Image 2020-09-29 at 18.35.25.jpeg”


我感觉我是不是做到了非预期解 我个人感觉预期解应该是找到这张电脑照片的左下角那个密码来解压压缩包 最后才打开这个文件 计算哈希 但是我发现这个嫌疑人解压了压缩包之后没有把文件删了 我直接就能看得到 或者说是主办方降低难度吧

22.“ ZIP文件中发票的哈希值（SHA 256）是多少=发票（2）名称：WhatsApp Image 2020-09-29 at 18.37.47.jpeg”
这题和上面那题一样

23.Alice笔记本计算机上安装了哪种电子邮件软件？
这题取证大师邮件分析就能看 送分题就不截图了 结果是outlook

24.Alice笔记本计算机上的电子邮件软件的版本是甚么？

这种需要找到安装的软件的版本 首先应该是往这里找 这里没有的话再去Program Files里面找

25.Alice笔记本计算机登录电子邮件软件的电子邮件帐户是甚么？

送分 不讲了

26.Alice在上述电子邮件对话中获得了哪些数据/文件？

这都说了通过邮件获得了哪些数据/文件 那肯定是去邮件附件里面找 没啥讲的送分题

27.该电子邮件的发信者的电子邮件地址是甚么？

有手就行

28.上述已收的电子邮件, 发件人的IP地址是甚么？

摘要里面第一个ip地址就是发件人的ip地址

29.在笔记本, Alice的电子邮件地址是甚么？

看到题目第一反应是去PC里面的个人信息那边康康有没有记录的 后来发现没有 也是瞟到了outlook的备份上面写着:仅这台电脑

30.除了Alice，还有其他电子邮件地址与该骗局有关吗？

当时早上做的时候也是脑子瓦特了 这题就很简单的是Bob 我还找了半天 最后好像还找错了(啊

31.哪些人有AP和主脑之间的电子邮件记录？有文件传输吗？
这题也一样 就是Alice和Bob 当时也是瓦特了没做对 这要是做对了个人赛就有奖了 很烦

32.在ZIP 文件中, 有多少受害人的信用卡数据被盗?

前面我们知道 我们钓鱼邮件钓到的那些个人信息被储存在R3ZZ.txt这个文件里面 Log1n.txt应该是那个钓鱼网站钓到的个人信息 因为只包括邮箱和密码 就在R3ZZ.txt里面数就行了

33.已被黑客盗用其信用卡资料购买的受害者是谁?

不知道读者还记不记得 前面的题目有让我们计算两张图片的哈希值 如果有打开图片看一看的话应该会发现 这两张图片就是被盗刷银行卡买苹果产品之后开的发票 发票里面肯定含有个人信息 进去比对发现 有一个名单上的受害者的个人信息在这个发票上

34.被盗用的内容是甚么？

图片里面有 不多说

总结

至此 个人赛Alice_Laptop部分写完了 这部分和下午的团体赛比起来确实没啥难度 都是挺常规的东西 个人赛的几个难点在后面的部分 PC这部分其实考察的大多还是我们对信息的分析处理能力 考察计算机方面的知识点其实不多 确实应该是不失分的 希望下次这种难度的题目我能不丢分

EOF