windows 取证

  1. 何源的个人计算机硬盘已成功被取证并制作成镜像(Forensic Image),下列哪个是镜像的 SHA1 哈希值?

6891D022C7E6FE81DC8BA2160E1AB610891596D3

  1. 在何源的个人计算机中,硬盘中包含哪个操作系统(Operating System)

windows 10

  1. 何源个人计算机的文件系统(File System)是什么?

NTFS 文件系统是系统自带的盘的存储格式

  1. 在何源的个人计算机中,你能找到操作系统分区的总容量吗 (单位:字节 byte)?

os操作系统的总容量

总容量=扇区数*512 GB

  1. 在何源的个人计算机中,操作系统分区的$Bitmap 的起始物理扇区位置(Physical Sector Number)是多少?

系统分区的$Bitmap的物理扇区

  1. 在何源的个人计算机中,请问操作系统的安装日期是? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC)

A.2019-10-16 04:44 UTC

系统信息里看一下安装时间就行,就是要注意时区,这边是UTC,所以要减8个小时

  1. 在何源的个人计算机中,每个扇区(Sector)包含多少个字节?(单位: byte)

A.512 byte

常识题。知识点:每个扇区包含512b

  1. 在何源的个人计算机中,操作系统的时区是哪个时区?
  1. 在何源个人计算机的操作系统中,下列哪个是计算机的主机名?

D.SM22M96

  1. 在何源的个人计算机中,以下哪一个是用户“He Yuan”的 SID?

B. S-1-5-21-1551135561-2581751248-1803739423-1000

  1. 在何源的个人计算机中,下列哪个 USB 移动储存装置 (U 盘)曾被分配为‘E’磁盘分区代号(Drive Letter) ?

在分析->usb信息中发现,有其他名称,被设置为E:\,符合条件

所以是A kingston

  1. 在何源的个人计算机中,用户“He Yuan”曾经在挂载为“E”盘的 USB 移动储存装置中访问过一些文件/文件 夹,以下哪一个不是?

没思路,原先以为在usb记录里找,但是什么都没有,通过wp发现

用户痕迹->最近访问的项目->筛选E盘->找到文件

  1. 在何源的个人计算机中,用户“He Yuan”最近在本机上访问过一些文件,以下哪一个不是?

B. URGENT.doc

用户痕迹->最近访问的项目->过滤He Yuan 发现只有B没有

  1. 在何源的个人计算机中,以下哪一个是程序“VERACRYPT.EXE”的运行次数?

2次 × 3次(通过取证大师可以看到运行次数)

  1. 在何源的个人计算机中,在程序“VERACRYPT.EXE”运行时,以下哪个 dll 文件并没有同时被加载?
  2. 在何源的个人计算机中,用户“He Yuan”的桌面墙纸(Wall paper)背景是什么颜色?

C. 蓝色 仿真查看

  1. 在何源的个人计算机中,以下哪个文件在电脑 power off 的时候仍然拥有内存的内容? 此文件具有与电脑内存 (RAM)相似的大小并保存在根目录。

这题是道理论题,靠记住,hiberfil.sys是一个系统文件会实时备份内存数据,在早期版本的Windows中, Hiberfil.sys 文件的大小等同于物理内存大小;而在Windows 7中,Hiberfil.sys可以在物理内存大小的50% - 100%的范围自行调整。

  1. 在何源的个人计算机中,以下哪个 database 文件存有此操作系统的 timeline 痕迹?

火眼证据分析,从时间线中跳转到源文件中

  1. 在何源的个人计算机中,曾被分配过的 ip 地址是?

A.147.8.177.224 网络连接中看网卡分配ip信息

  1. 在何源的个人计算机中,用户”Administrator”的 Internet Explorer 浏览器的 start page 是以下哪个?

直接仿真点击,发现start page 是A.http://go.microsoft.com ×

注意用户切换为admin

证据嵌套

  • 通过这个题发现存在证据嵌套,我说怎么看不到whatsapp这个软件,讲证据添加进新的检材,第一次遇见,开始分析.
  1. 在何源的个人计算机中,你是否可以找到何源 iPhone 手机的线索。关于他的手机,以下哪条信息不正确?

C. Apple ID :heyuan516@icloud.com ip不正确

  1. 用户“He Yuan”在 WhatsApp 上与谁进行了对话?

D. John Manager

  1. 在手机联系人中,Anthony Chung 的手机号是多少?

A.85252018664

  1. He Yuan 在 iPhone 自带的 Safari 浏览器中搜索过一些关键词,以下哪一个不是?

B.拜佛过人

  1. 用户“He Yuan”的 WeChat ID 是多少?

E. wxid_9y8cs5hdin2i12

  1. 在 WeChat 的多个聊天记录中,用户“He Yuan”没有聊到过哪个话题?

B.于老板谈洗钱 并没有提及

  1. 从 WeChat 中的一个聊天记录中可知,用户“He Yuan”持有多少人的数据?

C.about2000

  1. 接上题,Hacker 最后要支付多少 Bitcoin 给 He Yuan?

D.0.014594

  1. 接上题,He Yuan 的 Bitcoin 收款地址是多少?

C 18y**********

  1. 接上题,He Yuan 分享给 Hacker 的百度网盘链接是多少?

E.https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY3Ww

  1. 接上题,He Yuan 提到的解压密码是多少?

E.HetoHacker123456

  1. 接上题,He Yuan 收到了来自哪位 hacker 的转账? hacker 的 wechat ID 是多少?

A. wxid_ugo2wrc3fuci22

  1. 根据 Wechat 聊天记录,He Yuan 在 2019-10-26 号(UTC+8)晚上跟哪位朋友出去吃晚饭了?朋友的 Wechat ID是多少?

E.Black Sheep , wxid_s00vt9uixjq922

34.在2019-10-31(UTC+8),何源用iPhone手机在车库拍了一些车的照片,请问最早的那张车照片是什么时候拍的?

  1. 接上题,请问照片”IMG_0075.HEIC”拍摄地 GPS 坐标是以下哪一个?

csv格式可以看到经纬度

html可以看到哈希值

B.22 deg 17' 1.36" N, 114 deg 8' 9.91" E

  1. 在何源的个人计算机中,你能找到一个 Veracrypt 加密容器文件吗?它的原始文件名是?
  1. 接上题,此 Veracrypt 加密容器文件之前可能被挂载为哪一个盘符(drive letter) ?

在最近访问的文件中发现这个A盘符,猜测是挂载盘符

  1. 在何源的个人计算机中,何源曾在电脑上登陆过客户端百度云盘,请问他的 Baidu 账号是多少?
  1. 在何源的个人计算机中,何源利用客户端百度网盘上传过一些文件,请问以下哪一个是?

A.美国恐怖故事

  1. 在何源的个人计算机中,何源 iPhone 手机中的一些图片曾被同步到他的百度网盘中,请问图片“2019-06-21 113537.jpg”的 MD5 hash 值是多少?

C.7b8e1183d80962c0ad5a95ec673317a7

  1. 在何源的个人计算机中,何源用百度网盘上传文件“/美国恐怖故事/美国恐怖故事 01.mp4”的起始时间是? (格式:UNIX Timestamp UTC+8)
  2. 在何源的个人计算机中,可以发现有多少文件,文件夹存在于何源的百度网盘中?

通过文件大小发现存在两个0B的文件,那坑定就是文件夹了

  1. 在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器 google 搜索过一些信息,以下哪个不是搜索的关键词?

D.shadow

  1. 在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器注册过一个新的 Gmail account,请从网页标题痕迹中找出此账号。
  2. 在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器下载过一些文件,以下哪一个不是?

B. bitcoin-018.1-win64-setup.exe

  1. 在何源的个人计算机中,用户“He Yuan”曾用以下哪款网页浏览器登陆过网页版百度网盘?

Microsoft Edge

  1. 在何源的个人计算机中,用户“He Yuan”曾用 Tor 浏览器访问过一些网站,以下哪一个不是?

E. http://silkroadjuwsx3nq.onion

  1. 接上题,以下哪个 URL 是由用户手动输入到 Tor 浏览器中的?

点击历史记录->进入源文件->导出sql文件->然后利用工具分析

导出tor的数据库,然后在places表里面看type就可以了。1就是手输

  1. 接上题,关于网页”http://rso4hutlefirefqp.onion”,以下哪一个描述是正确的?

接上题,通过数据库文件,查看description

  1. 接上题,哪个网页引导用户到了网页” http://vfqnd6mieccqyiit.onion”?

内存取证

Volatility3内存取证工具使用详解-CSDN博客

51.分析何源的公司计算机内存镜像,何源的公司计算机操作系统以及硬件架构是什么?

这里我使用的是volatility3

A. Windows 7 x86

  1. 分析何源的公司计算机内存镜像,以下哪一个是进程“explorer.exe”的 PID?
E:\取证\volatility3-develop\volatility3-develop>python vol.py -f F:\Case\2019年美亚杯个人赛\Individual_Images\HE_Company_Windows_RAM\memdump.mem windows.pslist

3484

  1. 分析何源的公司计算机内存镜像,以下哪一个是正确的用户 SID ?
python2 vol.py -f '/home/kali/Desktop/memdump.mem' --profile=Win7SP1x86_23418 getsids > 2.txt

B. TMP_User : S-1-5-21-2316527938-3914680751-2175519146-1002
  1. 分析何源的公司计算机内存镜像,以下哪个远程地址与本地地址建立过 TCP 连接?

ip: foreign address 10.165.12.130

python2 vol.py -f '/home/kali/Desktop/memdump.mem' --profile=Win7SP1x86_23418 netscan
  1. 接上题,在上述 TCP 连接里,远程地址的端口号是多少?

接上题:445

  1. 分析何源的公司计算机内存镜像,注册表“\SystemRoot\System32\Config\SAM”在内存镜像中的虚拟地址(Virtual Address)是多少?
python2 vol.py -f '/home/kali/Desktop/memdump.mem' --profile=Win7SP1x86_23418 hivelist
  1. 分析何源的公司计算机内存镜像,用户“Yuan He”登入密码的 NTLM hash 是多少?
python vol.py -f memdump.mem --profile=Win7SP1x86_23418 hashdump 
  1. 分析何源的公司计算机内存镜像,盘符“E:”上的文件“Personal Information.xlsx”何时被访问过?

C.10.31 6:59

python2 vol.py -f '/home/kali/Desktop/memdump.mem' --profile=Win7SP1x86_23418 timeliner  
  1. 分析何源的公司计算机内存镜像,以下哪个是文件“Personal Information.xlsx”的正确路径?
python2 vol.py -f '/home/kali/Desktop/memdump.mem' --profile=Win7SP1x86_23418 timeliner | grep -i "information"
  1. 分析何源的公司计算机内存镜像,可以发现以下哪些文件夹曾被访问过?
python2 vol.py -f '/home/kali/Desktop/memdump.mem' --profile=Win7SP1x86_23418 shellbags > 1.txt
  1. 分析何源的公司计算机内存镜像,以下那一项有关这台计算机的资料是正确?
root@kali:~/内存文件/2019meiya# volatility -f memdump.mem --profile=Win7SP1x86_23418 dumpregistry --dump-dir=/目录/

将system.org下载下来分析,得到电脑名

A. 因为安装时间比镜像时间晚肯定不对

B正确

C将内容保存为txt,搜索tcpip,找到最后的时间

python2 vol.py -f memdump.mem --profile=Win7SP1x86_23418 timeliner
  1. 分析何源的公司计算机内存镜像,以下那一项关于这台计算机连接 USB 装置的描述是正确?

通过注册表分析:

1.硬盘是希捷不是华为

2.GUID中间值错误,所以不对

3.https://www.doc88.com/p-9107655008710.html?r=1

通过师傅的wp发现,通过注册表00065表示first install date,也就对应首次插入时间,所以是这个答案

https://blog.didctf.com/2022/10/13/volatility%E5%AE%9E%E6%88%98%E7%AC%94%E8%AE%B0

参考链接

2019年美亚杯电子数据取证大赛-内存取证_哪些文件夹被访问过 vol-CSDN博客

2019美亚杯资格赛复盘WP - 古明地核 - 博客园