windows 取证
- 何源的个人计算机硬盘已成功被取证并制作成镜像(Forensic Image),下列哪个是镜像的 SHA1 哈希值?
6891D022C7E6FE81DC8BA2160E1AB610891596D3
- 在何源的个人计算机中,硬盘中包含哪个操作系统(Operating System)
windows 10
- 何源个人计算机的文件系统(File System)是什么?
NTFS 文件系统是系统自带的盘的存储格式
- 在何源的个人计算机中,你能找到操作系统分区的总容量吗 (单位:字节 byte)?
os操作系统的总容量
总容量=扇区数*512 GB
- 在何源的个人计算机中,操作系统分区的$Bitmap 的起始物理扇区位置(Physical Sector Number)是多少?
系统分区的$Bitmap的物理扇区
- 在何源的个人计算机中,请问操作系统的安装日期是? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC)
A.2019-10-16 04:44 UTC
系统信息里看一下安装时间就行,就是要注意时区,这边是UTC,所以要减8个小时
- 在何源的个人计算机中,每个扇区(Sector)包含多少个字节?(单位: byte)
A.512 byte
常识题。知识点:每个扇区包含512b
- 在何源的个人计算机中,操作系统的时区是哪个时区?
- 在何源个人计算机的操作系统中,下列哪个是计算机的主机名?
D.SM22M96
- 在何源的个人计算机中,以下哪一个是用户“He Yuan”的 SID?
B. S-1-5-21-1551135561-2581751248-1803739423-1000
- 在何源的个人计算机中,下列哪个 USB 移动储存装置 (U 盘)曾被分配为‘E’磁盘分区代号(Drive Letter) ?
在分析->usb信息中发现,有其他名称,被设置为E:\,符合条件
所以是A kingston
- 在何源的个人计算机中,用户“He Yuan”曾经在挂载为“E”盘的 USB 移动储存装置中访问过一些文件/文件 夹,以下哪一个不是?
没思路,原先以为在usb记录里找,但是什么都没有,通过wp发现
用户痕迹->最近访问的项目->筛选E盘->找到文件
- 在何源的个人计算机中,用户“He Yuan”最近在本机上访问过一些文件,以下哪一个不是?
B. URGENT.doc
用户痕迹->最近访问的项目->过滤He Yuan 发现只有B没有
- 在何源的个人计算机中,以下哪一个是程序“VERACRYPT.EXE”的运行次数?
2次 × 3次(通过取证大师可以看到运行次数)
- 在何源的个人计算机中,在程序“VERACRYPT.EXE”运行时,以下哪个 dll 文件并没有同时被加载?
- 在何源的个人计算机中,用户“He Yuan”的桌面墙纸(Wall paper)背景是什么颜色?
C. 蓝色 仿真查看
- 在何源的个人计算机中,以下哪个文件在电脑 power off 的时候仍然拥有内存的内容? 此文件具有与电脑内存 (RAM)相似的大小并保存在根目录。
这题是道理论题,靠记住,hiberfil.sys是一个系统文件会实时备份内存数据,在早期版本的Windows中, Hiberfil.sys 文件的大小等同于物理内存大小;而在Windows 7中,Hiberfil.sys可以在物理内存大小的50% – 100%的范围自行调整。
- 在何源的个人计算机中,以下哪个 database 文件存有此操作系统的 timeline 痕迹?
火眼证据分析,从时间线中跳转到源文件中
- 在何源的个人计算机中,曾被分配过的 ip 地址是?
A.147.8.177.224 网络连接中看网卡分配ip信息
- 在何源的个人计算机中,用户”Administrator”的 Internet Explorer 浏览器的 start page 是以下哪个?
直接仿真点击,发现start page 是A.http://go.microsoft.com ×
注意用户切换为admin
证据嵌套
- 通过这个题发现存在证据嵌套,我说怎么看不到whatsapp这个软件,讲证据添加进新的检材,第一次遇见,开始分析.
- 在何源的个人计算机中,你是否可以找到何源 iPhone 手机的线索。关于他的手机,以下哪条信息不正确?
C. Apple ID :heyuan516@icloud.com ip不正确
- 用户“He Yuan”在 WhatsApp 上与谁进行了对话?
D. John Manager
- 在手机联系人中,Anthony Chung 的手机号是多少?
A.85252018664
- He Yuan 在 iPhone 自带的 Safari 浏览器中搜索过一些关键词,以下哪一个不是?
B.拜佛过人
- 用户“He Yuan”的 WeChat ID 是多少?
E. wxid_9y8cs5hdin2i12
- 在 WeChat 的多个聊天记录中,用户“He Yuan”没有聊到过哪个话题?
B.于老板谈洗钱 并没有提及
- 从 WeChat 中的一个聊天记录中可知,用户“He Yuan”持有多少人的数据?
C.about2000
- 接上题,Hacker 最后要支付多少 Bitcoin 给 He Yuan?
D.0.014594
- 接上题,He Yuan 的 Bitcoin 收款地址是多少?
C 18y**********
- 接上题,He Yuan 分享给 Hacker 的百度网盘链接是多少?
E.https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY3Ww
- 接上题,He Yuan 提到的解压密码是多少?
E.HetoHacker123456
- 接上题,He Yuan 收到了来自哪位 hacker 的转账? hacker 的 wechat ID 是多少?
A. wxid_ugo2wrc3fuci22
- 根据 Wechat 聊天记录,He Yuan 在 2019-10-26 号(UTC+8)晚上跟哪位朋友出去吃晚饭了?朋友的 Wechat ID是多少?
E.Black Sheep , wxid_s00vt9uixjq922
34.在2019-10-31(UTC+8),何源用iPhone手机在车库拍了一些车的照片,请问最早的那张车照片是什么时候拍的?
- 接上题,请问照片”IMG_0075.HEIC”拍摄地 GPS 坐标是以下哪一个?
csv格式可以看到经纬度
html可以看到哈希值
B.22 deg 17′ 1.36″ N, 114 deg 8′ 9.91″ E
- 在何源的个人计算机中,你能找到一个 Veracrypt 加密容器文件吗?它的原始文件名是?
- 接上题,此 Veracrypt 加密容器文件之前可能被挂载为哪一个盘符(drive letter) ?
在最近访问的文件中发现这个A盘符,猜测是挂载盘符
- 在何源的个人计算机中,何源曾在电脑上登陆过客户端百度云盘,请问他的 Baidu 账号是多少?
- 在何源的个人计算机中,何源利用客户端百度网盘上传过一些文件,请问以下哪一个是?
A.美国恐怖故事
- 在何源的个人计算机中,何源 iPhone 手机中的一些图片曾被同步到他的百度网盘中,请问图片“2019-06-21 113537.jpg”的 MD5 hash 值是多少?
C.7b8e1183d80962c0ad5a95ec673317a7
- 在何源的个人计算机中,何源用百度网盘上传文件“/美国恐怖故事/美国恐怖故事 01.mp4”的起始时间是? (格式:UNIX Timestamp UTC+8)
- 在何源的个人计算机中,可以发现有多少文件,文件夹存在于何源的百度网盘中?
通过文件大小发现存在两个0B的文件,那坑定就是文件夹了
- 在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器 google 搜索过一些信息,以下哪个不是搜索的关键词?
D.shadow
- 在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器注册过一个新的 Gmail account,请从网页标题痕迹中找出此账号。
- 在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器下载过一些文件,以下哪一个不是?
B. bitcoin-018.1-win64-setup.exe
- 在何源的个人计算机中,用户“He Yuan”曾用以下哪款网页浏览器登陆过网页版百度网盘?
Microsoft Edge
- 在何源的个人计算机中,用户“He Yuan”曾用 Tor 浏览器访问过一些网站,以下哪一个不是?
E. http://silkroadjuwsx3nq.onion
- 接上题,以下哪个 URL 是由用户手动输入到 Tor 浏览器中的?
点击历史记录->进入源文件->导出sql文件->然后利用工具分析
导出tor的数据库,然后在places表里面看type就可以了。1就是手输
- 接上题,关于网页”http://rso4hutlefirefqp.onion”,以下哪一个描述是正确的?
接上题,通过数据库文件,查看description
- 接上题,哪个网页引导用户到了网页” http://vfqnd6mieccqyiit.onion”?
内存取证
51.分析何源的公司计算机内存镜像,何源的公司计算机操作系统以及硬件架构是什么?
这里我使用的是volatility3A. Windows 7 x86
- 分析何源的公司计算机内存镜像,以下哪一个是进程“explorer.exe”的 PID?
E:\取证\volatility3-develop\volatility3-develop>python vol.py -f F:\Case\2019年美亚杯个人赛\Individual_Images\HE_Company_Windows_RAM\memdump.mem windows.pslist3484
- 分析何源的公司计算机内存镜像,以下哪一个是正确的用户 SID ?
python2 vol.py -f '/home/kali/Desktop/memdump.mem' --profile=Win7SP1x86_23418 getsids > 2.txt
B. TMP_User : S-1-5-21-2316527938-3914680751-2175519146-1002
- 分析何源的公司计算机内存镜像,以下哪个远程地址与本地地址建立过 TCP 连接?
ip: foreign address 10.165.12.130
python2 vol.py -f '/home/kali/Desktop/memdump.mem' --profile=Win7SP1x86_23418 netscan
- 接上题,在上述 TCP 连接里,远程地址的端口号是多少?
接上题:445
- 分析何源的公司计算机内存镜像,注册表“\SystemRoot\System32\Config\SAM”在内存镜像中的虚拟地址(Virtual Address)是多少?
python2 vol.py -f '/home/kali/Desktop/memdump.mem' --profile=Win7SP1x86_23418 hivelist
- 分析何源的公司计算机内存镜像,用户“Yuan He”登入密码的 NTLM hash 是多少?
python vol.py -f memdump.mem --profile=Win7SP1x86_23418 hashdump - 分析何源的公司计算机内存镜像,盘符“E:”上的文件“Personal Information.xlsx”何时被访问过?
C.10.31 6:59
python2 vol.py -f '/home/kali/Desktop/memdump.mem' --profile=Win7SP1x86_23418 timeliner 
- 分析何源的公司计算机内存镜像,以下哪个是文件“Personal Information.xlsx”的正确路径?
python2 vol.py -f '/home/kali/Desktop/memdump.mem' --profile=Win7SP1x86_23418 timeliner | grep -i "information"
- 分析何源的公司计算机内存镜像,可以发现以下哪些文件夹曾被访问过?
python2 vol.py -f '/home/kali/Desktop/memdump.mem' --profile=Win7SP1x86_23418 shellbags > 1.txt
- 分析何源的公司计算机内存镜像,以下那一项有关这台计算机的资料是正确?
root@kali:~/内存文件/2019meiya# volatility -f memdump.mem --profile=Win7SP1x86_23418 dumpregistry --dump-dir=/目录/将system.org下载下来分析,得到电脑名
A. 因为安装时间比镜像时间晚肯定不对
B正确
C将内容保存为txt,搜索tcpip,找到最后的时间
python2 vol.py -f memdump.mem --profile=Win7SP1x86_23418 timeliner- 分析何源的公司计算机内存镜像,以下那一项关于这台计算机连接 USB 装置的描述是正确?
通过注册表分析:
1.硬盘是希捷不是华为
2.GUID中间值错误,所以不对
3.https://www.doc88.com/p-9107655008710.html?r=1
通过师傅的wp发现,通过注册表00065表示first install date,也就对应首次插入时间,所以是这个答案
https://blog.didctf.com/2022/10/13/volatility%E5%AE%9E%E6%88%98%E7%AC%94%E8%AE%B0
参考链接