计算机取证
2024-12-6
容器密码
mW7@B!tRp*Xz46Y9#KFUV^J2&NqoHqTpLCE%8rvGW(AX#1k@YL3$M5!bWY*9HLFq7UZR6^T!XoVmPK28J&CY9%6(Arz#tbU4oXYKLp7Wq^FV9H
检材:通过网盘分享的文件:团队赛检材容器 链接: https://pan.baidu.com/s/1GjitvFChM3VmOzKA1Gz46Q?pwd=znck 提取码: znck
注意,在线下断网的情况下,需要先获取NT hash,然后去公网机用cmd5来解张三的,admin的要付费,有钱的可以去解,对题目来说不用解admin的。
以下的做法包含如何寻找到指定文件+如何解题(断网情况下)。
1. 计算机中曾挂载的bitlocker加密的分区的驱动器号为?(答案格式:大写字母,如C) (2.0分)
V
直接仿真,登录admin的账户(断网情况下可以仿两台机器,一台绕过密码,一台不绕过密码登录张三的账户)。
然后传一个everything上去,大小排序。看到一个vhd虚拟磁盘文件,先挂载试试
得到本题答案V
2. 分析计算机和内存检材,计算机中的Bitlocker加密分区的恢复密钥后6位为?(答案格式:123456) (4.0分)
432267
在计算机取证+EXE\计算机取证中的内存——秘钥信息提取写到
因此我们使用EFDD,首先把这个容器导出来。
然后跑出来点击下一步
已经能看到key了,就可以退软件了,值是469876-653598-354629-023573-566423-569162-055055-432267
3.计算机中通过向日葵接收的最后一个文件名称为?(答案格式:需带后缀名,如Abc.doc) (4.0分)
我们走在大路上.doc
找到向日葵的日志目录,在C:\Program Files\Oray\SunLogin\SunloginClient\log
然后一个个看看,发现history.txt里就是
4.计算机中加密容器8df84968a5b8c4d072c4daa4fd02cb19的解密密码为? (2.0分)
ppnn13%323658970YYZZ
先用everything找到这个文件,在E:\【批量下载】《基金法律法规》备用卷(一)等下。同时还有个重要信息的文档
看了一下这个文档里面没有隐藏什么内容,目前需要找到该加密容器的密码,最可能的就是这张4433……的图片藏密码或者文档后面藏密码,都导出来。
发现文件尾有内容
同时发现计算机里使用的是tc
使用密码ppnn13%323658970YYZZ即可挂载。
5. 接上题,计算机中曾挂载的该加密容器分区中最后访问的文件,其文件名为?(答案格式:需带后缀名,如Abc.doc) (2.0分)
d7ed12489b9f8b521db78d121badbe83.jpg(不过也好像是Number ONE.docx,因为在快速访问那里这个文件是在最后打开的)
(因为已经知道这个容器里面有什么文件了,所以可以知道Q盘是当时挂载的容器盘):
6. 请找到计算机中MD5值为2EA4D8A203F6CAFBDA0F6947EE2F0FE5的文件,写出其文件内容;(答案格式:需与实际一致,且涉及符号的部分半角全角需与实际一致) (4.0分)
好好学习!
首先我们计算所有文件(除加密容器内部的文件以外的文件)的md5
不过没解出来,但是在做题的过程中发现张三下面有一个呗EFS加密的Good.docx文件
这个文件在电脑里被解密后,看到的时候是明文,但是直接拖出来的是加密的
所以实际上这个文件就是题目问的文件,只不过在正常登录被解密之后看到的内容不同而已。
7. 计算机中[email protected]在2010年5月11日收到的邮件附件图片中的联系电话为? (6.0分)4
087864898788
找到这个邮件并导出附件
你会发现直接看不懂,但是我们在计算机取证+EXE\计算机取证中的数据分析——磁盘镜像——邮件写到第二部分2.邮件正文
可以看到他有一个参数是Content-Transfer-Encoding: base64
那么我们导出这个附件看看他的参数
8. 计算机中MD5值为E653DF74D36008353C88F5A58B8F9326的文件是从哪个网址上下载的?(答案格式:http://abc/...) (1.0分)
http://suprbaydvdcaynfo4dgdzgxb4zuso7rftlil5yg5kqjefnw4wq4ulcad.onion/attachment.php?aid=3909
我们在第五题的时候已经计算了md5值
然后在全显的情况下这样操作:
知道名字之后我们反向去搜
http://suprbaydvdcaynfo4dgdzgxb4zuso7rftlil5yg5kqjefnw4wq4ulcad.onion/attachment.php?aid=3909
9. 计算机中2024年11月12日 11:23:25访问的暗网网址为?(答案格式:http://abc/...) (1.0分)
http://suprbaydvdcaynfo4dgdzgxb4zuso7rftlil5yg5kqjefnw4wq4ulcad.onion/Thread-The-Guess-The-Movie-game
这题跟个人赛也一样的
10. 请找到嫌疑人曾经接收的文件“DefeatedJoyousNightingale.pdf“,计算其SHA-256值;(答案格式:如遇字母全大写) (6.0分)
B4380011D8C1E4AB6CCCA1380CE81F9B9144EA8D06E9814210D63A959B74E6E3
这个文件接收是在模拟器里面接收的,但是这里就不去这样分析了,直接搜这个文件,然后计算就行。
11. 计算机中包含由两个字母、五个数字、“CW”和四个数字组成的内容的文件名是?(答案格式:需带后缀名,如Abc.doc) (3.0分)
CheerfulSuperDonkey.text
写正则匹配,比赛的时候懒得思考,直接写的[A-Za-z][A-Za-z][0-9][0-9][0-9][0-9][0-9]CW[0-9][0-9][0-9][0-9]
12. 请写出计算机中系统分区上文件系统的卷序列号;(答案格式:全部8字节,小端序,忽略空格,如FA33C08ED0BC007C) (2.0分)
D466CEF666CED7FE
这个需要用xrays,选择摸板
然后要求小端,答案是D466CEF666CED7FE
13. 计算机中最后接入的U盘的卷标名称是什么?(答案格式:如abcd111A) (5.0分)
xing120G
先找到是哪个U盘
14. 计算机中程序wordpad.exe一共运行了多少次?(答案格式:请直接写数字,如6) (1.0分)
2
15. 计算机内存中正打开的图片中的动物为?(答案格式:直接写出动物名称,如狗) (4.0分)
猫
用lovelymem,在memprocfs里,随便选一个进程导出
改成.data然后用gimp打开
看到有个图片1.jpg
发现是挂载到F盘被打开的,但是之前分析过F盘是一个U盘,所以在计算机上无法找到。
那么寻找和图像有关的进程,发现
然后和上述方法一样,找到一直小猫咪
16. 计算机内存中本地浏览器使用哪个端口连接到了184.30.21.38?(答案格式:纯数字) (2.0分)
50391
用lovelymem
17. 计算机内存中极速浏览器最后浏览的网址的登录密码?(答案格式:与实际大小写需一致) (5.0分)
Zhang333
先�找最后浏览的网址,用lovelymem
上passware kit
