计算机取证
2024-12-6
容器密码
mW7@B!tRp*Xz46Y9#KFUV^J2&NqoHqTpLCE%8rvGW(AX#1k@YL3$M5!bWY*9HLFq7UZR6^T!XoVmPK28J&CY9%6(Arz#tbU4oXYKLp7Wq^FV9H
检材:通过网盘分享的文件:团队赛检材容器 链接: https://pan.baidu.com/s/1GjitvFChM3VmOzKA1Gz46Q?pwd=znck 提取码: znck
注意,在线下断网的情况下,需要先获取NT hash,然后去公网机用cmd5来解张三的,admin的要付费,有钱的可以去解,对题目来说不用解admin的。
以下的做法包含如何寻找到指定文件+如何解题(断网情况下)。
1. 计算机中曾挂载的bitlocker加密的分区的驱动器号为?(答案格式:大写字母,如C) (2.0分)
V
直接仿真,登录admin的账户(断网情况下可以仿两台机器,一台绕过密码,一台不绕过密码登录张三的账户)。
然后传一个everything上去,大小排序。看到一个vhd虚拟磁盘文件,先挂载试试
得到本题答案V
2. 分析计算机和内存检材,计算机中的Bitlocker加密分区的恢复密钥后6位为?(答案格式:123456) (4.0分)
432267
在计算机取证+EXE\计算机取证
中的内存——秘钥信息提取
写到
因此我们使用EFDD,首先把这个容器导出来。
然后跑出来点击下一步
已经能看到key了,就可以退软件了,值是469876-653598-354629-023573-566423-569162-055055-432267
3.计算机中通过向日葵接收的最后一个文件名称为?(答案格式:需带后缀名,如Abc.doc) (4.0分)
我们走在大路上.doc
找到向日葵的日志目录,在C:\Program Files\Oray\SunLogin\SunloginClient\log
然后一个个看看,发现history.txt里就是
4.计算机中加密容器8df84968a5b8c4d072c4daa4fd02cb19的解密密码为? (2.0分)
ppnn13%323658970YYZZ
先用everything找到这个文件,在E:\【批量下载】《基金法律法规》备用卷(一)等
下。同时还有个重要信息的文档
看了一下这个文档里面没有隐藏什么内容,目前需要找到该加密容器的密码,最可能的就是这张4433……的图片藏密码或者文档后面藏密码,都导出来。
发现文件尾有内容
同时发现计算机里使用的是tc
使用密码ppnn13%323658970YYZZ
即可挂载。
5. 接上题,计算机中曾挂载的该加密容器分区中最后访问的文件,其文件名为?(答案格式:需带后缀名,如Abc.doc) (2.0分)
d7ed12489b9f8b521db78d121badbe83.jpg
(不过也好像是Number ONE.docx,因为在快速访问那里这个文件是在最后打开的)
(因为已经知道这个容器里面有什么文件了,所以可以知道Q盘是当时挂载的容器盘):