Skip to main content

计算机取证

2024-12-6

容器密码

mW7@B!tRp*Xz46Y9#KFUV^J2&NqoHqTpLCE%8rvGW(AX#1k@YL3$M5!bWY*9HLFq7UZR6^T!XoVmPK28J&CY9%6(Arz#tbU4oXYKLp7Wq^FV9H

检材:通过网盘分享的文件:团队赛检材容器 链接: https://pan.baidu.com/s/1GjitvFChM3VmOzKA1Gz46Q?pwd=znck 提取码: znck

image-20241206144257066

注意,在线下断网的情况下,需要先获取NT hash,然后去公网机用cmd5来解张三的,admin的要付费,有钱的可以去解,对题目来说不用解admin的。

以下的做法包含如何寻找到指定文件+如何解题(断网情况下)。

1. 计算机中曾挂载的bitlocker加密的分区的驱动器号为?(答案格式:大写字母,如C) (2.0分)

V

直接仿真,登录admin的账户(断网情况下可以仿两台机器,一台绕过密码,一台不绕过密码登录张三的账户)。

然后传一个everything上去,大小排序。看到一个vhd虚拟磁盘文件,先挂载试试

image-20241206144724218

image-20241206144733189

得到本题答案V

2. 分析计算机和内存检材,计算机中的Bitlocker加密分区的恢复密钥后6位为?(答案格式:123456) (4.0分)

432267

计算机取证+EXE\计算机取证中的内存——秘钥信息提取写到

image-20241206144837477

因此我们使用EFDD,首先把这个容器导出来。

image-20241206144939884

image-20241206145046915

然后跑出来点击下一步

image-20241206145103139

image-20241206145112379

已经能看到key了,就可以退软件了,值是469876-653598-354629-023573-566423-569162-055055-432267

3.计算机中通过向日葵接收的最后一个文件名称为?(答案格式:需带后缀名,如Abc.doc) (4.0分)

我们走在大路上.doc

找到向日葵的日志目录,在C:\Program Files\Oray\SunLogin\SunloginClient\log

然后一个个看看,发现history.txt里就是

image-20241206145234073

4.计算机中加密容器8df84968a5b8c4d072c4daa4fd02cb19的解密密码为? (2.0分)

ppnn13%323658970YYZZ

先用everything找到这个文件,在E:\【批量下载】《基金法律法规》备用卷(一)等下。同时还有个重要信息的文档

image-20241206145405551

看了一下这个文档里面没有隐藏什么内容,目前需要找到该加密容器的密码,最可能的就是这张4433……的图片藏密码或者文档后面藏密码,都导出来。

image-20241206145506834

发现文件尾有内容

同时发现计算机里使用的是tc

image-20241206145625447

使用密码ppnn13%323658970YYZZ即可挂载。

5. 接上题,计算机中曾挂载的该加密容器分区中最后访问的文件,其文件名为?(答案格式:需带后缀名,如Abc.doc) (2.0分)

d7ed12489b9f8b521db78d121badbe83.jpg(不过也好像是Number ONE.docx,因为在快速访问那里这个文件是在最后打开的)

(因为已经知道这个容器里面有什么文件了,所以可以知道Q盘是当时挂载的容器盘):

image-20241206150149330

6. 请找到计算机中MD5值为2EA4D8A203F6CAFBDA0F6947EE2F0FE5的文件,写出其文件内容;(答案格式:需与实际一致,且涉及符号的部分半角全角需与实际一致) (4.0分)

好好学习!

首先我们计算所有文件(除加密容器内部的文件以外的文件)的md5

image-20241206151529186

不过没解出来,但是在做题的过程中发现张三下面有一个呗EFS加密的Good.docx文件

这个文件在电脑里被解密后,看到的时候是明文,但是直接拖出来的是加密的

image-20241206163254162

image-20241206163400850

所以实际上这个文件就是题目问的文件,只不过在正常登录被解密之后看到的内容不同而已。

7. 计算机中[email protected]在2010年5月11日收到的邮件附件图片中的联系电话为? (6.0分)4

087864898788

找到这个邮件并导出附件

image-20241206151103018

image-20241206151125923

你会发现直接看不懂,但是我们在计算机取证+EXE\计算机取证中的数据分析——磁盘镜像——邮件写到第二部分2.邮件正文

可以看到他有一个参数是Content-Transfer-Encoding: base64

那么我们导出这个附件看看他的参数

image-20241206151335832

image-20241206151353434

8. 计算机中MD5值为E653DF74D36008353C88F5A58B8F9326的文件是从哪个网址上下载的?(答案格式:http://abc/...) (1.0分)

http://suprbaydvdcaynfo4dgdzgxb4zuso7rftlil5yg5kqjefnw4wq4ulcad.onion/attachment.php?aid=3909

我们在第五题的时候已经计算了md5值

然后在全显的情况下这样操作:

image-20241206152224035

知道名字之后我们反向去搜

image-20241206152303144

http://suprbaydvdcaynfo4dgdzgxb4zuso7rftlil5yg5kqjefnw4wq4ulcad.onion/attachment.php?aid=3909

9. 计算机中2024年11月12日 11:23:25访问的暗网网址为?(答案格式:http://abc/...) (1.0分)

http://suprbaydvdcaynfo4dgdzgxb4zuso7rftlil5yg5kqjefnw4wq4ulcad.onion/Thread-The-Guess-The-Movie-game

这题跟个人赛也一样的

image-20241206151634940

10. 请找到嫌疑人曾经接收的文件“DefeatedJoyousNightingale.pdf“,计算其SHA-256值;(答案格式:如遇字母全大写) (6.0分)

B4380011D8C1E4AB6CCCA1380CE81F9B9144EA8D06E9814210D63A959B74E6E3

这个文件接收是在模拟器里面接收的,但是这里就不去这样分析了,直接搜这个文件,然后计算就行。

image-20241206151800483

11. 计算机中包含由两个字母、五个数字、“CW”和四个数字组成的内容的文件名是?(答案格式:需带后缀名,如Abc.doc) (3.0分)

CheerfulSuperDonkey.text

写正则匹配,比赛的时候懒得思考,直接写的[A-Za-z][A-Za-z][0-9][0-9][0-9][0-9][0-9]CW[0-9][0-9][0-9][0-9]

image-20241206151923293

image-20241206151932240

12. 请写出计算机中系统分区上文件系统的卷序列号;(答案格式:全部8字节,小端序,忽略空格,如FA33C08ED0BC007C) (2.0分)

D466CEF666CED7FE

这个需要用xrays,选择摸板

image-20241206164052695

image-20241206164117806

然后要求小端,答案是D466CEF666CED7FE

13. 计算机中最后接入的U盘的卷标名称是什么?(答案格式:如abcd111A) (5.0分)

xing120G

先找到是哪个U盘

image-20241206153003522

image-20241206153040412

14. 计算机中程序wordpad.exe一共运行了多少次?(答案格式:请直接写数字,如6) (1.0分)

2

image-20241206153130254

15. 计算机内存中正打开的图片中的动物为?(答案格式:直接写出动物名称,如狗) (4.0分)

用lovelymem,在memprocfs里,随便选一个进程导出

image-20241206160558761

image-20241206160545355

改成.data然后用gimp打开

image-20241206160924576

看到有个图片1.jpg

image-20241206160949520

发现是挂载到F盘被打开的,但是之前分析过F盘是一个U盘,所以在计算机上无法找到。

那么寻找和图像有关的进程,发现

image-20241206162030783

然后和上述方法一样,找到一直小猫咪

image-20241206162201661

16. 计算机内存中本地浏览器使用哪个端口连接到了184.30.21.38?(答案格式:纯数字) (2.0分)

50391

用lovelymem

image-20241206160322332

17. 计算机内存中极速浏览器最后浏览的网址的登录密码?(答案格式:与实际大小写需一致) (5.0分)

Zhang333

先找最后浏览的网址,用lovelymem

image-20241206155918752

上passware kit

image-20241206155605747

image-20241206155935824