美亞杯
博主今年是大二學生,第一次參加“美亞杯”,第一次寫wp😁(歡迎提出錯誤🙃)
美亞杯官網:http://www.meiyacup.com/In_index_gci_7.html
案例背景
2020年9月,數名信用卡持有人向警方報案,指他們的信用卡被不知名人士在一家本地網上商店購買手機,訂單大部分來自海外的網路地址,但有一宗訂單來自本地,警方經調查后發現該本地網路地址的注冊地址,上門后在該處發現陳慧賢,她否認與案件有關,
警方在現場檢獲一部筆記本計算機、一部手提電話及一個外置儲存裝置,在場的初步應變小隊在檢取證物前,曾為現場環境及證物拍照,另外, 調查隊伍亦由網路供貨商及網上商店取得了一些與案有關的資料,現在你被委派處理這宗案件, 請由以下的資料分析陳慧賢在本案中有否犯罪, 還原事件經過,
鏡像包含資料
(1) 網路地址登記人紀錄
(/Meiya Cup 2020/調查報告/互聯網服務供貨商檢查報告_陳慧賢 (Alice).pdf)
(2) 證物照片
(/Meiya Cup 2020/Photo/Alice)
(3) 筆記本計算機的數碼法理檔案
(/Meiya Cup 2020/Image/Alice/Alice Laptop/Alice_Laptop.e01)
(4) 及外置儲存裝置的數碼法理檔案
(/Meiya Cup 2020/Image/Alice/Alice USB/ALICE_USB.e01)
(5) 手提電話的數碼法理檔案
(/Meiya Cup 2020/Image/Alice/Alice LG Phone/MMC(0x0-0x0747C00000).bin)
(6) 初步應變小隊的調查報告
(/Meiya Cup 2020/調查報告/案件調查報告- 被捕人陳慧賢 (Alice).docx)
準備作業
需要VeraCrypt對比賽方的鏡像進行解密,光鏡像就179G >_<
鏡像分析軟體:美亞柏科取證大師,手機大師(聽說弘連的火眼取證手機鏡像比較全面╮( ̄▽  ̄)╭)
開始解題^ _ ^
首先將Alice的筆記本計算機鏡像和外置儲存裝置鏡像放入取證大師中分析,在分析程序中一定要選“索引”!!!
1.Alice的筆記本計算機已成功被取證并制作成鏡像(Forensic Image), 下列哪個是鏡像的SHA-1哈希值?
2.Alice的筆記本計算機安裝了哪個作業系統(Operating System)?
取證結果——系統痕跡——系統資訊——產品名稱:Windows 10 Pro
3.在Alice的筆記本, 創建用戶帳戶的SID是甚么?
取證結果——系統痕跡——用戶資訊——可以找到用戶名:Administrator
在摘要中可以看到此用戶描述為管理電腦/網域的內建帳戶(香港警務處出題,所以是繁體⊙﹏⊙)
但是吧,又在后面看見此用戶名被禁用了,然后Alice這個用戶名和Administrator是一個用戶組(?>?<?)
所以創建用戶賬戶的SID在摘要中可以看到:
4.在Alice的筆記本,用戶的最后登錄時間是甚么時候?(本地時間)
取證結果——系統痕跡——賬戶登錄
對賬戶登錄時間進行排序,可以看到賬戶名為Alice的賬戶是最后登錄的,所以得到答案:2020-09-30 10:13:44
5.在Alice的筆記本,最后登錄的用戶名稱是甚么?
由上題得為Alice
6.Alice筆記本計算機的名稱是甚么?
取證結果——系統痕跡——系統資訊——完整計算機名
即可看到計算機名稱:DESKTOP-DJFFBL6
7.在Alice的筆記本, 最后登錄的用戶何時更改了Windows登錄密碼? (當地時間)
由4題可知最后登錄用戶Alice,所以在用戶資訊中查看Alice,即可在摘要中看到該用戶何時更改windows登錄密碼 get^^
8.Alice筆記本計算機的時區是甚么?
取證結果——系統資訊——時區資訊
但是選項中由UTC(但UTC是協調世界時,不是香港所在的時區),所以應該是HKT
9.在Alice的筆記本, OS磁區的檔案系統是甚么?
10.計算機上預設安裝了甚么瀏覽器?
取證結果——上網痕跡
可以看到兩個瀏覽器IE和Edge,根據常識可知預設瀏覽器是IE😀
11.在Alice的筆記本,哪個是最常用的瀏覽器?
在上網記錄中,看到Edge瀏覽器有3227條記錄⊙o⊙
所以答案是:Edge
12.在Alice的筆記本, Alice瀏覽了哪個在線商店的網站
在取證結果——上網記錄中分別查看IE和Edge兩個瀏覽器的記錄,可以在Edge瀏覽器中的搜索記錄中看到:“apple、fortress 豐澤電器、suning蘇寧電器”三個在線商城網站∩^∩,所以答案就很明了了😁
13.在Alice的筆記本, 受害人的信用卡號是甚么?(Ho PCKYI-電子郵件:shy1211@mtzh.gow.tw)
看到題目的時候不知道去哪里找信用卡號╯▂╰,所以直接搜索題目括號中給的郵箱,可以搜到三個txt檔案,依次打開查看,在檔案為R3ZZ.txt的檔案中可以看到關于題目郵箱中的具體資訊,所以可以找到選項中的答案CRD!!!
14.在Alice的筆記本, 受害人的信用卡CSC號碼是甚么(何PCKYI-電子郵件:shy1211@mtzh.gow.tw)
與12題問題基本一致,所以可以得出答案為CSC:112
15.除了上述在USB 找出ZIP檔案,請找出相同ZIP檔案的路徑?
由12題找到的“R3ZZ.txt”檔案,在Alice的筆記本計算機鏡像中尋找,可以找到一個檔案名為:“Downloads.7z”的加密檔案,所以此相同ZIP檔案的路徑為:“磁區3_本地磁盤[C]:\Users\Alice\Downloads\Downloads.7z”
16.ZIP檔案的哈希值(SHA-256)是甚么?
由上題繼續可知ZIP檔案的SHA-256:
“88F68F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850BBA74B7E59B8”
因為取證大師在分析的時候是不會計算SHA-256,所以需要重新計算一次!
17.ZIP檔案的修改時間是多少?(當地時間)
由14題找到的檔案查看摘要即可找到修改時間:**2020-09-29 18:46:52**
18.USB驅動器在Alice筆記本計算機上的最后插入時間是何時?(當地時間)
取證結果——系統痕跡——USB設備使用痕跡,即可知道最后插入時間:2020-09-28 20:00:37
19.解壓的ZIP檔案內有哪些檔案?
由15題找到的“Downloads.7z”檔案,對其進行預覽可以得到其中包含的檔案
20.“ ZIP檔案中發票的哈希值(SHA 256)是多少=發票(1)名稱:WhatsApp Image 2020-09-29 at 18.35.25.jpeg”
因為此檔案為加密檔案,但是在所給的證物照片中Alice laptop Photo有一個電腦照片其中有兩串字符,而“QPzm!#80@#”為機密檔案密碼,對要求檔案進行SHA 256計算,所得結果為:f4c391a38ab82ad19edb2b7402da31f52006c3b4b018f859a451b839878d3ee4
21.“ ZIP檔案中發票的哈希值(SHA 256)是多少=發票(2)名稱:WhatsApp Image 2020-09-29 at 18.37.47.jpeg”
由上題步驟可得要求檔案SHA 256:“2dafcc2552a7337844b90f0ab5cda85bf2f5a71a635e0d3b05731c95937d21f5”
22.Alice筆記本計算機上安裝了哪種電子郵件軟體?
23.Alice筆記本計算機上的電子郵件軟體的版本是甚么?
當然是最新的了🙃
24.Alice筆記本計算機登錄電子郵件軟體的電子郵件帳戶是甚么?
由22題可知!!!
不知道什么原因,取證大師一查看郵件決議就自動閃退😞,所以資格賽解題就暫時解到這里吧🥺
博主先去蹭個新取證軟體🤨,再重新取證,
謝謝😙
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/224837.html
標籤:其他