案例背景

何源是一名 25 岁的客服人员,在一间电讯公司工作。某日,何源在用 iPhone 手机在政府建筑物中偷拍车牌期间被警员截停,盘问期间警员检查手机相册发现多张车牌图片,何源情绪紧张,趁警员不备,抢过手机丢入车流,被完全损毁。行为十分可疑,警方于是展开调查。审讯期间何源承认利用自己职权的便利,登入公司储存客户数据的服务器,非法取得一些政府人员的个人资料,例如姓名,车牌号码,电话等等,再将这些数据出售。

警方检获何源个人计算机,以及何源公司计算机(由于何的公司不允许警方检取整台计算机, 人员只能取得内存数据档案(memory image) 以作分析)。现你被委派对何的计算机进行电子数据取证,还原事件经过。

简述

整个资格赛大体分为三部分:Windows、iPhone和内存镜像分析

Windows部分

该部分包括1-20题及36-50题,前一部分题目主要考察Windows基础,其中大部分通过取证大师和仿真都可直接解决,后一部分题目主要考察云端介质tor浏览器,该部分题目相对比较复杂,需要对数据库进行分析

iPhone部分

该部分题目包括21-35题,需要先在Windows镜像中找到手机备份,导出后用取证工具进行分析绝大部分题目都可以直接找到答案,极少部分题目可能需要将部分文件从备份中导出后单独分析

内存镜像部分

该部分包括51-62题,此部分题目除了考察基本的volatility使用方法之外,还考察了利用搜索命令针对性搜索关键信息以及一些较高级的命令方法,后面几道难题都考察了对注册表结构的了解,需要从注册表中寻找答案

详解

1. 何源的个人计算机硬盘已成功被取证并制作成镜像(Forensic Image),下列哪个是镜像的 SHA1 哈希值?

A. 6891d022c7e6fe81dc8ba2160e1ab610891596d3

B. 3e57817ea6263bc2c696a3455cc96381

C. ed43de631a56dd2c8bac4abbd3882c86

D. dd32beac5ef2cd1cac06bdd8b5e88cbc4eb94de9

E. 48a45c39da458f3cadd92017e0247454dc8bff66

取证大师挂载后直接对镜像整体求SHA1即可

image-20201112010134946

2. 在何源的个人计算机中,硬盘中包含哪个操作系统(Operating System)?

A. Windows 7

B. FAT32

C. Windows 10

D. Kali Linux

E. NTFS

取证大师自动取证后,系统痕迹 → 系统信息 → 系统信息

image-20201112010303260

3. 何源个人计算机的文件系统(File System)是什么?

A. FAT16

B. FAT32

C. Windows 7

D. NTFS

E. Windows 10

由于是win10,NTFS为的主流文件系统,在证据文件的C、D、E盘的摘要信息也可以看到

image-20201112013315096

4. 在何源的个人计算机中,你能找到操作系统分区的总容量吗 (单位:字节 byte)?

A. 492,083,081,216

B. 105,685,986,874

C. 386,908,999,680

D. 105,174,081,536

E. 492,594,986,554

依次查看CDE盘,可以发现D盘中的文件内容符合操作系统盘,其中最大的文件对应的逻辑大小即为答案

当然也可以通过第7题得到扇区大小后进行计算,D盘摘要可以得知其扇区数,计算后找到选项中与答案最接近的那个

961,099,776 * 512 = 492,083,085,312

5. 在何源的个人计算机中,操作系统分区的$Bitmap 的起始物理扇区位置(Physical Sector Number)是多少?

A. 5,683,328

B. 6,170,040

C. 7,026,176

D. 8,498,304

E. 9,168,216

在D盘中找到该文件,其摘要中物理扇区即为答案

image-20201112013428084

6. 在何源的个人计算机中,请问操作系统的安装日期是?(答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC)

A. 2019-10-16 04:44 UTC

B. 2019-10-17 16:25 UTC

C. 2019-10-16 10:12 UTC

D. 2019-10-18 02:13 UTC

E. 2019-10-18 09:14 UTC

自动取证后,系统痕迹 → 系统信息 → 系统信息

image-20201112104602899

7. 在何源的个人计算机中,每个扇区(Sector)包含多少个字节?(单位: byte)

A. 512 bytes

B. 1024 bytes

C. 2048 bytes

D. 4096 bytes

E. 8192 bytes

查看分区1盘,看到设备大小500MB,扇区数1024000,计算可得

500 * 1024 * 1024 / 1024000 = 512

8. 在何源的个人计算机中,操作系统的时区是哪个时区?

A. Eastern Standard Time (GMT-05:00) : US and Canada

B. Pacific Standard Time (GMT-08:00): Tijuana

C. Korea Standard Time (GMT+09:00): Seoul

D. GMT Standard Time (GMT): Dublin, Edinburgh, Lisbon, London

E. China Standard Time (GMT+08:00): Beijing, Chongqing, Hong Kong, Shanghai

自动取证,系统痕迹 → 系统信息 → 时区信息

image-20201112104936829

9. 在何源个人计算机的操作系统中,下列哪个是计算机的主机名?

A. DESKTOP-JW47K02

B. HEYuan-WIN1

C. HEYuan-WIN2

D. DESKTOP-SM22M96

E. DESKTOP-WE23K24

同第6题

image-20201112105031335

10. 在何源的个人计算机中,以下哪一个是用户“He Yuan”的 SID?

A. S-1-5-21-1551135561-2581751248-1803739423-1001

B. S-1-5-21-1551135561-2581751248-1803739423-1000

C. S-1-5-21-1551135561-2581751248-1803739423-500

D. S-1-5-21-1551135561-2581751248-1803739423-501

E. None

自动取证,系统痕迹 → 系统信息 → 用户信息

image-20201112105121630

11. 在何源的个人计算机中,下列哪个 USB 移动储存装置 (U 盘)曾被分配为‘E’磁盘分区代号(Drive Letter) ?

A. Kingston DataTraveler 3.0 USB Device

B. SanDisk Transcend USB Device

C. Samsung Portable SSD USB Device

D. WD My Passport 3.0 USB Device

E. Seagate Flash Disk USB Device

自动取证,系统痕迹 → USB设备使用痕迹,可以看到是

image-20201112105426711

但答案给的并不是这个,还不太清楚原因

12. 在何源的个人计算机中,用户“He Yuan”曾经在挂载为“E”盘的 USB 移动储存装置中访问过一些文件/文件夹,以下哪一个不是?

A. E:美国恐怖故事

B. E:New Text Document.txt

C. E:CONFIDENTIAL.doc

D. E:PycharmProjects

E. A,B,C,D

直接搜索E:\

image-20201112105633541

可以看到没有C选项对应的文件

13. 在何源的个人计算机中,用户“He Yuan”最近在本机上访问过一些文件,以下哪一个不是?

A. Sample Project Plan.doc

B. URGENT.doc

C. connect.py

D. 美国恐怖故事 01.mp4

E. Comprehensive-Minute-Template.doc

自动取证,用户痕迹 → 最近访问记录 → 最近访问的文档,没有B对应的文件

14. 在何源的个人计算机中,以下哪一个是程序“VERACRYPT.EXE”的运行次数?

A. 1

B. 2

C. 3

D. 4

E. 6

自动取证,用户痕迹 → Win10时间轴 ,依次查看每一天,可以发现只有在31日使用了3次

image-20201112110104642

15. 在何源的个人计算机中,在程序“VERACRYPT.EXE”运行时,以下哪个 dll 文件并没有同时被加载?

A. COMDLG32.DLL

B. CRYPT32.DLL

C. SECUR32.DLL

D. CRYPTSP.DLL

E. ENCRYPT.DLL

直接本机运行Veracrypt,利用火绒剑查看

image-20201112110258264

对应依次查找每个选项,可以发现没有E选项对应的dll

16. 在何源的个人计算机中,用户“He Yuan”的桌面墙纸(Wall paper)背景是什么颜色?

A. 黑色

B. 灰色

C. 蓝色

D. 红色

E. 绿色

仿真后查看即可

image-20201112110428265

17. 在何源的个人计算机中,以下哪个文件在电脑 power off 的时候仍然拥有内存的内容? 此文件具有与电脑内存(RAM)相似的大小并保存在根目录。

A. WIN386.SWP

B. HIBERFIL.sys

C. PAGEFILE.SYS

D. NTUSER.DAT

E. SWAPFILE.SYS

考察Windows基础知识

image-20201112110616472

18. 在何源的个人计算机中,以下哪个 database 文件存有此操作系统的 timeline 痕迹?

A. SRUDB.dat

B. Windows.edb

C. Spartan.edb

D. ActivitiesCache.db

E. Thumbs.db

考察Windows基础知识

image-20201112110816207

19. 在何源的个人计算机中,曾被分配过的 ip 地址是?

A. 147.8.177.224

B. 147.10.188.23

C. 192.168.0.110

D. 10.12.9.214

E. 192.168.1.2

自动取证,系统痕迹 → 网络配置 → 网络连接

image-20201112110922314

20. 在何源的个人计算机中,用户”Administrator”的 Internet Explorer 浏览器的 start page 是以下哪个?

A. http://go.microsoft.com

B. https://www.bing.com

C. http://www.baidu.com

D. https://www.google.com

E. http://hao.360.cn

仿真后进入Administrator用户,打开浏览器查看即可,但是我个人觉得本题有些问题,本题所给的答案是Microsoft Edge浏览器的起始页,并不是IE的(也可能是我仿真的问题?)

image-20201112111724485

21. 在何源的个人计算机中,你是否可以找到何源 iPhone 手机的线索。关于他的手机,以下哪条信息不正确?

A. IMEI:359461082062689

B. Serial Number:F17V1L6EHG70

C. Apple ID :heyuan516@icloud.com

D. MSISDN: 85259114189

E. 无

自动取证,文件分析 → 手机备份及相关数据 → 苹果手机备份,右键跳转到源文件后将文件夹整体到处,再用取证工具分析即可,也可以根据路径仿真后在电脑中找到后导出

image-20201112112445571

22. 用户“He Yuan”在 WhatsApp 上与谁进行了对话?

A. Keanu Reeves

B. Michael Nyqvist

C. Peter Wang

D. John Manager

E. Michael Brown

取证工具分析,直接就可以看到

image-20201112112549759

23. 在手机联系人中,Anthony Chung 的手机号是多少?

A. +85252018664

B. +85257025241

C. +85257024765

D. +8613890274976

E. +8613928749036

在WhatsApp的联系人中可以找到

image-20201112112626698

24. He Yuan 在 iPhone 自带的 Safari 浏览器中搜索过一些关键词,以下哪一个不是?

A. 野狼 disco

B. 拜佛过人 professor

C. engineer's day 1024

D. Programmer's Day no bug

E. poptown 攻略

取证工具分析后,在浏览器搜索记录中查找即可

25. 用户“He Yuan”的 WeChat ID 是多少?

A. HEYUAN516

B. wxid_9y8cs5hdin2i15

C. wxid_9y8cs5hdin2i14

D. wxid_9y8cs5hdin2i13

E. wxid_9y8cs5hdin2i12

取证工具分析后,查看微信账户信息即可

image-20201112112805403

26. 在 WeChat 的多个聊天记录中,用户“He Yuan”没有聊到过哪个话题?

A. 与中介谈买房

B. 与老板谈洗钱

C. 与黑客谈交易

D. 与网贷谈借钱

E. 与朋友谈炒房

取证工具分析后查看微信聊天记录,可以发现He Yuan与三名黑客Kevin、Iva、Scott谈及了数据交易,最终只与黑客Kevin达成交易。此外,他还与Tung谈及租房,与金鸽网贷谈及借钱,并与其朋友张中介谈及炒房的相关事宜,还和另外一位朋友Black Sheep谈到了生活日常

27. 从 WeChat 中的一个聊天记录中可知,用户“He Yuan”持有多少人的数据?

A. About 500

B. About 1000

C. About 2000

D. About 3000

E. About 5000

微信与Kevin的聊天记录中提到

image-20201112113005124

28. 接上题,Hacker 最后要支付多少 Bitcoin 给 He Yuan?

A. 0.002312

B. 0.066666

C. 0.036354

D. 0.014594

E. 0.012398

微信与Kevin的聊天记录中提到

image-20201112113054979

29. 接上题,He Yuan 的 Bitcoin 收款地址是多少?

A. cI7g0tIzPuP2pxb20HQHNGOQdpmptDaCBf

B. InCeInFZmAP3PCLHLOchKTEZevQdHgQdP3

C. 4qISisBY2Z8xgh9C6orRfuRzmzXKznUc5Z

D. 18yZq8Dboyuvnd3R6pqG9kJkaZBki2JCoN

E. n5X7jwdPspKRgnZU6xzcEQueJanRqGdZQd

与Kevin的聊天记录中有一个包含比特币首款地址的二维码,如果图无法查看的话可以将微信部分数据导出后分析(我的图也裂开了,可以用手机大师试试)

30. 接上题,He Yuan 分享给 Hacker 的百度网盘链接是多少?

A. https://pan.baidu.com/s/u8rLTgLZabfd9Va1wRjzyc9

B. https://pan.baidu.com/s/nIDo2yLop_ciNUxihF2cZi8

C. https://pan.baidu.com/s/N6RiGxMZDnswlOUKRi0IB6Q

D. https://pan.baidu.com/s/uFUc4W0zYmrGZMOxVm843GU

E. https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY3Ww

与Kevin的聊天记录

image-20201112113433960

31. 接上题,He Yuan 提到的解压密码是多少?

A. bAtNyn3lHwP8xXW

B. hNfpdKcJlvpEFEa

C. decrypt123456

D. 2019123456

E. HetoHacker123456

与Kevin的聊天记录

image-20201112113458749

32. 接上题,He Yuan 收到了来自哪位 hacker 的转账? hacker 的 wechat ID 是多少?

A. Kevin , wxid_ugo2wrc3fuci22

B. Scott , wxid_i1lhj24r792i22

C. Iva , wxid_7qh2jzeomtvp22

D. John , wxid_QAZbWKIgIz4jpu

E. Jack , wxid_dbEx7dtbX4zPbb

查看微信通讯录

image-20201112113544044

33. 根据 Wechat 聊天记录,He Yuan 在 2019-10-26 号(UTC+8)晚上跟哪位朋友出去吃晚饭了?朋友的 Wechat ID 是多少?

A. Iron Man , wxid_0ZYBi7dchvMIym

B. Black Panther , wxid_zSrai2bRoLUNVb

C. Red Bull , wxid_2yy2ekynoLbnq3

D. White Tiger, wxid_whMQ2YOLPiNNt7

E. Black Sheep , wxid_s00vt9uixjq922

聊天记录内容中提到了与Black Sheep一起出去吃饭

34. 在2019-10-31(UTC+8),何源用iPhone手机在车库拍了一些车的照片,请问最早的那张车照片是什么时候拍的?

A. 10/31/2019 18:53:29 PM(UTC+8)

B. 10/30/2019 10:43:27 AM(UTC+8)

C. 10/26/2019 19:53:29 PM(UTC+8)

D. 10/28/2019 20:40:30 PM(UTC+8)

E. 10/27/2019 10:53:29 AM(UTC+8)

见下题

35. 接上题,请问照片”IMG_0075.HEIC”拍摄地 GPS 坐标是以下哪一个?

A. 28 deg 13' 5.25" N, 125 deg 9' 6.34" E

B. 22 deg 17' 1.36" N, 114 deg 8' 9.91" E

C. 120 deg 23' 5.58" N, 119 deg 7' 4.53" E

D. 88 deg 6' 2.14" N, 130 deg 6' 7.86" E

E. 100 deg 17' 1.36" N, 224 deg 6' 8.57" E

弘连的软件分析不出来那几张图,可以用手机大师试试,附上另一位师傅的过程

image-20201112113802700

36. 在何源的个人计算机中,你能找到一个 Veracrypt 加密容器文件吗?它的原始文件名是?

A. containerx.txt

B. VC_Container

C. $RV61F4M

D. data encrypt.txt

E. $IV61F4M

可以在Windows镜像的回收站中找到一个文件名为data encrypt.txt的文件,仿真后打开Veracrypt也可以看到

image-20201112114049553

37. 接上题,此 Veracrypt 加密容器文件之前可能被挂载为哪一个盘符(drive letter) ?

A. A:

B. B:

C. Z:

D. D:

E. E:

取证大师案例概览,可以看到最近浏览文件中有A:\,而该镜像本身并没有A盘,所以是挂载上去的

38. 在何源的个人计算机中,何源曾在电脑上登陆过客户端百度云盘,请问他的 Baidu 账号是多少?

A. Yuanhe516

B. Heyuan516

C. Heyuan515

D. Yuanhe515

E. None

自动取证,云储存客户端 → 百度云管家

image-20201112114341210

39. 在何源的个人计算机中,何源利用客户端百度网盘上传过一些文件,请问以下哪一个是?

A. 美国恐怖故事 04.mp4

B. Crawler_connect.py

C. file encrypt.doc

D. Secret.xlsx

E. Company_info.xlsx

接上题,查看上传文件记录

image-20201112114426123

40. 在何源的个人计算机中,何源 iPhone 手机中的一些图片曾被同步到他的百度网盘中,请问图片“2019-06-21 113537.jpg”的 MD5 hash 值是多少?

A. fe41107c5260498e67171755e2b4bb1d

B. 6055e4fa9e8a56c708a3db7198d091e7

C. 7b8e1183d80962c0ad5a95ec673317a7

D. 148685a257c49247f09b942237f1a248

E. db4a58e48ef51ca2c6c0f6e07f44d186

接上题,查看本地缓存记录,找到题中所说的jpg文件

image-20201112114612138

41. 在何源的个人计算机中,何源用百度网盘上传文件“/美国恐怖故事/美国恐怖故事 01.mp4”的起始时间是?(格式:UNIX Timestamp UTC+8)

A. 1572506551

B. 1572506618

C. 1572506608

D. 1572506551

E. 1572507864

此题无效

涉及时间戳的转换,在百度云上传文件记录中找到对应的北京时间,利用脚本转换即可

import time

a = '2019-10-31 15:22:31'
timeArray = time.strptime(a, '%Y-%m-%d %H:%M:%S')
timeStamp = int(time.mktime(timeArray))
print a,timeStamp

得到结果:1572506551

42. 在何源的个人计算机中,可以发现有多少文件,文件夹存在于何源的百度网盘中?

A. Files: 55, Folder: 3

B. Files: 82,Folder: 2

C. Files: 23, Folder: 1

D. Files: 90, Folder: 2

E. Files: 102, Folder: 7

接40题,查看本地缓存记录,可以看到一共有84项,其中两项无哈希值,所以是82个文件,2个文件夹

image-20201112114823799

43. 在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器 google 搜索过一些信息,以下哪个不是搜索的关键词?

A. gmail register

B. tor data sale

C. online lender

D. shadowsock

E. how to hide a partition

自动取证,查看Microsoft Edge浏览器搜索记录

44. 在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器注册过一个新的 Gmail account,请从网页标题痕迹中找出此账号。

A. jackhe666@gmail.com

B. johnhe7@gmail.com

C. jacksonhe8@gmail.com

D. jorkerhe888@gmail.com

E. yuanhe666@gmail.com

查看Microsoft Edge浏览器历史记录,可以发现在31日有大量的和Google accounts有关的网址,对应到邮件解析中对应时间即可找到注册账号

image-20201112121620931

45. 在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器下载过一些文件,以下哪一个不是?

A. WeChat_C1018.exe

B. bitcoin-018.1-win64-setup.exe

C. torbrowser-install-win64-8.5.5_en-US.exe

D. SteamSetup.exe

E. BaiduNetdisk_6.8.4.1.exe

直接在Microsoft Edge的下载记录中查找,可以看到其中三个的下载记录,再将剩下的两个选项依次搜索,可以发现在Microsoft Edge中没有与bitcoin相关的exe下载记录

46. 在何源的个人计算机中,用户“He Yuan”曾用以下哪款网页浏览器登陆过网页版百度网盘?

A. Internet Explorer

B. Firefox

C. Chrome

D. Microsoft Edge

E. Tor

搜索pan.baidu,可以看到在Microsoft Edge浏览器中有大量相关的历史记录

47. 在何源的个人计算机中,用户“He Yuan”曾用 Tor 浏览器访问过一些网站,以下哪一个不是?

A. https://duckduckgo.com

B. http://deepmix2cmtqm5ut74f4acz2eskr5htcdetpzupmdkas6fzi4cnc7sad.onion

C. http://vfqnd6mieccqyiit.onion

D. http://bntee6mf5w2okbpxdxheq7bk36yfmwithltxubliyvum6wlrrxzn72id.onion

E. http://silkroadjuwsx3nq.onion

本题需要了解数据库相关知识,与浏览器历史记录有关的常见数据库有History.dbHistoryplaces.sqlite,分别对应SafariChromeFirefox,依次搜索这三个文件名,可以发现搜索places.sqlite时找到了两个对应文件,其中一个在tor的目录下

image-20201112123113109

跳转到源文件后查看十六进制可以得知其为sqlite format3的格式,导出后用SQliteStudio查看,在moz_origins表中就可以看到历史记录

image-20201110013613814

48. 接上题,以下哪个 URL 是由用户手动输入到 Tor 浏览器中的?

A. http://tfwdi3izigxllure.onion

B. https://hiddenwikitor.com

C. http://deepmix5e3vptpr2.onion

D. http://vfqnd6mieccqyiit.onion

E. http://smoker32pk4qt3mx.onion

根据Tor浏览器访问规则,推测手动输入的URL以.com结尾,而且通过下题也可以判断

49. 接上题,关于网页”http://rso4hutlefirefqp.onion”,以下哪一个描述是正确的?

A. ccPal - stolen creditcards, ebay and paypal accounts for bitcoins - buy CVV2s for bitcoin - PayPals for Bitcoin - Ebay Accounts for Bitcoin

B. UKPassports - Buy passport from the United Kingdom UK, real passports from the UK, no fake passports

C. Stolen Apple Products for Bitcoin. Get the newest apple products for a fraction of the price. Iphones for Bitcoin, Ipads for Bitcoin.

D. NLGrowers - Buy Weed, Hash, Cannabis, Marijuana with from the netherlands with Bitcoins - your deep web weed source

E. We sell medical cannabis, rick simpson cannabis oil and other medical cannabis products

接47题,在moz_places表中可以看到网站相关的信息,包括网站标题、网站介绍等

image-20201111000702266

50. 接上题,哪个网页引导用户到了网页” http://vfqnd6mieccqyiit.onion”?

A. https://thehiddenwiki.org

B. http://hiddenwikitor.com

C. https://onionshare.org

D. http://xfnwyig7olypdq5r.onion

E. https://www.onionexplore.org

接上题,将表中数据按照id排序,为浏览的先后顺序,可以看到

image-20201111002014804

图中所有.onion网站都在图中选中网站之后,即是由该网站引导访问,利用最新版的取证大师中小程序的暗网取证功能,按照最近访问时间排序,也可以看到

image-20201112124153362

51. 分析何源的公司计算机内存镜像,何源的公司计算机操作系统以及硬件架构是什么?

A. Windows 7 x86

B. Windows 7 x64

C. Windows 8 x86

D. Windows 8 x64

E. Windows 10 x64

考察vol最基础的命令

volatility -f memdump.mem imageinfo

image-20201112223333525

52. 分析何源的公司计算机内存镜像,以下哪一个是进程“explorer.exe”的 PID?

A. 5098

B. 3484

C. 3048

D. 2236

E. 9875

根据题目所给关键字查找所有explorer.exe,对比PID

volatility -f memdump.mem --profile=Win7SP0x86 pslist | grep -i 'explorer.exe'

image-20201112224108949

第一列数字对应PID

53. 分析何源的公司计算机内存镜像,以下哪一个是正确的用户 SID ?

A. HTC_admin : S-1-5-21-2316527938-3914680751-2175519146-1001

B. TMP_User : S-1-5-21-2316527938-3914680751-2175519146-1002

C. TMP : S-1-5-21-2316527938-3914680751-2175519146-1001

D. YuanHe : S-1-5-21-2316527938-3914680751-2175519146-1002

E. None

利用getsids命令配合grep查找对应SID

volatility -f memdump.mem --profile=Win7SP0x86 getsids | grep -E 'HTC_admin|TMP_User|TMP|YuanHe'

image-20201112225321767

54. 分析何源的公司计算机内存镜像,以下哪个远程地址与本地地址建立过 TCP 连接?

A. 10.165.12.130

B. 10.165.12.126

C. 10.165.10.125

D. 10.165.10.130

E. 10.165.10.131

利用netscan命令查看网络连接相关

volatility -f memdump.mem --profile=Win7SP0x86 netscan

55. 接上题,在上述 TCP 连接里,远程地址的端口号是多少?

A. 80

B. 443

C. 445

D. 22

E. 3389

同上

56. 分析何源的公司计算机内存镜像,注册表“SystemRootSystem32ConfigSAM”在内存镜像中的虚拟地址(Virtual Address)是多少?

A. Offset: 0x97b5e5d8

B. Offset: 0x9a5689c8

C. Offset: 0x8c6b49c8

D. Offset: 0x8bc1a1c0

E. Offset: 0x9bc1a1c0

利用hivelist命令可以查看注册表配置文件中的注册表信息,也包括虚拟地址和物理地址

volatility -f memdump.mem --profile=Win7SP0x86 hivelist

image-20201112231205027

57. 分析何源的公司计算机内存镜像,用户“Yuan He”登入密码的 NTLM hash 是多少?

A. bf12857078039ff604bf8e1fb4308643

B. 31d6cfe0d16ae931b73c59d7e0c089c0

C. bf12857078039ff604bf8e1fb430a7d4

D. a53452d6cd5e2d72423cd3eac8b05607

E. 99e74d973f8f852432f6d5a59659ed88

可以直接利用hashdump命令查看,格式为用户名:RID:LM hash:NTLM hash::: ,本题问的是NTLM hash值

volatility -f memdump.mem --profile=Win7SP0x86 hashdump

image-20201112231607792

也可以根据hivelist中SYSTEMSAM的位置将密码hash值导出,进行密码的精准查找

volatility -f memdump.mem --profile=Win7SP0x86 hashdump -y 0x8bc1a1c0 -s 0x9a5689c8 > hash.txt

-y 后接SYSTEM的虚拟地址
-s 后接SAM的虚拟地址

58. 分析何源的公司计算机内存镜像,盘符“E:”上的文件“Personal Information.xlsx”何时被访问过?

A. 2019-10-31 07:58:45

B. 2019-10-31 10:33:42

C. 2019-10-31 06:59:45

D. 2019-10-31 09:31:42

E. 2019-10-31 08:32:42

利用timeliner命令查看时间线

volatility -f memdump.mem --profile=Win7SP0x86 timeliner | grep -i 'Personal Information.xlsx'

用上述命令无法查找到任何一条信息,所以扩大查找范围,查找所有与xlsx相关的记录

volatility -f memdump.mem --profile=Win7SP0x86 timeliner | grep -i 'xlsx'

image-20201113000023718

可以看到的确有题干中的文件,刚刚的命令查不到是因为文件名中的空格被URL编码了

59. 分析何源的公司计算机内存镜像,以下哪个是文件“Personal Information.xlsx”的正确路径?

A. UsersYuanHeDesktopConfidentialPersonal Information.xlsx

B. UsersYuanHeDesktopPersonal Information.xlsx

C. UsersTMP_UserDesktopConfidentialPersonal Information.xlsx

D. UsersTMP_UserDesktopPersonal Information.xlsx

E. UsersAdministratorDesktopConfidentialPersonal Information.xlsx

根据上一题可以得知在用户TMP_User下,而利用filescan命令搜索Confidential无结果,所以排除C选项

60. 分析何源的公司计算机内存镜像,可以发现以下哪些文件夹曾被访问过?

  1. …Company_FilesJonathan Norton
  2. …Company_FilesStephen Chow
  3. …Company_FilesJohn Wick
  4. … Company_FilesLogan Chen
  5. …Company_FilesColleen Johnson

A 2,3,5

B 2,4,6

C 1,3,5

D 3,4,5

E 1,4,5

利用timeliner命令配合grep搜索Company_Files关键字

volatility -f memdump.mem --profile=Win7SP0x86 timeliner | grep 'Company_Files'

(未完待续...不会了.....)

61. 分析何源的公司计算机内存镜像,以下那一项有关这台计算机的资料是正确?

A. 这台计算机安装 Window 的时间是 2019-10-31 11:56:23 UTC + 0

B. 这台计算机的名称是 WIN-VUAL29E4P0K

C. 公开资料显示这台计算机 TCPIP 的最后更新时间是 2019-10-31 04:59:00 UTC + 0

D. A 及 C 都是正确

E. B 及 C 都是正确

利用envars命令可查看环境变量,结合关键词computername可定向检索计算机名称

volatility -f memdump.mem --profile=Win7SP0x86 envars | grep -i 'computername'

image-20201113164038737

62. 分析何源的公司计算机内存镜像,以下那一项关于这台计算机连接 USB 装置的描述是正确?

A. 没有,因为透析资料找不到

B. 没有,因为内存容量没有取得完整的注册表资料

C. 有,而且装置的牌子应该是 HUAWEI

D. 有,而且装置的 GUID 是 4d36e967-e325-11ce-afc1-832210318

E. 有,而且装置的首次插入时间 HEX 值是 40 43 30 b9 b8 8f d5 01

先通过svcscan定向检索usb,可以发现存在usb设备连接的痕迹

volatility -f memdump.mem --profile=Win7SP0x86 svcscan | grep -i 'usb' -A 5 -B 5

image-20201113164313746

之后相关usb的信息就需要到注册表里寻找,此处涉及知识点:usb记录在注册表中的路径

SYSTEM\ControlSet00X\Enum\USBSTOR
X为任意数字,如1、2、3等

SYSTEM\ControlSet00X\Enum\USBSTOR\[实际路径]\[实际路径]\Device Parameters\Partmgr
该目录下包含DiskId

想要寻找注册表,首先利用hivelist命令找到SYSTEM注册表的虚拟位置

volatility -f memdump.mem --profile=Win7SP0x86 hivelist

image-20201113164829914

再利用hivedump命令确定下一级路径

volatility -f memdump.mem --profile=Win7SP0x86 hivedump -o 0x8bc1a1c0
-o 后接SYSTEM的虚拟地址

image-20201113165045836

可以确定为ControlSet001,接下来利用printkey命令打印出注册表中信息

volatility -f memdump.mem --profile=Win7SP0x86 -o 0x8bc1a1c0 printkey -K 'ControlSet001\Enum\USBSTOR'

image-20201113165424932

可以看出USB装置的牌子为Seagate(希捷),继续访问下一级、下一级

volatility -f memdump.mem --profile=Win7SP0x86 -o 0x8bc1a1c0 printkey -K 'ControlSet001\Enum\USBSTOR\Disk&Ven_Seagate&Prod_Expansion&Rev_0710\NAA6DT2Z&0'

可以看到设备对应的GUID

image-20201113165823375

利用排除法就可以得到答案

ps:直接查询usb首次插入时间的方法太太太复杂了,我还没搞懂,可以参考:

参考文章