2016第二届美亚杯电子数据取证(个人赛)
Posted 山川绿水
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了2016第二届美亚杯电子数据取证(个人赛)相关的知识,希望对你有一定的参考价值。
2016第二届美亚杯——个人赛
1.请写下Hugo电脑硬盘的MD5哈希值。
答案:F895FD18E47A5371AEC6DB72D0AEDCA7
2. 你能找到多少个硬盘分区?
A) 1
B) 2
C) 3
D) 4
E) 5
答案:C
3.根据主引導記錄(MBR),以下哪組偏移显示了包含操作系统分区的总扇区数?
A) 偏移 446-449
B) 偏移 458-461
C) 偏移 474-477
D) 偏移 490-493
E) 偏移 506-509
(1)先查看磁盘内的主要文件、文件夹,确定系统分区是分区2,
(2)使用winhex查看磁盘的MBF尾部,第二个分区的0C-0F偏移显示了包含文件操作系统分区的总扇区,级偏移474-477
4.根据主引導記錄(MBR),包含操作系统的分区的总扇区数是多少?
(答案格式:5246852048 sectors)
5.请找出系统文件“SOFTWARE",请问操作系统的安装日期是?
(答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC)
A) 1996-01-04 02:56 UTC
B) 2009-06-10 21:10 UTC
C) 2015-04-14 07:12 UTC
D) 2016-09-09 05:26 UTC
E) 2016-09-13 02:28 UTC
答案:2016-09-09 05:26 UTC
解题:使用取证大师,找到的时间是UTC+8搜索一应该注意-8小时
6. 用户“Hugo"的唯一标识符(SID)是什么?(答案格式:RID)
A) 1000
B) 1001
C) 1002
D) 1003
E) 1007
答案:A
7.于包含操作系统的分区內,$Bitmap的物理起始偏移位置是什么?
(答案格式:256363)
物理位置:3325526016
分区2的物理地址:105906176
操作系统的分区:3219619840
3325526016-105906176=3219619840
答案:3219619840
方法二:
使用x-ways进行分析,找到分区2里的$
可以计算为:
6288320*512=3219619840
答案:3219619840
8. 硬盘的操作系统是什么?
A) 视窗XP
B) 视窗7
C) 视窗8
D) 视窗10
E) 视窗CE
答案:B
9.操作系统的最新服务包(Service Pack)版本号是什么?
A) Service pack 1
B) Service pack 2
C) Service pack 3
D) Service pack 4
E) Service pack 5
答案:
A
10.其中一个分布式拒绝服务/拒绝服务工具的readme文件中声明“SECURITY TESTING PURPOSES ONLY!"请找出该readme文件,并列出文件中的前十二字符?
目标文件:C:\\Users\\Hugo\\Documents\\Tools\\GoldenEye-master\\README.md
导出文件readme.md
答案:GoldenEye =
11.哪一个用户拥有分布式拒绝服务/拒绝服务(DDOS/DOS)工具?
A) Home
B) Hugo
C) Administrator
D) Mike
E) Public
答案:B
12. 用户 “Hugo"的收藏夹中是否含有任何与“黑客"相关的链接?若有,请列举出相关链接。
(答案格式:http://123.com/abc.htm)
答案:https://0day.work/
13.Hugo有时会自己编写程序代码。请问Hugo用什么语言编写程序?
(答案格式:ProgramLanguageName)
[D]:\\Users\\Hugo\\Documents\\Attack\\malware.py
答案:python
14.请检查Hugo在桌面上的快捷方式文件,其中有一个快捷方式文件的创建日期是“2016-09-14"(世界协调时间/UTC),请问该文件的目标位置是什么?
(答案格式:D:\\folder\\123.abc)
答案:C:\\Users\\Dell\\AppData\\Local\\Programs\\Python\\Python35-32\\python.exe
思路:去Hugo桌面找到该快捷方式,导出文件找其路径
15. 请找一个“shellcode"的文件夹,该文件夹中含有一个用于连接HTC Touch2设备的程序。请列举出其中任何的电子邮件地址。
(答案格式:abcd@email.com)
答案:celilunuver@gmail.com
16. Hugo承认曾经进行网络攻击诈骗,并且把诈骗金额记录在电脑中。请问,保存有诈骗金额记录的文件名是什么?
(答案格式:123.abc)
答案:Important.xlsx
**解题思路:**诈骗记录一般放在xlsx或txt中
17. 在所有用户中,用于电子邮件发送/接收的程序名称是什么?
A) Gmail
B) Foxmail
C) 新浪邮箱
D) 网易163
E) 阿里邮箱
答案:B
18. 根据上述问题,请于注册表(registry) 找出该电子邮件发送/接收程序的版本号。(答案格式:1.3.4.5)
取证大师寻找注册表的方法
根据用户名Hugo,找到下载的文件,调到注册表里,然后使用注册表解析
找到对应的版本号
19. Hugo的主要电子邮件地址是什么?
(答案格式:abc@mail.com)
答案:hackerthehugo@qq.com
20. 加分题︰Hugo有任何其他属于Google的电子邮件地址吗?
(答案格式:abcd@gmail.com)
答案:hugo82618@gmail.com
21.Hugo编写了一个获取击键信息(k)的程序。请问,该程序的文件名是什么?(答案格式:123.abc)
答案malware.py
22. 根据上述问题,程序中攻击者的IP地址是什么?(答案格式:123.123.123.123)
答案:192.168.4.78
23. Hugo也编写了另一个程序,并存储在同一个文件夹中,该程序开启一个用于建立连接的端口。请问,该端口号是多少?
(答案格式:8080)
答案:443
24. Hugo有时会注入恶意脚本到已经被攻击的网站中盗取PayPal的用户帐户和密码。请找到该脚本。请问,用于存储盗窃信息的文件名称是什么?
(答案格式:123.abc)
答案passwd.txt
思路:
login.php
\\Users\\Hugo\\Documents\\
25. Hugo用于PayPal的网络钓鱼电子邮件,请问,该PayPal帐户号码是什么?
(答案格式:98-765-4321)
答案12-976-9860
26. 根据上述问题,网络钓鱼电子邮件将链接到一个URL查看交易的细节。请问,该链接的URL是什么?
(答案格式:http://abc.com/abc.htm)
答案http://158.69.201.134/login.html
27. 请问哪一个文件中保存了微软互联网浏览器的历史浏览记录?
(答案格式:123.abc)
答案index.dat
28. 根据上述问题,那个档案储存了Hugo的微软互联网浏览器的缓存记录(cache history)?(答案格式:C:\\folder\\subfolder\\123.abc)
答案:C:\\Users\\Hugo\\AppData\\Local\\Microsoft\\Feeds Cache\\index.dat
29. 根据微软互联网浏览器的历史浏览记录,Hugo在2016-09-13,02:32:34(世界协调时间/UTC),曾访问域/主机的名称/地址是什么?
(答案格式:http://www.abc.com.cn)
答案:http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
注意给的时间+8h
30. 请找出Mozilla Firefox的互联网历史文本,上述文本的名称是什么?
(答案格式:123.abc)
答案:places.sqlite
31. 请检查视窗用户Hugo中的Mozilla Firefox互联网历史文本,他是在那一天(世界协调时间/UTC),访问网页www.xshellz.com?
(答案格式:YYYY-MM-DD)
答案:2016-09-13
解题:搜索关键词www.xshellz.com
32. 请问哪一个文件中保存了Google Chrome浏览器的历史浏览记录?
答案:History
33. 该电脑中可能含有Jason的相关信息,例如电子邮件地址。请问,Jason的电子邮件地址是什么?
(提示:21个字符)
答案:jasonforensics@qq.com
34. 有没有发现其他可以与手机通讯的聊天程式?
(答案格式:ProgramName)
答案:微信
35. 有没有发现任何包括安全文件传输功能的传输工具?
(答案格式:123.abc)
36. 根据上述问题,该文件传输工具是从哪里下载的?
(答案格式:https://domain.abc)
答案:https://winscp.net
37. 根据上述问题,请问用户使用哪一个浏览器下载该文件传输工具?
A) Internet Explorer
B) Firefox
C) Chrome
D) 以上任何一个都没有
答案:C
38. 有没有发现任何已下载的远程访问工具?若有,请列举。
(答案格式:123.abc)
答案putty.exe
39. 加分题︰根据远程访问工具,请问用户曾连接到哪一个主机名?
答案:shell.xshellz.com
解题:通过查找注册表
HKEY_USERS/Hugo/sid/Software/SimonTatham/PuTTY
参考连接
https://blog.csdn.net/weixin_42744595/article/details/110678125
以上是关于2016第二届美亚杯电子数据取证(个人赛)的主要内容,如果未能解决你的问题,请参考以下文章