2021年第七届“美亚杯”电子数据取证个人赛Write up

Posted Faith_Tsir

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了2021年第七届“美亚杯”电子数据取证个人赛Write up相关的知识,希望对你有一定的参考价值。

目录

前言

VTM iPhone6部分

主管计算机部分

路由器部分

Alex win部分

        FTP部分


前言

  应该是学生生涯最后一次参加美亚比赛了,本来想放弃写wp的,在陕警兄弟的鼓励下把这个写完了。没有火眼仿真确实蛮难的,还好只是个人赛,用FTK手动仿真勉强能使用(可能是版本问题老容易断掉),下来用qemu试试能不能简单一点。

  美亚杯一年比一年难了,加上个人赛检材容器密码一开始出现了大的问题,把人心态搞崩了。

个人赛里就是手机那个图片有问题,修改了时间又分享之类,解锁密码这个也没找到。如果有错误的地方希望师兄们可以指正,也可以教教我苹果手机那部分应该怎么做。

  V:Faith_Tsir

VTM iPhone6部分

        1.[单选题] 工地主管电话的微信账号是什么? (1分) 

         这个没有发现,并没有找到关于“wechat"的关键词。答案选D

        2.  [填空题] 工地主管的隔空投送装置编号是什么? (请以英文全大写及阿拉伯数字回答) (1分)

        隔空投送即air drop,信息摘要里就能找到该信息。

 

        3.[单选题] 工地主管电话的哪一个应用程序有关于于经纬度24.490474, 118.110220的纪录?

       直接搜索该经纬度,发现是Apple maps

        4. [多选题] 工地主管的手提电话中下列哪些数据正确? (1分)

        ropbox(多宝箱)是一款免费网络文件同步工具,直接在软件中搜索,并没有该软件痕迹。IMEI错误。所以答案选择AC。

 

        5. [填空题] 工地主管的电话最常使用的浏览器是什么? (请以英文全大写回答) (1分)

        查看已分析的数据,发现是使用的浏览器是Safari

        6. [单选题] 工地主管的电话连接过哪一个WiFi? (1分)

        查看设备与网络/设备连接/无线网络,发现是Kaiser Lee

        7. [多选题] 工地主管与Alex Chan的Whatsapp 对话中,曾提及以下哪个TeamViewer的用户号码? (3分)

        

        查看两人的whatapp聊天记录,梳理一下内容


Alex装作电脑维修人员给这个主管修电脑,让主管装Teamviwer,实则是为了控制电脑->留后门->实施Bitlocker加密->比特币勒索。主管的TeamviewerID:


    其中一个同事的TeamviewerID:


还有一个同事的ID:

所以一共是三个人的ID。

         8. [填空题] 工地主管的WhatsApp中有多少个黑名单的记录? (请以阿拉伯数字回答) (2分)

        


在数据库里找到Whatapp黑名单的数据库ChatStorge.sqlite,在ZWBLACKLISTITEM,发现是0个

        9. [多选题] 以下哪个蓝牙装置的Uuid 曾连接过工地主管的手机? (2分)

 

        找到保存连接蓝牙装置的数据库,在其中找到UUID。AB

主管计算机部分

        10. [填空题] 工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么? (请以英文全大写及阿拉伯数字回答,不用输入”-“) (1分)

        

        Bitlocker密钥标识符,在取证大师上准备用Bitlocker解密的时候就可以看到。通过在FTP服务器中寻找到的Bitlocker。把FTP服务器放进取证大师跑,在文件浏览中找到txt文件,很惊喜的发现三个解密密钥。

全部导出来看,第一个就是答案,顺便拿来解密加锁盘。

        11. [填空题] 工地主管计算机內的FTP程序FileZilla的用户名称是甚么? (请以英文全大写及阿拉伯数字回答) (3分)

         应该是alex,alex用teamviewer远程连接工地主管的电脑,在他的电脑上登陆自己的FTP服务器,而服务器也是自己的,所以是alex。

         12. [填空题] 工地主管的Team Viewer ID 是甚么? (请以英文全大写及阿拉伯数字回答) (2分)

                通过前面手机的聊天记录可以看到ID,435270306
可以看到连接记录是
        13. [填空题] 工地主管的Team Viewer与哪一个ID连接? (请以英文全大写及阿拉伯数字回答) (3分)       

可以看到连接记录是Alex,420190768      

 

         14. [多选题] 工地主管曾用计算机浏览器作搜寻,以下哪一个关键词他曾经搜寻? (3分)

         通过查看浏览器搜索记录可以发现是搜索了web whatsapp /facebook

        15. [填空题] 工地主管计算机的Windows系统的产品标识符是甚么? (请以英文全大写及阿拉伯数字回答,不用输入”-“) (1分)

        系统标识符是什么,搜索一下,只有一个安全标识符,所以认为是产品ID

        16. [填空题] 工地主管曾用计算机使用WhatsApp,他曾和以下哪个电话号码沟通? (请以阿拉伯数字回答) (2分)

        这个没有找到,只看见他用苹果6跟一个人打过电话。


(很离谱,仿真了以后遇到了其他问题,whatsapp需要翻墙秦玉海老师不是说了不准翻墙吗.. 好了我翻了,也看不到里面的东西,必须用手机扫码,而且上面写的很清楚,端到端加密)

        17. [多选题] 工地主管计算机的用户名称是甚么? 其用户标识符是甚么? (2分)

        PC1毋庸置疑了,至于用户标识符,第一想到的sid,结果答案并没有1001,复盘的时候才知道是转换成了16进制(对进制太不敏感了)1001——3e9 ​

 


18. [单选题] 工地主管计算机的预设浏览器是甚么? (2分)


        仿真进去可以看到默认是Chrome浏览器

        19. [填空题] 工地主管计算机的其中一个分区被人加密,分区内的电子表格Material3.xlsx的哈希值(SHA1)是甚么? (请以英文全大写及阿拉伯数字回答) (1分)


        用FTP服务器中找到的Bitlocker密钥解密以后计算文件哈希

路由器部分

        20. [多选题] 路由器的记录中显示以下有哪些IP是公司的电子器材? (3分)

        在日志中搜索这些IP地址查看具体日志:

 就是搜不到 .132的IP

        21. [填空题] 路由器的记录中显示公司的计算机下载了FTP软件,该下载网站的IP是什麼?(请以亚拉伯数字作答,省去“.”符号) (3分)
        通过在路由器日志中查看,发现一条下载记录

        22. [多选题] 路由器的记录中显示公司计算机的资料用FTP软件传到了甚么IP地址及利用端口? (2分)


在filezilla日志里可以找到一些信息

在取证大师的分析结果里也能看到一些连接记录,但这上


面显示是使用的23端口。有FTP常识的朋友知道,一般我们使用的是21端口。那么在路由器的日志里搜索这个


IP地址。这条记录显示是通过218.255.242.114的21端口传出去。

        23. [多选题] 路由器的记录中显示以下哪些关键词是表示公司计算机与外界网络联机? (2分)

        这道题没做出来,思路主要是通过搜索公司计算机的ip地址来确定关键词。(outside一定)

        24. [单选题] 路由器的记录中显示哪一个IP曾以teamviewer 连接公司计算机? (1分)


        在log文件直接搜索选项答案,搜索到第二个答案时觉得就是这个IP了。Teamviewer建立的是TCP(telnet)协议。

        25. [多选题] 路由器的记录中显示以下哪一个有可能是以teamviewer 遥控公司计算机的时间? (3分)

 

 

 

 

 

 

 

  对这个IP地址进行标记,定位到时间栏,一共找到ACE三个选项的答案都在标记中

        26. [填空题] 路由器的记录中显示有多少电子器材有可能曾被入侵? (请以阿拉伯数字作答) (2分)

        答案应该是三个,至于前面出现的多了一个IP,不太明白。毕竟teamviewer连的是三个电脑,所以是入侵了三个。

 iPhone 12 pro部分

        27. [多选题] 阿力士iPhone 12 pro电话 于2021年10月21日,以下哪一张相片可能曾被分享 (UTC+8)? (3分)


        首先在时间线里找,并没有找到21号的照片。在图片里面分析,结合下一题,被分享过的图片应该就不带有元数据,所以过滤一下。很明显的发现这是一张“shared”图片。

        然后又在相机的cache数据里找到该图片数据,最终还是没找到答案。

         28. [单选题] 阿力士iPhone 12 pro电话中哪一张相片可能曾被修改拍摄时间? (2分)

        没有答案...

        29. [填空题] 阿力士iPhone 12 pro 的GSM媒体访问控制地址是什么? (请以英文全大写及阿拉伯数字回答,不用输入":") (2分)


        应该是mac地址

        30. [单选题] 阿力士的iphone 12 pro以什么屏幕密码保护? (1分)

        查了资料也找了很久,把keychain-backup.list提出来看

 但还是找不到....资料也没有

        31. [多选题] 阿力士iphone 12 pro内以下哪一张相片是实况相片(live Photos)? (2分)

        ABD(压根就没有12.heic)

        32. [单选题] 以下哪一个是阿力士iphone 12 pro可能曾经连接的装置名称? (2分)

        在连接记录中找到该结果。

        

        33. [多选题] 接上题,记录连接时间是什么时候(UTC+8)? (2分)

        连接时间

 iPhone XR部分

        34. [多选题] 阿力士iPhone XR中在软件WhatsApp中工地主管与阿力士的对话中曾提到:[佢叫我俾钱喎,BTC係唔係呢个啊?]。在进行电子数据取证分析后,以下哪一个是有可能关于此对话的正确描述? (2分)


很明显附件是一张图片,查看主管手机和ALEX手机聊天记录,发现这俩人都把这两条记录给删了(当然有可能是出题人删的)并没有引用回复。

        35. [填空题] 阿力士iPhone XR的WhatsApp对话中,阿力士曾要求工地主管支付多少个BTC? (请以阿拉伯数字回答) (1分)

         如图10个比特币。

      36. [多选题] 阿力士iPhone XR中 “IMG_0056.HEIC”的图像与"5005.JPG"(MD5: 96c48152249536d14eaa80086c92fcb9)” 看似为同一张相片,在电子数据取证分析下,以下哪样描述是正确? (2分)

         通过查看路径可以发现,5005是IMG_0056的缩略图(看分辨率也可以发现)


        MD5不同,所以答案应该是BC

        37. [多选题] 阿力士iPhone XR中相片檔IMG_0056.HEIC提供了什么电子数据取证的信息? (3分)        

 查看0056的原数据发现,是苹果12pro拍摄的,并不是XR拍的,又是多选题,答案应该选AD

        38. [单选题] 阿力士iPhone XR中阿力士的电邮账户Alexc19851016@gmail.com的密码有可能是什么? (1分)

       

 

        C选项,是通过CMD5(NT哈希)查看电脑开机密码发现的,也在他自己的手机记事本里发现 了该密码

        39. [填空题] 阿力士iPhone XR曾经连接Wifi “Alex Home”的密码是什么? (请以英文全大写及阿拉伯数字回答) (1分)


        查看密码一栏,PSWD 12345678

        40. [单选题] 阿力士iPhone XR经iCloud备份的最后时间是什么?(UTC+8)? (1分)

        直接能在基础信息上找到。10/21/9:51:08

        41. [填空题] 阿力士iPhone XR中的iBoot版本是iBoot-__________? (请以阿拉伯数字回答,不用轮入“.”) (1分)        
        通过查看phoneinfo.xml文件,找到iBoot

        42. [多选题] 阿力士iPhone XR中的WhatsApp群组『团购-新鲜猪肉牛肉-东涌群组-9/30』有以下哪一个成员? (2分)

        

Alex win部分

         43. [单选题] 阿力士的计算机显示曾于hongkongcard.com 的论坛登记成为会员,以下哪个是他的帐户密码? (3分)

        首先是仿真(火眼过期了就手动仿真了)有密码,猜测是记事本上面的密码,也可以试着在CMD5上解密,刚刚发现这条居然要收费,不影响,我们可以反向解密。

 发现就是这个NT哈希,那就可以直接进去了。要查看浏览器密码,第一想法还是利用工具,发现里面开了windows defender所以得关掉防火墙,查看密码,发现还是老密码。

         44. [单选题] 阿力士的计算机显示阿力士曾用什么方法进入受害者(主管)的计算机? (1分)

         远程控制,这显而易见吧。桌面上的Teamviewer就说明了。

        45. [单选题] 续上题,阿力士最后一次进入受害者(主管)计算机的时间是什么? (2分)


        最后一次连接的时间,看Teamviewer连接记录

        46. [填空题] 阿力士的计算机显示他曾经使用FTP程序,FTP的主机IP地址是什麼?(请以亚拉伯数字作答,省去“.”符号) (2分)


        直接在解析中看得到FZ连接记录

        47. [填空题] 阿力士的计算机显示于2021年9月至2021年11月期间,计算机曾被登入过多少次? (请以阿拉伯数字回答) (1分)

        应该是算28次吧,我认为是这样,在取证大师里看账


户登陆。

        48. [填空题] 阿力士计算机所安装的Microsoft Office 2007 是以下哪一个版本? (请以亚拉伯数字作答,省去“.”符号) (2分)

 

         Office版本信息,想到用仿真看,实际上取证大师还是方便一些。

        49. [填空题] 以下是阿力士计算机中的Basic data partition (EFI 3) 的Volume ID? (请以英文全大写及阿拉伯数字回答) (2分)


看到这个题就知道要打开xways了,美亚杯以前也考过这种题。找一下,分区


3\\System Volume Information\\SPP\\OnlineMetadataCache:下面的两个文件都能看见VolumeID: 9705c469-7dca-4d55-ae76-7481b9f1428e

        50. [填空题] 阿力士计算机的Window product ID是什么? (请以英文全大写及阿拉伯数字回答,不用输入”-“) (1分)

        产品ID,直接取证大师查看

         51. [单选题] 阿力士计算机曾经下载一张猴子的图片,以下哪一项描述正确? (1分)


在user\\alex\\download路径下面找到这个猴子图片,查看该图片信息


查看下载记录,只是加密的(encrypted),但是并没有格式转换,Url试了打不开,应该是要科学上网才行。答案应该是ABC

        52. [填空题] 阿力士计算机所安装的Microsoft Office 2007 的密钥是甚么? (请以英文全大写及阿拉伯数字回答,不用输入”-“) (1分)

        这个题取证大师不知道能不能看到,仿真起来比较容易看,很容易找到产品识别码。


89409-707-8075366-65610

        FTP部分

        53. [单选题] 阿力士FTP 服务器用户使用命令行安装了甚么程序? (1分)


个人认为看Linux用xways比较容易一点。通过查看bash_history,可以看见过去使用过的命令。所以是安装了docker。

        54. [多选题] 以下哪些档案于阿力士FTP 服务器曾重复出现? (3分)

         多选题,直接查看文件分析(老实一点可以进docker容器看看),这些Excel表格都存在docker里面。要重复出现的,所以就是DEF

         55. [填空题] 在阿力士FTP服务器中,文件夹___________曾被用户变更了访问权限(请以英文全大写及阿拉伯数字回答) (2分)


变更文件权限,熟悉linux命令的可以一下子找到,文件名:Dangerous_Project

        56. [填空题] 在阿力士FTP 服务器建设后,有______个额外用户被加入 (请以阿拉伯数字回答) (2分)

        额外用户加入,查看历史命令和登陆信息。判断应该是ftpd,一个

 

 

         57. [单选题] 根据阿力士FTP服务器设定显示,此服务器是以_____方式连接网络,且是一个_______网络状态 (1分)

        通过取证大师的取证内容,首先是个有线连接(wired ),然后去xways查看具体的配置文件后来才懂私人公开到底是啥意思,应该是外网内网的意思,肯定是公网了,所以是公开的

 

         58. [填空题] 阿力士FTP 服务器设定最多使用者数目是_____ (请以阿拉伯数字回答) (2分)

         这个问题第一想到看ftp的配置文件,所以找到该conf文件,在配置文件中找到我们要的答案。(后面发现答案可能不对,详见60题)

        59. [填空题] 阿力士FTP服务器使用Docker安装了一个FTP程序为___________。(例如 space docker /1.1,请输入 spacedocker/1.1,不要输入空格) (2分)

         安装了一个fpt程序的名称,pure-fptd(题目要求不输入空格。不太懂到底格式是怎样的)

         60. [多选题] 阿力士FTP 服务器曾使用过甚么版本的Linux内核? (2分)

        在找这个题的答案时发现了58题的第二个可能答案,在这个路径下发现了一个配置Log文件,\\var\\lib\\docker\\containers\\其中设置了max client数。

好吧找了很久,我以为在docker里面找,结果就在外面\\usr\\src,发现有两个。

        5.11.0-16/5.11.0-37

        61. [多选题] 阿力士FTP 服务器的磁盘分区,有以下哪一种文件系统? (2分)

        Xways直接看就好了。FAT32\\Ext4系统

        

        62. [填空题] 阿力士FTP服务器用户输入了指令_____________去检查现存的Docker容器 (例如 netstat lntp,请输入 netstatlntp,不要输入空格) (3分)

        查看历史命令就好了,熟悉docker命令的话可以一下子就找到,docker container ps -a是列举所有存在的docker容器,不管是运行的还是没运行的。

 

        

        

 

 

        


 

以上是关于2021年第七届“美亚杯”电子数据取证个人赛Write up的主要内容,如果未能解决你的问题,请参考以下文章

2016第二届美亚杯电子数据取证(个人赛)

2019美亚杯个人赛

2020美亚杯个人赛

第一届美亚杯

2021年长安杯电子数据取证比赛复盘完整版(wp)

北京2019年第七届国际教育装备(展览会)