“美亚杯”第二届中国电子数据取证大赛答案解析(团体赛)

news2024/11/19 13:38:48

1. 根据所提供的文件,在映像文件的采集过程中,曾使用那一种的写入保护设备?

A)软件写入保护设备

B)WiebeTech写入保护设备

C)EPOS写入保护器

D)Tableau取证工具SATA / IDE Bridge IEEE 1394 SBP2Device

E)ICS drive lock

取证过程中,镜像文件需要与源文件保持完全一致,所以写入设备的信息绝对不可能存在于镜像文件内部,所以我们的着手对象应该是证据材料或者案情简介,在其中寻找相关设备的使用信息。

我们在证据文件中发现了一个同名txt文件,打开即可发现其为写入设备和所制作镜像的基本信息,得到本题的答案。(一般镜像的制作软件和基本信息都会单独保存在镜像文件夹下)

2.根据映像文件中的主引導記錄(MBR),那个偏移量表示驱动器处于活动的或可启动的状态?

(答案格式-十进制: 2000000000)

驱动器的状态储存在MBR结束标志55 AA 的前64个字节中,一共有四个分区表项,每个分区表项为16个字节,每个分区表项的第一个字节为分区是否活动的标识位(00代表此分区为非活动分区,80代表分区为活动分区)

操作步骤:

选择磁盘文件

选择启动扇区

选择以16进制查看

从55 AA上选四行,开始查找80活动分区

找到分区活动标志80,显示其偏移量为446,格式为十进制446

3据映像文件中的主引導記錄(MBR),那个偏移量指明可启动分区的文件系统类型?(十进制)

(答案格式-十进制: 2000000000)

每个分区表项的第五个字节指明分区的文件系统类型(0B标志文件系统类型为FAT32,04标志文件系统类型为FAT16,07标志文件系统类型为NTFS)

80标志活动分区,该分区表第五字节标志文件系统类型

07标志该活动分区的文件系统类型为NTFS,偏移量为450

4. 包含操作系统的分区,每个簇包含几个扇区(sectors per cluster)?(答案格式:64 sectors)

每簇扇区数 = 每簇字节数/每扇区字节数

查看分区内文件,查找Windows文件夹,发现Windows文件夹在第二分区,即包含操作系统的分区为第二分区

选择磁盘,查看摘要可以看到扇区大小为512字节,我们可以通过X-ways查看第二分区的簇的大小为4096字节,通过计算得每簇扇区数为4096/512=8个

5. 在系统文件“SOFTWARE"中,找出网卡的名称。

A)   Intel(R) Ethernet Connection 英特尔(R)以太网连接

B)   Intel(R) Gigabit CT Desktop Adapter英特尔(R)千兆CT桌面适配器

C)   Thunderbolt Gigabit Ethernet Adapter迅雷千兆以太网适配器

D)   Realtek PCIe GBE Family Controller瑞昱PCIe网卡家庭控制器

E)    以上都不是

在X-ways中我们通常先过滤出注册表文件,右键打开,使用SOFTWARE报告模板打开,使用ctrl + f搜索得到答案。

我们在取证大师中可以直接由自动取证得到答案

在系统痕迹中,选择系统信息,找到网络配置,查看网络适配器

按照适配器类型排序,查看有线物理网卡,即可找到其网卡名称

6. Windows用户“Home"的最后一次登录时间是什么?

(答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC)

A)   2015-11-21 03:47 UTC

B)   2016-09-14 06:40 UTC

C)   2016-10-07 02:28 UTC

D)   2016-10-07 10:28 UTC

E)    2016-10-07 18:28 UTC

通过取证大师的自动取证,我们可以在系统信息,用户信息中找到用户的登陆时间

但此时需注意,答案的格式为UTC世界协调时,所以我们还需要查看用户所在的时区来确定用户最后登录的确切时间

可以在时区信息中找到电脑设置的时区信息

我们可以看到电脑的时区信息为UTC+8:00,所以Home登录的最后时间应该为

2016-10-07 02:28 UTC

7. 文件“W87D08.tmp"真实的文件类型是什么?

A)   Bitmap

B)   JPEG

C)   TIFF

D)   PNG

E)    TMP

在取证大师中,我们可以直接在证据文件中搜索文件W87D08.tmp

但是我们并没有找到任何符合的文件

此时我们猜想可能是文件名存在部分缺失,于是我们使用通配符匹配一半的文件名

尝试搜索w87*.tmp 现真实文件名应该为W87Dk08.tmp

我们查看其十六进制文本,以确定其真实文件类型

我们查看其文件签名可知,其真实文件类型为JPEG文件。

8. 能否在Hugo的图片库中找出任何由三星智能手机SM-G900F拍摄的图片?如有,请提供该图片的MD5哈希值。

我们可以在取证大师自动分析的文件分析中找到照片Exif信息分析

我们可以找到一张由SM-G900F拍摄的图片

右键跳转到源文件,查看文件路径发现此文件确实属于hugo,即说明此照片为我们的目标照片。

右键计算当前文件的hash值即可

其MD5哈希值为1F7381FB0B70306FDCCFAB1347E359DC

搜索文件名,找到后跳转源文件查看内容

C:\Users\Mike\Downloads\129291247_14744161623071n.jpg.

在mike的文件夹下查找*.Jpg 翻看发现hello.jpg里面包含证据字样

在home路径下过滤*.jpg文件,考虑到垃圾图片的干扰,在文件路径处选择排序,拉到最下面发现两张带有证据的图片

 

按照字母排序

03FDA37C953B0BDC6B640E06B8E42BA7

BC463B52F1663F0808C7BF0719A945D6

这题思路和上一题一样2C0C33DB59A36F0FA7CBEF9A7990FB22

CD分区都没有找到,在磁盘E:$Recycle.bin里查找到

题目中提到文件包含,那么考虑能包含的多为压缩包zip、rar、文档doc、docx、pdf等文件里可以包含,在hugo文件夹下查找*.docx文件,发现在洪水攻击.docx中出现证据相关图片

直接文件名过滤“证据”2016-10-06 07:10:27(UTC)

打开文件查看内容发现其指向.F:\Pictures\证据.jpg

直接在取证大师文件分析/加密文件里过滤文件名(EFS Encrypt)

19. 根据上述问题,需要什么类型的文件扩展名才能打开该文件?

(选择所有正确答案)

A) cyp

B) aes

C) afs3

D) pfx

E) sef

F) cer

G) p7b

H) sst

通过百度得到

证书(CER后缀的文件)和私钥(PFX后缀的文件)

20. 根据上述问题,那一个注册表文件包含使用者的证书指纹?

(答案格式:123.abc)

NTUSER.DAT

21. 根据上述问题并分析该注册表文本,如该注册表文件包含证书指纹,那么记录证书指纹的位置在那里?

(答案格式:SAM\Domains\Account\Users\Guest)

\NTUSER\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys

22. 默认打印机是?

(答案格式:Kyocera FS-4200DN)

我们在用户痕迹打印信息中仅找到一台打印机的痕迹

23. 根据注册表,那里显示当前使用的控件组(control set)??

(答案格式:SAM\Domains\Account\Users\Guest)

\SYSTEM \ControlSet001\Control

24. 根据上述问题,请指明包含计算机名称的位置。

(答案格式:SAM\Domains\Account\Users\Guest)

\SYSTEM \ControlSet001\Control\ComputerName

25. 通过使用注册表文件“SYSTEM",找出系统中所有的USB设备?

(选择所有正确答案)

A)     LGE Android Platform USB Device

B)     WD My Passport 0827 USB Device

C)     WD My Passport 9354 USB Device

D)     Fujitsu U Disk USB Device

E)     CBM Flash Disk USB Device

F)      General U Disk USB Device

G)     WD SES Device USB Device

H)     Seagate SES Device USB Device

在USB设备使用痕迹中查找

你会获得一个包含Jason电脑硬盘的镜像文件,其文件名为“Competition_HD2.E01”,该文件是由AccessData FTK Imager采集而来的。

Part B: General questions of Jason’s computer hard disk (Total 19 marks)

第B部份︰关于Jason计算机硬盘的一般问题(共19分)

26.你能找到多少个硬盘分区?

A)     1

B)     2

C)     3

D)     4

E)     5

27.Jason的iPhone曾连接到计算机上,请问第一次使用日期是什么时候?

(答案格式 -“世界协调时间":YYYY-MM-DD)

28. 找出作者名含有字串“HDJ:KIUHF"的文件,并指出该文件內有多少行程序代码?

A) 317

B) 362

C) 323

D) 388

E) 7260

29. 根据上述问题,该档案名称是什么?

(答案格式:123.abc)

30. 根据上述问题,该档案所含的程序代码有什么功能?

A)     要求输入密码

B)     包含解密功能

C)     如密码正确,計算机会被入侵

D)     密码错误,请重新输入

E)     强行关机

F)      开启远端控制程式

31. 找出 “网站DDOS压力TEST.exe"的档案,请问该档案的MD5哈希值是?

32. 请问在Jason计算机的桌面上是否发现了任何拒绝服务(DoS)/分布式拒绝服务攻击(DDoS)工具?如有请提供该工具的名称。

(答案格式:ToolName.exe)

安卓手机部分

 

直接在取证大师里查看大小:2.4G,系统类型:EXT4

分区大小11.8G,分区类型EXT4。直接在取证大师里点开分区userdata即可查看

 

YES

查看分区列表

  

/system/app(应该是/app?)

jasonforensics@qq.com

文件名称过滤,用数据库软件打开

 

1条,在message表里面

1473906025000@email.android.com

2016-09-15  02:20:25 UTC标准时间

先用字符串搜索无果,考虑可能照片里有,结果发现确实有一张

题目说下载文件夹,考虑download文件夹,查看发现media\0\Download下的两个文件

查看jason和hugo的微信聊天记录,共计10条

直接在Jason和hugo的微信聊天记录里找
http://bbs.kafan.cn/thread-1863965-1-1.html

取证大师文件名称过滤*.jpg,时间过滤2016-10-05 23:59:59以前,发现一张截图

取证大师文件路径过滤media,文件名过滤.jpg查看发现涉枪图片

 

题目问的现在有多少联系人,不考虑删除的,还剩6个

直接查看删除的联系人

取证大师直接查看

查看系统痕迹,USB使用痕迹 2016-09-19 16:35:35(UTC + 8)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/82167.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

内容完美!阿里技术官21年新肝出了一份MySQL笔记+面试题

目录 共有12个章节的内容,看大标题就知道全部都是MySQL的重要知识! 内容过多,没有办法全部展示 部分内容截图 Mysql权限 MySql数据类型 锁 业务设计 索引与执行计划 MySQL面试笔记 面试笔记分为6章,分别是MySQL基础篇、MySQL索引…

【脚本项目源码】Python制作多功能音乐播放器,打造专属你的音乐播放器

前言 本文给大家分享的是如何通过利用Python实现多功能音乐播放器,废话不多直接开整~ 开发工具 Python版本: 3.6 相关模块: os模块 sys模块 time模块 random模块 PyQt5模块 环境搭建 安装Python并添加到环境变量,pip安…

Pro_12丨为股指而战

量化策略开发,高质量社群,交易思路分享等相关内容 『正文』 ˇ 大家好,今天我们分享2022年度最后一期策略——股指专属策略。本期策略是2022年专门为股指而开发的专属策略,算是我个人对明年的一厢情愿吧! 该策略由超…

剑指Serverless, 入围Forrester Wave, 6.5 LTS 预览,TiDB 多元数据生态再升级 | PingCAP DevCon 2022

2022 年 12 月 1 日 - 3 日,由 PingCAP 主办的年度数据技术盛会 PingCAP DevCon 2022 在线上成功举行。本届 DevCon 以 "去发现,去挑战" 为主题,邀请了多位行业意见领袖、专家学者和 70 多位来自全球的技术大咖聚焦云原生、HTAP、S…

打造家居建材企业核心竞争力,数商云SCM管理系统高效高质满足企业采购需求

随着消费水平的提高和消费观念的升级,中国房地产市场从增量时代走向存量时代,作为家居建材家装业的上游,房地产行业的变动影响着家居建材行业的发展。当前家居建材行业正处于调整分化、转型升级的关键时期,也是创新动力最强的时期…

Docker-数据卷(Data Volumes)dockerfile

目录 一,宿主机与容器之间的文件拷贝 1.1 容器中怎么上传项目(文件) 1.2 从宿主机拷贝文件到容器 1.3 从容器中拷贝文件到宿主机 二 数据卷 三 数据卷容器 四 Dockerfile Dockerfile制作增强版 自定义centos 具备vim以及ifconfig Dock…

nodejs+vue农产品进销存管理系统

摘 要 I ABSTRACT II 目 录 II 第1章 绪论 1 1.1背景及意义 1 1.2 国内外研究概况 1 1.3 研究的内容 1 第2章 相关技术 2 2.5 MySQL数据库 3 第3章 系统分析 4 3.1 需求分析 4 3.2 系统可行性分析 4 3.2.1技术可行性:技术背…

Python进阶学习

Python进阶学习 参考资料: AILearning菜鸟教程python之platform模块 python-version: 3.9 使用Jupyter进行练习 一、sys模块 import sys命令行参数 sys.argv 显示传入的参数: %%writefile print_args.py import sys print(sys.argv)Writing print_a…

达摩院开源低成本大规模分类框架FFC CVPR论文深入解读

一、论文&代码 论文链接:An Efficient Training Approach for Very Large Scale Face Recognition 应用&代码: https://modelscope.cn/models/damo/cv_ir50_face-recognition_arcface/summary https://modelscope.cn/models/damo/cv_resnet_f…

使用ONNXRuntime部署阿里达摩院开源DAMO-YOLO目标检测,一共包含27个onnx模型(代码开源)...

2022点击蓝字 关注我们关注并星标从此不迷路计算机视觉研究院学习群|扫码在主页获取加入方式获取代码|关注并回复“onnx部署”01概述ONNXRuntime是微软推出的一款推理框架,用户可以非常便利的用其运行一个onnx模型。ONNXRuntime支持多种运行后…

深入理解 equals() 方法以及与 == 的区别

当使用 判断两个变量是否相等时 如果两个变量是基本类型的变量,且都是数值类型,只要两个变量的数值相等,则返回 true 对于两个引用类型变量, 比较的是变量(栈)内存中存放的对象的(堆)内存地址,用来判断两个对象的地址…

vue+element-ui el-date-picker日期组件再次封装(DatePicker与DateTimePicker合并根据type值来显示)

1、最终效果 2、TDatePicker 参数配置 1、简介&#xff1a;基于 ElementUI DatePicker DateTimePicker 组件的二次封装&#xff0c;取决于 type 值 代码示例&#xff1a; <t-date-picker v-model"date" />2、t-date-picker&#xff08;Attributes&#xff0…

【AI工程论文解读】05-通过Ease.ML/CI实现机器学习模型的持续集成(下)

持续集成是一种软件开发实践&#xff0c;即团队开发成员经常集成他们的工作&#xff0c;通常每个成员每天至少集成一次&#xff0c;也就意味着每天可能会发生多次集成。每次集成都通过自动化的构建&#xff08;包括编译&#xff0c;发布&#xff0c;自动化测试)来验证&#xff…

cmake基础

cmake从基础到实站 cmake官方教程翻译版 CMake Cookbook中文版 cmake 备忘录 需要注意的一点&#xff1a;QT6采用cmake作为编译系统 CMake是一种跨平台编译工具&#xff0c;CMake主要是编写CMakeLists.txt文件&#xff0c;然后通过cmake命令将CMakeLists.txt文件转化为make所需…

如何理解数据库事务?

目录 &#x1f407;今日良言:保持热爱 奔赴山河 &#x1f409;一、数据库事务 &#x1f433;1.概念 &#x1f433;2.使用 &#x1f433;3.特性 &#x1f407;今日良言:保持热爱 奔赴山河 &#x1f409;一、数据库事务 &#x1f433;1.概念 事务指逻辑上的一组操作&…

学生体育铅球网页设计作品静态HTML网页模板源码 大学生体育铅球网站制作 简单校园体育网页设计成品

&#x1f389;精彩专栏推荐 &#x1f4ad;文末获取联系 ✍️ 作者简介: 一个热爱把逻辑思维转变为代码的技术博主 &#x1f482; 作者主页: 【主页——&#x1f680;获取更多优质源码】 &#x1f393; web前端期末大作业&#xff1a; 【&#x1f4da;毕设项目精品实战案例 (10…

[附源码]JAVA毕业设计医院远程诊断系统(系统+LW)

[附源码]JAVA毕业设计医院远程诊断系统&#xff08;系统LW&#xff09; 项目运行 环境项配置&#xff1a; Jdk1.8 Tomcat8.5 Mysql HBuilderX&#xff08;Webstorm也行&#xff09; Eclispe&#xff08;IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持&#xff09;。 项目技术…

SQLServer性能排查之CPU使用率过高的问题

【背景】 华北某SQLServer数据库从12月起出现CPU使用率过高的情况&#xff0c;一直未能够找到原因。当时电话简单将思路进行分享&#xff0c;反馈SQLServer中出现CPU使用率过高有许多可能原因&#xff0c;但常见的原因如下最为常见&#xff1a; 由于以下情况&#xff0c;表或…

【数据结构】跳表Skiplist

文章目录跳表--skiplistskiplist的概念skilplist的原理skilplist的实现随机值函数跳表节点跳表框架查找函数寻找前置节点添加元素删除元素打印链表测试结果Skiplist与其他Key-Value结构的比较跳表–skiplist skiplist的概念 skiplist本质上也是一种查找结构&#xff0c;用于解…

产品待办列表梳理(PBR)是什么?

产品待办列表(PBL)是Scrum框架下最重要的一个工件(Artifact)&#xff0c;产品待办列表的梳理(Product backlog Refinement-PBR)也是一个重要的活动&#xff0c;它不同于Scrum的3-3-5-5。仔细阅读Scrum指南&#xff0c;对产品待办列表梳理活动的描述是有限的&#xff1a; “只有…