Q1

内存镜像取证分析

共100分

有嫌疑人在使用Windows系统浏览网页和QQ聊天，并可能存在打印行为，取证人员对该系统进行了内存镜像。基于内存镜像文件（Q1.Windows7_memory.dd），要求：

1

请分析系统中进程的运行情况，给出正在运行的进程数量。（10分）

2

请找出登录系统中的用户的SID号。（10分）

3

请分析出该系统的启动时间，即开机时间。（10分）

4

请找出正在运行的所有以b开头的进程名（不区分大小写），写出其对应的程序的完整路径。（10分）

5

该系统中的打印服务是否开启，请给出其状态（SERVICE_RUNNING /SERVICE_STOPPED）。（10分）

6

请给出系统联网时使用的IP地址。（10分）

7

请找出监听TCP端口为8088的进程，给出进程名和程序路径。（10分）

8

请给出UDP端口7273的开启时间。（10分）

9

请找出正在上网的进程，列出其建立的所有TCP连接，包括本地和远端的IP地址和端口号。（20分）

1、pslist

2、getsids

3、pslist （system）

4、pslist >1.txt         &         dlllist

5、（美亚）取证大师工具集内存镜像解析工具解析     &   svcscan | findstr print

6、netscan

127.0.0.1是本机地址，任何一台都可以用 一般调试程序时可以用 自己给自己的机子发信息 IP192.168.1.1 是IP的地址 只有一台可以用

7、netscan | findstr 8088  得到进程名和进程号（5800）

dlllist -p 5800

8、netscan | findstr 7273      created时间 （注意+8）

注意netscan以后显示的连接有两种连接方式，tcp端口和udp端口

9、netscan | findstr tcp|find listening（established）均可 ，有争议 （established  建立  listening  监听  closed  关闭）

Q2

Windows磁盘镜像取证分析

共150分

在某起涉及伪造电子文档的时间属性的案例中，当事人所使用的电脑被取证人员固定，该电脑中的硬盘制作的镜像文件为Q2.Windows_disk.dd，现基于该镜像，请分析如下事项：

10

请通过分析给出该操作系统的详细版本号，以及安装时间。（10分）

11

找出系统最后一次的正常关机时间。（10分）

12

查找最后一次登录系统中的用户账号。（10分）

13

找出所有安装的浏览器名称和对应的安装时间。（10分）

14

查找系统中最后一次使用的QQ号码以及退出时间。（10分）

15

分析各浏览器访问的网页记录，找出最后一次的访问网址。（20分）

16

分析磁盘中是否有文件删除的痕迹，列出被删除的文件名和路径。（20分）

17

检查系统日期和时间有无更改，列出更改的详细情况。（20分）

18

给出在该系统上登录百度网盘的账号名称。（10分）

19

找出曾经连接过该系统的USB移动储存装置(U盘)的最后一次插拔时间。（10分）

20

请找出最后一次通过Word编辑的文档名称和修改时间。（20分）

10、略 注意取证大师内显示的时间都是东八区时间，取证大师自己调整过来了

11、略

12、略

13、系统痕迹\安装软件\其他软件

这里找到4个浏览器下载的记录、跳转到源文件可以发现是从注册表中知道的，加上ie浏览器总共5个。其他的浏览器跳转到源文件可以发现不是从注册表中来的，并且修改时间早于创建时间，因为他是copy进来的，创建时间是对的，修改时间是错的（因为没有修改过，所以修改时间是用了拷贝之前的时间）这几个不算。

14、退出时间得不到，有点问题

15、慢慢找

略

Q3

手机镜像取证分析

共150分

在某起与手机犯罪有关的案件中，嫌疑人声称自己根本就没有用手机做过任何违法的事情，现在他的手机已经被查收，技术人员制作了该手机存储的全盘镜像，镜像文件为mobile.dd。现在要求基于该镜像文件，做以下调查：

21

检材手机data分区的MD5和SHA256哈希值。（20分）

22

检材手机的设备名称和IMEI码。（10分）

23

检材手机连接过的WiFi名称及密码。（10分）

24

找出手机中曾经使用过的QQ号码。（10分）

25

最后一个接通电话的日期、通话号码及时长。（10分）

26

手机中象棋游戏的应用包名称及安装时间。（10分）

27

手机浏览器中搜索过的关键词数量及最后一次搜索的关键词。（10分）

28

2018年使用浏览器访问次数最多的Web网站及其最后访问时间。（20分）

29

手机最后一次的开机时间。（10分）

30

手机中被删除的通话记录条数和其中通话次数最少的未接电话号码。（20分）

31

该手机在某个时间后没有再收发过短、彩信，找出这个时间。（10分）

32

手机曾进行过数据恢复操作，请找出最后一次数据恢复完成的时间。（10分）

没有什么值得记录的，简单题，弘连美亚都可以做

Q4

加密磁盘分析

背景：

夜深了，但不是每个人都睡了，财务小Y还在加班。事务终于处理完了，小Y起身准备回家，环顾四周，他发现办公室只有他一个人。想着，公司明天就要派发股票了，而每人派发股票的数量，完全根据财务电脑上的一个文件决定，而该文件放在一个加密磁盘里。而且小Y也知道要访问那个文件的密码，同时还知道有部分假密码存放在某个网址上，这些假密码虽然也可以打开加密磁盘，但不能访问到真正的绝密文件。

小Y首先用知道的密码打开了《股票分配书——绝密.xls》，在看完文件后，小Y先把原文件打包发送到自己的服务器上，而后偷偷的改了个数字，并且熟练地摁了下Ctrl+S。正准备离开时，小Y感觉这样好像很容易被发现，能不能再做点其他操作混淆一下？想了想，小Y再次坐了下来，打开存放密码的网址，获取到密码后，打开了一个跟之前不同的《股票分配书——绝密.xls》。

正在这时老板突然出现了，小Y手忙脚乱的把excel关闭了，但完全来不及关掉所有窗口。而他们老板刚好是个取证高手，迅速固定了现场，提取了正在运行的财务电脑中的内存数据、加密盘数据，保存成两个镜像文件：Q4.crypted_disk.vhd 和Q4.Windows_XP_XP3_memory.dd。

作为取证分析人员的你，需要对提取到的数据进行以下分析：

共200分

33

获取小Y使用的浏览器及对应的进程号PID。（10分）

34

找到小Y访问过的存放密码的网址，得到其中的flag。（20分）

35

获取财务电脑上加密磁盘使用的加密软件名称。（10分）

36

找出小Y最后打开的假的《股票分配书——绝密.xls》文件的密码。（10分）

37

小Y最后打开的假的《股票分配书——绝密.xls》文件里有个flag，找到它。（10分）

38

分析获取小Y使用的财务电脑的账号。（10分）

39

分析并得到小Y使用的财务电脑的密码。（20分）

40

小Y通过网络发送了某个文件，分析其发往何处，得到目的地址。（20分）

41

小Y发送的文件中有个flag，找到它。（30分）

42

小Y得到真正的绝密文件时，使用了解密密钥；请在内存镜像中查找用来解密的密钥信息。（30分）

43

分析获取被改了数字的《股票分配书——绝密.xls》文件，对比发出去的文件，得到被修改数据的前后数字。（30分）

33、pslist

34、iehistory

35、pslist找找

36、在有内存镜像和加密盘镜像的情况下用passware可以得到脱密的结果，得到一个密码就是结果

加密盘若得到了密码可以用vc工具挂载后打开（无密码的可以直接挂载），发现盘中文件可以直接打开，故得到的密码就是文件的密码

37、同上挂载后可得flag

38、39、passware的memory analysis可以分析内存中存在的账号和密码

40、41、因为pslist中发现了nc.exe，故用cmdscan查看终端命令记录，其中的nc就是远程连接命令，可以看到向目标路径传输了什么东西