18中科复盘 |
您所在的位置:网站首页 › 进程数量 › 18中科复盘 |
Q1 内存镜像取证分析 共100分 有嫌疑人在使用Windows系统浏览网页和QQ聊天,并可能存在打印行为,取证人员对该系统进行了内存镜像。基于内存镜像文件(Q1.Windows7_memory.dd),要求: 1 请分析系统中进程的运行情况,给出正在运行的进程数量。(10分) 2 请找出登录系统中的用户的SID号。(10分) 3 请分析出该系统的启动时间,即开机时间。(10分) 4 请找出正在运行的所有以b开头的进程名(不区分大小写),写出其对应的程序的完整路径。(10分) 5 该系统中的打印服务是否开启,请给出其状态(SERVICE_RUNNING /SERVICE_STOPPED)。(10分) 6 请给出系统联网时使用的IP地址。(10分) 7 请找出监听TCP端口为8088的进程,给出进程名和程序路径。(10分) 8 请给出UDP端口7273的开启时间。(10分) 9 请找出正在上网的进程,列出其建立的所有TCP连接,包括本地和远端的IP地址和端口号。(20分) 1、pslist 2、getsids 3、pslist (system) 4、pslist >1.txt & dlllist 5、(美亚)取证大师工具集内存镜像解析工具解析 & svcscan | findstr print 6、netscan 127.0.0.1是本机地址,任何一台都可以用 一般调试程序时可以用 自己给自己的机子发信息 IP192.168.1.1 是IP的地址 只有一台可以用 7、netscan | findstr 8088 得到进程名和进程号(5800) dlllist -p 5800 8、netscan | findstr 7273 created时间 (注意+8) 注意netscan以后显示的连接有两种连接方式,tcp端口和udp端口 9、netscan | findstr tcp|find listening(established)均可 ,有争议 (established 建立 listening 监听 closed 关闭) Q2 Windows磁盘镜像取证分析 共150分 在某起涉及伪造电子文档的时间属性的案例中,当事人所使用的电脑被取证人员固定,该电脑中的硬盘制作的镜像文件为Q2.Windows_disk.dd,现基于该镜像,请分析如下事项: 10 请通过分析给出该操作系统的详细版本号,以及安装时间。(10分) 11 找出系统最后一次的正常关机时间。(10分) 12 查找最后一次登录系统中的用户账号。(10分) 13 找出所有安装的浏览器名称和对应的安装时间。(10分) 14 查找系统中最后一次使用的QQ号码以及退出时间。(10分) 15 分析各浏览器访问的网页记录,找出最后一次的访问网址。(20分) 16 分析磁盘中是否有文件删除的痕迹,列出被删除的文件名和路径。(20分) 17 检查系统日期和时间有无更改,列出更改的详细情况。(20分) 18 给出在该系统上登录百度网盘的账号名称。(10分) 19 找出曾经连接过该系统的USB移动储存装置(U盘)的最后一次插拔时间。(10分) 20 请找出最后一次通过Word编辑的文档名称和修改时间。(20分) 10、略 注意取证大师内显示的时间都是东八区时间,取证大师自己调整过来了 11、略 12、略 13、系统痕迹\安装软件\其他软件 这里找到4个浏览器下载的记录、跳转到源文件可以发现是从注册表中知道的,加上ie浏览器总共5个。其他的浏览器跳转到源文件可以发现不是从注册表中来的,并且修改时间早于创建时间,因为他是copy进来的,创建时间是对的,修改时间是错的(因为没有修改过,所以修改时间是用了拷贝之前的时间)这几个不算。 14、退出时间得不到,有点问题 15、慢慢找 略 Q3 手机镜像取证分析 共150分 在某起与手机犯罪有关的案件中,嫌疑人声称自己根本就没有用手机做过任何违法的事情,现在他的手机已经被查收,技术人员制作了该手机存储的全盘镜像,镜像文件为mobile.dd。现在要求基于该镜像文件,做以下调查: 21 检材手机data分区的MD5和SHA256哈希值。(20分) 22 检材手机的设备名称和IMEI码。(10分) 23 检材手机连接过的WiFi名称及密码。(10分) 24 找出手机中曾经使用过的QQ号码。(10分) 25 最后一个接通电话的日期、通话号码及时长。(10分) 26 手机中象棋游戏的应用包名称及安装时间。(10分) 27 手机浏览器中搜索过的关键词数量及最后一次搜索的关键词。(10分) 28 2018年使用浏览器访问次数最多的Web网站及其最后访问时间。(20分) 29 手机最后一次的开机时间。(10分) 30 手机中被删除的通话记录条数和其中通话次数最少的未接电话号码。(20分) 31 该手机在某个时间后没有再收发过短、彩信,找出这个时间。(10分) 32 手机曾进行过数据恢复操作,请找出最后一次数据恢复完成的时间。(10分) 没有什么值得记录的,简单题,弘连美亚都可以做 Q4 加密磁盘分析 背景: 夜深了,但不是每个人都睡了,财务小Y还在加班。事务终于处理完了,小Y起身准备回家,环顾四周,他发现办公室只有他一个人。想着,公司明天就要派发股票了,而每人派发股票的数量,完全根据财务电脑上的一个文件决定,而该文件放在一个加密磁盘里。而且小Y也知道要访问那个文件的密码,同时还知道有部分假密码存放在某个网址上,这些假密码虽然也可以打开加密磁盘,但不能访问到真正的绝密文件。 小Y首先用知道的密码打开了《股票分配书——绝密.xls》,在看完文件后,小Y先把原文件打包发送到自己的服务器上,而后偷偷的改了个数字,并且熟练地摁了下Ctrl+S。正准备离开时,小Y感觉这样好像很容易被发现,能不能再做点其他操作混淆一下?想了想,小Y再次坐了下来,打开存放密码的网址,获取到密码后,打开了一个跟之前不同的《股票分配书——绝密.xls》。 正在这时老板突然出现了,小Y手忙脚乱的把excel关闭了,但完全来不及关掉所有窗口。而他们老板刚好是个取证高手,迅速固定了现场,提取了正在运行的财务电脑中的内存数据、加密盘数据,保存成两个镜像文件:Q4.crypted_disk.vhd 和Q4.Windows_XP_XP3_memory.dd。 作为取证分析人员的你,需要对提取到的数据进行以下分析: 共200分 33 获取小Y使用的浏览器及对应的进程号PID。(10分) 34 找到小Y访问过的存放密码的网址,得到其中的flag。(20分) 35 获取财务电脑上加密磁盘使用的加密软件名称。(10分) 36 找出小Y最后打开的假的《股票分配书——绝密.xls》文件的密码。(10分) 37 小Y最后打开的假的《股票分配书——绝密.xls》文件里有个flag,找到它。(10分) 38 分析获取小Y使用的财务电脑的账号。(10分) 39 分析并得到小Y使用的财务电脑的密码。(20分) 40 小Y通过网络发送了某个文件,分析其发往何处,得到目的地址。(20分) 41 小Y发送的文件中有个flag,找到它。(30分) 42 小Y得到真正的绝密文件时,使用了解密密钥;请在内存镜像中查找用来解密的密钥信息。(30分) 43 分析获取被改了数字的《股票分配书——绝密.xls》文件,对比发出去的文件,得到被修改数据的前后数字。(30分) 33、pslist 34、iehistory 35、pslist找找 36、在有内存镜像和加密盘镜像的情况下用passware可以得到脱密的结果,得到一个密码就是结果 加密盘若得到了密码可以用vc工具挂载后打开(无密码的可以直接挂载),发现盘中文件可以直接打开,故得到的密码就是文件的密码 37、同上挂载后可得flag 38、39、passware的memory analysis可以分析内存中存在的账号和密码 40、41、因为pslist中发现了nc.exe,故用cmdscan查看终端命令记录,其中的nc就是远程连接命令,可以看到向目标路径传输了什么东西 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |