题目链接:https://www.freebuf.com/company-information/190645.html
1~7 :
在证据文件硬盘信息中,第3题提问的是开始逻辑区块地址,用32,213,303,296/512=62,916,608。
8:
注意UTC是世界时。
9~10:
11~12:
13:
14:
15:
16:
都是断开连接的记录,说明远端登入系统未开启。
17:
18:
19:
20:
时间似乎存在一点差异?
21:
22:
我是根据Firefox的记录最多来推测它是默认浏览器的,谦谦是根据发邮件的浏览器来判断的(不过这个位置点我还没找到)。
23~24:
25:
26:
27:
28:
29:
30~31:
32:
根据东八区,-8小时
33:
34
猜想更改主机名前会在系统内进行一些操作,会留下系统日志,翻找更改系统的一些日志,发现账户名,并且账户域也属于WORKGROUP
35:
参考了日志分析的策略更改内容,似乎没找到一致的答案。
36:
37:
虽然这里给的是2018-10-29,但从收件箱的上一级看到的却是2018-10-31。
38:
39
可以看到,在邮件中有许多IP地址
发件人的IP地址,线上查询可以查询到属于美国
邮件中转IP中,10.152.64.xxx属于本地局域网内转发
而220.246.55.13,经查询属于中国香港特别行政区
而最后的IP 74.208.4.200 也属于美国
说明邮件在发送过程中被IP为220.246.55.13劫持并中转回收件人
所以勒索邮件的IP地址为220.246.55.13
40:
不确定取证大师中是否有渠道能获得MD5,但可以通过提取该文件,在localhost上计算其MD5。
41:
42:
是因为病毒文件是jar吗?
43~44:
45:
46:
应该是要找这个Microsoft-Windows-Time-Service,可以看到后面就有对应时间服务器。(但这些信息特别多,直接找不太容易,可能用实时搜索查Microsoft-Windows-Time-Service这个会快些)。
47:
可参考48题,发现法证人员使用了Magnet RAM Capture.exe这个软件,这是一个内存镜像工具,故推测答案为制作内存镜像档。
48:
2018-11-02下午6时25分之后的。
49~50:
思路:查找2018-11-02 18:30:44(即法证人员使用了内存镜像工具)之后运行的文件,在最近访问的文档中发现可疑文件(前面有创建时间的因时间对不上都已经排除,剩下这些没有创建时间的)。
右键选择跳转到源文件即可得到其创建时间为2018-11-02 18:31:09,符合条件,得出答案。