題目鏈接:https://www.freebuf.com/company-information/190645.html
1~7 :
在證據文件硬盤信息中,第3題提問的是開始邏輯區塊地址,用32,213,303,296/512=62,916,608。
8:
注意UTC是世界時。
9~10:
11~12:
13:
14:
15:
16:
都是斷開連接的記錄,說明遠端登入系統未開啟。
17:
18:
19:
20:
時間似乎存在一點差異?
21:
22:
我是根據Firefox的記錄最多來推測它是默認瀏覽器的,謙謙是根據發郵件的瀏覽器來判斷的(不過這個位置點我還沒找到)。
23~24:
25:
26:
27:
28:
29:
30~31:
32:
根據東八區,-8小時
33:
34
猜想更改主機名前會在系統內進行一些操作,會留下系統日志,翻找更改系統的一些日志,發現賬戶名,並且賬戶域也屬於WORKGROUP
35:
參考了日志分析的策略更改內容,似乎沒找到一致的答案。
36:
37:
雖然這里給的是2018-10-29,但從收件箱的上一級看到的卻是2018-10-31。
38:
39
可以看到,在郵件中有許多IP地址
發件人的IP地址,線上查詢可以查詢到屬於美國
郵件中轉IP中,10.152.64.xxx屬於本地局域網內轉發
而220.246.55.13,經查詢屬於中國香港特別行政區
而最后的IP 74.208.4.200 也屬於美國
說明郵件在發送過程中被IP為220.246.55.13劫持並中轉回收件人
所以勒索郵件的IP地址為220.246.55.13
40:
不確定取證大師中是否有渠道能獲得MD5,但可以通過提取該文件,在localhost上計算其MD5。
41:
42:
是因為病毒文件是jar嗎?
43~44:
45:
46:
應該是要找這個Microsoft-Windows-Time-Service,可以看到后面就有對應時間服務器。(但這些信息特別多,直接找不太容易,可能用實時搜索查Microsoft-Windows-Time-Service這個會快些)。
47:
可參考48題,發現法證人員使用了Magnet RAM Capture.exe這個軟件,這是一個內存鏡像工具,故推測答案為制作內存鏡像檔。
48:
2018-11-02下午6時25分之后的。
49~50:
思路:查找2018-11-02 18:30:44(即法證人員使用了內存鏡像工具)之后運行的文件,在最近訪問的文檔中發現可疑文件(前面有創建時間的因時間對不上都已經排除,剩下這些沒有創建時間的)。
右鍵選擇跳轉到源文件即可得到其創建時間為2018-11-02 18:31:09,符合條件,得出答案。