IT_NOTEBOOK部分
13.根據鏡像文件 "IT_Notebook.E01" 的內容,回答關於榮科數碼(RKD)的筆記本計算機的問題。榮科數碼(RKD)的筆記本計算機,其操作系統共有多少個可登錄用戶?
這個用取證大師跑一下 送分(命題
14.該筆記本計算機硬盤的第5分區為Bitlocker加密盤,尋找相關的恢復密鑰。該密鑰最后一組數字為?
我們知道bitlocker密鑰的格式是固定的 48個數字 每六個中間用"-"隔開 我們可以用正則進行原始數據搜索
15.該筆記本計算機硬盤的操作系統是什么?
用取證大師跑一下 送分的
16.黑客是通過什么方式入侵該筆記本計算機的操作系統?
看到幾千條的斷開連接記錄 就知道了 況且這個BLACK-I在上一部分太顯眼了 不確定的話可以打開遠程桌面日志仔細看
17.接上題,黑客是通過哪個網絡地址(IP Address)入侵該榮科數碼的操作系統?
看上圖的ip地址 192.168.7.102
18.接上題,黑客首次成功入侵該操作系統的日期時間?
暴力破解遠程桌面肯定暴力撬開密碼了 所以可以查看這個ip的遠程第一次連接成功時間 就是黑客成功入侵的時間 送分 不過要注意時間是否要轉換
19.接上題,黑客用於入侵該操作系統的工作站名稱?
BLACK-I不用多說
20.黑客在該筆記本計算機的Windows資源管理器(Windows Explorer)中曾搜尋過的文字?
講道理我還頭一次見到這個知識點(?
21.入侵該筆記本計算機后,黑客透過命令提示符(cmd)執行某些命令,緊接生成了什么文件?
這題算是半猜的 畢竟這三個文件都有可能是cmd執行生成的 去搜索了一下 選項里面每一個文件的位置都一樣 生成時間上也很接近 所以就都選上了
22.從筆記本計算機中,尋找黑客的命令控制服務器(C&C服務器)的網絡位置?
好像是第一部分里面我們知道 黑客是通過FTP協議傳輸文件的(有點忘了 那肯定在這個電腦里面要找一下FTP的相關文件
23.黑客在該筆記本計算機系統通過什么形式鏈接命令控制服務器(C&C服務器)?
上一題講了
24.黑客從命令控制服務器(C&C服務器)下載過什么檔案到該筆記本計算機?
這題挺奇怪的 說是PC鏡像 但是得從C2服務器的日志里面找 之前做第一部分C2服務器的時候有印象 黑客Download了iepv.zip這個文件 應該說這幾個選項里面就他被下載了
25.黑客從筆記本計算機的網絡瀏覽器Internet Explorer下載過什么檔案?
這題查看瀏覽器下載記錄就行了 不截圖了
26.黑客入侵該筆記本計算機系統后,曾安裝過什么軟件?
這題還挺有意思 之前我們知道了黑客入侵成功該計算機的時間 我們發現11月1號15點31分之后 就只有OneDrive和7z被安裝了 然后上題也知道了黑客從網頁上面下載了7z安裝包
27.在筆記本計算機中,黑客執行程序\Users\Administrator\Desktop\netscan_portable\64-bit\netscan.exe的具體時間? (答案格式 -“本地時間":YYYY-MM-DD HH:MM:SS +8)
這題也挺坑的 按理來說最正確的做法應該是要從C2服務器里面導出這個exe文件(因為PC端的被刪了 然后在拉到軟件里面分析 然后這里發現 搜索netscan之后 在應用程序運行痕跡里面 只有這個pf文件 沒有netscan.exe文件的痕跡 推測應該跟word文檔執行之后生成lnk文件一個道理 選創建時間
28.2018年11月1日16:06,在筆記本計算機中有多少個關於網絡信息的檔案被黑客建立?
這題是真不會做 大佬們還請指點指點
29.在筆記本計算機中,黑客執行程序\Users\Administrator\Desktop\iepv\iepv.exe的具體時間? (答案格式 -“本地時間":YYYY-MM-DD HH:MM:SS +8)
這題跟27題一個道理 就不再贅述了
30.接上題,執行程序iepv.exe涉及什么dll文件?
也是得導出 然后拖進軟件里面分析一遍 或者是導出了之后在虛擬機里面跑一遍
31.接上題,緊接程序iepv.exe執行后,有什么檔案被建立,該檔案哈希值(MD5)為?
同27題
32.在筆記本計算機中,黑客曾執行程序\Users\Administrator\Downloads\mimikatz_trunk\x64\mimikatz.exe多少次?
這個也是基本的 取證大師搜一下就行了
33.接上題,執行上述mimikatz.exe后,黑客曾經輸入了什么命令符?
這題還挺牛 題目選項字打錯了(也許是我這邊題目下載的就是錯的 首先找到軟件 然后看到了他的日志文件 嘶 打開就是答案了
34.接上題,mimikatz.exe執行上述命令符后,哪項信息可被黑客用作破解該系統其他用戶的密碼?
這題做題的時候也是滿臉的不爽 有點想打出題人 首先題目有兩個關鍵詞 一個是破解 一個是其他用戶
看得出來黑客破解的是Adminbalabalabala這個用戶(看ip 然后其他用戶 發現只有auxsup了(應該吧我懶得找了 懶狗實錘 然后還是在那個.log文件里面查看日志
AC選項不是auxsup這個用戶的 只剩下CD然后一個比較坑的知識點就是 題目說要能供黑客破解 SHA1密碼是不能破解的 所以只能選那個NTLM加密的密碼 一時語塞
35.接上題,續上述mimikatz的結果,該密碼長度為多少字符?
找一個可以解密NTML密碼的網站就行了
36.在筆記本計算機中,黑客是否使用網絡瀏覽器進入過榮科數碼的網絡攝像機(IPCamera)進行瀏覽?如進入過,具體日期及時間為? (答案格式 -“本地時間":YYYY-MM-DD HH:MM:SS +8)
可能瀏覽器的記錄給刪掉了 在瀏覽記錄里面找不到 百度了一下這個INetCache文件夾 了解了這個是一個瀏覽器的臨時文件文件夾 這里面儲存了瀏覽網頁時候的臨時文件 然后注意 黑客在攻破這台電腦的時候使用的是Adminbalabalbala賬號 不是那個auxsup賬號 時間不要選錯了
37.在筆記本計算機中,除網絡瀏覽器外,黑客還通過什么軟件入侵網絡攝像機(IPCamera)?
不會做 個人覺得很可能在第一部分里面 但是由於第一部分鏡像做完了就刪了(? 這題暫時鴿了
38.在筆記本計算機中,黑客從網絡攝像機提取了1個檔案到該系統硬盤,該檔案的哈希值(MD5)為
這題由於37題不會做 剛接觸這題的時候也不會做 但是做完了39題之后就會做了 讀者可以先看看39題
39.接上題,分析上述從網絡攝像機提取的檔案,除賬戶admin外還有什么登陸賬戶發現?
我在做38題的時候 沒找到那個文檔 他這說的太泛了 先做了39 他說的是 這個黑客搞了一個文檔下來 我覺得黑客搞個文檔下來不可能當擺設不看吧 我就去找了下最近訪問的文檔記錄
誒 這個關鍵詞應該很敏感才對 沒錯這個文件看上去就像是camera的用戶列表文件
40.接上題,網絡攝像機可以透過什么方式鏈接多流媒體服務器?
啊這 一時語塞 這個應該是要百度的吧 反正我不會
41.在筆記本計算機中,黑客曾經使用系統的記事本(Notepad)最后開啟的一個文件名稱為?
這個看圖就行
42.在筆記本計算機中,黑客最后把被入侵用戶桌面的檔案全部刪除,具體刪除的日期時間是? (答案格式 -“本地時間":YYYY-MM-DD HH:MM:SS +8)
這個wp是做完好一段寫的 有點忘了 這題當時不會做 現在也沒鏡像了 有可能是在Recycle.bin里面看吧 先鴿了 到時候有空再補
總結
這部分還好 沒有多難的地方 可能就32 33 36 39這幾題稍微有點難 總體難度不大 學會了一點 如果做不動了就看看能不能找到日志文件 還有一點就是要揣測一下嫌疑人的舉動 想想看如果你是他 你把這些文件下下來你會干什么
EOF