Alice_Laptop的部分
P.S.這部分好像得用最新版本取證大師才能跑的出結果 舊版本的好像自動取證結果是0 咱也不知道為啥 咱也不敢問
1.Alice的筆記本計算機已成功被取證並制作成鏡像(Forensic Image), 下列哪個是鏡像的SHA-1哈希值?
這題就不講了吧 這個取證大師跑一下就好了
2.Alice的筆記本計算機安裝了哪個操作系統(Operating System)?
3.在Alice的筆記本, 創建用戶帳戶的SID是甚么?
4.在Alice的筆記本,用戶的最后登錄時間是甚么時候?(本地時間)
5.在Alice的筆記本,最后登錄的用戶名稱是甚么?
上圖可得
6.Alice筆記本計算機的名稱是甚么?
上面這幾題都沒什么好講的 都屬於送分題
7.在Alice的筆記本, 最后登錄的用戶何時更改了Windows登錄密碼? (當地時間)
這個知識點考過好幾次了 用戶更改密碼會在系統日志里面出現 我們不用在日志里面一個個看 我們可以直接搜索關鍵字"密碼"就行了
8.Alice筆記本計算機的時區是甚么?
這種題目也是送分的 不能不會做吧
9.在Alice的筆記本, OS分區的文件系統是甚么?
OS分區一般是C盤 取證大師摘要那邊看一下就行
10.計算機上預設安裝了甚么瀏覽器?
也很簡單 有手就行
11.在Alice的筆記本,哪個是最常用的瀏覽器?
注意噢 是最常用的 不是默認瀏覽器 最常用的瀏覽器我們可以直接通過看瀏覽記錄的條數來判斷 但是如果題目考的是默認瀏覽器 可以仿真 也可以通過查看注冊表信息來找
12.在Alice的筆記本, 最常用的瀏覽器是甚么版本?
這題可能出題人筆誤了 問的是最常用瀏覽器 但是題目選項(我記得是只有IE的版本 可能出題人想表達的是默認瀏覽器的版本吧 拋開這個問題 如果讓你尋找IE瀏覽器的版本號 我們如果說在安裝軟件那邊看不到的話 其實最保險的方法還是仿真(沒錯又是石師傅告訴我的while(1){print("ssfyyds")}) 從program files那邊看到IE版本是IE9 但是如果我們通過仿真的方法 進到系統里會發現IE的版本是IE11 當然還是以仿真為准
13.在Alice的筆記本, Alice瀏覽了哪個在線商店的網站
這題真就是直接在瀏覽器里面找 沒啥好講的
14.在Alice的筆記本, 受害人的信用卡號是甚么?(Ho PCKYI-電子郵件:shy1211@mtzh.gow.tw)
這題看到題目給的一個Hints 看到了一個電子郵件地址 找了一圈沒收獲之后開始從這個郵件出發 在取證大師里面搜索這個郵件地址的前幾位 發現有命中內容 跳到源文件之后發現 這兩個文件都記錄着所有受害者的名字 地址 卡號 密碼
15.在Alice的筆記本, 受害人的信用卡CSC號碼是甚么(何PCKYI-電子郵件:shy1211@mtzh.gow.tw)
在上一題的那個文件里面找一找就行了
16.除了上述在USB 找出ZIP文件,請找出相同ZIP文件的路徑?
也就是說 這個嫌疑人 把USB里面的東西拉到了PC里面 解壓之后沒有刪掉 剛剛我找到的是在PC端的文件 我們要去USB里面找 這里就不跳到USB里面了 畢竟是復盤 知道了這個zip文件叫Downloads.7z 然后我們在電腦里面搜索這個文件 文件雖然被加密了 但是可以打開看到里面的文件叫什么 這樣可以對得上號
17.ZIP文件的哈希值(SHA-256)是甚么?
算一下就行
18.ZIP文件的修改時間是多少?(當地時間)
這個也是 看一下就行
19.USB驅動器在Alice筆記本計算機上的最后插入時間是何時?(當地時間)
送分題不好意思之前圖貼錯了
20.解壓的ZIP文件內有哪些文件?
打開壓縮包康康就知道了
21.“ ZIP文件中發票的哈希值(SHA 256)是多少=發票(1)名稱:WhatsApp Image 2020-09-29 at 18.35.25.jpeg”
我感覺我是不是做到了非預期解 我個人感覺預期解應該是找到這張電腦照片的左下角那個密碼來解壓壓縮包 最后才打開這個文件 計算哈希 但是我發現這個嫌疑人解壓了壓縮包之后沒有把文件刪了 我直接就能看得到 或者說是主辦方降低難度吧
22.“ ZIP文件中發票的哈希值(SHA 256)是多少=發票(2)名稱:WhatsApp Image 2020-09-29 at 18.37.47.jpeg”
這題和上面那題一樣
23.Alice筆記本計算機上安裝了哪種電子郵件軟件?
這題取證大師郵件分析就能看 送分題就不截圖了 結果是outlook
24.Alice筆記本計算機上的電子郵件軟件的版本是甚么?
這種需要找到安裝的軟件的版本 首先應該是往這里找 這里沒有的話再去Program Files里面找
25.Alice筆記本計算機登錄電子郵件軟件的電子郵件帳戶是甚么?
送分 不講了
26.Alice在上述電子郵件對話中獲得了哪些數據/文件?
這都說了通過郵件獲得了哪些數據/文件 那肯定是去郵件附件里面找 沒啥講的送分題
27.該電子郵件的發信者的電子郵件地址是甚么?
有手就行
28.上述已收的電子郵件, 發件人的IP地址是甚么?
摘要里面第一個ip地址就是發件人的ip地址
29.在筆記本, Alice的電子郵件地址是甚么?
看到題目第一反應是去PC里面的個人信息那邊康康有沒有記錄的 后來發現沒有 也是瞟到了outlook的備份上面寫着:僅這台電腦
30.除了Alice,還有其他電子郵件地址與該騙局有關嗎?
當時早上做的時候也是腦子瓦特了 這題就很簡單的是Bob 我還找了半天 最后好像還找錯了(啊
31.哪些人有AP和主腦之間的電子郵件記錄?有文件傳輸嗎?
這題也一樣 就是Alice和Bob 當時也是瓦特了沒做對 這要是做對了個人賽就有獎了 很煩
32.在ZIP 文件中, 有多少受害人的信用卡數據被盜?
前面我們知道 我們釣魚郵件釣到的那些個人信息被儲存在R3ZZ.txt這個文件里面 Log1n.txt應該是那個釣魚網站釣到的個人信息 因為只包括郵箱和密碼 就在R3ZZ.txt里面數就行了
33.已被黑客盜用其信用卡資料購買的受害者是誰?
不知道讀者還記不記得 前面的題目有讓我們計算兩張圖片的哈希值 如果有打開圖片看一看的話應該會發現 這兩張圖片就是被盜刷銀行卡買蘋果產品之后開的發票 發票里面肯定含有個人信息 進去比對發現 有一個名單上的受害者的個人信息在這個發票上
34.被盜用的內容是甚么?
圖片里面有 不多說
總結
至此 個人賽Alice_Laptop部分寫完了 這部分和下午的團體賽比起來確實沒啥難度 都是挺常規的東西 個人賽的幾個難點在后面的部分 PC這部分其實考察的大多還是我們對信息的分析處理能力 考察計算機方面的知識點其實不多 確實應該是不失分的 希望下次這種難度的題目我能不丟分
EOF