2019美亚杯个人赛刷题

写在前面

取证工具： 取证大师V6.1.80018RTM、弘连火眼证据分析软件v4.14.0.33748、弘连火眼仿真取证V4.1.1.2972、VMware WorkstationV15.5、WinPrefetchViewV1.35、Windows Registry RecoveryV1.5.1.0

解题

不知道为什么取证大师会把何源个人计算机判断成linux系统，在自动取证的时候需要把格式调成windows，否则基本解析不出来结果。

1. 何源的个人计算机硬盘已成功被取证并制作成镜像（ForensicImage），下列哪个是镜像的SHA1哈希值？

6891D022C7E6FE81DC8BA2160E1AB610891596D3

2.在何源的个人计算机中，硬盘中包含哪个操作系统（OperatingSystem）？

Windows 10

3.何源个人计算机的文件系统(FileSystem)是什么？

NTFS

4.在何源的个人计算机中，你能找到操作系统分区的总容量吗(单位：字节byte)？

492,083,081,216

计算取近似值

5.在何源的个人计算机中，操作系统分区的$Bitmap的起始物理扇区位置(PhysicalSectorNumber)是多少？

9,168,216

6.在何源的个人计算机中，请问操作系统的安装日期是？（答案格式－“世界协调时间＂：YYYY-MM-DDHH:MMUTC）

2019-10-16 04:44 UTC

win2时区为UTC+8000，UTC需要-8h

7.在何源的个人计算机中，每个扇区(Sector)包含多少个字节？（单位:byte）

512 bytes

8.在何源的个人计算机中，操作系统的时区是哪个时区？

China Standard Time (GMT+08:00): Beijing, Chongqing, Hong Kong, Shanghai

9.在何源个人计算机的操作系统中，下列哪个是计算机的主机名?

DESKTOP-SM22M96

10.在何源的个人计算机中，以下哪一个是用户“HeYuan”的SID？

S-1-5-21-1551135561-2581751248-1803739423-1000

仿真里使用命令：

vmic useraccount get name,sid

11.在何源的个人计算机中，下列哪个USB移动储存装置(U盘)曾被分配为‘E’磁盘分区代号(DriveLetter)?

KingstonDataTraveler3.0USBDevice

不会，只找到Generic Flash Disk USB Device：

12.在何源的个人计算机中，用户“HeYuan”曾经在挂载为“E”盘的USB移动储存装置中访问过一些文件/文件夹，以下哪一个不是？

E:\CONFIDENTIAL.doc

13.在何源的个人计算机中，用户“HeYuan”最近在本机上访问过一些文件，以下哪一个不是？

URGENT.doc

仿真查看：

14.在何源的个人计算机中，以下哪一个是程序“VERACRYPT.EXE”的运行次数？

3

取证大师查看应用程序运行痕迹：

15.在何源的个人计算机中，在程序“VERACRYPT.EXE”运行时，以下哪个dll文件并没有同时被加载？

ENCRYPT.DLL

在仿真里使用WinPrefetchView，查看Veracrypt.exe：

16.在何源的个人计算机中，用户“HeYuan”的桌面墙纸（Wallpaper）背景是什么颜色？

蓝色

仿真查看：

17.在何源的个人计算机中，以下哪个文件在电脑poweroff的时候仍然拥有内存的内容?此文件具有与电脑内存（RAM）相似的大小并保存在根目录。

HIBERFIL.sys

搜了下才知道这个文件与内存有关：

18.在何源的个人计算机中，以下哪个database文件存有此操作系统的timeline痕迹？

ActivitiesCache.db

在取证结果的时间轴里，可以在最下面看到分析所使用的数据库名称：

19.在何源的个人计算机中，曾被分配过的ip地址是？

147.8.177.224

20.在何源的个人计算机中，用户”Administrator”的InternetExplorer浏览器的startpage是以下哪个？

http://go.microsoft.com

仿真切换到Administrator用户，打开IE：

21.在何源的个人计算机中，你是否可以找到何源iPhone手机的线索。关于他的手机，以下哪条信息不正确？

AppleID：heyuan516@icloud.com

查看文件分类->手机备份及相关数据：

除了AppleID，其他都匹配。

22.用户“HeYuan”在WhatsApp上与谁进行了对话？

JohnManager

在21题时转到源文件，将“4e4393d9ca817d38662f12f0da1fa1a7f091934c”文件夹导出，扔到火眼里分析即可：

23.在手机联系人中，AnthonyChung的手机号是多少？

+85252018664

24.HeYuan在iPhone自带的Safari浏览器中搜索过一些关键词，以下哪一个不是？

拜佛过人professor

25.用户“HeYuan”的WeChatID是多少？

wxid_9y8cs5hdin2i12

火眼查看微信分析：

26.在WeChat的多个聊天记录中，用户“HeYuan”没有聊到过哪个话题？

与老板谈洗钱

查看所有聊天记录得出。

27.从WeChat中的一个聊天记录中可知，用户“HeYuan”持有多少人的数据？

About2000

28.接上题，Hacker最后要支付多少Bitcoin给HeYuan?

0.014594

29.接上题，HeYuan的Bitcoin收款地址是多少？

18yZq8Dboyuvnd3R6pqG9kJkaZBki2JCoN

火眼的IOS分析里图片由于何源没有备份，被删除了。但是个人电脑的微信里还保存有微信图片：

30.接上题，HeYuan分享给Hacker的百度网盘链接是多少?

https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY3Ww

31.接上题，HeYuan提到的解压密码是多少？

HetoHacker123456

32.接上题，HeYuan收到了来自哪位hacker的转账？hacker的wechatID是多少？

Kevin,wxid_ugo2wrc3fuci22

33.根据Wechat聊天记录，HeYuan在2019-10-26号（UTC+8）晚上跟哪位朋友出去吃晚饭了？朋友的WechatID是多少?

BlackSheep,wxid_s00vt9uixjq922

34.在2019-10-31(UTC+8)，何源用iPhone手机在车库拍了一些车的照片,请问最早的那张车照片是什么时候拍的？

10/26/201919:53:29PM(UTC+8)

个人只发现了10/31/201918:53:59PM(UTC+8)时间的照片，但答案确实是对的：

当用取证大师把apple的备份“4e4393d9ca817d38662f12f0da1fa1a7f091934c”导出来时，导出来的文件是残缺的，之后用手机分析时图片只有54张，而用弘连火眼把备份导出来时，可以分析出87张(╯°□°）╯︵ ┻━┻（一开始卡了好久）：

PS：事后同学告诉我火眼快速分析里有一个证据嵌套识别，一开始会识别失败，要把嵌套识别删了再来一次嵌套识别才可以跑出来：

然后把嵌套识别出来的文件添加为新建材。

跑出来后相机里确实有拍摄时间为10/26/201919:53:29PM(UTC+8)的照片（怎么说呢，还是火眼手机分析做的好啊）：

但我再重跑一次还是没有。。。同学的和我一个版本可以跑出来。吐了

35.接上题，请问照片”IMG_0075.HEIC”拍摄地GPS坐标是以下哪一个？

22deg17’1.36"N,114deg8’9.91"E

36.在何源的个人计算机中，你能找到一个Veracrypt加密容器文件吗？它的原始文件名是？

data encrypt.txt

搜索：

37.接上题，此Veracrypt加密容器文件之前可能被挂载为哪一个盘符(driveletter)?

A:

B、Z、D都无法搜索到与盘符相关的信息，E盘在何源电脑上本来就存在。

38.在何源的个人计算机中，何源曾在电脑上登陆过客户端百度云盘，请问他的Baidu账号是多少？

Heyuan515

39.在何源的个人计算机中，何源利用客户端百度网盘上传过一些文件，请问以下哪一个是？

美国恐怖故事04.mp4

40.在何源的个人计算机中，何源iPhone手机中的一些图片曾被同步到他的百度网盘中，请问图片“2019-06-21113537.jpg”的MD5hash值是多少？

7b8e1183d80962c0ad5a95ec673317a7

取证大师直接搜索：

41.在何源的个人计算机中，何源用百度网盘上传文件“/美国恐怖故事/美国恐怖故事01.mp4”的起始时间是？（格式：UNIXTimestampUTC+8）

1572506551

时间戳转换一下：

42.在何源的个人计算机中，可以发现有多少文件,文件夹存在于何源的百度网盘中？

Files:82，Folder:2

查看火眼网盘文件集合，文件夹+文件总共84个，有两个文件夹：

43.在何源的个人计算机中，用户“HeYuan”曾用Microsoft Edge浏览器google搜索过一些信息，以下哪个不是搜索的关键词？

shadowsock

44.在何源的个人计算机中，用户“HeYuan”曾用Microsoft Edge浏览器注册过一个新的Gmailaccount,请从网页标题痕迹中找出此账号。

jacksonhe8@gmail.com

在取证大师邮件解析中查看：

或者在仿真里打开edge，输入gmail后，会有历史记录弹出来：

45.在何源的个人计算机中，用户“HeYuan”曾用Microsoft Edge浏览器下载过一些文件，以下哪一个不是？

bitcoin-018.1-win64-setup.exe

46.在何源的个人计算机中，用户“HeYuan”曾用以下哪款网页浏览器登陆过网页版百度网盘？

MicrosoftEdge

47.在何源的个人计算机中，用户“HeYuan”曾用Tor浏览器访问过一些网站，以下哪一个不是？

silkroadjuwsx3nq.onion

一个一个搜索。

48.接上题，以下哪个URL是由用户手动输入到Tor浏览器中的？

http://deepmix5e3vptpr2.onion

接上题，我们右击历史记录跳转到源文件，把sqlite数据库导出来，用Navicat查看。通过访问时间升序排序，发现该链接之前为另一个域名，并且在访问了http://deepmix5e3vptpr2.onion/后自动跳转到index.php主页文件，由此可知该链接为用户复制或手动输入然后访问的链接：

49.接上题，关于网页”http://rso4hutlefirefqp.onion”，以下哪一个描述是正确的？

We sell medical cannabis, rick simpson cannabis oil and other medical cannabis products

50.接上题，哪个网页引导用户到了网页” http://vfqnd6mieccqyiit.onion”?

http://hiddenwikitor.com

这个链接后面都是onion，说明http://hiddenwikitor.com大概是一个导航网页。

51.分析何源的公司计算机内存镜像，何源的公司计算机操作系统以及硬件架构是什么？

Windows 7 x86

命令查询：volatility官方文档

volatility.exe -f M:\Individual_Competition\HE_Company_Windows_RAM\memdump.mem imageinfo

52.分析何源的公司计算机内存镜像，以下哪一个是进程“explorer.exe”的PID?

3484

volatility.exe -f M:\Individual_Competition\HE_Company_Windows_RAM\memdump.mem --profile=Win7SP1x86_23418 pslist > F:\美亚杯\美亚杯-2019\Team\win3导出\pslist.txt

注意pslist中有很多explorer.exe，选一个匹配的：

53.分析何源的公司计算机内存镜像，以下哪一个是正确的用户SID？

TMP_User : S-1-5-21-2316527938-3914680751-2175519146-1002

volatility.exe -f M:\Individual_Competition\HE_Company_Windows_RAM\memdump.mem --profile=Win7SP1x86_23418 getsids > F:\美亚杯\美亚杯-2019\Team\win3导出\getsids.txt

54.分析何源的公司计算机内存镜像，以下哪个远程地址与本地地址建立过TCP连接？

10.165.12.130

volatility.exe -f M:\Individual_Competition\HE_Company_Windows_RAM\memdump.mem --profile=Win7SP1x86_23418 netscan > F:\美亚杯\美亚杯-2019\Team\win3导出\netscan.txt

55.接上题，在上述TCP连接里，远程地址的端口号是多少？

445

见上题

56.分析何源的公司计算机内存镜像，注册表“\SystemRoot\System32\Config\SAM”在内存镜像中的虚拟地址（VirtualAddress）是多少？

0x9a5689c8

使用hivelist查看：

volatility.exe -f M:\Individual_Competition\HE_Company_Windows_RAM\memdump.mem --profile=Win7SP1x86_23418 hivelist > F:\美亚杯\美亚杯-2019\Team\win3导出\hivelist.txt

57.分析何源的公司计算机内存镜像，用户“YuanHe”登入密码的NTLMhash是多少？

99e74d973f8f852432f6d5a59659ed88

用hashdump：

volatility.exe -f M:\Individual_Competition\HE_Company_Windows_RAM\memdump.mem --profile=Win7SP1x86_23418 hashdump > F:\美亚杯\美亚杯-2019\Team\win3导出\hashdump.txt

58.分析何源的公司计算机内存镜像，盘符“E：”上的文件“PersonalInformation.xlsx”何时被访问过？

2019-10-3106:59:45

使用timeliner查看：

volatility.exe -f M:\Individual_Competition\HE_Company_Windows_RAM\memdump.mem --profile=Win7SP1x86_23418 timeliner > F:\美亚杯\美亚杯-2019\Team\win3导出\timeliner.txt

搜索（注意空格要URL编码）：

Personal%20Information.xlsx

59.分析何源的公司计算机内存镜像，以下哪个是文件“PersonalInformation.xlsx”的正确路径？

Users\TMP_User\Desktop\PersonalInformation.xlsx

mftparser可以直接看到路径：

60.分析何源的公司计算机内存镜像，可以发现以下哪些文件夹曾被访问过？

1,4,5

使用shellbags：

volatility.exe -f M:\Individual_Competition\HE_Company_Windows_RAM\memdump.mem --profile=Win7SP1x86_23418 shellbags > F:\美亚杯\美亚杯-2019\Team\win3导出\shellbags.txt

61.分析何源的公司计算机内存镜像，以下那一项有关这台计算机的资料是正确？

这台计算机的名称是WIN-VUAL29E4P0K

对于A：

使用dumpregistry导出注册表，再使用WRR查看：

volatility.exe -f M:\Individual_Competition\HE_Company_Windows_RAM\memdump.mem --profile=Win7SP1x86_23418 dumpregistry -D F:\美亚杯\美亚杯-2019\Team\win3导出\

正确安装时间：2019/10/31 4:56:45

timezone在SYSTEM/ControlSet001/Control/TimeZoneInformation里可以看到：

对于B:

使用envars查看系统信息：

volatility.exe -f M:\Individual_Competition\HE_Company_Windows_RAM\memdump.mem --profile=Win7SP1x86_23418 envars > F:\美亚杯\美亚杯-2019\Team\win3导出\envars.txt

当然注册表里也同样可以看到主机名。

对于C：

在timeliner里搜索tcpip的调用文件tcpip.sys：

62.分析何源的公司计算机内存镜像，以下那一项关于这台计算机连接USB装置的描述是正确？

有，而且装置的首次插入时间HEX值是404330b9b88fd501

同样是查看注册表SYSTEM/ControlSet001/Enum/USBSTOR/：

可以看到GUID是4d36e967-e325-11ce-bfc1-08002be10318，D排除。A和B直接排除。USB的牌子是希捷的，C排除。插入时间：

但65这个数字是怎么确定的需要看这篇论文：Windows8系统中USB设备连接时间戳问题的研究

结语

2019的个人赛做得好折磨，有很多题知识点挖的很深，感觉两个半小时完全不够，还是太菜了?

参考资料

Windows8系统中USB设备连接时间戳问题的研究