0x00 前言
这是第一次参加美亚杯电子数据取证大赛,总体来说这次题目出题水平较高,无论是资格赛还是团体赛都有许多有趣的考点和值得深挖的地方。其中资格赛难点在于对iPhone镜像的处理,tor网页跳转关系的梳理以及内存取证部分,而且题量较大时间较短。团体赛的难点则在于RAID重组,Office软件恶意宏分析,SQLCipher微信数据库解密,题目加入了比特币相关的知识,这是一个有趣并贴合实际的考点。下面对资格赛进行复现。
题目链接: 2019MeiyaCup-problems
0x01 提供检材
何源的公司计算机内存镜像路径: HE_Company_Windows_RAM\memdump.mem
何源的个人计算机镜像路径: HE_Home_Windows\Win2\Win2.E01
0x02 题目分析
这62道题目大致可以分成三部分: 纯Windows部分,iPhone手机部分和内存镜像部分,下面分别进行总结.
纯Windows部分
该部分包括1-20题和36-50题.前一部分题目主要考察Windows基础,大部分解决方案为直接将镜像拖入取证大师,根据题目需要查看,还对数据库相关问题进行考察,其中查看Windows桌面的题目需要进行仿真.后一部分题目主要考察云端介质和tor洋葱路由部分,需要用到火眼仿真以及数据库相关的知识.
iPhone手机部分
该部分包括21-35题,首先需要导出iPhone的备份,然后使用手机大师打开.大部分题目的答案可以直接查找到.
内存镜像部分
该部分包括51-62题.此部分题目除了考察基本的volatility使用方法之外,大部分的难题都是针对注册表进行考察,需要将注册表导出来进行查看.
下面题解部分标题加粗的题目为难题或需要储备知识的题目,加粗并倾斜的题目为与答案不符的题解.
0x03 解题思路
1.何源的个人计算机硬盘已成功被取证并制作成镜像(Forensic Image),下列哪个是镜像的 SHA1 哈希值?
解题过程:A,将提供的Win2.E01拖入取证大师直接查看G盘的SHA1值即可。分析过程中可以取消文件签名校验这一个选项,会加快做题速度。
2.在何源的个人计算机中,硬盘中包含哪个操作系统(Operating System)?
解题过程:C,取证结果->系统信息->系统信息。
3.何源个人计算机的文件系统(File System)是什么?
解题过程:D,NTFS是Windows操作系统的主流文件系统,在证据文件部分可以看到C、D、E三个盘的文件系统。
4.在何源的个人计算机中,你能找到操作系统分区的总容量吗 (单位:字节 byte)?
解题过程:A,分区5_OS[D]对应的分区为操作系统分区,其逻辑大小即为总容量。分区显示的结果与实际结果有出入。
5.在何源的个人计算机中,操作系统分区的$Bitmap 的起始物理扇区位置(Physical Sector Number)是多少?
解题过程:E,直接查找系统分区的$Bitmap的物理扇区即可。
6.在何源的个人计算机中,请问操作系统的安装日期是?
(答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC)
解题过程:A,取证结果->系统信息。
7.在何源的个人计算机中,每个扇区(Sector)包含多少个字节?(单位: byte)
解题过程:A,证据文件中查看G盘的扇区大小为512bytes。
8.在何源的个人计算机中,操作系统的时区是哪个时区?
解题过程:E,取证结果->系统信息->时区信息。
9.在何源个人计算机的操作系统中,下列哪个是计算机的主机名?
解题过程:D,取证结果->系统信息->系统信息。
10.在何源的个人计算机中,以下哪一个是用户“He Yuan”的 SID?
解题过程:B,取证结果->系统信息->用户信息。
11.在何源的个人计算机中,下列哪个 USB 移动储存装置 (U 盘)曾被分配为‘E’磁盘分区代号(Drive Letter) ?
解题过程:E,查看USB设备使用痕迹,找到挂载盘符为E:的USB设备即可,选择与查找结果最匹配的答案。个人感觉官方答案存在问题,因为挂载在E盘的只有Generic Flash Disk USB Device
.
官方答案:A。
12.在何源的个人计算机中,用户“He Yuan”曾经在挂载为“E”盘的 USB 移动储存装置中访问过一些文件/文件夹,以下哪一个不是?
解题过程:C,在用户痕迹中查看其最近访问的文档,对完整路径进行排序后获取未访问的文件夹。
13.在何源的个人计算机中,用户“He Yuan”最近在本机上访问过一些文件,以下哪一个不是?
解题过程:B,查看用户痕迹中的最近访问文档信息进行排除。
14.在何源的个人计算机中,以下哪一个是程序“VERACRYPT.EXE”的运行次数?
解题过程:C,在取证结果中搜索VERACRYPT.EXE
,可以从应用程序运行痕迹中查看其运行次数。
15.在何源的个人计算机中,在程序“VERACRYPT.EXE”运行时,以下哪个 dll 文件并没有同时被加载?
解题过程:E,由于比赛中需要使用VERACRYPT.EXE
软件对所给容器进行处理得到检材,于是运行存在本地的该软件,使用火绒剑查看进程调用的相关动态链接库即可进行排除作答。同样,使用软件Depends也可以查看所有动态链接库。
16.在何源的个人计算机中,用户“He Yuan”的桌面墙纸(Wall paper)背景是什么颜色?
解题过程:C,使用火眼仿真对镜像进行仿真处理,开机之后发现屏幕壁纸为蓝色。或者在取证大师中遍历搜索关键词wallpaper,可以发现有一张蓝色桌面的照片经过反复操作,可以推测其为桌面壁纸。Windows系统中桌面壁纸的路径为:OS_disk:\Users\Username\AppData\Roaming\Microsoft\Windows\Themes\CachedFiles
。
17.在何源的个人计算机中,以下哪个文件在电脑 power off 的时候仍然拥有内存的内容? 此文件具有与电脑内存(RAM)相似的大小并保存在根目录。
解题过程:C,在系统盘目录中只找到了三个sys文件,获取其逻辑大小,与该PC的运行内存RAM进行大小比较,最贴近的即为所求文件。使用火眼仿真软件进行仿真之后创建虚拟机,可以发现其运行内存RAM为4G。
官方答案:B。
18.在何源的个人计算机中,以下哪个 database 文件存有此操作系统的 timeline 痕迹?
解题过程:D,常识类题目,Win10时间线信息存放的数据库名称为ActivitiesCache.db
。Win10时间线解析过程可以参考美亚柏科的文章:Win10时间线功能解析分享,此外对于Win10系统取证分析的基础知识,可以参考如下文章:Windows取证分析基础知识大全。
19.在何源的个人计算机中,曾被分配过的 ip 地址是?
解题过程:A,取证结果->系统信息->网络连接。
20.在何源的个人计算机中,用户”Administrator”的 Internet Explorer 浏览器的 start page 是以下哪个?
解题过程:E,使用火眼仿真仿真进入Win10系统,登录用户”Administrator”,打开IE浏览器查看默认启动页即可。
21.在何源的个人计算机中,你是否可以找到何源 iPhone 手机的线索。关于他的手机,以下哪条信息不正确?
解题过程:C,将取证大师中找到的iPhone备份导出并使用手机大师打开(添加证据->文件取证->手机备份文文件->手机平台为iTunes),遍历搜索提供的选项,可以发现只有Apple ID是无法对应的。(MSISDN指主叫用户为呼叫GSM PLMN中的一个移动用户所需拨的号码即用户的手机号,IMSI是国际移动用户识别码即SIM卡的识别码)
22.用户“He Yuan”在 WhatsApp 上与谁进行了对话?
解题过程:D,手机大师->取证结果->即时通讯->WhatsApp聊天记录,可以发现He Yuan分别与John Manager谈论爬虫技术以及日常生活,与Anthony Chung谈论租房事宜。
23.在手机联系人中,Anthony Chung 的手机号是多少?
解题过程:A,在WhatsApp的联系人中,可以发现Anthony Chung的手机号。
24.He Yuan 在 iPhone 自带的 Safari 浏览器中搜索过一些关键词,以下哪一个不是?
解题过程:B,在Safari浏览器的历史记录中可以找到He Yuan的搜索记录。
25.用户“He Yuan”的 WeChat ID 是多少?
解题过程:E,在微信相关的聊天记录和账号信息等数据中无法直接得到,于是选择使用遍历搜索的方法得到符合条件的答案。
26.在 WeChat 的多个聊天记录中,用户“He Yuan”没有聊到过哪个话题?
解题过程:B,查看微信好友聊天记录,可以发现He Yuan与三名黑客Kevin、Iva、Scott谈及了数据交易,最终只与黑客Kevin达成交易。此外,他还与Tung谈及租房,与金鸽网贷谈及借钱,并与其朋友张中介谈及炒房的相关事宜,还和另外一位朋友Black Sheep谈到了生活日常。
27.从 WeChat 中的一个聊天记录中可知,用户“He Yuan”持有多少人的数据?
解题过程:C,从He Yuan与Kevin的聊天记录中可以发现其非法持有2000人的数据信息。
28.接上题,Hacker 最后要支付多少 Bitcoin 给 He Yuan?
解题过程:D,同样从上题的聊天记录中可以发现两人的成交金额为0.014594个比特币。
29.接上题,He Yuan 的 Bitcoin 收款地址是多少?
解题过程:D,在He Yuan与Kevin的聊天记录中可以发现一个包含比特币收款地址的二维码,即可得到其首款地址。
30.接上题,He Yuan 分享给 Hacker 的百度网盘链接是多少?
解题过程:E,接上题,在聊天记录中可以看到网盘链接。
31.接上题,He Yuan 提到的解压密码是多少?
解题过程:E,聊天记录中有He Yuan发送的解压密码。
32.接上题,He Yuan 收到了来自哪位 hacker 的转账? hacker 的 wechat ID 是多少?
解题过程:A,根据之前的分析,He与黑客Kevin最终达成交易。
33.根据 Wechat 聊天记录,He Yuan 在 2019-10-26 号(UTC+8)晚上跟哪位朋友出去吃晚饭了?朋友的 Wechat ID 是多少?
解题过程:E,根据聊天记录可以发现He在2019-10-26与Black Sheep出去进行晚餐。
34.在2019-10-31(UTC+8),何源用iPhone手机在车库拍了一些车的照片,请问最早的那张车照片是什么时候拍的?
解题过程:D,使用手机大师打开iPhone备份之后寻找文件系统中照片的存储位置,一般来说为/private/var/mobile/Media/DCIM/
,找到之后遍历查询即可。
35.接上题,请问照片”IMG_0075.HEIC”拍摄地 GPS 坐标是以下哪一个?
解题过程:B,寻找方法类似上题,找到文件名对应的照片,直接寻找GPS坐标即可。
36.在何源的个人计算机中,你能找到一个 Veracrypt 加密容器文件吗?它的原始文件名是?
解题过程:D,可以通过仿真进入系统,打开VeraCrypt加密容器进程,可直接看到加密文件。
37.接上题,此 Veracrypt 加密容器文件之前可能被挂载为哪一个盘符(drive letter) ?
解题过程:A,在取证大师的案件概览中可以发现PC使用者最近浏览了A盘,故He Yuan可能将VeraCrypt加密后的结果挂载为A盘。
38.在何源的个人计算机中,何源曾在电脑上登陆过客户端百度云盘,请问他的 Baidu 账号是多少?
解题过程:C,取证大师->取证结果->云存储客户端。
39.在何源的个人计算机中,何源利用客户端百度网盘上传过一些文件,请问以下哪一个是?
解题过程:A,在百度云管家中查看上传文件记录。
40.在何源的个人计算机中,何源 iPhone 手机中的一些图片曾被同步到他的百度网盘中,请问图片“2019-06-21 113537.jpg”的 MD5 hash 值是多少?
解题过程:C,在百度云管家中查看本地缓存记录,找到图片即可。
41.在何源的个人计算机中,何源用百度网盘上传文件“/美国恐怖故事/美国恐怖故事 01.mp4”的起始时间是?(格式:UNIX Timestamp UTC+8)
解题过程:A,在百度云管家的上传文件记录中找到对应mp4文件的上传时间,使用python代码转换为时间戳即可。Python代码如下:
1 | import time |
42.在何源的个人计算机中,可以发现有多少文件,文件夹存在于何源的百度网盘中?
解题过程:B,在百度云管家的本地缓存记录中,可以发现有82个文件和2个空文件夹存在于He Yuan的百度云网盘中。
43.在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器 google 搜索过一些信息,以下哪个不是搜索的关键词?
解题过程:D,对ME的搜索记录进行排序后查询即可。
44.在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器注册过一个新的 Gmail account,请从网页标题痕迹中找出此账号。
解题过程:C,在取证大师的邮件解析中找到Win10邮件客户端,可以发现He Yuan申请的新的gmail邮箱。
45.在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器下载过一些文件,以下哪一个不是?
解题过程:B,在ME的下载记录和上网记录中进行逐项搜索,可以发现和bitcoin相关的exe没有通过ME浏览器下载。
46.在何源的个人计算机中,用户“He Yuan”曾用以下哪款网页浏览器登陆过网页版百度网盘?
解题过程:D,在取证结果中暴力搜索pan,发现只有ME浏览器具有He Yuan用户的使用记录。
47.在何源的个人计算机中,用户“He Yuan”曾用 Tor 浏览器访问过一些网站,以下哪一个不是?
解题过程:E,对于Firefox浏览器,其历史浏览记录存储在数据库文件palces.sqlite
中,在证据文件中搜索该文件,可以发现有一个数据库位于Mozilla文件夹下的位置,另外一个位于Tor Broswer文件夹下,猜想其为洋葱浏览器的历史记录,导出之后查看moz_origins表,可以发现浏览记录。
48.接上题,以下哪个 URL 是由用户手动输入到 Tor 浏览器中的?
解题过程:B,该题目为推测题目。首先在上题中提到的浏览历史记录中可以发现题目所给的五个地址。根据洋葱浏览器的访问规则,推测手动输入的URL为正常的.com结尾形式,而非字段处理后的后缀为.onion的地址。
官方答案:C。
49.接上题,关于网页”http://rso4hutlefirefqp.onion”,以下哪一个描述是正确的?
解题过程:E,在上述数据库的moz_places表中查看对应字段的description。
50.接上题,哪个网页引导用户到了网页”http://vfqnd6mieccqyiit.onion”?
官方答案: B。
51.分析何源的公司计算机内存镜像,何源的公司计算机操作系统以及硬件架构是什么?
解题过程:A,将He Yuan公司电脑的内存文件拖入虚拟机中,使用命令volatility -f memedump.meme imageinfo
查看所有可能的硬件架构和系统版本,与题目对照。
52.分析何源的公司计算机内存镜像,以下哪一个是进程“explorer.exe”的 PID?
解题过程:B,使用volatility命令volatility -f memdump.mem --profile=Win7SP1x86_23418 pslist | grep explorer.exe
进行查看所有可能的PID并与题目对照。
53.分析何源的公司计算机内存镜像,以下哪一个是正确的用户 SID ?
解题过程:B,使用volatility命令volatility -f memdump.mem --profile=Win7SP1x86_23418 hashdump -y 0x8bc1a1c0 -s 0x9a5689c8 > hash.txt
导出用户信息。由于只给出了最后的四位,与选项对照可以排除A和D,C对应的用户不存在(只有TMP_User,后续题目会得出包含该字段的有效用户路径),使用排除法得出答案。
54.分析何源的公司计算机内存镜像,以下哪个远程地址与本地地址建立过 TCP 连接?
解题过程:A,使用volatility命令volatility -f memdump.mem -profile=Win7SP1x86_23418 netscan
可以看到连接网络ip和端口号的信息。
55.接上题,在上述 TCP 连接里,远程地址的端口号是多少?
解题过程:C,接上题,容易得到连接端口号。
56.分析何源的公司计算机内存镜像,注册表“\SystemRoot\System32\Config\SAM”在内存镜像中的虚拟地址(Virtual Address)是多少?
解题过程:B,使用volatility命令volatility -f memdump.mem -profile=Win7SP1x86_23418 hivelist
可以看到SAM表的Virtual Address。
57.分析何源的公司计算机内存镜像,用户“Yuan He”登入密码的 NTLM hash 是多少?
解题过程:E,接上题,使用hivelist命令获得SYSTEM和SAM的虚拟地址后,使用命令volatility -f memdump.mem --profile=Win7SP1x86_23418 hashdump -y 0x8bc1a1c0 -s 0x9a5689c8 > hash.txt
将用户登入密码的NTLM hash密码导出保存。其中hashdump的语法为: volatility -f dumpname --profile=version hashdump -y virtual_address_of_SYSTEM_Path -s virtual_address_of_SAM_Path
。
58.分析何源的公司计算机内存镜像,盘符“E:”上的文件“Personal Information.xlsx”何时被访问过?
解题过程:C,使用volatility的timeliner模块,可以看到2019-10-31 06:59:45时,该用户使用了explore.exe浏览器,以TMP_User的身份访问了E盘上的Personal Information.xlsx文件。
59.分析何源的公司计算机内存镜像,以下哪个是文件“Personal Information.xlsx”的正确路径?
解题过程:D,首先使用filescan功能搜索xlsx文件,没有返回结果。于是根据上一题的结果可知所求的文件肯定在TMP_User目录下,便使用filescan搜索TMP_User目录下的所有文件,发现其不存在C选项的Confidential
目录,故选D。
60.分析何源的公司计算机内存镜像,可以发现以下哪些文件夹曾被访问过?
\1 …\Company_Files\Jonathan Norton**
\2 …\Company_Files\Stephen Chow**
\3 …\Company_Files\John Wick**
\4 …\ Company_Files\Logan Chen**
\5 …\Company_Files\Colleen Johnson**
解题过程:E,使用命令volatility -f memdump.mem --profile=Win7SP1x86_23418 timeliner | grep Company_Files
对需要访问的路径进行查找,发现两次访问记录都是通过任务管理器explorer.exe
访问的。
使用memdump命令保存PID3484对应的进程,在进程文件中查找对应的用户名,使用排除法可以得到结果。
61.分析何源的公司计算机内存镜像,以下那一项有关这台计算机的资料是正确?
\A. 这台计算机安装 Window 的时间是 2019-10-31 11:56:23 UTC + 0**
\B. 这台计算机的名称是 WIN-VUAL29E4P0K**
\C. 公开资料显示这台计算机 TCPIP 的最后更新时间是 2019-10-31 04:59:00 UTC + 0**
\D. A 及 C 都是正确**
\E. B 及 C 都是正确**
解题过程:B。对提供的选项进行逐项分析。
A选项错误,在Microsoft路径下寻找系统信息。
虽然没有找到安装时间InstalledDate对应的键值,但是可以通过Last updated进行大致判断。正常的系统信息会记录在如下路径:(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate
。
B选项正确,主机名所在的目录为:ControlSet001\Control\ComputerName\ComputerName
。
C选项错误,使用timeliner模块并筛选TCP项,可以看到调用到TCP操作的三个时间与答案提供的04:59:00不符。
62.分析何源的公司计算机内存镜像,以下那一项关于这台计算机连接 USB 装置的描述是正确?
\A. 没有,因为透析资料找不到**
\B. 没有,因为内存容量没有取得完整的注册表资料**
\C. 有,而且装置的牌子应该是 HUAWEI**
\D. 有,而且装置的 GUID 是 4d36e967-e325-11ce-afc1-832210318**
\E. 有,而且装置的首次插入时间 HEX 值是 40 43 30 b9 b8 8f d5 01**
解题过程:E。逐项进行分析。
首先使用命令volatility -h | grep service
查找与设备相关的命令。
然后使用设备扫描命令查询是否有USB使用痕迹。
发现确实存在USB的使用记录,排除A,B两项。在注册表中查询USB设备使用情况(注册表中与USB设备相关的路径为:ControlSet001\Enum\USBSTOR
)。
可以发现设备的牌子为Seagate而不是HUAWEI,排除C选项。再继续搜寻注册表信息。
可以看到GUID为4d36e967-e325-11ce-bfc1-08002be10318
,至此排除D选项,得到最终答案。