2017年第三届美亚杯电子取证-个人赛WP

案件背景

Gary是一位经常用手提电脑的人，而且热爱足球运动，常常看足球网站。他于2007年9月开始想赚快钱，思想变得偏激，并关注一些违法的事。于是Gary就想着赌博，查阅军事资料，了解恐怖袭击的新闻报道。另外他开始上网寻找有关如何购买枪械、刀等武器的资料，还寻找如何制造假网站，但最后均无收获。

检材

.e01镜像
打开方式：新建案例-磁盘镜像-添加镜像

工具软件

取证大师
CFF explorer
notepad++
winXP（32位）

感悟：查找一定要全面细致，不能过早的下结论，尤其是一些简单题，拼的就是耐心，细心；上下题目之间的联系非常紧密，如果上一题做不出来，可以往下接着做，会有意想不到的惊喜。

题目：

1：求镜像的MD5哈希值

证据文件->选中镜像->摘要->查看md5值

2：求硬盘分区

3：开始逻辑区块地址（LBA）

要注意的是，在镜像生成之时，D盘才是真的操作系统分区

内存物理地址的单位是字节（Byte）而一个逻辑区块占用512位，所以要将这个值除以512；
结合磁盘内容，找到D盘的物理位置105,906,176 因为现今计算机上所谓一个逻辑区块通常占512位105,906,176/512=206，848

4：硬盘操作系统分区的大小

48.7310241024*1024=52,323,439,083.52

5：$MFT的物理起始偏移位置

正常情况MFT以元文件的形式存储在相应磁盘分区的根目录中，但是是隐藏的。FMP可以直接访问到该文件。

FMP证据文件 ->展开镜像 ->选中分区2_本地磁盘[D] ->选中$MFT ->摘要查看物理扇区位置

6：操作系统的安装日期

熟悉Windows系统结构的师傅可以知道这个文件位于 %windir%\System32\config下，如果不知道（比如说我）也可以在取证大师的取证结果 -> 系统痕迹 -> 系统信息 -> 安装时间里找到信息。

此处除了常识性的“-8”之外，遇到时区问题可以在此处验证调整

7：SID

SID为用户标识 （Security Identifiers）标识用户、组和计算机帐户的唯一的号码。

8：做法同上

9：操作系统

取证结果 -> 系统痕迹 -> 系统信息 -> 产品名称

10：查看默认浏览器

11：辨别URL

通过实时搜索进行查找

12：登入名称

结合上一题，在上网记录里找到了答案

13：邮箱

取证结果->邮件解析

14：USB使用痕迹

取证结果->USB设备使用痕迹

15.

紧接着上题思路

16：最后关机时间

取证结果->系统痕迹->系统开关机时间

系统开关机时间里边找到了最晚开机时间，但是没有发现关机时间;

判断关机异常，显示直接关闭了电源，这里需要到系统信息里查找

根据东八区-8

17：电脑名称

18：邮箱账号

19：邮件记录

20.

发现这个邮箱发送的时间很杂乱，不方便查看，所以对邮箱进行实时搜索，遍历了附件记录和邮件记录，发现了最早的发送时间（查找一定要全面细致，不能过早的下结论，尤其是时间问题）

21.

22.

实时搜索

下方栏地址点击预览即可看到图片

23：导出附件，查看MD5

选中右键->导出->通过notepad+ 或者hex工具即可查看md5值

24.

25：连接WIFI

取证结果->密码/秘钥检索

26：全局唯一识别元（Globally Unique Identifier, GUID）

用于指示产品的唯一性安装。在许多流行软件应用程序（例如 Web 浏览器和媒体播放器）中，都使用 GUID 网络GUID、网卡GUID

27：IP地址

取证结果->网络配置->网络连接

DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）通常被应用在大型的局域网络环境中，主要作用是集中地管理、分配IP地址，使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息，并能够提升地址的使用率

28：查看URL

29：简单信息分析

30：识别常用软件

取证结果->系统痕迹->安装软件->其他软件

由于E盘在证据文件中显示为全是未分配束，所以显然E盘就是被VeraCrypt加密过的磁盘了，这里其实不需要解密该分区。

31：同23题

继续在收件箱中查找Eric与Gary的通信内容，在附件内容中发现了iCloud有关照片，可以导出这份邮件的三份图片附件，导出文件并用同样的方法校验MD5值即可。

32：同23题

33：计算机系统时区

34：简单信息分析

实时搜索【2017-10-27】发现用户痕迹中，最近访问的文档

继续实时搜索【Screenshot】在预览中发现网站地址

35：简单信息分析

根据经验常识，笔记本电脑的下载路径默认在C:\Users\用户名\Downloads

考虑题目说的是Gary的笔记本电脑，因此需要先在证据文件中找到Gary的文件夹

证据文件->本地磁盘D->Users->Gary->Downloads

如果想要在证据文件中进行文件搜索，需要先输入查找的文件名->然后再点击总文件夹->紧接着查看过滤结果

36：同19题

取证结果->邮件解析->收件箱

根据19题中实时搜索的收件人信息进行查找

37：同36题

38：同36题

39：查看上网痕迹

通过实时搜索云盘网址

40：同39题

取证结果 -> 实时搜索-> FireFox -> 历史记录，以时间为关键字正序排序

41：查看下载方式

既然都知道是用FireFox浏览器访问私人网盘了，那么Gary必然要下载什么东西对吧。

取证结果 -> 上网记录 -> FireFox -> 下载记录，发现有三张图片被下载到了E:\2017-10-30，与题目吻合，应该就是枪械图片，得出答案。

42：查看下载时间

invoice是“发票”一词的英文，通过继续在收件箱中查找Eric与Gary的通信内容，可以判断出这个木马压缩包是Eric通过邮件的方式伪装成发票文件发送给Gray的（黑吃黑啊）

取证结果 -> 实时搜索(invoice.zip)-> 上网记录 -> FireFox -> 下载记录

43：最后存取日期/时间

取证结果 -> 实时搜索(invoice.exe) -> 文件分析 ->找到符合路径的文件 -> 查看最后访问时间

44：文件伪装

可以把该文件拉进32位系统，发现ico图标被人为替换成pdf的图片，这就是所谓伪装……

45：最后执行日期/时间

怀疑invoice木马程序把自己执行信息拷贝到了D盘tmp目录下，所以要找tmp目录下invoice.exe的访问时间

46：加密文件类型

47：执行次数

实时搜索->用户痕迹->最近访问记录->最近程序访问记录

48：查看由什么程序编写

在查找【invoice.exe】无果后，exe本质上是压缩包，关键词查找【invoice】，发现invoice.zip

导出文件后发现python中间式文件

49：查找调用的动态连结函式库

动态连结函式库（dll）涉及逆向知识，要用到一个CFF Explorer VIII的工具

50.同43题

51：文件之间的关系

invoice木马程序把自己执行信息拷贝到了D盘tmp目录下

52：查看上网痕迹

这里逆向思维，通过实时搜索，除了C选项，其他都没有相关结果

53：复杂信息分析

这两道题貌似要通过那个勒索网址来找线索，但是比赛结束之后这个网站应该就没有人维护了（也可能比赛时也没人维护）。

上题的勒索网站打开失败，所以我们想办法用其他途径找线索，考虑到Gary反侦察能力较弱，像洋葱浏览器这样的软件都是直接放在桌面的，文件的命名什么的也非常坦诚。所以我们试着在他的系统桌面（D:\Users\Gary\Desktop）上找找，结果真的发现一张screen.png，可以打开。

54：复杂信息分析

55：复杂信息分析

从这题可以看出，上下题目之间的联系非常紧密，如果上一题做不出来，可以往下接着做，会有意想不到的惊喜。