美亚杯第二届（2016）-个人赛

案情

Hugo是一个职业黑客，他喜欢透过非法入侵其他人的电脑来炫耀自己高超的计算机技术。他也是一个臭名昭著的匪徒，其敛财手段主要有：

1）网络攻击诈骗；

2）编写及分发计算机病毒；

3）网络诈骗。

Hugo最近被逮捕，他的计算机也被没收了并送至法证取证检查处。你是一个计算机取证专家，你负责调查Hugo曾经是否进行过任何的非法活动，并找出其同党的数据。

你会获得一个包含Hugo电脑硬盘的镜像文件，其文件名为“Competition_HD1.E01＂，该文件是由AccessData FTK Imager采集而来的。根据Hugo电脑硬盘的内容，请回答以下问题。

注

如题目出現“C:\＂，即Ｃ盘，代表包含操作系统分区

如答案需要表示包含操作系统分区，請Ｃ盘即“C:\ ＂代表

准备

将镜像加载入取证大师中

比赛题目

请写下Hugo电脑硬盘的MD5哈希值。

F895FD18E47A5371AEC6DB72D0AEDCA7
你能找到多少个硬盘分区？
A) 1
B) 2
C) 3
D) 4
E) 5

答案也在上图中，可见三个分区
根据主引導記錄（MBR），以下哪組偏移显示了包含操作系统分区的总扇区数？
A) 偏移 446-449
B) 偏移 458-461
C) 偏移 474-477
D) 偏移 490-493
E) 偏移 506-509

详细：

判断DBR、MBR、EBR：1FE - 1FF 是 55AA

FAT16的DBR:EB 3C 90 没有备份的DBR
FAT32的DBR:EB 58 90 (备份的DBR）在该分区的第6扇区
NTFS 的 DBR:EB 52 90 (备份的DBR）在该分区的最后一个扇区

判别MBR的方法:
MBR就在LBA第一个扇区，打开物理硬盘，第一个扇区就是了。MBR的分区表在1BE偏移往后到1FD，共64个字节，每项16个字节。
1FE-1FF就是“55 AA”

判别EBR的方法:
EBR的结构和MBR的结构是一样的，在倒数第五行倒数第二个字节应该是00 01，并且前446个字节应该是0

主引导MBR是起始扇区中第一扇区的。00000001BE-00000001FF
根据主引導記錄（MBR），包含操作系统的分区的总扇区数是多少？
（答案格式：5246852048 sectors）

详细：102195200

这里可以直接根据取证大师里面提供的数据看出来
请找出系统文件“SOFTWARE＂，请问操作系统的安装日期是？
（答案格式－“世界协调时间＂：YYYY-MM-DD HH:MM UTC）

A) 1996-01-04 02:56 UTC
B) 2009-06-10 21:10 UTC
C) 2015-04-14 07:12 UTC
D) 2016-09-09 05:26 UTC
E) 2016-09-13 02:28 UTC

用户“Hugo＂的唯一标识符（SID）是什么？（答案格式：RID）
A) 1000
B) 1001
C) 1002
D) 1003
E) 1007
于包含操作系统的分区內，$Bitmap的物理起始偏移位置是什么？
（答案格式：256363）

35987456

详细：可以直接用物理位置减去D盘的物理位置 = 3,325,526,016 - 105,906,176 = 3219619840

硬盘的操作系统是什么？
A) 视窗XP
B) 视窗7
C) 视窗8
D) 视窗10
E) 视窗CE
操作系统的最新服务包（Service Pack）版本号是什么？

A) Service pack 1
B) Service pack 2
C) Service pack 3
D) Service pack 4
E) Service pack 5

其中一个分布式拒绝服务／拒绝服务工具的readme文件中声明“SECURITY TESTING PURPOSES ONLY！＂请找出该readme文件，并列出文件中的前十二字符？

更正：GoldenEye =
哪一个用户拥有分布式拒绝服务／拒绝服务（DDOS／DOS）工具？
A) Home
B) Hugo（由上图可见）
C) Administrator
D) Mike
E) Public
用户 “Hugo＂的收藏夹中是否含有任何与“黑客＂相关的链接？若有，请列举出相关链接。
（答案格式：http://123.com/abc.htm）
https://0day.work/
Hugo有时会自己编写程序代码。请问Hugo用什么语言编写程序？
（答案格式：ProgramLanguageName）

Python

补充：找到他写的脚本，以py结尾
请检查Hugo在桌面上的快捷方式文件，其中有一个快捷方式文件的创建日期是“2016-09-14＂（世界协调时间／UTC），请问该文件的目标位置是什么？
（答案格式：D:\folder\123.abc）

C:\Users\C\AppData\Local\Programs\Python\Python35-32\python.exe
找到桌面快捷方式后，右击导出，查看属性
1）

2）
请找一个“shellcode＂的文件夹，该文件夹中含有一个用于连接HTC Touch2设备的程序。请列举出其中任何的电子邮件地址。
（答案格式：abcd@email.com）

更正：celilunuver@gmail.com
Hugo承认曾经进行网络攻击诈骗，并且把诈骗金额记录在电脑中。请问，保存有诈骗金额记录的文件名是什么？
（答案格式：123.abc）

首先分析，一般这种文件会用txt或office文件进行记录

1.挨个查看文件分析里的txt文件和office文件

2.根据上边的经验知道，hugo一般把常用的东西放在Documents，直接在里面查看txt或表格文件也能找到
在所有用户中，用于电子邮件发送/接收的程序名称是什么？
A) Gmail
B) Foxmail
C) 新浪邮箱
D) 网易163
E) 阿里邮箱
根据上述问题，请于注册表(registry) 找出该电子邮件发送/接收程序的版本号。
（答案格式：1.3.4.5）

补充：

这里参考注册表详解，知道HKEY_USERS里保存了电子邮件程序的基本信息，也可以直接在注册表查找Foxmail

(暂没做)
Hugo的主要电子邮件地址是什么？
（答案格式：abc@mail.com）

hackerthehugo@qq.com
加分题︰Hugo有任何其他属于Google的电子邮件地址吗？
（答案格式：abcd@gmail.com）

hugo82618@gmail.com

直接搜索@gmail
Hugo编写了一个获取击键信息（k）的程序。请问，该程序的文件名是什么？
（答案格式：123.abc）

malware.py

根据hugo的习惯，将文件都放在Documents中，找到Attack文件夹，看到malware.py
根据上述问题，程序中攻击者的IP地址是什么？
（答案格式：123.123.123.123）

通过代码可以得到192.168.4.78
Hugo也编写了另一个程序，并存储在同一个文件夹中，该程序开启一个用于建立连接的端口。请问，该端口号是多少？
（答案格式：8080）

443

同一个文件夹下，只有test.py

阅读代码可得443
Hugo有时会注入恶意脚本到已经被攻击的网站中盗取PayPal的用户帐户和密码。请找到该脚本。请问，用于存储盗窃信息的文件名称是什么？
（答案格式：123.abc）

passwd.txt

导出login.php文件后，查看代码解读可得
Hugo用于PayPal的网络钓鱼电子邮件，请问，该PayPal帐户号码是什么？
（答案格式：98-765-4321）

12-976-9860

翻找邮件可得
根据上述问题，网络钓鱼电子邮件将链接到一个URL查看交易的细节。请问，该链接的URL是什么？
（答案格式：http://abc.com/abc.htm）

http://158.69.201.134/login.html

同上题图
请问哪一个文件中保存了微软互联网浏览器的历史浏览记录？
（答案格式：123.abc）

jindex.dat

在取证结果中找到任意的历史浏览记录进行源文件跳转
根据上述问题，那个档案储存了Hugo的微软互联网浏览器的缓存记录（cache history）？（答案格式：C:\folder\subfolder\123.abc）

D\Users\Hugo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

在取证结果中查看缓存记录后，随意点击查看源文件，都会跳转至下图位置
根据微软互联网浏览器的历史浏览记录，Hugo在2016-09-13，02:32:34（世界协调时间／UTC），曾访问域／主机的名称／地址是什么？
（答案格式：http://www.abc.com.cn）

注意到题目中说的是世界协调时间，所以，转换成系统时区时间，应当是查找10.32.34的浏览记录

http://www.chiark.greenend.org.uk/
请找出Mozilla Firefox的互联网历史文本，上述文本的名称是什么？
（答案格式：123.abc）

places.sqlite

同27、28
请检查视窗用户Hugo中的Mozilla Firefox互联网历史文本，他是在那一天（世界协调时间／UTC），访问网页www.xshellz.com？
（答案格式：YYYY-MM-DD）

2016-09-13

直接用实时搜索，进行翻找
请问哪一个文件中保存了Google Chrome浏览器的历史浏览记录？

C\Users\Hugo\AppData\Local\Google\Chrome\User Data\Default\History

同27、28
该电脑中可能含有Jason的相关信息，例如电子邮件地址。请问，Jason的电子邮件地址是什么？
(提示：21个字符)

jasonforensics@qq.com
有没有发现其他可以与手机通讯的聊天程式？
（答案格式：ProgramName）

WeChat
有没有发现任何包括安全文件传输功能的传输工具？
（答案格式：123.abc）

WinSCP
根据上述问题，该文件传输工具是从哪里下载的？
（答案格式：https://domain.abc）

https://cdn.winscp.net/

直接使用实时搜索功能
根据上述问题，请问用户使用哪一个浏览器下载该文件传输工具？
A) Internet Explorer
B) Firefox
C) Chrome
D) 以上任何一个都没有
有没有发现任何已下载的远程访问工具？若有，请列举。
（答案格式：123.abc）

putty.exe

一般常用的工具，都会放在桌面或者一个固定的文件夹，比如Documents
加分题︰根据远程访问工具，请问用户曾连接到哪一个主机名？

这道题，一看就知道要用到注册表，可惜我的电脑硬件不行，做不了，后续补上

总结

硬件的基本信息
像基础知识的扇区，偏移等计算，我认为在实际取证工作中，是用不到的，但比赛中，很有可能作为资格赛、个人赛题中出现，考察参赛人员的基础知识
对取证中各种时间、时区的记录
明确系统用户信息
软件信息的掌握，比如操作系统、最新的软件包等
用户和各个软件之间的使用情况，比如浏览器的收藏、下载、浏览，远程软件的使用，通讯软件的聊天数据等
恶意代码、脚本的分析
犯罪的记录是重要证据
一些软件的基础信息，比如版本号、远程软件的连接记录等都会在注册表中