2024全国网络空间取证竞赛线上初赛
Windows 参考 WP
目录
2024 年 4 月,卢某报案至警方,声称自己疑似遭受了“杀猪盘”诈骗,大量钱财被骗走。卢某透露,在与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏,起初资金出入均属正常。但随后,李某称赌博平台为提升安全性,更换了地址和玩法,转为通过群聊抢红包形式进行赌博。随着赌资不断增加,卢某投入巨额资金后,发现无法再访问该网站,同时李某也失去联系,卢某遂意识到自己被骗。在经济压力下,卢某选择报警,并承认参与赌博活动,愿意承担相应法律后果。警方依据卢某提供的线索和手机数据,迅速锁定犯罪团伙,并在一藏匿地点成功抓获犯罪嫌疑人李某和赵某。警方对嫌疑人持有的物品进行了证据固定:李某手机被标记为检材 1,窝点内服务器为检材 2,赵某使用的计算机为检材 3。 接下来,请取证工作者根据案情和这些检材进行深入分析,并解答后续问题。
Windows 部分
1.分析技术员赵某的 windows 镜像,并计算赵某计算机的原始镜像的 SHA1 值为?忽略大小写
FFD2777C0B966D5FC07F2BAED1DA5782F8DE5AD6
火眼直接分析,要等一会儿。
2.分析技术员赵某的 windows 镜像,疑似 VeraCrypt 加密容器的文件的 SHA1 值为?忽略大小写
B25E2804B586394778C800D410ED7BCDC05A19C8
首先是疑似 vc 加密容器,可以在火眼里先看一些疑似文件,或者直接仿真在里面看一看,找到一个 2024fic,这样的文件应该会敏感一点。
哈希值计算一下就可以了
3.据赵某供述,他会将常用的密码放置在一个文档内,分析技术员赵某的 windows 镜像,找到技术员赵某的密码字典,并计算该文件的 SHA1 值?忽略大小写
E6EB3D28C53E903A71880961ABB553EF09089007
同样在文档中,还有一个 commonpwd.txt,打开一看就是一个密码本,符合题目
4. 据赵某供述,他将加密容器的密码隐写在一张图片内,隐写在图片中的容器密码是?
qwerasdfzxcv
这题其实比赛的时候太武断了,没考虑到只能提交一次答案,所以直接提交了图片上的答案,很亏,应该仔细看看的。还是同样的目录下,pswd.jpg 打开时一个密码,但是题目说隐写,所以肯定没那么简单,拿到主机 010 打开,看到最后有 real password
5. 分析技术员赵某的 windows 镜像,bitlocker 的恢复密钥是什么【答题格式:111111-222222-333333-444444-555555-666666-777777-888888】
404052-011088-453090-291500-377751-349536-330429-257235
这题就回到了 2024fic 的文件,由于题目提示,所以 vc 挂载一下,看看内容 ,挂载密码就是上一题得出的密码。
6. 分析技术员赵某的 windows 镜像,bitlocker 分区的起始扇区数是【答题格式:1024】
146794496
这里就是,火眼直接看
7. 分析技术员赵某的 windows 镜像,默认的浏览器是
Chrome
这里也是火眼分析出来
8. 分析技术员赵某的 windows 镜像,私有聊天服务器的密码为【答题格式:abc123】
Zhao
解密扇区仿真起来之后,就可以看见有一个私有聊天密码,上面是账号下面是密码
9. 分析技术员赵某的 windows 镜像,嫌疑人计算机中有疑似使用 AI 技术生成的进行赌博宣传的图片,该图片中,宣传的赌博网站地址为?【答题格式:www.baidu.com】
打开的图片前面有一张有网站,就是赌博网站
10. 分析技术员赵某的 windows 镜像,赵某使用的 AI 换脸工具名称为?
Roop
这里打开 D 盘的文件,可以找到有关换脸的软件
11. 分析技术员赵某的 windows 镜像,使用 AI 换脸功能生成了一张图片,该图片的名称为【答题格式:1.txt】
db.jpg
查看 readme.md
–source 为指定源文件,就是需要的脸的图片;–target 为指定目标文件,就是需要换脸的文件;–output 为指定结果,就是换脸后的图片
查看一下 powershell 的记录
12. 分析技术员赵某的 windows 镜像,ai 换脸生成图片的参数中–similar-face-distance 值为【答题格式:20.12】
0.85
见上题
13. 分析技术员赵某的 windows 镜像,嫌疑人使用 AI 换脸功能所使用的原始图片名称为【答题格式:abc.txt】
dst01.jpeg
见 11 题
14. 分析技术员赵某的 windows 镜像,赵某与李某沟通中提到的“二维码”解密所用的网站 url 地址为?【答题格式:http://www.baidu.com/1.html】
根据解密网站的提示,和在线网站,查看浏览器记录
15. 分析技术员赵某的 windows 镜像,赵某架设聊天服务器的原始 IP 地址为?【答题格式:192.168.1.1】
192.168.8.17
见上题,可以看见这个网站有 admin 和 users 操作,所以判断为聊天服务器 (同时提示了 MoneyMoney)
16. 分析技术员赵某的 windows 镜像,据赵某交代,其在窝点中直接操作服务器进行部署,环境搭建好了之后,使用个人计算机登录聊天室进行沟通,请分析赵某第一次访问聊天室的时间为?
2024-03-14 20:32:08
见上题的截图,可以看见访问时间
17. 分析技术员赵某的 windows 镜像,openwrt 的后台管理密码是
hl@7001
检索过程中找到带有 openwrt 的图片,附带网址,在谷歌浏览器中保存的密码中就有对应网站,即密码
18. 分析技术员赵某的 windows 镜像,嫌疑人可能使用什么云来进行文件存储?【答题格式:阿里云】
易有云
浏览器记录中翻到关于文件储存
19.分析技术员赵某的 windows 镜像,工资表密码是多少【答题格式:abc123】
aa123456
用密码本 commonpwd 爆破表格
20.分析技术员赵某的 windows 镜像,张伟的工资是多少【答题格式:20】
28300
打开工资表,第一个就是张伟
小总结
Windows 部分基本不难,但是得到的很多信息其实不确定是不是这个点,而且一次提交机会,容错率很低,提交太急也会容易失分 ,正式打的第二次比赛,还不太熟练检索信息的使用工具,欢迎批评。