目录
1、通过对检材的分析,获取嫌疑人张某通过计算机远程桌面连接过的主机 IP 地址。(答案格式如:192.168.1.233)
2、通过对检材的分析,请获取嫌疑人计算机连接“Cai-wifi”的无线 WiFi密码。(答案格式如:li123456)
3、通过对检材的分析,请获取到嫌疑人计算机中Administrator 用户的系统登录密码。(答案格式 如:li123456 ,区分大小写)
5、通过对检材的分析,请找出嫌疑人计算机中登录过的QQ账号(答案格式如: 12345678 )
6、已知嫌疑人U盘检无法正常读取,请对U盘镜像做修复和数据恢复,计算其中“TXT文本”文件的MD5值。(答案格式如:41F930B015A8CE90E02AF3A2F8FB33AF,字母大写)
7、通过对U盘检材的分析,请找出其文件系统每个簇占用多少KB? (答案格式如:4)
8、通过对检材的分析,请找出嫌疑人张某的 U盘在其计算机系统中的设备GUID号。(答案格式如:{e5u27f8f-4ad8-11e2-aa3b-7ca21e17826e})
9、通过对检材的分析,提取嫌疑人张某邮箱账号 [email protected]对应的密码。(答案格式如:123123123)
10、通过对计算机检材中标准 JPG格式图片进行数据恢复,请找出物理扇区位置为 6801616的图片照片的拍摄日期?(答案格式如:1990-9-10)
11、请对检材进行分析,找出嫌疑人张某曾经上传过文件的百度网盘账号。(答案格式如:abcd123区分大小写)
12、检材的综合分析,请找出郑某给嫌疑人张某发送非法获取的公民隐私信息数据所使用的邮箱账号。(答案格式如:[email protected])
13、检材的分析,请找出嫌疑人张某的 Skype账号。(答案格式如:6e82aae4d1624dfc,区分大小写)
14、某经常通过其计算机里的某软件,远程连接访问其伪基站服务器站点,从而提取相关资料,根据对该软件的分析找出记录有“伪基站服务器”站点的IP地址。(答案格式如:192.168.1.233)
15、通过对检材的关联分析,请找出受害人“林火”在“米老鼠吧网站”上注册的用户名。(答案格式如:abc123,区分大小写)
16、疑人张某经常浏览 bbs.elecfans.com网站,并已注册成会员,请对检材进行分析找出张某在该网站注册的账号对应的密码。(答案格式如:abc123,区分大小写)
17、张某从百度网盘下载了某个RAR压缩包文件,请计算该压缩包解压后文件的MD5值。(答案格式如:41F930B015A8CE90E02AF3A2F8FB33AF,字母大写)
18、通过计算机检材的取证分析,请找出该团伙“客服组”组长的手机号码。(答案格式如:13812345678)
19、检材的分析,嫌疑人张某通过其计算机上传了某个文件到百度网盘,请找出上传该文件 总共耗时多少秒?(答案格式如:65)
可以先用取证大师进行取证,然后解开加密卷
或者
是先用VC挂载加密卷,得到检材
1、通过对检材的分析,获取嫌疑人张某通过计算机远程桌面连接过的主机 IP 地址。(答案格式如:192.168.1.233)
61.123.57.85
2、通过对检材的分析,请获取嫌疑人计算机连接“Cai-wifi”的无线 WiFi密码。(答案格式如:li123456)
在案例概览处就可以看到
或者在取证结果中
q1w2e3r4t5
3、通过对检材的分析,请获取到嫌疑人计算机中Administrator 用户的系统登录密码。(答案格式 如:li123456 ,区分大小写)
想知道密码就先要找到该用户的NT密码哈希值
481974ce1291ca84c81589a79ee0ff2a
然后使用md5网站进行解码
zhang111
4、通过对检材分析,发现嫌疑人电脑E分区进行了Bitlocker加密分区,请对检材进行取证非分析,找出解开加密分区的BitLocker 恢复密钥:(答案格式如: 111111-000000-111111-000000-111111-000000-111111-000000)
做这题要把U盘的检材也添加进来
显示的是未分配簇,就是说被删了,但是有可能没有被覆盖掉,这时可以用原始数据搜索直接进行查找
选择之前自己写的正则表达式来搜索Bitlocker恢复密钥
选择好自己制定的Bitlocker恢复密钥关键词之后,勾选上未分配簇进行搜索
发现两个检材里面都有这个密钥,U盘应该不用添加进来也可以的~~~
然后用密钥去解BitLocker锁
解开之后需要对这个分区进行一次自动取证
453266-711546-651222-404690-209022-647658-426426-536833
5、通过对检材的分析,请找出嫌疑人计算机中登录过的QQ账号(答案格式如: 12345678 )
在案例概览里
3416207131
6、已知嫌疑人U盘检无法正常读取,请对U盘镜像做修复和数据恢复,计算其中“TXT文本”文件的MD5值。(答案格式如:41F930B015A8CE90E02AF3A2F8FB33AF,字母大写)
上面第4题应该添加了U盘,是未分配簇,对它进行数据恢复
在取证结果中能看到有唯一的一个txt文本文件,看预览是类似是一些名单,导出来,然后进行哈希计算得到MD5的值
看官方的题解是在计算机检材中找到了一篇名为硬盘MBR.docx的文档,然后对U盘进行修复
FDDD8D361E8508A1B1FA4D2B40083494
7、通过对U盘检材的分析,请找出其文件系统每个簇占用多少KB? (答案格式如:4)
上一题能逃过U盘的修复,这题不能躲了,要修复了才能继续做下去,那就学习一下
前置知识(简易版)
MBR:
主引导记录 MBR(Master Boot Record):一般为硬盘的第一个扇区,负责引导操作系统挂载硬盘完成启动工作,包含硬盘分区表(DPT),可以根据其找到操作系统所在分区并执行启动文件,并定位所有硬盘分区。
DBR:
分区引导扇区 DBR(DOS Boot Record):是一段存储文件系统的基本参数和操作系统引导程序的代码,其在磁盘中独占一个扇区,一般标志着一个分区的开始。DBR 的格式比较固定,以 NTFS 文件系统为例,大部分变量为固定值,但仍有需要人工关注的自定义数值,即下表所列。
MFT:
主文件表 MFT(Main File Table):是文件系统的核心,记录文件/文件夹的元数据和部分数据,每个 MFT 占用 2个扇区。
背景
用取证大师打开U盘镜像检材,只能识别“未分配簇”,然后用WinHex进行分析
修复流程
确定DBR状态
用WinHex打开
分区类型是MBR,识别到了起始扇区、分区1,MBR扇区应该是正常的,
点击“分区1”,发现都是00 00
可以断定唯一的分区DBR为空白,也是导致取证软件无法解析的原因
Tip:文件系统是NTFS,最后一个扇区是DBR备份
查看文件系统类型
偏移 5 的位置记录了分区文件系统类型,07 对应着 NTFS。
一些常用的文件系统类型
- 0x07:NTFS(Windows NT文件系统)
- 0x0B:FAT32(Windows的32位文件分配表)
- 0x0C:FAT32(LBA)(针对大容量磁盘优化的FAT32)
- 0x83:Linux Native(通常对应ext2、ext3、ext4等Linux文件系统)
- 0x05:Extended partition(扩展分区,不是实际的文件系统,而是用于包含逻辑分的
最低0.47元/天 解锁文章
扫一扫
1674
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
