由于版权原因,本文涉及的工具、镜像均不提供下载。
案情信息
1.林胜(Victor)是一名三十岁的中学教师。一天,他在家中使用计算机期间,收到一封勒索
邮件,其中列出他电子邮件用户名和密码,及其他個人资料,並声称他的用户数据已被窃取,
计算机已被入侵。黑客向林胜勒索两个比特币,否则会使用他的个人用户数据作非法用途。
林无力支付,于是报警,并向警方提供了他的个人计算机作检验。
2.现你被委派对林的计算机进行电子数据取证,还原事件经过。
# 单项选择题
1
取证大师挂载后查看下方摘要可知。
2
显然可知有3个硬盘分区
3
通过观察我们发现E盘是系统盘,然后查看摘要可知其开始逻辑区块地址为32213303296
4
首先从摘要中可知每个扇区的大小为512Byte
然后系统盘共62,910,464个分区,再做一下简单的乘法得到物理大小应为
32,210,157,568 Byte
5
通过摘要可知应该是NTFS
6
把分区挂载为本地磁盘,打开DiskGenius可知一个簇大小为4096所以包含8个扇区
7
由摘要可知$MFT的物理起始扇区位置是:
69,208,064
8
在取证大师中使用搜索找到SOFTWARE并导出
在取证大师的取证结果中找到系统安装时间为2018-10-25 16:08:39(UTC+8时间)
再减去8h得到UTC时间2018-10-25 08:08:39
9
在取证大师->取证结果->用户信息->victor 查询可知:
Victor的SID为1001
10
在取证大师->取证结果->用户信息->Lily 查询可知:
Lily的SID为1003
11
在取证大师->取证结果->用户信息->victor 查询可知:
victor上次修改密码时间是2018-10-25 16:08:37 +8
12
在取证大师->取证结果->用户信息->Lily 查询可知:
Lily上次修改密码时间是2018-10-30 12:30:40 +8
13
在取证大师->取证结果->用户信息->victor 查询可知:
Victor一共登录了36次
14
在取证大师->取证结果->用户信息 查询可知:
Administrator已被禁用
15
在取证大师->取证结果->用户信息 查询可知:
simon属于Guest组,权限最低
16
在取证大师->取证结果->账户登录 中并没有发现有账户远程登录,猜想可能是远程登入已被禁止
将镜像使用火眼仿真取证挂载得知远程登入被禁止
17
在取证大师->取证结果->系统信息中查询可知
18
在取证大师->取证结果->系统信息中查询可知
19
使用火眼仿真仿真登录victor账户,打开设备与打印机,可知默认打印机为CutePDF Writer
20
在取证大师->时间线->2018-10-31中查找得知simon曾使用Reddy Resume.doc
21
在取证大师中可知wps曾运行过
打开火眼仿真,运行wps文字得到最近使用的打开记录
22
使用火眼仿真登录victor账户,打开默认程序可知:
victor的默认网页浏览器是Firefox
23
在取证大师->取证结果->回收站删除记录可知:
删除的文件名是捕获.PNG
或者打开火眼打开回收站直接看
24
直接在火眼仿真上把文件还原后可知:
文件删除前在桌面上,路径为:C:\Users\victor\Desktop
在取证大师->取证结果->回收站删除记录找到捕获.PNG,右键跳转到源文件
后找到同文件名开头为I的文件,在下面预览可知原路径
25
在取证大师->搜索->request for quotation.lnk->系统痕迹->快捷方式解析 可知:
目标路径是:C:\Users\victor\Desktop
26
在取证大师->搜索->request for quotation.lnk->证据文件->命中文件名 可知:
上一次开启时间是: 2018-11-01 14:51:25 +8
27
在取证大师->搜索->request for quotation.lnk->系统痕迹->快捷方式解析 可知:
mac address是:E4:A7:A0:CB:66:C7
28
在取证大师->取证结果->邮件解析可知:
使用的是Mozilla Thunderbird
29
在取证大师->取证结果->系统痕迹->系统信息->网络配置->网络连接 可知
系统经192.168.72.128联网
30
在取证大师->取证结果->系统痕迹->USB设备使用痕迹 可知
系统曾连接过SanDisk Cruzer Fit USB Device
31
在取证大师->取证结果->系统痕迹->USB设备使用痕迹 可知
SanDisk Cruzer Fit USB Device挂载的盘符是F盘
32
在取证大师->取证结果->系统痕迹->系统信息 查得最后一次关机时间是2018-11-02 18:47:51 UTC +8 所以系统最后一次关机时间是:
2018-11-02 10:47:51
33
在取证大师->取证结果->系统痕迹->系统信息 查得计算机主机名为:
VICTOR-HOME
34
在取证大师->取证结果->系统痕迹->系统时间更改 可找到之前的名称是:
WIN-6S2GC51RGL9
35
在取证大师中搜索查看日志可知WIN-6S2GC51RGL9更改为VICTOR-HOME的时间是:
2018-10-25 16:07:38 +8
36
在取证大师->取证结果->邮件解析 可知victor日常使用的电邮账号是:
victor201811@hotmail.com
37(疑似答案错误)
在取证大师->取证结果->邮件解析 可知victor201811@hotmail.com最后一次更改密码时间是:
2018-10-31选 C
38
在取证大师->取证结果->邮件解析 可知victor收到勒索电邮的时间是:
2018-11-02 17:09 +8
39
在取证大师->取证结果->邮件解析 可知发件人IP为
220.246.55.13
40
将文件导出后计算MD5值为:
15B64B15CC5A5442196471690D4A088B
41
查询时间线后发现在2018-11-02 17:13 +8病毒文件被执行
42
会开机自启动,通过javaw.exe执行
43
查询时间线后发现,在运行病毒后生成了:
JNativeHook_4940080920928265976
44
导出该dll,丢入winhex里细品,发现函数org.jnativehook.keyboard.NativeKeyEvent功能应该是追踪键盘记录
还发现函数org.jnativehook.mouse.NativeMouseEvent,其功能是对鼠标记录
45
在取证大师->取证结果->系统痕迹->安装软件 中发现安装的输入法是:
搜狗拼音
46
打开火眼仿真可知,操作系统自动和time.windos.com自动同步
47
由48题可知,法政人员做了制作内存镜像档
48
取证大师查看应用程序访问记录得知运行了Magnet RAM capture.exe
49
查询时间线,发现储存为:victor_PC_memdump.dmp
50
查询后得知归档于F盘
