Peter_Matthew的博客

复现 CPPU第五届“精武杯”电子数据取证竞赛

2021-05-19

本文共2,475字,大约需要阅读8分钟。

案情简介

某市公安机关在侦办一起贩毒案件中,抓获嫌疑人王勇,缴获毒品数十克。通过现场勘查,扣押了犯罪嫌疑人王勇的一台计算机、两部手机、及一个 U盘,现已将证据进行固定并生成镜像(备份)文件,请对以上检材进行取证分析。

检材列表

  • 检材1-Wangy Disk.E01
  • 检材2-Wangy U.E01
  • 检材3-iphone backup.rar
  • 检材4-Huawei Backup.rar
  • 涉毒样本库.xml

所需工具

  • 取证大师(FMP)
  • 手机大师
  • 火眼证据分析软件
  • 火眼证据仿真软件

预处理工作

用取证大师跑检材1和检材2,用手机大师跑检材3和检材4,用火眼证据分析软件跑检材1至4。
在跑的时候要将所有的选项都点上(至少我是这么做的,我的电脑取证大师和手机大师都是很快跑完的,火眼可以后台慢慢跑)。

问题

注:此顺序为美亚发的pdf文件中的顺序,和实际比武时的顺序有出入,不影响答案正确性。

第一关

通过对计算机检材的用户痕迹分析,找出该对象关闭计算机前最后访问的文档,请写出其文件名(格式如: abc.txt)。(3分)

在取证大师中,查看取证结果,找到检材1的用户痕迹—最近访问记录—最近访问的文档,将文档按照最后访问时间降序排序,第一个文件即为所求。
cppuqz2021-1
答案:wang.txt

第二关

请对所给检材进行分析,找出 BitLocker 驱动器解密的恢复密钥(格式如: 139689-758052-869353-054631-172373-167809-346820-267891)。(4分)

BitLocker恢复密钥的结构为48位数字,每六位数字一组中间用“-”隔开,本题可以利用正则表达式用原始数据搜索找到;也可以用数据恢复—格式化恢复,选中检材2恢复即可看到。
cppuqz2021-2
答案:239019-657052-019393-056331-170973-182809-325820-284911

在此关通过后,最好使用恢复密钥串将驱动器解密,然后再进行一次自动取证,收集到所有信息。

第三关

请使用取证大师软件找出该对象即时通讯工具“SKYPE”账号关联的邮件地址(格式如: abc123@abc.com)。(4分)

在取证大师中,查看取证结果,找到检材1的即时通讯—SKYPE—petter.petter56的资料信息,电子邮件即为所求。
cppuqz2021-3
答案:64906054@qq.com

第四关

请对检材分析,获取邮箱账号“wangy2015@sina.com”的密码(格式如: wwyong123)。(4分)

在取证大师中,查看案例概览,找到检材1的密码列表,第一个即为所求。
cppuqz2021-4
答案:wangy0401

第五关

请写出对象的iCloud同步账号(格式如: wope123@icloud.com)。(4分)

在手机大师中,查看取证结果,找到检材3的文件信息—同步账号,第一个即为所求。
cppuqz2021-5
答案:wangyong000328@icloud.com

第六关

请对检材分析,获取该计算机Windows操作系统可疑登录密码(格式如:13678929322)。(4分)

用火眼镜像仿真检材1进入登录画面,得到密码提示为Tel,即电话号码。
cppuqz2021-6-1
接着在手机大师中,查看取证结果,找到检材3的文件信息—备忘录,可以看到第一个备忘录的内容是“登录密码:18900001111”。结合我们刚刚仿真得到的密码提示,我们使用这个手机号码登录,确认了这个登录密码指的是操作系统的登录密码。
cppuqz2021-6-2
答案:18900001111

第七关

请对检材分析,提取记录有常联络QQ好友的文档,写出涉案QQ好友“信”的真实姓名(格式如:林市中)。(5分)

在取证大师中,查看取证结果,找到检材1的文件分析—文件分类—办公文档—Word文档中的“常联络QQ好友信息.doc”,文件内容中记录的第一个QQ相关信息即包含答案。
cppuqz2021-7
答案:陈音信

第八关

通过对计算机检材JPG格式图片进行数据恢复,请写出物理扇区为21936520图片的逻辑大小(格式如:1029字节)。(5分)

在取证大师中用数据恢复—签名恢复,设置参数为图片—JPEG图片,选中检材1恢复,在分区3_本地磁盘[E]中,按照物理扇区排序,找到物理扇区为21,936,520的图片,在摘要中即可看到逻辑大小。
cppuqz2021-8
答案:649380字节

第九关

请找出对象计算机中涉案图片“块. jpg”,并计算解密后的MD5值(格式如:35A437BF4B1F84193CA7D74EAO3D69FF)。(6分)

通过第六关,我们用火眼镜像仿真检材1进入Windows操作系统,找到图片文件,对图片右键,选择属性,点击高级,将保护关闭。
cppuqz2021-9-1
然后我们将解密的文件计算MD5值即可。
cppuqz2021-9-2
答案:21E6371F841BF474EA037DD69FFB93CA

第十关

根据对检材中邮件的解析,提取邮件附件压缩包甲的涉案图片“猪头肉.jpg”,请写出其MD5值(格式如:35A437BF4B1F84193CA7D74EAO3D69FF)。(6分)

我没有做出来。

答案:2bce78b48c8e55240030734c21041b02

第十一关

通过提取检材中7月-10月的话单,对话单进行关联分析,请写出与该对象四个月联系次数最多的联系人手机号码(格式如:13812345678)。(4分)

在取证大师中,查看取证结果,找到检材1的文件分析—文件分类—办公文档—Excel电子表格中的“2016年07月全部详单.xls”、“2016年08月全部详单.xls”、“2016年09月全部详单.xls”和“2016年10月全部详单.xls”。
cppuqz2021-11-1
将文件内容中记录的信息合并到一个Excel文件中。
cppuqz2021-11-2
使用Excel自带的函数MODE.SNGL统计出出现次数最多的号码。
cppuqz2021-11-3
答案:15659832975

第十二关

通过提取检材中7月-10月的话单,对话单进行关联分析,请写出该对象与李四的通话总时长(格式如:45678秒)。(4分)

在手机大师中,查看取证结果,找到检材3的文件信息—通讯录—手机,找到李四的手机号。
cppuqz2021-12-1
使用第十一关制作的Excel文件,筛选出李四手机号对应的记录。
cppuqz2021-12-2
使用Excel自带的函数SUBTOTAL将通信时长加和即可得到结果。
cppuqz2021-12-3
答案:131828秒

第十三关

通过对检材分析,获取对象7月-10月的收支记录,请统计这四个月的净收入(格式如:23.8万)。(5分)

在手机大师中,查看取证结果,找到检材3的文件信息—备忘录,可以看到后个备忘录的标题和内容分别是7-10月的开支情况。我们将净收入加和即可得到答案。
cppuqz2021-13
答案:35.8万

第十四关

通过题目中提供的“涉毒样本库.xml”文件,分析提取计算机检材中涉案的文件,请填写命中的文件个数(格式如:2)。(5分)
打开“涉毒样本库.xml”,复制第一个样本文件的MD5值。
cppuqz2021-14-2
在取证大师中,选中所有文件后,计算所有文件的MD5值,筛选出MD5值对应的文件。
cppuqz2021-14-1
跳转到源文件,可以找到其余三个MD5值对应的文件,同时可以找到4个文件经过修改的对应文件,涉案文件一共八个。
cppuqz2021-14-3
答案:8

第十五关

通过对检材分析,请找出王勇的支付宝账号(格式如:abc123@qq.com)。(6分)

在火眼取证分析中,查看分析页面,找到检材1的微软便签(Sticky Notes),第一个便签的内容即为答案。
cppuqz2021-15
答案:wy1080@163.com

第十六关

请对嫌疑人手机检材进行分析,写出SSID为“leo”的WiFi密码(格式如: abc123)。(6分)

在火眼取证分析中,查看分析页面,找到检材4的基本信息—Wi-Fi连接记录,第二条记录对应的密码即为答案。
cppuqz2021-16
答案:qwer1350

第十七关

请对嫌疑人手机检材进行分析,找出联系人为“大山”的手机号码(格式如:18912345678)。(6分)

在手机大师中,查看取证结果,找到检材4的文件信息—通讯录—手机,可以找到大山的手机号。离谱的是姓名和手机号码居然是反的。
cppuqz2021-17
答案:18725715233

第十八关

通过对检材的综合分析,找到王勇供货上线的微信号(格式如: abcd123)。(5分)

在取证大师中,查看取证结果,找到检材1的文件分析—文件分类—办公文档—Word文档中的“1.docx”,文件内容中记录的微信号码相关信息即为答案。
cppuqz2021-18
答案:13800100809

第十九关

通过对检材的综合分析,请写出涉案关系人“李四”的真实姓名(格式如:李发)。(7分)

在取证大师中,查看取证结果,找到检材1的即时通讯—SKYPE—petter.petter5—聊天消息—好友聊天消息—tin12317。通过对聊天内容中“小李”、“四”等词,我们不难分析出该好友即为“李四”,根据一条消息中的“另一个手机号是18684676356”,我们得到了李四的另一个手机号。
cppuqz2021-19-1
在手机大师中,查看取证结果,找到检材4的文件信息—通讯录—手机,可以找到手机号对应的姓名,即为李四的真实姓名。离谱的是姓名和手机号码居然是反的。
cppuqz2021-19-2
答案:李安

第二十关

通过对检材进行分析,根据对象记录账号的文档,请获取百度网盘的登录密码(格式如: abc123)。(7分)

找到了“Accounts .docx”但不知道密码。。。
答案:yong168

标签: 复现
使用支付宝打赏
使用微信打赏

若你觉得我的文章对你有帮助,欢迎点击上方按钮对我打赏

扫描二维码,分享此文章