2016年 第二届美亚杯个人赛write up – 作者:dng1314

2016年 第二届美亚杯个人赛write up

前景概要：

你会获得一个包含Hugo电脑硬盘的镜像文件，其文件名为“Competition_HD1.E01＂，该文件是由AccessData FTK Imager采集而来的。根据Hugo电脑硬盘的内容，请回答以下问题：

1. 请写下Hugo电脑硬盘的MD5哈希值。

解题：使用取证大师，计算Hugo电脑硬盘的MD5值

答案：f895fd18e47a5371aec6db72d0aedca7

2. 你能找到多少个硬盘分区？

解题：

方法1：：使用Mount Image或FTK Imger挂载磁盘镜像到电脑，打开winhex，看磁盘0号扇区MBR尾部，发现只有3个硬盘分区。

方法2：使用取证大师，查看硬盘分区数

答案：3

3. 根据主引導記錄（MBR），以下哪組偏移显示了包含操作系统分区的总扇区数？

解题：

先查看磁盘内的主要文件、文件夹，确定系统分区是分区2，使用winhex查看磁盘的MBR尾部，第二个分区的0C-0F偏移显示了包含操作系统分区的总扇区数，即偏移474-477

答案： 偏移 474-477

4. 根据主引導記錄（MBR），包含操作系统的分区的总扇区数是多少？

解题：同上题图，16进制为6176000，转换为10进制102195200

答案： 102195200 sectors

5.请找出系统文件“SOFTWARE＂，请问操作系统的安装日期是？

（答案格式－“世界协调时间＂：YYYY-MM-DD HH:MM UTC）

答案：2016-09-09 05:26 UTC

解题：使用取证大师，找到的时间是UTC+8所以应该注意-8小时

6. 用户“Hugo＂的唯一标识符（SID）是什么？（答案格式：RID）

答案： 1000

解题：使用取证大师查找用户名Hugo下的sid

7. 于包含操作系统的分区內，$Bitmap的物理起始偏移位置是什么？

（答案格式：256363）

答案：3219619840

解题：

方法1：使用取证大师找$Bitmap的物理位置减去，分区2的物理位置  3325526016-105906176 = 3219619840

方法2：使用Mount Image或FTK Imger挂载磁盘镜像到电脑，用winhex查看分区2，将$Bitmap的逻辑扇区号×512

即6288320 × 512 = 3219619840

8. 硬盘的操作系统是什么？

答案：    视窗7

解题： 使用取证大师找到操作系统。

9. 操作系统的最新服务包（Service Pack）版本号是什么？

答案： Service pack 1

解题：同上题图，图中序号10即为答案。

10. 其中一个分布式拒绝服务／拒绝服务工具的readme文件中声明“SECURITY TESTING PURPOSES ONLY！＂请找出该readme文件，并列出文件中的前十二字符？

答案： GoldenEye  =

解题：搜索文件名关键词readme，找到了该文件快捷方式，导出快捷方式对应的路径，找出该文件，打开文件后，找前12字符。

11. 一个用户拥有分布式拒绝服务／拒绝服务（DDOS／DOS）工具？

答案： Hugo

解题：同上题第一张图，图中下方红框里写有Hugo用户

12. 用户 “Hugo＂的收藏夹中是否含有任何与“黑客＂相关的链接？若有，请列举出相关链接。

（答案格式：http://123.com/abc.htm）

答案：https://0day.work/

解题：找Hugo上网记录中每个浏览器的收藏夹

13. Hugo有时会自己编写程序代码。请问Hugo用什么语言编写程序？

（答案格式：ProgramLanguageName）

答案： Python

解题： 找到他写的脚本后缀名是py

14. 请检查Hugo在桌面上的快捷方式文件，其中有一个快捷方式文件的创建日期是“2016-09-14＂（世界协调时间／UTC），请问该文件的目标位置是什么？

（答案格式：D:\folder\123.abc）

答案：C:\Users\Hugo\AppData\Local\Programs\Python\Python35-32\python.exe

解题：去Hugo桌面找到该快键方式，导出文件找其路径

15. 请找一个“shellcode＂的文件夹，该文件夹中含有一个用于连接HTC Touch2设备的程序。请列举出其中任何的电子邮件地址。

（答案格式：[email protected]）

答案：[email protected]

解题：通过搜索找到该文件夹，仔细反查里边文件内容，在15136.cpp中找到电子邮件地址。

16. Hugo承认曾经进行网络攻击诈骗，并且把诈骗金额记录在电脑中。请问，保存有诈骗金额记录的文件名是什么？

（答案格式：123.abc）

答案：Important.xlsx

解题：

方法1  由于记录的是诈骗金额，通常使用office或者txt文档形式记录，通过翻找Excel电子表格找到。

方法2  根据翻找常用文件夹，在我的文档里找到，

17. 在所有用户中，用于电子邮件发送/接收的程序名称是什么？

答案： Foxmail

解题：邮件解析中找到使用的软件名

18. 根据上述问题，请于注册表(registry)找出该电子邮件发送/接收程序的版本号。

（答案格式：1.3.4.5）

答案：7.2.7.174

解题：通过查找注册表

HKEY_USERS/Hugo/Sid/SOFTWARE/Aerofox/FoxmailPreview

19. Hugo的主要电子邮件地址是什么？

（答案格式：[email protected]）

答案：[email protected]

解题：通过找foxmail里找到他的主要邮件地址

20. 加分题︰Hugo有任何其他属于Google的电子邮件地址吗？

（答案格式：[email protected]）

答案：[email protected]

解题： 搜索关键词@gmail.com即可找到

21. Hugo编写了一个获取击键信息（k）的程序。请问，该程序的文件名是什么？

（答案格式：123.abc）

答案： malware.py

解题：同22题图，认真读python代码。

22. 根据上述问题，程序中攻击者的IP地址是什么？

（答案格式：123.123.123.123）

答案： 192.168.4.78

解题： 如图倒数第二行，即可见攻击装ip。

23. Hugo也编写了另一个程序，并存储在同一个文件夹中，该程序开启一个用于建立连接的端口。请问，该端口号是多少？

（答案格式：8080）

答案：443

解题：读代码，如图第四行

24. Hugo有时会注入恶意脚本到已经被攻击的网站中盗取PayPal的用户帐户和密码。请找到该脚本。请问，用于存储盗窃信息的文件名称是什么？

（答案格式：123.abc）

答案：Passwd.txt

解题：在我的文档下面找到了一段PHP代码，从代码中即可得知。

25. Hugo用于PayPal的网络钓鱼电子邮件，请问，该PayPal帐户号码是什么？

（答案格式：98-765-4321）

答案：12-976-9860

解题：找到该电子邮件，并读内容。

26. 根据上述问题，网络钓鱼电子邮件将链接到一个URL查看交易的细节。请问，该链接的URL是什么？

（答案格式：http://abc.com/abc.htm）

答案：http://158.69.201.134/login.html

解题：同上题图，图中下面框出。

27. 请问哪一个文件中保存了微软互联网浏览器的历史浏览记录？

（答案格式：123.abc）

答案：Index.dat

解题：找出微软浏览器的历史记录，并跳转到源文件

28. 根据上述问题，那个档案储存了Hugo的微软互联网浏览器的缓存记录（cache history）？（答案格式：C:\folder\subfolder\123.abc）

答案：C:\Users\Hugo\AppData\Local\Microsoft\Windows\TemporaryInternet Files\Content.IE5\index.dat

解题：方法同上题

29. 根据微软互联网浏览器的历史浏览记录，Hugo在2016-09-13，02:32:34（世界协调时间／UTC），曾访问域／主机的名称／地址是什么？

（答案格式：http://www.abc.com.cn）

答案：http://www.chiark.greenend.org.uk

解题：找IE的浏览记录，并按时间筛选。

30. 请找出Mozilla Firefox的互联网历史文本，上述文本的名称是什么？

（答案格式：123.abc）

答案： places.sqlite

解题： 方法同27 28题

31. 请检查视窗用户Hugo中的Mozilla Firefox互联网历史文本，他是在那一天（世界协调时间／UTC），访问网页www.xshellz.com？

（答案格式：YYYY-MM-DD）

答案： 2016-09-13

解题：搜索关键词www.xshellz.com

32. 请问哪一个文件中保存了Google Chrome浏览器的历史浏览记录？

答案：History

解题：方法同27 28 30题

33. 该电脑中可能含有Jason的相关信息，例如电子邮件地址。请问，Jason的电子邮件地址是什么？

(提示：21个字符)

答案： [email protected]

解题：认真找邮件，即可发现

34. 有没有发现其他可以与手机通讯的聊天程式？

（答案格式：ProgramName）

答案：WeChat

解题：在即时通讯软件中找到微信电脑版

35. 有没有发现任何包括安全文件传输功能的传输工具？

（答案格式：123.abc）

答案：WinSCP.exe

解题：在downloads文件夹里发现了该软件

36. 根据上述问题，该文件传输工具是从哪里下载的？

（答案格式：https://domain.abc）

答案：https://winscp.net

解题：在谷歌浏览器下载记录中找到

37. 根据上述问题，请问用户使用哪一个浏览器下载该文件传输工具？

答案： Chrome

解题：在谷歌上网记录中的下载记录可找到

38. 有没有发现任何已下载的远程访问工具？若有，请列举。

（答案格式：123.abc）

答案：putty.exe

解题：在Hugo的桌面上发现有putty.exe

39. 加分题︰根据远程访问工具，请问用户曾连接到哪一个主机名？

答案：shell.xshellz.com

解题：通过查找注册表

HKEY_USERS/Hugo/sid/Software/SimonTatham/PuTTY

乃哥QQ：562736788

来源：freebuf.com 2020-12-05 13:32:22 by: dng1314