20年美亚杯电子数据取证个人赛复现
最后更新时间:
案情背景
2020年9月,数名信用卡持有人向警方报案,指他们的信用卡被不知名人士在一家本地网上商店购买手机。订单大部分来自海外的网络地址,但有一宗订单来自本地。警方经调查后发现该本地网络地址的注册地址。上门后在该处发现陈慧贤,她否认与案件有关。
警方在现场检获一部笔记本计算机、一部手提电话及一个外置储存装置。在场的初步应变小队在检取证物前,曾为现场环境及证物拍照。另外, 调查队伍亦由网络供货商及网上商店取得了一些与案有关的资料。现在你被委派处理这宗案件, 请由以下的资料分析陈慧贤在本案中有否犯罪, 还原事件经过。
笔记本计算机的数码法理档案
Alice的笔记本计算机已成功被取证并制作成镜像(Forensic Image), 下列哪个是镜像的SHA-1哈希值?
启动火眼仿真和分析,账号如下
计算SHA-1:
EB4854774B68058E5B327907DB2AC40AAA2E7DEDAlice的笔记本计算机安装了哪个操作系统(Operating System)?
在Alice的笔记本, 创建用户帐户的SID是甚么?
SID是什么?
SID也就是安全标识符(Security Identifiers),是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的 SID。Windows 2000 中的内部进程将引用帐户的 SID 而不是帐户的用户或组名。如果创建帐户,再删除帐户,然后使用相同的用户名创建另一个帐户,则新帐户将不具有授权给前一个帐户的权力或权限,原因是该帐户具有不同的 SID 号。安全标识符也被称为安全 ID 或 SID。
在Alice的笔记本,用户的最后登录时间是甚么时候?(本地时间)
在Alice的笔记本,最后登录的用户名称是甚么?
Alice
Alice笔记本计算机的名称是甚么?
在Alice的笔记本, 最后登录的用户何时更改了Windows登录密码? (当地时间)
Alice笔记本计算机的时区是甚么?
UTC+8:00指的是CST,即中国标准时间
在Alice的笔记本, OS分区的文件系统是甚么?
计算机上预设安装了甚么浏览器?
在Alice的笔记本,哪个是最常用的浏览器?
看数据量可以知道是Edge,然而选项里没有
在Alice的笔记本, 最常用的浏览器是甚么版本?
在Alice的笔记本, Alice浏览了哪个在线商店的网站
在Alice的笔记本, 受害人的信用卡号是甚么?(Ho PCKYI-电子邮件:shy1211@mtzh.gow.tw)
我们在最近访问中(以及邮箱的垃圾箱里)找到了两个可疑的txt文件,其中R3ZZ中有一系列银行卡号以及所对应的受害者IP。我们尝试搜索
shy1211@mtzh.gow.tw
在Alice的笔记本, 受害人的信用卡CSC号码是甚么(何PCKYI-电子邮件:shy1211@mtzh.gow.tw)
同上,112
顺便了解一下啥时CSC
信用卡安全码(英文:Card Security Code)是信用卡在进行网络交易和电话交易时的一个安全特征。它通常是印刷在信用卡上面的3或4位数字,用于证实付款人在交易时是拥有信用卡的,从而防止信用卡欺诈。
信用卡的有效期(exp)
填写的格式一般是 月/年 比如说0912 就是有效期到2012年9月
除了上述在USB 找出ZIP文件,请找出相同ZIP文件的路径?
USB上的ZIP文件如下
而在电脑中
Partition 3\Users\Alice\Downloads路径下同样含有Downloads.7z
ZIP文件的哈希值(SHA-256)是甚么?
88F68F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850BBA74B7E59B8ZIP文件的修改时间是多少?(当地时间)
USB驱动器在Alice笔记本计算机上的最后插入时间是何时?(当地时间)
解压的ZIP文件内有哪些文件?
可以看到就是我们已经知道的这几个文件,在访问记录中都能找到(虽然压缩包被加密了
“ ZIP文件中发票的哈希值(SHA 256)是多少=发票(1) 名称:WhatsApp Image 2020-09-29 at 18.35.25.jpeg”
注意别找错了
F4C391A38AB82AD19EDB2B7402DA31F52006C3B4B018F859A451B839878D3EE4“ ZIP文件中发票的哈希值(SHA 256)是多少=发票(2) 名称:WhatsApp Image 2020-09-29 at 18.37.47.jpeg”
2DAFCC2552A7337844B90F0AB5CDA85BF2F5A71A635E0D3B05731C95937D21F5Alice笔记本计算机上安装了哪种电子邮件软件?
仿真之后桌面上即可看到
Alice笔记本计算机上的电子邮件软件的版本是甚么?
同上
Outlook 2016Alice笔记本计算机登录电子邮件软件的电子邮件帐户是甚么?
alicechen741@gmail.comAlice在上述电子邮件对话中获得了哪些数据/文件?
该电子邮件的发信者的电子邮件地址是甚么?
同上
bobcheung123@gmail.com上述已收的电子邮件, 发件人的IP地址是甚么?
火眼并没有配置这方面功能,只能手动搞
https://mxtoolbox.com/EmailHeaders.aspx这个网站可以帮助分析
在笔记本, Alice的电子邮件地址是甚么?
alicechen741@gmail.com除了Alice,还有其他电子邮件地址与该骗局有关吗?
bobcheung123@gmail.com哪些人有AP和主脑之间的电子邮件记录?有文件传输吗?
Alice和Bob 有文件传输(这几道题算是对前面的梳理吧
在ZIP 文件中, 有多少受害人的信用卡数据被盗?
7
已被黑客盗用其信用卡资料购买的受害者是谁?
这个应该就是体现在那两个账单上了吧,打开看看
被盗用的内容是甚么?
姓名 CSC Credit Number -> C
这俩说实话感觉不太能对上
手提电话的数码法理档案
Alice的手机型号是甚么?
是G3还是G4捏?
公安照片里对比一下就知道了 G3
Alice手机的操作系统版本是甚么?
Alice手机的总储存空间是多少?
这个公安照片里也有
32GB
在Alice 手机, IMG-20200929-WA0002的创建时间是甚么?(本地时间)
在Alice 手机,IMG-20200929-WA0004的创建时间是甚么?(本地时间)
IMG-20200929-WA0002和IMG-20200929-WA0004的元数据和相机型号是甚么?
在Alice 手机, 预设浏览器浏览历史记录的文件在哪里?
储存Chrome浏览历史记录的文件是甚么?
Alice手机的Whatsapp ID和账户名称是甚么?
与Bob和Cole的最后WhatsApp的时间是甚么?(本地时间)
在群聊里
主脑的名字是甚么?
群聊可以看出是Bob和Cole
Alice,Bob和Cole之间的WhatsApp群组的ID和名称是甚么?
哪一个表,显示了聊天群组“ Big Big Club”的创建时间?(本地时间)
由路径找到一个数据库,导出加载,在chat表,咋都有….
聊天群组“ Big Big Club”是甚么时候创建的?(本地时间)
Alice是否曾经登陆whatsapp网站?如果有的话,她是在何时登入? 所用的是甚么浏览器? (提示:在移动取证图像上找到结果)(UTC +0)
浏览器记录里没有能直接找到,提示了在图像上找到结果。首先短信中存在登录验证码
Edge 注意差8小时时差
Alice如何收到这笔钱?钱包地址是甚么?
注意看聊天记录
“Deleted by the sender”的media_wa_type是甚么?
以为是某个接口,原来是数据库的某个字段
仔细看群聊有一条被删除消息
时间
2020-09-18 10:59:31-> 转成时间戳然后去数据库里查相应字段1600397971
Alice手机的Wifi MAC地址是甚么?
没找到
外置储存装置的数码法理档案
Alice USB驱动器内的ZIP档案的密码是甚么? (某些字符被刻意用*遮盖)
底下的是对的
Alice USB驱动器内的哪一个程序是用作储存秘密数据?
里面还有一堆apk,其中有一个Messagesecure.apk,可以用图片来加密信息,USB中刚好还有一张图片。密码的话应该就是电脑贴纸上另外一个
G889#h
打开秘密讯息的密码是甚么? (某些字符被刻意用*遮盖)
同上,
G889#hUSB驱动器内,其中一个档案的秘密讯息是甚么? (某些字符被刻意用*遮盖)
bob iphone pw is 1144贴在笔记本计算器机上的密码有甚么用途?
从文件中恢复安全消息
Alice USB驱动器内的档案有甚么种类?
算是总结? PNG, ZIP, APK, 7Z
Alice USB驱动器的哈希值(SHA-256)是甚么?
528D94ED83F41C356B0588C2C21ECF563E9D8CA66ED6D97A3D57C26291854DFF在USB驱动器中找到的ZIP文件(Downloads.7z),它的哈希值(SHA-256)是甚么?
88F68F8755E1F76107D6EE2134ED32BABBC91F0B44C7C0EE3850BBA74B7E59B8在Alice的USB内, ZIP文件的最后修改时间是?
