第一部分:个人赛
Eden有丰富的业余爱好与特殊的职业。他是一个恋童癖,超爱收集儿童色情相关的东西。他也是一个臭名昭著的匪徒,其敛财的主要手段主要有:裸聊敲诈;制造炸弹;假币制造;通过编写及分发病毒邮件盗窃用户信息;在线拍卖平台欺诈(在用户付款之后,却不寄送出所拍物品)等等。
Eden最近被逮捕,他的电脑也被没收了并送至法证取证检查处。你是一个数字取证调查员,并且接到了Eden被送检的硬盘。你负责调查Eden曾经是否进行过任何的非法活动。在取得了硬盘的法证镜像之后,请解答如下问题:(总分25分)
-
请找出如下windows XP系统信息:(10分)
a. 系统安装时间 (YYYY/MM/DD)
(2015/08/07)
b. 系统版本号
5.1 
c. 系统产品编号
14 产品ID 76481-641-1471224-23942 Microsoft Windows XP 正常
d. 注册者名称
Test 
e. 该计算机所设定的时区
UTC+8 
f. 最后登录日期(YYYY/MM/DD)
2015/08/10 14:59:48
g. 最后关机时间(hh:mm)
18:23:38
h. IP地址
192.168.180.129
i. MAC地址
j. 硬盘标记(Disk signature)
- 请给出桌面图片所对应的MD5值。(1分)
A2483E6CF77752B0C78667D3688DC9C9
解析: win7系统中主题壁纸存放位置:
1、系统自带的壁纸在C:\WINDOWS\Web\Wallpaper里面;
Win10 C:\Users\您的用户名\AppData\Local\Microsoft\Windows\Themes
-
曾经有USB存储设备连接至计算机,请列出该USB存储设备的S/N号码。(1分)
CCBB1410081257510038214000
-
“Eden”, “Jess”, 及 “Eddie”之间是否有非法的行为?请理清三人之间非法行为的关系,并将相应的非法行为从选项中填写至相应的横线中。(3分)
a. fa__
b. ce
c. __a
A.儿童色情
B. 裸聊敲诈
C. 制造炸弹
D. 假币制造
E. 病毒”MS040.exe”
F. 线拍卖平台欺诈
- 该用户是否有如下的不法行为,若有请列举相关证据。请在纸质答题纸上作答,并在答题纸的右上角写上“学校名称+姓名”(10分)
a. 儿童色情
b. 裸聊敲诈
c. 制造炸弹
d. 假币制造
e. 病毒”MS040.exe”
f. 线拍卖平台欺诈
Acdef
6.jpg 7.jpg 8.jpg 9.jpg 10.jpg
分区1_本地磁盘[C]:\Documents and Settings\Administrator\My Documents\儿童色情\6.jpg
分区1_本地磁盘[C]:\Documents and Settings\Administrator\My Documents\儿童色情\7.jpg
分区1_本地磁盘[C]:\Documents and Settings\Administrator\My Documents\儿童色情\8.jpg
分区1_本地磁盘[C]:\Documents and Settings\Administrator\My Documents\儿童色情\9.jpg
分区1_本地磁盘[C]:\Documents and Settings\Administrator\My Documents\儿童色情\10.jpg
炸药制作
military_manual_explosives_demolitions_540.jpg
[C]:\Documents and Settings\Administrator\My Documents\炸药制做\military_manual_explosives_demolitions_540.jpg
Thumbs.db
[C]:\Documents and Settings\Administrator\My Documents\炸药制作\Thumbs.db
假钞
10Dollar.jpg [C]:\Documents and Settings\Administrator\My Documents\钱\10Dollar.jpg
10HKD-cash.jpg [C]:\Documents and Settings\Administrator\My Documents\钱\10HKD-cash.jpg
10HKD-coin.jpg [C]:\Documents and Settings\Administrator\My Documents\钱\10HKD-coin.jpg
20HKD.jpg [C]:\Documents and Settings\Administrator\My Documents\钱\20HKD.jpg
10HKD_Front.jpg [C]:\Documents and Settings\Administrator\My Documents\钱\10HKD_Front.jpg
Ms040
fox(08-10-17-11-13).html ttc/MS040.exe [C]:\Documents and Settings\Administrator\Application Data\Foxmail7\Temp-856-20150810150100\fox(08-10-17-11-13).html
第二部分:团体赛
审问Eden之后发现,他的朋友Johnson不仅仅是一个黑客,更是一个电脑高手。Johnson开发并传播不少应用程序,其中也包括窃取网站敏感信息的恶意软件。Johnson曾经通过邮件发送一个网络数据dump给Eden,用以展示其中一个恶意软件的违法行为。
随后他因为挪用公款、窃取公司重要的客户信息而被起诉。据悉,有目击者称看到Johnson当日驾车从公司离开,而当日驾车行驶记录可作为他本人是否来往公司窃取数据的重要证据。
近日,Johnson被逮捕,他的电脑也被没收了并送至法证取证检查处。经过初始简单查看之后,警方发现在他的windows 7 系统里面安装了一个Linux的虚拟机。你是一个数字取证调查员,受警方委托接到了Johnson被送检的硬盘。你负责调查Johnson的电脑中是否有为了推广恶意软件而对外发送的网络数据包、所窃取的客户信息、及行车记录。在取得了硬盘的法证镜像之后,请解答如下问题:(总分35分)
-
请给出相应Linux虚拟机所在的文件夹名称:(1分)
VM-Ubuntu
-
请在Johnson的电子邮件中找出相应的网络数据包,并提供如下信息:(2分)
a. 网络数据包的名称及后缀名(例如:readme.txt)
b. 网络数据包的md5值
a traffic-analysis-exercise.pcap
41D34D07AA81F3CB5EE12315CC5C88A9
3. 被恶意软件感染的电脑的主机的信息:(3分)
a. 主机名
b. IP地址
c. MAC地址
点击邮件链接右键属性看到域名
b. IP 地址:37.200.69.143
c. MAC 地址:00:50:56:f3:ca:52
4. 在该事件中被利用的网站的基本信息:(2分)
a. IP地址 82.150.140.30 [www.ciniholland.nl]
b. 域名
-
传播该漏洞/病毒网站的基本信息(2分)
a. IP地址b. 域名
a. IP 地址:93.184.216.34
b. 域名:http://www.example.com
6. 重定向URL所指向的漏洞利用工具包的到达网页域名是什么?(1分)
-
除了到达页面(含有CVE-2013-2551IE漏洞),漏洞利用工具包还发送了其他的漏洞。请从下列选项中选择出相应的漏洞:(1分) b
I. Flash漏洞
II. IE漏洞
III. Windows漏洞
IV. office漏洞
V. Java漏洞
a. I & II
b. I & V
c. II & IV
d. III & V
e. II & IV -
恶意代码的有效载荷(payload)总共被传递了几次?(1分)
-
被利用的网站中哪个文件或网页中含有重定向URL链接的恶意脚本?(2分)
A. Index Page
B. Second Page
C. Third Page
D. Fourth Page
E. Fifth Page
10.请提取出该网络数据包中恶意程序/文件,并选择出对应的两个MD5值:(2分)
I. 7b3baa7d6bb3720f369219789e38d6ab
II. c45e9f2a3954e44296c1178c3a3d2b28
III. 1e34fdebbf655cebea78b45e43520ddf
IV. 6ccb3791c0b857158ffd1dabb0a49695
V. 2cc9bd30cd18cdc8884b3cc837e7a3cd
a. I & IV
b. I & III
c. II & V
d. III & IV
e. III & V
11.Linux系统的基本信息:(6分)
a. 系统安装日期(YYYY/MM/DD)
+15小时
2015-08-27
b. Linux系统版本号
14.04
c. 最后登录日期(YYYY/MM/DD)
2015-09-04
d. 最后关机时间(hh:mm)
e. IP地址
192.168.220.129
f. 请选择哪一个是终端Terminal的最后1个命令
sudo fdisk -l
12.被窃取的客户信息是一个mysql数据库,请提供mysql数据库基本信息:(共5分)
g. Mysql版本(1分)(例如:1.1)
h. DB数据库存储地址\存储路径(1分)(例如:/sys/dev/)
/var/lib/mysql
i. 数据库表名称(1分)
j. 请提供数据库中名字Name为Jessamine B. Underwood的电话、信用卡号、密码、及Email记录(2分)
Name
Phone
Credit_Card_Number
Password
Email
13.你能从电脑中找到任何的Johnson所盗取的公司进出账记录么?如果有的话,请协助提供如下信息:(2分)
a. 进出账记录的文件名(例如:readme.txt):
b. 在该记录中,Johnson借款金额为:
14.你能从电脑中找到行程记录仪所记录的视频或者地图截图么?如有,请列举其文件类型及对应MD5值。请在提供的白纸中作答,并在右上角填写“学校名称”。(5分)
文件类型 MD5
1
2
3
4