美亚杯2020 - 团体赛 Daniel部分 Write Ups¶
127 Daniel的桌上计算机的哈希值(SHA-256)是甚么?¶
在取证大师中计算SHA256即可。
推荐konge师傅写的快速快速哈希计算工具:EWF-FastHash
128 该桌上计算机操作系统储存在哪个分区上?¶
在火眼取证软件或取证大师中查看。
但是存在问题,两个软件看到的分区编号不同,火眼中直接跳到了分区3。
129 在桌上计算器机中找到Daniel的电子邮件地址是甚么?¶
在火眼或取证大师中查看,也可以仿真后打开Outlook查看。
130 该恶意软件感染源是甚么?¶
邮箱中可以看到一个主题为“Paypal Upadate”的邮件的发件地址并非官方邮箱。邮件内容在引导用户访问一个带有密码的短网址。使用火眼的跳转到源文件功能即可找到邮件文件。
另外,当使用取证大师查看邮件时,经常会出现崩溃的情况。辣鸡取证大师
131 在Daniel的桌面上发现了甚么恶意软件?(某些字符被刻意用*遮盖)¶
在Download文件夹中找到了名为video viewer 3.1.2.4.exe
的恶意软件(并不在桌面上)。在Chrome的历史记录中可以看到在打开邮件后一分钟之内,访问了Google Drive,文件名为videoviewer3.1.2.4.zip
。
132 该恶意软件的哈希值(SHA-256)是甚么?¶
133 该恶意软件的功能是甚么?¶
在IDA中逆向,看到程序在powershell中执行了base64编码的命令。解码之后可以看到该程序调用了系统内核dll。
如果导出文件,在导出的过程中查毒软件就会拦截,并指出这是一个木马病毒。
134 Daniel的MacBook 计算机的哈希值(SHA-1)是甚么?¶
135 Daniel的MacBook 计算机中有多少个分区?¶
使用火眼加载查看即可。
136 Daniel的iPhone的操作系统是甚么版本?¶
137 Daniel的iPhone的wifi mac地址是甚么?¶
138 Daniel的iPhone的IMEI是甚么?¶
iphone备份有密码,密码为弱口令1234。自动分析后在基本信息中查看。
如果无法猜解密码,则需要查看备份文件中的info.plist
手机的MAC地址在火眼中无法自动识别,需要查看\lockdown\device_values.plist
文件。
139 iPhone上次连接WIFI的SSID是甚么?¶
猜解备份密码后在火眼中查看网络信息。
140 根据调查结果,以下哪项关于Daniel的选项是正确的?¶
结合电子邮件、木马等因素,可以判断出Daniel只是个电脑被种马的受害者。