跳转至

美亚杯2020 - 团体赛 Daniel部分 Write Ups

127 Daniel的桌上计算机的哈希值(SHA-256)是甚么?

在取证大师中计算SHA256即可。

推荐konge师傅写的快速快速哈希计算工具:EWF-FastHash


128 该桌上计算机操作系统储存在哪个分区上?

在火眼取证软件或取证大师中查看。

但是存在问题,两个软件看到的分区编号不同,火眼中直接跳到了分区3。

image-20201123084054897

image-20201123085936529


129 在桌上计算器机中找到Daniel的电子邮件地址是甚么?

在火眼或取证大师中查看,也可以仿真后打开Outlook查看。

image-20201123084922661

image-20201123090044615


130 该恶意软件感染源是甚么?

邮箱中可以看到一个主题为“Paypal Upadate”的邮件的发件地址并非官方邮箱。邮件内容在引导用户访问一个带有密码的短网址。使用火眼的跳转到源文件功能即可找到邮件文件。

image-20201123084957210

image-20201123085002971

另外,当使用取证大师查看邮件时,经常会出现崩溃的情况。辣鸡取证大师


131 在Daniel的桌面上发现了甚么恶意软件?(某些字符被刻意用*遮盖)

在Download文件夹中找到了名为video viewer 3.1.2.4.exe的恶意软件(并不在桌面上)。在Chrome的历史记录中可以看到在打开邮件后一分钟之内,访问了Google Drive,文件名为videoviewer3.1.2.4.zip

image-20201123091342880

image-20201123092116553


132 该恶意软件的哈希值(SHA-256)是甚么?


133 该恶意软件的功能是甚么?

在IDA中逆向,看到程序在powershell中执行了base64编码的命令。解码之后可以看到该程序调用了系统内核dll。

image-20201123085248302

image-20201123085253406

如果导出文件,在导出的过程中查毒软件就会拦截,并指出这是一个木马病毒。

image-20201123093313500


134 Daniel的MacBook 计算机的哈希值(SHA-1)是甚么?


135 Daniel的MacBook 计算机中有多少个分区?

使用火眼加载查看即可。


136 Daniel的iPhone的操作系统是甚么版本?

137 Daniel的iPhone的wifi mac地址是甚么?

138 Daniel的iPhone的IMEI是甚么?

iphone备份有密码,密码为弱口令1234。自动分析后在基本信息中查看。

image-20201123095043288

如果无法猜解密码,则需要查看备份文件中的info.plist

image-20201123095339587

手机的MAC地址在火眼中无法自动识别,需要查看\lockdown\device_values.plist文件。

image-20201123095723341


139 iPhone上次连接WIFI的SSID是甚么?

猜解备份密码后在火眼中查看网络信息。


140 根据调查结果,以下哪项关于Daniel的选项是正确的?

结合电子邮件、木马等因素,可以判断出Daniel只是个电脑被种马的受害者。