抱歉,您的浏览器无法访问本站

本页面需要浏览器支持(启用)JavaScript


了解详情 >

BlackBird的博客

这世界上所有的不利状况,都是当事者能力不足导致的

案情简介

在一起电诈案件中,受害者称自己的银行卡被他人冒用,曾收到假冒公安的短信,因为自己在一个 P2P 网站中理财,假冒公安称该网站已被列外非法网站,要自己到公安备案网站填写自己的信息,并帮助自己追回本金,因此信以为真,在网站上填写了自己的信息和绑定的银行卡信息;办案机关推测嫌疑人可能是获取了 P2P 网站中的注册用户信息,从而进行定向诈骗,因此调取了 P2P 理财网站的服务器,现委派你对该服务器进行电子数据取证。

Part 1

你获得该 P2P 理财网站服务器硬盘镜像文件“检材 1.E01”,根据这个镜像文件,回答下列问题:

  1. 计算“检材 1.E01”镜像的 SHA256 值是多少( C ) A. 2b20022249e3e5d66d4bbed34ad337be5dd77b313c92dfe929aa56ed71449697 B. 6a574c40548110598bd4c88520d34b37d13b372066737ede3104743f986b7263 C. 5ee0b3809807bf8a39453695c5835cddfd33f65b4f5bee8b5670625291a6bc1c D. 8495b678da27c64b54f083afefbcf9f83f94c1de133c70c175b4a784551939dd

取证大师加载,右键计算SHA256image-20201017152420222

  1. 该服务器的操作系统版本是什么( D ) A. CentOS release 6.5 (Final) B. Ubuntu 16.04.3 LTS C. Debian GNU/Linux 7.8 (wheezy) D. CentOS Linux release 7.6.1810(Core)

  2. 该服务器内核版本是多少(A

    A. 3.10.0-957.el7.x86_64

    B. 3.2.0-4-amd64

    C. 4.8.0-52-generic

    D. 4.10.0-28-generic

火眼仿真生成虚拟机,VM打开:image-20201017152333820

  1. 原服务器存在多少硬盘分区?(B

    A.1 B.2 C.3 D.4

image-20201017152729625

  1. 原服务器中硬盘分区其中含有一个 LVM 逻辑卷的分区,请找出该分区内开始的逻辑区块地址(LBA)。(答案格式: 扇区,Sector)(C

    A.0 B.2048 C.2099200 D.4194344

逻辑区块地址(Logical Block Address, LBA)是描述计算机存储设备上数据所在区块的通用机制,一般用在像硬盘这样的辅助记忆设备。LBA可以意指某个数据区块的地址或是某个地址所指向的数据区块。

通过查找知道题目所说的分区是:FMP证据文件 -> 展开镜像 -> 选中 分区2 -> 摘要 -> 查看 物理位置:image-20201017154251946

但是这个内存物理地址的单位是字节(Byte),而一个逻辑区块占用512位,所以要将这个值除以512。

1074790400/512=2099200

  1. LVM 逻辑卷分区内root 逻辑卷的文件系统是什么?(D

    A.NTFS B.EXT4 C.SWAP D.XFS

image-20201017154443455

  1. LVM 逻辑卷分区内 root逻辑卷的物理大小是多少?(单位:byte)(C

    A. 2,147,483,648 B. 2,147,504,128

    C. 18,249,416,704 D. 20,400,046,080

image-20201017154833743

image-20201017155102368与答案C最为接近

  1. 请找出该服务器的网站访问端口是什么?(D

    A.22 B.25 C.80 D.8091

  2. 该服务器中运行了 docker应用,在本地有多少 docker镜像?(B

    A.10 B.11 C.12 D.13

  3. 在运行中的容器节点中,其中一台容器ID15debb1824e6的容器节点,它运行了什么服务?(C

A. ftp B. ssh C. nginx D. smtp

  1. 上题容器节点中,占用了主机的哪个端口?(C

    A.22 B.8091 C.39999 D.未占用端口

  2. 该服务器中网站运行在 docker 容器中,其中 web服务使用的是什么应用?(C

A. apache B. tomcat C. nginx D. IIS

  1. 上题所述运行 web 服务的容器节点,使用的镜像名称是什么?(格式 REPOSITORY:TAG)DA. apache: latest B. tomcat: jessie-slim C. nginx: jessie-slim D. nginx: latest

  2. 上题所述容器节点占用的容器端口是什么?(B

    A.22 B.80 C.8091 D.未占用端口

image-20201017155706179

docker ps 命令中在PORTS里面显示了两个端口,前面0.0.0.0就是主机,也就是自己,而后面的转发端口就对应着docker的端口

image-20201017160427657

  1. docker应用的 server版本是多少?(B

    A.16.05.2 B.17.03.08 C.18.09.7 D.19.03.3

  2. docker 应用中总共有多少容器节点?(A

    A.10 B.11 C.12 D.13

  3. 运行中的容器节点有多少?(D

    A.1 B.2 C.3 D.4

命令:docker info:

image-20201017160217024

  1. 网站目录所在的容器内部路径为(格式:容器 ID:路径)(B

    A. d1085c1a8828:/home/ vue2-element-touzi-admin

    B. 53766d68636f:/ home/ vue2-element-touzi-admin

    C. 16fc160060c1:/var/www/ vue2-element-touzi-admin

    D. 15debb1824e6: /var/www/ vue2-element-touzi-admin

可以进三个开启的容器找一下:

image-20201017220356116

  1. 网站目录所在的主机路径为下列选项中的哪个?(A

    A. /var/lib/docker/overlay2/cca977c8ca4a251023000285fbc8b4556636e1adc53cb012c84133a7b857abfc/diff/home/vue2-element-touzi-admin

    B. /var/lib/docker/overlay2/fd27756120785ef656c9211b6147ef5f38d6a9811006d85359458f7fa8d45415/diff/home/vue2-element-touzi-admin

    C. /var/lib/docker/overlay2/f405ba5e3f1f0e04a3585fbc95a47d13b4009dd9d599ac91015babebd5a5ff9b/diff/var/www/ vue2-element-touzi-admin

    D. /var/lib/docker/overlay2/d42b9a02aa87386b137242f691cb3e6303c4c0f3441419efb17ff550fdf5de28/diff/var/www/ vue2-element-touzi-admin

  2. 网站日志的路径在哪?(格式:容器 ID:路径)(C

    A. 53766d68636f:/etc/nginx/logs/jrweb.log                       B. 53766d68636f:/var/log/access.log
    
    C. 16fc160060c1:/etc/nginx/logs/jrweb.log                        D. 16fc160060c1:/var/log/access.log
    

在取证大师里面搜索“投资”("jrweb"):image-20201017214438176

image-20201017214531352

22题同21

  1. 案发当时,该服务器的原始 IP 地址是多少?(D

    A.192.168.160.89 B.192.168.184.100 C.192.168.120.111 D.192.168.184.128

可以看看上一个题的日志文件:image-20201021111229033

在这里明显能看到猜解密码的行为,所以这个时候就是“案发当时”,此时的IP地址就是192.168.184.128:8091

  1. docker 中,各容器节点和主机之间的网络连接模式是什么?(A

    A. bridge 模式 B. host 模式 C. container 模式 D.none 模式

$ docker inspect ID

image-20201021103821517

  1. 当我们想将网站重构好时,访问网站时,web 应用在其中承担什么样的工作?(B

    A.运行网站 B.转发 C.反向代理 D.负载均衡

  1. 从网站日志中,我们可以看到嫌疑人入侵服务器所使用的 IP 是(C

    A.192.168.184.1 B.192.168.160.89 C.192.168.184.133 D.192.168.160.169

在上面的日志里面,我们明显可以看到用户192.168.184.133在爆破admin用户的password:

image-20201021111229033

  1. 网站目录中网站的主配置文件是哪一个?(相对路径)(C

    A./config/index.js B./server/api.js C./server/index.js D./src/main.js

  2. 该网站使用的是什么数据库?(B

    A.mysql B.oracle C.mongodb D.redis

一般来说,项目都是从github上面clone下来的,所以根目录应该在home文件夹下,查看README.md文件,发现:

image-20201021113125958

我们再分别查看27中的四个选项,只有/server/index.js有各种引入,所以这个应该是主配置文件(误×

这里他说的是node js的配置文件,所以应该在/server目录下,对比三个文件,明显就是C选项

  1. 所使用数据库的端口是多少?(D

    A.1521 B.3306 C.6379 D.27017

  2. 数据库所在服务器 IP 是多少?(D

    A.192.168.160.131 B.192.168.184.131 C.192.168.160.169 D.192.168.184.129

  3. 数据库的用户名是什么?(A

    A. root B. tougu C. admin D. goose

  4. 数据库的密码是什么?(D

    A.123456 B. admin C. goose D. root

  5. 该网站所使用的数据库库名是什么?(B)

    A. root B. tougu C. admin D. goose

查看db.js文件:image-20201021202137166

  1. 在案发时,黑客对该服务器某个文件/目录进行了加密,请问是哪个文件/目录?(A

    A. ~/.bash_history B. /var/log/ C. /etc/ssh/sshd_config D. ~/runit-agent.txt

image-20201021203854420

Part 2

你获得了该 P2P 理财网站数据库服务器硬盘镜像文件“检材 2.E01”,根据这个镜像文件,回答下列问题:

  1. 该数据库服务器使用数据库的安装路径在哪?(D

    A. /etc/mysql/ B. /home/redis/ C. /etc/mongo/ D. /var/lib/mongo/

  2. 数据库的配置文件的路径?(C

    A. /var/lib/mongo/mongo.conf B. /var/lib/mongo/mongod.conf C. /etc/mongod.conf D. /home/redis/redis.conf

  3. 数据库的日志文件路径在哪里?(C

    A. /etc/redis.log B. /var/log/mongodb.log C. /var/log/mongodb/mongod.log D. /var/li/mongo/mongo.log

image-20201021211840499

image-20201021212314873

image-20201021213822422

顺手看看配置文件:image-20201021214039425

  1. 该数据库的网站用户表名是什么?(B

    A. user B. users C. touzi D. licai

  2. 该数据库中网站用户表里的密码字段加密方式是(A

    A.未加密 B.双重 MD5 C.MD5 加 salt D.MD5

  3. 该用户表被做过什么样的修改?(B

    A.删除用户 B.修改用户密码 C.修改用户名 D.添加用户

  4. 嫌疑人对该数据库的哪个库进行了风险操作?(C

    A. licai B. touzi C. tougu D. admin

  5. 嫌疑人对上述数据库做了什么样的风险操作?(D

    A.修改库名 B.添加库 C.查询库 D.删除库

因为读取用户的注册信息在前端,所以我们回到前端(检材1)来看看代码:

image-20201112114926679

这里逻辑很清晰,没有对data[0].password进行解密,或者password进行加密操作,所以应该是“未加密”

image-20201022185510697

image-20201022192019619

  1. 嫌疑人在哪个时间段内登陆数据库?(D

    A.18:03-18:48 B.18:05-18:45 C.18:01-18:50 D.18:05-18:32

  2. 嫌疑人在什么时间对数据库进行了 42 题所述的风险操作?(AA.18:09:37 B.18:09:40 C.18:09:44 D.18:09:50

image-20201022195747946

image-20201022201348763

Part 3

经调查,你扣押获得了一台嫌疑人使用过的 VPN 服务器,并用服务器硬盘制作成“检材 3.E01” 镜像文件,根据该镜像文件,回答下列问题:

  1. 该服务器所使用的 VPN 软件,采用了什么协议(BA.L2TP B.PPTP C.IPSec D.NFS

  2. 该服务器的时区为(DA. Asia/ShangHai B. Asia/Tokyo C. Asia/Bangkok D. Asia/Dhaka

  3. 该服务器中对 VPN 软件配置的 option 的文件位置在哪里?(AA. /etc/ppp/options.pptpd B./var/lib/vpn/options.pptpd C./etc/ipsec/options.ipsecd D./etc/l2tp/options.l2tpd

  4. VPN 软件开启了写入客户端的连接与断开,请问写入的文件是哪个?(A

    A.wtmp B.btmp C.ftmp D.tmp

  5. VPN 软件客户端被分配的 IP 范围是(B

    A.192.168.184.1-192.168.184.11 B.192.168.184.12-192.168.184.18

    C.192.168.184.19-192.168.184.26 D.192.168.184.27-192.168.184.35

  6. option 文件可以知道,option 文件配置了 VPN 软件的日志路径为(DA./var/lib/logs/ B./etc/logs/ C./var/log/pptp/ D./var/log/

image-20201022215759201

image-20201022215925090

然后我们顺手打开配置文件: image-20201024141837714

image-20201024142000609

image-20201024142406156

然后再顺手看看options文件:image-20201024143552264

  1. VPN 软件记录了客户端使用的名称和密码,记录的文件是(C

A. /etc/l2tp/chap-secrets B. /etc/ipsec/pap-secrets C. /etc/ppp/chap-secrets D. /etc/ppp/pap-secrets

四个选项的目录里面找一下~

image-20201024143827699

  1. 在服务器时间2019-07-02_02:08:27登陆过VPN客户端的用户名是哪个?(C

    A. root B. vpn1 C. vpn2 D. vpn3

  2. 上题用户登陆时的客户IP是什么?(A

    A. 192.168.184.133 B. 172.16.81.101 C. 192.168.184.134 D. 192.168.43.238

  3. 通过 IP172.16.80.188登陆VPN服务器的用户名是哪个?(A

    A. root B. vpn1 C. vpn2 D. vpn3

  4. 上题用户登陆 VPN服务器的北京时间是(D

    A. 2019-07-11_10:46:50 B. 2019-07-11_11:30:36 C. 2019-07-13_14:15:37 D. 2019-07-13_16:15:37

查看日志文件: image-20201025105736683

image-20201025110410326

前几题得知,服务器时间是Asia/Dhaka,比北京时间早2h,所以北京时间应该是2019-07-13_16:15:37

  1. 该服务器曾被进行过抓包,请问 network.cap是对哪个网卡进行抓包获得的抓包文件?(B

    A.eth0 B.ens33 C.ens37 D.ens160

  2. ens37 网卡进行抓包产生的抓包文件并保存下来的是哪个?(D

    A. network.cap B. network1.cap C. net0713.cap D. net0713-1.cap

image-20201024163241247

image-20201024164502919

  1. 从保存的数据包中分析可知,出口的 IP 为(A

    A. 172.16.80.92 B. 172.16.81.101 C. 172.16.81.188 D. 172.16.80.133

我们用wireshark打开net0713.cap文件跟踪tcp流,但是找不到ABCD任何一个选项……我们再打开net0713-1.cap数据包,找到答案:

image-20201025111547524

但是为什么第一个数据包里面就没有答案呢???这是因为该vpn服务器为双网卡,对内IP为192.168.184.133,具备对检材1(192.168.184.128)和检材2(192.168.184.129)访问权限,出口/服务端IP为172.16.80.92

Part 4

你抓获了嫌疑人,并扣押了嫌疑人笔记本电脑,制作笔记本硬盘镜像文件“检材 4.E01”,请根据镜像文件,回答下列问题:

  1. 计算“检材 4.E01”文件的 sha256 值(C

    A. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5

    B. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6

    C. e6e47e210bd56c7071ce73ab5523736120071d0f3da5335936d7beb25c3914cd

    D. 1e646dec202c96b72f13cc3cf224148fc4e19d6faaaf76efffc31b1ca2cdd200

image-20201025113252486

  1. 请分析该检材的操作系统版本(A

    A. Windows 10 Education B. Windows 10 Home C. Windows 10 Pro D. Windows 10 Enterprise

image-20201025113321982

  1. 找出该系统用户最后一次登陆时间:(C

    A. 2019-07-14 10:50:02 B. 2019-07-14 10:10:02 C. 2019-07-14 10:40:02 D. 2019-07-14 10:30:02

image-20201025113143282

  1. 找出该系统最后一次正常关机时间:(C

    A. 2019-07-14 17:30:05 B. 2019-07-14 10:30:05 C. 2019-07-14 11:30:05 D. 2019-07-14 12:30:05

image-20201025114751529

  1. 请计算检材桌面上文本文件的 sha256 值:(A

    A. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5

    B. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6

    C. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c7

    D. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c8

image-20201025114916816

  1. 该系统于 2019 年 7 月 13 日安装的软件为:(A

    A. Eraser B. Putty C. Xftp D. Xshell

image-20201025115104789

  1. 找出该嫌疑人于 2019-07-13 17:52:19 时,使用 WinRAR 工具访问了_____文件:(D

    A.navicat11.zip B. we.tar.gz C. test2-master.zip D. BitLocker.rar

image-20201112091057054

  1. 系统于 2019-07-13 17:53:45时运行了___程序:(D

    A. regedit.exe B. WinRAR.exe C. Xshell.exe D. Foxmail.exe

image-20201025115848963

  1. 文件test2-master.zip是什么时间下载到本机的:(D

    A. 2019-07-13 14:21:01 B. 2019-07-13 17:22:01 C. 2019-07-13 15:23:01 D. 2019-07-13 16:20:01

下载文件一般都是默认储存在“下载”文件夹下:image-20201025120131866

  1. 文件 test2-master.zip 是使用什么工具下载到本地的:(A

    A. Chrome B. Internet Explorer C. edge D.迅雷

image-20201025120241300

  1. 嫌疑人成功连接至 192.168.184.128服务器的时间为:(A

    A. 2019-07-13 16:21:28 B. 2019-07-13 16:21:31 C. 2019-07-13 16:21:35 D. 2019-07-13 16:21:25

在取证大师里面查看上网记录:

image-20201106135548896

  1. 嫌疑人通过远程连接到 128 服务器,下载了什么文件到本机:(B

    A. web.tar.gz B. we.tar.gz C. home.tar.gz D. wwwroot.tar.gz

  2. 承接上一题,下载该文件用了多长时间:(C

    A.10 秒 B.20 秒 C.15 秒 D.25 秒

  3. 请计算该下载文件的 sha256 值:(D

    A. 077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d8

    B. 077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d7

    C. 077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d6

    D. 077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d5

取证大师里面搜索关键字.tar.gz:image-20201106211846725

在检材四中找不到文件,又因为他是从192.168.184.128下载获取we.tar.gz,所以我们从检材一中找到文件,计算SHA256

image-20201107112119784

  1. 请分析并提取,嫌疑人所用的手机的IMEI号码:(C

    A. 352021062748965 B. 352021062748966 C. 352021062748967 D. 352021062748968

国际移动设备识别码International Mobile Equipment IdentityIMEI),即通常所说的手机序列号、手机“串号”,用于在移动电话网络中识别每一部独立的手机等移动通信设备,相当于移动电话的身份证。

image-20201106222958537

  1. 嫌疑人是通过何种方式联系到售卖恶意程序的卖家的:(B

    A.微信 B.QQ C.短信 D.邮件

  2. 嫌疑人和卖家的资金来往是通过何种方式:(A

    A.微信 B.QQ C. 银行转账 D.支付宝

  3. 嫌疑人在犯罪过程中所使用的 QQ 账号为:(A

    A. 1649840939 B. 1137588348 C. 364505251 D. 1722629449

  4. 卖家所使用的微信账号 ID 为:(C

    A. refrain_C B. flame_guan C. chao636787 D. sword19880521

  5. 嫌疑人下载了几个恶意程序到本机:(B

    A. 1 B. 2 C. 3 D. 4

我们在火眼取证中找到手机备份,然后添加到检材,然后分析,密码??试一下检材4桌面上的``niuroumian6`!对了!

image-20201107124338615

然后我们翻一翻他的社交~看看QQ……两个号,一个号好没营养……看看另外一个,woc,大型犯罪现场!!!发现一些关键信息,我们做个笔记:image-20201107125224818

image-20201107125240145

再瞅瞅微信,发现记录和QQ对应:image-20201107125640097

image-20201107130016567

image-20201107130027391

  1. 恶意程序被嫌疑人保存在什么位置:(D

    A.D:/DOWNLOAD B. C:/USER C. C:/ D.D:/

  2. 恶意程序是使用什么工具下载到本地的:(C

    A. Chrome B. Internet Explorer C. edge D.迅雷

image-20201107131020480

image-20201107131312244

  1. 嫌疑人是什么时间开始对受害者实施诈骗的:(C

A. 2019-07-13 19:14:44 B. 2019-07-13 19:24:44 C. 2019-07-13 19:04:44 D. 2019-07-13 19:44:44

image-20201107131606833

image-20201107131624592

  1. 请提取受害者的银行卡信息,银行卡账号为:(B

    A. 6225000088217563457 B. 6225000088257563456

    C. 6225000088257563458 D. 6225000088257563459

在电脑里面的备份平台里面有一台虚拟机,搞出来,有密码???搞他!我们先修改密码,在/home/admin888/fund/文件夹下发现sqlite数据库,我们导出来~

$ scp root@192.168.247.155:/home/admin888/fund/db.sqlite3 ./db.sqlite3

$ python3 -m http.server 2021

然后根据手机号定位受害人是赵昊,数据库里面查看银行卡号:

image-20201107154313948

image-20201107154258903

  1. 请综合分析,嫌疑人第一次入侵目标服务器的行为发生在:(C

    A. 2019-07-13 16:17:30 B. 2019-07-13 16:17:32 C. 2019-07-13 16:17:35 D. 2019-07-13 16:17:38

image-20201107154615513

  1. 请综合分析,嫌疑人入侵服务所使用的登陆方式为:(B

    A. SSH 密码登陆 B. SSH 密钥登陆 C. 连接后门程序 D.FTP 登陆

我们之前在检材四中的xshell数据文件中见到了密钥文件:

image-20201107155204586

  1. 可知嫌疑人应对外发送过邮件,请分析并找到发出的邮件,可知邮件的发送时间为:(B

    A. 2019-07-13 17:55 B. 2019-07-14 17:56 C. 2019-07-14 17:57 D. 2019-07-14 17:58

  2. 可知嫌疑人应对外发送过邮件,请分析并找到发出的邮件,可知邮件收件人为:(B

    A. 1649841939@qq.com B. 1649840939@qq.com C. 1649845939@qq.com D. 1649848939@qq.com

这个题目是真的骚,我们在前面有发现,他下载过Foxmail,于是我们查看Foxmail使用痕迹,然后把时间定位到2019-07-13 17:52:20,所以一般就选择A,但是是错的……因为他不一定用Foxmail发文件。所以我们换一个思路,在检材三中(嫌疑人使用的VPN服务器)有数据包,既然他发邮件,那么一定走了代理,所以我们再研究研究那个检材3的那两个数据包。这里有一个姿势点:

常用的电子邮件协议有SMTP、POP3、IMAP4它们都隶属于TCP/IP协议簇.

所以我们数据包里面直接找这几个协议:image-20201108094246421

  1. 请重构被入侵的网站,可知该网站后台管理界面的登陆用户名为:(C

    A. root B Administered C. admin D. user

重构网站需要先恢复数据库,我们再检材2中有加密程序,有加密过的数据库。所以我们开始老本行!逆!

image-20201108111125565

思路很简单,上exp

from string import *
with open("db.encrypt",'rb') as f:
    s=f.read()

r=bytes([((x^0xaa)+256-66)%256 for x in s])

with open('db', 'wb') as inp:
    inp.write(r)

然后计算SHA256image-20201108112522288

我们在检材4的C盘中看到了一个待挂载的硬盘:

image-20201108154253039

然后双击,显示Bitlockerimage-20201108154511990

我们打开Bitlockerimage-20201108154544420

现在我们缺少密码……还记得前面在翻QQ的时候看到的那个消息嘛,提示一下:

image-20201108154812496

我们再根据他的QQ号和上面这个内容,可以猜到,在前面我们分析的邮件正是他用来备份密码的右键,我们复原一下邮件:

image-20201108162121999

发现4个EML文件,导出以后,直接下载image-20201108162907437

但是有密码!!!我们联想检材4桌面上的字典和niuroumian6,我们尝试用这个字典来爆破压缩包。这里爆破用的工具是开膛手johnhashcat

$ rar2john.exe BitLocker.rarBitLocker.rar:16158$07400e39e08a2e03`

$ hashcat.exe -m 13000 -a 0 $rar5$16$0c231f49ba3ded4bc944dee58f2be760$15$2a5c3ec4a5380b7a9d5517cc8ba386b6$8$07400e39e08a2e03 新建文本文档.txt

image-20201110210507588

image-20201110210522337

打开密钥备份文件,用恢复密钥成功解锁硬盘:

image-20201110210731636

查看db文件,和我们前面逆向加密程序恢复的db一样。

里面还有那个网站的……所有东西,那我们把这个dump出来,:

image-20201111111604097

  1. 请重构被入侵的网站,并登陆网站后台管理界面,对该网站进行证据固定,可知该网站首页左侧导航栏,不包含下列那个内容:(D

    A. 信息列表 B. 资金管理 C. 资金数据 D. 会员信息

  2. 通过分析知,嫌疑人对目标服务器植入了勒索程序,请解密检材 2 中的被加密数据库,

    sha256值为:(A

    A. 8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a2

    B. 8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a3

    C. 8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a4

    D.8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a5

image-20201111125021116

image-20201111112517872

  1. 通过分析知,嫌疑人有对目标服务器植入 ddos程序,对该程序进行功能性分析,可知该程序会将自身复制到目标机器的什么目录下:(B

    A. /etc B. /lib C. /root D. /tmp

  2. 通过分析知,嫌疑人有对目标服务器植入 ddos 程序,对该程序进行功能性分析,可知该程序主控地址为(多选):(AD

    A. shaoqian.f3322.net B. shaoqian.f3344.net C. gh.dsaj3a2.org D. gh.dsaj2a1.org

根据聊天记录易知,该ddos程序是runit,我们在检材四里面找到该文件,然后逆向分析……

我们在main函数里面看见有一些乱码,然后前面跟了解密函数。我们跟进然后机密看看:

image-20201112131329103

image-20201112131341467

然后我们再找找程序里面还有那些加密数据,然后写个脚本解一下:

enc=["m7A4nQ_/nA","m [(n3","m6_6n3","m4S4nAC/n&ZV","m.[$n__#4%\\C","m.[$n3","m4S4nAC/nA","m4S4nAC/n&ZV","m.[$n__#4%\\C","m.[$n3"]
a=[0x36,0x46,0x36,0x7B,0x1C,0x19,0x27,0x34,0x2D,0x55,0x1B,0x50,0x42,0x27,0x5A,0x70,0x23,0x1C,0x29,0x33,0x54,0x19,0x23,0x6E,0x34,0x17,0x45,0x5C,0x41,0x79,0x59,0x26,0x7F,0x46,0x23,0x32,0x47]
b=[0x25,0x2A,0x1C,0x22,0x32,0x52,0x5C,0x73,0x20,0x70,0x17,0x5A,0x46,0x56,0x7C,0x2,0x76,0x76,0x6,0x3A,0x32,0x5B,0x57,0x2E,0x30,0x28,0x58,0x5B,0x1A,0x57,0x75,0x3,0x70,0x70,0x1C,0x29,0x33,0x54,0x0C,0x73,0x75,0x75,0x0D,0x49,0x5,0x9,0x75,0x1E,0x74,0x72,0x1C,0x74,0x71,0x1,0x18,0x73,0x7B,0x73,0x0D]
key = [0x42,0x42,0x32,0x46,0x41,0x33,0x36,0x41,0x41,0x41,0x39,0x35,0x34,0x31,0x46,0x30]
for i in enc:
	for j in range(0,len(i)):
		print(chr(ord(i[j])^key[j%16]),end='')
	print()
for i in range(0,len(a)):
	print(chr(a[i]^key[i%16]),end='')
print()
for i in range(0,len(a)):
	print(chr(b[i]^key[i%16]),end='')


image-20201112150926723

然后,,,然后我就不会了……至于复制到哪里,我是拿着答案去找的。main函数调用了一个daemon_process:

image-20201112152112264

image-20201112152342036

应该就是这样吧……

Frank会长说:“一直纠结一个题就没意思了!”

那就,,,放过吧~

  1. 压缩包 test2-master.zip 中的文件是什么?(C

    A.恶意软件 B.加密程序 C.密钥文件 D.下载软件

image-20201111212304607

  1. 应用程序 TrueCrypt-7.2.exe是在什么时间下载到本机的?(C

    A. 2019-07-06 00:04:38 B. 2019-07-06 00:06:38 C. 2019-07-06 00:08:38 D. 2019-07-06 00:10:38

image-20201111212528321

  1. 文件 runit.txt 从哪个域名下载的?(D

    A.https://pan.forensix.cn/lib/367d7f96-299f-4029-91a8-a31594b736cf/runit

    B. https://pan.baidu.com/s/19uDE7H2RtEf7LLBgs5sDmg?errno=0&errmsg=AuthLoginSucess&&bduss=&ssnerror=0&traceid=

    C.https://pan.forensix.cn/seafhttp/files/dec88b97-b2bc-414f-93a3-dcbbc15d615/runit

    D.https://pan.forensix.cn/seafhttp/files/8fdf1982-e323-4efe-ae28-2bba21b5162c/runit

image-20201111212723050

  1. BitLocker密钥在什么位置?(B

    A. D:/DOWNLOAD B. C:/USER C. C:/ D. D:/

  2. BitLocker.rar生成的时间是?(B

    A. 2019-07-13 17:51:47 B. 2019-07-13 17:52:19 C. 2019-07-13 17:53:24 D. 2019-07-13 16:31:06

image-20201111212942950

  1. 文件 we.tar.gz 传输完成的时间是?(C

    A. 2019-07-13 16:31:06 B. 2019-07-13 16;33:00 C. 2019-07-13 16:33:15 D. 2019-07-13 16:33:30

image-20201111213246657

  1. 嫌疑人在什么时间登陆网页微信?(A

    A. 2019-07-13 16:34:55 B. 2019-07-13 16:40:13 C. 2019-07-13 16:45:45 D.2019-07-13 16:53:45

image-20201111213636179

  1. 嫌疑人于 2019-07-13 17:22:23下载了什么文件?(B

    A.网站目录压缩文件 B.数据库备份文件 C.网站日志文件 D.数据库日志文件

image-20201111215055052

  1. 硬盘 C 盘根目录中,文件pagefile.sys.vhd的作用是什么?(D

    A.pagefile 页面交换文件 B. 虚拟机启动文件 C. 系统配置文件 D. 虚拟磁盘

……在前面我们双击这个,然后解开Bitlocker,就挂载上了D 盘,所以应该是虚拟磁盘。

评论