2019取证比赛复盘整理

还有一些不会的和不确定的，欢迎交流(*^▽^*)。

情节一

要点一服务器硬RAID重组

情节一

公安机关接到报案称该市XX商业网站服务器（编号S1）疑似被黑客攻击，导致其官网无法访问，给集团正常运营造成很大影响。

要点一服务器硬RAID重组

给出四个硬盘镜像文件，需要共同组成独立磁盘冗余阵列：

分析：通过赤兔RAID阵列自动分析工具或者RAID Reconstructor进行自动分析，得出四个dd文件的盘序为3214；以扇区为单位，条带大小为32KB；阵列级别为Raid5；阵列配置排列为左同步。

使用美亚取证大师

由取证报告得：

该服务器操作系统最后一次关机时间为：2019-03-30 21:19:03
该服务器操作系统产品ID：00252-70000-00000-AA535
该服务器最后一次运行数据销毁工具的时间：（用户最近程序访问记录）：2019-01-17 18:22:19

要点二服务器日志分析

北京时间2019-01-28 15:48:45成功访问了9c0dfcfa2fd06510112b59a8a77f98dc.jpg文件的目标IP：192.168.4.36
IP地址为162.135.124.177访问该站点的post记录条数有几条： 34 （41-7条）
IP段为71.25.66.XX访问loading.gif文件并出现304错误记录的条数：6条
修改网站管理员密码的IP地址是：

暂只发现：

要点三模拟沙盘实验环境搭建

服务器恶意程序运行后做了何种操作？

首先通过取证大师>案件概览发现文件malware.zip很可疑，找到该文件并导出本地进行分析。解压后发现是一个services.exe，使用静态分析工具strings和PEexplorer进行分析，发现对注册表进行了操作，并且有创建服务，释放动态链接库文件，以及自删除等行为。

恶意程序释放的dll文件名：

使用cuckoo sandbox分析得到结果：

结果报告：链接：https://pan.baidu.com/s/1ASb5gM17LhiAkpuLd5DBWg 提取码：p1as

注册表+服务

恶意程序运行后回连ip地址：

要点四进程分析

在虚拟机win7中运行前

运行后

（？？？）

要点五 exe应用程序功能分析

情节二

该公司网络管理人员刘正风表示手机近期中国病毒，且恢复过出厂设置，从其手机重置前的本分文件，找到一可疑APK文件（编号A1），并找到一回传手机号和拍摄有服务器IP、登录账号和密码的照片。

要点 APK程序功能分析

获取该APK可疑程序回传的域名地址：www.iedemo.com
获取接受信息的手机号：13901678945

该程序可收集终端哪些内容：

联系人信息、短信记录、通话记录；操作系统版本号；控制摄像头、麦克风；管理文件、地理位置。

情节三

通过上述手机号，分析出三个高频通话对象，并关联出另一个手机号，找到嫌疑人a龚光杰，并分析其Android·手机部分备份文件和随身固态闪存介质。

要点一个人话单分析

使用FS-600 详单分析系统分析工具，分别使用单话单频率分析>分析对方号码通话次数统计，得出与该话单联系次数较多的几个手机号为：15345788569、13011295688、18955645521;使用多话单共同通话对象分析，选择目标至少与3个选择对象有联系，得出与3个话单联系最频繁的手机号是18900772567。

要点二文件系统 FAT/NTFS

分析图示结果：

MBR（占用1个扇区）		0--512
保留扇区（占用62个扇区）		513--32256
分区一		【32256--1381847040】
DBR（标志EB3C90) （占用1个扇区）		32257--32752
DBR到FAT1有6个扇区		32752--35328
FAT1(占165扇区）		35328--1199808
FAT2（占165扇区）		119808--204288
根目录+数据区(占2698521扇区约等于1.28G）		172032--1381847040
EBR（占1个扇区）		1381847040--1381847552
保留扇区（占用62个扇区）		1381847552--1381879296
分区二		【1381879296--4556805120】
全是7/0（占用6076个扇区，约等于2.97M）一般来说，DBR位于EBR后63个扇区，说明DBR被损坏	DBR（1个扇区）	1381879296--1381879808
	52526141出现，为扩展DBR,标志着前面一个是DBR（1个扇区，以55AA结束）	1381879808--1381880304
	000055AA（1个扇区）
	全是0（空了3个扇区）
	备份DBR（1个扇区）	1381882368--1381882880
	52526141出现，为扩展DBR,标志着前面一个是备份DBR（1个扇区，以55AA结束）	1381882880--1381883392
	000055AA（1个扇区）	1381883392--1381883904
	全是0（占23个扇区）	1381883904--1381895680
	全是7（6044个扇区）	1381895680--1384990208
FAT表（6044扇区）		1384990208--1388084736
根目录+数据区		1388084736--4556805120

EBR（1个扇区）		4556805120--4556805632
保留扇区（占用62个扇区）		4556805632--4556837376
分区3		【4556837376--8374976496】
BOOT元文件（16个扇区）	DBR(1个扇区)应该是EB5290开头，现在全是7	4556837376--4556837888
	NTLDR(占15个扇区）	4556837888--4556845568
MFTMirr(8个扇区)		4556845568--4556849664
数据区
MFT		5630579200--5630841344
数据区
备份DBR（1个扇区）也全是7		8373334528--8373335040
全是0		8373335040--8374976496

U1设置有几个分区：3个
分区1的起始扇区数值为：63
通过主分区表可以看到分区1的起始扇区位置为3F 00 00 00

分区1中1234.TXT的文件占用该分区的起始簇号为：3

文件目录项

分区2：（R-STUDIO）

分区2的文件系统格式：FAT32

分区表对应文件系统类型为0B

分区2的总扇区数是：6201027

找到分区2对应的分区表，找到总扇区数C39E5E00，转化。

分区2文件系统FAT表个数：1

通过搜索扇区偏移0字节处的该值(F8FFFF0F)以查找FAT表，发现2分区只有1个FAT表

r-studio 图片写了根目录集群，3094528

查找根目录可以搜索2E2020

分区2文件系统FAT1表所占扇区数：6044

分区2文件系统分区前保留扇区数：62
分区2文件系统每簇扇区数：8(R-studio)
分区2文件系统FAT表前保留扇区数：6076

分区3物理起始扇区：8900010

第三个分区的起始扇区 029F5E00，6201090 +当前扇区2698920 =8900010

分区3文件系统每簇扇区数：8

通过找到$MTFMirr，其起始VCN：00 00 00 00 00 00 00 00 ，结束VCN: 3F 00 00 00 00 00 00 00，所占的簇是63个簇，运行处为64个簇。分配的空间为00 00 04 00 00 00 00 00，也即262144个字节，因此262144/64 = 4096个字节每簇扇区为8个。