2019美亚杯团体赛刷题 部分题解（1-42、106-116）

写在前面

最近参加了美亚组织的培训，正好借刷题把学习的知识和技巧巩固一下。（2021年6月）

最近准备美亚杯，刷刷题。和小组分工了下，自己做的是Router log、2个windows和流量。

使用工具

取证工具： 取证大师V6.1.80018RTM、弘连火眼证据分析软件v4.14.0.33748、弘连火眼仿真取证V4.1.1.2972、VMware Workstation、wireshark version 3.4.2

刷题

1.在黑客路由器里，有一台设备的MAC地址为00:11:6B:47:4D:55，请问它的IP地址是什么？

192.168.0.102

路由器日志里查看：

Oct 31 08:09:44	 DHCP      	INFO   	DHCPS:Recv DISCOVER from 00:11:6B:47:4D:55
Oct 31 08:09:45	 DHCP      	INFO   	DHCPS:Send OFFER with ip 192.168.0.102

2.在黑客路由器里，发现一设备的IP地址为192.168.0.103，请问该设备为如下哪一个：

exploitU

查看90:B1:1C:84:73:43对应的路由器

3.警方已经查证所有连接此router的设备都归黑客所有，根據黑客路由器的訊息，下列哪组（设备—ip）是错误的：

GalaxyA8—192.168.0.104

没有GalaxyA8这个服务器

4.Hacker现场检获的Windows主机硬盘已成功取证并制作成镜像Win1.E01，下列哪个是其硬盘证据文件的MD5哈希值。

D9A0B52F5AC3951EC4056449C31D886A

5.MD5hash算法会产生一个什么大小的值。

128-bit

32位16进制，128bit

6.对于一个E01镜像证据文件，要想成功通过校验过程，以下哪个是正确的

MD5hash值或者SHA1hash值校验通过

7.对于镜像Win1.E01，操作系统(OperatingSystem)是什么？

Windows10pro

8.对于镜像Win1.E01，一个簇(Cluster)包含多少个扇区（Sector）？

8

9.对于镜像Win1.E01，包含操作系统的分区中，共有多少个扇区（sector）？

169,646,337

10.对于镜像Win1.E01，硬盘上有多少扇区（sector）被主引导记录（MasterBootRecord）所保留?

63

分区1对应的63没有显示出来的，可以把X-ways或Winhex的过滤关掉。

11.对于镜像Win1.E01，文件被删到回收站（RecycleBin）的时间可在以下哪个文件的元数据(metadata)中找到？

$I文件

火眼里右键任意一条回收站记录，跳到源文件即可：

12.对于镜像Win1.E01，系统的最后关机(lastshutdown)时间是多少？

2019-10-2307：43：53UTC

13.当一个文件A被打开，一个带有文件A名字的快捷方式文件（linkfile）会在以下哪个文件夹生成？

Recent

14.Win3.E01镜像档案的建立日期是?

2019-11-01

在给的镜像文件里有一个win3.E01.txt，里面有FTK创建E01镜像的相关信息。

15.在Win3.E01镜像文件内有多少个硬盘分区？

7

16.对于Win3.E01镜像，其操作系统的安装日期是？

2019-10-15

17.对于Win3.E01镜像，其操作系统共有多少个可登录用户？

1

注意是可登录用户数量：

18.对于Win3.E01镜像，系统的时区设定是什么?

ChinaStandardTime

19.对于Win3.E01镜像，其主机名是

DESKTOP-1JMUE2M

20.对于Win3.E01镜像，其操作系统是

Windows10

21.对于Win3.E01镜像，其可登录的用户名是

Administrator

22.对于Win3.E01镜像，其曾使用过以下哪个IP地址

192.168.0.101

直接一个一个搜索

23.对于Win3.E01镜像，以下哪个USB存储设备曾经连接过Win3这台主机

选项A，B，C

24.对于Win3.E01镜像，以下哪些程序被设定为开机启动项

以上全部选项

火眼查看自启动程序：

25.对于Win3.E01镜像，曾经有个文件在A盘下，A:\NewTextDocument.txt，请问这个文件的创建时间（UTC）

2019-10-2907:47:02AM

26.对于Win3.E01镜像，曾经在D盘下有这样一个文件，D:\BaiduNetdiskDownload\dataencrypt.txt，请问这个文件的创建时间(inUTC)

2019-10-3109:30:00AM

27.在黑客的网络中有一个网络附加存储（NAS），对于Win3.E01镜像，请问在Win3的记录中，以下哪一个选项最有可能是NAS的IP，以及绑定的盘符？

192.168.0.102-Z:

仿真可以直接看到：

28.对于Win3.E01镜像，在其回收站中，有一个文件agent1.7z，请问在删除之前它原本的路径是？

C:\Users\Administrator\Desktop\agent1.7z

火眼回收站记录可以看到。

29.对于Win3.E01镜像，在其桌面上，有一个文件夹"macrodocs",在这个文件夹中哪些文件存在恶意宏（Macro）

1.DoNotOpen.docm
2.N_Data.xlsm
3.Sol-1120.xlsm
4.Sol-BBA.xlsm
5.TodayIsAGoodDay.docm
6.exploit_1.docm
7.phishing.docm
8.申请信息(ApplicationInformation).docm

4，7，8

火绒扫出来6个威胁，用Windows Defender可以自定义扫描扫出来3个，用virustotal.com可以检测文件是否带宏病毒：

phishing.docm：

._exploit_1.docm：

30.接上题，根据对上述恶意文件phishing.docm的宏(Macro)分析，下列哪一个是其想要连接的ip地址？

192.168.0.100

放到虚拟机里，点击phishing.docm执行，开启wireshark抓包，使用wps专业版打开，启用宏：

可以用virustotal.com网站扫描病毒文件，有些文件可以扫到behavior直接看到转发IP，但phishing.docm扫描不出来behavior。

phishing.docm：

申请信息(Application Information).docm：

31.接上题，根据对上述恶意文件phishing.docm的宏(Macro)分析，下列哪一个是其想要连接IP的端口号？

443

见上题流量

32.对于Win3.E01镜像，其系统中曾有如下文件，C:\Users\Administrator\Desktop\NextStep.txt，但此文件已经被删除，你是否可以找出此文件的删除时间

2019-11-0113:27:13（UTC）

看了时间线NextStep.txt最后运行的时间可以排除C和D选项，看了乃正哥wp说是查看所有文件运行等时间，可以排除A

33.接上题，请问文件C:\Users\Administrator\Desktop\NextStep.txt，是怎样被删除的？

没找到。。。

34.接上题，请尝试恢复文件C:\Users\Administrator\Desktop\NextStep.txt，阅读文件内容，请问下列内容的正确顺序是

1.DataSteal
2.testDoSattack
3.phishingemail
4.Kalidebug

1，2，3，4

取证大师恢复txt文件，搜索NextStep.txt，查看内容：

35.对于Win3.E01镜像，administrator的最早登陆时间是？

2019-10-1505:54:56AM（UTC）

36.对于Win3.E01镜像，以下哪些文件曾出现在盘符A:下

1.A:\NewTextDocument(2).txt
2.A:\NewTextDocument.txt
3.A:\PersonalInformation.xlsx
4.A:\key.txt
5.A:\keyList.txt

全部

37.对于Win3.E01镜像，Eraser6.2.0.2986.exe是何时被下载的

2019-11-0101:25:16PM(UTC)

查看chrome下载记录：

38.接上题，Eraser6.2.0.2986.exe是从哪一个网站上下载的

sourceforge.net

39.对于Win3.E01而言，日志文件中哪些是该电脑使用过的打印（虚拟）设备？

2,4

查看仿真的设备管理器（device manager）：

40.对于Win3.E01镜像，该糸统是否有卷影副本（VolumeShadowCopy）？如果有卷影副本，请查看初始的卷快照（VolumeShadowCopy）记录，请问丢失的文件acres.dll.mui的最后访问时间（最后访问时间）？（UTC+8）

2019-10-3122:00:50

取证大师右键系统分区，选择卷影分析，把所有备份都选上：

然后搜索acres.dll.mui即可：

41.分析两台Windows镜像，请找出比特币钱包的备份，它的MD5哈希是

BCF83E3A6A2AECDE08010F54018C4C89

搜索wallet，发现waller.dat.lnk，再搜索wallet.dat，发现在分区7_Backup[I]:\wallet.dat中：

42.接上题，请解析此比特币钱包的备份，请问以下哪个不是此钱包的P2SH地址

3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy

把wallet.dat导出来，打开bitcoin core，新建一个钱包。

然后转到新建钱包的文件夹，将刚导出来的wallet.dat替换掉文件夹里的wallet.dat。

然后再用bitcoin core打开这个钱包，查看接收（received），可以看到所有的P2SH地址：

也可以直接将wallet.dat用记事本打开，搜索“name”也可以看到：

43.

106.在Hacker_PCAP文件夹中，有一个文件的MD5值为后5位为7ffb7,请问该文件的修改时间(Modifytime)为?

2019-10-29（本题有问题）

四个流量包都算了一遍，没有与7ffb7匹配的，就挺秃然的

107.在Hacker_PCAP文件夹中，哪两个pcap文件包含DoS攻击？

Hacking,testf

查看统计选项中的conversation，以packets数目进行排序，得到：

hacking.pcap：

testc：

testf：

testn：

相比较而言，hacking.pcap和testf.pcap的最高流量包数量均超过了正常接收包数量的20倍，而其他两个包较正常。

108.在Hacker_PCAP文件夹中，请对其中的Hacking.pcap分析,最后一个数据包的捕捉时间是什么时候？

2019-10-3110：20：53

要查看最后一个数据包的捕获时间，可以查看：统计->捕获文件属性

109.请继续分析所有PCAP文件，找出被攻击的网站域名是什么？

www.gov.hk

通过107可知，被攻击的域名指向的IP为：195.8.178.227。

故我们可以这样编辑筛选条件：

tcp && ip.dst_host=="195.8.178.227"

随便点击一个成功的数据包即可找到域名：

110.请继续分析所有PCAP文件，找出以下被攻击的网站IP是多少?

195.8.178.227

接上题可得到IP

111.请继续分析Hacking.pcap文件，下列哪种协议的数据包数量占比约为0.3%?

HTTP

统计->协议分级统计可查看所有协议在数据包中的占比：

注意，根据题目要求我们要查看的是“按分组百分比”而不是“按字节百分比”。

112.请继续分析Hacking.pcap文件，它共记录了多少个数据包(Packet)？

265391

数据包总量我们按顺序拉到最底下就可以看到了。

113.根据黑客手机镜像中的视频文件分析，发起攻击后多长时间服务器停止服务?

需要根据手机镜像进行确认，这题我们先放一放

114.根据黑客手机镜像中的视频文件和Hacking.pcap文件，判断黑客所使用的DoS攻击是如下哪一种?

UDP

不知道是什么类型我们可以直接查一查嘛，查询slow得到结果：

根据

Referer: https://github.com/shekyan/slowhttptest/\r\n

可以知道使用的是slowhttp攻击。

115.在Hacking.pcap文件中，DoS攻击的数据包被Wireshark解析为如下哪种协议?

TCP

116.在Hacking.pcap文件中，DoS攻击的数据包的结尾是(转义字符)?

\r\n

在114我们可以看到github这一段是报文最后的内容，而我们在114复制到的末尾为：

\r\n

如果不放心的话我们可以自己转换：

可以看到末尾为 0d 0a，结合对照表可以确认分别为换行和回车：

参考资料

ASCII码与16进制转换对照表