如解剖麻雀般地回忆一场小型电子数据取证竞赛（3）

其他

案例

知识

随笔

声音

编者按

书接上文，此为第三部分：PC取证与逆向

第三部分：PC取证与逆向

29.对镜像PC.E01分析，该镜像源盘的MD5值是？（字母全大写，填写格式如：1AB12C33F1） (10分)

答案：

E44AA73AE91144C987D20990034F4775

30.对镜像PC.E01分析，系统最后一次关机时间是？（填写格式如：2011-01-11 10:11:11） (10分)

透过问题看本质，相关取证工具判定开关机时间的依据为分析系统日志文件

c:WINDOWSsystem32configSysEvent.Evt

的事件ID，正常关机事件ID：6006、开始事件ID：6005。

答案：2019-02-24 20:14:11。

31.对镜像PC.E01分析，系统用户Administrator登录次数为多少？（填写格式数字如：10） (10分)

答案：35。

32.对镜像PC.E01分析，得知该计算机的DHCPIP地址是？（填写格式：192.168.1.1） (10分)

通过研究相关取证工具，发现可以通过解析注册表文件c:WINDOWSsystem32configsystem，

在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceTcpipParametersInterfaces下找到相关网卡，在DhcpIPAddress选项里查看其IP。

答案：192.168.223.157。

33.对镜像PC.E01分析，得知该计算机登录QQ账号是（填写格式如：345123456） (10分)

QQ配置文件目录在

C:DocumentsandSettingsAdministratorMyDocumentsTencentFiles，

其下级目录中出现的以数字命名的文件夹就是QQ号。

答案：2*******49。

34.对镜像PC.E01分析，该计算机安装TureCrypt加密容器，其版本为多少？（内容不包含字母,填写格式如：5.1） (10分)

查看电脑安装的软件情况，在注册表文件

C:WINDOWSsystem32configsoftware中，但是并没有找到truecrypt的注册项，直接用相关取证工具查看。

答案：7.1。

35.对镜像PC.E01分析，加密容器密钥文件为系统盘根目录下的“m”文件，其大小为多少字节？（格式填写数字如：10） (10分)

答案：64。

36.接上题，将加密分区（分区3）进行解密，得知张三工商银行卡号为多少？（填写格式数字，无空格如：62225123456321654) (10分)

将上题的密钥文件m导出，选中加密分区（分区3），右击Turecrypt解密，在对话框里添加密钥文件完成解密。

解密后，根目录存在一个名为zh.txt的文件，目测是“账号”的简写，打开后发现正是张三的工商银行卡。

答案：6323879737423232765。

37.对镜像PC.E01分析，该操作系统密码为空，请查看EFS加密文件，并分析出张三建行卡号为多少？（填写格式数字，无空格如：62225123456321654) (10分)

通过取证工具很快发现了EFS加密文件在E盘的zhongyao文件夹下，如何解密成了一个问题。经过查询资料可知，EFS加密大概类似ACL，根据特定用户来设置访问权限。

这么看来解密就简单了，查看文件属性，以白名单用户来访问该文件即可。但是比较坑的是用白名单用户administrator访问后提示“权限不足”，于是尝试将C盘下发现的证书都导入系统，再次访问相关文件得到银行卡号。

答案：62270000123465237853。

此题还有“旁门左道”，常规思路应该是先在取证结果里检索相关关键字。这里我们以“建设”为关键字进行查找，发现某软件里有提及建设银行卡号。

38.通过对1.dll恶意程序分析，得知DllMain的地址是什么？（格式按大写字母与数字组合填写如：AB12DC） (10分)

将恶意程序1.dll拖进IDA中，自动停留在入口处，主窗口左下角为DllMain的物理地址。

答案：1000D02E。

39.通过对1.dll恶意程序分析，gethostbyname函数定位到什么地址？（格式按大写字母与数字组合填写如：AB12DC） (10分)

通过查询资料可知，DLL中函数导入表主要存放了该程序调用的外部函数、函数导入表则是存放了供外部调用的本地函数（初学逆向，如有问题请斧正）。因此在IDA的函数导入表窗口查找该函数，其左侧就是该函数的物理地址。

答案：100163CC。

40.接上题，有多少个函数调用了函数gethostbyname （格式数字如：1） (5分)

通过查询资料得知，IDA中查看某函数被调用的次数，需要先找到函数的位置，接着进入交叉引用中查看，type中的p表示调用流、r表示读取属性，去除重复出现的函数，得到的就是实际调用的次数。

答案：5。

41.通过对1.dll恶意程序分析，详细分析位于0x10001757处的gethostbyname调用，DNS请求将被触发的域名是？（格式：小写字母、数字、.组合如www.sina12.com） (10分)

按快捷键g打开跳转地址对话框，输入10001757后来到该地址。

发现其参数为off_10019040[0] + 13。该参数表示从off_10019040偏移量13位开始才是最终的地址。

验证一下。off_10019040[0]对应的数据是“[”，而[12]则对应“]”，总体就构成了“[This is RDO]”。

答案：pics.praticalmalwareanalysis.com。

42.通过对1.dll恶意程序分析，IDA Pro识别了在0x10001656处的子函数中的多少个局部变量？（格式：填写数字如：1） (5分)

按快捷键g跳转到该地址，发现存在大量的变量参数。经大佬点拨，这些都是局部变量和参数，其中带负号的都是局部变量，这里一共有23个带负号的，也就是23个局部变量。

答案：23。

43.通过对1.dll恶意程序分析，IDA Pro识别了在0x10001656处的子函数中的多少个参数？(格式填写数字如：1) (5分)

与上题衔接，下面那个正数表示一个参数。

答案：1。

44.通过对1.dll恶意程序分析，字符串“cmd.exe /c”位于哪里？（格式：格式按大写字母与数字组合填写如：AB12DC） (5分)

查看字符串。在IDA中选择菜单栏中的view，在open subviews中找到strings，这时候会将DLL中所有的字符串展示出来，拖到后面会发现其物理地址。当然也可以用搜索字符串功能。

答案：10095B34。

45.接上题，在引用“cmd.exe /c” 的代码所在的区域发生了什么？(5分)

双击找到其汇编程序位置，按F5将其还原成伪代码，根据上下文中调用的函数可知，开启一个shell会话。

答案：开启一个shell会话。

46.通过对1.dll恶意程序分析，0x1000FF58处子函数中若对 ”robotwork” 字符串的memcmp比较是成功的，会发生什么？(5分)

按快捷键g跳转到相关地址，来到其函数入口。在0x1001044C处发现此处为一个判断，双击进入sub_100052A2(s)。根据函数名推测是对注册表“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion”的WorkTime项进行查询并取出结果。

接着来到sub_100038EE函数，双击进入，出现了send函数，经查询得知其向一个已连接的socket发送数据。