天天赢彩票|天天赢彩票_Welcome:2019 虎鲸杯电子取证大赛赛后复盘总结

天天赢彩票|天天赢彩票_Welcome

  题目模拟了一起黑客入侵窃取服务器信息的案件,在整个案件中如果通过线索的搜集把各个蛛丝马迹都串起来,还是挺有趣的。赛后对案件进行了复盘,案件描述如下:

  接下来就要通过这些检材的镜像/数据来进行相关的信息取证。这里对证据逐个来进行分析。

  使用 jadx-gui 把木马文件加载进去直接读 java 代码,发现是用 okhttp 框架写的程序,题目指明需要找到他的回传地址和手机号。

  在 winhex 中找到起始扇区(最前面的 512 字节是 MBR 扇区),MBR 扇区中前面的 446 字节是磁盘的引导代码,后面的 64 字节分别是四个分区表的基本信息,也就是硬盘分区表 DPT,每 16 个字节记录一个分区表项。(选中区域)

  根据上面的知识可以知道这里可识别的分区为第一个的主分区(分区标识符为 06),第二个扩展分区(分区标识符为 05)。

  分区 1 是一个 FAT16 的分区,分区 2 和 3 的类型未知,从 winhex 上来简单分析可以看到他们的 DBR 分区都被覆盖成了垃圾数据,因此这里的第一步需要对 DBR 分区进行恢复。(数据恢复这部分的知识并不了解,导致比赛时比较慌...所以感觉知识储备还是不太够)

  使用恢复大师选择 镜像恢复,打开镜像 随身固态闪存介质 C2.dd,这里就可以正常分析出分区 2 (FAT32)和分区 3 (NTFS)的文件格式

  接着选择深度恢复,恢复完成之后在压缩包分类中查看信息,发现了中国菜刀这个黑客必备的工具和类似于 svchost 木马的文件。

  将 样本 - 123456.rar 文件导出到本地之后,解压出来(解压密码为 123456,别问为什么,因为文件名上面写着。。),发现是 upx 加壳了,直接脱壳即可。

  将这个样本文件加载到 IDA 中,发现木马的功能和服务器上面的恶意程序的功能完全一致(后面会分析到),所以极大可能是同一个文件。

  所以这里有一个猜想是:从 样本文件 的名字可以推测,a 是一名黑客,根据金钱交易写了一个木马交给某人,然后这个人(可能也是黑客)利用了木马来控制了服务器。

  笔记的镜像可以直接加载到取证大师中,可以直接进行线索的发现和信息收集。可以直接使用取证大师的自动取证功能找到的线索这里就不再重新叙述了。应该包括了下面几类的信息:

  将目录下的 Manifest.db 加载到 Sqlite3 中,可以看到目录和备份数据对应的关系,根据这个关系就恢复出原始数据。

  这里可以使用现有的 itunes 备份恢复软件,将手机中的数据恢复出来。

  使用软件需要开通会员,下不去手所以在这里就直接使用取证大师,在目录下搜索记录,直接搜索 小李,就会出现和 龚XX 的聊天记录,会发现其中一条就是上面邮件附件的密码。

  把附件解压出来是对应的数据库文件,同样的方法加载到本地,打开会发现是黑客拿下的站点数据库。

  接着往下看,可以知道有笔交易是拿下 济公物流,需求是要求官网a瘫痪,而这个站点正是此次被入侵的服务器站点。所以这里的线索就更加清晰:这是个黑产团伙作案,已经形成了一个地下钱庄。

  另外根据备份信息里的通话记录的时间线,对应上摄像头的录像时间,就可以知道视频的里师傅确实是余沧海,且这个是他的旧手机号。

  这里可以直接使用某个动态仿真软件把镜像模拟起来,仿真起来之后是个 WIN 7 的操作系统。

  百度云账号、密码,以及快捷方式指向的应用程序在桌面上直接或者间接就能获取

  在 `D:\\Program Files\\WYWZ目录下找到无影无踪的应用程序,打开之后就可以看到只有 jpg 格式的图片文件经过处理

  在本地磁盘中可以看到 E 盘是进行了加密处理过了,所以在这里需要找到 BitLocker 的加密密钥。

  BitLocker 密钥的查找在取证大师中可以找到。在取证大师的高级搜索中,直接搜索字符串 bitlocker 就可以得到正确的密钥

  恢复密钥位于未分配簇里。使用取证大师自带的解密功能(右键 E 盘填入恢复密钥一栏)解密出磁盘即可。

  在 E 盘下就有一个 代码名单 的文件,很可能是写木马的人员名单。这里找到 李X光 的联系电话之后就可以回答问题了。

  打开桌面上的 VCF 通讯录编辑器,就可以发现 e 的师傅余沧海的手机号码。但是从视频里面知道他换了手机号,尾号是 0818

  通过加载家庭摄像头镜像到取证大师中,修复一些损坏的 mp4 文件头,会发现以下的一些信息:

  这一块的取证分析不是很熟悉,一般就是直接导入到美亚的 FS-600 话单分析系统中进行分析。这里也按照题目的线索提示来看。

  拿到 a 的华为手机备份里的数据,都是一些 sqlite3 数据库,分析起来也比较简单,直接导入 SQLiteStudio 工具中分析即可。

  数据库中有联系人信息、短信信息以及 WiFi 配置之类的数据,因此题目中的几个问题就可以直接回答了。

  题目所给的镜像文件是由四块盘组成的RAID磁盘阵列,所以这里需要进行 RAID 重组成原镜像才能进行分析。

  根据上面原理对 RAID 磁盘进行重组,这种操作在取证大师中也可以实现。

  RAID 类型是常规左同步,条带大小是 64 扇区,磁盘排列顺序是 3214,加载到软件中进行重组即可。

  经过 RAID 重组之后就可以对服务器镜像取证了,服务器的取证主要可以分为以下几个方向:

  RAID 排列完成、取证大师自动取证后,在系统桌面上就可以发现一个名字为 malware.zip 的文件比较可疑,把他导出解压出来得到一个 services.exe 文件。看名字就像一个后门木马文件

  再回头看题目,这里就是需要我们对这个恶意程序进行逆向分析来发现一些信息。

  在 sub_402150 函数中跟进,在里面发现篡改了 Svchost 的注册表来实现自启动和开启服务,所以很明显这个是个 svchost 后门,后面注入了恶意 DLL 到某个目录中。

  dll 的文件名是通过动态拼接的,只能通过 OD/windbg 动态调试才可以得到。

  在下面的 Paramters 键中可以发现后门运行释放后的文件位置和文件名。

  在任务管理器和 netstat 中,查看相应的网络连接就可以知道木马的回传 IP 地址178.56.94.77,是一个波兰的国外 IP。

  这边就需要对服务器的 网站下的数据进行分析,在取证大师中将整个D:\\Phpstudy目录导出到本地。

  要找到修改了管理员密码的 IP 地址,有两个方向可以选择,一个是在 Apache 日志中查找,一个是在数据库查看是否有相应的记录。

  这里找了 Apache 的日志,发现都没有相关的 IP 记录,可能是已经被删除了。所以这里需要在 Mysql 数据库查找信息。

  在分析之前需要先找到网站应用的数据库位置。在 www 目录下可知这个应用是 eyoucms 的,网站的数据库存储在phpStudy\\PHPTutorial\\MySQL\\data\\eyoucms目录下,目录下的文件都是 MYD 和 MYI 格式的文件,无法直接打开。

  所以这里可以采用第二种方法:把 eyoucms 整个目录复制到本地数据库,例如我这里用的是 wamp 的 mysql 数据库,找到相应的文件夹复制到 data 目录下即可。

  这里在数据库管理中就多了一个名字为 eyoucms 的数据库。打开数据表之后,所以很明显这里是使用 admin 管理员用户进行操作,登录的 IP 也就可以知道了。IP:192. 168.4.129

  点击计数,这里发现有 34 条匹配的记录,因为每一条访问请求在 access.log 中有两条记录(另一条记录了整条 URL 和 User-Agent 的信息),所以这里实际的访问 POST 请求只有 17 条。

  这里的有一个解法是在动态仿真时的 D 盘下某个文件夹下可以找到一张这样的照片(查看照片的 EXIF 信息,大疆无人机 FC220),所以可以根据 FC220 这个字符串在取证大师中进行全局搜索。

  另一种解法是在取证大师中找到某个 TC 加密的文件(PrvDisks.cmt),导出到本地以后使用 TC 密码解密(密码在 D 盘的 important 目录下)

  解密后挂载到本地的某个盘符下,进入文件夹下就可以看到所有处理过的图片了。

  另一个是需要找到嫌疑人 e 的交易收入额,这个收入额信息是存放在D:\\important的 person123.xls 中。

  将D:\\important目录下的 账号信息.doc 导出,修复文件头,得到薛哥的海外账号后5位,结合视频的前几位,得到薛建华完整的账号:Q328527801

  将上面的基本信息都收集的差不多了之后,就可以整体分析整个案情的来龙去脉。这里采用回溯的方法一步步往回分析。

  最后放出官方的解答,有一两点小问题还没有解决,例如地下钱庄的加密压缩数据库、销售人员名单。有知道怎么找到这玩意的大佬麻烦请指点一二~

  从整个答案的分布来看线索还是比较清晰,而且所给的证据文件也还是比较合理的。比较重要的就是对基础知识的熟悉以及对整个案情思路的整合和归纳。

天天赢彩票|天天赢彩票_Welcome