[toc]

阶段一

1. 计算受害者电脑磁盘的SHA256校验码

取证大师计算镜像哈希:

SHA256值:D4A3F6C32B51660E8810803D0BF74103582AE949EDD6453B73291FF45B326D18

2. 系统中首次成功连接Wi-Fi网络的时间

方法一

取证大师:取证结果→系统痕迹→无线上网,看到首次连接时间:2020-8-20 12:03:19

方法二

被害人计算机→Win+R→eventvwr打开事件查看器,然后找
应用程序和服务日志→Microsoft→Windows→WLAN-AutoConfig→Operational
寻找第一个8001的时间(8000是开始连接,8001是成功,8002是失败,8003是断开连接)。

3. 浏览器中保存的表单信息的内容

取证大师:取证结果→上网记录→Google Chrome→表单信息,右侧可以查看字段名称、字段值等信息。

图中显示字段名称:pwd,字段值:93og

4. 受害者电脑中,勒索病毒程序的文件名及MD5值

(做这道题的时候经历了两落两起的过程)

  • 一落:在取证大师的取证结果一栏里面大致看了一下,没有关于勒索病毒的明确的分析结果,那么接下来就应该猜测被害人是从什么途径感染病毒的,所以就应该着重从他的上网记录、远程桌面连接情况、QQ聊天记录等方面分析,如果还分析不出来,就要去看看系统日志了。
  • 一起:分析到Google Chrome浏览器的下载记录之后,发现下载了一个WannaCry.exe,结合下载时间2020.9.5,再联想到之前曾出现过WannaRen勒索病毒,还持续了挺长一段时间,这俩的名字长的挺像,可以作为进一步分析的方向。

  • 二落:此文件下载的网站是baidupan.com,通过访问网站、查询ICP备案信息发现此网站就是由蓝奏云官方运营的,所以此文件是不是个病毒文件又成了个疑问。


备注:上图所述查询结果来自于:http://icp.chinaz.com/baidupan.com

  • 二起:之前下载过很多蓝奏云的资源,此文件是通过二级、三级域名下载的,那么就说明这个文件是由某人上传到蓝奏云,然后由被害人下载到计算机中的。

最后百度搜索了WannaCry,百度百科给的解释是:

WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。

所以可以确定WannaCry.exe就是本题中的勒索病毒程序。
最后通过检索文件名,找到此文件,计算出MD5等值。

MD5值:B78730D768231EADCDA4880CEE260ED1

5. 勒索病毒开始运行的时间

从证据文件栏中搜索wannacry,按照修改时间排序,第一个就是2020-09-05 18:19:54,然后顺着时间往下看,到18:20:23开始,每一秒内都有大量的文件被修改:

结合这些文件之前的访问时间和创建时间来看,这些被修改的行为都是加上了WannaCry的后缀,也就是说勒索病毒从此刻开始运行了。
用户痕迹→应用程序访问记录中查找wannacry,显示最后运行时间是2020 18:20:22

想说一点题外话

做取证题的更多的意义是为了将来的工作,所以不能单纯为了做题而做题,应该想着通过分析镜像文件,能否由此推断出被害人或者嫌疑人的活动轨迹和活动心理,对于以后分析会更有帮助。
为什么想起来说这些呢?
最开始是在取证结果栏里面搜索的wannacry,发现了一系列上网记录:

18:19下载了勒索病毒,后来到18:33搜索与wannacry有关的关键词。中间经过了十多分钟,此时不难推测wannacry病毒已经基本完成攻击活动。被害人发现自己的计算机感染了勒索病毒,于是上网搜索破解病毒的方法,这是分析一些简单的行为轨迹。
从打开网页的时间来看,被害人在这些网页的停留时间都很短,先后打开两个网页的时间间隔也只有短短十几秒左右,不难知道被害人此时内心极度慌张,浏览网页也静不下心来。(心理轨迹)
分析这些虽说很简单(难度甚至比CTF的签到题还简单),但是以后慢慢经历,见的多了,以后就知道怎么可以更轻松的去取证了。

6. 勒索病毒程序修改文件的方式

从前面分析出病毒运行是给文件添加wannacry后缀,如果仅仅是添加后缀,就把后缀删掉就行了。
火眼仿真+VMware打开被害人计算机镜像(win7系统)(记得提前给镜像断网):

桌面图标第一行第四列的位置就是WannaCry,打开看一下:

标题栏发现似乎有关联文件@[email protected],随后在桌面第二行第三列发现这个txt文件,文件里面的内容就是上图内容。
删除过一堆文件的wannacry后缀,然后打开,都可以正常访问,所以它只是给文件加了wannacry的后缀而已,这个从第五题的文件创建和访问时间也可以看出来。

如果是这样的话,那么wannacry就不算是勒索病毒,只加个后缀文件,很简单就能给改回来,那么这个wannacry是不是嫌疑人使用的障眼法,真正的勒索病毒不是wannacry?

回过头来一想,这个镜像只是一个比赛的镜像,并不是真实案件的镜像,所以wannacry应该就是第四题中所说的勒索病毒。

7. 勒索病毒留下的勒素信息中gmail邮箱的密码

8. 植入病毒的嫌疑人在作案过程中使用的电脑的IP地址

阶段二

9. 作案电脑中安装的操作系统名称和版本

火眼仿真一下,系统自动监测出操作系统和版本。

或者进入镜像计算机lsb_release -a查看:

所以操作系统和版本是:Deepin 20 Bate

10. 作案电脑系统中安装的容器引擎名称

查看系统安装的软件等东西,在仿真环境下不容易全部寻找出来,这时候可以查看系统终端的历史记录,可以用取证大师在取证结果→用户痕迹→内置应用→终端记录中查看终端的历史命令记录:

可以看出安装了docker容器。
再往下翻历史记录,可以看出还有安装的rocket容器:

11. 容器引擎所使用的加速器地址

在嫌疑人的计算机镜像终端输入cat /etc/docker/daemon.json

https://096wnkcj.mirror.aliyuncs.com

12. 作案电脑中保存的案件相关的勒索病毒文件路径及文件名

13. 作案电脑中SQL Server数据库的密码

在第十题中查看终端历史命令的时候,发现有在docker中设置SQL Server数据库密码的命令:
docker run -e 'ACCEPT_EULA=Y' -e "SA_PASSWORD=<[email protected]>" -p 3306:1433 --name sqlserver \
所以SQL Server数据库的密码:<[email protected]>

14. SQL Server数据库中的已知肉机所扫描到的所有IP地址(包括所有下级分支)的个数

先从docker容器中给SqlServer创建一个新的镜像,以防污染源数据:docker commit sqlserver sql,然后开启:docker run -p 1433:1433 sql,最后用Navicat连接到SqlServer,用户名和密码在上一题中已知。

题目中已知肉机的IP为22.24.53.198,在ip_rel表中筛选parent_ip为肉机IP的数据,筛选出的左侧IP为一级下级:

把这些IP作为筛选条件

15. SQL Server数据库中的已知肉机所扫描到的所有IP地址中爆破成功的拥有root 账号密码的 IP 数

16. 作案聊天工具软件中配置代理服务器IP及端口

17. 嫌疑人购买该勒索病毒的暗网论坛地址的访问密码

18. 嫌疑人支付勒素病毒款项时,卖方的虚拟钱包地址

19. 勒索病毒卖家的姓名、个人网站地址

阶段三

20. 勒索病毒卖家的微信呢称和微信ID

21. 勒索病毒卖家的记事本APP的启动密码

22. 勒索病毒卖家的记事本APP的数据库密码

23. 犯罪主谋远程连接软件显示的本机识别是多少

24. 犯罪主谋收款的银行卡卡号

25. 勒索病毒买家(嫌疑人)的姓名、邮箱地址