[toc]

第一部分

1. 检材 1 的操作系统版本

火眼仿真直接看:CentOS Linux release 7.6.1810 (Core)

2. 检材 1 中,操作系统的内核版本

uname -a命令查看:

3. 检材 1 中磁盘包含一个 LVM 逻辑卷,该 LVM 开始的逻辑区块地址(LBA)是

fdisk -l命令,查看到LBA:2099200

4. 检材 1 中网站“www.kkzjc.com”对应的 Web 服务对外开放的端口是

网探连接通过仿真的检材一(提前netstat -antp命令得知ssh端口是7001),然后点击网站→Nginx→配置信息,看到四个配置文件,点进kkzjc的配置文件,看到listen 32000

5. 检材 1 所在的服务器共绑定了几个对外开放的域名

从刚刚看到的Nginx配置信息可以看到有三个网站:

6. 检材 1 所在的服务器的原始 IP 地址是

从检材二的Chrome浏览器历史记录可以看到代理登录的痕迹:

所以原始IP是192.168.99.3

7. 嫌疑人曾经远程登录过检材 1 所在的服务器,分析并找出其登录使用的 IP 地址是

last命令,查看到有两个IP登录过服务器,解压检材二的密码是192.168.99.222

8. 检材 1 所在的服务器,其主要功能之一为反向代理。找出“www.kkzjc.com”转发的后台网站所使用的 IP 地址是

查看服务器部署的三个网站的配置文件,发现都有:

1
2
3
4
location / {
proxy_pass http://127.0.0.1:8091;
index index.html index.htm;
}

proxy_pass字段,说明转发给了内部的8091端口,但是之前查看netstat的时候没有发现8091,这时候history查看命令行历史记录,发现与docker相关的命令:

所以推测8091端口极有可能在docker中发挥作用。
下面systemctl start docker开启docker服务查看一下,docker ps可以看到有8091端口内容,那么就docker exec -it 08 /bin/bash进去看看,再一次history可以看到里面也是有Nginx的,就直接翻出配置文件看:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
server {
listen 80;

#charset koi8-r;
#access_log /var/log/nginx/host.access.log main;

#location / {
# root /usr/share/nginx/html;
# index index.html index.htm;
#}

#error_page 404 /404.html;

# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}

# proxy the PHP scripts to Apache listening on 127.0.0.1:80

location / {
proxy_pass http://192.168.1.176:80;
}

# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
#
#location ~ \.php$ {
# root html;
# fastcgi_pass 127.0.0.1:9000;
# fastcgi_index index.php;
# fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
# include fastcgi_params;
#}

# deny access to .htaccess files, if Apache's document root
# concurs with nginx's one
#
#location ~ /\.ht {
# deny all;
#}
}

注意到有proxy_pass http://192.168.1.176:80,所以这个IP就是题中所述的转发地址,解压检材三也可行。

9. 嫌疑人曾经从题 7 的 IP 地址,通过 WEB 方式远程访问过网站,统计出检材 1 中该 IP 出现的次数为

访问网站的记录在Nginx日志里,第八题查看docker内的Nginx配置文件,发现access_log被注释掉了,就返回找Nginx的默认日志:

其中包含的两个日志都是lnk链接文件,无法直接查看,这时候就要去直接在docker中查找与此IP相关的日志:docker logs 08 | grep -c 192.168.99.222:通过-c的统计出结果:18次。

第二部分

10. 检材 2 的原始磁盘 SHA256 值为

取证大师直接算:2D926D5E1CFE27553AE59B6152E038560D64E7837ECCAD30F2FBAD5052FABF37

这里应该特别注意:如果直接用certutil -hashfile 检材2.E01 SHA256命令算的话,算出来是这个镜像文件的哈希,而不是原始磁盘的哈希。

11. 检材 2 所在计算机的 OS 内部版本号是

火眼仿真进入计算机→左下角搜索winver→查看:

12. 检材 2 所在计算机最后一次正常关机的时间

事件查看器→Windows日志→系统→筛选6006(关机时间):

最后一次是:2020-09-22 13:15:34

13. 检材 2 中,VMware 程序的安装时间为

取证大师→系统痕迹→安装软件→虚拟机软件:

2020-09-18 17:57:13

14. 检材 2 中,Vmware.exe 程序总计启动过几次

取证大师→系统痕迹→应用程序运行痕迹→筛选vmware:

总共打开过6次

15. 嫌疑人通过 Web 方式,从检材 2 访问检材 1 所在的服务器上的网站时,连接的目标端口是

第六题可以看出来连接的是8091端口。

16. 接 15 题,该端口上运行的进程的程序名称(Program name)为

回到检材一,netstat -antp查看8091端口name:

17. 嫌疑人从检材 2 上访问该网站时,所使用的域名为

第六题可以看出:www.sdhj.com,如果不确定的话就去看hosts:

18. 检材 2 中,嫌疑人所使用的微信 ID 是

试过一堆办法之后都不知道要从哪里寻找微信的痕迹,后来问过鹏才知道在里边,D盘有个手机的压缩包tar文件,下一步就导出tar,扔到火眼里边分析一下:

微信ID为:sstt119999

19. 分析检材 2,嫌疑人为推广其网站,与广告位供应商沟通时使用的通联工具的名称为

嫌疑人手机上有QQ、微信、tg等聊天工具,逐个查看聊天记录,发现tg中与g x的聊天记录涉及广告沟通:

所以工具就是:telegram

20. 分析检材 2,嫌疑人使用虚拟货币与供应商进行交易,该虚拟货币的名称是

还是看和g x的聊天记录,发现一张图片,显示有doge收款:

百度之后得知这个叫dogecoin,类似于比特币,但是加密算法不同。

21. 上述交易中,对方的收款地址是

收款地址就在二维码下边:DPBEgbwap7VW5HbNdGi9TyKJbqTLWYYkvf

22. 上述交易中,嫌疑人和供应商的交易时间是

直接上网站:https://doge.tokenview.com,搜索这个交易地址的记录:

交易时间就在右下角:2020-09-20 12:19:46

23. 上述交易中,嫌疑人支付货币的数量为

由上图直接看出:4000 DOGE

24. 检材 2 中,嫌疑人使用的虚拟机的虚拟磁盘被加密,其密码为

查看微信,与关省事的聊天记录,里面的聊天记录涉及虚拟机密码忘记,然后对方建议上github搜索,那就去看看他的浏览器关于github的历史记录,Chrome在桌面上的位置很显眼,那就先开Chrome看看:

找到pyvmx-cracker工具,下载到他计算机破解一下,按照教程试试:
提取出vmx配置文件,用命令跑一下:

1
python3 pyvmx-cracker.py -v Windows 10 x64.vmx -d wordlist.txt

25. 检材 2 中,嫌疑人发送给广告商的邮件中的图片附件的 SHA256 值为(忽略邮件状态)

26. 检材 2 中,嫌疑人给广告商发送广告图片邮件的发送时间是(忽略邮件状态)

27. 检材 2 中,嫌疑人的邮箱密码是

第三部分