题目来源：“盘古石杯”全国电子数据取证大赛——电子数据取证技能赛

相关wp链接：2023盘古石杯全方向全题目完整详细WP_是toto的博客-CSDN博客

盘古石杯电子取证比赛WP_2302M的博客-CSDN博客

【全网首发最全】首届盘古石杯全国电子数据取证大赛晋级赛write up 2023年奇安信取证比赛 高清截图_奇乃正的博客-CSDN博客

计算机取证

1.嫌疑人魏文茵计算机的操作系统版本?(答案格式:Windows 7 Ultimate 8603)(★☆☆☆☆)

操作系统版本为windows 10  Pro 14393

2.嫌疑人魏文茵计算机默认的浏览器是?(答案格式:Internet Explorer)(★☆☆☆☆)

A：Edge B:Internet Explorer C:Google Chrome D:360浏览器

在默认应用里面可以看到，常用为谷歌浏览器

 默认的浏览器：C

3.嫌疑人魏文茵计算机中以下那个文档不是嫌疑人最近打开过的文档?(答案格式:D)(★☆☆☆☆)

A：掠夺攻略.docx B：工资表.xlsx C:刷单秘籍.docx D:脚本.docx

 可以找到工资表和刷单秘籍，找不到掠夺攻略

不是嫌疑人最近打开的文档：A

4.嫌疑人魏文茵计算机中存在几个加密分区?(答案格式:3个)(★★☆☆☆)

有图所示，就看到一个分区是加密的

加密分区：1个

5、嫌疑人魏文茵计算机中安装了哪个第三方加密容器?[答案格式:VeraCrypt]][★☆☆☆☆]

可以看到，第三方加密容器为TrueCrypt

 第三方加密容器：TrueCrypt

6.接上题，嫌疑人魏文茵计算机中加密容器加密后的容器文件路径？(答案格式:C:\xxx\xxx)(★★☆☆☆)

容器的文件路径为D:\Users\WH\Documents

7.嫌疑人魏文茵计算机中磁盘分区BitLocker加密恢复秘钥为?(答案格式: 000000-000000-000000-000000-000000-000000-000000-000000))(★★★☆☆)

取证大师打开原始数据，直接在原始检材里面搜索恢复密钥，得到结果

恢复密钥的文件名为94CB06B3-6AF6-4E6D-A019-8A83E97E84D5.TXT

 加密恢复密钥为：000649-583407-395868-441210-589776-038698-479083-651618

8.嫌疑人魏文茵计算机中BitLocker加密分区中“攻略.docx”文档里涉及多少种诈骗方式?(答案格式:11)(★☆☆☆☆)

 打开攻略docx，可见有38种诈骗方式

 诈骗方式：38

9.投资理财团伙“华中组”目前诈骗收益大约多少?(答案格式:10万)(★★☆☆☆)

将魏文茵的微信用内存解密一下

 从微信和仁者无敌的聊天记录中可以得到诈骗收益信息

诈骗收益为：100万

10.通过对嫌疑人魏文茵计算机内存分析，print.exe的PID是？(答案格式:123)(★★☆☆☆)

用火眼内存分析工具或者volatility用pslist，得到print.exe的进程号

或者用kali

输入命令

vol.py -f memdump.mem --profile=Win10x64_10586 pslist

也可以直接用盘古石计算机取证分析系统直接搜索print.exe得到PID

 进程号：728

11.根据臧觅风的计算机分析，请给出技术人员计算机“zang.E01”的SHA-1?(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)(★☆☆☆☆)

由图可知

SHA-1值为：239F39E353358584691790DDA5FF49BAA07CFDBB

12.根据臧觅风的计算机分析，请给出该技术人员计算机“zang.E01”的总扇区数？(答案格
式:100,000,000)(★★☆☆☆)

 由图可知

总扇区数为：536,870,912

（如果是结束扇区，结束扇区数加一才是总扇区数）

13.根据臧觅风的计算机分析，以下那个文件不是技术人员通过浏览器下载的？(答案格式:A)(★☆☆☆☆)

A.WeChatSetup.exe

B.aDrive.exe

C.Potato_Desktop2.37.zip

D.BaiduNetdisk_7.27.0.5.exe

 除了百度云盘的安装文件，剩下的都可以找到

不是通过浏览器下载的:D

14.根据臧觅风的计算机分析，请给出该技术人员邮件附件“好东西.zip”解压密码？(答案格式:abc123)(★★★★★)

15.根据臧觅风的计算机分析，该技术人员电脑内曾通过远程管理工具连接过服务器“master.k8s.com”,请给出连接的端口号？(答案格式:22)(★★☆☆☆)

用虚拟机打开zang.ED2

 打开全局选项，可以看到master服务器连接的端口号为2282

连接的端口号：2282

16.根据臧觅风的计算机分析，接上题，请给出服务器的密码？(答案格式:password(★★★★☆)

在盘古石计算机取证分析系统中直接搜关键词 账号信息 ，逐条查找

在账号信息.docx中得到服务器密码

服务器密码：P@ssword

17.根据臧觅风的计算机分析，据该技术人员交代，其电脑内有个保存各种密码的txt文件，请找出该文件，计算其MD5值？(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)(★★★★★)

在TXT文本文档下找到了passwords.txt

选择导出勾选关联文件

 或者可以直接用盘古石计算机取证分析系统搜索password作为关键词

MD5值：C1934045C3348EA1BA618279AAC38C67

18.根据臧觅风的计算机分析，该技术人员曾使用过加密容器反取证技术，请给出该容器挂载的盘符？(答案格式:A)(★☆☆☆☆)

从最近访问的文档中查看最近的访问记录

 盘符：F盘

19.根据臧觅风的计算机分析，请给出该技术人员电脑内keePass的Master Password？(答案格式:password12#)(★★★★☆)

20.根据臧觅风的计算机分析，请给出该技术人员所使用的爬虫工具名称？(答案格式:xxx)(★★☆☆☆)

根据之前数据库解密的聊天记录里涉及的报表以及他的桌面

我们可以知道爬虫工具为后羿采集器