2023 TJ智网杯电子取证详尽WP(43页),包含所有解题思路和步骤
5星
- 浏览量: 0
- 大小:None
- 文件类型:PDF
简介:
本资料为《2023 TJ智网杯电子取证详尽WP》(共43页),全面收录比赛中的全部解题思路与详细操作步骤,适合网络安全爱好者深入学习。
### 2023 TJ智网杯电子取证竞赛知识点详解
#### 第一部分:介质分析
**1. 原始磁盘的SHA256值计算**
在电子取证中,为了确保数字证据的完整性和未被篡改,通常会对磁盘镜像文件进行哈希值校验。SHA256是一种常见的哈希函数。
- **操作步骤**:
- 使用AIM软件以只读方式挂载E01镜像文件。
- 确定物理磁盘驱动号为5(PhysicalDriver5)。
- 使用X-Ways软件打开该磁盘,选择物理方式打开驱动器号为5的磁盘。
- 在X-Ways中计算磁盘的SHA256哈希值。
- **结果**:2023TJbw-PC.E01对应的原始磁盘SHA256值是 `FDD3ED3893E31D6E9A363A83969AA701D06E0E3E3628B7DC97A8A23C13FF027D`。
**2. 最常登录的账户分析**
- **背景介绍**:登录账户记录可以帮助了解目标计算机的主要使用者以及潜在非法活动。
- **操作步骤**:
- 在X-Ways中导出`Security.evtx`文件,该日志位于 `WindowsSystem32winevtLogs` 路径下。
- 使用Log Parser工具处理安全日志文件。
- 执行查询语句:`SELECT * FROM C:UsersrenfeDesktopfupanSecurity.evtx where EventID=4624`。
- **结果**:最常登录的账户是 `L`。
#### 第二部分:APK分析
虽然题目描述中没有给出具体的APK分析内容,但在实际的电子取证工作中,APK分析主要用于提取移动应用中的有用信息。常见的工具包括ApkTool、dex2jar等。
#### 第三部分:数据库分析
**3. 桌面图片中的违法网站域名识别**
- **背景介绍**:在电子取证过程中,需要对桌面截图或文件进行分析以寻找潜在的违法证据。
- **操作步骤**:
- 在仿真环境中打开桌面文件夹。
- 确认并提取出包含违法网站域名为`www.HLHL.com`。
#### 第四部分:程序分析
**4. 测试模拟器文件SHA256值计算**
- **背景介绍**:验证特定文件的完整性需要使用其哈希值,本例中需计算“测试模拟器.ldbk”文件的SHA256值。
- **操作步骤**:
- 在C盘根目录下找到虚拟磁盘并打开它。
- 导出位于“手机app测试”文件夹中的“测试模拟器.ldbk”文件。
- 使用命令行工具`certutil`计算该文件的SHA256值:`328BD77EC112AB22AD1233852FD6C1DD4E049FA8D14BC4B358F5DC42BA146BCC`。
#### 其他知识点
**5. 密钥计算过程涉及的算法**
- **背景介绍**:密钥生成过程中通常会使用多种加密算法。
- **解决方案**:
- 分析材料,确定所使用的算法类型。常见的有RSA、AES和DES等。
**6. 数据库连接工具的用户名**
- **背景介绍**:数据库连接工具需要正确输入用户名和密码以进行连接操作。
- **解决方案**:
- 查找2023TJbw-PC.E01检材中的相关设置或配置文件,确定数据库连接工具使用的用户名。
**7. 远程控制所用的远程工具类型**
- **背景介绍**:远程工具用于实现对计算机的远程操作。
- **解决方案**:
- 分析2023TJbw-PC.E01检材中的痕迹或配置信息,确定所使用的远程工具类型。
**8. 远程控制时被控端公网IP**
- **背景介绍**:进行远程控制时需要知道被控计算机的公网IP地址。
- **解决方案**:
- 查找2023TJbw-PC.E01检材中的相关日志或网络流量记录,确定在指定日期(例如2023年8月22日)被控端的公网IP。
通过上述分析步骤和技术细节可以全面了解电子取证竞赛中涉及的知识点以及有效解决实际问题的方法。
全部评论 (0)
