今天来把之前打的蓝帽杯初赛取证和misc整理一下，缓慢长期更新

打完感叹自己的web学了快一年还是依托答辩，决赛的渗透做得像一坨屎X(

先写一个备忘录：容器密码：Hpp^V@FQ6bdWYKMjX=gUPG#hHxw!j@M9

案情简介

2021年5月，公安机关侦破了一起投资理财诈骗类案件，受害人陈昊民向公安机关报案称其在微信上认识一名昵称为yang88的网友，在其诱导下通过一款名为维斯塔斯的APP，进行投资理财，被诈骗6万余万元。接警后，经过公安机关的分析，锁定了涉案APP后台服务器。后经过公安机关侦查和研判发现杨某有重大犯罪嫌疑，经过多次摸排后，公安机关在杨某住所将其抓获，并扣押了杨某手机1部、电脑1台，据杨某交代，其网站服务器为租用的云服务器。上述检材已分别制作了镜像和调证，假设本案电子数据由你负责勘验，请结合案情，完成取证题目。

计算机取证

1.请给出计算机镜像pc.e01的SHA-1值

计算sha1即可：23f861b2e9c5ce9135afc520cbd849677522f54c

2.给出pc.e01在提取时候的检查员？

这个是软件才能看，盘古石过期了，现在我是用axiom+vol，看不了

3.请给出嫌疑人计算机内IE浏览器首页地址？

比赛的时候没找到，乱填了个bing，复现的时候也没找到正确的主页，直到有师傅说主页当时在取证大师能看（所以为啥当时我没看见呢。。。）

复现时我是分析恢复的url，还有历史记录，发现每次起手都是bing的网页，那么浏览器首页大抵就是bing了

请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号？

请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1？

比赛时因为一直没啥有价值的信息，就开始翻文件列表，翻到了一个disk.img，就拉出来看了看，就看见了目标文件

这里有一个点，如果你试图挂镜像但是报镜像寄掉了，不用理会，用磁盘精灵打开就行了，win11总有些奇奇怪怪的bug

导出文件后计算一下，得到flag24cfcfdf1fa894244f904067838e7e01e28ff450

请给出嫌疑人VeraCrypt加密容器的解密密码？

考虑到一般取证题目都会把vk留在电脑上，果然成功

请给出嫌疑人电脑内iSCSI服务器对外端口号？

本来是想要采用仿真的方法来搞的，但不知为啥，这次的镜像就是仿真不起来（恼，所以采用了搜索网络连接的方式来做，重点关注所有者为StarWindService.exe的连接，结果就看到了3216，即得flag

请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码？

找配置文件，看到了StartWind.cfg，打开看看

账号：user

密码：panguite.com

分析嫌疑人电脑内提现记录表，用户“mi51888”提现总额为多少？

之前找C盘清理.bat的磁盘，当时就注意到谁家的txt有2个g

通过工具确定，vc容器，密码就是之前的密钥

可以看到有excel文件列表

打开excel

求和即可

请给出计算机内存创建北京时间？

volatility.exe -f xxx.mem imageinfo

急速通关

请给出计算机内用户yang88的开机密码？

用mimikatz的话也是可以的，其实上面的vc密码那里也给出了密码，忘了。。。

请给出用户yang88的LMHASH值？

hashdump

请给出用户yang88访问过文件“提现记录.xlsx”的北京时间？

mftparser命令，在狼组文库中设这样描述的

MFT的定义是：

主文件表 (本地文件系统)
NTFS 文件系统包含名为 主文件表或 MFT 的文件。 对于 NTFS 文件系统卷上的每个文件，MFT 中至少有一个条目，包括 MFT 本身。 有关文件的所有信息（包括其大小、时间和日期戳、权限和数据内容）存储在 MFT 条目中，或存储在 MFT 条目描述的 MFT 外部的空间中。

注意其中提到的时间戳，是包括访问时间的

奇怪的是，vol扫出来的和axiom扫出来的，居然不一样

不是很懂

请给出“VeraCrypt”最后一次执行的北京时间？

pslist一把嗦

分析内存镜像，请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次？

即答，2

请给出用户最后一次访问chrome浏览器的进程PID？

还是pslist

至此，计算机取证篇到此完结，过几天继续复现服务器篇