点击上方蓝字“小谢取证”一起玩耍
关于2024年美亚杯官方所给出的案例背景,在这里,小谢以个人的角度做一个解读。非官方,仅为个人见解,如有纰漏之处,请大佬多多指教。另附官方建议小工具下载(文末福利)。官方提供的检材链接:https://pan.baidu.com/s/1ajsVB_15aJ4mzTvd5rHSkQ?pwd=pv1h
下面我们先引用一下2024年美亚杯官方团体赛与资格赛的案例背景。
从整体上来看,今年的资格赛与团体赛是有关联的,22年与23年美亚杯的资格赛与团体赛关联性不大,在21年的美亚杯与今年的美亚杯资格赛与团体赛是有关联的,也就是说资格赛当中的某些线索将可能用于团体赛当中。例如在21年的美亚杯当中,工地主管的电脑。团体赛交代“David,涉嫌因金钱问题杀害了其太太Clara”,从这点可以看出,个人赛当中的David检材含有杀害其太太“Clara”的线索。团队赛是涉及“David”的犯罪团伙成员Alice,Ben及John的检材,在他们这些检材中,将可能体现“David”的通联记录与如何通过网络攻击的方式去窃取受害人的信息。
从检材上具体分析,在资格赛出现的检材涉及到:
从检材的角度总体来看,与2022年美亚杯资格赛所给的检材(两个苹果手机检材,1个安卓手机检材,一个计算机检材(嵌套一个ubuntu服务器))有5个,这次资格赛表面上看所给的检材有6个:
1.两个安卓手机镜像:Clara_Smartphone.bin和David_Smartphone_1.zip),这其中肯定会涉及到像22年和23年对于.db或.Sqlite数据库文件进行解析,特别是2023美亚杯的资格赛当中对于whatsapp的应用程序底层的存储数据的数据库文件解析是难点。
2.苹果手机检材:Emma_Mobile_Image.zip)给的是一个压缩包,需要将其解压,有可能给的是完整的苹果手机备份文件夹,正常用手机取证软件解析即可,也不排除像2023年资格赛给的一个IOS文件夹,手工解析各.plist文件与.db文件。
3.笔记本计算机检材:David的Windows系统计算器镜像档案(David_Laptop_64GB.e01)。David是本案例中的主角,在2023年美亚杯资格赛的案例主角林俊熙计算机检材中有ubuntu服务器,也可注意一下有无服务器镜像或是流量包等其他嵌套的检材。
4.U盘镜像:David_USB_8GB.e01。在2023年美亚杯团体赛中也出现过U盘的检材。这次的资格赛有可能涉及视频、图像的大多数考核的是底层的数据恢复,有可能其数据恢复难度大也可能成为团体赛中重要的线索。
5.内存检材:David的Windows系统计算器内存档案(RAM_Capture_David_Laptop.raw) 。在2021年与2019年美亚杯检材都有涉及内存的解析。其往届考核的题与知识点争取这两天整理汇总出篇文章。官方所给的检材中又有Volatility,故基本的Volatility的基本使用方法与命令需要掌握。
从上述的资格赛建议软件来看:
1.数据库分析工具:
(1)DB browser for SQLite:涉及到的有对.db文件进行解析,可以使用DB browser for SQLite与Navicat解析之,使用DB browser for SQLite软件的好处是提供解密功能,如果有.db数据库是加密的,可以找到对应的密钥值解密。如2022年美亚杯的signal软件,使用其密钥值解析之,现取证大师的小程序已支持对该软件的解析。使用Navicat的好处是可以对所有的数据进行检索,快速定位数据所在的位置。
(2)Plist Editor Pro:苹果备份文件夹涉及到对plist文件进行解析,一个是可以使用此软件,另外一个也可安装爱思助手,即可打开。那么,这里存在一个问题,我们如何在这么多的数据中定位所要的数据?我们可以先使用手机取证软件对苹果备份文件进行解析,解析完成后的文件夹,使用取证大师加载该文件夹,再使用其“原始数据”搜索之。
2.手机系统分析工具
(1)手机大师:官方指定的手机取证软件,也可能有它存在的意义。可联系4008886688美亚官方的客服电话进行获取授权。
(2)Autopsy:是一款非常优秀且功能强大的免费开源数字取证分析工具。—【蘇小沐】来自蘇小沐的文章教程:https://blog.csdn.net/NDASH/article/details/128178986
3.内存分析工具
(1)Volatility:主要是掌握命令与各插件的使用。这里参考路baby的文章:
https://blog.csdn.net/m0_68012373/article/details/127419463
在官方所给出的团体赛案例背景当中,主要涉及到Alice,Ben和John三个人的检材。Alice涉及到两个检材,Ben和John分别涉及到6个检材和5个检材,所以重点在Ben和John。在这三个人当中,Alice这个名字最早是出现在美亚杯是在2020年第六届美亚杯资格赛以Alice的笔记本检材、LG手机、USB驱动器检材出现。Ben的名字是在2023年团体赛中Ben的MacBook、手机、Win10系统镜像。所以是否可能会出现2022年的检材,2023年再次出现的情形呢?总之,刷题是不会错的。
团体赛出现的检材涉及到:
1.团体赛的检材还是一如既往地多,毕竟是3个人协助(如果3人都过了资格赛)。团体赛出现的Alice的MacOS系统计算机镜像可以2022年美亚杯团体赛中的王景浩Macbook检材、2023年Ben的MacBook检材作为练习的检材。
2.在Ben检材中出现了跳转站镜像,以下是对跳转站镜像的解释:
可见,Ben可能为技术人员,进行网站的搭建,并且从案例背景出发,很有可能是钓鱼网站,诱导受害者输入账号、密码。
3.在John检材中出现了NAS镜像,这里以2023年美亚杯潘志辉的NAS为练习,这里可能出现磁盘阵列,用UFS软件对其解析,后续有时间推篇raid重组的文章。除此之外,还出现VR仪器镜像档案:
从官方所推荐的团体赛软件来看,可能涉及到的方向有安卓逆向、PC逆向(可刷2023年团体赛逆向相关部分)、注册表解析、虚拟币解析(可刷2022年与2023年虚拟货币相关部分)、流量包解析、信息收集、黑客攻击等。
最后,来波福利,关注“小谢取证”的朋友,只需在后台回复“美亚杯”,即可获得2024官方推荐软件下载的百度网盘(非官方)。
敬请各位大佬关注:小谢取证
扫取二维码获取
更多精彩
小谢取证
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...