DIDCTF-2022暑假取证学习

2022暑假取证学习

有嫌疑人在使用Windows系统，取证人员对该系统进行了硬盘镜像。通过自己的工具软件对档案袋中的镜像文件进行提取、分析、逆向、恢复、破解、查找等，在线完成填空、简答。
比赛材料记录 比赛的计算机镜像资料镜像名为“windows7disk.E01”

1.请找出操作系统主机名

直接查看

WIN-49I0SNRJAMF

2.请给出源磁盘的SHA256哈希值

直接计算

等待一段时间，得到：

4547A61A11064DF47B272A4803788597F9A5E9AC0F11A93ABE58C8B8588956CB

3.请找出操作系统中安装的Android模拟器名称和安装日期

格式：模拟器名时间
例子：雷电模拟器2022年06月23日

查看安装了哪些：

夜神模拟器2021年05月03日

4.请找出使用Bitlocker加密的虚拟磁盘文件

格式：1.txt/2.txt

my.vhd/my1.vhd

5.请找出操作系统安装日期

格式:2022-01-04 12:47:43

2021-05-03 18:44:28

6.请找出操作系统最后登录的用户

poiuy

7.请找出操作系统中安装的浏览器最后浏览过的网站域名

格式： www.baidu.com

passport.baidu.com

8.请找出操作系统中安装的浏览器名称的对应的安装日期

选C

9.请找出操作系统版本号

6.1

10.请找出操作系统设置的时区名称

A

11.请找出操作系统中安装的浏览器“自动填充”中保存的网站密码信息（网站、用户名、密码）

格式：网站+用户名+密码
例子：https://blog.didctf.com/+admin+admin111

https://www.baidu.com/+test+test@test2021.com

12.请找出用户“poiuy”的SID

安全标识符（英语：Security Identifier, SID），是Windows操作系统所使用、独一无二的标识符，用于标识用户、用户群、或其他安全主体。 安全标识符一经产生，不会与全世界任何的安全标识符重复，也不随用户更名而变化。但如果删除了用户帐户，然后再创建同名帐户，则产生的安全标识符是不同的。

S-1-5-21-435394657-638363951-1066549375-1000

13.请给出源磁盘的大小（字节）

一个扇区512个字节

32212254720

14.请找出各分区文件系统类型

ntfs

15.请找出曾经连接到该系统的U盘的品牌、序列号、最后插拔日期

格式：SAMSUNG+FAWC524213104FAWV146+2022-07-14

SanDisk+4C530001310423109141+2021-05-04

16.请找出回收站中的文件的名称

格式：2333.exe+1.txt+3.E01 注意顺序

nox_setup_v7.0.0.6_full.exe+新建文本文档1.txt+测试.rtf

17.请找出使用Bitlocker加密的虚拟磁盘文件恢复密钥文件名是什么

BitLocker 是一项 Windows 安全功能，可为整个卷提供加密，解决因设备丢失、被盗或不适当停用而导致数据被盗或泄露的威胁

BitLocker 恢复密钥 666E6292-906B-4A9B-9167-4DB146123BAD.txt

18.请找出用户“poiuy”的登录密码

09876543