取证考核复现

取证一

题目1-1

打开短信直接找到

flag{随手记}

题目1-2

在app分析里面可以找到

这里点击右上角

可以直接跳转到源文件

文件导出之后计算一下md5可以使用fhash计算

flag{e62cad5e46113bc9044dd8e1ab876372}

题目1-3

这里说要找到包名，在上面的APP分析的位置就可以找到了

flag{com.mymoney}

题目1-4

取证二

题目2-1

这里在翻找的时候意外发现了flag2

flag{ZD5JHK}

题目2-2

这里就目前来推测可以得知flag4应该就是在FLAG.zip里面但是这个解压不出来

也修复不出来

取证三

题目3-1

这里先来了解一下什么叫做raid
raid是磁盘阵列

RAID 0：条带化（数据分块）但没有冗余，提供较高的读写性能。

RAID 1：镜像，数据完全复制到另一个驱动器，提供容错能力。

RAID 5：条带化加分布式奇偶校验，提供数据冗余和读取性能。目前美亚杯考核最常出现的类型，重点掌握。

RAID 6：类似于RAID 5，但提供更高级别的容错能力。

RAID 10：RAID 1+0，将RAID 1镜像组合成RAID 0条带化，提供较高的容错能力和读写性能。

RAID 50：RAID 5组合成RAID 0，提供较高的性能和容错能力。

RAID 60：RAID 6组合成RAID 0，提供更高级别的性能和容错能力

因为平时是以raid5居多所以这里就重点来了解一下5

RAID 5 是一种存储性能、数据安全和存储成本兼顾的存储解决方案。 RAID 5可以理解为是RAID 0和RAID 1的折中方案。RAID 5可以为系统提供数据安全保障，但保障程度要比Mirror低而磁盘空间利用率要比Mirror高。RAID 5具有和RAID 0相近似的数据读取速度，只是多了一个奇偶校验信息，写入数据的速度比对单个磁盘进行写入操作稍慢。同时由于多个数据对应一个奇偶校验信息，RAID 5的磁盘空二间利用率要比RAID 1高，存储成本相对较低，是运用较多的一种解决方案

这里首先我们得知这里的磁盘阵列需要我们自己去进行重组
这里使用到工具UPX但个人感觉可能取证大师比较友好

这里将镜像按照2345的顺序填写进去之后重建raid

这里可以发现他重建出来了windows这个系统
所以说明其盘序就是2345

接着我们要找块顺序
块顺序在raid5中一般是常规左同步

这里我们之前在进行重建的时候也可以看见

然后数据块大小是64KB

这里要找脏盘的话我们需要先来了解一下脏盘是什么东西

简单来说就是数据乱或者存在缺失

这里我看来一下只有3.e01这个盘数据存在缺失

所以最后flag就是flag{2345左同步64kb3.e01}

题目3-2

题目3-3

题目3-4

取证四

题目4-1

打开邮件

可以很清晰的看见有两个邮件，第一个很明显的就是使用Foxmail这个软件的一个欢迎邮件

一般的软件都会有

看一下第二个的内容

可以看见他在询问结果所以这个就是泄密的邮件

而我们要知道的是外泄数据的账号

所以是发件人

flag{liuhui81@sina.cn}

题目4-2

这里是加密文件

但是具体是哪一个不是很清楚

这个是快捷方式只有3459有

然后在浏览器记录里面也发现了

选第一个，但不清楚是为什么

flag{SL703459.JPG}

取证五

题目5-1

wifi信息打开直接看

这里问的是出差时候房间的wifi所以应该是room-2208后面的2208应该就是门牌号

flag{12345678}

题目5-2

因为是报价单，所以直接去文档excel里面去找

可以看见有一个新报价单，点了就能知道修改时间了

flag{2022-03-2811:55:19}

题目5-3

这里让计算md5一样的导出去计算

flag{72207e3a056930f90889050f4ee2e217}

题目5-4

翻一下就发现是在UC浏览器里面搜索过

flag{宿州}