20年美亚杯-Cole部分WRITE UP

Cole部分

这部分相对Bob的部分来说没有那么恐怖 但是也还是很难 依稀记得做完Bob部分做这个部分的时候的心情 五味杂陈

Cole桌上计算机部分

75. Cole桌上计算机的哈希值（SHA-1）是甚么？
自己跑一遍

76.Cole桌上计算机的用户名是甚么？

77. 在Cole的桌上计算机中发现了多少潜在的受害者？

其实你要说显而易见C盘下面有一个secret文件夹 里面有个vips.txt文件 也不是不行 但是从严谨的角度来说 嫌疑人存着这个文档肯定会看一看嘛 然后就去找了一下最近访问的文档 发现了这个vips.txt 找到了这个文件里面的200个潜在受害者

78. 潜在受害者的数据被储存在哪里?(某些字符被刻意用*遮盖)
就刚刚找到的那个目录 白给

79. 预设浏览器何时安装？

按理来说吧 预设浏览器的安装时间应该是和系统的安装时间没差多少的 盲猜一手默认浏览器是IE 我们知道系统的安装时间是12月7号 去看了眼IE的安装时间 也是7号

80. Cole桌上计算机上预设安装了甚么浏览器？
接上题 IE

81. 上述储存浏览记录的默认浏览器,该文件档案的类型是什么？

随便找一个IE的历史记录 然后跳转到源文件 看看是什么类型的文件 结果是dat

82. 入侵Zello的证据文件是甚么？

这个WebCachev01.dat文件里面记录着你上网的浏览记录 缓存 cookies 还有下载记录啥的 这边贴上一个WebCacheV01.dat文件的取证链接

83. 受感染网站的网址是什么?

84. Cole桌上计算机上的DDoS勒索字条是甚么？(某些字符被刻意用*遮盖)

在桌面上能找到

85. 在Cole桌上计算机上发现的DDoS勒索字条中，比特币钱包地址是甚么？
打卡就能看到

总结
就都是基本题 送分 没啥难度

Cole笔记本部分

86. Cole笔记本计算机的哈希值（SHA-1）是甚么？

SHA-1是可以直接看到的

87. Cole笔记本计算机有多少个用户帐户？

仨

88.当前登录用户帐户的用户名是甚么？

89. 在Cole笔记本的随机存取记忆体中, 是甚么Windows配置文件？
特意查了一下随机存取记忆体是什么 其实就是RAM 日 这个跑一下就好了(其实就是自己懒)

90.用户名密码的前五位是什么
尴尬了 之前不会做给师傅骂惨了

91.计算机中可疑txt文件的名称是什么

猜都知道是vips.txt了

92. 可疑txt文件曾经出现在哪个路径？
见上图

93. 是否有任何证据表明该文件已执行？

在你打开(执行)一个文件的时候 会在recent文件夹里面创建一个与该文件同名的一个lnk快捷方式文件 所以这个文件的产生就代表着文件被执行过了

94. 以下哪个与上述可疑txt文件相关的发现是正确的？

接上题 一个lnk文件的生成 就代表着源文件的执行 可以看到vips.lnk上面有一个customs.lnk文件的生成时间在vips.lnk后一点 然后是其他选项 怎么说呢 C选项最近执行的程序就没有Micosoft Word 只有Notepad++ 文件相关时间肯定可以找到 E选项 一言难尽

95. 根据系统时间，Cole在2020-09-18 01:01:08 UTC + 0000左右用笔记本计算机做了甚么？

这题真挺不好想的 除了D选项反正就是找啊找啊找不到 然后看到了D选项 首先是觉得就是删了嘛 去Recycle.bin里面看看 啥都没 后面快放弃的时候 瞄到了他有一个数据擦除软件 灵光一闪 这个软件如果运行过 那肯定会有Eraser.lnk文件生成 而且题目问的是0时区 我们要+8 终于找到了Eraser.lnk 并且对上了题目的时间

总结
这部分难度是有的 中规中矩 没有Bob那部分那么变态 但是很多操作还是要平常多多回顾的 如果有大神90题会做麻烦私戳我或者留言跟我说一下

Cole内存部分

内存应该是不难的

96.FTK Imager.exe的PID是甚么?

97.97. FTK Imager.exe的父应用程序是甚么？

98. FTK Imager.exe使用甚么DLL？
dlllist慢慢找吧

99. MpCmdRun.exe的PID是甚么?
进程被隐藏了 用一下psscan

100. 以下哪个与MpCmdRun.exe相关的项目是正确？
终止时间 看上图

101. 上次启动后，笔记本计算机连接的外部IP是甚么？
还真没有链接过外部的ip

102.上次启动后，笔记本计算机连接的网络驱动器路径是甚么？
暂时不会

总结
还行

Cole笔记本部分

邮件解析做不出来 这部分直接咕了XD

Cole的PI部分

107. Cole的PI的哈希值（SHA-256）是甚么？
过

108. Cole PI 装置的操作系统是甚么？
仿真一下 你就知道

109. 操作系统是甚么版本？
同上

110. 装置的文件系统是甚么？
白给

111. 操作系统的时区是甚么？
常规linux操作

112. 哪个文件包含儿童色情物品内容？（某些字符被故意用*遮盖）
顺着题目找

113. Cole PI装置中的儿童色情物品的创建时间是甚么？
见上图 白给

总结
真正意义上的简单

Cole NAS部分

不知道为什么取证大师怎么都跑不出来 见鬼了 后面用xways跑出来了 xwaysyyds 这部分很简单 没啥好写的

Cole安卓部分

118. 在Cole手机, 的用户个人资料是甚么？

119. Cole的手机上有社交媒体帐户吗？如有，那是甚么？

120. Cole与Bob和Alice在同一个小组中进行过交流吗？它是甚么？

121. Cole手机的Android ID是甚么？
老套路了

122. 已安装的WhatsApp APK文件的哈希值（SHA-256）是甚么?
这个base.apk怎么感觉见过一次

123. 列出Chrome的五个“关键词搜索”。

124. 在哪里可以找到“Cole的电话”的通话记录？

125. 2020-09-01至2020-09-30之间，“Cole”收到了多少条SMS讯息？
SMS就是短信

126. 在Cole的“ whatsapp”联络人中，有多少用户正在使用“ whatsapp”？
我不管 天王老子来了都是两个

Cole部分总结

太累了懒得写了 有空再说