收藏本站

取证中国

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 7513|回复: 68
收起左侧

【取证中国独家发布】ICDFI 2015 电子取证挑战赛题目、镜像

  [复制链接]
发表于 2015-11-3 13:15:35 | 显示全部楼层 |阅读模式
第一部分:个人赛
        Eden有丰富的业余爱好与特殊的职业。他是一个恋童癖,超爱收集儿童色情相关的东西。他也是一个臭名昭著的匪徒,其敛财的主要手段主要有:裸聊敲诈;制造炸弹;假币制造;通过编写及分发病毒邮件盗窃用户信息;在线拍卖平台欺诈(在用户付款之后,却不寄送出所拍物品)等等。

        Eden最近被逮捕,他的电脑也被没收了并送至法证取证检查处。你是一个数字取证调查员,并且接到了Eden被送检的硬盘。你负责调查Eden曾经是否进行过任何的非法活动。在取得了硬盘的法证镜像之后,请解答如下问题:(总分25分)

1. 请找出如下windows XP系统信息:(10分)
        a. 系统安装时间 (YYYY/MM/DD)
        b. 系统版本号
        c. 系统产品编号
        d. 注册者名称
        e. 该计算机所设定的时区
        f. 最后登录日期(YYYY/MM/DD)
        g. 最后关机时间(hh:mm)
        h. IP地址
        i. MAC地址
        j. 硬盘标记(Disk signature)

2. 请给出桌面图片所对应的MD5值。(1分)

3. 曾经有USB存储设备连接至计算机,请列出该USB存储设备的S/N号码。(1分)

4. “Eden”, “Jess”, 及 “Eddie”之间是否有非法的行为?请理清三人之间非法行为的关系,并将相应的非法行为从选项中填写至相应的横线中。(3分)
        a. ____________
        b. ____________
        c. ____________
2015-11-03_125623.png
        A. 儿童色情
        B. 裸聊敲诈
        C. 制造炸弹
        D. 假币制造
        E. 病毒”MS040.exe”
        F. 线拍卖平台欺诈

5. 该用户是否有如下的不法行为,若有请列举相关证据。请在纸质答题纸上作答,并在答题纸的右上角写上“学校名称+姓名”(10分)
        a. 儿童色情
        b. 裸聊敲诈
        c. 制造炸弹
        d. 假币制造
        e. 病毒”MS040.exe”
        f. 线拍卖平台欺诈

第二部分:团体赛
        审问Eden之后发现,他的朋友Johnson不仅仅是一个黑客,更是一个电脑高手。Johnson开发并传播不少应用程序,其中也包括窃取网站敏感信息的恶意软件。Johnson曾经通过邮件发送一个网络数据dump给Eden,用以展示其中一个恶意软件的违法行为。

        随后他因为挪用公款、窃取公司重要的客户信息而被起诉。据悉,有目击者称看到Johnson当日驾车从公司离开,而当日驾车行驶记录可作为他本人是否来往公司窃取数据的重要证据。

        近日,Johnson被逮捕,他的电脑也被没收了并送至法证取证检查处。经过初始简单查看之后,警方发现在他的windows 7 系统里面安装了一个Linux的虚拟机。你是一个数字取证调查员,受警方委托接到了Johnson被送检的硬盘。你负责调查Johnson的电脑中是否有为了推广恶意软件而对外发送的网络数据包、所窃取的客户信息、及行车记录。在取得了硬盘的法证镜像之后,请解答如下问题:(总分35分)

1. 请给出相应Linux虚拟机所在的文件夹名称:(1分)

2. 请在Johnson的电子邮件中找出相应的网络数据包,并提供如下信息:(2分)
        a. 网络数据包的名称及后缀名(例如:readme.txt)
        b. 网络数据包的md5值
        3. 被恶意软件感染的电脑的主机的信息:(3分)
        a. 主机名
        b. IP地址
        c. MAC地址

3. 被恶意软件感染的电脑的主机的信息:(3分)
        a. 主机名
        b. IP地址
        c. MAC地址

4. 在该事件中被利用的网站的基本信息:(2分)
        a. IP地址
        b. 域名

5. 传播该漏洞/病毒网站的基本信息(2分)
        a. IP地址
        b. 域名

6. 重定向URL所指向的漏洞利用工具包的到达网页域名是什么?(1分)

7. 除了到达页面(含有CVE-2013-2551IE漏洞),漏洞利用工具包还发送了其他的漏洞。请从下列选项中选择出相应的漏洞:(1分)
        I. Flash漏洞
        II. IE漏洞
        III. Windows漏洞
        IV. office漏洞
        V. Java漏洞
        a. I & II
        b. I & V
        c. II & IV
        d. III & V
        e. II & IV

8. 恶意代码的有效载荷(payload)总共被传递了几次?(1分)

9. 被利用的网站中哪个文件或网页中含有重定向URL链接的恶意脚本?(2分)
        A. Index Page
        B. Second Page
        C. Third Page
        D. Fourth Page
        E. Fifth Page

10.请提取出该网络数据包中恶意程序/文件,并选择出对应的两个MD5值:(2分)
        I. 7b3baa7d6bb3720f369219789e38d6ab
        II. c45e9f2a3954e44296c1178c3a3d2b28
        III. 1e34fdebbf655cebea78b45e43520ddf
        IV. 6ccb3791c0b857158ffd1dabb0a49695
        V. 2cc9bd30cd18cdc8884b3cc837e7a3cd
        a. I & IV
        b. I & III
        c. II & V
        d. III & IV
        e. III & V

11.Linux系统的基本信息:(6分)
        a. 系统安装日期(YYYY/MM/DD)
        b. Linux系统版本号
        c. 最后登录日期(YYYY/MM/DD)
        d. 最后关机时间(hh:mm)
        e. IP地址
        f. 请选择哪一个是终端Terminal的最后1个命令

12.被窃取的客户信息是一个mysql数据库,请提供mysql数据库基本信息:(共5分)
        g. Mysql版本(1分)(例如:1.1)
        h. DB数据库存储地址\存储路径(1分)(例如:/sys/dev/)
        i. 数据库表名称(1分)
        j. 请提供数据库中名字Name为Jessamine B. Underwood的电话、信用卡号、密码、及Email记录(2分)
Name              
Phone              
Credit_Card_Number              
Password              
Email               

13.你能从电脑中找到任何的Johnson所盗取的公司进出账记录么?如果有的话,请协助提供如下信息:(2分)
        a. 进出账记录的文件名(例如:readme.txt):
        b. 在该记录中,Johnson借款金额为:

14.你能从电脑中找到行程记录仪所记录的视频或者地图截图么?如有,请列举其文件类型及对应MD5值。请在提供的白纸中作答,并在右上角填写“学校名称”。(5分)
文件类型
MD5
1
2
3
4



取证中国经过独家授权发布题目与镜像
镜像下载地址:
游客,如果您要查看本帖隐藏内容请回复


1st Round Challenge Questions_CH.pdf

304.01 KB, 下载次数: 60

售价: 5 取证币  [记录]

第一部分题目

2nd Round Challenge Questions_CH.pdf

267.26 KB, 下载次数: 54

售价: 5 取证币  [记录]

第二部分题目

回复

使用道具 举报

发表于 2015-11-3 20:27:32 | 显示全部楼层
学习学习
回复

使用道具 举报

发表于 2015-11-3 21:48:17 | 显示全部楼层
要学习学习
回复 支持 反对

使用道具 举报

发表于 2015-11-4 08:58:48 | 显示全部楼层
学习一下~
回复

使用道具 举报

发表于 2015-11-4 10:17:47 | 显示全部楼层
有答案没有呀
回复 支持 反对

使用道具 举报

发表于 2015-11-4 14:06:18 | 显示全部楼层
学习学习
回复

使用道具 举报

发表于 2015-11-4 18:00:37 | 显示全部楼层
哇,练练手~谢谢分享
回复 支持 反对

使用道具 举报

发表于 2015-11-5 11:02:46 | 显示全部楼层
很是喜欢这类的帖子,感谢楼主分享!
回复 支持 反对

使用道具 举报

发表于 2015-11-7 08:51:47 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

发表于 2015-11-7 08:57:11 | 显示全部楼层
感谢ZING提供
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|    

GMT+8, 2018-2-25 11:33

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表