背景
警方接到报案称有人利用无人机投放非法宣传材料,根据线索找到一处住宅,搜查发现无人机、智能电视机、小型网络设备等电子设备,提取了电子设备数据并对网络设备进行了抓包分析。现委托你机构进行电子数据鉴定,以查找涉案证据。
检材
样品 U 盘中的压缩文件”2022SF-CNAS025-JC1.zip”至”2022SF-CNAS025-JC4.zip”解压后分别包含检材 1 至检材 4 数据。
检材 1:无人机中提取的飞行记录文件。
检材 2:智能电视机机身的镜像文件。
检材 3:小型网络设备存储卡的镜像文件。
检材 4:在检材 3 设备的 WAN 口捕获的数据包文件。
要求
【对检材 1 进行检验,回答第 1 至 3 题】
1. 本次飞行记录中,马达的启动时间。
使用CsvView打开DAT文件
查看日志,发现马达启动时间标记为 <span class="ne-text">.000</span>
那么加上记录时间
加上 <span class="ne-text">154.012秒</span>,则是 <span class="ne-text">2022-8-2 14:34:02</span>
结果为 <span class="ne-text">2022-8-2 14:34:02</span>
2. 本次飞行记录中,到达海拔最高点时的 GPS 坐标。[提示:给出小数形式的经纬度值,小数点后保留五位,无需进行坐标系转换]
Datcon导出csv文件查看
根据海拔高度进行排序
结果为 <span class="ne-text">121.41502,31.22772</span>
3. 飞行轨迹为多边形,给出边的数量。
结果为 <span class="ne-text">6</span>
【对检材 2 进行检验,回答第 4 至 11 题】
4. Data 分区的起始位置。[提示:整个镜像中的偏移字节数,十进制表示]
结果为 <span class="ne-text">5333843968</span>
5. 连接过的 WiFi 热点的 SSID。
在 <span class="ne-text">分区9/misc/wifi</span>下的 <span class="ne-text">networkHistory.txt</span>和 <span class="ne-text">wpa_supplicant.conf</span>中均能找到ssid
结果为 <span class="ne-text">IoT-pt;PT</span>
6. 非预装的 APP 中具有 READ_EXTERNAL_STORAGE 权限的 APP 数量。
查看文件 <span class="ne-text">/system/packages.xml</span>和 <span class="ne-text">/system/users/0/<span class="ne-text">runtime-permissions.xml</span></span>
在 <span class="ne-text">runtime-permissions.xml</span>中查看是否 <span class="ne-text">具有</span>权限,获取包名,再到 <span class="ne-text">packages.xml</span>中查看对应安装时间
根据安装时间来看,其中有的app的安装时间过早,为预装应用
结果为 <span class="ne-text">1</span>
7. 哪个 APP 记录了设备标识(device_id)?给出 APP 包名。[提示:APP 包名示例 com.tencent.xin]
结果为 <span class="ne-text">com.xiaobaifile.tv</span>
8. 阿里云盘登录用户的 userid。
全局搜索阿里云盘配置文件中userid的字段名 <span class="ne-text">flutter.user_id</span>
结果为 <span class="ne-text">86390e26c2034d81abb51670033d97f0</span>
9. 通过阿里云盘最后播放的视频文件名和播放时间。
全局搜索找到的userid
结果为 <span class="ne-text">IMG_0051.MOV;2022-07-21 22:22:31</span>
10. SHA1 值为”F62AA0D855F0E633C4BABF3F404F1F417FA925A8″的文件存储路径。[提示:从分区根目录起始的路径,示例:/etc/hosts]
计算所有文件的SHA1哈希值,之后使用xways进行过滤
结果为 <span class="ne-text">/media/0/RemoteManager</span>
11 . 上一题的文件是否被打开过?给出打开时间或回答”否”。
全局搜索这个文件名,发现在多个文件当中出现
在 <span class="ne-text">分区9/data/com.stv.videoplayer/databases/video.db</span>中可以找到完整的播放记录
但是分析这个程序的odex <span class="ne-text">分区3/app/StvVideoPlayer/oat/arm64/StvVideoPlayer.odex</span>,发现记录播放记录的操作 <span class="ne-text">saveHistory</span>是在退出播放 <span class="ne-text">destroy</span>的时候进行的
再次搜索关键字
结果为 <span class="ne-text">2022-08-07 07:49:34</span>
【对检材 3 进行检验,回答第 12 至 17 题】
12. 用于访问管理页面的 IP 地址。
在 <span class="ne-text">/etc/config/network</span>中找到网卡配置信息,只配置了1个IP地址
结果为 <span class="ne-text">192.168.11.1</span>
13. root 账户的登录密码。[提示:大小写字母和阿拉伯数字]
hashcat暴力破解
结果为 <span class="ne-text">k3QrxD</span>
14. 使用 BitTorrent 协议正在下载的文件名称。
针对使用 <span class="ne-text">BitTorrent</span>协议下载的文件,可以检索 <span class="ne-text">.torrent</span>种子文件,使用xways进行检索,成功获取到 <span class="ne-text">Frozen.Fever.2015.SHORT.1080p.BluRay.x264.DTS-RARBG.d487beabcd4233c5.torrent</span>种子
过滤 <span class="ne-text">Frozen.Fever.2015.SHORT</span>,得到4个文件
在 <span class="ne-text">Frozen.Fever.2015.SHORT.1080p.BluRay.x264.DTS-RARBG.d487beabcd4233c5.resume</span>中看到下载暂停
查看种子文件,发现其中包含两个文件
导出种子文件,使用支持BitTorrent协议的下载器打开,发现包含两个文件。
结果为 <span class="ne-text">Frozen.Fever.2015.SHORT.1080p.BluRay.x264.DTS-RARBG</span>
15. 当前配置中指定的 Docker 数据文件根目录。
在 <span class="ne-text">分区2/etc/docker/daemon.json</span>中记录了根路径为 <span class="ne-text">/opt/docker/</span>
但是在 <span class="ne-text">分区2/etc/config/dockered</span>中记录了根路径为 <span class="ne-text">/opt/newvol/</span>
在扇区中可以发现,分区3上次挂载的路径为 <span class="ne-text">/opt/newvol</span>
综上docker根目录为 <span class="ne-text">/opt/newvol/</span>
结果为 <span class="ne-text">/opt/newvol/</span>
16. 已安装的 Docker 容器暴露的端口号。
查看 <span class="ne-text">分区3/containers/容器名/config.v2.json</span>中的 <span class="ne-text">ExposedPorts</span>字段
结果为 <span class="ne-text">1935;5700;8080</span>
17. 搜索检材 3 中同时包含”illegal” 和”content”关键字(不区分大小写),且两个关键字间隔不超过 3 个单词的文档类文件,给出满足条件的文件名。
导出所有文档文件,正则表达式匹配, <span class="ne-text">illegal[\s\S]*content</span>
结果为 <span class="ne-text">149207.txt;233973.txt;280114.txt;305148 2.txt;388188.txt;422305.txt;425400.txt;426473.txt</span>
【对检材 4 进行检验,回答第 18 至 19 题】
18. 检材 3 设备的 WAN 口 IP 地址和上级网关的 IP 地址。
根据13题的网卡配置文件,获取到的网卡wan口的mac地址 <span class="ne-text">80:34:28:38:a7:c7</span>
对流量包进行arp过滤,找到wan口的mac地址占有的ip是 <span class="ne-text">192.168.22.196</span>
对流量包进行dns过滤,找到dns地址为 <span class="ne-text">192.168.22.1</span>
而在路由器的网卡配置中没有配置dns地址,则dns地址默认为网关地址
结果为 <span class="ne-text">192.168.22.196;192.168.22.1</span>
19. 检材 3 设备远程连接至一个包含”tunnel”标识的服务器,给出该服务器的IP 地址和端口号。
在流量包中检索 <span class="ne-text">tunnel</span>,并没有发现有效数据,那么可能是通过ip来找到域名中带有 <span class="ne-text">tunnel</span>的服务器,过滤出 <span class="ne-text">192.168.22.196</span>tcp连接的ip,如下表
<span class="ne-text">tunnel</span>是隧道协议,多基于这个协议构建可靠的加密连接
通过对ip <span class="ne-text">111.161.27.124</span>进行域名反查,可以看到有涉及 <span class="ne-text">openwrt</span>的域名,而 <span class="ne-text">openwrt</span>是路由器的嵌入式系统,并没有找到关键字 <span class="ne-text">tunnel</span>
进入 <span class="ne-text">www.kooldns.cn</span>中,可以看到 <span class="ne-text">openwrt</span>的安装方式
而在路由器的历史命令当中,也出现了这个命令
因此可以判断路由器确实是通过这个网站的教程下载安装了相关程序
此时在xways中全局搜索 <span class="ne-text">tunnel</span>,找到了一个域名 <span class="ne-text">tunnel.kooldns.com</span>
使用 <span class="ne-text">nslookup</span>查询其ip地址,没有结果
继续搜索 <span class="ne-text">tunnel.kooldns.</span>
出现了另一个域名 <span class="ne-text">tunnel.kooldns.cn</span>,且文件就是之前安装的 <span class="ne-text">ddnsto</span>,再次查询这个域名的ip
出现了用于反查的ip <span class="ne-text">111.161.27.124</span>,则这个ip就是标识了 <span class="ne-text">tunnel</span>的ip,其端口号为 <span class="ne-text">4445</span>
结果为 <span class="ne-text">111.161.27.124;4445</span>
【对检材 1 至检材 4 进行综合检验,回答第 20 题】
20. 分析嫌疑人可能使用的手机号码。
查看阿里云盘的信息,发现 <span class="ne-text">flutter.nick_name</span>的值是一个手机号码 <span class="ne-text">13162101347</span>
在路由器中检索这个手机号码
可以找到一个与 <span class="ne-text">天翼云盘</span>有关的脚本文件,登录账号为手机号,且这个脚本文件用于自动化签到、抽奖等行为,结合阿里云盘手机号码,判断此号码是嫌疑人使用的号码
结果为 <span class="ne-text">13162101347</span>
Original: https://www.cnblogs.com/WXjzc/p/16702652.html
Author: WXjzc
Title: 2022CNAS能力验证-存在性
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/598932/
转载文章受原作者版权保护。转载请注明原作者出处!