2022暑假取证学习

背景资料

有嫌疑人在使用Windows系统,取证人员对该系统进行了硬盘镜像。通过自己的工具软件对档案袋中的镜像文件进行提取、分析、逆向、恢复、破解、查找等,在线完成填空、简答。
比赛材料记录 比赛的计算机镜像资料镜像名为“windows7disk.E01”

1、请找出操作系统主机名。

image-20231228093319029

2、请给出源磁盘的SHA256哈希值。

image-20231228093800212

3、请找出操作系统中安装的Android模拟器名称和安装日期。格式:模拟器名时间 例子:雷电模拟器2022年06月23日

image-20231228093717160

4、请找出使用Bitlocker加密的虚拟磁盘文件。 格式:1.txt/2.txt

image-20231228101835290

5、请找出操作系统安装日期。 格式:2022-01-04 12:47:43

image-20231228102007978

6、请找出操作系统最后登录的用户。

image-20231228102117355

7、请找出操作系统中安装的浏览器最后浏览过的网站域名

8、请找出操作系统中安装的浏览器名称的对应的安装日期。

360浏览器2021-05-03 20:16:43

Edge浏览器2021-05-03 20:26:44

谷歌浏览器2021-05-03 20:16:44

搜狗极速浏览器2021-06-03 20:16:44

image-20231228103711082

9、请找出操作系统版本号。

image-20231228103851697

10、请找出操作系统设置的时区名称。

UTC+8

UTC+4

UTC+2

UTC+6

image-20231228104504744

11、请找出操作系统中安装的浏览器“自动填充”中保存的网站密码信息(网站、用户名、密码)

格式:网站+用户名+密码
例子:https://blog.didctf.com/+admin+admin111

image-20231228105616899

12、请找出用户“poiuy”的SID。

image-20231228105725968

13、请给出源磁盘的大小(字节)。

14、请找出各分区文件系统类型。

image-20231228110954875

15、请找出曾经连接到该系统的U盘的品牌、序列号、最后插拔日期。

格式:SAMSUNG+FAWC524213104FAWV146+2022-07-14 18:34:45

image-20231228111649730

16、请找出回收站中的文件的名称

格式:2333.exe+1.txt+3.E01

image-20231228111939820

17、请找出使用Bitlocker加密的虚拟磁盘文件恢复密钥文件名是什么。

image-20231228112042516

18、请找出用户“poiuy”的登录密码。

image-20231228112209980