DIDCTF 取证初学者

工具是AXIOM Process

1.请找出操作系统主机名。

2.请给出源磁盘的SHA256哈希值。

这题用了好多工具都整不出来，放弃了。羡慕有火眼的师傅

3.请找出操作系统中安装的Android模拟器名称和安装日期。（格式：雷电模拟器2025年06月26日）

文件系统

来到poiuy的桌面可以看到夜神模拟器的快捷方式

夜神模拟器2021年05月03日(注意别忘了0)

4.请找出使用Bitlocker加密的虚拟磁盘文件。（格式：xxx.xx/xxxx.xx）

my.vhd/my1.vhd

5.请找出操作系统安装日期。

Magnet AXIOM默认给的安装时间不准确，所以就直接参考注册表的了

2021-05-03 18:44:28

6.请找出操作系统最后登录的用户。

时间倒序排序

然后看

事件描述摘要为A logon was attempted using explicit credentials.，后边带俩An account was successfully logged on.。登录类型为2-Interactive百分百是用户登录

7.请找出操作系统中安装的浏览器最后浏览过的网站域名 格式： [www.baidu.com](http://www.baidu.com "www.baidu.com")

passport.baidu.com

8.请找出操作系统中安装的浏览器名称的对应的安装日期。

A.360浏览器2021-05-03 20:16:43

B.Edge浏览器2021-05-03 20:26:44

C.谷歌浏览器2021-05-03 20:16:44

D.搜狗极速浏览器2021-06-03 20:16:44

9.请找出操作系统版本号。

10.请找出操作系统设置的时区名称。（格式：UTC+2）

标准时区名称：协调世界时（UTC）

当前时区偏移量：0

就是UTC+0

UTC+0

11.请找出操作系统中安装的浏览器"自动填充"中保存的网站密码信息（网站+用户名+密码）

12.请找出用户"poiuy"的SID。

用py将十六进制转为sid

后面发现能直接看到

代码：

import struct
#01 05 00 00 00 00 00 05 15 00 00 00 61 98 F3 19 2F A9 0C 26 7F 40 92 3F E8 03 00 00
hex_raw = "01 05 00 00 00 00 00 05 15 00 00 00 61 98 F3 19 2F A9 0C 26 7F 40 92 3F E8 03 00 00"
b = bytes.fromhex(hex_raw)

revision = b[0]
count = b[1]

# 正确：使用 big 字节序解析 6 字节
authority = int.from_bytes(b[2:8], 'big')  # 结果是 5

sub_auths = []
for i in range(count):
    offset = 8 + i * 4
    sub_auths.append(struct.unpack('<I', b[offset:offset+4])[0])

sid = f"S-{revision}-{authority}" + "".join(f"-{x}" for x in sub_auths)
print(sid)  # S-1-5-21-435394657-638363951-1066549375-1000

13.请给出源磁盘的大小（字节）。（提示：一个扇区=512）

30 * 2^30

32212254720

14.请找出各分区文件系统类型。

这题答案要小写

Flag:ntfs

15.请找出曾经连接到该系统的U盘的品牌、序列号、最后插拔日期。 （格式：xx+xx+2024-03-12）

SanDisk+4C530001310423109141+2021-05-04

16.请找出回收站中的文件的名称（格式：2333.exe+1.txt+3.E01）

挨个复制

nox_setup_v7.0.0.6_full.exe+新建文本文档1.txt+测试.rtf

17.请找出使用Bitlocker加密的虚拟磁盘文件恢复密钥文件名是什么。

BitLocker 恢复密钥 666E6292-906B-4A9B-9167-4DB146123BAD.txt

18.请找出用户"poiuy"的登录密码。

导出poiuy的SAM和SYSTEM文件

然后用mimikatz.exe进行提取

mimikatz # lsadump::sam /sam:D:\QZ\save\1\SAM /system:D:\QZ\save\1\SYSTEM

Domain : WIN-49I0SNRJAMF

SysKey : 2a4e6d1862f8812ed8d747533757df42

Local SID : S-1-5-21-435394657-638363951-1066549375



SAMKey : 6c80f7b6f3dd8564963a0b9e66503e0d



RID  : 000001f4 (500)

User : Administrator

  Hash NTLM: 7434f2f2b553fbf38b85c25bb4a0e138



RID  : 000001f5 (501)

User : Guest

  Hash NTLM: 7434f2f2b553fbf38b85c25bb4a0e138



RID  : 000003e8 (1000)

User : poiuy

  Hash NTLM: 7434f2f2b553fbf38b85c25bb4a0e138



RID  : 000003e9 (1001)

User : user

  Hash NTLM: 7434f2f2b553fbf38b85c25bb4a0e138

User : poiuy

Hash NTLM: 7434f2f2b553fbf38b85c25bb4a0e138

然后用hashcat破解，类型是1000

09876543

内存取证

请给出计算机内存创建北京时间？ 答案格式：2000-01-11 00:00:00

volatility.exe -f "D:\BaiduNetdiskDownload\电子取证初学\内存 取证检材\memdump.mem" imageinfo

2023-06-21 01:02:27

请给出计算机内用户yang88的开机密码？ 答案格式：abc.123

Lovelymem的mimikatz扩展工具

3w.qax.com

提取内存镜像中的USB设备信息，给出该USB设备的最后连接北京时间？ 答案格式：2000-01-11 00:00:00

找到system后右键用插件打开

请给出用户yang88的LMHASH值？ 答案格式：字母小写

D:\senone\TOOLS\Tools\取证\volatility_2.6_win64_standalone>volatility.exe -f "D:\BaiduNetdiskDownload\电子取证初学\内存 取证检材\memdump.mem"  --profile=Win7SP1x64 hashdump

Volatility Foundation Volatility Framework 2.6

Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

yang88:1000:aad3b435b51404eeaad3b435b51404ee:46e5597f00c98ae6cf3917b07bcc00be:::

用户名 RID  LM密码哈希值 NT密码哈希值

aad3b435b51404eeaad3b435b51404ee

请给出用户yang88访问过文件"提现记录.xlsx"的北京时间？ 答案格式：2000-01-11 00:00:00

2023-06-21 00:29:16

请给出"VeraCrypt"最后一次执行的北京时间？ 答案格式：2000-01-11 00:00:00

2023-06-21 00:47:41

分析内存镜像，请给出用户在"2023-06-20 16:56:57 UTC+0"访问过"维斯塔斯"后台多少 次？答案格式:10

先导出chrome浏览器的历史记录

然后用notepad++打开，搜索关键词后台，然后搜索关键URL

2

请给出用户最后一次访问chrome浏览器的进程PID？ 答案格式：1234

2456