计算机取证

  1. 计算机装过一款反取证软件为?【标准格式:EnCrypt.exe】 What anti-forensic software was installed on the computer? [Answer example: EnCrypt.exe]
    VeraCrypt.exe
    计算机分析软件分析得出
    alt text

    EXE取证

  2. 分析Windows木马,其控制端ip是?[标准格式:192.168.1.11] Analyze the Windows trojan virus: What is its controller IP? [Answer format: 192.168.1.11]
    104.18.45.79
    在虚拟仿真系统安全中心中发现,然后将该程序下载下来,丢到微步云沙箱上,得到答案。
    alt text
    alt text
    alt text
  3. 软件会复制自身到哪个文件夹下?[标准格式:DaTa] Which folder does the malware copy itself to? [Answer format: DaTa]
    SubDir
    根据微步沙箱分析,确定是复制到该文件夹下
    alt text
  4. 接上题,复制后软件名称是?[标准格式:AppTmp.exe] Continuing last question, What is the copied filename? [Answer format: AppTmp.exe]
    BwAcr.exe
    由上题可知,复制后软件名称。
  5. 软件一共可以窃取多少种浏览器的信息?[标准格式:3] How many types of browsers can the malware extract data from? [Answer format: 3]
    8
    利用exeinfo检查发现,是.Net架构程序
    alt text
    遂使用dnSpy进行反编译,发现存在混淆
    alt text
    使用de4dot工具进行反混淆
    alt text
    然后使用dnSpy进行反编译后审计。
    GClass15中发现它有逻辑进行判断,刚开始以为他在读取chromium浏览器的数据,最后发现这是当未检测到存在浏览器时会返回的信息。
    alt text
    GClass16读取Brave-Browser浏览器信息
    alt text
    GClass17读取google-chrome浏览器信息
    alt text

GClass18读取edge
alt text
GClass19读取Opera GX
alt text
GClass20读取Opera
alt text

GClass21读取YandexBrowser
alt text
GClass23读取firefox
alt text
GClass24``GClass25读取Internet Explorer
alt text
原本计算为9个,结果尝试提交发现分值没有发生变化,回去再仔细审计,发现15定义的检查系统中是否存在指定浏览器的操作,所以应该是8个。

  1. 软件查询安装的杀毒软件出错或异常会返回什么字符串?[标准格式:Apps] What error message is returned when the malware fails to detect antivirus software? [Answer format: Apps]
    Unknown
    GClass61定义了该方法,会回复Unknown
    alt text