查看原文
其他

2022美亚杯团队赛复盘简要思路

wcp 网络安全与取证研究 2022-11-21

美亚杯团队赛近期花了点时间进行复盘,整体来说,题目的整体考察范围依然很广,但是今年的题出现一些新的考点。

简单复盘来看,人员分工上,以往一般按照检材分工比较合适,分为计算机、手机和服务器,覆盖考点也相对均衡,今年的题目分成三个完整人员身份,粗略看来按人员分会更加合适,即ACG(以服务器为主)、王景浩(以计算机为主)、鲁尼(以手机为主),实际王景浩镜像中包含两个iOS备份,手机分量也不低,鲁尼的手机内容不多,主要难点在计算机中的比特币钱包部分,服务器部分计算机的内容也不少。所以整体上考察的还是团队中每个人的综合能力。

工具准备上,取证大师+弘连火眼分析+仿真yyds,配合一些常用小工具,几乎平趟,尤其是弘连,计算机+手机同步分析,手机数据库内容直接查看,几乎必不可少。

题目方面,先说AGC部分。

核心部分看似是raid,其实涉及不多。

Media Server的5个镜像中,sda是核心镜像,题目包含2-10,后面4个盘的阵列一般猜raid5,但是用winhex查看,发现前两个一样,后两个一样,必然有raid1,内容就好做了,其实题目也就6道而已。

AGC_Server是一个完整的raid,实际用ftk加载后,用ufs直接自动重组,两个数据盘的内容都可以出现,分别导出系统盘内容和111的vmdk即可直接做题。

流量包部分完全独立,题目两也不小,包括21-30,有基础的直接解即可。

还剩下一个常规计算机的镜像,搜索分析即可。

第二部分是王景浩的内容,主要一个mac镜像和两个U盘。

mac镜像的核心是那两个iOS加密备份数据,这个是个新考点。美亚4501的小工具里有爆破的工具,但是时间很长,按照题目中hashcat的方法可以从网上查到,尝试可解,最终结果是2022。

两个U盘主要考察的是winhex手动分析,这个知识基本是在一开始学取证的时候就接触了,不过好久没用确实容易手生。

最后一个部分是鲁尼,鲁尼的核心在比特币和草莓派的考察,尤其是比特币内容,占了大部分题目,这块要是之前接触过还好,否则现场还得百度很多内容。

草莓派其实就是简易Linux系统,题目主要围绕syslog来考,找到日志导出用notepad分析即可。

这一部分难度不大,应该是团队赛中三个部分最简单的部分。

总的来说,这次比赛考察知识点依然全面,故事的连贯性上虽不如以往几届比赛,但是题目上有大量明显交叉,如果只看单独内容,可能有些题完全解不出来,所以团队配合上有了更高标准。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存