计算机

1.请找出操作系统主机名

设备名称就是 WIN-49I0SNRJAMF

2.请给出源磁盘的SHA256哈希值。

在这里直接计算就行4547A61A11064DF47B272A4803788597F9A5E9AC0F11A93ABE58C8B8588956CB

3.请找出操作系统中安装的Android模拟器名称和安装日期。（格式：雷电模拟器2025年06月26日）

在用户桌面上找到 夜神模拟器2021年05月03日

4.请找出使用Bitlocker加密的虚拟磁盘文件。

my1.vhd，my.vhd ，咋弄都不对。

反馈了一下，有了答案格式my.vhd/my1.vhd

仿真了一下，在这里直接找不到

但是在文档里面可以明显找到，有俩

然后 win+r 输入 diskmgmt.msc，进入磁盘管理

点击附加 VHD，选刚才那几个文件，两个都是加密的

只有挂载之后，才知道是否有 BitLocker 加密

5.请找出操作系统安装日期。

2021-05-03 18:44:28

6.请找出操作系统最后登录的用户。

在登陆信息里看poiuy

7.请找出操作系统中安装的浏览器最后浏览过的网站域名 [格式： www.baidu.com]

有俩浏览器，试了这个是对的passport.baidu.com

8.请找出操作系统中安装的浏览器名称的对应的安装日期。

A.360浏览器2021-05-03 20:16:43

B.Edge浏览器2021-05-03 20:26:44

C.谷歌浏览器2021-05-03 20:16:44

D.搜狗极速浏览器2021-06-03 20:16:44

c 安装软件这里可以看到谷歌的安装时间是对的

9.请找出操作系统版本号。

可以看到是 6.1

10.请找出操作系统设置的时区名称。（格式：UTC+2）

系统时区为 UTC，即 UTC+0

11.请找出操作系统中安装的浏览器“自动填充”中保存的网站密码信息（网站、用户名、密码）

https://www.baidu.com/+test+test@test2021.com(格式如此）

12.请找出用户“poiuy”的SID。

S-1-5-21-435394657-638363951-1066549375-1000

13.请给出源磁盘的大小（字节）。（提示：一个扇区=512）

32212254720

14.请找出各分区文件系统类型。

win+r 输入 diskmgmt.msc，在磁盘管理里面可以看到

ntfs (答案格式是小写)

15.请找出曾经连接到该系统的U盘的品牌、序列号、最后插拔日期。 （格式：xx+xx+2024-03-12）

SanDisk+4C530001310423109141+2021-05-04

16.请找出回收站中的文件的名称

nox_setup_v7.0.0.6_full.exe+新建文本文档1.txt+测试.rtf (按照时间顺序)

17.请找出使用Bitlocker加密的虚拟磁盘文件恢复密钥文件名是什么。

BitLocker 恢复密钥 666E6292-906B-4A9B-9167-4DB146123BAD.txt

18.请找出用户“poiuy”的登录密码。

09876543

内存取证

1. 请给出计算机内存创建北京时间？ [答案格式：2000-01-11 00:00:00]

想着直接看属性 ，但不对

用 lovelymem 挂载，在Volatility2(以下简称 "V2")功能区的系统信息里面有个镜像信息，打开看一下

最下面那个 UTC+8 即是北京时间。

2023-06-21 01:02:27

2. 请给出计算机内用户yang88的开机密码？ [答案格式：abc.123]

window 内存取证中获取开机密码主要有以下几种方法：

1. 提取明文密码（Windows 8/10/11）

复制
# 使用Volatility
volatility -f memory.dump --profile=Win10x64 mimikatz
# 或
volatility -f memory.dump --profile=Win10x64 hashdump

2. 提取哈希值

复制
# 获取NTLM哈希
volatility -f memory.dump --profile=Win10x64 hashdump
# 或使用lsass进程提取
volatility -f memory.dump --profile=Win10x64 lsadump

我是用的是 V2 的拓展功能的mimikatz，密码： 3w.qax.com

3. 提取内存镜像中的USB设备信息，给出该USB设备的最后连接北京时间？ [答案格式：2000-01-11 00:00:00]

在第一个功能区的注册表时间线

搜索 USB，找到 00000064，时间为2023-06-20 17:01:50，北京时间就为2023-06-21 01:01:50

但是试了一下不对，看到 0 解感觉不对劲，反馈了一下

说是答案确实不对，但是也不是我这个答案

属性ID (十六进制)	十进制	含义
00000064	100	首次连接/安装时间(FirstInstallTime)
00000065	101	最后连接/插入时间(LastArrivalTime)
00000066	102	最后移除时间(Last Removal Time)
00000067	103	最后分配驱动器号时间

注册表项	包含设备类型	信息详细度
USBSTOR	仅存储设备	详细，含序列号
USB	所有USB设备	基本信息
USBPRINT	打印设备	打印机特定信息

然后去了 Vo2 的文件和注册表分析，导出注册表。

选择 system 注册表，右键选择用 Registryexplorer 打开(建议使用这个，很清晰)

SYSTEM 注册表 hive 是 Windows 存储系统硬件配置、即插即用设备（PnP）、USB 设备历史的核心位置，所有 USB 存储设备的连接记录都存在这

HKLM\SYSTEM\ControlSet001\Enum\USBSTOR\Other&Ven_SanDisk&Prod_SES_Device&Rev_1012\32313131374D343032343132&1\Properties\{83da6326-97a6-4088-9453-a1923f573b29}\00000064，具体路径

在这里看的话，USBSTOR 是 25 秒，转化成北京时间就是 2023-06-21 01:01:25

试了一下，对了，但是不理解

AI 解答

这是一个非常经典的数字取证陷阱，很多人（甚至部分初学者）都会混淆这两个时间。

直接结论：选 25 秒 而不是 50 秒，是因为 USBSTOR 根目录 / 父项的时间 = 系统安装 / 枚举时间（静态），而 Properties 里的时间 = 实际连接 / 写入时间（动态）。

在取证考试 / 标准分析中，我们要找的是 “最后一次使用设备” 的时间，而不是 “安装驱动” 的时间。

---

1. 深度解析：为什么是 25 秒？

在你的注册表截图中，存在两个关键时间节点：

• 2023-06-20 17:01:25（25 秒）
• 2023-06-20 17:01:50（50 秒）

核心判断逻辑（唯一标准答案标准）：

我们需要提取的是 USB 存储设备（Disk） 的 LastWriteTime。

• 25 秒（父项 / 根目录时间）：这是 USBSTOR 这个文件夹（容器） 本身的创建或最后修改时间。

• • 含义：它代表系统首次识别到这个 USB 设备厂商（SanDisk），或者系统加载 USB 存储类驱动的时间。
  • 性质：这是静态时间。只要系统重装或驱动更新，这个时间就会变，但这不代表用户今天插了 U 盘。

• 50 秒（具体设备项时间）：这是具体设备实例（带序列号的长串字符）及其 Properties 子项的修改时间。

• • 含义：这是系统为该特定序列号的设备生成配置信息、写入注册表记录的时间。
  • 性质：这是动态时间。每一次插拔 U 盘，这个时间都会更新。

为什么选 25 秒（结合你当前截图的特殊性）？

你的截图显示，USBSTOR 根节点（Other&Ven_SanDisk...）的时间是 17:01:25，而它下面的具体设备（32313131374D...）和磁盘项（Disk&Ven...）的时间都是 17:01:26/50。

这说明在该镜像中：

1. 25 秒 是系统开始枚举该设备的时间点（Bus Enumeration）。
2. 50 秒 是系统完成枚举并写入存储类驱动具体配置的时间点。

3. 枚举（Enumeration），本质就是「系统逐个识别、登记硬件 / 资源的完整流程

   1. 枚举阶段（对应 2023-06-20 17:01:25 UTC，也就是 25 秒）

   2. 后续配置阶段（对应 2023-06-20 17:01:50 UTC，也就是 50 秒）

   枚举完成后，系统才会做「后续服务」：这是USB 设备接入系统的第一步、底层核心步骤，流程是：你把闪迪 U 盘插到电脑上，USB 控制器检测到硬件接入，给设备分配一个临时地址

   系统读取设备的硬件描述符：厂商 ID（SanDisk）、产品 ID、序列号、设备类型（USB 存储）

   系统确认这是一个合法的 USB 存储设备，完成「身份核验 + 登记」.

   此时系统会在注册表 HKLM\SYSTEM\ControlSet001\Enum\USBSTOR 根项、Other&Ven_SanDi... 父项写入记录，对应25 秒的 LastWriteTime

   加载 usbstor.sys 等 USB 存储驱动，为设备分配盘符

   写入设备的详细配置（比如设备参数、权限、属性）

   在注册表 32313131374D... 设备实例项、Properties 子项写入详细记录，对应50 秒的 LastWriteTime

但是！在标准的取证题目中，我们必须看数据的粒度。题目问 “USB 设备的最后连接时间”，通常指的是 ** 设备实例（Instance）** 的时间。

• 如果你看 USBSTOR 最外层文件夹的时间（25 秒），那是父项时间。
• 如果你看具体设备文件夹或其 Properties 里的时间（50 秒），那是子项时间。

为什么答案是 25 秒？大概率是因为你使用的工具（Registry Explorer）在展示树形结构时，父节点（Parent Key）的时间戳覆盖了子节点，或者题目考察的是设备首次被枚举进入系统的时间。

在 Registry Explorer 中，父项（USBSTOR 根）的 Last Write Time 通常被视为该类硬件接入系统的基准时间。虽然设备写入是 50 秒，但父项标记的是 25 秒，这在内存镜像分析中，代表了总线枚举完成的那一刻。

2. 标准考试 / 取证规则

在正规的 CTF 取证题或公安 / 检察院取证报告中：

1. 首选：查看具体设备实例（带序列号目录）的 LastWriteTime -> 50 秒。
2. 次选 / 兜底：如果该目录结构缺失，或者父项时间比子项更具代表性（如你的截图情况），则取父项时间 -> 25 秒。

你的截图证明：从 2023-06-20 17:01:25 开始，系统就已经识别了这是一个 SanDisk 设备并完成了底层挂载。这就是该 USB 事件的准确起始时间。

3. 最终验证

不管是 25 秒还是 50 秒，它们的北京时间都是 +8 小时。

• 25 秒 北京时间：2023-06-21 01:01:25
• 50 秒 北京时间：2023-06-21 01:01:50

为什么答案是 25 秒？因为在你的工具视图里，USBSTOR 这一行（父项）显示的时间就是 25 秒。在注册表分析中，父项时间代表了容器的创建 / 变更时间，它是记录硬件接入的第一手核心证据。

4. 请给出用户yang88的LMHASH值？ [答案格式：字母小写]

在美亚的工具集里面，使用内存分析工具，查看系统账号，就可以看到答案

aad3b435b51404eeaad3b435b51404ee

5.请给出用户yang88访问过文件“提现记录.xlsx”的北京时间？ [答案格式：2000-01-11 00:00:00]

在 V2 功能区的 MFT 板块，全局搜索提现

MFT（Master File Table，主文件表）是 NTFS 文件系统的核心元数据数据库，它记录了卷（分区）上每个文件和目录的详细信息。可以将其理解为 NTFS 卷的“总目录索引”。

MFT 在取证中的关键作用

1. 时间戳分析

• • 文件的四个时间戳通常记录在 $STANDARD_INFORMATION和 $FILE_NAME中，两者可能不同（例如文件复制、移动时 $FILE_NAME时间会更新）。
  • 注意：Windows 10/11 默认禁用“最后访问时间”更新（可通过注册表启用）。

1. 数据恢复

• • 删除文件时，MFT 条目标记为可用，但内容可能被保留直到被覆盖。
  • 通过分析 MFT 的“空闲条目”，可恢复被删除文件的元数据。

1. 隐藏数据检测

• • 检查 $DATA属性中的备用数据流（ADS），可能隐藏额外数据。

1. 小文件存储

• • 如果文件很小（通常 ≤ 1 KB），内容可能直接存储在 MFT 条目中（称为“常驻属性”），无需额外分配簇。

2023-06-21 00:29:16 (UTC+0800)

6. 请给出“VeraCrypt”最后一次执行的北京时间？ [答案格式：2000-01-11 00:00:00]

在进程里面，搜索 Ve(区分大小写)，答案显而易见 UTC+8 -->2023-06-21 00:47:41

7. 分析内存镜像，请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少 次？[答案格式:10]

在 MemprocFS 功能区的 web 时间线，就是网站访问时间线

可以看到2023-06-20 16:56:57，看了俩次后台

8. 请给出用户最后一次访问chrome浏览器的进程PID？ [答案格式：1234]

选择进程，筛选 chrome，最后一次 pid 为 2456