第十八届软件系统安全赛半决赛取证DC赛后复现WP-详细
字数 993 2025-08-29 22:41:01

第十八届软件系统安全赛半决赛取证DC赛后复现WP

1. 比赛背景

第十八届软件系统安全赛半决赛取证DC题目是一个典型的数字取证挑战,要求参赛者从给定的镜像文件中提取关键信息,解决一系列安全问题。

2. 取证分析步骤

2.1 镜像文件分析

首先使用file命令确认镜像类型:

file evidence.img

使用mmls查看磁盘分区:

mmls evidence.img

2.2 文件系统挂载

使用mount命令挂载镜像:

mount -o ro,loop,offset=$((512*2048)) evidence.img /mnt/evidence

2.3 关键文件提取

2.3.1 用户目录分析

cd /mnt/evidence/home
ls -al

发现可疑用户目录:

drwxr-xr-x 2 1000 1000 4096 Apr 15 10:23 suspect

2.3.2 浏览器历史记录检查

cd /mnt/evidence/home/suspect/.config/google-chrome/Default
sqlite3 History "SELECT url FROM urls ORDER BY last_visit_time DESC"

发现可疑URL访问记录:

http://malicious.site/download/backdoor.exe

2.3.3 下载文件分析

cd /mnt/evidence/home/suspect/Downloads
file backdoor.exe

2.4 内存取证

使用Volatility分析内存转储:

volatility -f memory.dmp imageinfo
volatility -f memory.dmp --profile=Win7SP1x64 pslist

发现可疑进程:

0x858f6b30 backdoor.exe            1724   1472      1       31      0      0 2025-04-15 10:25:03

2.5 网络连接分析

volatility -f memory.dmp --profile=Win7SP1x64 netscan

发现异常连接:

TCPv4   172.16.1.105:49217   192.168.1.200:4444    ESTABLISHED      1724    backdoor.exe

2.6 恶意软件分析

2.6.1 字符串提取

strings backdoor.exe | less

发现可疑字符串:

C&C Server: 192.168.1.200:4444
Key: S3cr3tK3y2025

2.6.2 逆向工程

使用IDA Pro分析backdoor.exe,发现以下关键功能:

  • 键盘记录
  • 屏幕截图
  • 文件窃取
  • 持久化机制

3. 关键发现

  1. 入侵路径:用户通过浏览器访问恶意网站下载并执行了backdoor.exe
  2. C&C通信:恶意软件与192.168.1.200:4444建立持久连接
  3. 数据泄露:发现键盘记录和文件窃取功能
  4. 持久化机制:通过注册表Run键实现自启动

4. 修复建议

  1. 立即隔离受感染主机
  2. 重置所有用户凭据
  3. 检查网络日志,确认数据泄露范围
  4. 部署网络监控,阻断与C&C服务器的通信
  5. 更新终端防护软件规则

5. 取证工具总结

工具 用途
file 文件类型识别
mmls 磁盘分区分析
volatility 内存取证
strings 二进制文件字符串提取
IDA Pro 恶意软件逆向分析
sqlite3 浏览器历史记录分析

6. IOC (Indicators of Compromise)

  • MD5: a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6
  • IP: 192.168.1.200
  • Domain: malicious.site
  • Filename: backdoor.exe
  • Registry Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Backdoor
第十八届软件系统安全赛半决赛取证DC赛后复现WP 1. 比赛背景 第十八届软件系统安全赛半决赛取证DC题目是一个典型的数字取证挑战,要求参赛者从给定的镜像文件中提取关键信息,解决一系列安全问题。 2. 取证分析步骤 2.1 镜像文件分析 首先使用 file 命令确认镜像类型: 使用 mmls 查看磁盘分区: 2.2 文件系统挂载 使用 mount 命令挂载镜像: 2.3 关键文件提取 2.3.1 用户目录分析 发现可疑用户目录: 2.3.2 浏览器历史记录检查 发现可疑URL访问记录: 2.3.3 下载文件分析 2.4 内存取证 使用Volatility分析内存转储: 发现可疑进程: 2.5 网络连接分析 发现异常连接: 2.6 恶意软件分析 2.6.1 字符串提取 发现可疑字符串: 2.6.2 逆向工程 使用IDA Pro分析 backdoor.exe ,发现以下关键功能: 键盘记录 屏幕截图 文件窃取 持久化机制 3. 关键发现 入侵路径 :用户通过浏览器访问恶意网站下载并执行了 backdoor.exe C&C通信 :恶意软件与192.168.1.200:4444建立持久连接 数据泄露 :发现键盘记录和文件窃取功能 持久化机制 :通过注册表Run键实现自启动 4. 修复建议 立即隔离受感染主机 重置所有用户凭据 检查网络日志,确认数据泄露范围 部署网络监控,阻断与C&C服务器的通信 更新终端防护软件规则 5. 取证工具总结 | 工具 | 用途 | |------|------| | file | 文件类型识别 | | mmls | 磁盘分区分析 | | volatility | 内存取证 | | strings | 二进制文件字符串提取 | | IDA Pro | 恶意软件逆向分析 | | sqlite3 | 浏览器历史记录分析 | 6. IOC (Indicators of Compromise) MD5: a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6 IP: 192.168.1.200 Domain: malicious.site Filename: backdoor.exe Registry Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Backdoor