Category: Deadbox Forensic

01. Hello, my name is… - 1 Point

“What is the name of the examiner who created the E01?”*

Minerva
02. Who owns it? - 1 Point

“What is the username of the primary user of the machine?”*

Tìm OS accounts

Karen
03. Does it match? - 1 Point

“What is the SHA1 hash of the evidence?”

0fa6ab4bd9a707d49ded70e8b9198fe18114b369
04. The Big Bang - 1 Point

“What time was the image created? Submit in UTC as MM/DD/YYYY HH:MM:SS in 24
format”

File ewf => sử dụng tool ewfinfo trên linux

03/23/2019 00:08:08
05. Which window is it? - 5 Points

“What OS is installed on this computer? Windows __”

Windows 10 Pro
06. The worst thing about prison were the dementors! - 5 Points

“There appears to be a theme used when creating the E01. What is the theme? (Case
Sensitive, two words)”

Harry Potter
07. Brooms aren’t just for sweeping - 5 Points

“What is the decoded name of the Evidence File?”

You're a wizard Harry!
08. Russia - 10 Points

“What is the hostname of the Windows partition?”

Vào Operating system information

TOTALLYNOTAHACK
09. Let’s chat - 10 Points

“A messaging platform was used to communicate with a fellow Alpaca enthusiest, what is the
name of the software?”

Ta thấy Skype là một nền tảng trò chuyện.

10. Zippy Zip - 15 Points

“What is the zipcode of Karen’s craigslist post?”

19709
11. New email, who dis? - 15 Points

“What are the initials of the person who contacted Karen”

Ở trên ta thấy Karen đang đăng quảng cáo tìm việc, vậy nên có thể phương thức liên lạc là
email.

Chọn mục Web Autofill, ta có thể thấy được địa chỉ email người gửi
klovespizza@outlook.com
File OST (Offline Outlook Data): lưu trữ bản sao ngoại tuyến của thư điện tử, các mục liên
kết với email.
Sửa dụng công cụ readpst để phân tích tệp trên thành định dạng mbox

Sử dụng công cụ mail để đọc nội dung mail

Ở đây ta có mail thứ 4 liên quan đến tuyển dụng.

MS
12. Make it rain! - 15 Points

“How much money was TAAUSAI willing to pay Karen upfront? Answer without commas
or dollar signs.”

Tiếp tục đọc nội dung mail số 7 sẽ có được số tiền mà Karen sẽ được trả
150000
13. You have no idea how high I can fly - 15 Points

“What country is Karen meeting the hacker group in?”

Đọc mail số 17 ta sẽ có tọa độ

Sử dụng google map ta có được địa điểm

Egypt
14. Where in the world is Carmen Sandiego? - 15 Points

“What is the timezone?”

Trong quá trình đọc mail thì ta sẽ thấy timezone được đề cập

UTC
15. Someone actually read that? - 15 Points

“What is the Last Accessed time for AlpacaCare.docx? Submit in UTC as MM/DD/YYYY
HH:MM:SS in 24 format”
2019-03-18 04:52:20 ICT
16. Partition Suspicion - 20 Points

“Karen had a second partition on the drive, what drive letter was it assigned?”
17. You’ve got questions? I’ve got answers - 20 Points

“What is the answer to the question Michael’s manager asks Karen?”

13
18. Recruit Pursuit - 20 Points

“What job is Karen told she is being considered for? Answer should be submitted with no
spaces and all lowercase.”

Sent Items.mbox =>7

cybersecurityanalysts
19. Oh, you’re not supposed to use the same password for everything…? - 20 Points
“When was Karens password last changed? Submit in UTC as MM:DD:YYYY
HH:MM:YYYY in 24 format”

tìm file SAM , tìm trong các ổ đĩa và nó nằm trong đường dẫn C:\Windows\System32\config\
SAM trích xuất file SAM

sử dụng công cụ Regripper để đọc nội dung file

03/21/2019 19:13:09

20. Are you sure you want to change your default browser? - 20 Points

“What Version of Chrome is installed on the machine?”

72.0.3626.121

21. iS tHiS sP@M? - 22 Points

“Karen received a reply to her craigslist ad from a fellow Alpaca enthusiast, what is the email
address associated with this reply?”

Inbox.mbox => 7

22. Moooooooooo - 30 Points

“What is the tool Karen hopes to learn to use? This question is case sensitive.”

Phân tích file bằng strings sẽ biết được công cụ mà Karen muốn học các dùng

BeFF
23. She’s a ladies man - 30 Points

“What was the volume name of the second partition on the laptop?”

PacaLady

24. now with 99% more ads - 30 Points

“What is the HostUrl of Skype?”

=https://download.skype.com/s4l/download/win/Skype-8.41.0.54.exe
25. her name is snow - 35 Points

“Bob told Karen the name of his favorite Alpaca. What is the name?”

Có thế thấy Bob và Karen sử dụng Skype để trò chuyện

Ở trong Encryption Detected có thể thấy nội dung trò chuyện đã được nén

Trích xuất file, tuy nhiên file zip này có password nên ta cần bẻ khóa nó

Sư dụng fcrackzip để lấy ra đoạn mã hash trong file zip để bẻ khóa theo wordlist
rockyou.txt

ROT1 → Base64 → Hex

26. rev2md5 - 45 points
“Find the file with MD5 2BD8E82961FC29BBBCF0083D0811A9DB. It will lead you to
victory.”

Trước hết sử dụng FTK Imager để trích xuất hash list của Partition 2
Mở file vừa trích xuất

Tìm mã hash ở trong câu hỏi

Và ta có đường dẫn thư mục của mã hash này

Thử dụng autospy để đọc nội dung file

27. AlpacaCare2020 - 75 Points

“What is the domain name of the website Karen browsed on Alpaca care that the file
AlpacaCare.docx is based on?”

tìm trong Web History

trích xuất file AlpacaCare.dox và mở bằng word, lướt xuống cuối sẽ thấy dòng copy right
cùng với link website
28. You have secrets? - 75 Points

“What is the Created Timestamp for the secret file? Submit in UTC as MM/DD/YYYY
HH:MM:SS in 24 format.

03/25/2019 1:23:00

29. DrDD - 150 Points

“Duanes Challenge: Duane Dunston had his passwords hijacked. Karen hid them C:\Users\
Karen\Desktop\DuanesChallenge somewhere, what is the password to Duane’s LinkedIn?”

Sử dụng strings phân tích các file thì ở trong file

South_Carolina_Academic_Standards_and_Performance_Indicators_for_Science_2014.pdf
có chứa một đoạn mã base64

Sau khi decode theo base64 thì ta được một đoạn mã

ký tự PK ở gần đầu, theo như tìm hiểu thì đây là định dạng file (magic number) của zip
( docx/pdf/xlsx)

xóa đoạn đằng trước để cho đoạn mã decode bắt đầu bằng PK, sau đó lưu file dưới dạng zip
( hoặc thử các dạng khác)

Sau đó mở file zip → xl → sharedStrings.xml sẽ ra được password của linkedin

Ngoài ra khi mở file [Content_Types].xml thì mình nhận ra openXML là định dạng của file
excel
Hoặc khi mở file zip, ta sẽ thấy những gói tin thường có của một file excel khi được giải nén

Tải lại file dưới dạng excel và đọc nội dung

Category: Linux Forensics

01. red star - 10 Points
“What distribution of Linux is being used on this machine?”
Sử dụng FTK Imager, có thể thấy Partition 5 là phân vùng linux sử dụng kali
02. abc123 - 10 Points
“What is the MD5 hash of the apache access.log?”
/var/log/apache2/access.log
Sử dụng FTK trích xuất hash list của Partition 5

03. Radiohead - No Surprises - 10 Points

“It is believed that a credential dumping tool was downloaded? What is the file name of the
download?”
/root/Downloads
Mimikatz là công cụ giúp khai thác lỗ hổng bằng cách hiển thị Password Windows, hash,
PIN code và kerberos tickets dạng rõ (PlainText) bằng cách trích xuất tự bộ nhớ RAM.
04. super duper secret - 15 Points
“There was a super secret file created, what is the absolute path?
Để tìm ra các file đã tạo, thì trên linux có file .bash_history lưu lại những lệnh đã sử dụng

05. this is a hard one - 15 Points

“What program used didyouthinkwedmakeiteasy.jpg during execution?”
Tiếp tục đọc file .bash_history sẽ tìm được công cụ sử dụng file
didyouthinkwedmakeiteasy.jpg
Binwalk là một công cụ nguồn mở phổ biến được sử dụng để phân tích và trích xuất thông tin
từ các tệp nhị phân, chẳng hạn như firmware image, tệp thực thi và ảnh đĩa. Nó thường được
sử dụng trong lĩnh vực kỹ thuật đảo ngược, firmware analyze và nghiên cứu lỗ hổng.
06. overachiever - 15 Points
“What is the third goal from the checklist Karen created?”
Truy cập /root/Desktop có một file là Checklist
07. attack helicopter - 20 Points
“How many times was apache run?”
/var/log/apache2/access.log

Có thể thấy size access.log là 0 → apache chưa được chạy lần nào
08. oh no some1 call ic3 - 25 Points
“It is believed this machine was used to attack another, what file proves this?”
09. scripters prevail - 25 Points
“Within the Documents file path, it is believed that Karen was taunting a fellow computer
expert through a bash script. Who was Karen taunting?”

10. the who - 30 Points

“A user su’d to root at 11:26 multiple times. Who was it?”
11. / - 30 Points
“Based on the bash history, what is the current working directory?”
Quay lại về file .bash_history, thì lần cuối cùng chuyển thư mục sẽ là thư mục hiện tại đang
sử dụng
Category: Memory Forensics
01. get your volatility on - 5 Points
“What is the SHA1 hash of triage.mem?”
Sử dụng công cụ sha1sum trên kali để trích xuất SHA1 hash

02. pr0file - 10 Points

What profile is the most appropriate for this machine? (ex: Win10x86_14393)”
Xem thông tin của máy.

03. hey, write this down - 12 Points

“What was the process ID of notepad.exe?”
Psscan để list ra các process ID.

04. wscript can haz children - 14 Points

“Name the child processes of wscript.exe.”
05. tcpip settings - 18 Points
“What was the IP address of the machine at the time the RAM dump was created?”
Tìm luồng kết nối đi vào

06. intel - 18 Points

“Based on the answer regarding to the infected PID, can you determine what the IP of the
attacker was?”
Tìm luồng kết nối đi vào

07. i <3 windows dependencies - 20 Points

“What process name is VCRUNTIME140.dll associated with?”
Sử dụng windows.dlllist để liệt kê các dll

08. mal-ware-are-you - 20 Points

“What is the md5 hash value the potential malware on the system?”

Ở câu 4 thì ta có tìm được một tiến trình là UWkpjFjDzM.exe, và nó có PID là 3496

Bây giờ sẽ cần dump nó ra để tìm kiếm hash value, để dump thì sử dụng vol ( v2) trên
terminal, vì các bản GUI ở trên không sử dụng để trích xuất được.
dump được file exe, sử dụng md5sum để lấy hash value

09. lm-get bobs hash - 24 Points

“What is the LM hash of bobs account?”

10. vad the impaler - 25 Points

“What protections does the VAD node at 0xfffffa800577ba10 have?”
VAD(Virtual Address Descriptors) có thể cung cấp thông tin hữu ích về không gian địa chỉ
của một tiến trình cụ thể. Chúng cung cấp thông tin về Bit bảo vệ PTE, tính kế thừa của trang
và bất cứ nơi nào trang được chia sẻ giữa các quy trình .
 Protection: Trường này cho biết loại truy cập được phép vào vùng bộ nhớ
o PAGE_EXECUTE: Bộ nhớ có thể được thực thi nhưng không thể ghi vào
o PAGE_EXECUTE_READ: Bộ nhớ có thể được thực thi hoặc đọc nhưng
không thể ghi vào
o PAGE_EXECUTE_READWRITE: Bộ nhớ có thể được thực thi, đọc và ghi.
o PAGE_NOACCESS: Không có quyền truy cập vào vùng bộ nhớ này
o PAGE_READONLY: Chỉ đọc quyền truy cập vào bộ nhớ
o PAGE_READWRITE: Truy cập Đọc, Ghi vào bộ nhớ nhưng không thực thi.
 Private Memory: đề cập đến các vùng không thể chia sẻ với các quy trình khác.
VadsProcess áp dụng cho quy trình mà VAD Root tương ứng. Trường ViewLinks là một
danh sách được liên kết và rất có thể đề cập đến các kết nối giữa mỗi nút trong Cây VAD.
11. more vads?! - 25 Points
“What protections did the VAD starting at 0x00000000033c0000 and ending at
0x00000000033dffff have?”

12. vacation bible school - 25 Points

“There was a VBS script run on the machine. What is the name of the script? (submit without
file extension)”

Trên windows các file vbs sẽ liên quan đến wscript.exe ( Windows script host)

Sử dụng chức năng memdump để dump bộ nhớ của wscript ( PID: 5116)

13. thx microsoft - 25 Points

“An application was run at 2019-03-07 23:06:58 UTC, what is the name of the program?
(Include extension)”

14. lightbulb moment - 35 Points

“What was written in notepad.exe in the time of the memory dump?”

Dựa vào các câu ở trên ta có được PID cả notepad là 3032

Dump memory của notepad

Vì notepad lưu trữ văn bản dưới dạng định dạng little-endian 16 bit, vì vậy sẽ cần sử dụng '-e
l'
15. 8675309 - 35 Points
“What is the shortname of the file at file record 59045?”

16. whats-a-metasploit? - 50 Points

“This box was exploited and is running meterpreter. What PID was infected?”

Ở câu 8 đã xác định được tiến trình có khả năng là malware là UWkpjFjDzM.exe ( PID:
3496)

Sau đó đã dump

Category: Triage VM Questions

01. Who’s That User? - 1 Point
“What is the name of the user?”
Mở máy ảo sẽ có được tên của user
02. Thee who logged in last - 5 Points
“Which time was the most recent logon? Submit in UTC as MM:DD:YYYY HH:MM:YYYY
in 24 format.”
Vol3/Windows/System32/config/SAM
Sử dụng AutoSpy, truy cập vào user Bob và trích xuất file SAM

Sử dụng Regripper để đọc nội dung file

03. Down Time? More like Frown Time - 5 Points
“When was the machine last turned off? Submit in UTC as MM:DD:YYYY HH:MM:YYYY
in 24 format”
reg query HKLM\System\CurrentControlSet\Control\Windows

04. No one’s ever really gone… Palpatine Laugh - 5 Points

“A 7z archive was deleted, what is the CRC32 hash of the file inside?”

05. Now, is no time at all - 7 Points

“What is the current timezone on the machine? (Submit in UTC format)”
systeminfo

06. IT’S OVER 1000 - 7 Points

“How many users have an RID of 1000 or above on the machine?”
Wmic useraccount get name, SID

07. Go Go Gadget Google Extension - 7 Points

“What is the ID of the chrome extension installed?”
08. Run, Adobe, Run! - 7 Points
“How many times was adobe reader run?”

09. Should I use my invisibility to fight crime or for evil? - 10 Points

“A hidden executable is on the desktop. What is the name of the file (extension included)?”
Dir /a
10. It’s all in the timing - 10 Points
“What time did the user access content on placeholder.com? Submit answer in HH:MM
format.”
11. The Hostess with the Mostest - 10 Points
“What is the hostname of the Triage machine?”

12. These messages aren’t gonna message themselves! - 10 Points

“What messaging application was downloaded onto this machine?”
13. Dang it Bobby - 15 Points
“How many times did Bob visit Outlook.com?”

14. Damnit Bobby! - 15 Points

“It appears that Bob may have been playing the role of HR. Can you find the Social Security
Number for someone with the initials R.C.?”
Truy cập: Documents → EmployeeDocuments → EmployeeInformation.xlsx
15. Get back to work Sponge Bob me boy - 18 Points
“Bob was watching youtube videos at work. The network capture showed the video ID to be
N9NCyGaxoDY. What is the name of the video?”
https://www.youtube.com/watch?v=N9NCyGaxoDY

16. Laughs in Hidden - 25 Points

“Bob has a hidden powerpoint presentation. What is the file’s CRC32 hash?”
17. Desktop Flag 1: Just the start of the fun - 25 Points
“What is the flag in C:\Users\Bob\Desktop\WABBIT\1?”
18. Desktop Flag 2: Electric Boogaloo - 25 Points
“What is the flag in C:\Users\Bob\Desktop\WABBIT\2?”
Sử dụng AutoSpy trích xuất file 2

Sử dụng Hexed.it để kiểm tra mã hex của file. Ở đây ta để ý đến đoạn Netscape2.0

Search google thì thấy đây là một file gif. Mở một file gif bình thường, có thể thấy sự thay
đổi ở một số byte đầu
Sửa mã hex file 2 về định dạng file gif, và export về máy

19. Desktop Flag 3: Need for Speed - 25 Points

“What is the flag in C:\Users\Bob\Desktop\WABBIT\3?”
20. Desktop Flag 4: Want some more? - 25 Points
“What is the flag in C:\Users\Bob\Desktop\WABBIT\4?”

Sử dụng AutoSpy trích xuất file 4

Sử dụng Hexed.it để kiểm tra mã hex của file. Thấy có JFIF (Raster Image Files - JPEG File
Interchange Format)

Mở một bức ảnh JPG khác. Có thể thấy các byte ở ảnh 4 đã bị sửa, chỉnh về các byte theo ảnh
đúng và export về.
21. Now watch me youuuuuuuu - 25 Points
“A device with the drive letter “U” was connected. What was the label of the volume?”
Sử dụng AutpSpy, truy cập Recent để xem những file, thư mục đã từng truy cập
22. Desktop Flag 5: No, you can’t have more time - 30 Points
“What is the flag in C:\Users\Bob\Desktop\WABBIT\5?”

Sử dụng AutoSpy trích xuất file 5

Sử dụng Hexed.it để kiểm tra mã hex của file

Mở một file pdf và sửa mã hex của file 5 về định dạng của file pdf

Export file sau khi chỉnh sửa

23. I will look for you, I will find you… and I will hash you - 30 Points
“A file with MD5 981FACC75E052A981519ABB48E2144EC is on the box… somewhere.
What is the name of the file? (with ext)”

Sử dụng FTK Image export file hash của Bob

Tìm kiếm mã MD5 theo câu hỏi

24. Easy Peasy Lemon Squeezy - 40 Points

“So DFA leadership got tired…what’s the flag ON the desktop?”
flag<holla>
25. Can you like… not? - 50 Points
“It looks like Bob was going a little crazy with hiding files within different files. Can you
find a flag within a powerpoint about sales pitches? Copy flag exactly how its found (i.e. not
in normal flag format).”

Theo như câu hỏi thì có lẽ flag sẽ được giấu trong file Powerpoint

Trong máy Bob tìm được file salespitch.pptx

Giải nén file với 7-zip.

Đọc lần lượt các file xml thì sẽ tìm được flag trong file slide1.xml

26. KA-CHOW - 100 Points

“jerry was a racecar driver”