Professional Documents
Culture Documents
Category: Deadbox Forensic: 01. Hello, My Name Is - 1 Point
Category: Deadbox Forensic: 01. Hello, My Name Is - 1 Point
Minerva
02. Who owns it? - 1 Point
Tìm OS accounts
Karen
03. Does it match? - 1 Point
“What time was the image created? Submit in UTC as MM/DD/YYYY HH:MM:SS in 24
format”
Windows 10 Pro
06. The worst thing about prison were the dementors! - 5 Points
“There appears to be a theme used when creating the E01. What is the theme? (Case
Sensitive, two words)”
Harry Potter
07. Brooms aren’t just for sweeping - 5 Points
“A messaging platform was used to communicate with a fellow Alpaca enthusiest, what is the
name of the software?”
19709
11. New email, who dis? - 15 Points
Ở trên ta thấy Karen đang đăng quảng cáo tìm việc, vậy nên có thể phương thức liên lạc là
email.
Chọn mục Web Autofill, ta có thể thấy được địa chỉ email người gửi
klovespizza@outlook.com
File OST (Offline Outlook Data): lưu trữ bản sao ngoại tuyến của thư điện tử, các mục liên
kết với email.
Sửa dụng công cụ readpst để phân tích tệp trên thành định dạng mbox
MS
12. Make it rain! - 15 Points
“How much money was TAAUSAI willing to pay Karen upfront? Answer without commas
or dollar signs.”
Tiếp tục đọc nội dung mail số 7 sẽ có được số tiền mà Karen sẽ được trả
150000
13. You have no idea how high I can fly - 15 Points
Trong quá trình đọc mail thì ta sẽ thấy timezone được đề cập
UTC
15. Someone actually read that? - 15 Points
“What is the Last Accessed time for AlpacaCare.docx? Submit in UTC as MM/DD/YYYY
HH:MM:SS in 24 format”
2019-03-18 04:52:20 ICT
16. Partition Suspicion - 20 Points
“Karen had a second partition on the drive, what drive letter was it assigned?”
17. You’ve got questions? I’ve got answers - 20 Points
13
18. Recruit Pursuit - 20 Points
“What job is Karen told she is being considered for? Answer should be submitted with no
spaces and all lowercase.”
cybersecurityanalysts
19. Oh, you’re not supposed to use the same password for everything…? - 20 Points
“When was Karens password last changed? Submit in UTC as MM:DD:YYYY
HH:MM:YYYY in 24 format”
tìm file SAM , tìm trong các ổ đĩa và nó nằm trong đường dẫn C:\Windows\System32\config\
SAM trích xuất file SAM
20. Are you sure you want to change your default browser? - 20 Points
“Karen received a reply to her craigslist ad from a fellow Alpaca enthusiast, what is the email
address associated with this reply?”
Inbox.mbox => 7
“What is the tool Karen hopes to learn to use? This question is case sensitive.”
Phân tích file bằng strings sẽ biết được công cụ mà Karen muốn học các dùng
BeFF
23. She’s a ladies man - 30 Points
“What was the volume name of the second partition on the laptop?”
PacaLady
=https://download.skype.com/s4l/download/win/Skype-8.41.0.54.exe
25. her name is snow - 35 Points
“Bob told Karen the name of his favorite Alpaca. What is the name?”
Trích xuất file, tuy nhiên file zip này có password nên ta cần bẻ khóa nó
Sư dụng fcrackzip để lấy ra đoạn mã hash trong file zip để bẻ khóa theo wordlist
rockyou.txt
Trước hết sử dụng FTK Imager để trích xuất hash list của Partition 2
Mở file vừa trích xuất
“What is the domain name of the website Karen browsed on Alpaca care that the file
AlpacaCare.docx is based on?”
trích xuất file AlpacaCare.dox và mở bằng word, lướt xuống cuối sẽ thấy dòng copy right
cùng với link website
28. You have secrets? - 75 Points
“What is the Created Timestamp for the secret file? Submit in UTC as MM/DD/YYYY
HH:MM:SS in 24 format.
03/25/2019 1:23:00
“Duanes Challenge: Duane Dunston had his passwords hijacked. Karen hid them C:\Users\
Karen\Desktop\DuanesChallenge somewhere, what is the password to Duane’s LinkedIn?”
xóa đoạn đằng trước để cho đoạn mã decode bắt đầu bằng PK, sau đó lưu file dưới dạng zip
( hoặc thử các dạng khác)
Có thể thấy size access.log là 0 → apache chưa được chạy lần nào
08. oh no some1 call ic3 - 25 Points
“It is believed this machine was used to attack another, what file proves this?”
09. scripters prevail - 25 Points
“Within the Documents file path, it is believed that Karen was taunting a fellow computer
expert through a bash script. Who was Karen taunting?”
Ở câu 4 thì ta có tìm được một tiến trình là UWkpjFjDzM.exe, và nó có PID là 3496
Bây giờ sẽ cần dump nó ra để tìm kiếm hash value, để dump thì sử dụng vol ( v2) trên
terminal, vì các bản GUI ở trên không sử dụng để trích xuất được.
dump được file exe, sử dụng md5sum để lấy hash value
Trên windows các file vbs sẽ liên quan đến wscript.exe ( Windows script host)
Sử dụng chức năng memdump để dump bộ nhớ của wscript ( PID: 5116)
Vì notepad lưu trữ văn bản dưới dạng định dạng little-endian 16 bit, vì vậy sẽ cần sử dụng '-e
l'
15. 8675309 - 35 Points
“What is the shortname of the file at file record 59045?”
Ở câu 8 đã xác định được tiến trình có khả năng là malware là UWkpjFjDzM.exe ( PID:
3496)
Sau đó đã dump
Sử dụng Hexed.it để kiểm tra mã hex của file. Ở đây ta để ý đến đoạn Netscape2.0
Search google thì thấy đây là một file gif. Mở một file gif bình thường, có thể thấy sự thay
đổi ở một số byte đầu
Sửa mã hex file 2 về định dạng file gif, và export về máy
Sử dụng Hexed.it để kiểm tra mã hex của file. Thấy có JFIF (Raster Image Files - JPEG File
Interchange Format)
Mở một bức ảnh JPG khác. Có thể thấy các byte ở ảnh 4 đã bị sửa, chỉnh về các byte theo ảnh
đúng và export về.
21. Now watch me youuuuuuuu - 25 Points
“A device with the drive letter “U” was connected. What was the label of the volume?”
Sử dụng AutpSpy, truy cập Recent để xem những file, thư mục đã từng truy cập
22. Desktop Flag 5: No, you can’t have more time - 30 Points
“What is the flag in C:\Users\Bob\Desktop\WABBIT\5?”
Mở một file pdf và sửa mã hex của file 5 về định dạng của file pdf
Theo như câu hỏi thì có lẽ flag sẽ được giấu trong file Powerpoint
Đọc lần lượt các file xml thì sẽ tìm được flag trong file slide1.xml