镜像取证

镜像文件取证

任务3:镜像文件取证
证据编号 在取证镜像中的文件名 镜像中原文件Hash码(MD5,不区分大小写)
evidence 1 eg2kx.jpg 85cdf73518b32a37f74c4bfa42d856a6
evidence 2 ZQOo2.zip 9e69763ec7dac69e2c5b07a5955a5868
evidence 3 p3qQ4.jpg a9a18aecec905a7742042461595b4b5c
evidence 4 nsOh2.png f5b9ce3e485314c23c40a89d994b2dc8
evidence 5 RVlYt.zip 3f67593f11669c72a36bad4d41a83a78
evidence 6 mkjRv.7z e610fcd2a0cd53d158e8ee4bb088100a
evidence 7 OR8iq.xml 28ba933c31fd60f8c4461aed14a8c447
evidence 8 8cFQj.py 7fccfb1778b15fbc09deb6690afc776a
evidence 9 jMH7w.xlsx 523c407180d54dde6eca700405599c8a
evidence 10 01d98.gif d708444963b79da344fd71e5c72f7f02
FF D8 FF E1 GPEG(jpg)
89 50 4E 47 PNG(png)
47 49 46 38 GIF(gif)
49 49 2A 00 TIFF(tif)
42 4D C0 01 Windows Bitmap(bmp)
50 4B 03 04 ZIP Archive (zip)
52 61 72 21 RAR Archive (rar)
38 42 50 53 Adobe Photoshop (psd)
7B 5C 72 74 66 Rich Text Format (rtf)
3C 3F 78 6D 6C XML(xml)
68 74 6D 6C 3E HTML (html)
25 50 44 46 2D 31 2E Adobe Acrobat (pdf)
57 41 56 45 Wave (wav)
4D 3C 2B 1A pcap (pcap)
52 49 46 46 WEBP(webp)
在auto中找到eg2kx.jpg,保存到本地

放到kali里查看下文件,发现里面有个压缩包

后缀修改.zip,打开压缩包

certutil -hashfile filename md5
使用cmd终端求出源文件hash码

ZQOo2.jpg
打开kali分析

修改成zip文件需要密码,拉到010修改参数

p3qQ4.jpg
打开就是图片没显示完全
HEX 十六进制
DEC 十进制
OCT 八进制
BIN 二进制
00 00 02 80 代表宽度
00 00 01 92 代表高度

将高度十进制修改成1000,十六进制就是03 E8

nsOh2.png
直接显示了

RVlYt.zip
kali分析

另一张图片并没有什么
用010打开发现两张图片中间含有base64解码
搜索45 4E 44 是结尾16进制表示

或者使用kali解码

mkjRv.7z
kali分析
修改成mpeg文件
使用audacity打开

. ...- .. -.. . -. -.-. . -....
在线解码

OR8iq.xml
kali分析

拉到stegsolve查看

8cFQj.py
kali分析

拉到010 查看到末尾都是二进制,用python进行每8组为单位转换对应十进制
发现结尾都是base32

进行在线转换,32->64->32->hex->32->64->32

jMH7w.js
kali分析
改成压缩包后打开xlsx表格,拉住界面标红

01d98.gif
kali分析

Stegsolve.jar打开
选择

热门相关:霸宠天下:腹黑帝君妖娆后   布衣官道   扑倒老公大人:龙总,我爱你!   暖君   朔明