20 BTLO 蓝队靶场 Sticky Situation 解题记录

20 BTLO 蓝队靶场 Sticky Situation 解题记录

news/2025/7/25 8:10:37/文章来源:https://blog.csdn.net/Li_Wisworth/article/details/149608154

难度：5/10

考察技能: Windows admin, Autopsy 使用

场景：分析USB设备使用情况

Autopsy使用注意：用管理员打开，在实际分析时注意先复制一个镜像文件，保存好原文件

常用的Windows USB 取证的位置:

Windows XP:

Registry Key: USB-related information is stored in:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\

SetupAPI Logs: C:\WINDOWS\setupapi.log

Windows 7 had a few changes:

SetupAPI Logs moved to: C:\WINDOWS\INF\setupapi.dev.log

The category Windows Portable Devices was added: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Portable Devices\Devices

Windows 8/8.1 added:

DeviceClasses: Additional device information may be found under:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses

Windows 10 and Windows 11:

The category Device Container ID was added:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbccgp

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub

其他取证位置:

Windows Event Logs:

System event logs may contain entries related to USB device insertions and removals.
Event Viewer path: Applications and Services Logs\Microsoft\Windows\DriverFrameworks-UserMode\Operational

Windows Prefetch:

USB-related executables may be found in C:\Windows\Prefetch\.

Mounted Devices:

Mounted device artifacts: HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices

UserAssist:

Tracks user interaction with USB devices in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist.

挑战场景

A highly confidential document has been stolen from Prime Minister’s laptop and has been sold in the Dark Web. Can you help the intelligence services figure out how this happened?

1. 计算机名称是什么 What is the computer name?

我们可通过在结果面板中查看操作系统信息来获取终端主机名。在标黄的SYSTEM条目中即可找到主机名。

2. 操作系统安装时间 When was the OS installed?

从上图SOFTWARE条目中同样可获取系统安装日期。

3. 计算机时区设置 What is the Timezone of the computer?

通过分析"TimeZoneInformation"注册表键值可确定时区。Autopsy会自动导出注册表配置单元以加速取证分析。

TimeZon

4. 首个连接的USB大容量存储设备序列号 What is the serial number of the first USB mass storage device connected?

从系统注册表配置单元的"USBSTOR"键值中可获取该信息。

最后一个

或者在提供的regripper文件里面找：

（RegRipper 是一个用于注册表取证的开源工具，主要用于在Windows系统中分析注册表数据。）

5. 首个USB大容量存储设备厂商名称 What is the vendor name of the first USB mass storage device?

上上图有

6. 首个USB设备首次连接时间（系统本地时间） When was the first USB mass storage device connected for the first time? (system local time)

在"windows/inf"目录下的"setupapi.dev.log"日志文件中可找到该记录。

或者在提供的regripper文件里面找：

7. 特定USB存储设备的卷标 What is the Volume Label of the unique USB mass storage device?

卷标信息存储于软件注册表配置单元中，通过之前获取的序列号即可定位。

8. 找出使用过USB设备的用户及其SID Find the user that used the USB Device. What is the user’s SID?

通过系统注册表中"MountedDevices"键值获取设备GUID后，进行关键词搜索即可关联用户。在"提取内容→操作系统用户账户→PM→属性"中可查看用户SID。

9. 该USB设备最后分配的盘符 What is the last drive letter assigned to the USB device?

继续分析第7题提供的截图即可获得该信息。

10. 被窃取的文件名是什么 What is the filename of the document stolen?

综合所有取证证据后，通过"提取内容→最近文档"中的LNK文件即可立即锁定被盗文档。

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。
如若转载，请注明出处：http://www.pswp.cn/news/915921.shtml
繁体地址，请注明出处：http://hk.pswp.cn/news/915921.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！

相关文章

安装及配置Go语言开发环境与VSCode集成指南

安装及配置Go语言开发环境与VSCode集成指南

安装Go语言开发安装Go语言开发环境是第一步。访问Go官网，下载适合操作系统的安装包，如果进不去可以访问Go官方镜像站。根据自己的系统选择对应的安装包，我这边是Windows系统就点击安装第一个即可。点击下一步即可。验证安装是否成功可以…

阅读更多...

专题：2025微短剧行业生态构建与跨界融合研究报告|附100+份报告PDF汇总下载

专题：2025微短剧行业生态构建与跨界融合研究报告|附100+份报告PDF汇总下载

原文链接： https://tecdat.cn/?p43384 分析师：Boyu Wang 在此对 Boyu Wang 对本文所作的贡献表示诚挚感谢，他在武汉大学完成了数据科学与大数据技术专业的学习。擅长 R 语言、Python、机器学习、数据可视化。中国短视频行业在经历爆发式增…

阅读更多...

配置NGINX

配置NGINX

Nginx环境配置与前端VUE部署安装nginx：命令sudo yum update && sudo yum install nginx部署:拷贝前端到目录/home/publish/idasweb/下修改nginx配置：进入到/etc/nginx目录下，修改nginx.conf中user www-data为user root，不…

阅读更多...

MySQL深度理解-MySQL索引优化

MySQL深度理解-MySQL索引优化

1.Order by与Group by优化1.1Case1employees表中建立了name，position和age索引，并且使用了order by age进行排序操作：EXPLAIN SELECT * FROM employees WHERE name LiLei and position dev order by age最终explain的结果发现使用了idx_nam…

阅读更多...

「Linux命令基础」用户和用户组实训

「Linux命令基础」用户和用户组实训

用户与用户组关系管理在Linux系统中，用户和用户组的关系就像班级里的学生和小组。一个用户可以同时属于多个组，这种灵活的成员关系为权限管理提供了便利。创建用户时，系统会自动生成一个与用户同名的主组，这个组会成为用户创建文件时的默认属组。理解用户和用户组的关系…

阅读更多...

Https以及CA证书

Https以及CA证书

目录 1. 什么是 HTTPS 通信机制流程证书验证过程 CA证书浏览器如何校验证书合法性呢？ 1. 什么是 HTTPS HTTP 加上加密处理和认证以及完整性保护后即是 HTTPS。它是为了解决 HTTP 存在的安全性问题，而衍生的协议，那使用 HTTP 的缺点有…

阅读更多...

数字图像处理（四：图像如果当作矩阵，那加减乘除处理了矩阵，那图像咋变）：从LED冬奥会、奥运会及春晚等等大屏，到手机小屏，快来挖一挖里面都有什么

数字图像处理（四：图像如果当作矩阵，那加减乘除处理了矩阵，那图像咋变）：从LED冬奥会、奥运会及春晚等等大屏，到手机小屏，快来挖一挖里面都有什么

数字图像处理（四）三、（准备工作：玩具咋玩）图像以矩阵形式存储，那矩阵一变、图像立刻跟着变？原图发挥了钞能力之后的图上述代码包含 10 个图像处理实验，每个实验会生成对应处理后的图…

阅读更多...

SpringBoot航空订票系统的设计与实现

SpringBoot航空订票系统的设计与实现

文章目录前言详细视频演示具体实现截图后端框架SpringBoot持久层框架Hibernate成功系统案例：代码参考数据库源码获取前言博主介绍:CSDN特邀作者、985高校计算机专业毕业、现任某互联网大厂高级全栈开发工程师、Gitee/掘金/华为云/阿里云/GitHub等平台持续输出高质…

阅读更多...

2025年PostgreSQL 详细安装教程（windows）

2025年PostgreSQL 详细安装教程（windows）

前言 PostgreSQL 是一个功能强大的开源关系型数据库管理系统(ORDBMS)，以下是对它的全面介绍： 基本概况名称：通常简称为 "Postgres" 类型：对象-关系型数据库管理系统许可：开源，采用类MIT许可…

阅读更多...

Java日志按天切分方法

Java日志按天切分方法

使用 Logrotate（推荐）Logrotate 是 Linux 系统自带的日志管理工具，支持自动切割、压缩和删除旧日志。步骤：创建 Logrotate 配置文件在 /etc/logrotate.d/ 下新建配置文件（如 java-app）：sudo nan…

阅读更多...

进阶向:基于Python的本地文件内容搜索工具

进阶向:基于Python的本地文件内容搜索工具

概述大家好！今天我们将一起学习如何用Python创建一个简单但强大的本地文件内容搜索工具。这个工具特别适合处理大量文本文件时的快速检索需求。为什么要学习这个工具如果你刚接触编程，完全不用担心！我会从零开始讲解，确保每…

阅读更多...

多模态AI的可解释性

多模态AI的可解释性

多模态AI的可解释性挑战在深入探讨解决方案之前，首先需要精确地定义问题。多模态模型因其固有的复杂性，其内部决策过程对于人类观察者而言是不透明的。模态融合机制 (Modal Fusion Mechanism)：模型必须将来自不同来源（如图像和文…

阅读更多...

MySQL深度理解-MySQL事务优化

MySQL深度理解-MySQL事务优化

1.什么是事务事务就是进行多个操作，要么同时执行成功，要么同时执行失败。2.事务的特性 - ACID特性2.1原子性Atomicity原子性（Atomicity）：当前事务的操作要么同时成功，要么同时失败。原子性由undo log日志来…

阅读更多...

2025小学所有学习科目的全部版本电子教材

2025小学所有学习科目的全部版本电子教材

2025春小学最新课本-新版电子教材【文末自行获取全部资料~】小学语文： 小学数学： 小学英语： 小学科学： 小学道德与法治： 小学劳动技术： 小学美术： 小学书法练习指导： 小学体育与健康…

阅读更多...

华为视觉算法面试30问全景精解

华为视觉算法面试30问全景精解

华为视觉算法面试30问全景精解 ——技术引领工程极致智能未来：华为视觉算法面试核心考点全览前言华为作为全球领先的ICT（信息与通信技术）解决方案供应商，在智能终端、云计算、智慧城市、自动驾驶、工业互联网等领域持续推动视觉AI的创新与产业落地。华为视觉算法岗…

阅读更多...

【Anaconda】Conda 虚拟环境打包迁移教程

【Anaconda】Conda 虚拟环境打包迁移教程

Conda 虚拟环境打包迁移教程本文介绍如何使用 conda-pack 将 Conda 虚拟环境打包，并在另一台电脑上快速迁移、部署。0. 安装 conda-pack conda-pack 并非 Conda 默认自带工具，首次使用前必须手动安装。以下两种安装方式任选其一即可： ✅ 方法…

阅读更多...

matrix-breakout-2-morpheus靶机通关教程

matrix-breakout-2-morpheus靶机通关教程

目录一、信息搜集二、尝试GetShell 三、反弹Shell 一、信息搜集首先搜集信息，观察页面。发现什么都没有，我们先来发现一下它的IP以及开放的端口。首先我们观察一下它的网络模式是怎么样的，来确定IP段。可以发现他是NAT模式&#xff0…

阅读更多...

深入思考【九九八十一难】的意义，试用歌曲能否解释

深入思考【九九八十一难】的意义，试用歌曲能否解释

1. 《平凡之路》- 朴树契合点：前半生追求明白：“我曾经失落失望失掉所有方向，直到看见平凡才是唯一的答案”。后半生修行糊涂：“时间无言，如此这般，明天已在眼前”。对过去的释然与对未来的随缘&#xff0c…

阅读更多...

SSM之表现层数据封装-统一响应格式全局异常处理

SSM之表现层数据封装-统一响应格式全局异常处理

SSM之表现层数据封装-统一响应格式&全局异常处理一、为什么需要表现层数据封装？二、表现层数据封装的通用格式成功响应示例失败响应示例三、SSM中实现统一响应对象3.1 定义响应对象类（Result.java）四、全局异常处理4.1 实现全局异常处理器…

阅读更多...

微软Fabric重塑数据管理：Forrester报告揭示高ROI

微软Fabric重塑数据管理：Forrester报告揭示高ROI

在数字化转型加速的今天，微软公司推出的Microsoft Fabric数据管理平台正以其卓越的经济效益和全面的技术能力引领行业变革。根据Forrester Consulting最新发布的总体经济影响(TEI)研究报告，该平台展现出令人瞩目的商业价值：实现379%的投资回报…

阅读更多...

最新文章