20 BTLO 藍隊靶場 Sticky Situation 解題記錄

20 BTLO 藍隊靶場 Sticky Situation 解題記錄

news/2025/7/26 8:32:20/文章來源:https://blog.csdn.net/Li_Wisworth/article/details/149608154

難度：5/10

考察技能:?Windows admin, Autopsy 使用

場景：分析USB設備使用情況

Autopsy使用注意：用管理員打開，在實際分析時注意先復制一個鏡像文件，保存好原文件

常用的Windows USB 取證的位置:

Windows XP:

Registry Key: USB-related information is stored in:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\

SetupAPI Logs: C:\WINDOWS\setupapi.log

Windows 7 had a few changes:

SetupAPI Logs moved to: C:\WINDOWS\INF\setupapi.dev.log

The category Windows Portable Devices was added: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Portable Devices\Devices

Windows 8/8.1 added:

DeviceClasses: Additional device information may be found under:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses

Windows 10 and Windows 11:

The category Device Container ID was added:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbccgp

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub

其他取證位置:

Windows Event Logs:

System event logs may contain entries related to USB device insertions and removals.
Event Viewer path: Applications and Services Logs\Microsoft\Windows\DriverFrameworks-UserMode\Operational

Windows Prefetch:

USB-related executables may be found in C:\Windows\Prefetch\.

Mounted Devices:

Mounted device artifacts: HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices

UserAssist:

Tracks user interaction with USB devices in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist.

挑戰場景

A highly confidential document has been stolen from Prime Minister’s laptop and has been sold in the Dark Web. Can you help the intelligence services figure out how this happened?

1. 計算機名稱是什么?What is the computer name?

我們可通過在結果面板中查看操作系統信息來獲取終端主機名。在標黃的SYSTEM條目中即可找到主機名。

2. 操作系統安裝時間 When was the OS installed?

從上圖SOFTWARE條目中同樣可獲取系統安裝日期。

3. 計算機時區設置 What is the Timezone of the computer?

通過分析"TimeZoneInformation"注冊表鍵值可確定時區。Autopsy會自動導出注冊表配置單元以加速取證分析。?

TimeZon?

4. 首個連接的USB大容量存儲設備序列號 What is the serial number of the first USB mass storage device connected?

從系統注冊表配置單元的"USBSTOR"鍵值中可獲取該信息。

最后一個

或者在提供的regripper文件里面找：

（RegRipper 是一個用于注冊表取證的開源工具，主要用于在Windows系統中分析注冊表數據。）

5. 首個USB大容量存儲設備廠商名稱 What is the vendor name of the first USB mass storage device?

上上圖有

6. 首個USB設備首次連接時間（系統本地時間） When was the first USB mass storage device connected for the first time? (system local time)

在"windows/inf"目錄下的"setupapi.dev.log"日志文件中可找到該記錄。

或者在提供的regripper文件里面找：

7. 特定USB存儲設備的卷標 What is the Volume Label of the unique USB mass storage device?

卷標信息存儲于軟件注冊表配置單元中，通過之前獲取的序列號即可定位。

8. 找出使用過USB設備的用戶及其SID Find the user that used the USB Device. What is the user’s SID?

通過系統注冊表中"MountedDevices"鍵值獲取設備GUID后，進行關鍵詞搜索即可關聯用戶。在"提取內容→操作系統用戶賬戶→PM→屬性"中可查看用戶SID。

9. 該USB設備最后分配的盤符 What is the last drive letter assigned to the USB device?

繼續分析第7題提供的截圖即可獲得該信息。

10. 被竊取的文件名是什么 What is the filename of the document stolen?

綜合所有取證證據后，通過"提取內容→最近文檔"中的LNK文件即可立即鎖定被盜文檔。

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/news/915921.shtml
繁體地址，請注明出處：http://hk.pswp.cn/news/915921.shtml
英文地址，請注明出處：http://en.pswp.cn/news/915921.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！

相關文章

安裝及配置Go語言開發環境與VSCode集成指南

安裝及配置Go語言開發環境與VSCode集成指南

安裝Go語言開發安裝Go語言開發環境是第一步。訪問Go官網，下載適合操作系統的安裝包，如果進不去可以訪問Go官方鏡像站。根據自己的系統選擇對應的安裝包，我這邊是Windows系統就點擊安裝第一個即可。點擊下一步即可。驗證安裝是否成功可以…

閱讀更多...

專題：2025微短劇行業生態構建與跨界融合研究報告|附100+份報告PDF匯總下載

專題：2025微短劇行業生態構建與跨界融合研究報告|附100+份報告PDF匯總下載

原文鏈接： https://tecdat.cn/?p43384 分析師：Boyu Wang 在此對 Boyu Wang 對本文所作的貢獻表示誠摯感謝，他在武漢大學完成了數據科學與大數據技術專業的學習。擅長 R 語言、Python、機器學習、數據可視化。中國短視頻行業在經歷爆發式增…

閱讀更多...

配置NGINX

配置NGINX

Nginx環境配置與前端VUE部署安裝nginx：命令sudo yum update && sudo yum install nginx部署:拷貝前端到目錄/home/publish/idasweb/下修改nginx配置：進入到/etc/nginx目錄下，修改nginx.conf中user www-data為user root，不…

閱讀更多...

MySQL深度理解-MySQL索引優化

MySQL深度理解-MySQL索引優化

1.Order by與Group by優化1.1Case1employees表中建立了name，position和age索引，并且使用了order by age進行排序操作：EXPLAIN SELECT * FROM employees WHERE name LiLei and position dev order by age最終explain的結果發現使用了idx_nam…

閱讀更多...

「Linux命令基礎」用戶和用戶組實訓

「Linux命令基礎」用戶和用戶組實訓

用戶與用戶組關系管理在Linux系統中，用戶和用戶組的關系就像班級里的學生和小組。一個用戶可以同時屬于多個組，這種靈活的成員關系為權限管理提供了便利。創建用戶時，系統會自動生成一個與用戶同名的主組，這個組會成為用戶創建文件時的默認屬組。理解用戶和用戶組的關系…

閱讀更多...

Https以及CA證書

Https以及CA證書

目錄 1. 什么是 HTTPS 通信機制流程證書驗證過程 CA證書瀏覽器如何校驗證書合法性呢？ 1. 什么是 HTTPS HTTP 加上加密處理和認證以及完整性保護后即是 HTTPS。它是為了解決 HTTP 存在的安全性問題，而衍生的協議，那使用 HTTP 的缺點有…

閱讀更多...

數字圖像處理（四：圖像如果當作矩陣，那加減乘除處理了矩陣，那圖像咋變）：從LED冬奧會、奧運會及春晚等等大屏，到手機小屏，快來挖一挖里面都有什么

數字圖像處理（四：圖像如果當作矩陣，那加減乘除處理了矩陣，那圖像咋變）：從LED冬奧會、奧運會及春晚等等大屏，到手機小屏，快來挖一挖里面都有什么

數字圖像處理（四）三、（準備工作：玩具咋玩）圖像以矩陣形式存儲，那矩陣一變、圖像立刻跟著變？原圖發揮了鈔能力之后的圖上述代碼包含 10 個圖像處理實驗，每個實驗會生成對應處理后的圖…

閱讀更多...

SpringBoot航空訂票系統的設計與實現

SpringBoot航空訂票系統的設計與實現

文章目錄前言詳細視頻演示具體實現截圖后端框架SpringBoot持久層框架Hibernate成功系統案例：代碼參考數據庫源碼獲取前言博主介紹:CSDN特邀作者、985高校計算機專業畢業、現任某互聯網大廠高級全棧開發工程師、Gitee/掘金/華為云/阿里云/GitHub等平臺持續輸出高質…

閱讀更多...

2025年PostgreSQL 詳細安裝教程（windows）

2025年PostgreSQL 詳細安裝教程（windows）

前言 PostgreSQL 是一個功能強大的開源關系型數據庫管理系統(ORDBMS)，以下是對它的全面介紹： 基本概況名稱：通常簡稱為 "Postgres" 類型：對象-關系型數據庫管理系統許可：開源，采用類MIT許可…

閱讀更多...

Java日志按天切分方法

Java日志按天切分方法

使用 Logrotate（推薦）Logrotate 是 Linux 系統自帶的日志管理工具，支持自動切割、壓縮和刪除舊日志。步驟：創建 Logrotate 配置文件在 /etc/logrotate.d/ 下新建配置文件（如 java-app）：sudo nan…

閱讀更多...

進階向:基于Python的本地文件內容搜索工具

進階向:基于Python的本地文件內容搜索工具

概述大家好！今天我們將一起學習如何用Python創建一個簡單但強大的本地文件內容搜索工具。這個工具特別適合處理大量文本文件時的快速檢索需求。為什么要學習這個工具如果你剛接觸編程，完全不用擔心！我會從零開始講解，確保每…

閱讀更多...

多模態AI的可解釋性

多模態AI的可解釋性

多模態AI的可解釋性挑戰在深入探討解決方案之前，首先需要精確地定義問題。多模態模型因其固有的復雜性，其內部決策過程對于人類觀察者而言是不透明的。模態融合機制 (Modal Fusion Mechanism)：模型必須將來自不同來源（如圖像和文…

閱讀更多...

MySQL深度理解-MySQL事務優化

MySQL深度理解-MySQL事務優化

1.什么是事務事務就是進行多個操作，要么同時執行成功，要么同時執行失敗。2.事務的特性 - ACID特性2.1原子性Atomicity原子性（Atomicity）：當前事務的操作要么同時成功，要么同時失敗。原子性由undo log日志來…

閱讀更多...

2025小學所有學習科目的全部版本電子教材

2025小學所有學習科目的全部版本電子教材

2025春小學最新課本-新版電子教材【文末自行獲取全部資料~】小學語文： 小學數學： 小學英語： 小學科學： 小學道德與法治： 小學勞動技術： 小學美術： 小學書法練習指導： 小學體育與健康…

閱讀更多...

華為視覺算法面試30問全景精解

華為視覺算法面試30問全景精解

華為視覺算法面試30問全景精解 ——技術引領工程極致智能未來：華為視覺算法面試核心考點全覽前言華為作為全球領先的ICT（信息與通信技術）解決方案供應商，在智能終端、云計算、智慧城市、自動駕駛、工業互聯網等領域持續推動視覺AI的創新與產業落地。華為視覺算法崗…

閱讀更多...

【Anaconda】Conda 虛擬環境打包遷移教程

【Anaconda】Conda 虛擬環境打包遷移教程

Conda 虛擬環境打包遷移教程本文介紹如何使用 conda-pack 將 Conda 虛擬環境打包，并在另一臺電腦上快速遷移、部署。0. 安裝 conda-pack conda-pack 并非 Conda 默認自帶工具，首次使用前必須手動安裝。以下兩種安裝方式任選其一即可： ? 方法…

閱讀更多...

matrix-breakout-2-morpheus靶機通關教程

matrix-breakout-2-morpheus靶機通關教程

目錄一、信息搜集二、嘗試GetShell 三、反彈Shell 一、信息搜集首先搜集信息，觀察頁面。發現什么都沒有，我們先來發現一下它的IP以及開放的端口。首先我們觀察一下它的網絡模式是怎么樣的，來確定IP段。可以發現他是NAT模式&#xff0…

閱讀更多...

深入思考【九九八十一難】的意義，試用歌曲能否解釋

深入思考【九九八十一難】的意義，試用歌曲能否解釋

1. 《平凡之路》- 樸樹契合點：前半生追求明白：“我曾經失落失望失掉所有方向，直到看見平凡才是唯一的答案”。后半生修行糊涂：“時間無言，如此這般，明天已在眼前”。對過去的釋然與對未來的隨緣&#xff0c…

閱讀更多...

SSM之表現層數據封裝-統一響應格式全局異常處理

SSM之表現層數據封裝-統一響應格式全局異常處理

SSM之表現層數據封裝-統一響應格式&全局異常處理一、為什么需要表現層數據封裝？二、表現層數據封裝的通用格式成功響應示例失敗響應示例三、SSM中實現統一響應對象3.1 定義響應對象類（Result.java）四、全局異常處理4.1 實現全局異常處理器…

閱讀更多...

微軟Fabric重塑數據管理：Forrester報告揭示高ROI

微軟Fabric重塑數據管理：Forrester報告揭示高ROI

在數字化轉型加速的今天，微軟公司推出的Microsoft Fabric數據管理平臺正以其卓越的經濟效益和全面的技術能力引領行業變革。根據Forrester Consulting最新發布的總體經濟影響(TEI)研究報告，該平臺展現出令人矚目的商業價值：實現379%的投資回報…

閱讀更多...

最新文章