# Q1. What is the MD5 hash value of the suspect disk? - Nhật ký tạo tệp sẽ là nơi chúng ta cần tìm kiếm , kiểm tra tệp DiskDrigger.txt bạn sẽ tìm thấy mã MD5. # Q2. What phrase did the suspect search for on 2021-04-29 18:17:38 UTC? (three words, two spaces in between) - Trong mục `Data Artifacts > Web History`, bạn sẽ nhận được tất cả thông tin, sắp xếp theo thời gian và bạn sẽ tìm thấy hai URL tại thời điểm được cho: `password cracking lists - Google Search`. # Q3. What is the IPv4 address of the FTP server the suspect connected to? - Trong mục `Data Artifacts > Installed Programs`, ta thấy `FileZilla` được tải về. - Dữ liệu ứng dụng nằm tại `Users/<Username>/AppData/Roaming(Local)/AppData/`. Sự khác biệt chính là dữ liệu `roaming` sẽ "theo dõi" người dùng còn dữ liệu `Local` thì không. Thư mục `Roaming/FileZilla/` chứa các tệp xml và đặc biệt là `recentservers.xml` chứa đáp án của chúng ta! # Q4. What date and time was a password list deleted in UTC? (YYYY-MM-DD HH:MM:SS UTC) - Sử dụng `Artifast Window` Câu trả lời có thể được tìm thấy trong dữ liệu của `Windows Recycle Bin` artifact . # Q5. How many times was Tor Browser ran on the suspect’s computer? (number only) - Tiến hành điều tra các `prefetch file` được lưu trong `Windows\Prefetch` và sau đó tìm kiếm thông tin liên qua đến `Tor Browser`, thấy rằng không có tiến trình nào thực sự liên quán đến `Tor Browser` mà chỉ có tiến trình liên quan đến `Tor Installer` được chạy 1 lần, vì vậy đáp án là `0`. # Q6. What is the suspect’s email address? - Sau khi điều tra qua `Data Artifacts > Web History`, ta thấy có 6 emails. - Tiếp tục điều tra trong `Data Artifacts > Web Form Autofill`, ta thấy có 1 username là `dreammaker82` giống với 1 trong 6 emails, vì vậy đây chính là emails cần tìm. # Q7. What is the FQDN did the suspect port scan? - Trong các bước điều tra sơ bộ đầu tiên, ta biết rằng `Nmap` đã được tải về máy. Vì đây là 1 CLI-tool nên chúng ta có thể kiểm tra lịch sử `PowerShell` để xem lịch sử khi nào command của `Nmap` được sử dụng! - Lịch sử `PowerShell` được lưu tại `Users\John Doe\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt` # Q8. What country was picture “20210429_152043.jpg” allegedly taken in? - Ý tưởng ban đầu đơn giản là sử dụng 1 vài tool cơ bản để kiểm tra metadata của ảnh nhưng có vẻ như không trả về đáp án. Vì vậy mình lên mạng search 1 vài tool liên quan đến metadata và sử dụng [tool này](https://www.metadata2go.com/) để dump metadata của ảnh và có đc đáp án! # Q9. What is the parent folder name picture “20210429_151535.jpg” was in before the suspect copy it to “contact” folder on his desktop? - Khi xem metadata của tệp trong Autopsy, chúng ta thấy nó được chụp bằng `LG Electronics LM-Q725K`. Kiểm tra trong `USB Device Attached`, chúng ta cũng thấy thiết bị này: `LG Electronics, Inc. LM-X420xxx/G2/G3 Android Phone (chế độ MTP/tải xuống)`. - Sau 1 thời gian research, biết được nhiều máy ảnh lưu ảnh trong thư mục `DCIM` hoặc một thư mục con của nó.Nếu tìm kiếm `DCIM`, chúng ta sẽ thấy một dữ liệu Shell Bags liên quan đến bức ảnh này: `My Computer\LG Q7\Internal storage\DCIM\Camera`. # Q10. A Windows password hashes for an account are below. What is the user’s password? - Câu này thì đơn giản là dùng các tool cơ bản như `Hashcat` hoặc dùng tool online đều sẽ cho ra đáp án! # Q11. What is the user “John Doe’s” Windows login password? - Autopsy có một mục dành cho `Operating System User Accounts`, nơi chúng ta có thể tìm thấy `John Doe`. Chúng ta có thể thấy dữ liệu được tìm thấy từ tệp `SAM, /Windows/System32/config/SAM`. - Sử dụng `Mimikatz`, ta có đc hash NTLM của John Doe. Vứt vào `Hashcat` hoặc bất kì tool nào khác để có đáp án.