Q1. What is the MD5 hash value of the suspect disk?

• Nhật ký tạo tệp sẽ là nơi chúng ta cần tìm kiếm , kiểm tra tệp DiskDrigger.txt bạn sẽ tìm thấy mã MD5.

Q2. What phrase did the suspect search for on 2021-04-29 18:17:38 UTC? (three words, two spaces in between)

• Trong mục Data Artifacts > Web History, bạn sẽ nhận được tất cả thông tin, sắp xếp theo thời gian và bạn sẽ tìm thấy hai URL tại thời điểm được cho: password cracking lists - Google Search.

Q3. What is the IPv4 address of the FTP server the suspect connected to?

• Trong mục Data Artifacts > Installed Programs, ta thấy FileZilla được tải về.
• Dữ liệu ứng dụng nằm tại Users/<Username>/AppData/Roaming(Local)/AppData/. Sự khác biệt chính là dữ liệu roaming sẽ "theo dõi" người dùng còn dữ liệu Local thì không. Thư mục Roaming/FileZilla/ chứa các tệp xml và đặc biệt là recentservers.xml chứa đáp án của chúng ta!

Q4. What date and time was a password list deleted in UTC? (YYYY-MM-DD HH:MM:SS UTC)

• Sử dụng Artifast Window Câu trả lời có thể được tìm thấy trong dữ liệu của Windows Recycle Bin artifact .

Q5. How many times was Tor Browser ran on the suspect’s computer? (number only)

• Tiến hành điều tra các prefetch file được lưu trong Windows\Prefetch và sau đó tìm kiếm thông tin liên qua đến Tor Browser, thấy rằng không có tiến trình nào thực sự liên quán đến Tor Browser mà chỉ có tiến trình liên quan đến Tor Installer được chạy 1 lần, vì vậy đáp án là 0.

Q6. What is the suspect’s email address?

• Sau khi điều tra qua Data Artifacts > Web History, ta thấy có 6 emails.
• Tiếp tục điều tra trong Data Artifacts > Web Form Autofill, ta thấy có 1 username là dreammaker82 giống với 1 trong 6 emails, vì vậy đây chính là emails cần tìm.

Q7. What is the FQDN did the suspect port scan?

• Trong các bước điều tra sơ bộ đầu tiên, ta biết rằng Nmap đã được tải về máy. Vì đây là 1 CLI-tool nên chúng ta có thể kiểm tra lịch sử PowerShell để xem lịch sử khi nào command của Nmap được sử dụng!
• Lịch sử PowerShell được lưu tại Users\John Doe\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

Q8. What country was picture “20210429_152043.jpg” allegedly taken in?

• Ý tưởng ban đầu đơn giản là sử dụng 1 vài tool cơ bản để kiểm tra metadata của ảnh nhưng có vẻ như không trả về đáp án. Vì vậy mình lên mạng search 1 vài tool liên quan đến metadata và sử dụng tool này để dump metadata của ảnh và có đc đáp án!

Q9. What is the parent folder name picture “20210429_151535.jpg” was in before the suspect copy it to “contact” folder on his desktop?

• Khi xem metadata của tệp trong Autopsy, chúng ta thấy nó được chụp bằng LG Electronics LM-Q725K. Kiểm tra trong USB Device Attached, chúng ta cũng thấy thiết bị này: LG Electronics, Inc. LM-X420xxx/G2/G3 Android Phone (chế độ MTP/tải xuống).
• Sau 1 thời gian research, biết được nhiều máy ảnh lưu ảnh trong thư mục DCIM hoặc một thư mục con của nó.Nếu tìm kiếm DCIM, chúng ta sẽ thấy một dữ liệu Shell Bags liên quan đến bức ảnh này: My Computer\LG Q7\Internal storage\DCIM\Camera.

Q10. A Windows password hashes for an account are below. What is the user’s password?

• Câu này thì đơn giản là dùng các tool cơ bản như Hashcat hoặc dùng tool online đều sẽ cho ra đáp án!

Q11. What is the user “John Doe’s” Windows login password?

• Autopsy có một mục dành cho Operating System User Accounts, nơi chúng ta có thể tìm thấy John Doe. Chúng ta có thể thấy dữ liệu được tìm thấy từ tệp SAM, /Windows/System32/config/SAM.
• Sử dụng Mimikatz, ta có đc hash NTLM của John Doe. Vứt vào Hashcat hoặc bất kì tool nào khác để có đáp án.