SmartyPants
QA
| Q | A |
|---|---|
| 攻擊者於 2025 年 1 月 24 日透過 RDP 登入 Dutch 的主機時間戳? | 2025-01-24 18:42:17 |
| 攻擊者下載並安裝的第一個工具是什麼? | WinRAR.exe |
| 攻擊者下載並執行的便攜式搜尋工具的完整路徑是什麼? | C:\Users\Dutch\Downloads\Everything.exe |
| 該工具的執行時間是什麼? | 2025-01-24 10:17:33 |
| 攻擊者取得並洩露的第一份機密文件是什麼? | C:\Users\Dutch\Documents\2025- Board of directors Documents\Ministry Of Defense Audit.pdf |
| 第二份被盜的機密文件名稱與路徑是什麼? | C:\Users\Dutch\Documents\2025- Board of directors Documents\2025-BUDGET-ALLOCATION-CONFIDENTIAL.pdf |
| 攻擊者用來竊取與外傳文件的雲端工具名稱是什麼? | MEGAsync |
| 該雲端工具的執行時間是什麼? | 2025-01-24 10:22:19 |
| 攻擊者用來銷毀本機資料使其無法恢復的工具名稱是什麼? | File Shredder |
| 安全日誌(Security Log)是何時被清除的? | 2025-01-24 10:28:41 |
git clone https://github.com/vavarachen/evtx2json
pip install --user --requirement requirements.txt
$ python evtx2json.py process_files --files /tmp/Logs/*.evtx &> res
TASK1:RemoteConnectionManager
2025-01-24 10:15:14
TASK2:SmartScreen
SmartScreen 是 Microsoft Windows 內建的一項安全防護技術,主要目的就是幫助你防止下載惡意軟體或造訪惡意網站。它是一種「基於雲端的應用評估機制」。
WinRAR
TASK3:Everything.exe
Everything.exe 是一款極速、免費的 Windows 文件搜尋工具,它能在幾秒內建立整個硬碟的檔名索引,並提供即時的搜尋結果。與傳統搜尋相比,Everything 不搜尋檔案內容,只針對檔名與路徑進行操作,因此搜尋速度極快、系統資源佔用極低,適合用於快速定位檔案、配合數位取證、或日常文件管理。
C:\Users\Dutch\Downloads\Everything.exe
TASK4
2025-01-24 10:17:33
TASK5
C:\Users\Dutch\Documents\2025- Board of directors Documents\Ministry Of Defense Audit.pdf
TASK6
C:\Users\Dutch\Documents\2025- Board of directors Documents\2025-BUDGET-ALLOCATION-CONFIDENTIAL.pdf
TASK7:MEGAsync
MEGAsync 是由雲端儲存服務 MEGA 推出的同步工具,能夠自動將使用者電腦上的指定資料夾與 MEGA 雲端帳號保持同步,支援端對端加密,保護資料隱私,同時提供跨平台支援,適用於 Windows、macOS 及 Linux,方便用戶隨時隨地安全存取和備份文件。
MEGAsync
TASK8
2025-01-24 10:22:19
TASK9:File Shredder
File Shredder 是一款安全刪除工具,透過覆寫原始數據(例如使用 DoD 5220.22-M、Gutmann 等算法)來徹底銷毀文件,使其無法被恢復,廣泛用於隱私保護與數位痕跡清除,適合在刪除敏感或機密資訊時使用。
File Shredder
TASK10:LogFileCleared
搜索關鍵詞:
Event ID 1102
Cleared
Security log was cleared
“The audit log was cleared”
“Security Event Log Cleared”
2025-01-24 10:28:41