文章总结： 本文详细介绍了2025美亚杯团体赛NAS部分的解题过程，包括如何从群晖NAS系统盘中提取关键信息，如操作系统版本号72806、共享文件夹ITPromotionMansonMeeting、认证失败记录、设备序列号20A0SZRA8LYND等，并分析了特定日期的删除操作和投资方案，展示了NAS取证分析的完整流程和方法。 综合评分： 86 文章分类： 应急响应,网络安全,安全运营,数据安全,取证分析

2025美亚杯团体赛NAS部分

LVV攻防取证

2025年11月22日 12:54 湖南

以下文章来源于豆浆机安全 ，作者高能量豆浆机

豆浆机安全 .

豆浆机的网安之路

检材密码：

ZgxQaeiAUe3nrnZ9zEnI3nAxuPIrIPl9

NAS

请列出这个网络存储服务器(NAS)操作系统内部版本号？

群晖，不仅要导出生成的RAID逻辑盘，还要导出”系统盘” 分别导出为system.dsk和manson.dsk 在system.dsk的etc目录下面的 synoinfo.conf 里面 但是在/.syno/patch/VERSION文件里面：

答案：72806

请指出这个网络存储服务器(NAS)哪些文件夹被设置为共享？

比赛的时候我是看的manson.dsk的文件结构 @eadir文件夹是群晖 DSM 系统自动创建的隐藏文件夹，用于存储文件索引信息和元数据，类似于 Windows 的 Thumbs.db 或 macOS 的.DS_Store 文件 如果想查看我们想要的信息，一个可行的思路是，大部分nas通过smb服务(samba)来提供文件共享服务的，所以去查看smb.conf 但是能找到的所有smb.conf里面都没有相关记录

最后在/usr/syno/etc/sharesnap/sharesnap.conf 以及/usr/syno/etc/share_right.map 一共四个 答案：IT、Promotion、Manson、Meeting

请列出这个网络存储服务器(NAS)共设立了多少个已启用资料回收站的共享文件夹？

同样的查看share_right.map 只有Manson的这里是yes

答案：1

该网络存储服务器(NAS)共有多少个「使用者」账户？

还是在system.dsk，/etc/synouser.conf 另一种说法是看/etc/passwd 我个人认为不严谨

答案：4

该网络存储服务器(NAS) 共有多少次认证失败的登录请求？

/var/log/synolog/.SYNOCONNDB msg列过滤failed关键词 答案：5

2025年4月28日0000时 至2359时（UTC+8）共有多少次认证失败登录请求？

答案：4

这些失败登录请求来自哪一个网络地址(IPv4 / IPv6)?

答案：10.213.45.12

这个设备的唯一序列号是什么？

我当时以为是登录失败的用户的序列号…… 群晖唯一序列号 在/etc/synoinfo.conf，搜serial或者SN（serial number） 答案：20A0SZRA8LYND

根据系统日志文件显示在2025年4月28日0000时至2359时(UTC+8)期间，有多少个删除的操作？

在manson.dsk的/@syno/@database/synolog/.SMBXFERDB里面 如果采用理论AFP协议，还要看一下.AFPXFERDB 4月28号是时间戳17458开头的 答案：6

根据上一题，以下哪一个是其中一个被删除的文件的文件名称

A.sp57734.exe B.sp56735.exe C.sp55736.exe D.sp54737.exe

答案：A

根据上一题，根据系统日志文件，作出这个删除要求的设备与这个网络存储服务器(NAS)是否属于同一个子网？

做出删除操作的是Hayson 登录时间在5月9日17点左右 都是在192.168.20.100这个IP登录的 对比/etc/sysconfig/network-scripts/ifcfg-eth0里面的记录

答案：否

根据《Manson Investment Strategy for the Second Half of 2025》，具体投资方案是？

A.Crypto Diversified Fund B.Growth AccelerAtor Fund C.Liquidity Fortress Fund D.Recession Buffer Fund

在/@syno/Manson/Notice/Investment notice – 2025-07-01.pdf：

答案：D