DEO Tools

AI-assisted lead objects

GenAI Evidence Search Worksheet

Practice using GenAI to search and analyze electronic evidence while requiring every generated lead to resolve back to a verifiable object and source.

Email objectNetwork objectMetadata objectPublic-source objectPromptFinding
DEO lens: this web tool is presented as object work. Lithuanian worksheet interface. Back to the catalogue.

GenAI ir elektroniniai įrodymai

Generatyvinio dirbtinio intelekto taikymas elektroninių įrodymų paieškai ir analizei
Praktinis darbas · GEN-2 modulis
Sudėtingumas yra vidutinis

Tiriamas atvejis

2026 m. kovo mėn. Lietuvos įmonė „NordTech Solutions" (fiktyvus pavadinimas) pranešė apie masinę phishing ataką, kurios metu darbuotojai gavo suklastotus el. laiškus, imituojančius „Microsoft 365" administravimo pranešimus. Vienas darbuotojas paspaudė nuorodą ir įvedė savo prisijungimo duomenis, po ko buvo pastebėtas neįprastas tinklo srautas iš įmonės vidaus tinklo į išorinius serverius. Be to, viešojoje erdvėje (socialiniuose tinkluose) buvo aptiktos nuotraukos su paslėptais metaduomenimis, kurios gali būti susijusios su nusikalstama grupe.

Jūsų užduotis: Panaudojant GenAI modelius (ChatGPT, Claude, ar kt.), išanalizuoti 4 skirtingus įrodymų šaltinius, identifikuoti elektroninius įkalčius ir pateikti radinių santrauką. Kiekvienam šaltiniui reikia suformuluoti DI nurodą (prompt) ir rasti paslėptus įrodymus.

Etikos principai: Visi pateikti duomenys yra fiktyviniai, sukurti tik mokymo tikslais. Naudojant GenAI tyrimo tikslais, būtina užtikrinti įrodymų vientisumą ir konfidencialumą. DI generuotas turinys turi būti verifikuotas ir naudojamas tik kaip pagalbinė priemonė.

Įrodymų šaltiniai – 4 sritys

1

El. paštas – 3 el. laiškai su pilnomis antraštėmis. Reikia nustatyti siuntėją, maršrutą, klastojimo požymius.

2

Tinklo srautas – CSV tinklo srauto fragmentas. Reikia identifikuoti C2 serverį ir anomalijas.

3

Nuotraukos – 2 vaizdai su paslėptais metaduomenimis (EXIF / komentarais).

4

Viešoji erdvė – Domeno WHOIS ir DNS duomenys, susiję su phishing infrastruktūra.

Šaltinis 1 – Elektroninio pašto laiškai

Žemiau pateikti 3 el. laiškai su pilnomis antraštėmis. Naudokite GenAI, kad išanalizuotumėte antraštes, nustatytumėte siuntėją, maršrutą ir autentifikavimo rezultatus. Atsisiųskite .eml failus ir įkelkite juos į GenAI modelį analizei.

Laiškas #1 – Phishing
Laiškas #2 – Atsakymas
Laiškas #3 – C2 pranešimas
EML #1 – phishing_alert.eml Return-Path: <bounce-srv@m1cr0soft-secure.xyz> Received: from mx-guard.nordtech.lt (mx-guard.nordtech.lt [88.119.42.15]) by mail01.nordtech.lt (Postfix) with ESMTPS id 4F8B2C1A03 for <j.kazlauskas@nordtech.lt>; Mon, 09 Mar 2026 08:47:23 +0200 (EET) Received: from out-relay.m1cr0soft-secure.xyz (unknown [185.234.72.19]) by mx-guard.nordtech.lt (Postfix) with ESMTP id 3D91AA7E01; Mon, 09 Mar 2026 08:47:21 +0200 (EET) Received: from mail-node03.vps-cheaphost.ru (mail-node03.vps-cheaphost.ru [91.215.85.141]) by out-relay.m1cr0soft-secure.xyz (Exim 4.96) with ESMTPS id 1pRt4x-0003AB-1Q; Mon, 09 Mar 2026 06:47:18 +0000 DKIM-Signature: v=1; a=rsa-sha256; d=m1cr0soft-secure.xyz; s=sel2026; h=from:to:subject:date:message-id; bh=a3f7x9Qz2vK8mNpL1wRtYu4iO6sE=; b=kJ9mNx2pL7qRsT4vW8yAzBcDfGhI0jKlMnOpQrStUvWxYz1234567890abcdef== Authentication-Results: mx-guard.nordtech.lt; spf=softfail (domain m1cr0soft-secure.xyz does not designate 91.215.85.141 as permitted sender); dkim=pass header.d=m1cr0soft-secure.xyz; dmarc=fail (p=none; dis=none) header.from=m1cr0soft-secure.xyz X-Spam-Score: 7.8 X-Spam-Status: Yes, score=7.8 required=5.0 X-Mailer: PhishKit-Pro/3.2.1 X-Originating-IP: 91.215.85.141 From: "Microsoft 365 Security Team" <security-alert@m1cr0soft-secure.xyz> To: j.kazlauskas@nordtech.lt Reply-To: helpdesk-verify@proton.me Subject: =?UTF-8?B?4pqg77iPIFNrdWJpIHBlcsW+acWrcsSXdGkgc2F2byBwYXNreXLEhQ==?= Date: Mon, 09 Mar 2026 06:47:15 +0000 Message-ID: <ctf2026-phish-001@m1cr0soft-secure.xyz> MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="----=_Part_77301_CTF2026" ------=_Part_77301_CTF2026 Content-Type: text/plain; charset="UTF-8" Content-Transfer-Encoding: quoted-printable Gerbiamas NordTech naudotojau, Pasteb=C4=97jome =C4=AFtartin=C4=85 prisijungim=C4=85 prie J=C5=ABs=C5=B3 Microsoft 365 paskyros i=C5=A1 nepa=C5=BEi=C5=ABstamo =C4=AFrenginio (IP: 194.87.236.14, lokacija: Maskva, RU). D=C4=97l saugumo pra=C5=A1ome per 24 val. patvirtinti savo tapatyb=C4=99 paspaud=C4=99 =C5=BEemiau esan=C4=8Di=C4=85 nuorod=C4=85: https://m1cr0soft-secure.xyz/verify?token=aHR0cHM6Ly9ub3JkdGVjaC5sdC9sb2dpbg==&uid=jkazlauskas Jei to nepadarysite, paskyra bus u=C5=BEblokuota. Prane=C5=A1imas sugeneruotas automatizuotai. Microsoft 365 apsaugos komanda ------=_Part_77301_CTF2026 Content-Type: text/html; charset="UTF-8" Content-Transfer-Encoding: quoted-printable <html><body style=3D"font-family:Segoe UI,sans-serif;background:#f4f4f4;padding:20px"> <div style=3D"max-width:600px;margin:auto;background:#fff;border-radius:8px;padding:30px"> <img src=3D"https://m1cr0soft-secure.xyz/img/ms-logo.png" width=3D"180"> <h2 style=3D"color:#0078d4">=E2=9A=A0=EF=B8=8F Saugumo =C4=AFsp=C4=97jimas</h2> <p>Pasteb=C4=97tas =C4=AFtartinas prisijungimas i=C5=A1 <b>194.87.236.14 (Maskva, RU)</b>.</p> <a href=3D"https://m1cr0soft-secure.xyz/verify?token=3DaHR0cHM6Ly9ub3JkdGVjaC5sdC9sb2dpbg=3D=3D&uid=3Djkazlauskas" style=3D"display:inline-block;background:#0078d4;color:#fff;padding:12px 32px;border-radius:6px;text-decoration:none;font-weight:600"> Patvirtinti tapatyb=C4=99</a> <p style=3D"color:#999;font-size:12px;margin-top:20px">=C2=A9 2026 Microsoft Corporation. Ref: CTF-NRD-20260309</p> </div></body></html> ------=_Part_77301_CTF2026--
EML #2 – reply_internal.eml Return-Path: <j.kazlauskas@nordtech.lt> Received: from mail01.nordtech.lt (mail01.nordtech.lt [88.119.42.16]) by mx-guard.nordtech.lt (Postfix) with ESMTPS id 7A3BC2D105 for <it-admin@nordtech.lt>; Mon, 09 Mar 2026 09:15:44 +0200 (EET) Authentication-Results: mx-guard.nordtech.lt; spf=pass (sender IP 88.119.42.16 is permitted by nordtech.lt); dkim=pass header.d=nordtech.lt; dmarc=pass header.from=nordtech.lt From: "Jonas Kazlauskas" <j.kazlauskas@nordtech.lt> To: it-admin@nordtech.lt Subject: =?UTF-8?B?UGVyc2l1bnTEhyBwcmFuZcWhaW3EhSBpxaEgTWljcm9zb2Z0?= Date: Mon, 09 Mar 2026 09:15:40 +0200 Message-ID: <20260309091540.GA12345@nordtech.lt> In-Reply-To: <ctf2026-phish-001@m1cr0soft-secure.xyz> References: <ctf2026-phish-001@m1cr0soft-secure.xyz> MIME-Version: 1.0 Content-Type: text/plain; charset="UTF-8" Sveiki, Gavau pranešimą iš Microsoft saugumo komandos apie įtartiną prisijungimą prie mano paskyros. Kadangi norėjau apsaugoti paskyrą, paspaudžiau nuorodą ir įvedžiau savo prisijungimo duomenis. Dabar pastebiu, kad mano Outlook programa siunčia el. laiškus automatiškai ir pasirodė keista programa „svchost-update.exe" užduočių tvarkytuvėje. Prašau patikrinti, ar mano paskyra nebuvo kompromituota. Jonas Kazlauskas Finansų skyrius NordTech Solutions, UAB Tel. +370 600 12345
EML #3 – exfil_beacon.eml Return-Path: <noreply@update-srv-cdn.top> Received: from mail01.nordtech.lt (mail01.nordtech.lt [88.119.42.16]) by mx-guard.nordtech.lt (Postfix) with ESMTPS id 9C4FD3E207 for <j.kazlauskas@nordtech.lt>; Mon, 09 Mar 2026 11:32:08 +0200 (EET) Received: from cdn-node7.update-srv-cdn.top (unknown [45.133.216.88]) by mail01.nordtech.lt (Postfix) with ESMTP id 8B12E1F403; Mon, 09 Mar 2026 11:32:05 +0200 (EET) Received: from localhost (unknown [127.0.0.1]) by cdn-node7.update-srv-cdn.top (Postfix) with SMTP id 5A901CF; Mon, 09 Mar 2026 09:32:02 +0000 Authentication-Results: mx-guard.nordtech.lt; spf=fail (domain update-srv-cdn.top does not have SPF record); dkim=none; dmarc=fail (p=none) header.from=update-srv-cdn.top X-Spam-Score: 9.2 X-Spam-Status: Yes, score=9.2 required=5.0 X-Priority: 1 X-CTF-Hidden: c2_beacon_detected From: "System Update Service" <noreply@update-srv-cdn.top> To: j.kazlauskas@nordtech.lt Subject: Scheduled maintenance notification REF-CTF2026-EX Date: Mon, 09 Mar 2026 09:32:00 +0000 Message-ID: <beacon-20260309-ex77@update-srv-cdn.top> MIME-Version: 1.0 Content-Type: text/plain; charset="UTF-8" SYS_UPDATE_CHECK: OK BEACON_ID: NRD-JK-2026030911 EXFIL_STATUS: STAGE2_COMPLETE NEXT_CALLBACK: 45.133.216.88:8443 PAYLOAD_HASH: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 DATA_VOLUME: 247MB WALLET: bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh --- This message was generated automatically by update-srv-cdn.top maintenance system. Do not reply to this email.

Šaltinis 2 – Tinklo srauto analizė (CSV)

Pateiktas tinklo srauto fragmentas CSV formatu, išgautas iš .pcap failo naudojant Wireshark. Įkelkite CSV duomenis į GenAI ir suformuluokite nurodą duomenų analizei.

network_capture_20260309.csv No.,Time,Source,Destination,Protocol,Length,Info 1,2026-03-09 08:45:12,192.168.1.105,88.119.42.15,TCP,66,49821 443 [SYN] 2,2026-03-09 08:45:12,88.119.42.15,192.168.1.105,TCP,66,443 49821 [SYN ACK] 3,2026-03-09 08:47:25,192.168.1.105,185.234.72.19,TCP,66,50112 443 [SYN] 4,2026-03-09 08:47:25,185.234.72.19,192.168.1.105,TCP,66,443 50112 [SYN ACK] 5,2026-03-09 08:47:26,192.168.1.105,185.234.72.19,TLSv1.2,583,"Client Hello SNI=m1cr0soft-secure.xyz" 6,2026-03-09 08:47:27,185.234.72.19,192.168.1.105,TLSv1.2,1247,Server Hello Certificate 7,2026-03-09 08:48:03,192.168.1.105,185.234.72.19,HTTP,412,"POST /verify?token=aHR0cHM6... HTTP/1.1" 8,2026-03-09 08:48:04,185.234.72.19,192.168.1.105,HTTP,198,"HTTP/1.1 302 Found Location: /success" 9,2026-03-09 09:02:15,192.168.1.105,8.8.8.8,DNS,74,"Standard query A update-srv-cdn.top" 10,2026-03-09 09:02:15,8.8.8.8,192.168.1.105,DNS,106,"Standard query response A 45.133.216.88" 11,2026-03-09 09:02:17,192.168.1.105,45.133.216.88,TCP,66,51200 8443 [SYN] 12,2026-03-09 09:02:17,45.133.216.88,192.168.1.105,TCP,66,8443 51200 [SYN ACK] 13,2026-03-09 09:02:18,192.168.1.105,45.133.216.88,TLSv1.3,517,Client Hello 14,2026-03-09 09:05:00,192.168.1.105,45.133.216.88,TLSv1.3,8240,Application Data [encrypted] 15,2026-03-09 09:10:00,192.168.1.105,45.133.216.88,TLSv1.3,8240,Application Data [encrypted] 16,2026-03-09 09:15:00,192.168.1.105,45.133.216.88,TLSv1.3,8240,Application Data [encrypted] 17,2026-03-09 09:20:00,192.168.1.105,45.133.216.88,TLSv1.3,8240,Application Data [encrypted] 18,2026-03-09 09:25:00,192.168.1.105,45.133.216.88,TLSv1.3,8240,Application Data [encrypted] 19,2026-03-09 09:30:01,192.168.1.105,45.133.216.88,TLSv1.3,8240,Application Data [encrypted] 20,2026-03-09 09:35:00,192.168.1.105,45.133.216.88,TLSv1.3,8240,Application Data [encrypted] 21,2026-03-09 09:40:01,192.168.1.105,45.133.216.88,TLSv1.3,4120,Application Data [encrypted] 22,2026-03-09 09:02:16,192.168.1.105,8.8.8.8,DNS,82,"Standard query TXT data-0a1b2c.update-srv-cdn.top" 23,2026-03-09 09:02:45,192.168.1.105,8.8.8.8,DNS,86,"Standard query TXT data-3d4e5f.update-srv-cdn.top" 24,2026-03-09 09:03:12,192.168.1.105,8.8.8.8,DNS,90,"Standard query TXT data-6g7h8i.update-srv-cdn.top" 25,2026-03-09 09:03:40,192.168.1.105,8.8.8.8,DNS,84,"Standard query TXT exfil-j9k0l1.update-srv-cdn.top" 26,2026-03-09 08:46:00,192.168.1.105,13.107.42.14,TCP,66,49900 443 [SYN] 27,2026-03-09 08:46:01,13.107.42.14,192.168.1.105,TCP,66,443 49900 [SYN ACK] 28,2026-03-09 08:46:02,192.168.1.105,13.107.42.14,TLSv1.3,571,"Client Hello SNI=outlook.office365.com" 29,2026-03-09 09:50:00,192.168.1.105,45.133.216.88,TCP,66,51200 8443 [FIN ACK] 30,2026-03-09 10:00:05,192.168.1.105,45.133.216.88,TCP,66,52001 8443 [SYN]

Šaltinis 3 – Nuotraukų metaduomenų analizė

Socialiniuose tinkluose buvo aptiktos 2 nuotraukos, susijusios su tiriama grupe. Nuotraukose yra paslėptų metaduomenų. Atsisiųskite nuotraukas (SVG) ir naudokite GenAI EXIF / metaduomenų analizei.

Nuotrauka A – „Serverių patalpa"

root@c2-srv:~#Connected: 14 botsExfil: 247MB queuedTarget: nordtech.ltWallet: bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlhIMG_20260305_142237.CR3📸 IMG_20260305_142237.CR3

Nuotrauka B – „Darbo vieta"

$ ssh admin@45.133.216.88 -p 8443Password: ********Welcome to C2-Panel v2.4Active sessions: 14admin@c2-srv:~$ _Telegram@darknet_ops+7 916 ***-**-47WiFi: NRD-GuestPass: Phish2026!VPN: 91.215.85.0/24BTC: bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh20260307_231805.HEIC📸 20260307_231805.HEIC

Šaltinis 4 – Viešosios erdvės analizė (WHOIS / DNS)

Atlikus pradinę analizę, identifikuoti 2 įtartini domenai. Žemiau pateikti jų WHOIS ir DNS duomenys.

m1cr0soft-secure.xyz
update-srv-cdn.top
WHOIS + DNS═══ WHOIS: m1cr0soft-secure.xyz ═══ Domain Name: m1cr0soft-secure.xyz Registry Domain ID: D402200000099876543-CNIC Registrar: NameSilo, LLC Registrar URL: https://www.namesilo.com Creation Date: 2026-02-28T12:00:00Z Expiration Date: 2027-02-28T12:00:00Z Updated Date: 2026-02-28T12:05:00Z Registrant Name: REDACTED FOR PRIVACY Registrant Organization: PrivacyGuardian.org Registrant Country: PA Name Server: ns1.vps-cheaphost.ru Name Server: ns2.vps-cheaphost.ru DNSSEC: unsigned ═══ DNS Records ═══ A m1cr0soft-secure.xyz 185.234.72.19 (TTL: 300) A m1cr0soft-secure.xyz 91.215.85.141 (TTL: 300) MX m1cr0soft-secure.xyz mail-node03.vps-cheaphost.ru (priority: 10) TXT m1cr0soft-secure.xyz "v=spf1 +all" NS m1cr0soft-secure.xyz ns1.vps-cheaphost.ru NS m1cr0soft-secure.xyz ns2.vps-cheaphost.ru ═══ Pastebėjimai ═══ • Domenas registruotas 2026-02-28 (9 dienos prieš ataką!) • SPF įrašas „v=spf1 +all" leidžia BET KAM siųsti laiškus šio domeno vardu • Vardų serveriai Rusijoje (vps-cheaphost.ru) • WHOIS duomenys paslėpti per Panamos privatumo tarnybą • Domeno pavadinimas imituoja „microsoft" pakeičiant raides skaičiais (typosquatting)
WHOIS + DNS═══ WHOIS: update-srv-cdn.top ═══ Domain Name: update-srv-cdn.top Registry Domain ID: D7830000000987654-CNIC Registrar: Porkbun LLC Registrar URL: https://porkbun.com Creation Date: 2026-01-15T08:30:00Z Expiration Date: 2027-01-15T08:30:00Z Updated Date: 2026-03-01T14:20:00Z Registrant Name: Viktor S. Registrant Organization: Registrant Street: ul. Lenina 42 Registrant City: Saint Petersburg Registrant State/Province: SPB Registrant Country: RU Registrant Email: v.sokolov_ops@proton.me Name Server: ns1.bulletproof-hosting.cc Name Server: ns2.bulletproof-hosting.cc DNSSEC: unsigned ═══ DNS Records ═══ A update-srv-cdn.top 45.133.216.88 (TTL: 60) A cdn-node7.update-srv-cdn.top 45.133.216.88 (TTL: 60) MX update-srv-cdn.top (none) TXT update-srv-cdn.top (none — no SPF!) NS update-srv-cdn.top ns1.bulletproof-hosting.cc NS update-srv-cdn.top ns2.bulletproof-hosting.cc TXT data-0a1b2c.update-srv-cdn.top "SGVsbG8gZnJvbSBDMiBzZXJ2ZXI=" TXT exfil-j9k0l1.update-srv-cdn.top "ZG5zX3R1bm5lbGluZ19kZXRlY3RlZA==" ═══ Pastebėjimai ═══ • C2 serverio domenas, registrantas – Viktor S. (v.sokolov_ops@proton.me) • Fizinis adresas: Sankt Peterburgas, Rusija • DNS TXT įrašuose yra Base64 koduoti duomenys (DNS tunneling!) • TTL=60 sek. – labai trumpas, tipiškas C2 infrastruktūrai (fast-flux) • „Bulletproof hosting" – hosting, kuris ignoruoja piktnaudžiavimo skundus • Sutampa su nuotraukos A autoriaus vardu (V.Sokolov)

GenAI nurodų (prompt) kūrimas – rekomendacijos

Efektyviam tyrimui su GenAI svarbu tinkamai suformuluoti nurodas. Žemiau pateikiami universalūs šablonai.

Nuroda el. pašto antraštės analizei
Esi skaitmeninės kriminalistikos ekspertas. Išanalizuok pateiktą el. laiško antraštę (header). Nustatyk ir pateik lentelės formatu: 1. Siuntėjo el. pašto adresą (From) ir tikrąjį techninį adresą (Return-Path) 2. Visus IP adresus iš Received laukų, nurodydamas kiekvieno serverio pavadinimą 3. SPF, DKIM ir DMARC patikrų rezultatus 4. Reply-To adresą – ar jis sutampa su From? 5. X-Mailer arba kitus nestandartinius antraštės laukus 6. Laiko žymas ir laiko juostų neatitikimus 7. Message-ID struktūrą – ar ji atitinka deklaruojamą domeną? Pateik išvadą: ar laiškas autentiškas, ar suklastotas? Kokius klastojimo požymius aptikai?
Nuroda tinklo srauto CSV analizei
Esi tinklo saugumo analitikas. Išanalizuok pateiktą tinklo srauto CSV failą. Atlik šiuos veiksmus: 1. Suskaičiuok unikalius IP adresus ir suskirstyk juos į vidinius (RFC1918) ir išorinius 2. Nustatyk dažniausiai bendraujančias IP poras ir protokolus 3. Identifikuok DNS užklausas – ar yra neįprastų subdomenų (DNS tunneling požymiai)? 4. Surask periodinius (reguliaraus intervalo) ryšius – tai gali būti C2 beacon 5. Nustatyk duomenų eksfiltriacijos požymius (dideli Application Data paketai) 6. Kiekvieno išorinio IP adresui pateik rekomendacijas dėl patikrinimo WHOIS/AbuseIPDB Rezultatus pateik lentelėse, o išvadas – struktūriškai.
Nuroda nuotraukų metaduomenų analizei
Esi skaitmeninės kriminalistikos ekspertas. Išanalizuok pateikto failo metaduomenis. Nustatyk: 1. EXIF duomenis: fotoaparato modelį, programinę įrangą, datą ir laiką 2. GPS koordinates (jei yra) – nurodyk tikslią vietovę 3. Autoriaus informaciją (Artist, Copyright laukai) 4. Visus komentarus ir paslėptus laukus (UserComment, XPKeywords) 5. Ar failas buvo redaguotas (Software laukas, redagavimo požymiai)? 6. Vizualius elementus nuotraukoje, kurie gali turėti įrodomąją vertę Pateik radinių santrauką kriminalistine prasme.
Nuroda koreliacijos tarp šaltinių atlikimui
Esi kibernetinių nusikaltimų tyrėjas. Turiu duomenis iš 4 šaltinių: 1. El. pašto antraštės (phishing laiškai) 2. Tinklo srauto CSV (PCAP eksportas) 3. Nuotraukų metaduomenys (EXIF) 4. WHOIS/DNS domeno duomenys Atlik koreliaciją tarp šių šaltinių: - Surask bendrus IP adresus, pasikartojančius keliuose šaltiniuose - Nustatyk ryšius tarp asmenų (el. pašto adresai, autoriai, registrantai) - Sudaryk laiko juostą (timeline) nuo atakos planavimo iki įvykdymo - Identifikuok nusikalstamos infrastruktūros elementus (serverius, domenus, pinigines) - Pateik rekomendacijas dėl tolesnių tyrimo žingsnių Sudaryk vientisą tyrimo „naratyvą" su nuorodomis į konkrečius įrodymus.

Rastų įrodymų pateikimas

Išanalizavę visus 4 šaltinius, įveskite rastus įrodymus. Kiekvienas teisingas atsakymas suteikia taškus.

Progresas: 0% · 0 / 100 taškų

El. pašto įrodymai

1. Tikrasis siuntėjo IP (Laiškas #1)
2. Phishing domenas
3. Reply-To adresas (Laiškas #1)
4. X-CTF-Hidden reikšmė (Laiškas #3)

Tinklo srauto įrodymai

5. C2 serverio IP adresas
6. C2 prievado numeris
7. DNS tunneling domenas

Nuotraukų metaduomenų įrodymai

8. Nuotraukos A GPS miestas
9. Nuotraukos A paslėpta Copyright reikšmė
10. Nuotraukos B paslėpta UserComment reikšmė

Viešosios erdvės įrodymai

11. C2 domeno registranto el. paštas
12. DNS TXT Base64 iššifruota reikšmė

Bendra koreliacija

13. BTC piniginės adresas
14. Įtariamojo Telegram vardas

Rizikos naudojant GenAI tyrimams

Konfidencialumas: Nekelkite realių bylos duomenų į viešus GenAI modelius (ChatGPT, Claude) be atitinkamo teisinio pagrindo. Naudokite lokalinius modelius arba specialias saugias aplinkas.

Patikrinimas: GenAI gali „haliucinuoti" – visada patikrinkite DI pateiktus rezultatus naudodami tradicinius įrankius (Wireshark, ExifTool, WHOIS).

Teisinis aspektas: DI analizės rezultatai patys savaime nėra įrodymai. Jie gali būti naudojami kaip pagalbinė priemonė nustatant tyrimo kryptį.

Įrodymų vientisumas: Dokumentuokite kiekvieną GenAI nurodą ir gautą atsakymą. Tai užtikrina tyrimo atkuriamumą ir skaidrumą (chain of custody).

CTF mokymo medžiaga · GenAI ir elektroniniai įrodymai · 2026 m.
Visi pateikti duomenys yra fiktyviniai ir skirti tik mokymosi tikslais.