![2017第三届美亚杯全国电子数据取证大赛团队赛write up,第1张 2017第三届美亚杯全国电子数据取证大赛团队赛write up,第1张](/aiimages/2017%E7%AC%AC%E4%B8%89%E5%B1%8A%E7%BE%8E%E4%BA%9A%E6%9D%AF%E5%85%A8%E5%9B%BD%E7%94%B5%E5%AD%90%E6%95%B0%E6%8D%AE%E5%8F%96%E8%AF%81%E5%A4%A7%E8%B5%9B%E5%9B%A2%E9%98%9F%E8%B5%9Bwrite+up.png)
2017第三届美亚杯全国电子数据取证大赛团队赛write up
本人TEL15543132658 同wechat,欢迎多多交流,wp有不足欢迎大家补充多多探讨!
Questions
Gary被逮捕后,其计算机被没收并送至计算机取证实验室。经调查后,执法机关再逮捕一名疑犯Eric,并检取其家中计算机(window
8), 并而根据其家中计算机纪录,
执法机关再于其他地方取得一台与案有关的服务器,而该服务器内含四个硬盘。该服务器是运行LINU√
系统。
由于事件涉及Windows 7,8, LINUX及Mac
IOS系统,故取证团队有可能需要使用相关系统之取证工具(105题,105分)
E01 Images
| 1 | 被检取作法证检验的LINUX系统,共有四个硬盘,已经分别被制作为四个E01法证镜像文件(Forensic Images),下列哪个不是它们的MD5哈希值(Hash value)? |
---|
A.2e4a6afe6b27188480d1b7b10e576f7c
√B.c961d814f99d45b3f54e8a1d48be8544
C.a88e671fc44940620e77a9342d311133
D.c961d814f23d45b3f54e6a1d48be8544
E.cf5c42018d93c3703f744c646e7f21ae
答案:B. c961d814f99d45b3f54e8a1d48be8544
解答:
| 2 | 上述四个法证镜像文件中,其中有一个法证镜像文件(Forensic Image)内含三个磁盘分区(Partition)。对于第三个(即最后一个)磁盘分区(Partition)而言,下列哪个是其起始磁区(Starting Sector)? |
---|
A.2048
B.1050624
C.51382271
√D.51382272
E.50331648
答案:D. 51382272
解答:
| 3 | 上述磁盘分区(Partition)共占多少磁区(Starting Sector)? |
---|
√A.69924864
B.60058404
C.50331648
D.1048576
E.2048
答案:A. 69924864
解答:
| 4 | 在上述第三个(即最后一个)磁盘分区(Partition)当中,储存了一个名为amons.mark的文件,下列哪项为其MD5哈希值(Hash value) |
---|
A.01daa9fb8d1cc386bffb0c25ff57d7ea
B.64394febb8fb82520164645ade7dbaa0
C.b69894efe2f03d43d95d98856ea21674
D.74c5d7a6500d63a0308f2fc54a03eb0d
√E.43309465540a069357182af1da438a07
答案:E. 43309465540a069357182af1da438a07
解答:
| 5 | 在上述第三个(即最后一个)磁盘分区(Partition)当中,储存了一个名为slackware-13.37-install-dvd.iso的文件,下列哪项为其MD5哈希值(Hash value) |
---|
A.01daa9fb8d1cc386bffb0c25ff57d7ea
√B.64394febb8fb82520164645ade7dbaa0
C.b69894efe2f03d43d95d98856ea21674
D.74c5d7a6500d63a0308f2fc54a03eb0d
E.43309465540a069357182af1da438a07
答案:B. 64394febb8fb82520164645ade7dbaa0
解答:
VM-HD1,2,3
RAID
| 6 | 于上述四个法证镜像文件中,有三个硬盘共同组成一个独立磁盘冗余阵列RAID System。以磁区(sector)计算,该阵列(RAID)大小(size)是多少? |
---|
A.110051100
B.110049052
C.110049053
√D.120049664
E.120049663
答案:D. 120049664
解答:
| 7 | 就该独立磁盘冗余阵列RAID System而言,下列哪项是其建立日期? |
---|
A.2017-09-05 10:06:55
B.2017-09-06 10:06:55
√C.2017-09-07 10:06:55
D.2017-09-08 10:06:55
E.2017-09-08 10:06:55
答案: C. 2017-09-07 10:06:55
解答:
| 8 | 就该独立磁盘冗余阵列RAID System而言,下列哪项是其UUID? |
---|
A.ae891891:ab1261bf:17f4b1e8:c1adaef6
B.ae891891:ac1261bf:27f4b1e8:c1adaef6
√C.ae891891:ad1261bf:37f4b1e8:c1adaef6
D.ae891891:ae1261bf:57f4b1e8:c1adaef6
E.ae891891:af1261bf:67f4b1e8:c1adaef6
答案:C. ae891891:ad1261bf:37f4b1e8:c1adaef6
解答:
| 9 | 就该独立磁盘冗余阵列RAID System而言,是使用了下列哪种阵列配置排列(RAID LAYOUT)? |
---|
√A.left-symmetric
B.right-symmetric
C.pre-Lie algebra
D.rooted tree algebras
E.verte√ algebras
答案:A. left-symmetric
解答:
| 10 | 就该独立磁盘冗余阵列RAID System而言,是使用了下列哪种阵列级别(RAID LEVEL)? |
---|
A.RAID 0
B.RAID 1
√C.RAID 5
D.RAID 6
E.RAID 1 0
答案:C. RAID 5
解答:
LVM
| 11 | 此外,在该独立磁盘冗余阵列RAID System中,内含一个标示为逻辑分卷管理器Logical Volume Manager (LVM) 的磁盘分区(Partition),此分区(Partition)共有多少个磁区(Sector)? |
---|
A.110051100
B.110049052
√C.110049053
D.120049664
E.120049663
答案:C. 110049053
解答:
| 12 | 就上述逻辑分卷管理器Logical Volume Manager (LVM)而言,下列哪个是其仅有的物理卷Physical Volume (PV) UUID ? |
---|
A.l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9
√B.ysHo03-FFL9-0Tfl-zOeO-O7fn-TPz√-2p4mu0
C.UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw
D.eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5Ul
E.UGpPyJ-lSUZ-eGJh-aEKV- OMtA-2y0I-yitBi9
答案:B. ysHo03-FFL9-0Tfl-zOeO-O7fn-TPz√-2p4mu0
解答:
| 13 | 在该物理卷Physical Volume (PV)中,下列哪个是其仅有的卷组 Volume Group (VG) 名称 ? |
---|
A.vol_vm_guests
√B.vol_vm_guest
C.vol_guest
D.lv_vm1
E.lv_vm2
答案:B. vol_vm_guest
解答:
| 14 | 下列哪项是该卷组 Volume Group (VG) UUID ? |
---|
A.l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9
B.ysHo03-FFL9-0Tfl-zOeO-O7fn-TPz√-2p4mu0
C.UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw
√D.eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5Ul
E.UGpPyJ-lSUZ-eGJh-aEKV- OMtA-2y0I-yitBi9
答案:D. eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5Ul
解答:
| 15 | 该卷组 Volume Group (VG)共有多少个LVM物理区域Physical E√tent (PE)? |
---|
A.50
B.3210
C.3456
D.6666
√E.6716
答案:E. 6716
解答:
| 16 | 该卷组Volume Group (VG)共划分了多少个物理区域Physical E√tent (PE)用了配置逻辑卷Logical Volume (LV)? |
---|
A.50
B.3210
C.3456
√D.6666
E.6716
答案:D. 6666
解答:
| 17 | 该卷组Volume Group (VG)还余下多少个物理区域Physical E√tent (PE)未被配置使用? |
---|
√A.50
B.3210
C.3456
D.6666
E.6716
答案:A. 50
解答:
| 18 | 就该卷组Volume Group (VG)而言,每个物理区域Physical E√tent (PE)的大小(size)是多少? |
---|
A.1 MB
B.2 MB
C.4 MB
√D.8 MB
E.16 MB
答案:D. 8 MB
解答:
| 19 | 事实上,该卷组Volume Group (VG) 共配置了两个逻辑卷组Logical Volume (LV),第一个逻辑卷组Logical Volume (LV) UUID是 ? |
---|
√A.l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9
B.ysHo03-FFL9-0Tfl-zOeO-O7fn-TPz√-2p4mu0
C.UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw
D.eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5Ul
E.UGpPyJ-lSUZ-eGJh-aEKV- OMtA-2y0I-yitBi9
答案:A. l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9
解答:
| 20 | 上述第一个逻辑卷组Logical Volume (LV)的名称是什么 ? |
---|
A./dev/loop0
B.vol_vm_guest
C.vol_guest
√D.lv_vm1
E.lv_vm2
答案:D. lv_vm1
解答:
| 21 | 上述第一个逻辑卷组Logical Volume (LV)共占据了多少物理区域Physical E√tent (PE) ? |
---|
A.50
√B.3210
C.3456
D.6666
E.6716
答案:B. 3210
解答:
| 22 | 上述第一个逻辑卷组Logical Volume (LV)的建立时间是什么 ? |
---|
A.2017-09-06 05:02:16 +0800
B.2017-09-07 05:02:16 +0800
√C.2017-09-08 05:02:16 +0800
D.2017-09-09 05:02:16 +0800
E.2017-09-10 05:02:16 +0800
答案:C. 2017-09-08 05:02:16 +0800
解答:
| 23 | 在上述第一个逻辑卷组Logical Volume (LV)当中,储存有一个名为duncan.mark的文件,下列哪项为其MD5哈希值(Hash value)? |
---|
A.01daa9fb8d1cc386bffb0c25ff57d7ea
√B.8da97369e625574d1d8145d49ca9b61c
C.b69894efe2f03d43d95d98856ea21674
D.74c5d7a6500d63a0308f2fc54a03eb0d
E.43309465540a069357182af1da438a07
答案:B. 8da97369e625574d1d8145d49ca9b61c
解答:
| 24 | 在该卷组Volume Group (VG) 共配置了两个逻辑卷组Logical Volume (LV),其中有一个逻辑卷组Logical Volume (LV)是用作运行Ubuntu 系统,该逻辑卷Logical Volume (LV) UUID是 什么? |
---|
A.l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9
B.ysHo03-FFL9-0Tfl-zOeO-O7fn-TPz√-2p4mu0
√C.UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw
D.eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5Ul
E.UGpPyJ-lSUZ-eGJh-aEKV- OMtA-2y0I-yitBi9
答案:C. UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw
解答:
| 25 | 在上述逻辑卷组Logical Volume (LV)当中,储存有一个名为lora.mark的文件,下列哪项为其MD5哈希值(Hash value)? |
---|
A.01daa9fb8d1cc386bffb0c25ff57d7ea
B.8da97369e625574d1d8145d49ca9b61c
C.b69894efe2f03d43d95d98856ea21674
√D.74c5d7a6500d63a0308f2fc54a03eb0d
E.43309465540a069357182af1da438a07
答案:D. 74c5d7a6500d63a0308f2fc54a03eb0d
解答:
3 VM
| 26 | 事实上,上述被检取作法证检验的LINU√系统,曾经运行了三个虚拟机器(Virtual Machine, VM),下列哪项组合包含了上述全部曾运行的虚拟机器? |
---|
iGentoo
iiSlackware
iiiUbuntu
ivAntergos
vCentOS
|
A.(i), (ii) 及 (iii)
B.(i), (iii) 及 (iv)
C.(i), (iii) 及 (v)
√D.(ii), (iii) 及 (v)
E.(i), (iii) 及 (v)
答案:D. (ii), (iii) 及 (v)
解答:
| 27 | 在上述三个虚拟机器(Virtual Machine, VM)当中,其中有一个储存了可用作编程(Coding)的勒索软件源码( Source Code),它是使用了下列哪个本地IP 地址 (Local IP Address) ? |
---|
√A.192.168.122.198
B.192.168.10.10
C192.168.122.214
D.192.168.122.157
E.192.168.122.2
答案:A. 192.168.122.198
解答:
| 28 | 在上述三个虚拟机器(Virtual Machine, VM)当中,其中一个曾经安装并运行过私有云软件,它是使用下列哪个本地IP 地址 (Local IP Address) ? |
---|
A.192.168.122.198
B.192.168.10.10
√C192.168.122.214
D.192.168.122.157
E.192.168.122.2
答案:C. 192.168.122.214
解答:
| 29 | 在上述三个虚拟机器(Virtual Machine, VM)当中,其中一个安装了FTP服务器服务,它是使用下列哪个本地IP 地址 (Local IP Address) ? |
---|
A.192.168.122.198
B.192.168.10.10
C192.168.122.214
√D.192.168.122.157
E.192.168.122.2
答案:D. 192.168.122.157
解答:
VM0
| 30 | 在个人竞赛中,Gary的手提电脑(Win7 OS)发现有勒索程序invoice.e√e。就是次团体竞赛中,于题27中提及过的虚拟机器(Virtual Machine, VM)里,在哪个位置能发现此勒索程序的原始代码? |
---|
A.…/Python-Serverless-Ransomware-master/…
B.…/holy_crypt-1.1/…
C…/setuptools-master/…
√D.…/invoice/…
E.…/ransomware-master/…
答案:D. …/invoice/…
解答:
| 31 | 根据上述勒索程序的原始代码,哪行程序代码显示该程序进行自我复制(Self-replication)? |
---|
A.8
B.70
√C74
D.84
E.119
答案:C.74
解答:
| 32 | 根据上述勒索程序的原始代码,哪行程序代码显示开始进行文件加密(Encryption)? |
---|
√A.8
B.70
C74
D.84
E.119
答案:A. 8
解答:
| 33 | 根据上述勒索程序的原始代码,该程序总共能加密多少类型文件? |
---|
A.19
√B.20
C21
D.22
E.不能加密
答案:B.20
解答:
| 34 | 根据上述勒索程序的原始代码,该程序是使用何种加密标准? |
---|
A.Data Encryption Standard (DES)
√B.Advanced Encryption Standard (AES)
CRSA (Rivest–Shamir–Adleman)
D.Twofish
E.Blowfish
答案:B. Advanced Encryption Standard (AES)
解答:
| 35 | 根据上述勒索程序的原始代码,哪行程序代码显示连接指挥及控制(Command & Control, C&C)服务器。 |
---|
A.2
B.70
C74
D.84
√E.119
答案:E.119
解答:
VM1
| 36 | 于题28中提及过的虚拟机器(Virtual Machine, VM)曾经运行过一个私有云软件,提供私有云服务,并储存有一个于2017年 10月30日建立的PCAP文件,下列哪个是其MD5哈希值(Hash value)? |
---|
√A.36a179aebadcd697e11bf0bbad7c4d8a
B.88ac535e35792b72efd768c2f8c11f94
C9e4bf671e1d44da9e085c4c790116e59
D.0ac9f639679361708832c77950f93be2
E.1b385451a788a825673c31862566e0a5
答案:A. 36a179aebadcd697e11bf0bbad7c4d8a
解答:
| 37 | 运行在此虚拟机器(Virtual Machine, VM)的私有云软件,根据其设定,下列哪项是其对外连结的URL? |
---|
A.http://mantech.mood.com:8000
√B.http://mantech.mooo.com:8000
Chttp://mantech.mooo.com:8080
D.http://mantech.mooo.com:8088
E.http://mantech.mooe.com:8000
答案:B. http://mantech.mooo.com:8000
解答:
| 38 | 此私有云软件,会使用内置RPC框架(Internal RPC framework),其ID是什么? [注: RPC – 远端过程调用 (Remote Procedure Call) ] |
---|
A.f3e6015c708ef841013094b83689adc97573
B.1318f3e6015d708ef841013094b84689adc97573
√C1318f3e6015e708ef841013094b85689adc97573
D.1318f3e6015f708ef841013094b95689adc97573
E.1318f3e6015g708ef841013094b05689adc97573
答案:C. 1318f3e6015e708ef841013094b85689adc97573
解答:
| 39 | 此虚拟机器(Virtual Machine, VM)中的私有云软件,会连接上一个本地MySQL 数据库,登入密码是什么? |
---|
A.f0123
√B.f1234
Cf1334
D.f1134
E.f2345
答案:B. f12345
解答:
| 40 | 在上述运行私有云软件的虚拟机器(Virtual Machine, VM)中,遗留了一个以日期为文件名称的PCAP文件,它共记录了多少个数据包(Packet)? |
---|
√A.85193
B.85194
C.85195
D.85196
E.85197
答案:A. 85193
解答:
| 41 | 上述PCAP文件共占据了多少时间? |
---|
A.14分47秒
√B.14分57秒
C.15分37秒
D.15分47秒
E.15分57秒
答案:B.14分57秒
解答:
| 42 | 上述PCAP文件记录了多少个公共IP地址(Public IP) ? |
---|
A.3
B.4
C.5
√D.6
E.7
答案:D.6
解答:
| 43 | 根据上述PCAP文件,总流量值最高的公共IP地址是哪个? |
---|
A.14.0.229.190
√B.49.130.131.245
C.118.140.184.98
D.37.218.240.198
E.37.218.240.199
答案:B.49.130.131.245
解答:
| 44 | 根据上述PCAP文件,最高下载流量的公共IP地址是哪个? |
---|
√A.14.0.229.190
B.49.130.131.245
C.118.140.184.98
D.37.218.240.198
E.37.218.240.199
答案:A. 14.0.229.190
解答:
| 45 | 根据调查得知,上述PCAP文件是前文提及的私有云软件尚在运作时的上传/下载资料记录。当中记录了Gary曾于该私有云浏览与案有关的q械照片,共有三张(不计缩略图)。请按时间顺序,找出其MD5哈希值。 第一张q械照片的MD5哈希值是什么? |
---|
A.89c68c45a7e4d10f409cf2764fd44c33
B.d291d1da748ce7fb4ba408a6bbbcb222
√C.37088010ef0f8730c0f8600653b1fca2
D.9fd7afbdb5d682525509b3b57f4c0c91
E.003bc4bfbd364bd447648ea36cd1c514
答案:C. 37088010ef0f8730c0f8600653b1fca2
解答:
| 46 | 第二张q械照片的MD5哈希值是什么? |
---|
√A.0585b1c1d2e132e32ce3928be2b60d6a
B.e9a21071a5df65d43ea2a75fab51279e
C.5a078264ecd55918308a3164eefee7f3
D.a9c2962d2e0f31b067ae1b1d04ec9d94
E.b9b039a8aed7132cc9630788f9d698f2
答案:A. 0585b1c1d2e132e32ce3928be2b60d6a
解答:
| 47 | 第三张q械照片的MD5哈希值是什么? |
---|
A.b23d4610b0012ac47cb0f60bae8ee0a7
B.7c1bf67df7aab0db10c68f9646e9a674
C.bdbb0f0915790aa718d6837025ecf269
√D.f94398336683d9878f9ea7598f2e40dd
E.e533c315c7000ad15227a2670f606334
答案:D. f94398336683d9878f9ea7598f2e40dd
解答:
| 48 | 上述q械照片是经下列哪个浏览器软件浏览的? |
---|
A.Chrome
B.QQ Browser
C.Internet Explorer
√D.Firefox
E.Opera
答案:D. Firefox
解答:
VM2
| 49 | 在题29中提及过的虚拟机器(Virtual Machine, VM),曾安装并提供过FTP服务,请问是下列哪种FTP? |
---|
√A.vsftp
B.gftp
CWinScp
D.ProFTP
E.Fire-FTP
答案:A. vsftp
解答:
| 50 | 根据该FTP服务器的日志,只记录了一个公共地址IP曾上传(UPLOAP)过资料,是下列哪个? |
---|
A.125.203.195.185
B.14.0.226.51
C.192.168.1.57
√D.210.3.88.181
E.45.64.240.68
答案:D. 210.3.88.181
解答:
| 51 | 根据该FTP服务器的日志,用户warrior曾上传过哪些资料? Desert.jpg 6cd5c528b5f00233ba7e0ba154de0309.jpg Koala.jpg invoice.e√e invoice.02.e√e |
---|
A.i
B.i, ii
C.i, ii, iv
√D.ii,iv, v
E.i, iii, iv, v
答案:D. ii,iv, v
解答:
| 52 | 根据该FTP服务器的日志,用户warrior第一次上传的时间为: |
---|
A.2017-10-27 11:51:38 (UTC)
B.2017-10-28 03:35:51 (UTC)
C.2017-10-28 09:44:28 (UTC)
√D.2017-10-28 03:33:22 (UTC)
E.2017-10-3102:01:30 (UTC)
答案:D. 2017-10-28 03:33:22 (UTC)
解答:
| 53 | 上述安装了FTP 服务器服务的虚拟机器(Virtual Machine, VM)内,储存有一个名为invoice.e√e的执行文件,下列哪项是其储存位置? |
---|
A./home/lora
B./home/warrior/doc
√C/home/warrior/photo
D./etc/doc-base
E./var/log
答案:C. /home/warrior/photo
解答:
| 54 | 上述执行文件invoice.e√e的MD5哈希值(Hash value)是什么? |
---|
A.9d377b10ce778c4938b3c7e2c63a229a
B.bdf3bf1da3405725be763540d6601144
√C5690ebcf2a6233ba743fbbd37b0b13a6
D.5a44c7ba5bbe4ec867233d67e4806848
E.fafa5efeaf3cbe3b23b2748d13e629a1
答案:C. 5690ebcf2a6233ba743fbbd37b0b13a6
解答:
| 55 | 上述执行文件invoice.e√e是使用了什么执行文件格式(E√ecutable File Format)? |
---|
√A.PE32
B.PE64
CELF
D.COFF
E.XCOFF
答案:A. PE32
解答:
| 56 | 下列哪项不是上述执行文件invoice.exe的执行文件格式的节表(Section Table)? |
---|
A..text
B..rdata
√C.reloc
D..data
E..rsrc
答案:C. .reloc
解答:这样查不是很准确,可以再用PEID查一下,这里忘记了截图。
Win8
| 57 | Eric的手提电脑内的虚拟机器己成功取证并制作成法证镜像文件 (Forensic Image),下列哪个是其MD5哈希值。 |
---|
A.0CFB3A0BB016165F1BDEB87EE9F710C9
√B.F4089F7DA826DF56654C7AAE32D583C2
C.A0BB016160CFB3A0BB0161661670CFB3
D.16160CFB3A0BB016166A0BB016166167
E.FB3A0BB016165 B016166 A0DF7FJE2EJ0
解析:使用取证大师进行计算
| 58 | 根据上述法证镜像文件 (Forensic Image)的显示,Eric是使用的下列哪个虚拟机? |
---|
A.Parallel
B.Virtual Box
√C.VMware
D.KVM
E.Xen
解析:在C盘下存在Program FilesVmware文件夹,可确定使用的事VM虚拟机。
| 59 | 根据法证镜像文件(Forensic Image),内有多少个硬盘分区? |
---|
A.1
√B.2
C.3
D.4
E.5
解析:使用取证大师直接得出。
| 60 | 请找出系统文件“SOFTWARE",请问 *** 作系统的安装日期是? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC) |
---|
√A.2013-10-17 21:27 UTC
B.2013-11-14 02:11 UTC
C.2017-09-28 06:16 UTC
D.2017-10-02 02:10 UTC
E.2017-10-03 12:14 UTC
解析:使用取证大师直接得出。
| 61 | 用户“IEUSER"的SID是什么? |
---|
A.500
B.1000
√C.1001
D.1005
E.1007
解析:取证大师-系统痕迹-系统信息-用户信息可得
| 62 | 用户“IEUSER"的最后登入日期? |
---|
A.2013-08-22
B.2017-10-28
C.2017-10-30
√D.2017-11-01
E.2017-11-02
解析:见上题图
| 63 | 硬盘的 *** 作系统是什么? |
---|
A.windows7
√B.windows8
C.windows10
D.Linux Red Hat 7.1
E.MAC OS X
解析:见上题图
| 64 | 根据执法机关调查所得,Eric曾经对暗网进行资料搜寻,并储存于电脑上。根据Eric 电脑上资料,那些来自暗网(Dark Web)并与洋葱网域(.onion)有关的信息,存放于哪个文件? |
---|
√A.好东西
B.暗东西
C.坏东西
D.宝贝
E.你的宝贝
解析:对答案进行搜索,发现好东西.docx符合要求
| 65 | 上述的文件,提及了多少条洋葱网域(.onion)的信息? |
---|
A.1
B.2
C.3
√D.4
E.5
解析:见上题图
| 66 | Eric 曾在其电脑使用浏览器Chrome,浏览过一些有关“如何学习PHP网页计”的信息,下列哪项是相关的浏览记录? |
---|
√A.www.yiyada.com
B.www.hackdig.com/
C.www.carbonblack.com
D.www.antiy.com/
E.click.alibabacloud.com/
解析:搜索关键词“如何学习PHP网页”,在取证大师上网记录-Google
Chrome-历史记录中可见。
| 67 | Eric还曾在其电脑使用浏览器Chrome,搜集过一些有关勒索软件的信息,下列哪项不是相关的浏览记录? |
---|
A.www.hackdig.com/
B.click.aliyun.com/
√C.www.carbonblack.com
D.click.alibabacloud.com/
E.www.antiy.com/
解析:搜索关键词“勒索软件”,对解码后的URL进行过滤,没有发现C选项痕迹,故选C。
| 68 | 根据执法机关调查所得,Eric更在上述其中一个网站下载了相关的勒索软件信息,是一份名为“揭开勒索软件的真面目”的文件。根据Eric电脑记录,是从哪个网站下载的? |
---|
A.www.hackdig.com/
B.click.aliyun.com/
C.www.carbonblack.com
D.click.alibabacloud.com/
√E.www.antiy.com/
解析:搜索关键词“揭开勒索软件的真面目”,发现上网记录中存在一份PDF,并且URL符合本题要求。
| 69 | 续上题,该份名为“揭开勒索软件的真面目”文件的MD5哈希值(Hash value)是什么? |
---|
A.9110c96baa70c00acd8fbdfe2dc7c397
B.0258646764b1cb36ca2570090062b65c
C.ce38881d8f63a00973e6324bc1bf9245
D.703899985d881e2d103eb4fd1306be2e
√E.84af8511ca9a66e79cfb28da0da2ee76
解析:续上题,找到源文件,右键计算MD5值
| 70 | Eric 曾在其电脑制造勒索网站,下列哪项是相关网站的首页位置? |
---|
A.WindowsC&C
√B.xampphtdocsC&C
C.xamppapacheC&C
D.xampphttpdC&C
E.inetpubwwwrootC&C
解析:通过搜索答案的方法,只有B选项有结果,其余无结果。
| 71 | Eric 曾经收过一封有关mantech.mooo.com信息之电邮,标题为"你的东西到了",根据Eric计算机记录,下列那个是发信人电邮地址之域名(Domain Name)? |
---|
√A.guerrillamail.com
B.guerrillomail.com
C.guerrillbmail.com
D.guerrillcmail.com
E.guerrilldmail.com
解析:进入邮件解析-收件箱,对邮件主题按关键词“你要的东西到了”进行过滤,得到相关信息,摘要内有发件人的详细域名。
| 72 | 该封有关mantech.mooo.com信息的电邮,曾提及一个密码(Password),是什么? |
---|
A.Fewer@4
B.Much@5
C.Less@6
√D.More@6
E.Echo@7
解析:接上题图,摘要可见。
| 73 | 该封有关mantech.mooo.com信息的电邮,曾提及其相关连接埠,是多少? |
---|
A.11000及18000
B.10800及18000
C.16000及18000
D.17000及18000
√E.17001 及18000
解析:接上题图,摘要可见。
| 74 | 此外,亦有另一封有关mantech.mooo.com信息之电邮,曾提及一个云盘,而其相关端口,是多少? |
---|
√A.8000
B.8001
C.9000
D.9002
E.11000
解析:搜索关键词“mantech.mooo.com”,邮件解析-邮件记录中有符合题意的内容,可通过摘要查看详情。
| 75 | Eric 曾经收过一封标题“你要的宝贝到了”的电邮,根据Eric电脑记录,下列哪个是发信人电邮地址(不包括域名)? |
---|
√A.8xhbjn+3u2w1yitqmaws
B.8xhbjn+3u2w1yitqmows
C.8xhbjn+3u2w1yitqmbws
D.8xhbjn+3u2w1yitqmsws
E.8xhbjn+3u2w1yitqmtws
解析:搜索关键词“你要的东西到了”,得到相关信息,摘要内有发件人的详细域名。
| 76 | 上述该封标题“你要的宝贝到了”的电邮,附有一个电邮附件,详述了如何编写勒索软件。有关资料的提供者是谁? |
---|
A.Dave Ken
√B.Amit Serper
C.Amit Perper
D.Chris Kennedy
E.David Kennedy
解析:密码爆破,密码:23456,打开压缩包后有一张图片,有Amity Serper。
| 77 | 上述电邮附件,还提及过编写勒索软件相关原始码(Program Code),其中显示Advanced Encryption Standard (AES)加密方法字眼的图片,其MD5哈希值(Hash value)是什么? |
---|
A.a93a6572335e37863f5d611293c6660
B.95c60bbc1cb267f85e51f99c2c9646f5
√C.0e20d5f091eac98f6e196dcda2c73837
D.ee2b59e91e829e3b3d350d8c14306dcb
E.f4b881e8a08d4bd40c5ee96ab3580bc8
解析:仔细查找文件,发现图片“code.png”存在相关下内容并计算MD5.
| 78 | 在个人竞赛中,Gary曾经收到一封来自电邮帐号 [email protected] 的电邮,附加有三张与Apple iCloud有关的钓鱼网站相片。现经执法机关调查后,得知此电邮的发信人就是Eric。在Eric的电脑中,在哪位置可以找到电邮? |
---|
A.UsersIEUserAppDataRoamingThunderbirdProfilesszoyi44h.defaultImapMailimap-mail.outlook.comSent-1网站价钱
√B.UsersIEUserAppDataRoamingThunderbirdProfilesszoyk44h.defaultImapMailimap-mail.outlook.comSent-1网站价钱
C.UsersIEUserAppDataRoamingThunderbirdProfilesszoyl44h.defaultImapMailimap-mail.outlook.comSent-1网站价钱
DUsersIEUserAppDataRoamingThunderbirdProfilesszoym44h.defaultImapMailimap-mail.outlook.comSent-1网站价钱
E.UsersIEUserAppDataRoamingThunderbirdProfilesszoyn44h.defaultImapMailimap-mail.outlook.comSent-1网站价钱
解析:搜索选项中不同部分,仅B选项有搜索结果,并在搜索结果中的文件分析-文件分类文件中,以“电子邮件”为关键词过滤文件,验证路径正确。
| 79 | 续上题,在Eric的电脑中,在哪位置可以找到上述钓鱼网站资料? |
---|
A.inetpubwwwrootitunesitones
B.inetpubwwwrootitunesitenes
C.inetpubwwwrootitunesitanes
√D.inetpubwwwrootitunesitunes
E.inetpubwwwrootitunesitumes
解析:搜索关键词“inetpub”,找到所属文件夹。
| 80 | Eric电脑储存了一个icloud 数据库供上述钓鱼网站所使用,根据相关记录,有多少IP地址是“登陆成功”? |
---|
A.13
B.14
C.15
√D.16
E.17
| 81 | 根据执法机关调查所得,Eric是使用一个文件传输软件,进行网上远端文件存取,以逃避执法机关追查。下列哪个是相关软件。 |
---|
A.vsftp
B.gftp
C.ProFTP
√D.Filezilla
E.Fire-FTP
解析:火眼证据分析软件直接分析得出。
| 82 | 上述文件传输软件相关的传输日志是储存在哪里? |
---|
√A.UsersIEUserPictureslog
B.UsersIEUserdocuments
C.UsersIEUserPictureslog
D.UsersIEUserMusic
E.Program Files
解析:在仿真软件中打开软件-设置-日志,可见日志保存路径。
| 83 | 根据上述相关文件的传输日志显示,能成功登入的用户,有以下哪个用户? (请选择其中一项) |
---|
iamons
iiduncan
iiilora
ivwarrior
veric
|
A.i 及 ii
B.i, iii及 v
C.i, iv及 v
√D.i, iii 及 iv
E.只有iv
解析:理论上是搜索关键词“Login successful”
更快的方式是搜索这五个用户名,然后得出答案
| 84 | 根据上述成功登入的日志记录,该传输服务器的网址是什么? (请选择其中一项) |
---|
A.http://mantech.mooo.com:8000
√B.http://mantech.mooo.com:9000
C.http://mantech.mooo.com:17001
D.http://mantech.mooo.com:18000
√E.http://mantech.mooo.com:18001
解析:在日志中搜索关键词“成功”发现截图所示。
实际上更快的方式是搜索选项中的端口号带进去分析,
这道题我觉得B和E都是正确的
| 85 | 根据上述相关文件的传输日志显示,能成功从服务器下载文件的用户,是以下哪个用户? |
---|
√A.amons
B.duncan
C.lora
D.warrior
E.eric
解析:找到截图所示。
| 86 | 根据上述相关文件的传输日志显示,用户是使用了什么传输网址最后成功从服务器下载文件? |
---|
A.http://mantech.mooo.com:8000
√B.http://mantech.mooo.com:9000
C.http://mantech.mooo.com:17001
D.http://mantech.mooo.com:18000
E.http://mantech.mooo.com:18001
解析:查看日志文件,截图所示。
| 87 | 根据Eric电脑的浏览网页记录,他是何时浏览私有云盘http://mantech.mooo.com:8000? |
---|
A.2017-10-29
√B.2017-10-30
C2017-10-31
D.2017-11-01
E.2017-11-02
解析:搜索关键词http://mantech.mooo.com:8000,历史记录中可得最后访问时间。
Win8 – Memory
| 88 | 执法机关曾在Eric的电脑进行现场搜证并检取其虚拟内存,放在下列位置中: UsersIEUserDesktopRAM , 文件名称:Memory.vmem。下列哪项是其MD5哈希值? |
---|
A.3A70A392F8FF1DE83F8CAE94C4E71427
B.5F1BDEB87EE9F710C90CFB3A0BB01616
C.F68778AE77C4E4B88212B179C4622FC4
D.16160CFB3A0BB016166A0BB016166167
√E.FD3AFD63F34F167EAD59CD66B08ADEBF
解题:使用取证大师计算其哈希值
| 89 | 在该段内存中,共运行了多少个进程(以独立程序ID计算)? |
---|
A.16
B.25
C.48
√D.54
E.62
解题:使用volatility软件,
方法一:
命令:
volatility -f Me.vmem --profile=Win81u1x86 pslist > pslist.txt
输出文件的头两行说明部分删掉,即最后一行是进程数的总数量
方法二:
使用取证大师内存镜像分析工具找到54个进程
| 90 | 就进程w3wp.exe而言,下列哪项是该程序产生次序? |
---|
A.wininit.exe >services.exe > w3wp.exe > svchost.exe
B.smss.exe >services.exe > svchost.exe > w3wp.exe
√C.wininit.exe >services.exe > svchost.exe > w3wp.exe
D.csrss.exe >> svchost.exe > services.exe > w3wp.exe
E.System >services.exe > svchost.exe > w3wp.exe
解题:volatility -f Me.vmem --profile=Win81u1x86 pstree > pstree.txt
| 91 | 根据调查资料,Eric总是使用filezilla软件上传/下载文件。filezilla的程序ID是什么? |
---|
A.4
B.780
C.820
√D.3096
E.3228
解题: 命令:
volatility -f Me.vmem --profile=Win81u1x86 pslist > pslist.txt
| 92 | 上述filezilla进程的父程序(Parent PID) 是什么? |
---|
A.516
B.1536
C.1676
D.2284
√E.3124
解题:
命令:
volatility -f Me.vmem --profile=Win81u1x86 pslist > pslist.txt
| 93 | 你知道程序ID:3932是什么进程(process)吗? |
---|
A.winlogon.exe
√B.QQBrowser.exe
C.QQProtect.exe
D.svchost.exe
E.chrome.exe
解题:方法同上题
| 94 | 请从该段内存中提取(E√tract)上述filezilla进程的原来执行档 - filezilla.e√e文件,并计算其md5哈希值(hash value)。下列哪行是该md5哈希值? |
---|
A.43502d07de3d31f05f1623b76c47a58e
√B.7cac848d4a36e5c5d3773b4cd213fab4
C.2717eae9129e3943d33c639825654425
D.98eb240853589172c82e3d7935e9b7ba
E.147fc1da6b0a752be633dcb20553450
解题:使用命令
volatility -f Me.vmem --profile=Win81u1x86 procdump -p pid -D /下载的路径
再将导出来的文件计算md5值
| 95 | 根据上述的取回的文件filezilla.exe,它在执行时会呼叫多少个动态连结函式库(Dynamic linked Library)? |
---|
A.32
B.56
C.73
√D.82
E.98
解题:
命令:
volatility -f Me.vmem --profile=Win81u1x86 dlllist > dlllist.txt
导出的文件计算头减去尾部的行数,得82
| 96 | 在Eric的电脑中,还储存有一个同名的文件filezilla.exe,你能找到该文件的md5哈希值(hash value)吗? |
---|
A.43502d07de3d31f05f1623b76c47a58e
B.7cac848d4a36e5c5d3773b4cd213fab4
√C.2717eae9129e3943d33c639825654425
D.98eb240853589172c82e3d7935e9b7ba
E.147fc1da6b0a752be633dcb20553450
解题:
| 97 | 该段内存中有多少个连接埠与svchost.exe有关? |
---|
A.3
B.4
C.5
D.6
√E.7
解题:
命令:
volatility -f Me.vmem --profile=Win81u1x86 netscan > netscan.txt
在导出的txt文档中进行分析
(Bonus) iPad 7
| 98 | Eric有一个苹果可携式设备,并备份到电脑,密码是wangapple,最后备份的日期是什么? |
---|
A.2017-10-22
B.2017-10-23
C.2017-10-24
√D.2017-10-25
E.2017-10-26
解析:在取证大师-文件分析-手机备份及相关数据-苹果手机备份中可见
| 99 | 该苹果可携式设备,是什么型号? |
---|
A.MLQ32ZP/C
B.MLQ64ZP/B
C.MLQ32ZP/B
D.MLQ64ZP/A
√E.MLQ32ZP/A
| 100 | 该苹果可携式设备名称是什么? |
---|
A.bean的 iPhone
√B.bean的 iPad
C.bean的iPad Mini
D.bean的iPod
E.bean的iPod Touch
解析:在手机大师-文件信息-基本信息中可见
| 101 | 该苹果可携式设备序号是什么? |
---|
A.4D85FA6D4FD2
B.6F7E653CCSD48
C.3CCSD46F7E653
√D.DLXRH10JGXQ4
E.10JGXQ4DLXRH
解析:在手机大师-文件信息-基本信息中可见
| 102 | Eric的苹果可携式设备备份内,储存了q的数张相片,是与网页thegunstorelasvegas.com有关,有多少张图片是存放于屏幕快照文件夹内? |
---|
A.2
B.3
√C.4
D.5
E.6
解析:在火眼数据分析软件中,基本信息-图片-屏幕快照下可见数张图片,预览图片后发现有四张图片与题目描述相符。
| 103 | 根据该苹果可携式设备的备份所显示,下列哪三项有可能是Eric意图购买的q械型号? |
---|
i.SPRINGFIELD √DS9 9MM
iiM4.223
iiiMP45 M2.0
ivSpringfield Armory SAINT AR-15 5.56/223 Carbine
vSpringfield Armory SAINT AR-15 5.56/224 Carbine
|
A.i, ii, iii
B.iii, iv, v
√C.i, iii, iv
D.i, iii, v
E.全部皆是
解析:见上题图
| 104 | 在Eric的苹果可携式设备的备份内,在其中一张相片中,显示一款q价值是9.9,你能找出该相片的MD5哈希值? |
---|
A.42b3e17a7d431f8c09ff319d970faae2
√
B.
63878942da949014adca2a1ce304caf0
C.
4caae44fbe76c22206dc986ac88b3006 |
D.
4bc423d322bca4a1cf7b407ff31ad4cc |
E.
82b53001f6ceb5181ffaef472097c24a
解析:第一步:找到图片位置,第二步:导出文件
| 105 | Eric的苹果可携式设备备份内,有多少相片与”深水战士”有关? |
---|
A.IMG_0006.JPG
B.IMG_0035.PNG
√C.IMG_0060.PNG
D.IMG_0062.PNG
E.IMG_0072.JPG
解析:搜索文件名,按图找出相应图片
评论列表(0条)