2017第三届美亚杯全国电子数据取证大赛团队赛write up

2017第三届美亚杯全国电子数据取证大赛团队赛write up

本人TEL15543132658 同wechat，欢迎多多交流，wp有不足欢迎大家补充多多探讨！
Questions

Gary被逮捕后,其计算机被没收并送至计算机取证实验室。经调查后，执法机关再逮捕一名疑犯Eric，并检取其家中计算机(window
8), 并而根据其家中计算机纪录,
执法机关再于其他地方取得一台与案有关的服务器,而该服务器内含四个硬盘。该服务器是运行LINU√
系统。

由于事件涉及Windows 7,8, LINUX及Mac
IOS系统，故取证团队有可能需要使用相关系统之取证工具(105题,105分)

E01 Images

1被检取作法证检验的LINUX系统，共有四个硬盘，已经分别被制作为四个E01法证镜像文件(Forensic Images)，下列哪个不是它们的MD5哈希值(Hash value)?A.2e4a6afe6b27188480d1b7b10e576f7c√B.c961d814f99d45b3f54e8a1d48be8544C.a88e671fc44940620e77a9342d311133D.c961d814f23d45b3f54e6a1d48be8544E.cf5c42018d93c3703f744c646e7f21ae

答案：B. c961d814f99d45b3f54e8a1d48be8544

解答：

2上述四个法证镜像文件中，其中有一个法证镜像文件(Forensic Image)内含三个磁盘分区(Partition)。对于第三个(即最后一个)磁盘分区(Partition)而言，下列哪个是其起始磁区(Starting Sector)?A.2048B.1050624C.51382271√D.51382272E.50331648

答案：D. 51382272

解答：

3上述磁盘分区(Partition)共占多少磁区(Starting Sector)?√A.69924864B.60058404C.50331648D.1048576E.2048

答案：A. 69924864

解答：

4在上述第三个(即最后一个)磁盘分区(Partition)当中，储存了一个名为amons.mark的文件，下列哪项为其MD5哈希值(Hash value)A.01daa9fb8d1cc386bffb0c25ff57d7eaB.64394febb8fb82520164645ade7dbaa0C.b69894efe2f03d43d95d98856ea21674D.74c5d7a6500d63a0308f2fc54a03eb0d√E.43309465540a069357182af1da438a07

答案：E. 43309465540a069357182af1da438a07

解答：

5在上述第三个(即最后一个)磁盘分区(Partition)当中，储存了一个名为slackware-13.37-install-dvd.iso的文件，下列哪项为其MD5哈希值(Hash value)A.01daa9fb8d1cc386bffb0c25ff57d7ea√B.64394febb8fb82520164645ade7dbaa0C.b69894efe2f03d43d95d98856ea21674D.74c5d7a6500d63a0308f2fc54a03eb0dE.43309465540a069357182af1da438a07

答案：B. 64394febb8fb82520164645ade7dbaa0

解答：

VM-HD1,2,3

RAID

6于上述四个法证镜像文件中，有三个硬盘共同组成一个独立磁盘冗余阵列RAID System。以磁区(sector)计算，该阵列(RAID)大小(size)是多少?A.110051100B.110049052C.110049053√D.120049664E.120049663

答案：D. 120049664

解答：

7就该独立磁盘冗余阵列RAID System而言，下列哪项是其建立日期?A.2017-09-05 10:06:55B.2017-09-06 10:06:55√C.2017-09-07 10:06:55D.2017-09-08 10:06:55E.2017-09-08 10:06:55

答案: C. 2017-09-07 10:06:55

解答：

8就该独立磁盘冗余阵列RAID System而言，下列哪项是其UUID?A.ae891891:ab1261bf:17f4b1e8:c1adaef6B.ae891891:ac1261bf:27f4b1e8:c1adaef6√C.ae891891:ad1261bf:37f4b1e8:c1adaef6D.ae891891:ae1261bf:57f4b1e8:c1adaef6E.ae891891:af1261bf:67f4b1e8:c1adaef6

答案：C. ae891891:ad1261bf:37f4b1e8:c1adaef6

解答：

9就该独立磁盘冗余阵列RAID System而言，是使用了下列哪种阵列配置排列(RAID LAYOUT)?√A.left-symmetricB.right-symmetricC.pre-Lie algebraD.rooted tree algebrasE.verte√ algebras

答案：A. left-symmetric

解答：

10就该独立磁盘冗余阵列RAID System而言，是使用了下列哪种阵列级别(RAID LEVEL)?A.RAID 0B.RAID 1√C.RAID 5D.RAID 6E.RAID 1 0

答案：C. RAID 5

解答：

LVM

11此外，在该独立磁盘冗余阵列RAID System中，内含一个标示为逻辑分卷管理器Logical Volume Manager (LVM) 的磁盘分区(Partition)，此分区(Partition)共有多少个磁区(Sector)?A.110051100B.110049052√C.110049053D.120049664E.120049663

答案：C. 110049053

解答：

12就上述逻辑分卷管理器Logical Volume Manager (LVM)而言，下列哪个是其仅有的物理卷Physical Volume (PV) UUID ?A.l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9√B.ysHo03-FFL9-0Tfl-zOeO-O7fn-TPz√-2p4mu0C.UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mwD.eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5UlE.UGpPyJ-lSUZ-eGJh-aEKV- OMtA-2y0I-yitBi9

答案：B. ysHo03-FFL9-0Tfl-zOeO-O7fn-TPz√-2p4mu0

解答：

13在该物理卷Physical Volume (PV)中，下列哪个是其仅有的卷组 Volume Group (VG) 名称 ?A.vol_vm_guests√B.vol_vm_guestC.vol_guestD.lv_vm1E.lv_vm2

答案：B. vol_vm_guest

解答：

14下列哪项是该卷组 Volume Group (VG) UUID ?A.l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9B.ysHo03-FFL9-0Tfl-zOeO-O7fn-TPz√-2p4mu0C.UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw√D.eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5UlE.UGpPyJ-lSUZ-eGJh-aEKV- OMtA-2y0I-yitBi9

答案：D. eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5Ul

解答：

15该卷组 Volume Group (VG)共有多少个LVM物理区域Physical E√tent (PE)?A.50B.3210C.3456D.6666√E.6716

答案：E. 6716

解答：

16该卷组Volume Group (VG)共划分了多少个物理区域Physical E√tent (PE)用了配置逻辑卷Logical Volume (LV)?A.50B.3210C.3456√D.6666E.6716

答案：D. 6666

解答：

17该卷组Volume Group (VG)还余下多少个物理区域Physical E√tent (PE)未被配置使用?√A.50B.3210C.3456D.6666E.6716

答案：A. 50

解答：

18就该卷组Volume Group (VG)而言，每个物理区域Physical E√tent (PE)的大小(size)是多少?A.1 MBB.2 MBC.4 MB√D.8 MBE.16 MB

答案：D. 8 MB

解答：

19事实上，该卷组Volume Group (VG) 共配置了两个逻辑卷组Logical Volume (LV)，第一个逻辑卷组Logical Volume (LV) UUID是 ?√A.l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9B.ysHo03-FFL9-0Tfl-zOeO-O7fn-TPz√-2p4mu0C.UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mwD.eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5UlE.UGpPyJ-lSUZ-eGJh-aEKV- OMtA-2y0I-yitBi9

答案：A. l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9

解答：

20上述第一个逻辑卷组Logical Volume (LV)的名称是什么 ?A./dev/loop0B.vol_vm_guestC.vol_guest√D.lv_vm1E.lv_vm2

答案：D. lv_vm1

解答：

21上述第一个逻辑卷组Logical Volume (LV)共占据了多少物理区域Physical E√tent (PE) ?A.50√B.3210C.3456D.6666E.6716

答案：B. 3210

解答：

22上述第一个逻辑卷组Logical Volume (LV)的建立时间是什么 ?A.2017-09-06 05:02:16 +0800B.2017-09-07 05:02:16 +0800√C.2017-09-08 05:02:16 +0800D.2017-09-09 05:02:16 +0800E.2017-09-10 05:02:16 +0800

答案：C. 2017-09-08 05:02:16 +0800

解答：

23在上述第一个逻辑卷组Logical Volume (LV)当中，储存有一个名为duncan.mark的文件，下列哪项为其MD5哈希值(Hash value)?A.01daa9fb8d1cc386bffb0c25ff57d7ea√B.8da97369e625574d1d8145d49ca9b61cC.b69894efe2f03d43d95d98856ea21674D.74c5d7a6500d63a0308f2fc54a03eb0dE.43309465540a069357182af1da438a07

答案：B. 8da97369e625574d1d8145d49ca9b61c

解答：

24在该卷组Volume Group (VG) 共配置了两个逻辑卷组Logical Volume (LV)，其中有一个逻辑卷组Logical Volume (LV)是用作运行Ubuntu 系统，该逻辑卷Logical Volume (LV) UUID是 什么?A.l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9B.ysHo03-FFL9-0Tfl-zOeO-O7fn-TPz√-2p4mu0√C.UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mwD.eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5UlE.UGpPyJ-lSUZ-eGJh-aEKV- OMtA-2y0I-yitBi9

答案：C. UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw

解答：

25在上述逻辑卷组Logical Volume (LV)当中，储存有一个名为lora.mark的文件，下列哪项为其MD5哈希值(Hash value)?A.01daa9fb8d1cc386bffb0c25ff57d7eaB.8da97369e625574d1d8145d49ca9b61cC.b69894efe2f03d43d95d98856ea21674√D.74c5d7a6500d63a0308f2fc54a03eb0dE.43309465540a069357182af1da438a07

答案：D. 74c5d7a6500d63a0308f2fc54a03eb0d

解答：

3 VM

26事实上，上述被检取作法证检验的LINU√系统，曾经运行了三个虚拟机器(Virtual Machine, VM)，下列哪项组合包含了上述全部曾运行的虚拟机器?iGentooiiSlackwareiiiUbuntuivAntergosvCentOSA.(i), (ii) 及 (iii)B.(i), (iii) 及 (iv)C.(i), (iii) 及 (v)√D.(ii), (iii) 及 (v)E.(i), (iii) 及 (v)

答案：D. (ii), (iii) 及 (v)

解答：

27在上述三个虚拟机器(Virtual Machine, VM)当中，其中有一个储存了可用作编程(Coding)的勒索软件源码( Source Code)，它是使用了下列哪个本地IP 地址 (Local IP Address) ?√A.192.168.122.198B.192.168.10.10C192.168.122.214D.192.168.122.157E.192.168.122.2

答案：A. 192.168.122.198

解答：

28在上述三个虚拟机器(Virtual Machine, VM)当中，其中一个曾经安装并运行过私有云软件，它是使用下列哪个本地IP 地址 (Local IP Address) ?A.192.168.122.198B.192.168.10.10√C192.168.122.214D.192.168.122.157E.192.168.122.2

答案：C. 192.168.122.214

解答：

29在上述三个虚拟机器(Virtual Machine, VM)当中，其中一个安装了FTP服务器服务，它是使用下列哪个本地IP 地址 (Local IP Address) ?A.192.168.122.198B.192.168.10.10C192.168.122.214√D.192.168.122.157E.192.168.122.2

答案：D. 192.168.122.157

解答：

VM0

30在个人竞赛中，Gary的手提电脑(Win7 OS)发现有勒索程序invoice.e√e。就是次团体竞赛中，于题27中提及过的虚拟机器(Virtual Machine, VM)里，在哪个位置能发现此勒索程序的原始代码?A.…/Python-Serverless-Ransomware-master/…B.…/holy_crypt-1.1/…C…/setuptools-master/…√D.…/invoice/…E.…/ransomware-master/…

答案：D. …/invoice/…

解答：

31根据上述勒索程序的原始代码，哪行程序代码显示该程序进行自我复制(Self-replication)?A.8B.70√C74D.84E.119

答案：C.74

解答：

32根据上述勒索程序的原始代码，哪行程序代码显示开始进行文件加密(Encryption)?√A.8B.70C74D.84E.119

答案：A. 8

解答：

33根据上述勒索程序的原始代码，该程序总共能加密多少类型文件?A.19√B.20C21D.22E.不能加密

答案：B.20

解答：

34根据上述勒索程序的原始代码，该程序是使用何种加密标准?A.Data Encryption Standard (DES)√B.Advanced Encryption Standard (AES)CRSA (Rivest–Shamir–Adleman)D.TwofishE.Blowfish

答案：B. Advanced Encryption Standard (AES)

解答：

35根据上述勒索程序的原始代码，哪行程序代码显示连接指挥及控制(Command & Control, C&C)服务器。A.2B.70C74D.84√E.119

答案：E.119

解答：

VM1

36于题28中提及过的虚拟机器(Virtual Machine, VM)曾经运行过一个私有云软件，提供私有云服务，并储存有一个于2017年 10月30日建立的PCAP文件，下列哪个是其MD5哈希值(Hash value)?√A.36a179aebadcd697e11bf0bbad7c4d8aB.88ac535e35792b72efd768c2f8c11f94C9e4bf671e1d44da9e085c4c790116e59D.0ac9f639679361708832c77950f93be2E.1b385451a788a825673c31862566e0a5

答案：A. 36a179aebadcd697e11bf0bbad7c4d8a

解答：

37运行在此虚拟机器(Virtual Machine, VM)的私有云软件，根据其设定，下列哪项是其对外连结的URL?A.http://mantech.mood.com:8000√B.http://mantech.mooo.com:8000Chttp://mantech.mooo.com:8080D.http://mantech.mooo.com:8088E.http://mantech.mooe.com:8000

答案：B. http://mantech.mooo.com:8000

解答:

38此私有云软件，会使用内置RPC框架(Internal RPC framework)，其ID是什么? [注: RPC – 远端过程调用 (Remote Procedure Call) ]A.f3e6015c708ef841013094b83689adc97573B.1318f3e6015d708ef841013094b84689adc97573√C1318f3e6015e708ef841013094b85689adc97573D.1318f3e6015f708ef841013094b95689adc97573E.1318f3e6015g708ef841013094b05689adc97573

答案：C. 1318f3e6015e708ef841013094b85689adc97573

解答：

39此虚拟机器(Virtual Machine, VM)中的私有云软件，会连接上一个本地MySQL 数据库，登入密码是什么?A.f0123√B.f1234Cf1334D.f1134E.f2345

答案：B. f12345

解答：

40在上述运行私有云软件的虚拟机器(Virtual Machine, VM)中，遗留了一个以日期为文件名称的PCAP文件，它共记录了多少个数据包(Packet)？√A.85193B.85194C.85195D.85196E.85197

答案：A. 85193

解答：

41上述PCAP文件共占据了多少时间?A.14分47秒√B.14分57秒C.15分37秒D.15分47秒E.15分57秒

答案：B.14分57秒

解答：

42上述PCAP文件记录了多少个公共IP地址(Public IP) ?A.3B.4C.5√D.6E.7

答案：D.6

解答：

43根据上述PCAP文件，总流量值最高的公共IP地址是哪个？A.14.0.229.190√B.49.130.131.245C.118.140.184.98D.37.218.240.198E.37.218.240.199

答案：B.49.130.131.245

解答：

44根据上述PCAP文件，最高下载流量的公共IP地址是哪个？√A.14.0.229.190B.49.130.131.245C.118.140.184.98D.37.218.240.198E.37.218.240.199

答案：A. 14.0.229.190

解答：

45根据调查得知，上述PCAP文件是前文提及的私有云软件尚在运作时的上传/下载资料记录。当中记录了Gary曾于该私有云浏览与案有关的q械照片，共有三张(不计缩略图)。请按时间顺序，找出其MD5哈希值。 第一张q械照片的MD5哈希值是什么?A.89c68c45a7e4d10f409cf2764fd44c33B.d291d1da748ce7fb4ba408a6bbbcb222√C.37088010ef0f8730c0f8600653b1fca2D.9fd7afbdb5d682525509b3b57f4c0c91E.003bc4bfbd364bd447648ea36cd1c514

答案：C. 37088010ef0f8730c0f8600653b1fca2

解答：

46第二张q械照片的MD5哈希值是什么?√A.0585b1c1d2e132e32ce3928be2b60d6aB.e9a21071a5df65d43ea2a75fab51279eC.5a078264ecd55918308a3164eefee7f3D.a9c2962d2e0f31b067ae1b1d04ec9d94E.b9b039a8aed7132cc9630788f9d698f2

答案：A. 0585b1c1d2e132e32ce3928be2b60d6a

解答：

47第三张q械照片的MD5哈希值是什么?A.b23d4610b0012ac47cb0f60bae8ee0a7B.7c1bf67df7aab0db10c68f9646e9a674C.bdbb0f0915790aa718d6837025ecf269√D.f94398336683d9878f9ea7598f2e40ddE.e533c315c7000ad15227a2670f606334

答案：D. f94398336683d9878f9ea7598f2e40dd

解答：

48上述q械照片是经下列哪个浏览器软件浏览的?A.ChromeB.QQ BrowserC.Internet Explorer√D.FirefoxE.Opera

答案：D. Firefox

解答：

VM2

49在题29中提及过的虚拟机器(Virtual Machine, VM)，曾安装并提供过FTP服务，请问是下列哪种FTP?√A.vsftpB.gftpCWinScpD.ProFTPE.Fire-FTP

答案：A. vsftp

解答：

50根据该FTP服务器的日志，只记录了一个公共地址IP曾上传(UPLOAP)过资料，是下列哪个?A.125.203.195.185B.14.0.226.51C.192.168.1.57√D.210.3.88.181E.45.64.240.68

答案：D. 210.3.88.181

解答：

51根据该FTP服务器的日志，用户warrior曾上传过哪些资料？ Desert.jpg 6cd5c528b5f00233ba7e0ba154de0309.jpg Koala.jpg invoice.e√e invoice.02.e√eA.iB.i, iiC.i, ii, iv√D.ii,iv, vE.i, iii, iv, v

答案：D. ii,iv, v

解答：

52根据该FTP服务器的日志，用户warrior第一次上传的时间为:A.2017-10-27 11:51:38 (UTC)B.2017-10-28 03:35:51 (UTC)C.2017-10-28 09:44:28 (UTC)√D.2017-10-28 03:33:22 (UTC)E.2017-10-3102:01:30 (UTC)

答案：D. 2017-10-28 03:33:22 (UTC)

解答：

53上述安装了FTP 服务器服务的虚拟机器(Virtual Machine, VM)内，储存有一个名为invoice.e√e的执行文件，下列哪项是其储存位置?A./home/loraB./home/warrior/doc√C/home/warrior/photoD./etc/doc-baseE./var/log

答案：C. /home/warrior/photo

解答：

54上述执行文件invoice.e√e的MD5哈希值(Hash value)是什么?A.9d377b10ce778c4938b3c7e2c63a229aB.bdf3bf1da3405725be763540d6601144√C5690ebcf2a6233ba743fbbd37b0b13a6D.5a44c7ba5bbe4ec867233d67e4806848E.fafa5efeaf3cbe3b23b2748d13e629a1

答案：C. 5690ebcf2a6233ba743fbbd37b0b13a6

解答：

55上述执行文件invoice.e√e是使用了什么执行文件格式(E√ecutable File Format)?√A.PE32B.PE64CELFD.COFFE.XCOFF

答案：A. PE32

解答：

56下列哪项不是上述执行文件invoice.exe的执行文件格式的节表(Section Table)?A..textB..rdata√C.relocD..dataE..rsrc

答案：C. .reloc

解答：这样查不是很准确，可以再用PEID查一下，这里忘记了截图。

Win8

57Eric的手提电脑内的虚拟机器己成功取证并制作成法证镜像文件 (Forensic Image)，下列哪个是其MD5哈希值。A.0CFB3A0BB016165F1BDEB87EE9F710C9√B.F4089F7DA826DF56654C7AAE32D583C2C.A0BB016160CFB3A0BB0161661670CFB3D.16160CFB3A0BB016166A0BB016166167E.FB3A0BB016165 B016166 A0DF7FJE2EJ0

解析：使用取证大师进行计算

58根据上述法证镜像文件 (Forensic Image)的显示，Eric是使用的下列哪个虚拟机？A.ParallelB.Virtual Box√C.VMwareD.KVME.Xen

解析：在C盘下存在Program FilesVmware文件夹，可确定使用的事VM虚拟机。

59根据法证镜像文件(Forensic Image)，内有多少个硬盘分区？A.1√B.2C.3D.4E.5

解析：使用取证大师直接得出。

60请找出系统文件“SOFTWARE＂，请问 *** 作系统的安装日期是？ （答案格式 －“世界协调时间＂：YYYY-MM-DD HH:MM UTC）√A.2013-10-17 21:27 UTCB.2013-11-14 02:11 UTCC.2017-09-28 06:16 UTCD.2017-10-02 02:10 UTCE.2017-10-03 12:14 UTC

解析：使用取证大师直接得出。

61用户“IEUSER＂的SID是什么？A.500B.1000√C.1001D.1005E.1007

解析：取证大师-系统痕迹-系统信息-用户信息可得

62用户“IEUSER＂的最后登入日期？A.2013-08-22B.2017-10-28C.2017-10-30√D.2017-11-01E.2017-11-02

解析：见上题图

63硬盘的 *** 作系统是什么？A.windows7√B.windows8C.windows10D.Linux Red Hat 7.1E.MAC OS X

解析：见上题图

64根据执法机关调查所得，Eric曾经对暗网进行资料搜寻，并储存于电脑上。根据Eric 电脑上资料，那些来自暗网(Dark Web)并与洋葱网域(.onion)有关的信息，存放于哪个文件?√A.好东西B.暗东西C.坏东西D.宝贝E.你的宝贝

解析：对答案进行搜索，发现好东西.docx符合要求

65上述的文件，提及了多少条洋葱网域(.onion)的信息?A.1B.2C.3√D.4E.5

解析：见上题图

66Eric 曾在其电脑使用浏览器Chrome，浏览过一些有关“如何学习PHP网页计”的信息，下列哪项是相关的浏览记录?√A.www.yiyada.comB.www.hackdig.com/C.www.carbonblack.comD.www.antiy.com/E.click.alibabacloud.com/

解析：搜索关键词“如何学习PHP网页”，在取证大师上网记录-Google
Chrome-历史记录中可见。

67Eric还曾在其电脑使用浏览器Chrome，搜集过一些有关勒索软件的信息，下列哪项不是相关的浏览记录?A.www.hackdig.com/B.click.aliyun.com/√C.www.carbonblack.comD.click.alibabacloud.com/E.www.antiy.com/

解析：搜索关键词“勒索软件”，对解码后的URL进行过滤，没有发现C选项痕迹，故选C。

68根据执法机关调查所得，Eric更在上述其中一个网站下载了相关的勒索软件信息，是一份名为“揭开勒索软件的真面目”的文件。根据Eric电脑记录，是从哪个网站下载的?A.www.hackdig.com/B.click.aliyun.com/C.www.carbonblack.comD.click.alibabacloud.com/√E.www.antiy.com/

解析：搜索关键词“揭开勒索软件的真面目”，发现上网记录中存在一份PDF，并且URL符合本题要求。

69续上题，该份名为“揭开勒索软件的真面目”文件的MD5哈希值(Hash value)是什么?A.9110c96baa70c00acd8fbdfe2dc7c397B.0258646764b1cb36ca2570090062b65cC.ce38881d8f63a00973e6324bc1bf9245D.703899985d881e2d103eb4fd1306be2e√E.84af8511ca9a66e79cfb28da0da2ee76

解析：续上题，找到源文件，右键计算MD5值

70Eric 曾在其电脑制造勒索网站，下列哪项是相关网站的首页位置?A.WindowsC&C√B.xampphtdocsC&CC.xamppapacheC&CD.xampphttpdC&CE.inetpubwwwrootC&C

解析：通过搜索答案的方法，只有B选项有结果，其余无结果。

71Eric 曾经收过一封有关mantech.mooo.com信息之电邮，标题为"你的东西到了"，根据Eric计算机记录，下列那个是发信人电邮地址之域名(Domain Name)?√A.guerrillamail.comB.guerrillomail.comC.guerrillbmail.comD.guerrillcmail.comE.guerrilldmail.com

解析：进入邮件解析-收件箱，对邮件主题按关键词“你要的东西到了”进行过滤，得到相关信息，摘要内有发件人的详细域名。

72该封有关mantech.mooo.com信息的电邮，曾提及一个密码(Password)，是什么?A.Fewer@4B.Much@5C.Less@6√D.More@6E.Echo@7

解析：接上题图，摘要可见。

73该封有关mantech.mooo.com信息的电邮，曾提及其相关连接埠，是多少?A.11000及18000B.10800及18000C.16000及18000D.17000及18000√E.17001 及18000

解析：接上题图，摘要可见。

74此外,亦有另一封有关mantech.mooo.com信息之电邮，曾提及一个云盘，而其相关端口，是多少?√A.8000B.8001C.9000D.9002E.11000

解析：搜索关键词“mantech.mooo.com”，邮件解析-邮件记录中有符合题意的内容，可通过摘要查看详情。

75Eric 曾经收过一封标题“你要的宝贝到了”的电邮，根据Eric电脑记录，下列哪个是发信人电邮地址(不包括域名)?√A.8xhbjn+3u2w1yitqmawsB.8xhbjn+3u2w1yitqmowsC.8xhbjn+3u2w1yitqmbwsD.8xhbjn+3u2w1yitqmswsE.8xhbjn+3u2w1yitqmtws

解析：搜索关键词“你要的东西到了”，得到相关信息，摘要内有发件人的详细域名。

76上述该封标题“你要的宝贝到了”的电邮，附有一个电邮附件，详述了如何编写勒索软件。有关资料的提供者是谁?A.Dave Ken√B.Amit SerperC.Amit PerperD.Chris KennedyE.David Kennedy

解析：密码爆破，密码：23456，打开压缩包后有一张图片，有Amity Serper。

77上述电邮附件，还提及过编写勒索软件相关原始码(Program Code)，其中显示Advanced Encryption Standard (AES)加密方法字眼的图片，其MD5哈希值(Hash value)是什么?A.a93a6572335e37863f5d611293c6660B.95c60bbc1cb267f85e51f99c2c9646f5√C.0e20d5f091eac98f6e196dcda2c73837D.ee2b59e91e829e3b3d350d8c14306dcbE.f4b881e8a08d4bd40c5ee96ab3580bc8

解析：仔细查找文件，发现图片“code.png”存在相关下内容并计算MD5.

78在个人竞赛中，Gary曾经收到一封来自电邮帐号 [email protected] 的电邮，附加有三张与Apple iCloud有关的钓鱼网站相片。现经执法机关调查后，得知此电邮的发信人就是Eric。在Eric的电脑中，在哪位置可以找到电邮?A.UsersIEUserAppDataRoamingThunderbirdProfilesszoyi44h.defaultImapMailimap-mail.outlook.comSent-1网站价钱√B.UsersIEUserAppDataRoamingThunderbirdProfilesszoyk44h.defaultImapMailimap-mail.outlook.comSent-1网站价钱C.UsersIEUserAppDataRoamingThunderbirdProfilesszoyl44h.defaultImapMailimap-mail.outlook.comSent-1网站价钱DUsersIEUserAppDataRoamingThunderbirdProfilesszoym44h.defaultImapMailimap-mail.outlook.comSent-1网站价钱E.UsersIEUserAppDataRoamingThunderbirdProfilesszoyn44h.defaultImapMailimap-mail.outlook.comSent-1网站价钱

解析：搜索选项中不同部分，仅B选项有搜索结果，并在搜索结果中的文件分析-文件分类文件中，以“电子邮件”为关键词过滤文件，验证路径正确。

79续上题，在Eric的电脑中，在哪位置可以找到上述钓鱼网站资料?A.inetpubwwwrootitunesitonesB.inetpubwwwrootitunesitenesC.inetpubwwwrootitunesitanes√D.inetpubwwwrootitunesitunesE.inetpubwwwrootitunesitumes

解析：搜索关键词“inetpub”，找到所属文件夹。

80Eric电脑储存了一个icloud 数据库供上述钓鱼网站所使用，根据相关记录，有多少IP地址是“登陆成功”?A.13B.14C.15√D.16E.17 81根据执法机关调查所得，Eric是使用一个文件传输软件，进行网上远端文件存取，以逃避执法机关追查。下列哪个是相关软件。A.vsftpB.gftpC.ProFTP√D.FilezillaE.Fire-FTP

解析：火眼证据分析软件直接分析得出。

82上述文件传输软件相关的传输日志是储存在哪里?√A.UsersIEUserPictureslogB.UsersIEUserdocumentsC.UsersIEUserPictureslogD.UsersIEUserMusicE.Program Files

解析：在仿真软件中打开软件-设置-日志，可见日志保存路径。

83根据上述相关文件的传输日志显示，能成功登入的用户，有以下哪个用户? (请选择其中一项)iamonsiiduncaniiiloraivwarriorvericA.i 及 iiB.i, iii及 vC.i, iv及 v√D.i, iii 及 ivE.只有iv

解析：理论上是搜索关键词“Login successful”

更快的方式是搜索这五个用户名，然后得出答案

84根据上述成功登入的日志记录，该传输服务器的网址是什么? (请选择其中一项)A.http://mantech.mooo.com:8000√B.http://mantech.mooo.com:9000C.http://mantech.mooo.com:17001D.http://mantech.mooo.com:18000√E.http://mantech.mooo.com:18001

解析：在日志中搜索关键词“成功”发现截图所示。

实际上更快的方式是搜索选项中的端口号带进去分析，

这道题我觉得B和E都是正确的

85根据上述相关文件的传输日志显示，能成功从服务器下载文件的用户，是以下哪个用户?√A.amonsB.duncanC.loraD.warriorE.eric

解析：找到截图所示。

86根据上述相关文件的传输日志显示，用户是使用了什么传输网址最后成功从服务器下载文件?A.http://mantech.mooo.com:8000√B.http://mantech.mooo.com:9000C.http://mantech.mooo.com:17001D.http://mantech.mooo.com:18000E.http://mantech.mooo.com:18001

解析：查看日志文件，截图所示。

87根据Eric电脑的浏览网页记录，他是何时浏览私有云盘http://mantech.mooo.com:8000?A.2017-10-29√B.2017-10-30C2017-10-31D.2017-11-01E.2017-11-02

解析：搜索关键词http://mantech.mooo.com:8000，历史记录中可得最后访问时间。

Win8 – Memory

88执法机关曾在Eric的电脑进行现场搜证并检取其虚拟内存，放在下列位置中: UsersIEUserDesktopRAM , 文件名称:Memory.vmem。下列哪项是其MD5哈希值?A.3A70A392F8FF1DE83F8CAE94C4E71427B.5F1BDEB87EE9F710C90CFB3A0BB01616C.F68778AE77C4E4B88212B179C4622FC4D.16160CFB3A0BB016166A0BB016166167√E.FD3AFD63F34F167EAD59CD66B08ADEBF

解题：使用取证大师计算其哈希值

89在该段内存中，共运行了多少个进程(以独立程序ID计算)？A.16B.25C.48√D.54E.62

解题：使用volatility软件，

方法一：

命令：

volatility -f Me.vmem --profile=Win81u1x86 pslist > pslist.txt

输出文件的头两行说明部分删掉，即最后一行是进程数的总数量

方法二：

使用取证大师内存镜像分析工具找到54个进程

90就进程w3wp.exe而言，下列哪项是该程序产生次序？A.wininit.exe >services.exe > w3wp.exe > svchost.exeB.smss.exe >services.exe > svchost.exe > w3wp.exe√C.wininit.exe >services.exe > svchost.exe > w3wp.exeD.csrss.exe >> svchost.exe > services.exe > w3wp.exeE.System >services.exe > svchost.exe > w3wp.exe

解题：volatility -f Me.vmem --profile=Win81u1x86 pstree > pstree.txt

91根据调查资料，Eric总是使用filezilla软件上传/下载文件。filezilla的程序ID是什么？A.4B.780C.820√D.3096E.3228

解题: 命令：

volatility -f Me.vmem --profile=Win81u1x86 pslist > pslist.txt

92上述filezilla进程的父程序(Parent PID) 是什么？A.516B.1536C.1676D.2284√E.3124

解题：

命令：

volatility -f Me.vmem --profile=Win81u1x86 pslist > pslist.txt

93你知道程序ID:3932是什么进程(process)吗？A.winlogon.exe√B.QQBrowser.exeC.QQProtect.exeD.svchost.exeE.chrome.exe

解题：方法同上题

94请从该段内存中提取(E√tract)上述filezilla进程的原来执行档 - filezilla.e√e文件，并计算其md5哈希值(hash value)。下列哪行是该md5哈希值?A.43502d07de3d31f05f1623b76c47a58e√B.7cac848d4a36e5c5d3773b4cd213fab4C.2717eae9129e3943d33c639825654425D.98eb240853589172c82e3d7935e9b7baE.147fc1da6b0a752be633dcb20553450

解题：使用命令

volatility -f Me.vmem --profile=Win81u1x86 procdump -p pid -D /下载的路径

再将导出来的文件计算md5值

95根据上述的取回的文件filezilla.exe，它在执行时会呼叫多少个动态连结函式库(Dynamic linked Library)?A.32B.56C.73√D.82E.98

解题：

命令：

volatility -f Me.vmem --profile=Win81u1x86 dlllist > dlllist.txt

导出的文件计算头减去尾部的行数，得82

96在Eric的电脑中，还储存有一个同名的文件filezilla.exe，你能找到该文件的md5哈希值(hash value)吗？A.43502d07de3d31f05f1623b76c47a58eB.7cac848d4a36e5c5d3773b4cd213fab4√C.2717eae9129e3943d33c639825654425D.98eb240853589172c82e3d7935e9b7baE.147fc1da6b0a752be633dcb20553450

解题：

97该段内存中有多少个连接埠与svchost.exe有关?A.3B.4C.5D.6√E.7

解题：

命令：

volatility -f Me.vmem --profile=Win81u1x86 netscan > netscan.txt

在导出的txt文档中进行分析

(Bonus) iPad 7

98Eric有一个苹果可携式设备，并备份到电脑，密码是wangapple，最后备份的日期是什么?A.2017-10-22B.2017-10-23C.2017-10-24√D.2017-10-25E.2017-10-26

解析：在取证大师－文件分析－手机备份及相关数据－苹果手机备份中可见

99该苹果可携式设备，是什么型号?A.MLQ32ZP/CB.MLQ64ZP/BC.MLQ32ZP/BD.MLQ64ZP/A√E.MLQ32ZP/A 100该苹果可携式设备名称是什么？A.bean的 iPhone√B.bean的 iPadC.bean的iPad MiniD.bean的iPodE.bean的iPod Touch

解析：在手机大师－文件信息－基本信息中可见

101该苹果可携式设备序号是什么？A.4D85FA6D4FD2B.6F7E653CCSD48C.3CCSD46F7E653√D.DLXRH10JGXQ4E.10JGXQ4DLXRH

解析：在手机大师－文件信息－基本信息中可见

102Eric的苹果可携式设备备份内,储存了q的数张相片，是与网页thegunstorelasvegas.com有关，有多少张图片是存放于屏幕快照文件夹内?A.2B.3√C.4D.5E.6

解析：在火眼数据分析软件中，基本信息－图片－屏幕快照下可见数张图片，预览图片后发现有四张图片与题目描述相符。

103根据该苹果可携式设备的备份所显示，下列哪三项有可能是Eric意图购买的q械型号?i.SPRINGFIELD √DS9 9MMiiM4.223iiiMP45 M2.0ivSpringfield Armory SAINT AR-15 5.56/223 CarbinevSpringfield Armory SAINT AR-15 5.56/224 CarbineA.i, ii, iiiB.iii, iv, v√C.i, iii, ivD.i, iii, vE.全部皆是

解析：见上题图

104在Eric的苹果可携式设备的备份内,在其中一张相片中，显示一款q价值是9.9，你能找出该相片的MD5哈希值?A.42b3e17a7d431f8c09ff319d970faae2

√

B.

63878942da949014adca2a1ce304caf0

C.

4caae44fbe76c22206dc986ac88b3006

D.

4bc423d322bca4a1cf7b407ff31ad4cc

E.

82b53001f6ceb5181ffaef472097c24a

解析：第一步：找到图片位置，第二步：导出文件

105Eric的苹果可携式设备备份内，有多少相片与”深水战士”有关?A.IMG_0006.JPGB.IMG_0035.PNG√C.IMG_0060.PNGD.IMG_0062.PNGE.IMG_0072.JPG

解析：搜索文件名，按图找出相应图片