2018年美亚杯电子数据取证大赛-资格赛wp

这篇具有很好参考价值的文章主要介绍了2018年美亚杯电子数据取证大赛-资格赛wp。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

😋大家好,我是YAy_17,是一枚爱好网安的小白,正在自学ing。 

本人水平有限,欢迎各位大佬指点,一起学习💗,一起进步⭐️

⭐️此后如竟没有炬火,我便是唯一的光。⭐️

使用取证大师分析镜像:

1. [单选题] 1.Victor的笔记本电脑己成功取证并制作成法证映像档 (Forensic Image),下列哪个是其MD5哈希值? (2分)
A. FC20782C21751AB76B2A93F3A17922D0
B. 882114D62E713DEA34C270CF2F1C69D2
C. A0BB016160CFB3A0BB0161661670CFB3
D. 917ED59083C8B35C54D3FCBFE4C4BB0B
E. FC20782C21751BA76B2A93F3A17922D0

2018年美亚杯电子数据取证大赛-资格赛wp

2. [单选题] 2.根据法证映像档 (Forensic Image),确定原笔记本内有多少个硬盘分区? (2分)
A. 1
B. 2
C. 3
D. 4
E. 5 

2018年美亚杯电子数据取证大赛-资格赛wp

3. [单选题] 3.你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)? (答案格式: 扇区, Sector) (2分)
A. 0
B. 2408
C. 1048576
D. 62916608
E. 32213303296

操作系统分区的扇区:(这里在听美亚的培训讲解的时候,老师讲的就是找加载扇区数,但是和答案对不上,不知道为什么)

2018年美亚杯电子数据取证大赛-资格赛wp

4. [单选题] 4.你能找到硬盘操作系统分区的物理大少吗 (字节byte)? (2分)
A. 62709760
B. 62910464
C. 104857600
D. 32107397120
E. 32210157568

接上题,问操作系统分区的物理大小=扇区数*512(62910464*512)

5. [单选题] 5.操作系统分区的文件系统是哪种? (2分)
A. FAT32
B. EXFAT
C. NTFS
D. EXT3
E. HFS+

2018年美亚杯电子数据取证大赛-资格赛wp

6. [单选题] 6.操作系统分区,每个簇(Cluster)包含几个扇区(sectors)? (2分)
A. 2
B. 4
C. 6
D. 8
E. 16 

可以通过仿真去查看;还有一种取巧的方式:就是找.txt文件,当他的逻辑大小比较小的时候看看他的物理大小是多大:

2018年美亚杯电子数据取证大赛-资格赛wp

7. [单选题] 7.在操作系统分区内,$MFT的物理起始扇区位置(Starting physical sector)是什么? (2分)
A. 62,919,936
B. 67,086,648
C. 68,942,784
D. 69,208,064
E. 79,865,960

2018年美亚杯电子数据取证大赛-资格赛wp

8. [单选题] 8.请找出系统文件“SOFTWARE",请问操作系统的安装日期是? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC) (2分)
A. 2018-10-25 08:08 UTC
B. 2018-10-25 08:09 UTC
C. 2018-10-25 08:10 UTC
D. 2018-10-25 08:11 UTC
E. 2018-10-25 08:12 UTC

由取证大师->取证结果->系统信息得到:

2018年美亚杯电子数据取证大赛-资格赛wp

9. [单选题] 9.用户“victor"的唯一标识符(SID)是什么?(答案格式:RID) (2分)
A. 1001
B. 1002
C. 1003
D. 1004
E. 1005

2018年美亚杯电子数据取证大赛-资格赛wp

10. [单选题] 10.用户“Lily"的唯一标识符(SID)是什么?(答案格式:RID) (2分)
A. 1001
B. 1002
C. 1003
D. 1004
E. 1005

同样由上图得知Lily的SID为1003

11. [单选题] 11.Victor上一次更改系统登入密码是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A. 2018-11-01 16:08 +8
B. 2018-11:01 14:15 +8
C. 2018-10-26 17:00 +8
D. 2018-10-25 08:08 +8
E. 2018-10-25 16:08 +8

2018年美亚杯电子数据取证大赛-资格赛wp

12. [单选题] 12.Lily上一次更改系统登入密码是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A. 2018-11-01 03:02:01 +8
B. 2018-11:02 11:13:33 +8
C. 2018-10-26 17:00:45 +8
D. 2018-10-30 12:30:40 +8
E. 2018-10-27 12:08:37 +8

同样还是由上图得知Lily的上一次更改系统登入密码的时间为12:30

13. [单选题] 13.Victor 总共登录系统多少次? (2分)
A. 3
B. 16
C. 33
D. 36
E. 45

还是上面的图得知victor一共登陆系统36次;

14. [单选题] 14.以下哪个帐号已经被禁用? (2分)
A. Administrator
B. victor
C. Lily
D. simon
E. 以上皆不是

2018年美亚杯电子数据取证大赛-资格赛wp

总共禁用了两个用户名,分别是administrator、Guest; 

15. [单选题] 15.以下哪个帐系统权限最低? (2分)
A. Administrator
B. victor
C. Lily
D. simon
E. 以上权限一样

依照上图的“所在用户组”列,得知simon所在的用户组为“User、Guests”;

16. [单选题] 16.以下哪个帐号曾经远端登录系统? (2分)
A. Administrator
B. victor
C. Lily
D. simon
E. 远端登入已被禁止

仿真登陆系统:

2018年美亚杯电子数据取证大赛-资格赛wp

17. [单选题] 17.硬盘操作系统的版本? (2分)
A. Windows 7 Enterprise (32 位)
B. Windows 7 Enterprise (64 位)
C. Windows 7 Professional (32 位)
D. Windows 7 Professional (64 位)
E. Windows 7 Ultimate (64 位)

2018年美亚杯电子数据取证大赛-资格赛wp

由上图可以得到17、18题的答案 

18. [单选题] 18.操作系统的最新服务包(Service Pack)版本号是什么? (2分)
A. Service Pack 1
B. Service Pack 2
C. Service Pack 3
D. Service Pack 4
E. Service Pack 5

19. [单选题] 19.下列哪个是victor的默认打印机? (2分)
A. HP OfficeJet 250 Mobile Series
B. CutePDF Writer
C. Microsoft XPS Document Writer
D. PDF Complete
E. AL-M2330

2018年美亚杯电子数据取证大赛-资格赛wp

其他搜不到,仿真系统中也可以看到:

2018年美亚杯电子数据取证大赛-资格赛wp

20. [单选题] 20.在2018-10-31 08:29:32 +8时间, 账号simon曾经使用以下哪个文件? (2分)
A. Microsoft 商店.url
B. ug.jpeg
C. Reddy Resume.doc
D. grocerylistsDOTorg_Spreadsheet_v1_1.xls
E. InvoiceTemplate.docx

搜索得知,再比较最符合对应时间的目标文件:

2018年美亚杯电子数据取证大赛-资格赛wp

21. [单选题] 21.接上题,开启上述文件的程序是? (2分)
A. Internet Explorer
B. Firefox
C. 画图
D. WPS 表格
E. WPS 文字

因为是doc文件,最近访问的Office文档推出:应该用WPS文字打开的!

22. [单选题] 22.以下哪个是victor的默认网页浏览器? (2分)
A. Internet Explorer
B. Google Chrome
C. 360浏览器
D. Firefox
E. 迅雷浏览器

仿真系统中,在桌面上创建一个1.html文件:

2018年美亚杯电子数据取证大赛-资格赛wp

发现是火狐位默认浏览器; 

23. [单选题] 23.victor的回收站里面有一张地图,以下哪个是这张地图原来的文件名? (2分)
A. 捕获.PNG
B. 抓取.PNG
C. Screenshot.PNG
D. Map.bmp
E. Map.jpg

2018年美亚杯电子数据取证大赛-资格赛wp

24. [单选题] 24.接上题,上述地图原来的储存路径是? (2分)
A. C:\Users\victor\Pictures
B. C:\Users\victor\Documents
C. C:\Users\victor\Desktop
D. C:\Users\victor\Downloads
E. C:\

2018年美亚杯电子数据取证大赛-资格赛wp

25. [单选题] 25.找出一个名为"request for quotation.lnk"的档案,并指出该LNK文件的目标路径? (2分)
A. C:\Users\victor\Pictures
B. C:\Users\victor\Documents
C. C:\Users\victor\Desktop
D. C:\Users\victor\Downloads
E. C:\

2018年美亚杯电子数据取证大赛-资格赛wp

这里我选择了直接在取证大师中去搜索,没用仿真的方法; 

26. [单选题] 26.接上题,上述文件上一次开启的时间是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (2分)
A. 2018-10-29 15:11:43 +8
B. 2018-10-29 19:24:16 +8
C. 2018-10-29 15:11:42‌ +8
D. 2018-11-01 14:51:25 +8
E. 2018-10-29 07:11:42 +8

2018年美亚杯电子数据取证大赛-资格赛wp

最后访问时间便是该文件的上一次的开启时间; 

27. [单选题] 27.接上题,"request for quotation.lnk"的元数据(metadata)记录了以下哪个网卡的物理地址(mac address)? (2分)
A. 00:0C:29:70:F4:47
B. 00:50:56:C0:00:13
C. 47:F4:70:29:0C:00
D. E4:A7:A0:CB:66:C7
E. 00:0C:29:70:F4:47

2018年美亚杯电子数据取证大赛-资格赛wp

这里我在坐上一个题目的时候,并没有找到该文件记录的MAC地址,直接去搜索了MAC地址; 

28. [单选题] 28.系统账号victor使用以下哪个电子邮件发送/接收的程序? (2分)
A. Outlook express
B. Lotus Note
C. Thunderbird
D. Roundcube
E. 没有安装以上软件

2018年美亚杯电子数据取证大赛-资格赛wp

29. [单选题] 29.系统经哪个IP地址,登录互联网? (2分)
A. 10.0.4.1
B. 10.0.4.128
C. 192.168.72.2
D. 192.168.72.128
E. 192.168.72.233

2018年美亚杯电子数据取证大赛-资格赛wp

30. [单选题] 30.在该操作系统中,曾经连接数个USB移动储存装置 (U盘),下列那个是该系统连接过的USB移动储存装置 ? (2分)
A. Verbatim USB Device
B. USB Mass storage USB Device
C. WD 2500BMV External USB Device
D. SanDisk Cruzer Fit USB Device
E. Seagate 250 External USB Device

直接搜索了;

2018年美亚杯电子数据取证大赛-资格赛wp

31. [单选题] 31.在操作系统中,上述U盘曾被指派以下哪个磁盘分区代号(Drive Letter) ? (2分)
A. D:
B. E:
C. F:
D. G:
E. Z:

2018年美亚杯电子数据取证大赛-资格赛wp

32. [单选题] 32.该操作系统中,下列哪个是最后的关机时间? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM:SS UTC) (2分)
A. 2018-11-02 08:59:38 UTC
B. 2018-11-02 10:22:40 UTC
C. 2018-11-02 10:23:03 UTC
D. 2018-11-02 10:47:28 UTC
E. 2018-11-02 10:47:51 UTC

2018年美亚杯电子数据取证大赛-资格赛wp

33. [单选题] 33.该操作系统中,下列哪个是计算机的主机名? (2分)
A. VICTOR-COMPUTER
B. WORKGROUP
C. SIMON-HOME
D. VICTOR-HOME
E. LILY-HOME

2018年美亚杯电子数据取证大赛-资格赛wp

34. [单选题] 34.接上题,设定为上述计算机主机名前是什么名称? (2分)
A. 42P323K467-22
B. 37L4247F27-25
C. WIN-6S2GC51RGL9
D. USER-PC
E. MY-PC

这个题目之前,我不会做,直接搜索了答案,结果还是做错了;看了大佬的答案,是找系统日志中的事件日志:

2018年美亚杯电子数据取证大赛-资格赛wp

打开,找到对应的事件ID:

2018年美亚杯电子数据取证大赛-资格赛wp

35. [单选题] 35.接上题,上述计算机主机名设定时间是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (2分)
A. 2018-10-24 11:07:22 +8
B. 2018-10-28 12:22:59 +8
C. 2018-10-27 13:45:18 +8
D. 2018-10-25 16:04:19 +8
E. 2018-10-25 16:07:38 +8

36. [单选题] 36.在该操作系统中,下列哪个是用户victor日常使用的电邮账号? (2分)
A. victor201811@hotmail.com
B. wictor2018111@hotmail.com
C. victor_201811@google.com
D. victorlam2018@hotmail.com
E. 以上皆不是

2018年美亚杯电子数据取证大赛-资格赛wp

37. [单选题] 37.victor 上一次更改上述电邮账号密码是什么时候? (答案格式 -“本地时间":YYYY-MM-DD) (2分)
A. 2018-10-29
B. 2018-10-30
C. 2018-10-31
D. 2018-11-01
E. 2018-11-02

2018年美亚杯电子数据取证大赛-资格赛wp

38. [单选题] 38.victor什么时候收到勒索电邮? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A. 2018-11-02 09:09 +8
B. 2018-11-02 09:10 +8
C. 2018-11-02 10:09 +8
D. 2018-11-02 17:09 +8
E. 2018-11-02 17:10 +8

2018年美亚杯电子数据取证大赛-资格赛wp

39. [单选题] 39.以下哪个是发出勒索邮件的的IP地址? (2分)
A. 10.152.64.57
B. 10.152.64.217
C. 220.246.55.13
D. 74.208.4.220(不懂为啥不选D)
E. 10.76.45.13

2018年美亚杯电子数据取证大赛-资格赛wp

这个题的答案选择C,这里我还不清楚这是为什么,C不是中转IP地址嘛??? 

40. [单选题] 40.勒索邮件的附件解压后有一个病毒文件,这个文件的MD5哈希值是? (2分)
A. 72596F71248531853F37D4BD15D088C4
B. 15B64B15CC5A5442196471690D4A088B
C. 67A1487E296328C9E802D50741D8DB9C
D. 72596F71248DH3S92LS7D4BD15D088C4
E. 5BB71EF8E95A5249EF4C2A8CFF9A1E1C

这里我将文件导出之后,使用MD5哈希值计算工具,进行了计算:

2018年美亚杯电子数据取证大赛-资格赛wp

41. [单选题] 41.上述的病毒文件什么时间被系统执行? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A. 2018-11-02 14:15 +8
B. 2018-11-02 17:09 +8
C. 2018-11-02 17:13 +8
D. 2018-11-02 17:20 +8
E. 2018-11-02 17:23 +8

直接在取证大师里面搜索这个病毒文件,查找访问时间:

2018年美亚杯电子数据取证大赛-资格赛wp

42. [单选题] 42.这个病毒是否会在重新开机后自动运行?如会,它是通过下列哪个程序执行? (2分)
A. Thunder.exe
B. QyKernel.exe
C. QyClient.exe
D. javaw.exe
E. 病毒不会自动执行

这个不会!我这里就是直接搜索,发现了一个奇奇怪怪的东西:

2018年美亚杯电子数据取证大赛-资格赛wp

43. [单选题] 43.病毒文件被执行后有以下哪个文件被生成? (2分)
A. E8S377N3N8UOAMS82PQJ.temp
B. tbc_stat_cache.dat
C. JNativeHook_4940080920928265976.dll
D. 83aa4cc77f591dfc2374580bbd95f6ba.tmp
E. downloads.json

这个题不会做,直接搜,部分答案搜索不出来,部分答案与病毒文件的运行时间对不上,故:

2018年美亚杯电子数据取证大赛-资格赛wp

44. [单选题] 44.接上题,上述文件有什么功能? (2分)
A. 获取镜头权限
B. 追踪键盘记录
C. 抓取浏览器密码
D. 抓取系统登入密码
E. 存取系统分区

这里就是搜索上面生成的文件:

2018年美亚杯电子数据取证大赛-资格赛wp

2018年美亚杯电子数据取证大赛-资格赛wp

45. [单选题] 45.以下哪个是系统安装的第三方输入法软件? (2分)
A. sogou pinyin
B. sogou wubi
C. Baidu Pinyin
D. QQ Pingyin
E. 以上皆不是

2018年美亚杯电子数据取证大赛-资格赛wp

46. [单选题] 46.操作系统是跟哪一个时间服务器自动同步? (2分)
A. time.nist.gov
B. time-a.nist.gov
C. time.windows.com
D. time-b.nist.gov
E. time-nw.nist.gov

2018年美亚杯电子数据取证大赛-资格赛wp

这里我直接搜索了,正常是在仿真中确认; 

47. [单选题] 47. 法证人员于2018-11-02 下午6时25分到场,之后对系统作以下哪项取证? (2分)
A. 抓取荧幕画面
B. 备份使用者资料
C. 备份浏览记录
D. 抓取网络数据包
E. 制作内存镜像档

48. [单选题] 48. 法证人员到场后,以下哪个软件曾经在系统里运行过? (2分)
A. wireshark.exe
B. Magnet RAM capture.exe
C. Lightscreen.exe
D. fastdump.exe
E. 以上皆不是

2018年美亚杯电子数据取证大赛-资格赛wp

其他的三个可执行文件直接搜不到;

49. [单选题] 49.接上题,所抓取的资料被储存为以下哪个文件? (2分)
A. victor_PC_networktraffic.pcapng
B. Lily_PC.networktraffice.pcapng
C. PC_ screenshot.PNG
D. victor_PC_memdump.dmp
E. Lily_PC_memdump.dmp

2018年美亚杯电子数据取证大赛-资格赛wp

50. [单选题] 50.接上题,上述档案储存到以下哪个分区? (2分)
A. D:
B. E:
C. F:
D. G:
E. H:

完整路径中存在着F:

相关的试题来源于:中国电子数据取证大赛组委会文章来源地址https://www.toymoban.com/news/detail-428975.html

到了这里,关于2018年美亚杯电子数据取证大赛-资格赛wp的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 2018年第三届 美亚杯电子取证 个人赛题解

    取证直接获取 FC20782C21751BA76B2A93F3A17922D0 E 查看硬盘个数 3个 C LBA开始地址 我们首先确定操作系统分区 可以发现是 E 盘 然后我们开始看物理地址 物理位置:32,213,303,296 除以 512 答案为D 这里就是需要通过扇区x512来计算 答案为E C 这里真不会 看了看 主要是看 磁盘十六进制 第1

    2024年02月06日
    浏览(31)
  • 服务器部分 2023盘古石杯全国电子数据取证大赛 技能赛晋级赛

    MD5: FF4AB93F852B23DD759A6810754557A8 加密容器密码:usy1UN2Mmgram^d?0E5r9myrk!cmJGr 后期服务器应该会再更新一版,全部的题解不一定会更新,估计一年内会出吧,博主马上大四了,在各种考试。 取证软件未解析软路由物联网四块检材 仿真未检测到操作系统型号 将软路由四块检材同时选中

    2024年02月05日
    浏览(55)
  • 2023年 首届盘古石杯全国电子数据取证大赛 技能赛决赛 服务器题解析

    root@P@88w0rd 方法1 john的电脑使用账号john密码paofen登录,chrome浏览器中密码管理器内查看 切记仿真时不要清空账号密码 方法2 使用计算机取证软件解析john的电脑的镜像浏览器记录密码 TrueNAS-13.0-U4 使用虚拟机内TrueNAS显示的IP地址用浏览器访问后使用账号root 密码P@88w0rd 登陆后在

    2024年02月11日
    浏览(41)
  • 电子数据取证(一)

    电子数据的特点 **1、以数字化形式存在。**所有的电子数据都是基于计算机应用和通信等电子化技术手段形成的,用以表示文字、图形符号、数字、字母等信息的资料。与其他证据种类不同,电子数据在本质上而言是以电子形式存储或者传输的。 **2、具有开放性的特征。**从

    2024年02月13日
    浏览(39)
  • 一文读懂电子数据取证

    科学的运用提取和证明方法,对从电子数据源提取的证据进行保护、收集、验证、鉴定、分析、解释、存档和出示,以有助于进一步的犯罪事件重构或帮助识别某些计划操作无关的非授权性活动。 在网络安全大环境中,信息安全可以看作是解决事前防御问题,电子取证则是解

    2024年02月13日
    浏览(47)
  • 第二届“中科实数杯”全国电子数据取证 wp

    准备参加第三届的比赛了,特意把第二届的比赛写一下,第一次写wp,不足之处请多多指点 第二部分------案件背景介绍 🌎王刚(英文名kugoo)是一家国内大型电子商务公司的服务器管理员,他负责公司多台服务器的日常运维管理。 王刚利用个人职位之便,私下将客户的资料

    2024年02月09日
    浏览(90)
  • 2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分)

    分析“数据包1.cap”,请问客户端为什么访问不了服务器。( ) A.DDoS攻击 B.DoS攻击 C.SQL注入 D.文档攻击 DOS攻击,特征是短时间内TCP很高 分析“数据包1.cap”,出问题的服务器IP地址是_______。(格式:127.0.0.1) 跳过,之后分析 分析“数据包1.cap”,文件下发服务器的IP地址是

    2024年02月08日
    浏览(42)
  • 2020年“创享杯”第一届电子数据取证线上大比武部分Writeup

    近日,某市公安机关接到多名在校大学生报案,称其在做 “网上兼职刷单”被骗取金钱数额不等。经警方初步调查发现嫌疑人张某及同伙经常通过社交平台以高额回报为诱饵,套用真实刷单兼职工作流程,诱骗受害人多次汇款,涉嫌电信诈骗行为。经确认核实,警方对张某进

    2024年02月14日
    浏览(40)
  • 【电子取证篇】汽车取证检验标准

    汽车取证鉴定可能涉及的测试/测量方法—【蘇小沐】 GA/T 976-2012《电子数据法庭科学鉴定通用方法》; GA/T 1998-2022《汽车车载电子数据提取技术规范》; GA/T 1999.2-2022《道路交通事故车辆速度鉴定方法 第2部分:基于汽车事件数据记录系统》; GB 39732-2020《汽车事件数据记录系

    2024年02月10日
    浏览(41)
  • 电子取证工具

    在计算机取证过程中,相应的取证工具必不可少,常见的有Tcpdump、Argus、NFR、Tcpwrapper、Sniffers、Honeypot,Tripwires、Network monitor,镜像工具等。在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件,但很多工具都属于付费软件,很多读者不可能免费拥有它们,但有

    2024年02月15日
    浏览(31)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包