😋大家好,我是YAy_17,是一枚爱好网安的小白,正在自学ing。
本人水平有限,欢迎各位大佬指点,一起学习💗,一起进步⭐️。
⭐️此后如竟没有炬火,我便是唯一的光。⭐️
使用取证大师分析镜像:
1. [单选题] 1.Victor的笔记本电脑己成功取证并制作成法证映像档 (Forensic Image),下列哪个是其MD5哈希值? (2分)
A. FC20782C21751AB76B2A93F3A17922D0
B. 882114D62E713DEA34C270CF2F1C69D2
C. A0BB016160CFB3A0BB0161661670CFB3
D. 917ED59083C8B35C54D3FCBFE4C4BB0B
E. FC20782C21751BA76B2A93F3A17922D0
2. [单选题] 2.根据法证映像档 (Forensic Image),确定原笔记本内有多少个硬盘分区? (2分)
A. 1
B. 2
C. 3
D. 4
E. 5
3. [单选题] 3.你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)? (答案格式: 扇区, Sector) (2分)
A. 0
B. 2408
C. 1048576
D. 62916608
E. 32213303296
操作系统分区的扇区:(这里在听美亚的培训讲解的时候,老师讲的就是找加载扇区数,但是和答案对不上,不知道为什么)
4. [单选题] 4.你能找到硬盘操作系统分区的物理大少吗 (字节byte)? (2分)
A. 62709760
B. 62910464
C. 104857600
D. 32107397120
E. 32210157568
接上题,问操作系统分区的物理大小=扇区数*512(62910464*512)
5. [单选题] 5.操作系统分区的文件系统是哪种? (2分)
A. FAT32
B. EXFAT
C. NTFS
D. EXT3
E. HFS+
6. [单选题] 6.操作系统分区,每个簇(Cluster)包含几个扇区(sectors)? (2分)
A. 2
B. 4
C. 6
D. 8
E. 16
可以通过仿真去查看;还有一种取巧的方式:就是找.txt文件,当他的逻辑大小比较小的时候看看他的物理大小是多大:
7. [单选题] 7.在操作系统分区内,$MFT的物理起始扇区位置(Starting physical sector)是什么? (2分)
A. 62,919,936
B. 67,086,648
C. 68,942,784
D. 69,208,064
E. 79,865,960
8. [单选题] 8.请找出系统文件“SOFTWARE",请问操作系统的安装日期是? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC) (2分)
A. 2018-10-25 08:08 UTC
B. 2018-10-25 08:09 UTC
C. 2018-10-25 08:10 UTC
D. 2018-10-25 08:11 UTC
E. 2018-10-25 08:12 UTC
由取证大师->取证结果->系统信息得到:
9. [单选题] 9.用户“victor"的唯一标识符(SID)是什么?(答案格式:RID) (2分)
A. 1001
B. 1002
C. 1003
D. 1004
E. 1005
10. [单选题] 10.用户“Lily"的唯一标识符(SID)是什么?(答案格式:RID) (2分)
A. 1001
B. 1002
C. 1003
D. 1004
E. 1005
同样由上图得知Lily的SID为1003
11. [单选题] 11.Victor上一次更改系统登入密码是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A. 2018-11-01 16:08 +8
B. 2018-11:01 14:15 +8
C. 2018-10-26 17:00 +8
D. 2018-10-25 08:08 +8
E. 2018-10-25 16:08 +8
12. [单选题] 12.Lily上一次更改系统登入密码是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A. 2018-11-01 03:02:01 +8
B. 2018-11:02 11:13:33 +8
C. 2018-10-26 17:00:45 +8
D. 2018-10-30 12:30:40 +8
E. 2018-10-27 12:08:37 +8
同样还是由上图得知Lily的上一次更改系统登入密码的时间为12:30
13. [单选题] 13.Victor 总共登录系统多少次? (2分)
A. 3
B. 16
C. 33
D. 36
E. 45
还是上面的图得知victor一共登陆系统36次;
14. [单选题] 14.以下哪个帐号已经被禁用? (2分)
A. Administrator
B. victor
C. Lily
D. simon
E. 以上皆不是
总共禁用了两个用户名,分别是administrator、Guest;
15. [单选题] 15.以下哪个帐系统权限最低? (2分)
A. Administrator
B. victor
C. Lily
D. simon
E. 以上权限一样
依照上图的“所在用户组”列,得知simon所在的用户组为“User、Guests”;
16. [单选题] 16.以下哪个帐号曾经远端登录系统? (2分)
A. Administrator
B. victor
C. Lily
D. simon
E. 远端登入已被禁止
仿真登陆系统:
17. [单选题] 17.硬盘操作系统的版本? (2分)
A. Windows 7 Enterprise (32 位)
B. Windows 7 Enterprise (64 位)
C. Windows 7 Professional (32 位)
D. Windows 7 Professional (64 位)
E. Windows 7 Ultimate (64 位)
由上图可以得到17、18题的答案
18. [单选题] 18.操作系统的最新服务包(Service Pack)版本号是什么? (2分)
A. Service Pack 1
B. Service Pack 2
C. Service Pack 3
D. Service Pack 4
E. Service Pack 5
19. [单选题] 19.下列哪个是victor的默认打印机? (2分)
A. HP OfficeJet 250 Mobile Series
B. CutePDF Writer
C. Microsoft XPS Document Writer
D. PDF Complete
E. AL-M2330
其他搜不到,仿真系统中也可以看到:
20. [单选题] 20.在2018-10-31 08:29:32 +8时间, 账号simon曾经使用以下哪个文件? (2分)
A. Microsoft 商店.url
B. ug.jpeg
C. Reddy Resume.doc
D. grocerylistsDOTorg_Spreadsheet_v1_1.xls
E. InvoiceTemplate.docx
搜索得知,再比较最符合对应时间的目标文件:
21. [单选题] 21.接上题,开启上述文件的程序是? (2分)
A. Internet Explorer
B. Firefox
C. 画图
D. WPS 表格
E. WPS 文字
因为是doc文件,最近访问的Office文档推出:应该用WPS文字打开的!
22. [单选题] 22.以下哪个是victor的默认网页浏览器? (2分)
A. Internet Explorer
B. Google Chrome
C. 360浏览器
D. Firefox
E. 迅雷浏览器
仿真系统中,在桌面上创建一个1.html文件:
发现是火狐位默认浏览器;
23. [单选题] 23.victor的回收站里面有一张地图,以下哪个是这张地图原来的文件名? (2分)
A. 捕获.PNG
B. 抓取.PNG
C. Screenshot.PNG
D. Map.bmp
E. Map.jpg
24. [单选题] 24.接上题,上述地图原来的储存路径是? (2分)
A. C:\Users\victor\Pictures
B. C:\Users\victor\Documents
C. C:\Users\victor\Desktop
D. C:\Users\victor\Downloads
E. C:\
25. [单选题] 25.找出一个名为"request for quotation.lnk"的档案,并指出该LNK文件的目标路径? (2分)
A. C:\Users\victor\Pictures
B. C:\Users\victor\Documents
C. C:\Users\victor\Desktop
D. C:\Users\victor\Downloads
E. C:\
这里我选择了直接在取证大师中去搜索,没用仿真的方法;
26. [单选题] 26.接上题,上述文件上一次开启的时间是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (2分)
A. 2018-10-29 15:11:43 +8
B. 2018-10-29 19:24:16 +8
C. 2018-10-29 15:11:42 +8
D. 2018-11-01 14:51:25 +8
E. 2018-10-29 07:11:42 +8
最后访问时间便是该文件的上一次的开启时间;
27. [单选题] 27.接上题,"request for quotation.lnk"的元数据(metadata)记录了以下哪个网卡的物理地址(mac address)? (2分)
A. 00:0C:29:70:F4:47
B. 00:50:56:C0:00:13
C. 47:F4:70:29:0C:00
D. E4:A7:A0:CB:66:C7
E. 00:0C:29:70:F4:47
这里我在坐上一个题目的时候,并没有找到该文件记录的MAC地址,直接去搜索了MAC地址;
28. [单选题] 28.系统账号victor使用以下哪个电子邮件发送/接收的程序? (2分)
A. Outlook express
B. Lotus Note
C. Thunderbird
D. Roundcube
E. 没有安装以上软件
29. [单选题] 29.系统经哪个IP地址,登录互联网? (2分)
A. 10.0.4.1
B. 10.0.4.128
C. 192.168.72.2
D. 192.168.72.128
E. 192.168.72.233
30. [单选题] 30.在该操作系统中,曾经连接数个USB移动储存装置 (U盘),下列那个是该系统连接过的USB移动储存装置 ? (2分)
A. Verbatim USB Device
B. USB Mass storage USB Device
C. WD 2500BMV External USB Device
D. SanDisk Cruzer Fit USB Device
E. Seagate 250 External USB Device
直接搜索了;
31. [单选题] 31.在操作系统中,上述U盘曾被指派以下哪个磁盘分区代号(Drive Letter) ? (2分)
A. D:
B. E:
C. F:
D. G:
E. Z:
32. [单选题] 32.该操作系统中,下列哪个是最后的关机时间? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM:SS UTC) (2分)
A. 2018-11-02 08:59:38 UTC
B. 2018-11-02 10:22:40 UTC
C. 2018-11-02 10:23:03 UTC
D. 2018-11-02 10:47:28 UTC
E. 2018-11-02 10:47:51 UTC
33. [单选题] 33.该操作系统中,下列哪个是计算机的主机名? (2分)
A. VICTOR-COMPUTER
B. WORKGROUP
C. SIMON-HOME
D. VICTOR-HOME
E. LILY-HOME
34. [单选题] 34.接上题,设定为上述计算机主机名前是什么名称? (2分)
A. 42P323K467-22
B. 37L4247F27-25
C. WIN-6S2GC51RGL9
D. USER-PC
E. MY-PC
这个题目之前,我不会做,直接搜索了答案,结果还是做错了;看了大佬的答案,是找系统日志中的事件日志:
打开,找到对应的事件ID:
35. [单选题] 35.接上题,上述计算机主机名设定时间是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (2分)
A. 2018-10-24 11:07:22 +8
B. 2018-10-28 12:22:59 +8
C. 2018-10-27 13:45:18 +8
D. 2018-10-25 16:04:19 +8
E. 2018-10-25 16:07:38 +8
36. [单选题] 36.在该操作系统中,下列哪个是用户victor日常使用的电邮账号? (2分)
A. victor201811@hotmail.com
B. wictor2018111@hotmail.com
C. victor_201811@google.com
D. victorlam2018@hotmail.com
E. 以上皆不是
37. [单选题] 37.victor 上一次更改上述电邮账号密码是什么时候? (答案格式 -“本地时间":YYYY-MM-DD) (2分)
A. 2018-10-29
B. 2018-10-30
C. 2018-10-31
D. 2018-11-01
E. 2018-11-02
38. [单选题] 38.victor什么时候收到勒索电邮? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A. 2018-11-02 09:09 +8
B. 2018-11-02 09:10 +8
C. 2018-11-02 10:09 +8
D. 2018-11-02 17:09 +8
E. 2018-11-02 17:10 +8
39. [单选题] 39.以下哪个是发出勒索邮件的的IP地址? (2分)
A. 10.152.64.57
B. 10.152.64.217
C. 220.246.55.13
D. 74.208.4.220(不懂为啥不选D)
E. 10.76.45.13
这个题的答案选择C,这里我还不清楚这是为什么,C不是中转IP地址嘛???
40. [单选题] 40.勒索邮件的附件解压后有一个病毒文件,这个文件的MD5哈希值是? (2分)
A. 72596F71248531853F37D4BD15D088C4
B. 15B64B15CC5A5442196471690D4A088B
C. 67A1487E296328C9E802D50741D8DB9C
D. 72596F71248DH3S92LS7D4BD15D088C4
E. 5BB71EF8E95A5249EF4C2A8CFF9A1E1C
这里我将文件导出之后,使用MD5哈希值计算工具,进行了计算:
41. [单选题] 41.上述的病毒文件什么时间被系统执行? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A. 2018-11-02 14:15 +8
B. 2018-11-02 17:09 +8
C. 2018-11-02 17:13 +8
D. 2018-11-02 17:20 +8
E. 2018-11-02 17:23 +8
直接在取证大师里面搜索这个病毒文件,查找访问时间:
42. [单选题] 42.这个病毒是否会在重新开机后自动运行?如会,它是通过下列哪个程序执行? (2分)
A. Thunder.exe
B. QyKernel.exe
C. QyClient.exe
D. javaw.exe
E. 病毒不会自动执行
这个不会!我这里就是直接搜索,发现了一个奇奇怪怪的东西:
43. [单选题] 43.病毒文件被执行后有以下哪个文件被生成? (2分)
A. E8S377N3N8UOAMS82PQJ.temp
B. tbc_stat_cache.dat
C. JNativeHook_4940080920928265976.dll
D. 83aa4cc77f591dfc2374580bbd95f6ba.tmp
E. downloads.json
这个题不会做,直接搜,部分答案搜索不出来,部分答案与病毒文件的运行时间对不上,故:
44. [单选题] 44.接上题,上述文件有什么功能? (2分)
A. 获取镜头权限
B. 追踪键盘记录
C. 抓取浏览器密码
D. 抓取系统登入密码
E. 存取系统分区
这里就是搜索上面生成的文件:
45. [单选题] 45.以下哪个是系统安装的第三方输入法软件? (2分)
A. sogou pinyin
B. sogou wubi
C. Baidu Pinyin
D. QQ Pingyin
E. 以上皆不是
46. [单选题] 46.操作系统是跟哪一个时间服务器自动同步? (2分)
A. time.nist.gov
B. time-a.nist.gov
C. time.windows.com
D. time-b.nist.gov
E. time-nw.nist.gov
这里我直接搜索了,正常是在仿真中确认;
47. [单选题] 47. 法证人员于2018-11-02 下午6时25分到场,之后对系统作以下哪项取证? (2分)
A. 抓取荧幕画面
B. 备份使用者资料
C. 备份浏览记录
D. 抓取网络数据包
E. 制作内存镜像档
48. [单选题] 48. 法证人员到场后,以下哪个软件曾经在系统里运行过? (2分)
A. wireshark.exe
B. Magnet RAM capture.exe
C. Lightscreen.exe
D. fastdump.exe
E. 以上皆不是
其他的三个可执行文件直接搜不到;
49. [单选题] 49.接上题,所抓取的资料被储存为以下哪个文件? (2分)
A. victor_PC_networktraffic.pcapng
B. Lily_PC.networktraffice.pcapng
C. PC_ screenshot.PNG
D. victor_PC_memdump.dmp
E. Lily_PC_memdump.dmp
50. [单选题] 50.接上题,上述档案储存到以下哪个分区? (2分)
A. D:
B. E:
C. F:
D. G:
E. H:
完整路径中存在着F:文章来源:https://www.toymoban.com/news/detail-428975.html
相关的试题来源于:中国电子数据取证大赛组委会文章来源地址https://www.toymoban.com/news/detail-428975.html
到了这里,关于2018年美亚杯电子数据取证大赛-资格赛wp的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!