话不多说,案情👇
Gary是一位经常用手提电脑的人,而且热爱足球运动,常常看足球网站。他于2007年9月开始想赚快钱,思想变得偏激,并关注一些违法的事。于是Gary就想着赌博,查阅军事资料,了解恐怖袭击的新闻报道。另外他开始上网寻找有关如何购买枪械、刀等武器的资料,还寻找如何制造假网站,但最后均无收获。
1 Gary的笔记本电脑已成功取证并制作成镜像 (Forensic Image),下列哪个是其MD5哈希值。
A. 0CFB3A0BB016165F1BDEB87EE9F710C9
B. 5F1BDEB87EE9F710C90CFB3A0BB01616
C. A0BB016160CFB3A0BB0161661670CFB3
D. 16160CFB3A0BB016166A0BB016166167
E. 891F083DBA863410DEBC61F630AB581C
2 根据此镜像 (Forensic Image),里面有多少个硬盘分区?
A. 1
B. 2
C. 3
D. 4
E. 5
3 你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)?
A. 0
B. 512
C. 2,048
D. 206848
E. 102,402,047
4 你能找到硬盘操作系统分区的大小吗 (字节byte)?
A. 48.7
B. 102,195,200
C. 140,232,703
D. 19,369,295,872
E. 52,323,942,400
系统分区物理位置记得×512
5 在包含操作系统的分区内,$MFT的物理起始偏移位置是什么?
A. 3328
B. 4170040
C. 6026176
D. 6291456
E. 16949352
6 请找出系统文件“SOFTWARE",请问操作系统的安装日期是?
(答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC)
A. 2017-09-4 10:10 UTC
B. 2017-09-4 10:11 UTC
C. 2017-09-4 10:12 UTC
D. 2017-09-4 10:13 UTC
E. 2017-09-4 10:14 UTC
7 用户“Gary"的SID是什么?
A. 1000
B. 1001
C. 1002
D. 1005
E. 1007
8 用户“彼得"的SID是什么?
A. 1000
B. 1001
C. 1002
D. 1005
E. 1007
上题图可知
9 硬盘的操作系统是什么?
A. Windows 7
B. Windows 8
C. Windows 10
D. Linux Red Hat 7.1
E. MAC OS X
6题图可知
10 哪个是Windows的默认浏览器?
A. Microsoft Internet Explorer
B. Google Chrome
C. Mozilla Firefox
D. Opera
E. QQ 浏览器
发现安装软件👇
11 用户 “Gary"曾经浏览过一些非法博彩网站,下列哪项URL符合?
a. www1.10086.com
b. www.188bet.com
c. www.hv5858.com
d. www.12377.cn
e. www.88.bettingwell.com
f. www.aaakk.org
A. 只有(a) & (b)
B. (a), (b), (d) & (f)
C. (b), (c), (d) & (f)
D. (b), (c), (e) & (f)
E. 以上皆是
12 用户Gary曾经登入上述非法博彩网站,下列哪个是其登入名称?
A. ggchey68
B. gany-cher88
C. galy_chen88
D. garychen1688
E. garychen88
浏览器保存密码
13 在所有用户中,用于电子邮件发送/接收的程序名称是什么?
A. 新浪邮箱
B. 网易163
C. 阿里邮箱
D. Foxmail
E. Mozilla Mail – ThunderBird
14 在该Windows系统中,曾经连接数个USB移动储存装置 (U盘),下列那个不是该系统连接过的USB移动储存装置 ?
A. WD My Passport 0827 USB Device
B. StoreJet Transcend USB Device
C. Samsung Portable SSD USB Device
D. StoreJet TS256GESD400K USB Device
E. General UDisk USB Device
15 在该Windows系统中,下列哪个USB移动储存装置 (U盘)曾被指派为‘Z’磁盘分区代号(Drive Letter) ?
A. WD My Passport 0827 USB Device
B. StoreJet Transcend USB Device
C. Samsung Portable SSD USB Device
D. StoreJet TS256GESD400K USB Device
E. General UDisk USB Device
16 该Windows系统中,下列哪个是最后的关机时间?
A. 2017-10-31 4:52:54 UTC
B. 2017-10-31 4:53:54 UTC
C. 2017-10-31 4:54:54 UTC
D. 2017-10-31 4:55:54 UTC
E. 2017-10-31 4:56:54 UTC
6题图
17 该Windows系统中,下列哪个是电脑名称?
A. GARYPC
B. GARY-PC
C. GARY_PC
D. GARY
E. GARY-NB
6题图
18 在该Windows系统中,下列哪个是用户Gary日常使用的邮箱帐号?
A. ics_user@mail.com
B. ics_user@gmail.com
C. gary@mail.com
D. gary_chen@mail.com
E. gary_chen@gmail.com
19 在该Windows系统中,用户Gary曾经收过一封来自邮箱帐号 ics_user@mail.com 的邮件,内容提及有关制作钓鱼网站及邮件帐号eric_wang99@outlook.com,下列哪个是此封邮件的发送日期和时间?
A. 2017-09-25 17:07:15
B. 2017-10-17 14:35:45
C. 2017-10-17 18:24:02
D. 2017-10-26 19:17:08
E. 2017-10-26 19:24:57
20 在该Windows系统中,用户Gary还曾经收过两封来自邮箱帐号 eric_wang99@outlook.com的邮件,标题为“学习制作网站”,下列哪个是第一封邮件的发送日期和时间?
A. 2017-09-25 17:07:15
B. 2017-10-17 14:35:45
C. 2017-10-17 18:24:02
D. 2017-10-18 18:30:45
E. 2017-10-18 19:38:05
21 在该Windows系统中,用户Gary还曾经收过两封来自邮箱帐号 eric_wang99@outlook.com邮件,标题为“学习制作网站”,下列哪个是第二封电邮的发送日期和时间?
A. 2017-09-25 17:07:15
B. 2017-10-17 14:35:45
C. 2017-10-17 18:24:02
D. 2017-10-18 18:30:45
E. 2017-10-18 19:38:05
22 用户Gary还曾经收过一封来自邮箱帐号 ics_user@mail.com 的邮件,附加了两张与咖啡豆有关的相片,下列哪个是此封邮件的发送日期和时间?
A. 2017-09-25 17:07:15
B. 2017-10-17 14:35:45
C. 2017-10-17 18:24:02
D. 2017-10-26 19:17:08
E. 2017-10-26 19:24:57
23 在该Windows系统中,用户Gary还曾经收到一封来自邮箱帐号 eric_wang99@outlook.com 的邮件,附加有三张与Apple iCloud相关的相片,下列哪个为该封邮件的发送日期和时间?
写出具体时间
答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC
2017-10-18 19:38:05
24 在该Windows系统中,用户Gary还曾经收到一封来自邮箱帐号 eric_wang99@outlook.com 的邮件,附加有三张与Apple iCloud相关的相片,下列哪个为该封邮件的发送日期和时间?
A. 2017-09-25 17:07:15
B. 2017-10-17 14:35:45
C. 2017-10-17 18:24:02
D. 2017-10-18 18:30:45
E. 2017-10-18 19:38:05
25 Gary经常使用笔记本电脑浏览互联网,他的笔记本电脑上曾经连接过多少WIFI热点?
A. 1
B. 2
C. 3
D. 4
E. 5
26 上述电脑曾经连接过星巴克WIFI热点,下列哪项是其全局唯一识别元(Globally Unique Identifier, GUID)?
A. {8039D237-A346-4BA1-9B78-5752580ED7F0}
B. {39489FA0-DE35-4989-8730-E2E2ED15E85A}
C. {558B94DF-8D68-4779-AA25-65FBDAB4C2B9}
D. {4EFCDA7E-CE51-4EC2-8980-8629647C9968}
E. {AF0778E8-6C4F-41C6-84B2-CB14490CF29E}
27 有关Gary的笔记本电脑,下列哪项是其最后分派得到的IP地址?
A. 192.168.0.1
B. 192.168.10.4
C. 192.168.20.6
D. 192.168.30.3
E. 192.168.40.5
分配的ip->肯定是dhcp分配,取证大师中找网络配置,网络连接即可
28 Eric曾发邮件给Gary,内容是关于如何在暗网(Dark Web)中浏览枪械的信息,以下哪个URL是由Eric提供的?
A. http://hhnovpxmqrw5xaqg.onion
B. http://gunsjmzh2btr7lpy.onion
C. http://gunsdtk58tolcrre.onion
D. http://armoryohajjhou6m.onion
E. http://armory45jijdf7d.onion
29 Eric 售卖iCloud 网站给Gary 的价钱是多少?
A. $500
B. $800
C. $1000
D. $1400
E. $1500
翻邮件就完事了
30 Gary 经常将非法文件存储到该笔记本电脑的加密分区中,下列哪一个为该加密软件?
A. TrueCrypt
B. VeraCrypt
C. Bitlocker
D. LUKS
E. PGP WDE
31 在加密磁区内有三张与Apple iCloud有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)?
A. c9fbfaf3c45492c40feb83a83217f146
B. 14903a7bd9d709b653f9afe8e3e51cdd
C. 7cb0f29812317db645edbcd6cf46e1ba
D. 5503d096bdf832460c8f51da62fbbb5d
E. 9918465b62171ba2c0a95595db629bf3
说是在加密磁区内,实际上就是邮件附件,导出算就完事了,下面几个题同样
32 在加密磁区内有三张与暗网(Dark Web)有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)?
A. 2836d35fb45c591211d5b6865c4a82f5
B. d2b14799050b6c4ad6b07cd1227b91a5
C. 9110c96baa70c00acd8fbdfe2dc7c397
D. 703899985d881e2d103eb4fd1306be2e
E. 4c57a45b8da5ea01e5eb7d875f94a7b8
翻邮件、导出、算!
33 在加密磁区内有三张与Apple iCloud有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)?
A. c9fbfaf3c45492c40feb83a83217f146
B. 14903a7bd9d709b653f9afe8e3e51cdd
C. 7cb0f29812317db645edbcd6cf46e1ba
D. 5503d096bdf832460c8f51da62fbbb5d
E. 9918465b62171ba2c0a95595db629bf3
翻邮件、导出、算!
34 在上述加密磁区内,存有一个名为”2017-10-27”的文件夹,内有三张枪械的图片,该三张图片是来自哪个网站?
A. http://gunsdtk58tolcrre.onion
B. http://gunsjmzh2btr7lpy.onion
C. thegunstorelasvegas.com
D. cabelas.com
E. hyattgunstore.com
翻邮件,打开图片就能发现👇
35 Gary的笔记本电脑曾经下载过多少张有关恐怖组织的图片?
A. 1
B. 2
C. 3
D. 4
E. 5
两张isis组织图片,恐怖组织,当时找了半天。。。。。
36 根据Gary与Eric邮件的内容,Eric曾经提供Gary一个私有云盘,下列哪项是该邮件提供的资料?
A. 动物图
B. 枪的结构图
C. 博彩图
D. 博彩文件
E. 恐怖主义图
37 下列哪项是上述私有云盘的网址?
A. http://mantech.mooo.cn
B. http://mantech.mooo.com
C. http://mooo.com
D. http://mantech.com
E. http://23.54.45.113
38 下列哪项是上述私有云盘网址的连接端口?
A. TCP 80
B. TCP 8080
C. UDP 80
D. TCP 8000
E. TCP 443
36题图
39 下列哪项是Gary第一次浏览该私有云盘网址时,所使用的浏览器?
A. Microsoft Explorer
B. Google Chrome
C. Mozilla Firefox
D. Opera
E. QQ 浏览器
浏览器记录里找网盘地址即可
40 下列哪项是Gary第一次浏览该私有云盘网址的日期和时间?
A. 2017-10-29 12:42:09
B. 2017-10-30 12:42:09
C. 2017-10-31 12:42:09
D. 2017-10-30 10:42:09
E. 2017-10-30 11:42:09
41 在上述加密磁区内,存有一个名为”2017-10-30”的文件夹,里面有三张与枪械结构有关的图片,该三张图片是从哪个方法/软件下载?
A. 邮件
B. Firefox
C. Chrome
D. USB thumb drive
E. ftp
浏览器下载记录中可找
42 Gary的笔记本电脑,曾经下载过一个感染了电脑病毒的文件,名为invoice.zip。该病毒程序文件是什么时候下载?
A. 2017-10-31 12:26:20
B. 2017-10-31 12:50:34
C. 2017-10-31 12:29:55
D. 2017-10-31 10:52:10
E. 2017-10-31 12:18:54
43 Gary的笔记本电脑,还存有一个感染了电脑病毒的程序文件,名为\User\Gary\Downloads\invoice\dist\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?
A. 2017-10-31 12:26:27
B. 2017-10-31 12:50:34
C. 2017-10-31 12:29:55
D. 2017-10-31 10:52:10
E. 2017-10-31 12:18:54
因为是exe执行程序,所以存取日期即文件创建时间
44 上述invoice.exe文件伪装成什么格式的软件?
A. pdf
B. jpg
C. psd
D. Docx
E. Doc
仿真后找到文件,发现图标是pdf图标……😶
45 上述的\User\Gary\Downloads\invoice\dist\invoice.exe文件,最后执行日期/时间(Last Accessed Data/Time) 是什么?
A. 2017-10-31 12:26:27
B. 2017-10-31 12:50:34
C. 2017-10-31 12:29:55
D. 2017-10-31 10:52:10
E. 2017-10-31 12:18:54
46 事实上,Gary的笔记本电脑被电脑病毒感染了,部份文件被加密,当中包括下列哪种文件类型?
a. exe
b. gif
c. jpg
d. psd
e. Docx
f. Doc
A. 只有(a) & (b)
B. (a), (b), (d) & (f)
C. (b), (c), (d) & (f)
D. (b), (c), (e) & (f)
E. 以上皆是
这题没找到。。。仿真也没试出来
47 上述\User\Gary\Downloads\invoice\dist\invoice.exe文件共执行多少?
A. 1
B. 2
C. 3
D. 4
E. 5
全局搜索,发现次数
48 上述\User\Gary\Downloads\invoice\dist\invoice.exe文件是由什么程序编写?
A. LISP
B. C++
C. Visual Basic
D. Python
E. Java
IDA逆向,发现是py代码
49 上述\User\Gary\Downloads\invoice\dist\invoice.exe文件,执行时会呼叫下列哪个动态连结函式库(Dynamic Linked Library)
A. KERNEL32.DLL
B. USER32.DLL
C. SHELL32.DLL
D. NTDLL.DLL
E. SYSTEM32.DLL
逆👇
50 Gary的笔记本电脑,还存有另一感染了电脑病毒的程序文件,名为\tmp\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?
A. 2017-10-31 12:26:27
B. 2017-10-31 12:50:34
C. 2017-10-31 12:29:55
D. 2017-10-31 10:52:10
E. 2017-10-31 12:18:54
51 上述两个文件\User\Gary\Downloads\invoice\dist\invoice.exe和 \tmp\invoice.exe是什么关系?
A. 前者是后者的复本
B. 后者是前者的复本
C. 两者MD5不相同
D. 两者元数据(Metadata)相同
E. 两者无关系
52 根据勒索讯息的显示,勒索网址是什么?
A. http://223.17.250.208:6000/C&C/
B. http://223.17.250.208/C&C/
C. http://223.17.250.208:6060/C&C/
D. http://223.17.250.208:80/C&C/
E. http://223.17.250.208:8080/C&C/
53 根据勒索讯息的显示,勒索金额是多少钱?
A. $1,000
B. $10,000
C. $20,000
D. $50,000
E. $100,000
52题图
54 根据勒索讯息的显示,下列哪个是与勒索案件有关的比特币钱包?
A. 1KcjhpkowGWh5QYgPx5hYGuzbZpewgBszh
B. 1KcjhpknwGWh5QYgPx5hYGuzbZpewgBszh
C. 1KcjhpknwGWh5QYgPx5hYGuzbZpewgBzzh
D. 1KcjhpknwGWh5QYgPx6hYGuzbZpewgBszh
E. 1KcjhpknwGWh6QYgPx5hYGuzbZpewgBszh
52题图
55 执法机关曾在现场对Gary的电脑进行电子法证检验,期间曾撷取与勒索软件相关的屏幕影像,并储存为png格式。下列哪项是其储存位置?
A. \Users\彼得\Downloads\
B. \Users\彼得\Desktop\
C. \Users\Gary\Downloads\
D. \Users\Gary\Desktop\
E. \Users\Gary\Documents
Keys point 分高下
经法证工具分析后发现Gary的笔记本电脑有三个分区硬盘,所有敏感文件均储存在一个加密磁区,而其加密匙放在下列哪个位置?
A. \Windows\
B. \Users\
C. \Users\Gary\Desktop
D. \Users\Gary\Documents
E. \
就是在系统盘下,mk文件
文章来源:https://www.toymoban.com/news/detail-470166.html
欢迎各位大佬前来交流~~~o(* ̄▽ ̄*)ブ0文章来源地址https://www.toymoban.com/news/detail-470166.html
到了这里,关于2017第三届美亚杯全国电子数据取证大赛个人赛wp的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!