Questions
Gary被逮捕后,其计算机被没收并送至计算机取证实验室。经调查后,执法机关再逮捕一名疑犯Eric,并检取其家中计算机(window 8), 并而根据其家中计算机纪录, 执法机关再于其他地方取得一台与案有关的服务器,而该服务器内含四个硬盘。该服务器是运行LINUX 系统。
由于事件涉及Windows 7,8, LINUX及Mac IOS系统,故取证团队有可能需要使用相关系统之取证工具(105题,105分)
E01 Images
| 1 |
被检取作法证检验的LINUX系统,共有四个硬盘,已经分别被制作为四个E01法证镜像文件(Forensic Images),下列哪个不是它们的MD5哈希值(Hash value)? |
|
| A. |
2e4a6afe6b27188480d1b7b10e576f7c |
|
| x |
B. |
c961d814f99d45b3f54e8a1d48be8544 |
| C. |
a88e671fc44940620e77a9342d311133 |
|
| D. |
c961d814f23d45b3f54e6a1d48be8544 |
|
| E. |
cf5c42018d93c3703f744c646e7f21ae |
| 2 |
上述四个法证镜像文件中,其中有一个法证镜像文件(Forensic Image)内含三个磁盘分区(Partition)。对于第三个(即最后一个)磁盘分区(Partition)而言,下列哪个是其起始磁区(Starting Sector)? |
|
| A. |
2048 |
|
| B. |
1050624 |
|
| C. |
51382271 |
|
| x |
D. |
51382272 |
| E. |
50331648 |
| 3 |
上述磁盘分区(Partition)共占多少磁区(Starting Sector)? |
|
| x |
A. |
69924864 |
| B. |
60058404 |
|
| C. |
50331648 |
|
| D. |
1048576 |
|
| E. |
2048 |
| 4 |
在上述第三个(即最后一个)磁盘分区(Partition)当中,储存了一个名为amons.mark的文件,下列哪项为其MD5哈希值(Hash value) |
|
| A. |
01daa9fb8d1cc386bffb0c25ff57d7ea |
|
| B. |
64394febb8fb82520164645ade7dbaa0 |
|
| C. |
b69894efe2f03d43d95d98856ea21674 |
|
| D. |
74c5d7a6500d63a0308f2fc54a03eb0d |
|
| x |
E. |
43309465540a069357182af1da438a07 |
| 5 |
在上述第三个(即最后一个)磁盘分区(Partition)当中,储存了一个名为slackware-13.37-install-dvd.iso的文件,下列哪项为其MD5哈希值(Hash value) |
|
| A. |
01daa9fb8d1cc386bffb0c25ff57d7ea |
|
| x |
B. |
64394febb8fb82520164645ade7dbaa0 |
| C. |
b69894efe2f03d43d95d98856ea21674 |
|
| D. |
74c5d7a6500d63a0308f2fc54a03eb0d |
|
| E. |
43309465540a069357182af1da438a07 |
VM-HD1,2,3
RAID
| 6 |
于上述四个法证镜像文件中,有三个硬盘共同组成一个独立磁盘冗余阵列RAID System。以磁区(sector)计算,该阵列(RAID)大小(size)是多少? |
|
| A. |
110051100 |
|
| B. |
110049052 |
|
| C. |
110049053 |
|
| x |
D. |
120049664 |
| E. |
120049663 |
组raid后,用fdisk -l查看硬盘及分区信息
| 7文章来源:https://www.toymoban.com/news/detail-659407.html |
就该独立磁盘冗余阵列RAID System而言,下列哪项是其建立日期? |
|
| A. |
2017-09-05 10:06:55 |
|
| B. |
2017-09-06 10:06:55 |
|
| x |
C. |
2017-09-07 10:06:55 |
| D. |
2017-09-08 10:06:55 |
|
| E. |
2017-09-08 10:06:55 |
| 8 |
就该独立磁盘冗余阵列RAID System而言,下列哪项是其UUID? |
|
| A. |
ae891891:ab1261bf:17f4b1e8:c1adaef6 |
|
| B. |
ae891891:ac1261bf:27f4b1e8:c1adaef6 |
|
| x |
C. |
ae891891:ad1261bf:37f4b1e8:c1adaef6 |
| D. |
ae891891:ae1261bf:57f4b1e8:c1adaef6 |
|
| E. |
ae891891:af1261bf:67f4b1e8:c1adaef6 |
| 9 |
就该独立磁盘冗余阵列RAID System而言,是使用了下列哪种阵列配置排列(RAID LAYOUT)? |
|
| x |
A. |
left-symmetric |
| B. |
right-symmetric |
|
| C. |
pre-Lie algebra |
|
| D. |
rooted tree algebras |
|
| E. |
vertex algebras |
| 10 |
就该独立磁盘冗余阵列RAID System而言,是使用了下列哪种阵列级别(RAID LEVEL)? |
|
| A. |
RAID 0 |
|
| B. |
RAID 1 |
|
| x |
C. |
RAID 5 |
| D. |
RAID 6 |
|
| E. |
RAID 1 0 |
LVM
| 11 |
此外,在该独立磁盘冗余阵列RAID System中,内含一个标示为逻辑分卷管理器Logical Volume Manager (LVM) 的磁盘分区(Partition),此分区(Partition)共有多少个磁区(Sector)? |
|
| A. |
110051100 |
|
| B. |
110049052 |
|
| x |
C. |
110049053 |
| D. |
120049664 |
|
| E. |
120049663 |
磁区=end-start+1
| 12 |
就上述逻辑分卷管理器Logical Volume Manager (LVM)而言,下列哪个是其仅有的物理卷Physical Volume (PV) UUID ? |
|
| A. |
l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9 |
|
| x |
B. |
ysHo03-FFL9-0Tfl-zOeO-O7fn-TPzX-2p4mu0 |
| C. |
UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw |
|
| D. |
eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5Ul |
|
| E. |
UGpPyJ-lSUZ-eGJh-aEKV- OMtA-2y0I-yitBi9 |
pvdisplay
| 13 |
在该物理卷Physical Volume (PV)中,下列哪个是其仅有的卷组 Volume Group (VG) 名称 ? |
|
| A. |
vol_vm_guests |
|
| x |
B. |
vol_vm_guest |
| C. |
vol_guest |
|
| D. |
lv_vm1 |
|
| E. |
lv_vm2 |
| 14 |
下列哪项是该卷组 Volume Group (VG) UUID ? |
|
| A. |
l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9 |
|
| B. |
ysHo03-FFL9-0Tfl-zOeO-O7fn-TPzX-2p4mu0 |
|
| C. |
UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw |
|
| x |
D. |
eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5Ul |
| E. |
UGpPyJ-lSUZ-eGJh-aEKV- OMtA-2y0I-yitBi9 |
vgdisplay
| 15 |
该卷组 Volume Group (VG)共有多少个LVM物理区域Physical Extent (PE)? |
|
| A. |
50 |
|
| B. |
3210 |
|
| C. |
3456 |
|
| D. |
6666 |
|
| x |
E. |
6716 |
| 16 |
该卷组Volume Group (VG)共划分了多少个物理区域Physical Extent (PE)用了配置逻辑卷Logical Volume (LV)? |
|
| A. |
50 |
|
| B. |
3210 |
|
| C. |
3456 |
|
| x |
D. |
6666 |
| E. |
6716 |
| 17 |
该卷组Volume Group (VG)还余下多少个物理区域Physical Extent (PE)未被配置使用? |
|
| x |
A. |
50 |
| B. |
3210 |
|
| C. |
3456 |
|
| D. |
6666 |
|
| E. |
6716 |
| 18 |
就该卷组Volume Group (VG)而言,每个物理区域Physical Extent (PE)的大小(size)是多少? |
|
| A. |
1 MB |
|
| B. |
2 MB |
|
| C. |
4 MB |
|
| x |
D. |
8 MB |
| E. |
16 MB |
| 19 |
事实上,该卷组Volume Group (VG) 共配置了两个逻辑卷组Logical Volume (LV),第一个逻辑卷组Logical Volume (LV) UUID是 ? |
|
| x |
A. |
l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9 |
| B. |
ysHo03-FFL9-0Tfl-zOeO-O7fn-TPzX-2p4mu0 |
|
| C. |
UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw |
|
| D. |
eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5Ul |
|
| E. |
UGpPyJ-lSUZ-eGJh-aEKV- OMtA-2y0I-yitBi9 |
Lvdisplay
| 20 |
上述第一个逻辑卷组Logical Volume (LV)的名称是什么 ? |
|
| A. |
/dev/loop0 |
|
| B. |
vol_vm_guest |
|
| C. |
vol_guest |
|
| x |
D. |
lv_vm1 |
| E. |
lv_vm2 |
| 21 |
上述第一个逻辑卷组Logical Volume (LV)共占据了多少物理区域Physical Extent (PE) ? |
|
| A. |
50 |
|
| x |
B. |
3210 |
| C. |
3456 |
|
| D. |
6666 |
|
| E. |
6716 |
| 22 |
上述第一个逻辑卷组Logical Volume (LV)的建立时间是什么 ? |
|
| A. |
2017-09-06 05:02:16 +0800 |
|
| B. |
2017-09-07 05:02:16 +0800 |
|
| x |
C. |
2017-09-08 05:02:16 +0800 |
| D. |
2017-09-09 05:02:16 +0800 |
|
| E. |
2017-09-10 05:02:16 +0800 |
| 23 |
在上述第一个逻辑卷组Logical Volume (LV)当中,储存有一个名为duncan.mark的文件,下列哪项为其MD5哈希值(Hash value)? |
|
| A. |
01daa9fb8d1cc386bffb0c25ff57d7ea |
|
| x |
B. |
8da97369e625574d1d8145d49ca9b61c |
| C. |
b69894efe2f03d43d95d98856ea21674 |
|
| D. |
74c5d7a6500d63a0308f2fc54a03eb0d |
|
| E. |
43309465540a069357182af1da438a07 |
使用dd if=/dev/mapper/vol_vm_guest-lv_vm1 of=/home/you/sdadisk.img创建镜像,导出后在取证大师中加载镜像
| 24 |
在该卷组Volume Group (VG) 共配置了两个逻辑卷组Logical Volume (LV),其中有一个逻辑卷组Logical Volume (LV)是用作运行Ubuntu 系统,该逻辑卷Logical Volume (LV) UUID是 什么? |
|
| A. |
l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9 |
|
| B. |
ysHo03-FFL9-0Tfl-zOeO-O7fn-TPzX-2p4mu0 |
|
| x |
C. |
UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw |
| D. |
eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5Ul |
|
| E. |
UGpPyJ-lSUZ-eGJh-aEKV- OMtA-2y0I-yitBi9 |
| 25 |
在上述逻辑卷组Logical Volume (LV)当中,储存有一个名为lora.mark的文件,下列哪项为其MD5哈希值(Hash value)? |
|
| A. |
01daa9fb8d1cc386bffb0c25ff57d7ea |
|
| B. |
8da97369e625574d1d8145d49ca9b61c |
|
| C. |
b69894efe2f03d43d95d98856ea21674 |
|
| x |
D. |
74c5d7a6500d63a0308f2fc54a03eb0d |
| E. |
43309465540a069357182af1da438a07 |
同23题
Win8
| 57 |
Eric的手提电脑内的虚拟机器己成功取证并制作成法证镜像文件 (Forensic Image),下列哪个是其MD5哈希值。 |
|
| A. |
0CFB3A0BB016165F1BDEB87EE9F710C9 |
|
| x |
B. |
F4089F7DA826DF56654C7AAE32D583C2 |
| C. |
A0BB016160CFB3A0BB0161661670CFB3 |
|
| D. |
16160CFB3A0BB016166A0BB016166167 |
|
| E. |
FB3A0BB016165 B016166 A0DF7FJE2EJ0 |
| 58 |
根据上述法证镜像文件 (Forensic Image)的显示,Eric是使用的下列哪个虚拟机? |
|
| A. |
Parallel |
|
| B. |
Virtual Box |
|
| x |
C. |
VMware |
| D. |
KVM |
|
| E. |
Xen |
| 59 |
根据法证镜像文件(Forensic Image),内有多少个硬盘分区? |
|
| A. |
1 |
|
| x |
B. |
2 |
| C. |
3 |
|
| D. |
4 |
|
| E. |
5 |
| 60 |
请找出系统文件“SOFTWARE",请问操作系统的安装日期是? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC) |
|
| x |
A. |
2013-10-17 21:27 UTC |
| B. |
2013-11-14 02:11 UTC |
|
| C. |
2017-09-28 06:16 UTC |
|
| D. |
2017-10-02 02:10 UTC |
|
| E. |
2017-10-03 12:14 UTC |
北京时间-8为UTC时间
| 61 |
用户“IEUSER"的SID是什么? |
|
| A. |
500 |
|
| B. |
1000 |
|
| x |
C. |
1001 |
| D. |
1005 |
|
| E. |
1007 |
| 62 |
用户“IEUSER"的最后登入日期? |
|
| A. |
2013-08-22 |
|
| B. |
2017-10-28 |
|
| C. |
2017-10-30 |
|
| x |
D. |
2017-11-01 |
| E. |
2017-11-02 |
| 63 |
硬盘的操作系统是什么? |
|
| A. |
windows7 |
|
| x |
B. |
windows8 |
| C. |
windows10 |
|
| D. |
Linux Red Hat 7.1 |
|
| E. |
MAC OS X |
| 64 |
根据执法机关调查所得,Eric曾经对暗网进行资料搜寻,并储存于电脑上。根据Eric 电脑上资料,那些来自暗网(Dark Web)并与洋葱网域(.onion)有关的信息,存放于哪个文件? |
|
| x |
A. |
好东西 |
| B. |
暗东西 |
|
| C. |
坏东西 |
|
| D. |
宝贝 |
|
| E. |
你的宝贝 |
依据选项搜索关键词“东西”
| 65 |
上述的文件,提及了多少条洋葱网域(.onion)的信息? |
|
| A. |
1 |
|
| B. |
2 |
|
| C. |
3 |
|
| x |
D. |
4 |
| E. |
5 |
| 66 |
Eric 曾在其电脑使用浏览器Chrome,浏览过一些有关“如何学习PHP网页设计”的信息,下列哪项是相关的浏览记录? |
|
| x |
A. |
www.yiyada.com |
| B. |
www.hackdig.com/ |
|
| C. |
www.carbonblack.com |
|
| D. |
www.antiy.com/ |
|
| E. |
click.alibabacloud.com/ |
搜索关键词得
| 67 |
Eric还曾在其电脑使用浏览器Chrome,搜集过一些有关勒索软件的信息,下列哪项不是相关的浏览记录? |
|
| A. |
www.hackdig.com/ |
|
| B. |
click.aliyun.com/ |
|
| x |
C. |
www.carbonblack.com |
| D. |
click.alibabacloud.com/ |
|
| E. |
www.antiy.com/ |
将选项一个个带入搜索
| 68 |
根据执法机关调查所得,Eric更在上述其中一个网站下载了相关的勒索软件信息,是一份名为“揭开勒索软件的真面目”的文件。根据Eric电脑记录,是从哪个网站下载的? |
|
| A. |
www.hackdig.com/ |
|
| B. |
click.aliyun.com/ |
|
| C. |
www.carbonblack.com |
|
| D. |
click.alibabacloud.com/ |
|
| x |
E. |
www.antiy.com/ |
搜索关键词“揭开勒索软件的真面目”
| 69 |
续上题,该份名为“揭开勒索软件的真面目”文件的MD5哈希值(Hash value)是什么? |
|
| A. |
9110c96baa70c00acd8fbdfe2dc7c397 |
|
| B. |
0258646764b1cb36ca2570090062b65c |
|
| C. |
ce38881d8f63a00973e6324bc1bf9245 |
|
| D. |
703899985d881e2d103eb4fd1306be2e |
|
| x |
E. |
84af8511ca9a66e79cfb28da0da2ee76 |
根据上题找到ransomware.pdf
| 70 |
Eric 曾在其电脑制造勒索网站,下列哪项是相关网站的首页位置? |
|
| A. |
\Windows\C&C\ |
|
| x |
B. |
\xampp\htdocs\C&C\ |
| C. |
\xampp\apache\C&C\ |
|
| D. |
\xampp\httpd\C&C\ |
|
| E. |
\inetpub\wwwroot\C&C\ |
逐个搜索选项,发现只有B符合
| 71 |
Eric 曾经收过一封有关mantech.mooo.com信息之电邮,标题为"你的东西到了",根据Eric计算机记录,下列那个是发信人电邮地址之域名(Domain Name)? |
|
| x |
A. |
guerrillamail.com |
| B. |
guerrillomail.com |
|
| C. |
guerrillbmail.com |
|
| D. |
guerrillcmail.com |
|
| E. |
guerrilldmail.com |
| 72 |
该封有关mantech.mooo.com信息的电邮,曾提及一个密码(Password),是什么? |
|
| A. |
Fewer@4 |
|
| B. |
Much@5 |
|
| C. |
Less@6 |
|
| x |
D. |
More@6 |
| E. |
Echo@7 |
| 73 |
该封有关mantech.mooo.com信息的电邮,曾提及其相关连接埠,是多少? |
|
| A. |
11000及18000 |
|
| B. |
10800及18000 |
|
| C. |
16000及18000 |
|
| D. |
17000及18000 |
|
| x |
E. |
17001 及18000 |
| 74 |
此外,亦有另一封有关mantech.mooo.com信息之电邮,曾提及一个云盘,而其相关端口,是多少? |
|
| x |
A. |
8000 |
| B. |
8001 |
|
| C. |
9000 |
|
| D. |
9002 |
|
| E. |
11000 |
| 75 |
Eric 曾经收过一封标题“你要的宝贝到了”的电邮,根据Eric电脑记录,下列哪个是发信人电邮地址(不包括域名)? |
|
| x |
A. |
8xhbjn+3u2w1yitqmaws |
| B. |
8xhbjn+3u2w1yitqmows |
|
| C. |
8xhbjn+3u2w1yitqmbws |
|
| D. |
8xhbjn+3u2w1yitqmsws |
|
| E. |
8xhbjn+3u2w1yitqmtws |
| 76 |
上述该封标题“你要的宝贝到了”的电邮,附有一个电邮附件,详述了如何编写勒索软件。有关资料的提供者是谁? |
|
| A. |
Dave Ken |
|
| x |
B. |
Amit Serper |
| C. |
Amit Perper |
|
| D. |
Chris Kennedy |
|
| E. |
David Kennedy |
宝贝.zip文件是加密的,爆破得密码23456
| 77 |
上述电邮附件,还提及过编写勒索软件相关原始码(Program Code),其中显示Advanced Encryption Standard (AES)加密方法字眼的图片,其MD5哈希值(Hash value)是什么? |
|
| A. |
a93a6572335e37863f5d611293c6660 |
|
| B. |
95c60bbc1cb267f85e51f99c2c9646f5 |
|
| x |
C. |
0e20d5f091eac98f6e196dcda2c73837 |
| D. |
ee2b59e91e829e3b3d350d8c14306dcb |
|
| E. |
f4b881e8a08d4bd40c5ee96ab3580bc8 |
| 78 |
在个人竞赛中,Gary曾经收到一封来自电邮帐号 eric_wang99@outlook.com 的电邮,附加有三张与Apple iCloud有关的钓鱼网站相片。现经执法机关调查后,得知此电邮的发信人就是Eric。在Eric的电脑中,在哪位置可以找到电邮? |
|
| A. |
\Users\IEUser\AppData\Roaming\Thunderbird\Profiles\szoyi44h.default\ImapMail\imap-mail.outlook.com\Sent-1\网站价钱\ |
|
| x |
B. |
\Users\IEUser\AppData\Roaming\Thunderbird\Profiles\szoyk44h.default\ImapMail\imap-mail.outlook.com\Sent-1\网站价钱\ |
| C. |
\Users\IEUser\AppData\Roaming\Thunderbird\Profiles\szoyl44h.default\ImapMail\imap-mail.outlook.com\Sent-1\网站价钱\ |
|
| D |
\Users\IEUser\AppData\Roaming\Thunderbird\Profiles\szoym44h.default\ImapMail\imap-mail.outlook.com\Sent-1\网站价钱\ |
|
| E. |
\Users\IEUser\AppData\Roaming\Thunderbird\Profiles\szoyn44h.default\ImapMail\imap-mail.outlook.com\Sent-1\网站价钱\ |
搜索“网站价钱”,再跳转源文件得
| 79 |
续上题,在Eric的电脑中,在哪位置可以找到上述钓鱼网站资料? |
|
| A. |
\inetpub\wwwroot\itunes\itones\ |
|
| B. |
\inetpub\wwwroot\itunes\itenes\ |
|
| C. |
\inetpub\wwwroot\itunes\itanes\ |
|
| x |
D. |
\inetpub\wwwroot\itunes\itunes\ inetpub是iis的安装有关 |
| E. |
\inetpub\wwwroot\itunes\itumes\ |
搜索inetpub\wwwroot\itunes得
| 80 |
Eric电脑储存了一个icloud 数据库供上述钓鱼网站所使用,根据相关记录,有多少IP地址是“登陆成功”? |
|
| A. |
13 |
|
| B. |
14 |
|
| C. |
15 |
|
| x |
D. |
16 |
| E. |
17 |
在数据库文件中找到,导出后查看即可
| 81 |
根据执法机关调查所得,Eric是使用一个文件传输软件,进行网上远端文件存取,以逃避执法机关追查。下列哪个是相关软件。 |
|
| A. |
vsftp |
|
| B. |
gftp |
|
| C. |
ProFTP |
|
| x |
D. |
Filezilla |
| E. |
Fire-FTP |
在安装软件中查找
| 82 |
上述文件传输软件相关的传输日志是储存在哪里? |
|
| x |
A. |
Users\IEUser\Pictures\log\ |
| B. |
Users\IEUser\Documents\ |
|
| C. |
Users\IEUser\Pictures\log\ |
|
| D. |
Users\IEUser\Music\ |
|
| E. |
Program Files\ |
搜索每个选项得
| 83 |
根据上述相关文件的传输日志显示,能成功登入的用户,有以下哪个用户? (请选择其中一项) |
|
| i |
amons |
|
| ii |
duncan |
|
| iii |
lora |
|
| iv |
warrior |
|
| v |
eric |
|
| A. |
i 及 ii |
|
| B. |
i, iii及 v |
|
| C. |
i, iv及 v |
|
| x |
D. |
i, iii 及 iv |
| E. |
只有iv |
导出文件后搜索
| 84 |
根据上述成功登入的日志记录,该传输服务器的网址是什么? (请选择其中一项) |
|
| A. |
http://mantech.mooo.com:8000 |
|
| B. |
http://mantech.mooo.com:9000 |
|
| C. |
http://mantech.mooo.com:17001 |
|
| D. |
http://mantech.mooo.com:18000 |
|
| x |
E. |
http://mantech.mooo.com:18001 |
文件内搜索mantech.mooo.com
| 85 |
根据上述相关文件的传输日志显示,能成功从服务器下载文件的用户,是以下哪个用户? |
|
| x |
A. |
amons |
| B. |
duncan |
|
| C. |
lora |
|
| D. |
warrior |
|
| E. |
eric |
文件内搜索“下载”
| 86 |
根据上述相关文件的传输日志显示,用户是使用了什么传输网址最后成功从服务器下载文件? |
|
| A. |
http://mantech.mooo.com:8000 |
|
| x |
B. |
http://mantech.mooo.com:9000 |
| C. |
http://mantech.mooo.com:17001 |
|
| D. |
http://mantech.mooo.com:18000 |
|
| E. |
http://mantech.mooo.com:18001 |
| 87 |
根据Eric电脑的浏览网页记录,他是何时浏览私有云盘http://mantech.mooo.com:8000? |
|
| A. |
2017-10-29 |
|
| x |
B. |
2017-10-30 |
| C |
2017-10-31 |
|
| D. |
2017-11-01 |
|
| E. |
2017-11-02 |
直接搜索http://mantech.mooo.com:8000
Win8 – Memory(内存取证)
| 88 |
执法机关曾在Eric的电脑进行现场搜证并检取其虚拟内存,放在下列位置中: Users\IEUser\Desktop\RAM\ , 文件名称:Memory.vmem。下列哪项是其MD5哈希值? |
|
| A. |
3A70A392F8FF1DE83F8CAE94C4E71427 |
|
| B. |
5F1BDEB87EE9F710C90CFB3A0BB01616 |
|
| C. |
F68778AE77C4E4B88212B179C4622FC4 |
|
| D. |
16160CFB3A0BB016166A0BB016166167 |
|
| x |
E. |
FD3AFD63F34F167EAD59CD66B08ADEBF |
| 89 |
在该段内存中,共运行了多少个进程(以独立程序ID计算)? |
|
| A. |
16 |
|
| B. |
25 |
|
| C. |
48 |
|
| x |
D. |
54 |
| E. |
62 |
用取证大师内存解析工具得
| 90 |
就进程w3wp.exe而言,下列哪项是该程序产生次序? |
|
| A. |
wininit.exe >services.exe > w3wp.exe > svchost.exe |
|
| B. |
smss.exe >services.exe > svchost.exe > w3wp.exe |
|
| x |
C. |
wininit.exe >services.exe > svchost.exe > w3wp.exe |
| D. |
csrss.exe >> svchost.exe > services.exe > w3wp.exe |
|
| E. |
System >services.exe > svchost.exe > w3wp.exe |
依次找到进程看父进程编号即可推导
| 91 |
根据调查资料,Eric总是使用filezilla软件上传/下载文件。filezilla的程序ID是什么? |
|
| A. |
4 |
|
| B. |
780 |
|
| C. |
820 |
|
| x |
D. |
3096 |
| E. |
3228 |
| 92 |
上述filezilla进程的父程序(Parent PID) 是什么? |
|
| A. |
516 |
|
| B. |
1536 |
|
| C. |
1676 |
|
| D. |
2284 |
|
| x |
E. |
3124 |
| 93 |
你知道程序ID:3932是什么进程(process)吗? |
|
| A. |
winlogon.exe |
|
| x |
B. |
QQBrowser.exe |
| C. |
QQProtect.exe |
|
| D. |
svchost.exe |
|
| E. |
chrome.exe |
| 94 |
请从该段内存中提取(Extract)上述filezilla进程的原来执行档 - filezilla.exe文件,并计算其md5哈希值(hash value)。下列哪行是该md5哈希值? |
|
| A. |
43502d07de3d31f05f1623b76c47a58e |
|
| x |
B. |
7cac848d4a36e5c5d3773b4cd213fab4 |
| C. |
2717eae9129e3943d33c639825654425 |
|
| D. |
98eb240853589172c82e3d7935e9b7ba |
|
| E. |
147fc1da6b0a752be633dcb20553450 |
此题运用kali自带的Volatility
首先查看内存的Profiles
再查找filezilla.exe
最后导出并计算哈希
| 95 |
根据上述的取回的文件filezilla.exe,它在执行时会呼叫多少个动态连结函式库(Dynamic Linked Library)? |
|
| A. |
32 |
|
| B. |
56 |
|
| C. |
73 |
|
| x |
D. |
82 |
| E. |
98 |
| 96 |
在Eric的电脑中,还储存有一个同名的文件filezilla.exe,你能找到该文件的md5哈希值(hash value)吗? |
|
| A. |
43502d07de3d31f05f1623b76c47a58e |
|
| B. |
7cac848d4a36e5c5d3773b4cd213fab4 |
|
| x |
C. |
2717eae9129e3943d33c639825654425 |
| D. |
98eb240853589172c82e3d7935e9b7ba |
|
| E. |
147fc1da6b0a752be633dcb20553450 |
| 97 |
该段内存中有多少个连接埠与svchost.exe 有关? |
|
| A. |
3 |
|
| B. |
4 |
|
| C. |
5 |
|
| D. |
6 |
|
| E. |
7 |
A文章来源地址https://www.toymoban.com/news/detail-659407.html
到了这里,关于“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
