“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛)

这篇具有很好参考价值的文章主要介绍了“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Questions

Gary被逮捕后,其计算机被没收并送至计算机取证实验室。经调查后,执法机关再逮捕一名疑犯Eric,并检取其家中计算机(window 8), 并而根据其家中计算机纪录, 执法机关再于其他地方取得一台与案有关的服务器,而该服务器内含四个硬盘。该服务器是运行LINUX 系统。

由于事件涉及Windows 7,8, LINUX及Mac IOS系统,故取证团队有可能需要使用相关系统之取证工具(105题,105分)

E01 Images

1

被检取作法证检验的LINUX系统,共有四个硬盘,已经分别被制作为四个E01法证镜像文件(Forensic Images),下列哪个不是它们的MD5哈希值(Hash value)?

A.

2e4a6afe6b27188480d1b7b10e576f7c

x

B.

c961d814f99d45b3f54e8a1d48be8544

C.

a88e671fc44940620e77a9342d311133

D.

c961d814f23d45b3f54e6a1d48be8544

E.

cf5c42018d93c3703f744c646e7f21ae

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证  “美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

2

上述四个法证镜像文件中,其中有一个法证镜像文件(Forensic Image)内含三个磁盘分区(Partition)。对于第三个(即最后一个)磁盘分区(Partition)而言,下列哪个是其起始磁区(Starting Sector)?

A.

2048

B.

1050624

C.

51382271

x

D.

51382272

E.

50331648

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

3

上述磁盘分区(Partition)共占多少磁区(Starting Sector)?

x

A.

69924864

B.

60058404

C.

50331648

D.

1048576

E.

2048

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

4

在上述第三个(即最后一个)磁盘分区(Partition)当中,储存了一个名为amons.mark的文件,下列哪项为其MD5哈希值(Hash value)

A.

01daa9fb8d1cc386bffb0c25ff57d7ea

B.

64394febb8fb82520164645ade7dbaa0

C.

b69894efe2f03d43d95d98856ea21674

D.

74c5d7a6500d63a0308f2fc54a03eb0d

x

E.

43309465540a069357182af1da438a07

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

5

在上述第三个(即最后一个)磁盘分区(Partition)当中,储存了一个名为slackware-13.37-install-dvd.iso的文件,下列哪项为其MD5哈希值(Hash value)

A.

01daa9fb8d1cc386bffb0c25ff57d7ea

x

B.

64394febb8fb82520164645ade7dbaa0

C.

b69894efe2f03d43d95d98856ea21674

D.

74c5d7a6500d63a0308f2fc54a03eb0d

E.

43309465540a069357182af1da438a07

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

VM-HD1,2,3

RAID

6

于上述四个法证镜像文件中,有三个硬盘共同组成一个独立磁盘冗余阵列RAID System。以磁区(sector)计算,该阵列(RAID)大小(size)是多少?

A.

110051100

B.

110049052

C.

110049053

x

D.

120049664

E.

120049663

raid后,用fdisk -l查看硬盘及分区信息

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

7

就该独立磁盘冗余阵列RAID System而言,下列哪项是其建立日期?

A.

2017-09-05 10:06:55

B.

2017-09-06 10:06:55

x

C.

2017-09-07 10:06:55

D.

2017-09-08 10:06:55

E.

2017-09-08 10:06:55

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

8

就该独立磁盘冗余阵列RAID System而言,下列哪项是其UUID?

A.

ae891891:ab1261bf:17f4b1e8:c1adaef6

B.

ae891891:ac1261bf:27f4b1e8:c1adaef6

x

C.

ae891891:ad1261bf:37f4b1e8:c1adaef6

D.

ae891891:ae1261bf:57f4b1e8:c1adaef6

E.

ae891891:af1261bf:67f4b1e8:c1adaef6

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

9

就该独立磁盘冗余阵列RAID System而言,是使用了下列哪种阵列配置排列(RAID LAYOUT)?

x

A.

left-symmetric

B.

right-symmetric

C.

pre-Lie algebra

D.

rooted tree algebras

E.

vertex algebras

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

10

就该独立磁盘冗余阵列RAID System而言,是使用了下列哪种阵列级别(RAID LEVEL)?

A.

RAID 0

B.

RAID 1

x

C.

RAID 5

D.

RAID 6

E.

RAID 1 0

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

LVM

11

此外,在该独立磁盘冗余阵列RAID System中,内含一个标示为逻辑分卷管理器Logical Volume Manager (LVM) 的磁盘分区(Partition),此分区(Partition)共有多少个磁区(Sector)?

A.

110051100

B.

110049052

x

C.

110049053

D.

120049664

E.

120049663

磁区=end-start+1

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

12

就上述逻辑分卷管理器Logical Volume Manager (LVM)而言,下列哪个是其仅有的物理卷Physical Volume (PV) UUID ?

A.

l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9

x

B.

ysHo03-FFL9-0Tfl-zOeO-O7fn-TPzX-2p4mu0

C.

UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw

D.

eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5Ul

E.

UGpPyJ-lSUZ-eGJh-aEKV- OMtA-2y0I-yitBi9

pvdisplay

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

13

在该物理卷Physical Volume (PV)中,下列哪个是其仅有的卷组 Volume Group (VG) 名称 ?

A.

vol_vm_guests

x

B.

vol_vm_guest

C.

vol_guest

D.

lv_vm1

E.

lv_vm2

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

14

下列哪项是该卷组 Volume Group (VG) UUID ?

A.

l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9

B.

ysHo03-FFL9-0Tfl-zOeO-O7fn-TPzX-2p4mu0

C.

UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw

x

D.

eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5Ul

E.

UGpPyJ-lSUZ-eGJh-aEKV- OMtA-2y0I-yitBi9

vgdisplay

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

15

该卷组 Volume Group (VG)共有多少个LVM物理区域Physical Extent (PE)?

A.

50

B.

3210

C.

3456

D.

6666

x

E.

6716

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

16

该卷组Volume Group (VG)共划分了多少个物理区域Physical Extent (PE)用了配置逻辑卷Logical Volume (LV)?

A.

50

B.

3210

C.

3456

x

D.

6666

E.

6716

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

17

该卷组Volume Group (VG)还余下多少个物理区域Physical Extent (PE)未被配置使用?

x

A.

50

B.

3210

C.

3456

D.

6666

E.

6716

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

18

就该卷组Volume Group (VG)而言,每个物理区域Physical Extent (PE)的大小(size)是多少?

A.

1 MB

B.

2 MB

C.

4 MB

x

D.

8 MB

E.

16 MB

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

19

事实上,该卷组Volume Group (VG) 共配置了两个逻辑卷组Logical Volume (LV),第一个逻辑卷组Logical Volume (LV) UUID是 ?

x

A.

l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9

B.

ysHo03-FFL9-0Tfl-zOeO-O7fn-TPzX-2p4mu0

C.

UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw

D.

eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5Ul

E.

UGpPyJ-lSUZ-eGJh-aEKV- OMtA-2y0I-yitBi9

Lvdisplay

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

20

上述第一个逻辑卷组Logical Volume (LV)的名称是什么 ?

A.

/dev/loop0

B.

vol_vm_guest

C.

vol_guest

x

D.

lv_vm1

E.

lv_vm2

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

21

上述第一个逻辑卷组Logical Volume (LV)共占据了多少物理区域Physical Extent (PE) ?

A.

50

x

B.

3210

C.

3456

D.

6666

E.

6716

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

22

上述第一个逻辑卷组Logical Volume (LV)的建立时间是什么 ?

A.

2017-09-06 05:02:16 +0800

B.

2017-09-07 05:02:16 +0800

x

C.

2017-09-08 05:02:16 +0800

D.

2017-09-09 05:02:16 +0800

E.

2017-09-10 05:02:16 +0800

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

23

在上述第一个逻辑卷组Logical Volume (LV)当中,储存有一个名为duncan.mark的文件,下列哪项为其MD5哈希值(Hash value)?

A.

01daa9fb8d1cc386bffb0c25ff57d7ea

x

B.

8da97369e625574d1d8145d49ca9b61c

C.

b69894efe2f03d43d95d98856ea21674

D.

74c5d7a6500d63a0308f2fc54a03eb0d

E.

43309465540a069357182af1da438a07

使用dd if=/dev/mapper/vol_vm_guest-lv_vm1 of=/home/you/sdadisk.img创建镜像,导出后在取证大师中加载镜像

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证  

24

在该卷组Volume Group (VG) 共配置了两个逻辑卷组Logical Volume (LV),其中有一个逻辑卷组Logical Volume (LV)是用作运行Ubuntu 系统,该逻辑卷Logical Volume (LV) UUID是 什么?

A.

l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9

B.

ysHo03-FFL9-0Tfl-zOeO-O7fn-TPzX-2p4mu0

x

C.

UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw

D.

eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5Ul

E.

UGpPyJ-lSUZ-eGJh-aEKV- OMtA-2y0I-yitBi9

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

25

在上述逻辑卷组Logical Volume (LV)当中,储存有一个名为lora.mark的文件,下列哪项为其MD5哈希值(Hash value)?

A.

01daa9fb8d1cc386bffb0c25ff57d7ea

B.

8da97369e625574d1d8145d49ca9b61c

C.

b69894efe2f03d43d95d98856ea21674

x

D.

74c5d7a6500d63a0308f2fc54a03eb0d

E.

43309465540a069357182af1da438a07

23

Win8

57

Eric的手提电脑内的虚拟机器己成功取证并制作成法证镜像文件 (Forensic Image),下列哪个是其MD5哈希值。

A.

0CFB3A0BB016165F1BDEB87EE9F710C9

x

B.

F4089F7DA826DF56654C7AAE32D583C2

C.

A0BB016160CFB3A0BB0161661670CFB3

D.

16160CFB3A0BB016166A0BB016166167

E.

FB3A0BB016165 B016166 A0DF7FJE2EJ0

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

58

根据上述法证镜像文件 (Forensic Image)的显示,Eric是使用的下列哪个虚拟机?

A.

Parallel

B.

Virtual Box

x

C.

VMware

D.

KVM

E.

Xen

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

59

根据法证镜像文件(Forensic Image),内有多少个硬盘分区?

A.

1

x

B.

2

C.

3

D.

4

E.

5

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

60

请找出系统文件“SOFTWARE",请问操作系统的安装日期是? 

(答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC)

x

A.

2013-10-17 21:27 UTC

B.

2013-11-14 02:11 UTC

C.

2017-09-28 06:16 UTC

D.

2017-10-02 02:10 UTC

E.

2017-10-03 12:14 UTC

北京时间-8为UTC时间

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

61

用户“IEUSER"的SID是什么?

A.

500

B.

1000

x

C.

1001

D.

1005

E.

1007

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

62

用户“IEUSER"的最后登入日期?

A.

2013-08-22

B.

2017-10-28

C.

2017-10-30

x

D.

2017-11-01

E.

2017-11-02

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

63

硬盘的操作系统是什么?

A.

windows7

x

B.

windows8

C.

windows10

D.

Linux Red Hat 7.1

E.

MAC OS X

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

64

根据执法机关调查所得,Eric曾经对暗网进行资料搜寻,并储存于电脑上。根据Eric 电脑上资料,那些来自暗网(Dark Web)并与洋葱网域(.onion)有关的信息,存放于哪个文件?

x

A.

东西

B.

东西

C.

坏东西

D.

宝贝

E.

你的宝贝

依据选项搜索关键词“东西”

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

65

上述的文件,提及了多少条洋葱网域(.onion)的信息?

A.

1

B.

2

C.

3

x

D.

4

E.

5

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

66

Eric 曾在其电脑使用浏览器Chrome,浏览过一些有关“如何学习PHP网页设计”的信息,下列哪项是相关的浏览记录?

x

A.

www.yiyada.com

B.

www.hackdig.com/

C.

www.carbonblack.com

D.

www.antiy.com/

E.

click.alibabacloud.com/

搜索关键词得

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

67

Eric还曾在其电脑使用浏览器Chrome,搜集过一些有关勒索软件的信息,下列哪项不是相关的浏览记录?

A.

www.hackdig.com/

B.

click.aliyun.com/

x

C.

www.carbonblack.com

D.

click.alibabacloud.com/

E.

www.antiy.com/

将选项一个个带入搜索

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

68

根据执法机关调查所得,Eric更在上述其中一个网站下载了相关的勒索软件信息,是一份名为“揭开勒索软件的真面目”的文件。根据Eric电脑记录,是从哪个网站下载的?

A.

www.hackdig.com/

B.

click.aliyun.com/

C.

www.carbonblack.com

D.

click.alibabacloud.com/

x

E.

www.antiy.com/

搜索关键词揭开勒索软件的真面目

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

69

续上题,该份名为“揭开勒索软件的真面目”文件的MD5哈希值(Hash value)是什么?

A.

9110c96baa70c00acd8fbdfe2dc7c397

B.

0258646764b1cb36ca2570090062b65c

C.

ce38881d8f63a00973e6324bc1bf9245

D.

703899985d881e2d103eb4fd1306be2e

x

E.

84af8511ca9a66e79cfb28da0da2ee76

根据上题找到ransomware.pdf

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

70

Eric 曾在其电脑制造勒索网站,下列哪项是相关网站的首页位置?

A.

\Windows\C&C\

x

B.

\xampp\htdocs\C&C\

C.

\xampp\apache\C&C\

D.

\xampp\httpd\C&C\

E.

\inetpub\wwwroot\C&C\

逐个搜索选项,发现只有B符合

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

71

Eric 曾经收过一封有关mantech.mooo.com信息之电邮,标题为"你的东西到了",根据Eric计算机记录,下列那个是发信人电邮地址之域名(Domain Name)?

x

A.

guerrillamail.com

B.

guerrillomail.com

C.

guerrillbmail.com

D.

guerrillcmail.com

E.

guerrilldmail.com

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

72

该封有关mantech.mooo.com信息的电邮,曾提及一个密码(Password),是什么?

A.

Fewer@4

B.

Much@5

C.

Less@6

x

D.

More@6

E.

Echo@7

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

73

该封有关mantech.mooo.com信息的电邮,曾提及其相关连接埠,是多少?

A.

1100018000

B.

1080018000

C.

1600018000

D.

1700018000

x

E.

17001 18000

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

74

此外,亦有另一封有关mantech.mooo.com信息之电邮,曾提及一个云盘,而其相关端口,是多少?

x

A.

8000

B.

8001

C.

9000

D.

9002

E.

11000

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

75

Eric 曾经收过一封标题“你要的宝贝到了”的电邮,根据Eric电脑记录,下列哪个是发信人电邮地址(不包括域名)?

x

A.

8xhbjn+3u2w1yitqmaws

B.

8xhbjn+3u2w1yitqmows

C.

8xhbjn+3u2w1yitqmbws

D.

8xhbjn+3u2w1yitqmsws

E.

8xhbjn+3u2w1yitqmtws

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

76

上述该封标题“你要的宝贝到了”的电邮,附有一个电邮附件,详述了如何编写勒索软件。有关资料的提供者是谁?

A.

Dave Ken

x

B.

Amit Serper

C.

Amit Perper

D.

Chris Kennedy

E.

David Kennedy

宝贝.zip文件是加密的,爆破得密码23456

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

77

上述电邮附件,还提及过编写勒索软件相关原始码(Program Code),其中显示Advanced Encryption Standard (AES)加密方法字眼的图片,其MD5哈希值(Hash value)是什么?

A.

a93a6572335e37863f5d611293c6660

B.

95c60bbc1cb267f85e51f99c2c9646f5

x

C.

0e20d5f091eac98f6e196dcda2c73837

D.

ee2b59e91e829e3b3d350d8c14306dcb

E.

f4b881e8a08d4bd40c5ee96ab3580bc8

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证 

78

在个人竞赛中,Gary曾经收到一封来自电邮帐号 eric_wang99@outlook.com 的电邮,附加有三张与Apple iCloud有关的钓鱼网站相片。现经执法机关调查后,得知此电邮的发信人就是Eric。在Eric的电脑中,在哪位置可以找到电邮?

A.

\Users\IEUser\AppData\Roaming\Thunderbird\Profiles\szoyi44h.default\ImapMail\imap-mail.outlook.com\Sent-1\网站价钱\

x

B.

\Users\IEUser\AppData\Roaming\Thunderbird\Profiles\szoyk44h.default\ImapMail\imap-mail.outlook.com\Sent-1\网站价钱\

C.

\Users\IEUser\AppData\Roaming\Thunderbird\Profiles\szoyl44h.default\ImapMail\imap-mail.outlook.com\Sent-1\网站价钱\

D

\Users\IEUser\AppData\Roaming\Thunderbird\Profiles\szoym44h.default\ImapMail\imap-mail.outlook.com\Sent-1\网站价钱\

E.

\Users\IEUser\AppData\Roaming\Thunderbird\Profiles\szoyn44h.default\ImapMail\imap-mail.outlook.com\Sent-1\网站价钱\

搜索“网站价钱”,再跳转源文件得

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

79

续上题,在Eric的电脑中,在哪位置可以找到上述钓鱼网站资料?

A.

\inetpub\wwwroot\itunes\itones\

B.

\inetpub\wwwroot\itunes\itenes\

C.

\inetpub\wwwroot\itunes\itanes\

x

D.

\inetpub\wwwroot\itunes\itunes\   inetpub是iis的安装有关

E.

\inetpub\wwwroot\itunes\itumes\

搜索inetpub\wwwroot\itunes得

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

80

Eric电脑储存了一个icloud 数据库供上述钓鱼网站所使用,根据相关记录,有多少IP地址是“登陆成功”?

A.

13

B.

14

C.

15

x

D.

16

E.

17

在数据库文件中找到,导出后查看即可

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

81

根据执法机关调查所得,Eric是使用一个文件传输软件,进行网上远端文件存取,以逃避执法机关追查。下列哪个是相关软件。

A.

vsftp

B.

gftp

C.

ProFTP

x

D.

Filezilla

E.

Fire-FTP

在安装软件中查找

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

82

上述文件传输软件相关的传输日志是储存在哪里?

x

A.

Users\IEUser\Pictures\log\

B.

Users\IEUser\Documents\

C.

Users\IEUser\Pictures\log\

D.

Users\IEUser\Music\

E.

Program Files\

搜索每个选项得

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

83

根据上述相关文件的传输日志显示,能成功登入的用户,有以下哪个用户? 

(请选择其中一项)

i

amons

ii

duncan

iii

lora

iv

warrior

v

eric

A.

i ii

B.

i, iii v

C.

i, iv v

x

D.

i, iii iv

E.

只有iv

导出文件后搜索

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

84

根据上述成功登入的日志记录,该传输服务器的网址是什么? 

(请选择其中一项)

A.

http://mantech.mooo.com:8000

B.

http://mantech.mooo.com:9000

C.

http://mantech.mooo.com:17001

D.

http://mantech.mooo.com:18000

x

E.

http://mantech.mooo.com:18001

文件内搜索mantech.mooo.com

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

85

根据上述相关文件的传输日志显示,能成功从服务器下载文件的用户,是以下哪个用户? 

x

A.

amons

B.

duncan

C.

lora

D.

warrior

E.

eric

文件内搜索“下载”

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

86

根据上述相关文件的传输日志显示,用户是使用了什么传输网址最后成功从服务器下载文件? 

A.

http://mantech.mooo.com:8000

x

B.

http://mantech.mooo.com:9000

C.

http://mantech.mooo.com:17001

D.

http://mantech.mooo.com:18000

E.

http://mantech.mooo.com:18001

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

87

根据Eric电脑的浏览网页记录,他是何时浏览私有云盘http://mantech.mooo.com:8000?

A.

2017-10-29

x

B.

2017-10-30

C

2017-10-31

D.

2017-11-01

E.

2017-11-02

直接搜索http://mantech.mooo.com:8000

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

Win8 – Memory(内存取证)

88

执法机关曾在Eric的电脑进行现场搜证并检取其虚拟内存,放在下列位置中:

Users\IEUser\Desktop\RAM\ , 文件名称:Memory.vmem。下列哪项是其MD5哈希值?

A.

3A70A392F8FF1DE83F8CAE94C4E71427

B.

5F1BDEB87EE9F710C90CFB3A0BB01616

C.

F68778AE77C4E4B88212B179C4622FC4

D.

16160CFB3A0BB016166A0BB016166167

x

E.

 FD3AFD63F34F167EAD59CD66B08ADEBF

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

89

在该段内存中,共运行了多少个进程(以独立程序ID计算)?

A.

16

B.

25

C.

48

x

D.

54

E.

62

用取证大师内存解析工具得

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

90

就进程w3wp.exe而言,下列哪项是该程序产生次序?

A.

wininit.exe >services.exe  > w3wp.exe > svchost.exe

B.

smss.exe >services.exe  > svchost.exe > w3wp.exe

x

C.

wininit.exe >services.exe  > svchost.exe > w3wp.exe

D.

csrss.exe >> svchost.exe  > services.exe  > w3wp.exe

E.

System >services.exe  > svchost.exe > w3wp.exe

依次找到进程看父进程编号即可推导

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

91

根据调查资料,Eric总是使用filezilla软件上传/下载文件。filezilla的程序ID是什么?

A.

4

B.

780

C.

820

x

D.

3096

E.

3228

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证 

92

上述filezilla进程的父程序(Parent PID) 是什么?

A.

516

B.

1536

C.

1676

D.

2284

x

E.

3124

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

93

你知道程序ID:3932是什么进程(process)吗?

A.

winlogon.exe

x

B.

QQBrowser.exe

C.

QQProtect.exe

D.

svchost.exe

E.

chrome.exe

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

94

请从该段内存中提取(Extract)上述filezilla进程的原来执行档 - filezilla.exe文件,并计算其md5哈希值(hash value)。下列哪行是该md5哈希值?

A.

43502d07de3d31f05f1623b76c47a58e

x

B.

7cac848d4a36e5c5d3773b4cd213fab4

C.

2717eae9129e3943d33c639825654425

D.

98eb240853589172c82e3d7935e9b7ba   

E.

147fc1da6b0a752be633dcb20553450

此题运用kali自带的Volatility

首先查看内存的Profiles

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

再查找filezilla.exe

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

最后导出并计算哈希

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

95

根据上述的取回的文件filezilla.exe,它在执行时会呼叫多少个动态连结函式库(Dynamic Linked Library)?

A.

32

B.

56

C.

73

x

D.

82

E.

98

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证

96

在Eric的电脑中,还储存有一个同名的文件filezilla.exe,你能找到该文件的md5哈希值(hash value)吗?

A.

43502d07de3d31f05f1623b76c47a58e

B.

7cac848d4a36e5c5d3773b4cd213fab4

x

C.

2717eae9129e3943d33c639825654425

D.

98eb240853589172c82e3d7935e9b7ba   

E.

147fc1da6b0a752be633dcb20553450

“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛),电子取证,电子取证,安全,linux,windows,内存取证


 

97

该段内存中有多少个连接埠与svchost.exe 有关?

A.

3

B.

4

C.

5

D.

E.

7

A文章来源地址https://www.toymoban.com/news/detail-659407.html

到了这里,关于“美亚杯”第三届中国电子数据取证大赛答案解析(团体赛)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 2018年美亚杯电子数据取证大赛-资格赛wp

    😋 大家好,我是YAy_17,是一枚爱好网安的小白,正在自学ing。   本人水平有限,欢迎各位大佬指点,一起学习 💗 ,一起进步 ⭐️ 。 ⭐️ 此后如竟没有炬火,我便是唯一的光。 ⭐️ 使用取证大师分析镜像: 1. [单选题] 1.Victor的笔记本电脑己成功取证并制作成法证映像档

    2024年02月01日
    浏览(52)
  • 第三届OceanBase数据库大赛启动,升级为国家级竞赛

    近日,第三届OceanBase数据库大赛启动报名。本届大赛进一步升级为全国大学生计算机系统能力大赛,由系统能力培养研究专家组发起,全国高等学校计算机教育研究会、系统能力培养研究项目发起高校主办,OceanBase承办,旨在培养和发现计算机底层核心技术的后备人才。 Oc

    2024年02月12日
    浏览(40)
  • 2018年第三届 美亚杯电子取证 个人赛题解

    取证直接获取 FC20782C21751BA76B2A93F3A17922D0 E 查看硬盘个数 3个 C LBA开始地址 我们首先确定操作系统分区 可以发现是 E 盘 然后我们开始看物理地址 物理位置:32,213,303,296 除以 512 答案为D 这里就是需要通过扇区x512来计算 答案为E C 这里真不会 看了看 主要是看 磁盘十六进制 第1

    2024年02月06日
    浏览(34)
  • 2023年台州市第三届网络安全技能大赛(MISC)这是神马

    考点:冰蝎流量特征数据包,需要解密 emoj 解密 冰蝎之前做过 特征就是先 base64 编码在 AES 编码 我们在数据包里面找到了密钥: 144a6b2296333602 这里我们知道了密钥我们就去解密 先筛选 HTTP 协议 导出 HTTP 数据流可以看到传了 shell.php 随便找一个然后复制, AES 解密这里我没工具

    2024年02月08日
    浏览(51)
  • 2023第三届”红明谷“杯网络安全大赛 Writeup By AheadSec

    修改前端js代码,将连点10次处的 clickDecryptBtn(); 循环次数改为10000即可,如图所示: Dreamer cms有nday:https://forum.butian.net/share/2183 其中有一个后台设置栏目存在任意文件读取的漏洞,而且也给了flag位置在 /flag 保存,然后首页点击这个栏目即可 返回都是 gzip 格式的数据,直接用

    2023年04月24日
    浏览(48)
  • 2023年台州市第三届网络安全技能大赛(MISC)—Black Mamba

    前言:当时比赛没有做出来现在来复现一下 就当记录一下(这个思路没想到) 一张图片 常规得分离,属性, LSB ,盲水印等都尝试过 无果! 考点:异或解密(第一次遇到,没想到) 这里放入 010 发现底部有沉余字符,与十进制 24 异或,得到压缩包 这里得到压缩包 然后我们

    2024年02月08日
    浏览(52)
  • 广东省第三届职业技能大赛“网络安全项目”B模块任务书

    PS: 关注鱼影安全 模块 B 竞赛项目试题 本文件为:广东省第三届职业技能大赛网络安全项目试题

    2024年02月02日
    浏览(43)
  • 【EI会议征稿】第三届机械自动化与电子信息工程国际学术会议(MAEIE 2023)

    第三届机械自动化与电子信息工程国际学术会议(MAEIE 2023)  第三届机械自动化与电子信息工程国际学术会议(MAEIE 2023)将于2023年12月15-17日在江苏南京举行。本会议通过与业内众多平台、社会各团体协力,聚集机械自动化、电子信息工程等相关领域的学者,实现研究成果、

    2024年02月09日
    浏览(51)
  • 征稿 | 第三届粤港澳大湾区人工智能与大数据论坛(AIBDF 2023)

    第三届粤港澳大湾区人工智能与大数据论坛(AIBDF 2023) 2023 3rd Guangdong-Hong Kong-Macao Greater Bay Area Artificial Intelligence And Big Data Forum      本次高端论坛围绕建设国家数字经济创新发展试验区进行选题。全面贯彻落实党的二十大精神,深入贯彻落实关于发展数字经济的重要指示要

    2024年02月13日
    浏览(47)
  • 第三届2022MathorCup高校数学建模挑战赛大数据论文加代码(附详解)

       摘要         本题主要是一个研究预测模型,以中国移动通信集团北京公司为背景,让客户根据 自身在网络覆盖与信号强度方面的体验和语音通话过程中的整体体验来进行语音通话 整体满意度的打分,统计出客户语音业务体验中的影响因素,从而提升客户语音业务满 意

    2024年02月03日
    浏览(63)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包