2018年第三届 美亚杯电子取证 个人赛题解

这篇具有很好参考价值的文章主要介绍了2018年第三届 美亚杯电子取证 个人赛题解。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1

Victor的笔记本电脑己成功取证并制作成法证映像档 (Forensic Image),下列哪个是其MD5哈希值? (2分)
A.	FC20782C21751AB76B2A93F3A17922D0
B.	5F1BDEB87EE9F710C90CFB3A0BB01616
C.	A0BB016160CFB3A0BB0161661670CFB3
D.	917ED59083C8B35C54D3FCBFE4C4BB0B
E.	FC20782C21751BA76B2A93F3A17922D0

取证直接获取 FC20782C21751BA76B2A93F3A17922D0

E

2

根据法证映像档 (Forensic Image),确定原笔记本内有多少个硬盘分区? (2分)
A.	1
B.	2
C.	3
D.	4
E.	5

查看硬盘个数

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

3个

C文章来源地址https://www.toymoban.com/news/detail-739028.html

3 LBA

你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)? (答案格式: 扇区, Sector) (2分)
A.	0
B.	2048
C.	1048576
D.	62916608
E.	32213303296

LBA开始地址 我们首先确定操作系统分区

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

可以发现是 E 盘 然后我们开始看物理地址 物理位置:32,213,303,296 除以 512

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

答案为D

4 E磁盘物理大小

你能找到硬盘操作系统分区的物理大少吗 (字节byte)? (2分)
A.	62709760
B.	62910464
C.	104857600
D.	32107397120
E.	32210157568

这里就是需要通过扇区x512来计算

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

答案为E

5

操作系统分区的文件系统是哪种? (2分)
A.	FAT32
B.	EXFAT
C.	NTFS
D.	EXT3
E.	HFS+

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证C

6  查看簇 包含多少扇区

操作系统分区,每个簇(Cluster)包含几个扇区(sectors)? (2分)
A.	2
B.	4
C.	6
D.	8
E.	16

这里真不会 看了看 主要是看 磁盘十六进制 第14位

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

D

 7

在操作系统分区内,$MFT的物理起始扇区位置(Starting physical sector)是什么? (2分)
A.	62919936
B.	67086648
C.	68942784
D.	69208064
E.	79865960

看$MFT 然后物理扇区即可69,208,064

答案D

8

请找出系统文件“SOFTWARE",请问操作系统的安装日期是? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC) (2分)
A.	2018-10-25 08:08 UTC
B.	2018-10-25 08:09 UTC
C.	2018-10-25 08:10 UTC
D.	2018-10-25 08:11 UTC
E.	2018-10-25 08:12 UTC

咋和17年差不多啊

首先问时间 所以我们直接去看时区

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

等等取证出来需要 -8  所以现在去看安装时间即可

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

2018-10-25 16:08:39  -8    = 2018-10-25 8:08:39 

答案是A

9

9	用户“victor"的唯一标识符(SID)是什么?(答案格式:RID) (2分)
A.	1001
B.	1002
C.	1003
D.	1004
E.	1005

查看SID

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

A

10

10	用户“Lily"的唯一标识符(SID)是什么?(答案格式:RID) (2分)
A.	1001
B.	1002
C.	1003
D.	1004
E.	1005

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

C

11

11	Victor上一次更改系统登入密码是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A	2018-11-01 16:08 +8
B	2018-11:01 14:15 +8
C	2018-10-26 17:00 +8
D	2018-10-25 08:08 +8
E	2018-10-25 16:08 +8

这里要看修改密码的时间

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

这里要求是 +8 所以 E

12

12	Lily上一次更改系统登入密码是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A.	2018-11-01 03:02:01 +8
B.	2018-11:02 11:13:33 +8
C.	2018-10-26 17:00:45 +8
D.	2018-10-30 12:30:40 +8
E.	2018-10-27 12:08:37 +8

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

D

13

13	Victor 总共登录系统多少次? (2分)
A.	3
B.	16
C.	33
D.	36
E.	45

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

D

14

14	以下哪个帐号已经被禁用? (2分)
A.	Administrator
B.	victor
C.	Lily
D.	simon
E.	以上皆不是

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

A

15

15	以下哪个帐系统权限最低? (2分)
A.	Administrator
B.	victor
C.	Lily
D.	simon
E.	以上权限一样

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

这里可以发现 D 的组为 Users;Guests

16

16	以下哪个帐号曾经远端登录系统? (2分)
A.	Administrator
B.	victor
C.	Lily
D.	simon
E.	远端登入已被禁止

这里好像美亚找到 所以E

或者直接启动仿真去看看远程桌面

但是没有发现 所以这里还是选E

17

17	硬盘操作系统的版本? (2分)
A.	Windows 7 Enterprise (32 位)
B.	Windows 7 Enterprise (64 位)
C.	Windows 7 Professional (32 位)
D.	Windows 7 Professional (64 位)
E.	Windows 7 Ultimate (64 位)

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证D

18

18	操作系统的最新服务包(Service Pack)版本号是什么? (2分)
A.	Service Pack 1
B.	Service Pack 2
C.	Service Pack 3
D.	Service Pack 4
E.	Service Pack 5

服务包

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

A

19

19	下列哪个是victor的默认打印机? (2分)
A.	HP OfficeJet 250 Mobile Series
B.	CutePDF Writer
C.	Microsoft XPS Document Writer
D.	PDF Complete
E.	AL-M2330

查看默认打印机

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

看到默认打印机 B

20

20	在2018-10-31 08:29:32 +8时间, 账号simon曾经使用以下哪个文件? (2分)
A.	Microsoft 商店.url
B.	ug.jpeg
C.	Reddy Resume.doc
D.	grocerylistsDOTorg_Spreadsheet_v1_1.xls
E.	InvoiceTemplate.docx

一个一个搜

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

选C

21

21	接上题,开启上述文件的程序是? (2分)
A.	Internet Explorer
B.	Firefox
C.	画图
D.	WPS 表格
E.	WPS 文字

选E

22

22	以下哪个是victor的默认网页浏览器? (2分)
A.	Internet Explorer
B.	Google Chrome
C.	360浏览器
D.	Firefox
E.	迅雷浏览器

这里学过

去SOFTWARE

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

发现是都有 那么就仿照建立一个 html即可

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

D

23

23	victor的回收站里面有一张地图,以下哪个是这张地图原来的文件名? (2分)
A.	捕获.PNG
B.	抓取.PNG
C.	Screenshot.PNG
D.	Map.bmp
E.	Map.jpg

仿真看看2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

A

24

24	接上题,上述地图原来的储存路径是? (2分)
A.	C:\Users\victor\Pictures
B.	C:\Users\victor\Documents
C.	C:\Users\victor\Desktop
D.	C:\Users\victor\Downloads
E.	C:\

直接还原可以发现是 Desktop

C

25

25	找出一个名为"request for quotation.lnk"的档案,并指出该LNK文件的目标路径? (2分)
A.	C:\Users\victor\Pictures
B.	C:\Users\victor\Documents
C.	C:\Users\victor\Desktop
D.	C:\Users\victor\Downloads
E.	C:\

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

只发现这两个 但是不存在 Recent的内容 所以是C

26  最后开启时间

26	接上题,上述文件上一次开启的时间是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (2分)
A.	2018-10-29 15:11:43 +8
B.	2018-10-29 19:24:16 +8
C.	2018-10-29 15:11:42‌ +8
D.	2018-11-01 14:51:25 +8
E.	2018-10-29 07:11:42 +8

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

这里修改时间也该是开启时间 C

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

但是这个答案是D 这里不知道可能镜像问题了

27

27	接上题,"request for quotation.lnk"的元数据(metadata)记录了以下哪个网卡的物理地址(mac address)? (2分)
A.	00:0C:29:70:F4:47
B.	00:50:56:C0:00:13
C.	47:F4:70:29:0C:00
D.	E4:A7:A0:CB:66:C7
E.	00:0C:29:70:F4:47

这里可以直接一个一个搜

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

D

28

28	系统账号victor使用以下哪个电子邮件发送/接收的程序? (2分)
A.	Outlook express
B.	Lotus Note
C.	Thunderbird
D.	Roundcube
E.	没有安装以上软件

看邮件解析

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

C

29

29	系统经哪个IP地址,登录互联网? (2分)
A.	10.0.4.1
B.	10.0.4.128
C.	192.168.72.2
D.	192.168.72.128
E.	192.168.72.233

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

D

30

30	在该操作系统中,曾经连接数个USB移动储存装置 (U盘),下列那个是该系统连接过的USB移动储存装置 ? (2分)
A.	Verbatim USB Device
B.	USB Mass storage USB Device
C.	WD 2500BMV External USB Device
D.	SanDisk Cruzer Fit USB Device
E.	Seagate 250 External USB Device

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

D

31

31	在操作系统中,上述U盘曾被指派以下哪个磁盘分区代号(Drive Letter) ? (2分)
A.	D:
B.	E:
C.	F:
D.	G:
E.	Z:

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

C

32

32	该操作系统中,下列哪个是最后的关机时间? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM:SS UTC) (2分)
A.	2018-11-02 08:59:38 UTC
B.	2018-11-02 10:22:40 UTC
C.	2018-11-02 10:23:03 UTC
D.	2018-11-02 10:47:28 UTC
E.	2018-11-02 10:47:51 UTC

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

-8 哦

E

33

33	该操作系统中,下列哪个是计算机的主机名? (2分)
A.	VICTOR-COMPUTER
B.	WORKGROUP
C.	SIMON-HOME
D.	VICTOR-HOME
E.	LILY-HOME

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

选D

34

34	接上题,设定为上述计算机主机名前是什么名称? (2分)
A.	42P323K467-22
B.	37L4247F27-25
C.	WIN-6S2GC51RGL9
D.	USER-PC
E.	MY-PC

这里就是对日志双击打开本机的阅读器

首先找到 计算机名称变换的地方

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

然后我们可以看到这个 我们就打开看看

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

看到咯

C

35

35	接上题,上述计算机主机名设定时间是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (2分)
A.	2018-10-24 11:07:22 +8
B.	2018-10-28 12:22:59 +8
C.	2018-10-27 13:45:18 +8
D.	2018-10-25 16:04:19 +8
E.	2018-10-25 16:07:38 +8

时间:2018-10-25 16:07:38

E

36

36	在该操作系统中,下列哪个是用户victor日常使用的电邮账号? (2分)
A.	victor201811@hotmail.com
B.	wictor2018111@hotmail.com
C.	victor_201811@google.com
D.	victorlam2018@hotmail.com
E.	以上皆不是

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

A

37

37	victor 上一次更改上述电邮账号密码是什么时候? (答案格式 -“本地时间":YYYY-MM-DD) (2分)
A.	2018-10-29
B.	2018-10-30
C.	2018-10-31
D.	2018-11-1
E.	2018-11-2

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

 这里是本地时间 所以不需要修改 A

38

38	victor什么时候收到勒索电邮? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A.	2018-11-02 09:09 +8
B.	2018-11-02 09:10 +8
C.	2018-11-02 10:09 +8
D.	2018-11-02 17:09 +8
E.	2018-11-02 17:10 +8

我们去看看

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

D

39

39	以下哪个是发出勒索邮件的的IP地址? (2分)
A.	10.152.64.57
B.	10.152.64.217
C.	220.246.55.13
D.	74.208.4.220
E.	10.76.45.13

 我们看看

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

但是不是这个

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

这里里面有220 的 所以是 220

C

40

40	勒索邮件的附件解压后有一个病毒文件,这个文件的MD5哈希值是? (2分)
A.	72596F71248531853F37D4BD15D088C4
B.	15B64B15CC5A5442196471690D4A088B
C.	67A1487E296328C9E802D50741D8DB9C
D.	72596F71248DH3S92LS7D4BD15D088C4
E.	5BB71EF8E95A5249EF4C2A8CFF9A1E1C

 我们直接解压后MD5计算

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

B

41

41	上述的病毒文件什么时间被系统执行? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A.	2018-11-02 14:15 +8
B.	2018-11-02 17:09 +8
C.	2018-11-02 17:13 +8
D.	2018-11-02 17:20 +8
E.	2018-11-02 17:23 +8

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

C

42

42	这个病毒是否会在重新开机后自动运行?如会,它是通过下列哪个程序执行? (2分)
A.	Thunder.exe
B.	QyKernel.exe
C.	QyClient.exe
D.	javaw.exe
E.	病毒不会自动执行

 我们去看看

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

首先是java包 并且会打开javaw 执行javaw包

并且去搜索的时候

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

java包 而且名称很奇怪

D

43 沙箱分析木马

43	病毒文件被执行后有以下哪个文件被生成? (2分)
A.	E8S377N3N8UOAMS82PQJ.temp
B.	tbc_stat_cache.dat
C.	JNativeHook_4940080920928265976.dll
D.	83aa4cc77f591dfc2374580bbd95f6ba.tmp
E.	downloads.json

丢入沙箱看看就可以了

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

选C

44

44	接上题,上述文件有什么功能? (2分)
A.	获取镜头权限
B.	追踪键盘记录
C.	抓取浏览器密码
D.	抓取系统登入密码
E.	存取系统分区

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

可以看到记录了键盘

B

45

45	以下哪个是系统安装的第三方输入法软件? (2分)
A.	sogou pinyin
B.	sogou wubi
C.	Baidu Pinyin
D.	QQ Pingyin
E.	以上皆不是

一个一个搜就可以

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

A

46

46	操作系统是跟哪一个时间服务器自动同步? (2分)
A.	time.nist.gov
B.	time-a.nist.gov
C.	time.windows.com
D.	time-b.nist.gov
E.	time-nw.nist.gov

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

选C 

47

47	法证人员于2018-11-02 下午6时25分到场,之后对系统作以下哪项取证? (2分)
A.	抓取荧幕画面
B.	备份使用者资料
C.	备份浏览记录
D.	抓取网络数据包
E.	制作内存镜像档

这里主要是没找到其他的 但是肯定有内存镜像 所以 E

48

48	法证人员到场后,以下哪个软件曾经在系统里运行过? (2分)
A.	wireshark.exe
B.	Magnet RAM capture.exe
C.	Lightscreen.exe
D.	fastdump.exe
E.	以上皆不是

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

B

49

49	接上题,所抓取的资料被储存为以下哪个文件? (2分)
A.	victor_PC_networktraffic.pcapng
B.	Lily_PC.networktraffice.pcapng
C.	PC_ screenshot.PNG
D.	victor_PC_memdump.dmp
E.	Lily_PC_memdump.dmp

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

D

50

50	接上题,上述档案储存到以下哪个分区? (2分)
A.	D:
B.	E:
C.	F:
D.	G:
E.	H:

2018年第三届 美亚杯电子取证 个人赛题解,取证,取证

C

到了这里,关于2018年第三届 美亚杯电子取证 个人赛题解的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 2023年四川省网络与信息安全技能大赛初赛 个人赛 Writeup

    反序列化 、 eval截断 、 无参数RCE 然后在写入一个webshell反弹 webshell反弹之后在根目录下看到 secret.txt ,里面存着用户 boogipop 的密码 之后直接 cat /flag 就行 在源码中飞机爆炸处理之后有一个GET参数请求 直接传 scores 即可获得flag: /useful.php?scores=1000000000 给了源码,但是登录后

    2024年02月07日
    浏览(47)
  • TJUACM假期集训个人赛(八)(cf789a-c cf791a-c)

    这场打一半回宿舍有点事润了,态度不端正,下次改正 A. Anastasia and pebbles 题面 签到题,枚举每类石头即可, w a wa w a 了一次因为判断错了,分两天取是 k k k ,不是 ≥ k ge k ≥ k B. Masha and geometric depression 题面 把 a a a 数组放进 s e t set se t ,循环枚举 b b b 数组即可。判断是否

    2024年02月16日
    浏览(36)
  • 2022“美亚杯”第八届中国电子数据取证大赛-团队赛题目

    2022“美亚杯”第八届中国电子数据取证大赛-团队赛题目 更多网络安全CTF题目,欢迎来polarctf.com来刷题 本人wechat N34939 检材文件下载链接:https://pan.baidu.com/s/1kg8FMeMaj6BIBmuvUZHA3Q?pwd=ngzs 提取码:ngzs 个人赛与团队赛下载文件解压密码:MeiyaCup2022 个人赛解压缩时间: 45min左右 团队

    2024年02月03日
    浏览(59)
  • “美亚杯”第二届中国电子数据取证大赛答案解析(团体赛)

    1. 根据所提供的文件,在映像文件的采集过程中,曾使用那一种的写入保护设备? A)软件写入保护设备 B)WiebeTech写入保护设备 C)EPOS写入保护器 D)Tableau取证工具SATA / IDE Bridge IEEE 1394 SBP2Device E)ICS drive lock 取证过程中,镜像文件需要与源文件保持完全一致,所以写入设备

    2024年02月16日
    浏览(45)
  • 2023年第一届龙信杯电子数据取证竞赛(流量+服务器部分)

    分析“数据包1.cap”,请问客户端为什么访问不了服务器。( ) A.DDoS攻击 B.DoS攻击 C.SQL注入 D.文档攻击 DOS攻击,特征是短时间内TCP很高 分析“数据包1.cap”,出问题的服务器IP地址是_______。(格式:127.0.0.1) 跳过,之后分析 分析“数据包1.cap”,文件下发服务器的IP地址是

    2024年02月08日
    浏览(46)
  • 西安石油大学2023年第三届里奇杯编程大赛(初赛)

    官方题解地址1v7w (郭毅佬!):https://www.cnblogs.com/1v7w/p/17437203.html 描述 你说得对,但是 “ 里奇杯 ” 是西安石油大学计算机协会举办的程序设计竞赛,比赛旨在激发同学们学习程序设计的热情,提高编程能力,调动编程的兴趣和积极性,在这里,你将扮演名为“参赛选手”

    2024年02月09日
    浏览(68)
  • 2023 年第十三届“MathorCup” C 题 包裹应急调运问题(解题思路)

    题目背景 电商物流网络由物流场地(接货仓、分拣中心、营业部等)和物流场地之间的运输线路组成。如果物流场地由于紧急情况而暂时或永久关闭,则由其处理的包裹将紧急转移至其他物流场地。这些因素将影响每条线路运输的包裹数量和每个物流场地处理的包裹数量。如

    2024年02月06日
    浏览(61)
  • 2023 年第三届长三角高校数学建模竞赛赛题浅析

    为了更好地让大家本次长三角比赛选题,我将对本次比赛的题目进行简要浅析。数模模型通常分为优化、预测、评价三类,而本次数学题目就正好对应着A、B、C分别为优化、预测、评价。整体难度不大,主要难点在于A题的优化以及B、C的数据收集。稍后,我将为大家收集一些

    2024年02月05日
    浏览(46)
  • 广东省第三届职业技能大赛“网络安全项目”B模块--数字取证解析

    PS: 关注鱼影安全 模块 B 竞赛项目试题 本文件为:广东省第三届职业技能大赛网络安全项目试题-模块 B 本次比赛时间为 4 个小时。 介绍 竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引! (1)当竞赛结束,离开时请不要关机; (

    2024年01月19日
    浏览(63)
  • 2023 年第三届长三角高校数学建模 C 题 考研难度知多少

    2023 年第三届长三角高校数学建模竞赛题目 (请先阅读 “ 长三角高校数学建模竞赛论文格式规范 ” ) C 题 考研难度知多少 据相关媒体报道, 2023 年考研可以称得上是 “ 最难 ” 的一年,全国研究生报 考人数突破新高达到 474 万人、部分考研学生感染新冠带病赴考、保研名

    2024年02月05日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包