2019第一届长安杯

news2024/12/23 23:18:38

检材一

案情简介

        在一起电诈案件中,受害者称自己的银行卡被他人冒用,曾收到假冒公安的短信,因为

自己在一个 P2P 网站中理财,假冒公安称该网站已被列外非法网站,要自己到公安备案网站

填写自己的信息,并帮助自己追回本金,因此信以为真,在网站上填写了自己的信息和绑定

的银行卡信息;办案机关推测嫌疑人可能是获取了 P2P 网站中的注册用户信息,从而进行定

向诈骗,因此调取了 P2P 理财网站的服务器,现委派你对该服务器进行电子数据取证。

你获得该 P2P 理财网站服务器硬盘镜像文件“检材 1.E01”,根据这个镜像文件,回答下列问题:

1、计算“检材 1.E01”镜像的 SHA256 值是多少( )

A. 2b20022249e3e5d66d4bbed34ad337be5dd77b313c92dfe929aa56ed71449697

B. 6a574c40548110598bd4c88520d34b37d13b372066737ede3104743f986b7263

C. 5ee0b3809807bf8a39453695c5835cddfd33f65b4f5bee8b5670625291a6bc1c

D. 8495b678da27c64b54f083afefbcf9f83f94c1de133c70c175b4a784551939dd

4fd2a9c4796b41b19db1e5494669a91f.png

2、该服务器的操作系统版本是什么( )

A. CentOS release 6.5 (Final)

B. Ubuntu 16.04.3 LTS

C. Debian GNU/Linux 7.8 (wheezy)

D.CentOS Linux release 7.6.1810(Core)  

linux命令cat /proc/version也可

7dbf8918b19f4600a068c2fb9e44306c.png

3、该服务器内核版本是多少( )

A.3.10.0-957.el7.x86_64

B. 3.2.0-4-amd64

C. 4.8.0-52-generic

D. 4.10.0-28-generic

uname -a

4、原服务器存在多少硬盘分区?( )

A.1

B.2

C.3

D.4

B

25a3a7b277654b4a97bf79bdc1864a2f.png

或者fdisk -l

44d6ce17ec104fa098392a8a7806ebb6.png

5、原服务器中硬盘分区其中含有一个 LVM 逻辑卷的分区,请找出该分区内开始的逻辑区块

地址(LBA)。(答案格式: 扇区,Sector)( )

A.0

B.2048

C.2099200

D.4194344

C

见上题图2

6、该 LVM 逻辑卷分区内 root 逻辑卷的文件系统是什么?( )

A.NTFS

B.EXT4

C.SWAP

D.XFS

lsblk -f

4d204628288b442ca5e4bb4d3b47efa4.png

7、该 LVM 逻辑卷分区内 root 逻辑卷的物理大小是多少?(单位:byte)( )

A. 2,147,483,648

B. 2,147,504,128

C. 18,249,416,704

D. 20,400,046,080

C

见第四题图2

8、请找出该服务器的网站访问端口是什么?( )

A.22

B.25

C.80

D.8091

D

netstat -nltp

f85ae8c5a1cc4ba9b214610d35e3d57c.png

或者

1f72be4dc2484845857f31239298050e.png

“0.0.0.0:8091->80/tcp”docker容器将内部的80端口映射到了主机的8091端口

9、该服务器中运行了 docker 应用,在本地有多少 docker 镜像?( )

A.10

B.11

C.12

D.13

B

cfb2b33d9fed4b8095969bf3bf26d0fe.png

或者docker images、docker image ls

b9ea793966ae4d42b632d3aa07f95d98.png

10、该 docker 应用的 server 版本是多少?( )

A.16.05.2

B.17.03.8

C.18.09.7

D.19.03.3

C

docker version

bfe19031e2d8465eb041c08ddabe7d71.png

11、该 docker 应用中总共有多少容器节点?( )

A.10

B.11

C.12

D.13

docker ps -a

473655dca1454ec890be95e283998cd5.png

12、运行中的容器节点有多少?( )

A.1

B.2

C.3

D.4

docker ps

30e0f2ac214e4a7b9e35648f944aa21a.png

13、在运行中的容器节点中,其中一台容器名称为 romantic_varahamihira 的容器节点,它的 hostname 是什么?( )

A. 16fc160060c1

B. 1ef6292872e0

C. 753abb28b629

D. 53766d68636f

D

见第11题图第一行

14、上题容器节点中,占用了主机的哪个端口?( )

A.25

B.8012

C.8091

D.未占用端口

见第11题图第一行

15、在运行中的容器节点中,其中一台容器 ID 为 15debb1824e6 的容器节点,它运行了什么服务?( )

A.ftp

B.ssh

C.nginx

D.smtp

B

见第12题图第二行

16、上题容器节点中,占用了主机的哪个端口?( )

A.22

B.8091

C.39999

D.未占用端口

见第12题图第二行

17、该服务器中网站运行在 docker 容器中,其中 web 服务使用的是什么应用?( )  

A.apache

B.tomcat

C.nginx

D.IIS

见第12题图第三行

18、上题所述运行 web 服务的容器节点,使用的镜像名称是什么( )?(格式 REPOSITORY:TAG)

A.apache: latest

B.tomcat: jessie-slim

C.nginx: jessie-slim

D.nginx: latest

D

见第9题图2

19、上题所述容器节点占用的容器端口是什么?( )

A.22

B.80

C.8091

D.未占用端口

C

见第12题图第三行 

20、网站目录所在的容器内部路径为(格式:容器 ID:路径)( )

A. d1085c1a8828:/home/ vue2-element-touzi-admin

B. 53766d68636f:/ home/ vue2-element-touzi-admin

C. 16fc160060c1:/var/www/ vue2-element-touzi-admin

D. 15debb1824e6: /var/www/ vue2-element-touzi-admin

B

在home文件夹下

058130cc9cb142fab26f1583fa0e1cb3.png

A选项容器未启动,B选项进入就能查到

067f90e95858487db72aca8da417e6ea.png

21、网站目录所在的主机路径为下列选项中的哪个?( )

A./var/lib/docker/overlay2/cca977c8ca4a251023000285fbc8b4556636e1adc53cb012c8413

3a7b857abfc/diff/home/vue2-element-touzi-admin

B./var/lib/docker/overlay2/fd27756120785ef656c9211b6147ef5f38d6a9811006d85359458f7

fa8d45415/diff/home/vue2-element-touzi-admin

C./var/lib/docker/overlay2/f405ba5e3f1f0e04a3585fbc95a47d13b4009dd9d599ac91015bab

ebd5a5ff9b/diff/var/www/ vue2-element-touzi-admin

D./var/lib/docker/overlay2/d42b9a02aa87386b137242f691cb3e6303c4c0f3441419efb17ff55

0fdf5de28/diff/var/www/ vue2-element-touzi-admin

A

docker inspect 53766d68636f查看容器元数据

19877d51eef84950ba2ce53032021bdd.png

22、网站日志的路径在哪?(格式:容器 ID:路径)( )

A. 53766d68636f:/etc/nginx/logs/jrweb.log

B. 53766d68636f:/var/log/access.log

C. 16fc160060c1:/etc/nginx/logs/jrweb.log

D. 16fc160060c1:/var/log/access.log

C

一个一个进容器里面找的

d7dabd9d6b234077ac65f8298962264a.png

23、案发当时,该服务器的原始 IP 地址是多少?( )

A.192.168.160.89

B.192.168.184.100

C.192.168.120.111

D.192.168.184.128

D

接上题查看/etc/nginx/logs/jrweb.log,“http://192.168.184.128:8091/”

cdc1a9e3798747daa77960a4651189bd.png

2b931054b7174597990f9a9b5dbd547b.png

24、在 docker 中,各容器节点和主机之间的网络连接模式是什么?( )

A. bridge 模式

B. host 模式

C. container 模式

D.none 模式

A

接21题看到的

35308e460f41459290365642ac05e9b6.png

25、当我们想将网站重构好时,访问网站时,web 应用在其中承担什么样的工作?( )

A.运行网站

B.转发

C.反向代理

D.负载均衡

B

火眼查看服务器主配置文件nginx.conf

user  nginx;
worker_processes  1;

error_log  /usr/local/logs/nginx/error-jrweb.log warn;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /usr/local/logs/nginx/access-jrweb.log  main;

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  65;

    #gzip  on;

    include /etc/nginx/conf.d/*.conf;


    server {
        listen       80;
        server_name  www.xxjr.com;
        access_log logs/jrweb.log;
        error_log logs/jrweb.error;

        location / {
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_pass http://172.17.0.3:8012;
    }
}

}

转发到172.17.0.3的8012端口上 

26、从网站日志中,我们可以看到嫌疑人入侵服务器所使用的 IP 是( )

A.192.168.184.1

B.192.168.160.89

C.192.168.184.133

D.192.168.160.169

C

/etc/nginx/logs/jrweb.log中,192.168.184.133从8点开始持续访问,一分钟内访问多次,最后几次在爆破admin的密码

d8cf5a211608447196b70ee68857c721.png

27、网站目录中网站的主配置文件是哪一个?(相对路径)( )

A./config/index.js

B./server/api.js

C./server/index.js

D./src/main.js

C

关于README.md文件:说明书README.md文件的必要性_柏常青的博客-CSDN博客_readmemd 是干啥的

vue2-element-touzi-admin:后台管理系统细数那些我们用过的 Vue 组件库 - 知乎 (zhihu.com)

把整个/home/vue2-element-touzi-admin文件夹用vs打开或者用linux看但是centos里没装中文

docker exec -it 537 /bin/bash
cd /home/vue2-element-touzi-admin
cat README.md

06f22f063912432cb227c5b93ea7673f.png

28、该网站使用的是什么数据库?( )

A.mysql

B.oracle

C.mongodb

D.redis

C

由上题图可知数据库是/server/db.js

fd53d2ca38404142b5ea36e6871e546c.png

// port默认为:27017,tougu为数据库名;
mongoose.connect('mongodb://root:root@192.168.184.129:27017/tougu?authSource=admin',{useMongoClient: true});

参考使用mongoose连接远程mongodb数据库_吴彦希的博客-CSDN博客

mongoose.connect('mongodb://username:password@ip:port/database?authSource=admin')

用户名:root

密码:root

数据库ip:192.168.184.129

端口:27017

数据库名:tougu

29、所使用数据库的端口是多少?( )

A.1521

B.3306

C.6379

D.27017

D

见上题 

30、数据库所在服务器 IP 是多少?( )

A.192.168.160.131

B.192.168.184.131

C.192.168.160.169

D.192.168.184.129

D

见第29题 

31、数据库的用户名是什么?( )

A.root

B.tougu

C.admin

D.goose

A

见第29题 

32、数据库的密码是什么?( )

A.123456

B.admin

C.goose

D.root

D

见第29题 

33、该网站所使用的数据库库名是什么?( )

A.root

B.tougu

C.admin

D.goose

B

见第29题  

34、在案发时,黑客对该服务器某个文件/目录进行了加密,请问是哪个文件/目录?( )

A.~/.bash_history

B./var/log/

C./etc/ssh/sshd_config

D.~/ runit-agent.txt

A

88c84119a0c74d2db3d037944c32eaa4.png

检材二

你获得了该 P2P 理财网站数据库服务器硬盘镜像文件“检材 2.E01”,根据这个镜像文件,回答

下列问题:

35、该数据库服务器使用数据库的安装路径在哪?( )

A. /etc/mysql/

B. /home/redis/

C. /etc/mongo/

D. /var/lib/mongo/

D

数据库是mongo

e5ea5f5588bf4e8c9cd7a32335e62a81.png

36、数据库的配置文件的路径?( )

A./var/lib/mongo/mongo.conf

B./var/lib/mongo/mongod.conf

C./etc/mongod.conf

D./home/redis/redis.conf

C

05a415b6b6784003b679254fe55d5f59.png

37、数据库的日志文件路径在哪里?( )

A./etc/redis.log

B./var/log/mongodb.log

C./var/log/mongodb/mongod.log

D./var/lib/mongo/mongo.log

 55d4657c87504342ac55e13e65580fcc.png

38、该数据库的网站用户表名是什么?( )

A.user

B.users

C.touzi

D.licai

B

由17题可知,在/server/db.js中

5342b921aeb44f349edf4bd2a4fe35b4.png

在api.js中

fb7f7817db2841d5971c55461347f0d1.png

39、该数据库中网站用户表里的密码字段加密方式是( )

A.未加密

B.双重 MD5

C.MD5 加 salt

D.MD5

A

在/home/vue2-element-touzi-admin/server/db.js中没有相关加密

08cb47565fe949da896ecd3a13b12222.png

在/home/vue2-element-touzi-admin/server/api.js中,并没有发现加密的痕迹

e16728503bda41a6bd60dfc181367e90.png

// 保存数据之前,先要判断该用户是否已经存在。如果是,则更新数据;不是,则保存数据。
        const where = {'username':username} 
        p.find(where).exec(function(err,data){
			if(err){
				res.send({'status':'','data':'','message':err,'count':''});  
			}else{
				if (data[0].password != password)
				   res.send({'msg':'password or username error'})
				else
				    callback('', data[0], res)
			}

40、该用户表被做过什么样的修改?( )

A.删除用户

B.修改用户密码

C.修改用户名

D.添加用户

B

cat /root/.dbshell查看数据库操作

3767223ce832458984a0a1118dbed510.png

db.users.update({username:"admin"},$set:{$password:"ee16c5d7054e010582a7a5cfe7814d4a}})

db.removeUser(username)从数据库中删除指定的用户名

db.dropUser(username)从数据库中删除用户

41、嫌疑人对该数据库的哪个库进行了风险操作?( )

A.licai

B.touzi

C.tougu

D.admin

C

结合42题的操作命令,直接在/var/log/mongodb/mongod.log日志中查找

4e018f5d4fa04265a57cfe75b2de13bd.png

42、嫌疑人对上述数据库做了什么样的风险操作?( )

A.修改库名

B.添加库

C.查询库

D.删除库

D

修改库名db.copyDatabase('old_name', 'new_name');

添加库use DATABASE_NAME

查询库show dbs

删除库db.dropDatabase()

43、嫌疑人在哪个时间段内登陆数据库?( )

A.18:03-18:48

B.18:05-18:45

C.18:01-18:50

D.18:05-18:32

D

从26题可知,192.168.184.133是嫌疑人ip,last命令查看历史登录

6b81f2b6e93c43818a33c61042c70cb8.png

很奇怪,所有选项都能选感觉

44、嫌疑人在什么时间对数据库进行了 42 题所述的风险操作?( )

A.18:09:37

B.18:09:40

C.18:09:44

D.18:09:50

A

见41题图

检材三

经调查,你扣押获得了一台嫌疑人使用过的 VPN 服务器,并用服务器硬盘制作成“检材 3.E01”

镜像文件,根据该镜像文件,回答下列问题。

45、该服务器所使用的 VPN 软件,采用了什么协议( )

A.L2TP

B.PPTP

C.IPSec

D.NFS

B

yum install -y pptpd安装PPTP

3d53bd252abd47998abb06f3b6fef5dc.png

46、该服务器的时区为( )

A. Asia/ShangHai

B. Asia/Tokyo

C. Asia/Bangkok

D. Asia/Dhaka

D

timedatectl list-timezones查看所有可用时区

timedatectl set-timezone Asia/Tokyo设置时区为东京 

历史命令里面设置了3次时区,最后一个是Asia/Dhaka

e2bd9b89a80242b887e6a5347d172a5a.png

47、该服务器中对 VPN 软件配置的 option 的文件位置在哪里?( )

A. /etc/ppp/options.pptpd

B./var/lib/vpn/options.pptpd

C./etc/ipsec/options.ipsecd

D./etc/l2tp/options.l2tpd

A

04c00386674d493ab9b97a024b9cb6d3.png

48、VPN 软件开启了写入客户端的连接与断开,请问写入的文件是哪个?( )

A.wtmp

B.btmp

C.ftmp

D.tmp

A

d9f176c6b6434b07a3c446f75b3fc096.png

Linux用户登录日志查询  # 1 utmp、wtmp、btmp文件 - 腾讯云开发者社区-腾讯云 (tencent.com)

查看 /etc/pptpd.conf,确认

18c41904abde4c998d19da6e9489bb43.png

49、VPN 软件客户端被分配的 IP 范围是( )

A.192.168.184.1-192.168.184.11

B.192.168.184.12-192.168.184.18

C.192.168.184.19-192.168.184.26

D.192.168.184.27-192.168.184.35

B

同样在 /etc/pptpd.conf中

1efcbee0652a4e25a926e25647a63ae1.png

50、由 option 文件可以知道,option 文件配置了 VPN 软件的日志路径为( )

A./var/lib/logs/

B./etc/logs/

C./var/log/pptp/

D./var/log/

D

在options.pptpd中直接搜索选项,是/var/log/pptpd.log

69d69596f09441bf9531f9d70fd5573b.png

51、VPN 软件记录了客户端使用的名称和密码,记录的文件是( )

A. /etc/l2tp/chap-secrets

B. /etc/ipsec/pap-secrets

C. /etc/ppp/chap-secrets

D. /etc/ppp/pap-secrets

C

c10d04488be640f78d70868ab2f514d4.png

52、在服务器时间 2019-07-02_02:08:27 登陆过 VPN 客户端的用户名是哪个?( )

A. root

B. vpn1

C. vpn2

D. vpn3

由50题可知,option 文件配置了 VPN 软件的日志路径为/var/log/pptpd.log

7d30e92f61c640f19f9effa73ca8ff7d.png

53、上题用户登陆时的客户 IP 是什么?( )

A. 192.168.184.133

B. 172.16.81.101

C. 192.168.184.134

D. 192.168.43.238

D

见上题图,clientIP: 192.168.43.238

54、通过 IP172.16.81.188 登陆 VPN 服务器的用户名是哪个?( )

A. root

B. vpn1

C. vpn2

D. vpn3

B

这题挺离谱的,只有172.16.80.188没有172.16.81.188

086928086a214860a8da20e0d2a21a68.png

55、上题用户登陆 VPN 服务器的北京时间是( )

A. 2019-07-11_10:46:50

B. 2019-07-11_11:30:36

C. 2019-07-13_14:15:37

D. 2019-07-13_16:15:37

D

Asia/Dhaka:孟加拉时区: UTC+6,北京时间是UTC+8,时间需要加两个小时

56、该服务器曾被进行过抓包,请问 network.cap 是对哪个网卡进行抓包获得的抓包文件?( )

A.eth0

B.ens33

C.ens37

D.ens160

B

抓取所有经过ens33网卡的数据包

59efd84b02024964b635aa03dedef443.png

Tcpdump 看这一篇就够了 - 简书 (jianshu.com)

57、对 ens37 网卡进行抓包产生的抓包文件并保存下来的是哪个?( )

A. network.cap

B. network1.cap

C. net0713.cap

D. net0713-1.cap

D

network1.cap和net0713-1.cap

eabaa6932eeb4027ae96773117401b20.png

后面又用rm命令删除了network1.cap,题目中“并保存下来”这句真是大有深意啊

d6f4d2a4e74941edbb2818c97d53235f.png

58、从保存的数据包中分析可知,出口的 IP 为( )

A. 172.16.80.92

B. 172.16.81.101

C. 172.16.81.188

D. 172.16.80.133

A

 

检材四

你抓获了嫌疑人,并扣押了嫌疑人笔记本电脑,制作笔记本硬盘镜像文件“检材 4.E01”,请根

据镜像文件,回答下列问题:

59、计算“检材 4.E01”文件的 sha256 值( )

A. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5

B. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6

C. e6e47e210bd56c7071ce73ab5523736120071d0f3da5335936d7beb25c3914cd

D. 1e646dec202c96b72f13cc3cf224148fc4e19d6faaaf76efffc31b1ca2cdd200

be0ac44fb7bd43648b5adb558c161f36.png

60、请分析该检材的操作系统版本( )

A. Windows 10 Education

B. Windows 10 Home

C. Windows 10 Pro

D. Windows 10 Enterprise

A

ecc55513843e450e855ef6abb59bef34.png

61、找出该系统用户最后一次登陆时间:( )

A. 2019-07-14 10:50:02

B. 2019-07-14 10:10:02

C. 2019-07-14 10:40:02

D. 2019-07-14 10:30:02

C

47c96ce595824e45a274f989b645e4cb.png

62、找出该系统最后一次正常关机时间:( )

A.2019-07-14 17:30:05

B.2019-07-14 10:30:05

C.2019-07-14 11:30:05

D.2019-07-14 12:30:05

C

ac6471d66a5e481a849f0fd402767f9d.png

63、请计算检材桌面上文本文件的 sha256 值:( )

A.58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5

B.58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6

C.58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c7

D.58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c8

A

新建文本文档:58A4AB5EE3DC4C4A279FA8287ED7DCE315090512FA87127F8F9278C7972366C5 

fa1029eec4e24f11a2832a8213168806.png

64、该系统于 2019 年 7 月 13 日安装的软件为:( )

A.Eraser

B.Putty

C.Xftp

D.Xshell

A

2d81b6999ece47cf8f992a71d4fd2784.png

65、找出该嫌疑人于 2019-07-13 17:52:19 时,使用 WinRAR 工具访问了_____文件:( )

A.navicat11.zip

B.we.tar.gz

C.test2-master.zip

D.BitLocker.rar

c12793b7b34c47c5b5e35f446368b812.png

66、系统于 2019-07-13 17:53:45 时运行了___程序:( )

A.regedit.exe

B.WinRAR.exe

C.Xshell.exe

D.Foxmail.exe

D

41a810483bc5483bb4d5f1548d4a9ba0.png

67、文件 test2-master.zip 是什么时间下载到本机的:( )

A.2019-07-13 14:21:01

B.2019-07-13 17:22:01 

C.2019-07-13 15:23:01

D.2019-07-13 16:20:01

D

e64d26f912134537bf27483897291a34.png

68、文件 test2-master.zip 是使用什么工具下载到本地的:( )

A.Chrome

B.Internet Explorer

C.edge

D.迅雷

A

见上题图,下载记录在chrome中 

69、嫌疑人成功连接至 192.168.184.128 服务器的时间为:( )

A.2019-07-13 16:21:28

B.2019-07-13 16:21:31

C.2019-07-13 16:21:35

D.2019-07-13 16:21:25

A

找到连接记录 

f365774f01e6449dafa0180ff5f9ff50.png

跳转源文件,创建时间就是

86f06e2392074767ae53f41bd2f19edd.png

70、嫌疑人通过远程连接到 128 服务器,下载了什么文件到本机:( )

A.web.tar.gz

B.we.tar.gz

C.home.tar.gz

D.wwwroot.tar.gz

B

直接搜

81c628d7dec5420eb92a15df63d93e68.png

71、承接上一题,下载该文件用了多长时间:( )

A.10 秒 

B.20 秒

C.15 秒 

D.25 秒

C

修改时间减去创建时间

e144147d6b7246df9de139619d7a23af.png

72、请计算该下载文件的 sha256 值:( )

A.077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d8

B.077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d7

C.077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d6

D.077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d5

D

pagefile.sys.vhd 装载后成E盘,需要bitlocker密钥解密

检材三中抓取ens33网卡的生成network.cap和net0713.cap,只有net0713.cap能导出,从流量包中可以导出IMF对象列表(Internet Message Format互联网信息格式),可以用邮件查看器提取出Bitlocker.rar,这个压缩包是加密的

556943e32bd24df8a878b2eda1617f3c.png

桌面上的新建文本文档是字典,用其进行爆破

用bitlocker恢复密钥:494208-639155-079684-230648-428923-176902-004312-663696解密,得到we.tar.gz,解压后是vue2-element-touzi-admin

certutil -hashfile E:\we.tar.gz SHA256

2fc6aae6d8fa45e1b263afdcde03e4d8.png

73、请分析并提取,嫌疑人所用的手机的 IMEI 号码:( )

A.352021062748965

B.352021062748966

C.352021062748967

D.352021062748968

C

微软便笺niuroumian6是备份密码 

d76225a7247c41fa8fa63f9a8d9d93c8.png

ebd1773ac9cc45f4b01ebbcea32bdb18.png

74、嫌疑人是通过何种方式联系到售卖恶意程序的卖家的:( )

A.微信 

B.QQ

C.短信 

D.邮件

B

d3a68aa0baf942a4bc9cba7659c7b915.png

75、嫌疑人和卖家的资金来往是通过何种方式:( )

A.微信 

B.QQ

C.银行转账 

D.支付宝

A

32bb4736cc5c466391d248ae5a676a43.png

76、嫌疑人在犯罪过程中所使用的 QQ 账号为:( )

A.1649840939

B.1137588348

C.364505251

D.1722629449

见74题图

77、卖家所使用的微信账号 ID 为:( )

A.refrain_C

B.flame_guan

C.chao636787

D.sword19880521

见75题图

78、嫌疑人下载了几个恶意程序到本机:( )

A.1

B.2

C.3

D.4

B

先888买了一个肉鸡,对应微信聊天记录是

https://pan.forensix.cn/seafhttp/files/8fdf1982-e323-4efe-ae28-2bba21b5162c/runit

3e4940adcf3f47f8bf11e7cc419cdbf7.png

然后500又买了一个加密程序,对应微信聊天记录是https://pan.forensix.cn/seafhttp/files/681d3f66-35f9-4263-80c3-3411be3d74b9/encrypt%285%29

,随后又附赠了一个解密程序https://pan.forensix.cn/seafhttp/files/dec88b97-b2bc-414f-93a3-dcbbc15d615b/decrypt 

849c42037a2a4099b565f6897aa7c72e.png

79、恶意程序被嫌疑人保存在什么位置:( )

A.D:/DOWNLOAD

B.C:/USER

C.C:/

D.D:/

D

5f0f4296df8345859684fd94758d973e.png

80、恶意程序是使用什么工具下载到本地的:( )

A.Chrome

B.Internet Explorer

C.edge

D.迅雷

C

见79题图

81、嫌疑人是什么时间开始对受害者实施诈骗的:( )

A.2019-07-13 19:14:44

B.2019-07-13 19:24:44

C.2019-07-13 19:04:44

D.2019-07-13 19:44:44

C

49e670031ab24041a47fb8034d026538.png

82、请提取受害者的银行卡信息,银行卡账号为:( )

A.6225000088217563457

B.6225000088257563456

C.6225000088257563458

D.6225000088257563459

B

83、请综合分析,嫌疑人第一次入侵目标服务器的行为发生在:( )

A.2019-07-13 16:17:30

B.2019-07-13 16:17:32

C.2019-07-13 16:17:35

D.2019-07-13 16:17:38

C

84、请综合分析,嫌疑人入侵服务所使用的登陆方式为:( )

A.SSH 密码登陆 

B.SSH 密钥登陆

C.连接后门程序 

D.FTP 登陆 

B

检材三中

f0799c613ef04f1b9f2194a46bb158d1.png

85、可知嫌疑人应对外发送过邮件,请分析并找到发出的邮件,可知邮件的发送时间为:( )

A.2019-07-13 17:55

B.2019-07-14 17:56

C.2019-07-14 17:57

D.2019-07-14 17:58

B

80e7e4cb3a794354beae8592eafaed14.png

86、可知嫌疑人应对外发送过邮件,请分析并找到发出的邮件,可知邮件收件人为:( )

A.1649841939@qq.com

B.1649840939@qq.com

C.1649845939@qq.com

D.1649848939@qq.com

见85题图

87、请重构被入侵的网站,可知该网站后台管理界面的登陆用户名为:( )

A.root

B.Administered

C.admin

D.user

C

88、请重构被入侵的网站,并登陆网站后台管理界面,对该网站进行证据固定,可知该网站

首页左侧导航栏,不包含下列那个内容:( )

A.信息列表 

B.资金管理

C.资金数据 

D.会员信息

D

89、通过分析知,嫌疑人对目标服务器植入了勒索程序,请解密检材 2 中的被加密数据库,

其 sha256 值为:( )

A.8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a2

B.8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a3

C.8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a4

D.8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a5

A

90、通过分析知,嫌疑人有对目标服务器植入 ddos 程序,对该程序进行功能性分析,可知该程序会将自身复制到目标机器的什么目录下:( )

A./etc

B./lib

C./root

D./tmp

B

91、通过分析知,嫌疑人有对目标服务器植入 ddos 程序,对该程序进行功能性分析,可知该程序主控地址为(多选):( )

A.shaoqian.f3322.net

B.shaoqian.f3344.net

C.gh.dsaj3a2.org

D.gh.dsaj2a1.org

AD

92、压缩包 test2-master.zip 中的文件是什么?( )

A.恶意软件

B.加密程序

C.密钥文件

D.下载软件

C

在Users/eval/Downloads/test2-master.zip,解压之后查看是密钥

73670314f4f145399a4af810ed19b23e.png

93、应用程序 TrueCrypt-7.2.exe 是在什么时间下载到本机的?( )

A. 2019-07-06 00:04:38

B. 2019-07-06 00:06:38

C. 2019-07-06 00:08:38

D. 2019-07-06 00:10:38

C

f2821d7944794933b967f759bb9e4402.png

94、文件 runit.txt 从哪个域名下载的?( )

A.https://pan.forensix.cn/lib/367d7f96-299f-4029-91a8-a31594b736cf/runit

B. https://pan.baidu.com/s/19uDE7H2RtEf7LLBgs5sDmg?errno=0&errmsg=Auth Login

Sucess&&bduss=&ssnerror=0&traceid=

C.https://pan.forensix.cn/seafhttp/files/dec88b97-b2bc-414f-93a3-dcbbc15d615/runit

D. https://pan.forensix.cn/seafhttp/files/8fdf1982-e323-4efe-ae28-2bba21b5162c/runit

7fd7f1d1790649b992fc08ca23569f8c.png

95、BitLocker 密钥在什么位置?( )

A. D:/DOWNLOAD

B. C:/USER

C. C:/

D. D:/

fd5c66312c30467b8c7b80f29a1027f4.png

96、BitLocker.rar 生成的时间是?( )

A. 2019-07-13 17:51:47

B. 2019-07-13 17:52:19

C. 2019-07-13 17:53:24

D. 2019-07-13 16:31:06

B

0c40e865cd8742778f25ba93a825c136.png

97、文件 we.tar.gz 传输完成的时间是?( )

A. 2019-07-13 16:31:06

B. 2019-07-13 16;33:00

C. 2019-07-13 16:33:15

D. 2019-07-13 16:33:30

C

105d1d8bbbcb4ed29e9cfe1f0786903a.png

98、嫌疑人在什么时间登陆网页微信?( )

A. 2019-07-13 16:34:55

B. 2019-07-13 16:40:13

C. 2019-07-13 16:45:45

D. 2019-07-13 16:53:45

PC端网页微信的url是https://wx.qq.com,搜索一下浏览器里好几个时间,最早的那个

0be60696939647aaa2b30ebafcf187e4.png

99、嫌疑人于 2019-07-13 17:22:23 下载了什么文件?( )

A.网站目录压缩文件

B.数据库备份文件

C.网站日志文件

D.数据库日志文件

B

100、硬盘 C 盘根目录中,文件 pagefile.sys.vhd 的作用是什么?( )

A. pagefile 页面交换文件

B. 虚拟机启动文件

C. 系统配置文件

D. 虚拟磁盘

D

右键可装载

eccaaa6925064416b3eff18819aee58c.png

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1155.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

基于javaweb的crm客户关系管理系统(java+springboot+mysql)

基于javaweb的crm客户关系管理系统(javaspringbootmysql) 运行环境 Java≥8、MySQL≥5.7 开发工具 eclipse/idea/myeclipse/sts等均可配置运行 适用 课程设计,大作业,毕业设计,项目练习,学习演示等 功能说明 基于javawebsp…

云扩研习社 | RPA高级开发技巧(上)

高级元素选择技巧 XPath介绍 XPath是标准的结构化查询语言,内置丰富的语法、高阶函数可以提供非常强大的目标元素特征描述能力。 XPath是一种强大、复杂的查询语言;XPath与编辑器中内置的选择器没有本质区别,均可作为元素特征描述&#xff…

毕业设计 基于51单片机老人防跌倒GSM短信报警系统

基于51单片机无线蓝牙APP控LED灯亮灭亮度设计1、项目简介1.1 系统构成1.2 系统功能2、部分电路设计2.1 GSM SIM800A模块电路设计2.2 蜂鸣器报警电路(低电平有效)设计2.3 ADXL345倾角传感器模块电路设计2.4 DS18B20温度传感器模块电路设计3、部分代码展示…

面试官问我 “A + B” 算法,我懵了

🎈 作者:Linux猿 🎈 简介:CSDN博客专家🏆,华为云享专家🏆,Linux、C/C、云计算、物联网、面试、刷题、算法尽管咨询我,关注我,有问题私聊! &…

逆向学习-UltraEdit安装

一、相关软件安装 1、UltraEdit 1.1、简介 UltraEdit 是当今销量第一且最为强大的一款高性价比的文本编辑器。尽管不是一款开源软件,但多数程序员都使用这款编辑器,支持多种编程语言的语法着色和外挂编译功能。UltraEdit 是理想的文本、HTML 和十六进…

最新|全新风格原创YOLOv7、YOLOv5和YOLOX网络结构解析图

💡本篇分享一下个人绘制的原创全新风格YOLOv7网络结构图、YOLOv5网络结构图和YOLOX网络结构图 个人感觉搭配还行,看着比较直观,所以开源分享一下。 文章目录YOLOv5 网络结构图(最新 推荐🔥🔥🔥)YOLOv7 网络…

【C++笔试强训】第十三天

🎇C笔试强训 博客主页:一起去看日落吗分享博主的C刷题日常,大家一起学习博主的能力有限,出现错误希望大家不吝赐教分享给大家一句我很喜欢的话:夜色难免微凉,前方必有曙光 🌞。 💦&a…

YOLOv5、v7改进之三十八:引入RepVGG模型结构

前 言:作为当前先进的深度学习目标检测算法YOLOv7,已经集合了大量的trick,但是还是有提高和改进的空间,针对具体应用场景下的检测难点,可以不同的改进方法。此后的系列文章,将重点对YOLOv7的如何改进进行详…

基于javaweb的养老院管理系统(java+springboot+thymeleaf+html+js+mysql)

基于javaweb的养老院管理系统(javaspringbootthymeleafhtmljsmysql) 运行环境 Java≥8、MySQL≥5.7 开发工具 eclipse/idea/myeclipse/sts等均可配置运行 适用 课程设计,大作业,毕业设计,项目练习,学习演示等 功能说明 基于…

synchronized到底锁的是谁、何时生效

一、synchronized锁的几种形式 synchronized修饰普通方法synchronized修饰静态方法synchronized修饰代码块 1、synchronized修饰普通方法 简单示例 public class Test{private String age;private String name;public synchronized void print(String arg1, String arg2) {…

零代码,让业务人员实现应用创造自由

摘要:以汽车营销场景为例,从AppCube零代码和业务大屏入手,帮助开发者更好地理解AppCube低代码和零代码异同点,在实际使用时能更快选取更合适的工具能力,实现应用构建效率最大化。本文分享自华为云社区《DTT第8期直播回…

超级详细的Vue安装与配置教程

Vue web前端三大主流框架之一,是一套用于构建用户界面的渐进式框架,下面这篇文章主要给大家介绍了关于Vue安装与配置教程的相关资料,文中通过图文介绍的非常详细,需要的朋友可以参考下 − 目录 一、下载和安装Vue二、创建全局安装目录和缓存日志目录三、配置环境变量 1. 环境…

【k哥爬虫普法】简历大数据公司被查封,个人隐私是红线!

我国目前并未出台专门针对网络爬虫技术的法律规范,但在司法实践中,相关判决已屡见不鲜,K 哥特设了“K哥爬虫普法”专栏,本栏目通过对真实案例的分析,旨在提高广大爬虫工程师的法律意识,知晓如何合法合规利用…

mysql忘记密码怎么办(附免密登录和修改密码)

前言 博主个人社区:开发与算法学习社区 博主个人主页:Killing Vibe的博客 欢迎大家加入,一起交流学习~~ 一、打开MySQL(能打开请跳过此步) 第一种:安装完MySQL之后,MySQL提供大家的客户端程序 …

DASCTF X GFCTF 2022十月挑战赛-hade_waibo

这是一个非预期解&#xff0c;但是得到出题人的赞许&#xff0c;莫名开心&#xff0c;哈哈&#xff1a; cancan need处存在任意文件读取 <!DOCTYPE html> <html lang"en" class"no-js"> <head> <meta charset"UTF-8" />…

引爆记忆广告语盘点

在数字化、流量红利见顶、营销环境巨变的进程中&#xff0c;品牌传播的节奏从快到稳。品牌出圈更需要产品、渠道、内容、文化等方面的共振影响&#xff0c;其中广告语作为品牌定位和价值主张的核心载体&#xff0c;是连接消费者心智的重要品牌资产。 根据益普索Ipsos《引爆记忆…

uni-app、小程序项目分包经验之谈与天坑异常:RangeError: Maximum call stack size exceeded

小程序分包经验之谈与天坑异常&#xff1a;RangeError: Maximum call stack size exceeded小程序分包概述分包配置参数&#xff1a;subPackages分包预载配置参数&#xff1a;preloadRule如何使用实际小程序项目分包项目结构配置分包配置分包预载天坑异常场景分析猜想尝试解决解…

springboot配置多个数据源

一.多数据源的典型使用场景 在实际开发中,经常可能遇到在一个应用中可能要访问多个数据库多的情况,以下是两种典型场景 1.业务复杂 数据分布在不同的数据库中,数据库拆了,应用没拆.一个公司多个子项目,各用各的数据库,设计数据共享 2.读写分离 为了解决数据库的性能瓶颈(读…

C++内存管理和模板

目录 内存管理 new T[N] new和delete关键字的总结&#xff1a; 定位new表达式(placement-new)&#xff1a; 作用&#xff1a; 使用格式&#xff1a; 使用场景&#xff1a; 实例&#xff1a; 调用析构函数的两个方法&#xff1a; 池化技术&#xff1a; 面试题&#xff1…

Unity 分享 功能 用Unity Native Share Plugin 实现链接、图片、视频等文件的分享+ 安卓 Ios 都可以,代码图文详解

Unity 分享 功能 用Unity Native Share Plugin 实现链接、图片、视频等文件的分享 安卓 Ios 都可以&#xff0c;代码图文详解前言环境效果一、Unity Native Share Plugin导入1.下载2.导入二、案例1.分享文字1.脚本2.发包注意2.分享视频1.完善下刚才的脚本2.给复制按钮添加点击事…