记录做题个人赛题目
取证大师直接取证
1
Gary的笔记本电脑已成功取证并制作成镜像 (Forensic Image),下列哪个是其MD5哈希值。
A.0CFB3A0BB016165F1BDEB87EE9F710C9
B.5F1BDEB87EE9F710C90CFB3A0BB01616
C.A0BB016160CFB3A0BB0161661670CFB3
D.16160CFB3A0BB016166A0BB016166167
E.FB3A0BB016165 B016166 A0DF7FJE2EJ0取证大师直接获取md5
A
2
根据此镜像 (Forensic Image),里面有多少个硬盘分区?
A. 1
B. 2
C. 3
D. 4
E. 5
3个选C
3 计算操作系统分区的 开始逻辑区块地址(LBA)
你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)?
A. 0
B. 512
C. 2,048
D. 206,848
E. 102,402,047这里看的有点傻了
逻辑区块地址(Logical Block Address, LBA)是描述计算机存储设备上数据所在区块的通用机制,一般用在像硬盘这样的辅助记忆设备。LBA可以意指某个数据区块的地址或是某个地址所指向的数据区块。我们首先去看看操作系统分区
这里我们可以看到 D盘才是我们的操作系统分区
这里的解题其实就是物理地址
但是这里一个的单位是bit 一个区块是 512位 所以我们需要除以512
所以选D
4 扇区--->分区大小
你能找到硬盘操作系统分区的大小吗 (字节byte)?
A. 48.7
B. 102,195,200
C. 140,232,703
D. 19,369,295,872
E. 52,323,942,400首先获取到扇区为
102,195,200 然后乘 512
52,323,942,400
选D
5 $MFT 物理起始偏移位置 --> 物理扇区
在包含操作系统的分区内,$MFT的物理起始偏移位置是什么?
A. 3328
B. 4,170,040
C. 6,026,176
D. 6,498,304
E. 16,949,352这里首先的问题就是 $MFT是啥
MFT,即主文件表(Master File Table)的简称,它是NTFS文件系统的核心,每个文件和目录的信息都包含在MFT中,每个文件和目录至少有一个MFT项。那么这里就是D盘的MFT
选D
6 SOFTWARE -->系统安装时间
请找出系统文件“SOFTWARE",请问操作系统的安装日期是?
(答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC)
A. 2017-09-04 10:10 UTC
B. 2017-09-04 10:11 UTC
C. 2017-09-04 10:12 UTC
D. 2017-09-04 10:13 UTC
E. 2017-09-04 02:14 UTC这里考题为时间我们首先去看看系统时间为什么
发现是东八区 那么这里我们就等等取证完需要-8 然后开始找这个SOFTWARE
具体位置位于 %windir%\System32\config但是也无所谓 可以去 系统信息的安装时间里找
然后 - 8 就是 B咯
7
用户“Gary"的SID是什么?
A. 1000
B. 1001
C. 1002
D. 1005
E. 1007问用户的SID
用户信息里获取
S-1-5-21-58984532-3717197446-1900145663-1000
那就是1000咯 A
8
用户“彼得"的SID是什么?
A. 1000
B. 1001
C. 1002
D. 1005
E. 1007一样 1001
9
硬盘的操作系统是什么?
A. Windows 7
B. Windows 8
C. Windows 10
D. Linux Red Hat 7.1
E. MAC OS X
A
10 注册表查看浏览器默认
哪个是Windows的默认浏览器?
A. Microsoft Internet Explorer
B. Google Chrome
C. Mozilla Firefox
D. Opera
E. QQ 浏览器
右键SOFTWARE 然后注册表解析即可 然后去找
SOFTWARE-Client-StartMenuInternet
就可以发现是 A 咯
11 查看浏览的菠菜网站 (小坑)
用户 “Gary"曾经浏览过一些非法博彩网站,下列哪项URL符合?
a. www1.10086.com
b. www.188bet.com
c. www.hv5858.com
d. www.12377.cn
e. www.88.bettingwell.com
f. www.aaakk.org
A. 只有(a) & (b)
B. (a), (b), (d) & (f)
C. (b), (c), (d) & (f)
D. (b), (c), (e) & (f)
E. 以上皆是一个一个去搜就可以了 然后就发现 bcdf
其实d也有 但是是国家的网站 所以不可能是菠菜网站 所以
还有一个比较坑的点就是 不需要加上三级域名 不然出不来
选D
12
用户Gary曾经登入上述非法博彩网站,下列哪个是其登入名称?
A. ggchey68
B. gany-cher88
C. galy_chen88
D. garychen1688
E. garychen88
E
13
13 在所有用户中,用于电子邮件发送/接收的程序名称是什么?
A. 新浪邮箱
B. 网易163
C. 阿里邮箱
D. Foxmail
E. Mozilla Mail – ThunderBird
E
14 注册表查看U盘记录
在该Windows系统中,曾经连接数个USB移动储存装置 (U盘),下列那个不是该系统连接过的USB移动储存装置 ?
A. WD My Passport 0827 USB Device
B. StoreJet Transcend USB Device
C. Samsung Portable SSD USB Device
D. StoreJet TS256GESD400K USB Device
E. General UDisk USB Device去注册表看看
SYSTEM-->ControlSet001-->Enum-->USBSTOR
其实这个取证大师已经取证好了 直接去USB使用历史查看即可
这道题很奇怪呀 感觉五个都有。。。。
过吧 答案说是选C
但是可能是因为其中存在T1 的可能性吧
15
在该Windows系统中,下列哪个USB移动储存装置 (U盘)曾被指派为‘Z’磁盘分区代号(Drive Letter) ?
A. WD My Passport 0827 USB Device
B. StoreJet Transcend USB Device
C. Samsung Portable SSD USB Device
D. StoreJet TS256GESD400K USB Device
E. General UDisk USB Device
选E
16
该Windows系统中,下列哪个是最后的关机时间?
A. 2017-10-31 4:52:54 UTC
B. 2017-10-31 4:53:54 UTC
C. 2017-10-31 4:54:54 UTC
D. 2017-10-31 4:55:54 UTC
E. 2017-10-31 4:56:54 UTC我们知道这个是北京东八区时间 所以取出来要-8
2017-10-31 12:52:54 -8
2017-10-31 12:52:54 - 8 = 2017-10-31 04:52.54答案为A
17
该Windows系统中,下列哪个是电脑名称?
A. GARYPC
B. GARY-PC
C. GARY_PC
D. GARY
E. GARY-NB
C
18
在该Windows系统中,下列哪个是用户Gary日常使用的邮箱帐号?
A. ics_user@mail.com
B. ics_user@gmail.com
C. gary@mail.com
D. gary_chen@mail.com
E. gary_chen@gmail.com
D
19
在该Windows系统中,用户Gary曾经收过一封来自邮箱帐号 ics_user@mail.com 的邮件,内容提及有关制作钓鱼网站及邮件帐号eric_wang99@outlook.com,下列哪个是此封邮件的发送日期和时间?
A. 2017-09-25 17:07:15
B. 2017-10-17 14:35:45
C. 2017-10-17 18:24:02
D. 2017-10-26 19:17:08
E. 2017-10-26 19:24:57
C
20
在该Windows系统中,用户Gary还曾经收过两封来自邮箱帐号 eric_wang99@outlook.com的邮件,标题为“学习制作网站”,下列哪个是第一封邮件的发送日期和时间?
A. 2017-09-25 17:07:15
B. 2017-10-17 14:35:45
C. 2017-10-17 18:24:02
D. 2017-10-18 18:30:45
E. 2017-10-18 19:38:05
这里才是Eric给 Gary写的邮箱时间
所以是D
21
在该Windows系统中,用户Gary还曾经收过两封来自邮箱帐号 eric_wang99@outlook.com邮件,标题为“学习制作网站”,下列哪个是第二封电邮的发送日期和时间?
A. 2017-09-25 17:07:15
B. 2017-10-17 14:35:45
C. 2017-10-17 18:24:02
D. 2017-10-18 18:30:45
E. 2017-10-18 19:38:05
E
22
用户Gary还曾经收过一封来自邮箱帐号 ics_user@mail.com 的邮件,附加了两张与咖啡豆有关的相片,下列哪个是此封邮件的发送日期和时间?
A. 2017-09-25 17:07:15
B. 2017-10-17 14:35:45
C. 2017-10-17 18:24:02
D. 2017-10-26 19:17:08
E. 2017-10-26 19:24:57
D
23
下列那項是與上述咖啡豆有關相片的MD5哈希值/哈希值(Hash value)?
A. 449cebf0eb96499df047fe0bff8e1627
B. 17f9c6bcca44d128f7ed6769a6920278
C. 4bc48ce355acd4732f33a79e29728e96
D. 4bc48ce355acd4732f33a79e29728e96
E. e3e545c80a7273b7b0d7c73dacdd7227
第二个图片符合B
24
在该Windows系统中,用户Gary还曾经收到一封来自邮箱帐号 eric_wang99@outlook.com 的邮件,附加有三张与Apple iCloud相关的相片,下列哪个为该封邮件的发送日期和时间?
A. 2017-09-25 17:07:15
B. 2017-10-17 14:35:45
C. 2017-10-17 18:24:02
D. 2017-10-18 18:30:45
E. 2017-10-18 19:38:05
E
25
Gary经常使用笔记本电脑浏览互联网,他的笔记本电脑上曾经连接过多少WIFI热点?
A. 1
B. 2
C. 3
D. 4
E. 5
这里存在4中SSID 所以可能是4
26 wifi唯一识别源 GUID
上述电脑曾经连接过星巴克WIFI热点,下列哪项是其全局唯一识别元(Globally Unique Identifier, GUID)?
A. {8039D237-A346-4BA1-9B78-5752580ED7F0}
B. {39489FA0-DE35-4989-8730-E2E2ED15E85A}
C. {558B94DF-8D68-4779-AA25-65FBDAB4C2B9}
D. {4EFCDA7E-CE51-4EC2-8980-8629647C9968}
E. {AF0778E8-6C4F-41C6-84B2-CB14490CF29E}
这里我们发现没有变化 说明这里不是我们需要的 可能是本机网卡的GUID
所以我们需要去找日志 然后查看 但是可以通过取证大师直接获取
所以选E
27 查看ip
有关Gary的笔记本电脑,下列哪项是其最后分派得到的IP地址?
A. 192.168.0.1
B. 192.168.10.4
C. 192.168.20.6
D. 192.168.30.3
E. 192.168.40.5去网络连接中查看
所以选D
28
Eric曾发邮件给Gary,内容是关于如何在暗网(Dark Web)中浏览枪械的信息,以下哪个URL是由Eric提供的?
A. http://hhnovpxmqrw5xaqg.onion
B. http://gunsjmzh2btr7lpy.onion
C. http://gunsdtk58tolcrre.onion
D. http://armoryohajjhou6m.onion
E. http://armory45jijdf7d.onion
B
29
Eric 售卖iCloud 网站给Gary 的价钱是多少?
A. $500
B. $800
C. $1000
D. $1400
E. $1500
C
30
Gary 经常将非法文件存储到该笔记本电脑的加密分区中,下列哪一个为该加密软件?
A. TrueCrypt
B. VeraCrypt
C. Bitlocker
D. LUKS
E. PGP WDE
B
31
在加密磁区内有三张与Apple iCloud有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)?
A. c9fbfaf3c45492c40feb83a83217f146
B. 14903a7bd9d709b653f9afe8e3e51cdd
C. 7cb0f29812317db645edbcd6cf46e1ba
D. 5503d096bdf832460c8f51da62fbbb5d
E. 9918465b62171ba2c0a95595db629bf3这里icloud图片 还是三张 那不就是之前那个么
去邮件看看
最后获取到了C9FBFAF3C45492C40FEB83A83217F146
选A
这里我们其实还是需要去破解 我们去看看仿真
C盘下面这个有点奇怪啊
耶 解密成功 windows上无后缀的 都可以查看一下
32
在加密磁区内有三张与暗网(Dark Web)有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)?
A. 2836d35fb45c591211d5b6865c4a82f5
B. d2b14799050b6c4ad6b07cd1227b91a5
C. 9110c96baa70c00acd8fbdfe2dc7c397
D. 703899985d881e2d103eb4fd1306be2e
E. 4c57a45b8da5ea01e5eb7d875f94a7b8暗网 那不就是枪的么
E
33
Gary的计算机系统时区是什么?
A. 中国标准时间
B. 日本标准时间
C. 泰国标准时间
D. 新加坡标准时间
E. 伦敦标准时间我们已经看过咯 是A
34
在上述加密磁区内,存有一个名为”2017-10-27”的文件夹,内有三张枪械的图片,该三张图片是来自哪个网站?
A. http://gunsdtk58tolcrre.onion
B. http://gunsjmzh2btr7lpy.onion
C. thegunstorelasvegas.com
D. cabelas.com
E. hyattgunstore.com这不一样的题目 B
35
Gary的笔记本电脑曾经下载过多少张有关恐怖组织的图片?
A. 1
B. 2
C. 3
D. 4
E. 5这里提及了下载 我们看看
这题貌似也是模棱两可 这边找出来4张 但是又不是恐怖组织 但是有个 isis的统计图 可能是这个吧
选B
36
根据Gary与Eric邮件的内容,Eric曾经提供Gary一个私有云盘,下列哪项是该邮件提供的资料?
A. 动物图
B. 枪的结构图
C. 博彩图
D. 博彩文件
E. 恐怖主义图
上面一直在说枪 肯定就是了 B
37
下列哪项是上述私有云盘的网址?
A. http://mantech.mooo.cn
B. http://mantech.mooo.com
C. http://mooo.com
D. http://mantech.com
E. http://23.54.45.113就是B了
38
下列哪项是上述私有云盘网址的连接端口?
A. TCP 80
B. TCP 8080
C. UDP 80
D. TCP 8000
E. TCP 443D
39
下列哪项是Gary第一次浏览该私有云盘网址时,所使用的浏览器?
A. Microsoft Explorer
B. Google Chrome
C. Mozilla Firefox
D. Opera
E. QQ 浏览器这里要注意 是第一次所以我们去搜
发现多虑了 只有 火狐
C
40
下列哪项是Gary第一次浏览该私有云盘网址的日期和时间?
A. 2017-10-29 12:42:09
B. 2017-10-30 12:42:09
C. 2017-10-31 12:42:09
D. 2017-10-30 10:42:09
E. 2017-10-30 11:42:09看看记录
差了2s 无所谓吧 B
41
在上述加密磁区内,存有一个名为”2017-10-30”的文件夹,里面有三张与枪械结构有关的图片,该三张图片是从哪个方法/软件下载?
A. 邮件
B. Firefox
C. Chrome
D. USB thumb drive
E. ftp
对得上 B
42
Gary的笔记本电脑,曾经下载过一个感染了电脑病毒的文件,名为invoice.zip。该病毒程序文件是什么时候下载?
A. 2017-10-31 12:26:20
B. 2017-10-31 12:50:34
C. 2017-10-31 12:29:55
D. 2017-10-31 10:52:10
E. 2017-10-31 12:18:54
E
43
Gary的笔记本电脑,还存有一个感染了电脑病毒的程序文件,名为\User\Gary\Downloads\invoice\dist\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?
A. 2017-10-31 12:26:27
B. 2017-10-31 12:50:34
C. 2017-10-31 12:29:55
D. 2017-10-31 10:52:10
E. 2017-10-31 12:18:54
有两个 我们确定一下
44
上述invoice.exe文件伪装成什么格式的软件?
A. pdf
B. jpg
C. psd
D. Docx
E. Doc导出
发现是 pdf
A
45
上述的\User\Gary\Downloads\invoice\dist\invoice.exe文件,最后执行日期/时间(Last Accessed Data/Time) 是什么?
A. 2017-10-31 12:26:27
B. 2017-10-31 12:50:34
C. 2017-10-31 12:29:55
D. 2017-10-31 10:52:10
E. 2017-10-31 12:18:54
这里有点歧义感觉 但是可以想到 是通过执行 后 然后存储到 tmp的病毒 所以并且最后时间 那么就是 50 这个了 选B
46
事实上,Gary的笔记本电脑被电脑病毒感染了,部份文件被加密,当中包括下列哪种文件类型?
a. exe
b. gif
c. jpg
d. psd
e. Docx
f. Doc
A. 只有(a) & (b)
B. (a), (b), (d) & (f)
C. (b), (c), (d) & (f)
D. (b), (c), (e) & (f)
E. 以上皆是仿真中看看
在文档中发现
这里可以确定的是 doc和jpg和docx gif找不到 但是可以选出答案了 D
47
上述\User\Gary\Downloads\invoice\dist\invoice.exe文件共执行多少?
A. 1
B. 2
C. 3
D. 4
E. 5
E
48
上述\User\Gary\Downloads\invoice\dist\invoice.exe文件是由什么程序编写?
A. LISP
B. C++
C. Visual Basic
D. Python
E. Java我们回到刚刚那个下载的地方看看
这里有一大堆pyd 那么不就是python文件嘛
D
49
上述\User\Gary\Downloads\invoice\dist\invoice.exe文件,执行时会呼叫下列哪个动态连结函式库(Dynamic Linked Library)
A. KERNEL32.DLL
B. USER32.DLL
C. SHELL32.DLL
D. NTDLL.DLL
E. SYSTEM32.DLL看dll 这里可以通过反汇编查看
或者可以使用弘连的直接双击exe查看
50
Gary的笔记本电脑,还存有另一感染了电脑病毒的程序文件,名为\tmp\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?
A. 2017-10-31 12:26:27
B. 2017-10-31 12:50:34
C. 2017-10-31 12:29:55
D. 2017-10-31 10:52:10
E. 2017-10-31 12:18:54
B咯
51
上述两个文件\User\Gary\Downloads\invoice\dist\invoice.exe和 \tmp\invoice.exe是什么关系?
A. 前者是后者的复本
B. 后者是前者的复本
C. 两者MD5不相同
D. 两者元数据(Metadata)相同
E. 两者无关系这里其实就可以确定 下载执行完 复制到 tmp下持续监听 所以就是B
52
根据勒索讯息的显示,勒索网址是什么?
A. http://223.17.250.208:6000/C&C/
B. http://223.17.250.208/C&C/
C. http://223.17.250.208:6060/C&C/
D. http://223.17.250.208:80/C&C/
E. http://223.17.250.208:8080/C&C/被勒索了 那么访问网址看看咯
C
53
根据勒索讯息的显示,勒索金额是多少钱?
A. $1,000
B. $10,000
C. $20,000
D. $50,000
E. $100,000网址肯定打不开 桌面有一个截图
B
54
根据勒索讯息的显示,下列哪个是与勒索案件有关的比特币钱包?
A. 1KcjhpkowGWh5QYgPx5hYGuzbZpewgBszh
B. 1KcjhpknwGWh5QYgPx5hYGuzbZpewgBszh
C. 1KcjhpknwGWh5QYgPx5hYGuzbZpewgBzzh
D. 1KcjhpknwGWh5QYgPx6hYGuzbZpewgBszh
E. 1KcjhpknwGWh6QYgPx5hYGuzbZpewgBszhB咯
55
执法机关曾在现场对Gary的电脑进行电子法证检验,期间曾撷取与勒索软件相关的屏幕影像,并储存为png格式。下列哪项是其储存位置?
A. \Users\彼得\Downloads\
B. \Users\彼得\Desktop\
C. \Users\Gary\Downloads\
D. \Users\Gary\Desktop\
E. \Users\Gary\DocumentsD咯
56
经法证工具分析后发现Gary的笔记本电脑有三个分区硬盘,所有敏感文件均储存在一个加密磁区,而其密钥放在下列哪个位置?
A. \Windows\
B. \Users\
C. \Users\Gary\Desktop
D. \Users\Gary\Documents
E. \这我们之前就得出来了 不就是E么
到这里 17美亚个人赛就结束了 题目还是挺简单的 难点我都已经在前面标注了
