2018年第三届 美亚杯电子取证 个人赛题解

news2024/12/23 4:49:03

1

Victor的笔记本电脑己成功取证并制作成法证映像档 (Forensic Image),下列哪个是其MD5哈希值? (2分)
A.	FC20782C21751AB76B2A93F3A17922D0
B.	5F1BDEB87EE9F710C90CFB3A0BB01616
C.	A0BB016160CFB3A0BB0161661670CFB3
D.	917ED59083C8B35C54D3FCBFE4C4BB0B
E.	FC20782C21751BA76B2A93F3A17922D0

取证直接获取 FC20782C21751BA76B2A93F3A17922D0

E

2

根据法证映像档 (Forensic Image),确定原笔记本内有多少个硬盘分区? (2分)
A.	1
B.	2
C.	3
D.	4
E.	5

查看硬盘个数

3个

C

3 LBA

你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)? (答案格式: 扇区, Sector) (2分)
A.	0
B.	2048
C.	1048576
D.	62916608
E.	32213303296

LBA开始地址 我们首先确定操作系统分区

可以发现是 E 盘 然后我们开始看物理地址 物理位置:32,213,303,296 除以 512

答案为D

4 E磁盘物理大小

你能找到硬盘操作系统分区的物理大少吗 (字节byte)? (2分)
A.	62709760
B.	62910464
C.	104857600
D.	32107397120
E.	32210157568

这里就是需要通过扇区x512来计算

答案为E

5

操作系统分区的文件系统是哪种? (2分)
A.	FAT32
B.	EXFAT
C.	NTFS
D.	EXT3
E.	HFS+

C

6  查看簇 包含多少扇区

操作系统分区,每个簇(Cluster)包含几个扇区(sectors)? (2分)
A.	2
B.	4
C.	6
D.	8
E.	16

这里真不会 看了看 主要是看 磁盘十六进制 第14位

D

 7

在操作系统分区内,$MFT的物理起始扇区位置(Starting physical sector)是什么? (2分)
A.	62919936
B.	67086648
C.	68942784
D.	69208064
E.	79865960

看$MFT 然后物理扇区即可69,208,064

答案D

8

请找出系统文件“SOFTWARE",请问操作系统的安装日期是? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC) (2分)
A.	2018-10-25 08:08 UTC
B.	2018-10-25 08:09 UTC
C.	2018-10-25 08:10 UTC
D.	2018-10-25 08:11 UTC
E.	2018-10-25 08:12 UTC

咋和17年差不多啊

首先问时间 所以我们直接去看时区

等等取证出来需要 -8  所以现在去看安装时间即可

2018-10-25 16:08:39  -8    = 2018-10-25 8:08:39 

答案是A

9

9	用户“victor"的唯一标识符(SID)是什么?(答案格式:RID) (2分)
A.	1001
B.	1002
C.	1003
D.	1004
E.	1005

查看SID

A

10

10	用户“Lily"的唯一标识符(SID)是什么?(答案格式:RID) (2分)
A.	1001
B.	1002
C.	1003
D.	1004
E.	1005

C

11

11	Victor上一次更改系统登入密码是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A	2018-11-01 16:08 +8
B	2018-11:01 14:15 +8
C	2018-10-26 17:00 +8
D	2018-10-25 08:08 +8
E	2018-10-25 16:08 +8

这里要看修改密码的时间

这里要求是 +8 所以 E

12

12	Lily上一次更改系统登入密码是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A.	2018-11-01 03:02:01 +8
B.	2018-11:02 11:13:33 +8
C.	2018-10-26 17:00:45 +8
D.	2018-10-30 12:30:40 +8
E.	2018-10-27 12:08:37 +8

D

13

13	Victor 总共登录系统多少次? (2分)
A.	3
B.	16
C.	33
D.	36
E.	45

D

14

14	以下哪个帐号已经被禁用? (2分)
A.	Administrator
B.	victor
C.	Lily
D.	simon
E.	以上皆不是

A

15

15	以下哪个帐系统权限最低? (2分)
A.	Administrator
B.	victor
C.	Lily
D.	simon
E.	以上权限一样

这里可以发现 D 的组为 Users;Guests

16

16	以下哪个帐号曾经远端登录系统? (2分)
A.	Administrator
B.	victor
C.	Lily
D.	simon
E.	远端登入已被禁止

这里好像美亚找到 所以E

或者直接启动仿真去看看远程桌面

但是没有发现 所以这里还是选E

17

17	硬盘操作系统的版本? (2分)
A.	Windows 7 Enterprise (32 位)
B.	Windows 7 Enterprise (64 位)
C.	Windows 7 Professional (32 位)
D.	Windows 7 Professional (64 位)
E.	Windows 7 Ultimate (64 位)

D

18

18	操作系统的最新服务包(Service Pack)版本号是什么? (2分)
A.	Service Pack 1
B.	Service Pack 2
C.	Service Pack 3
D.	Service Pack 4
E.	Service Pack 5

服务包

A

19

19	下列哪个是victor的默认打印机? (2分)
A.	HP OfficeJet 250 Mobile Series
B.	CutePDF Writer
C.	Microsoft XPS Document Writer
D.	PDF Complete
E.	AL-M2330

查看默认打印机

看到默认打印机 B

20

20	在2018-10-31 08:29:32 +8时间, 账号simon曾经使用以下哪个文件? (2分)
A.	Microsoft 商店.url
B.	ug.jpeg
C.	Reddy Resume.doc
D.	grocerylistsDOTorg_Spreadsheet_v1_1.xls
E.	InvoiceTemplate.docx

一个一个搜

选C

21

21	接上题,开启上述文件的程序是? (2分)
A.	Internet Explorer
B.	Firefox
C.	画图
D.	WPS 表格
E.	WPS 文字

选E

22

22	以下哪个是victor的默认网页浏览器? (2分)
A.	Internet Explorer
B.	Google Chrome
C.	360浏览器
D.	Firefox
E.	迅雷浏览器

这里学过

去SOFTWARE

发现是都有 那么就仿照建立一个 html即可

D

23

23	victor的回收站里面有一张地图,以下哪个是这张地图原来的文件名? (2分)
A.	捕获.PNG
B.	抓取.PNG
C.	Screenshot.PNG
D.	Map.bmp
E.	Map.jpg

仿真看看

A

24

24	接上题,上述地图原来的储存路径是? (2分)
A.	C:\Users\victor\Pictures
B.	C:\Users\victor\Documents
C.	C:\Users\victor\Desktop
D.	C:\Users\victor\Downloads
E.	C:\

直接还原可以发现是 Desktop

C

25

25	找出一个名为"request for quotation.lnk"的档案,并指出该LNK文件的目标路径? (2分)
A.	C:\Users\victor\Pictures
B.	C:\Users\victor\Documents
C.	C:\Users\victor\Desktop
D.	C:\Users\victor\Downloads
E.	C:\

只发现这两个 但是不存在 Recent的内容 所以是C

26  最后开启时间

26	接上题,上述文件上一次开启的时间是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (2分)
A.	2018-10-29 15:11:43 +8
B.	2018-10-29 19:24:16 +8
C.	2018-10-29 15:11:42‌ +8
D.	2018-11-01 14:51:25 +8
E.	2018-10-29 07:11:42 +8

这里修改时间也该是开启时间 C

但是这个答案是D 这里不知道可能镜像问题了

27

27	接上题,"request for quotation.lnk"的元数据(metadata)记录了以下哪个网卡的物理地址(mac address)? (2分)
A.	00:0C:29:70:F4:47
B.	00:50:56:C0:00:13
C.	47:F4:70:29:0C:00
D.	E4:A7:A0:CB:66:C7
E.	00:0C:29:70:F4:47

这里可以直接一个一个搜

D

28

28	系统账号victor使用以下哪个电子邮件发送/接收的程序? (2分)
A.	Outlook express
B.	Lotus Note
C.	Thunderbird
D.	Roundcube
E.	没有安装以上软件

看邮件解析

C

29

29	系统经哪个IP地址,登录互联网? (2分)
A.	10.0.4.1
B.	10.0.4.128
C.	192.168.72.2
D.	192.168.72.128
E.	192.168.72.233

D

30

30	在该操作系统中,曾经连接数个USB移动储存装置 (U盘),下列那个是该系统连接过的USB移动储存装置 ? (2分)
A.	Verbatim USB Device
B.	USB Mass storage USB Device
C.	WD 2500BMV External USB Device
D.	SanDisk Cruzer Fit USB Device
E.	Seagate 250 External USB Device

D

31

31	在操作系统中,上述U盘曾被指派以下哪个磁盘分区代号(Drive Letter) ? (2分)
A.	D:
B.	E:
C.	F:
D.	G:
E.	Z:

C

32

32	该操作系统中,下列哪个是最后的关机时间? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM:SS UTC) (2分)
A.	2018-11-02 08:59:38 UTC
B.	2018-11-02 10:22:40 UTC
C.	2018-11-02 10:23:03 UTC
D.	2018-11-02 10:47:28 UTC
E.	2018-11-02 10:47:51 UTC

-8 哦

E

33

33	该操作系统中,下列哪个是计算机的主机名? (2分)
A.	VICTOR-COMPUTER
B.	WORKGROUP
C.	SIMON-HOME
D.	VICTOR-HOME
E.	LILY-HOME

选D

34

34	接上题,设定为上述计算机主机名前是什么名称? (2分)
A.	42P323K467-22
B.	37L4247F27-25
C.	WIN-6S2GC51RGL9
D.	USER-PC
E.	MY-PC

这里就是对日志双击打开本机的阅读器

首先找到 计算机名称变换的地方

然后我们可以看到这个 我们就打开看看

看到咯

C

35

35	接上题,上述计算机主机名设定时间是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (2分)
A.	2018-10-24 11:07:22 +8
B.	2018-10-28 12:22:59 +8
C.	2018-10-27 13:45:18 +8
D.	2018-10-25 16:04:19 +8
E.	2018-10-25 16:07:38 +8

时间:2018-10-25 16:07:38

E

36

36	在该操作系统中,下列哪个是用户victor日常使用的电邮账号? (2分)
A.	victor201811@hotmail.com
B.	wictor2018111@hotmail.com
C.	victor_201811@google.com
D.	victorlam2018@hotmail.com
E.	以上皆不是

A

37

37	victor 上一次更改上述电邮账号密码是什么时候? (答案格式 -“本地时间":YYYY-MM-DD) (2分)
A.	2018-10-29
B.	2018-10-30
C.	2018-10-31
D.	2018-11-1
E.	2018-11-2

 这里是本地时间 所以不需要修改 A

38

38	victor什么时候收到勒索电邮? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A.	2018-11-02 09:09 +8
B.	2018-11-02 09:10 +8
C.	2018-11-02 10:09 +8
D.	2018-11-02 17:09 +8
E.	2018-11-02 17:10 +8

我们去看看

D

39

39	以下哪个是发出勒索邮件的的IP地址? (2分)
A.	10.152.64.57
B.	10.152.64.217
C.	220.246.55.13
D.	74.208.4.220
E.	10.76.45.13

 我们看看

但是不是这个

这里里面有220 的 所以是 220

C

40

40	勒索邮件的附件解压后有一个病毒文件,这个文件的MD5哈希值是? (2分)
A.	72596F71248531853F37D4BD15D088C4
B.	15B64B15CC5A5442196471690D4A088B
C.	67A1487E296328C9E802D50741D8DB9C
D.	72596F71248DH3S92LS7D4BD15D088C4
E.	5BB71EF8E95A5249EF4C2A8CFF9A1E1C

 我们直接解压后MD5计算

B

41

41	上述的病毒文件什么时间被系统执行? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A.	2018-11-02 14:15 +8
B.	2018-11-02 17:09 +8
C.	2018-11-02 17:13 +8
D.	2018-11-02 17:20 +8
E.	2018-11-02 17:23 +8

C

42

42	这个病毒是否会在重新开机后自动运行?如会,它是通过下列哪个程序执行? (2分)
A.	Thunder.exe
B.	QyKernel.exe
C.	QyClient.exe
D.	javaw.exe
E.	病毒不会自动执行

 我们去看看

首先是java包 并且会打开javaw 执行javaw包

并且去搜索的时候

java包 而且名称很奇怪

D

43 沙箱分析木马

43	病毒文件被执行后有以下哪个文件被生成? (2分)
A.	E8S377N3N8UOAMS82PQJ.temp
B.	tbc_stat_cache.dat
C.	JNativeHook_4940080920928265976.dll
D.	83aa4cc77f591dfc2374580bbd95f6ba.tmp
E.	downloads.json

丢入沙箱看看就可以了

选C

44

44	接上题,上述文件有什么功能? (2分)
A.	获取镜头权限
B.	追踪键盘记录
C.	抓取浏览器密码
D.	抓取系统登入密码
E.	存取系统分区

可以看到记录了键盘

B

45

45	以下哪个是系统安装的第三方输入法软件? (2分)
A.	sogou pinyin
B.	sogou wubi
C.	Baidu Pinyin
D.	QQ Pingyin
E.	以上皆不是

一个一个搜就可以

A

46

46	操作系统是跟哪一个时间服务器自动同步? (2分)
A.	time.nist.gov
B.	time-a.nist.gov
C.	time.windows.com
D.	time-b.nist.gov
E.	time-nw.nist.gov

选C 

47

47	法证人员于2018-11-02 下午6时25分到场,之后对系统作以下哪项取证? (2分)
A.	抓取荧幕画面
B.	备份使用者资料
C.	备份浏览记录
D.	抓取网络数据包
E.	制作内存镜像档

这里主要是没找到其他的 但是肯定有内存镜像 所以 E

48

48	法证人员到场后,以下哪个软件曾经在系统里运行过? (2分)
A.	wireshark.exe
B.	Magnet RAM capture.exe
C.	Lightscreen.exe
D.	fastdump.exe
E.	以上皆不是

B

49

49	接上题,所抓取的资料被储存为以下哪个文件? (2分)
A.	victor_PC_networktraffic.pcapng
B.	Lily_PC.networktraffice.pcapng
C.	PC_ screenshot.PNG
D.	victor_PC_memdump.dmp
E.	Lily_PC_memdump.dmp

D

50

50	接上题,上述档案储存到以下哪个分区? (2分)
A.	D:
B.	E:
C.	F:
D.	G:
E.	H:

C

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1162217.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

当你在浏览器地址栏输入一个URL后,将会发生的事情?个人笔记

客户端 在浏览器输入 URL 回车之后发生了什么(超详细版) - 知乎 (zhihu.com) 大致流程是: URL 解析DNS 查询TCP 连接处理请求接受响应渲染页面 1.URL解析 地址解析: 首先判断你输入是否是一个合法的URL还是一个待搜索的关键…

上市公司-供应链效率数据集(2000-2022年)

参照张倩肖(2023)、Feng(2015)、张树山(2023)的做法,团队以库存周转天数来衡量供应链效率 库存周转天数有效克服了因企业保留安全库存而导致供应链效率较低的测算误差,体现供应链上…

回归预测 | Matlab实现POA-CNN-SVM鹈鹕算法优化卷积神经网络-支持向量机多变量回归预测

Matlab实现POA-CNN-SVM鹈鹕算法优化卷积神经网络-支持向量机多变量回归预测 目录 Matlab实现POA-CNN-SVM鹈鹕算法优化卷积神经网络-支持向量机多变量回归预测效果一览基本介绍程序设计参考资料 效果一览 基本介绍 1.POS-CNN-SVM鹈鹕算法优化卷积神经网络-支持向量机的多变量回归…

好用的CRM软件都有哪些功能?

好用的CRM软件不仅仅是将客户资料存档,更大的作用还在于充分发挥数据的价值提升客户管理效率。如果您了解过多款CRM软件就一定会发现它们的功能都不尽相同,但是好用的CRM工具离不开这些功能: 一、客户视图 客户视图主要由4类数据组成&#…

基于springboot实现游戏分享网站系统项目【项目源码+论文说明】

基于springboot实现游戏分享网站演示 摘要 网络的广泛应用给生活带来了十分的便利。所以把游戏分享管理与现在网络相结合,利用java技术建设游戏分享网站,实现游戏分享的信息化。则对于进一步提高游戏分享管理发展,丰富游戏分享管理经验能起到…

跨境商城源码价格

在当今数字商务的时代,跨境电商已经成为了越来越多企业的选择。然而,要建立一个高效、便捷、全球化的跨境商城并不是一件简单的事情。所幸,现在有一个开源的解决方案,给企业提供了无限的可能性。跨境商城源码价格合乎实际&#xf…

浅谈AcrelEMS-CB商业建筑能源管理系统解决方案-安科瑞 蒋静

1概述 AcrelEMS-CB商业建筑能源管理系统,集电力监控、电能质量监测与治理、电气安全预警、能耗分析、照明控制、新能源使用、能源收费以及设备运维等功能于一体,通过一套系统对商业建筑的能源进行统一监控、统一运维和调度,系统可以通过WEB和…

对比学习(contrastive Learning)

起源和定义 自监督学习又可以分为对比学习(contrastive learning)和生成学习(generative learning)两条主要的技术路线。 比学习的核心思想是将正样本和负样本在特征空间对比,从而学习样本的特征表示,使得样本与正样本的特征表示尽可能接近。正样本和负…

webase编译合约一直转圈卡住解决方案

问题:webase编译合约一直转圈卡住,等再久也没反应 解决方案: 进入webase-web目录,然后进入static\js目录,执行以下命令: curl -#L https://osp-1257653870.cos.ap-guangzhou.myqcloud.com/WeBASE/download/solidity/wasm/v0.4.25.js -o v0.4.25.js curl -#L https://os…

Unity AssetBundle打包

1,AssetBundle的概念与作用 AssetBundle是一个存档文件,是Unity提供的一种用于存储资源的资源压缩包,可以包含模型、贴图、音频、预制体等。 Unity中的AssetBundle系统是对资源管理的一种扩展,通过将资源分布在不同的AB包中可以最…

SpringBoot--Web开发篇:含enjoy模板引擎整合,SpringBoot整合springMVC;及上传文件至七牛云;restFul

SpringBoot的Web开发 官网学习: 进入spring官网 --> projects --> SpringBoot --> LEARN --> Reference Doc. --> Web --> 就能看到上述页面 静态资源映射规则 官方文档 总结: 只要是静态资源,放在类路径下&#xff1…

制作网页版H5页面商城源码系统+随心DIY 带前后端完整搭建教程

随着智能手机的广泛普及,人们越来越依赖手机进行日常生活中的各种活动,包括购物。传统的PC端购物模式已经无法满足人们的需求,因此开发移动端的购物系统势在必行。而现如今H5技术不断发展成熟,使得在手机等移动设备上展示网页版商…

Nginx常见问题解决

一、修改nginx.conf报错 背景:修改nginx.conf,配置转发到tcp的信息: 在stream块中配置转发规则:在stream块中,使用server指令来配置转发规则。例如,如果你要将TCP流量转发到example.com:1234,可…

短视频矩阵营销系统工具如何助力商家企业获客?

1.批量剪辑技术研发 做的数学建模算法,数学阶乘的组合乘组形式,采用两套查重机制,一套针对素材进行查重抽帧素材,一套针对成片进行抽帧素材打分制度查重,自动滤重计入打分。 2.账号矩阵分发开发 多平台,…

[学习笔记]python绘制图中图(绘制站点分布图)

背景 在绘制站点分布图时,有时需要采用图中图的方式,以便于在一张图中尽可能多的表达信息。此处记录一下利用python matplotlib绘制图中图的脚本,方便然后查询。 包含数据 该绘图脚本中包含以下数据: CMONOC站点分布&#xff…

日本移动支付Merpay QA团队的自动化现状

Merpay是日本最大的网购平台之一Mercari的无现金支付系统。Merpay 的主要功能是让用户在 Mercari的网站上购物,也可以在日本的许多实体店和餐厅使用它,也可以理解为日本的“支付宝”。以下为Merpay QA 团队在自动化方面的一些思考: 这几年&am…

C++构建与编译

C构建 一般来讲,写完c的源文件(src),就需要去编译为: 可执行文件动态库/静态库 那么就遇到了几个问题: 编译的主机是什么代码运行的目标平台是什么 主机 一般来讲工作的机器,Windows或者L…

vMix导播软件使用NDI协议输入输出

前两篇文章一直写NDI,写了NDI在OBS【链接】、芯象【链接】中的使用。有的朋友问在vMix中的用法,今天就详细说说。 vMix在软件导播领域可算大名鼎鼎,功能丰富、工作稳定,支持多种媒体导入。由它衍生出多种产品,如&#…

中考倒计时7个月复习攻略:名师支招,为“长跑”积蓄能量

今天是2023年11月2日,距离2024年中考还有7个月多一点的时间。其实据六分成长了解,很多学校到了初三(九年级)基本上都是奔着中考考试复习的,这一学年基本上是长跑、拉力赛,拼的不只是智力,还有体…

chatgpt接口调用

在线接口文档: https://app.apifox.com/invite?tokensymrLP7sojF6N31kZqnpZ 接口地址 https://chat.xutongbao.top/api/light/chat/createChatCompletion 请求方式 POST 请求参数 token String, 必须 prompt Array, 必须 例子一: 包含上下文 [ { "…