2018年第三届美亚杯电子取证个人赛题解

1

Victor的笔记本电脑己成功取证并制作成法证映像档 (Forensic Image)，下列哪个是其MD5哈希值? (2分)
A.	FC20782C21751AB76B2A93F3A17922D0
B.	5F1BDEB87EE9F710C90CFB3A0BB01616
C.	A0BB016160CFB3A0BB0161661670CFB3
D.	917ED59083C8B35C54D3FCBFE4C4BB0B
E.	FC20782C21751BA76B2A93F3A17922D0

取证直接获取 FC20782C21751BA76B2A93F3A17922D0

2

根据法证映像档 (Forensic Image)，确定原笔记本内有多少个硬盘分区? (2分)
A.	1
B.	2
C.	3
D.	4
E.	5

查看硬盘个数

3个

3 LBA

你能找到硬盘操作系统分区内的开始逻辑区块地址（LBA）? (答案格式: 扇区, Sector) (2分)
A.	0
B.	2048
C.	1048576
D.	62916608
E.	32213303296

LBA开始地址我们首先确定操作系统分区

可以发现是 E 盘然后我们开始看物理地址物理位置：32,213,303,296 除以 512

答案为D

4 E磁盘物理大小

你能找到硬盘操作系统分区的物理大少吗 (字节byte)? (2分)
A.	62709760
B.	62910464
C.	104857600
D.	32107397120
E.	32210157568

这里就是需要通过扇区x512来计算

答案为E

5

操作系统分区的文件系统是哪种? (2分)
A.	FAT32
B.	EXFAT
C.	NTFS
D.	EXT3
E.	HFS+

6 查看簇包含多少扇区

操作系统分区，每个簇(Cluster)包含几个扇区(sectors)? (2分)
A.	2
B.	4
C.	6
D.	8
E.	16

这里真不会看了看主要是看磁盘十六进制第14位

7

在操作系统分区内，$MFT的物理起始扇区位置(Starting physical sector)是什么? (2分)
A.	62919936
B.	67086648
C.	68942784
D.	69208064
E.	79865960

看$MFT 然后物理扇区即可69,208,064

答案D

8

请找出系统文件“SOFTWARE＂，请问操作系统的安装日期是? （答案格式 －“世界协调时间＂：YYYY-MM-DD HH:MM UTC） (2分)
A.	2018-10-25 08:08 UTC
B.	2018-10-25 08:09 UTC
C.	2018-10-25 08:10 UTC
D.	2018-10-25 08:11 UTC
E.	2018-10-25 08:12 UTC

咋和17年差不多啊

首先问时间所以我们直接去看时区

等等取证出来需要 -8 所以现在去看安装时间即可

2018-10-25 16:08:39 -8 = 2018-10-25 8:08:39

答案是A

9

9	用户“victor＂的唯一标识符(SID)是什么?（答案格式：RID） (2分)
A.	1001
B.	1002
C.	1003
D.	1004
E.	1005

查看SID

10

10	用户“Lily＂的唯一标识符(SID)是什么?（答案格式：RID） (2分)
A.	1001
B.	1002
C.	1003
D.	1004
E.	1005

11

11	Victor上一次更改系统登入密码是? （答案格式 －“本地时间＂：YYYY-MM-DD HH:MM +8） (2分)
A	2018-11-01 16:08 +8
B	2018-11:01 14:15 +8
C	2018-10-26 17:00 +8
D	2018-10-25 08:08 +8
E	2018-10-25 16:08 +8

这里要看修改密码的时间

这里要求是 +8 所以 E

12

12	Lily上一次更改系统登入密码是? （答案格式 －“本地时间＂：YYYY-MM-DD HH:MM +8） (2分)
A.	2018-11-01 03:02:01 +8
B.	2018-11:02 11:13:33 +8
C.	2018-10-26 17:00:45 +8
D.	2018-10-30 12:30:40 +8
E.	2018-10-27 12:08:37 +8

13

13	Victor 总共登录系统多少次? (2分)
A.	3
B.	16
C.	33
D.	36
E.	45

14

14	以下哪个帐号已经被禁用? (2分)
A.	Administrator
B.	victor
C.	Lily
D.	simon
E.	以上皆不是

15

15	以下哪个帐系统权限最低? (2分)
A.	Administrator
B.	victor
C.	Lily
D.	simon
E.	以上权限一样

这里可以发现 D 的组为 Users;Guests

16

16	以下哪个帐号曾经远端登录系统? (2分)
A.	Administrator
B.	victor
C.	Lily
D.	simon
E.	远端登入已被禁止

这里好像美亚找到所以E

或者直接启动仿真去看看远程桌面

但是没有发现所以这里还是选E

17

17	硬盘操作系统的版本? (2分)
A.	Windows 7 Enterprise (32 位)
B.	Windows 7 Enterprise (64 位)
C.	Windows 7 Professional (32 位)
D.	Windows 7 Professional (64 位)
E.	Windows 7 Ultimate (64 位)

18

18	操作系统的最新服务包(Service Pack)版本号是什么? (2分)
A.	Service Pack 1
B.	Service Pack 2
C.	Service Pack 3
D.	Service Pack 4
E.	Service Pack 5

服务包

19

19	下列哪个是victor的默认打印机? (2分)
A.	HP OfficeJet 250 Mobile Series
B.	CutePDF Writer
C.	Microsoft XPS Document Writer
D.	PDF Complete
E.	AL-M2330

查看默认打印机

看到默认打印机 B

20

20	在2018-10-31 08:29:32 +8时间, 账号simon曾经使用以下哪个文件? (2分)
A.	Microsoft 商店.url
B.	ug.jpeg
C.	Reddy Resume.doc
D.	grocerylistsDOTorg_Spreadsheet_v1_1.xls
E.	InvoiceTemplate.docx

一个一个搜

选C

21

21	接上题，开启上述文件的程序是? (2分)
A.	Internet Explorer
B.	Firefox
C.	画图
D.	WPS 表格
E.	WPS 文字

选E

22

22	以下哪个是victor的默认网页浏览器? (2分)
A.	Internet Explorer
B.	Google Chrome
C.	360浏览器
D.	Firefox
E.	迅雷浏览器

这里学过

去SOFTWARE

发现是都有那么就仿照建立一个 html即可

23

23	victor的回收站里面有一张地图，以下哪个是这张地图原来的文件名? (2分)
A.	捕获.PNG
B.	抓取.PNG
C.	Screenshot.PNG
D.	Map.bmp
E.	Map.jpg

仿真看看

24

24	接上题，上述地图原来的储存路径是? (2分)
A.	C:\Users\victor\Pictures
B.	C:\Users\victor\Documents
C.	C:\Users\victor\Desktop
D.	C:\Users\victor\Downloads
E.	C:\

直接还原可以发现是 Desktop

25

25	找出一个名为"request for quotation.lnk"的档案，并指出该LNK文件的目标路径? (2分)
A.	C:\Users\victor\Pictures
B.	C:\Users\victor\Documents
C.	C:\Users\victor\Desktop
D.	C:\Users\victor\Downloads
E.	C:\

只发现这两个但是不存在 Recent的内容所以是C

26 最后开启时间

26	接上题，上述文件上一次开启的时间是? （答案格式 －“本地时间＂：YYYY-MM-DD HH:MM:SS +8） (2分)
A.	2018-10-29 15:11:43 +8
B.	2018-10-29 19:24:16 +8
C.	2018-10-29 15:11:42‌ +8
D.	2018-11-01 14:51:25 +8
E.	2018-10-29 07:11:42 +8

这里修改时间也该是开启时间 C

但是这个答案是D 这里不知道可能镜像问题了

27

27	接上题，"request for quotation.lnk"的元数据(metadata)记录了以下哪个网卡的物理地址(mac address)? (2分)
A.	00:0C:29:70:F4:47
B.	00:50:56:C0:00:13
C.	47:F4:70:29:0C:00
D.	E4:A7:A0:CB:66:C7
E.	00:0C:29:70:F4:47

这里可以直接一个一个搜

28

28	系统账号victor使用以下哪个电子邮件发送/接收的程序? (2分)
A.	Outlook express
B.	Lotus Note
C.	Thunderbird
D.	Roundcube
E.	没有安装以上软件

看邮件解析

29

29	系统经哪个IP地址，登录互联网？ (2分)
A.	10.0.4.1
B.	10.0.4.128
C.	192.168.72.2
D.	192.168.72.128
E.	192.168.72.233

30

30	在该操作系统中，曾经连接数个USB移动储存装置 (U盘)，下列那个是该系统连接过的USB移动储存装置 ? (2分)
A.	Verbatim USB Device
B.	USB Mass storage USB Device
C.	WD 2500BMV External USB Device
D.	SanDisk Cruzer Fit USB Device
E.	Seagate 250 External USB Device

31

31	在操作系统中，上述U盘曾被指派以下哪个磁盘分区代号(Drive Letter) ? (2分)
A.	D:
B.	E:
C.	F:
D.	G:
E.	Z:

32

32	该操作系统中，下列哪个是最后的关机时间? （答案格式 －“世界协调时间＂：YYYY-MM-DD HH:MM:SS UTC） (2分)
A.	2018-11-02 08:59:38 UTC
B.	2018-11-02 10:22:40 UTC
C.	2018-11-02 10:23:03 UTC
D.	2018-11-02 10:47:28 UTC
E.	2018-11-02 10:47:51 UTC

-8 哦

33

33	该操作系统中，下列哪个是计算机的主机名? (2分)
A.	VICTOR-COMPUTER
B.	WORKGROUP
C.	SIMON-HOME
D.	VICTOR-HOME
E.	LILY-HOME

选D

34

34	接上题，设定为上述计算机主机名前是什么名称? (2分)
A.	42P323K467-22
B.	37L4247F27-25
C.	WIN-6S2GC51RGL9
D.	USER-PC
E.	MY-PC

这里就是对日志双击打开本机的阅读器

首先找到计算机名称变换的地方

然后我们可以看到这个我们就打开看看

看到咯

35

35	接上题，上述计算机主机名设定时间是? （答案格式 －“本地时间＂：YYYY-MM-DD HH:MM:SS +8） (2分)
A.	2018-10-24 11:07:22 +8
B.	2018-10-28 12:22:59 +8
C.	2018-10-27 13:45:18 +8
D.	2018-10-25 16:04:19 +8
E.	2018-10-25 16:07:38 +8

时间：2018-10-25 16:07:38

36

36	在该操作系统中，下列哪个是用户victor日常使用的电邮账号? (2分)
A.	victor201811@hotmail.com
B.	wictor2018111@hotmail.com
C.	victor_201811@google.com
D.	victorlam2018@hotmail.com
E.	以上皆不是

37

37	victor 上一次更改上述电邮账号密码是什么时候? （答案格式 －“本地时间＂：YYYY-MM-DD） (2分)
A.	2018-10-29
B.	2018-10-30
C.	2018-10-31
D.	2018-11-1
E.	2018-11-2

这里是本地时间所以不需要修改 A

38

38	victor什么时候收到勒索电邮? （答案格式 －“本地时间＂：YYYY-MM-DD HH:MM +8） (2分)
A.	2018-11-02 09:09 +8
B.	2018-11-02 09:10 +8
C.	2018-11-02 10:09 +8
D.	2018-11-02 17:09 +8
E.	2018-11-02 17:10 +8

我们去看看

39

39	以下哪个是发出勒索邮件的的IP地址? (2分)
A.	10.152.64.57
B.	10.152.64.217
C.	220.246.55.13
D.	74.208.4.220
E.	10.76.45.13

我们看看

但是不是这个

这里里面有220 的所以是 220

40

40	勒索邮件的附件解压后有一个病毒文件，这个文件的MD5哈希值是? (2分)
A.	72596F71248531853F37D4BD15D088C4
B.	15B64B15CC5A5442196471690D4A088B
C.	67A1487E296328C9E802D50741D8DB9C
D.	72596F71248DH3S92LS7D4BD15D088C4
E.	5BB71EF8E95A5249EF4C2A8CFF9A1E1C

我们直接解压后MD5计算

41

41	上述的病毒文件什么时间被系统执行? （答案格式 －“本地时间＂：YYYY-MM-DD HH:MM +8） (2分)
A.	2018-11-02 14:15 +8
B.	2018-11-02 17:09 +8
C.	2018-11-02 17:13 +8
D.	2018-11-02 17:20 +8
E.	2018-11-02 17:23 +8

42

42	这个病毒是否会在重新开机后自动运行?如会，它是通过下列哪个程序执行? (2分)
A.	Thunder.exe
B.	QyKernel.exe
C.	QyClient.exe
D.	javaw.exe
E.	病毒不会自动执行

我们去看看

首先是java包并且会打开javaw 执行javaw包

并且去搜索的时候

java包而且名称很奇怪

43 沙箱分析木马

43	病毒文件被执行后有以下哪个文件被生成? (2分)
A.	E8S377N3N8UOAMS82PQJ.temp
B.	tbc_stat_cache.dat
C.	JNativeHook_4940080920928265976.dll
D.	83aa4cc77f591dfc2374580bbd95f6ba.tmp
E.	downloads.json

丢入沙箱看看就可以了

选C

44

44	接上题，上述文件有什么功能? (2分)
A.	获取镜头权限
B.	追踪键盘记录
C.	抓取浏览器密码
D.	抓取系统登入密码
E.	存取系统分区

可以看到记录了键盘

45

45	以下哪个是系统安装的第三方输入法软件? (2分)
A.	sogou pinyin
B.	sogou wubi
C.	Baidu Pinyin
D.	QQ Pingyin
E.	以上皆不是

一个一个搜就可以

46

46	操作系统是跟哪一个时间服务器自动同步? (2分)
A.	time.nist.gov
B.	time-a.nist.gov
C.	time.windows.com
D.	time-b.nist.gov
E.	time-nw.nist.gov

选C

47

47	法证人员于2018-11-02 下午6时25分到场，之后对系统作以下哪项取证? (2分)
A.	抓取荧幕画面
B.	备份使用者资料
C.	备份浏览记录
D.	抓取网络数据包
E.	制作内存镜像档

这里主要是没找到其他的但是肯定有内存镜像所以 E

48

48	法证人员到场后，以下哪个软件曾经在系统里运行过? (2分)
A.	wireshark.exe
B.	Magnet RAM capture.exe
C.	Lightscreen.exe
D.	fastdump.exe
E.	以上皆不是

49

49	接上题，所抓取的资料被储存为以下哪个文件? (2分)
A.	victor_PC_networktraffic.pcapng
B.	Lily_PC.networktraffice.pcapng
C.	PC_ screenshot.PNG
D.	victor_PC_memdump.dmp
E.	Lily_PC_memdump.dmp

50

50	接上题，上述档案储存到以下哪个分区? (2分)
A.	D:
B.	E:
C.	F:
D.	G:
E.	H: