记录做题个人赛题目
取证大师直接取证
1
Gary的笔记本电脑已成功取证并制作成镜像 (Forensic Image),下列哪个是其MD5哈希值。
A.0CFB3A0BB016165F1BDEB87EE9F710C9
B.5F1BDEB87EE9F710C90CFB3A0BB01616
C.A0BB016160CFB3A0BB0161661670CFB3
D.16160CFB3A0BB016166A0BB016166167
E.FB3A0BB016165 B016166 A0DF7FJE2EJ0
取证大师直接获取md5
A
2
根据此镜像 (Forensic Image),里面有多少个硬盘分区?
A. 1
B. 2
C. 3
D. 4
E. 5
3个选C
3 计算操作系统分区的 开始逻辑区块地址(LBA)
你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)?
A. 0
B. 512
C. 2,048
D. 206,848
E. 102,402,047
这里看的有点傻了
逻辑区块地址(Logical Block Address, LBA)是描述计算机存储设备上数据所在区块的通用机制,一般用在像硬盘这样的辅助记忆设备。LBA可以意指某个数据区块的地址或是某个地址所指向的数据区块。
我们首先去看看操作系统分区
这里我们可以看到 D盘才是我们的操作系统分区
这里的解题其实就是物理地址
但是这里一个的单位是bit 一个区块是 512位 所以我们需要除以512
所以选D
4 扇区--->分区大小
你能找到硬盘操作系统分区的大小吗 (字节byte)?
A. 48.7
B. 102,195,200
C. 140,232,703
D. 19,369,295,872
E. 52,323,942,400
首先获取到扇区为
102,195,200 然后乘 512
52,323,942,400
选D
5 $MFT 物理起始偏移位置 --> 物理扇区
在包含操作系统的分区内,$MFT的物理起始偏移位置是什么?
A. 3328
B. 4,170,040
C. 6,026,176
D. 6,498,304
E. 16,949,352
这里首先的问题就是 $MFT是啥
MFT,即主文件表(Master File Table)的简称,它是NTFS文件系统的核心,每个文件和目录的信息都包含在MFT中,每个文件和目录至少有一个MFT项。
那么这里就是D盘的MFT
选D
6 SOFTWARE -->系统安装时间
请找出系统文件“SOFTWARE",请问操作系统的安装日期是?
(答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC)
A. 2017-09-04 10:10 UTC
B. 2017-09-04 10:11 UTC
C. 2017-09-04 10:12 UTC
D. 2017-09-04 10:13 UTC
E. 2017-09-04 02:14 UTC
这里考题为时间我们首先去看看系统时间为什么
发现是东八区 那么这里我们就等等取证完需要-8 然后开始找这个SOFTWARE
具体位置位于 %windir%\System32\config
但是也无所谓 可以去 系统信息的安装时间里找
然后 - 8 就是 B咯
7
用户“Gary"的SID是什么?
A. 1000
B. 1001
C. 1002
D. 1005
E. 1007
问用户的SID
用户信息里获取
S-1-5-21-58984532-3717197446-1900145663-1000
那就是1000咯 A
8
用户“彼得"的SID是什么?
A. 1000
B. 1001
C. 1002
D. 1005
E. 1007
一样 1001
9
硬盘的操作系统是什么?
A. Windows 7
B. Windows 8
C. Windows 10
D. Linux Red Hat 7.1
E. MAC OS X
A
10 注册表查看浏览器默认
哪个是Windows的默认浏览器?
A. Microsoft Internet Explorer
B. Google Chrome
C. Mozilla Firefox
D. Opera
E. QQ 浏览器
右键SOFTWARE 然后注册表解析即可 然后去找
SOFTWARE-Client-StartMenuInternet
就可以发现是 A 咯
11 查看浏览的菠菜网站 (小坑)
用户 “Gary"曾经浏览过一些非法博彩网站,下列哪项URL符合?
a. www1.10086.com
b. www.188bet.com
c. www.hv5858.com
d. www.12377.cn
e. www.88.bettingwell.com
f. www.aaakk.org
A. 只有(a) & (b)
B. (a), (b), (d) & (f)
C. (b), (c), (d) & (f)
D. (b), (c), (e) & (f)
E. 以上皆是
一个一个去搜就可以了 然后就发现 bcdf
其实d也有 但是是国家的网站 所以不可能是菠菜网站 所以
还有一个比较坑的点就是 不需要加上三级域名 不然出不来
选D
12
用户Gary曾经登入上述非法博彩网站,下列哪个是其登入名称?
A. ggchey68
B. gany-cher88
C. galy_chen88
D. garychen1688
E. garychen88
E
13
13 在所有用户中,用于电子邮件发送/接收的程序名称是什么?
A. 新浪邮箱
B. 网易163
C. 阿里邮箱
D. Foxmail
E. Mozilla Mail – ThunderBird
E
14 注册表查看U盘记录
在该Windows系统中,曾经连接数个USB移动储存装置 (U盘),下列那个不是该系统连接过的USB移动储存装置 ?
A. WD My Passport 0827 USB Device
B. StoreJet Transcend USB Device
C. Samsung Portable SSD USB Device
D. StoreJet TS256GESD400K USB Device
E. General UDisk USB Device
去注册表看看
SYSTEM-->ControlSet001-->Enum-->USBSTOR
其实这个取证大师已经取证好了 直接去USB使用历史查看即可
这道题很奇怪呀 感觉五个都有。。。。
过吧 答案说是选C
但是可能是因为其中存在T1 的可能性吧
15
在该Windows系统中,下列哪个USB移动储存装置 (U盘)曾被指派为‘Z’磁盘分区代号(Drive Letter) ?
A. WD My Passport 0827 USB Device
B. StoreJet Transcend USB Device
C. Samsung Portable SSD USB Device
D. StoreJet TS256GESD400K USB Device
E. General UDisk USB Device
选E
16
该Windows系统中,下列哪个是最后的关机时间?
A. 2017-10-31 4:52:54 UTC
B. 2017-10-31 4:53:54 UTC
C. 2017-10-31 4:54:54 UTC
D. 2017-10-31 4:55:54 UTC
E. 2017-10-31 4:56:54 UTC
我们知道这个是北京东八区时间 所以取出来要-8
2017-10-31 12:52:54 -8
2017-10-31 12:52:54 - 8 = 2017-10-31 04:52.54
答案为A
17
该Windows系统中,下列哪个是电脑名称?
A. GARYPC
B. GARY-PC
C. GARY_PC
D. GARY
E. GARY-NB
C
18
在该Windows系统中,下列哪个是用户Gary日常使用的邮箱帐号?
A. ics_user@mail.com
B. ics_user@gmail.com
C. gary@mail.com
D. gary_chen@mail.com
E. gary_chen@gmail.com
D
19
在该Windows系统中,用户Gary曾经收过一封来自邮箱帐号 ics_user@mail.com 的邮件,内容提及有关制作钓鱼网站及邮件帐号eric_wang99@outlook.com,下列哪个是此封邮件的发送日期和时间?
A. 2017-09-25 17:07:15
B. 2017-10-17 14:35:45
C. 2017-10-17 18:24:02
D. 2017-10-26 19:17:08
E. 2017-10-26 19:24:57
C
20
在该Windows系统中,用户Gary还曾经收过两封来自邮箱帐号 eric_wang99@outlook.com的邮件,标题为“学习制作网站”,下列哪个是第一封邮件的发送日期和时间?
A. 2017-09-25 17:07:15
B. 2017-10-17 14:35:45
C. 2017-10-17 18:24:02
D. 2017-10-18 18:30:45
E. 2017-10-18 19:38:05
这里才是Eric给 Gary写的邮箱时间
所以是D
21
在该Windows系统中,用户Gary还曾经收过两封来自邮箱帐号 eric_wang99@outlook.com邮件,标题为“学习制作网站”,下列哪个是第二封电邮的发送日期和时间?
A. 2017-09-25 17:07:15
B. 2017-10-17 14:35:45
C. 2017-10-17 18:24:02
D. 2017-10-18 18:30:45
E. 2017-10-18 19:38:05
E
22
用户Gary还曾经收过一封来自邮箱帐号 ics_user@mail.com 的邮件,附加了两张与咖啡豆有关的相片,下列哪个是此封邮件的发送日期和时间?
A. 2017-09-25 17:07:15
B. 2017-10-17 14:35:45
C. 2017-10-17 18:24:02
D. 2017-10-26 19:17:08
E. 2017-10-26 19:24:57
D
23
下列那項是與上述咖啡豆有關相片的MD5哈希值/哈希值(Hash value)?
A. 449cebf0eb96499df047fe0bff8e1627
B. 17f9c6bcca44d128f7ed6769a6920278
C. 4bc48ce355acd4732f33a79e29728e96
D. 4bc48ce355acd4732f33a79e29728e96
E. e3e545c80a7273b7b0d7c73dacdd7227
第二个图片符合B
24
在该Windows系统中,用户Gary还曾经收到一封来自邮箱帐号 eric_wang99@outlook.com 的邮件,附加有三张与Apple iCloud相关的相片,下列哪个为该封邮件的发送日期和时间?
A. 2017-09-25 17:07:15
B. 2017-10-17 14:35:45
C. 2017-10-17 18:24:02
D. 2017-10-18 18:30:45
E. 2017-10-18 19:38:05
E
25
Gary经常使用笔记本电脑浏览互联网,他的笔记本电脑上曾经连接过多少WIFI热点?
A. 1
B. 2
C. 3
D. 4
E. 5
这里存在4中SSID 所以可能是4
26 wifi唯一识别源 GUID
上述电脑曾经连接过星巴克WIFI热点,下列哪项是其全局唯一识别元(Globally Unique Identifier, GUID)?
A. {8039D237-A346-4BA1-9B78-5752580ED7F0}
B. {39489FA0-DE35-4989-8730-E2E2ED15E85A}
C. {558B94DF-8D68-4779-AA25-65FBDAB4C2B9}
D. {4EFCDA7E-CE51-4EC2-8980-8629647C9968}
E. {AF0778E8-6C4F-41C6-84B2-CB14490CF29E}
这里我们发现没有变化 说明这里不是我们需要的 可能是本机网卡的GUID
所以我们需要去找日志 然后查看 但是可以通过取证大师直接获取
所以选E
27 查看ip
有关Gary的笔记本电脑,下列哪项是其最后分派得到的IP地址?
A. 192.168.0.1
B. 192.168.10.4
C. 192.168.20.6
D. 192.168.30.3
E. 192.168.40.5
去网络连接中查看
所以选D
28
Eric曾发邮件给Gary,内容是关于如何在暗网(Dark Web)中浏览枪械的信息,以下哪个URL是由Eric提供的?
A. http://hhnovpxmqrw5xaqg.onion
B. http://gunsjmzh2btr7lpy.onion
C. http://gunsdtk58tolcrre.onion
D. http://armoryohajjhou6m.onion
E. http://armory45jijdf7d.onion
B
29
Eric 售卖iCloud 网站给Gary 的价钱是多少?
A. $500
B. $800
C. $1000
D. $1400
E. $1500
C
30
Gary 经常将非法文件存储到该笔记本电脑的加密分区中,下列哪一个为该加密软件?
A. TrueCrypt
B. VeraCrypt
C. Bitlocker
D. LUKS
E. PGP WDE
B
31
在加密磁区内有三张与Apple iCloud有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)?
A. c9fbfaf3c45492c40feb83a83217f146
B. 14903a7bd9d709b653f9afe8e3e51cdd
C. 7cb0f29812317db645edbcd6cf46e1ba
D. 5503d096bdf832460c8f51da62fbbb5d
E. 9918465b62171ba2c0a95595db629bf3
这里icloud图片 还是三张 那不就是之前那个么
去邮件看看
最后获取到了C9FBFAF3C45492C40FEB83A83217F146
选A
这里我们其实还是需要去破解 我们去看看仿真
C盘下面这个有点奇怪啊
耶 解密成功 windows上无后缀的 都可以查看一下
32
在加密磁区内有三张与暗网(Dark Web)有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)?
A. 2836d35fb45c591211d5b6865c4a82f5
B. d2b14799050b6c4ad6b07cd1227b91a5
C. 9110c96baa70c00acd8fbdfe2dc7c397
D. 703899985d881e2d103eb4fd1306be2e
E. 4c57a45b8da5ea01e5eb7d875f94a7b8
暗网 那不就是枪的么
E
33
Gary的计算机系统时区是什么?
A. 中国标准时间
B. 日本标准时间
C. 泰国标准时间
D. 新加坡标准时间
E. 伦敦标准时间
我们已经看过咯 是A
34
在上述加密磁区内,存有一个名为”2017-10-27”的文件夹,内有三张枪械的图片,该三张图片是来自哪个网站?
A. http://gunsdtk58tolcrre.onion
B. http://gunsjmzh2btr7lpy.onion
C. thegunstorelasvegas.com
D. cabelas.com
E. hyattgunstore.com
这不一样的题目 B
35
Gary的笔记本电脑曾经下载过多少张有关恐怖组织的图片?
A. 1
B. 2
C. 3
D. 4
E. 5
这里提及了下载 我们看看
这题貌似也是模棱两可 这边找出来4张 但是又不是恐怖组织 但是有个 isis的统计图 可能是这个吧
选B
36
根据Gary与Eric邮件的内容,Eric曾经提供Gary一个私有云盘,下列哪项是该邮件提供的资料?
A. 动物图
B. 枪的结构图
C. 博彩图
D. 博彩文件
E. 恐怖主义图
上面一直在说枪 肯定就是了 B
37
下列哪项是上述私有云盘的网址?
A. http://mantech.mooo.cn
B. http://mantech.mooo.com
C. http://mooo.com
D. http://mantech.com
E. http://23.54.45.113
就是B了
38
下列哪项是上述私有云盘网址的连接端口?
A. TCP 80
B. TCP 8080
C. UDP 80
D. TCP 8000
E. TCP 443
D
39
下列哪项是Gary第一次浏览该私有云盘网址时,所使用的浏览器?
A. Microsoft Explorer
B. Google Chrome
C. Mozilla Firefox
D. Opera
E. QQ 浏览器
这里要注意 是第一次所以我们去搜
发现多虑了 只有 火狐
C
40
下列哪项是Gary第一次浏览该私有云盘网址的日期和时间?
A. 2017-10-29 12:42:09
B. 2017-10-30 12:42:09
C. 2017-10-31 12:42:09
D. 2017-10-30 10:42:09
E. 2017-10-30 11:42:09
看看记录
差了2s 无所谓吧 B
41
在上述加密磁区内,存有一个名为”2017-10-30”的文件夹,里面有三张与枪械结构有关的图片,该三张图片是从哪个方法/软件下载?
A. 邮件
B. Firefox
C. Chrome
D. USB thumb drive
E. ftp
对得上 B
42
Gary的笔记本电脑,曾经下载过一个感染了电脑病毒的文件,名为invoice.zip。该病毒程序文件是什么时候下载?
A. 2017-10-31 12:26:20
B. 2017-10-31 12:50:34
C. 2017-10-31 12:29:55
D. 2017-10-31 10:52:10
E. 2017-10-31 12:18:54
E
43
Gary的笔记本电脑,还存有一个感染了电脑病毒的程序文件,名为\User\Gary\Downloads\invoice\dist\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?A. 2017-10-31 12:26:27B. 2017-10-31 12:50:34C. 2017-10-31 12:29:55D. 2017-10-31 10:52:10E. 2017-10-31 12:18:54
有两个 我们确定一下
44
上述invoice.exe文件伪装成什么格式的软件?
A. pdf
B. jpg
C. psd
D. Docx
E. Doc
导出
发现是 pdf
A
45
上述的\User\Gary\Downloads\invoice\dist\invoice.exe文件,最后执行日期/时间(Last Accessed Data/Time) 是什么?
A. 2017-10-31 12:26:27
B. 2017-10-31 12:50:34
C. 2017-10-31 12:29:55
D. 2017-10-31 10:52:10
E. 2017-10-31 12:18:54
这里有点歧义感觉 但是可以想到 是通过执行 后 然后存储到 tmp的病毒 所以并且最后时间 那么就是 50 这个了 选B
46
事实上,Gary的笔记本电脑被电脑病毒感染了,部份文件被加密,当中包括下列哪种文件类型?
a. exe
b. gif
c. jpg
d. psd
e. Docx
f. DocA. 只有(a) & (b)
B. (a), (b), (d) & (f)
C. (b), (c), (d) & (f)
D. (b), (c), (e) & (f)
E. 以上皆是
仿真中看看
在文档中发现
这里可以确定的是 doc和jpg和docx gif找不到 但是可以选出答案了 D
47
上述\User\Gary\Downloads\invoice\dist\invoice.exe文件共执行多少?
A. 1
B. 2
C. 3
D. 4
E. 5
E
48
上述\User\Gary\Downloads\invoice\dist\invoice.exe文件是由什么程序编写?
A. LISP
B. C++
C. Visual Basic
D. Python
E. Java
我们回到刚刚那个下载的地方看看
这里有一大堆pyd 那么不就是python文件嘛
D
49
上述\User\Gary\Downloads\invoice\dist\invoice.exe文件,执行时会呼叫下列哪个动态连结函式库(Dynamic Linked Library)
A. KERNEL32.DLL
B. USER32.DLL
C. SHELL32.DLL
D. NTDLL.DLL
E. SYSTEM32.DLL
看dll 这里可以通过反汇编查看
或者可以使用弘连的直接双击exe查看
50
Gary的笔记本电脑,还存有另一感染了电脑病毒的程序文件,名为\tmp\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?
A. 2017-10-31 12:26:27
B. 2017-10-31 12:50:34
C. 2017-10-31 12:29:55
D. 2017-10-31 10:52:10
E. 2017-10-31 12:18:54
B咯
51
上述两个文件\User\Gary\Downloads\invoice\dist\invoice.exe和 \tmp\invoice.exe是什么关系?
A. 前者是后者的复本
B. 后者是前者的复本
C. 两者MD5不相同
D. 两者元数据(Metadata)相同
E. 两者无关系
这里其实就可以确定 下载执行完 复制到 tmp下持续监听 所以就是B
52
根据勒索讯息的显示,勒索网址是什么?
A. http://223.17.250.208:6000/C&C/
B. http://223.17.250.208/C&C/
C. http://223.17.250.208:6060/C&C/
D. http://223.17.250.208:80/C&C/
E. http://223.17.250.208:8080/C&C/
被勒索了 那么访问网址看看咯
C
53
根据勒索讯息的显示,勒索金额是多少钱?
A. $1,000
B. $10,000
C. $20,000
D. $50,000
E. $100,000
网址肯定打不开 桌面有一个截图
B
54
根据勒索讯息的显示,下列哪个是与勒索案件有关的比特币钱包?
A. 1KcjhpkowGWh5QYgPx5hYGuzbZpewgBszh
B. 1KcjhpknwGWh5QYgPx5hYGuzbZpewgBszh
C. 1KcjhpknwGWh5QYgPx5hYGuzbZpewgBzzh
D. 1KcjhpknwGWh5QYgPx6hYGuzbZpewgBszh
E. 1KcjhpknwGWh6QYgPx5hYGuzbZpewgBszh
B咯
55
执法机关曾在现场对Gary的电脑进行电子法证检验,期间曾撷取与勒索软件相关的屏幕影像,并储存为png格式。下列哪项是其储存位置?
A. \Users\彼得\Downloads\
B. \Users\彼得\Desktop\
C. \Users\Gary\Downloads\
D. \Users\Gary\Desktop\
E. \Users\Gary\Documents
D咯
56
经法证工具分析后发现Gary的笔记本电脑有三个分区硬盘,所有敏感文件均储存在一个加密磁区,而其密钥放在下列哪个位置?A. \Windows\B. \Users\C. \Users\Gary\DesktopD. \Users\Gary\DocumentsE. \
这我们之前就得出来了 不就是E么
到这里 17美亚个人赛就结束了 题目还是挺简单的 难点我都已经在前面标注了