2017年第三届美亚杯电子取证个人赛题解

记录做题个人赛题目

取证大师直接取证

1

Gary的笔记本电脑已成功取证并制作成镜像 (Forensic Image)，下列哪个是其MD5哈希值。
A.0CFB3A0BB016165F1BDEB87EE9F710C9
B.5F1BDEB87EE9F710C90CFB3A0BB01616
C.A0BB016160CFB3A0BB0161661670CFB3
D.16160CFB3A0BB016166A0BB016166167
E.FB3A0BB016165 B016166 A0DF7FJE2EJ0

取证大师直接获取md5

2

根据此镜像 (Forensic Image)，里面有多少个硬盘分区？
A.	1
B.	2
C.	3
D.	4
E.	5

3个选C

3 计算操作系统分区的开始逻辑区块地址(LBA)

你能找到硬盘操作系统分区内的开始逻辑区块地址（LBA）？
A.	0
B.	512
C.	2,048
D.	206,848
E.	102,402,047

这里看的有点傻了

逻辑区块地址(Logical Block Address, LBA)是描述计算机存储设备上数据所在区块的通用机制，一般用在像硬盘这样的辅助记忆设备。LBA可以意指某个数据区块的地址或是某个地址所指向的数据区块。

我们首先去看看操作系统分区

这里我们可以看到 D盘才是我们的操作系统分区

这里的解题其实就是物理地址

但是这里一个的单位是bit 一个区块是 512位所以我们需要除以512

所以选D

4 扇区--->分区大小

你能找到硬盘操作系统分区的大小吗 (字节byte)？
A.	48.7
B.	102,195,200
C.	140,232,703
D.	19,369,295,872
E.	52,323,942,400

首先获取到扇区为

102,195,200 然后乘 512

52,323,942,400

选D

5 $MFT 物理起始偏移位置 --> 物理扇区

在包含操作系统的分区内，$MFT的物理起始偏移位置是什么？
A.	3328
B.	4,170,040
C.	6,026,176
D.	6,498,304
E.	16,949,352

这里首先的问题就是 $MFT是啥

MFT，即主文件表（Master File Table）的简称，它是NTFS文件系统的核心，每个文件和目录的信息都包含在MFT中，每个文件和目录至少有一个MFT项。

那么这里就是D盘的MFT

选D

6 SOFTWARE -->系统安装时间

请找出系统文件“SOFTWARE＂，请问操作系统的安装日期是？ 
（答案格式 －“世界协调时间＂：YYYY-MM-DD HH:MM UTC）
A.	2017-09-04 10:10 UTC
B.	2017-09-04 10:11 UTC
C.	2017-09-04 10:12 UTC 
D.	2017-09-04 10:13 UTC
E.	2017-09-04 02:14 UTC

这里考题为时间我们首先去看看系统时间为什么

发现是东八区那么这里我们就等等取证完需要-8 然后开始找这个SOFTWARE

具体位置位于 %windir%\System32\config

但是也无所谓可以去系统信息的安装时间里找

然后 - 8 就是 B咯

7

用户“Gary＂的SID是什么？
A.	1000
B.	1001
C.	1002
D.	1005
E.	1007

问用户的SID

用户信息里获取

S-1-5-21-58984532-3717197446-1900145663-1000

那就是1000咯 A

8

用户“彼得＂的SID是什么？
A.	1000
B.	1001
C.	1002
D.	1005
E.	1007

一样 1001

9

硬盘的操作系统是什么？
A.	Windows 7
B.	Windows 8
C.	Windows 10
D.	Linux Red Hat 7.1
E.	MAC OS X

10 注册表查看浏览器默认

哪个是Windows的默认浏览器？
A.	Microsoft Internet Explorer
B.	Google Chrome
C.	Mozilla Firefox
D.	Opera
E.	QQ 浏览器

右键SOFTWARE 然后注册表解析即可然后去找

SOFTWARE-Client-StartMenuInternet

就可以发现是 A 咯

11 查看浏览的菠菜网站（小坑）

用户 “Gary＂曾经浏览过一些非法博彩网站，下列哪项URL符合？
a.	www1.10086.com
b.	www.188bet.com
c.	www.hv5858.com
d.	www.12377.cn 
e.	www.88.bettingwell.com
f.	www.aaakk.org 
A.	只有(a) & (b)
B.	(a), (b), (d) & (f) 
C.	(b), (c), (d) & (f) 
D.	(b), (c), (e) & (f)
E.	以上皆是

一个一个去搜就可以了然后就发现 bcdf

其实d也有但是是国家的网站所以不可能是菠菜网站所以

还有一个比较坑的点就是不需要加上三级域名不然出不来

选D

12

用户Gary曾经登入上述非法博彩网站，下列哪个是其登入名称？
A.	ggchey68
B.	gany-cher88
C.	galy_chen88
D.	garychen1688
E.	garychen88

13

13	在所有用户中，用于电子邮件发送/接收的程序名称是什么？
A.	新浪邮箱
B.	网易163
C.	阿里邮箱
D.	Foxmail
E.	Mozilla Mail – ThunderBird

14 注册表查看U盘记录

在该Windows系统中，曾经连接数个USB移动储存装置 (U盘)，下列那个不是该系统连接过的USB移动储存装置 ?
A.	WD My Passport 0827 USB Device
B.	StoreJet Transcend USB Device
C.	Samsung Portable SSD USB Device
D.	StoreJet TS256GESD400K USB Device
E.	General UDisk USB Device

去注册表看看

SYSTEM-->ControlSet001-->Enum-->USBSTOR

其实这个取证大师已经取证好了直接去USB使用历史查看即可

这道题很奇怪呀感觉五个都有。。。。

过吧答案说是选C

但是可能是因为其中存在T1 的可能性吧

15

在该Windows系统中，下列哪个USB移动储存装置 (U盘)曾被指派为‘Z’磁盘分区代号(Drive Letter) ?
A.	WD My Passport 0827 USB Device
B.	StoreJet Transcend USB Device
C.	Samsung Portable SSD USB Device
D.	StoreJet TS256GESD400K USB Device
E.	General UDisk USB Device

选E

16

该Windows系统中，下列哪个是最后的关机时间?
A.	2017-10-31 4:52:54 UTC
B.	2017-10-31 4:53:54 UTC
C.	2017-10-31 4:54:54 UTC
D.	2017-10-31 4:55:54 UTC
E.	2017-10-31 4:56:54 UTC

我们知道这个是北京东八区时间所以取出来要-8

2017-10-31 12:52:54 -8

2017-10-31 12:52:54	 - 8 = 2017-10-31 04:52.54

答案为A

17

该Windows系统中，下列哪个是电脑名称?
A.	GARYPC
B.	GARY-PC
C.	GARY_PC
D.	GARY
E.	GARY-NB

18

在该Windows系统中，下列哪个是用户Gary日常使用的邮箱帐号?
A.	ics_user@mail.com
B.	ics_user@gmail.com
C.	gary@mail.com
D.	gary_chen@mail.com
E.	gary_chen@gmail.com

19

在该Windows系统中，用户Gary曾经收过一封来自邮箱帐号 ics_user@mail.com 的邮件，内容提及有关制作钓鱼网站及邮件帐号eric_wang99@outlook.com，下列哪个是此封邮件的发送日期和时间?
A.	2017-09-25 17:07:15
B.	2017-10-17 14:35:45
C.	2017-10-17 18:24:02
D.	2017-10-26 19:17:08
E.	2017-10-26 19:24:57

20

在该Windows系统中，用户Gary还曾经收过两封来自邮箱帐号 eric_wang99@outlook.com的邮件，标题为“学习制作网站”，下列哪个是第一封邮件的发送日期和时间?
A.	2017-09-25 17:07:15
B.	2017-10-17 14:35:45
C.	2017-10-17 18:24:02
D.	2017-10-18 18:30:45
E.	2017-10-18 19:38:05

这里才是Eric给 Gary写的邮箱时间

所以是D

21

在该Windows系统中，用户Gary还曾经收过两封来自邮箱帐号 eric_wang99@outlook.com邮件，标题为“学习制作网站”，下列哪个是第二封电邮的发送日期和时间?
A.	2017-09-25 17:07:15
B.	2017-10-17 14:35:45
C.	2017-10-17 18:24:02
D.	2017-10-18 18:30:45
E.	2017-10-18 19:38:05

22

用户Gary还曾经收过一封来自邮箱帐号 ics_user@mail.com 的邮件，附加了两张与咖啡豆有关的相片，下列哪个是此封邮件的发送日期和时间?
A.	2017-09-25 17:07:15
B.	2017-10-17 14:35:45
C.	2017-10-17 18:24:02
D.	2017-10-26 19:17:08
E.	2017-10-26 19:24:57

23

下列那項是與上述咖啡豆有關相片的MD5哈希值/哈希值(Hash value)?
A.	449cebf0eb96499df047fe0bff8e1627
B.	17f9c6bcca44d128f7ed6769a6920278
C.	4bc48ce355acd4732f33a79e29728e96
D.	4bc48ce355acd4732f33a79e29728e96
E.	e3e545c80a7273b7b0d7c73dacdd7227

第二个图片符合B

24

在该Windows系统中，用户Gary还曾经收到一封来自邮箱帐号 eric_wang99@outlook.com 的邮件，附加有三张与Apple iCloud相关的相片，下列哪个为该封邮件的发送日期和时间?
A.	2017-09-25 17:07:15
B.	2017-10-17 14:35:45
C.	2017-10-17 18:24:02
D.	2017-10-18 18:30:45
E.	2017-10-18 19:38:05

25

Gary经常使用笔记本电脑浏览互联网，他的笔记本电脑上曾经连接过多少WIFI热点？
A.	1
B.	2
C.	3
D.	4
E.	5

这里存在4中SSID 所以可能是4

26 wifi唯一识别源 GUID

上述电脑曾经连接过星巴克WIFI热点，下列哪项是其全局唯一识别元（Globally Unique Identifier, GUID）？
A.	{8039D237-A346-4BA1-9B78-5752580ED7F0}
B.	{39489FA0-DE35-4989-8730-E2E2ED15E85A}
C.	{558B94DF-8D68-4779-AA25-65FBDAB4C2B9}
D.	{4EFCDA7E-CE51-4EC2-8980-8629647C9968}
E.	{AF0778E8-6C4F-41C6-84B2-CB14490CF29E}

这里我们发现没有变化说明这里不是我们需要的可能是本机网卡的GUID

所以我们需要去找日志然后查看但是可以通过取证大师直接获取

所以选E

27 查看ip

有关Gary的笔记本电脑，下列哪项是其最后分派得到的IP地址？
A.	192.168.0.1
B.	192.168.10.4
C.	192.168.20.6
D.	192.168.30.3
E.	192.168.40.5

去网络连接中查看

所以选D

28

Eric曾发邮件给Gary，内容是关于如何在暗网(Dark Web)中浏览枪械的信息，以下哪个URL是由Eric提供的?
A.	http://hhnovpxmqrw5xaqg.onion
B.	http://gunsjmzh2btr7lpy.onion
C.	http://gunsdtk58tolcrre.onion
D.	http://armoryohajjhou6m.onion
E.	http://armory45jijdf7d.onion

29

Eric 售卖iCloud 网站给Gary 的价钱是多少?
A.	$500
B.	$800
C.	$1000
D.	$1400
E.	$1500

30

Gary 经常将非法文件存储到该笔记本电脑的加密分区中，下列哪一个为该加密软件?
A.	TrueCrypt
B.	VeraCrypt
C.	Bitlocker
D.	LUKS
E.	PGP WDE

31

在加密磁区内有三张与Apple iCloud有关的相片，下列哪个为其中一张相片的MD5哈希值(Hash Value)?
A.	c9fbfaf3c45492c40feb83a83217f146
B.	14903a7bd9d709b653f9afe8e3e51cdd
C.	7cb0f29812317db645edbcd6cf46e1ba
D.	5503d096bdf832460c8f51da62fbbb5d
E.	9918465b62171ba2c0a95595db629bf3

这里icloud图片还是三张那不就是之前那个么

去邮件看看

最后获取到了C9FBFAF3C45492C40FEB83A83217F146

选A

这里我们其实还是需要去破解我们去看看仿真

C盘下面这个有点奇怪啊

耶解密成功 windows上无后缀的都可以查看一下

32

在加密磁区内有三张与暗网(Dark Web)有关的相片，下列哪个为其中一张相片的MD5哈希值(Hash Value)?
A.	2836d35fb45c591211d5b6865c4a82f5
B.	d2b14799050b6c4ad6b07cd1227b91a5
C.	9110c96baa70c00acd8fbdfe2dc7c397
D.	703899985d881e2d103eb4fd1306be2e
E.	4c57a45b8da5ea01e5eb7d875f94a7b8

暗网那不就是枪的么

33

Gary的计算机系统时区是什么？
A.	中国标准时间
B.	日本标准时间
C.	泰国标准时间
D.	新加坡标准时间
E.	伦敦标准时间

我们已经看过咯是A

34

在上述加密磁区内，存有一个名为”2017-10-27”的文件夹，内有三张枪械的图片，该三张图片是来自哪个网站?
A.	http://gunsdtk58tolcrre.onion
B.	http://gunsjmzh2btr7lpy.onion
C.	thegunstorelasvegas.com
D.	cabelas.com
E.	hyattgunstore.com

这不一样的题目 B

35

Gary的笔记本电脑曾经下载过多少张有关恐怖组织的图片?
A.	1
B.	2
C.	3
D.	4
E.	5

这里提及了下载我们看看

这题貌似也是模棱两可这边找出来4张但是又不是恐怖组织但是有个 isis的统计图可能是这个吧

选B

36

根据Gary与Eric邮件的内容，Eric曾经提供Gary一个私有云盘，下列哪项是该邮件提供的资料?
A.	动物图
B.	枪的结构图 
C.	博彩图
D.	博彩文件
E.	恐怖主义图

上面一直在说枪肯定就是了 B

37

下列哪项是上述私有云盘的网址?
A.	http://mantech.mooo.cn
B.	http://mantech.mooo.com
C.	http://mooo.com
D.	http://mantech.com
E.	http://23.54.45.113

就是B了

38

下列哪项是上述私有云盘网址的连接端口?
A.	TCP 80
B.	TCP 8080
C.	UDP 80
D.	TCP 8000
E.	TCP 443

39

下列哪项是Gary第一次浏览该私有云盘网址时，所使用的浏览器?
A.	Microsoft Explorer
B.	Google Chrome
C.	Mozilla Firefox
D.	Opera
E.	QQ 浏览器

这里要注意是第一次所以我们去搜

发现多虑了只有火狐

40

下列哪项是Gary第一次浏览该私有云盘网址的日期和时间?
A.	2017-10-29 12:42:09
B.	2017-10-30 12:42:09
C.	2017-10-31 12:42:09
D.	2017-10-30 10:42:09
E.	2017-10-30 11:42:09

看看记录

差了2s 无所谓吧 B

41

在上述加密磁区内，存有一个名为”2017-10-30”的文件夹，里面有三张与枪械结构有关的图片，该三张图片是从哪个方法/软件下载?
A.	邮件
B.	Firefox
C.	Chrome
D.	USB thumb drive
E.	ftp

对得上 B

42

Gary的笔记本电脑，曾经下载过一个感染了电脑病毒的文件，名为invoice.zip。该病毒程序文件是什么时候下载?	
A.	2017-10-31 12:26:20
B.	2017-10-31 12:50:34
C.	2017-10-31 12:29:55
D.	2017-10-31 10:52:10
E.	2017-10-31 12:18:54

43

Gary的笔记本电脑，还存有一个感染了电脑病毒的程序文件，名为\User\Gary\Downloads\invoice\dist\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?A.	2017-10-31 12:26:27B.	2017-10-31 12:50:34C.	2017-10-31 12:29:55D.	2017-10-31 10:52:10E.	2017-10-31 12:18:54

有两个我们确定一下

44

上述invoice.exe文件伪装成什么格式的软件?
A.	pdf
B.	jpg
C.	psd
D.	Docx
E.	Doc

导出

发现是 pdf

45

上述的\User\Gary\Downloads\invoice\dist\invoice.exe文件，最后执行日期/时间(Last Accessed Data/Time) 是什么?
A.	2017-10-31 12:26:27
B.	2017-10-31 12:50:34
C.	2017-10-31 12:29:55
D.	2017-10-31 10:52:10
E.	2017-10-31 12:18:54

这里有点歧义感觉但是可以想到是通过执行后然后存储到 tmp的病毒所以并且最后时间那么就是 50 这个了选B

46

事实上，Gary的笔记本电脑被电脑病毒感染了，部份文件被加密，当中包括下列哪种文件类型?
a.	exe
b.	gif
c.	jpg
d.	psd
e.	Docx
f.	DocA.	只有(a) & (b)
B.	(a), (b), (d) & (f) 
C.	(b), (c), (d) & (f) 
D.	(b), (c), (e) & (f)
E.	以上皆是

仿真中看看

在文档中发现

这里可以确定的是 doc和jpg和docx gif找不到但是可以选出答案了 D

47

上述\User\Gary\Downloads\invoice\dist\invoice.exe文件共执行多少?
A.	1
B.	2
C.	3
D.	4
E.	5

48

上述\User\Gary\Downloads\invoice\dist\invoice.exe文件是由什么程序编写?
A.	LISP
B.	C++
C.	Visual Basic
D.	Python
E.	Java

我们回到刚刚那个下载的地方看看

这里有一大堆pyd 那么不就是python文件嘛

49

上述\User\Gary\Downloads\invoice\dist\invoice.exe文件，执行时会呼叫下列哪个动态连结函式库(Dynamic Linked Library)
A.	KERNEL32.DLL
B.	USER32.DLL
C.	SHELL32.DLL
D.	NTDLL.DLL
E.	SYSTEM32.DLL

看dll 这里可以通过反汇编查看

或者可以使用弘连的直接双击exe查看

50

Gary的笔记本电脑，还存有另一感染了电脑病毒的程序文件，名为\tmp\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?
A.	2017-10-31 12:26:27
B.	2017-10-31 12:50:34
C.	2017-10-31 12:29:55
D.	2017-10-31 10:52:10
E.	2017-10-31 12:18:54

B咯

51

上述两个文件\User\Gary\Downloads\invoice\dist\invoice.exe和 \tmp\invoice.exe是什么关系?
A.	前者是后者的复本
B.	后者是前者的复本
C.	两者MD5不相同
D.	两者元数据(Metadata)相同
E.	两者无关系

这里其实就可以确定下载执行完复制到 tmp下持续监听所以就是B

52

根据勒索讯息的显示，勒索网址是什么？
A.	http://223.17.250.208:6000/C&C/
B.	http://223.17.250.208/C&C/
C.	http://223.17.250.208:6060/C&C/
D.	http://223.17.250.208:80/C&C/
E.	http://223.17.250.208:8080/C&C/

被勒索了那么访问网址看看咯

53

根据勒索讯息的显示，勒索金额是多少钱？
A.	$1,000
B.	$10,000
C.	$20,000
D.	$50,000
E.	$100,000

网址肯定打不开桌面有一个截图

54

根据勒索讯息的显示，下列哪个是与勒索案件有关的比特币钱包？
A.	1KcjhpkowGWh5QYgPx5hYGuzbZpewgBszh
B.	1KcjhpknwGWh5QYgPx5hYGuzbZpewgBszh
C.	1KcjhpknwGWh5QYgPx5hYGuzbZpewgBzzh
D.	1KcjhpknwGWh5QYgPx6hYGuzbZpewgBszh
E.	1KcjhpknwGWh6QYgPx5hYGuzbZpewgBszh

B咯

55

执法机关曾在现场对Gary的电脑进行电子法证检验，期间曾撷取与勒索软件相关的屏幕影像，并储存为png格式。下列哪项是其储存位置?
A.	\Users\彼得\Downloads\
B.	\Users\彼得\Desktop\
C.	\Users\Gary\Downloads\
D.	\Users\Gary\Desktop\
E.	\Users\Gary\Documents

D咯

56

经法证工具分析后发现Gary的笔记本电脑有三个分区硬盘，所有敏感文件均储存在一个加密磁区，而其密钥放在下列哪个位置？A.	\Windows\B.	\Users\C.	\Users\Gary\DesktopD.	\Users\Gary\DocumentsE.	\

这我们之前就得出来了不就是E么

到这里 17美亚个人赛就结束了题目还是挺简单的难点我都已经在前面标注了