2017美亚杯--个人赛

最新推荐文章于 2024-05-17 18:09:22 发布
最新推荐文章于 2024-05-17 18:09:22 发布
阅读量717 收藏 5
点赞数 7
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2202_75317918/article/details/138220861
版权

1、Gary的笔记本电脑已成功取证并制作成镜像 (Forensic Image),下列哪个是其MD5哈希值。
A.0CFB3A0BB016165F1BDEB87EE9F710C9
B.5F1BDEB87EE9F710C90CFB3A0BB01616
C.A0BB016160CFB3A0BB0161661670CFB3
D.16160CFB3A0BB016166A0BB016166167
E.FB3A0BB016165 B016166 A0DF7FJE2EJ0


2根据此镜像 (Forensic Image),里面有多少个硬盘分区?
A.1
B.2
C.3
D.4
E.5

3你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)?
A.0
B.512
C.2,048
D.206848
E.102,402,047

在镜像生成之时,D盘才是真的操作系统分区

内存物理地址的单位是字节(Byte)而一个逻辑区块占用512位,所以要将这个值除以512;
结合磁盘内容,找到D盘的物理位置105,906,176 因为现今计算机上所谓一个逻辑区块通常占512位.所以105906176/512=206848


4你能找到硬盘操作系统分区的大小吗 (字节byte)?
A.48.7
B.102,195,200
C.140,232,703
D.19,369,295,872
E.52,323,942,400

48.73*1024*1024*1024=52323942400
5在包含操作系统的分区内,$MFT的物理起始偏移位置是什么?
A.3328
B.4170040
C.6026176
D.6498304(winhex打开)
E.16949352

 

 

6请找出系统文件“SOFTWARE",请问操作系统的安装日期是? 
(答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC)
A.2017-09-04 10:10 UTC
B.2017-09-04 10:11 UTC
C.2017-09-04 10:12 UTC 
D.2017-09-04 10:13 UTC
E.2017-09-14 02:14 UTC

东八区时间的坑 在时区信息里面可以看到


7用户“Gary"的SID是什么?
A.1000
B.1001
C.1002
D.1005
E.1007


8用户“彼得"的SID是什么?
A.1000
B.1001
C.1002
D.1005
E.1007


9硬盘的操作系统是什么?
A.Windows 7
B.Windows 8
C.Windows 10
D.Linux Red Hat 7.1
E.MAC OS X


10哪个是Windows的默认浏览器?
A.Microsoft Internet Explorer
B.Google Chrome
C.Mozilla Firefox
D.Opera
E.QQ 浏览器


11用户 “Gary"曾经浏览过一些非法博彩网站,下列哪项URL符合?
a.www.10086.com
b.www.188bet.com
c.www.hv5858.com
d.www.12377.cn 
e. www.88.bettingwell.com
f.www.aaakk.org 
A.只有(a) & (b)
B.(a), (b), (d) & (f) 
C.(b), (c), (d) & (f) 
D.(b), (c), (e) & (f)
E.以上皆是

 

 

12用户Gary曾经登入上述非法博彩网站,下列哪个是其登入名称?
A.ggchey68
B.gany-cher88
C.galy_chen88
D.garychen1688
E.garychen88


13在所有用户中,用于电子邮件发送/接收的程序名称是什么?
A.新浪邮箱
B.网易163
C.阿里邮箱
D.Foxmail
E.Mozilla Mail – ThunderBird


14在该Windows系统中,曾经连接数个USB移动储存装置 (U盘),下列那个不是该系统连接过的USB移动储存装置 ?
A.WD My Passport 0827 USB Device
B.StoreJet Transcend USB Device
C.Samsung Portable SSD USB Device
D.StoreJet TS256GESD400K USB Device
E.General UDisk USB Device


15在该Windows系统中,下列哪个USB移动储存装置 (U盘)曾被指派为‘Z’磁盘分区代号(Drive Letter) ?
A.WD My Passport 0827 USB Device
B.StoreJet Transcend USB Device
C.Samsung Portable SSD USB Device
D.StoreJet TS256GESD400K USB Device
E.General UDisk USB Device

 

16该Windows系统中,下列哪个是最后的关机时间?
A.2017-10-31 4:52:54 UTC
B.2017-10-31 4:53:54 UTC
C.2017-10-31 4:54:54 UTC
D.2017-10-31 4:55:54 UTC
E.2017-10-31 4:56:54 UTC


17该Windows系统中,下列哪个是电脑名称?
A.GARYPC
B.GARY-PC
C.GARY_PC
D.GARY
E.GARY-NB


18在该Windows系统中,下列哪个是用户Gary日常使用的邮箱帐号?
A.ics_user@mail.com
B.ics_user@gmail.com
C.gary@mail.com
D.gary_chen@mail.com
E.gary_chen@gmail.com


19在该Windows系统中,用户Gary曾经收过一封来自邮箱帐号  HYPERLINK "

mailto:ics_user@mail.com" cs_user@mail.com 的邮件,内容提及有关制作钓鱼网站及邮件帐号eric_wang99@outlook.com,下列哪个是此封邮件的发送日期和时间?
A.2017-09-25 17:07:15
B.2017-10-17 14:35:45
C.2017-10-17 18:24:02
D.2017-10-26 19:17:08
E.2017-10-26 19:24:57


20在该Windows系统中,用户Gary还曾经收过两封来自邮箱帐号  HYPERLINK "

mailto:eric_wang99@outlook.com
" ric_wang99@outlook.com的邮件,标题为“学习制作网站”,下列哪个是第一封邮件的发送日期和时间?
A.2017-09-25 17:07:15
B.2017-10-17 14:35:45
C.2017-10-17 18:24:02
D.2017-10-18 18:30:45
E.2017-10-18 19:38:05

审题 第一封邮件

21在该Windows系统中,用户Gary还曾经收过两封来自邮箱帐号eric_wang99@outlook.com邮件,标题为“学习制作网站”,下列哪个是第二封电邮的发送日期和时间?

A.2017-09-25 17:07:15

B.2017-10-17 14:35:45

C.2017-10-17 18:24:02

D.2017-10-18 18:30:45

E.2017-10-18 19:38:05

22、用户Gary还曾经收过一封来自邮箱帐号 ics_user@mail.com的邮件,附加了两张与咖啡豆有关的相片,下列哪个是此封邮件的发送日期和时间?

A.2017-09-25 17:07:15

B.2017-10-17 14:35:45

C.2017-10-17 18:24:02

D.2017-10-26 19:17:08

E.2017-10-26 19:24:57

23.下列哪项是与上述咖啡豆有关相片的MD5哈希值/哈希值(Hash value)?

A.449cebf0eb96499df047fe0bff8e1627

B.17f9c6bcca44d128f7ed6769a6920278

C.4bc48ce355acd4732f33a79e29728e96

D.4bc48ce355acd4732f33a79e29728e96

E.e3e545c80a7273b7b0d7c73dacdd7227

导出

24在该Windows系统中,用户Gary还曾经收到一封来自邮箱帐号 eric_wang99@outlook.com的邮件,附加有三张与Apple iCloud相关的相片,下列哪个为该封邮件的发送日期和时间?

A.2017-09-25 17:07:15

B.2017-10-17 14:35:45

C.2017-10-17 18:24:02

D.2017-10-18 18:30:45

E.2017-10-18 19:38:05

25.Gary经常使用笔记本电脑浏览互联网,他的笔记本电脑上曾经连接过多少WIFI热点?

A.1

B.2

C.3

D.4

E.5

 无线上网里面看到四种

26上述电脑曾经连接过星巴克WIFI热点,下列哪项是其全局唯一识别元(Globally Unique Identifier, GUID)?

A.{8039D237-A346-4BA1-9B78-5752580ED7F0}

B.{39489FA0-DE35-4989-8730-E2E2ED15E85A}

C.{558B94DF-8D68-4779-AA25-65FBDAB4C2B9}

D.{4EFCDA7E-CE51-4EC2-8980-8629647C9968}

E.{AF0778E8-6C4F-41C6-84B2-CB14490CF29E}

这是网卡guid

要在密钥里面找

27有关Gary的笔记本电脑,下列哪项是其最后分派得到的IP地址?

A.192.168.0.1

B.192.168.10.4

C.192.168.20.6

D.192.168.30.3

E.192.168.40.5

28Eric曾发邮件给Gary,内容是关于如何在暗网(Dark Web)中浏览枪械的信息,以下哪个URL是由Eric提供的?

A.http://hhnovpxmqrw5xaqg.onion

B.http://gunsjmzh2btr7lpy.onion

C.http://gunsdtk58tolcrre.onion

D.http://armoryohajjhou6m.onion

E.http://armory45jijdf7d.onion

29Eric 售卖iCloud 网站给Gary的价钱是多少?

A.$500

B.$800

C.$1000

D.$1400

E.$1500

30 Gary经常将非法文件存储到该笔记本电脑的加密分区中,下列哪一个为该加密软件?

A. TrueCrypt

B. VeraCrypt

C. Bitlocker

D.LUKS

E.PGP WDE

31在加密磁区内有三张与Apple iCloud有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)?

A.c9fbfaf3c45492c40feb83a83217f146

B.14903a7bd9d709b653f9afe8e3e51cdd

C.7cb0f29812317db645edbcd6cf46e1ba

D.5503d096bdf832460c8f51da62fbbb5d

E.9918465b62171ba2c0a95595db629bf3

32在加密磁区内有三张与暗网(Dark Web)有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)?

A.2836d35fb45c591211d5b6865c4a82f5

B.d2b14799050b6c4ad6b07cd1227b91a5

C.9110c96baa70c00acd8fbdfe2dc7c397

D.703899985d881e2d103eb4fd1306be2e

E.4c57a45b8da5ea01e5eb7d875f94a7b8

33     Gary的计算机系统时区是什么?? A
A.     中国标准时间
B.     日本标准时间
C.     泰国标准时间
D.     新加坡标准时间
E.     伦敦标准时间

34在上述加密磁区内,存有一个名为”2017-10-27”的文件夹,内有三张枪械的图片,该三张图片是来自哪个网站?

A.http://gunsdtk58tolcrre.onion

B.http://gunsjmzh2btr7lpy.onion

C.thegunstorelasvegas.com

D.cabelas.com

E.hyattgunstore.com

这个和之前的一样了

35Gary的笔记本电脑曾经下载过多少张有关恐怖组织的图片?

A.1

B.2

C.3

D.4

E.5

下载记录里面看到这两张

36根据Gary与Eric邮件的内容,Eric曾经提供Gary一个私有云盘,下列哪项是该邮件提供的资料?

A.动物图

B.枪的结构图

C.博彩图

D.博彩文件

E.恐怖主义图

37下列哪项是上述私有云盘的网址?

A.http://mantech.mooo.cn

B.http://mantech.mooo.com

C.http://mooo.com

D.http://mantech.com

E.http://23.54.45.113

38下列哪项是上述私有云盘网址的连接端口?

A.TCP 80

B.TCP 8080

C.UDP 80

D.TCP 8000

E.TCP 443

同上

39下列哪项是Gary第一次浏览该私有云盘网址时,所使用的浏览器?

A.Microsoft Explorer

B.Google Chrome

C.Mozilla Firefox

D.Opera

E.QQ 浏览器

直接搜索这个网址 找到记录

40下列哪项是Gary第一次浏览该私有云盘网址的日期和时间?

A.2017-10-29 12:42:09

B.2017-10-30 12:42:09

C.2017-10-31 12:42:09

D.2017-10-30 10:42:09

E.2017-10-30 11:42:09

41在上述加密磁区内,存有一个名为”2017-10-30”的文件夹,里面有三张与枪械结构有关的图片,该三张图片是从哪个方法/软件下载?

A.邮件

B.Firefox

C.Chrome

D.USB thumb drive

E.ftp

直接搜

42、Gary的笔记本电脑,曾经下载过一个感染了电脑病毒的文件,名为invoice.zip。该病毒程序文件是什么时候下载?

A.2017-10-31 12:26:20

B.2017-10-31 12:50:34

C.2017-10-31 12:29:55

D.2017-10-31 10:52:10

E.2017-10-31 12:18:54

43.Gary的笔记本电脑,还存有一个感染了电脑病毒的程序文件,名为User/Gary/Downloads/invoice/dist/invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?

A.2017-10-31 12:26:27

B.2017-10-31 12:50:34

C.2017-10-31 12:29:55

D.2017-10-31 10:52:10

E.2017-10-31 12:18:54

44上述invoice.exe文件伪装成什么格式的软件?

A.pdf

B.jpg

C.psd

D.Docx

E.Doc

直接仿真里面看的

45上述的User/Gary/Downloads/invoice/dist/invoice.exe文件,最后执行日期/时间(Last Accessed Data/Time) 是什么?

A.2017-10-31 12:26:27

B.2017-10-31 12:50:34

C.2017-10-31 12:29:55

D.2017-10-31 10:52:10

E.2017-10-31 12:18:54

46事实上,Gary的笔记本电脑被电脑病毒感染了,部份文件被加密,当中包括下列哪种文件类型?

a.exe

b.gif

c.jpg

d.psd

e.Docx

f.Doc

A.只有(a) & (b)

B.(a), (b), (d) & (f)

C.(b), (c), (d) & (f)

D.(b), (c), (e) & (f)

E.以上皆是

直接搜索可以发现doc docx jpg文件都被加密了

47上述User/Gary/Downloads/invoice/dist/invoice.exe文件共执行多少?

A.1

B.2

C.3

D.4

E.5

48上述User/Gary/Downloads/invoice/dist/invoice.exe文件是由什么程序编写?

A.LISP

B.C++

C.Visual Basic

D.Python

E.Java

看到zip文件中有很多pyd文件

 

49上述User/Gary/Downloads/invoice/dist/invoice.exe文件,执行时会呼叫下列哪个动态连结函式库(Dynamic Linked Library)

A.KERNEL32.DLL

B.USER32.DLL

C.SHELL32.DLL

D.NTDLL.DLL

E.SYSTEM32.DLL

exe文件反编译 直接搜索的

50、Gary的笔记本电脑,还存有另一感染了电脑病毒的程序文件,名为\tmp\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?

A.2017-10-31 12:26:27

B.2017-10-31 12:50:34

C.2017-10-31 12:29:55

D.2017-10-31 10:52:10

E.2017-10-31 12:18:54

注意是第一个文件 根据路径

 

51上述两个文件\User\Gary\Downloads\invoice\dist\invoice.exe和 \tmp\invoice.exe是什么关系?

A.前者是后者的复本

B.后者是前者的复本

C.两者MD5不相同

D.两者元数据(Metadata)相同

E.两者无关系

这应该没什么好说的 /tmp是临时文件夹

52根据勒索讯息的显示,勒索网址是什么?

A.http://223.17.250.208:6000/C&C/

B.http://223.17.250.208/C&C/

C.http://223.17.250.208:6060/C&C/

D.http://223.17.250.208:80/C&C/

E.http://223.17.250.208:8080/C&C/

53根据勒索讯息的显示,勒索金额是多少钱?

A.$1,000

B.$10,000

C.$20,000

D.$50,000

E.$100,000

在桌面上找到

54、根据勒索讯息的显示,下列哪个是与勒索案件有关的比特币钱包?

A.1KcjhpkowGWh5QYgPx5hYGuzbZpewgBszh

B.1KcjhpknwGWh5QYgPx5hYGuzbZpewgBszh

C.1KcjhpknwGWh5QYgPx5hYGuzbZpewgBzzh

D.1KcjhpknwGWh5QYgPx6hYGuzbZpewgBszh

E.1KcjhpknwGWh6QYgPx5hYGuzbZpewgBszh、

同上

55、执法机关曾在现场对Gary的电脑进行电子法证检验,期间曾撷取与勒索软件相关的屏幕影像,并储存为png格式。下列哪项是其储存位置?

A.Users彼得Downloads

B.Users彼得Desktop

C.UsersGaryDownloads

D.UsersGaryDesktop

E.UsersGaryDocuments

同上

木…
关注
  • 7
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
美亚全国2018第四届电子数据取证竞赛-个人赛
05-02
美亚全国2018第四届电子数据取证竞赛-个人赛
2019美亚writeup
03-26
2019美亚writeup
2017年第三届美亚电子取证-个人赛WP
m0_64444909的博客
09-11 1883
取证
2019美亚个人赛
m_de_g的博客
11-12 4776
2019美亚个人赛 © 版权声明 中国电子数据取证大赛(含之前用过的大赛名称)相关检材和试题等内容,其版权归属于本赛事组委会,使用者在使用或变相使用时,必须声明版权 拥有者是中国电子数据取证大赛组委会,一切未声明使用或变相使用的行为,组委会将保留司法追诉的权利,特此声明! 创作者:香港警务处和香港大学 版权拥有者:中国电子数据取证大赛组委会 © 版权声明 中国电子数据取证大赛(含之前用过的大赛名称)相关检材和试题等内容,其版权归属于本赛事组委会,使用者在使用或变相使用时,必须声明版权 拥有者是中国电子数据
2022美亚--Individual
muxin2068的博客
03-30 3884
个人赛与团队赛下载文件个人赛加密容器解密密钥:CZDGm#&2_Ns$7wSMn%ZGr7xntcHS7d5uFta#Up9544jx_cvP$uFM7?于2022年10月,有市民因接获伪冒快递公司的电邮,不慎地于匪徒架设的假网站提供了个人信用咭资料导致经济损失。警方追查下发现当中一名受骗市民男子李大輝 (TaiFai) 的信用卡曾经被匪徒在区内的商舖购物。后来警方根据IP地址,锁定及拘捕了一名男子林浚熙 (阿熙 ChunHei),并于他的居所发现了一批相信曾被用作犯案的电脑及手机装置。
2022美亚电子数据取证大赛-个人赛
weixin_44770698的博客
11-14 5026
2022年美亚电子数据取证大赛-个人赛题目、检材+团体赛检材
美亚第一届-个人赛
qq_43717836的博客
06-18 950
电子数据取证初学者,做做美亚的题
2022美亚个人赛题目复盘
2201_75327657的博客
08-15 763
填空题] 林浚熙手机里有一个备忘录(Notes)被上了锁,这个备忘录的名称是什么?只有最后一行的1665497067是介于中间的,转换成时间戳是2022-10-11 22:04:27。com.apple.sharingd显示是airdrop传送,使用的是蓝牙和wifi。2022-10-11 22:04:00转换成时间戳是1665497040。2022-10-11 22:05:00转换成时间戳是1665497100。没找到时间最后去查发现是是时间戳需要转换。29.A(为什么答案是D我仿真的是A)
2020年美亚电子数据取证大赛-个人赛
weixin_44770698的博客
11-04 9461
2020美亚电子数据取证大赛-个人赛(刷题)
2018美亚个人赛刷题
7ruth0hn的博客
08-11 5472
文章目录写在前面题目1.E2.C3.B -D-4.C -E-5.C6. D7.D8. A9.A10.C11.E12.D13.D14.A15.D16.E17.D18.A19. B20.C21.E22.D23.A24.C25.C26.D27.D28.C29.D30.D31.C32.E33.D34.B -C-35. -E-36.A37.A38.D39.D -C-40.B41.C42.E -D-43.C44.B45.A46.C47.E48.B49.D50.CPS 写在前面 这是美亚2018个人赛的个人
2017年第三届 美亚电子取证 个人赛题解
algae
04-24 8025
CPPU名侦社2020寒假作业,记录一下自己做的过程。 在这个案例里嫌疑人反侦察意识较弱,题目也不难,很适合大家做(做法不唯一,仅供参考)。 做完这些题目不需要太深的计算机知识,但是取证大师肯定是用得更加熟练了。 以后取证比赛的题目考察的内容会越来越深的,所以还是要好好学习各种基础知识和相关软件设备的使用~ —————————————————————————————— 案件背景: Gar...
20190123-东北证券-美亚柏科-300188.SZ-电子取证+大数据业务,双轮驱动高增长.pdf
09-15
20190123-东北证券-美亚柏科-300188.SZ-电子取证+大数据业务,双轮驱动高增长.pdf
20210719-德邦证券-美亚光电-002690-疫情消退CBCT恢复快速增长,新品拓展值得期待.pdf
07-20
20210719-德邦证券-美亚光电-002690-疫情消退CBCT恢复快速增长,新品拓展值得期待.pdf
17第三届美亚个人赛题WP 新手
07-27
17第三届美亚个人赛题WP 新手
FME学习之旅---day27
最新发布
summer_corner的博客
05-17 191
我们付出一些成本,时间的或者其他,最终总能收获一些什么。
使用多实例学习进行乳腺癌组织病理学图像分类和定位
qq_47896523的博客
05-16 1086
乳腺癌是女性最主要的死亡原因,病理学家根据病理切片中观察到的各种视觉特征(例如细胞核的形态特征、细胞核的微观和宏观结构等)做出决定。计算机辅助诊断(CAD)系统可以帮助病理学家自动做出决策。卷积神经网络是最广泛使用的深度学习框架,用于学习图像类别之间的复杂判别特征。多年来,VGG16 [3] 和 ResNet18 [4] 等各种 CNN 架构在海量 ImageNet 数据集上产生了出色的结果。CNN 被用于医学图像以产生最先进的结果。为图像中存在的所有类别提供了定位信息。
Page对象的学习
2301_77523055的博客
05-14 1002
ASP.NET允许开发者创建自定义控件和用户控件来扩展页面的功能。自定义控件是从现有的ASP.NET控件派生出来的新控件,而用户控件则是将多个控件组合成一个可重用的单元。这些控件可以像其他ASP.NET控件一样在页面上使用,并通过Page对象进行交互。Page_Init主要用于在控件加载之前进行初始化设置和添加事件处理程序。Page_Load主要用于处理页面回发和加载数据,以及执行其他需要在页面加载时完成的逻辑。由于Page_Init在Page_Load之前触发,因此在Page_Init。
学习kong官方文档
好好学习日记
05-17 270
当然,我会用更简洁的方式重新解释这两个概念:Helm和Kubectl是Kubernetes生态系统中常用的两个工具,它们各自有不同的用途:
2018年美亚wp
12-23
2018年美亚wp(世界预选赛)是一场激动人心的比赛。在这次比赛中,来自美洲和亚洲的国家队齐聚一堂,争夺着参加世界的资格。比赛分为几个阶段,包括小组赛、淘汰赛和最终决赛。在小组赛阶段,各个国家队都...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值