19美亚团队赛(完整),第一次做团队赛(火眼和美亚)

 还是先对镜像里的东西,大致翻一翻

1.在黑客路由器里,有一台设备的MAC地址为00:11:6B:47:4D:55,请问它的IP地址是什么?

 192.168.0.102

去看Hacker_Router_Logs

2.在黑客路由器里,发现一设备的IP地址为192.168.0.103,请问该设备为如下哪一个:

exploitU 

然后和这个对比一下

3.警方已经查证所有连接此router的设备都归黑客所有,根據黑客路由器的訊息,下列哪组(设备---ip)是错误的:

A:Network Attached Storage 2000 --- 192.168.0.102

B:Galaxy J7 --- 192.168.0.104

C:Galaxy A8 --- 192.168.0.104

D:exploitU --- 192.168.0.103

E:MACs-MacBook-Air --- 192.168.0.100

这个就根据名字,然后获得mac地址,然后通过mac地址获得ip

还有个简单的办法,就是C选项,没有这个设备名称

4.Hacker现场检获的Windows主机硬盘已成功取证并制作成镜像Win1.E01,下列哪个是其硬盘证据文件的MD5哈希值。
A:3e57817ea6263bc2c696a3455cc96381

B:d9a0b52f5ac3951ec4056449c31d886a

C:ed43de631a56dd2c8bac4abbd3882c86

D:dd32beac5ef2cd1cac06bdd8b5e88cbc4eb94de9

E:48a45c39da458f3cadd92017e0247454dc8bff66

要算好久,我都怕我算不完


5.MD5hash算法会产生一个什么大小的值。

6.对于一个E01镜像证据文件,要想成功通过校验过程,以下哪个是正确的
A:MD5 hash值 以及 SHA1 hash值 校验通过

B:MD5 hash值 或者 SHA1 hash值 校验通过

C:只需要CRC值校验通过

D:CRC值 以及 MD5(或SHA1) hash值 校验通过

E:CRC值 或者 MD5(或SHA1) hash值 校验通过

当然多验证几次更靠谱一点。


 7.对于镜像Win1.E01,操作系统(OperatingSystem)是什么?

Windows 10 Pro

8.对于镜像Win1.E01,一个簇(Cluster)包含多少个扇区(Sector)? 

8

关于磁盘的,可以用DiskGenius

仿真,把这个软件放进虚拟机里,

总扇区数是169646337,总簇数是21205792

除一下就是8

有其他人的博客说,看16进制文件

 9.对于镜像Win1.E01,包含操作系统的分区中,共有多少个扇区(sector)? 

169646337

10.对于镜像Win1.E01,硬盘上有多少扇区(sector)被主引导记录(MasterBootRecord)所保留?

63

 MBR扇区位于物理磁盘的第一个扇区

11.对于镜像Win1.E01,文件被删到回收站(RecycleBin)的时间可在以下哪个文件的元数据(metadata)中找到?
A INFO2 文件 

B $I文件 

C $R文件

D 回收站目录项(Recycle Bin directory entry)

E LNK 文件 

火眼里面找一个回收站的记录,然后跳转到源文件

 

所以是$I文件,lnk是文件格式,是快捷方式的文件格式 

12.对于镜像Win1.E01,系统的最后关机(lastshutdown)时间是多少?
A. 2019-10-23 07:43:53 UTC

B. 2019-11-01 09:35:46 UTC

C. 2019-10-20 11:23:32 UTC

D. 2019-10-21 10:13:28 UTC

E. 2019-10-22 08:03:16 UTC

注意一下时间,题目里是utc,要把看到的减去八小时

13.当一个文件A被打开,一个带有文件A名字的快捷方式文件(linkfile)会在以下哪个文件夹生成?

A:Shortcut

B:History

C:Temp

D:Recent

E:Desktop

直接一个个搜过去 

14.Win3.E01镜像档案的建立日期是?

A:2019-10-31

B:2019-11-01

C:2019-11-02

D:2019-11-03

E:2019-11-04

镜像里面有个txt文件,

打开之后,里面有镜像生成的时间,好像还看到了镜像的哈希值

15.在Win3.E01镜像文件内有多少个硬盘分区?

注意换了一个镜像了,我刚开始就看错了

 看文件系统里面,有七个

16.对于Win3.E01镜像,其操作系统的安装日期是?

2019-10-15 13:53:23

17.对于Win3.E01镜像,其操作系统共有多少个可登录用户?

1

只有Administrator登录过

18.对于Win3.E01镜像,系统的时区设定是什么?

China Standard Time

我刚开始会写UTC+8,但后面看了他们的博客,就在分析里直接看

 China Standard Time

19.对于Win3.E01镜像,其主机名是

DESKTOP-1JMUE2M

20.对于Win3.E01镜像,其操作系统是

A.   Windows xp

B. Windows 7

C. Windows 8

D. Windows 10

E. Windows Vista

21.对于Win3.E01镜像,其可登录的用户名是

Administrator

和之前的那题一样,只有Administrator有登录次数

22.对于Win3.E01镜像,其曾使用过以下哪个IP地址

A. 192.168.0.101

B. 192.168.1.101

C. 192.168.0.104  

D. 192.168.1.104

这题我不是很清楚问的是这个镜像曾经的IP地址还是浏览过哪个IP

我爆搜就可以搜到A

23.对于Win3.E01镜像,以下哪个USB存储设备曾经连接过Win3这台主机
A:SMI USB DISK USB Device

B:Kingston DataTraveler 3.0 USB Device

C:General UDisk USB Device

D:选项 A,B

E:选项 A,B,C

24.对于Win3.E01镜像,以下哪些程序被设定为开机启动项
A:"C:\Program Files\Realtek\Audio\HDA\RtDCpl64.exe"

B:"C:\Users\Administrator\AppData\Local\Microsoft\OneDrive\OneDrive.exe"

C:"F:\BaiduNetdisk\BaiduNetdisk.exe"

D:"F:\BaiduNetdisk\YunDetectService.exe"

E:以上全部选项

25.对于Win3.E01镜像,曾经有个文件在A盘下,A:\NewTextDocument.txt,请问这个文件的创建时间(UTC)
A:2019-10-26 07:47:02 AM

B:2019-10-27 07:47:02 AM

C:2019-10-28 07:47:02 AM

D:2019-10-29 07:47:02 AM

E:以上都不是

注意时区转换

26.对于Win3.E01镜像,曾经在D盘下有这样一个文件,D:\BaiduNetdiskDownload\dataencrypt.txt,请问这个文件的创建时间(inUTC)
A:2019-10-29 09:30:00 AM

B:2019-10-30 09:30:00 AM

C:2019-10-31 09:30:00 AM

D:2019-11-01 09:30:00 AM

E:以上都不是;

注意时区转换

27.在黑客的网络中有一个网络附加存储(NAS),对于Win3.E01镜像,请问在Win3的记录中,以下哪一个选项最有可能是NAS的IP,以及绑定的盘符?
A:192.168.0.102 - Z:

B:192.168.0.102 - Y:

C:192.168.0.105 - Z:

D:192.168.0.105 - Y:

E:以上都不是;

直接仿真看

28.对于Win3.E01镜像,在其回收站中,有一个文件agent1.7z,请问在删除之前它原本的路径是?
A:C:\Users\Administrator\Desktop\agent\agent1.7z

B:C:\Users\Administrator\Desktop\agent1.7z

C:C:\Users\Administrator\Downloads\agent1.7z

D:C:\Users\Administrator\Documents\agent1.7

E:以上都不是;

29.对于Win3.E01镜像,在其桌面上,有一个文件夹"macrodocs",在这个文件夹中哪些文件存在恶意宏(Macro)
1.    Do Not Open.docm
2.    N_Data.xlsm
3.    Sol-1120.xlsm
4.    Sol-BBA.xlsm
5.    Today Is A Good Day.docm
6.    exploit_1.docm
7.    phishing.docm
8.    申请信息(Application Information).docm

A:1,4,7

B:1,6,7

C:3,7,8

D:4,7,8

E:6,7,8

把这个文件夹导出电脑就会自动识别出哪些是
30.接上题,根据对上述恶意文件phishing.docm的宏(Macro)分析,下列哪一个是其想要连接的ip地址?

 用微步云沙箱分析一下

31.接上题,根据对上述恶意文件phishing.docm的宏(Macro)分析,下列哪一个是其想要连接IP的端口号?

这个找不到

32.对于Win3.E01镜像,其系统中曾有如下文件,C:\Users\Administrator\Desktop\NextStep.txt,但此文件已经被删除,你是否可以找出此文件的删除时间
A. 2019-11-01 18:47:13 (UTC)

B. 2019-11-01 13:27:13 (UTC)

C. 2019-10-31 11:37:43 (UTC)

D. 2019-10-30 18:47:13 (UTC)

E. 以上都不是 

最后的修改时间,时区转换之后和B选项差不多

33.接上题,请问文件C:\Users\Administrator\Desktop\NextStep.txt,是怎样被删除的?
A. Windows Delete (press delete button)

B. Shift + Delete

C. Eraser.exe

D. CCleaner

E. 以上都不是

看时间轴,哪个软件在删除的那个时间运行

34.接上题,请尝试恢复文件C:\Users\Administrator\Desktop\NextStep.txt,阅读文件内容,请问下列内容的正确顺序是1. Data Steal 2. test DoS attack 3. phishing email 4. Kali debug
A. 1,2,3,4

B. 4,3,2,1

C. 4,1,2,3

D. 4,3,1,2

E. 以上都不是 

打开这个文件

35.对于Win3.E01镜像,administrator的最早登陆时间是?
A. 2019-10-15 04:54:56 AM (UTC)

B. 2019-10-15 05:54:56 AM (UTC)                                                                        

C. 2019-10-15 06:54:56 AM (UTC)

D. 2019-10-15 07:54:56 AM (UTC)

E. 2019-10-15 08:54:56 AM (UTC)


 

36.对于Win3.E1镜像,以下哪些文件曾出现在盘符A:下
1. A:\New Text Document (2).txt

2. A:\New Text Document.txt

3. A:\Personal Information.xlsx

4. A:\key.txt

5. A:\keyList.txt

A. 1,2,3

B. 1,3,5

C. 2,3,4

D. 2,3,5

E. 全部


去看下文件访问记录

37.对于Win3.E01镜像,Eraser6.2.0.2986.exe是何时被下载的
 A. 2019-11-01 01:25:16 PM (UTC)

B. 2019-10-31 01:25:16 PM (UTC)

C. 2019-10-30 01:25:16 PM (UTC)

D. 2019-10-29 01:25:16 PM (UTC)

E. 2019-10-28 01:25:16 PM (UTC) 

注意时区的转换,而且选项里是下午

38.接上题,Eraser6.2.0.2986.exe是从哪一个网站上下载的

A. pcword.com

B. secure-eraser.com

C. cnet.com

D. eraser.heidi.ie

E. sourceforge.net

39.对于Win3.E01而言,日志文件中哪些是该电脑使用过的打印(虚拟)设备?
1. Samsung CLP-775 Series PCL

2. Microsoft Print to PDF

3. http://192.168.0.106的 HP LaserJet Pro FDN

4. OneNote

A. 1, 2

B. 1, 3

C. 2, 4

D. 1, 2, 3

E. 1, 2, 3, 4

一个个搜过去,或者可以仿真之后,在有哪些打印设备,如果在此电脑里面没的话,就打开设置,看设备连接

也可以在设备信息里面看

40.对于Win3.E01镜像,该糸统是否有卷影副本(VolumeShadowCopy)?如果有卷影副本,请查看初始的卷快照(VolumeShadowCopy)记录,请问丢失的文件acres.dll.mui的最后访问时间(最后访问时间)?(UTC+8)
A. 该糸统没有卷影副本

B. 2019-03-19 18:39:04

C. 2019-10-30 11:40:41

D. 2019-10-31 22:00:50

E. 没有显示最后访问时间   

注意一下搜的话,是acres 不是Acres

41.分析两台Windows镜像,请找出比特币钱包的备份,它的MD5哈希是

BCF83E3A6A2AECDE08010F54018C4C89

  这里记一下,比特币的钱包是wallet.dat   直接搜

42.接上题,请解析此比特币钱包的备份,请问以下哪个不是此钱包的P2SH地址
A. 3HeQp9c74rqN6ymzGwr9JB7z8CPaX2458w

B. 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy

C. 3CevVaAjLPedZo9Uujr8kJj35gbRzM1zgC

D. 37Xb6GhDrKWqwn2nY5gFpRFjVXAAe27147

E. 以上都不是 

打开之后,把每一个选项搜一下, A和D可以搜到,B和C没有,很奇怪

43 检材镜像“Linux.E01”的SHA1 值是多少

A. 4C286E182BC4D1832A8739B18C19ECAF9262C37A

B. 01464E1616E3FDD5C60C0CC5516C1D1454CC4185

C. 5E204BA351B2E558B0FAD92E14EC5E3C56322F62

D. 9ACFCC1B74862B442DA377D712E8271516C3E5B1

E. 97405075A7A9E139FF748F3BCE1AC0B7C4029C04 

可以看镜像文件里的,也可以自己算一次,但要算挺久

44对于Linux.E01镜像,其文件系统是什么
A. NTFS 

B. EXT4 

C. SWAP

D. XFS

E. 以上都不是 

45 对于Linux.E01镜像,在Linux中,以下哪一个命令没有被执行过

A. ./builder.py -p Windows server //147.8.177.24:8080 -o agent.exe

B. ./ares.py runserver -h 0.0.0.0 -p 8080 --threaded

C. git clone https //github.com/Arno0x/WSC2.git

D. slowhttptest -c 500 -H -g -o ./out -i 10 -r 200 -t GET -u www.gov.hk:8080/ onlinebanking/WebContent/index.html -x 24 -p 2

E. vim Desktop/macro_script_public.txt 

在历史命令里面看,找一找,E没有

46 对于Linux.E01镜像,该服务器中运行了 docker 应用, docker 镜像 d7a9eb4b82cb909c3836a6d36acde1f3f21fcf13a93254ef6c8a3107d2bc5f61创建时间是?

A. 2019-10-16T02:41:36.817783651Z

B. 2019-10-17T02:41:36.817783651Z

C. 2019-10-18T02:41:36.817783651Z

D. 2019-10-19T02:41:36.817783651Z

E. 以上都不是 

 注意一下时间格式

47 接上题,docker 的 版本是

A. 16.05.2-ce

B. 17.03.8-ce

C. 18.01.2-ce

D. 18.06.1-ce

E. 19.03.3-ce 

先仿真一下,用户root,密码我随便输了一个123456,好像就对了

但这个答案选项里没有,很奇怪 

但是如果上一题,用systemctl start docker打开docker之后,然后docker images查看镜像,docker inspect d7 查看镜像详细信息,然后就可以看到版本

48 接上题,docker 容器 64b97169b10e2fb268498fb16db93fd89bdb72abe99902739d760979d0c03888 的创建时间是

A. 2019-10-26T09:12:05.451029831Z

B. 2019-10-27T09:12:05.451029831Z

C. 2019-10-28T09:12:05.451029831Z

D. 2019-10-29T09:12:05.451029831Z

E. 以上都不是

查看所有docker容器:docker ps –a

查看具体容器信息 docker inspect 64b

或者用火眼看 

注意时区的转换 

49 对于Linux.E01镜像,在此Linux中,关于用户账户,以下哪一项是正确的

A. root:x:0:0:root:/root:/bin/bash

B. daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin

C. bin:x:2:2:bin:/bin:/usr/sbin/nologin

D. sys:x:3:3:sys:/dev:/usr/sbin/nologin

E. ABCD 

去用户列表里面看,每一次都是对的

也可以输入cat /etc/group 


50. 对于Linux.E01镜像,以下哪个文件保存了用户登陆历史记录

找一条登录记录然后跳转到源文件就好了

51 对于Linux.E01镜像,分析用户登陆记录,以下哪个时间曾是root用户第一次登陆时间

A. 2019-10-15 10:29:53 (UTC+8)

B. 2019-10-15 12:39:53 (UTC+8)

C. 2019-10-15 22:49:53 (UTC+8)

D. 2019-10-16 02:59:53 (UTC+8)

E. 2019-10-16 22:49:53 (UTC+8) 

如果看火眼的话,在登录日志里面,但最早的一次登录记录的时间没有,往前找一个就是C

52 对于Linux.E01镜像,下列哪些网页曾在 Firefox 浏览器上浏览过

A. ates (Artem Teslenko) · GitHub

B. C&C远控工具:Ares - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体, 4hou.com

C. 捷匯:轉換 XBT/HKD. 至 香港 元

D. Articles by Keith Shaw | Network World

E. 选项A,B,C,D

火眼没有浏览记录,仿真之后看历史记录

53 对于Linux.E01镜像,以下命令曾在何时执行过 apt-get install monodevelop mono-gmcs mono-mcs liblog4net-cil-dev

A. Oct 26 15:00:25

B. Oct 26 16:00:54

C. Oct 26 16:22:35

D. 选项A,B

E. 选项B,C 

这个在火眼的历史命令里面是找不到的

 在仿真用命令history,也没有

看了别人的思路,有可能是bocker里的命令

先用docker start 容器名  把容器跑起来,

然后

进入容器 

然后按道理就可以看到了,但我还是出问题 

54 对于Linux.E01镜像,agent.exe 是由以下哪种工具生成

A. builder.py

B. malware.py

C. test.py

D. agent.py

E. 以上全都不是  

搜一下,

55 对于MacBookAir.00001镜像,其文件系统是
A. HFS 

B. APFS 

C. HFS+

D. NTFS

E. exFAT 

换镜像

56 对于MacBookAir.00001镜像,请问这台MacBook的硬件配置是

A. Hardware: MacBookAir6,1 @ 2.30 GHz (x 4), 16384 MB RAM

B. Hardware: MacBookAir6,1 @ 2.90 GHz (x 4), 32768 MB RAM

C. Hardware: MacBookAir6,1 @ 1.40 GHz (x 4), 8192 MB RAM

D. Hardware: MacBookAir6,1 @ 1.40 GHz (x 4), 4096 MB RAM

E. 以上都不是 

试试看仿真

但好像是不对的

看了其他人的wp,看仿真的硬件信息是看不到的,看到的是自己电脑分给虚拟机的配置,苹果系统安装时会生成install.log这个文件在固定位置,在private/var/log下 

这个学到了,去看下

57 对于MacBookAir.00001镜像,其操作系统是

A. MacOS Sierra - 10.12

B. MacOS High Sierra - 10.13

C. MacOS Mojave - 10.14

D. macOS Catalina-10.15

E. 以上都不是

58 对于MacBookAir.00001镜像,其主机名是

A. Kevin-MacBook-Air

B. John-MacBook-Air

C. Hacker-MacBook-Air

D. MACs-MacBook-Air

E. 以上都不是

59 对于MacBookAir.00001镜像,其中有一个可疑文件,该文件的MD5哈希值是 53e2ba6bebc6683b52db10d7c272b036,请找出这个文件,它的文件名是

A.  idinfo.xlsx 

B. group.xlsx

C. maple.xlsx

D. wow.docx

E. 以上都不是 

这个简单,每一个都搜一下,然后算一下

60 接上题,请问下列哪个名称存在在以上文件中?

A.    conc

B. 脆麻花

C. 我不是洪卓立

D. T_karius 

E. 愛你的人 

61 对于MacBookAir.00001镜像,黑客使用此苹果电脑制作虚假图片并存放于某文件夹中 ,请问带有“生化武器”字样图片的创建时间是什么?

A. 2019-10-30 20:39 +8

B. 2019-10-31 17:36 +8

C. 2019-10-30 15:56 +8

D. 2019-10-29 11:31 +8

E. 2019-10-28 21:18 +8

好像没什么方法,就一个个看过去,

62 接上题,请问此图片的MD5哈希值是什么?

A. 6a204bd89f3c8348afd5c77c717a097a

B. 4ff3eb6bb1e8cdc226e376f48651a6b5

C. 376892edba1e485aa91bfb1a5927634b

D. 7c185b4d6383ee211e3925bae9fa176a

E. 以上都不是 

63 接上题,在这些虚假图片中,有一张图片的修改时间明显被人为修改过,请问此图片 的MD5哈希值是什么?

A. 65e6747234d63c397581196cfdebd732

B. f890421a3956441e5b511088a0900d8a

C. f7ca2bf91a071d66bbfd9f3fd2e3854b

D. 5cfcbfa9be9dc9677efc6eb970b321e1

E. 以上都不是

这张

修改时间很不一样

64 对于MacBookAir.00001镜像,在Chrome 浏览器中, 以下哪些词条被搜索过?

1. youtube mac 2. craking passwd 3. steam mac download 4. people pics download

A. 2, 3

B. 1, 3

C. 1, 4

D. 1, 2, 3 

E. 全部 

一个个找,全都有

65 对于MacBookAir.00001镜像,以下哪一个网页没有被访问过

A. 香港高登討論區

B. GitHub - jaxBCD/Zeebsploit: web scanner - exploitation - information gathering

C. 郭富城54歲生日 囡囡普通話唱生日歌 - 香港高登討論區

D. Buy MacBook Pro - Apple (HK)

E. 全部  

每一个都搜一下

66 对于MacBookAir.00001镜像,浏览器历史记录显示有一个Gmail账户曾登陆过,请问 是以下哪一个账户

A. kevinanonymous0101@gmail.com

B. kevingmaillll@gmail.com

C. kevinsgmail0101@gmail.com

D. kevin0101gmail@gmail.com

E. 以上都不是

67 对于手机镜像 blk0_mmcblk0.bin,以下哪一个是正确的IMEI码?

A. 970600721715934

B. 756006703422491

C. 102605066064219

D. 336597219429604

E. 357771070518829 

换镜像

注意不要选错

手搓

68 对于手机镜像 blk0_mmcblk0.bin,以下哪一个是正确的手机序列号?

A. KVQUBRVEEQL

B. R28H61T1Q8W

C. QCBOZPJIODB

D. HEVHRCWJVUR

E. RJAQ4BGWRHW

手搓

 打开之后,把选项一个个带进去搜

69 对于手机镜像 blk0_mmcblk0.bin,此Android手机的OS版本是多少?

A. 6.0.1

B. 6.2.7

C. 7.1.2

D. 8.0.1

E. 8.1.6 2

70 对于手机镜像 blk0_mmcblk0.bin,此Android手机曾连接过一个叫“TP-Link_C984”的无线 网络,请问这个无线网络的连接密码是多少?

A. 63887316

B. 58096116

C. 96635594

D. 54541672

E. 74072191

71 对于手机镜像 blk0_mmcblk0.bin,Hacker的Gmail账户是多少?

A. Kevinanonymous1001@gmail.com

B. Kevinanonymous1010@gmail.com

C. Kevinanonymous0101@gmail.com

D. Kevinanonymous1100@gmail.com

E. Kevinanonymous0011@gmail.com  

72 对于手机镜像 blk0_mmcblk0.bin,Hacker曾用Chrome浏览器google搜索过一些信息,以 下哪一个不是搜索的关键词?

A. nmap 

B. wireshark 

C. nmap tutorial

D. hackcode

E. nmap for android

这里找 

73 对于手机镜像 blk0_mmcblk0.bin,2019-10-31 12:04:58 PM(UTC+0)黑客曾用Gmail账号向 一个受害人发送过钓鱼邮件,请问受害人的邮件是什么?

A. johnwick1101@gmail.com

B. tommywu95123@gmail.com

C. tianlun23@hotmail.com

D. 415988369@qq.com

E. wendy88123@163.com 

74 接上题,请问此钓鱼邮件的附件名字是什么?

A.  virusclean.zip

B. virusclean.exe

C. antivirus.rar 

D. antivirus.7z 

E. antivius.zip 

 看右下角

75 对于手机镜像 blk0_mmcblk0.bin,此Android的热点(Hotspot)名字是什么?

A. AndroidAPF67F

B. Hacker Lounge

C. Kevin’s Android

D. AndroidFR23L

E. GALAXY J7

77 对于手机镜像 blk0_mmcblk0.bin,在这部安卓手机上,微信数据库文件是被加密的, 请解密数据库文件。以下哪个表存放了聊天记录

A. fmessage_conversation

B. chatroom

C. ChatroomMsgSeq

D. message

E. conversation  

先随便找一条聊天记录,转到数据库,确定是哪一个数据库

但是打不开的,在分析里面,有解密后的数据库

 

 不知道为什么我的数据库打开没有聊天记录,

我是通过有几条记录来判断的

78 接上题,在微信聊天记录中,黑客与几个联系人有交流

A. 1

B. 2

C. 3

D. 14

E. 15

两个

79 接上题,在聊天记录中,关于不容易被发现的偷数据方法,黑客提出什么建议

A. 在电脑上开一个新的用户

B. 使用加密的U盘

C. 加密偷来的数据

D. 远程登陆偷取

E. 以上都不是

80 接上题,在聊天记录中,有一条百度网盘的下载地址,是以下哪一个

A. https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY1Ww

B. https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY2Ww

C.https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY3Ww

D. https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY4Ww

E. https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY5Ww 

81 接上题,在聊天记录中你可以找到一个解压密码吗。这个解压密码的后四位是?

A. 1234

B. 2345

C. 3456

D. 4567

E. 5678

82 接上题,在聊天记录中,正确的解压密码是以下哪个时间点收到的

A. 2019-10-28 17:49:53 (+08:00)

B. 2019-10-29 17:49:53 (+08:00)

C. 2019-10-30 17:49:53 (+08:00)

D. 2019-10-31 17:49:53 (+08:00)

E. 以上都不是

83 在Win3 的镜像中有一个加密容器, 请找到并用上题正确的完整密码解密此文件,解密 方式为veracrypt。请问下列那些文件不在这个加密容器中

A. Personal Information.xlsx

B. key.txt

C. car_plate.zip

D. 选项 A,B

E. 选项 B,C  

只有一个这个

我找那个文件的时候,可能有点运气的感觉,发的是百度网盘链接,我就去win3的百度网盘下载记录里面找,把那个txt文档导出来,然后解密 

84 对于手机镜像 blk0_mmcblk0.bin,分析微信数据库,请问阿龚的微信ID是什么

A. wxid_9y8cs5hdin2i12

B. wxid_hgbjt16pm1pd12

C. wxid_9sdfas5hdin293

D. wxid_4m9cs5adnn2i98

E. wxid_4367s5hdin2i12 

85 接上题,请问阿龚收到的比特币地址是什么

A. 3HeQp9c74rqN6ymzGwr9JB7z8CPaX2458w

B. 1BvBMSEYstWetqTFn5Au4m4GFg7xJaNVN2

C. 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy

D. bc1qar0srrr7xfkvy5l643lydnw9re59gtzzwf5mdq

E. 1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX 

 86 对于手机备份 backup.ab 的分析,此手机没有安装以下哪个程序App?

A. Hangouts

B. Microsoft Excel

C. Skype

D. WhatsApp

E. Facebook 

.ab文件火眼好像不行,手机大师好像也不行,但我最近多了一个奇安信的软件,可以分析,很强

可以用abe.jar 把.ab转化为.tar(用abe.jar   我搞这个软件搞了好久,遇到很多问题但后面是终于成功了,因为我遇到很多的问题,不能把我遇到的问题都写下来,如果有什么问题可以私信我)

但取证大师分析之后,我都一个个翻文件了,还翻了数据库,找不到答案

87 对于手机备份 backup.ab 的分析,此手机上的Gmail邮箱账户是多少?

A. Koreanlance666@gmail.com

B. Japanlance516@gmail.com

C. 0daylance233@gmail.com

D. Indonesialance920@gmail.com

E. chinalance518@gmail.com

88 对于手机备份 backup.ab 的分析,用户曾在以下哪个网站进行过关键词搜索?

A. www.baidu.com

B. www.bing.com

C. www.google.com

D. www.sougou.com

E. hao.360.com 

好像只有谷歌浏览器有搜索记录

89 接上一题,以下哪一个是搜索关键词?

A. defcon

B. money laundering

C. silk road

D. steam

E. reddit 

90 对于手机备份 backup.ab 的分析,此手机设置的时区是什么?

A. UTC+0

B. UTC+7

C. UTC-5

D. UTC+8

E. UTC+5 

91 对于HDD1.E01, HDD2.E01, HDD3.E01, HDD4.E01。它们共同组成一个独立磁盘冗余阵列 RAID System。最有可能的RAID level 是什么?

A. RAID 0

B. RAID 2

C. RAID 3

D. RAID 5

E. 以上都不是 

用ftk imager 挂载一下,这样子快一点 (不是一点点,是快很多很多)

92 接上题,此RAID阵列的strip size in sectors (扇区的条带大小)

A. 1

B. 64

C. 128

D. 256

E. 以上都不是

93 接上题,此RAID阵列的磁盘顺序

A. HDD1, HDD2, HDD3, HDD4

B. HDD3, HDD4, HDD2, HDD1

C. HDD3, HDD1, HDD4, HDD2

D. HDD1, HDD3, HDD2, HDD4

E. 以上都不是

94 接上题,就该独立磁盘冗余阵列RAID System而言,是使用了下列哪种阵列配置排列 (RAID LAYOUT)?

A. Backward Dynamic Parity (也叫 Left Synchronous) 左同步

B. Backward Delayed Parity

C. Forward Parity (也叫 Right Asynchronous) 右异步

D. Forward Dynamic Parity (也叫 Right Synchronous) 右同步

E. 以上都不是

95 接上题,重组RAID阵列后。该阵列(RAID)大小(size)是多少?

A. 512GB

B. 699GB

C. 1088GB

D. 2050GB

E. 3000GB

自动排序完之后把它跑起来,其实没跑完也可以看 

96 接上题,就该独立磁盘冗余阵列RAID System而言,其文件系统是?

A. exFAT

B. FAT

C. NTFS

D. EXT4

 E. XFS

左下角

97 接上题,其文件系统的建立日期是?

A. 2019-08-28

B. 2019-08-29

C. 2019-08-31

D. 2019-09-01

E. 2019-09-31

 把文件按照时间排序,最早的应该就是文件系统创造的时间

98 RAID 目录下有是个文件夹,其中有多个加密办公文件,找出存放密码的文件,并使用字典解密。阅读解密后的文件,请问阿龚(Gong)的生日是

A. 10/1/1999

B. 12/24/1988

C. 8/5/2000

D. 1/1/1989

E. 2/2/1990 

取证分析里面的文件分类有个birth的文件, 跳转源文件,里面有个key的文件,不是回收站里的那个

 然后用pass ware,解密

99 接上题,阅读解密后的文件,请问阿龚(Gong)的电话是

A. 52019073

B. 52848374

C. 52012009

D. 59087673

E. 以上都不是

去试一下其他的加密文件,

100 接上题,阅读解密后的文件,请问阿智 (Zhi) 的mission是

A. Bitcoin transaction

B. research on Government security vulnerability

C. Holiday

D. Stay at home with her child

E. 以上都不是 

找mission的文件

101 在黑客的RAID中发现有一个装有各种js脚本的文件夹js_shell,请问在这个文件夹中的下 列哪个脚本带有恶意功能?

A. command.js

B. agent.js

C control.js

D. server.js

E. dark.js

把脚本导出来,用Virscan这个网址扫描一下

 

102 接上题,根据上述恶意js脚本分析,其带有下列哪种恶意功能?

A. 发送文件到C&C服务器端

B. 加密勒索

C 频繁弹出广告

D. 浏览器劫持

E. 开启录音功能

用notepad++打开这个恶意脚本,然后就可以看到代码。

但我看代码的能力不行,就把代码注释翻译一下

 

 

103 接上题,根据上述恶意js脚本分析,下列哪一个是其想要连接的ip地址?

A. 192.168.0.123

B. 147.8.235.127

C 147.7.243.36

D. 147.7.208.36

E. 147.8.27.235 

我英语不好

 

 

所以应该是选导航这个的

104 接上题,根据上述恶意js脚本分析,攻击者共可以对其发出几种不同的有效指令?

A. 1

B. 2

C 3

D. 4

E. 5 

switch语句,以下case即代表不同的选择,一共四个case

 

105 接上题,根据上述恶意js脚本分析,该文件在解析攻击者指令的时候使用的编码转换方 式是?

A. GB18030

B. GBK

C QP-encoding

D. Quoted-printable

E. Base64

搜一下吧

 

106 在Hacker_PCAP文件夹中,有一个文件的MD5值为后5位为7ffb7,请问该文件的修改时间 (Modify time)为?

A. 2019-10-27

B. 2019-10-28

C. 2019-10-29

D. 2019-10-30

E. 2019-10-31 

这好像开始流量分析了

 没有,官方说此题无效

107 在Hacker_PCAP文件夹中,哪两个pcap文件包含DoS攻击?

A. Hacking, testc

B. testf, testn

C. testn, testc

D. Hacking, testf

E. Hacking, testn 

(要期末考试了,这里的流量分析的题目我还没有去学,等期末考试结束一定补完)

108 在Hacker_PCAP文件夹中,请对其中的Hacking.pcap分析,最后一个数据包的捕捉时间是 什么时候?

A. 2019-10-31 10:10:29

B. 2019-10-31 10:14:34

C. 2019-10-31 10:17:03

D. 2019-10-31 10:20:53

E. 2019-10-31 10:25:22

109 请继续分析所有PCAP文件,找出被攻击的网站域名是什么?

A. www.google.com

B. www.government.hk

C. www.gov.hk

D. www.info.gov.hk

E. www.sz.gov.cn

110 请继续分析所有PCAP文件,找出以下被攻击的网站IP是多少?

A. 172.217.161.219

B. 195.8.178.227

C. 151.101.76.133

D. 192.168.0.103

E. 202.40.221.12

111 请继续分析Hacking.pcap文件,下列哪种协议的数据包数量占比约为0.3%?

A. HTTP

B. TCP

C. ICMP

D. ARP

E. UDP 

112 请继续分析Hacking.pcap文件,它共记录了多少个数据包(Packet)?

A. 262144

B. 265391

C. 256431

D. 623963

E. 113189 

113 根据黑客手机镜像中的视频文件分析,发起攻击后多长时间服务器停止服务?

A. 70s

B. 75s

C. 80s

D. 85s

E. 90s 

114 根据黑客手机镜像中的视频文件和Hacking.pcap文件,判断黑客所使用的DoS攻击是如 下哪一种?

A. UDP

B. Teardrop attack

C. Slow HTTP attack

D. SYN Flood

E. Ping of Death 

115 在Hacking.pcap文件中,DoS攻击的数据包被Wireshark解析为如下哪种协议?

A. HTTP

B. DNS

C. ARP

D. TCP

E. TLS

116 在Hacking.pcap文件中,DoS攻击的数据包的结尾是(转义字符)?

A. \n\r

B. \t\n

C. \n\n

D. \t\r

E. \r\n 

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值