1.B. 6a574c40548110598bd4c88520d34b37d13b372066737ede3104743f986b7263
2. D
3. A.3.10.0-957.el7.x86_64
出现密码无法自动消掉,参考
https://www.cnblogs.com/github-cn/p/11258438.html
4. B.2
5. C.2099200
sda为disk硬盘 sda1 sda2是他的两个分区,在第二个分区下有lvm逻辑卷
所以去找第二个分区的逻辑区块地址
找到第二分区物理地址
但是这个内存物理地址的单位是字节(Byte),而一个逻辑区块占用512位,所以要将这个值除以512。
1074790400/512=2099200
6. D.XFS
7. C. 18,249,416,704
物理大小=扇区数x扇区大小
8. D.8091
想了半天找了docker配置文件发现没有,转念一想可能是docker容器开着的,于是docker ps看一看是否有开着的容器。
9.B.11 docker images列出所有镜像10. C.18.09.7 docker -v 查看docker版本
-v信息不完整应该用version
11. 用image info查看containers即为容器节点有十个
12.运行中的节点有3个为running
13.hhh 实数眼瞎放不下第二行也是信息选D.53766d68636f
mac tcp的帧里面
14. b.8012
15. b.ssh 16.c.39999
17. c.nginx
18.d.nginx latest
19. c.8091
20. b
21. 选b通过diff前的路径去判断22. d.16:/etc/nginx/logs/jrweb.log 进入到docker容器中:docker exec -it 16fc160060c1 /bin/bash
23.D.192.168.184.128 查看jrweb.log24. docker inspect 16fc160060c1 A. bridge 模式
25.B.转发
26. C.192.168.184.133 进入容器后查看jrweb.log发现192.168.184.133在对admin账户密码进行暴力破解
27. 乱码了 server/index.js 网站位于53这个容器中
28. C.mongodb 查看db.js29. 乱码了但仍可以看出port为27017
30. D.192.168.184.129
31.A. root
32.D. root
33.B. tougu
34.取证大师看到执行的命令
A. ~/.bash_history
检材2
35.挨个去访问 D. /var/lib/mongo/
36.C. /etc/mongod.conf
37.C. /var/log/mongodb/mongod.log
38.应该去检材1的53 docker服务器中寻找db.js中配置信息 B. users
39.A.未加密 未看见加密函数
40.B.修改用户密码 查看.dbshell文件,里面存储着mongodb的历史shell命令。41.C. tougu
42.删除库
43.grep drop mongod.log 找到2019年-07-11 18:09:37
命令last查看历史登陆记录,找到7月11日
D.18:05-18:32
44.A.18:09:37
检材3
45.历史命令看到许多关于pptpd的命令推测为pptp
B.PPTP
46.查看系统时间命令有两个 date 和timedatectl D. Asia/Dhaka47.A. /etc/ppp/options.pptpd
48.A.wtmp
49.B.192.168.184.12-192.168.184.18
50. D./var/log/
51.C. /etc/ppp/chap-secrets
52.去/var/log/pptpd.log 里查看 A. root
53.A. 192.168.184.133
54. B. vpn1
55.D. 2019-07-13_16:15:37
56.查看终端命令 B.ens33
57.D. net0713-1.cap
58…xshell等连上去将流量包下载下来分析
检材4
59.C. e6e47e210bd56c7071ce73ab5523736120071d0f3da5335936d7beb25c3914cd
60.没取出来仿真也没识别出来?损坏了吗?
61.C. 2019-07-14 10:40:02
62… 2019-07-14 11:30:05
63.A. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5
64.A. Eraser
65. D. BitLocker.rar
66.D. Foxmail.exe
67.D. 2019-07-13 16:20:01
68.A. Chrome
69.疑惑?连接生成key的时间为16:21:31应该在此之前建立连接A和D无法排除
70.搜索.tar.gz 这什么逻辑?还好只搜出来了一个 B. we.tar.gz
71.???唯一比较科学的解释是创建链接时间和修改链接的时间差吧? C.15 秒
72.C.352021062748967
73.C. 352021062748967
74.B.QQ
75.A.微信
76.A. 1649840939
77.C. chao636787
78.B. 2 此题为猜测因为微信交易了两次买了两个
79.D.D:/ 思路为备份文件里微信找到转账记录和下载网址,文件下载应该是在电脑上操作的,所以将链接复制出来在win里搜索80. C. edge
81.C. 2019-07-13 19:04:44
82.