19美亚杯个人赛，第一次做取证题目，大佬勿喷。（保姆级教程）

资格赛 - 案情介绍
1. 何源是一名 25 岁的客服人员，在一间电讯公司工作。某日，何源在用 iPhone 手机在政府建筑物
中偷拍车牌期间被警员截停，盘问期间警员检查手机相册发现多张车牌图片，何源情绪紧张，趁
警员不被，抢过手机丢入车流，被完全损毁。行为十分可疑，警方于是展开调查。审讯期间何源
承认利用自己职权的便利，登入公司储存客户数据的服务器，非法取得一些政府人员的个人资
料，例如姓名，车牌号码，电话等等，再将这些数据出售。
2. 警方检获何源个人计算机，以及何源公司计算机（由于何的公司不允许警方检取整台计算机 , 人
员只能取得内存数据档案 (memory image) 以作分析 ) 。现你被委派对何的计算机进行电子数据取
证，还原事件经过。
你会获得何源 ( YuanHe ) 计算机的硬盘镜像文件 "win2.E01" 以及何源公司计算机的内存数据档案
“memdump.mem” 。
根据这两个镜像文件的内容，请回答以下问题：
证据列表
证据路径
说明
HE_Company_Windows_RAM\memdump.mem
何源的公司计算机内存镜像
HE_Home_Windows\Win2\Win2.E01
何源的个人计算机镜像
个人赛 Individual Challenge
© 版权声明
 

我发现取证其实火眼和取证大师得结合起来用，首先这是美亚杯，所以取证大师肯定有一些题目是有优势的，但是火眼的话它自身也有一定的便捷性，所以结合起来用的话做题会更顺畅些。

1、何源的个人计算机硬盘已成功被取证并制作成镜像（Forensic Image），下列哪个是镜像的 SHA1 哈希值？
A. 6891d022c7e6fe81dc8ba2160e1ab610891596d3
B. 3e57817ea6263bc2c696a3455cc96381
C. ed43de631a56dd2c8bac4abbd3882c86
D. dd32beac5ef2cd1cac06bdd8b5e88cbc4eb94de9
E. 48a45c39da458f3cadd92017e0247454dc8bff66
        这个就直接打开文件中的文本文件就有了

2、在何源的个人计算机中，硬盘中包含哪个操作系统（Operating System）？
A.Windows 7  B.FAT32   C.Windows 10  D.Kali Linux  E.NTFS

3、何源个人计算机的文件系统(File System)是什么？

A.FAT16  B.FAT32  C.Windows 7  D.NTFS  E.Windows 10

         就是指分区类型，看c盘的文件系统就行。

4 、在何源的个人计算机中，你能找到操作系统分区的总容量吗 (单位：字节 byte)？

A. 492,083,081,216   B. 105,685,986,874   C. 386,908,999,680   D. 105,174,081,536

E. 492,594,986,554

             总容量=扇区数x512（b）

             刚开始不知道操作系统分区是哪个，查了一下其他博客发现指向的是D盘，暂且就当作D盘是操作系统分区吧。

5 、在何源的个人计算机中，操作系统分区的$Bitmap 的起始物理扇区位置(Physical Sector Number)是多少？

A. 5,683,328   B. 6,170,040   C. 7,026,176   D. 8,498,304    E. 9,168,216 

6 、在何源的个人计算机中，请问操作系统的安装日期是？ （答案格式 －“世界协调时间＂：YYYY-MM-DD HH:MM UTC）

A. 2019-10-16 04:44 UTC    B. 2019-10-17 16:25 UTC   C. 2019-10-16 10:12 UTC 

 D. 2019-10-18 02:13 UTC   E. 2019-10-18 09:14 UTC

         注意：这里检材的时区是UTC+8000，UTC需要-8h，所以需要在十二点四十四基础上减去八小时，所以答案是四点四十四。

7 、在何源的个人计算机中，每个扇区(Sector)包含多少个字节？（单位: byte）

A. 512 bytes   B. 1024 bytes  C. 2048 bytes  D. 4096 bytes  E. 8192 bytes

        常识题，每个扇区包含512b

8 、在何源的个人计算机中，操作系统的时区是哪个时区？

A. Eastern Standard Time (GMT-05:00) : US and Canada

B. Pacific Standard Time (GMT-08:00): Tijuana

C. Korea Standard Time (GMT+09:00): Seoul

D. GMT Standard Time (GMT): Dublin, Edinburgh, Lisbon, London

E. China Standard Time (GMT+08:00): Beijing, Chongqing, Hong Kong, Shanghai

9

在何源个人计算机的操作系统中，下列哪个是计算机的主机名?

A. DESKTOP-JW47K02

B. HEYuan-WIN1

C. HEYuan-WIN2

D. DESKTOP-SM22M96

E. DESKTOP-WE23K24

        我这题不知道去哪里找，所以直接采取了暴搜，一个个试过去，发现其他四个都没有信息，只有D能找到，而且在os中可以找到这一条完整的计算机名。 

10

在何源的个人计算机中，以下哪一个是用户“He Yuan”的 SID？

A. S-1-5-21-1551135561-2581751248-1803739423-1001

B. S-1-5-21-1551135561-2581751248-1803739423-1000

C. S-1-5-21-1551135561-2581751248-1803739423-500

D. S-1-5-21-1551135561-2581751248-1803739423-501

E. None

 既然是找用户的SID，那直接去用户列表找就行了。

11 在何源的个人计算机中，下列哪个 USB 移动储存装置 (U 盘)曾被分配为‘E’磁盘分区代号(Drive Letter) ?

A. Kingston DataTraveler 3.0 USB Device

B. SanDisk Transcend USB Device

C. Samsung Portable SSD USB Device

D. WD My Passport 3.0 USB Device

E. Seagate Flash Disk USB Device

        其余选项可以通过暴搜来排除，因为其他选项都没有留下任何信息。

12、在何源的个人计算机中，用户“He Yuan”曾经在挂载为“E”盘的 USB 移动储存装置中访问过一些文件/文件 夹，以下哪一个不是？

A. E:\美国恐怖故事   B. E:\New Text Document.txt    C. E:\CONFIDENTIAL.doc   

D. E:\PycharmProjects    E. A,B,C,D

 可以看出来只有C没有。

13

在何源的个人计算机中，用户“He Yuan”最近在本机上访问过一些文件，以下哪一个不是？

A. Sample Project Plan.doc    B. URGENT.doc

C. connect.py    D. 美国恐怖故事 01.mp4    E. Comprehensive-Minute-Template.doc

         直接去最近打开的文档中找，这里可以直接上面排序一下，这样的话找首字母就行，不然全部乱着找的不方便。

14

在何源的个人计算机中，以下哪一个是程序“VERACRYPT.EXE”的运行次数？

A. 1   B. 2    C. 3   D. 4   E. 6

        直接暴搜，左下角可以看到运行次数是3。

15 、在何源的个人计算机中，在程序“VERACRYPT.EXE”运行时，以下哪个 dll 文件并没有同时被加载？

A. COMDLG32.DLL         B. CRYPT32.DLL         C. SECUR32.DLL

D. CRYPTSP.DLL         E. ENCRYPT.DLL

         这种摸不着头脑的题目，直接先开始暴搜，如果暴搜根本搜不到，那么这个文件都不存在，也就不会被同时加载了。

16 、在何源的个人计算机中，用户“He Yuan”的桌面墙纸（Wall paper）背景是什么颜色？

A. 黑色         B. 灰色          C. 蓝色         D. 红色         E. 绿色 

        直接搭建虚拟机看一下就好了，就是蓝色的。

17 、在何源的个人计算机中，以下哪个文件在电脑 power off 的时候仍然拥有内存的内容? 此文件具有与电脑内存 （RAM）相似的大小并保存在根目录。

A. WIN386.SWP         B. HIBERFIL.sys         C. PAGEFILE.SYS         D. NTUSER.DAT            

E. SWAPFILE.SYS

         这道题目的思路就是先进行暴搜，可以排除掉AC两个搜不到的选项，然后再看B，发现它只有一个文件，而且内存为6.36G，题目中说这个文件跟内存差不多大，那么基本感觉其实就是B了。那当然也得看看另外两个选项的，D选项有多个文件，拓展名也不一样，而且题目中说的是“哪个”所以基本可以排除掉D，再看E选项，这个内存只有256M，所以基本上也是不可能的。综上所述，答案应该选择的是B。这道题其实直接把B文件放到百度上搜一下也是可以搜出来的，就是题目中所描述的性质（跟内存一样大之类的）。

18 、在何源的个人计算机中，以下哪个 database 文件存有此操作系统的 timeline 痕迹？

A. SRUDB.dat         B. Windows.edb         C. Spartan.edb          D. ActivitiesCache.db

E. Thumbs.db

      

        那我们直接在红眼时间线里面去暴搜，发现只有D选项有痕迹留下来。

19 、在何源的个人计算机中，曾被分配过的 ip 地址是？

A. 147.8.177.224 B. 147.10.188.23 C. 192.168.0.110 D. 10.12.9.214 E. 192.168.1.2

        暴搜yyds，只有A能搜的出来结果。

20 、在何源的个人计算机中，用户”Administrator”的 Internet Explorer 浏览器的 start page 是以下哪个？

A. http://go.microsoft.com B. https://www.bing.com C. http://www.baidu.com D.https://www.google.com E. http://hao.360.cn

        虽然我虚拟机连不上网（上网查过要调网络配置器，挑了之后还是有一些问题），但是start page的网址还是能够显示出来的，观察地址栏发现就是go.microsoft。

接下来就是手机取证部分

去学习了一下手机取证的部分，先跳转到源文件，把整个文件夹（backup）都导出来再放进软件里分析。

21 在何源的个人计算机中，你是否可以找到何源 iPhone 手机的线索。关于他的手机，以下哪条信息不正确？

A. IMEI：359461082062689         B. Serial Number：F17V1L6EHG70

C. Apple ID ：heyuan516@icloud.com         D. MSISDN: 85259114189

E. 无

        每个都比对过去就行，但是很奇怪的地方是，我用取证大师搜不到手机的备份文件 

        会出现这样的提醒，我现在还没搞懂为什么，等懂了之后再来更新。

22 、用户“He Yuan”在 WhatsApp 上与谁进行了对话？

A. Keanu Reeves         B. Michael Nyqvist         C. Peter Wang          D. John Manager

E. Michael Brown

23 在手机联系人中，Anthony Chung 的手机号是多少？
A. +85252018664        B. +85257025241        C. +85257024765        D. +8613890274976
E. +8613928749036

24、He Yuan 在 iPhone 自带的 Safari 浏览器中搜索过一些关键词，以下哪一个不是？
A.野狼 disco         B.拜佛过人 professor        C.engineer's day 1024
D.Programmer's Day no bug        E.poptown 攻略

         找一下就行。

25、用户“He Yuan”的 WeChat ID 是多少？
A.HEYUAN516        B.wxid_9y8cs5hdin2i15        C.wxid_9y8cs5hdin2i14
D.wxid_9y8cs5hdin2i13        E.wxid_9y8cs5hdin2i12

 26、在 WeChat 的多个聊天记录中，用户“He Yuan”没有聊到过哪个话题？
A.与中介谈买房        B.与老板谈洗钱        C.与黑客谈交易        D.与网贷谈借钱
E.与朋友谈炒房

        这个只能聊天记录慢慢看过去了，我觉得没啥其他方法，这个暴搜也用不上。

27、从 WeChat 中的一个聊天记录中可知，用户“He Yuan”持有多少人的数据？
A.About 500        B.About 1000        C.About 2000        D.About 3000
E.About 500

        挺前面的，找的话还是挺好找到的。

28、接上题，Hacker 最后要支付多少 Bitcoin 给 He Yuan?
A.0.002312        B.0.066666        C.0.036354        D.0.014594        E.0.012398

29、接上题，He Yuan 的 Bitcoin 收款地址是多少？
A.cI7g0tIzPuP2pxb20HQHNGOQdpmptDaCBf
B.InCeInFZmAP3PCLHLOchKTEZevQdHgQdP3
C.4qISisBY2Z8xgh9C6orRfuRzmzXKznUc5Z
D.18yZq8Dboyuvnd3R6pqG9kJkaZBki2JCoN
E.n5X7jwdPspKRgnZU6xzcEQueJanRqGdZQd

 30、接上题，He Yuan 分享给 Hacker 的百度网盘链接是多少?
A.https://pan.baidu.com/s/u8rLTgLZabfd9Va1wRjzyc9
B.https://pan.baidu.com/s/nIDo2yLop_ciNUxihF2cZi8
C.https://pan.baidu.com/s/N6RiGxMZDnswlOUKRi0IB6Q
D.https://pan.baidu.com/s/uFUc4W0zYmrGZMOxVm843GU
E.https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY3Ww

 31、接上题，He Yuan 提到的解压密码是多少？
A.bAtNyn3lHwP8xXW        B.hNfpdKcJlvpEFEa        C.decrypt123456
D.2019123456        E.HetoHacker123456

 32、接上题，He Yuan 收到了来自哪位 hacker 的转账？ hacker 的 wechat ID 是多少？
A.Kevin , wxid_ugo2wrc3fuci22
B.Scott , wxid_i1lhj24r792i22
C.Iva , wxid_7qh2jzeomtvp22
D.John , wxid_QAZbWKIgIz4jpu
E.Jack , wxid_dbEx7dtbX4zPbb

        题目很怪，连着几道都像是傻瓜题一样。

33、根据 Wechat 聊天记录，He Yuan 在 2019-10-26 号（UTC+8）晚上跟哪位朋友出去吃晚饭了？朋友的 Wechat ID是多少?
A.Iron Man , wxid_0ZYBi7dchvMIym
B.Black Panther , wxid_zSrai2bRoLUNVb
C.Red Bull , wxid_2yy2ekynoLbnq3
D.White Tiger, wxid_whMQ2YOLPiNNt7
E.Black Sheep , wxid_s00vt9uixjq922 个人赛

34、在2019-10-31(UTC+8)，何源用iPhone手机在车库拍了一些车的照片,请问最早的那张车照片是什么时候拍的？
A.10/31/2019 18:53:29 PM(UTC+8)
B.10/30/2019 10:43:27 AM(UTC+8)
C.10/26/2019 19:53:29 PM(UTC+8)
D.10/28/2019 20:40:30 PM(UTC+8)
E.10/27/2019 10:53:29 AM(UTC+8)

        说实话我感觉这道题目很怪，其一是因为他时间没有完全对上，其二是因为后缀名是MOV而且它的内容没有显示出来，我不知道他是不是小汽车，其三是我看了一下别人的博客关于这道题目的解析，发现有不同的答案，于是就很疑惑，这里提供的是我自己找出来的答案。 

35、接上题，请问照片”IMG_0075.HEIC”拍摄地 GPS 坐标是以下哪一个？
A.28 deg 13' 5.25" N, 125 deg 9' 6.34" E
B.22 deg 17' 1.36" N, 114 deg 8' 9.91" E
C.120 deg 23' 5.58" N, 119 deg 7' 4.53" E
D.88 deg 6' 2.14" N, 130 deg 6' 7.86" E
E.100 deg 17' 1.36" N, 224 deg 6' 8.57" E

         先把图片导出来，然后查看其具体属性里面有GPS。

          说实话还有这功能是我没想到的。

36、在何源的个人计算机中，你能找到一个 Veracrypt 加密容器文件吗？它的原始文件名是？
A.containerx.txt        B.VC_Container        C.$RV61F4M        D.data encrypt.txt
E.$IV61F4M

37 、接上题，此 Veracrypt 加密容器文件之前可能被挂载为哪一个盘符(drive letter) ?

A. A:         B. B:         C. Z:         D. D:         E. E:

         这道题目刚开始我写不来，完全没思路，看了一下其他博客的解析发现是用暴搜一个个盘搜过去，当然这道题是A：搜的相对来说快一些，但我感觉其他不同的题目暴搜的话是不是太泛了一些，这个地方我觉得还有改进的地方，等以后水平上来了再回来想这道题的改进方法好了。现在先标记一下。

38 、在何源的个人计算机中，何源曾在电脑上登陆过客户端百度云盘，请问他的 Baidu 账号是多少？

A. Yuanhe516

B. Heyuan516

C. Heyuan515

D. Yuanhe515

E. None

39 、在何源的个人计算机中，何源利用客户端百度网盘上传过一些文件，请问以下哪一个是？

A. 美国恐怖故事 04.mp4

B. Crawler_connect.py

C. file encrypt.doc

D. Secret.xlsx

E. Company_info.xlsx

40 、在何源的个人计算机中，何源 iPhone 手机中的一些图片曾被同步到他的百度网盘中，请问图片“2019-06-21 113537.jpg”的 MD5 hash 值是多少？

A. fe41107c5260498e67171755e2b4bb1d

B. 6055e4fa9e8a56c708a3db7198d091e7

C. 7b8e1183d80962c0ad5a95ec673317a7

D. 148685a257c49247f09b942237f1a248

E. db4a58e48ef51ca2c6c0f6e07f44d186

41 、在何源的个人计算机中，何源用百度网盘上传文件“/美国恐怖故事/美国恐怖故事 01.mp4”的起始时间是？ （格式：UNIX Timestamp UTC+8）

A. 1572506551

B. 1572506618

C. 1572506608

D. 1572506551

E. 1572507864

这边需要把北京时间进行时间戳的转换 ，这边分享一个在线转换的网站Unix时间戳(Unix timestamp)转换工具 - 时间戳转换工具

42 、在何源的个人计算机中，可以发现有多少文件,文件夹存在于何源的百度网盘中？

A. Files: 55, Folder: 3

B. Files: 82，Folder: 2

C. Files: 23, Folder: 1

D. Files: 90, Folder: 2

E. Files: 102, Folder: 7

        这道题有两种判断方式

        第一是看图发现网盘中一共有84个文件，题目中只有B选项是文件和文件夹加起来是84的。

    第二种就是找过去，发现第82、83个不是文件而是文件夹，所以一共有82个文件和2个文件夹。

43 、在何源的个人计算机中，用户“He Yuan”曾用 Microsoft Edge 浏览器 google 搜索过一些信息，以下哪个不是搜索的关键词？

A. gmail register

B. tor data sale

C. online lender

D. shadowsock

E. how to hide a partition

         没啥好说的，这道题直接暴搜。

44 、在何源的个人计算机中，用户“He Yuan”曾用 Microsoft Edge 浏览器注册过一个新的 Gmail account,请从网页标题痕迹中找出此账号。

A. jackhe666@gmail.com

B. johnhe7@gmail.com

C. jacksonhe8@gmail.com

D. jorkerhe888@gmail.com

E. yuanhe666@gmail.com

        刚开始还想了好一会儿，在edge记录里面找了好一会儿都没找到所谓的网页标题痕迹，后来才反应过来其实直接暴搜就可以了。

45 、在何源的个人计算机中，用户“He Yuan”曾用 Microsoft Edge 浏览器下载过一些文件，以下哪一个不是？

A. WeChat_C1018.exe

B. bitcoin-018.1-win64-setup.exe

C. torbrowser-install-win64-8.5.5_en-US.exe

D. SteamSetup.exe

E. BaiduNetdisk_6.8.4.1.exe

46 、在何源的个人计算机中，用户“He Yuan”曾用以下哪款网页浏览器登陆过网页版百度网盘？

A. Internet Explorer

B. Firefox

C. Chrome

D. Microsoft Edge

E. Tor

 

        我是先直接暴搜baidu，然后浏览器快速看一下找到网页版百度网盘的痕迹。

47 、在何源的个人计算机中，用户“He Yuan”曾用 Tor 浏览器访问过一些网站，以下哪一个不是？

A. https://duckduckgo.com

B. http://deepmix2cmtqm5ut74f4acz2eskr5htcdetpzupmdkas6fzi4cnc7sad.onion

C. http://vfqnd6mieccqyiit.onion

D. http://bntee6mf5w2okbpxdxheq7bk36yfmwithltxubliyvum6wlrrxzn72id.onion

E. http://silkroadjuwsx3nq.onion

        没啥好说的，直接暴搜。

48 、接上题，以下哪个 URL 是由用户手动输入到 Tor 浏览器中的？

A. http://tfwdi3izigxllure.onion

B. https://hiddenwikitor.com

C. http://deepmix5e3vptpr2.onion

D. http://vfqnd6mieccqyiit.onion

E. http://smoker32pk4qt3mx.onion

        这道题我刚开始也不是很会，先是暴搜搜了一下，发现基本上都搜得到，然后我去查了一下，觉得判断是否手动输入的地方在于如图中有两个记录，其中一个是正在切换路线，这个应该是判断手动输入的一个因素，因为其他不是通过手动输入网址进入的记录不会有这一条“正在切换线路”的记录。

49 、接上题，关于网页”http://rso4hutlefirefqp.onion”，以下哪一个描述是正确的？

A. ccPal - stolen creditcards, ebay and paypal accounts for bitcoins - buy CVV2s for bitcoin - PayPals for Bitcoin - Ebay Accounts for Bitcoin

B. UKPassports - Buy passport from the United Kingdom UK, real passports from the UK, no fake passports

C. Stolen Apple Products for Bitcoin. Get the newest apple products for a fraction of the price.

Iphones for Bitcoin, Ipads for Bitcoin.

D. NLGrowers - Buy Weed, Hash, Cannabis, Marijuana with from the netherlands with Bitcoins - your deep web weed source

E. We sell medical cannabis, rick simpson cannabis oil and other medical cannabis products

       

        下面是我用百度翻译翻译过后的选项

A.ccPal-被盗的信用卡、ebay和比特币贝宝账户-购买比特币CVV2-比特币paypal-比特币ebay账户

B.英国护照-从英国购买护照，从英国购买真护照，没有假护照

C.为比特币被盗的苹果产品。以很低的价格买到最新的苹果产品。Iphones代表比特币，Ipads代表比特币。

D.NL种植者-用比特币从荷兰购买杂草、大麻、大麻-你的深层网络杂草来源

E.我们销售医用大麻、rick simpson大麻油和其他医用大麻产品

        这是我用百度翻译翻译的网站标题：EuCanna-一流的大麻保健-在线购买大麻。使用比特币在线购买医用大麻

        所以比较一下之后应该可以得出选项。

50 、接上题，哪个网页引导用户到了网页” http://vfqnd6mieccqyiit.onion”?

A. https://thehiddenwiki.org

B. http://hiddenwikitor.com

C. https://onionshare.org

D. http://xfnwyig7olypdq5r.onion

E. https://www.onionexplore.org

        这题很奇怪，我想这引导的话怎么也得是在这个网页之前的，可是一直找不到，答案的时间是在这个网页之后几秒的，所以我就感觉很奇怪，明天我去问一下再回来更新。

接下来开始的是内存取证，用上volatility来取证

51 、分析何源的公司计算机内存镜像，何源的公司计算机操作系统以及硬件架构是什么？

A. Windows 7 x86

B. Windows 7 x64

C. Windows 8 x86

D. Windows 8 x64

E. Windows 10 x64

         用imageinfo来查看信息

52 、分析何源的公司计算机内存镜像，以下哪一个是进程“explorer.exe”的 PID?

A. 5098          B. 3484         C. 3048         D. 2236         E. 9875

         用pslist找，找到最后一次exploerer的运行记录，答案是此PID

53 、分析何源的公司计算机内存镜像，以下哪一个是正确的用户 SID ？

A. HTC_admin : S-1-5-21-2316527938-3914680751-2175519146-1001

B. TMP_User : S-1-5-21-2316527938-3914680751-2175519146-1002

C. TMP : S-1-5-21-2316527938-3914680751-2175519146-1001

D. YuanHe : S-1-5-21-2316527938-3914680751-2175519146-1002

E. None

         这道题目查C用户的话跳出来的也是B用户的数据，说明C用户是不存在的，跳出B用户数据是因为他们开头是一样的，我自己在查的时候A总是查不出来，莫名其妙什么都不会显示，但是通过B和D的数据中可以看出来答案是选B的。

54 、分析何源的公司计算机内存镜像，以下哪个远程地址与本地地址建立过 TCP 连接？

A. 10.165.12.130

B. 10.165.12.126

C. 10.165.10.125

D. 10.165.10.130

E. 10.165.10.131

        用netscan查找。

55 、接上题，在上述 TCP 连接里，远程地址的端口号是多少？

A. 80         B. 443          C. 445         D. 22         E. 3389

56 、分析何源的公司计算机内存镜像，注册表“\SystemRoot\System32\Config\SAM”在内存镜像中的虚拟地址 （Virtual Address）是多少？

A. Offset: 0x97b5e5d8

B. Offset: 0x9a5689c8

C. Offset: 0x8c6b49c8

D. Offset: 0x8bc1a1c0

E. Offset: 0x9bc1a1c0

        用hivelist来查看。

57 、分析何源的公司计算机内存镜像，用户“Yuan He”登入密码的 NTLM hash 是多少？

A. bf12857078039ff604bf8e1fb4308643

B. 31d6cfe0d16ae931b73c59d7e0c089c0

C. bf12857078039ff604bf8e1fb430a7d4

D. a53452d6cd5e2d72423cd3eac8b05607

E. 99e74d973f8f852432f6d5a59659ed88

         用hashdump来查看。

58 、分析何源的公司计算机内存镜像，盘符“E：”上的文件“Personal Information.xlsx”何时被访问过？

A. 2019-10-31 07:58:45

B. 2019-10-31 10:33:42

C. 2019-10-31 06:59:45

D. 2019-10-31 09:31:42

E. 2019-10-31 08:32:42

 

        我也不知道为什么始终找不到，按理说这么做应该是没问题的，用timeliner查找。

59 、分析何源的公司计算机内存镜像，以下哪个是文件“Personal Information.xlsx”的正确路径？

A. Users\YuanHe\Desktop\Confidential\Personal Information.xlsx

B. Users\YuanHe\Desktop\Personal Information.xlsx

C. Users\TMP_User\Desktop\Confidential\Personal Information.xlsx

D. Users\TMP_User\Desktop\Personal Information.xlsx

E. Users\Administrator\Desktop\Confidential\Personal Information.xlsx

        用mftparser查看， “> 路径”直接把结果导出来。 

60 、分析何源的公司计算机内存镜像，可以发现以下哪些文件夹曾被访问过？

1 …\Company_Files\Jonathan Norton

2 …\Company_Files\Stephen Chow

3 …\Company_Files\John Wick

4 …\ Company_Files\Logan Chen

5 …\Company_Files\Colleen Johnson

A 2,3,5

B 2,4,6

C 1,3,5

D 3,4,5

E 1,4,5

         用shellbags查找。

61 、分析何源的公司计算机内存镜像，以下那一项有关这台计算机的资料是正确？

A. 这台计算机安装 Window 的时间是 2019-10-31 11:56:23 UTC + 0

B. 这台计算机的名称是 WIN-VUAL29E4P0K

C. 公开资料显示这台计算机 TCPIP 的最后更新时间是 2019-10-31 04:59:00 UTC + 0

D. A 及 C 都是正确

E. B 及 C 都是正确

62 、分析何源的公司计算机内存镜像，以下那一项关于这台计算机连接 USB 装置的描述是正确？

A. 没有，因为透析资料找不到

B. 没有，因为内存容量没有取得完整的注册表资料

C. 有，而且装置的牌子应该是 HUAWEI

D. 有，而且装置的 GUID 是 4d36e967-e325-11ce-afc1-832210318

E. 有，而且装置的首次插入时间 HEX 值是 40 43 30 b9 b8 8f d5 01

最后两道因为本人能力时间有限，实在是没法磨下去了，等我以后水平高了再回来补上。

完结撒花！！！