案情
2023月8月的一天,香港警方在调查一起网络诈骗案件时,发现有三名本地男子,分別为李大輝(李大辉),浩賢(浩贤)和Elvis CHUI,并确信这三名被捕男子均为大学同学。怀疑三人背后涉及一个庞大的电信诈骗集团。于是将这三名本地男子拘捕,扣押了三人相关的电子设备并进行分析。
现在你被委派处理这件案件,请依据以下资料分析上述三人是否涉嫌犯罪,并还原事件经过。
检材资料
1.李大輝的安卓手机镜像 (Android.bin)
2.李大輝的MacOS系统镜像(Mac OS.img)
3.来自李大輝计算机的一个文件($MFT Record Nr_ 107115, SeqNr_2.txt)
4.浩賢的个人虚拟机文件(Server.zip)
5.浩賢的Windows 10系统虚拟机文件(Windows 10.zip)
6.浩賢的iOS手机系统文件(IOS.zip)
7.来自Elvis Chui计算机的一个网络封包文件(網路.pcapng)
8.来自Elvis Chui计算机的镜像文件 (Windows Artifacts.e01)
9.来自Elvis Chui计算机的数据库文件(SQLITE.zip)
10.Elvis Chui的Windows7虚拟机文件(Windows7.zip)
题目
1. 参考'Android.bin'回答以下题目,李大辉所用手机移动运营商公司的名称。提示:请所有字母都用大写英文
DUCK
鸭聊佳(mobileduck) 中国香港的鸭聊佳电话卡是中国移动香港推出的一款专为港商、旅游、移民的电话卡
2.参考'Android.bin'回答以下题目,李大辉的手机安装了什么即时通讯软件 (Instant Messaging App)?
A. WhatsApp
B. LINE
C. 微信
D. Signal
E. QQ
A
WhatsApp,微信都是及时通讯软件,但是微信没有聊天记录,只有WhatsApp有聊天记录所以应该是WhatsApp
3. 参考'Android.bin'回答以下题目李大辉的手机安装了什么反追踪软件?提示: 所有答案字母都用小写字母并用xxx_xxx_xxxxxxx_xxxxxx_xxxx格式作答
air_tag_tracker_detect_lite
4. 参考'Android.bin'回答以下题目,李大辉的手机是什么时间成功登入WhatsApp?
A. 2022-08-18_21:52:30
B. 2022-08-19_21:56:23
C. 2022-08-18_21:56:37
D. 2022-08-19_06:59:07
E. 2022-08-19_07:01:17
C
接到短信验证码才开始登入WhatsApp
5. 参考'Android.bin'回答以下题目,李大辉登入WHATSAPP时的认证短码是什么?提示: 请以阿拉伯数字作答
304313
上一题截图里面有
6. 参考'Android.bin'回答以下题目,李大辉到美丽好化妆品公司的入职时间是何时?
A. 2016-04-16
B. 2016-06-28
C. 2017-05-25
D. 2017-07-25
E. 2017-08-18
C
在文档文件里面有个删除掉的pdf,打开pdf可以看到入职日期
7. 参考'Android.bin'回答以下题目,李大辉曾于什么时间使用了图像编辑软件?
A.2022-09-10
B.2022-09-12
C.2022.10-05
D.2022-11-10
E.2022-11-13
D
8. 参考Server文件夹下的'Meiya_VPN.vmdk'回答以下题目,这个访问服务器使用了哪个端口?提示: 请用阿拉伯数字作答
943
在Firefox保存的密码中可以看到openvpn的端口为943
9. 参考Server文件夹下的'Meiya_VPN.vmdk'回答以下题目,“User1”账户最近连接到这个访问服务器时使用的IP地址是多少?提示: 用IPV4 格式回答
192.166.244.167
在/var/log目录下有openvpnas.log和openvpnas.log.1,根据创建和修改的时间,.1后缀的应该是早一些的日志,题目要的是最近的ip地址,所以是192.166.244.167
10. [多选题]参考Server文件夹下的'Meiya_VPN.vmdk'回答以下题目,哪些文件可以找出这个访问服务器的Ubuntu版本?
A. lsb-release
B. issue.net
C. .profile
D. Console
AB
/etc/lsb-release
/etc/issue.net
11. [多选题]参考Server文件夹下的'Meiya_VPN.vmdk'回答以下题目,哪些文件有助于分辨这是一个存储服务器?
A. auth.log
B. sys.log
C. bash_history
D. idconfig
ABC
auth.log:这个文件记录了用户登录和认证相关的日志信息。它可能包含与存储服务器相关的登录和访问日志。
sys.log:这个文件是系统日志文件,记录了系统的各种事件和错误信息。它可能包含与存储服务器相关的磁盘、文件系统或存储设备的日志信息
bash_history:是一个存储用户在bash终端中输入的命令历史的文件
12. 参考Server文件夹下的'Meiya_VPN.vmdk'回答以下题目这个访问服务器所在时区是哪个时区?
A. UTC +9
B. UTC +8
C. UTC -7
D. UTC
C
应该是UTC-8,选项里最符合的应该是-7
13. 参考Server文件夹下的 ' Meiya_VPN.vmdk ' 回答以下题目,这个访问服务器的“openvpn”帐户密码是多少?提示:请用大写字母与阿拉伯数字作答
./etc/init.d/openvpn start启动openvpn服务
浏览器https访问943端口,使用谷歌浏览器里面的密码测试登录,两个密码TLfAg6l6dssc是错误的密码,使用P@ssw0rd1234登录成功
14. 参考Server文件夹下的 ' Meiya_VPN.vmdk '回答以下题目,在这个访问服务器中,“User1”账户之间的连接所使用的加密算法(密码)是什么?
A. Blowfish-CBC
B. 3DES-CBC
C. AES-128-GCM
D. AES-256-CBC
D
15. 参考' 网络题目.pcapng ' 文件回答以下题目,给出正在进行Nmap扫描的计算机互联网协议地址?提示: 以IPV4格式给出答案
192.168.186.132
192.168.186.132UDP扫描45.33.32.156
16. 参考'网络题目.pcapng'文件回答以下题目,有多少个Nmap扫描正在同时进行?提示:请给出阿拉伯数字作答
2
一个UDP扫描45.33.32.156,一个TCP扫描8.8.8.8
17. 参考'网络题目.pcapng'文件回答以下题目,当计算机正在扫瞄8.8.8.8,namp相关的指令是什么?
A. nmap -sT 8.8.8.8
B. nmap -sU 8.8.8.8
C. nmap -sn -PR 8.8.8.8
D. nmap -sn -PU 8.8.8.8
A
如上图TCP扫描8.8.8.8
18. 参考'网络题目.pcapng'文件回答以下题目,当计算机正在扫瞄45.33.32.156,namp相关的指令是什么?
A. nmap -sT 45.33.32.156
B. nmap -sU 45.33.32.156
C. nmap -sn -45.33.32.156
D. nmap -sn -45.33.32.156
B
如图UDP扫描45.33.32.156
19. 国强被指派设定一个DHCP服务器,该服务器需借出最后100个的IP地址,以下哪个IP地址会是被借出的IP地址?
A.10.1.4.255
B.10.1.4.100
C.10.1.4.254
D.10.1.4.1
C
最后100个ip应该是254之前的100个,所以答案是10.1.4.254
20. 以下那个协议是属于TCP/IP协议?
i: DHCP
ii: HTTP
iii: RTP
iv: Telnet
A. i & iii
B. ii & iv
C. 所有皆是
D. 所有皆否
B
DHCP(Dynamic Host Configuration Protocol)- DHCP 是一种用于动态分配 IP 地址和其他网络配置信息的协议,它是基于 TCP/IP 协议栈的应用层协议。
HTTP(Hypertext Transfer Protocol)- HTTP 是一种用于在客户端和服务器之间传输超文本的协议,它是基于 TCP/IP 协议栈的应用层协议。
RTP (实时传输协议) - 是一个用于在互联网上传输音频和视频等实时数据的协议,它是TCP/IP协议族的一部分。
Telnet - Telnet 是一种远程登录协议,允许用户通过网络远程访问和控制远程计算机,它是基于 TCP/IP 协议栈的应用层协议。
21. 浩贤为一间公司的网络管理员,他需要把一个路由器作出以下设定
1) 允许192.168.26.3连上互联网
2) 允许192.168.26.2作UDP连接
现在浩贤把路由器作以下设定:-
access-list 119 deny udp any any
access-list 121 permit udp host 192.168.26.2 any
access-list 120 deny tcp any any
access-list 122 permit tcp host 192.168.26.3 eq www any
access-list 123 permit tcp any eq ftp any
志伟是浩贤的主管,他发现浩贤的设定错误,浩贤应作怎样的更正?
A.' access-list 123 permit tcp any eq ftp any ' 更正为(change) 'access-list 123 permit udp
any eq ftp any '
B.' access-list 122 permit tcp host 192.168.26.3 eq www any ' 更正为(change) ' access-list
122 permit udp host 192.168.26.3 eq www any '
C.删除(Delete)' access-list 120 deny tcp any any ' 与' access-list 119 deny udp any
any '
D.删除(Delete)' access-list 123 permit tcp any eq ftp any '
C
'access-list 119 deny udp any any' 拒绝了任何源IP和目标IP之间的UDP连接。
'access-list 120 deny tcp any any' 拒绝了任何源IP和目标IP之间的TCP连接。
因此,为了更正错误,浩贤需要删除以上两个拒绝规则,即:
删除 'access-list 119 deny udp any any'
删除 'access-list 120 deny tcp any any'
22. 根据以下ping指令的结果,你会估计192.168.186.132是哪一个操作系统
192.168.186.132?
Ping 192.168.186.132 (使用 32 字节的数据):
回复自 192.168.186.132: 字节=32 时间<1ms TTL=64
回复自 192.168.186.132: 字节=32 时间<1ms TTL=64
回复自 192.168.186.132: 字节=32 时间<1ms TTL=64
回复自 192.168.186.132: 字节=32 时间<1ms TTL=64
192.168.186.132 的 Ping 统计资料:
封包: 已传送 = 4,已收到 = 4, 已遗失 = 0 (0% 遗失),
大约的来回时间 (毫秒):
最小值 = 0ms,最大值 = 0ms,平均 = 0ms
A. Linux;
B.Windows XP;
C.Windows 7;
D.iOS 12.4 (Cisco Routers)
A
Windows XP时期TTL值为128;
Windows 7有些TTL值为64,有些是128;
iOS和路由器不会直接显示TTL值;
LinuxTTL值为64;
23. 当使用nmap扫瞄目标后,nmap内出现以下信息
"Note: Host seems down. If it is really up, but blocking our ping probes"
(主机似乎关机。如果它是开启的,它正在阻挡ping探测。)
应用哪一个指令找出开放的端口?
A. nmap -sT
B. nmap -sN
C. nmap -sX
D.nmap -Pn
D
主机似乎关机。如果它是开启的,它正在阻挡ping探测
nmap -sT 使用TCP连接探测,需要ping有效才能使用
nmap -sN 使用TCP Null扫描,依然需要 ping 有效
nmap -sX 使用Xmas Tree扫描,依赖ping
nmap -Pn 强制不发送ping,直接使用TCP连接探测
24. 以下哪一个Nmap指令可以减低被侦测的可能性 ?
A. nmap -sT -O -T5
B. nmap -sT -O -T0
C.nmap sU
D.nmap -A --host-timeout 99-T1
B
-sT是TCP速度探测,-O是操作系统指纹识别,-T5是Aggressive模式,扫描速度快,易被发现。
-sT是TCP速度探测,-O是操作系统指纹识别,-T0是最慢速度,可以减低被检测可能性。
-sU是UDP扫描,相比TCP更易被防火墙阻断,发现风险大。
-A是全功能探测,-T1速度较快,-host-timeout时间短,也不太隐蔽。
25. Apple计算机的硬盘可以使用以下分区方案:
A.Apple Partition Map
B.GUID Partition Table
C.Master Boot Record
D.All of the above
D
Apple Partition Map(APM):
APM是苹果根据世界计算机商会协会的SCSI命令所定的分区格式,早期Mac都使用此格式。
GUID Partition Table(GPT):
现代的Intel CPU Mac都使用此种分区表格式进行硬盘管理。
Master Boot Record(MBR):
MBR是PC兼容计算机最常见的早期分区格式,苹果不推荐使用这种方式进行分区。
26. 参考' Mac OS.img ' 文件回答以下题目
' Mac OS.img ' 文件中可以找到多少个符号链接?
A.0
B.1
C.2
D.3
B
27. 参考'Mac OS.img'文件回答以下题目,在'Mac OS.img'档中使用了哪种分区方案?
A. Apple Partition Map
B. GUID Partition Table
C. Master Boot Record
D. HFS+
D
HFS+(Hierarchical File System Plus)就是hfsp
28. 参考'Mac OS.img'文件回答以下题目,'Mac OS.img'档的文件系统的正确描述是什么?
A. HFS+(已启用日志记录)
B. HFS+(已启用区分大小写)
C. HFS+(已启用日志记录和区分大小写)
D. APFS(已启用区分大小写)
C
29. 参考'Mac OS.img'文件回答以下题目,从文件“Car.rtfd”中删除了哪个文件?提示:答案需包括副文件名,并以全小写字母作答,例如 answer.docx
yeah.jpg
30. 参考'Mac OS.img'文件回答以下题目,请提供'Mac OS.img'映像文件被“fsck”命令检查的具体时间。提示:答案格式为YYYYMMDD-HHMMSS,如2023年1月1日15时30分30秒则请回答"20230101-153030"
31. 参考'Mac OS.img'文件回答以下题目,在.dmg档中删除了多少个文件?
A. 1
B. 2
C. 3
D. 4
D
32. 参考'Window Artifacts.E01'内的Windows注册表回答以下题目,Elvis Chui 总共登入过该计算机多少次?提示: 请以阿拉伯数字作答
11
33. 参考'Window Artifacts.E01'内的Windows注册表回答以下题目,该计算机的操作系统是在哪一个时区?
A. UTC +4
B. UTC +8
C. UTC -8
D. UTC -4
B
34. 参考'Window Artifacts.E01'内的Windows注册表回答以下题目,该计算机的操作系统于何时安装?
A. 2023-07-13 19:18:14
B. 2023-07-13 11:18:14
C. 2023-07-13 03:18:14
D. 2023-07-12 19:18:14
B
35. [多选题]参考'Window Artifacts.E01'内的Windows注册表回答以下题目,哪(几)个程序会于操作系统启动时自动执行?
A. Avast
B. Steam
C. OneDrive
D. QQ
ABC
满足选项的为前三个
36. 参考'Window Artifacts.E01'内的Windows注册表回答以下题目,该计算机内安装了以下哪一个程序?
A. QQ
B. WPS Office
C. Opera
D. Kaspersky
B
根据选项检索只有WPS有
37. 参考'Window Artifacts.E01'内的Windows注册表回答以下题目,计算机内的OneDrive程序版本是什么?
21.220.1024.0005
38. 参考'Window Artifacts.E01'内的Windows注册表回答以下题目,计算机有一个正在连接的网络接口,该接口连接DHCP服务器的IP地址是多少?提示: 以 IPV4格式回答
192.168.88.129
39. 参考'Window Artifacts.E01'内的Windows注册表回答以下题目,该计算机何时连接过一只U盘?(以计算机系统时区回答)
A. 2023-07-13 11:48:26
B. 2023-07-13 03:48:29
C. 2023-07-12 19:48:29
D. 2023-07-13 11:48:29
D
40. [多选题]参考'Window Artifacts.E01'回答以下题目,Elvis Chui 将哪几个文本文件放在回收站中?
A. $+D10I76A74P.txt
B. Holiday schedule 2023-07-16.txt
C. Holiday schedule 2023-07-13.txt
D. Minute on 2023-07-01.txt
E. Minute on 2023-07-10.txt
BE
41. 参考'Window Artifacts.E01'回答以下题目,Elvis Chui在什么时间删除了第一个文本文件?(以计算机系统时区回答)
A. 2023-07-13 11:50:15
B. 2023-07-13 03:49:45
C. 2023-07-13 03:50:15
D. 2023-07-13 11:49:45
D
42. 参考 ' Window Artifacts.E01 '回答以下题目,Elvis Chui删除的第一个文本文件的文件名是什么?提示: 请用小写字母回答及需列明文件格式。如文件名字内有空格位置,请用_标示。例如: go_to_school.docx
holiday_schedule_2023-07-16.txt 
43. 参考'Window Artifacts.E01'回答以下题目,Elvis Chui删除的第一个文本文件在什么时间创建?(以计算机系统时区回答)
A. 2023-07-13_11:42:39
B. 2023-07-13_11:50:49
C. 2023-07-13_11:49:45
D. 2023-07-13_11:45:22
D
火眼仿真起来从回收站恢复出来-->右键属性可以看到创建时间
44. 参考'Window Artifacts.E01'回答以下题目,Elvis Chui计划于2023年7月15日20点5分有什么活动?提示: 答案请与文件内的文字大小写相同
Movie
点开Holiday schedule on 2023-07-15.txt文件2005对应的Movie
45. 参考'Window Artifacts.E01'回答以下题目,该计算机执行STEAM.EXE总共多少次?提示: 请用阿拉伯数字作答
7
46.一个名为“Account”的数据库表拥有5个"列",以下哪一个指令会产生错误讯息?
(提示: 1.数据库是拥有正常默认的系统表格 2.错误信息是关于"超出上限"的错误)
A.SELECT * from Account WHERE name=‘Alex’ OR ‘1’=1
B.SELECT * FROM Account WHERE name=‘Bill’ UNION SELECT NULL, NULL, NULL,
NULL;
C.SELECT * from Account WHERE name=‘Candy’ ORDER BY 6;
D.SELECT name FROM sys.tables
C
这里查询中,ORDER BY子句指定了列号6,而表Account只有5个列,因此会超出列的范围,导致错误消息。
47.当客户端收到一个页面请求的HTTP状态代码为304时,以下哪种情况最有可能发生?
A.页面将显示错误The page will display with errors
B.页面将从浏览器缓存中加载The page will be loaded from the browser cache
C.浏览器将显示“访问被拒绝”The browser will display an “Access Denied”
D.服务器将复位向客户端到另一个资源The server will redirect the client to another
resource
B
当客户端收到HTTP状态代码为304(Not Modified)时,这意味着客户端发出的请求的资源在服务器上没有发生变化。服务器将返回304响应,告诉客户端使用其缓存的副本。因此,浏览器将从浏览器缓存中加载页面,而无需从服务器重新获取资源。这可以提高页面加载速度和减少网络流量。
48. 在HTML注入攻击中,以下哪种情况最有可能出现?
A. <form action=“http://1.2.3.4/login.htm”>Password:<input type=“password
” name=“pword”> </form>
B.<embed src=“http://demo.com/demo.swf”> </embed>
C. <script>alert(‘Correct’)</script>
D.<?php include(“inc/” .$_GET[‘file’];?>
A
选项B是一个嵌入式的Flash对象,同样也没有直接涉及到恶意代码注入。
选项C是一个XSS攻击
选项D是PHP代码,具有潜在的安全风险,但它并不是HTML注入攻击的典型形式。
49. 如何预防HTML注入攻击?
A.密钥管理Key management
B.同源策略执行Same Origin
Policy enforcement
C.会话验证Session validation
D.输入过滤Input sanitization
D
HTML注入攻击的主要原因是未正确过滤和验证用户输入。攻击者可以通过注入恶意的HTML代码来利用这些漏洞。输入过滤是一种防止HTML注入攻击的常见做法,它涉及对用户输入的数据进行验证和过滤,以确保其中不包含恶意代码。
50. 同源策略在浏览器内存中提供Web应用程序安全的目的是什么?
A.防止客户端访问恶意网站
B.禁止Web会话运行外部脚本
C.控制来自不同服务器的代码之间的交互
D.阻止浏览器运行危险或有害的脚本
C
控制来自不同服务器的代码之间的交互 是同源策略在浏览器内提供Web应用程序安全的主要目的。
同源策略是浏览器的一项安全机制,它限制了来自不同源(域名、协议和端口)的代码之间的交互。同源策略的目的是防止恶意网站通过跨域请求获取用户的敏感信息或执行未经授权的操作。
51. 编写Nmap命令以显示以下结果。
Starting Nmap 7.94 (https://nmap.org) at 2023-07-11 18:26 中国标准时间
Nmap scan report for www.baidu.com (220.181.38.149)
Host is up (0.044s latency).
Other addresses for www.baidu.com (not scanned): 220.181.38.150
Not shown: 998 filtered tcp ports (no-response)
PORT STATE SERVICE
80/tcp open http
| http-robots.txt: 10 disallowed entries
| /baidu /s? /ulink? /link? /home/news/data/ /bh /shifen/
|_/homepage/ /cpro /
443/tcp open https
| http-robots.txt: 10 disallowed entries
| /baidu /s? /ulink? /link? /home/news/data/ /bh /shifen/
|_/homepage/ /cpro /
Nmap done: 1 IP address (1 host up) scanned in 6.01 seconds
提示:请输入完整的Nmap指令,例如: nmap --script http-brute -p 80 www.google.com
nmap --script http-robots.txt www.baidu.com
这个命令将扫描百度的主机www.baidu.com,指定使用http-robots.txt目录列表探测脚本
52. 除了使用Nmap,还有其他方法可以验证上述结果,其中一种方法是使用Web浏览器浏览URL,编写
URL以显示上述结果。(答案不要包含“http://”)
www.baidu.com/robots.txt是百度搜索引擎的robots.txt文件的URL。robots.txt文件是一个遵循Robots协议的文本文件,位于网站的根目录下。它用于向搜索引擎爬虫提供指示,告诉他们哪些页面可以被访问,哪些页面不应该被访问。
53. 参考'IOS'文件夹回答以下题目,根据'com.apple.ios.StoreKitUIService.plist',这部电话是什么型号?
A. SAMSUNG S23
B. iPhone X
C. iPhone XR
D. iPhone XS
E. iPhone 13
C
N841AP对应的是iPhone XR
54. 参考'IOS'文件夹回答以下题目,根据com.apple.ios.StoreKitUIService.plist,上述电话的文件系统是什么?
A. FAT32
B. NTFS
C. HFS+
D. APFS
E. EXT4
D
iPhone XR 使用的文件系统是苹果公司的 APFS
55. [多选题]参考'IOS'文件夹回答以下题目,根据ChatStorage.sqlite,哪些对话已锁定?
A. 447380449879@.whatsapp.net
B. 79096209701@.whatsapp.net
C. 923109725619@.whatsapp.net
D. 85256026169@.whatsapp.net
E. status@broadcast
ABC
56. 参考'IOS'文件夹回答以下题目,根据ChatStorage.sqlite,有多少段录音对话?提示: 请以阿拉伯数字作答
45
使用数据库取证工具找到ZWAMEDIAITEM表中在这个ZVCARDSTRING中筛选
audio/ogg;codecs=opus:这是一种音频文件格式为 Ogg 的类型,使用 Opus 编解码器进行音频数据的压缩和解压缩。Ogg 是一种开放的容器格式,可以包含多种不同编码的音频和视频数据。而 Opus 是一种开放的音频编解码器,具有较高的音频质量和较低的延迟,被广泛应用于实时通信、音频流媒体和在线音乐等领域。
audio/mpeg:这是一种音频文件格式为 MPEG 的类型,通常指的是 MPEG-1 Audio Layer III,也就是 MP3 格式。MP3 是一种流行的音频压缩格式,通过去除人耳听不到的音频信号部分,实现对音频数据的有效压缩。MP3 格式被广泛应用于音乐存储和传输领域。
SELECT ZVCARDSTRING FROM ZWAMEDIAITEM WHERE ZVCARDSTRING =audio/ogg:codecs=opus':
57. 参考'IOS'文件夹回答以下题目,Apple Cocoa Core Data timestamp是由什么时间开始?
A. 2001年1月1日
B. 1970年1月1日
C. 2006年1月1日
D. 1960年1月1日
A
Apple Cocoa Core Data timestamp(时间戳)是从2001年1月1日开始的。这是因为在Cocoa框架中,时间戳是使用Core Data框架中的
58. 参考'IOS'文件夹回答以下题目,根据Photos.sqlite数据库中,有多少段视频可能涉及WhatsApp?提示: 请以阿拉伯数字作答
7
使用数据库取证工具使用数据库取证工具在ZASSET表中有ZFILENAME字段,有.png,.jpg,.hic,.mp4,只有MP4为视频
select ZFILENAME from ZASSET where ZFILENAME like '%.MP4'
59. [多选题]参考'IOS'文件夹回答以下题目,根据Photos.sqlite数据库中,下列哪个选项对IMG_0008.HEIC的描述是错的?
A. 由第三方软件拍摄
B. 经过修改
C. 由后镜拍摄
D. 用ISO200拍摄
E. 没有储存经纬度
60. 参考'IOS'文件夹回答以下题目,根据'sms(ios).db'的资料,全局唯一标识符(GUID): DD31C26F-1D72-DE0F-431E-EF98F104402D显示的信息是什么? 提示:答案需要与信息一样(答案包括中文字、阿拉伯数字与符号)
你的 Uber 驗證碼為 3666. 請勿分享此驗證碼.
使用数据库取证工具MESSAGE表中找到对应的guid --> text字段
select * from message where guid='DD31C26F-1D72-DE0F-431E-EF98F104402D'
61. [多选题]参考'IOS'资料 夹回答以下题目,根
据'com.burbn.instagram.plist'及'com.facebook.Facebook.plist'手机安装了实时通讯软件Facebook及Instagram的哪个版本?
A. Instagram (Version 278.0.0.19.115)
B. Facebook (Version 410.0.0.41.116)
C. Instagram (Version 279.0.0.23.112)
D. Facebook (Version 410.0.0.26.115)
E. Instagram (Version 278.0.0.25.115)
F. Facebook (Version 410.0.0.57.116)
AB
everything搜索com.burbn.instagram.plist,com.facebook.Facebook.plist,使用爱思助手打开.plist即可
ctrl acv到notepad,搜索version
62. 参考'IOS'文件夹回答以下题目,根据'ChatStorage(ios).sqlite',用户数据Peter Chow (85262012141)在什么日期和时间(以UTC +8时区)曾经通过实时通讯软件送出一个信息(内容为: I am already home)?提示:以UTC +8时区作答,并以YYYY-MM-DD_HH:MM:SS格式作答 例如:2023-01-01_10:01:01 (答案无需输入UTC +8)
2023-04-01_11:21:51
使用navcait, 根据ZTEXT='I am already home’'筛选出发送的时间戳为702012111
SELECT ZFROMJID,ZTEXT,ZMESSAGEDATE,ZSENTDATE FROM ZWAMESSAGE WHERE ZTEXT ='I am already home'
起始时间是2001年1月1日0时0分0秒,对应的时间戳978278400,还有时差8个小时时差(以UTC +8时区)才是最终的结果
63. 参考' IOS'文件夹回答以下题目,根据影片IMG_0687.MOV的原数据,找出影片拍摄时间? 提示:以UTC +8时区作答,并以YYYY-MM-DD_HH:MM:SS格式作答 例如:2023-01-01_10:01:01 (答案无需输入UTC +8)
64. 参考'IOS'文件夹回答以下题目,根据'CallHistory(ios).storedata',哪份表格显示了通话记录?
A. ZCALLBPROPERTIES
B. ZCALLRECORD
C. Z_2REMOTEPARTICIPANTHANDLES
D. Z_METADATA
E. Z_MODELCACHE
F. Z_PRIMARYKEY
B
everything搜索CallHistory找到CallHistory.storedata,navcait搭起来,只有这个符合
65. 参考' IOS ' 文件夹回答以下题目,根据'com.apple.sharingd.plist',这部手机的隔空投送的身份标识号(AirDrop ID)是什么?提示:请以阿拉伯数字与小写字母作答
2abcd0940fbdc
老样子everything搜索到文件,爱思助手打开crtl acv到notepad里面检索AirDropID
66. 参考'IOS'文件夹回答以下题目,根据'Accounts3.sqlite',这部手机的苹果使用者账号 (Apple ID) 是什么?提示:请以电邮格式作答(例:jack2023@hotmail.com)
foratcd2023@gmail.com
火眼解析到Apple ID
或则解析Accounts3.sqlite在ZACCOUNT表中ZUSERNAME字段看到id
67. 哪一行代码的是负责更新在GitHub使用中的 .journal 文件的更新历史记录 ?
line 1 git config --global user.name "mikesezto"
line 2 git config --global user.email "smike@general.org"
line 3
line 4 cd which-truth
line 5 rm.journal
line 6
line 7 git add.journal
line 8 git commit -m "Remove sensitive data"
line 9 git push
line 10
line 11 git clone --mirror http://github.com/smike/which-truth
line 12
line 13 java -jar bfg.jar --delete-files.journal which-truth
line 14 cd which-truth
line 15 git reflog expire --expire=now --all
line 16 git gc --prune=now --aggressive
line 17 git push --force
A.08
B.13
C.16
D.17
D
git push 是把本地仓库代码更新远程仓库里面
68. 下列哪一行AWS S3 Bucket授权策略中的设置有问题?
Which line of setting in the following AWS bucket policy statement is in question?
line 1 {
line 2 "Version": "2020-11-12",
line 3 "Statement": [
line 4 {
line 5 "Sid": "PublicReadGetObject",
line 6 "Effect": "Allow",
line 7 "Principal": "*",
line 8 "Action": "s3:GetObject",
line 9 "Resource": "arn:aws:s3:::company-sensitive-14dnid23nfief/*"
line 10 }
line 11 ]
line 12 }
A.2
B.7
C.8
D.9
B
在第7行的"Principal"字段中,使用了通配符"*"来表示所有主体都被授权。这意味着任何人都可以执行s3:GetObject操作。这可能会导致存储桶的公开读取权限,可能存在安全风险。
69. 以下哪项是多重身份验证 (MFA) 的示例 ?
A.PIN 码和软件令牌 PIN and software token
B.指纹和视网膜扫描 fingerprint and retinal scan
C.用户名和密码username and password
D.一次性短信代码和硬件令牌one-time SMS code and a hardware token
A
A. PIN 码和软件令牌 (PIN and software token):PIN 码是用户所知道的私密数字码,而软件令牌是基于软件的应用程序,生成一次性验证码或时间同步的验证码供用户验证身份。结合使用 PIN 码和软件令牌可实现多重身份验证。
B. 指纹和视网膜扫描 (fingerprint and retinal scan):这是基于生物特征的身份验证方法。指纹和视网膜扫描技术用于获取用户的唯一生物特征信息,并将其与事先注册的信息进行比对以验证身份。
C. 用户名和密码 (username and password):这是最常见的身份验证方法,用户需要提供其已注册的用户名和相应的密码来验证身份。尽管它是一种单一因素的身份验证方法,但可以结合其他因素(如MFA)以增加账户的安全性。
D. 一次性短信代码和硬件令牌 (one-time SMS code and a hardware token):一次性短信代码是通过短信发送给用户的动态验证码,用户需要在登录过程中输入正确的验证码来验证身份。硬件令牌是一种物理设备,生成一次性验证码供用户验证身份。
70. AWS用家在户口网络进行设定,而这些设定会记录用户或第三者的活动。第 11 行代码中的设定可以找到哪些用户或第三者的活动信息?
line 1 sudo yum install python-pip -y
line 2 sudo pip install opencanary
line 3
line 4 sudo opencanaryd --copyconfig
line 5
line 6 opencanaryd --start
line 7
line 8
line 9 sudo yun install jq -y
line 10
line 11 jq -r .src_host /var/tmp/opencanary.log | grep -V ^$ | sort | uniq > -/sources.txt
line 12 jq -r .logdata.USERNAME /var/tmp/opencanary.log | grep -V null | sort | uniq > -
/usernames.txt
line 13 jq -r .logdata.PASSWORD /var/tmp/opencanary.log | grep -V null | sort | uniq > - /passwords.txt
A. User Name 用户的名称
B. User Source 用户的来源
C. Attacker Name 攻击者的名称
D. Attacker Source 攻击者的来源
D
选项A(用户名):该行代码并没有提取或涉及用户名称(用户名)的信息,因此不是正确答案。
选项B(用户源):代码中使用了jq -r .src_host提取来src_host,这可能代表用户的源(User Source),即发起请求的主机。所以,正确答案可能是B。用户来源。
选项C(攻击者名称):代码中没有提取出攻击者名称(攻击者名称)的信息,因此不是正确答案。
选项D(攻击者来源):代码中使用了jq -r .src_host,这可能是攻击者的来源(攻击者来源)。所以,正确答案是D。攻击者来源。
71. AWS用户设置了一个VPC,IP地址范围为10.0.0.0-10.0.0.24。 下列哪个 IP 地址用于 DNS ?
A.10.0.0.0
B.10.0.0.1
C.10.0.0.2
D.10.0.0.3
D
10.0.0.1通常预留给DNS,这是较常见的做法。
但是按照AWS规定,10.0.0.2作为首个可用IP,也满足充当DNS的条件
72. 以下哪种类型的云服务用于操作系统和网络 ?
A. 软件即服务
B. 平台即服务
C. 基础架构即服务
D. 数据即服务
C
基础架构即服务(IaaS)提供了基本的计算资源(如虚拟机、存储和网络),使用户能够在云环境中创建和管理操作系统、应用程序和网络设置。通过IaaS,用户可以获得对底层基础架构的控制权,包括操作系统和网络配置。
73. 以下哪项是Bastionhost的特点?
A.包含敏感信息
B.无法访问内部系统
C.限制暴露的服务
D.没有连接到互联网
C
Bastion host是一种位于受保护网络和外部网络之间的中间服务器,用于提供安全访问内部系统的通道。它的主要目的是限制对内部系统的直接访问,并通过限制暴露的服务来增加整个网络的安全性。Bastion host通常只允许特定的入站连接,并且仅提供必要的服务和协议,以减少潜在攻击面。
74. 在Linux系统中,哪个命令可以用于创建文件系统?
A.mount /dev/sda3 /mnt/usb
B.mkfs-ext4 /dev/sda2
C.mkfs-ext3 /sys/sda1
D.pvcreate /dev/sda
C.genfstab -U -p /mnt
B
命令mkfs-ext4用于在设备/dev/sda2上创建ext4文件系统。这将格式化设备并为其创建相应的文件系统结构,使其可以用于存储文件和目录。
75. Link实际上是指向LINUX系统中另一个文件或文件夹的指标。以下哪个命令可以产生下面的结果:
> ls -ilas
|total 0
|9731253 0 drwxr-xr-x 1 user users 4096 Jul 14 13:31 .
|1725961 0 drwxr-xr-x 1 user users 4096 Jul 14 13:29 ..
|90371467 0 -rw-r--r-- 2 user users 90 Jul 14 13:30 testing.txt
|90371467 0 -rw-r--r-- 2 user users 90 Jul 14 13:30 shotcut-testing.txt
A.link -s testing.txt shotcut-testing.txt
B.ln -s shotcut.txt testing.txt
C.ln testing.txt shotcut-testing.txt
D.ln -s testing.txt shotcut-testing.txt
E.ln shotcut.txt testing.txt
C
76. 以下哪个命令用于在Linux系统中创建分区?
A.gdisk /dev/sde
B.mke2fs /dev/sdb1 -t ext4
C.mount /dev/sdc1 /mnt/fs_home
D.fdisk -lu;E:lvcreate -l +200 /dev/vg00/log/vol-00
A
在Linux系统中,gdisk 是用于对硬盘进行分区的工具。通过指定设备路径(例如 /dev/sde),可以使用 gdisk 命令来创建、编辑和删除分区。
77. 一个系统管理员要扩展运行在LVM系统中的服务器存储。以下哪个命令可以用于扩展LVM中的逻辑卷?
A.lvdisplay /dev/vg02/vol-01
B.lvcreate -n /dev/vg02 -l 200
C.lvextend -n /dev/vg02 -l +200
D.lvscan -l +200 /dev/vg02/vol-01
E.lvresize -l +200 /dev/vg02/vol-01
E
该命令用于调整逻辑卷(logical volume)的大小。选项 "-l +200" 表示将逻辑卷的大小增加200个物理区域(physical extents)。"/dev/vg02/vol-01" 是要调整大小的逻辑卷的设备路径。
78. 一个系统管理员编写了一个bash代码来构建一个RAID系统,如下所示,将要实现什么类型的RAID?
| #!/bin/bash
| hd1=/dev/sda1
| hd2=/dev/sdb1
| hd3=/dev/sdc1
| hd4=/dev/sdd1
| mdadm --build /dev/md1 --level=1 --raid-devices=2 $hd1 $hd2
| mdadm --build /dev/md2 --level=1 --raid-devices=2 $hd3 $hd4
| mdadm --build /dev/md3 --level=0 --raid-devices=2 /dev/md2 /dev/md1
A.RAID 0
B.RAID 1
C.RAID 1+0
D.RAID 0+1
E.这个代码不起作用 (No effect)
C
代码中的第一行到第四行定义了四个硬盘的设备路径。接下来的三行使用 mdadm 命令来构建 RAID 数组。
在第五行,mdadm --build /dev/md1 --level=1 --raid-devices=2 $hd1 $hd2 指定构建一个 RAID 1 数组,该数组由两个设备 $hd1 和 $hd2 组成。
在第六行,mdadm --build /dev/md2 --level=1 --raid-devices=2 $hd3 $hd4 构建另一个 RAID 1 数组,由两个设备 $hd3 和 $hd4 组成。
最后,在第七行,mdadm --build /dev/md3 --level=0 --raid-devices=2 /dev/md2 /dev/md1 构建一个 RAID 0 数组,该数组由之前构建的两个 RAID 1 数组 /dev/md2 和 /dev/md1 组成。
因此,根据代码中的构建命令,将实现 RAID 1+0(RAID 10)配置。
79. 以下是运行在LINUX服务器中的服务清单。以下哪个命令可以关闭“bluetooth.service”服务?
|● vm-production-xabonline.com
| State: running
| Jobs: 0 queued
| Failed: 0 units
| Since: Fri 2023-05-19 08:37:06 UTC; 2 months 11 days ago
| CGroup:
| ├─init.scope
| │ └─ 1 /sbin/init
| ├─system.slice
| │ ├─bluetooth.service
| │ │ └─ 737 /usr/lib/bluetooth/bluetoothd
| │ ├─dbus.service
| │ ├─docker.service
| │ │ └─ 853 /usr/bin/dockerd -H fd://
| │ ├─libvirtd.service
| │ │ └─ 2975 /usr/bin/libvirtd --timeout 120
| │ ├─polkit.service
| │ └─virtlogd.service
| │ └─ 3176 /usr/bin/virtlogd
| └─user.slice
| └─user-1000.slice
A.systemctl kill bluetooth.service
B.systemctl disable bluetooth.service
C.systemctl down bluetooth.service
D.systemctl stop bluetooth.service
E.systemctl rm bluetooth.service
D
在Linux系统中,systemctl 命令用于管理系统服务,包括启动、停止、重启、禁用等操作。
80. cron服务在LINUX系统中充当作业调度程序。它实际上是在cron表(crontab)中指定的命令行列表 。现在准备启动和关闭一个Web服务器(httpd.service),如下所示:
上午8时30分(启动)- 下午6时06分(关闭);周一至周五
AM 0830 (start) - PM 0606 (Closed) ; Monday to Friday
以下哪个crontab设置适用于这种情况?
A.30 8 * 1-5 * /usr/bin/systemctl start httpd.service 及 06 18 * 1-5 * /usr/bin/systemctl
stop httpd.service
B.30 8 * * 1-5 /usr/bin/systemctl start httpd.service 及 06 18 * * 1-5
/usr/bin/systemctl stop httpd.service
C.30 8 1-5 * */usr/bin/systemctl start httpd.service 及 06 18 1-5 * */usr/bin/systemctl
stop httpd.service
D.30 8 * * * /usr/bin/systemctl start httpd.service 及 06 18 * * * /usr/bin/systemctl stop httpd.service;
E:以上都不是
B
对于这种情况,正确的crontab设置是选项 B. 30 8 * * 1-5 /usr/bin/systemctl start httpd.service 和 06 18 * * 1-5 /usr/bin/systemctl stop httpd.service。
在crontab中,时间表达式的格式为分钟 小时 日 月 星期 命令。
81. 以下哪个Linux命令可以显示目录中的所有文件,包括隐藏文件?
A. ls -ls
B. ls -asl
C. ls -lAs | wc
D. ls -als | grep ssh
E. None
B
在Linux中,ls 命令用于列出目录中的文件和子目录。要显示包括隐藏文件在内的所有文件,可以使用 -a 选项。该选项告诉 ls 显示所有文件,包括以点开头的隐藏文件。
82. 如果您想要检查Linux系统上可用的剩余磁盘空间量,您会使用以下哪个命令?
A.df -vh
B.df -sh
C. dl -vh
D.dd -sh
E.dt -vh
A
该命令用于显示磁盘空间使用情况和可用空间。选项 "-v" 用于显示详细信息,包括每个文件系统的大小、已用空间、可用空间和挂载点。选项 "-h" 则以人类可读的方式显示磁盘空间大小,使用适当的单位(如GB、MB)。
83. Dockerfile是一个文本文档,用于在Docker架构中生成以下哪个组件?
A.docker engine
B.image
C.container
D.volumes
E.docker network
B
Dockerfile定义了一系列的指令和配置,用于构建一个镜像。通过编写Dockerfile,可以指定基础镜像、安装软件包、配置环境变量、复制文件等操作,以生成一个可用的镜像。
84. 在Linux系统中,运行中程序的进程并位于内存区域,可以通过检查文件/proc/[pid]/maps来显示这
些内存区域。以下哪个不是Linux系统中的内存区?
A. [heap]
B. [stack]
C. [paging]
D. [vvar]
E. [vdso]
C
在Linux系统中,没有单独的内存区域叫做"[paging]"。该选项可能是个干扰项,因为在Linux中,内存分页是操作系统用于管理内存的一种机制,而不是一个特定的内存区域。
其他选项是常见的Linux内存区域:
A. [heap]:堆区,用于动态分配内存。
B. [stack]:栈区,用于存储函数调用和局部变量等。
D. [vvar]:虚拟变量区,包含一些内核和用户空间之间的变量。
E. [vdso]:虚拟动态共享对象,包含一些在用户空间和内核空间之间共享的函数。
85. 以下命令中,哪个命令可以对"export-logs"输出进行排序?
A:export-logs<sort
B:export-logs>sort
C:export-logs&sort
D:export-logs|sort
E:export-logs<>sort
D
该命令使用管道符号 "|" 将"export-logs"的输出发送到"sort"命令。管道符号表示将前一个命令的输出作为后一个命令的输入。因此,"export-logs"命令的输出将作为"sort"命令的输入,并对其进行排序。
86. 哪些文件会影响Linux主机的名称解析功能?(多选题)
A./etc/resolv.conf
B./etc/hosts
C./etc/default/names
D./etc/nsswitch.conf
E./etc/inet/hosts
ABD
A. /etc/resolv.conf:该文件用于配置DNS解析器的设置,包括DNS服务器地址、搜索域等。
B. /etc/hosts:该文件包含了主机名与IP地址的映射关系,可以用于本地名称解析。
D. /etc/nsswitch.conf:该文件定义了系统名称解析服务的顺序和配置,例如使用何种方式解析主机名、用户和组等。
选项C. /etc/default/names 和选项E. /etc/inet/hosts 不是常见的Linux系统文件,无法直接影响主机的名称解析功能。
87. 哪个系统文件包含了一般的端口、关联的服务和协议?
A./etc/services
B./etc/sysconfig/network-scripts
C./etc/services.conf
D./etc/inet/hosts
E.Noneofthechoices
A
该文件包含了常见的网络服务和对应的端口号以及使用的协议。它是用于提供端口与服务的映射关系的配置文件。
88. 参考' Windows 10 ' 文件夹回答以下题目
在 Windows 10 中 \Users\qqqqq\Downloads,视频文件(mixkit-two-women-laying-together-
925-medium.mp4),在MFT 中分成多少个Data Cluster 储存?
提示: 请以阿拉伯数字作答
5
89.参考' Windows 10 ' 文件夹回答以下题目,在Windows 10中\Users\qqqqq\Downloads\mixkit-two-woman-laying-together-925-medium.mp4的last Access时间是多少?
A. 2023/07/10 18:31:32
B. 2023/07/10 18:31:01
C. 2023/07/10 19:31:22
D. 2023/07/11 19:31:22
取证大师可以最后访问时间为2023/07/10 18:31:32
90. 参考'Windows 7'文件夹回答以下题目,在Windows 7中\Users\Allen\Desktop,有1个MP3文件(例:unlock-me-149058.mp3),用户使用什么程序打开该MP3文件? 提示:请以小写字母作答
potplayer
仿真起来直接打开文件,之前的操作使用的就是potplay
91. 参考'Windows 7'文件夹回答以下题目,在Windows 7中'\Users\Allen\Desktop '有1个MP3文件(unlock-me-149058.mp3),该文件的Zone identiflier为'3'。上述'3'字代表哪一个security Zone ?
A. Local Machine Zone
B. Internet Zone
C. Restricted Zone
D. Trust Site Zone
B
对于一个MP3文件的Zone identifier为'3',根据常见的Windows安全区域(Security Zone)设置,'3' 对应的安全区域是 Internet Zone(互联网区域)。
0:本地计算机区域(Local Machine Zone)
1:本地局域网区域(Local Intranet Zone)
2:受信任的站点区域(Trusted Sites Zone)
3:受限制区域(Restricted Zone)
4:Internet区域(Internet Zone)
92. 参考'Windows 7'文件夹回答以下题目,在 Windows 7中\Users\Allen\Desktop有1个MP3文件 (unlock-me-149058.mp3),该文件从哪个网站下载?
A. www.Pixbay.com
B. free-mp3-download.net/
C. https://mp3juices.nu
D. mygomp3.com
A
谷歌浏览器里面缓冲中找到了下载的网站
93. 参考'Windows 7'文件夹回答以下题目,在 Windows 7中\Users\Allen\Downloads内有mp3文件(miracle.mp3),更改名称时间?
A. 2023-07-13 02:55:20
B. 2023-07-15 10:55:20
C. 2023-07-12 10:58:04
D. 2023-07-13 10:55:20
D
火眼里面有个耗时任务-->NTFS日志解析可以看到修改的时间
94. 参考'Windows 7'文件夹回答以下题目,在Windows 7中\Users\Allen\Downloads内有mp3文件(miracle.mp3),mp3文件更改名称前的名称是什么?提示: 请以与记录相同的名称与文件格式作答
small-miracle-132333.mp3
火眼里面有个耗时任务-->NTFS日志解析可以看到更改前的名称
95. 参考'Windows 7'文件夹回答以下题目,在Windows 7中有多少个文件曾被potplayer播放?
A. 7
B. 8
C. 9
D. 10
B
96. 参考'Windows 7' 文件夹回答以下题目,在Windows 7中,potplayer最后播放的文件名?提示: 请以与记录相同的名称(包括小写字母、阿拉伯数字与符号)与文件格式作答
unlock-me-149058.mp3
直接打开potplay就可以看到
97. 事件应急小组 ( IR team)正在处理一起网络事件。 调查显示,目标服务器是一个 EC2 Linux 实例,与该事件有关。该团队打算获取Linux系统的内存(使用SHA256)。 与该事件关联的 AWS 账户以用户名“duckman”注册。 为了促进内存获取过程,该团队建立了专用的“取证服务器”。 并使用“LiME ”通过网络获取内存。以下哪一个指令是设定取证服务器以作取得内存内容的初步步骤?
A.nc -l 4444 >mem126.lime.gz
B.Insmod lime.ko “pathtcp:4444 format=lime digest=sha256 compress=1”
C.scp -I ~/DFIRSciAWTest.pem lime.ko ec2-duckman@3.137.169.127:~/
scp -I ~/DFIRSciAWTest.pem /usr/bin/nc ec2-duckman@3.137.169.127:~/
D.ssh duckman@<target_server_ip> "sudo dd if=/dev/mem | gzip -1 -" >
memory_dump.gz
B
该指令使用了"insmod"命令,加载了名为"lime.ko"的内核模块。通过指定参数"pathtcp:4444 format=lime digest=sha256 compress=1",设置将内存内容通过网络传输到取证服务器。其中,"pathtcp:4444"表示通过TCP协议的4444端口进行传输,"format=lime"表示以LiME格式获取内存,"digest=sha256"表示使用SHA256算法进行哈希校验,"compress=1"表示启用压缩。
98.基于两个SQLite数据库文件“cus_202308102034.json”和“date_202308101120.json”。请编译一个 SQLite 脚本找出谁前往目的地“莫斯科"。包括所有客户的姓名、目的地、“arrival_timestamp_HK”[将时间戳转换为本地时间并将该列命名为“local_time”]。
A. SELECT c.customer_name, c.destination, datetime(d.arrival_timestamp_HK,
'unixepoch', 'localtime') AS arrival_time_hk
FROM cus c
INNER JOIN date d ON c.destination = d.Destination
WHERE c.destination = 'Moscow';
B.SELECT cus.customer_name,cus.destination, datetime(date.arrival_timestamp_HK,
'unixepoch', 'localtime') AS arrival_time_hk
FROM cus
INNER JOIN date ON customer_id = date.id
WHERE cus.destination = 'Moscow'
AND date.Destination = 'Moscow'
AND date.arrival_timestamp_HK IS NOT NULL
AND datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime')
C. SELECT cus.customer_name, cus.destination, date.arrival_timestamp
FROM cus
INNER JOIN date ON cus.destination = date.destination;
WHERE cus.destination = 'Moscow'
AND date.Destination = 'Moscow'
D. SELECT cus.customer_name, cus.destination,
datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime') AS arrival_time_hk
FROM cus
INNER JOIN date ON cus.destination = date.Destination
WHERE cus.destination = 'Moscow'
AND date.Destination = 'Moscow'
AND date.arrival_timestamp_HK IS NOT NULL
AND datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime')
D
使用 INNER JOIN 将 "cus" 表和 "date" 表连接,连接条件为 "cus" 中表的 "destination" 列与 "date" 表中的 "Destination" 列相匹配。
在 SELECT 子句中选择客户姓名(customer_name)、目的地(destination),以及使用datetime函数将 "arrival_timestamp_HK" 列的时间转换为本地时间,并将结果列命名为 "arrival_time_hk"。
在 WHERE 子句中,筛选出目的地为 'Moscow' 的记录,并确保“arrival_timestamp_HK”列不为空。
99. 写一个Powershell的脚本以提取正在连接到Window 11计算机的可移动设备的记录。就每一个装置记录,提取相关的数据如装置名称、制造商、装置详情、硬件编号。及后用 “Write-Host” 指令题示数据。
# 获取连接到Windows 11计算机的可移动设备记录
$portableDevices = Get-PnpDevice | Where-Object {$_.Class -eq "PortableDevice"}
# 遍历每个可移动设备记录并提取相关数据
foreach ($device in $portableDevices) {
$deviceName = $device.Name
$manufacturer = $device.Manufacturer
$deviceDetails = $device.PnpDeviceID
$hardwareID = $device.HardwareID
# 显示提取的设备数据
Write-Host "设备名称: $deviceName"
Write-Host "制造商: $manufacturer"
Write-Host "设备详情: $deviceDetails"
Write-Host "硬件编号: $hardwareID"
Write-Host "-----------------------"
}
该脚本使用Get-PnpDevice命令获取连接到Windows 11计算机的所有设备记录。然后,使用Where-Object筛选出设备类别为"PortableDevice"的可移动设备记录。接下来,使用foreach循环遍历每个可移动设备记录,并提取设备名称、制造商、设备详情和硬件编号等相关数据。最后,使用Write-Host指令将提取的设备数据显示在控制台上。
100. 以下 PowerShell 脚本用于从 Windows Server 2012 R2 获取具有管理员权限的所有使用者活动。
Get-WinEvent -FilterHashtable @{
LogName = 'Security'
ID = 4688
Level = 0
} | Where-Object {+B86
$_.Properties[?].Value -match 'S-1-5-21-\d+-500'
} | Select-Object -Property TimeCreated, Message
使用 "Where-Object" 命令来进一步过滤事件。
事件的属性 "$_.Properties[?]" 中的参数是什么?
如果事件的第 9 个属性与内建的 Administrator 账户的安全标识符(SID:S-1-5-21-<domain>- 500)匹配,则确保只选择与管理员活动相关的事件。
8
在提供的脚本中,Where-Object命令用于进一步过滤事件。属性$_.Properties[?]中的参数是索引值,用于指定要访问的属性在事件属性列表中的位置。
根据描述,要匹配管理员账户的安全标识符(SID:S-1-5-21-<domain>-500),应该将?替换为属性索引值,以获取正确的属性值进行匹配。
更新后的脚本将确保只选择与管理员活动相关的事件,通过匹配第 9 个属性(索引值为 8)的值与内建的 Administrator 账户的安全标识符进行比较。
2558
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
