话不多说,案情👇
“美亚杯”第四届中国电子数据取证竞赛-团体赛本次比赛共1 个章节, 120 个小题, 比赛时长300 分钟, 总共120分
经警方调查发现,黑客通过一台云端服务器窃取了林胜和其他受害人的用户数据,同时还发现这台服务器曾经向一家名为【荣科数码RKD】的电子商贸公司发动过网络攻击,警方对此进行进一步调查。
随后警方封存了黑客控制的命令服务器(C&C服务器),以及受害公司的电子设备。你的团队负责对相关的电子设备进行电子数据取证,找出黑客是如何发动攻击的。
单项选择
第A部份 (第 1 至 12 题) : 根据镜像文件 "c2server.E01" 的内容,回答关于黑客控制的命令服务器(C&C服务器)的问题。
1.黑客控制的命令服务器(C&C服务器)是什么版本的系统? (1分)
A. CentOS 7
B. CentOS 6
C. Ubuntu 18.04
D. Ubuntu 16.04
E. Ubuntu 14.04
2. [单选题] 2.该C&C服务器 /dev/sda1 的通用唯一标识符 (UUID) 是什么? (1分)
A. a69c799c-7f0e-4191-9748-66a7e6bc37ad
B. 35a727cd-4440-438f-b3dd-0f82d37f8c0e
C. ec593f12-e418-492d-97af-b804b8208d99
D. 4fce5b91-e899-4807-882f-78c9bcfa66e5
E. 07febb97-674c-4cae-803c-19ce92024ce
lsblk –f (列出所有块设备的信息)
3. [单选题] 3.系统的时区设定是什么? (1分)
A. Asia/Macao
B. Asia/Hong_Kong
C. Hongkong
D. GMT
E. Etc/GMT+8
timedatectl命令
4. [单选题] 4.黑客曾上传受害公司荣科数码(RKD)文件到C&C服务器,上传方式包括: (i)ftp (ii)ssh (iii)telnet (1分)
A. (i)
B. (ii)
C. (iii)
D. (i) and (ii)
E. (ii) and (iii)
看历史记录,没找ssh和telnet
可以通过查看ftp日志文件,即transfer.log查看
5. [单选题] 5.黑客曾使用哪一个文件传输协议(FTP)服务账户,用作登入C&C服务器上传档案? (1分)
A. upload
B. C&C
C. ftpuser
D. root
E. rdkuser
通过上述日志可知
6. [单选题] 6.接上题,C&C服务器中使用了哪个系统账户用作使用文件传输协议(FTP)服务? (1分)
A. upload
B. C&C
C. ftpuser
D. root
E. rdkuser
查看历史命令,有增加用户
7. [单选题] 7. 根据黑客上传的档案,你能找到荣科数码路由器的物理地址(Mac Address)是什么? (1分)
A. A0:B4:A5:E6:86:23
B. EC:1A:59:50:F9:02
C. 74:EA:3A:A3:0D:46
D. 8C:0D:76:B0:69:5C
E. 14:91:82:73:6D:FD
翻FTP目录,发现图片后找到荣科办公室IP和MAC,在找到arp表,找到网关即.1,对应的ip怀疑为路由器MAC地址
8. [单选题] 8.黑客在使用什么软件以暴力破解法取得 Wifi的密码? (1分)
A. Wireshark
B. Fern WiFi Wireless Cracker
C. Kismet
D. Aircrack-ng
E. WepAttack
9. [单选题] 9.黑客在什么时候将网络摄录镜头的配置文件cam_config_backup.bin上载到C&C服务器? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (1分)
A. 2018-11-01 15:13:17 +8
B. 2018-11-01 17:14:26 +8
C. 2018-11-01 17:18:07 +8
D. 2018-11-01 17:18:24 +8
E. 2018-11-01 17:18:28 +8
10. [单选题] 10.哪一个网络地址(IP Address)可追查黑客的位置? (1分)
A. 192.168.7.12
B. 218.255.242.113
C. 218.255.242.117
D. 220.246.55.13
E. 220.246.55.160
通过查看FTP日志可找到上传者IP
11. [单选题] 11.在命令控制服务器(C&C服务器)中找出从数据库服务器盗取的数据档案,该档案包含多少个数据库? (1分)
A. 1
B. 2
C. 3
D. 4
E. 5
通过ftp日志,找到对应数据压缩包,但目前找不到解压密码
12. [单选题] 12.接上题,从该数据库寻找到受害人林胜"Victor"的顾客资料及交易数据是否存在,以及包含以下属于他的什么数据: (i)电邮地址 (ii)信用卡号码 (iii)身份证号码 (1分)
A. (i)
B. (ii)
C. (i) (ii)
D. (i) (ii) (iii)
E. 没有该数据存在
[单选题] 13.根据镜像文件 "IT_Notebook.E01" 的内容,回答关于荣科数码(RKD)的笔记本计算机的问题。
13.荣科数码(RKD)的笔记本计算机,其操作系统共有多少个可登录用户? (1分)
A. 1
B. 2
C. 3
D. 4
E. 5
14. [单选题] 14.该笔记本计算机硬盘的第5分区为Bitlocker加密盘,寻找相关的恢复密钥。该密钥最后一组数字为? (1分)
A. 405579
B. 236947
C. 663058
D. 193194
E. 231904
将分区4卷影分析后找到key,即使解密文件
15. [单选题] 15.该笔记本计算机硬盘的操作系统是什么? (1分)
A. 视窗XP 专业版
B. 视窗7 企业版
C. 视窗8 家用版
D. 视窗10 专业版
E. Linux Ubuntu 18.04 LTS
16. [单选题] 16.黑客是通过什么方式入侵该笔记本计算机的操作系统? (1分)
A. 远程桌面暴力破解(RDP Brute Force)
B. 病毒感染入侵
C. 操作系统漏洞入侵
D. 分布式拒绝服务入侵(DDoS)
E. SQL注入漏洞入侵
通过查看登录日志,发现大量失败登录信息,可验证属于远程暴力破解
17. [单选题] 17.接上题,黑客是通过哪个网络地址(IP Address)入侵该荣科数码的操作系统? (1分)
A. 192.168.7.11
B. 192.168.7.12
C. 192.168.7.16
D. 192.168.7.102
E. 192.168.7.103
18. [单选题] 18.接上题,黑客首次成功入侵该操作系统的日期时间? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (1分)
A. 2018-10-25 16:18:44 +8
B. 2018-11-01 15:23:07 +8
C. 2018-11-01 15:31:42 +8
D. 2018-11-01 15:36:51 +8
E. 2018-11-01 17:42:08 +8
上图👆(ID4624表示成功登陆)
19. [单选题] 19.接上题,黑客用于入侵该操作系统的工作站名称? (1分)
A. RKD-OFFICE
B. BLACK-I
C. WIN-H6OUSLN5PIH
D. ANONYMOUS
E. RKD-GUEST
20. [单选题] 20.黑客在该笔记本计算机的Windows资源管理器(Windows Explorer)中曾搜寻过的文字? (1分)
A. iexplorer, password, login
B. user, password, security
C. s, documents, excel
D. login, password, ipcam
E. password, iexplorer, s
21. [单选题] 21.入侵该笔记本计算机后,黑客透过命令提示符(cmd)执行某些命令,紧接生成了什么文件? (1分)
A. ip.txt
B. arp.txt
C. netscan.txt
D. ip.txt, arp.txt
E. ip.txt, arp.txt, netscan.txt
查看快捷方式记录,结合入侵时间大致确定生成文件
22. [单选题] 22.从笔记本计算机中,寻找黑客的命令控制服务器(C&C服务器)的网络位置? (1分)
A. 220.246.55.208
B. acdn.adnxs.com
C. 3a95a35cd6b35f714120f210c0ac0c10.clo.footprintdns.com
D. code.jquery.com
E. 220.246.55.212
搜选项
23. [单选题] 23.黑客在该笔记本计算机系统通过什么形式链接命令控制服务器(C&C服务器)? (1分)
A. FTP
B. SSH
C. TELNET
D. HTTP
E. SFTP
同上
24. [单选题] 24.黑客从命令控制服务器(C&C服务器)下载过什么档案到该笔记本计算机? (1分)
A. putty-64bit-0.70-installer.msi
B. iepv.zip
C. WinSCP-5.13.4-Setup.exe
D. mimikatz_trunk.7z
E. 以上皆是
25. [单选题] 25.黑客从笔记本计算机的网络浏览器Internet Explorer下载过什么档案? (1分)
A. netscan_portable.zip
B. 7z1805-x64.exe
C. mimikatz_trunk.zip
D. mimikatz_trunk.7z
E. 以上皆是
26. [单选题] 26.黑客入侵该笔记本计算机系统后,曾安装过什么软件? (1分)
A. 7-Zip
B. WinSCP
C. PuTTY
D. Mimikatz
E. SoftPerfect Network Scanner
27. [单选题] 27.在笔记本计算机中,黑客执行程序\Users\Administrator\Desktop\netscan_portable\64-bit\netscan.exe的具体时间? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (1分)
A. 2018-11-01 16:07:12 +8
B. 2018-11-01 16:16:49 +8
C. 2018-11-01 16:04:34 +8
D. 2018-11-01 17:25:12 +8
E. 以上皆不是
28. [单选题] 28.2018年11月1日16:06,在笔记本计算机中有多少个关于网络信息的档案被黑客建立? (1分)
A. 1
B. 2
C. 3
D. 4
E. 5
29. [单选题] 29.在笔记本计算机中,黑客执行程序\Users\Administrator\Desktop\iepv\iepv.exe的具体时间? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (1分)
A. 2018-11-01 16:07:12 +8
B. 2018-11-01 16:09:07 +8
C. 2018-11-01 16:17:51 +8
D. 2018-11-01 16:18:18 +8
E. 以上皆非
30. [单选题] 30.接上题,执行程序iepv.exe涉及什么dll文件? (1分)
A. NTDLL.DLL
B. MSVCRT.DLL
C. BCRYPTPRIMITIVES.DLL
D. WINDOWS.STORAGE.DLL
E. 以上皆是
31. [单选题] 31.接上题,紧接程序iepv.exe执行后,有什么档案被建立,该档案哈希值(MD5)为? (1分)
A. EDCE37A107A0D661D6B2ABD3449A156E
B. FE26492B12917DFE1B5A65252B8B4798
C. E23B7F04247A927E6EB98C26200135E1
D. B3C9312AC745F20F936577D426456AD8
E. E0836588DA17DA632B82CC2FDDE59E98
32. [单选题] 32.在笔记本计算机中,黑客曾执行程序\Users\Administrator\Downloads\mimikatz_trunk\x64\mimikatz.exe多少次? (1分)
A. 2
B. 3
C. 4
D. 5
E. 6
33. [单选题] 33.接上题,执行上述mimikatz.exe后,黑客曾经输入了什么命令符? (1分)
A. debug, logonpasswords
B. logon, passwords
C. privilegE::debug, sekurlsA::logonpasswords
D. privilegE::logon, sekurlsA::passwords
E. 以上皆不是
mimikatz日志说的
34. [单选题] 34.接上题,mimikatz.exe执行上述命令符后,哪项信息可被黑客用作破解该系统其他用户的密码? (1分)
A. NTLM: e19ccf75ee54e06b06a5907af13cef42
B. NTLM: 059b6a3134dd40d5543c59da1e10c664
C. SHA1: 9131834cf4378828626b1beccaa5dea2c46f9b63
D. SHA1: 116f90c6089215de0d7f4f530c9276f75a6c5209
E. 以上皆不是
35. [单选题] 35.接上题,续上述mimikatz的结果,该密码长度为多少字符? (1分)
A. 6
B. 7
C. 8
D. 9
E. 以上皆不是
破解查看位数
36. [单选题] 36.在笔记本计算机中,黑客是否使用网络浏览器进入过荣科数码的网络摄像机(IP Camera)进行浏览?如进入过,具体日期及时间为? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (1分)
A. 没有
B. 2018-11-01 16:02:37 +8
C. 2018-11-01 16:09:30 +8
D. 2018-11-01 17:17:14 +8
E. 以上皆不是
也可以根据入侵时间找到痕迹
37. [单选题] 37.在笔记本计算机中,除网络浏览器外,黑客还通过什么软件入侵网络摄像机(IP Camera)? (1分)
A. WinSCP
B. FileZilla
C. PuTTY
D. 命令提示符(CMD)
E. 档案总管
发现winscp有过连接记录
38. [单选题] 38.在笔记本计算机中,黑客从网络摄像机提取了1个档案到该系统硬盘,该档案的哈希值(MD5)为? (1分)
A. 79985D36B7A860473AA19A0B82B4747E
B. CA47E27329203C266372D04475DB2C57
C. B6C75B8D8C99C35973ECF55C4C345F51
D. C28983B21CA6558D00806CCBDCA5D502
E. BBB0C766E5F65DB23F5F317738FDBCB5
FTP传输日志中,曾出现一个备份配置文件
39. [单选题] 39.接上题,分析上述从网络摄像机提取的档案,除账户admin外还有什么登陆账户发现? (1分)
A. user
B. public
C. guest
D. user, guest
E. user, public
浏览上述BIN文件
40. [单选题] 40.接上题,网络摄像机可以透过什么方式链接多流媒体服务器? (1分)
A. SFTP
B. TELNET
C. SSH
D. FTP
E. 以上皆不是
41. [单选题] 41.在笔记本计算机中,黑客曾经使用系统的记事本(Notepad)最后开启的一个文件名称为? (1分)
A. config_alarm.ini
B. config_3thddns.ini
C. readme.txt
D. desktop.ini
E. 以上皆不是
可以看notepad最后运行时间
找时间对应文件👇最后打开的应该是alarm
42. [单选题] 42.在笔记本计算机中,黑客最后把被入侵用户桌面的档案全部删除,具体删除的日期时间是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (1分)
A. 2018-11-01 15:32:46 +8
B. 2018-11-01 15:34:29 +8
C. 2018-11-01 17:32:29 +8
D. 2018-11-01 17:43:09 +8
E. 以上皆不是
删除档案肯定是在远程服务断开之前,结合磁盘快照对比,可以验证删除日期在16:20至17:34之间,锁定答案
第C部份 (第 43 至 54 题) : 根据镜像文件 "Streaing Server.E01" 的内容,回答关于荣科数码(RKD)的流媒体服务器的问题。
(经过几次尝试,发现此镜像好像难以仿真,但在取证软件中也仍可按照思路来,直接看历史命令,发现通过历史命令能分析、解答出不少题目)
43.荣科数码(RKD)的流媒体服务器的主机名称是什么? (1分)
A. pi
B. Streaming Service
C. C&C Server
D. RKD
E. raspberrypi
44. [单选题] 44.黑客首次进入流媒体服务器的时间是什么? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC) (1分)
A. 2018-11-01 16:17
B. 2018-11-01 08:34
C. 2018-11-01 08:17
D. 2018-11-01 01:17
E. 2018-11-01 00:42
查看登录信息,只有图中选中时刻持续时间最长,客户端ip不同
45. [单选题] 45.下面哪一个是流媒体服务器 "eth0" 的网络地址(IP Address)? (1分)
A. 10.0.4.10
B. 10.0.4.15
C. 192.168.7.11
D. 192.168.7.12
E. 192.168.7.103
查看历史命令可知
46. [单选题] 46.下面哪一个是流媒体服务器 "wlan0" 的网络地址(IP Address)? (1分)
A. 10.0.4.10
B. 10.0.4.15
C. 192.168.7.11
D. 192.168.7.12
E. 192.168.7.103
历史命令,发现把网卡信息存在home/pi/.tmp/ip下
查看ip文件,发现👇
47. [单选题] 47.下面哪一个是流媒体服务器曾经同步时间的网络时间协议(NTP)服务器的网络地址(IP Address)? (1分)
A. 192.168.7.1
B. 10.0.4.1
C. 110.115.125.123
D. 203.95.213.129
E. 220.246.55.208
查找系统日志,syslog文件,搜索ntp找关键词
48. [单选题]在流媒体服务器中,根据账户"pi"的指令记录,黑客首次输入指令 "cat /etc/shadow" ,他从中获得了什么信息? (1分)
A. 流媒体服务器内的用户名称
B. 流媒体服务器内的用户密码
C. 流媒体服务器内的用户密码更换日期
D. 流媒体服务器的网络位置
E. 因没有权限,什么信息也得不到
历史命令中,如果有权限,就不会提权
49. [单选题] 49.在流媒体服务器中,账户"pi"曾在流媒体服务器安装了什么软件? (i) nmap (ii) arp-scan (iii) bind9 (1分)
A. (i)
B. (ii)
C. (iii)
D. (i)、(ii) and (iii)
E. (ii) and (iii)
同样翻看历史记录,可以得知装过nmap,arp-scan,且wlan0网卡信息也与arp-scan有关,再往下看,发现装过proftpd,bind9。
50. [单选题]为什么黑客在流媒体服务器安装 "bind9"? (1分)
A. 为取得流媒体服务器 "root" 的权限
B. 为记录键盘的记录
C. 为截取网络上的数据包
D. 为提供域名系统服务(DNS)
E. 为扫描网络中其他计算机的网络位置
不知道是干啥的,直接上网搜
51. [单选题] 51.黑客把C&C服务器下载的档案sys.c放置在数据库服务器哪一个位置? (1分)
A. /
B. /home/
C. /home/root/
D. /home/rongke/
E. /home/auxsup/
历史记录
52. [单选题] 52.为什么黑客能够连接网路 10.0.4.0/24 ? (1分)
A. 因为此网路连接了互联网
B. 因为路由器中的访问控制列表(Access Control List)没作出限制
C. 因为流媒体服务器同时接驳了互联网及上述网路
D. 因为网络摄影机同时接驳了互联网及上述网路
E. 以上皆不是
看46题图可知
53. [单选题] 53.黑客在流媒体服务器加入了多少条防火墙规则? (1分)
A. 0
B. 1
C. 2
D. 3
E. 4
历史记录,iptable涉及防火墙
54. [单选题] 54.在流媒体服务器中,黑客何时在删除档案 "HACK.jpg"? (答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (1分)
A. 2018-11-01 09:09:15 +8
B. 2018-11-01 17:12:40 +8
C. 2018-11-01 17:15:02 +8
D. 2018-11-02 09:09:15 +8
E. 2018-11-02 17:15:02 +8
第D部份 (第 55 至 84 题) : 根据镜像文件,其文件名为 "RongkeDatabaseD1.E01", "RongekeDatabaseD2.E01", "RongekeDatabaseD3.E01" 的内容,回答关于荣科数码(RKD)的数据库服务器的问题。 注意: 该系统时区未被正确设定,记录文件(log)内的时间较实际时间快16小时,且没有连结互联网。
55.荣科数码(RKD)的数据库服务器有多少个磁盘冗余数组(RAID)的虚拟块设备Multiple Devices(md)? (1分)
A. 0
B. 1
C. 2
D. 3
E. 4
56. [单选题] 56.该数据库服务器设有多少个卷组(VG)、逻辑卷(LV)? (1分)
A. 一个卷组、两个逻辑卷
B. 两个卷组、两个逻辑卷
C. 两个卷组、三个逻辑卷
D. 三个卷组、三个逻辑卷
E. 三个卷组、四个逻辑卷
57. [单选题] 57.该数据库内,挂载"/home"分割所在的卷组(VG)的UUID为? (1分)
A. YaPmrx-aWuN-jB9F-bK6V-5mrf-qDD1-RKttcS
B. zd02XF-jjsB-Nelp-RhA3-Xesv-PbXZ-FbVYsv
C. 6tPmv1-CHhY-3Th3-d1ZO-NkCE-JH3k-zp4dtA
D. CHFrqt-VMqH-eTcq-6khn-k8MC-UO4i-zZwuWN
E. MOHN39-Ly2p-5km1-d2mi-3SeN-fTVu-y0PF58
58. [单选题] 58.该数据库内,"/boot"所在的虚拟块设备(Multiple Devices)总阵列大小(ARRAY SIZE)? (1分)
A. 3900416 (3.72 GiB 3.99 GB)
B. 6831104 (6.51 GiB 7.00 GB)
C. 10218496 (9.75 GiB 10.46 GB)
D. 5109248 (4.87 GiB 5.23 GB)
E. 3415552 (3.26 GiB 3.50 GB)
找到/boot👇
查看阵列大小👇
59. [单选题] 59.该数据库服务器的时区设定为? (1分)
A. Asia/Macao
B. Asia/Hong_Kong
C. Hongkong
D. GMT
E. Etc/GMT+8
60. [单选题] 60.根据串流服务器的记录, 黑客入侵后曾横向登入数据库服务器,其登入方式包括: (i)ftp (ii)ssh2 (iii)telnet (1分)
A. (i)
B. (ii)
C. (iii)
D. (i) and (ii)
E. (ii) and (iii)
在流媒体服务器历史记录中找到👇
数据库服务器中查看历史登录也可验证通过远程登陆进来👇
61. [单选题] 61.接上题,首次成功登入数据库服务器的时间及账户为? (答案格式 - 账户名称 日期时间 “依第59条时区设定作答":YYYY-MM-DD HH:MM) (1分)
A. rkdadm 2018-11-01 16:33
B. auxsup 2018-11-01 16:33
C. auxsup 2018-11-02 08:33
D. root 2018-11-01 16:33
E. root 2018-11-01 16:31
根据上一部分题目,黑客进入流媒体服务器时间为11月1日16:17分,因此服务器快16小时,且上体提示横向入侵数据库,因此应为第一个11月2日8时的时间👇
62. [单选题] 62.接上题,该账户在数据库服务器属于以下哪些用户组? (i)root (ii)www-data (iii)sudo (1分)
A. (i)
B. (ii)
C. (i) and (ii)
D. (ii) and (iii)
E. 以上皆不是
63. [单选题] 63.在该成功远程登录数据库服务器前曾经被多次登入失败,登入的用户名称包括: (i)root (ii)admin (iii)pi (1分)
A. (i)
B. (ii)
C. (i)及(iii)
D. (ii)及(iii)
E. 以上皆是
64. [单选题] 64.接上题,该账户登入数据库服务器后,使用了哪一个CVE的漏洞进行提权? (1分)
A. CVE - 2015 - 1328
B. CVE - 2015 - 8660
C. CVE - 2017 - 1000112
D. CVE - 2017 - 0358
E. CVE - 2017 - 16995
65. [单选题] 65.接上题,黑客在数据库服务器进行提权中曾使用哪些工具? (1分)
A. exec
B. javaw
C. msfvenom
D. psexe
E. gcc
66. [单选题] 66.黑客在数据库服务器成功提权后,紧接进行了什么动作? (1分)
A. 使用另一账户登入
B. 制作后门
C. 截取数据包
D. 建立新账户
E. 安装软件
67. [单选题] 67. 除首次被黑客登入的帐户外,还有什么账号被不当地登入使用? (1分)
A. rkduser
B. rkduser1
C. rkduser2
D. rkduser3
E. rkduser4
68. [单选题] 68.该数据服务器经哪个IP得到连接互联网功能? (1分)
A. 10.0.4.1
B. 10.0.4.10
C. 10.0.4.16
D. 192.168.7.103
E. 10.0.4.17
搜搜选项,发现rkduser历史记录中加了ip
69. [单选题] 69.黑客在数据库服务器设定了一个反向shell(reverse shell)后门,请找出该连接使用什么端口(Port) ? (1分)
A. 5251
B. 5140
C. 40
D. 51
E. 5152
下题定时任务中可看
70. [单选题] 70.接上题,该数据库服务器的后门何时会执行? (1分)
A. 管理员登入
B. 系统开机时
C. 数据库被存取时
D. 每一天
E. 每一分钟
71. [单选题] 71.黑客在该数据库服务器中进行了内网扫描,其扫描范围是: (1分)
A. 10.0.4.0 / 22
B. 10.0.4.0 / 24
C. 192.168.7.0 / 24
D. 192.168.7.103 / 24
E. 10.0.4.15 / 24
72. [单选题] 72.接上题,在该内网中有一台主机名名称为"RKDSERVER1",黑客曾由数据库试图登入该主机,其登入方式为: (i)ftp (ii)ssh2 (iii)telnet (1分)
A. (i)
B. (ii)
C. (iii)
D. (i)及(ii)
E. (ii)及(iii)
扫完内网之后,查看host文件直接telnet登陆。打开host文件发现内网主机
73. [单选题] 73.黑客在登入期间,曾经尝试登入数据库服务器的MYSQL数据库,总共失败多少次?(MYSQL的记录文件时间设定较实际时间快4小时) (1分)
A. 6
B. 8
C. 10
D. 12
E. 14
查看mysql日志 /var/log/mysql/err.log
74. [单选题] 74.在数据库服务器中,档案路径 "\home\rkduser\t" 是什么类型的档案? (1分)
A. tcpdump capture file
B. ELF 64-bit LSB executable, x86-64
C. ASCII text
D. UTF-8 Unicode text
E. Bourne-Again shell script
👇
75. [单选题] 75.在数据库服务器中,黑客使用什么指令工具对数据包进行截取? (1分)
A. arp-scan
B. nmap
C. fgdump
D. tcpdump
E. wireshark
看历史
76. [单选题] 76.接上题,黑客共截获多少个数据包项目? (1分)
A. 1041
B. 2825
C. 6070
D. 4032
E. 5484
这个老六,能用wireshark打开
77. [单选题] 77.接上题,截取数据包过程中,有多少次上述反向shell(Reverse shell)后门的成功连接? (1分)
A. 0
B. 14
C. 1
D. 15
E. 7
由前面题可知,后门地址和端口。直接过滤,观察数据包,发现所有有关数据被均未连接成功
78. [单选题] 78.接上题,黑客从数据包中获得的MYSQL数据库密码长度是多少个字符? (1分)
A. 4
B. 6
C. 9
D. 12
E. 15
首先过滤mysql,其次搜索字符串password,还想改密码记录
79. [单选题] 79.黑客登入上述MYSQL数据库后,曾在CLI界面使用MYSQL命令进行了多少个数据库及数据表(Table)的浏览? (1分)
A. 一个数据库内的两个数据表
B. 两个数据库内的两个数据表
C. 一个数据库内的三个数据表
D. 两个数据库内的三个数据表
E. 三个数据库内的三个数据表
发现mysql_history有好几个用户的,查看rkduser,发现命令记录
80. [单选题] 80.数据库服务器中,黑客曾连接过哪一个FTP服务器? (1分)
A. 220.246.55.208
B. 10.0.4.10
C. 10.0.4.16
D. 192.168.7.103
E. 220.246.55.13
81. [单选题] 81.接上题,该FTP服务器的上载账号名称及密码是: (1分)
A. upioad, 123456
B. upload, 123456
C. upload, 12345
D. admin, 123456
E. admin, abcdef
过滤FTP包,发现用户及密码
82. [单选题] 82.黑客在数据库服务器注销前,进行了什么动作? (1分)
A. 传送数据库数据
B. 删除命令痕迹
C. 汇出数据库
D. 卸除软件
E. 设置后门
发现nano,怀疑修改历史记录
试了一下,还真能改👇
83. [单选题] 83.在数据库服务器中,恢复inode值为258177的档案,计算其SHA1哈希值 (1分)
A. 42323B19952CF79D626AD51FF14A5F201CFE969C
B. B151D2CCE44D80AB860879C0FE5BB7326C5A7F3D
C. EA4A616DF97B59F7672865DC1FB449DD8E4DF3E2
D. 8C3A07CC7E594E696F3C7A79EDB9C762905839A1
E. B3CDCEABD7B672603F9D6F63D037053C63D5F5B6
首先找到索引为258177文件,发现已被分配
查看该文件所在卷组
使用extundelete恢复该文件
算出后没找到答案。。。。不知道哪里出问题
84. [单选题] 84.在数据库服务器中,路径"/usr/sbin"内有多少个系统文件被不当替换? (1分)
A. 1
B. 2
C. 3
D. 4
E. 以上皆不是
第E部份 (第 85 至 95 题) : 法证人员曾在Victor的计算器现场作现场取证,并使工具获取其内存镜像。该内存镜像文件名为 "victor_PC_memdump.dmp",请使用该档案作内存数据分析并回答下列问题:
85. 从内存镜像档案的数据显示,该镜像档案的建立日期是? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM:SS UTC) (1分)
A. 2018-11-02 08:31:12 UTC
B. 2018-11-02 10:31:12 UTC
C. 2018-11-02 14:31:12 UTC
D. 2018-11-02 18:31:12 UTC
E. 2018-11-02 20:31:12 UTC
注意时区
86. [单选题] 86.在内存镜像中,就进程javaw.exe而言,它的进程id是? (1分)
A. 2364
B. 2616
C. 26
D. 459
E. 8003975b30
87. [单选题] 87.接上题,javaw.exe 是经以下哪个方法在系统上执行 ? (1分)
A. 利用命令提示符(cmd)执行
B. 利用psexec软行
C. 于Windows资源管理器上双击档案执行
D. 于运行中执行
E. 于系统启时自动执行
与explorer.exe启动时间基本一致,怀疑文件资源管理器打开
88. [单选题] 88.接上题,根据javaw.exe 的进程,它首先执行了下列哪个指令 (1分)
A. C:\Program Files\Java\jdk1.8.0_191(2)\bin\javaw.exe" -jar C:\Users\victor\AppData\Roaming\asdasd\asda.jar
B. C:\Program Files\Java\jdk1.8.0_191\bin\javaw.exe" -jar C:\Users\victor\AppData\Roaming\asdasd\asda.jar
C. C:\Program Files\Java\jdk1.8.0_191\bin\javaw.exe" -jar C:\Users\victor\AppData\Roaming\asdasd\victor_personal_data.pdf.jar
D. C:\Program Files\Java\jdk1.8.0_191(1)\bin\javaw.exe" -jar C:\Users\victor\AppData\Roaming\asdasd\asda.jar
E. C:\Program Files\Java\jdk1.8.0_191(1)\bin\javaw.exe" -jar C:\Users\victor\AppData\Roaming\asdasd\victor_personal_data.pdf.jar
89. [单选题] 89.接上题,javaw.exe的进程在执行时会呼叫了多少个动态链接函式库(Dynamic Linked Library)? (1分)
A. 79
B. 80
C. 81
D. 82
E. 83
dlllist后导入excel分析
其中有一个不是dll,即80个
90. [单选题] 90.接上题,javaw.exe的进程曾连接至哪一网络地址(IP Address)? (1分)
A. 119.188.13.180
B. 192.168.72.128
C. 220.246.55.13
D. 120.241.102.156
E. 23.41.99.52
netscan
91. [单选题] 91.接上题,javaw.exe的进程曾连接至上述网络地址的哪个端口(port)? (1分)
A. 1505
B. 1506
C. 49290
D. 1505 & 1506
E. 1505 & 49290
同上题👆
92. [单选题] 92.从内存镜像中提取Victor计算机感染的"Adwind RAT"病毒的配置文件(XML格式)并作分析,该病毒档案与C&C服务器连接所使用的密码为? (1分)
A. 1234
B. 5555
C. 2468
D. 0000
E. 9999
93. [单选题] 93.接上题,上述"Adwind RAT "病毒具备了屏幕截图的功能。从内存镜像中分析,黑客是何时对系统进行屏幕截图呢? (以截图显示时间作答) (1分)
A. 2018年11月2日18时27分至18时28分
B. 2018年11月2日18时28分至18时30分
C. 2018年11月2日18时29分至18时30分
D. 2018年11月2日18时29分至18时31分
E. 2018年11月2日18时28分至18时29分
94. [单选题] 94.取证人员是使用"Magnet RAM Cap"获取该内存镜像,你能找到该档案属于哪个版本吗? (1分)
A. 0.90
B. 1.00
C. 1.01
D. 0.91
E. 1.50
Pid 6560
95. [单选题] 95.从内存镜像中,你能读取多少个操作系统的用户登入密码? (1分)
A. 0
B. 1
C. 2
D. 3
E. 4
题没看懂,操作系统还是密码?
第F部份 (第 96 至 120 题) : 关于手机取证的问题 根据一个“三星SM-N9005 Galaxy Note 3"的手机镜像文件 "DumpData.bin" 的内容,回答下述手机取证问题。 (该文件是由Cellebrite Physical Extraction采集而来的。)
96.检测“三星SM-N9005 Galaxy Note 3"的手机镜像文件并找出系统分区。请问系统分区(system partition)的大小是多少? (1分)
A. 1.2 GB
B. 2.2 GB
C. 4.6 GB
D. 12.2 GB
E. 15 GB
97. [单选题] 97.接上题,在手机镜像文件中,系统分区(system partition)的文件系统类型是什么? (1分)
A. YAFFS
B. YAFFS2
C. Ext3
D. Ext4
E. 以上皆不是
98. [单选题] 98.检测手机镜像文件并找出用户数据的分区。请问用户数据分区(userdata partition)的大小是多少? (1分)
A. 3.1 GB
B. 2.9 GB
C. 4.6 GB
D. 12.2 GB
E. 11.9 GB
99. [单选题] 99.接上题,在手机镜像文件中,请问该用户数据分区(userdata partition)的文件系统类型是什么? (1分)
A. YAFFS
B. YAFFS2
C. Ext3
D. Ext4
E. FAT
标记本题
100. [单选题] 100.如果手机安装了应用程序,你会在哪个位置找寻该应用程序的“apk"文件? (1分)
A. /root/app/
B. /system/apps/
C. /system/media/apk/
D. /system/application/
E. 以上皆不是
101. [单选题] 101.该手机显示设备的时区是什么? (1分)
A. Europe/London
B. Europe/Amsterdam
C. Asia/Hong_Kong
D. Asia/Bangkok
E. 以上皆不是
102. [单选题] 102.在手机镜像文件中,找出“com.android.email"文件夹,数据库中设置的电子邮件地址是什么? (1分)
A. digitalrongke@gmail.com
B. victorlam@gmail.com
C. rongkedigital@mail.com
D. kedigital@hotmail.com
E. 以上皆不是
103. [单选题] 103.接上题,上述数据库共有多少条电子邮件记录? (1分)
A. 9
B. 10
C. 21
D. 50
E. 5
104. [单选题] 104.接上题,谁是首个电子邮件的接收者? (1分)
A. kedigital@hotmail.com
B. jc266575@gmail.com
C. rongkedigital@mail.com
D. digitalrongke@gmail.com
E. 以上皆不是
105. [单选题] 105.接上题,服务器的时间戳显示的第一个电子邮件的发送日期/时间是什么? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM:SS UTC) (1分)
A. 2018-10-29 21:30:18 UTC
B. 2018-10-26 06:21:02 UTC
C. 2018-10-29 21:33:54 UTC
D. 2018-10-31 07:26:51 UTC
E. 2018-10-31 08:26:11 UTC
自己做时选B,不知为啥选E
106. [单选题] 106.在手机镜像文件中,哪一个文件包含日历记录? (1分)
A. calendar.base.db
B. database_calendar.db
C. calendar_record.db
D. calendar.db
E. ddcalendar.db
跳转源文件得到👇
107. [单选题] 107.在手机镜像文件的下载文件夹中,该手机用户下载了哪个“apk"文件? (1分)
A. Evernote.apk
B. kodi.apk
C. CloudAgent.apk
D. channel_71067978_1005035_1539597843180.apk
E. 以上皆不是
下载文件夹👇
108. [单选题] 108.在手机镜像文件中,哪个文件用于存储“微信”记录? (1分)
A. chatmessages.db
B. msgstore.db
C. mm.sqlite
D. chatstorage.db
E. EnMicroMsg.db
109. [单选题] 109.接上题,检查“微信"数据库,请问Leo和Jason在2018年10月31(UTC+8)日共有多少条通讯记录? (1分)
A. 7
B. 20
C. 30
D. 5
E. 9
110. [单选题] 110.在手机镜像文件中,用户在2018-10-31(UTC+8)截取了多少个截图? (1分)
A. 5
B. 20
C. 7
D. 2
E. 8
111. [单选题] 111.接上题,该截图的文件名是什么,请选择最早的一个档案? (1分)
A. Screenshot_2018-10-31-16-08-57.png
B. Screenshot_2018-10-31-12-08-12.png
C. Screenshot_2018-10-31-17-02-51.png
D. Screenshot_2018-10-28-15-00-10.png
E. Screenshot_2018-10-30-09-08-17.png
跳转资源文件👇
112. [单选题] 112.在手机镜像文件中,安装了哪种黑客软件? (1分)
A. Hack-it
B. Ethicalhacking
C. I Hack You
D. LUCKY HACK PATCHER
E. 以上皆不是
发现该软件获取权限信息
113. [单选题] 113.接上题,该应用程序是什么时候安装的? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM:SS UTC) (1分)
A. 2018-10-31 09:05:26 UTC
B. 2018-11-01 22:21:08 UTC
C. 2018-10-26 23:37:34 UTC
D. 2018-10-31 17:05:26 UTC
E. 2018-10-31 09:21:01 UTC
114. [单选题] 114.在手机镜像文件的用户媒体文件夹中,有涉及枪支的照片/图片,档案的名称是什么? (1分)
A. 20181101_160634.jpg
B. 20181031_153537.jpg
C. 20181031_170633.jpg
D. 20181031_091635.jpg
E. 20181031_070813.jpg
115. [单选题] 115.在手机镜像文件中,哪个文件记录了联系人(电话簿)? (1分)
A. contact1.db
B. database.contacts.db
C. contacts1.db
D. contacts2.db
E. contact.db
116. [单选题] 116.接上题,有多少个现有联系人记录? (1分)
A. 7
B. 13
C. 9
D. 15
E. 8
117. [单选题] 117.在手机镜像文件中的联系人数据库中,共有多少个电子邮件帐户? (1分)
A. 1
B. 6
C. 7
D. 3
E. 2
118. [单选题] 118.接上题,在联系人数据库的已删除记录中,以+852 6__________开头的电话号码是什么?请填写空格. (1分)
A. +852 66253737
B. +852 67486468
C. +852 63873984
D. +852 61810641
E. +852 67645745
119. [单选题] 119.在手机镜像文件中,曾使用过的无线网络名称(SSID)是? (1分)
A. WPA-PSK
B. RKD-WPA
C. RKD_guest
D. PSK-RKD
E. 以上皆不是
120. [单选题] 120.该手机存有苹果手机备份密码,这个密码是? (1分)
A. Sgydgd
B. 6152jHD
C. Os156871
D. $RFV5tgb
E. Trey123$%^
大致过程就是黑客在攻击荣科数码,从外网打进内网,在数据库中获取受害人信息和联系方式,通过邮件植入病毒并联系受害人,达成勒索条件
扫一扫
1227
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
