美亚杯相关

kindyyy

已于 2023-03-28 17:30:25 修改

阅读量213

点赞数

文章标签：安全

于 2022-10-09 21:13:06 首次发布

本文链接：https://blog.csdn.net/kindyyy/article/details/127215308

版权

是一些做题的碎碎念，小的镜像零零碎碎的，好好学习才是真的！！！

这里就是说，general相当于是+85，就是在电话号码前面加这些东西，然后对比

比如这个就是8522117188，后面加上网址，就是我们在找的邮箱，所以一个一个对比就是AD

如图

或许，找热点的时候，我们能知道热点被叫做hotspot！！，直接搜索就好了，不要一个一个去找

如图，选择B

注意是选择他没有干的事情，搜索经纬度之后，发现只有一张照片，大胆判断他只在拍照，所以选择其他的三个！

ACD 这道题就是用到了APP分析软件，在给的取证软件上面没有办法看出任何信息。先找到源文件导出来：

A是对的（不是多选！！！！！）

如图所示：

如图所示，选择ABC 如图所示：

中信银行卡相关的验证码：113476

常威的手机

先找到符合选项的图像文件，一张一张对比，就是选择ABD

4.3.37

没有找到源文件再研究一下。

在确定是否有禁飞区的时候有看到过这个文件所以是在Flysafe_app_dynamic_areas.db中（记得英文答案要全大写！）

SSPARK 这道题倒是全新的思路，就是将视频直接导出来之后再查看详细信息。

即为1280*720的图片模式

如图，md5的值是：81c342665d9a8d4d02b0fbb7033167b5

除了B其他都是。

常威的无人机

GPS定位，或许不是找位置。。。是FLY096.DAT

等待关机，就是降落时间，直接得到答案：2021-10-11 15:08:08 FLY096.DAT

常威的矿机

并且百度了一下：

如图所示，挖掘的货机信息是ETH-Player，应该就是只进行 B这一种挖掘方式。

所以ACDE

经过询问了大佬之后，学习到了如何判断是主盘的方法：打开文件夹看一下里面是否存在/var、/root、/tmp、/usr等文件存在就是主盘。

补充知识点二：一般显卡信息都在log文件下的syslog里面（矿机相关）

如图就能直接填2

如图所示，在仿真系统中用指令uname -r看到了版本信息号，选择A

一般找钱包啊之类的东西，都可以直接搜索其翻译词。

全局搜索钱包：wallet

BCDE

可以搜索版本，然后确定目标，可以直接搜索version，找到带有Nvidia的字样。

如图所示，版本号为：460.91.03

显示适配器：显卡。

拓宽思路，或许我们找不到显卡，就直接带选项进去搜索：

剩下三个都找不到，所以选择AB

带进去一个一个的搜索：

BCDE都没有，所以多选BCDE

服务器取证

先用仿真系统进行挂载，挂载成功后open terminal：

然后输入命令：lsblk -f

所以选择C

如图所示，选择C

上传upload，找到相应的位置，所以选择A，而且后面还存在（FTP），即可得到答案

只有一个数据包，所以选择A

内存取证

内存取证完全不会啊，就大概看一下做题的方法。我们慢慢的一起去学

首先用到工具：volatility

在求助了大佬之后，一般内存取证的思路就是直接先看版本信息。ok，先看题目：

查看版本信息：

vol.py -f /home/volatility-master/victor_PC_memdump.dmp imageinfo

如图所示，选择B

查询进程树：

vol.py -f /volatility-master/victor_PC_memdump.dmp --profile=Win7SP1x64_23418 pstree

得到它的pid、ppid分别是2364，2616，本题就是需要它的pid，就是2364

我们知道javaw.exe的PPID是2616，就去找pid是2616的软件，发现是

explorer是windows的资源管理器，所以选择C

如图，选择D

查询进程信息之后，可以用word文档复制粘贴，再全局查找

但是有一项不是dll文档，是图片：

所以减去一项，就存在80项，选择B

同样，查询javaw，统计他们的端口号

如图，有两个，所以选择D

我的导出来一直是错的。重新弄了一下，输入命令：

vol.py -f /victor_PC_memdump.dmp --profile=Win7SP1x64_23418 memdump -p 2364 --dump-dir=/home/kind/桌面

用记事本搜索key。找到一串md5码，解密后是1234

综上，选择A

在vol中用memdump导出导出后用x-ways打开，恢复原来的格式

一定只选择图片文件，然后导出，发现有一张图片上有日期和时间

选择E

如图，用x-ways打开，搜索该软件名称，然后往下找，就能找到该版本信息。所以选择B

输入命令，查询用户信息：

vol.py -f 文件 --profile=Win7SP1x64 hashdump

解密后发现好多是空密码，最后只有一个不是空密码，所以选择B

仿真之后

kindyyy

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
美亚杯相关

是一些做题的碎碎念，小的镜像零零碎碎的，好好学习才是真的！！！这里就是说，general相当于是+85，就是在电话号码前面加这些东西，然后对比比如这个就是8522117188，后面加上网址，就是我们在找的邮箱，所以一个一个对比就是AD如图或许，找热点的时候，我们能知道热点被叫做hotspot！！，直接搜索就好了，不要一个一个去找如图，选择B注意是选择他没有干的事情，搜索经纬度之后，发现只有一张照片，大胆判断他只在拍照，所以选择其他的三个！ACD。
复制链接

扫一扫