是一些做题的碎碎念,小的镜像零零碎碎的,好好学习才是真的!!!
这里就是说,general相当于是+85,就是在电话号码前面加这些东西,然后对比
比如这个就是8522117188,后面加上网址,就是我们在找的邮箱,所以一个一个对比就是AD
如图
或许,找热点的时候,我们能知道热点被叫做hotspot!!,直接搜索就好了,不要一个一个去找
如图,选择B
注意是选择他没有干的事情,搜索经纬度之后,发现只有一张照片,大胆判断他只在拍照,所以选择其他的三个!
ACD 这道题就是用到了APP分析软件,在给的取证软件上面没有办法看出任何信息。先找到源文件导出来:
A是对的 (不是多选!!!!!)
如图所示:
如图所示,选择ABC 如图所示:
中信银行卡相关的验证码:113476
常威的手机
先找到符合选项的图像文件,一张一张对比,就是选择ABD
4.3.37
没有找到源文件再研究一下。
在确定是否有禁飞区的时候有看到过这个文件 所以是在Flysafe_app_dynamic_areas.db中(记得英文答案要全大写!)
SSPARK 这道题倒是全新的思路,就是将视频直接导出来之后再查看详细信息。
即为1280*720的图片模式
如图,md5的值是:81c342665d9a8d4d02b0fbb7033167b5
CE
除了B其他都是。
常威的无人机
GPS定位,或许不是找位置。。。 是FLY096.DAT
等待关机,就是降落时间,直接得到答案:2021-10-11 15:08:08 FLY096.DAT
常威的矿机
并且百度了一下:
如图所示,挖掘的货机信息是ETH-Player,应该就是只进行 B这一种挖掘方式。
所以ACDE
经过询问了大佬之后,学习到了如何判断是主盘的方法:打开文件夹看一下里面是否存在/var、/root、/tmp、/usr等文件存在就是主盘。
补充知识点二:一般显卡信息都在log文件下的syslog里面(矿机相关)
如图就能直接填2
如图所示,在仿真系统中用指令uname -r看到了版本信息号,选择A
一般找钱包啊之类的东西,都可以直接搜索其翻译词。
全局搜索钱包:wallet
BCDE
可以搜索版本,然后确定目标,可以直接搜索version,找到带有Nvidia的字样。
如图所示,版本号为:460.91.03
显示适配器:显卡。
拓宽思路,或许我们找不到显卡,就直接带选项进去搜索:
剩下三个都找不到,所以选择AB
带进去一个一个的搜索:
BCDE都没有,所以多选BCDE
服务器取证
先用仿真系统进行挂载,挂载成功后open terminal:
然后输入命令:lsblk -f
所以选择C
如图所示,选择C
上传upload,找到相应的位置,所以选择A,而且后面还存在(FTP),即可得到答案
只有一个数据包,所以选择A
内存取证
内存取证完全不会啊,就大概看一下做题的方法。我们慢慢的一起去学
首先用到工具:volatility
在求助了大佬之后,一般内存取证的思路就是直接先看版本信息。ok,先看题目:
查看版本信息:
vol.py -f /home/volatility-master/victor_PC_memdump.dmp imageinfo
如图所示,选择B
查询进程树:
vol.py -f /volatility-master/victor_PC_memdump.dmp --profile=Win7SP1x64_23418 pstree
得到它的pid、ppid分别是2364,2616,本题就是需要它的pid,就是2364
我们知道javaw.exe的PPID是2616,就去找pid是2616的软件,发现是
explorer是windows的资源管理器,所以选择C
如图,选择D
查询进程信息之后,可以用word文档复制粘贴,再全局查找
但是有一项不是dll文档,是图片:
所以减去一项,就存在80项,选择B
同样,查询javaw,统计他们的端口号
如图,有两个,所以选择D
我的导出来一直是错的。重新弄了一下,输入命令:
vol.py -f /victor_PC_memdump.dmp --profile=Win7SP1x64_23418 memdump -p 2364 --dump-dir=/home/kind/桌面
用记事本搜索key。找到一串md5码,解密后是1234
综上,选择A
在vol中用memdump导出 导出后用x-ways打开,恢复原来的格式
一定只选择图片文件,然后导出,发现有一张图片上有日期和时间
选择E
如图,用x-ways打开,搜索该软件名称,然后往下找,就能找到该版本信息。所以选择B
输入命令,查询用户信息:
vol.py -f 文件 --profile=Win7SP1x64 hashdump
解密后发现好多是空密码,最后只有一个不是空密码,所以选择B
仿真之后