51、计算机操作系统以及硬件架构是什么
imageinfo
52、进程“explorer.exe”的PID
pslist > 1.txt
53、正确的用户SID
getsids
用户的sid号是长串的那个,用户rid是sid最后的-后数字,。。注意可能有多个用户sid,要看与选项数字对应是否正确。。,用户组的sid号是短短的那个“s-0-0-1(everyone)”
54、55、以下哪个远程地址与本地地址建立过TCP连接&端口号
netscan 或者取证大师工具集
56、注册表“\SystemRoot\System32\Config\SAM”在内存镜像中的虚拟地址(VirtualAddress)是多少
hivelist 注册表的物理和虚拟地址均有
57、用户“YuanHe”登入密码的NTLMhash是多少
hashdump
58、文件“PersonalInformation.xlsx”何时被访问过
timeliner findstr时注意空格要URL编码:%20
mftparser findstr不用url编码
59、文件“PersonalInformation.xlsx”的正确路径
mftparser
60、哪些文件夹曾被访问过
timeliner和mftparser均无效,使用shellbags可查看文件被访问的时间
61、以下那一项有关这台计算机的资料是正确
对导出注册表项的应用:
dumpregistry --dump-dir C:\Users\...\Desktop导出注册表至桌面,用WRR打开,可以看到
62、以下那一项关于这台计算机连接USB装置的描述是正确
SYSTEM/ControlSet001/Enum/USB、SYSTEM/ControlSet001/Enum/USB/STOR这是注册表项usb的相关表项
over