| Q1 |
内存镜像取证分析 |
|
| 共100分 |
有嫌疑人在使用Windows系统浏览网页和QQ聊天,并可能存在打印行为,取证人员对该系统进行了内存镜像。基于内存镜像文件(Q1.Windows7_memory.dd),要求: |
|
| 1 |
请分析系统中进程的运行情况,给出正在运行的进程数量。(10分) |
|
| 2 |
请找出登录系统中的用户的SID号。(10分) |
|
| 3 |
请分析出该系统的启动时间,即开机时间。(10分) |
|
| 4 |
请找出正在运行的所有以b开头的进程名(不区分大小写),写出其对应的程序的完整路径。(10分) |
|
| 5 |
该系统中的打印服务是否开启,请给出其状态(SERVICE_RUNNING /SERVICE_STOPPED)。(10分) |
|
| 6 |
请给出系统联网时使用的IP地址。(10分) |
|
| 7 |
请找出监听TCP端口为8088的进程,给出进程名和程序路径。(10分) |
|
| 8 |
请给出UDP端口7273的开启时间。(10分) |
|
| 9 |
请找出正在上网的进程,列出其建立的所有TCP连接,包括本地和远端的IP地址和端口号。(20分) |
|
1、pslist
2、getsids
3、pslist (system)
4、pslist >1.txt & dlllist
5、(美亚)取证大师工具集内存镜像解析工具解析 & svcscan | findstr print
6、netscan
127.0.0.1是本机地
最低0.47元/天 解锁文章
扫一扫
1269
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
