2017年第三届 美亚杯电子取证 个人赛题解

记录做题个人赛题目

取证大师直接取证

1

Gary的笔记本电脑已成功取证并制作成镜像 (Forensic Image)，下列哪个是其MD5哈希值。
A.0CFB3A0BB016165F1BDEB87EE9F710C9
B.5F1BDEB87EE9F710C90CFB3A0BB01616
C.A0BB016160CFB3A0BB0161661670CFB3
D.16160CFB3A0BB016166A0BB016166167
E.FB3A0BB016165 B016166 A0DF7FJE2EJ0

取证大师直接获取md5

A

2

根据此镜像 (Forensic Image)，里面有多少个硬盘分区？
A.	1
B.	2
C.	3
D.	4
E.	5

3个选C

3  计算操作系统分区的 开始逻辑区块地址(LBA)

你能找到硬盘操作系统分区内的开始逻辑区块地址（LBA）？
A.	0
B.	512
C.	2,048
D.	206,848
E.	102,402,047

这里看的有点傻了

逻辑区块地址(Logical Block Address, LBA)是描述计算机存储设备上数据所在区块的通用机制，一般用在像硬盘这样的辅助记忆设备。LBA可以意指某个数据区块的地址或是某个地址所指向的数据区块。

我们首先去看看操作系统分区

这里我们可以看到 D盘才是我们的操作系统分区

这里的解题其实就是物理地址

但是这里一个的单位是bit 一个区块是 512位 所以我们需要除以512

所以选D

4   扇区--->分区大小

你能找到硬盘操作系统分区的大小吗 (字节byte)？
A.	48.7
B.	102,195,200
C.	140,232,703
D.	19,369,295,872
E.	52,323,942,400

首先获取到扇区为

102,195,200 然后乘 512

52,323,942,400

选D

5  $MFT 物理起始偏移位置 --> 物理扇区

在包含操作系统的分区内，$MFT的物理起始偏移位置是什么？
A.	3328
B.	4,170,040
C.	6,026,176
D.	6,498,304
E.	16,949,352

 这里首先的问题就是 $MFT是啥

MFT，即主文件表（Master File Table）的简称，它是NTFS文件系统的核心，每个文件和目录的信息都包含在MFT中，每个文件和目录至少有一个MFT项。

那么这里就是D盘的MFT

选D

6 SOFTWARE  -->系统安装时间

请找出系统文件“SOFTWARE＂，请问操作系统的安装日期是？ 
（答案格式 －“世界协调时间＂：YYYY-MM-DD HH:MM UTC）
A.	2017-09-04 10:10 UTC
B.	2017-09-04 10:11 UTC
C.	2017-09-04 10:12 UTC 
D.	2017-09-04 10:13 UTC
E.	2017-09-04 02:14 UTC

这里考题为时间我们首先去看看系统时间为什么

发现是东八区 那么这里我们就等等取证完需要-8 然后开始找这个SOFTWARE

具体位置位于 %windir%\System32\config

但是也无所谓 可以去 系统信息的安装时间里找

然后 - 8 就是 B咯

7

用户“Gary＂的SID是什么？
A.	1000
B.	1001
C.	1002
D.	1005
E.	1007

问用户的SID

用户信息里获取

S-1-5-21-58984532-3717197446-1900145663-1000

那就是1000咯 A

8

用户“彼得＂的SID是什么？
A.	1000
B.	1001
C.	1002
D.	1005
E.	1007

一样 1001

9

硬盘的操作系统是什么？
A.	Windows 7
B.	Windows 8
C.	Windows 10
D.	Linux Red Hat 7.1
E.	MAC OS X

A

10 注册表查看浏览器默认

哪个是Windows的默认浏览器？
A.	Microsoft Internet Explorer
B.	Google Chrome
C.	Mozilla Firefox
D.	Opera
E.	QQ 浏览器

右键SOFTWARE 然后注册表解析即可 然后去找

SOFTWARE-Client-StartMenuInternet

 就可以发现是 A 咯

11 查看浏览的菠菜网站 （小坑）

用户 “Gary＂曾经浏览过一些非法博彩网站，下列哪项URL符合？
a.	www1.10086.com
b.	www.188bet.com
c.	www.hv5858.com
d.	www.12377.cn 
e.	www.88.bettingwell.com
f.	www.aaakk.org 
A.	只有(a) & (b)
B.	(a), (b), (d) & (f) 
C.	(b), (c), (d) & (f) 
D.	(b), (c), (e) & (f)
E.	以上皆是

一个一个去搜就可以了 然后就发现 bcdf

其实d也有 但是是国家的网站 所以不可能是菠菜网站 所以

还有一个比较坑的点就是 不需要加上三级域名 不然出不来

选D

12

用户Gary曾经登入上述非法博彩网站，下列哪个是其登入名称？
A.	ggchey68
B.	gany-cher88
C.	galy_chen88
D.	garychen1688
E.	garychen88

E

13

13	在所有用户中，用于电子邮件发送/接收的程序名称是什么？
A.	新浪邮箱
B.	网易163
C.	阿里邮箱
D.	Foxmail
E.	Mozilla Mail – ThunderBird

E

14 注册表查看U盘记录

在该Windows系统中，曾经连接数个USB移动储存装置 (U盘)，下列那个不是该系统连接过的USB移动储存装置 ?
A.	WD My Passport 0827 USB Device
B.	StoreJet Transcend USB Device
C.	Samsung Portable SSD USB Device
D.	StoreJet TS256GESD400K USB Device
E.	General UDisk USB Device

去注册表看看

SYSTEM-->ControlSet001-->Enum-->USBSTOR        

其实这个取证大师已经取证好了 直接去USB使用历史查看即可

这道题很奇怪呀 感觉五个都有。。。。

过吧 答案说是选C

但是可能是因为其中存在T1 的可能性吧

15

在该Windows系统中，下列哪个USB移动储存装置 (U盘)曾被指派为‘Z’磁盘分区代号(Drive Letter) ?
A.	WD My Passport 0827 USB Device
B.	StoreJet Transcend USB Device
C.	Samsung Portable SSD USB Device
D.	StoreJet TS256GESD400K USB Device
E.	General UDisk USB Device

选E

16

该Windows系统中，下列哪个是最后的关机时间?
A.	2017-10-31 4:52:54 UTC
B.	2017-10-31 4:53:54 UTC
C.	2017-10-31 4:54:54 UTC
D.	2017-10-31 4:55:54 UTC
E.	2017-10-31 4:56:54 UTC

我们知道这个是北京东八区时间 所以取出来要-8        

2017-10-31 12:52:54    -8

2017-10-31 12:52:54	 - 8 = 2017-10-31 04:52.54

答案为A

17

该Windows系统中，下列哪个是电脑名称?
A.	GARYPC
B.	GARY-PC
C.	GARY_PC
D.	GARY
E.	GARY-NB

C

18

在该Windows系统中，下列哪个是用户Gary日常使用的邮箱帐号?
A.	ics_user@mail.com
B.	ics_user@gmail.com
C.	gary@mail.com
D.	gary_chen@mail.com
E.	gary_chen@gmail.com

D

19

在该Windows系统中，用户Gary曾经收过一封来自邮箱帐号 ics_user@mail.com 的邮件，内容提及有关制作钓鱼网站及邮件帐号eric_wang99@outlook.com，下列哪个是此封邮件的发送日期和时间?
A.	2017-09-25 17:07:15
B.	2017-10-17 14:35:45
C.	2017-10-17 18:24:02
D.	2017-10-26 19:17:08
E.	2017-10-26 19:24:57

C

20

在该Windows系统中，用户Gary还曾经收过两封来自邮箱帐号 eric_wang99@outlook.com的邮件，标题为“学习制作网站”，下列哪个是第一封邮件的发送日期和时间?
A.	2017-09-25 17:07:15
B.	2017-10-17 14:35:45
C.	2017-10-17 18:24:02
D.	2017-10-18 18:30:45
E.	2017-10-18 19:38:05

这里才是Eric给 Gary写的邮箱时间

所以是D

21

在该Windows系统中，用户Gary还曾经收过两封来自邮箱帐号 eric_wang99@outlook.com邮件，标题为“学习制作网站”，下列哪个是第二封电邮的发送日期和时间?
A.	2017-09-25 17:07:15
B.	2017-10-17 14:35:45
C.	2017-10-17 18:24:02
D.	2017-10-18 18:30:45
E.	2017-10-18 19:38:05

E

22

用户Gary还曾经收过一封来自邮箱帐号 ics_user@mail.com 的邮件，附加了两张与咖啡豆有关的相片，下列哪个是此封邮件的发送日期和时间?
A.	2017-09-25 17:07:15
B.	2017-10-17 14:35:45
C.	2017-10-17 18:24:02
D.	2017-10-26 19:17:08
E.	2017-10-26 19:24:57

D

23

下列那項是與上述咖啡豆有關相片的MD5哈希值/哈希值(Hash value)?
A.	449cebf0eb96499df047fe0bff8e1627
B.	17f9c6bcca44d128f7ed6769a6920278
C.	4bc48ce355acd4732f33a79e29728e96
D.	4bc48ce355acd4732f33a79e29728e96
E.	e3e545c80a7273b7b0d7c73dacdd7227

第二个图片符合B

24

在该Windows系统中，用户Gary还曾经收到一封来自邮箱帐号 eric_wang99@outlook.com 的邮件，附加有三张与Apple iCloud相关的相片，下列哪个为该封邮件的发送日期和时间?
A.	2017-09-25 17:07:15
B.	2017-10-17 14:35:45
C.	2017-10-17 18:24:02
D.	2017-10-18 18:30:45
E.	2017-10-18 19:38:05

 E

25

Gary经常使用笔记本电脑浏览互联网，他的笔记本电脑上曾经连接过多少WIFI热点？
A.	1
B.	2
C.	3
D.	4
E.	5

这里存在4中SSID 所以可能是4

26   wifi唯一识别源 GUID

上述电脑曾经连接过星巴克WIFI热点，下列哪项是其全局唯一识别元（Globally Unique Identifier, GUID）？
A.	{8039D237-A346-4BA1-9B78-5752580ED7F0}
B.	{39489FA0-DE35-4989-8730-E2E2ED15E85A}
C.	{558B94DF-8D68-4779-AA25-65FBDAB4C2B9}
D.	{4EFCDA7E-CE51-4EC2-8980-8629647C9968}
E.	{AF0778E8-6C4F-41C6-84B2-CB14490CF29E}

这里我们发现没有变化 说明这里不是我们需要的 可能是本机网卡的GUID

所以我们需要去找日志 然后查看 但是可以通过取证大师直接获取

所以选E

27 查看ip

有关Gary的笔记本电脑，下列哪项是其最后分派得到的IP地址？
A.	192.168.0.1
B.	192.168.10.4
C.	192.168.20.6
D.	192.168.30.3
E.	192.168.40.5

去网络连接中查看

所以选D

28

Eric曾发邮件给Gary，内容是关于如何在暗网(Dark Web)中浏览枪械的信息，以下哪个URL是由Eric提供的?
A.	http://hhnovpxmqrw5xaqg.onion
B.	http://gunsjmzh2btr7lpy.onion
C.	http://gunsdtk58tolcrre.onion
D.	http://armoryohajjhou6m.onion
E.	http://armory45jijdf7d.onion

B

29

Eric 售卖iCloud 网站给Gary 的价钱是多少?
A.	$500
B.	$800
C.	$1000
D.	$1400
E.	$1500

C

30

Gary 经常将非法文件存储到该笔记本电脑的加密分区中，下列哪一个为该加密软件?
A.	TrueCrypt
B.	VeraCrypt
C.	Bitlocker
D.	LUKS
E.	PGP WDE

B

31

在加密磁区内有三张与Apple iCloud有关的相片，下列哪个为其中一张相片的MD5哈希值(Hash Value)?
A.	c9fbfaf3c45492c40feb83a83217f146
B.	14903a7bd9d709b653f9afe8e3e51cdd
C.	7cb0f29812317db645edbcd6cf46e1ba
D.	5503d096bdf832460c8f51da62fbbb5d
E.	9918465b62171ba2c0a95595db629bf3

这里icloud图片 还是三张 那不就是之前那个么

去邮件看看

最后获取到了C9FBFAF3C45492C40FEB83A83217F146

选A

这里我们其实还是需要去破解 我们去看看仿真

C盘下面这个有点奇怪啊

耶 解密成功 windows上无后缀的 都可以查看一下

32

在加密磁区内有三张与暗网(Dark Web)有关的相片，下列哪个为其中一张相片的MD5哈希值(Hash Value)?
A.	2836d35fb45c591211d5b6865c4a82f5
B.	d2b14799050b6c4ad6b07cd1227b91a5
C.	9110c96baa70c00acd8fbdfe2dc7c397
D.	703899985d881e2d103eb4fd1306be2e
E.	4c57a45b8da5ea01e5eb7d875f94a7b8

暗网 那不就是枪的么

E

33

Gary的计算机系统时区是什么？
A.	中国标准时间
B.	日本标准时间
C.	泰国标准时间
D.	新加坡标准时间
E.	伦敦标准时间

我们已经看过咯 是A

34

在上述加密磁区内，存有一个名为”2017-10-27”的文件夹，内有三张枪械的图片，该三张图片是来自哪个网站?
A.	http://gunsdtk58tolcrre.onion
B.	http://gunsjmzh2btr7lpy.onion
C.	thegunstorelasvegas.com
D.	cabelas.com
E.	hyattgunstore.com

这不一样的题目 B

35

Gary的笔记本电脑曾经下载过多少张有关恐怖组织的图片?
A.	1
B.	2
C.	3
D.	4
E.	5

这里提及了下载 我们看看

这题貌似也是模棱两可 这边找出来4张 但是又不是恐怖组织 但是有个 isis的统计图 可能是这个吧

选B

36

根据Gary与Eric邮件的内容，Eric曾经提供Gary一个私有云盘，下列哪项是该邮件提供的资料?
A.	动物图
B.	枪的结构图 
C.	博彩图
D.	博彩文件
E.	恐怖主义图

上面一直在说枪 肯定就是了 B

37

下列哪项是上述私有云盘的网址?
A.	http://mantech.mooo.cn
B.	http://mantech.mooo.com
C.	http://mooo.com
D.	http://mantech.com
E.	http://23.54.45.113

就是B了

38

下列哪项是上述私有云盘网址的连接端口?
A.	TCP 80
B.	TCP 8080
C.	UDP 80
D.	TCP 8000
E.	TCP 443

D

39

下列哪项是Gary第一次浏览该私有云盘网址时，所使用的浏览器?
A.	Microsoft Explorer
B.	Google Chrome
C.	Mozilla Firefox
D.	Opera
E.	QQ 浏览器

这里要注意 是第一次所以我们去搜

发现多虑了 只有 火狐

C

40

下列哪项是Gary第一次浏览该私有云盘网址的日期和时间?
A.	2017-10-29 12:42:09
B.	2017-10-30 12:42:09
C.	2017-10-31 12:42:09
D.	2017-10-30 10:42:09
E.	2017-10-30 11:42:09

看看记录

差了2s 无所谓吧 B

41

在上述加密磁区内，存有一个名为”2017-10-30”的文件夹，里面有三张与枪械结构有关的图片，该三张图片是从哪个方法/软件下载?
A.	邮件
B.	Firefox
C.	Chrome
D.	USB thumb drive
E.	ftp

对得上 B

42

Gary的笔记本电脑，曾经下载过一个感染了电脑病毒的文件，名为invoice.zip。该病毒程序文件是什么时候下载?	
A.	2017-10-31 12:26:20
B.	2017-10-31 12:50:34
C.	2017-10-31 12:29:55
D.	2017-10-31 10:52:10
E.	2017-10-31 12:18:54

E

43

Gary的笔记本电脑，还存有一个感染了电脑病毒的程序文件，名为\User\Gary\Downloads\invoice\dist\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?
	A.	2017-10-31 12:26:27
	B.	2017-10-31 12:50:34
	C.	2017-10-31 12:29:55
	D.	2017-10-31 10:52:10
	E.	2017-10-31 12:18:54

有两个 我们确定一下

44

上述invoice.exe文件伪装成什么格式的软件?
A.	pdf
B.	jpg
C.	psd
D.	Docx
E.	Doc

导出

发现是 pdf

A

45

上述的\User\Gary\Downloads\invoice\dist\invoice.exe文件，最后执行日期/时间(Last Accessed Data/Time) 是什么?
A.	2017-10-31 12:26:27
B.	2017-10-31 12:50:34
C.	2017-10-31 12:29:55
D.	2017-10-31 10:52:10
E.	2017-10-31 12:18:54

这里有点歧义感觉 但是可以想到 是通过执行 后 然后存储到 tmp的病毒 所以并且最后时间 那么就是 50 这个了 选B

46

事实上，Gary的笔记本电脑被电脑病毒感染了，部份文件被加密，当中包括下列哪种文件类型?
a.	exe
b.	gif
c.	jpg
d.	psd
e.	Docx
f.	Doc
	
A.	只有(a) & (b)
B.	(a), (b), (d) & (f) 
C.	(b), (c), (d) & (f) 
D.	(b), (c), (e) & (f)
E.	以上皆是

仿真中看看

在文档中发现

这里可以确定的是 doc和jpg和docx gif找不到 但是可以选出答案了 D

47

上述\User\Gary\Downloads\invoice\dist\invoice.exe文件共执行多少?
A.	1
B.	2
C.	3
D.	4
E.	5

E        

48

上述\User\Gary\Downloads\invoice\dist\invoice.exe文件是由什么程序编写?
A.	LISP
B.	C++
C.	Visual Basic
D.	Python
E.	Java

我们回到刚刚那个下载的地方看看

这里有一大堆pyd 那么不就是python文件嘛

D

49

上述\User\Gary\Downloads\invoice\dist\invoice.exe文件，执行时会呼叫下列哪个动态连结函式库(Dynamic Linked Library)
A.	KERNEL32.DLL
B.	USER32.DLL
C.	SHELL32.DLL
D.	NTDLL.DLL
E.	SYSTEM32.DLL

看dll 这里可以通过反汇编查看

或者可以使用弘连的直接双击exe查看

50

Gary的笔记本电脑，还存有另一感染了电脑病毒的程序文件，名为\tmp\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?
A.	2017-10-31 12:26:27
B.	2017-10-31 12:50:34
C.	2017-10-31 12:29:55
D.	2017-10-31 10:52:10
E.	2017-10-31 12:18:54

B咯

51

上述两个文件\User\Gary\Downloads\invoice\dist\invoice.exe和 \tmp\invoice.exe是什么关系?
A.	前者是后者的复本
B.	后者是前者的复本
C.	两者MD5不相同
D.	两者元数据(Metadata)相同
E.	两者无关系

这里其实就可以确定 下载执行完 复制到 tmp下持续监听 所以就是B

52

根据勒索讯息的显示，勒索网址是什么？
A.	http://223.17.250.208:6000/C&C/
B.	http://223.17.250.208/C&C/
C.	http://223.17.250.208:6060/C&C/
D.	http://223.17.250.208:80/C&C/
E.	http://223.17.250.208:8080/C&C/

被勒索了 那么访问网址看看咯

C

53

根据勒索讯息的显示，勒索金额是多少钱？
A.	$1,000
B.	$10,000
C.	$20,000
D.	$50,000
E.	$100,000

网址肯定打不开 桌面有一个截图

B

54

根据勒索讯息的显示，下列哪个是与勒索案件有关的比特币钱包？
A.	1KcjhpkowGWh5QYgPx5hYGuzbZpewgBszh
B.	1KcjhpknwGWh5QYgPx5hYGuzbZpewgBszh
C.	1KcjhpknwGWh5QYgPx5hYGuzbZpewgBzzh
D.	1KcjhpknwGWh5QYgPx6hYGuzbZpewgBszh
E.	1KcjhpknwGWh6QYgPx5hYGuzbZpewgBszh

B咯

55

执法机关曾在现场对Gary的电脑进行电子法证检验，期间曾撷取与勒索软件相关的屏幕影像，并储存为png格式。下列哪项是其储存位置?
A.	\Users\彼得\Downloads\
B.	\Users\彼得\Desktop\
C.	\Users\Gary\Downloads\
D.	\Users\Gary\Desktop\
E.	\Users\Gary\Documents

D咯

56

经法证工具分析后发现Gary的笔记本电脑有三个分区硬盘，所有敏感文件均储存在一个加密磁区，而其密钥放在下列哪个位置？
	A.	\Windows\
	B.	\Users\
	C.	\Users\Gary\Desktop
	D.	\Users\Gary\Documents
	E.	\

这我们之前就得出来了 不就是E么

到这里 17美亚个人赛就结束了 题目还是挺简单的 难点我都已经在前面标注了