Windows 8系统中的USB设备连接时间戳问题的研究 - 道客巴巴
2019美亚杯个人赛刷题_2019年美亚杯csdn_TurkeyMan的博客-CSDN博客
目录
直接做题
1
1 何源的个人计算机硬盘已成功被取证并制作成镜像(Forensic Image),下列哪个是镜像的 SHA1 哈希值?
A. 6891d022c7e6fe81dc8ba2160e1ab610891596d3
B. 3e57817ea6263bc2c696a3455cc96381
C. ed43de631a56dd2c8bac4abbd3882c86
D. dd32beac5ef2cd1cac06bdd8b5e88cbc4eb94de9
E. 48a45c39da458f3cadd92017e0247454dc8bff66取证大师直接取证
获取MD5值:3E57817EA6263BC2C696A3455CC96381
选B
2 操作系统
2 在何源的个人计算机中,硬盘中包含哪个操作系统(Operating System)?
A. Windows 7
B. FAT32
C. Windows 10
D. Kali Linux
E. NTFS
C
3 文件系统
3 何源个人计算机的文件系统(File System)是什么?
A. FAT16
B. FAT32
C. Windows 7
D. NTFS
E. Windows 10和上面不一样 这个是文件系统 我们能够找到 操作系统是在D 盘 所以看D盘的文件系统是什么
D
4 分区容量
4 在何源的个人计算机中,你能找到操作系统分区的总容量吗 (单位:字节 byte)?
A. 492,083,081,216
B. 105,685,986,874
C. 386,908,999,680
D. 105,174,081,536
E. 492,594,986,554
找到 扇区数 然后乘上 512 最接近的就是A
5
5 在何源的个人计算机中,操作系统分区的$Bitmap 的起始物理扇区位置(Physical Sector Number)是多少?
A. 5,683,328
B. 6,170,040
C. 7,026,176
D. 8,498,304
E. 9,168,216
选E
6
6 在何源的个人计算机中,请问操作系统的安装日期是?
(答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC)
A. 2019-10-16 04:44 UTC
B. 2019-10-17 16:25 UTC
C. 2019-10-16 10:12 UTC
D. 2019-10-18 02:13 UTC
E. 2019-10-18 09:14 UTC问的是UTC 时间 所以首先查看时区
发现是+8的 所以到时候-8即可
去看看操作系统安装时间
名称:安装时间
值:2019-10-16 12:44:10
系统:Windows 10 Home
删除状态:正常
2019-10-16 12:44:10 -8小时
2019-10-16 4:44:10选A
7 单个扇区大小
7 在何源的个人计算机中,每个扇区(Sector)包含多少个字节?(单位: byte)
A. 512 bytes
B. 1024 bytes
C. 2048 bytes
D. 4096 bytes
E. 8192 bytes这题不会 但是看wp就是扇区大小一律都是512byte
8
8 在何源的个人计算机中,操作系统的时区是哪个时区?
A. Eastern Standard Time (GMT-05:00) : US and Canada
B. Pacific Standard Time (GMT-08:00): Tijuana
C. Korea Standard Time (GMT+09:00): Seoul
D. GMT Standard Time (GMT): Dublin, Edinburgh, Lisbon, London
E. China Standard Time (GMT+08:00): Beijing, Chongqing, Hong Kong, ShanghaiE
9
9 在何源个人计算机的操作系统中,下列哪个是计算机的主机名?
A. DESKTOP-JW47K02
B. HEYuan-WIN1
C. HEYuan-WIN2
D. DESKTOP-SM22M96
E. DESKTOP-WE23K24名称:完整计算机名
值:DESKTOP-SM22M96
系统:Windows 10 Home
删除状态:正常
选D
10
10 在何源的个人计算机中,以下哪一个是用户“He Yuan”的 SID?
A. S-1-5-21-1551135561-2581751248-1803739423-1001
B. S-1-5-21-1551135561-2581751248-1803739423-1000
C. S-1-5-21-1551135561-2581751248-1803739423-500
D. S-1-5-21-1551135561-2581751248-1803739423-501
E. None用户名:He Yuan
用户全称:He Yuan
用户类型:本地用户
用户标识(SID):S-1-5-21-1551135561-2581751248-1803739423-1000B
11
11 在何源的个人计算机中,下列哪个 USB 移动储存装置 (U 盘)曾被分配为‘E’磁盘分区代号(Drive Letter) ?
A. Kingston DataTraveler 3.0 USB Device
B. SanDisk Transcend USB Device
C. Samsung Portable SSD USB Device
D. WD My Passport 3.0 USB Device
E. Seagate Flash Disk USB Device去看U盘痕迹
USB设备名称:Generic Flash Disk USB Device
厂商_产品_版本:Disk&Ven_Generic&Prod_Flash_Disk&Rev_8.07
首次插拔时间:2019-10-31 13:17:29
最后插拔时间:2019-10-31 13:18:23
最后一次启动的首次插拔时间:2019-10-31 13:17:29
挂载盘符:E:但是找不到 搜索半天只有 A
这个有点奇怪的 答案也是A
12 查看U盘历史文件
12 在何源的个人计算机中,用户“He Yuan”曾经在挂载为“E”盘的 USB 移动储存装置中访问过一些文件/文件
夹,以下哪一个不是?
A. E:\美国恐怖故事
B. E:\New Text Document.txt
C. E:\CONFIDENTIAL.doc
D. E:\PycharmProjects
E. A,B,C,D
去查看历史访问记录 只发现了 B
13
13 在何源的个人计算机中,用户“He Yuan”最近在本机上访问过一些文件,以下哪一个不是?
A. Sample Project Plan.doc
B. URGENT.doc
C. connect.py
D. 美国恐怖故事 01.mp4
E. Comprehensive-Minute-Template.doc搜了半天 只有B选项不在最近访问当中
14
14 在何源的个人计算机中,以下哪一个是程序“VERACRYPT.EXE”的运行次数?
A. 1
B. 2
C. 3
D. 4
E. 6
C
15 查看EXE文件执行 dll加载情况
15 在何源的个人计算机中,在程序“VERACRYPT.EXE”运行时,以下哪个 dll 文件并没有同时被加载?
A. COMDLG32.DLL
B. CRYPT32.DLL
C. SECUR32.DLL
D. CRYPTSP.DLL
E. ENCRYPT.DLLMiTeC EXE Explorer
使用工具查看
发现就E没有存在
16
16 在何源的个人计算机中,用户“He Yuan”的桌面墙纸(Wall paper)背景是什么颜色?
A. 黑色
B. 灰色
C. 蓝色
D. 红色
E. 绿色仿真看看
蓝色
17 HIBERFIL.sys 文件
17 在何源的个人计算机中,以下哪个文件在电脑 power off 的时候仍然拥有内存的内容? 此文件具有与电脑内存
(RAM)相似的大小并保存在根目录。
A. WIN386.SWP
B. HIBERFIL.sys
C. PAGEFILE.SYS
D. NTUSER.DAT
E. SWAPFILE.SYS这里其实就是考了不了解文件
这里满足根目录 大小和内存一样
HIBERFILE.sys
18 database记录 timeline
18 在何源的个人计算机中,以下哪个 database 文件存有此操作系统的 timeline 痕迹?
A. SRUDB.dat
B. Windows.edb
C. Spartan.edb
D. ActivitiesCache.db
E. Thumbs.db
首先我们可以在取证结果中发现 存在时间线
那么说明是存在数据会记录时间 所以才可以取证到
所以我们跳转源文件
就可以发现 D
19
19 在何源的个人计算机中,曾被分配过的 ip 地址是?
A. 147.8.177.224
B. 147.10.188.23
C. 192.168.0.110
D. 10.12.9.214
E. 192.168.1.2
A
20
20 在何源的个人计算机中,用户”Administrator”的 Internet Explorer 浏览器的 start page 是以下哪个?
A. http://go.microsoft.com
B. https://www.bing.com
C. http://www.baidu.com
D. https://www.google.com
E. http://hao.360.cn取证取不出来 仿真看看咯
对比了一下 发现弘连貌似比美亚的好用 美亚取出来 我做不出来这道题
ok 弘连取证了半天也做不出来 答案是E
但是确实 internet的浏览器打开是 A
21
21 在何源的个人计算机中,你是否可以找到何源 iPhone 手机的线索。关于他的手机,以下哪条信息不正确?
A. IMEI:359461082062689
B. Serial Number:F17V1L6EHG70
C. Apple ID :heyuan516@icloud.com
D. MSISDN: 85259114189
E. 无设备型号:iPhone 7
序列号:F17V1L6EHG70
IMEI码:359461082062689
版本信息:12.4
手机号:+852 5911 4189
备份路径:分区5_OS[D]:\Users\He Yuan\Apple\MobileSync\Backup\4e4393d9ca817d38662f12f0da1fa1a7f091934c\Info.plist
备份是否加密:不加密
最后备份时间:2019-10-31 21:11:07
删除状态:正常
这里发现没有存在 APPLE ID 我们继续看看
取证大师没有找到 弘连取证找到了
这里可以首先通过 backup文件导出 然后再次取证即可去 弘连里面会自动识别IOS
然后就可以获取更详细信息了
答案是E
22
22 用户“He Yuan”在 WhatsApp 上与谁进行了对话?
A. Keanu Reeves
B. Michael Nyqvist
C. Peter Wang
D. John Manager
E. Michael Brown
发现是D
23
23 在手机联系人中,Anthony Chung 的手机号是多少?
A. +85252018664
B. +85257025241
C. +85257024765
D. +8613890274976
E. +8613928749036
A
24
24 He Yuan 在 iPhone 自带的 Safari 浏览器中搜索过一些关键词,以下哪一个不是?
A. 野狼 disco
B. 拜佛过人 professor
C. engineer's day 1024
D. Programmer's Day no bug
E. poptown 攻略B
25
25 用户“He Yuan”的 WeChat ID 是多少?
A. HEYUAN516
B. wxid_9y8cs5hdin2i15
C. wxid_9y8cs5hdin2i14
D. wxid_9y8cs5hdin2i13
E. wxid_9y8cs5hdin2i12
E
26
26 在 WeChat 的多个聊天记录中,用户“He Yuan”没有聊到过哪个话题?
A. 与中介谈买房
B. 与老板谈洗钱
C. 与黑客谈交易
D. 与网贷谈借钱
E. 与朋友谈炒房B
没看到B
27
27 从 WeChat 中的一个聊天记录中可知,用户“He Yuan”持有多少人的数据?
A. About 500
B. About 1000
C. About 2000
D. About 3000
E. About 5000C
28
28 接上题,Hacker 最后要支付多少 Bitcoin 给 He Yuan?
A. 0.002312
B. 0.066666
C. 0.036354
D. 0.014594
E. 0.012398
D
29 苹果备份三次无法解析图片
29 接上题,He Yuan 的 Bitcoin 收款地址是多少?
A. cI7g0tIzPuP2pxb20HQHNGOQdpmptDaCBf
B. InCeInFZmAP3PCLHLOchKTEZevQdHgQdP3
C. 4qISisBY2Z8xgh9C6orRfuRzmzXKznUc5Z
D. 18yZq8Dboyuvnd3R6pqG9kJkaZBki2JCoN
E. n5X7jwdPspKRgnZU6xzcEQueJanRqGdZQd
我们去看文件 发现里面 存在(1)(2) 所以备份了三次 这里我们需要删除
(1) 然后添加证据
现在是
然后重新添加证据分析一下就有了
选D
30
30 接上题,He Yuan 分享给 Hacker 的百度网盘链接是多少?
A. https://pan.baidu.com/s/u8rLTgLZabfd9Va1wRjzyc9
B. https://pan.baidu.com/s/nIDo2yLop_ciNUxihF2cZi8
C. https://pan.baidu.com/s/N6RiGxMZDnswlOUKRi0IB6Q
D. https://pan.baidu.com/s/uFUc4W0zYmrGZMOxVm843GU
E. https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY3Ww看聊天记录就行了
https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY3WwE
31
31 接上题,He Yuan 提到的解压密码是多少?
A. bAtNyn3lHwP8xXW
B. hNfpdKcJlvpEFEa
C. decrypt123456
D. 2019123456
E. HetoHacker123456
E
32
32 接上题,He Yuan 收到了来自哪位 hacker 的转账? hacker 的 wechat ID 是多少?
A. Kevin , wxid_ugo2wrc3fuci22
B. Scott , wxid_i1lhj24r792i22
C. Iva , wxid_7qh2jzeomtvp22
D. John , wxid_QAZbWKIgIz4jpu
E. Jack , wxid_dbEx7dtbX4zPbbA
33
33 根据 Wechat 聊天记录,He Yuan 在 2019-10-26 号(UTC+8)晚上跟哪位朋友出去吃晚饭了?朋友的 Wechat ID
是多少?
A. Iron Man , wxid_0ZYBi7dchvMIym
B. Black Panther , wxid_zSrai2bRoLUNVb
C. Red Bull , wxid_2yy2ekynoLbnq3
D. White Tiger, wxid_whMQ2YOLPiNNt7
E. Black Sheep , wxid_s00vt9uixjq922东八区时间 我们看看
首先规定了 微信的聊天 所以就这个了 E
34
34 在2019-10-31(UTC+8),何源用iPhone手机在车库拍了一些车的照片,请问最早的那张车照片是什么时候拍的?
A. 10/31/2019 18:53:29 PM(UTC+8)
B. 10/30/2019 10:43:27 AM(UTC+8)
C. 10/26/2019 19:53:29 PM(UTC+8)
D. 10/28/2019 20:40:30 PM(UTC+8)
E. 10/27/2019 10:53:29 AM(UTC+8)
选A
35
35 接上题,请问照片”IMG_0075.HEIC”拍摄地 GPS 坐标是以下哪一个?
A. 28 deg 13' 5.25" N, 125 deg 9' 6.34" E
B. 22 deg 17' 1.36" N, 114 deg 8' 9.91" E
C. 120 deg 23' 5.58" N, 119 deg 7' 4.53" E
D. 88 deg 6' 2.14" N, 130 deg 6' 7.86" E
E. 100 deg 17' 1.36" N, 224 deg 6' 8.57" E
选B
36
36 在何源的个人计算机中,你能找到一个 Veracrypt 加密容器文件吗?它的原始文件名是?
A. containerx.txt
B. VC_Container
C. $RV61F4M
D. data encrypt.txt
E. $IV61F4M直接去vc看
发现是D
37 (猜测)查看vc历史盘符
37 接上题,此 Veracrypt 加密容器文件之前可能被挂载为哪一个盘符(drive letter) ?
A. A:
B. B:
C. Z:
D. D:
E. E:去取证看最近访问
发现现在存在三个盘符 C,A,E
E,C之前确定了 所以是A
38
38 在何源的个人计算机中,何源曾在电脑上登陆过客户端百度云盘,请问他的 Baidu 账号是多少?
A. Yuanhe516
B. Heyuan516
C. Heyuan515
D. Yuanhe515
E. None
C
39
39 在何源的个人计算机中,何源利用客户端百度网盘上传过一些文件,请问以下哪一个是?
A. 美国恐怖故事 04.mp4
B. Crawler_connect.py
C. file encrypt.doc
D. Secret.xlsx
E. Company_info.xlsx
A
40
40 在何源的个人计算机中,何源 iPhone 手机中的一些图片曾被同步到他的百度网盘中,请问图片“2019-06-21
113537.jpg”的 MD5 hash 值是多少?
A. fe41107c5260498e67171755e2b4bb1d
B. 6055e4fa9e8a56c708a3db7198d091e7
C. 7b8e1183d80962c0ad5a95ec673317a7
D. 148685a257c49247f09b942237f1a248
E. db4a58e48ef51ca2c6c0f6e07f44d186文件名称:2019-06-21 113537.jpg
文件大小(字节):1349144
md5值:7b8e1183d80962c0ad5a95ec673317a7
服务器时间:2019-10-30 21:01:50
本地缓存时间:2019-06-21 11:35:37
删除状态:正常
C
41
41 在何源的个人计算机中,何源用百度网盘上传文件“/美国恐怖故事/美国恐怖故事 01.mp4”的起始时间是?
(格式:UNIX Timestamp UTC+8)
A. 1572506551
B. 1572506618
C. 1572506608
D. 1572506551
E. 15725078641572506551
AD? 有啥差别吗A和D
42
42 在何源的个人计算机中,可以发现有多少文件,文件夹存在于何源的百度网盘中?
A. Files: 55, Folder: 3
B. Files: 82,Folder: 2
C. Files: 23, Folder: 1
D. Files: 90, Folder: 2
E. Files: 102, Folder: 7
这里发现 文件夹 有大小为0 的 所以这里是 82个文件 2个文件夹
选B
43
43 在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器 google 搜索过一些信息,以下哪个不是
搜索的关键词?
A. gmail register
B. tor data sale
C. online lender
D. shadowsock
E. how to hide a partition
选D
44
44 在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器注册过一个新的 Gmail account,请从网
页标题痕迹中找出此账号。
A. jackhe666@gmail.com
B. johnhe7@gmail.com
C. jacksonhe8@gmail.com
D. jorkerhe888@gmail.com
E. yuanhe666@gmail.com
C
45
45 在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器下载过一些文件,以下哪一个不是?
A. WeChat_C1018.exe
B. bitcoin-018.1-win64-setup.exe
C. torbrowser-install-win64-8.5.5_en-US.exe
D. SteamSetup.exe
E. BaiduNetdisk_6.8.4.1.exeB
46
46 在何源的个人计算机中,用户“He Yuan”曾用以下哪款网页浏览器登陆过网页版百度网盘?
A. Internet Explorer
B. Firefox
C. Chrome
D. Microsoft Edge
E. Tor
D
47
47 在何源的个人计算机中,用户“He Yuan”曾用 Tor 浏览器访问过一些网站,以下哪一个不是?
A. https://duckduckgo.com
B. http://deepmix2cmtqm5ut74f4acz2eskr5htcdetpzupmdkas6fzi4cnc7sad.onion
C. http://vfqnd6mieccqyiit.onion
D. http://bntee6mf5w2okbpxdxheq7bk36yfmwithltxubliyvum6wlrrxzn72id.onion
E. http://silkroadjuwsx3nq.onionE
48 暗的取证
48 接上题,以下哪个 URL 是由用户手动输入到 Tor 浏览器中的?
A. http://tfwdi3izigxllure.onion
B. https://hiddenwikitor.com
C. http://deepmix5e3vptpr2.onion
D. http://vfqnd6mieccqyiit.onion
E. http://smoker32pk4qt3mx.onion这里首先导出db文件 然后打开
这里其实还是不存在什么特别的东西 主要是我们需要知道
这里主要是暗的规则
这里我们可以看到title是正在切换线路 这个title需要用户手动输入内容
所以这里选择C
49
49 接上题,关于网页”http://rso4hutlefirefqp.onion”,以下哪一个描述是正确的?
A. ccPal - stolen creditcards, ebay and paypal accounts for bitcoins - buy CVV2s for bitcoin - PayPals
for Bitcoin - Ebay Accounts for Bitcoin
B. UKPassports - Buy passport from the United Kingdom UK, real passports from the UK, no fake passports
C. Stolen Apple Products for Bitcoin. Get the newest apple products for a fraction of the price.
Iphones for Bitcoin, Ipads for Bitcoin.
D. NLGrowers - Buy Weed, Hash, Cannabis, Marijuana with from the netherlands with Bitcoins - your deep
web weed source
E. We sell medical cannabis, rick simpson cannabis oil and other medical cannabis products
选E
50
50 接上题,哪个网页引导用户到了网页” http://vfqnd6mieccqyiit.onion”?
A. https://thehiddenwiki.org
B. http://hiddenwikitor.com
C. https://onionshare.org
D. http://xfnwyig7olypdq5r.onion
E. https://www.onionexplore.org
这里可以明显看出通过wiki 进行各个方向的网站访问
51 内存取证获取基本信息
51 分析何源的公司计算机内存镜像,何源的公司计算机操作系统以及硬件架构是什么?
A. Windows 7 x86
B. Windows 7 x64
C. Windows 8 x86
D. Windows 8 x64
E. Windows 10 x64py2 .\vol.py -f .\memdump.mem imageinfo这里可以看到信息
选A
52 查看进程
52 分析何源的公司计算机内存镜像,以下哪一个是进程“explorer.exe”的 PID?
A. 5098
B. 3484
C. 3048
D. 2236
E. 9875py2 .\vol.py -f .\memdump.mem --profile=Win7SP1x86_23418 pslist | grep explorer.exe
选B
53 查看 sid
53 分析何源的公司计算机内存镜像,以下哪一个是正确的用户 SID ?
A. HTC_admin : S-1-5-21-2316527938-3914680751-2175519146-1001
B. TMP_User : S-1-5-21-2316527938-3914680751-2175519146-1002
C. TMP : S-1-5-21-2316527938-3914680751-2175519146-1001
D. YuanHe : S-1-5-21-2316527938-3914680751-2175519146-1002
E. None这里貌似取证大师就可以看了 好像不需要从vol看 这里我们需要获取 sid
所以使用 getsids 插件
然后输出到文件
py2 .\vol.py -f .\memdump.mem --profile=Win7SP1x86_23418 getsids > 1.txt
B
54 查看tcp连接
54 分析何源的公司计算机内存镜像,以下哪个远程地址与本地地址建立过 TCP 连接?
A. 10.165.12.130
B. 10.165.12.126
C. 10.165.10.125
D. 10.165.10.130
E. 10.165.10.131netscan 使用这个插件
py2 .\vol.py -f .\memdump.mem --profile=Win7SP1x86_23418 netscan > C:\Users\Administrator\Desktop\2.txt
A
55
55 接上题,在上述 TCP 连接里,远程地址的端口号是多少?
A. 80
B. 443
C. 445
D. 22
E. 3389C
56 查看注册表
56 分析何源的公司计算机内存镜像,注册表“\SystemRoot\System32\Config\SAM”在内存镜像中的虚拟地址
(Virtual Address)是多少?
A. Offset: 0x97b5e5d8
B. Offset: 0x9a5689c8
C. Offset: 0x8c6b49c8
D. Offset: 0x8bc1a1c0
E. Offset: 0x9bc1a1c00x9a5689c8 0x642099c8 \SystemRoot\System32\Config\SAMB
57 查看用户登入密码 NTLM hash
57 分析何源的公司计算机内存镜像,用户“Yuan He”登入密码的 NTLM hash 是多少?
A. bf12857078039ff604bf8e1fb4308643
B. 31d6cfe0d16ae931b73c59d7e0c089c0
C. bf12857078039ff604bf8e1fb430a7d4
D. a53452d6cd5e2d72423cd3eac8b05607
E. 99e74d973f8f852432f6d5a59659ed88py2 .\vol.py -f .\memdump.mem --profile=Win7SP1x86_23418 hashdump
E
58 查看时间线 timeliner命令
58 分析何源的公司计算机内存镜像,盘符“E:”上的文件“Personal Information.xlsx”何时被访问过?
A. 2019-10-31 07:58:45
B. 2019-10-31 10:33:42
C. 2019-10-31 06:59:45
D. 2019-10-31 09:31:42
E. 2019-10-31 08:32:42这里问何时访问过 所以这里需要创建工作时间线
py2 .\vol.py -f .\memdump.mem --profile=Win7SP1x86_23418 timeliner |grep Personal > C:\Users\Administrator\Desktop\3.txt
这里发现时间为 2019-10-31 6.59.45
59 查看文件路径
59 分析何源的公司计算机内存镜像,以下哪个是文件“Personal Information.xlsx”的正确路径?
A. Users\YuanHe\Desktop\Confidential\Personal Information.xlsx
B. Users\YuanHe\Desktop\Personal Information.xlsx
C. Users\TMP_User\Desktop\Confidential\Personal Information.xlsx
D. Users\TMP_User\Desktop\Personal Information.xlsx
E. Users\Administrator\Desktop\Confidential\Personal Information.xlsx查看文件信息 使用 filescan
从上面知道这是TMP 所以我们只要查看TMP用户即可
py2 .\vol.py -f .\memdump.mem --profile=Win7SP1x86_23418 filescan |grep TMP_User > C:\Users\Administrator\Desktop\3.txt
不存在目录为这个的 所以跳过
60 查看文件访问情况
60 分析何源的公司计算机内存镜像,可以发现以下哪些文件夹曾被访问过?
1 …\Company_Files\Jonathan Norton
2 …\Company_Files\Stephen Chow
3 …\Company_Files\John Wick
4 …\ Company_Files\Logan Chen
5 …\Company_Files\Colleen Johnson
A 2,3,5
B 2,4,6
C 1,3,5
D 3,4,5
E 1,4,5这里我们可以通过查看时间线查看 都在 Company_Files文件夹下
py2 .\vol.py -f .\memdump.mem --profile=Win7SP1x86_23418 timeliner |grep Company_Files > C:\Users\Administrator\Desktop\3.txt2019-10-31 06:57:15 UTC+0000|[IEHISTORY]| explorer.exe->:2019103120191101: TMP_User@file://10.165.12.125/Company_Files/Personal%20Information.xlsx| PID: 3484/Cache type "URL " at 0x3bc5000 End: 2019-10-31 06:57:15 UTC+0000
2019-10-31 06:57:15 UTC+0000|[IEHISTORY]| explorer.exe->Visited: TMP_User@file://10.165.12.125/Company_Files/Personal%20Information.xlsx| PID: 3484/Cache type "URL " at 0x40a5000 End: 2019-10-31 06:57:15 UTC+0000
发现都是explorer.exe获取的
所以我们导出memdump explorer.exe
py2 .\vol.py -f .\memdump.mem --profile=Win7SP1x86_23418 memdump -p 1620 --dump-dir C:\Users\Administrator\Desktop\然后我们就可以获取到 1620的镜像了
然后我们通过strings命令查找内容
但是这里还有一个 可以通过shellbags输出内容
py2 .\vol.py -f .\memdump.mem --profile=Win7SP1x86_23418 shellbags > C:\Users\Administrator\Desktop\4.txt
这里问文件夹 其实就可以通过shellbags来查看 因为shellbags记录文件夹信息
E
61 导出注册表解析,查看tcpip执行时间
61 分析何源的公司计算机内存镜像,以下那一项有关这台计算机的资料是正确?
A. 这台计算机安装 Window 的时间是 2019-10-31 11:56:23 UTC + 0
B. 这台计算机的名称是 WIN-VUAL29E4P0K
C. 公开资料显示这台计算机 TCPIP 的最后更新时间是 2019-10-31 04:59:00 UTC + 0
D. A 及 C 都是正确
E. B 及 C 都是正确py2 .\vol.py -f .\memdump.mem --profile=Win7SP1x86_23418 dumpregistry -D C:\Users\Administrator\Desktop\这里里面都是注册表的内容 所以我需要导出解析
这里我们看software注册表
这里我们可以首先确定B是对的
这里也可以使用vol envars 插件
py2 .\vol.py -f .\memdump.mem --profile=Win7SP1x86_23418 envars|grep COMPUTERNAME
然后A 我们去 看install data
这里我们也需要注意一下时区
时区我们可以去SYSTEM/ControlSet001/Control/TimeZoneInformation查看
GMT = UTC+0
C 这里我们可以看 tcpip 这个执行时间
py2 .\vol.py -f .\memdump.mem --profile=Win7SP1x86_23418 timeliner |grep tcpip
时间对不上
所以选择B
62 usb情况
62 分析何源的公司计算机内存镜像,以下那一项关于这台计算机连接 USB 装置的描述是正确?
A. 没有,因为透析资料找不到
B. 没有,因为内存容量没有取得完整的注册表资料
C. 有,而且装置的牌子应该是 HUAWEI
D. 有,而且装置的 GUID 是 4d36e967-e325-11ce-afc1-832210318
E. 有,而且装置的首次插入时间 HEX 值是 40 43 30 b9 b8 8f d5 01这里我们使用插件查看usb情况
py2 .\vol.py -f .\memdump.mem --profile=Win7SP1x86_23418 usbstor这里就可以排除前面四个选E
但是这里我们要选E 我们就需要去看注册表
SYSTEM
这里就可以发现 第一次的数据时间是{83da....}/0065 这样就可以确定了
做起来确实有点难 这个资格赛和之前对比强度还是有点大
1472
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
