个人综合案例-羊-测试

1、该对象拨号密码()

A、zhangy100

B、wangy188

C、wangy100

D、zhangy188

答案：D

解析：对于拨号密码的查看，我们可以通过仿真的方式进行动态取证，也可以根据分析注册表对应的键值进行静态取证，或者利用ASDL密码查看器进行查看

2、案例中被识别为USB设备的有()

A、iPhone aigo

B、android

C、KinSton

D、sandi

答案：A

解析：

3、王一的skype 账号为()

A、zhangsan1681

B、petter.petter57

C、petter.petter56

D、zhangsan1682

答案：C

解析：

4、加密盘的TureCrypt 密码是

A、ly1214

B、ly1314

C、wy1314

D、wy1214

答案：C

解析：通过仿真软件对镜像进行仿真，导入证书，在查看文件wy.txt

5、Windows登陆密码()

A、zhang321

B、wang321

C、wang123

D、zhang123

答案：C

解析：

6、在该对象的excel表格文件中，厦门所对应的值为多少

A、595

B、592

C、591

D、597

答案：B

解析：

7、挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片，在删除的邮件附件中提取一张涉案图片()

A、Img151868988.jpg

B、Img231858987.jpg

C、Img341858987.jpg

D、Img342568988.jpg

答案：

解析：数据恢复--签名恢复-选择邮件一选择未分配簇、字节扫描的方式

提示：取证大师签名恢复自定义规则:取证大师支持自定义签名恢复，最大大小参数只在同时配置头部签名和尾部签名的情况下使用：搜索到头部签名后，在最大大小范围内搜索尾部签名，搜索到就截取头部和尾部，否则就按默认大小恢复文件。其他的情况都是搜索到头部签名，然后截取默认大小恢复。

8、挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片，图片分段压缩密码和修改了扩展名的文件()

A、18999920188，2923my24822;

B、18999920188，2923my24812;

C、18999920177，2923my24812;

D、18999920178，2923my24822;

答案：B

解析：

9、王一的建设银行账号是()

A、6227 0000 3352 9155 128

B、6227 0000 3214 9192 128

C、6227 0000 3214 3352 9155

D、6227 0000 3214 5566 128

答案：B

解析：

或者 通过仿真软件对镜像进行仿真，导入证书，在查看文件wy.txt

10、支付宝支付密码()

A、wy3214999

B、wy1354998

C、wy1314999

D、wy1314998

答案：C

解析：我们已知支付宝的资料存储在 我的资料,docx 文档中，但是该文档进行了加密，通过社会工程学的原理，我们猜想他的密码是否跟其他已知的密码一样(如图片压缩密码、邮箱密码、windows登录密码)，或者根据他的名字和手机号生成密码字典进行破解，最终发现该文档密码与邮箱密码一致，为wangy0401

11、挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片，签名恢复提取未分配簇中的图片其中D盘有多少张不同的图片()

A、三张

B、一张

C、两张

D、四张

答案：C

解析：

12、挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片，TC 加密分区F盘(有密码)：有一张涉案图片()

A、1430718.jpg

B、1420719.jpg

C、1430719.jpg

D、1420718.jpg

答案：C

解析：

13、标准的JPG图片的文件头是()

A、FF D8 FF E2

B、FF D7 FF E0

C、FF D8 FF E0

D、FF D8 FF E1

答案：C

解析：

14、支付宝账号放在哪个文档

A、我的资料.docx

B、我的资料.xsl

C、我的资料.txt

D、我的资料.pdf

答案：A

解析：

15、王一的电子邮箱地址()

A、wangy2013@sina.com

B、wangy2015@sina.com

C、wangy2014@sina.com

D、wangy2016@sina.com

答案：B

解析：

16、取证结果中哪些数据可以尝试用于EFS文件的解密()

A、系统登录用户名

B、NT哈希和个人证书

C、系统版本号

D、使用其它用户账户密码

答案：B

解析：NT密码哈希可解出用户的登录密码;个人证书可访问对应文件夹的权限;知道用户的登录密码，直接取消或者我们可以通过仿真登录该用户计算机，导出证书，即可对授权的文件夹进行查看

17、案例中使用的操作系统版本是()

A、Windows 7

B、Windows 10

C、Windows 8

D、Windows xp

答案：D

解析：

18、该对象的手机号是

A、18999320188

B、18999220188

C、18999920189

D、18999920188

答案：D

解析：在邮件的信息中，我们从聊天记录中知道涉案的手机号尾数为188，为此我们通过编写正则表达式 1[0-9]{7}188的方法进行原始数据搜索

19、支付宝账号()

A、wangy1234@qq.com

B、wangy1234@126.com

C、wang1234@163.com

D、wangy1234@163.com

答案：D

解析：同10

20、挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片，丢失分区H盘，提取一张涉案图片()

A、4344512.jpg

B、4244513.jpg

C、4344513.jpg

D、4244512.jpg

答案：C

解析：

21、EFS密码数据：一张涉案图片，一个txt文档(建行卡，TC密码)\D\My Doucment\wang，图片名称是()

A、7162631.jpg

B、7262632.jpg

C、7162632.jpg

D、7262631.jpg

答案：C

解析：

22、支付宝登陆密码()

A、Ly1314878

B、wy1314888

C、wy1214878

D、wy1224888

答案：B

解析：同10

23、挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片，丢失分区G盘，提取一张涉案图片()

A、3858226.jpg

B、3858237.jpg

C、3858227.jpg

D、3858236.jpg

答案：C

解析：

24、挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片，可疑签名文件，即修改扩展名的图片路径是()

A、c:\music\喜洋洋与灰太狼.mp4

B、c:\music\喜洋洋与灰太狼.mp3

C、d:\music\喜洋洋与灰太狼.mp3

D、d:\music\喜洋洋与灰太狼.mp4

答案：C

解析：

25、该对象使用哪些反取证工具()      

A、WC自由门 无影无踪

B、TC 自由门 无影无踪

C、AC 自由门 无影无踪

D、BC 自由门 无影无踪

答案：B

解析：

26、EFS 加密证书文件在哪个路径下

A、C:\My Documents\me\adinistrator.pfx

B、D:\My Documents\me\adinistrator.pfx

C、C:\My Documents\me\user.pfx

D、D:\My Documents\me\user.pfx

答案：B

解析：

27、该对象登录系统的用户名是()

A、administrator

B、user2

C、user

D、direct

答案：A

解析：

28、该对象的邮箱账号密码()

A、wang0481

B、wang0401

C、wangy0401

D、wangy0481

答案：C

解析：

29、系统最后一次正常关机时间是()

A、2015-03-06 14:18

B、2015-02-05 14:18

C、2015-02-06 14:18

D、2016-02-06 14:18

答案：C

解析：

30、挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片，签名恢复提取文档"羊羊羊.doc"尾部图片，恢复出的图片中"evidence files"的黄色标识位于图片的()

A、左下角

B、左上角

C、右上角

D、右下角

答案：D

解析：用X-ways打开该文档，搜索JPG头部十六进制FFD8FFE0至尾部FFD9视作新文件

31.挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片，签名恢复提取被简单删除的图片()

A、c:\photos\100_1228.jpg

B、d:\photos\1401416005.jpg

C、c:\photos\1401415986666.jpg

D、d:\photos\85571044.jpg

答案：D

解析：

32、挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片，格式化分区E盘，提取一张涉案图片()

A、2766022.jpg

B、2766021.jpg

C、2776022.jpg

D、2776021.jpg

答案：C

解析：

33、该对象安装软件中哪些应成为下一步的分析重点()

A、Foxmail TC Skype

B、QQmail

C、Wechatmail

D、Chrommail

答案：A

解析：在取证分析中，分析邮箱、微信等通讯工具是重点，因为他包含了嫌疑人的聊天记录，文件
传输等信息，分析是否有加密容器，如turecrype、veracrype等一些加密软件，删除文件的
软件等都是分析重点

34、挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片，残缺的邮件附件中，提取一张涉案图片()

A、209162.jpg

B、208162.jpg

C、208161.jpg

D、209161.jpg

答案：A

解析：第七题

35、该对象是否访问过meishitui网站？若有，访问次数为?()

A、是 2

B、否

C、是 1

D、是 3

答案：C

解析：