个人综合案例-羊-测试

已于 2024-06-16 12:50:08 修改
阅读量455 收藏 10
点赞数 8
分类专栏: 取证 文章标签: 其他
于 2024-05-12 21:24:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69407979/article/details/138767765
版权

1、该对象拨号密码()

A、zhangy100

B、wangy188

C、wangy100

D、zhangy188

答案:D

解析:对于拨号密码的查看,我们可以通过仿真的方式进行动态取证,也可以根据分析注册表对应的键值进行静态取证,或者利用ASDL密码查看器进行查看

2、案例中被识别为USB设备的有()

A、iPhone aigo

B、android

C、KinSton

D、sandi

答案:A

解析:

3、王一的skype 账号为()

A、zhangsan1681

B、petter.petter57

C、petter.petter56

D、zhangsan1682

答案:C

解析:

4、加密盘的TureCrypt 密码是

A、ly1214

B、ly1314

C、wy1314

D、wy1214

答案:C

解析:通过仿真软件对镜像进行仿真,导入证书,在查看文件wy.txt

5、Windows登陆密码()

A、zhang321

B、wang321

C、wang123

D、zhang123

答案:C

解析:

6、在该对象的excel表格文件中,厦门所对应的值为多少

A、595

B、592

C、591

D、597

答案:B

解析:

7、挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片,在删除的邮件附件中提取一张涉案图片()

A、Img151868988.jpg

B、Img231858987.jpg

C、Img341858987.jpg

D、Img342568988.jpg

答案:

解析:数据恢复--签名恢复-选择邮件一选择未分配簇、字节扫描的方式

提示:取证大师签名恢复自定义规则:取证大师支持自定义签名恢复,最大大小参数只在同时配置头部签名和尾部签名的情况下使用:搜索到头部签名后,在最大大小范围内搜索尾部签名,搜索到就截取头部和尾部,否则就按默认大小恢复文件。其他的情况都是搜索到头部签名,然后截取默认大小恢复。

8、挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片,图片分段压缩密码和修改了扩展名的文件()

A、18999920188,2923my24822;

B、18999920188,2923my24812;

C、18999920177,2923my24812;

D、18999920178,2923my24822;

答案:B

解析:

9、王一的建设银行账号是()

A、6227 0000 3352 9155 128

B、6227 0000 3214 9192 128

C、6227 0000 3214 3352 9155

D、6227 0000 3214 5566 128

答案:B

解析:

或者 通过仿真软件对镜像进行仿真,导入证书,在查看文件wy.txt

10、支付宝支付密码()

A、wy3214999

B、wy1354998

C、wy1314999

D、wy1314998

答案:C

解析:我们已知支付宝的资料存储在 我的资料,docx 文档中,但是该文档进行了加密,通过社会工程学的原理,我们猜想他的密码是否跟其他已知的密码一样(如图片压缩密码、邮箱密码、windows登录密码),或者根据他的名字和手机号生成密码字典进行破解,最终发现该文档密码与邮箱密码一致,为wangy0401

11、挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片,签名恢复提取未分配簇中的图片其中D盘有多少张不同的图片()

A、三张

B、一张

C、两张

D、四张

答案:C

解析:

12、挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片,TC 加密分区F盘(有密码):有一张涉案图片()

A、1430718.jpg

B、1420719.jpg

C、1430719.jpg

D、1420718.jpg

答案:C

解析:

13、标准的JPG图片的文件头是()

A、FF D8 FF E2

B、FF D7 FF E0

C、FF D8 FF E0

D、FF D8 FF E1

答案:C

解析:

14、支付宝账号放在哪个文档

A、我的资料.docx

B、我的资料.xsl

C、我的资料.txt

D、我的资料.pdf

答案:A

解析:

15、王一的电子邮箱地址()

A、wangy2013@sina.com

B、wangy2015@sina.com

C、wangy2014@sina.com

D、wangy2016@sina.com

答案:B

解析:

16、取证结果中哪些数据可以尝试用于EFS文件的解密()

A、系统登录用户名

B、NT哈希和个人证书

C、系统版本号

D、使用其它用户账户密码

答案:B

解析:NT密码哈希可解出用户的登录密码;个人证书可访问对应文件夹的权限;知道用户的登录密码,直接取消或者我们可以通过仿真登录该用户计算机,导出证书,即可对授权的文件夹进行查看

17、案例中使用的操作系统版本是()

A、Windows 7

B、Windows 10

C、Windows 8

D、Windows xp

答案:D

解析:

18、该对象的手机号是

A、18999320188

B、18999220188

C、18999920189

D、18999920188

答案:D

解析:在邮件的信息中,我们从聊天记录中知道涉案的手机号尾数为188,为此我们通过编写正则表达式 1[0-9]{7}188的方法进行原始数据搜索

19、支付宝账号()

A、wangy1234@qq.com

B、wangy1234@126.com

C、wang1234@163.com

D、wangy1234@163.com

答案:D

解析:同10

20、挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片,丢失分区H盘,提取一张涉案图片()

A、4344512.jpg

B、4244513.jpg

C、4344513.jpg

D、4244512.jpg

答案:C

解析:

21、EFS密码数据:一张涉案图片,一个txt文档(建行卡,TC密码)\D\My Doucment\wang,图片名称是()

A、7162631.jpg

B、7262632.jpg

C、7162632.jpg

D、7262631.jpg

答案:C

解析:

22、支付宝登陆密码()

A、Ly1314878

B、wy1314888

C、wy1214878

D、wy1224888

答案:B

解析:同10

23、挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片,丢失分区G盘,提取一张涉案图片()

A、3858226.jpg

B、3858237.jpg

C、3858227.jpg

D、3858236.jpg

答案:C

解析:

24、挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片,可疑签名文件,即修改扩展名的图片路径是()

A、c:\music\喜洋洋与灰太狼.mp4

B、c:\music\喜洋洋与灰太狼.mp3

C、d:\music\喜洋洋与灰太狼.mp3

D、d:\music\喜洋洋与灰太狼.mp4

答案:C

解析:

25、该对象使用哪些反取证工具()      

A、WC自由门 无影无踪

B、TC 自由门 无影无踪

C、AC 自由门 无影无踪

D、BC 自由门 无影无踪

答案:B

解析:

26、EFS 加密证书文件在哪个路径下

A、C:\My Documents\me\adinistrator.pfx

B、D:\My Documents\me\adinistrator.pfx

C、C:\My Documents\me\user.pfx

D、D:\My Documents\me\user.pfx

答案:B

解析:

27、该对象登录系统的用户名是()

A、administrator

B、user2

C、user

D、direct

答案:A

解析:

28、该对象的邮箱账号密码()

A、wang0481

B、wang0401

C、wangy0401

D、wangy0481

答案:C

解析:

29、系统最后一次正常关机时间是()

A、2015-03-06 14:18

B、2015-02-05 14:18

C、2015-02-06 14:18

D、2016-02-06 14:18

答案:C

解析:

30、挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片,签名恢复提取文档"羊羊羊.doc"尾部图片,恢复出的图片中"evidence files"的黄色标识位于图片的()

A、左下角

B、左上角

C、右上角

D、右下角

答案:D

解析:用X-ways打开该文档,搜索JPG头部十六进制FFD8FFE0至尾部FFD9视作新文件

31.挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片,签名恢复提取被简单删除的图片()

A、c:\photos\100_1228.jpg

B、d:\photos\1401416005.jpg

C、c:\photos\1401415986666.jpg

D、d:\photos\85571044.jpg

答案:D

解析:

32、挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片,格式化分区E盘,提取一张涉案图片()

A、2766022.jpg

B、2766021.jpg

C、2776022.jpg

D、2776021.jpg

答案:C

解析:

33、该对象安装软件中哪些应成为下一步的分析重点()

A、Foxmail TC Skype

B、QQmail

C、Wechatmail

D、Chrommail

答案:A

解析:在取证分析中,分析邮箱、微信等通讯工具是重点,因为他包含了嫌疑人的聊天记录,文件
传输等信息,分析是否有加密容器,如turecrype、veracrype等一些加密软件,删除文件的
软件等都是分析重点

34、挖掘带"Evidence Files"的黄色标语及"美亚柏科信息安全学院"的涉案图片,残缺的邮件附件中,提取一张涉案图片()

A、209162.jpg

B、208162.jpg

C、208161.jpg

D、209161.jpg

答案:A

解析:第七题

35、该对象是否访问过meishitui网站?若有,访问次数为?()

A、是 2

B、否

C、是 1

D、是 3

答案:C

解析:

m0_69407979
关注
  • 8
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值