19美亚团队赛（完整版）

muxin2068

已于 2023-04-11 20:56:42 修改

阅读量1.4k

点赞数 1

文章标签：网络

于 2023-04-05 22:57:43 首次发布

本文链接：https://blog.csdn.net/muxin2068/article/details/129978237

版权

背景

证据路径

题目

1.在黑客路由器里，有一台设备的MAC地址为00:11:6B:47:4D:55，请问它的IP地址是什么？

192.168.0.102

2.在黑客路由器里，发现一设备的IP地址为192.168.0.103，请问该设备为如下哪一个：

exploitU

3.警方已经查证所有连接此router的设备都归黑客所有，根據黑客路由器的訊息，下列哪组（设备---ip）是错误的：

A:Network Attached Storage 2000 --- 192.168.0.102

B:Galaxy J7 --- 192.168.0.104

C:Galaxy A8 --- 192.168.0.104

D:exploitU --- 192.168.0.103

E:MACs-MacBook-Air --- 192.168.0.100

如上图，根本没有该设备

4.Hacker现场检获的Windows主机硬盘已成功取证并制作成镜像Win1.E01，下列哪个是其硬盘证据文件的MD5哈希值。

A:3e57817ea6263bc2c696a3455cc96381

B:d9a0b52f5ac3951ec4056449c31d886a

C:ed43de631a56dd2c8bac4abbd3882c86

D:dd32beac5ef2cd1cac06bdd8b5e88cbc4eb94de9

E:48a45c39da458f3cadd92017e0247454dc8bff66

5.MD5hash算法会产生一个什么大小的值。

128bit

32位16进制，128bit

6.对于一个E01镜像证据文件，要想成功通过校验过程，以下哪个是正确的

A:MD5 hash值以及 SHA1 hash值校验通过

B:MD5 hash值或者 SHA1 hash值校验通过

C:只需要CRC值校验通过

D:CRC值以及 MD5(或SHA1) hash值校验通过

E:CRC值或者 MD5(或SHA1) hash值校验通过

不做解释。。

7.对于镜像Win1.E01，操作系统(OperatingSystem)是什么？

Windows10pro

8.对于镜像Win1.E01，一个簇(Cluster)包含多少个扇区（Sector）？

在$boot文件的十六进制中可见

9.对于镜像Win1.E01，包含操作系统的分区中，共有多少个扇区（sector）？

169,646,337

10.对于镜像Win1.E01，硬盘上有多少扇区（sector）被主引导记录（MasterBootRecord）所保留?

11.对于镜像Win1.E01，文件被删到回收站（RecycleBin）的时间可在以下哪个文件的元数据(metadata)中找到？

A INFO2 文件

B $I文件

C $R文件

D 回收站目录项（Recycle Bin directory entry）

E LNK 文件

方法1：

方法2：

火眼里右键任意一条回收站记录，跳到源文件即可

12.对于镜像Win1.E01，系统的最后关机(lastshutdown)时间是多少？

A. 2019-10-23 07：43：53 UTC

B. 2019-11-01 09：35：46 UTC

C. 2019-10-20 11：23：32 UTC

D. 2019-10-21 10：13：28 UTC

E. 2019-10-22 08：03：16 UTC

注意时区转换

13.当一个文件A被打开，一个带有文件A名字的快捷方式文件（linkfile）会在以下哪个文件夹生成？

A:Shortcut

B:History

C:Temp

D:Recent

E:Desktop

14.Win3.E01镜像档案的建立日期是?

A:2019-10-31

B:2019-11-01

C:2019-11-02

D:2019-11-03

E:2019-11-04

最后运行时间应该在11-01

15.在Win3.E01镜像文件内有多少个硬盘分区？

16.对于Win3.E01镜像，其操作系统的安装日期是？

2019-10-15

17.对于Win3.E01镜像，其操作系统共有多少个可登录用户？

注意为可登录只有Administrator为启用

18.对于Win3.E01镜像，系统的时区设定是什么?

China Standard Time

19.对于Win3.E01镜像，其主机名是

DESKTOP-1JMUE2M

20.对于Win3.E01镜像，其操作系统是

A. Windows xp

B. Windows 7

C. Windows 8

D. Windows 10

E. Windows Vista

如上图

21.对于Win3.E01镜像，其可登录的用户名是

Administrator

同17题

22.对于Win3.E01镜像，其曾使用过以下哪个IP地址

A. 192.168.0.101

B. 192.168.1.101

C. 192.168.0.104

D. 192.168.1.104

直接美亚里搜就好

23.对于Win3.E01镜像，以下哪个USB存储设备曾经连接过Win3这台主机

A:SMI USB DISK USB Device

B:Kingston DataTraveler 3.0 USB Device

C:General UDisk USB Device

D:选项 A，B

E:选项 A，B，C

24.对于Win3.E01镜像，以下哪些程序被设定为开机启动项

A:"C:\Program Files\Realtek\Audio\HDA\RtDCpl64.exe"

B:"C:\Users\Administrator\AppData\Local\Microsoft\OneDrive\OneDrive.exe"

C:"F:\BaiduNetdisk\BaiduNetdisk.exe"

D:"F:\BaiduNetdisk\YunDetectService.exe"

E:以上全部选项

25.对于Win3.E01镜像，曾经有个文件在A盘下，A:\NewTextDocument.txt，请问这个文件的创建时间（UTC）

A:2019-10-26 07:47:02 AM

B:2019-10-27 07:47:02 AM

C:2019-10-28 07:47:02 AM

D:2019-10-29 07:47:02 AM

E:以上都不是

注意时区转换

26.对于Win3.E01镜像，曾经在D盘下有这样一个文件，D:\BaiduNetdiskDownload\dataencrypt.txt，请问这个文件的创建时间(inUTC)

A:2019-10-29 09:30:00 AM

B:2019-10-30 09:30:00 AM

C:2019-10-31 09:30:00 AM

D:2019-11-01 09:30:00 AM

E:以上都不是;

注意时区转换

27.在黑客的网络中有一个网络附加存储（NAS），对于Win3.E01镜像，请问在Win3的记录中，以下哪一个选项最有可能是NAS的IP，以及绑定的盘符？

A:192.168.0.102 - Z:

B:192.168.0.102 - Y:

C:192.168.0.105 - Z:

D:192.168.0.105 - Y:

E:以上都不是;

28.对于Win3.E01镜像，在其回收站中，有一个文件agent1.7z，请问在删除之前它原本的路径是？

A:C:\Users\Administrator\Desktop\agent\agent1.7z

B:C:\Users\Administrator\Desktop\agent1.7z

C:C:\Users\Administrator\Downloads\agent1.7z

D:C:\Users\Administrator\Documents\agent1.7

E:以上都不是;

29.对于Win3.E01镜像，在其桌面上，有一个文件夹"macrodocs",在这个文件夹中哪些文件存在恶意宏（Macro）

1. Do Not Open.docm
2. N_Data.xlsm
3. Sol-1120.xlsm
4. Sol-BBA.xlsm
5. Today Is A Good Day.docm
6. exploit_1.docm
7. phishing.docm
8. 申请信息(Application Information).docm

A:1，4，7

B:1，6，7

C:3，7，8

D:4，7，8

E:6，7，8

导出时电脑自动扫描到了

微云步沙箱

30.接上题，根据对上述恶意文件phishing.docm的宏(Macro)分析，下列哪一个是其想要连接的ip地址？

192.168.0.100

用微步云沙箱分析一下

31.接上题，根据对上述恶意文件phishing.docm的宏(Macro)分析，下列哪一个是其想要连接IP的端口号？

真滴没找着，分析不出来。。

32.对于Win3.E01镜像，其系统中曾有如下文件，C:\Users\Administrator\Desktop\NextStep.txt，但此文件已经被删除，你是否可以找出此文件的删除时间

A. 2019-11-01 18:47:13 （UTC）

B. 2019-11-01 13:27:13 （UTC）

C. 2019-10-31 11:37:43 （UTC）

D. 2019-10-30 18:47:13 （UTC）

E. 以上都不是

33.接上题，请问文件C:\Users\Administrator\Desktop\NextStep.txt，是怎样被删除的？

A. Windows Delete (press delete button)

B. Shift + Delete

C. Eraser.exe

D. CCleaner

E. 以上都不是

按上题时间搜时间线 c较接近

34.接上题，请尝试恢复文件C:\Users\Administrator\Desktop\NextStep.txt，阅读文件内容，请问下列内容的正确顺序是1. Data Steal 2. test DoS attack 3. phishing email 4. Kali debug

A. 1，2，3，4

B. 4，3，2，1

C. 4，1，2，3

D. 4，3，1，2

E. 以上都不是

卷影分析

35.对于Win3.E01镜像，administrator的最早登陆时间是？

A. 2019-10-15 04:54:56 AM （UTC）

B. 2019-10-15 05:54:56 AM （UTC）

C. 2019-10-15 06:54:56 AM （UTC）

D. 2019-10-15 07:54:56 AM （UTC）

E. 2019-10-15 08:54:56 AM （UTC）

注意转换时区

36.对于Win3.E1镜像，以下哪些文件曾出现在盘符A:下

1. A:\New Text Document (2).txt

2. A:\New Text Document.txt

3. A:\Personal Information.xlsx

4. A:\key.txt

5. A:\keyList.txt

A. 1，2，3

B. 1，3，5

C. 2，3，4

D. 2，3，5

E. 全部

37.对于Win3.E01镜像，Eraser6.2.0.2986.exe是何时被下载的

A. 2019-11-01 01:25:16 PM (UTC)

B. 2019-10-31 01:25:16 PM (UTC)

C. 2019-10-30 01:25:16 PM (UTC)

D. 2019-10-29 01:25:16 PM (UTC)

E. 2019-10-28 01:25:16 PM (UTC)

38.接上题，Eraser6.2.0.2986.exe是从哪一个网站上下载的

A. pcword.com

B. secure-eraser.com

C. cnet.com

D. eraser.heidi.ie

E. sourceforge.net

39.对于Win3.E01而言，日志文件中哪些是该电脑使用过的打印（虚拟）设备？

1. Samsung CLP-775 Series PCL

2. Microsoft Print to PDF

3. http://192.168.0.106的 HP LaserJet Pro FDN

4. OneNote

A. 1, 2

B. 1, 3

C. 2, 4

D. 1, 2, 3

E. 1, 2, 3, 4

直接搜

40.对于Win3.E01镜像，该糸统是否有卷影副本（VolumeShadowCopy）？如果有卷影副本，请查看初始的卷快照（VolumeShadowCopy）记录，请问丢失的文件acres.dll.mui的最后访问时间（最后访问时间）？（UTC+8）

A. 该糸统没有卷影副本

B. 2019-03-19 18:39:04

C. 2019-10-30 11:40:41

D. 2019-10-31 22:00:50

E. 没有显示最后访问时间

acres 不是Acres！！！

41.分析两台Windows镜像，请找出比特币钱包的备份，它的MD5哈希是

bcf83e3a6a2aecde08010f54018c4c89

直接搜wallet ->找到wallet.bat

42.接上题，请解析此比特币钱包的备份，请问以下哪个不是此钱包的P2SH地址

A. 3HeQp9c74rqN6ymzGwr9JB7z8CPaX2458w

B. 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy

C. 3CevVaAjLPedZo9Uujr8kJj35gbRzM1zgC

D. 37Xb6GhDrKWqwn2nY5gFpRFjVXAAe27147

E. 以上都不是

直接打开文件搜name（只搜得到A 答案是B 有些懵逼

43 检材镜像“Linux.E01”的SHA1 值是多少

A. 4C286E182BC4D1832A8739B18C19ECAF9262C37A

B. 01464E1616E3FDD5C60C0CC5516C1D1454CC4185

C. 5E204BA351B2E558B0FAD92E14EC5E3C56322F62

D. 9ACFCC1B74862B442DA377D712E8271516C3E5B1

E. 97405075A7A9E139FF748F3BCE1AC0B7C4029C04

44对于Linux.E01镜像，其文件系统是什么
A. NTFS

B. EXT4

C. SWAP

D. XFS

E. 以上都不是

分区二是主要分区，看分区二文件系统即可

45 对于Linux.E01镜像，在Linux中，以下哪一个命令没有被执行过

A. ./builder.py -p Windows server //147.8.177.24:8080 -o agent.exe

B. ./ares.py runserver -h 0.0.0.0 -p 8080 --threaded

C. git clone https //github.com/Arno0x/WSC2.git

D. slowhttptest -c 500 -H -g -o ./out -i 10 -r 200 -t GET -u www.gov.hk:8080/ onlinebanking/WebContent/index.html -x 24 -p 2

E. vim Desktop/macro_script_public.txt

历史记录直接搜即可

46 对于Linux.E01镜像，该服务器中运行了 docker 应用, docker 镜像 d7a9eb4b82cb909c3836a6d36acde1f3f21fcf13a93254ef6c8a3107d2bc5f61创建时间是?

A. 2019-10-16T02:41:36.817783651Z

B. 2019-10-17T02:41:36.817783651Z

C. 2019-10-18T02:41:36.817783651Z

D. 2019-10-19T02:41:36.817783651Z

E. 以上都不是

直接可看👇

仿真一下也可以先Systemctl start docker启动docker ，docker images查看镜像，docker inspect d7 查看镜像详细信息

47 接上题，docker 的版本是

A. 16.05.2-ce

B. 17.03.8-ce

C. 18.01.2-ce

D. 18.06.1-ce

E. 19.03.3-ce

直接docker -v但是答案里没有

但是在上一题的命令里可以看见

48 接上题，docker 容器 64b97169b10e2fb268498fb16db93fd89bdb72abe99902739d760979d0c03888 的创建时间是

A. 2019-10-26T09:12:05.451029831Z

B. 2019-10-27T09:12:05.451029831Z

C. 2019-10-28T09:12:05.451029831Z

D. 2019-10-29T09:12:05.451029831Z

E. 以上都不是

查看所有docker容器：docker ps –a

查看具体容器信息 docker inspect 64b

49 对于Linux.E01镜像，在此Linux中，关于用户账户，以下哪一项是正确的

A. root:x:0:0:root:/root:/bin/bash

B. daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin

C. bin:x:2:2:bin:/bin:/usr/sbin/nologin

D. sys:x:3:3:sys:/dev:/usr/sbin/nologin

E. ABCD

直接看用户列表，发现全对

或者通过命令，查看用户组：cat /etc/group，也能都找到

50. 对于Linux.E01镜像，以下哪个文件保存了用户登陆历史记录

/var/log/wtmp

在用户登录处跳转源文件

51 对于Linux.E01镜像，分析用户登陆记录，以下哪个时间曾是root用户第一次登陆时间

A. 2019-10-15 10:29:53 (UTC+8)

B. 2019-10-15 12:39:53 (UTC+8)

C. 2019-10-15 22:49:53 (UTC+8)

D. 2019-10-16 02:59:53 (UTC+8)

E. 2019-10-16 22:49:53 (UTC+8)

有一个4月的，但开关机时间没有4月，故排除

52 对于Linux.E01镜像，下列哪些网页曾在 Firefox 浏览器上浏览过

A. ates (Artem Teslenko) · GitHub

B. C&C远控工具：Ares - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体, 4hou.com

C. 捷匯：轉換 XBT/HKD. 至香港元

D. Articles by Keith Shaw | Network World

E. 选项A，B，C，D

仿真直接打开火狐看历史记录

53 对于Linux.E01镜像，以下命令曾在何时执行过 apt-get install monodevelop mono-gmcs mono-mcs liblog4net-cil-dev

A. Oct 26 15:00:25

B. Oct 26 16:00:54

C. Oct 26 16:22:35

D. 选项A，B

E. 选项B，C

这题我在系统历史命令中搜索发现没有这条命令

借鉴做法：在var/log/auth.log文件中找到记录，auth.log用来记录sudo、ssh等用户认证日志，只有root用户才可写入

54 对于Linux.E01镜像，agent.exe 是由以下哪种工具生成

A. builder.py

B. malware.py

C. test.py

D. agent.py

E. 以上全都不是

命令 history | grep 'agent.exe'

MAC

55 对于MacBookAir.00001镜像，其文件系统是
A. HFS

B. APFS

C. HFS+

D. NTFS

E. exFAT

经典苹果APFS分区

56 对于MacBookAir.00001镜像，请问这台MacBook的硬件配置是

A. Hardware: MacBookAir6,1 @ 2.30 GHz (x 4), 16384 MB RAM

B. Hardware: MacBookAir6,1 @ 2.90 GHz (x 4), 32768 MB RAM

C. Hardware: MacBookAir6,1 @ 1.40 GHz (x 4), 8192 MB RAM

D. Hardware: MacBookAir6,1 @ 1.40 GHz (x 4), 4096 MB RAM

E. 以上都不是

这题比较烦，看仿真的硬件信息是看不到的，看到的是自己电脑分给虚拟机的配置，苹果系统安装时会生成install.log这个文件在固定位置，在private/var/log下

57 对于MacBookAir.00001镜像，其操作系统是

A. MacOS Sierra - 10.12

B. MacOS High Sierra - 10.13

C. MacOS Mojave - 10.14

D. macOS Catalina-10.15

E. 以上都不是

直接看,不太准确

仿真再看

58 对于MacBookAir.00001镜像，其主机名是

A. Kevin-MacBook-Air

B. John-MacBook-Air

C. Hacker-MacBook-Air

D. MACs-MacBook-Air

E. 以上都不是

上题图

59 对于MacBookAir.00001镜像，其中有一个可疑文件，该文件的MD5哈希值是 53e2ba6bebc6683b52db10d7c272b036，请找出这个文件，它的文件名是

A. idinfo.xlsx

B. group.xlsx

C. maple.xlsx

D. wow.docx

E. 以上都不是

挨个搜，取证大师算一下

60 接上题，请问下列哪个名称存在在以上文件中？

A. conc

B. 脆麻花

C. 我不是洪卓立

D. T_karius

E. 愛你的人

内容如下

61 对于MacBookAir.00001镜像，黑客使用此苹果电脑制作虚假图片并存放于某文件夹中，请问带有“生化武器”字样图片的创建时间是什么？

A. 2019-10-30 20:39 +8

B. 2019-10-31 17:36 +8

C. 2019-10-30 15:56 +8

D. 2019-10-29 11:31 +8

E. 2019-10-28 21:18 +8

直接查看缩略图吧

然后我按时间从晚到早排了个序

不知道为什么火眼里看到的时间不大对，美亚取证大师可以

62 接上题，请问此图片的MD5哈希值是什么？

A. 6a204bd89f3c8348afd5c77c717a097a

B. 4ff3eb6bb1e8cdc226e376f48651a6b5

C. 376892edba1e485aa91bfb1a5927634b

D. 7c185b4d6383ee211e3925bae9fa176a

E. 以上都不是

63 接上题，在这些虚假图片中，有一张图片的修改时间明显被人为修改过，请问此图片的MD5哈希值是什么？

A. 65e6747234d63c397581196cfdebd732

B. f890421a3956441e5b511088a0900d8a

C. f7ca2bf91a071d66bbfd9f3fd2e3854b

D. 5cfcbfa9be9dc9677efc6eb970b321e1

E. 以上都不是

有个文件修改时间是2022年，时间被明显修改过，算下哈希

64 对于MacBookAir.00001镜像，在Chrome 浏览器中, 以下哪些词条被搜索过？

1. youtube mac 2. craking passwd 3. steam mac download 4. people pics download

A. 2, 3

B. 1, 3

C. 1, 4

D. 1, 2, 3

E. 全部

直接搜就行

65 对于MacBookAir.00001镜像，以下哪一个网页没有被访问过

A. 香港高登討論區

B. GitHub - jaxBCD/Zeebsploit: web scanner - exploitation - information gathering

C. 郭富城54歲生日　囡囡普通話唱生日歌 - 香港高登討論區

D. Buy MacBook Pro - Apple (HK)

E. 全部

直接搜

66 对于MacBookAir.00001镜像，浏览器历史记录显示有一个Gmail账户曾登陆过，请问是以下哪一个账户

A. kevinanonymous0101@gmail.com

B. kevingmaillll@gmail.com

C. kevinsgmail0101@gmail.com

D. kevin0101gmail@gmail.com

E. 以上都不是

直接搜

或者看表单记录

手机Android2

67 对于手机镜像 blk0_mmcblk0.bin，以下哪一个是正确的IMEI码？

A. 970600721715934

B. 756006703422491

C. 102605066064219

D. 336597219429604

E. 357771070518829

IMEI号应该分析不出来，要手翻，具体位置如下

68 对于手机镜像 blk0_mmcblk0.bin，以下哪一个是正确的手机序列号？

A. KVQUBRVEEQL

B. R28H61T1Q8W

C. QCBOZPJIODB

D. HEVHRCWJVUR

E. RJAQ4BGWRHW

具体位置：

69 对于手机镜像 blk0_mmcblk0.bin，此Android手机的OS版本是多少？

A. 6.0.1

B. 6.2.7

C. 7.1.2

D. 8.0.1

E. 8.1.6 2

70 对于手机镜像 blk0_mmcblk0.bin，此Android手机曾连接过一个叫“TP-Link_C984”的无线网络，请问这个无线网络的连接密码是多少？

A. 63887316

B. 58096116

C. 96635594

D. 54541672

E. 74072191

71 对于手机镜像 blk0_mmcblk0.bin，Hacker的Gmail账户是多少？

A. Kevinanonymous1001@gmail.com

B. Kevinanonymous1010@gmail.com

C. Kevinanonymous0101@gmail.com

D. Kevinanonymous1100@gmail.com

E. Kevinanonymous0011@gmail.com

72 对于手机镜像 blk0_mmcblk0.bin，Hacker曾用Chrome浏览器google搜索过一些信息，以下哪一个不是搜索的关键词？

A. nmap

B. wireshark

C. nmap tutorial

D. hackcode

E. nmap for android

搜索记录直接看

73 对于手机镜像 blk0_mmcblk0.bin，2019-10-31 12:04:58 PM(UTC+0)黑客曾用Gmail账号向一个受害人发送过钓鱼邮件，请问受害人的邮件是什么？

A. johnwick1101@gmail.com

B. tommywu95123@gmail.com

C. tianlun23@hotmail.com

D. 415988369@qq.com

E. wendy88123@163.com

74 接上题，请问此钓鱼邮件的附件名字是什么？

A. virusclean.zip

B. virusclean.exe

C. antivirus.rar

D. antivirus.7z

E. antivius.zip

75 对于手机镜像 blk0_mmcblk0.bin，此Android的热点（Hotspot）名字是什么？

A. AndroidAPF67F

B. Hacker Lounge

C. Kevin’s Android

D. AndroidFR23L

E. GALAXY J7

直接看

77 对于手机镜像 blk0_mmcblk0.bin，在这部安卓手机上，微信数据库文件是被加密的，请解密数据库文件。以下哪个表存放了聊天记录

A. fmessage_conversation

B. chatroom

C. ChatroomMsgSeq

D. message

E. conversation

可以在解密后数据库看到文件，记得在右边选择设置列（contect开始没有显示）然后就可以看到聊天记录了

78 接上题，在微信聊天记录中，黑客与几个联系人有交流

A. 1

B. 2

C. 3

D. 14

E. 15

直接可看

79 接上题，在聊天记录中，关于不容易被发现的偷数据方法，黑客提出什么建议

A. 在电脑上开一个新的用户

B. 使用加密的U盘

C. 加密偷来的数据

D. 远程登陆偷取

E. 以上都不是

翻聊天记录

80 接上题，在聊天记录中，有一条百度网盘的下载地址，是以下哪一个

A. https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY1Ww

B. https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY2Ww

C.https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY3Ww

D. https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY4Ww

E. https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY5Ww

还在黑客与heyuan的聊天记录中

81 接上题，在聊天记录中你可以找到一个解压密码吗。这个解压密码的后四位是？

A. 1234

B. 2345

C. 3456

D. 4567

E. 5678

82 接上题，在聊天记录中，正确的解压密码是以下哪个时间点收到的

A. 2019-10-28 17:49:53 (+08:00)

B. 2019-10-29 17:49:53 (+08:00)

C. 2019-10-30 17:49:53 (+08:00)

D. 2019-10-31 17:49:53 (+08:00)

E. 以上都不是

上题图

Win3加密容器

83 在Win3 的镜像中有一个加密容器, 请找到并用上题正确的完整密码解密此文件，解密方式为veracrypt。请问下列那些文件不在这个加密容器中

A. Personal Information.xlsx

B. key.txt

C. car_plate.zip

D. 选项 A，B

E. 选项 B，C

通过聊天记录可以确定文件在17：49至17：52之间下载

data encrypt.txt应该就是

打开后

手机Android2

84 对于手机镜像 blk0_mmcblk0.bin，分析微信数据库，请问阿龚的微信ID是什么

A. wxid_9y8cs5hdin2i12

B. wxid_hgbjt16pm1pd12

C. wxid_9sdfas5hdin293

D. wxid_4m9cs5adnn2i98

E. wxid_4367s5hdin2i12

聊天记录里有

85 接上题，请问阿龚收到的比特币地址是什么

A. 3HeQp9c74rqN6ymzGwr9JB7z8CPaX2458w

B. 1BvBMSEYstWetqTFn5Au4m4GFg7xJaNVN2

C. 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy

D. bc1qar0srrr7xfkvy5l643lydnw9re59gtzzwf5mdq

E. 1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX

火眼看不了，就用手机大师了

手机Android1

*.ab文件火眼不能直接取证。。但是手机大师可以（但是不太完整，看不见文件，建议两个软件同时上），以下为火眼取证方法

abe.jar下载路径：

Release master-20220409062712-07bb660: Merge pull request #98 from nelenkov/renovate/gradle-7.x · nelenkov/android-backup-extractor · GitHub

(18条消息) 浅谈安卓系统备份文件ab格式解析_ab文件解析工具_ 叮当猫的博客-CSDN博客

none即为未加密

转化为tar，就可以正常取证了

86 对于手机备份 backup.ab 的分析，此手机没有安装以下哪个程序App?

A. Hangouts

B. Microsoft Excel

C. Skype

D. WhatsApp

E. Facebook

直接看也看不出来，可以在取证大师里用全局搜索

可能whatsapp是网页版吧？？？其他app都可以找到安装包

找到了其他三个app安装的共同路径的数据库应该可以确定就是没安装whatsapp

87 对于手机备份 backup.ab 的分析，此手机上的Gmail邮箱账户是多少？

A. Koreanlance666@gmail.com

B. Japanlance516@gmail.com

C. 0daylance233@gmail.com

D. Indonesialance920@gmail.com

E. chinalance518@gmail.com

88 对于手机备份 backup.ab 的分析，用户曾在以下哪个网站进行过关键词搜索？

A. www.baidu.com

B. www.bing.com

C. www.google.com

D. www.sougou.com

E. hao.360.com

浏览器记录中有

89 接上一题，以下哪一个是搜索关键词？

A. defcon

B. money laundering

C. silk road

D. steam

E. reddit

上题图

90 对于手机备份 backup.ab 的分析，此手机设置的时区是什么？

A. UTC+0

B. UTC+7

C. UTC-5

D. UTC+8

E. UTC+5

手机大师可以直接看

Raid重组

91 对于HDD1.E01, HDD2.E01, HDD3.E01, HDD4.E01。它们共同组成一个独立磁盘冗余阵列 RAID System。最有可能的RAID level 是什么？

A. RAID 0

B. RAID 2

C. RAID 3

D. RAID 5

E. 以上都不是

挂载到本地，直接磁盘检测很快就能检测出结果（用ftk imager软件）

自动计算序列

92 接上题，此RAID阵列的strip size in sectors （扇区的条带大小）

A. 1

B. 64

C. 128

D. 256

E. 以上都不是

上题图

93 接上题，此RAID阵列的磁盘顺序

A. HDD1, HDD2, HDD3, HDD4

B. HDD3, HDD4, HDD2, HDD1

C. HDD3, HDD1, HDD4, HDD2

D. HDD1, HDD3, HDD2, HDD4

E. 以上都不是

上上题图

94 接上题，就该独立磁盘冗余阵列RAID System而言，是使用了下列哪种阵列配置排列 (RAID LAYOUT)?

A. Backward Dynamic Parity （也叫 Left Synchronous）左同步

B. Backward Delayed Parity

C. Forward Parity (也叫 Right Asynchronous) 右异步

D. Forward Dynamic Parity (也叫 Right Synchronous) 右同步

E. 以上都不是

上上上题图

95 接上题，重组RAID阵列后。该阵列(RAID)大小(size)是多少?

A. 512GB

B. 699GB

C. 1088GB

D. 2050GB

E. 3000GB

直接看

96 接上题，就该独立磁盘冗余阵列RAID System而言，其文件系统是?

A. exFAT

B. FAT

C. NTFS

D. EXT4

E. XFS

97 接上题，其文件系统的建立日期是？

A. 2019-08-28

B. 2019-08-29

C. 2019-08-31

D. 2019-09-01

E. 2019-09-31

一些元文件创建时间都是8月31日，可推测文件系统时间

98 RAID 目录下有是个文件夹，其中有多个加密办公文件，找出存放密码的文件，并使用字典解密。阅读解密后的文件，请问阿龚（Gong）的生日是

A. 10/1/1999

B. 12/24/1988

C. 8/5/2000

D. 1/1/1989

E. 2/2/1990

Encrypt Files文件夹是目标文件夹

里面的Birth.xlsx是目标文件

Passware破解文件密码，加入字典（上图txt文件）跑出直接看

99 接上题，阅读解密后的文件，请问阿龚（Gong）的电话是

A. 52019073

B. 52848374

C. 52012009

D. 59087673

E. 以上都不是

Birth文件里除了生日啥也没有，估计team里应该有信息，再破一下

100 接上题，阅读解密后的文件，请问阿智 (Zhi) 的mission是

A. Bitcoin transaction

B. research on Government security vulnerability

C. Holiday

D. Stay at home with her child

E. 以上都不是

上题图

101 在黑客的RAID中发现有一个装有各种js脚本的文件夹js_shell,请问在这个文件夹中的下列哪个脚本带有恶意功能？

A. command.js

B. agent.js

C control.js

D. server.js

E. dark.js

导出文件直接放沙箱里跑，找到恶意文件

102 接上题，根据上述恶意js脚本分析，其带有下列哪种恶意功能？

A. 发送文件到C&C服务器端

B. 加密勒索

C 频繁弹出广告

D. 浏览器劫持

E. 开启录音功能

代码审计，需要看代码，也可以直接通过注释翻译判断代码含义

103 接上题，根据上述恶意js脚本分析，下列哪一个是其想要连接的ip地址？

A. 192.168.0.123

B. 147.8.235.127

C 147.7.243.36

D. 147.7.208.36

E. 147.8.27.235

104 接上题，根据上述恶意js脚本分析，攻击者共可以对其发出几种不同的有效指令？

A. 1

B. 2

C 3

D. 4

E. 5

代码审计，switch语句，以下case即代表不同的选择，一共四个case

105 接上题，根据上述恶意js脚本分析，该文件在解析攻击者指令的时候使用的编码转换方式是?

A. GB18030

B. GBK

C QP-encoding

D. Quoted-printable

E. Base64

直接搜

流量分析（一点不会。。）

106 在Hacker_PCAP文件夹中，有一个文件的MD5值为后5位为7ffb7,请问该文件的修改时间 (Modify time)为?

A. 2019-10-27

B. 2019-10-28

C. 2019-10-29

D. 2019-10-30

E. 2019-10-31

官方明确指出此题无效，不重要

找到一个很像的

107 在Hacker_PCAP文件夹中，哪两个pcap文件包含DoS攻击？

A. Hacking, testc

B. testf, testn

C. testn, testc

D. Hacking, testf

E. Hacking, testn

Hacking比较明显了

Testf 统计表流量：对比其他两个流量还是明显较多的

108 在Hacker_PCAP文件夹中，请对其中的Hacking.pcap分析,最后一个数据包的捕捉时间是什么时候？

A. 2019-10-31 10：10：29

B. 2019-10-31 10：14：34

C. 2019-10-31 10：17：03

D. 2019-10-31 10：20：53

E. 2019-10-31 10：25：22

过滤一下时间