话不多说,先上链接,百度网盘。
链接:https://pan.baidu.com/s/17Sl3R3PfHUuhmaPug-M6Sg?pwd=ybww
提取码:ybww
--来自百度网盘超级会员V3的分享
题目不大,10G,我非常建议大家下载下来做一做,所有题目我都会认真写解答,题目很简单,我试试看能不能多解,给大家多种方案。
在一起电诈案件中,受害者称自己的银行卡被他人冒用,曾收到假冒公安的短信,因为自己在一个P2P网站中理财,假冒公安称该网站已被列入非法网站,要自己到公安备案网站填写自己的信息,并帮助自己追回本金,因此信以为真,在网站上填写了自己的信息和绑定的银行卡信息;办案机关推测嫌疑人可能是获取了P2P网站中的注册用户信息,从而进行定向诈骗,“Personal Computer.E01”为嫌疑人笔记本电脑镜像。
1、计算“Personal Computer.E01”文件的sha256值()
A. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5
B. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6
C. e6e47e210bd56c7071ce73ab5523736120071d0f3da5335936d7beb25c3914cd
D. 1e646dec202c96b72f13cc3cf224148fc4e19d6faaaf76efffc31b1ca2cdd200
可以使用小工具,hashcalc这个比较方便,但是计算时间很长,1分钟左右。
也可以直接丢进弘连美亚软件里跑一下,都可以的啦!
2、请分析该检材的操作系统版本()
A. Windows 10 Education
B. Windows 10 Home
C. Windows 10 Pro
D. Windows 10 Enterprise
3、找出该系统用户最后一次登陆时间:()
A. 2019-07-14 10:50:02
B. 2019-07-14 10:10:02
C. 2019-07-14 10:40:02
D. 2019-07-14 10:30:02
4、找出该系统最后一次正常关机时间:()
A. 2019-07-14 17:30:05
B. 2019-07-14 10:30:05
C. 2019-07-14 11:30:05
D. 2019-07-14 12:30:05
5、请计算检材桌面上文本文件的sha256值:()
A. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5
B. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6
C. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c7
D. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c8
方法1:安装vm tool,虚拟机文件拖出来计算
或者hashcalc拖进去,我这里试了一下后者。
A. Eraser
B. Putty
C. Xftp
D. Xshell
7、找出该嫌疑人于2019-07-13 17:52:19时,使用WinRAR工具访问了_____文件:()
A. navicat11.zip
B. we.tar.gz
C. test2-master.zip
D. BitLocker.rar
虚拟机内部只能看到访问记录,没法看到时间,所以换办法。
下面展示弘连时间线的用法。(这里要强调,时间输入后,点一下全部,或者personal那个才会生效,我搞了半天才搞懂,希望闭坑)
直接看最近访问,这个还比较简单,但是我还是推荐时间线,正向逆向都是可以的。
8、系统于2019-07-13 17:53:45时运行了___程序:()
A. regedit.exe
B. WinRAR.exe
C. Xshell.exe
D. Foxmail.exe
9、文件test2-master.zip是什么时间下载到本机的:()
A. 2019-07-13 14:21:01
B. 2019-07-13 17:22:01
C. 2019-07-13 15:23:01
D. 2019-07-13 16:20:01
10、文件test2-master.zip是使用什么工具下载到本地的:()
问题同上,一并解决
A. Chrome
B. Internet Explorer
C. edge
D. 迅雷
11、嫌疑人成功连接至192.168.184.128服务器的时间为:()
A. 2019-07-13 16:21:28
B. 2019-07-13 16:21:31
C. 2019-07-13 16:21:35
D. 2019-07-13 16:21:25
时间线暴力解决,不过看xshell好像不行
说一下这题的一个难点,如果时间去爆搜的话,会有很多结果,浏览器记录也有,什么都有,这题应该去理解,做法是去查找ip地址,然后去找ssh密匙文件,文件对应的时间才是最早的时间,如果盲目去看浏览器记录,最多得到2019-07-13 16:21:35 肯定是不对的。
12、嫌疑人通过远程连接到128服务器,下载了什么文件到本机:()
A. web.tar.gz
B. we.tar.gz
C. home.tar.gz
D. wwwroot.tar.gz
如果正面查看谷歌浏览器,是看不到下载文件的,所以可以逆向爆搜
发现只有we。tar被找到,其他都没用
13、承接上一题,下载该文件用了多长时间:()
A. 10秒
B. 20秒
C. 15秒
D. 25秒
14、该镜像“Personal Computer.E01”中存在几个手机备份:()
A. 4
B. 3
C. 2
D. 1
15、请分析并提取手机备份文件(备份密码请注意“Personal Computer.E01”桌面相关记录),嫌疑人所用的手机的IMEI号码:()
这个真的很骚,被前面的题目误导,我以为密码就是在新建文档里面的,真的搞了我两个小时,各种打不开,最后发现桌面上牛肉面是真的秀!
A. 352021062748965
B. 352021062748966
C. 352021062748967
D. 352021062748968
16、嫌疑人是通过何种方式首次联系到售卖恶意程序的卖家的:()
A. 微信
B. QQ
C. 短信
D. 邮件
17、嫌疑人和卖家的资金来往是通过何种方式:()
A. 微信
B. QQ
C. 银行转账
D. 支付宝
18、嫌疑人在犯罪过程中所使用的QQ账号为:()
A. 1649840939
B. 1137588348
C. 364505251
D. 1722629449
19、卖家所使用的微信账号ID为:()
A. refrain_C
B. flame_guan
C. chao636787
D. sword19880521
20、嫌疑人电脑中存在Bitlocker容器(恢复秘钥通过其他方式获得:494208-639155-079684-230648-428923-176902-004312-663696),嫌疑人下载了几个恶意程序到本机“Personal Computer.E01”加密容器中:()
A. 1
B. 2
C. 3
D. 4
对这个文件进行解锁,然后发现三个文件
判断第二个不是恶意软件,所以算2个,这题我也不确定,百度所得
A. 2019-07-13 19:14:44
B. 2019-07-13 19:24:44
C. 2019-07-13 19:04:44
D. 2019-07-13 19:44:44
短信即可看到
A. SSH密码登陆
B. SSH密钥登陆
C. 连接后门程序
D. FTP登陆
盲猜B
A. 1649841939@qq.com
B. 1649840939@qq.com
C. 1649845939@qq.com
只有这个,都没得选。
24、压缩包test2-master.zip中的文件是什么?()
A.恶意软件
B.加密程序
C.密钥文件
D.下载软件
解压后看到这两个文件,去查了一下百度,还是不清楚
打开后看到key可以盲猜是密匙文件
A.https://pan.forensix.cn/lib/367d7f96-299f-4029-91a8-a31594b736cf/runit
B.https://pan.baidu.com/s/19uDE7H2RtEf7LLBgs5sDmg?errno=0&errmsg=Auth Login Sucess&&bduss=&ssnerror=0&traceid=
C.https://pan.forensix.cn/seafhttp/files/dec88b97-b2bc-414f-93a3-dcbbc15d615/runit
D.fhttps://pan.forensix.cn/seafhttp/files/8fdf1982-e323-4efe-ae28-2bba21b5162c/runitchttps://pan.forensix.cn/seafhttp/files/8fdf1982-e323-4efe-ae28-2bba21b5162c/runit
A. 2019-07-13 16:34:55
B. 2019-07-13 16:40:13
C. 2019-07-13 16:45:45
D. 2019-07-13 16:53:45
找到连接然后搜索
27、嫌疑人于2019-07-13 17:22:23下载了什么文件?()
A.网站目录压缩文件
B.数据库备份文件
C.网站日志文件
D.数据库日志文件
28、硬盘C盘根目录中,文件pagefile.sys.vhd的作用是什么?()
A. pagefile页面交换文件
B. 虚拟机启动文件
C. 系统配置文件
D. 虚拟磁盘
29、“Personal Computer.E01”中名为“2019bw”的虚拟机,该虚拟机操作系统内核版本是()
A. Ubuntu 16.04.3 LTS
B. KERNEL_VERSION 4.4.1-87
C. Ubuntu 16.04.4 LTS
D. KERNEL_VERSION 4.4.0-87
看不到,要导出虚拟机。将虚拟机拖到本机后打开,同时看到用户名和密码,一定是提示。
uname -srm命令查看内核版本
30、“Personal Computer.E01”中虚拟机的密码为()
A. admin888
B. honglian123
C. root
D. 123456