美亚杯赛前小训练，分享一套小模拟练习，弘连软件使用学习，供大家赛前训练，题目非常简单，很适合大家练手（非常推荐！）（新手手荐！）题目入门非常合适，也是了解软件很好的办法！22校赛

话不多说，先上链接，百度网盘。

链接：https://pan.baidu.com/s/17Sl3R3PfHUuhmaPug-M6Sg?pwd=ybww
提取码：ybww
--来自百度网盘超级会员V3的分享

题目不大，10G，我非常建议大家下载下来做一做，所有题目我都会认真写解答，题目很简单，我试试看能不能多解，给大家多种方案。

在一起电诈案件中，受害者称自己的银行卡被他人冒用，曾收到假冒公安的短信，因为自己在一个P2P网站中理财，假冒公安称该网站已被列入非法网站，要自己到公安备案网站填写自己的信息，并帮助自己追回本金，因此信以为真，在网站上填写了自己的信息和绑定的银行卡信息；办案机关推测嫌疑人可能是获取了P2P网站中的注册用户信息，从而进行定向诈骗，“Personal Computer.E01”为嫌疑人笔记本电脑镜像。

1、计算“Personal Computer.E01”文件的sha256值（）

A. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5

B. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6

C. e6e47e210bd56c7071ce73ab5523736120071d0f3da5335936d7beb25c3914cd

D. 1e646dec202c96b72f13cc3cf224148fc4e19d6faaaf76efffc31b1ca2cdd200

可以使用小工具，hashcalc这个比较方便，但是计算时间很长，1分钟左右。

也可以直接丢进弘连美亚软件里跑一下，都可以的啦！

2、请分析该检材的操作系统版本（）

A. Windows 10 Education

B. Windows 10 Home

C. Windows 10 Pro

D. Windows 10 Enterprise

3、找出该系统用户最后一次登陆时间：（）

A. 2019-07-14 10:50:02  

B. 2019-07-14 10:10:02

C. 2019-07-14 10:40:02   

D. 2019-07-14 10:30:02

4、找出该系统最后一次正常关机时间：（）

A. 2019-07-14 17:30:05

B. 2019-07-14 10:30:05  

C. 2019-07-14 11:30:05   

D. 2019-07-14 12:30:05

5、请计算检材桌面上文本文件的sha256值：（）

A. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5  

B. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6

C. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c7   

D. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c8

方法1：安装vm tool，虚拟机文件拖出来计算

或者hashcalc拖进去，我这里试了一下后者。

6、该系统于2019年7月13日安装的软件为：（）

A. Eraser  

B. Putty

C. Xftp   

D. Xshell

7、找出该嫌疑人于2019-07-13 17:52:19时，使用WinRAR工具访问了_____文件：（）

A. navicat11.zip  

B. we.tar.gz

C. test2-master.zip  

D. BitLocker.rar

虚拟机内部只能看到访问记录，没法看到时间，所以换办法。

下面展示弘连时间线的用法。（这里要强调，时间输入后，点一下全部，或者personal那个才会生效，我搞了半天才搞懂，希望闭坑）

直接看最近访问，这个还比较简单，但是我还是推荐时间线，正向逆向都是可以的。

8、系统于2019-07-13 17:53:45时运行了___程序：（）

A. regedit.exe  

B. WinRAR.exe

C. Xshell.exe   

D. Foxmail.exe

9、文件test2-master.zip是什么时间下载到本机的：（）

A. 2019-07-13 14:21:01  

B. 2019-07-13 17:22:01

C. 2019-07-13 15:23:01   

D. 2019-07-13 16:20:01

10、文件test2-master.zip是使用什么工具下载到本地的：（）

问题同上，一并解决

A. Chrome

B. Internet Explorer

C. edge   

D. 迅雷

11、嫌疑人成功连接至192.168.184.128服务器的时间为：（）

A. 2019-07-13 16:21:28  

B. 2019-07-13 16:21:31

C. 2019-07-13 16:21:35   

D. 2019-07-13 16:21:25

时间线暴力解决，不过看xshell好像不行

说一下这题的一个难点，如果时间去爆搜的话，会有很多结果，浏览器记录也有，什么都有，这题应该去理解，做法是去查找ip地址，然后去找ssh密匙文件，文件对应的时间才是最早的时间，如果盲目去看浏览器记录，最多得到2019-07-13 16:21:35   肯定是不对的。

12、嫌疑人通过远程连接到128服务器，下载了什么文件到本机：（）

A. web.tar.gz  

B. we.tar.gz

C. home.tar.gz   

D. wwwroot.tar.gz

如果正面查看谷歌浏览器，是看不到下载文件的，所以可以逆向爆搜

 发现只有we。tar被找到，其他都没用

13、承接上一题，下载该文件用了多长时间：（）

A. 10秒  

B. 20秒

C. 15秒   

D. 25秒

 

14、该镜像“Personal Computer.E01”中存在几个手机备份：（）

A. 4

B. 3

C. 2

D. 1

15、请分析并提取手机备份文件（备份密码请注意“Personal Computer.E01”桌面相关记录），嫌疑人所用的手机的IMEI号码：（）

这个真的很骚，被前面的题目误导，我以为密码就是在新建文档里面的，真的搞了我两个小时，各种打不开，最后发现桌面上牛肉面是真的秀！

A. 352021062748965

B. 352021062748966

C. 352021062748967   

D. 352021062748968

 

16、嫌疑人是通过何种方式首次联系到售卖恶意程序的卖家的：（）

A. 微信  

B. QQ

C. 短信   

D. 邮件

17、嫌疑人和卖家的资金来往是通过何种方式：（）

A. 微信  

B. QQ

C. 银行转账  

D. 支付宝

18、嫌疑人在犯罪过程中所使用的QQ账号为：（）

A. 1649840939

B. 1137588348

C. 364505251   

D. 1722629449

19、卖家所使用的微信账号ID为：（）

A. refrain_C  

B. flame_guan

C. chao636787   

D. sword19880521

 

20、嫌疑人电脑中存在Bitlocker容器（恢复秘钥通过其他方式获得：494208-639155-079684-230648-428923-176902-004312-663696），嫌疑人下载了几个恶意程序到本机“Personal Computer.E01”加密容器中：（）

A. 1  

B. 2

C. 3   

D. 4

对这个文件进行解锁，然后发现三个文件

判断第二个不是恶意软件，所以算2个，这题我也不确定，百度所得

21、嫌疑人是什么时间开始对受害者实施诈骗的：（）

A. 2019-07-13 19:14:44  

B. 2019-07-13 19:24:44

C. 2019-07-13 19:04:44   

D. 2019-07-13 19:44:44

短信即可看到

22、请综合分析，嫌疑人入侵服务所使用的登陆方式为：（）

A. SSH密码登陆  

B. SSH密钥登陆

C. 连接后门程序  

D. FTP登陆   

盲猜B

23、通过手机微信记录分析，涉案邮件收件人为：（）

A. 1649841939@qq.com  

B. 1649840939@qq.com

C. 1649845939@qq.com  

D. 1649848939@qq.com

只有这个，都没得选。

24、压缩包test2-master.zip中的文件是什么？（）

A.恶意软件

B.加密程序

C.密钥文件

D.下载软件

解压后看到这两个文件，去查了一下百度，还是不清楚

 打开后看到key可以盲猜是密匙文件

25、文件runit.txt从哪个域名下载的？（D）

A.https://pan.forensix.cn/lib/367d7f96-299f-4029-91a8-a31594b736cf/runit

B.https://pan.baidu.com/s/19uDE7H2RtEf7LLBgs5sDmg?errno=0&errmsg=Auth Login Sucess&&bduss=&ssnerror=0&traceid=

C.https://pan.forensix.cn/seafhttp/files/dec88b97-b2bc-414f-93a3-dcbbc15d615/runit

D.fhttps://pan.forensix.cn/seafhttp/files/8fdf1982-e323-4efe-ae28-2bba21b5162c/runitchttps://pan.forensix.cn/seafhttp/files/8fdf1982-e323-4efe-ae28-2bba21b5162c/runit

 

26、嫌疑人在什么时间登陆PC端网页微信？（）

A. 2019-07-13 16:34:55

B. 2019-07-13 16:40:13

C. 2019-07-13 16:45:45

D. 2019-07-13 16:53:45

找到连接然后搜索

 

27、嫌疑人于2019-07-13 17:22:23下载了什么文件？（）

A.网站目录压缩文件

B.数据库备份文件

C.网站日志文件

D.数据库日志文件

 

28、硬盘C盘根目录中，文件pagefile.sys.vhd的作用是什么？（）

A. pagefile页面交换文件

B. 虚拟机启动文件

C. 系统配置文件

D. 虚拟磁盘

 

29、“Personal Computer.E01”中名为“2019bw”的虚拟机，该虚拟机操作系统内核版本是（）

A. Ubuntu 16.04.3 LTS

B. KERNEL_VERSION 4.4.1-87

C. Ubuntu 16.04.4 LTS

D. KERNEL_VERSION 4.4.0-87

 看不到，要导出虚拟机。将虚拟机拖到本机后打开，同时看到用户名和密码，一定是提示。

 uname -srm命令查看内核版本

30、“Personal Computer.E01”中虚拟机的密码为（）

A. admin888

B. honglian123

C. root

D. 123456