个人赛密码:
题目压缩包密码:hJ2rt$^F0J3DS|cg`zLW
VC加密容器密码:O9Ye#Spd218T^TFs*!3d、
接下来是题目镜像,19个人赛。
链接:https://pan.baidu.com/s/1etln5fQpO0qbxY8i7HsbQw?pwd=ybww
提取码:ybww
--来自百度网盘超级会员V3的分享
资格赛
-
案情介绍
1.
何源是一名
25
岁的客服人员,在一间电讯公司工作。某日,何源在用
iPhone
手机在政府建筑物
中偷拍车牌期间被警员截停,盘问期间警员检查手机相册发现多张车牌图片,何源情绪紧张,趁
警员不被,抢过手机丢入车流,被完全损毁。行为十分可疑,警方于是展开调查。审讯期间何源
承认利用自己职权的便利,登入公司储存客户数据的服务器,非法取得一些政府人员的个人资
料,例如姓名,车牌号码,电话等等,再将这些数据出售。
2.
警方检获何源个人计算机,以及何源公司计算机(由于何的公司不允许警方检取整台计算机
,
人
员只能取得内存数据档案
(memory image)
以作分析
)
。现你被委派对何的计算机进行电子数据取
证,还原事件经过。
你会获得何源
( YuanHe )
计算机的硬盘镜像文件
"win2.E01"
以及何源公司计算机的内存数据档案
“memdump.mem”
。
根据这两个镜像文件的内容,请回答以下问题:
证据列表
证据路径
说明
HE_Company_Windows_RAM\memdump.mem
何源的公司计算机内存镜像
HE_Home_Windows\Win2\Win2.E01
何源的个人计算机镜像
个人赛 Individual Challenge
© 版权声明
1
何源的个人计算机硬盘已成功被取证并制作成镜像(Forensic Image),下列哪个是镜像的 SHA1 哈希值?
A. 6891d022c7e6fe81dc8ba2160e1ab610891596d3
B. 3e57817ea6263bc2c696a3455cc96381
C. ed43de631a56dd2c8bac4abbd3882c86
D. dd32beac5ef2cd1cac06bdd8b5e88cbc4eb94de9
E. 48a45c39da458f3cadd92017e0247454dc8bff66
2
在何源的个人计算机中,硬盘中包含哪个操作系统(Operating System)?
A.
Windows 7
B.
FAT32
C.
Windows 10
D.
Kali Linux
E.
NTFS
![](https://i-blog.csdnimg.cn/blog_migrate/77c4c1ed35d563a355058fc6683776df.png)
何源个人计算机的文件系统(File System)是什么?
A.
FAT16
B.
FAT32
C.
Windows 7
D.
NTFS
E.
Windows 10
![](https://i-blog.csdnimg.cn/blog_migrate/d72827a86d798d029b9aa1f8a1c5be31.png)
4
在何源的个人计算机中,你能找到操作系统分区的总容量吗 (单位:字节 byte)?
A.
492,083,081,216
B.
105,685,986,874
C.
386,908,999,680
D.
105,174,081,536
E.
492,594,986,554
看系统盘大小转化,当然是不准确的
![](https://i-blog.csdnimg.cn/blog_migrate/83978e221dfc451789f55a2296f2fe57.png)
美亚算出来有点差别,这题标准解法是用,扇区数算,1扇区等于512字节
所以这才是标准解法,不过实在要猜一下答案还是出的来的。
5
在何源的个人计算机中,操作系统分区的$Bitmap 的起始物理扇区位置(Physical Sector Number)是多少?
A.
5,683,328
B.
6,170,040
C.
7,026,176
D.
8,498,304
E.
9,168,216
6
在何源的个人计算机中,请问操作系统的安装日期是?
(答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC)
A.
2019-10-16 04:44 UTC
B.
2019-10-17 16:25 UTC
C.
2019-10-16 10:12 UTC
D.
2019-10-18 02:13 UTC
E.
2019-10-18 09:14 UTC
![](https://i-blog.csdnimg.cn/blog_migrate/4d42fc14b21928d1f4cef5b7fae8ade4.png)
7
在何源的个人计算机中,每个扇区(Sector)包含多少个字节?(单位: byte)
A.
512 bytes
B.
1024 bytes
C.
2048 bytes
D.
4096 bytes
E.
8192 bytes
常识
![](https://i-blog.csdnimg.cn/blog_migrate/ceca9f65cf2d722979e930b757145e77.png)
实在不会算一下也行
8
在何源的个人计算机中,操作系统的时区是哪个时区?
A.
Eastern Standard Time (GMT-05:00) : US and Canada
B.
Pacific Standard Time (GMT-08:00): Tijuana
C.
Korea Standard Time (GMT+09:00): Seoul
D.
GMT Standard Time (GMT): Dublin, Edinburgh, Lisbon, London
E.
China Standard Time (GMT+08:00): Beijing, Chongqing, Hong Kong, Shanghai
![](https://i-blog.csdnimg.cn/blog_migrate/8eda032d85005e57b2c3482210bb6650.png)
9
在何源个人计算机的操作系统中,下列哪个是计算机的主机名?
A.
DESKTOP-JW47K02
B.
HEYuan-WIN1
C.
HEYuan-WIN2
D.
DESKTOP-SM22M96
E.
DESKTOP-WE23K24
![](https://i-blog.csdnimg.cn/blog_migrate/1ec87c9d37050f6f958e39d035bd06a0.png)
10
在何源的个人计算机中,以下哪一个是用户“He Yuan”的 SID?
A.
S-1-5-21-1551135561-2581751248-1803739423-1001
B.
S-1-5-21-1551135561-2581751248-1803739423-1000
C.
S-1-5-21-1551135561-2581751248-1803739423-500
D.
S-1-5-21-1551135561-2581751248-1803739423-501
E.
![](https://i-blog.csdnimg.cn/blog_migrate/1500cde95250509bff36e24817f7240e.png)
None
11
在何源的个人计算机中,下列哪个 USB 移动储存装置 (U 盘)曾被分配为‘E’磁盘分区代号(Drive Letter) ?
A.
Kingston DataTraveler 3.0 USB Device
B.
SanDisk Transcend USB Device
C.
Samsung Portable SSD USB Device
D.
WD My Passport 3.0 USB Device
E.
Seagate Flash Disk USB Device
爆搜,只有A有
![](https://i-blog.csdnimg.cn/blog_migrate/1d768a5bb7c18518956875abf1b3ab28.png)
个人感觉题目有问题
12 在何源的个人计算机中,用户“He Yuan”曾经在挂载为“E”盘的 USB 移动储存装置中访问过一些文件/文件
夹,以下哪一个不是?
A. E:\美国恐怖故事
B. E:\New Text Document.txt
C. E:\CONFIDENTIAL.doc
D. E:\PycharmProjects
E. A,B,C,D
显然c
![](https://i-blog.csdnimg.cn/blog_migrate/1b080d55bc3a16528faa19b51ef917a9.png)
13
在何源的个人计算机中,用户“He Yuan”最近在本机上访问过一些文件,以下哪一个不是?
A.
Sample Project Plan.doc
B.
URGENT.doc
C.
connect.py
D.
美国恐怖故事 01.mp4
E.
Comprehensive-Minute-Template.doc
爆搜
![](https://i-blog.csdnimg.cn/blog_migrate/722f5c09697afbf4335facfc01f3b301.png)
14
在何源的个人计算机中,以下哪一个是程序“VERACRYPT.EXE”的运行次数?
A.
1
B.
2
C.
3
D.
4
E.
6
![](https://i-blog.csdnimg.cn/blog_migrate/df6415bacb373b93e6e9b4e8cb2a6f0b.png)
15
在何源的个人计算机中,在程序“VERACRYPT.EXE”运行时,以下哪个 dll 文件并没有同时被加载?
A.
COMDLG32.DLL
B.
CRYPT32.DLL
C.
SECUR32.DLL
D.
CRYPTSP.DLL
E.
ENCRYPT.DLL
16
说实话,这题像是内存题,但是内存里面没有
![](https://i-blog.csdnimg.cn/blog_migrate/66b0745e9d10424fc80e11a0b308c92f.png)
这个是常规思路任务管理器找动态
可以用exe动态dll查看器分析
在何源的个人计算机中,用户“He Yuan”的桌面墙纸(Wall paper)背景是什么颜色?
A.
黑色
B.
灰色
C.
蓝色
D.
红色
E.
![](https://i-blog.csdnimg.cn/blog_migrate/e4773aee448b0c19f694602b51bafa16.png)
17
在何源的个人计算机中,以下哪个文件在电脑 power off 的时候仍然拥有内存的内容? 此文件具有与电脑内存
(RAM)相似的大小并保存在根目录。
A.
WIN386.SWP
B.
HIBERFIL.sys
C.
PAGEFILE.SYS
D.
NTUSER.DAT
E.
SWAPFILE.SYS
这题是道理论题,靠记住,hiberfil.sys是一个系统文件会实时备份内存数据,在早期版本的Windows中, Hiberfil.sys 文件的大小等同于物理内存大小;而在Windows 7中,Hiberfil.sys可以在物理内存大小的50% - 100%的范围自行调整。
18
在何源的个人计算机中,以下哪个 database 文件存有此操作系统的 timeline 痕迹?
A.
SRUDB.dat
B.
Windows.edb
C.
Spartan.edb
D.
ActivitiesCache.db
E.
Thumbs.db
时间线跳转源文件,有痕迹我以为是痕迹存在操作系统里面,然后题目意思是操作系统的源文件,感觉还是要多试一下
![](https://i-blog.csdnimg.cn/blog_migrate/5daa009e22a844f58825731299c057c8.png)
19
在何源的个人计算机中,曾被分配过的 ip 地址是?
A.
147.8.177.224
B.
147.10.188.23
C.
192.168.0.110
D.
10.12.9.214
E.
192.168.1.2
![](https://i-blog.csdnimg.cn/blog_migrate/7d560909fe98f6594b0f47454dd33fe6.png)
20
在何源的个人计算机中,用户”Administrator”的 Internet Explorer 浏览器的 start page 是以下哪个?
A.
http://go.microsoft.com
B.
https://www.bing.com
C.
http://www.baidu.com
D.
https://www.google.com
E.
http://hao.360.cn
![](https://i-blog.csdnimg.cn/blog_migrate/66f6bd7c55057b06e892210376451d4d.png)
21
在何源的个人计算机中,你是否可以找到何源 iPhone 手机的线索。关于他的手机,以下哪条信息不正确?
A.
IMEI:359461082062689
B.
Serial Number:F17V1L6EHG70
C.
Apple ID :heyuan516@icloud.com
D.
MSISDN: 85259114189
E.
无
![](https://i-blog.csdnimg.cn/blog_migrate/7f1e34e9f8b60c6bd1b9c52803e6ac22.png)
22
用户“He Yuan”在 WhatsApp 上与谁进行了对话?
A.
Keanu Reeves
B.
Michael Nyqvist
C.
Peter Wang
D.
John Manager
E.
Michael Brown
![](https://i-blog.csdnimg.cn/blog_migrate/2db83451cc6a593a7720572ba72e801c.png)
23
在手机联系人中,Anthony Chung 的手机号是多少?
A.
+85252018664
B.
+85257025241
C.
+85257024765
D.
+8613890274976
E.
+8613928749036
![](https://i-blog.csdnimg.cn/blog_migrate/2b1db6c48e6e5465d80cf8a7235a2afb.png)
24
He Yuan 在 iPhone 自带的 Safari 浏览器中搜索过一些关键词,以下哪一个不是?
A.
野狼 disco
B.
拜佛过人 professor
C.
engineer's day 1024
D.
Programmer's Day no bug
E.
poptown 攻略
![](https://i-blog.csdnimg.cn/blog_migrate/bf3df67c477e8fa45a268246e7944f25.png)
25
用户“He Yuan”的 WeChat ID 是多少?
A.
HEYUAN516
B.
wxid_9y8cs5hdin2i15
C.
wxid_9y8cs5hdin2i14
D.
wxid_9y8cs5hdin2i13
E.
wxid_9y8cs5hdin2i12
![](https://i-blog.csdnimg.cn/blog_migrate/67ac830cc0b6af032551f8997a100787.png)
26
在 WeChat 的多个聊天记录中,用户“He Yuan”没有聊到过哪个话题?
A.
与中介谈买房
B.
与老板谈洗钱
C.
与黑客谈交易
D.
与网贷谈借钱
E.
与朋友谈炒房
![](https://i-blog.csdnimg.cn/blog_migrate/36df2932982c794abaaf19fd79db7e88.png)
27
从 WeChat 中的一个聊天记录中可知,用户“He Yuan”持有多少人的数据?
A.
About 500
B.
About 1000
C.
About 2000
D.
About 3000
E.
About 5000
![](https://i-blog.csdnimg.cn/blog_migrate/ad4fddb8d99e3edab1f98c48701913da.png)
28
接上题,Hacker 最后要支付多少 Bitcoin 给 He Yuan?
A.
0.002312
B.
0.066666
C.
0.036354
D.
0.014594
E.
0.012398
![](https://i-blog.csdnimg.cn/blog_migrate/016362d19ce33aa8b10a8c2f874eb9ae.png)
29
接上题,He Yuan 的 Bitcoin 收款地址是多少?
A.
cI7g0tIzPuP2pxb20HQHNGOQdpmptDaCBf
B.
InCeInFZmAP3PCLHLOchKTEZevQdHgQdP3
C.
4qISisBY2Z8xgh9C6orRfuRzmzXKznUc5Z
D.
18yZq8Dboyuvnd3R6pqG9kJkaZBki2JCoN
E.
n5X7jwdPspKRgnZU6xzcEQueJanRqGdZQd
![](https://i-blog.csdnimg.cn/blog_migrate/030d23b5b801bd64a81750d08f0a43d1.png)
30
接上题,He Yuan 分享给 Hacker 的百度网盘链接是多少?
A.
https://pan.baidu.com/s/u8rLTgLZabfd9Va1wRjzyc9
B.
https://pan.baidu.com/s/nIDo2yLop_ciNUxihF2cZi8
C.
https://pan.baidu.com/s/N6RiGxMZDnswlOUKRi0IB6Q
D.
https://pan.baidu.com/s/uFUc4W0zYmrGZMOxVm843GU
E.
https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY3Ww
![](https://i-blog.csdnimg.cn/blog_migrate/2f39b765e4e62bc70d1939a59a4b6dca.png)
31
接上题,He Yuan 提到的解压密码是多少?
A.
bAtNyn3lHwP8xXW
B.
hNfpdKcJlvpEFEa
C.
decrypt123456
D.
2019123456
E.
HetoHacker123456
![](https://i-blog.csdnimg.cn/blog_migrate/8aad9ff941c6d37993ea0a2da3274e23.png)
32
接上题,He Yuan 收到了来自哪位 hacker 的转账? hacker 的 wechat ID 是多少?
A.
Kevin , wxid_ugo2wrc3fuci22
B.
Scott , wxid_i1lhj24r792i22
C.
Iva , wxid_7qh2jzeomtvp22
D.
John , wxid_QAZbWKIgIz4jpu
E.
Jack , wxid_dbEx7dtbX4zPbb
![](https://i-blog.csdnimg.cn/blog_migrate/98096120a1564d812d5af83d5380174f.png)
33
根据 Wechat 聊天记录,He Yuan 在 2019-10-26 号(UTC+8)晚上跟哪位朋友出去吃晚饭了?朋友的 Wechat ID
是多少?
A.
Iron Man , wxid_0ZYBi7dchvMIym
B.
Black Panther , wxid_zSrai2bRoLUNVb
C.
Red Bull , wxid_2yy2ekynoLbnq3
D.
White Tiger, wxid_whMQ2YOLPiNNt7
E.
Black Sheep , wxid_s00vt9uixjq922
个人赛
![](https://i-blog.csdnimg.cn/blog_migrate/0705cc350defe272743b3f2ba411c019.png)
34
在2019-10-31(UTC+8),何源用iPhone手机在车库拍了一些车的照片,请问最早的那张车照片是什么时候拍的?
A.
10/31/2019 18:53:29 PM(UTC+8)
B.
10/30/2019 10:43:27 AM(UTC+8)
C.
10/26/2019 19:53:29 PM(UTC+8)
D.
10/28/2019 20:40:30 PM(UTC+8)
E.
10/27/2019 10:53:29 AM(UTC+8)
![](https://i-blog.csdnimg.cn/blog_migrate/925895b699e4e70066fdf6c6db76443e.png)
35
接上题,请问照片”IMG_0075.HEIC”拍摄地 GPS 坐标是以下哪一个?
A.
28 deg 13' 5.25" N, 125 deg 9' 6.34" E
B.
22 deg 17' 1.36" N, 114 deg 8' 9.91" E
C.
120 deg 23' 5.58" N, 119 deg 7' 4.53" E
D.
88 deg 6' 2.14" N, 130 deg 6' 7.86" E
E.
100 deg 17' 1.36" N, 224 deg 6' 8.57" E
![](https://i-blog.csdnimg.cn/blog_migrate/9d81d2c95467703b8593071d66546c96.png)
36
在何源的个人计算机中,你能找到一个 Veracrypt 加密容器文件吗?它的原始文件名是?
A.
containerx.txt
B.
VC_Container
C.
$RV61F4M
D.
data encrypt.txt
E.
$IV61F4M
![](https://i-blog.csdnimg.cn/blog_migrate/28f90e3695fe22e62f0313e48b37e561.png)
37
接上题,此 Veracrypt 加密容器文件之前可能被挂载为哪一个盘符(drive letter) ?
A.
A:
B.
B:
C.
Z:
D.
D:
E.
E:
说实话这个题,仿真没法看,爆搜可,一个一个搜过去,一般挂载盘符是感觉的出来的
![](https://i-blog.csdnimg.cn/blog_migrate/df007ef67d78515754f7ad85b1955cdc.png)
38
在何源的个人计算机中,何源曾在电脑上登陆过客户端百度云盘,请问他的 Baidu 账号是多少?
A.
Yuanhe516
B.
Heyuan516
C.
Heyuan515
D.
Yuanhe515
E.
![](https://i-blog.csdnimg.cn/blog_migrate/cbd00402c9016ca6a7c24ebce1675ad0.png)
39
在何源的个人计算机中,何源利用客户端百度网盘上传过一些文件,请问以下哪一个是?
A.
美国恐怖故事 04.mp4
B.
Crawler_connect.py
C.
file encrypt.doc
D.
Secret.xlsx
E.
Company_info.xlsx
爆搜
![](https://i-blog.csdnimg.cn/blog_migrate/1ed9068ba30236905671bf24dab16788.png)
40
在何源的个人计算机中,何源 iPhone 手机中的一些图片曾被同步到他的百度网盘中,请问图片“2019-06-21
113537.jpg”的 MD5 hash 值是多少?
A.
fe41107c5260498e67171755e2b4bb1d
B.
6055e4fa9e8a56c708a3db7198d091e7
C.
7b8e1183d80962c0ad5a95ec673317a7
D.
148685a257c49247f09b942237f1a248
E.
db4a58e48ef51ca2c6c0f6e07f44d186
就直接自己导出来算,我就不示范了
![](https://i-blog.csdnimg.cn/blog_migrate/6985e9b5af7b78190f5db7c0525ec72d.png)
41
在何源的个人计算机中,何源用百度网盘上传文件“/美国恐怖故事/美国恐怖故事 01.mp4”的起始时间是?
(格式:UNIX Timestamp UTC+8)
A.
1572506551
B.
1572506618
C.
1572506608
D.
1572506551
E.
1572507864
时间戳转换工具,可以在线看的
![](https://i-blog.csdnimg.cn/blog_migrate/e406bb172b1693fc9efa3810343dc171.png)
42
在何源的个人计算机中,可以发现有多少文件,文件夹存在于何源的百度网盘中?
A.
Files: 55, Folder: 3
B.
Files: 82,Folder: 2
C.
Files: 23, Folder: 1
D.
Files: 90, Folder: 2
E.
Files: 102, Folder: 7
说实话这个题看选项就知道B
![](https://i-blog.csdnimg.cn/blog_migrate/d6bdfa0aa5e0d9ee873e7d5a751dbf0a.png)
43
在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器 google 搜索过一些信息,以下哪个不是
搜索的关键词?
A.
gmail register
B.
tor data sale
C.
online lender
D.
shadowsock
E.
how to hide a partition
直接去看,或者直接爆搜
![](https://i-blog.csdnimg.cn/blog_migrate/a4a7982959c11e582e3c5ffbe07ffddc.png)
44
在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器注册过一个新的 Gmail account,请从网
页标题痕迹中找出此账号。
A.
jackhe666@gmail.com
B.
johnhe7@gmail.com
C.
jacksonhe8@gmail.com
D.
jorkerhe888@gmail.com
E.
yuanhe666@gmail.com
![](https://i-blog.csdnimg.cn/blog_migrate/c8d11f3192b4281428e6167fc104e1f9.png)
45
在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器下载过一些文件,以下哪一个不是?
A.
WeChat_C1018.exe
B.
bitcoin-018.1-win64-setup.exe
C.
torbrowser-install-win64-8.5.5_en-US.exe
D.
SteamSetup.exe
E.
BaiduNetdisk_6.8.4.1.exe
![](https://i-blog.csdnimg.cn/blog_migrate/1a686e7c5c8c140543cf5853cd12cf2f.png)
46
在何源的个人计算机中,用户“He Yuan”曾用以下哪款网页浏览器登陆过网页版百度网盘?
A.
Internet Explorer
B.
Firefox
C.
Chrome
D.
Microsoft Edge
E.
Tor
直接爆搜
![](https://i-blog.csdnimg.cn/blog_migrate/00d3d7cf6cf5106de3a3358667808598.png)
47
在何源的个人计算机中,用户“He Yuan”曾用 Tor 浏览器访问过一些网站,以下哪一个不是?
A.
https://duckduckgo.com
B.
http://deepmix2cmtqm5ut74f4acz2eskr5htcdetpzupmdkas6fzi4cnc7sad.onion
C.
http://vfqnd6mieccqyiit.onion
D.
http://bntee6mf5w2okbpxdxheq7bk36yfmwithltxubliyvum6wlrrxzn72id.onion
E.
http://silkroadjuwsx3nq.onion
爆搜
48
接上题,以下哪个 URL 是由用户手动输入到 Tor 浏览器中的?
A.
http://tfwdi3izigxllure.onion
B.
https://hiddenwikitor.com
C.
http://deepmix5e3vptpr2.onion
D.
http://vfqnd6mieccqyiit.onion
E.
http://smoker32pk4qt3mx.onion
个人赛 Individual Challenge
爆搜
49
接上题,关于网页”http://rso4hutlefirefqp.onion”,以下哪一个描述是正确的?
A.
ccPal - stolen creditcards, ebay and paypal accounts for bitcoins - buy CVV2s for bitcoin - PayPals
for Bitcoin - Ebay Accounts for Bitcoin
B.
UKPassports - Buy passport from the United Kingdom UK, real passports from the UK, no fake passports
C.
Stolen Apple Products for Bitcoin. Get the newest apple products for a fraction of the price.
Iphones for Bitcoin, Ipads for Bitcoin.
D.
NLGrowers - Buy Weed, Hash, Cannabis, Marijuana with from the netherlands with Bitcoins - your deep
web weed source
E.
We sell medical cannabis, rick simpson cannabis oil and other medical cannabis products
翻译
A
ccPal -被盗的信用卡,易趣网和贝宝账户比特币-购买cvv2比特币-贝宝
比特币的Ebay账户
B。
ukpassport -从英国购买护照,从英国购买真正的护照,不购买假护照
C。
为了比特币偷苹果产品。用零头的价格买到最新的苹果产品。
iphone换比特币,ipad换比特币。
D。
NLGrowers -购买杂草,哈希,大麻,大麻从荷兰与比特币-你的深度
web杂草源
E。
我们出售医用大麻,里克·辛普森大麻油和其他医用大麻产品
可以看到答案。
50
接上题,哪个网页引导用户到了网页” http://vfqnd6mieccqyiit.onion”?
A.
https://thehiddenwiki.org 找得到
B.
http://hiddenwikitor.com (找得到)
C.
https://onionshare.org (找得到)
D.
http://xfnwyig7olypdq5r.onion (找得到)
E.
https://www.onionexplore.org
数据库分析是比较标准的解法,但是我个人赛一般不会
下面这个看时间盲猜我觉得也是可以的,比较官方没有设置时间干扰项,19题比较单纯。
![](https://i-blog.csdnimg.cn/blog_migrate/d48a4d71c1218a39af56de84163b71e8.png)
接下来涉及到内存取证,应该就19年个人赛考了内存取证,其他时候都没用考过,建议还是好好准备,毕竟团队赛是逃不掉的。
51
分析何源的公司计算机内存镜像,何源的公司计算机操作系统以及硬件架构是什么?
A.
Windows 7 x86
B.
Windows 7 x64
C.
Windows 8 x86
D.
Windows 8 x64
E.
Windows 10 x64
![](https://i-blog.csdnimg.cn/blog_migrate/eb3894fbc8a147b0f647f5fa1cb37901.png)
52
分析何源的公司计算机内存镜像,以下哪一个是进程“explorer.exe”的 PID?
A.
5098
B.
3484
C.
3048
D.
2236
E.
9875
![](https://i-blog.csdnimg.cn/blog_migrate/d33369e0b8e4c52b1adb66d6fe0d257b.png)
53
分析何源的公司计算机内存镜像,以下哪一个是正确的用户 SID ?
A.
HTC_admin : S-1-5-21-2316527938-3914680751-2175519146-1001
B.
TMP_User : S-1-5-21-2316527938-3914680751-2175519146-1002
C.
TMP : S-1-5-21-2316527938-3914680751-2175519146-1001
D.
YuanHe : S-1-5-21-2316527938-3914680751-2175519146-1002
E.
None
个人赛 Individual Challenge
54
分析何源的公司计算机内存镜像,以下哪个远程地址与本地地址建立过 TCP 连接?
A.
10.165.12.130
B.
10.165.12.126
C.
10.165.10.125
D.
10.165.10.130
E.
10.165.10.131
![](https://i-blog.csdnimg.cn/blog_migrate/7966d4668e68b65ace622989323d8201.png)
55
接上题,在上述 TCP 连接里,远程地址的端口号是多少?
A.
80
B.
443
C.
445
D.
22
E.
3389
显然445
![](https://i-blog.csdnimg.cn/blog_migrate/18ac02186f3fad002a64af4b845f1fe7.png)
56
分析何源的公司计算机内存镜像,注册表“
\SystemRoot\System32\Config\SAM”在内存镜像中的虚拟地址
(Virtual Address)是多少?
A.
Offset: 0x97b5e5d8
B.
Offset: 0x9a5689c8
C.
Offset: 0x8c6b49c8
D.
Offset: 0x8bc1a1c0
E.
Offset: 0x9bc1a1c0
hivelist查看注册表信息和地址
![](https://i-blog.csdnimg.cn/blog_migrate/c3891369e7427d11a177e20bfde9da79.png)
57
分析何源的公司计算机内存镜像,用户“Yuan He”登入密码的 NTLM hash 是多少?
A.
bf12857078039ff604bf8e1fb4308643
B.
31d6cfe0d16ae931b73c59d7e0c089c0
C.
bf12857078039ff604bf8e1fb430a7d4
D.
a53452d6cd5e2d72423cd3eac8b05607
E.
99e74d973f8f852432f6d5a59659ed88
hashdump爆破
![](https://i-blog.csdnimg.cn/blog_migrate/501ed8a730aa302e9db040a0e0cf334e.png)
58
分析何源的公司计算机内存镜像,盘符“E:”上的文件“Personal Information.xlsx”何时被访问过?
A.
2019-10-31 07:58:45
B.
2019-10-31 10:33:42
C.
2019-10-31 06:59:45
D.
2019-10-31 09:31:42
E.
2019-10-31 08:32:42
查找文件用这个
mftparser |findstr xlsx就是查看xlsx文件被访问记录 的
59
分析何源的公司计算机内存镜像,以下哪个是文件“Personal Information.xlsx”的正确路径?
A.
Users\YuanHe\Desktop\Confidential\Personal Information.xlsx
B.
Users\YuanHe\Desktop\Personal Information.xlsx
C.
Users\TMP_User\Desktop\Confidential\Personal Information.xlsx
D.
Users\TMP_User\Desktop\Personal Information.xlsx
E.
Users\Administrator\Desktop\Confidential\Personal Information.xlsx
![](https://i-blog.csdnimg.cn/blog_migrate/7c74e63a8dc2054e4e7f564a7ff03101.png)
60
分析何源的公司计算机内存镜像,可以发现以下哪些文件夹曾被访问过?
1 …\Company_Files\Jonathan Norton
2 …\Company_Files\Stephen Chow
3 …\Company_Files\John Wick
4 …\ Company_Files\Logan Chen
5 …\Company_Files\Colleen Johnson
A
2,3,5
B
2,4,6
C
1,3,5
D
3,4,5
E
1,4,5
mftparser 查看所有文件访问记录,可以一个一个看
我本来想尝试搜索的,但是不行
还可以用timeliner看时间线,文件导出来爆搜记好了
61
分析何源的公司计算机内存镜像,以下那一项有关这台计算机的资料是正确?
A.
这台计算机安装 Window 的时间是 2019-10-31 11:56:23 UTC + 0
B.
这台计算机的名称是 WIN-VUAL29E4P0K
C.
公开资料显示这台计算机 TCPIP 的最后更新时间是 2019-10-31 04:59:00 UTC + 0
D.
A 及 C 都是正确
E.
B 及 C 都是正确
AB都是错的只有C
62
分析何源的公司计算机内存镜像,以下那一项关于这台计算机连接 USB 装置的描述是正确?
A.
没有,因为透析资料找不到
B.
没有,因为内存容量没有取得完整的注册表资料
C.
有,而且装置的牌子应该是 HUAWEI
D.
有,而且装置的 GUID 是 4d36e967-e325-11ce-afc1-832210318
E.
有,而且装置的首次插入时间 HEX 值是 40 43 30 b9 b8 8f d5 01
涉及到注册表,一个一个看很难,AB一般排除,华为没有看到排除,DE直接原始数据爆搜