“美亚杯”第四届中国电子数据取证大赛答案解析(个人赛)

已于 2022-12-14 11:40:23 修改
阅读量715 收藏 4
点赞数 1
分类专栏: 电子取证 文章标签: 电子取证 安全 系统安全 windows 数据分析
于 2022-12-12 14:49:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43678263/article/details/128286094
版权

以下第四届“美亚杯”个人赛的答案解析是我个人所做,仅供大家参考,不足之处也希望大家指出。

E

C

D

E

C

 

 

 

A北京时间-8即得到答案

 

A

C

 

E

 

D

D

 

A

D

 

 E 发现没有连接成功记录

​​​​​​​

A

 

 

B 搜索各个选项,只搜到B、D,其中D为PDF编辑器

​​​​​​​

 

C搜索各个选项得

 E doc文档用WPS文字打开

D任意打开每个浏览器的一个文件并跳转到源文件,发现只有火狐的在victor文件夹下

​​​​​​​

 

A查看回收站删除记录

 

C

查看原始路径

C

查看原文件路径

 

 

D

 

 D

 

C

 

D

在邮件中找到

 

D在设备信息中查看

 C直接查看信息即可

 

 

 

D

 

C查看更改系统时间记录

 

E搜索与计算机名有关日志,查看日志文件

 

A

 C

 

 

D 邮件中查看

 

D

 

B解压出来计算哈希值

 

C

 

D 解压出来是java文件

C

一个个搜索选项,发现C选项的路径和病毒文件一模一样,且修改时间仅在病毒文件执行后4秒

B

A

 

C

 

 E

 

B

 

 D

 C

youhao108
关注
专栏目录
2020第六届美亚中国电子数据取证大赛个人资格赛
ShenZ的博客
01-22 2348
2020第六届美亚中国电子数据取证大赛个人资格赛 这一套还不错,个人赛的检材也各个有联系,检材照片和笔录让人身临其境。 第一次用富文本编辑器,感觉好酷 目录 笔记本计算机 手机 USB 笔记本计算机 1.Alice的笔记本计算机已成功被取证并制作成镜像(ForensicImage),下列哪个是镜像的SHA-1哈希值?
2020第六届美亚全国电子数据取证大赛个人赛wp
dazaogege的博客
10-27 2428
2020第六届美亚全国电子数据取证大赛个人赛wp
2023美亚个人赛复盘(一)火眼+取证大师
qq_29566629的博客
11-15 2618
参考’Window Artifacts.E01’内的Windows注册表回答以下题目,计算机有一个正在连接的网络接口,该接口连接DHCP服务器的IP地址是多少?37. 参考’Window Artifacts.E01’内的Windows注册表回答以下题目,计算机内的OneDrive程序版本是什么?参考’Window Artifacts.E01’内的Windows注册表回答以下题目,该计算机的操作系统是在哪一个时区?8.来自Elvis Chui计算机的镜像文件 (Windows Artifacts.e01)
美亚全国2018第四届电子数据取证竞赛-个人赛
05-02
美亚全国2018第四届电子数据取证竞赛-个人赛
2018第四届美亚中国电子数据取证大赛个人赛write up
热门推荐
weixin_42744595的博客
01-04 1万+
解析:通过反编译发现里边只有两个.class文件,估计占用空间也就十几K,可是jar包却要200多K,但是怎么分析能够得到生成的文件我还没找到,如果个人赛现场开虚拟机用动态分析运行监控的话,太浪费时间了,并且不一定能找到答案。27. 接上题,""的元数据(metadata)记录了以下哪个网卡的物理地址(mac address)?7. 在操作系统分区内,$MFT的物理起始扇区位置(Starting physical sector)是什么?(答案格式: 扇区, Sector)(答案格式:RID) (2分)?
2021年美亚资格赛解析
qq_51233573的博客
02-15 1万+
第二次参加美亚,假期有时间正好好好总结一下,写完资格赛wp 检材情况和案情 需要用到的工具: 取证大师 x-way vm 感想 赛前由于容器密码的问题折腾了好久,被恶心到了,两个小时做完整个资格赛的题目的是很有难度的需要赛前对整个检材情况进行一定的梳理,做好安排。还有就是港式中文的问题,需要结合实际灵活理解。这次的手机取证也跟以往不同,不需要单独进行提取,主办发给了一个读取器,直接使用reader读取就行了,看不惯英文的可以修改语言设置改成中文。 wp 1. [单选题] 工...
2018第四届美亚全国电子数据取证大赛团队赛wp
dazaogege的博客
09-25 4376
2018第四届美亚全国电子数据取证大赛团队赛wp
2022美亚个人wp
xydsg的博客
03-23 1743
分析李大辉手机里的程序KMB 1933,哪一枝街灯在经度 Latitude) 22.4160270000,纬度(Longitude) 114.2139450000 附近,它的编号是什么?13.[填空题]李大辉的手机里有一张由该手机拍的照片,照片的元资料(Metadata) 曾被修改,这张照片的档案名是什么?(以大写英文及数字回答,不用回答副档名)(2分)[填空题] 虚拟机 (VM)安装了 Docker 程序,列出一个以5作为开端的 Doker"镜像 mage) ID (以阿拉伯数字及大写英文回答)(2分)
2020年第六届 美亚电子取证 团体赛 wp
ShenZ的博客
01-26 7025
2020年第六届 美亚电子取证 团体赛 wp一、案情简介二、检材三、题目ZelloXenoBob 张伟华Bob的桌上计算机Bob iphoneSamsung S2Bob iMACCole 冯启礼Cole桌上计算机Cole笔记本计算机Cole笔记本的随机存取记忆体Cole的PICole NASCole手机Daniel 罗俊杰Daniel的桌上计算机Daniel的MacBookDaniel的iPhone 一、案情简介 你的电子数据取证调查结果发现一个国际黑客组织牵涉这宗案件。经深入调查后,调查队伍相信该黑客组
2019年第五届 美亚电子取证 团体赛 wp
ShenZ的博客
01-13 1628
2019年第五届 美亚电子取证 团体赛 wp 案情 路由器 Win1.E01 Win3.E01 L:\Group_Competition\Hacker_Linux\Linux1 MacBookAir.00001 手机镜像 blk0_mmcblk0.bin backup.ab Group_Competition\Hacker_RAID Group_Competition\Hacker_PCAP
2023美亚个人赛全题目复盘
tanbinn的博客
11-21 3180
2023美亚个人赛全题目解析复盘——个人总结,不保证正确,仅供参考
2022美亚个人赛题目复盘
2201_75327657的博客
08-15 895
填空题] 林浚熙手机里有一个备忘录(Notes)被上了锁,这个备忘录的名称是什么?只有最后一行的1665497067是介于中间的,转换成时间戳是2022-10-11 22:04:27。com.apple.sharingd显示是airdrop传送,使用的是蓝牙和wifi。2022-10-11 22:04:00转换成时间戳是1665497040。2022-10-11 22:05:00转换成时间戳是1665497100。没找到时间最后去查发现是是时间戳需要转换。29.A(为什么答案是D我仿真的是A)
2023年第九届“美亚”全国电子数据取证竞赛(个人赛部分)
最新发布
weixin_72667582的博客
11-25 1万+
DHCP(Dynamic Host Configuration Protocol)服务器通常按照子网中可用IP地址的顺序进行分配。考虑到这一点,"最后100个IP地址"可能是指在子网范围内的最后100个地址。如果子网是 10.1.4.0/24(即子网掩码为255.255.255.0),那么最后100个IP地址将是从 10.1.4.155 到 10.1.4.254。在给出的选项中,只有一个IP地址在这个范围内:C.10.1.4.254因此,答案是 C. 10.1.4.254。
20美亚个人赛
ntrybw的博客
10-04 2283
好的电脑,大的内存,牛逼的硬盘。在这里真的强烈建议各位,要是真的重视取证,不是来水的,就对配置用心一点,觉得过关就换内存和硬盘,要是处理器垃圾,就直接换新,电脑性能真的很重要哦!(提示:在移动取证图像上找到结果)(UTC +0)说实话,我题目都没有看明白,意思就是在U盘找一个ZIP,然后到电脑里在找一个相同的ZIP,最后把,看一下电脑的路径,好吧,只能这样了,比较简单。由于直接看只有中转id,这里有两个,我觉得客观的找应该要去日志里面确认时间,这一题由于是个人赛,参考前面题目很简单,所以我觉得直接选就好。
2018美亚复现(个人赛
kindyyy的博客
09-08 1000
如图所示,simon只是guests,而victor和其他的用户都是administrators,所以simon的权限最低,所以本题选择E。在取证大师中,发现火狐的使用率是最高的,使用次数也是最高的,所以猜测火狐就是victor的默认浏览器。这几个用户都是本地登录,可以在一定程度上说明远端登入已经被禁止,所以选择E。选择证据文件,再选择victor_PC.E01的磁盘,右键进行哈希值计算。在账户系统时间更改中,由最早的一次更改记录得到本题的答案选择C。如图所示,所以选择C。如图所示,所以选择D。
2022美亚第八届中国电子数据取证大赛-个人赛write up详解,软件就用弘连和美亚,尽量写的细致一点。建议入门看,仅为了解题,没有专业精神。专业选手去看后面推荐的两篇解析,都是大佬。
ntrybw的博客
01-31 4182
我的说明:就软件来说,美亚真的落后很多,取证大师解析都出不来,还是弘连厉害,我考前因为觉得美亚软件很垃圾,手机大师没有下载,导致很多手机的题目心态慌张,很吃亏,所以建议大家都下载下来,美亚长安结束官方都会对软件做一定的更新,我此处为了模拟考试的环境,我对软件不做更新。
2023第九届美亚全国电子数据取证竞赛个人赛实操部分参考wp
cuiwenhao_的博客
11-20 1818
2023第九届美亚全国电子数据取证竞赛个人赛实操部分参考wp
2023 美亚 个人资格赛 wp 复盘
2301_77163694的博客
11-19 2059
美亚2023美亚个人赛 wp
2016年 第二届美亚全国电子数据取证大赛个人赛write up
weixin_42744595的博客
12-05 3616
2016年 第二届美亚个人赛write up 前景概要: 你会获得一个包含Hugo电脑硬盘的镜像文件,其文件名为“Competition_HD1.E01",该文件是由AccessData FTK Imager采集而来的。根据Hugo电脑硬盘的内容,请回答以下问题: 请写下Hugo电脑硬盘的MD5哈希值。 解题:使用取证大师,计算Hugo电脑硬盘的MD5值 答案:f895fd18e47a5371aec6db72d0aedca7 你能找到多少个硬盘分区? 解题: 方法1::使用Mount Image或
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

youhao108

行行好吧,揭不开锅了~QAQ

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值