A
C
D
分区5为系统分区
A
1073741824*458.29=492085140520.96
E
A
A
E
D
B
无答案
C
搜索各选项,C项搜不到
B
C
E
使用火绒剑查看进程调用的动态链接库
C
仿真得
B
内存大小为3G,在系统盘根目录过滤大小在2-8G之间的文件
D
Win10时间线信息存放的数据库名称为ActivitiesCache.db
A
E
仿真后进入Administrator账户查看IE的start page即可
导出苹果备份,在手机神探加载
D
A
B
E
B
C
D
D
E
E
A
E
A
C
A
C
A
C
A
B
82个文件+2个空文件夹
D
C
B
D
E
洋葱浏览器可以简单看作Firefox的变种,对于Firefox浏览器,其历史浏览记录存储在数据库文件palces.sqlite中,查看该文件
E
查看moz_places字段描述
B
A
B
B
使用volatility的dumpregistry导出注册表,在wrr中打开查看
HTC_admin为1000,YuanHe为1001
A
使用volatility的netscan查看
C
使用volatility的hivelist查看
B
E
使用volatility的hashdump查看
C
使用volatility的iehistory查看
D
volatility -f 19.mem --profile=Win7SP1x86_23418 filescan | grep "xlsx" 没有发现xlsx文件,由上题得该文件肯定在TMP_User文件夹,使用volatility -f 19.mem --profile=Win7SP1x86_23418 filescan | grep TMP_User,发现TMP_User文件夹下没有Confidential文件夹
B
volatility -f 19.mem --profile=Win7SP1x86_23418 printkey -K "WOW6432Node\Microsoft"查看安装时间
volatility -f 19.mem --profile=Win7SP1x86_23418 printkey -K "ControlSet001\Control\ComputerName\ComputerName"查看电脑名称
volatility -f 19.mem --profile=Win7SP1x86_23418 timeliner | grep TCP/IP查看TCP/IP运行时间
3381
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
