2023美亚杯个人赛全题目复盘

2023美亚杯个人赛全题目复盘

记住三件事——1.个人赛遇见不会的或者不熟的直接跳。2.做之前遍历所有题目，列出大概的题目考点和分布。3.杂项永远最好拿分。

仅个人复盘记录，参考了一些其他大佬的WP，正误不定，仅供参考。
官方答案地址：https://www.meiyacup.cn/Mo_index_gci_36.html

题目分布

1-7 李大辉（手机？）.
8-24 VPN和流量
25-31 mac.
32-45 windows.
46-52 杂项.
53-66 ios.
67-73 云服务器杂项.
74-87 linux杂项.
88-89 win10.
90-96 win7.
97-100 脚本.

李大辉手机

1. **[填空题] 李大辉所用手机移动运营商公司的名称是什么？提示:请所有字母都用大写英文 (1分)**DUCK

这边直接看SIM卡的信息就可以了。

2. **[单选题] 李大辉的手机安装了什么即时通讯软件？ (1分)**A

A. WhatsApp

B. LINE

C. 微信

D. Signal

E. QQ

其实也有微信，但因为是单选题，whatsapp用的更多，所以就选A了

3. [填空题] 李大辉的手机安装了什么反追踪软件？提示: 所有答案字母都用小写字母并用xxx_xxx_xxxxxxx_xxxxxx_xxxx格式作答 (1分)

官方答案是air_tag_tracker_detect_lite，但是事实上手机里没有安装这个软件，而且直接去搜也不存在这个文件，实在是稀罕。

4. **[单选题] 李大辉的手机是什么时间成功登入WhatsApp？ (2分)**C

A. 2022-08-18_21:52:30

B. 2022-08-19_21:56:23

C. 2022-08-18_21:56:37

D. 2022-08-19_06:59:07

E. 2022-08-19_07:01:17

没有获得具体时间，但根据验证短信可以得到大概的时间范围。

5. [填空题] 李大辉登入WHATSAPP时的认证短码是什么？提示: 请以阿拉伯数字作答 (1分)

304313

6. **[单选题] 李大辉到美丽好化妆品公司的入职时间是何时？(2分)**C

A. 2016-04-16

B. 2016-06-28

C. 2017-05-25

D. 2017-07-25

E. 2017-08-18

有个文件

7. **[单选题] 李大辉曾于什么时间使用了图像编辑软件？ (2分)**D

A. 2022-09-10

B. 2022-09-12

C. 2022-10-05

D. 2022-11-10

E. 2022-11-13

没有直接线索，可以先搜一下“edit”，然后在应用使用时间里面找到这么个记录

看起来是编辑exif信息的软件，但是时间都对不上……难不成答案写反了？

VPN

8. **[填空题] 这个访问服务器使用了哪个端口？提示: 请用阿拉伯数字作答 (1分)**943

9. **[填空题] “User1”账户最近连接到这个访问服务器时使用的IP地址是多少？提示: 用IPV4 格式回答 (1分)**192.166.244.167

直接在日志文件里面搜就行了

10. **[多选题] 哪些文件可以找出这个访问服务器的Ubuntu版本？(1分)**AB

A. lsb-release

B. issue.net

C. profile

D. console

都在etc文件下，不清楚的一个个看过去就好了。

11. **[多选题] 哪些文件有助于分辨这是一个存储服务器？(1分)**AB

A. auth.log

B. sys.log

C. bash_history

D. idconfig

A其实不是很确定，但因为CD根本没东西或者不存在，所以只能选这俩了。
官方答案还选了C，我本来还纳闷这个检材里所有用户的bash_history都是空的，哪里有助于分辨。后来想想这个题目本来也没指定是这个检材，着实是被文字游戏坑了。

12. **[单选题] 这个访问服务器所在时区是哪个时区？(2分)**C

A. UTC +9

B. UTC +8

C. UTC -7

D. UTC

13. **[填空题] 这个访问服务器的“openvpn”帐户密码是多少？提示:请用大写字母与阿拉伯数字作答 (2分)**TLFAG6l6DSSC

密码有两个，根据VPN的网卡地址判断是192这个（注意大写）

14. **[单选题] 在这个访问服务器中，“User1”账户之间的连接所使用的加密算法（密码）是什么？(2分)**D

A. Blowfish-CBC

B. 3DES-CBC

C. AES-128-GCM

D. AES-256-CBC

流量

15. **[填空题] 给出正在进行Nmap扫瞄的计算机互联网协议地址？提示: 以IPV4格式给出答案 (1分)**192.168.186.132

16. **[填空题] 有多少个Nmap扫瞄正在同时进行？提示:请给出阿拉伯数字作答 (1分)**2

说实话不知道……虽然能大概看出来tcp扫了8.8.8.8，udp扫了45.33.32.156，但这两个扫描并不是同时而且在这之后还有很多混乱的流量不知道是否也是nmap扫描。总之不确定的忽略吧。

17. **[单选题] 当计算机正在扫瞄8.8.8.8，namp相关的指令是什么？(1分)**A

A. nmap -sT 8.8.8.8

B. nmap -sU 8.8.8.8

C. nmap -sn -PR 8.8.8.8

D. nmap -sn -PU 8.8.8.8

18. **[单选题] 当计算机正在扫瞄45.33.32.156，namp相关的指令是什么？(1分)**B

A. nmap -sT 45.33.32.156

B. nmap -sU 45.33.32.156

C. nmap -sn -45.33.32.156

D. nmap -sn -45.33.32.156

19. **[单选题] 国强被指派设定一个DHCP服务器，该服务器需借出最后100个的IP地址，以下哪个IP地址会是被借出的IP地址？(1分)**C

A. 10.1.4.255

B. 10.1.4.100

C. 10.1.4.254

D. 10.1.4.1

255是广播地址，不能选的

20. **[单选题] 以下那个协议是属于TCP/IP协议？(1分)**B

A. i & iii

B. ii & iv

C. 所有皆是 (All answers belong to TCP/IP protocol)

D. 所有皆否(All answers don’t belong to TCP/IP protocol)

没有技巧可言，纯靠基础掌握

21. **[单选题] 浩贤为一间公司的网络管理员，他需要把一个路由器作出以下设定，现在浩贤把路由器作以下设定，志伟是浩贤的主管，他发现浩贤的设定错误，浩贤应作怎样的更正？(2分)**C

A. 'access-list 123 permit tcp any eq ftp any ’ 更正为(change) 'access-list 123 permit udp any eq ftp any ’

B. 'access-list 122 permit tcp host 192.168.26.3 eq www any ’ 更正为(change) 'access-list 122 permit udp host 192.168.26.3 eq www any ’

C. 删除(Delete)‘access-list 120 deny tcp any any’ 与’access-list 119 deny udp any any’

D. 删除(Delete)'access-list 123 permit tcp any eq ftp any ’

1.先讲讲ACL规则的顺序：路由器会按照ACL中的顺序检查每一条规则，一旦找到匹配的规则，就会停止检查，因此更具体的规则应该放在前面，更通用的规则应该放在后面。

2.如果一个数据报没有匹配任何规则，路由器会默认允许该数据包通过。

说白了就是，119和120两个规则直接把服务器断网了，所以删掉。

22. **[单选题] 根据以下ping指令的结果，你会估计192.168.186.132是哪一个操作系统？(2分)**A

A. Linux

B. Windows XP

C. Windows 7

D. iOS 12.4 (Cisco Routers)

ttl=64即linux，常识。

23. **[单选题] 当使用nmap扫瞄目标后，nmap内出现以下信息，应用哪一个指令找出开放的端口？(2分)**D

A. nmap -sT

B. nmap -sN

C. nmap -sX

D. nmap -Pn

nmap会默认先用ping探活，如果ping不通就直接停止后续操作——除非加上参数-Pn，即不进行ping探活就直接进行扫描。

24.**[单选题] 以下哪一个Nmap指令可以减低被侦测的可能性？(2分)**B

A. nmap -sT -O -T5

B. nmap -sT -O -T0

C. nmap -sU

D. nmap -A --host-timeout 99-T1

-T0是最慢的扫描，所以选这个

mac

25. **[单选题] Apple计算机的硬盘可以使用以下分区方案：(1分)**D

A. Apple Partition Map

B. GUID Partition Table

C. Master Boot Record

D. All of the above

这三个mac其实都能用

26. [单选题] ‘Mac OS.img’ 文件中可以找到多少个符号链接？(1分)B

A. 0

B. 1

C. 2

D. 3

emmmm，当时看走眼了，把分区当成链接，不过误打误撞对了……

正常做法应当是仿起来看看，或者直接挂载上自己的mac上

（没有准备MAC虚拟机，为团队赛的悲剧埋下伏笔）

27. **[单选题] 在’Mac OS.img’ 档中使用了哪种分区方案？(2分)B

A. Apple Partition Map

B. GUID Partition Table

C. Master Boot Record

D. HFS+

用XWAY去看即可。

28. **[单选题] ‘Mac OS.img’ 档的文件系统的正确描述是什么？(1分)**C

A. HFS+（已启用日志记录）

B. HFS+（已启用区分大小写）

C. HFS+（已启用日志记录和区分大小写）

D. APFS (已启用区分大小写）

还是得仿起来看

29. [填空题] 从文件“Car.rtfd”中删除了哪个文件？提示:答案需包括副文件名，并以全小写字母作答，例如 answer.docx (1分)yeah.jpg

看分区日志

30. [填空题] 请提供’Mac OS.img’ 映像文件被“fsck”命令检查的具体时间。(1分)

fsck用于检查文件系统并尝修出现的错误。即便如此还是不了解……

31. **[单选题] 在 .dmg 档中删除了多少个文件？(1分)**D

A. 1

B. 2

C. 3

D. 4

看trashes文件夹就可以了

windows

32. **[填空题] Elvis Chui 总共登入过该计算机多少次？根据 ‘Window Artifacts.E01’ 内的Windows 注册表记录 (1分)**11

注意，不要去看"账户登录"这个记录，应直接去看用户信息

33. **[单选题] 该计算机的操作系统是在哪一个时区？(1分)**B

A. UTC +4

B. UTC +8

C. UTC -8

D. UTC -4

34. **[单选题] 该计算机的操作系统于何时安装？(以计算机系统时区回答) (1分)**B

A. 2023-07-13 19:18:14

B. 2023-07-13 11:18:14

C. 2023-07-13 03:18:14

D. 2023-07-12 19:18:14

35. *[多选题] 哪(几)个程序会于操作系统启动时自动执行？(1分)ABC

A. Avast

B. Steam

C. OneDrive

D. QQ

36. **[单选题] 该计算机内安装了以下哪一个程序？(1分)**B

A. QQ

B. WPS Office

C. Opera

D. Kaspersky

37. **[填空题] 计算机内的OneDrive程序版本是什么？(1分)**21.220.1024.0005

38. [填空题] 计算机有一个正在连接的网络接口，该接口连接DHCP服务器的IP地址是多少？提示: 以 IPV4格式回答 (1分)192.168.88.254

这边注意问的是服务器地址而不是本地网卡地址

39. **[单选题] 该计算机何时连接过一只U盘？(以计算机系统时区回答) (1分)**D

A. 2023-07-13 11:48:26

B. 2023-07-13 03:48:29

C. 2023-07-12 19:48:29

D. 2023-07-13 11:48:29

时间上有一秒的出入，大概是取整策略不一样吧

40. **[多选题] Elvis Chui 将哪几个文本文件放在回收站中？(3分)**BE

A. $+D10I76A74P.txt

B. Holiday schedule 2023-07-16.txt

C. Holiday schedule 2023-07-13.txt

D. Minute on 2023-07-01.txt

E. Minute on 2023-07-10.txt

最好仿起来看

41. **[单选题] Elvis Chui在什么时间删除了第一个文本文件？(以计算机系统时区回答) (3分)**D

A. 2023-07-13 11:50:15

B. 2023-07-13 03:49:45

C. 2023-07-13 03:50:15

D. 2023-07-13 11:49:45

42. [填空题] Elvis Chui删除的第一个文本文件的文件名是什么？提示: 请用小写字母回答及需列明文件格式。如文件名字内有空格位置，请用_标示。例如: go_to_school.docx (2分)

holiday_schedule_2023-07-16.txt

43. **[单选题] Elvis Chui删除的第一个文本文件在什么时间创建？(以计算机系统时区回答) (2分)**D

A. 2023-07-13_11:42:39

B. 2023-07-13_11:50:49

C. 2023-07-13_11:49:45

D. 2023-07-13_11:45:22

44.[填空题] Elvis Chui计划于2023年7月15日20点5分有什么活动？提示: 答案请与文件内的文字与大细阶相同 (1分Movie

45. **[填空题] 该计算机执行STEAM.EXE总共多少次？提示: 请用阿拉伯数字作答 (1分)**7

杂项

46. **[单选题] 一个名为“Account”的数据库表拥有5个"列"，以下哪一个指令会产生错误讯息？ (提示: 1.数据库是拥有正常默认的系统表格 2.错误信息是关于"超出上限"的错误) (1分)**C

A. SELECT * from Account WHERE name=‘Alex’ OR ‘1’=1

B. SELECT * FROM Account WHERE name=‘Bill’ UNION SELECT NULL, NULL, NULL, NULL

C. SELECT * from Account WHERE name=‘Candy’ ORDER BY 6

D. SELECT name FROM sys.tables

order 6超范围了

47. **[单选题] 当客户端收到一个页面请求的HTTP状态代码为304时，以下哪种情况最有可能发生？(1分)**D

A. 页面将显示错误

B. 页面将从浏览器缓存中加载

C. 浏览器将显示“访问被拒绝”

D. 服务器将复位向客户端到另一个资源

常识

48. **[单选题] 在HTML注入攻击中，以下哪种情况最有可能出现？(1分)**A

A. Password:

B.

C.

D. <?php include("inc/" .$_GET['file']；?>

某GPT4如是说

但是答案选A……也不是不能理解，毕竟A的代码就是个表单，攻击者可以在"action"属性中注入恶意URL或者脚本来进行攻击。只能说个人理解不同。

49. **[单选题] 如何预防HTML注入攻击？(1分)**D

A. 密钥管理

B. 同源策略执行

C. 会话验证

D. 输入过滤

就和防御sql注入一个道理，过滤输入的内容是最直接最有效的方法。

50. **[单选题] 同源策略在浏览器内存中提供Web应用程序安全的目的是什么？(3分)**C

A. 防止客户端访问恶意网站

B. 禁止Web会话运行外部脚本

C. 控制来自不同服务器的代码之间的交互

D. 阻止浏览器运行危险或有害的脚本

就算比赛断网，也应该能看出来同源的含义吧……

51. [填空题] 编写Nmap命令以显示以下结果。(2分)

nmap -p 80,443 --script http-robots.txt www.baidu.com

基本参数不解释了，这里需要注意的是，题目里的nmap获取了目标网站的robots.txt文件并显示其中的内容，所以是使用了http-robots.txt脚本。

52. **[填空题] 除了使用Nmap，还有其他方法可以验证上述结果，其中一种方法是使用Web浏览器浏览URL，编写URL以显示上述结果。（答案不要包含“http://”）(2分)**www.baidu.com/robots.txt

IOS

53. **[单选题] 根据 ’ com.apple.ios.StoreKitUIService.plist ’ , 这部电话是什么型号？(1分)**C

A. SAMSUNG S23

B. iPhone X

C. iPhone XR

D. iPhone XS

E. iPhone 13

根据这个hardwareModel可以判断

54. **[单选题] 根据com.apple.ios.StoreKitUIService.plist，上述电话的文件系统是什么？(1分)**D

A. FAT32

B. NTFS

C. HFS+

D. APFS

E. EXT4

这个算常识

55. **[多选题] 根据ChatStorage.sqlite，哪些对话已锁定？(3分)**ABC

A. 447380449879@.whatsapp.net

B. 79096209701@.whatsapp.net

C. 923109725619@.whatsapp.net

D. 85256026169@.whatsapp.net

E. status@broadcast

CHATSESSION就是存储对话的表，里面有三个账号的FLAGS值相比其他账号大上不少，应该就是锁定的意思

56. **[填空题] 根据ChatStorage.sqlite，有多少段录音对话？提示: 请以阿拉伯数字作答 (2分)**45

媒体文件就存在MEDIAITEM表里面，不过各种类型都有，所以主要过滤ogg这种声音文件

57. **[单选题] Apple Cocoa Core Data timestamp 是由什么时间开始？(1分)**A

A. 2001年1月1日

B. 1970年1月1日

C. 2006年1月1日

D. 1960年1月1日

常识

58.[填空题] 根据Photos.sqlite数据库中，有多少段视频可能涉及WhatsApp？提示: 请以阿拉伯数字作答 (2分)

媒体信息在cloudmaster表里面都能找到——一个个翻过去找到的，我猜是云备份功能。总之，在ZIMPORTEDBYBUNDLEIDENTIFIER里面过滤whatsapp,然后在ZUNIFORMTYPEIDENTIFIER上过滤mpeg即可

这题说实话挺亏的

59. [多选题] 根据Photos.sqlite数据库中，下列哪个选项对IMG_0008.HEIC的描述是错的？(3分)

A. 由第三方软件拍摄

B. 经过修改

C. 由后镜拍摄

D. 用ISO200拍摄

E. 没有储存经纬度

先在资源总表中过滤该文件名，获得PK值

然后到ZEXTENDEDATTRIBUTES（Extended Attributes：拓展属性）表里面找到该条目

逐一进行分析(注意题目问的是"错的")

A需要选，C不选

ISO160，D选

有经纬度，E选

B看不出

所以选ADE
官方答案ABCD，可是找不到解法，看了下其他大佬的WP也没有与之对应的，很是奇怪。

60. **[填空题] 根据 ’ sms(ios).db ’ 的资料，全局唯一标识符(GUID): DD31C26F-1D72-DE0F-431E-EF98F104402D显示的信息是什么？提示:答案需要与信息一样(答案包括中文字、阿拉伯数字与符号) (1分)**你的 Uber 驗證碼為 3666. 請勿分享此驗證碼.

过滤出两条，但没关系，只有第一条的GUID是对的

61. **[多选题] 根据 ’ com.burbn.instagram.plist ’ 及 ’ com.facebook.Facebook.plist ’ 手机安装了实时通讯软件Facebook及Instagram的那个版本？(1分)**AB

A. Instagram (Version 278.0.0.19.115)

B. Facebook (Version 410.0.0.41.116)

C. Instagram (Version 279.0.0.23.112)

D. Facebook (Version 410.0.0.26.115)

E. Instagram (Version 278.0.0.25.115)

F. Facebook (Version 410.0.0.57.116)](https://koi514.oss-cn-hangzhou.aliyuncs.com/blog/image-20231119103655926.png)

62. **[填空题] 根据 ’ ChatStorage(ios).sqlite ’ , 用户数据Peter Chow (85262012141)在什么日期和时间(以UTC +8时区)曾经通过实时通讯软件送出一个信息(内容为: I am already home)? 提示:以UTC +8时区作答,并以YYYY-MM-DD_HH:MM:SS格式作答 例如:2023-01-01_10:01:01 (答案无需输入UTC +8) (2分)**2023-04-01_11:21:51

注意这里要的是"送出"（sent）时间

63. [填空题] 根据影片IMG_0687.MOV的原数据，找出影片拍摄时间？提示:以UTC +8时区作答,并以YYYY-MM-DD_HH:MM:SS格式作答 例如:2023-01-01_10:01:01 (答案无需输入UTC +8) (1分)

64. **[单选题] 根据 ’ CallHistory(ios).storedata '，哪份表格显示了通话记录？(2分)**B

A. ZCALLBPROPERTIES

B. ZCALLRECORD

C. Z_2REMOTEPARTICIPANTHANDLES

D. Z_METADATA

E. Z_MODELCACHE

F. Z_PRIMARYKEY

65. **[填空题] 根据 ’ com.apple.sharingd.plist '，这部手机的隔空投送的身份标识号(AirDrop ID)是什么？提示:请以阿拉伯数字与小写字母作答 (3分)**2abd0940fbdc

66. **[填空题] 根据 ’ Accounts3.sqlite '，这部手机的苹果使用者账号 (Apple ID) 是什么？提示:请以电邮格式作答(例:jack2023@hotmail.com) (2分)**foratcd2023@gmail.com

云服务器杂项

67. **[单选题] 哪一行代码的是负责更新在GitHub使用中的 .journal 文件的更新历史记录？(1分)**A

A. 08

B. 13

C. 16

D. 17

git commit就是提交更改，-m是用来指定消息的。

68. **[单选题] 下列哪一行AWS S3 Bucket授权策略中的设置有问题？(1分)**B

A. 2

B. 7

C. 8

D. 9

“Principal”:“*”。这个*即通配符，意为允许任何人访问，这是很危险的设置。

69. **[单选题] 以下哪项是多重身份验证 (MFA) 的示例？(1分)**A

A. PIN 码和软件令牌

B. 指纹和视网膜扫描

C. 用户名和密码

D. 一次性短信代码和硬件令牌

70. [单选题] AWS用家在户口网络进行设定，而这些设定会记录用户或第三者的活动。第 11 行代码中的设定可以找到哪些用户或第三者的活动信息？(2分)

A. User Name 用户的名称

B. User Source 用户的来源

C. Attacker Name 攻击者的名称

D. Attacker Source 攻击者的来源

首先opencanary这个蜜罐就不是给正常用户登录的，能给它发请求的十有九十九是攻击者。其次，"sources"的这个文件名就已经说明是记录来源了（毕竟下一个文件就是username）

71. **[单选题] AWS用户设置了一个VPC，IP地址范围为10.0.0.0-10.0.0.24。下列哪个 IP 地址用于 DNS？(2分)**C

A. 10.0.0.0

B. 10.0.0.1

C. 10.0.0.2

D. 10.0.0.3

VPC有自己的一套配置规则，不能套用常规的计网知识

在具有 CIDR 块 10.0.0.0/24 的子网中，以下五个 IP 地址是保留的：
10.0.0.0：网络地址。
10.0.0.1：由 AWS 保留，用于 VPC 路由器。
10.0.0.2：由 AWS 保留。DNS 服务器的 IP 地址是 VPC 网络范围的基址 + 2。对于包含多个 CIDR 块的 VPC，
DNS 服务器的 IP 地址位于主要 CIDR 中。我们还为 VPC 中的所有 CIDR 块预留了每个子网范围加二的基址。
10.0.0.3：由 AWS 保留，供将来使用。
10.0.0.255：网络广播地址。我们在 VPC 中不支持广播，因此我们会保留此地址。

72. **[单选题] 以下哪种类型的云服务用于操作系统和网络？ (1分)**C

A. 软件即服务

B. 平台即服务

C. 基础架构即服务

D. 数据即服务

没有技巧，全是背书

73. **[单选题] 以下哪项是Bastionhost的特点？ (2分)**C

A. 包含敏感信息

B. 无法访问内部系统

C. 限制暴露的服务

D. 没有连接到互联网

Bastionhost 是一种位于安全网络边界的服务器，用于提供对内部网络的访问控制。它的主要特点是限制暴露的服务，即只暴露必要的服务和端口，以减少潜在的攻击面。Bastionhost 通常用于跳板或代理访问内部系统，以增加对内部网络的安全性。

linux杂项

74. **[单选题] 在Linux系统中，哪个命令可以用于创建文件系统？ (1分)**B

A. mount /dev/sda3 /mnt/usb

B. mkfs-ext4 /dev/sda2

C. mkfs-ext3 /sys/sda1

D. pvcreate /dev/sda

E. genfstab -U -p /mnt

B。(本地跑的GLM如是说)

A只是用来挂载，CD是创建文件系统的命令，但是需要制定目标设备，E是用于生成文件系统启动表的命令。

75. **[单选题] 'Link’实际上是指向LINUX系统中另一个文件或文件夹的指标。以下哪个命令可以产****生以下结果？ (2分)**C

A. link -s testing.txt shotcut-testing.txt

B. ln -s shotcut.txt testing.txt

C. ln testing.txt shotcut-testing.txt

D. ln -s testing.txt shotcut-testing.txt

E. ln shotcut.txt testing.txt

首先知道-s参数是软链接。因为两个文件大小一样，所以是硬链接，然后shotcut即快照的意思，所以应当是shotcut-testing.txt作为链接的文件。

76. **[单选题] 以下哪个命令用于在Linux系统中创建分区？ (1分)**A

A. gdisk /dev/sde

B. mke2fs /dev/sdb1 -t ext4

C. mount /dev/sdc1 /mnt/fs_home

D. fdisk -lu

E. lvcreate -l +200 /dev/vg00/log/vol-00、

gdisk即一个用于GPT磁盘分区的工具。

77. **[单选题] 一个系统管理员要扩展运行在LVM系统中的服务器存储。以下哪个命令可以用于扩展LVM中的逻辑卷？ (1分)**E

A. lvdisplay /dev/vg02/vol-01

B. lvcreate -n /dev/vg02 -l 200

C. lvextend -n /dev/vg02 -l +200

D. lvscan -l +200 /dev/vg02/vol-01

E. lvresize -l +200 /dev/vg02/vol-01

lvresize命令用于调整逻辑卷的大小，选项-I + 200表示将逻辑卷扩展200个逻辑区（或扇区）大小。

78. **[单选题] 一个系统管理员编写了一个bash代码来构建一个RAID系统，将要实现什么类型的RAID？ (2分)**C

A. RAID 0

B. RAID 1

C. RAID 1+0

D. RAID 0+1

E. 这个代码不起作用 (No effect)

选创建两个raid1，最后来个raid0，所以是raid1+0

79. **[单选题] 以下是运行在LINUX服务器中的服务清单。以下哪个命令可以关闭“bluetooth.service”服务？ (3分)**D

A. systemctl kill bluetooth.service

B. systemctl disable bluetooth.service

C. systemctl down bluetooth.service

D. systemctl stop bluetooth.service

E. systemctl rm bluetooth.service

80. **[单选题] cron服务在LINUX系统中充当作业调度程序。现在准备启动和关闭一个Web服务器（httpd.service），上午8时30分（启动）- 下午6时06分（关闭）；周一至周五，以下哪个crontab设置适用于这种情况？ (1分)**B

A. 30 8 * 1-5 * /usr/bin/systemctl start httpd.service 及 06 18 * 1-5 * /usr/bin/systemctl stop httpd.service

B. 30 8 * * 1-5 /usr/bin/systemctl start httpd.service 及 06 18 * * 1-5 /usr/bin/systemctl stop httpd.service

C. 30 8 1-5 * */usr/bin/systemctl start httpd.service 及 06 18 1-5 * */usr/bin/systemctl stop httpd.service

D. 30 8 * * * /usr/bin/systemctl start httpd.service 及 06 18 * * * /usr/bin/systemctl stop httpd.service

E. 以上都不是

81. **[单选题] 以下哪个Linux命令可以显示目录中的所有文件，包括隐藏文件？ (1分)**B

A. ls -ls

B. ls -asl

C. ls -lAs | wc

D. ls -als | grep ssh

E. None

别全信AI

82. **[单选题] 如果您想要检查Linux系统上可用的剩余磁盘空间量，您会使用以下哪个命令？ (1分)**A

A. df -vh

B. df -sh

C. dl -vh

D. dd -sh

E. dt -vh

比赛的时候随便拉个虚拟机就能试出来了

83. **[单选题] Dockerfile是一个文本文档，用于在Docker架构中生成哪个组件？ (1分)**C

A. docker engine

B. image

C. container

D. volumes

E. docker network

dockerfile用于生成Docker镜像，而不是容器本身。

84. **[单选题] 在Linux系统中，哪个不是内存区？ (1分)**C

A. [heap]

B. [stack]

C. [paging]

D. [vvar]

E. [vdso]

pwn打多了就知道了……heap,stack即堆栈，vvar是存储系统变量的区域，vdso存储特定系统调用的代码的内存区域，允许用户在用户空间进行调用而不用进入内核空间。paging是把物理内存映射到虚拟内存的技术，本身并不是内存区。

85. **[单选题] 以下命令中，哪个命令可以对"export-logs"输出进行排序? (1分)**D

A. export-logs<sort

B. export-logs>sort

C. export-logs&sort

D. export-logs|sort

E. export-logs<>sort

86. **[多选题] 哪些文件会影响Linux主机的名称解析功能？ (1分)**ABD

A. /etc/resolv.conf

B. /etc/hosts

C. /etc/default/names

D. /etc/nsswitch.conf

E. /etc/inet/hosts

A配置DNS服务器，B配置本地域名解析，C不存在，D配置linux系统的名称解析服务顺序，E不存在

87. **[单选题] 哪个系统文件包含了一般的端口、关联的服务和协议？ (1分)**A

A. /etc/services

B. /etc/sysconfig/network-scripts

C. /etc/services.conf

D. /etc/inet/hosts

E. Noneofthechoices

算常识了，就算不知道也应该起个虚拟机去看看。

windows10

88 **[填空题] 在 Windows 10 中 \Users\qqqqq\Downloads，视频文件(mixkit-two-women-laying-together-925-medium.mp4)在MFT 中分成多少个Data Cluster 储存？提示: 请以阿拉伯数字作答 (1分)**5

看起来是分析MFT,但是虚拟机文件本身无法直接导出$MFT，所以先用取证大师把镜像打包成dd

然后就可以用mft2Csv分析mft了

默认导出的csv分隔符是|，看着很凌乱，所以用pandas处理一下

这下好看不少

在NTFS文件系统中，DATA RUN（数据运行）描述了文件数据在磁盘上的物理位置，其由两部分组成：长度和偏移。长度表示该区段包含的簇数，偏移表示该区段相对于前一个区段的位置。具体的转换算法挺复杂的，获取DATA RUNS之后，直接传进脚本进行解析即可

def parse_data_run(data_run):
    data_run = bytearray.fromhex(data_run)
    offset = 0
    clusters = 0


while offset < len(data_run):
    header = data_run[offset]
    offset += 1

    if header == 0x00:
        break

    length_size = header & 0x0F
    offset_size = (header & 0xF0) >> 4

    length = int.from_bytes(data_run[offset:offset+length_size], byteorder='little')
    offset += length_size

    offset_value = int.from_bytes(data_run[offset:offset+offset_size], byteorder='little')
    if (offset_value >> (8 * offset_size - 1)) == 1:  # If the offset is negative
        offset_value -= 1 << (8 * offset_size)  # Convert to negative integer
    offset += offset_size

    clusters += length

return clusters


data_run = "328000F5DD25322A010C74EB3177848C1432700279DEDA32AA0148A210000000"
clusters = parse_data_run(data_run)
print(f"The file is stored in {clusters} data clusters in the MFT.")

不过题目虽然问的是簇数，结果答案是连续的簇片段的数量……这就显得我这脚本很蠢

快捷的方法是xway里面直接打开"列出的簇"，然后就能看到片段信息。

89. **[单选题] 在 Windows 10 中 \Users\qqqqq\Downloads\ mixkit-two-woman-laying-together-925-medium.mp4 的last Access 时间是多少? (1分)**A

A. 2023/07/10 18:31:32

B. 2023/07/10 18:31:01

C. 2023/07/10 19:31:22

D. 2023/07/11 19:31:22

R应该是read的意思，和access相符

**90.在 Windows 7 中 \Users\Allen\Desktop，有1个MP3 文件 (例:unlock-me-149058.mp3)，用户使用什么程序打开该MP3 文件? 提示:请以小写字母作答 (1分)**potplayer

这不是一堆mp3吗……

直接仿真，看到使用potplayer

91. **[单选题] 在 Windows 7 中 ’ \Users\Allen\Desktop ‘有1个MP3 文件 (unlock-me-149058.mp3)，该文件的Zone identiflier为’3’。'3’代表哪一个security Zone? (1分)**B

A. Local Machine Zone

B. Internet Zone

C. Restricted Zone

D. Trust Site Zone

Zone Identifier可以有以下几个值：

0：本地计算机

1：本地内网

2：受信任的站点

3：互联网

4：受限制的站点

92. **[单选题] 在 Windows 7 中 \Users\Allen\Desktop有1个MP3 文件 (unlock-me-149058.mp3)，该文件从哪个网站下载? (1分)**A

A. www.Pixbay.co

B. free-mp3-download.net/

C. https://mp3juices.nu

D. mygomp3.com

这答案打错了吧？

93. **[单选题] 在 Windows 7 中 \Users\Allen\Downloads 内有mp3文件 (miracle.mp3), 更改名称时间? (2分)**D

A. 2023-07-13 02:55:20

B. 2023-07-15 10:55:20

C. 2023-07-12 10:58:04

D. 2023-07-13 10:55:20

看了时间轴也不行……那就靠MFT来看了

至于为什么是这个时间，首先M就是modify，其次时间里面只有这个能对上答案……

94. **[填空题] 在 Windows 7 中 \Users\Allen\Downloads 内有mp3文件 (miracle.mp3), mp3文件更改名称前的名称是什么? 提示: 请以与记录相同的名称与文件格式作答 (1分)**a-small-miracle-132333.mp3

MFT救不了，用弘连的日志解析

a-small-miracle-132333.mp3

95. **[单选题] 在 Windows 7中有多少个文件曾被potplayer 播放? (1分)**B

A. 7

B. 8

C. 9

D. 10

因为默认播放程序就是potplayer，所以就当打开过的媒体文件都是它播的（毕竟日志和注册表里面都找不到potplayer的相关记录，只能这么做了）

96. [填空题] 在 Windows 7中, potplayer最后播放的文件名? 提示: 请以与记录相同的名称(包括小写字母、阿拉伯数字与符号)与文件格式作答 (1分)unlock-me-149058.mp3

翻时间线的时候找到了一个叫做PotPlayerMini64.dpl的文件，里面存储了“PLAYLIST”，即播放列表，因为最新而且存储的确实是播放历史，所以我认为里面的playname就是最后播放的文件名。

脚本

97. [单选题] 事件应急小组正在处理一起网络事件。以下哪一个指令是设定取证服务器以作取得内存内容的初步步骤? (3分)

A. nc -l 4444 >mem126.lime.gz

B. Insmod lime.ko “pathtcp:4444 format=lime digest=sha256 compress=1”

C. scp -I ~/DFIRSciAWTest.pem lime.ko ec2-duckman@3.137.169.127:~/scp -I ~/DFIRSciAWTest.pem /usr/bin/nc ec2-duckman@3.137.169.127:~/

D. ssh duckman@<target_server_ip> “sudo dd if=/dev/mem | gzip -1 -” > memory_dump.gz

先看看某GPT4的锐评（）

GPT解释得很好，但很可惜B不是正确答案。也挺好理解，毕竟需要先把源文件进行备份固定，才方便后续在这些文件上进行操作，以免修改或者损坏后无法取证。

98. [单选题] 基于两个SQLite数据库文件“cus_202308102034.json”和“date_202308101120.json”，编译一个SQLite脚本找出谁前往目的地“莫斯科"。 (3分)

A. SELECT c.customer_name, c.destination, datetime(d.arrival_timestamp_HK, ‘unixepoch’, ‘localtime’) AS arrival_time_hk FROM cus c INNER JOIN date d ON c.destination = d.Destination WHERE c.destination = ‘Moscow’

B. SELECT cus.customer_name, cus.destination, datetime(date.arrival_timestamp_HK, ‘unixepoch’, ‘localtime’) AS arrival_time_hk FROM cus INNER JOIN date ON customer_id = date.id WHERE cus.destination = ‘Moscow’ AND date.Destination = ‘Moscow’ AND date.arrival_timestamp_HK IS NOT NULL AND datetime(date.arrival_timestamp_HK, ‘unixepoch’, ‘localtime’)

C. SELECT cus.customer_name, cus.destination, date.arrival_timestamp FROM cus INNER JOIN date ON cus.destination = date.destination；WHERE cus.destination = ‘Moscow’ AND date.Destination = ‘Moscow’

D. SELECT cus.customer_name, cus.destination, datetime(date.arrival_timestamp_HK, ‘unixepoch’, ‘localtime’) AS arrival_time_hk FROM cus INNER JOIN date ON cus.destination = date.Destination WHERE cus.destination = ‘Moscow’ AND date.Destination = ‘Moscow’ AND date.arrival_timestamp_HK IS NOT NULL AND datetime(date.arrival_timestamp_HK, ‘unixepoch’, ‘localtime’)

正确答案是 D. SELECT cus.customer_name, cus.destination, datetime(date.arrival_timestamp_HK, ‘unixepoch’, ‘localtime’) AS arrival_time_hk FROM cus INNER JOIN date ON cus.destination = date.Destination WHERE cus.destination = ‘Moscow’ AND date.Destination = ‘Moscow’ AND date.arrival_timestamp_HK IS NOT NULL AND datetime(date.arrival_timestamp_HK, ‘unixepoch’, ‘localtime’)。

这个SQLite脚本从两个表（cus和date）中选择了需要的字段，并通过INNER JOIN操作将它们连接在一起。连接的条件是cus表中的destination字段与date表中的Destination字段相同。然后，WHERE子句过滤出目的地为“莫斯科”的记录。此外，它还检查date表中的arrival_timestamp_HK字段是否不为空，并将arrival_timestamp_HK字段（以unix时间戳形式存储的到达时间）转换为本地时间。这样，我们就可以找出谁前往了目的地“莫斯科”

• 选项A：

  这个查询试图从两个表（cus和date）中选择字段，并通过INNER JOIN操作将它们连接在一起。然而，它在连接条件中使用了错误的别名。在这个查询中，表cus和date被分别赋予了别名c和d，但在ON子句中，它错误地使用了c.destination = d.Destination。正确的应该是c.destination = d.destination。

• 选项B：

  这个查询试图从两个表（cus和date）中选择字段，并通过INNER JOIN操作将它们连接在一起。然而，它在连接条件中使用了错误的字段。在这个查询中，它试图使用customer_id = date.id来连接两个表，但这并不正确，因为我们需要连接的是目的地字段。另外，WHERE子句中的最后一个条件datetime(date.arrival_timestamp_HK, ‘unixepoch’, ‘localtime’)是不完整的，它应该是一个比较表达式，例如datetime(date.arrival_timestamp_HK, ‘unixepoch’, ‘localtime’) > ‘some_date’。

• 选项C：

  这个查询试图从两个表（cus和date）中选择字段，并通过INNER JOIN操作将它们连接在一起。然而，它在WHERE子句前错误地使用了一个分号，这导致查询无法正确执行。正确的应该是没有分号的WHERE子句。另外，这个查询没有将日期时间戳转换为可读的日期时间格式，这可能会使结果难以理解。

99. [填空题] 写一个Powershell脚本以提取正在连接到Window 11计算机的可移动设备的记录，提取相关的数据如装置名称、制造商、装置详情、硬件编号，并用“Write-Host”指令显示数据。 (2分)

断网？没事，还有GLM3呢

# 获取正在连接到Window 11计算机的可移动设备信息
$mobileDevices = Get-CimInstance -ClassName Win32_PnPEntity | Where-Object {$_.ClassName -eq "Win32_MobileDevice"}

# 遍历可移动设备并提取设备信息
foreach ($device in $mobileDevices) {
    $deviceName = $device.DeviceID
    $manufacturer = $device.Manufacturer
    $deviceDetail = $device.DeviceDetail
    $hardwareID = $device.HardwareID

    # 显示设备信息
    Write-Host "Device Name: $($deviceName)"
    Write-Host "Manufacturer: $($manufacturer)"
    Write-Host "Device Detail: $($deviceDetail)"
    Write-Host "Hardware ID: $($hardwareID)"
    Write-Host ""
}

100.[填空题] 编写一个PowerShell脚本从Windows Server 2012 R2获取具有管理员权限的所有使用者活动。使用"Where-Object"命令来进一步过滤事件，如果事件的第9个属性与内建的Administrator账户的安全标识符（SID）匹配，则确保只选择与管理员活动相关的事件。 (3分)8

说了这么多，第九个属性，所以参数就是8啊……

总结

好大的题量……反正就是不会做甚至不熟的直接跳，应该就能获得不错的成绩，毕竟基础题仍然占大多数。