2017美亚杯资格赛复盘WP

最新推荐文章于 2024-06-15 15:22:21 发布

古明地核

最新推荐文章于 2024-06-15 15:22:21 发布

阅读量117

点赞数

分类专栏：取证文章标签：安全

本文链接：https://blog.csdn.net/tanbinn/article/details/134527447

版权

取证专栏收录该内容

5 篇文章 0 订阅

订阅专栏

美亚杯2017个人赛复盘WP

背景

Gary是一位经常使用笔记本电脑的人。他热爱足球，常常浏览足球网站。但从2017年9月开始， Gary开始计划赚些快钱，思想也变得偏激。他不时关注一些电脑类的违法技术，还参与进行网上dubo，甚至搜寻军事资讯，恐怖袭击等的相关新闻。他开始上网寻找有关买枪械和刀等武器的资料，但最后均无收获。后来Gary开始与一名黑客接触，并询问如何制造假网站以及购买枪械的方法。其后Gary的笔记本电脑被勒索赎金恶意软件（Ransomware）感染，于是Gary报警。执法机关接到报警后，出动电脑法证调查人员，检取Gary的电脑，开始进行法证检验，并将电脑硬盘制造成一个法证镜像，以作分析之用。

题目

1	Gary的笔记本电脑已成功取证并制作成镜像 (Forensic Image)，下列哪个是其MD5哈希值。 A
A.	0CFB3A0BB016165F1BDEB87EE9F710C9
B.	5F1BDEB87EE9F710C90CFB3A0BB01616
C.	A0BB016160CFB3A0BB0161661670CFB3
D.	16160CFB3A0BB016166A0BB016166167
E.	FB3A0BB016165 B016166 A0DF7FJE2EJ0

	2	根据此镜像 (Forensic Image)，里面有多少个硬盘分区？C
	A.	1
	B.	2
	C.	3
	D.	4
	E.	5

3	你能找到硬盘操作系统分区内的开始逻辑区块地址（LBA）？ D
A.	0
B.	512
C.	2,048
D.	206,848
E.	102,402,047

4	你能找到硬盘操作系统分区的大小吗 (字节byte)？ E
A.	48.7
B.	102,195,200
C.	140,232,703
D.	19,369,295,872
E.	52,323,942,400

5	在包含操作系统的分区内，$MFT的物理起始偏移位置是什么？D
A.	3328
B.	4,170,040
C.	6,026,176
D.	6,498,304
E.	16,949,352

这边我卡了一段时间，一直在算C盘的物理位置。结果后来看到题目强调“包含操作系统”，才醒悟过来这是个坑。

太逆天了，怎么会装在D盘？反正直接翻MFT表就可以了。

6	请找出系统文件“SOFTWARE＂，请问操作系统的安装日期是？（答案格式－“世界协调时间＂：YYYY-MM-DD HH:MM UTC） B
A.	2017-09-04 10:10 UTC
B.	2017-09-04 10:11 UTC
C.	2017-09-04 10:12 UTC
D.	2017-09-04 10:13 UTC
E.	2017-09-04 02:14 UTC

这边注意一下时区是UTC

7	用户“Gary＂的SID是什么？A
A.	1000
B.	1001
C.	1002
D.	1005
E.	1007

8	用户“彼得＂的SID是什么？B
A.	1000
B.	1001
C.	1002
D.	1005
E.	1007

9	硬盘的操作系统是什么？A
A.	Windows 7
B.	Windows 8
C.	Windows 10
D.	Linux Red Hat 7.1
E.	MAC OS X

10	哪个是Windows的默认浏览器？C A
A.	Microsoft Internet Explorer
B.	Google Chrome
C.	Mozilla Firefox
D.	Opera
E.	QQ 浏览器

然而这样是假的。要想知道真正的默认浏览器还是得去翻注册表。

11	用户 “Gary＂曾经浏览过一些非法博彩网站，下列哪项URL符合？D
a.	www1.10086.com
b.	www.188bet.com
c.	www.hv5858.com
d.	www.12377.cn
e.	www.88.bettingwell.com
f.	www.aaakk.org
A.	只有(a) & (b)
B.	(a), (b), (d) & (f)
C.	(b), ©, (d) & (f)
D.	(b), ©, (e) & (f)
E.	以上皆是

12	用户Gary曾经登入上述非法博彩网站，下列哪个是其登入名称？E
A.	ggchey68
B.	gany-cher88
C.	galy_chen88
D.	garychen1688
E.	garychen88

13	在所有用户中，用于电子邮件发送/接收的程序名称是什么？E
A.	新浪邮箱
B.	网易163
C.	阿里邮箱
D.	Foxmail
E.	Mozilla Mail – ThunderBird

14	在该Windows系统中，曾经连接数个USB移动储存装置 (U盘)，下列那个不是该系统连接过的USB移动储存装置 ?A
A.	WD My Passport 0827 USB Device
B.	StoreJet Transcend USB Device
C.	Samsung Portable SSD USB Device
D.	StoreJet TS256GESD400K USB Device
E.	General UDisk USB Device

一个个筛过去就行了。

15	在该Windows系统中，下列哪个USB移动储存装置 (U盘)曾被指派为‘Z’磁盘分区代号(Drive Letter) ? C
A.	WD My Passport 0827 USB Device
B.	StoreJet Transcend USB Device
C.	Samsung Portable SSD USB Device
D.	StoreJet TS256GESD400K USB Device
E.	General UDisk USB Device

16	该Windows系统中，下列哪个是最后的关机时间? A
A.	2017-10-31 4:52:54 UTC
B.	2017-10-31 4:53:54 UTC
C.	2017-10-31 4:54:54 UTC
D.	2017-10-31 4:55:54 UTC
E.	2017-10-31 4:56:54 UTC

看来关机和正常关机不是一回事。话说美亚出的题目，连自家的软件也取不对吗？
另外注意以下时区。

17	该Windows系统中，下列哪个是电脑名称?B
A.	GARYPC
B.	GARY-PC
C.	GARY_PC
D.	GARY
E.	GARY-NB

18	在该Windows系统中，下列哪个是用户Gary日常使用的邮箱帐号? D
A.	ics_user@mail.com
B.	ics_user@gmail.com
C.	gary@mail.com
D.	gary_chen@mail.com
E.	gary_chen@gmail.com

19	在该Windows系统中，用户Gary曾经收过一封来自邮箱帐号 ics_user@mail.com 的邮件，内容提及有关制作钓鱼网站及邮件帐号eric_wang99@outlook.com，下列哪个是此封邮件的发送日期和时间? C
A.	2017-09-25 17:07:15
B.	2017-10-17 14:35:45
C.	2017-10-17 18:24:02
D.	2017-10-26 19:17:08
E.	2017-10-26 19:24:57

20	在该Windows系统中，用户Gary还曾经收过两封来自邮箱帐号 eric_wang99@outlook.com的邮件，标题为“学习制作网站”，下列哪个是第一封邮件的发送日期和时间? D
A.	2017-09-25 17:07:15
B.	2017-10-17 14:35:45
C.	2017-10-17 18:24:02
D.	2017-10-18 18:30:45
E.	2017-10-18 19:38:05

21	在该Windows系统中，用户Gary还曾经收过两封来自邮箱帐号 eric_wang99@outlook.com邮件，标题为“学习制作网站”，下列哪个是第二封电邮的发送日期和时间? E
A.	2017-09-25 17:07:15
B.	2017-10-17 14:35:45
C.	2017-10-17 18:24:02
D.	2017-10-18 18:30:45
E.	2017-10-18 19:38:05

额，题目重复？

22	用户Gary亦曾经收过一封来自电邮账号 ics_user@mail.com 的电邮，附加了两张与咖啡豆有关的相片，下列哪个是此封电邮之发送日期及时间? D
A.	2017-09-25 17:07:15
B.	2017-10-17 14:35:45
C.	2017-10-17 18:24:02
D.	2017-10-26 19:17:08
E.	2017-10-26 19:24:57

23	下列哪项是与上述咖啡豆有关相片的MD5哈希值/哈希值(Hash value)?B
A.	449cebf0eb96499df047fe0bff8e1627
B.	17f9c6bcca44d128f7ed6769a6920278
C.	4bc48ce355acd4732f33a79e29728e96
D.	4bc48ce355acd4732f33a79e29728e97
E.	e3e545c80a7273b7b0d7c73dacdd7227

24	在该Windows系统中，用户Gary还曾经收到一封来自邮箱帐号 eric_wang99@outlook.com 的邮件，附加有三张与Apple iCloud相关的相片，下列哪个为该封邮件的发送日期和时间?E
A.	2017-09-25 17:07:15
B.	2017-10-17 14:35:45
C.	2017-10-17 18:24:02
D.	2017-10-18 18:30:45
E.	2017-10-18 19:38:05

25	Gary经常使用笔记本电脑浏览互联网，他的笔记本电脑上曾经连接过多少WIFI热点？C
A.	1
B.	2
C.	3
D.	4
E.	5

其实这里我已经不是很确定了。毕竟wifi和wifi热点还是有区别的。

谔谔，果然美亚题还得取证大师来做。这里因为卷影的原因多生成一组数据，实际数量就是4个。

	26	上述电脑曾经连接过星巴克WIFI热点，下列哪项是其全局唯一识别元（Globally Unique Identifier, GUID）？E
	A.	{8039D237-A346-4BA1-9B78-5752580ED7F0}
	B.	{39489FA0-DE35-4989-8730-E2E2ED15E85A}
	C.	{558B94DF-8D68-4779-AA25-65FBDAB4C2B9}
	D.	{4EFCDA7E-CE51-4EC2-8980-8629647C9968}
	E.	{AF0778E8-6C4F-41C6-84B2-CB14490CF29E}

怎么会对不上……无所谓，还有搜索大法呢

这个好像是网络连接的日志文件。也就是说刚刚看到的两个GUID只是无线网卡的GUID捏……

27	有关Gary的笔记本电脑，下列哪项是其最后分派得到的IP地址？D
A.	192.168.0.1
B.	192.168.10.4
C.	192.168.20.6
D.	192.168.30.3
E.	192.168.40.5

28	Eric曾发邮件给Gary，内容是关于如何在暗网(Dark Web)中浏览枪械的信息，以下哪个URL是由Eric提供的?B
A.	http://hhnovpxmqrw5xaqg.onion
B.	http://gunsjmzh2btr7lpy.onion
C.	http://gunsdtk58tolcrre.onion
D.	http://armoryohajjhou6m.onion
E.	http://armory45jijdf7d.onion

枪械图

29	Eric 售卖iCloud 网站给Gary 的价钱是多少?C
A.	$500
B.	$800
C.	$1000
D.	$1400
E.	$1500

30	Gary 经常将非法文件存储到该笔记本电脑的加密分区中，下列哪一个为该加密软件?B
A.	TrueCrypt
B.	VeraCrypt
C.	Bitlocker
D.	LUKS
E.	PGP WDE

我从回收站里面拖出来的。正好还有个vc容器，看来就是这个了。

31	在加密磁区内有三张与Apple iCloud有关的相片，下列哪个为其中一张相片的MD5哈希值(Hash Value)?A
A.	c9fbfaf3c45492c40feb83a83217f146
B.	14903a7bd9d709b653f9afe8e3e51cdd
C.	7cb0f29812317db645edbcd6cf46e1ba
D.	5503d096bdf832460c8f51da62fbbb5d
E.	9918465b62171ba2c0a95595db629bf3

32	在加密磁区内有三张与暗网(Dark Web)有关的相片，下列哪个为其中一张相片的MD5哈希值(Hash Value)?E
A.	2836d35fb45c591211d5b6865c4a82f5
B.	d2b14799050b6c4ad6b07cd1227b91a5
C.	9110c96baa70c00acd8fbdfe2dc7c397
D.	703899985d881e2d103eb4fd1306be2e
E.	4c57a45b8da5ea01e5eb7d875f94a7b8

33	Gary的计算机系统时区是什么？? A
A.	中国标准时间
B.	日本标准时间
C.	泰国标准时间
D.	新加坡标准时间
E.	伦敦标准时间

34	在上述加密磁区内，存有一个名为”2017-10-27”的文件夹，内有三张枪械的图片，该三张图片是来自哪个网站?B
A.	http://gunsdtk58tolcrre.onion
B.	http://gunsjmzh2btr7lpy.onion
C.	thegunstorelasvegas.com
D.	cabelas.com
E.	hyattgunstore.com

加密磁盘是在打不开。但是是三张枪械图的话，盲猜就是邮件里的那几张图

35	Gary的笔记本电脑曾经下载过多少张有关恐怖组织的图片?
A.	1
B.	2
C.	3
D.	4

没有什么直接指向恐怖组织的线索。不过在后面翻download文件夹的时候发现了isis的统计数据，正好就是我们要找的图片。

36	根据Gary与Eric邮件的内容，Eric曾经提供Gary一个私有云盘，下列哪项是该邮件提供的资料?B
A.	动物图
B.	枪的结构图
C.	博彩图
D.	博彩文件
E.	恐怖主义图

37	下列哪项是上述私有云盘的网址?B
A.	http://mantech.mooo.cn
B.	http://mantech.mooo.com
C.	http://mooo.com
D.	http://mantech.com
E.	http://23.54.45.113

38	下列哪项是上述私有云盘网址的连接端口?D
A.	TCP 80
B.	TCP 8080
C.	UDP 80
D.	TCP 8000
E.	TCP 443

39	下列哪项是Gary第一次浏览该私有云盘网址时，所使用的浏览器?C
A.	Microsoft Explorer
B.	Google Chrome
C.	Mozilla Firefox
D.	Opera
E.	QQ 浏览器

40	下列哪项是Gary第一次浏览该私有云盘网址的日期和时间?B
A.	2017-10-29 12:42:09
B.	2017-10-30 12:42:09
C.	2017-10-31 12:42:09
D.	2017-10-30 10:42:09
E.	2017-10-30 11:42:09

41	在上述加密磁区内，存有一个名为”2017-10-30”的文件夹，里面有三张与枪械结构有关的图片，该三张图片是从哪个方法/软件下载?B
A.	邮件
B.	Firefox
C.	Chrome
D.	USB thumb drive
E.	ftp

还是那句话，遇事不决全局搜索

	42	Gary的笔记本电脑，曾经下载过一个感染了电脑病毒的文件，名为invoice.zip。该病毒程序文件是什么时候下载? E
	A.	2017-10-31 12:26:20
	B.	2017-10-31 12:50:34
	C.	2017-10-31 12:29:55
	D.	2017-10-31 10:52:10
	E.	2017-10-31 12:18:54

43	Gary的笔记本电脑，还存有一个感染了电脑病毒的程序文件，名为\User\Gary\Downloads\invoice\dist\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?A
A.	2017-10-31 12:26:27
B.	2017-10-31 12:50:34
C.	2017-10-31 12:29:55
D.	2017-10-31 10:52:10
E.	2017-10-31 12:18:54

44	上述invoice.exe文件伪装成什么格式的软件?A
A.	pdf
B.	jpg
C.	psd
D.	Docx
E.	Doc

45	上述的\User\Gary\Downloads\invoice\dist\invoice.exe文件，最后执行日期/时间(Last Accessed Data/Time) 是什么?B
A.	2017-10-31 12:26:27
B.	2017-10-31 12:50:34
C.	2017-10-31 12:29:55
D.	2017-10-31 10:52:10
E.	2017-10-31 12:18:54

46	事实上，Gary的笔记本电脑被电脑病毒感染了，部份文件被加密，当中包括下列哪种文件类型?D
a.	exe
b.	gif
c.	jpg
d.	psd
e.	Docx
f.	Doc
A.	只有(a) & (b)
B.	(a), (b), (d) & (f)
C.	(b), ©, (d) & (f)
D.	(b), ©, (e) & (f)
E.	以上皆是

e和f是肯定有的，其他两个没有见过，所以直接选E

47	上述\User\Gary\Downloads\invoice\dist\invoice.exe文件共执行多少?C E
A.	1
B.	2
C.	3
D.	4
E.	5

访问和创建也算是运行吗……

48	上述\User\Gary\Downloads\invoice\dist\invoice.exe文件是由什么程序编写?D
A.	LISP
B.	C++
C.	Visual Basic
D.	Python
E.	Java

使用了大量的pyc，并且还导入了python27的dll库……应该是python

49	上述\User\Gary\Downloads\invoice\dist\invoice.exe文件，执行时会呼叫下列哪个动态连结函式库(Dynamic Linked Library)A
A.	KERNEL32.DLL
B.	USER32.DLL
C.	SHELL32.DLL
D.	NTDLL.DLL
E.	SYSTEM32.DLL

甚至不用ida，用弘连自带的反编译就可以了。

50	Gary的笔记本电脑，还存有另一感染了电脑病毒的程序文件，名为\tmp\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?B
A.	2017-10-31 12:26:27
B.	2017-10-31 12:50:34
C.	2017-10-31 12:29:55
D.	2017-10-31 10:52:10
E.	2017-10-31 12:18:54

51	上述两个文件\User\Gary\Downloads\invoice\dist\invoice.exe和 \tmp\invoice.exe是什么关系?B
A.	前者是后者的复本
B.	后者是前者的复本
C.	两者MD5不相同
D.	两者元数据(Metadata)相同
E.	两者无关系

首先不可能是无关系，然后我比对了一下，两者的元数据也不相同，但确实是同一个文件。因为前者的创建时间比后者早，而且tmp文件夹是用来暂存文件的，所以合理推测后者是前者的复本。

52	根据勒索讯息的显示，勒索网址是什么？C
A.	http://223.17.250.208:6000/C&C/
B.	http://223.17.250.208/C&C/
C.	http://223.17.250.208:6060/C&C/
D.	http://223.17.250.208:80/C&C/
E.	http://223.17.250.208:8080/C&C/

53	根据勒索讯息的显示，勒索金额是多少钱？B
A.	$1,000
B.	$10,000
C.	$20,000
D.	$50,000
E.	$100,000

54	根据勒索讯息的显示，下列哪个是与勒索案件有关的比特币钱包？B
A.	1KcjhpkowGWh5QYgPx5hYGuzbZpewgBszh
B.	1KcjhpknwGWh5QYgPx5hYGuzbZpewgBszh
C.	1KcjhpknwGWh5QYgPx5hYGuzbZpewgBzzh
D.	1KcjhpknwGWh5QYgPx6hYGuzbZpewgBszh
E.	1KcjhpknwGWh6QYgPx5hYGuzbZpewgBszh

眼镜看得痛……其实选项之间互相比对一下也能排除出正确答案。