美亚杯2017个人赛复盘WP
背景
Gary是一位经常使用笔记本电脑的人。他热爱足球,常常浏览足球网站。但从2017年9月开始, Gary开始计划赚些快钱,思想也变得偏激。他不时关注一些电脑类的违法技术,还参与进行网上dubo,甚至搜寻军事资讯,恐怖袭击等的相关新闻。他开始上网寻找有关买枪械和刀等武器的资料,但最后均无收获。后来Gary开始与一名黑客接触,并询问如何制造假网站以及购买枪械的方法。其后Gary的笔记本电脑被勒索赎金恶意软件(Ransomware)感染,于是Gary报警。执法机关接到报警后,出动电脑法证调查人员,检取Gary的电脑,开始进行法证检验,并将电脑硬盘制造成一个法证镜像,以作分析之用。
题目
1 | Gary的笔记本电脑已成功取证并制作成镜像 (Forensic Image),下列哪个是其MD5哈希值。 A |
---|
A. | 0CFB3A0BB016165F1BDEB87EE9F710C9 |
B. | 5F1BDEB87EE9F710C90CFB3A0BB01616 |
C. | A0BB016160CFB3A0BB0161661670CFB3 |
D. | 16160CFB3A0BB016166A0BB016166167 |
E. | FB3A0BB016165 B016166 A0DF7FJE2EJ0 |
![image-20230406152904929](https://i-blog.csdnimg.cn/blog_migrate/1a6443094f1f4e5bfdc865c8f8af7dff.png)
| 2 | 根据此镜像 (Forensic Image),里面有多少个硬盘分区?C |
---|
| A. | 1 |
| B. | 2 |
| C. | 3 |
| D. | 4 |
| E. | 5 |
![image-20230406154827681](https://i-blog.csdnimg.cn/blog_migrate/a7d71308d9e6d881aeecbdd330948abc.png)
3 | 你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)? D |
---|
A. | 0 |
B. | 512 |
C. | 2,048 |
D. | 206,848 |
E. | 102,402,047 |
![image-20230406153817253](https://i-blog.csdnimg.cn/blog_migrate/9258d925a3df7597b2242df4bb055310.png)
4 | 你能找到硬盘操作系统分区的大小吗 (字节byte)? E |
---|
A. | 48.7 |
B. | 102,195,200 |
C. | 140,232,703 |
D. | 19,369,295,872 |
E. | 52,323,942,400 |
5 | 在包含操作系统的分区内,$MFT的物理起始偏移位置是什么?D |
---|
A. | 3328 |
B. | 4,170,040 |
C. | 6,026,176 |
D. | 6,498,304 |
E. | 16,949,352 |
这边我卡了一段时间,一直在算C盘的物理位置。结果后来看到题目强调“包含操作系统”,才醒悟过来这是个坑。
![image-20230406162301071](https://i-blog.csdnimg.cn/blog_migrate/3c1de464593a1a792408601d87f31591.png)
太逆天了,怎么会装在D盘?反正直接翻MFT表就可以了。
![image-20230406162343925](https://i-blog.csdnimg.cn/blog_migrate/c81bde67b69308c5c0ead302f3ca22a2.png)
6 | 请找出系统文件“SOFTWARE",请问操作系统的安装日期是? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC) B |
---|
A. | 2017-09-04 10:10 UTC |
B. | 2017-09-04 10:11 UTC |
C. | 2017-09-04 10:12 UTC |
D. | 2017-09-04 10:13 UTC |
E. | 2017-09-04 02:14 UTC |
这边注意一下时区是UTC
![image-20230406154515128](https://i-blog.csdnimg.cn/blog_migrate/35340c8a7b7ecc319b115afad285bf0b.png)
7 | 用户“Gary"的SID是什么?A |
---|
A. | 1000 |
B. | 1001 |
C. | 1002 |
D. | 1005 |
E. | 1007 |
![image-20230406154737248](https://i-blog.csdnimg.cn/blog_migrate/92ad46655a0d817e7a0e3d37970838ac.png)
8 | 用户“彼得"的SID是什么?B |
---|
A. | 1000 |
B. | 1001 |
C. | 1002 |
D. | 1005 |
E. | 1007 |
9 | 硬盘的操作系统是什么?A |
---|
A. | Windows 7 |
B. | Windows 8 |
C. | Windows 10 |
D. | Linux Red Hat 7.1 |
E. | MAC OS X |
10 | 哪个是Windows的默认浏览器?C A |
---|
A. | Microsoft Internet Explorer |
B. | Google Chrome |
C. | Mozilla Firefox |
D. | Opera |
E. | QQ 浏览器 |
![image-20230406162431501](https://i-blog.csdnimg.cn/blog_migrate/84eaff48352f6450988ef27c5f086b38.png)
![image-20230406162514621](https://i-blog.csdnimg.cn/blog_migrate/31eb8a4c1e6a1fd209127897deef75e4.png)
然而这样是假的。要想知道真正的默认浏览器还是得去翻注册表。
![image-20230406214545203](https://i-blog.csdnimg.cn/blog_migrate/46f132bc6643595c19639cd5b79f3148.png)
11 | 用户 “Gary"曾经浏览过一些非法博彩网站,下列哪项URL符合?D |
---|
a. | www1.10086.com |
b. | www.188bet.com |
c. | www.hv5858.com |
d. | www.12377.cn |
e. | www.88.bettingwell.com |
f. | www.aaakk.org |
A. | 只有(a) & (b) |
B. | (a), (b), (d) & (f) |
C. | (b), ©, (d) & (f) |
D. | (b), ©, (e) & (f) |
E. | 以上皆是 |
![image-20230406162823016](https://i-blog.csdnimg.cn/blog_migrate/2b81dd3489a777268ac23ef92d50c0c9.png)
![image-20230406162839286](https://i-blog.csdnimg.cn/blog_migrate/6d2e81462afd26fa17d99f3d47291299.png)
![image-20230406162950935](https://i-blog.csdnimg.cn/blog_migrate/03875773d8d59e588fb534260a56ca93.png)
![image-20230406163023484](https://i-blog.csdnimg.cn/blog_migrate/b9b8c1feeaf0f940d754fc68a7db138d.png)
![image-20230406163037723](https://i-blog.csdnimg.cn/blog_migrate/4142a84a0fa221d50da7f3e927906cc6.png)
12 | 用户Gary曾经登入上述非法博彩网站,下列哪个是其登入名称?E |
---|
A. | ggchey68 |
B. | gany-cher88 |
C. | galy_chen88 |
D. | garychen1688 |
E. | garychen88 |
![image-20230406163228415](https://i-blog.csdnimg.cn/blog_migrate/4eacc56764ea4a9e87e9937261840d0a.png)
13 | 在所有用户中,用于电子邮件发送/接收的程序名称是什么?E |
---|
A. | 新浪邮箱 |
B. | 网易163 |
C. | 阿里邮箱 |
D. | Foxmail |
E. | Mozilla Mail – ThunderBird |
![image-20230406163311190](https://i-blog.csdnimg.cn/blog_migrate/65f2390126334ef7a000ffcb2ffc2c19.png)
14 | 在该Windows系统中,曾经连接数个USB移动储存装置 (U盘),下列那个不是该系统连接过的USB移动储存装置 ?A |
---|
A. | WD My Passport 0827 USB Device |
B. | StoreJet Transcend USB Device |
C. | Samsung Portable SSD USB Device |
D. | StoreJet TS256GESD400K USB Device |
E. | General UDisk USB Device |
一个个筛过去就行了。
![image-20230406163730326](https://i-blog.csdnimg.cn/blog_migrate/3d5f930af253a39dc3c390d40d2c3e18.png)
15 | 在该Windows系统中,下列哪个USB移动储存装置 (U盘)曾被指派为‘Z’磁盘分区代号(Drive Letter) ? C |
---|
A. | WD My Passport 0827 USB Device |
B. | StoreJet Transcend USB Device |
C. | Samsung Portable SSD USB Device |
D. | StoreJet TS256GESD400K USB Device |
E. | General UDisk USB Device |
![image-20230406163820685](https://i-blog.csdnimg.cn/blog_migrate/f2e691295cd34bb91a7f4008625a0b8a.png)
16 | 该Windows系统中,下列哪个是最后的关机时间? A |
---|
A. | 2017-10-31 4:52:54 UTC |
B. | 2017-10-31 4:53:54 UTC |
C. | 2017-10-31 4:54:54 UTC |
D. | 2017-10-31 4:55:54 UTC |
E. | 2017-10-31 4:56:54 UTC |
![image-20230406163856267](https://i-blog.csdnimg.cn/blog_migrate/166e32a939751ed3132065f7298e11f8.png)
![image-20230406163916846](https://i-blog.csdnimg.cn/blog_migrate/f8365032214dea4a5fbdfe5a6a00e411.png)
![image-20230406164124879](https://i-blog.csdnimg.cn/blog_migrate/a43bb5d1f4d09ca59fd4f20d7d1262e1.png)
看来关机和正常关机不是一回事。话说美亚出的题目,连自家的软件也取不对吗?
另外注意以下时区。
17 | 该Windows系统中,下列哪个是电脑名称?B |
---|
A. | GARYPC |
B. | GARY-PC |
C. | GARY_PC |
D. | GARY |
E. | GARY-NB |
![image-20230406164232780](https://i-blog.csdnimg.cn/blog_migrate/1e2cc4dc00cca23a59becbce2bbc3927.png)
18 | 在该Windows系统中,下列哪个是用户Gary日常使用的邮箱帐号? D |
---|
A. | ics_user@mail.com |
B. | ics_user@gmail.com |
C. | gary@mail.com |
D. | gary_chen@mail.com |
E. | gary_chen@gmail.com |
19 | 在该Windows系统中,用户Gary曾经收过一封来自邮箱帐号 ics_user@mail.com 的邮件,内容提及有关制作钓鱼网站及邮件帐号eric_wang99@outlook.com,下列哪个是此封邮件的发送日期和时间? C |
---|
A. | 2017-09-25 17:07:15 |
B. | 2017-10-17 14:35:45 |
C. | 2017-10-17 18:24:02 |
D. | 2017-10-26 19:17:08 |
E. | 2017-10-26 19:24:57 |
![image-20230406164642762](https://i-blog.csdnimg.cn/blog_migrate/df2ed4c2f06c7076ed368df4c23a9000.png)
20 | 在该Windows系统中,用户Gary还曾经收过两封来自邮箱帐号 eric_wang99@outlook.com的邮件,标题为“学习制作网站”,下列哪个是第一封邮件的发送日期和时间? D |
---|
A. | 2017-09-25 17:07:15 |
B. | 2017-10-17 14:35:45 |
C. | 2017-10-17 18:24:02 |
D. | 2017-10-18 18:30:45 |
E. | 2017-10-18 19:38:05 |
![image-20230406164753337](https://i-blog.csdnimg.cn/blog_migrate/14605ee79a43efbaafcb908b12cd96e3.png)
21 | 在该Windows系统中,用户Gary还曾经收过两封来自邮箱帐号 eric_wang99@outlook.com邮件,标题为“学习制作网站”,下列哪个是第二封电邮的发送日期和时间? E |
---|
A. | 2017-09-25 17:07:15 |
B. | 2017-10-17 14:35:45 |
C. | 2017-10-17 18:24:02 |
D. | 2017-10-18 18:30:45 |
E. | 2017-10-18 19:38:05 |
额,题目重复?
22 | 用户Gary亦曾经收过一封来自电邮账号 ics_user@mail.com 的电邮,附加了两张与咖啡豆有关的相片,下列哪个是此封电邮之发送日期及时间? D |
---|
A. | 2017-09-25 17:07:15 |
B. | 2017-10-17 14:35:45 |
C. | 2017-10-17 18:24:02 |
D. | 2017-10-26 19:17:08 |
E. | 2017-10-26 19:24:57 |
![image-20230406172904491](https://i-blog.csdnimg.cn/blog_migrate/12cf1006511d12d4c168221ec663da68.png)
23 | 下列哪项是与上述咖啡豆有关相片的MD5哈希值/哈希值(Hash value)?B |
---|
A. | 449cebf0eb96499df047fe0bff8e1627 |
B. | 17f9c6bcca44d128f7ed6769a6920278 |
C. | 4bc48ce355acd4732f33a79e29728e96 |
D. | 4bc48ce355acd4732f33a79e29728e97 |
E. | e3e545c80a7273b7b0d7c73dacdd7227 |
24 | 在该Windows系统中,用户Gary还曾经收到一封来自邮箱帐号 eric_wang99@outlook.com 的邮件,附加有三张与Apple iCloud相关的相片,下列哪个为该封邮件的发送日期和时间?E |
---|
A. | 2017-09-25 17:07:15 |
B. | 2017-10-17 14:35:45 |
C. | 2017-10-17 18:24:02 |
D. | 2017-10-18 18:30:45 |
E. | 2017-10-18 19:38:05 |
![image-20230406173821571](https://i-blog.csdnimg.cn/blog_migrate/3b18813a4657a6d30443a749de894ea0.png)
25 | Gary经常使用笔记本电脑浏览互联网,他的笔记本电脑上曾经连接过多少WIFI热点?C |
---|
A. | 1 |
B. | 2 |
C. | 3 |
D. | 4 |
E. | 5 |
其实这里我已经不是很确定了。毕竟wifi和wifi热点还是有区别的。
![image-20230406173953487](https://i-blog.csdnimg.cn/blog_migrate/6972022297f32977263dd31f5ad57178.png)
谔谔,果然美亚题还得取证大师来做。这里因为卷影的原因多生成一组数据,实际数量就是4个。
![image-20230406210554995](https://i-blog.csdnimg.cn/blog_migrate/187703d311d1a37f0b3b1b2baa111f9e.png)
| 26 | 上述电脑曾经连接过星巴克WIFI热点,下列哪项是其全局唯一识别元(Globally Unique Identifier, GUID)?E |
---|
| A. | {8039D237-A346-4BA1-9B78-5752580ED7F0} |
| B. | {39489FA0-DE35-4989-8730-E2E2ED15E85A} |
| C. | {558B94DF-8D68-4779-AA25-65FBDAB4C2B9} |
| D. | {4EFCDA7E-CE51-4EC2-8980-8629647C9968} |
| E. | {AF0778E8-6C4F-41C6-84B2-CB14490CF29E} |
![image-20230406174205225](https://i-blog.csdnimg.cn/blog_migrate/c1bb64c2d3839e30bbb30afc23cb2e75.png)
![image-20230406175129238](https://i-blog.csdnimg.cn/blog_migrate/d35408fa183e6b3830bd4dcb464ccc97.png)
怎么会对不上……无所谓,还有搜索大法呢
![image-20230406175303183](https://i-blog.csdnimg.cn/blog_migrate/1f11f9886621e895bc84e0cc03a6e39a.png)
这个好像是网络连接的日志文件。也就是说刚刚看到的两个GUID只是无线网卡的GUID捏……
27 | 有关Gary的笔记本电脑,下列哪项是其最后分派得到的IP地址?D |
---|
A. | 192.168.0.1 |
B. | 192.168.10.4 |
C. | 192.168.20.6 |
D. | 192.168.30.3 |
E. | 192.168.40.5 |
![image-20230406175907199](https://i-blog.csdnimg.cn/blog_migrate/3871345d9d8105fafea4cd07a684cfd1.png)
28 | Eric曾发邮件给Gary,内容是关于如何在暗网(Dark Web)中浏览枪械的信息,以下哪个URL是由Eric提供的?B |
---|
A. | http://hhnovpxmqrw5xaqg.onion |
B. | http://gunsjmzh2btr7lpy.onion |
C. | http://gunsdtk58tolcrre.onion |
D. | http://armoryohajjhou6m.onion |
E. | http://armory45jijdf7d.onion |
枪械图
![image-20230406180102750](https://i-blog.csdnimg.cn/blog_migrate/59c97d1c5ec7cf929661fedbf14421a8.png)
![image-20230406180121239](https://i-blog.csdnimg.cn/blog_migrate/a25cf927aff6435effc76e5652f011c2.png)
29 | Eric 售卖iCloud 网站给Gary 的价钱是多少?C |
---|
A. | $500 |
B. | $800 |
C. | $1000 |
D. | $1400 |
E. | $1500 |
![image-20230406180809277](https://i-blog.csdnimg.cn/blog_migrate/d9adba3c039a7fdda6ac453c57730cd5.png)
30 | Gary 经常将非法文件存储到该笔记本电脑的加密分区中,下列哪一个为该加密软件?B |
---|
A. | TrueCrypt |
B. | VeraCrypt |
C. | Bitlocker |
D. | LUKS |
E. | PGP WDE |
![image-20230406180854744](https://i-blog.csdnimg.cn/blog_migrate/8162dc18165a9931bd4c7256ce57991b.png)
我从回收站里面拖出来的。正好还有个vc容器,看来就是这个了。
31 | 在加密磁区内有三张与Apple iCloud有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)?A |
---|
A. | c9fbfaf3c45492c40feb83a83217f146 |
B. | 14903a7bd9d709b653f9afe8e3e51cdd |
C. | 7cb0f29812317db645edbcd6cf46e1ba |
D. | 5503d096bdf832460c8f51da62fbbb5d |
E. | 9918465b62171ba2c0a95595db629bf3 |
32 | 在加密磁区内有三张与暗网(Dark Web)有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)?E |
---|
A. | 2836d35fb45c591211d5b6865c4a82f5 |
B. | d2b14799050b6c4ad6b07cd1227b91a5 |
C. | 9110c96baa70c00acd8fbdfe2dc7c397 |
D. | 703899985d881e2d103eb4fd1306be2e |
E. | 4c57a45b8da5ea01e5eb7d875f94a7b8 |
33 | Gary的计算机系统时区是什么?? A |
---|
A. | 中国标准时间 |
B. | 日本标准时间 |
C. | 泰国标准时间 |
D. | 新加坡标准时间 |
E. | 伦敦标准时间 |
![image-20230406181259400](https://i-blog.csdnimg.cn/blog_migrate/d31c90def6d40c19255ba2bcd994d931.png)
34 | 在上述加密磁区内,存有一个名为”2017-10-27”的文件夹,内有三张枪械的图片,该三张图片是来自哪个网站?B |
---|
A. | http://gunsdtk58tolcrre.onion |
B. | http://gunsjmzh2btr7lpy.onion |
C. | thegunstorelasvegas.com |
D. | cabelas.com |
E. | hyattgunstore.com |
加密磁盘是在打不开。但是是三张枪械图的话,盲猜就是邮件里的那几张图
![image-20230406194326792](https://i-blog.csdnimg.cn/blog_migrate/824633f4223d1ab6610f5c69ae215bd2.png)
35 | Gary的笔记本电脑曾经下载过多少张有关恐怖组织的图片? |
---|
A. | 1 |
B. | 2 |
C. | 3 |
D. | 4 |
没有什么直接指向恐怖组织的线索。不过在后面翻download文件夹的时候发现了isis的统计数据,正好就是我们要找的图片。
![image-20230406211423790](https://i-blog.csdnimg.cn/blog_migrate/fb35d59a617b3bd24daded54ce0796bd.png)
36 | 根据Gary与Eric邮件的内容,Eric曾经提供Gary一个私有云盘,下列哪项是该邮件提供的资料?B |
---|
A. | 动物图 |
B. | 枪的结构图 |
C. | 博彩图 |
D. | 博彩文件 |
E. | 恐怖主义图 |
37 | 下列哪项是上述私有云盘的网址?B |
---|
A. | http://mantech.mooo.cn |
B. | http://mantech.mooo.com |
C. | http://mooo.com |
D. | http://mantech.com |
E. | http://23.54.45.113 |
38 | 下列哪项是上述私有云盘网址的连接端口?D |
---|
A. | TCP 80 |
B. | TCP 8080 |
C. | UDP 80 |
D. | TCP 8000 |
E. | TCP 443 |
![image-20230406182900312](https://i-blog.csdnimg.cn/blog_migrate/7b9ab596620bd6ad0ee9a5e949e95669.png)
39 | 下列哪项是Gary第一次浏览该私有云盘网址时,所使用的浏览器?C |
---|
A. | Microsoft Explorer |
B. | Google Chrome |
C. | Mozilla Firefox |
D. | Opera |
E. | QQ 浏览器 |
![image-20230406183014052](https://i-blog.csdnimg.cn/blog_migrate/21b8da69ac785b0f53cb9c02068db739.png)
40 | 下列哪项是Gary第一次浏览该私有云盘网址的日期和时间?B |
---|
A. | 2017-10-29 12:42:09 |
B. | 2017-10-30 12:42:09 |
C. | 2017-10-31 12:42:09 |
D. | 2017-10-30 10:42:09 |
E. | 2017-10-30 11:42:09 |
![image-20230406183040680](https://i-blog.csdnimg.cn/blog_migrate/a9af1b60fa89e7b7d41865e581d481cf.png)
41 | 在上述加密磁区内,存有一个名为”2017-10-30”的文件夹,里面有三张与枪械结构有关的图片,该三张图片是从哪个方法/软件下载?B |
---|
A. | 邮件 |
B. | Firefox |
C. | Chrome |
D. | USB thumb drive |
E. | ftp |
还是那句话,遇事不决全局搜索
![image-20230406193836098](https://i-blog.csdnimg.cn/blog_migrate/91f84e65904bf517b81fe85db8d35ac7.png)
| 42 | Gary的笔记本电脑,曾经下载过一个感染了电脑病毒的文件,名为invoice.zip。该病毒程序文件是什么时候下载? E |
---|
| A. | 2017-10-31 12:26:20 |
| B. | 2017-10-31 12:50:34 |
| C. | 2017-10-31 12:29:55 |
| D. | 2017-10-31 10:52:10 |
| E. | 2017-10-31 12:18:54 |
![image-20230406184622135](https://i-blog.csdnimg.cn/blog_migrate/7b975b6487d560231413c97040fb4e8c.png)
43 | Gary的笔记本电脑,还存有一个感染了电脑病毒的程序文件,名为\User\Gary\Downloads\invoice\dist\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?A |
---|
A. | 2017-10-31 12:26:27 |
B. | 2017-10-31 12:50:34 |
C. | 2017-10-31 12:29:55 |
D. | 2017-10-31 10:52:10 |
E. | 2017-10-31 12:18:54 |
![image-20230406184838342](https://i-blog.csdnimg.cn/blog_migrate/e953d83de3e01d6a3b27ca576d512613.png)
44 | 上述invoice.exe文件伪装成什么格式的软件?A |
---|
A. | pdf |
B. | jpg |
C. | psd |
D. | Docx |
E. | Doc |
![image-20230406185219469](https://i-blog.csdnimg.cn/blog_migrate/151cb91ede89b444ba18974999afbe48.png)
45 | 上述的\User\Gary\Downloads\invoice\dist\invoice.exe文件,最后执行日期/时间(Last Accessed Data/Time) 是什么?B |
---|
A. | 2017-10-31 12:26:27 |
B. | 2017-10-31 12:50:34 |
C. | 2017-10-31 12:29:55 |
D. | 2017-10-31 10:52:10 |
E. | 2017-10-31 12:18:54 |
![image-20230406185327234](https://i-blog.csdnimg.cn/blog_migrate/1a38a07cfe5b6abc0113f11a9dd3c15b.png)
46 | 事实上,Gary的笔记本电脑被电脑病毒感染了,部份文件被加密,当中包括下列哪种文件类型?D |
---|
a. | exe |
b. | gif |
c. | jpg |
d. | psd |
e. | Docx |
f. | Doc |
A. | 只有(a) & (b) |
B. | (a), (b), (d) & (f) |
C. | (b), ©, (d) & (f) |
D. | (b), ©, (e) & (f) |
E. | 以上皆是 |
![image-20230406185459851](https://i-blog.csdnimg.cn/blog_migrate/72ee1a0cb996ab7b00fc7b85fe9b78cf.png)
e和f是肯定有的,其他两个没有见过,所以直接选E
47 | 上述\User\Gary\Downloads\invoice\dist\invoice.exe文件共执行多少?C E |
---|
A. | 1 |
B. | 2 |
C. | 3 |
D. | 4 |
E. | 5 |
![image-20230406190315645](https://i-blog.csdnimg.cn/blog_migrate/89a7cec7d48108483706059385d9b5fe.png)
![image-20230406211542607](https://i-blog.csdnimg.cn/blog_migrate/b3513b87b39686d863cee1537eebf87e.png)
访问和创建也算是运行吗……
48 | 上述\User\Gary\Downloads\invoice\dist\invoice.exe文件是由什么程序编写?D |
---|
A. | LISP |
B. | C++ |
C. | Visual Basic |
D. | Python |
E. | Java |
使用了大量的pyc,并且还导入了python27的dll库……应该是python
![image-20230406190647207](https://i-blog.csdnimg.cn/blog_migrate/87325a2c6cb6e347b355210d8630007c.png)
49 | 上述\User\Gary\Downloads\invoice\dist\invoice.exe文件,执行时会呼叫下列哪个动态连结函式库(Dynamic Linked Library)A |
---|
A. | KERNEL32.DLL |
B. | USER32.DLL |
C. | SHELL32.DLL |
D. | NTDLL.DLL |
E. | SYSTEM32.DLL |
![image-20230406191211873](https://i-blog.csdnimg.cn/blog_migrate/7d17e33c8b00a7d3cd9c909f90e06e59.png)
甚至不用ida,用弘连自带的反编译就可以了。
50 | Gary的笔记本电脑,还存有另一感染了电脑病毒的程序文件,名为\tmp\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?B |
---|
A. | 2017-10-31 12:26:27 |
B. | 2017-10-31 12:50:34 |
C. | 2017-10-31 12:29:55 |
D. | 2017-10-31 10:52:10 |
E. | 2017-10-31 12:18:54 |
![image-20230406191322120](https://i-blog.csdnimg.cn/blog_migrate/a2b3e8ca9c1d22830e4d584ffd8d82e4.png)
51 | 上述两个文件\User\Gary\Downloads\invoice\dist\invoice.exe和 \tmp\invoice.exe是什么关系?B |
---|
A. | 前者是后者的复本 |
B. | 后者是前者的复本 |
C. | 两者MD5不相同 |
D. | 两者元数据(Metadata)相同 |
E. | 两者无关系 |
首先不可能是无关系,然后我比对了一下,两者的元数据也不相同,但确实是同一个文件。因为前者的创建时间比后者早,而且tmp文件夹是用来暂存文件的,所以合理推测后者是前者的复本。
52 | 根据勒索讯息的显示,勒索网址是什么?C |
---|
A. | http://223.17.250.208:6000/C&C/ |
B. | http://223.17.250.208/C&C/ |
C. | http://223.17.250.208:6060/C&C/ |
D. | http://223.17.250.208:80/C&C/ |
E. | http://223.17.250.208:8080/C&C/ |
![image-20230406191720091](https://i-blog.csdnimg.cn/blog_migrate/4a8d3a9e501ca0a10d945ea9215c9a61.png)
53 | 根据勒索讯息的显示,勒索金额是多少钱?B |
---|
A. | $1,000 |
B. | $10,000 |
C. | $20,000 |
D. | $50,000 |
E. | $100,000 |
54 | 根据勒索讯息的显示,下列哪个是与勒索案件有关的比特币钱包?B |
---|
A. | 1KcjhpkowGWh5QYgPx5hYGuzbZpewgBszh |
B. | 1KcjhpknwGWh5QYgPx5hYGuzbZpewgBszh |
C. | 1KcjhpknwGWh5QYgPx5hYGuzbZpewgBzzh |
D. | 1KcjhpknwGWh5QYgPx6hYGuzbZpewgBszh |
E. | 1KcjhpknwGWh6QYgPx5hYGuzbZpewgBszh |
眼镜看得痛……其实选项之间互相比对一下也能排除出正确答案。
| 55 | 执法机关曾在现场对Gary的电脑进行电子法证检验,期间曾撷取与勒索软件相关的屏幕影像,并储存为png格式。下列哪项是其储存位置?D |
---|
| A. | \Users\彼得\Downloads\ |
| B. | \Users\彼得\Desktop\ |
| C. | \Users\Gary\Downloads\ |
| D. | \Users\Gary\Desktop\ |
| E. | \Users\Gary\Documents |
其实就是刚刚那张截图。
补充
后来发现vc容器的秘钥文件就在C盘的根目录下……其实很多题目的秘钥都会放在很显眼的位置,我却光顾着搜索用户目录下的数据,真是大意了(虽然也不影响做题)。
![image-20230406211943906](https://i-blog.csdnimg.cn/blog_migrate/36d83324697c66271fd330007d48efa6.png)
![image-20230406212126909](https://i-blog.csdnimg.cn/blog_migrate/5312e7880165730f6b1ee5c64ca485e6.png)
总结
这次做题本来是想试试盘古石的工具,结果一言难尽……该说是取证大师和弘连用习惯了吗,盘古石的电脑取证用起来真是处处掣肘。其仿真软件甚至连这个单镜像都仿不起来,还是用弘连仿起来的。
题目本身质量还行,难度中等。只不过我从头到尾都严加关注的vc容器对解题其实没有多大帮助,还是让我很意外的。