2021年美亚杯第七届中国电子数据取证团体赛题目详解write up
本人wechat N34939,本内容为我个人解题思路,有不同见解欢迎讨论。
镜像下载链接
链接:https://pan.baidu.com/s/1sfJ5GBdxD7OfB4XvR5IEsg?pwd=ngzs
提取码:ngzs
加密容器解密密码
uR%{)Y’Qz-n3oGU`ZJo@(1ntxp8U1+bW;JlZH^I4%0rxf;[N+eQ)Lolrw&E%,4q1
背景信息
几天后,“大路建设”旗下有一家名为“元材原料”的材料供应子公司,该公司发现几名员工的个人财务资料在网上遭公开发布。为了员工安全,主管决定报警求助。经警方调查发现黑客入侵的手法与“大路建设”的案件十分相似,因此引起调查人员怀疑两起案件有所关联。
经调查后,警方拘捕了“常威”和“特普”两名本地男子,怀疑他们与本案有关。警方在搜查他们的住宅及公司后,扣押了数台数码设备,请分析以下电子数据并重建电子数据痕迹,以确认“常威”和“特普”在本案中是否有违法犯罪,并还原事件经过。
编号 详情
1 工地职员A的办公室
计算机的电子数据
2 工地职员B的办公室
计算机的电子数据
与“元材原料”相关的材料
编号 详情
3 网页服务器的电子数据
与“常威”相关的资料
编号 详情
4 常威的背景资料
5 常威手机的电子数据
6 常威USB设备的电子数据
7 常威Windows计算机的电子数据
8 常威kj的电子数据
9 常威无人机的电子数据
10 常威无人机内存储卡的电子数据
11 常威MAC计算机的电子数据
12 常威LINUX计算机的电子数据
与“特普”相关的资料
编号 详情
13 特普的背景资料
14 特普手机的电子数据
15 特普Windows计算机的电子数据
16 特普Windows计算机存储器
提取的镜像文件
本次比赛共1 个段落, 105 个小题, 总共188分
"美亚杯”第七届中国电子数据取证大赛 团队赛(105个小题, 共188分)
-
[填空题] 工地职员A计算机的修复密钥标识符是什么?(请以大写英文及阿拉伯数字输入答案,不要输入”-“) (1分)
230C1BB3106A4E4EBF5D3D10961585D4
送分题,打开取证大师,找到bitlocker解密选项,对该分区解密的位置自动跳出恢复密钥标记
-
[填空题] 工地职员A计算机的修复密钥解除锁定是什么?(请以数字输入答案,不要输入”-“) (1分)
483714461582060962373351019646502348309628684431
搜索bitlocker,找到和密钥标识符一样的密钥快捷方式。跳转到该文件,并导出查看属性,但是并没有找到解密路径,怀疑密钥文件在别的镜像里,想到个人赛镜像的bitlocker密钥就是在FTP服务器中找到的。再次搜索bitlocker,找到密钥文件。
-
[单选题] 工地职员A的计算机被什么程式加密? (1分)
A. Ransomware
B. BitLocker
C. AxCrypt
D. PGP
E. FileVault 2
送分题,前面两题都问到了。 -
[单选题] 工地职员A的孩子有可能正准备就读什么学校? (2分)
A. 小学
B. 中学
C. 幼儿园
D. 大学
在浏览器中找到了入学相关搜索信息,主要搜索关键词幼儿园
-
[多选题] 工地职员A并没有打开过哪一个档案? (2分)
A. Staff3.xlsx
B. Staff4.xlsx
C. Staff1.xlsx
D. Staff2.xlsx
E. BTC address.bmp
找到了两个文件,如图所示,剩下三个文件没找到。
-
[填空题] 工地职员A的计算机被远程控制了多少分钟?(请以阿拉伯数字回答) (2分)
11
被控制了11分钟零16秒,题目问分钟数,为11分钟
-
[单选题] 工地职员A的计算机被加密后,被要求存入的是什么? (1分)
A.
B. b
C.
D.
搜索关键词得到答案,其余选项,。
-
[填空题] 在工地职员A的计算机曾经打开过的Excel档案中,有多少人有可能在法律部门工作?(请以阿拉伯数字回答) (1分)
22
前面题中看到,打开的文档是Staff1.xlsx,查看该文件。打开文件后,发现主要在post列中会暴露职业信息。其中Legals是法律的意思。用筛选框筛一下,找到一共22个。
-
[多选题] 工地职员 B 的计算机在什么日期和时间被黑客控制? (2分)
A. 2021-10-19
B. 2021-09-16
C. 11:16:41 (UTC +8:00)
D. 05:55:50 (UTC +8:00)
E. 18:40:06 (UTC +8:00)
日期选了A选项,C如果是11:26就对了,感觉C最接近,毕竟是多选题,如果按照取证大师智能取的结果选一个还不对。Teamviewer的被控时间还是18日,严重怀疑取证大师自动取证功能有限,于是手工开始分析,找到了这个日志,如下图所示,这个日志占的空间还挺大的呢,这个证据确凿!
-
[填空题] 工地职员 B 的计算机的MAC Address是什么? (请以大写英文及数字输入答案) (1分)
000C29E2532D
有ip地址记录的就这一个网卡
-
[填空题] 工地职员 B 的计算机用户FaFa的 Profile ID 是什么?(请以大写英文及数字输入答案,不要输入”-“) (1分)
S15211634007002120346002840274508681001
-
[填空题] 工地职员 B 的办公室计算机的 Windows CD Key 是什么?(请以大写英文及数字输入答案,不要输入”-“) (1分)
VK7JGNPHTMC97JM9MPGT3V66T
方法一:使用取证大师注册表解析功能,找到该路径下得到key:
Windows的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform
方法二:计算机仿真进去后,使用ProduKey工具,对其进行自动化获取
-
[单选题] 检查过工地职员 B 的计算机登录档后(Window Registry),计算机感染了什么恶意软件? (2分)
A. Adware
B. Worms
C. Rootkits
D. 没有感染任何恶意软件
仿真起来后,把杀毒软件装上,全盘扫一下,没有恶意软件。 -
[单选题] 工地职员B的计算机中被加密硬盘内的图片”_120778782_58759559.jpg”,有可能是从下列哪个的途径载入计算机? (1分)
A. 电邮下载附件
B. USB盘
C. 网上下载
D. 蓝芽传入
E. Direct-link
在浏览器记录中找到线索
-
[多选题] 工地职员 B 的计算机 中被加密硬盘内的图片中,人物中衣着有什么颜色? (2分)
A. 黄色
B. 红色
C. 紫色
D. 蓝色
E. 绿色
本题主要考bitlocker密钥文件位置,找到密钥即可,之前在ftp服务器中找到仨,猜测还剩下一个应该是,尝试解锁。成功解锁后,发现了图片中人物衣服分别是红色和绿色。
-
[填空题] 工地职员 B 的计算机有多少个磁盘分区?(请以阿拉伯数字输入答案) (1分)
5
五个分区
-
[填空题] 工地职员 B 的计算机硬盘分割表是什么?(答案请以首字母大写作答) (2分)
GPT
个人觉得应该是磁盘分区表,翻译的有问题。使用xways加载该镜像,即可得到结果。
-
[填空题] 在 工地职员 B 的计算机Event Log中最后登入时services.exe的Process ID是什么?(请以阿拉伯数字输入) (3分)
636
审题,工地职工B最后登入时,查看这个时间点是2021年10月19日 11:26:07,找这个时间点附近的日志。讲事件
使用取证大师搜索services.exe找到其日志,导出来分析一下,取证大师自动解析的我个人觉得不是很好看。导出后发现在晚于这个时间点,也有登录日志,用日期来排序,找到最后一个登录的日志。找到登录时间节点在18:39:58是最后一次登录,从日志分析出services.exe的pid号是16进制的0x27c,用计算器转成10进制为636。
- [填空题] 甚么IP曾经上传档案到网页服务器? (请以阿拉伯数字回答,不用输入”.“) (2分)
20314594120
看了一下他的系统盘根目录,发现是windows系统,发现了xampp,感觉应该是用这个搭建的网站。根据经验,找到数据库日志文件Yuen_Choi_Webserver.E01\分区2_本地磁盘[D]:\xampp\apache\logs\access.log,题中说到了上传,搜索关键词upload,找到上传ip。
-
[多选题] 承上题,以下哪试档案曾被上传到网页服务器? (3分)
A. kjk2.jpg
B. kjk2.php
C. b6778k-9.0.php
D. b374k-2.5.php
E. d374k-2.5.php
题目中说的档案应该指的是木马文件,根据上题,找到上传涉及的php代码文件的位置在/www.yuenchoi.com.hk/uploader.php
找到uploader.php源代码,发现上传的目录是他的根目录,找到他的根目录,但是我突然意识到,这个目录下的文件,不代表一定是他上传的,比如说C选项在这个目录中就有,但是日志里却搜索不到。通过搜索日志,只有ABD三个选项的文件.
-
[单选题] 入侵者可能使用甚么漏洞进行入侵网页服务器? (1分)
A. 文件上传漏洞
B. SQL 注入
C. 跨站脚本攻击
D. 格式化字符串弱点
送分题目,根据前两道题得出,是渗透知识常识题。 -
[多选题] 在网页服务器找到的所有文件档(doc 及 docx)中,有以下哪些文件制作人(Author)? (2分)
A. Kevin L. Brown
B. Peter R. Lee
C. Mary
D. May
E. Colin
一共50个文档,打开挨个看。
- [多选题] 在网页服务器中,哪个是可疑档案?它如何取得计算机控制权? (3分)
A. 可疑档案: b6778k-9.0.php
B. 可疑档案: b374k-2.5.php
C. 可疑档案: upload.php
D. 透过浏览器远程管理取得计算机控制权
E. 透过PuTTY(远程登录工具) 取得计算机控制权
B374k是个很有名的大马,看看源代码也能看出来,大马是有web端的操作界面,搭一下环境,看看大马界面,所以应该是透过浏览器远程管理取得计算机控制权。
-
[填空题] 在网页服务器中,运行可疑档案需要密码,其密码的哈希值(Hash Value)是甚么? (请以英文全大写及阿拉伯数字回答) (3分)
0DE664ECD2BE02CDD54234A0D1229B43
-
[单选题] 在网页服务器中,可疑档案的译码函数是甚么? (2分)
A. unzip_file(‘ x , x, x,y’)
B. gzdecode (base64_decode( x ) ) ∗ ∗ C . g z i n f l a t e ( b a s e 6 4 d e c o d e ( x)) **C. gzinflate(base64_decode( x))∗∗C.gzinflate(base64decode(x))**
D. 以上皆否
在木马源代码里
- [填空题] 解压后的脚本档的档案大小是多少? (请以字节及阿拉伯数字回答) (3分)
109041
把下面的密文,进行转化,我写了个php的解密脚本,php源代码如图所示,python也能解,python版请私信作者綦乃正,解好的脚本大小为109041字节。
- [多选题] 解压后的脚本文件内有甚么功能? (3分)
A. 编辑文件
B. 删除文件
C. 更改用户密码
D. 加密文件
E. 重新命名文件
访问一下木马文件,ABE的功能都支持,CD选项如果通过执行命令,也可以实现。
- [单选题] 解压后的脚本含有压缩功能,当中使用的解压方法是甚么? (2分)
A. PclZip.php
B. Unzip_gz()
C. ZipArchive()
D. 以上皆否
- [多选题] 特普的电话中一张于2021年09月30日 10:45:12拍摄的相片包含以下哪些字? (1分)
A. 精忠
B. 报国
C. 忠诚
D. 勇毅
本题特普电话中的图片非常多,一共八千多张,按照时间线来进行查找,注意题干,找到这个时间点2021年09月30日 10:45:12,访问草料二维码解码器,找到题解“忠诚勇毅”。
- [多选题] 特普的电话中的whatsapp账号85268421495@s.whatsapp.net中,有哪些其他人的WhatsApp用户数据记录? ) (2分)
A. 85222117188@s.whatsapp.net
B. 85289853825@s.whatsapp.net
C. 85264795287@s.whatsapp.net
D. 85231882226@s.whatsapp.net
联系人选择WhatsApp,找到相关联系人方式,发现这三个人的信息是一样的,转到其数据库进行查看,找到了AC选项。
-
[单选题] 特普电话的热点分享密码是什么? (1分)
A. 12345678
B. 69447401bceb
C. Jioijo4542554
D. Dak Pou Home
在提取信息摘要界面能找到
-
[多选题] 特普于经纬度22.278843, 114.165783,没有做什么? (2分)
A. 拍影片
B. 拍照
C. 使用google map
D. 在Whatsapp中分享实时位置
在这个位置,他只进行了拍照,所以选择ACD。
-
[多选题] 特普于电话中安装了一个可疑软件(版本为2020033001),跟据该可疑软件的安装档,下列哪项描述正确? (2分)
A. 软件名称是安全防护
B. 软件名称是安心回家
C. 软件签名(signAlgorithm)以 SHA512withRSA加密
D. 封包名称(packageName)是org.chromium.webapk.a5b80edf82b436506_v2
搜索关键词为版本号信息,没有直接找到软件路径,找到了标识符为www.icthna.net,搜索该标识符,找到apk位置,
userdata (ExtX)/Root/app/www.icthna.net-1/base.apk
导出来,进行分析,使用奇安信星源APP分析,得到AC选项,最后一章截图做了标记。
- [多选题] 特普于电话中安装了一个可疑软件(版本为2020033001),跟据该可疑软件的安装档,可疑软件中涉及以下安全许可? (2分)
A. android.permission.READ_SMS读取短信内容
B. android.permission.SEND_SMS发送短信
C. android.permission.READ_CONTACTS读取联系人
D. android.permission.BLUETOOTH使用蓝牙
E. android.permission.CLEAR_APP_CACHE清除应用缓存
使用奇安信星源APP分析平台,权限信息获得ABC选项答案。
- [填空题] 特普可能在电话中被可疑软件窃取了的验证码是什么? (请以英文全大写及阿拉伯数字回答) (2分)
113476
分析软件,它主要窃取的是银行系列的短信验证码,发现第一个就是中信银行,查看短信验证码,找到中信银行。
- [填空题] 特普的计算机可能中了病毒,病毒的加壳(Packing)方法是甚么? (请以英文全大写作答) (2分)
UPX
计算机病毒分析题,找到病毒文件在DaK Pou\Dak Pou Windows\VTM-computer.e01\分区2_本地磁盘[D]:\Users\user\Downloads\malware.exe后,导入测试检测病毒的虚拟机中分析,使用PEID查到加的是UPX壳。
- [单选题] 特普的计算机可能中了病毒,病毒的编译工具是甚么? (2分)
A. GCC
B. Borland
C. TCC
D. Microsoft Visual C/C++
同上题方法,用脱壳工具脱壳,使用PEID查到编译的工具是D选项
-
[填空题] 特普的计算机可能中了病毒,病毒的编译者使用可能使用的账户名称是甚么? (请以英文全大写作答) (3分)
GPGF
使用ida pro对已经脱壳的程序进行分析,找到病毒编译者使用的路径,找到他的账户名称。
-
[单选题] 特普的计算机可能中了病毒,病毒的自我复制位置是甚么? (2分)
A. C:\Temp\temp.txt
B. C:\Users<profile>\Desktop\malware.exe
C. C:\Users\public\malware.exe
D. C:\a.txt
使用火绒剑/Process Monitor对其进行抓取。
通过后面的字符串格式 %s%c%s%c%s%s%c%c%c%c%s%c%c 并配合前面的push 堆栈指令,可以得出完整的目标路径c:\users\public\malware.exe
- [单选题] 特普的计算机可能中了病毒,病毒的修改登录文件位置是甚么? (3分)
A. HKLM\Software\Microsoft\Windows\CurrentVersion\Run
B. HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
C. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
D. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\Background
使用ida pro进行分析找到。
-
[多选题] 特普的计算机可能中了病毒,病毒留下了ASCII ART(ASCII艺术, 文字图),以下哪个不是病毒留下? (3分)
A. HI
B. HELLO
C. HOW ARE YOU
D. GOODBYE
使用ida pro进行逆向分析,只获得了HELLO的艺术文字图。
-
[单选题] 特普的计算机可能中了病毒,病毒扰乱文件目标文件名是甚么? (2分)
A. C:\Users<profile>\Documents\target.txt
B. C:\Users<profile>\Desktop\target.txt
C. C:\c.txt
D. C:\temp.txt
使用逆向分析工具ida pro 找到该文件。
-
[单选题] 特普的计算机可能中了病毒,病毒扰乱文件方法是甚么? (3分)
A. + 3
B. XOR 5
C. + 4
D. – 4
使用ida pro逆向分析得到。
-
[填空题] 特普的计算机中,哪一个是 FTK Imager.exe 的程式编号(PID)? (请阿拉伯数字回答) (1分)
6136
使用volatility进行分析,先使用imageinfo查看镜像相关信息,找到是win10的32位操作系统。
- [多选题] 特普的计算机中,cmd.exe (PID: 4496) 它的执行日期及时间是? (1分)
A. 2021-10-17
B. 2021-10-18
C. 2021-10-19
D. 10:42:51
E. 10:43:09
F. 10:43:25
-
[填空题] 特普的计算机曾经以FTP 对外.“)连接,连接的IP是? (请以阿拉伯数字回答,不用输入".") (2分)
2320014282
这道题出现在内存题目中,第一反应使用netscan命令,对其连接的网络信息进行扫描,但是在这里无法找到确凿证据说明是ftp连接。前往计算机镜像进行查找。
-
[多选题] 特普的计算机中,以下哪一个指令于上述连接中有使用过? (3分)
A. get
B. put
C. delete
D. bye
E. quit
没有确凿证据,结合ftp命令猜测答案。
-
[多选题] 在Linux 的"Volatility" 中,哪一个指令可以知道此程式支持哪一个Windows 版本? (2分)
A. vol.py --profile
B. vol.py --systeminfo
C. vol.py --info
D. vol.py --verinfo
经过在linux系统里尝试,只有C选项支持。
- [填空题] 常威手机中的Telegram有可能是在2021年9月24日12时44分58秒 (UTC +8) 首次下载的。(请以阿拉伯数字输入答案) (2分)
选择安装的应用程序,找到telegram的时间。
-
[填空题] 常威手机曾经连接的无人机名称是什么?(请以英文全大写及阿拉伯数字回答) (1分)
SSPARK
在设备位置里,找到DJI Go的相关信息,得到无人机名称是SSPARK。
-
[填空题] 常威手机中,档案“dji1633936161416.mp4”的解像度是 ________________ (例如是1920 x 1280,请输入 19201280)。 (1分)
1280720
搜索该视频,很容易就找到了,但是cellebrite不太友好,居然没有视频分辨率,导出后再查看详细信息,得到分辨率信息。
-
[填空题] 常威手机中,发现于网络上下载的软件“安心出行”安装档的哈希值(MD5)是?(请以英文全大写及阿拉伯数字回答) (2分)
81c342665d9a8d4d02b0fbb7033167b5
找到安装的“安心出行”软件,直接搜索安心出行找不到它的安装包,搜索他的标识符,找到该app。
- [多选题] 常威手机中执行软件“安心出行”(版本2.1.3)中涉及以下安全许可? (2分)
A. android.permission.ACCESS_WIFI_STATE 获取WiFi状态
B. android.permission.BATTERY_STATS电量统计
C. android.permission.VIBRATE使用振动
D. android.permission.CONTROL_LOCATION_UPDATES控制定位更新
E. android.permission.CAMERA拍照权限
使用奇安信盘古石星源APP溯源分析系统,把安装包丢进去即可进行分析,找到权限信息。
-
[多选题] 常威手机中软件“安心出行”(版本2.1.3)的安装档(.apk)中,哪个不是它的签名算法? (3分)
A. MD5withRSA
B. SHA256withRSA
C. SHA256withDSA
D. MD5withDSA
使用盘古石星源APP溯源分析系统,找到签名算法。
-
[多选题] 于常威的手机中执行软件“安心出行”(版本1)可能会连接至哪一个网站? (2分)
A. https://back-home-****.pages.dev
B. org.chromium..a5b80edf82b436506
C. org.chromium..a5b80edf82b436506_v2
D. https://back-home-****.pages.dev/manifest.json
此题不会,方法正常是抓包和分析源代码。 -
[单选题] 在常威苹果手提计算机, 用户开机密码是什么 ?(提示:常威 USB 设备中可能有相关数据) (3分)
A. Csthegoa***
B. Draw**fgdf
C. Cokkfiddd
D. Appis*won
本题正向的解题思路不太会,把答案带进去搜索,根据提示,在常威的USB设备中查找。
使用取证大师,加载镜像后,使用格式化恢复,参考美亚公众号官方解析方法。跳转到源文件,找到该文件并打开后,找到密码为cpisthegoat。
-
[填空题] 在常威U 盘内有多少磁盘分隔区 ? (请以阿拉伯数字回答) (2分)
4
使用xways打开常威U盘镜像进行分析,得到。
-
[填空题] 在常威U 盘内有多少份excel 文件 ? (请以阿拉伯数字回答) (1分)
1
使用美亚恢复大师对其进行分析,正常文件只有一个excel表格。
-
[填空题] 在常威U 盘内, 内含有多少个客户数据 ? (请以阿拉伯数字回答) (1分)
50
使用取证大师,加载镜像后,使用格式化恢复,参考美亚公众号官方解析方法。拉到最底下,是50个人。
-
[多选题] 以下哪个客户数据储存在常威U 盘内 ? (3分)
A. jmuat1@reference.com
B. cgeraudg@forbes.com
C. cwarmishamo@admin.ch
D. abddfdf@google.com
E. alex1234@apple.com
打开该文件进行搜索,只有DE搜不到
-
[单选题] 常威MAC计算机上一个系统版本是甚么及现正运行哪一个版本的系统? (3分)
A. MacOS 10.11.6 and MacOS 11.6
B. MacOS 10.11.5 and MacOS 11.5
C. MacOS 10.11.4 and MacOS 11.6
D. 以上皆非
MAC一定要用Arsenal Image Mounter,我第一次尝试用mount image进行挂载,但是失败了,本方法参考天宇宁达郭永健老师。挂载后使用取证大师进行取证分析,自动取证得到系统版本。
系统版本信息: Preboot\root\4A14282D-8DC8-3473-BB07-F12364604073\System\Library\CoreServices\systemVersion.plist
历史版本信息:分区1[apfsb0]\Chris - Data\root\private\var\db\PreviousSystemVersion.plist
应用历史安装记录:分区1[apfsb0]:\Chris - Data:\root\Library\Receipts\InstallHistory.plist
-
[多选题] 常威MAC计算机的系统事件纪录内哪个卷标(Flag)是关于储存档案于计算机? (3分)
A. Created
B. InodeMetaMod
C. FinderInfoChanged
D. IsDirectory
E. OwnerChanged
Mac电脑的OSX FSEvents flag知识,理论题目,选择ABCE -
[多选题] 常威MAC计算机曾连接哪一个无线网络SSID? (2分)
A. wai wifi
B. wanchainew1
C. central2
D. Hongkong1
使用取证大师,查看钥匙串,找到wifi连接信息。
-
[单选题] 常威MAC计算机的使用者甚么时候将”隔空投送”(airdrop)转换至任何人模式? (2分)
A. 2021-10-21 16:52:48 (UTC +8)
B. 2021-10-21 18:52:48 (UTC +8)
C. 2021-10-21 06:52:48 (UTC +8)
D. 2021-10-21 08:52:48 (UTC +8)
macOS Sierra (10.12) 引入了一种新的日志记录机制,称为统一日志 (unified log)记录
\private\var\db\diagnostics存放主要日志文件
\private\var\db\uuidtext存放主要日志文件引用的日志文件
[apfsb0]:\Chris - Data:\root\Users\chrispaul\Library\Preferences\com.apple.sharingd.plist
需要使用AXIOM软件进行解析,先使用取证大师制作镜像
65.[填空题] 常威MAC计算机的APFS储存容器的文件签名是NXSB,偏移值为32(例如NTFS及64,请输入 NTFS64)。 (2分)
文件系统知识题
-
[单选题] 常威MAC计算机的镜像档案内,总共有多少个系统默认的卷标? (1分)
A. 4
B. 5
C. 6
D. 7
-
[填空题] 常威MAC计算机的使用者上一次关闭浏览器时,正在浏览多少个网页? (请以阿拉伯数字回答) (3分)
10
-
[多选题] 常威MAC计算机中以下哪个档案并不是iPhone所拍摄的图片? (2分)
A. IMG_0002
B. IMG_0003
C. IMG_0004
D. IMG_0005
E. IMG_0006
在MAC计算机上找到了BCE选项,所以选择AD选项。
-
[多选题]
-
[填空题]
题目中说的显示适配器应该指的是显卡GPU,在上题中的日志文件中找到有2个。
-
[单选题] 在常威, OS 操作系统是什么版本 ? (1分)
A. 5.4.0 *******
B. 6.0.1 *****
C. 7.0.2 *****
D. 10.0.2***
E. 15.1.2*****
方法一:仿真成功后,输入命令 uname -a即可得到结果。
方法二:使用xways查看该镜像里的内容,在linux配置文件里找。
-
[多选题] 在常威中, 哪个不是收取jk收益的钱包地址 ? (1分)
A. 0xE365625f4537151304ceba7C7D9dF0C7E829
B. 0xe68de863f4c3c3cc0191b9cefdae91b3e6fbd8**
C. 0x00000000897f4136b4a59731680a88f895303
D. 0x7335c20f9533d9cc825e2a6e80821fd44e27f8
E. 0x00**000089705f4136b4a59731680a88f895303****
搜索关键词wallet,找到钱包地址为A选项,所以选择BCDE
-
[单选题] 在常威中, 用于登入密码是什么 ? (2分)
A. eg97emwm**
B. Deg97emwm
C. feg97emwm
D. eeg97emwm
E. heg97emwm
在rig.conf文件里,导出来,详细查看,找到密码,选项里应该少了个1,其他都能对得上,选择A。
-
[填空题] 在常威中,用于Nvidia显示适配器所使用的驱动程式使用什么版本?(请以英文全大写及阿拉伯数字回答) (1分)
4609103
/usr/share/nvidia/nvidia-application-profiles-460.91.03-rc
-
[多选题] 在常威中, 用于显示适配器型号包括什么? (2分)
A. GeForce RTX 3060
B. Quadro P2000
C. RX 6600
D. GeForce GTX 1660 Ti
E. GeForce GTX 3070
送分题,截图同70题 -
[多选题] 在常威矿机, 哪一天没有进行掘矿? (2分)
A. 2021-10-06
B. 2021-10-09
C. 2021-10-15
D. 2021-10-17
E. 2021-10-18
日志从头拉到尾,只有2021年10月6日。
77.[填空题] 常威的无人机中的飞航纪录FLY096.DAT可见到于2021年10月11日1505时的GPS地点。(请以英文全大写及阿拉伯数字回答) (1分)
根据时间线找到分行纪录文件为FLY096.DAT
-
[单选题] 常威的无人机于2021年10月11日15:07:51时之间所在的地点是什么? (1分)
A. 22.269299, 114.200486
B. 22.269353, 114.287267
C. 22.346855, 114.289552
D. 22.269293, 114.201278
在这一秒钟,有三个位置,答案都没有,感觉D最接近。
-
[填空题] 常威的无人机哪一个档案有最后降落时间的数据(请以英文全大写及阿拉伯数字回答,不用输入".")? (1分)
FLT096DAT
拉到最底下,找到结果。 无人机几道题没有多少难度,都是看时间线分析出结果的。
-
[多选题] 常威的手机中哪一个是由常威的无人机于2021年10月11日所拍摄的图像文件? (2分)
A. Containers 货柜
B. Buildings 大厦
C. bicycle 单车
D. Mountain 山
从位置里找到无人机,再通过路径找到可能存储的位置,分别看到了山、货柜、大厦。
-
[填空题] 常威的手机中显示常威的无人机DJI GO 4的版本是4.3.37?(请以阿拉伯数字回答) (1分)
从位置跳转到安装程序信息,找到无人机系统版本。
-
[多选题] 常威的手机中所安装的DJI GO 4 软件中,以下哪个database没有显示临时禁飞区? (2分)
A. Filesflysafe_app.db
B. Special_warning.db
C. Flysafe_app_dynamic_areas.db
D. Flysafe_polygon_1860.db
搜索找到数据库Flysafe_app_dynamic_areas.db显示了禁飞区,Special_warning.db数据库是空的。
- [填空题] 常威的手机中在Localappstate.db可知道DJI GO 4 的登入电子邮件(请以英文全大写及阿拉伯数字回答) (1分)
正常存储这个信息应该在app的数据库里,从APP找到跳转的路径。
Image16 (ExtX)/Root/data/com.android.vending/databases/localappstate.db
找到该数据库,得到邮箱。
- [填空题] 常威的手机中在flysafe_app_dynamic_areas.db包含了名为server_timestamp 的资料(请以英文全大写及阿拉伯数字回答) (1分)
和82题相关联,见过这个数据库,查看这个数据库。
- [单选题] 常威利用Windows 计算机中的VM Kali进行攻击和收取受害人电话的数据,请找出常威的VM存放地址 (2分)
A. Users\Chris Paul\Desktop\安全防护Malware\Kali-Linux-2020.2a-amd64_2.vmwarevm
B. \Users\Chris Paul\Desktop\安全防护 Malware Demo\Kali-Linux-2020.2a-amd64_2.vmwarevm
C. \Users\Chris Paul\Documents\安全防护 Malware \Kali-Linux-2020.2a-amd64_2.vmwarevm
D. \Users\Chris Paul\Documents\Virtual Machines
搜索关键词vmdk,找到该文件,跳转到源文件,找到文件路径。
- [单选题] 常威在收集数据后储存数据于Windows 计算机一个名为"text2.txt"的档案中,随后他将档案移往"\home\kali\Desktop\project"中, 下述哪个档案可以证明这一点? i) \root.bash_history ii) \home\kali.bash_history (3分)
A. 只有 i
B. 只有ii
C. 两个也可以
D. 两个也不可以
看kali系统里的数据,将kali的文件导出来,再当做计算机的检材做取证分析。
取证分析找到这两个文件,在\home\kali.bash_history找到了text2.txt文件的痕迹但是证明不了是从windows移动过去的,都没有相关证据。
- [单选题] 常威Windows计算机中哪一个程式/档案有可能用作收取受害人电话上的数据? (3分)
A. \home\kali\Desktop\server_express_ok.js
B. \home\kali\Desktop\baddish\package.json
C. \home\kali\Desktop\baddish\server.js
D. \home\kali\Desktop\server.js
找到这些文件,根据86题中的linux历史找到相关证据。
- [多选题] 常威Windows计算机中显示常威第一次偷取受害人电话数据有机会是在哪一个日子及时间登入 Kali 系统? (2分)
A. 2021-09-27
B. 2021-09-29
C. 2021-09-29
D. 11:42:47
E. 16:04:24
F. 16:30:04
Win10时间轴找到时间线索,发现了虚拟机运行的大概时间,使用奇安信盘古石仿真该kali虚拟机,成功将密码修改为123456,并成功开机,输入last命令,题目没有明说具体的的UTC时间,我个人理解,找到最接近的时间。Kali里的时间应该是utc+0,而答案选项是UTC+8。
- [多选题] 常威Windows计算机中以下哪一个檔案的哈希值(MD5)能证明常威曾开启存有客户数据的档案? (2分)
A. 0ED1DB00F8598AD3C6B331BF0C477AD4
B. 1E1BDB083F66251A63B79DEA3801E6E9
C. 575326396E31040FE2E13BE42C55C3E2
D. 3128604B4A9EC1D37418942555F6B08A
E. FB5EF33EDEA8ECB5BF07C5DF5332D29F
在自动取证中找到最近打开的文档找到该文件,由于开启过,联想到了快捷方式,尝试搜索关键词“客戶資料.lnk”,哈希值计算这两个文件,得到结果。
- [单选题] 常威 Windows 计算机中,哪一个档案可以找到USB装置初次连接的时间? (1分)
A. C:\Windows\setupapi.log
B. C:\Windows\setupapi.setup.log
C. C:\Windows\INF\setupapi.setup.log
D. C:\Windows\INF\setupapi.dev.log
Windows取证理论题了,也可以根据选项打开找到该文件进行验证。
- [单选题] 常威 Windows 计算机接驳了一个3D 打印机,以下哪一个哈希值是属于上述打印机的驱动程式文件中的安装信息文件(INF檔)? (提示:关键词包含CH341) (3分)
A. 1348FA389561770D7C3E63545BC
B. DBC4F08F835FF95420B352B506A
C. 35E7C67A652611EDE19C37241C5
D. BAE3BE76CC1****31EB562ABAFE28DE
根据题目中的提示,关键词包含CH341,又是一个外接的打印机,和上题日志文件相关联,搜索日志找到该inf后缀文件路径。
-
[填空题] 续上题,上述安装信息文件的版本日期是什么? (请以阿拉伯数字,及以下格式回答,例: 2019年3月4日,请回答20190304) (1分)
20190130
在刚才的日志里找到时间信息
-
[多选题] 常威Windows计算机安装了一些与3D 打印机有关的软件,有可能是以下哪个? (1分)
A. Ultimaker Cura
B. 3DPrinterOS
C. Simplify3D
D. Creality Slicer
根据题目给的选项往回找即可。
- [单选题] 续上题,哪一个档案记录了切片软件Creality Slicer曾经开启的3d立体模块(.stl)纪录? (1分)
A. \Users\Chris Paul\AppData\Roaming\Creality Slicer\stderr.log
B. \Users\Chris Paul\AppData\Roaming\Creality Slicer\stdout.log
C. \Users\Chris Paul\AppData\Roaming\Creality Slicer\4.8\Creality Slicer.cfg
D. \Users\Chris Paul\AppData\Roaming\Creality Slicer\4.8\Creality Slicer.log
这几个题都非常友好,给出了具体的日志路径,去到路径找即可。
- [多选题] 续上题,哪一个3d立体模块(.stl)曾用切片软件Creality Slicer开启? (2分)
A. clip_sideb.stl
B. frame.stl
C. trigger.stl
D. hand_guard.stl
用notepad++进行全文查找并列举,得到clip_spring.stl和frame.stl。
- [填空题] 哪一个是Wai_Linux1.E01 鉴证映像中Linux LVM 磁盘分区的长度? (请以阿拉伯数字回答) (1分)
233388976
方法一:使用xways加载镜像,打开分区2,得到Linux LVM磁盘分区长度。
方法二:使用奇安信盘古石仿真,成功仿真并重置密码,仿真成功后,发现是kali系统。打开后,找到命令行,输入命令fdisk -l得到。
- [填空题] 常威 LINUX 计算机安装在逻辑卷管理(Logical Volume Manager)的磁盘分区上, 哪一个是卷组(Volume group) 的通用唯一标识符(UUID)? (请以英文全大写及阿拉伯数字回答,不用输入”-“) (1分)
FEKVK3TY1TLUIR2G8IYQ3MVNRVUVZOSL
方法一:使用奇安信盘古石仿真后,输入命令vgdisplay
方法二:取证大师解析获得
- [多选题] 续上题,哪一个是逻辑卷(Logical Volume )设定的名字? (2分)
A. swap
B. root
C. var
D. home
方法一:使用lvdisplay命令,找到这三个逻辑卷名字。
方法二:取证大师看证据文件。
- [单选题] 常威 LINUX 计算机曾试用wk程式"T-Rex",在相关脚本(script)中哪一个是工人(worker)的名称? (1分)
A. stratum
B. rig0
C. ethash
D. E365625f402537151304ceba7C7D9dF0C7E82986
搜索题目中给的关键词“t-rex”,跳转到源文件,找到可疑rig0和选项相关,导出打开看看。
- [填空题] LINUX 系统中利用fdisk 指令下,下列哪一个是 "exFAT"的磁盘分区类型编号(Partition type id)? (请以英文全大写及阿拉伯数字回答) (1分)
7
这道题与本镜像无关,考的是exfat文件系统的Partition type id,本镜像没有exfat分区,考核这个理论知识点,答案是7。
-
[单选题] 在Linux 的环境下,以下哪一个指令用于激活扫描到的卷组(Volume group) (1分)
A. vgscan
B. vgchange
C. vgdisplay
D. vgactive
每个都用 --help命令查一下,找到只有vgchange有这个功能
-
[单选题] 在Linux 的环境下,下列哪一个指令可以删除内有档案的文件夹? (1分)
A. rm -d
B. rm -r
C. rm -rd
D. rm -rf
理论题,常识题。 -
[填空题] 常威 LINUX 计算机逻辑滚动条 (Logical Volume) 路径“vg/home”使用了甚么系统建立? (请以英文全大写回答) (2分)
KALI
使用lvdisplay命令
-
[填空题] 常威 LINUX 计算机逻辑滚动条 (Logical Volume) 路径 “vg/root” 的Current LE是什么? (请以阿拉伯数字回答) (1分)
5120
使用lvdisplay命令
105.[填空题] 常威 LINUX 计算机扇区群组 (Volume group)的Total PE是甚么? (请以阿拉伯数字回答) (1分)
43752
使用vgdisplay命令