2019年美亚杯电子数据取证大赛-个人赛

资格赛 - 案情介绍

1. 何源是一名25 岁的客服人员，在一间电讯公司工作。某日，何源在用 iPhone 手机在政府建筑物中偷拍车牌期间被警员截停，盘问期间警员检查手机相册发现多张车牌图片，何源情绪紧张，趁警员不被，抢过手机丢入车流，被完全损毁。行为十分可疑，警方于是展开调查。审讯期间何源承认利用自己职权的便利，登入公司储存客户数据的服务器，非法取得一些政府人员的个人资 料，例如姓名，车牌号码，电话等等，再将这些数据出售。

2.警方检获何源个人计算机，以及何源公司计算机（由于何的公司不允许警方检取整台计算机, 人员只能取得内存数据档案(memory image) 以作分析)。现你被委派对何的计算机进行电子数据取证，还原事件经过。

HE_Company_Windows_RAM\memdump.mem	何源的公司计算机内存镜像
HE_Home_Windows\Win2\Win2.E01	何源的个人计算机镜像

1 何源的个人计算机硬盘已成功被取证并制作成镜像（Forensic Image），下列哪个是镜像的 SHA1 哈希值？

A. 6891d022c7e6fe81dc8ba2160e1ab610891596d3

B. 3e57817ea6263bc2c696a3455cc96381

C. ed43de631a56dd2c8bac4abbd3882c86

D. dd32beac5ef2cd1cac06bdd8b5e88cbc4eb94de9

E. 48a45c39da458f3cadd92017e0247454dc8bff66

前文中已经提到了何源的计算机镜像为Win2.E01,使用取证大师以及火眼取证进行分析；在使用取证大师进行分析的时候发现存在三个卷影快照；使用取证大师计算SHA1哈希值，千万看好了！SHA1

2 在何源的个人计算机中，硬盘中包含哪个操作系统（Operating System）？

A. Windows 7

B. FAT32

C. Windows 10

D. Kali Linux

E. NTFS

这里问到的是操作系统，还是看上面的图即可；

3 何源个人计算机的文件系统(File System)是什么？

A. FAT16

B. FAT32

C. Windows 7

D. NTFS

E. Windows 10

4 在何源的个人计算机中，你能找到操作系统分区的总容量吗 (单位：字节 byte)？

A. 492,083,081,216

B. 105,685,986,874

C. 386,908,999,680

D. 105,174,081,536

E. 492,594,986,554

题目问：操作系统的分区的总量是多少？之前在看美亚杯的培训的时候，记得老师曾经讲到过如何找到系统分区？

（看看各个本地磁盘中的文件，进行判断）

因此这里我就判断出分区5，进而去计算分区5的总容量，根据上面的截图得到扇区数为961099776，每个扇区多少字节呢？（记得美亚的老师也讲到过，学艺不精！一般来说都是512Byte，当然也可以去看看文件的大小，这是一种不太恰当的方式）

因此我这里就用了512*961099776 = 492,083,085,312（找了与结果比较相近的答案）

观看了美亚杯的复盘：正确的解法如下：

首先在取证大师中，右击分区5->挂载为本地磁盘

之后在磁盘管理器中，找到挂载的磁盘，查看对应的属性：

5 在何源的个人计算机中，操作系统分区的$Bitmap 的起始物理扇区位置(Physical Sector Number)是多少？

 A. 5,683,328

B. 6,170,040

C. 7,026,176

D. 8,498,304

E. 9,168,216

思路就是在分区5中寻找$Bitmap，之后便是查看对应的物理扇区的位置；

6 在何源的个人计算机中，请问操作系统的安装日期是？ （答案格式 －“世界协调时间＂：YYYY-MM-DD HH:MM UTC）

A. 2019-10-16 04:44 UTC

B. 2019-10-17 16:25 UTC

C. 2019-10-16 10:12 UTC

D. 2019-10-18 02:13 UTC

E. 2019-10-18 09:14 UTC

镜像中的时区信息其实是UTC+8，当然之后还有这个题目，因此我们要在找到的时间的基础上，减去8小时；

7 在何源的个人计算机中，每个扇区(Sector)包含多少个字节？（单位: byte）

A. 512 bytes

B. 1024 bytes

C. 2048 bytes

D. 4096 bytes

E. 8192 bytes

8 在何源的个人计算机中，操作系统的时区是哪个时区？

A. Eastern Standard Time (GMT-05:00) : US and Canada

B. Pacific Standard Time (GMT-08:00): Tijuana

C. Korea Standard Time (GMT+09:00): Seoul

D. GMT Standard Time (GMT): Dublin, Edinburgh, Lisbon, London

E. China Standard Time (GMT+08:00): Beijing, Chongqing, Hong Kong, Shanghai

9 在何源个人计算机的操作系统中，下列哪个是计算机的主机名?

A. DESKTOP-JW47K02

B. HEYuan-WIN1

C. HEYuan-WIN2

D. DESKTOP-SM22M96

E. DESKTOP-WE23K24

10 在何源的个人计算机中，以下哪一个是用户“He Yuan”的 SID？

A. S-1-5-21-1551135561-2581751248-1803739423-1001

B. S-1-5-21-1551135561-2581751248-1803739423-1000

C. S-1-5-21-1551135561-2581751248-1803739423-500

D. S-1-5-21-1551135561-2581751248-1803739423-501

E. None

这里的可以看到SID基本上分为两类：第一类就是500左右的（代表着这个用户是一个管理员级别的用户）

第二类是1000左右的（代表着这个用户是一个普通级别的用户）

11 在何源的个人计算机中，下列哪个 USB 移动储存装置 (U 盘)曾被分配为‘E’磁盘分区代号(Drive Letter) ?

A. Kingston DataTraveler 3.0 USB Device

B. SanDisk Transcend USB Device

C. Samsung Portable SSD USB Device

D. WD My Passport 3.0 USB Device

E. Seagate Flash Disk USB Device

（题目有问题，答案选的A）这个题目有点点离谱，下面是我找到的USB 移动储存装置 (U 盘)曾被分配为‘E’磁盘分区：

12 在何源的个人计算机中，用户“He Yuan”曾经在挂载为“E”盘的 USB 移动储存装置中访问过一些文件/文件 夹，以下哪一个不是？

A. E:\美国恐怖故事

B. E:\New Text Document.txt

C. E:\CONFIDENTIAL.doc

D. E:\PycharmProjects

E. A,B,C,D

13 在何源的个人计算机中，用户“He Yuan”最近在本机上访问过一些文件，以下哪一个不是？

A. Sample Project Plan.doc

B. URGENT.doc

C. connect.py

D. 美国恐怖故事 01.mp4

E. Comprehensive-Minute-Template.doc

这个题目直接搜索即可；

14 在何源的个人计算机中，以下哪一个是程序“VERACRYPT.EXE”的运行次数？

A. 1

B. 2

C. 3

D. 4

E. 6

直接进行搜索，之后便是在搜索结果中查找“应用程序运行痕迹”->得到运行次数为3；

15 在何源的个人计算机中，在程序“VERACRYPT.EXE”运行时，以下哪个 dll 文件并没有同时被加载？

A. COMDLG32.DLL

B. CRYPT32.DLL

C. SECUR32.DLL

D. CRYPTSP.DLL

E. ENCRYPT.DLL

这个题目要使用WinPrefectchView，找到VC，在下面查找它对应运行的时候，所涉及到的所有的dll文件；

通过寻找是可以找到VC在启动的时候，加载的动态链接库的，其中没有选项E

16 在何源的个人计算机中，用户“He Yuan”的桌面墙纸（Wall paper）背景是什么颜色？

A. 黑色

B. 灰色

C. 蓝色

D. 红色

E. 绿色

通过火眼仿真软件，进行仿真，之后开机发现墙纸的颜色为蓝色；

17 在何源的个人计算机中，以下哪个文件在电脑 power off 的时候仍然拥有内存的内容? 此文件具有与电脑内存 （RAM）相似的大小并保存在根目录。

A. WIN386.SWP

B. HIBERFIL.sys

C. PAGEFILE.SYS

D. NTUSER.DAT

E. SWAPFILE.SYS

这个题当时没有做出来，后来看了大佬的wp：（小知识！记住！）

18 在何源的个人计算机中，以下哪个 database 文件存有此操作系统的 timeline 痕迹？

A. SRUDB.dat

B. Windows.edb

C. Spartan.edb

D. ActivitiesCache.db

E. Thumbs.db

这个题目我还是进行了百度，发现ActivitiesCache.db文件存放时间线信息；

正确的解法如下：

自win10之后就加入了时间轴，因此我们可以在取证大师中查看win10的时间轴：

随便找到一个，直接跳转到源文件，看看他是从哪里来的：

19 在何源的个人计算机中，曾被分配过的 ip 地址是？

A. 147.8.177.224

B. 147.10.188.23

C. 192.168.0.110

D. 10.12.9.214

E. 192.168.1.2

查看网络配置中的“网络连接”：

20 在何源的个人计算机中，用户”Administrator”的 Internet Explorer 浏览器的 start page 是以下哪个？

A. http://go.microsoft.com

B. https://www.bing.com

C. http://www.baidu.com

D. https://www.google.com

E. http://hao.360.cn

在“上网记录”中的地址栏和收藏夹中全是这个地址，当然可以通过仿真的系统，直接打开IE去看看起始页；

21 在何源的个人计算机中，你是否可以找到何源 iPhone 手机的线索。关于他的手机，以下哪条信息不正确？

A. IMEI：359461082062689

B. Serial Number：F17V1L6EHG70

C. Apple ID ：heyuan516@icloud.com

D. MSISDN: 85259114189

E. 无

文件分析中存在着手机备份记录：（之后右键跳转到源文件，将手机的备份文件导出）

之后使用火眼进行分析：（这里直接分析文件夹即可）

Apple ID : heyuan515@icloud.com

22 用户“He Yuan”在 WhatsApp 上与谁进行了对话？

A. Keanu Reeves

B. Michael Nyqvist

C. Peter Wang

D. John Manager

E. Michael Brown

23 在手机联系人中，Anthony Chung 的手机号是多少？

A. +85252018664

B. +85257025241

C. +85257024765

D. +8613890274976

E. +8613928749036

24 He Yuan 在 iPhone 自带的 Safari 浏览器中搜索过一些关键词，以下哪一个不是？

A. 野狼 disco

B. 拜佛过人 professor

C. engineer's day 1024

D. Programmer's Day no bug

E. poptown 攻略

25 用户“He Yuan”的 WeChat ID 是多少？

A. HEYUAN516

B. wxid_9y8cs5hdin2i15

C. wxid_9y8cs5hdin2i14

D. wxid_9y8cs5hdin2i13

E. wxid_9y8cs5hdin2i12

26 在 WeChat 的多个聊天记录中，用户“He Yuan”没有聊到过哪个话题？

A. 与中介谈买房

B. 与老板谈洗钱

C. 与黑客谈交易

D. 与网贷谈借钱

E. 与朋友谈炒房

查找微信的聊天记录即可；

27 从 WeChat 中的一个聊天记录中可知，用户“He Yuan”持有多少人的数据？

A. About 500

B. About 1000

C. About 2000

D. About 3000

E. About 5000

28 接上题，Hacker 最后要支付多少 Bitcoin 给 He Yuan?

A. 0.002312

B. 0.066666

C. 0.036354

D. 0.014594

E. 0.012398

29 接上题，He Yuan 的 Bitcoin 收款地址是多少？

A. cI7g0tIzPuP2pxb20HQHNGOQdpmptDaCBf

B. InCeInFZmAP3PCLHLOchKTEZevQdHgQdP3

C. 4qISisBY2Z8xgh9C6orRfuRzmzXKznUc5Z

D. 18yZq8Dboyuvnd3R6pqG9kJkaZBki2JCoN

E. n5X7jwdPspKRgnZU6xzcEQueJanRqGdZQd

这个在取证工具中“看不到”：

可以看到这里的收款地址是看不到；（具体的原因是因为它存在着三次备份文件）

上面的这个图仍然是我们导出来的手机的备份文件，我们可以看到存在Manifest.plist、Manifest.db以及Status.plist，这是第一次备份的文件；Manifest(1).plist、Manifest(1).db以及Status(1).plist这三个是第二次备份的文件；Manifest(2).plist、Manifest(2).db以及Status(2).plist这三个是第三次备份的文件；所以由此推断出第三次备份的文件是最新的文件，这里我们就可以将Manifest.plist、Manifest.db以及Status.plist三个文件删除，之后将Manifest(2).plist、Manifest(2).db以及Status(2).plist这三个文件改名为Manifest.plist、Manifest.db以及Status.plist。最后重新取证即可：

30 接上题，He Yuan 分享给 Hacker 的百度网盘链接是多少?

A. https://pan.baidu.com/s/u8rLTgLZabfd9Va1wRjzyc9

B. https://pan.baidu.com/s/nIDo2yLop_ciNUxihF2cZi8

C. https://pan.baidu.com/s/N6RiGxMZDnswlOUKRi0IB6Q

D. https://pan.baidu.com/s/uFUc4W0zYmrGZMOxVm843GU

E. https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY3Ww

31 接上题，He Yuan 提到的解压密码是多少？

A. bAtNyn3lHwP8xXW

B. hNfpdKcJlvpEFEa

C. decrypt123456

D. 2019123456

E. HetoHacker123456

32 接上题，He Yuan 收到了来自哪位 hacker 的转账？ hacker 的 wechat ID 是多少？

A. Kevin , wxid_ugo2wrc3fuci22

B. Scott , wxid_i1lhj24r792i22

C. Iva , wxid_7qh2jzeomtvp22

D. John , wxid_QAZbWKIgIz4jpu

E. Jack , wxid_dbEx7dtbX4zPbb

33 根据 Wechat 聊天记录，He Yuan 在 2019-10-26 号（UTC+8）晚上跟哪位朋友出去吃晚饭了？朋友的 Wechat ID 是多少?

A. Iron Man , wxid_0ZYBi7dchvMIym

B. Black Panther , wxid_zSrai2bRoLUNVb

C. Red Bull , wxid_2yy2ekynoLbnq3

D. White Tiger, wxid_whMQ2YOLPiNNt7

E. Black Sheep , wxid_s00vt9uixjq922

34 在2019-10-31(UTC+8)，何源用iPhone手机在车库拍了一些车的照片,请问最早的那张车照片是什么时候拍的？

A. 10/31/2019 18:53:29 PM(UTC+8)

B. 10/30/2019 10:43:27 AM(UTC+8)

C. 10/26/2019 19:53:29 PM(UTC+8)

D. 10/28/2019 20:40:30 PM(UTC+8)

E. 10/27/2019 10:53:29 AM(UTC+8)

这里的这个题目我没法做了；看了美亚杯的讲解：

这里需要使用到手机大师中的工具集，我没有工具集，使用工具集中的“iphone备份浏览”功能：还是将我们的修改过后的iphone备份文件添加，进行分析；

对应的苹果手机的照片的备份地址为：/Mobile/Media/DCM/100APPLE

之后通过时间进行排序即可，因为题目锁定了2019-10-31，所以我们就关注这个时间；图片的格式可能是HEIC格式（这个格式是苹果自己的图片的格式），因此我们可以直接将图片导出到本地，之后使用爱思助手中的“转换HEIC格式图片”功能进行转换即可；

35 接上题，请问照片”IMG_0075.HEIC”拍摄地 GPS 坐标是以下哪一个？

A. 28 deg 13' 5.25" N, 125 deg 9' 6.34" E

B. 22 deg 17' 1.36" N, 114 deg 8' 9.91" E

C. 120 deg 23' 5.58" N, 119 deg 7' 4.53" E

D. 88 deg 6' 2.14" N, 130 deg 6' 7.86" E

E. 100 deg 17' 1.36" N, 224 deg 6' 8.57" E

这个题是在上一个题目的基础上完成，由于上面已经将图片全部导出到了本地，所以我们可以直接找到对应的文件，右击查看属性中的详细信息即可；

36 在何源的个人计算机中，你能找到一个 Veracrypt 加密容器文件吗？它的原始文件名是？

A. containerx.txt

B. VC_Container

C. $RV61F4M

D. data encrypt.txt

E. $IV61F4M

直接在仿真系统的桌面上就看到了VC，我们就可以直接打开VC；

37 接上题，此 Veracrypt 加密容器文件之前可能被挂载为哪一个盘符(drive letter) ?

A. A:

B. B:

C. Z:

D. D:

E. E:

这个题目我做错了，明明前面的U盘被挂载到了E盘，我又傻傻的选择了E；

这个题目的做法如下：（当时之所以做错误，是因为上面的图中，高亮了F盘，推测了上一次挂载了E）

在取证大师中的“用户痕迹”中的“最近访问的文档”中，发现曾经访问的文档的路径主要有A C E三个盘符：

其中的E就是U盘挂载的盘符，C是系统盘符，再就剩下A了；

38 在何源的个人计算机中，何源曾在电脑上登陆过客户端百度云盘，请问他的 Baidu 账号是多少？

A. Yuanhe516

B. Heyuan516

C. Heyuan515

D. Yuanhe515

E. None

39 在何源的个人计算机中，何源利用客户端百度网盘上传过一些文件，请问以下哪一个是？

A. 美国恐怖故事 04.mp4

B. Crawler_connect.py

C. file encrypt.doc

D. Secret.xlsx

E. Company_info.xlsx

40 在何源的个人计算机中，何源 iPhone 手机中的一些图片曾被同步到他的百度网盘中，请问图片“2019-06-21 113537.jpg”的 MD5 hash 值是多少？

A. fe41107c5260498e67171755e2b4bb1d

B. 6055e4fa9e8a56c708a3db7198d091e7

C. 7b8e1183d80962c0ad5a95ec673317a7

D. 148685a257c49247f09b942237f1a248

E. db4a58e48ef51ca2c6c0f6e07f44d186

41 在何源的个人计算机中，何源用百度网盘上传文件“/美国恐怖故事/美国恐怖故事 01.mp4”的起始时间是？ （格式：UNIX Timestamp UTC+8）

A. 1572506551

B. 1572506618

C. 1572506608

D. 1572506551

E. 1572507864

42 在何源的个人计算机中，可以发现有多少文件,文件夹存在于何源的百度网盘中？

A. Files: 55, Folder: 3

B. Files: 82，Folder: 2

C. Files: 23, Folder: 1

D. Files: 90, Folder: 2

E. Files: 102, Folder: 7

这里是自己根据自己的手机判断的，因为我的百度网盘中存在着来自：iphone，因此判断这是一个文件夹，同理判断美国恐怖故事也是一个文件夹；

43 在何源的个人计算机中，用户“He Yuan”曾用 Microsoft Edge 浏览器 google 搜索过一些信息，以下哪个不是 搜索的关键词？

A. gmail register

B. tor data sale

C. online lender

D. shadowsock

E. how to hide a partition

直接开搜；

44 在何源的个人计算机中，用户“He Yuan”曾用 Microsoft Edge 浏览器注册过一个新的 Gmail account,请从网 页标题痕迹中找出此账号。

A. jackhe666@gmail.com

B. johnhe7@gmail.com

C. jacksonhe8@gmail.com

D. jorkerhe888@gmail.com

E. yuanhe666@gmail.com

这里我直接搜索了@gmail.com

45 在何源的个人计算机中，用户“He Yuan”曾用 Microsoft Edge 浏览器下载过一些文件，以下哪一个不是？

A. WeChat_C1018.exe

B. bitcoin-018.1-win64-setup.exe

C. torbrowser-install-win64-8.5.5_en-US.exe

D. SteamSetup.exe

E. BaiduNetdisk_6.8.4.1.exe

直接看下载记录，没有bitcoin-018.1-win64-setup.exe

46 在何源的个人计算机中，用户“He Yuan”曾用以下哪款网页浏览器登陆过网页版百度网盘？

A. Internet Explorer

B. Firefox

C. Chrome

D. Microsoft Edge

E. Tor

这里的这个题目美亚杯的老师说有点小问题，经过搜索，发现两个浏览器都曾出现过百度网盘的信息；这里就是直接搜索关键字“pan.baidu”；

ME浏览器中的百度云盘的信息会更多一点；

这里我直接搜索的是baidu；在IE浏览器中看到貌似是在登陆网页版的百度网盘

47 在何源的个人计算机中，用户“He Yuan”曾用 Tor 浏览器访问过一些网站，以下哪一个不是？

A. https://duckduckgo.com

B. http://deepmix2cmtqm5ut74f4acz2eskr5htcdetpzupmdkas6fzi4cnc7sad.onion

C. http://vfqnd6mieccqyiit.onion

D. http://bntee6mf5w2okbpxdxheq7bk36yfmwithltxubliyvum6wlrrxzn72id.onion

E. http://silkroadjuwsx3nq.onion

直接在火眼中进行搜索了(这里可以使用取证大师中的小程序)

小程序（需要自己去注册，下载对应的工具“暗网取证”），之后使用他进行取证：

那么之后就可以实时搜索了；

48 接上题，以下哪个 URL 是由用户手动输入到 Tor 浏览器中的？

A. http://tfwdi3izigxllure.onion

B. https://hiddenwikitor.com

C. http://deepmix5e3vptpr2.onion

D. http://vfqnd6mieccqyiit.onion

E. http://smoker32pk4qt3mx.onion

48 49 50题目难度上来了：这里用到的是Tor浏览器的相关的配置文件：

\Users\He Yuan\Desktop\Tor Browser\Browser\TorBrowser\Data\Browser\profile.default（记住就行了，一般就是这样的

那么我们应该在上面的文件夹中，访问哪一个文件呢？（答案是places.sqlit）

这里我使用的是DB Browser for SQLite工具（直接将导出的数据库文件拖至工具中即可）：

整个表的结构如上，之后我们右击moz_places，浏览表：

通过上面的typed，进行过滤：当typed的值为1的时候，就说明，对应的url是用户自己手动输入的；可以看到只有两个url的typed=1，所以就可以去选项中找对应的url即可；

49 接上题，关于网页”http://rso4hutlefirefqp.onion”，以下哪一个描述是正确的？

A. ccPal - stolen creditcards, ebay and paypal accounts for bitcoins - buy CVV2s for bitcoin - PayPals for Bitcoin - Ebay Accounts for Bitcoin

B. UKPassports - Buy passport from the United Kingdom UK, real passports from the UK, no fake passports

C. Stolen Apple Products for Bitcoin. Get the newest apple products for a fraction of the price. Iphones for Bitcoin, Ipads for Bitcoin.

D. NLGrowers - Buy Weed, Hash, Cannabis, Marijuana with from the netherlands with Bitcoins - your deep web weed source

E. We sell medical cannabis, rick simpson cannabis oil and other medical cannabis products

通过url过滤题目中的url，找到description，查看里面的内容：

50 接上题，哪个网页引导用户到了网页” http://vfqnd6mieccqyiit.onion”?

A. https://thehiddenwiki.org

B. http://hiddenwikitor.com

C. https://onionshare.org

D. http://xfnwyig7olypdq5r.onion

E. https://www.onionexplore.org

现在moz_places数据库表中找到对应url的id

id=15；

之后就是找另一张表moz_historyvisits表

place_id : 代表着moz_places中的id；from_visit：代表着它从哪一个url来的；当然这里的from_visit就是moz_historyvisits表中的id；因此我们就找moz_historyvisits表中的id=2的place_id是多少：答案为10（那么这里的10就是对应我们moz_places表中的id）

51 分析何源的公司计算机内存镜像，何源的公司计算机操作系统以及硬件架构是什么？

A. Windows 7 x86

B. Windows 7 x64

C. Windows 8 x86

D. Windows 8 x64

E. Windows 10 x64

内存取证，使用Volatility工具进行取证，首先分析何源的计算机的操作系统以及硬件架构：volatility -f 镜像的地址 imageinfo

52 分析何源的公司计算机内存镜像，以下哪一个是进程“explorer.exe”的 PID?

A. 5098

B. 3484

C. 3048

D. 2236

E. 9875

volatility -f 镜像的地址 --profile=Win7SP1x86_23418 pslist (这里我将整个结果进行了导出)

他可能会存在着很多的PID，选择匹配的即可；

53 分析何源的公司计算机内存镜像，以下哪一个是正确的用户 SID ？

A. HTC_admin : S-1-5-21-2316527938-3914680751-2175519146-1001

B. TMP_User : S-1-5-21-2316527938-3914680751-2175519146-1002

C. TMP : S-1-5-21-2316527938-3914680751-2175519146-1001

D. YuanHe : S-1-5-21-2316527938-3914680751-2175519146-1002

E. None

volatility -f 镜像的地址 --profile=Win7SP1x86_23418 getsids> getsids.txt

54 分析何源的公司计算机内存镜像，以下哪个远程地址与本地地址建立过 TCP 连接？

A. 10.165.12.130

B. 10.165.12.126

C. 10.165.10.125

D. 10.165.10.130

E. 10.165.10.131

volatility -f 镜像的地址 --profile=Win7SP1x86_23418 netscan > netscan.txt

55 接上题，在上述 TCP 连接里，远程地址的端口号是多少？

A. 80

B. 443

C. 445

D. 22

E. 3389

56 分析何源的公司计算机内存镜像，注册表“\SystemRoot\System32\Config\SAM”在内存镜像中的虚拟地址 （Virtual Address）是多少？

A. Offset: 0x97b5e5d8

B. Offset: 0x9a5689c8

C. Offset: 0x8c6b49c8

D. Offset: 0x8bc1a1c0

E. Offset: 0x9bc1a1c0

volatility -f 镜像的地址 --profile=Win7SP1x86_23418 hivelist> hivelist.txt

查看数据库文件、注册表信息！

57 分析何源的公司计算机内存镜像，用户“Yuan He”登入密码的 NTLM hash 是多少？

A. bf12857078039ff604bf8e1fb4308643

B. 31d6cfe0d16ae931b73c59d7e0c089c0

C. bf12857078039ff604bf8e1fb430a7d4

D. a53452d6cd5e2d72423cd3eac8b05607

E. 99e74d973f8f852432f6d5a59659ed88

volatility -f 镜像的地址 --profile=Win7SP1x86_23418 hashdump> hashdump.txt

58 分析何源的公司计算机内存镜像，盘符“E：”上的文件“Personal Information.xlsx”何时被访问过？

A. 2019-10-31 07:58:45

B. 2019-10-31 10:33:42

C. 2019-10-31 06:59:45

D. 2019-10-31 09:31:42

E. 2019-10-31 08:32:42

volatility -f 镜像的地址 --profile=Win7SP1x86_23418 timeliner> timeliner.txt

59 分析何源的公司计算机内存镜像，以下哪个是文件“Personal Information.xlsx”的正确路径？

A. Users\YuanHe\Desktop\Confidential\Personal Information.xlsx

B. Users\YuanHe\Desktop\Personal Information.xlsx

C. Users\TMP_User\Desktop\Confidential\Personal Information.xlsx

D. Users\TMP_User\Desktop\Personal Information.xlsx

E. Users\Administrator\Desktop\Confidential\Personal Information.xlsx

恢复被删除的文件（volatility -f 镜像的地址 --profile=Win7SP1x86_23418 mftparser> mftparser.txt）

60 分析何源的公司计算机内存镜像，可以发现以下哪些文件夹曾被访问过？

1 …\Company_Files\Jonathan Norton

2 …\Company_Files\Stephen Chow

3 …\Company_Files\John Wick

4 …\ Company_Files\Logan Chen

5 …\Company_Files\Colleen Johnson

A 2,3,5

B 2,4,6

C 1,3,5

D 3,4,5

E 1,4,5

volatility -f 镜像的地址 --profile=Win7SP1x86_23418 shellbags> shellbags.txt

将导出来的shellbags文件进行检索；

volatility下解析并打印从注册表中获取的Shellbag信息。其中shellbag是一组注册表项，被windows用来维护使用资源管理器时文件夹的大小、视图、图表和位置；即使在删除目录以后，Shellbags仍会保留目录的信息，可以用来枚举过去装入的卷，删除的文件和用户操作，重建用户活动

如果在Windows ShellBags记录了某个文件夹，那么表示它一定在某个时间出现过在该系统中，包括压缩文件在内的本地文件系统、网络位置和外接设备（如U盘、移动硬盘等）上的文件夹，即使它现在已经不存在了。

61 分析何源的公司计算机内存镜像，以下那一项有关这台计算机的资料是正确？

A. 这台计算机安装 Window 的时间是 2019-10-31 11:56:23 UTC + 0

B. 这台计算机的名称是 WIN-VUAL29E4P0K

C. 公开资料显示这台计算机 TCPIP 的最后更新时间是 2019-10-31 04:59:00 UTC + 0

D. A 及 C 都是正确

E. B 及 C 都是正确

将注册表进行导出，使用dumpregistry命令，volatility -f 镜像的地址 --profile=Win7SP1x86_23418 dumpregistry -D 文件夹

使用WRR打开导出的所有注册表：

正确的安装时间为2019/10/31 4:56:45

62 分析何源的公司计算机内存镜像，以下那一项关于这台计算机连接 USB 装置的描述是正确？

A. 没有，因为透析资料找不到

B. 没有，因为内存容量没有取得完整的注册表资料

C. 有，而且装置的牌子应该是 HUAWEI

D. 有，而且装置的 GUID 是 4d36e967-e325-11ce-afc1-832210318

E. 有，而且装置的首次插入时间 HEX 值是 40 43 30 b9 b8 8f d5 01

首次插入时间的HEX值可以参考以下的论文：Windows 8系统中的USB设备连接时间戳问题的研究 - 道客巴巴