2018美亚杯个人赛刷题

最新推荐文章于 2024-07-31 15:09:54 发布
最新推荐文章于 2024-07-31 15:09:54 发布
阅读量5.6k 收藏 27
点赞数 6
分类专栏: 电子数据取证 美亚杯 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46003360/article/details/119609843
版权

文章目录

写在前面

这是美亚杯2018个人赛的刷题过程,有错误的地方,大佬勿喷。

取证工具:取证大师V6.1.80018RTM、弘连火眼证据分析软件V4.11.2.30563、弘连火眼仿真取证V4.1.1.2972、VMware Workstation。

题目答案2018年-美亚杯

镜像文件:版权问题2333

题目

1.E

FC20782C21751BA76B2A93F3A17922D0

2.C

2018person2分区

3.B -D-

查看系统盘方法:

2018person3查看系统盘

同时要注意取证软件取证结果得到的分区顺序和分区号与镜像原分区的不一定一致,要比对具体文件!

2018person3系统盘起始扇区

4.C -E-

2018person4系统盘大小(字节)

5.C

6. D

2018person6每个簇扇区数

也可以在仿真里,右键磁盘->格式化也可查看。

2018Person扇区数仿真

7.D

8. A

9.A

命令:

whoami /user

wmic useraccount get name,sid

2018person9获取SID

10.C

11.E

在data中过滤lastpasswordset

2018person10victor上次修改系统时间

12.D

13.D

2018person13victor登录次数

14.A

2018person14被禁用的账户

也可以直接查看取证大师里的用户信息。

15.D

查看用户:

net user

查看用户状态:

net user Administrator

设置禁用用户:

net user 用户名 /active:no

2018person14cmd查看用户状态

2018person15cmd查看用户权限

16.E

2018person16远程登陆

17.D

18.A

2018person18最新更新包

19. B

2018person19默认打印机

20.C

2018person20simon对应时间访问的文件doc

2018person20simon对应时间访问的文件

21.E

2018person21打开simon访问的文件软件

22.D

23.A

24.C

25.C

26.D

27.D

2018person27lnkmac

28.C

29.D

DHCP分配的网址

2018person29ip

30.D

31.C

32.E

查看最后一次关机时间:

事件查看器->日志->系统->筛选当前日志->ID中输入6005(开机),6006(关机)

2018person32关机时间

33.D

34.B -C-

查看6011系统变更事件日志:

2018Person34用户名变更

也可以双击该日志,可以查看得更详细:

2018Person34用户名变更筛选

35. -E-

见34题

36.A

37.A

仿真得到:

2018person37修改邮件密码

38.D

39.D -C-

2018person39发件人真正ip

40.B

2018person40附件哈希

41.C

火眼时间线搜索即可:

2018person41附件执行事件

42.E -D-

43.C

2018person43附件执行生成文件

44.B

45.A

46.C

47.E

在应用程序访问记录里筛选时间即可

48.B

2018person48取证人员运行程序

49.D

全局搜索

50.C

2018person50内存存储盘

PS

题目刷完了,之后又把一些不会的学习了一下。

TurkeyMan
关注
专栏目录
2018美亚复现(个人赛
kindyyy的博客
09-08 1019
如图所示,simon只是guests,而victor和其他的用户都是administrators,所以simon的权限最低,所以本题选择E。在取证大师中,发现火狐的使用率是最高的,使用次数也是最高的,所以猜测火狐就是victor的默认浏览器。这几个用户都是本地登录,可以在一定程度上说明远端登入已经被禁止,所以选择E。选择证据文件,再选择victor_PC.E01的磁盘,右键进行哈希值计算。在账户系统时间更改中,由最早的一次更改记录得到本题的答案选择C。如图所示,所以选择C。如图所示,所以选择D。
2021美亚个人赛刷题记录
kindyyy的博客
11-08 344
19、[填空题] 工地主管计算机的其中一个分区被人加密,分区内的电子表格Material3.xlsx的哈希值(SHA1)是甚么?(请以英文全大写及阿拉伯数字回答,不用输入"-") (1分)21、[填空题] 路由器的记录中显示公司的计算机下载了FTP软件,该下载网站的IP是什麼?(请以英文全大写及阿拉伯数字回答,不用输入"-") (1分)(请以英文全大写及阿拉伯数字回答) (3分)(请以英文全大写及阿拉伯数字回答) (3分)(请以英文全大写及阿拉伯数字回答) (2分)(请以英文全大写回答) (1分)
18美亚个人赛电子取证
孤勇傻兔的博客
10-12 1694
背景: 1.林胜(Victor)是一名三十岁的中学教师。一天﹐他在家中使用计算机期间﹐收到一封勒索邮件﹐其中列出他电子邮件用户名和密码﹐及其他涸人资料﹐亚声称他的用户数据已被窃取﹐计算机已被入侵·黑客向林胜勒索两个比特币﹐否则会使用他的个人用户数据作非法用途·林无力支付﹐于是报警﹐并向警方提供了他的个人计算机作检验· 2.现你被委派对林的计算机进行电子数据取证﹐还原事件经过。 E盘为系统分区 磁盘中每个扇区的大小一般是512字节,磁盘物理大小=扇区数*512 ...
2022年美亚资格赛林俊熙服务器题解
m0_37867238的博客
07-31 851
2022年美亚资格赛林俊熙服务器题解
2018美亚资格赛 个人赛 writeup
ShenZ的博客
11-26 838
2018美亚资格赛 个人赛 writeup
2018美亚个人赛
qq_63575829的博客
09-08 485
18年美亚
2018第四届美亚中国电子数据取证大赛个人赛write up
weixin_42744595的博客
01-04 1万+
解析:通过反编译发现里边只有两个.class文件,估计占用空间也就十几K,可是jar包却要200多K,但是怎么分析能够得到生成的文件我还没找到,如果个人赛现场开虚拟机用动态分析运行监控的话,太浪费时间了,并且不一定能找到答案。27. 接上题,""的元数据(metadata)记录了以下哪个网卡的物理地址(mac address)?7. 在操作系统分区内,$MFT的物理起始扇区位置(Starting physical sector)是什么?(答案格式: 扇区, Sector)(答案格式:RID) (2分)?
2018第四届美亚全国电子数据取证大赛个人赛wp
dazaogege的博客
09-25 2446
2018美亚全国电子数据取证大赛个人赛wp
美亚全国2018第四届电子数据取证竞赛-个人赛
05-02
美亚全国2018第四届电子数据取证竞赛-个人赛 电子取证竞赛是测试电子取证专业人员的技能和技术的竞赛,本竞赛旨在提高电子取证技术的应用和普及。 本竞赛包括了多个题目,涵盖了电子取证的多个方面,包括MD5...
2020美亚团体赛刷题 部分题解(1-27、73-124)
7ruth0hn的博客
11-08 5772
文章目录写在前面解题结语参考资料 写在前面 美亚还是挺考验分工协作的,自己做了zello和xeno的两个Server,还有Cole的设备。记录一下解题思路。 同时由于美亚的题目局部的顺序是打乱的,所以会有题目不连贯、难度骤降骤升、逻辑前果后因的情况。 取证工具: 取证大师V6.1.80018RTM、弘连火眼证据分析软件v4.14.0.33748、弘连火眼仿真取证V4.1.1.2972、VMware Workstation 解题 1.Zello服务器的哈希值(SHA256)是甚么? 30B856EEE51
2019美亚团体赛刷题 部分题解(1-42、106-116)
7ruth0hn的博客
11-10 6996
文章目录写在前面使用工具刷题1.在黑客路由器里,有一台设备的MAC地址为00:11:6B:47:4D:55,请问它的IP地址是什么?2.在黑客路由器里,发现一设备的IP地址为192.168.0.103,请问该设备为如下哪一个:3.警方已经查证所有连接此router的设备都归黑客所有,根據黑客路由器的訊息,下列哪组(设备---ip)是错误的:4.Hacker现场检获的Windows主机硬盘已成功取证并制作成镜像Win1.E01,下列哪个是其硬盘证据文件的MD5哈希值。5.MD5hash算法会产生一个什么大小的
2018第四届美亚中国电子数据取证大赛个人赛复现
m0_63253040的博客
08-24 769
根据下一题Magnet RAM capture.exe是用来制作内存镜像的。jar程序用javaw.exe运行。减去八小时就是师姐协调时间。1提取内存,应为dmp文件。2是victor的电脑。
2018美亚电子数据取证大赛-团体赛
热门推荐
weixin_44770698的博客
10-20 2万+
2018美亚电子数据取证大赛-团队赛
2018第四届美亚全国电子数据取证大赛团队赛wp
dazaogege的博客
09-25 4424
2018第四届美亚全国电子数据取证大赛团队赛wp
2018年第三届 美亚电子取证 个人赛题解
m0_64180167的博客
11-02 1840
26 接上题,上述文件上一次开启的时间是?(答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (2分)这里修改时间也该是开启时间 C但是这个答案是D 这里不知道可能镜像问题了。
2018美亚电子数据取证大赛-资格赛wp
weixin_44770698的博客
10-17 1万+
2018美亚电子数据取证大赛-资格赛
美亚”第三届中国电子数据取证大赛答案解析(团体赛)
qq_43678263的博客
12-12 1874
美亚”第三届中国电子数据取证大赛答案解析(团体赛)
2016年 第二届美亚全国电子数据取证大赛个人赛write up
weixin_42744595的博客
12-05 3647
2016年 第二届美亚个人赛write up 前景概要: 你会获得一个包含Hugo电脑硬盘的镜像文件,其文件名为“Competition_HD1.E01",该文件是由AccessData FTK Imager采集而来的。根据Hugo电脑硬盘的内容,请回答以下问题: 请写下Hugo电脑硬盘的MD5哈希值。 解题:使用取证大师,计算Hugo电脑硬盘的MD5值 答案:f895fd18e47a5371aec6db72d0aedca7 你能找到多少个硬盘分区? 解题: 方法1::使用Mount Image或
2017年第三届 美亚电子取证 个人赛题解
algae
04-24 8332
CPPU名侦社2020寒假作业,记录一下自己做的过程。 在这个案例里嫌疑人反侦察意识较弱,题目也不难,很适合大家做(做法不唯一,仅供参考)。 做完这些题目不需要太深的计算机知识,但是取证大师肯定是用得更加熟练了。 以后取证比赛的题目考察的内容会越来越深的,所以还是要好好学习各种基础知识和相关软件设备的使用~ —————————————————————————————— 案件背景: Gar...
2023美亚资格赛镜像
最新发布
08-15
很抱歉,关于您提到的“2023美亚资格赛镜像”,我无法提供具体的信息,因为我的知识截止日期是2023年4月,而我无法访问互联网来检索最新的数据。美亚资格赛镜像可能指的是某个特定比赛的资格赛环节的网络镜像或者副本,这通常涉及到体育赛事、电子竞技或者其他类型的比赛资格赛阶段的备份或复制,用于确保数据的完整性和比赛的顺利进行。 如果您是想要了解更多关于某个具体比赛的资格赛信息,建议您访问相关的官方渠道或授权的新闻媒体以获取最新和准确的信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TurkeyMan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值