文章目录
写在前面
这是美亚杯2018个人赛的刷题过程,有错误的地方,大佬勿喷。
取证工具:取证大师V6.1.80018RTM、弘连火眼证据分析软件V4.11.2.30563、弘连火眼仿真取证V4.1.1.2972、VMware Workstation。
题目答案:2018年-美亚杯
镜像文件:版权问题2333
题目
1.E
FC20782C21751BA76B2A93F3A17922D0
2.C
3.B -D-
查看系统盘方法:
同时要注意取证软件取证结果得到的分区顺序和分区号与镜像原分区的不一定一致,要比对具体文件!
4.C -E-
5.C
6. D
也可以在仿真里,右键磁盘->格式化也可查看。
7.D
8. A
9.A
命令:
whoami /user
wmic useraccount get name,sid
10.C
11.E
在data中过滤lastpasswordset
12.D
13.D
14.A
也可以直接查看取证大师里的用户信息。
15.D
查看用户:
net user
查看用户状态:
net user Administrator
设置禁用用户:
net user 用户名 /active:no
16.E
17.D
18.A
19. B
20.C
21.E
22.D
23.A
24.C
25.C
26.D
27.D
28.C
29.D
DHCP分配的网址
30.D
31.C
32.E
查看最后一次关机时间:
事件查看器->日志->系统->筛选当前日志->ID中输入6005(开机),6006(关机)
33.D
34.B -C-
查看6011系统变更事件日志:
也可以双击该日志,可以查看得更详细:
35. -E-
见34题
36.A
37.A
仿真得到:
38.D
39.D -C-
40.B
41.C
火眼时间线搜索即可:
42.E -D-
43.C
44.B
45.A
46.C
47.E
在应用程序访问记录里筛选时间即可
48.B
49.D
全局搜索
50.C
PS
题目刷完了,之后又把一些不会的学习了一下。