2019美亚个人赛复盘

案件背景： 

1. 何源是一名 25 岁的客服人员，在一间电讯公司工作。某日，何源在用 iPhone 手机在政府建筑物

中偷拍车牌期间被警员截停，盘问期间警员检查手机相册发现多张车牌图片，何源情绪紧张，趁

警员不被，抢过手机丢入车流，被完全损毁。行为十分可疑，警方于是展开调查。审讯期间何源

承认利用自己职权的便利，登入公司储存客户数据的服务器，非法取得一些政府人员的个人资

料，例如姓名，车牌号码，电话等等，再将这些数据出售。

2. 警方检获何源个人计算机，以及何源公司计算机（由于何的公司不允许警方检取整台计算机 , 人

员只能取得内存数据档案 (memory image) 以作分析 ) 。现你被委派对何的计算机进行电子数据取

证，还原事件经过。

你会获得何源 ( YuanHe ) 计算机的硬盘镜像文件 "win2.E01" 以及何源公司计算机的内存数据档案

“memdump.mem” 。

根据这两个镜像文件的内容，请回答以下问题：

证据路径	说明
HE_Company_Windows_RAM\memdump.mem	何源的公司计算机内存镜像
HE_Home_Windows\Win2\Win2.E01	何源的个人计算机镜像

何源的个人计算机镜像

1 、何源的个人计算机硬盘已成功被取证并制作成镜像（Forensic Image），下列哪个是镜像的 SHA1 哈希值？

A. 6891d022c7e6fe81dc8ba2160e1ab610891596d3

B. 3e57817ea6263bc2c696a3455cc96381

C. ed43de631a56dd2c8bac4abbd3882c86

D. dd32beac5ef2cd1cac06bdd8b5e88cbc4eb94de9

E. 48a45c39da458f3cadd92017e0247454dc8bff66

A

2 、在何源的个人计算机中，硬盘中包含哪个操作系统（Operating System）？

A. Windows 7

B. FAT32

C. Windows 10

D. Kali Linux

E. NTFS

C

3 、何源个人计算机的文件系统(File System)是什么？

A. FAT16

B. FAT32

C. Windows 7

D. NTFS

E. Windows 10

D

  

4 、在何源的个人计算机中，你能找到操作系统分区的总容量吗 (单位：字节 byte)？

A. 492,083,081,216

B. 105,685,986,874

C. 386,908,999,680

D. 105,174,081,536

E. 492,594,986,554

A

见上题图

5、在何源的个人计算机中，操作系统分区的$Bitmap 的起始物理扇区位置(Physical Sector Number)是多少？

A. 5,683,328

B. 6,170,040

C. 7,026,176

D. 8,498,304

E. 9,168,216

E

6 、在何源的个人计算机中，请问操作系统的安装日期是？

（答案格式 －“世界协调时间＂：YYYY-MM-DD HH:MM UTC）

A. 2019-10-16 04:44 UTC

B. 2019-10-17 16:25 UTC

C. 2019-10-16 10:12 UTC

D. 2019-10-18 02:13 UTC

E. 2019-10-18 09:14 UTC

A

7 、在何源的个人计算机中，每个扇区(Sector)包含多少个字节？（单位: byte）

A. 512 bytes

B. 1024 bytes

C. 2048 bytes

D. 4096 bytes

E. 8192 bytes

A

8 、在何源的个人计算机中，操作系统的时区是哪个时区？

A. Eastern Standard Time (GMT-05:00) : US and Canada

B. Pacific Standard Time (GMT-08:00): Tijuana

C. Korea Standard Time (GMT+09:00): Seoul

D. GMT Standard Time (GMT): Dublin, Edinburgh, Lisbon, London

E. China Standard Time (GMT+08:00): Beijing, Chongqing, Hong Kong, Shanghai

E

9 、在何源个人计算机的操作系统中，下列哪个是计算机的主机名?

A. DESKTOP-JW47K02

B. HEYuan-WIN1

C. HEYuan-WIN2

D. DESKTOP-SM22M96

E. DESKTOP-WE23K24

D

10 、在何源的个人计算机中，以下哪一个是用户“He Yuan”的 SID？

A. S-1-5-21-1551135561-2581751248-1803739423-1001

B. S-1-5-21-1551135561-2581751248-1803739423-1000

C. S-1-5-21-1551135561-2581751248-1803739423-500

D. S-1-5-21-1551135561-2581751248-1803739423-501

E. None

B

11 、在何源的个人计算机中，下列哪个 USB 移动储存装置 (U 盘)曾被分配为‘E’磁盘分区代号(Drive Letter) ?

A. Kingston DataTraveler 3.0 USB Device

B. SanDisk Transcend USB Device

C. Samsung Portable SSD USB Device

D. WD My Passport 3.0 USB Device

E. Seagate Flash Disk USB Device

不知道

12 、在何源的个人计算机中，用户“He Yuan”曾经在挂载为“E”盘的 USB 移动储存装置中访问过一些文件/文件

夹，以下哪一个不是？

A. E:\美国恐怖故事

B. E:\New Text Document.txt

C. E:\CONFIDENTIAL.doc

D. E:\PycharmProjects

E. A,B,C,D

C

13 、在何源的个人计算机中，用户“He Yuan”最近在本机上访问过一些文件，以下哪一个不是？

A. Sample Project Plan.doc

B. URGENT.doc

C. connect.py

D. 美国恐怖故事 01.mp4

E. Comprehensive-Minute-Template.doc

B

14 、在何源的个人计算机中，以下哪一个是程序“VERACRYPT.EXE”的运行次数？

A. 1

B. 2

C. 3

D. 4

E. 6

A

15 、在何源的个人计算机中，在程序“VERACRYPT.EXE”运行时，以下哪个 dll 文件并没有同时被加载？

A. COMDLG32.DLL

B. CRYPT32.DLL

C. SECUR32.DLL

D. CRYPTSP.DLL

E. ENCRYPT.DLL

E

16 、在何源的个人计算机中，用户“He Yuan”的桌面墙纸（Wall paper）背景是什么颜色？

A. 黑色

B. 灰色

C. 蓝色

D. 红色

E. 绿色

C

17 、在何源的个人计算机中，以下哪个文件在电脑 power off 的时候仍然拥有内存的内容? 此文件具有与电脑内存（RAM）相似的大小并保存在根目录。

A. WIN386.SWP

B. HIBERFIL.sys

C. PAGEFILE.SYS

D. NTUSER.DAT

E. SWAPFILE.SYS

B

• Win386.swp 是 Windows 的「虚拟内存交换文件」，简单的说，就是拿你一部分的硬盘空间来当作内存使用，先把一些内存中闲置太久的程序，丢到硬盘上，等你要回头再用的时候，再从硬盘 win386.swp 里叫回来。
• Hiberfil.sys 休眠文件是 Windows 休眠时用于向磁盘写入内存内容的
• Pagefile.sys 页面文件是用于在操作系统内存不足时临时交换数据的
• NTUSER.DAT是windows操作系统中注册表的用户配置文件。
• swapfile.sys 文件主要用于交换 Universal Apps 的相关数据

18 、在何源的个人计算机中，以下哪个 database 文件存有此操作系统的 timeline 痕迹？

A. SRUDB.dat

B. Windows.edb

C. Spartan.edb

D. ActivitiesCache.db

E. Thumbs.db

D

win 10时间轴跳转源文件

19 、在何源的个人计算机中，曾被分配过的 ip 地址是？

A. 147.8.177.224

B. 147.10.188.23

C. 192.168.0.110

D. 10.12.9.214

E. 192.168.1.2 ​​​​​​​

A

20 、在何源的个人计算机中，用户”Administrator”的 Internet Explorer 浏览器的 start page 是以下哪个？

A. http://go.microsoft.com

B. https://www.bing.com

C. http://www.baidu.com

D. https://www.google.com

E. http://hao.360.cn

A

21 、在何源的个人计算机中，你是否可以找到何源 iPhone 手机的线索。关于他的手机，以下哪条信息不正确？

A. IMEI：359461082062689

B. Serial Number：F17V1L6EHG70

C. Apple ID ：heyuan516@icloud.com

D. MSISDN: 85259114189

E. 无

C

22 、用户“He Yuan”在 WhatsApp 上与谁进行了对话？

A. Keanu Reeves

B. Michael Nyqvist

C. Peter Wang

D. John Manager

E. Michael Brown

D

23 、在手机联系人中，Anthony Chung 的手机号是多少？

A. +85252018664

B. +85257025241

C. +85257024765

D. +8613890274976

E. +8613928749036

A

24 、He Yuan 在 iPhone 自带的 Safari 浏览器中搜索过一些关键词，以下哪一个不是？

A. 野狼 disco

B. 拜佛过人 professor

C. engineer's day 1024

D. Programmer's Day no bug

E. poptown 攻略

B

​​​​​​​

25 、用户“He Yuan”的 WeChat ID 是多少？

A. HEYUAN516

B. wxid_9y8cs5hdin2i15

C. wxid_9y8cs5hdin2i14

D. wxid_9y8cs5hdin2i13

E. wxid_9y8cs5hdin2i12 ​​​​​​​

E

26 、在 WeChat 的多个聊天记录中，用户“He Yuan”没有聊到过哪个话题？

A. 与中介谈买房

B. 与老板谈洗钱

C. 与黑客谈交易

D. 与网贷谈借钱

E. 与朋友谈炒房

B

27 、从 WeChat 中的一个聊天记录中可知，用户“He Yuan”持有多少人的数据？

A. About 500

B. About 1000

C. About 2000

D. About 3000

E. About 5000

C

28 、接上题，Hacker 最后要支付多少 Bitcoin 给 He Yuan?

A. 0.002312

B. 0.066666

C. 0.036354

D. 0.014594

E. 0.012398

D

29 、接上题，He Yuan 的 Bitcoin 收款地址是多少？

A. cI7g0tIzPuP2pxb20HQHNGOQdpmptDaCBf

B. InCeInFZmAP3PCLHLOchKTEZevQdHgQdP3

C. 4qISisBY2Z8xgh9C6orRfuRzmzXKznUc5Z

D. 18yZq8Dboyuvnd3R6pqG9kJkaZBki2JCoN

E. n5X7jwdPspKRgnZU6xzcEQueJanRqGdZQd

D

30 、接上题，He Yuan 分享给 Hacker 的百度网盘链接是多少?

A. https://pan.baidu.com/s/u8rLTgLZabfd9Va1wRjzyc9

B. https://pan.baidu.com/s/nIDo2yLop_ciNUxihF2cZi8

C. https://pan.baidu.com/s/N6RiGxMZDnswlOUKRi0IB6Q

D. https://pan.baidu.com/s/uFUc4W0zYmrGZMOxVm843GU

E. https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY3Ww

E

31 、接上题，He Yuan 提到的解压密码是多少？

A. bAtNyn3lHwP8xXW

B. hNfpdKcJlvpEFEa

C. decrypt123456

D. 2019123456

E. HetoHacker123456

E

32 、接上题，He Yuan 收到了来自哪位 hacker 的转账？ hacker 的 wechat ID 是多少？

A. Kevin , wxid_ugo2wrc3fuci22

B. Scott , wxid_i1lhj24r792i22

C. Iva , wxid_7qh2jzeomtvp22

D. John , wxid_QAZbWKIgIz4jpu

E. Jack , wxid_dbEx7dtbX4zPbb

A

33 、根据 Wechat 聊天记录，He Yuan 在 2019-10-26 号（UTC+8）晚上跟哪位朋友出去吃晚饭了？朋友的 Wechat ID是多少?

A. Iron Man , wxid_0ZYBi7dchvMIym

B. Black Panther , wxid_zSrai2bRoLUNVb

C. Red Bull , wxid_2yy2ekynoLbnq3

D. White Tiger, wxid_whMQ2YOLPiNNt7

E. Black Sheep , wxid_s00vt9uixjq922

E

34 、在2019-10-31(UTC+8)，何源用iPhone手机在车库拍了一些车的照片,请问最早的那张车照片是什么时候拍的？

A. 10/31/2019 18:53:29 PM(UTC+8)

B. 10/30/2019 10:43:27 AM(UTC+8)

C. 10/26/2019 19:53:29 PM(UTC+8)

D. 10/28/2019 20:40:30 PM(UTC+8)

E. 10/27/2019 10:53:29 AM(UTC+8)

A

35 、接上题，请问照片”IMG_0075.HEIC”拍摄地 GPS 坐标是以下哪一个？

A. 28 deg 13' 5.25" N, 125 deg 9' 6.34" E

B. 22 deg 17' 1.36" N, 114 deg 8' 9.91" E

C. 120 deg 23' 5.58" N, 119 deg 7' 4.53" E

D. 88 deg 6' 2.14" N, 130 deg 6' 7.86" E

E. 100 deg 17' 1.36" N, 224 deg 6' 8.57" E

B

火眼取证导出一下，4e4393d9ca817d38662f12f0da1fa1a7f091934c.tar/CameraRollDomain/Media/DCIM/100APPLE/IMG_0075.HEIC

 

36 、在何源的个人计算机中，你能找到一个 Veracrypt 加密容器文件吗？它的原始文件名是？

A. containerx.txt

B. VC_Container

C. $RV61F4M

D. data encrypt.txt

E. $IV61F4M

D

原来还以为是 $RV61F4M，结果发现是原始文件名

37 、接上题，此 Veracrypt 加密容器文件之前可能被挂载为哪一个盘符(drive letter) ?

A. A:

B. B:

C. Z:

D. D:

E. E:

A

 

38 、在何源的个人计算机中，何源曾在电脑上登陆过客户端百度云盘，请问他的 Baidu 账号是多少？

A. Yuanhe516

B. Heyuan516

C. Heyuan515

D. Yuanhe515

E. None

C

​​​​​​​

39 、在何源的个人计算机中，何源利用客户端百度网盘上传过一些文件，请问以下哪一个是？

A. 美国恐怖故事 04.mp4

B. Crawler_connect.py

C. file encrypt.doc

D. Secret.xlsx

E. Company_info.xlsx

A

40 、在何源的个人计算机中，何源 iPhone 手机中的一些图片曾被同步到他的百度网盘中，请问图片“2019-06-21 113537.jpg”的 MD5 hash 值是多少？

A. fe41107c5260498e67171755e2b4bb1d

B. 6055e4fa9e8a56c708a3db7198d091e7

C. 7b8e1183d80962c0ad5a95ec673317a7

D. 148685a257c49247f09b942237f1a248

E. db4a58e48ef51ca2c6c0f6e07f44d186

C

 

41 、在何源的个人计算机中，何源用百度网盘上传文件“/美国恐怖故事/美国恐怖故事 01.mp4”的起始时间是？ （格式：UNIX Timestamp UTC+8）

A. 1572506551

B. 1572506618

C. 1572506608

D. 1572506551

E. 1572507864

AD

​​​​​​​

42 、在何源的个人计算机中，可以发现有多少文件,文件夹存在于何源的百度网盘中？

A. Files: 55, Folder: 3

B. Files: 82，Folder: 2

C. Files: 23, Folder: 1

D. Files: 90, Folder: 2

E. Files: 102, Folder: 7

B

43 、在何源的个人计算机中，用户“He Yuan”曾用 Microsoft Edge 浏览器 google 搜索过一些信息，以下哪个不是搜索的关键词？

A. gmail register

B. tor data sale

C. online lender

D. shadowsock

E. how to hide a partition

D

44 、在何源的个人计算机中，用户“He Yuan”曾用 Microsoft Edge 浏览器注册过一个新的 Gmail account,请从网页标题痕迹中找出此账号。

A. jackhe666@gmail.com

B. johnhe7@gmail.com

C. jacksonhe8@gmail.com

D. jorkerhe888@gmail.com

E. yuanhe666@gmail.com

C

45 、在何源的个人计算机中，用户“He Yuan”曾用 Microsoft Edge 浏览器下载过一些文件，以下哪一个不是？

A. WeChat_C1018.exe

B. bitcoin-018.1-win64-setup.exe

C. torbrowser-install-win64-8.5.5_en-US.exe

D. SteamSetup.exe

E. BaiduNetdisk_6.8.4.1.exe

B

46 、在何源的个人计算机中，用户“He Yuan”曾用以下哪款网页浏览器登陆过网页版百度网盘？

A. Internet Explorer

B. Firefox

C. Chrome

D. Microsoft Edge

E. Tor

AD

47 、在何源的个人计算机中，用户“He Yuan”曾用 Tor 浏览器访问过一些网站，以下哪一个不是？

A. https://duckduckgo.com

B. http://deepmix2cmtqm5ut74f4acz2eskr5htcdetpzupmdkas6fzi4cnc7sad.onion

C. http://vfqnd6mieccqyiit.onion

D. http://bntee6mf5w2okbpxdxheq7bk36yfmwithltxubliyvum6wlrrxzn72id.onion

E. http://silkroadjuwsx3nq.onion

E

 

48 、接上题，以下哪个 URL 是由用户手动输入到 Tor 浏览器中的？

A. http://tfwdi3izigxllure.onion

B. https://hiddenwikitor.com

C. http://deepmix5e3vptpr2.onion

D. http://vfqnd6mieccqyiit.onion

E. http://smoker32pk4qt3mx.onion

C

49 、接上题，关于网页”http://rso4hutlefirefqp.onion”，以下哪一个描述是正确的？

A. ccPal - stolen creditcards, ebay and paypal accounts for bitcoins - buy CVV2s for bitcoin - PayPals for Bitcoin - Ebay Accounts for Bitcoin

B. UKPassports - Buy passport from the United Kingdom UK, real passports from the UK, no fake passports

C. Stolen Apple Products for Bitcoin. Get the newest apple products for a fraction of the price. Iphones for Bitcoin, Ipads for Bitcoin.

D. NLGrowers - Buy Weed, Hash, Cannabis, Marijuana with from the netherlands with Bitcoins - your deep web weed source

E. We sell medical cannabis, rick simpson cannabis oil and other medical cannabis products

D

网页标题和选项翻译

50 、接上题，哪个网页引导用户到了网页” http://vfqnd6mieccqyiit.onion”?

A. https://thehiddenwiki.org

B. http://hiddenwikitor.com

C. https://onionshare.org

D. http://xfnwyig7olypdq5r.onion

E. https://www.onionexplore.org

D

标题是成为英国公民，购买真正的英国护照

标题是美国公民身份-今天成为美国公民，每个人都可以。用比特币支付。

何源的公司计算机内存镜像

51 分析何源的公司计算机内存镜像，何源的公司计算机操作系统以及硬件架构是什么？

A. Windows 7 x86

B. Windows 7 x64

C. Windows 8 x86

D. Windows 8 x64

E. Windows 10 x64

A

volatility -f memdump.mem imageinfo

52、分析何源的公司计算机内存镜像，以下哪一个是进程“explorer.exe”的 PID?

A. 5098

B. 3484

C. 3048

D. 2236

E. 9875

B

53 、分析何源的公司计算机内存镜像，以下哪一个是正确的用户 SID ？

A. HTC_admin : S-1-5-21-2316527938-3914680751-2175519146-1001

B. TMP_User : S-1-5-21-2316527938-3914680751-2175519146-1002

C. TMP : S-1-5-21-2316527938-3914680751-2175519146-1001

D. YuanHe : S-1-5-21-2316527938-3914680751-2175519146-1002

E. None

B

volatility.exe -f memdump.mem --profile=Win7SP1x86_23418 getsids > 1.txt

没有C选项的TMP用户

54 、分析何源的公司计算机内存镜像，以下哪个远程地址与本地地址建立过 TCP 连接？

A. 10.165.12.130

B. 10.165.12.126

C. 10.165.10.125

D. 10.165.10.130

E. 10.165.10.131

A

55 、接上题，在上述 TCP 连接里，远程地址的端口号是多少？

A. 80

B. 443

C. 445

D. 22

E. 3389

C

56 、分析何源的公司计算机内存镜像，注册表“\SystemRoot\System32\Config\SAM”在内存镜像中的虚拟地址 （Virtual Address）是多少？

A. Offset: 0x97b5e5d8

B. Offset: 0x9a5689c8

C. Offset: 0x8c6b49c8

D. Offset: 0x8bc1a1c0

E. Offset: 0x9bc1a1c0

B

volatility -f memdump.mem  --profile=Win7SP1x86_23418 hivelist

Virtual    Physical   Name
---------- ---------- ----
0x8bc0c400 0x6be04400 [no name]
0x8bc1a1c0 0x6bf4d1c0 \REGISTRY\MACHINE\SYSTEM
0x8bc3c438 0x6b36f438 \REGISTRY\MACHINE\HARDWARE
0x8bd898e8 0x66ea28e8 \SystemRoot\System32\Config\SOFTWARE
0x8c6b4008 0x63a7c008 \??\C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
0x8c6b49c8 0x63a7c9c8 \??\C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
0x8cc4f5c0 0x64fa55c0 \Device\HarddiskVolume1\Boot\BCD
0x8f4bc008 0x60017008 \??\C:\Users\HTC_Admin\ntuser.dat
0x8f4d6518 0x60457518 \??\C:\Users\HTC_Admin\AppData\Local\Microsoft\Windows\UsrClass.dat
0x927c89c8 0x68f269c8 \SystemRoot\System32\Config\DEFAULT
0x97ac1008 0x44031008 \??\C:\Users\TMP_User\AppData\Local\Microsoft\Windows\UsrClass.dat
0x97b5e5d8 0x3de825d8 \??\C:\Users\TMP_User\ntuser.dat
0x98f75688 0x4d56c688 \??\C:\Users\YuanHe\AppData\Local\Microsoft\Windows\UsrClass.dat
0x98fcd648 0x4b8d0648 \??\C:\Users\YuanHe\ntuser.dat
0x9a5689c8 0x642099c8 \SystemRoot\System32\Config\SAM
0x9a56f3d8 0x6458d3d8 \SystemRoot\System32\Config\SECURITY
0xa09e3008 0x2bc1b008 \??\C:\System Volume Information\Syscache.hve

57 、分析何源的公司计算机内存镜像，用户“Yuan He”登入密码的 NTLM hash 是多少？

A. bf12857078039ff604bf8e1fb4308643

B. 31d6cfe0d16ae931b73c59d7e0c089c0

C. bf12857078039ff604bf8e1fb430a7d4

D. a53452d6cd5e2d72423cd3eac8b05607

E. 99e74d973f8f852432f6d5a59659ed88

E

先获取到注册表中的system 的 virtual 地址0x8bc1a1c0 ，SAM 的 virtual 地址0x9a5689c8

volatility.exe -f 内存镜像.dd --profile=WinXPSP2x86 hashdump -y （注册表 system 的 virtual 地址 ）-s（SAM 的 virtual 地址）
volatility -f memdump.mem  --profile=Win7SP1x86_23418 hashdump -y 0x8bc1a1c0 -s 0x9a5689c8 

99e74d973f8f852432f6d5a59659ed88

58 、分析何源的公司计算机内存镜像，盘符“E：”上的文件“Personal Information.xlsx”何时被访问过？

A. 2019-10-31 07:58:45

B. 2019-10-31 10:33:42

C. 2019-10-31 06:59:45

D. 2019-10-31 09:31:42

E. 2019-10-31 08:32:42

C

volatility.exe -f memdump.mem --profile=Win7SP1x86_23418 mftparser > .\123.txt

timeliner查看时间线

59 、分析何源的公司计算机内存镜像，以下哪个是文件“Personal Information.xlsx”的正确路径？

A. Users\YuanHe\Desktop\Confidential\Personal Information.xlsx

B. Users\YuanHe\Desktop\Personal Information.xlsx

C. Users\TMP_User\Desktop\Confidential\Personal Information.xlsx

D. Users\TMP_User\Desktop\Personal Information.xlsx

E. Users\Administrator\Desktop\Confidential\Personal Information.xlsx

D

volatility.exe -f memdump.mem --profile=Win7SP1x86_23418 mftparser > .\123.txt

 mftoutput查看内存里面的文件（文件路径，文件内容），还可恢复之前被删除

60 、分析何源的公司计算机内存镜像，可以发现以下哪些文件夹曾被访问过？

1 …\Company_Files\Jonathan Norton

2 …\Company_Files\Stephen Chow

3 …\Company_Files\John Wick

4 …\ Company_Files\Logan Chen

5 …\Company_Files\Colleen Johnson

A 2,3,5

B 2,4,6

C 1,3,5

D 3,4,5

E 1,4,5

E

ShellBags是一组用来记录文件夹（包括挂载网络驱动器文件夹和挂载设备的文件夹）的名称、大小、图标、视图、位置的注册表项，或称为BagMRU。每次对文件夹的操作，ShellBags的信息都会更新，而且包含时间戳信息。是Windows系统改善用户体验的功能之一。即使删除文件夹后，ShellBags仍然会保留文件夹的信息。因此可以用来揭示用户的活动。
原文链接：https://blog.csdn.net/qq_38154820/article/details/118561781

volatility.exe -f memdump.mem --profile=Win7SP1x86_23418 shellbags > .\shellbags.txt

145

​​​​​​​

61 、分析何源的公司计算机内存镜像，以下那一项有关这台计算机的资料是正确？

A. 这台计算机安装 Window 的时间是 2019-10-31 11:56:23 UTC + 0

B. 这台计算机的名称是 WIN-VUAL29E4P0K

C. 公开资料显示这台计算机 TCPIP 的最后更新时间是 2019-10-31 04:59:00 UTC + 0

D. A 及 C 都是正确

E. B 及 C 都是正确

B

导出注册表

volatility.exe -f memdump.mem --profile=Win7SP1x86_23418 dumpregistry --dump-dir=.\

百度发现，系统安装时间在SOFTWARE\Microsoft\Windows NT\CurrentVersion中，没有找到，在Windows Installation 系统信息中找到了安装时间2019/10/31 4:56:45，最后一行就是计算机名称，B正确

时区在SYSTEM \ CurrentControlSet \ Control \ TimeZoneInformation中，时区是GMT Standard Time，UTC+0，系统安装时间是2019/10/31 4:56:45 UTC+0，A不正确

计算机名称也可以用volatility跑，envars插件显示进程的环境变量，COMPUTERNAME是WIN-VUAL29E4POK

volatility.exe -f memdump.mem --profile=Win7SP1x86_23418 envars > ./2.txt

timeliner创建内存中的各种痕迹信息的时间线 

volatility.exe -f memdump.mem --profile=Win7SP1x86_23418 timeliner > ./timeliner.txt

TCPIP.SYS过程也被称为TCIP / IP协议驱动程序或也被称为TCP / IP驱动程序和它所属的Microsoft Windows操作系统，它是由微软公司开发的。这个过程是一个Windows驱动程序，它是一个很小的软件程序，ReviverSoft | Tcpip.sys 过程 - 什么是 Tcpip.sys? - Reviversoft

最晚的是2019-10-31 07:41:28 UTC+0000

​​​​​​​

62 、分析何源的公司计算机内存镜像，以下那一项关于这台计算机连接 USB 装置的描述是正确？

A. 没有，因为透析资料找不到

B. 没有，因为内存容量没有取得完整的注册表资料

C. 有，而且装置的牌子应该是 HUAWEI

D. 有，而且装置的 GUID 是 4d36e967-e325-11ce-afc1-832210318

E. 有，而且装置的首次插入时间 HEX 值是 40 43 30 b9 b8 8f d5 01

D

导出注册表

volatility.exe -f memdump.mem --profile=Win7SP1x86_23418 dumpregistry --dump-dir=.\

百度了一下，USB相关信息存储在SYSTEM注册表中的\ControlSet00X\Enum\USBSTOR（X是正整数），注册表查看工具Windows Registry Recovery

链接：https://pan.baidu.com/s/1x6SJyphXsjQQwj6hgXjnHQ?pwd=xl1o 
提取码：xl1o 

USB叫Disk&Ven_Seagate&Prod_Expansion&Rev_0710，Seagate是希捷，C不正确

GUID：{4d36e967-e325-11ce-bfc1-08002be10318}，D正确

首次插入时间的HEX值：40 43 30 B9 B8 8F D5 01，C不正确，这篇文章没看懂Windows 8系统中的USB设备连接时间戳问题的研究 - 道客巴巴 (doc88.com)