2018年“美亚杯”第四届中国电子数据取证竞赛-资格赛write up_林胜(victor)是一名三十岁的中学教师。一天,他在家中使用计算机期间,收到一封勒索-CSDN博客

本文链接：https://blog.csdn.net/wuxincao001/article/details/147970483

资格赛-案情介绍
1.林胜(Victor)是一名三十岁的中学教师。一天，他在家中使用计算机期间，收到一封勒索邮件，其中列出他电子邮件用户名和密码，及其他個人资料，並声称他的用户数据已被窃取，计算机已被入侵。黑客向林胜勒索两个比特币，否则会使用他的个人用户数据作非法用途。林无力支付，于是报警，并向警方提供了他的个人计算机作检验。
2.现你被委派对林的计算机进行电子数据取证，还原事件经过。
你会获得林胜(Victor)计算机的硬盘镜像文件"Victor_PC.E01"。
链接：https://pan.baidu.com/s/1C7Fn8yXln7OmtUChxzyLxg 提取码：RgDe
根据这个镜像文件的内容，请回答以下问题:
本次比赛共1 个章节, 50 个小题, 比赛时长118 分钟, 总共100分。

标题通过X-Ways Forensics、AccessData_FTK_Imager等镜像工具获取系统盘下的C:\Windows\System32\config的sam和system文件，通过mimikatz取得登录密码哈希值，并在线破解登录密码，破解得登录密码：Vv@2018，后续通过系统仿真进行取证。
在这里插入图片描述

1.[单选题] 1.Victor的笔记本电脑己成功取证并制作成法证映像档 (Forensic Image)，下列哪个是其MD5哈希值? (2分)
A. FC20782C21751AB76B2A93F3A17922D0
B. 882114D62E713DEA34C270CF2F1C69D2
C. A0BB016160CFB3A0BB0161661670CFB3
D. 917ED59083C8B35C54D3FCBFE4C4BB0B
E. FC20782C21751BA76B2A93F3A17922D0
在这里插入图片描述

2. [单选题] 2.根据法证映像档 (Forensic Image)，确定原笔记本内有多少个硬盘分区? (2分)（详见第1题）
A. 1
B. 2
C. 3
D. 4
E. 5
3. [单选题] 3.你能找到硬盘操作系统分区内的开始逻辑区块地址（LBA）? (答案格式: 扇区, Sector) (2分)（详见第4题）
A. 0
B. 2408
C. 1048576
D. 62916608
E. 32213303296
4. [单选题] 4.你能找到硬盘操作系统分区的物理大少吗 (字节byte)? (2分)
A. 62709760
B. 62910464
C. 104857600
D. 32107397120
E. 32210157568 在这里插入图片描述
5. [单选题] 5.操作系统分区的文件系统是哪种? (2分)（详见第4题）
A. FAT32
B. EXFAT
C. NTFS
D. EXT3
E. HFS+
6. [单选题] 6.操作系统分区，每个簇(Cluster)包含几个扇区(sectors)? (2分)
A. 2
B. 4
C. 6
D. 8
E. 16

7. [单选题] 7.在操作系统分区内，$MFT的物理起始扇区位置(Starting physical sector)是什么? (2分)
A. 62,919,936
B. 67,086,648
C. 68,942,784
D. 69,208,064
E. 79,865,960
在这里插入图片描述
8. [单选题] 8.请找出系统文件“SOFTWARE＂，请问操作系统的安装日期是? （答案格式－“世界协调时间＂：YYYY-MM-DD HH:MM UTC） (2分)
A. 2018-10-25 08:08 UTC
B. 2018-10-25 08:09 UTC
C. 2018-10-25 08:10 UTC
D. 2018-10-25 08:11 UTC
E. 2018-10-25 08:12 UTC 在这里插入图片描述

9. [单选题] 9.用户“victor＂的唯一标识符(SID)是什么?（答案格式：RID） (2分)
A. 1001
B. 1002
C. 1003
D. 1004
E. 1005
10. [单选题] 10.用户“Lily＂的唯一标识符(SID)是什么?（答案格式：RID） (2分)（同第9题解答）
A. 1001
B. 1002
C. 1003
D. 1004
E. 1005
11. [单选题] 11.Victor上一次更改系统登入密码是? （答案格式－“本地时间＂：YYYY-MM-DD HH:MM +8） (2分)（详见第9题）
A. 2018-11-01 16:08 +8
B. 2018-11:01 14:15 +8
C. 2018-10-26 17:00 +8
D. 2018-10-25 08:08 +8
E. 2018-10-25 16:08 +8
12. [单选题] 12.Lily上一次更改系统登入密码是? （答案格式－“本地时间＂：YYYY-MM-DD HH:MM +8） (2分)（同第9题解答）
A. 2018-11-01 03:02:01 +8
B. 2018-11:02 11:13:33 +8
C. 2018-10-26 17:00:45 +8
D. 2018-10-30 12:30:40 +8
E. 2018-10-27 12:08:37 +8
13. [单选题] 13.Victor 总共登录系统多少次? (2分) （通过仿真查看系统登录日志记录，但未找到）
A. 3
B. 16
C. 33
D. 36
E. 45
14. [单选题] 14.以下哪个帐号已经被禁用? (2分)
A. Administrator
B. victor
C. Lily
D. simon
E. 以上皆不是在这里插入图片描述
15. [单选题] 15.以下哪个帐系统权限最低? (2分)详见第14题
A. Administrator
B. victor
C. Lily
D. simon
E. 以上权限一样

[单选题] 16.以下哪个帐号曾经远端登录系统? (2分)
A. Administrator
B. victor
C. Lily
D. simon
E. 远端登入已被禁止
[单选题] 17.硬盘操作系统的版本? (2分) 仿真后看电脑属性
A. Windows 7 Enterprise (32 位)
B. Windows 7 Enterprise (64 位)
C. Windows 7 Professional (32 位)
D. Windows 7 Professional (64 位)
E. Windows 7 Ultimate (64 位)
[单选题] 18.操作系统的最新服务包(Service Pack)版本号是什么? (2分)
A. Service Pack 1
B. Service Pack 2
C. Service Pack 3
D. Service Pack 4
E. Service Pack 5
[单选题] 19.下列哪个是victor的默认打印机? (2分)
A. HP OfficeJet 250 Mobile Series
B. CutePDF Writer
C. Microsoft XPS Document Writer
D. PDF Complete
E. AL-M2330
[单选题] 20.在2018-10-31 08:29:32 +8时间, 账号simon曾经使用以下哪个文件? (2分)
A. Microsoft 商店.url
B. ug.jpeg
C. Reddy Resume.doc
D. grocerylistsDOTorg_Spreadsheet_v1_1.xls
E. InvoiceTemplate.docx
[单选题] 21.接上题，开启上述文件的程序是? (2分)
A. Internet Explorer
B. Firefox
C. 画图
D. WPS 表格
E. WPS 文字
[单选题] 22.以下哪个是victor的默认网页浏览器? (2分)
A. Internet Explorer
B. Google Chrome
C. 360浏览器
D. Firefox
E. 迅雷浏览器
[单选题] 23.victor的回收站里面有一张地图，以下哪个是这张地图原来的文件名? (2分)
A. 捕获.PNG
B. 抓取.PNG
C. Screenshot.PNG
D. Map.bmp
E. Map.jpg
[单选题] 24.接上题，上述地图原来的储存路径是? (2分)
A. C:\Users\victor\Pictures
B. C:\Users\victor\Documents
C. C:\Users\victor\Desktop
D. C:\Users\victor\Downloads
E. C:\ 25. [单选题] 25.找出一个名为"request for quotation.lnk"的档案，并指出该LNK文件的目标路径? (2分)
A. C:\Users\victor\Pictures
B. C:\Users\victor\Documents
C. C:\Users\victor\Desktop
D. C:\Users\victor\Downloads
E. C:\
[单选题] 26.接上题，上述文件上一次开启的时间是? （答案格式－“本地时间＂：YYYY-MM-DD HH:MM:SS +8） (2分)
A. 2018-10-29 15:11:43 +8
B. 2018-10-29 19:24:16 +8
C. 2018-10-29 15:11:42‌ +8
D. 2018-11-01 14:51:25 +8
E. 2018-10-29 07:11:42 +8
[单选题] 27.接上题，"request for quotation.lnk"的元数据(metadata)记录了以下哪个网卡的物理地址(mac address)? (2分)
A. 00:0C:29:70:F4:47
B. 00:50:56:C0:00:13
C. 47:F4:70:29:0C:00
D. E4:A7:A0:CB:66:C7
E. 00:0C:29:70:F4:47 28. [单选题] 28.系统账号victor使用以下哪个电子邮件发送/接收的程序? (2分)
A. Outlook express
B. Lotus Note
C. Thunderbird
D. Roundcube
E. 没有安装以上软件29. [单选题] 29.系统经哪个IP地址，登录互联网？ (2分)
A. 10.0.4.1
B. 10.0.4.128
C. 192.168.72.2
D. 192.168.72.128
E. 192.168.72.233 30. [单选题] 30.在该操作系统中，曾经连接数个USB移动储存装置 (U盘)，下列那个是该系统连接过的USB移动储存装置 ? (2分)
A. Verbatim USB Device
B. USB Mass storage USB Device
C. WD 2500BMV External USB Device
D. SanDisk Cruzer Fit USB Device
E. Seagate 250 External USB Device31. [单选题] 31.在操作系统中，上述U盘曾被指派以下哪个磁盘分区代号(Drive Letter) ? (2分)
A. D:
B. E:
C. F:
D. G:
E. Z: 32. [单选题] 32.该操作系统中，下列哪个是最后的关机时间? （答案格式－“世界协调时间＂：YYYY-MM-DD HH:MM:SS UTC） (2分)
A. 2018-11-02 08:59:38 UTC
B. 2018-11-02 10:22:40 UTC
C. 2018-11-02 10:23:03 UTC
D. 2018-11-02 10:47:28 UTC
E. 2018-11-02 10:47:51 UTC 33. [单选题] 33.该操作系统中，下列哪个是计算机的主机名? (2分)
A. VICTOR-COMPUTER
B. WORKGROUP
C. SIMON-HOME
D. VICTOR-HOME
E. LILY-HOME34. [单选题] 34.接上题，设定为上述计算机主机名前是什么名称? (2分)
A. 42P323K467-22
B. 37L4247F27-25
C. WIN-6S2GC51RGL9
D. USER-PC
E. MY-PC
35. [单选题] 35.接上题，上述计算机主机名设定时间是? （答案格式－“本地时间＂：YYYY-MM-DD HH:MM:SS +8） (2分)(详见第34题)
A. 2018-10-24 11:07:22 +8
B. 2018-10-28 12:22:59 +8
C. 2018-10-27 13:45:18 +8
D. 2018-10-25 16:04:19 +8
E. 2018-10-25 16:07:38 +8
[单选题] 36.在该操作系统中，下列哪个是用户victor日常使用的电邮账号? (2分)（详见第28题）
A. victor201811@hotmail.com
B. wictor2018111@hotmail.com
C. victor_201811@google.com
D. victorlam2018@hotmail.com
E. 以上皆不是
[单选题] 37.victor 上一次更改上述电邮账号密码是什么时候? （答案格式－“本地时间＂：YYYY-MM-DD） (2分)
A. 2018-10-29
B. 2018-10-30
C. 2018-10-31
D. 2018-11-01
E. 2018-11-02 38. [单选题] 38.victor什么时候收到勒索电邮? （答案格式－“本地时间＂：YYYY-MM-DD HH:MM +8） (2分)
A. 2018-11-02 09:09 +8
B. 2018-11-02 09:10 +8
C. 2018-11-02 10:09 +8
D. 2018-11-02 17:09 +8
E. 2018-11-02 17:10 +8 39. [单选题] 39.以下哪个是发出勒索邮件的的IP地址? (2分)(查看邮件原代码，找出发件地址)
A. 10.152.64.57
B. 10.152.64.217
C. 220.246.55.13
D. 74.208.4.220
E. 10.76.45.13 40. [单选题] 40.勒索邮件的附件解压后有一个病毒文件，这个文件的MD5哈希值是? (2分)
A. 72596F71248531853F37D4BD15D088C4
B. 15B64B15CC5A5442196471690D4A088B
C. 67A1487E296328C9E802D50741D8DB9C
D. 72596F71248DH3S92LS7D4BD15D088C4
E. 5BB71EF8E95A5249EF4C2A8CFF9A1E1C 41. [单选题] 41.上述的病毒文件什么时间被系统执行? （答案格式－“本地时间＂：YYYY-MM-DD HH:MM +8） (2分)
A. 2018-11-02 14:15 +8
B. 2018-11-02 17:09 +8
C. 2018-11-02 17:13 +8
D. 2018-11-02 17:20 +8
E. 2018-11-02 17:23 +8
[单选题] 42.这个病毒是否会在重新开机后自动运行?如会，它是通过下列哪个程序执行? (2分)（可以通过在线沙盒进行取证，第42-44题）
A. Thunder.exe
B. QyKernel.exe
C. QyClient.exe
D. javaw.exe
E. 病毒不会自动执行
[单选题] 43.病毒文件被执行后有以下哪个文件被生成? (2分)
A. E8S377N3N8UOAMS82PQJ.temp
B. tbc_stat_cache.dat
C. JNativeHook_4940080920928265976.dll
D. 83aa4cc77f591dfc2374580bbd95f6ba.tmp
E. downloads.json
[单选题] 44.接上题，上述文件有什么功能? (2分)
A. 获取镜头权限
B. 追踪键盘记录
C. 抓取浏览器密码
D. 抓取系统登入密码
E. 存取系统分区
[单选题] 45.以下哪个是系统安装的第三方输入法软件? (2分)
A. sogou pinyin
B. sogou wubi
C. Baidu Pinyin
D. QQ Pingyin
E. 以上皆不是
[单选题] 46.操作系统是跟哪一个时间服务器自动同步? (2分)
A. time.nist.gov
B. time-a.nist.gov
C. time.windows.com
D. time-b.nist.gov
E. time-nw.nist.gov
[单选题] 47. 法证人员于2018-11-02 下午6时25分到场，之后对系统作以下哪项取证? (2分)
A. 抓取荧幕画面
B. 备份使用者资料
C. 备份浏览记录
D. 抓取网络数据包
E. 制作内存镜像档
48. [单选题] 48. 法证人员到场后，以下哪个软件曾经在系统里运行过? (2分) (同第47题）
A. wireshark.exe
B. Magnet RAM capture.exe
C. Lightscreen.exe
D. fastdump.exe
E. 以上皆不是
[单选题] 49.接上题，所抓取的资料被储存为以下哪个文件? (2分)
A. victor_PC_networktraffic.pcapng
B. Lily_PC.networktraffice.pcapng
C. PC_ screenshot.PNG
D. victor_PC_memdump.dmp
E. Lily_PC_memdump.dmp
[单选题] 50.接上题，上述档案储存到以下哪个分区? (2分)（详见第49题）
A. D：
B. E：
C. F:
D. G:
E. H: