在一起电诈案件中,受害者称自己的银行卡被他人冒用,曾收到假冒公安的短信,因为自己在一个P2P网站中理财,假冒公安称该网站已被列外非法网站,要自己到公安备案网站填写自己的信息,并帮助自己追回本金,因此信以为真,在网站上填写了自己的信息和绑定的银行卡信息;办案机关推测嫌疑人可能是获取了P2P网站中的注册用户信息,从而进行定向诈骗,因此调取了P2P理财网站的服务器,现委派你对该服务器进行电子数据取证。
你获得该P2P理财网站服务器硬盘镜像文件“检材1.E01”,根据这个镜像文件,回答下列问题:
1、计算“检材1.E01”镜像的SHA256值是多少( )
- 2b20022249e3e5d66d4bbed34ad337be5dd77b313c92dfe929aa56ed71449697
- 6a574c40548110598bd4c88520d34b37d13b372066737ede3104743f986b7263
- 5ee0b3809807bf8a39453695c5835cddfd33f65b4f5bee8b5670625291a6bc1c
- 8495b678da27c64b54f083afefbcf9f83f94c1de133c70c175b4a784551939dd
2、该服务器的操作系统版本是什么( )
A. CentOS release 6.5 (Final)
B. Ubuntu 16.04.3 LTS
C. Debian GNU/Linux 7.8 (wheezy)
D.CentOS Linux release 7.6.1810(Core)
3、该服务器内核版本是多少( )
A.3.10.0-957.el7.x86_64
B. 3.2.0-4-amd64
C. 4.8.0-52-generic
D. 4.10.0-28-generic
4、原服务器存在多少硬盘分区?( )
A.1
B.2
C.3
D.4
5、原服务器中硬盘分区其中含有一个LVM逻辑卷的分区,请找出该分区内开始的逻辑区块地址(LBA)。(答案格式: 扇区,Sector)( )
A.0
B.2048
C.2099200
D.4194344
6、该LVM逻辑卷分区内root逻辑卷的文件系统是什么?( )
A.NTFS
B.EXT4
C.SWAP
D.XFS
7、该LVM逻辑卷分区内root逻辑卷的物理大小是多少?(单位:byte)( )
A. 2,147,483,648
B. 2,147,504,128
C. 18,249,416,704
D. 20,400,046,080
8、请找出该服务器的网站访问端口是什么?( )
A.22
B.25
C.80
D.8091
9、该服务器中运行了docker应用,在本地有多少docker镜像?( )
A.10
B.11
C.12
D.13
10、该docker应用的server版本是多少?( )
A.16.05.2
B.17.03.8
C.18.09.7
D.19.03.3
11、该docker应用中总共有多少容器节点?( )
A.10
B.11
C.12
D.13
12、运行中的容器节点有多少?( )
A.1
B.2
C.3
D.4
13、在运行中的容器节点中,其中一台容器名称为romantic_varahamihira的容器节点,它的hostname是什么?( )
A. 16fc160060c1
B. 1ef6292872e0
C. 753abb28b629
D. 53766d68636f
A.25
B.8012
C.8091
D.未占用端口
15、在运行中的容器节点中,其中一台容器ID为15debb1824e6的容器节点,它运行了什么服务?( )
A.ftp
B.ssh
C.nginx
D.smtp
16、上题容器节点中,占用了主机的哪个端口?( )
A.22
B.8091
C.39999
D.未占用端口
17、该服务器中网站运行在docker容器中,其中web服务使用的是什么应用?( )
A.apache
B.tomcat
C.nginx
D.IIS
18、上题所述运行web服务的容器节点,使用的镜像名称是什么?(格式REPOSITORY:TAG)( )
A.apache: latest
B.tomcat: jessie-slim
C.nginx: jessie-slim
D.nginx: latest
19、上题所述容器节点占用的容器端口是什么?( )
A.22
B.80
C.8091
D.未占用端口
20、网站目录所在的容器内部路径为(格式:容器ID:路径)( )
A. d1085c1a8828:/home/ vue2-element-touzi-admin
B. 53766d68636f:/ home/ vue2-element-touzi-admin
C. 16fc160060c1:/var/www/ vue2-element-touzi-admin
D. 15debb1824e6: /var/www/ vue2-element-touzi-admin
21、网站目录所在的主机路径为下列选项中的哪个?( )
A./var/lib/docker/overlay2/cca977c8ca4a251023000285fbc8b4556636e1adc53cb012c84133a7b857abfc/diff/home/vue2-element-touzi-admin
B./var/lib/docker/overlay2/fd27756120785ef656c9211b6147ef5f38d6a9811006d85359458f7fa8d45415/diff/home/vue2-element-touzi-admin
C./var/lib/docker/overlay2/f405ba5e3f1f0e04a3585fbc95a47d13b4009dd9d599ac91015babebd5a5ff9b/diff/var/www/ vue2-element-touzi-admin
D./var/lib/docker/overlay2/d42b9a02aa87386b137242f691cb3e6303c4c0f3441419efb17ff550fdf5de28/diff/var/www/ vue2-element-touzi-admin
22、网站日志的路径在哪?(格式:容器ID:路径)( )
A. 53766d68636f:/etc/nginx/logs/jrweb.log
B. 53766d68636f:/var/log/access.log
C. 16fc160060c1:/etc/nginx/logs/jrweb.log
D. 16fc160060c1:/var/log/access.log
23、案发当时,该服务器的原始IP地址是多少?( )
A.192.168.160.89
B.192.168.184.100
C.192.168.120.111
D.192.168.184.128
24、在docker中,各容器节点和主机之间的网络连接模式是什么?( )
A. bridge模式
B. host模式
C. container模式
D.none模式
25、当我们想将网站重构好时,访问网站时,web应用在其中承担什么样的工作?( )
A.运行网站
B.转发
C.反向代理
D.负载均衡
26、从网站日志中,我们可以看到嫌疑人入侵服务器所使用的IP是( )
A.192.168.184.1
B.192.168.160.89
C.192.168.184.133
D.192.168.160.169
27、网站目录中网站的主配置文件是哪一个?(相对路径)( )
A./config/index.js
B./server/api.js
C./server/index.js
D./src/main.js
28、该网站使用的是什么数据库?( )
A.mysql
B.oracle
C.mongodb
D.redis
29、所使用数据库的端口是多少?( )
A.1521
B.3306
C.6379
D.27017
30、数据库所在服务器IP是多少?( )
A.192.168.160.131
B.192.168.184.131
C.192.168.160.169
D.192.168.184.129
31、数据库的用户名是什么?( )
A.root
B.tougu
C.admin
D.goose
32、数据库的密码是什么?( )
A.123456
B.admin
C.goose
D.root
33、该网站所使用的数据库库名是什么?( )
A.root
B.tougu
C.admin
D.goose
34、在案发时,黑客对该服务器某个文件/目录进行了加密,请问是哪个文件/目录?( )
A.~/.bash_history
B./var/log/
C./etc/ssh/sshd_config
D.~/ runit-agent.txt
你获得了该P2P理财网站数据库服务器硬盘镜像文件“检材2.E01”,根据这个镜像文件,回答下列问题:
35、该数据库服务器使用数据库的安装路径在哪?( )
A. /etc/mysql/
B. /home/redis/
C. /etc/mongo/
D. /var/lib/mongo/
36、数据库的配置文件的路径?( )
A./var/lib/mongo/mongo.conf
B./var/lib/mongo/mongod.conf
C./etc/mongod.conf
D./home/redis/redis.conf
37、数据库的日志文件路径在哪里?( )
A./etc/redis.log
B./var/log/mongodb.log
C./var/log/mongodb/mongod.log
D./var/lib/mongo/mongo.log
38、该数据库的网站用户表名是什么?( )
A.user
B.users
C.touzi
D.licai
39、该数据库中网站用户表里的密码字段加密方式是( )
A.未加密
B.双重MD5
C.MD5加salt
D.MD5
40、该用户表被做过什么样的修改?( )
A.删除用户
B.修改用户密码
C.修改用户名
D.添加用户
41、嫌疑人对该数据库的哪个库进行了风险操作?( )
A.licai
B.touzi
C.tougu
D.admin
42、嫌疑人对上述数据库做了什么样的风险操作?( )
A.修改库名
B.添加库
C.查询库
D.删除库
43、嫌疑人在哪个时间段内登陆数据库?( )
A.18:03-18:48
B.18:05-18:45
C.18:01-18:50
D.18:05-18:32
44、嫌疑人在什么时间对数据库进行了42题所述的风险操作?( )
A.18:09:37
B.18:09:40
C.18:09:44
D.18:09:50
经调查,你扣押获得了一台嫌疑人使用过的VPN服务器,并用服务器硬盘制作成“检材3.E01”镜像文件,根据该镜像文件,回答下列问题。
45、该服务器所使用的VPN软件,采用了什么协议( )
A.L2TP
B.PPTP
C.IPSec
D.NFS
46、该服务器的时区为( )
A. Asia/ShangHai
B. Asia/Tokyo
C. Asia/Bangkok
D. Asia/Dhaka
47、该服务器中对VPN软件配置的option的文件位置在哪里?( )
A. /etc/ppp/options.pptpd
B./var/lib/vpn/options.pptpd
C./etc/ipsec/options.ipsecd
D./etc/l2tp/options.l2tpd
48、VPN软件开启了写入客户端的连接与断开,请问写入的文件是哪个?( )
A.wtmp
B.btmp
C.ftmp
D.tmp
49、VPN软件客户端被分配的IP范围是( )
A.192.168.184.1-192.168.184.11
B.192.168.184.12-192.168.184.18
C.192.168.184.19-192.168.184.26
D.192.168.184.27-192.168.184.35
50、由option文件可以知道,option文件配置了VPN软件的日志路径为( )
A./var/lib/logs/
B./etc/logs/
C./var/log/pptp/
D./var/log/
51、VPN软件记录了客户端使用的名称和密码,记录的文件是( )
A. /etc/l2tp/chap-secrets
B. /etc/ipsec/pap-secrets
C. /etc/ppp/chap-secrets
D. /etc/ppp/pap-secrets
52、在服务器时间2019-07-02_02:08:27登陆过VPN客户端的用户名是哪个?( )
A. root
B. vpn1
C. vpn2
D. vpn3
53、上题用户登陆时的客户IP是什么?( )
A. 192.168.184.133
B. 172.16.81.101
C. 192.168.184.134
D. 192.168.43.238
54、通过IP172.16.80.188登陆VPN服务器的用户名是哪个?( )
A. root
B. vpn1
C. vpn2
D. vpn3
55、上题用户登陆VPN服务器的北京时间是( )
A. 2019-07-11_10:46:50
B. 2019-07-11_11:30:36
C. 2019-07-13_14:15:37
D. 2019-07-13_16:15:37
56、该服务器曾被进行过抓包,请问network.cap是对哪个网卡进行抓包获得的抓包文件?( )
A.eth0
B.ens33
C.ens37
D.ens160
57、对ens37网卡进行抓包产生的抓包文件并保存下来的是哪个?( )
A. network.cap
B. network1.cap
C. net0713.cap
D. net0713-1.cap
58、从保存的数据包中分析可知,出口的IP为( )
A. 172.16.80.92
B. 172.16.81.101
C. 172.16.81.188
D. 172.16.80.133
你抓获了嫌疑人,并扣押了嫌疑人笔记本电脑,制作笔记本硬盘镜像文件“检材4.E01”,请根据镜像文件,回答下列问题:
59、计算“检材4.E01”文件的sha256值( )
A. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5
B. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6
C. e6e47e210bd56c7071ce73ab5523736120071d0f3da5335936d7beb25c3914cd
D. 1e646dec202c96b72f13cc3cf224148fc4e19d6faaaf76efffc31b1ca2cdd200
60、请分析该检材的操作系统版本( )
A. Windows 10 Education
B. Windows 10 Home
C. Windows 10 Pro
D. Windows 10 Enterprise
61、找出该系统用户最后一次登陆时间:( )
A. 2019-07-14 10:50:02
B. 2019-07-14 10:10:02
C. 2019-07-14 10:40:02
D. 2019-07-14 10:30:02
62、找出该系统最后一次正常关机时间:( )
A. 2019-07-14 17:30:05
B. 2019-07-14 10:30:05
C. 2019-07-14 11:30:05
D. 2019-07-14 12:30:05
63、请计算检材桌面上文本文件的sha256值:( )
A. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5
B. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6
C. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c7
D. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c8
64、该系统于2019年7月13日安装的软件为:( )
A. Eraser
B. Putty
C. Xftp
D. Xshell
65、找出该嫌疑人于2019-07-13 17:52:19时,使用WinRAR工具访问了_____文件:( )
A. navicat11.zip
B. we.tar.gz
C. test2-master.zip
D. BitLocker.rar
66、系统于2019-07-13 17:53:45时运行了___程序:( )
A. regedit.exe
B. WinRAR.exe
C. Xshell.exe
D. Foxmail.exe
67、文件test2-master.zip是什么时间下载到本机的:( )
A. 2019-07-13 14:21:01
B. 2019-07-13 17:22:01
C. 2019-07-13 15:23:01
D. 2019-07-13 16:20:01
68、文件test2-master.zip是使用什么工具下载到本地的:( )
A. Chrome
B. Internet Explorer
C. edge
D. 迅雷
69、嫌疑人成功连接至192.168.184.128服务器的时间为:( )
A. 2019-07-13 16:21:28
B. 2019-07-13 16:21:31
C. 2019-07-13 16:21:35
D. 2019-07-13 16:21:25
70、嫌疑人通过远程连接到128服务器,下载了什么文件到本机:( )
A. web.tar.gz
B. we.tar.gz
C. home.tar.gz
D. wwwroot.tar.gz
71、承接上一题,下载该文件用了多长时间:( )
A. 10秒
B. 20秒
C. 15秒
D. 25秒
72、请计算该下载文件的sha256值:( )
A. 077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d8
B. 077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d7
C. 077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d6
D. 077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d5
73、请分析并提取,嫌疑人所用的手机的IMEI号码:( )
A. 352021062748965
B. 352021062748966
C. 352021062748967
D. 352021062748968
74、嫌疑人是通过何种方式联系到售卖恶意程序的卖家的:( )
A. 微信
B. QQ
C. 短信
D. 邮件
75、嫌疑人和卖家的资金来往是通过何种方式:( )
A. 微信
B. QQ
C. 银行转账
D. 支付宝
76、嫌疑人在犯罪过程中所使用的QQ账号为:( )
A. 1649840939
B. 1137588348
C. 364505251
D. 1722629449
77、卖家所使用的微信账号ID为:( )
A. refrain_C
B. flame_guan
C. chao636787
D. sword19880521
78、嫌疑人下载了几个恶意程序到本机:( )
A. 1
B. 2
C. 3
D. 4
79、恶意程序被嫌疑人保存在什么位置:( )
A. D:/DOWNLOAD
B. C:/USER
C. C:/
D. D:/
80、恶意程序是使用什么工具下载到本地的:( )
A. Chrome
B. Internet Explorer
C. edge
D. 迅雷
81、嫌疑人是什么时间开始对受害者实施诈骗的:( )
A. 2019-07-13 19:14:44
B. 2019-07-13 19:24:44
C. 2019-07-13 19:04:44
D. 2019-07-13 19:44:44
82、请提取受害者的银行卡信息,银行卡账号为:( )
A. 6225000088217563457
B. 6225000088257563456
C. 6225000088257563458
D. 6225000088257563459
83、请综合分析,嫌疑人第一次入侵目标服务器的行为发生在:( )
A. 2019-07-13 16:17:30
B. 2019-07-13 16:17:32
C. 2019-07-13 16:17:35
D. 2019-07-13 16:17:38
84、请综合分析,嫌疑人入侵服务所使用的登陆方式为:( )
A. SSH密码登陆
B. SSH密钥登陆
C. 连接后门程序
D. FTP登陆
85、可知嫌疑人应对外发送过邮件,请分析并找到发出的邮件,可知邮件的发送时间为:( )
A. 2019-07-13 17:55
B. 2019-07-14 17:56
C. 2019-07-14 17:57
D. 2019-07-14 17:58
86、可知嫌疑人应对外发送过邮件,请分析并找到发出的邮件,可知邮件收件人为:( )
A. 1649841939@qq.com
B. 1649840939@qq.com
C. 1649845939@qq.com
87、请重构被入侵的网站,可知该网站后台管理界面的登陆用户名为:( )
A. root
B. Administered
C. admin
D. user
88、请重构被入侵的网站,并登陆网站后台管理界面,对该网站进行证据固定,可知该网站首页左侧导航栏,不包含下列那个内容:( )
A. 信息列表
B. 资金管理
C. 资金数据
D. 会员信息
89、通过分析知,嫌疑人对目标服务器植入了勒索程序,请解密检材2中的被加密数据库,其sha256值为:( )
A. 8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a2
B. 8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a3
C. 8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a4
D. 8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a5
90、通过分析知,嫌疑人有对目标服务器植入ddos程序,对该程序进行功能性分析,可知该程序会将自身复制到目标机器的什么目录下:( )
A. /etc
B. /lib
C. /root
D. /tmp
91、通过分析知,嫌疑人有对目标服务器植入ddos程序,对该程序进行功能性分析,可知该程序主控地址为(多选):( )
A. shaoqian.f3322.net
B. shaoqian.f3344.net
C. gh.dsaj3a2.org
D. gh.dsaj2a1.org
92、压缩包test2-master.zip中的文件是什么?( )
A.恶意软件
B.加密程序
C.密钥文件
D.下载软件
93、应用程序TrueCrypt-7.2.exe是在什么时间下载到本机的?( )
A. 2019-07-06 00:04:38
B. 2019-07-06 00:06:38
C. 2019-07-06 00:08:38
D. 2019-07-06 00:10:38
94、文件runit.txt从哪个域名下载的?( )
A.https://pan.forensix.cn/lib/367d7f96-299f-4029-91a8-a31594b736cf/runit
B. https://pan.baidu.com/s/19uDE7H2RtEf7LLBgs5sDmg?errno=0&errmsg=Auth Login Sucess&&bduss=&ssnerror=0&traceid=
C.https://pan.forensix.cn/seafhttp/files/dec88b97-b2bc-414f-93a3-dcbbc15d615/runit
D. https://pan.forensix.cn/seafhttp/files/8fdf1982-e323-4efe-ae28-2bba21b5162c/runit
95、BitLocker密钥在什么位置?( )
A. D:/DOWNLOAD
B. C:/USER
C. C:/
D. D:/
96、BitLocker.rar生成的时间是?( )
A. 2019-07-13 17:51:47
B. 2019-07-13 17:52:19
C. 2019-07-13 17:53:24
D. 2019-07-13 16:31:06
97、文件we.tar.gz传输完成的时间是?( )
A. 2019-07-13 16:31:06
B. 2019-07-13 16;33:00
C. 2019-07-13 16:33:15
D. 2019-07-13 16:33:30
98、嫌疑人在什么时间登陆网页微信?( )
A. 2019-07-13 16:34:55
B. 2019-07-13 16:40:13
C. 2019-07-13 16:45:45
D. 2019-07-13 16:53:45
99、嫌疑人于2019-07-13 17:22:23下载了什么文件?( )
A.网站目录压缩文件
B.数据库备份文件
C.网站日志文件
D.数据库日志文件
100、硬盘C盘根目录中,文件pagefile.sys.vhd的作用是什么?( )
A. pagefile页面交换文件
B. 虚拟机启动文件
C. 系统配置文件
D. 虚拟磁盘
1-5 CDABC 6-10 DCDBC 11-15 ACDDB 16-20 CCDBB
21-25 ACDAB 26-30 CCCDD 31-35 ADBAD 36-40 CCBAB
41-45 CDDAB 46-50 DAABD 51-55 CADBD 56-60 BDACA
61-65 CCAAD 66-70 DDAAB 71-75 CDCBA
76-80 ACBDC 81-85 CBCBB 86-90 BCDAB
91-95 AD CCDB 96-100 BCABD
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
