第二次做美亚杯的题目,一开始是在文档里编辑的,比较懒,就没有截屏,属于菜鸡解题,纯纯记录一下。
资格赛 - 案情介绍
1. 何源是一名 25 岁的客服人员,在一间电讯公司工作。某日,何源在用 iPhone 手机在政府建筑物 中偷拍车牌期间被警员截停,盘问期间警员检查手机相册发现多张车牌图片,何源情绪紧张,趁 警员不被,抢过手机丢入车流,被完全损毁。行为十分可疑,警方于是展开调查。审讯期间何源 承认利用自己职权的便利,登入公司储存客户数据的服务器,非法取得一些政府人员的个人资 料,例如姓名,车牌号码,电话等等,再将这些数据出售
2. 警方检获何源个人计算机,以及何源公司计算机(由于何的公司不允许警方检取整台计算机, 人 员只能取得内存数据档案(memory image) 以作分析) 。现你被委派对何的计算机进行电子数据取 证,还原事件经过。
你会获得何源 ( YuanHe ) 计算机的硬盘镜像文件 "win2.E01"以及何源公司计算机的内存数据档案 “memdump.mem” 。根据这两个镜像文件的内容,请回答以下问题:
证据列表
| 证据路径 | 说明 |
| HE_Company_Windows_ RAM\memdump.mem | 何源的公司计算机内存镜像 |
| HE_Home_Windows\Win2\Win2.E01 | 何源的个人计算机镜像 |
1、何源的个人计算机硬盘已成功被取证并制作成镜像(Forensic Image),下列哪个是镜像的 SHA1 哈希值?
A. 6891d022c7e6fe81dc8ba2160e1ab610891596d3
B. 3e57817ea6263bc2c696a3455cc96381
C. ed43de631a56dd2c8bac4abbd3882c86
D. dd32beac5ef2cd1cac06bdd8b5e88cbc4eb94de9
E. 48a45c39da458f3cadd92017e0247454dc8bff66
直接点开win2.E01.txt这个文件拉下去就行了
- 在何源的个人计算机中,硬盘中包含哪个操作系统(Operating System)?
A.Windows 7
B.FAT32
C.Windows 10
D.Kali Linux
E.NTFS
系统信息里面查看就ok,注意区别第3题
3、何源个人计算机的文件系统(File System)是什么?
A.FAT16
B.FAT32
C.Windows 7
D.NTFS
E.Windows 10
这题我做的比较复杂,因为我发现不同盘的文件系统是不一样的,然后就搜了一下文件系统(我的搜都是在取证软件里面搜,不是百度的意思),发现都集中在D盘,就去看了D盘的文件系统。但我这个方法不妥(或者说是错误的),一般来说文件系统是看自带的盘,也就是os(c:),所以说直接弘连右下角分区信息看看就行了。
4 、在何源的个人计算机中,你能找到操作系统分区的总容量吗 (单位:字节 byte)?
A.492,083,081,216
B. 105,685,986,874
C. 386,908,999,680
D. 105,174,081,536
E. 492,594,986,554
这题完全不会,看了nzh的方法,暂且认为D盘是操作系统分区吧(我也还没找到合适的解释)。
还有个知识点:总容量=扇区数x512(b)
5 、在何源的个人计算机中,操作系统分区的$Bitmap 的起始物理扇区位置(Physical Sector Number)是多少?
A.5,683,328
B.6,170,040
C.7,026,176
D.8,498,304
E.9,168,216
这题完全难理解,看了nzh的博客,就同样暂且认为D盘就是操作系统分区吧(不知道啥情况之前写的这题做题记录没了)
6 、在何源的个人计算机中,请问操作系统的安装日期是? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC)
A.2019-10-16 04:44 UTC
B.2019-10-17 16:25 UTC
C. 2019-10-16 10:12 UTC
D. 2019-10-18 02:13 UTC
E. 2019-10-18 09:14 UTC
系统信息里看一下安装时间就行,就是要注意时区,这边是UTC,所以要减8个小时
7 、在何源的个人计算机中,每个扇区(Sector)包含多少个字节?(单位: byte)
A.512 bytes
B.1024 bytes
C.2048 bytes
D.4096 bytes
E.8192 bytes
聪明的我直接百度,果不其然常识题。知识点:每个扇区包含512b
8 、在何源的个人计算机中,操作系统的时区是哪个时区?
A. Eastern Standard Time (GMT-05:00) : US and Canada
B. Pacific Standard Time (GMT-08:00): Tijuana
C. Korea Standard Time (GMT+09:00): Seoul
D. GMT Standard Time (GMT): Dublin, Edinburgh, Lisbon, London
E. China Standard Time (GMT+08:00): Beijing, Chongqing, Hong Kong, Shanghai
系统痕迹——系统信息——时区信息,或者直接打开弘连就有了
9在何源个人计算机的操作系统中,下列哪个是计算机的主机名?
A. DESKTOP-JW47K02
B. HEYuan-WIN1
C. HEYuan-WIN2
D. DESKTOP-SM22M96
E. DESKTOP-WE23K24
系统信息里面直接看哈,看那个完整计算机名
10在何源的个人计算机中,以下哪一个是用户“He Yuan”的 SID?
A. S-1-5-21-1551135561-2581751248-1803739423-1001
B. S-1-5-21-1551135561-2581751248-1803739423-1000
C. S-1-5-21-1551135561-2581751248-1803739423-500
D. S-1-5-21-1551135561-2581751248-1803739423-501
E. None
菜鸡SID是啥都不知道,就百度了一下,是安全标识,然后就各种搜,全部不行,看了下题目是用户“HeYuan”,欸嘿,那不就有地方找找看了么,当然下次还是要记住怎么找滴,系统信息——用户信息里面看He Yuan这个用户后面的用户标识
11 在何源的个人计算机中,下列哪个 USB 移动储存装置 (U 盘)曾被分配为‘E’磁盘分区代号(Drive Letter) ?
A. Kingston DataTraveler 3.0 USB Device
B. SanDisk Transcend USB Device
C. Samsung Portable SSD USB Device
D. WD My Passport 3.0 USB Device
E. Seagate Flash Disk USB Device
原本找到了usb使用痕迹感觉自己很牛,然后还发现唯一一个跟E盘有点关系的,结果没这个结果,就抱着做题的目的看了下选项,只有A,但我觉得这种方法没有学到东西,看了其他博主的解法好像也只能这样了。
12、在何源的个人计算机中,用户“He Yuan”曾经在挂载为“E”盘的 USB 移动储存装置中访问过一些文件/文件 夹,以下哪一个不是?
A. E:\美国恐怖故事
B. E:\New Text Document.txt
C. E:\CONFIDENTIAL.doc
D. E:\PycharmProjects
E. A,B,C,D
这题跟我上一题发现的那个u盘呼应上了,但是没那么容易做,我只能复制了一下u盘名称,搜了一下,在那个快捷方式问年间解析里面看到了熟悉的美国恐怖故事,但跟题干不匹配,就再找了一下选项,根本找不到,就选D了。很不幸我错了,应该去看用户痕迹——最近访问记录——最近访问的文档然后看跟E盘有关的。好难受,方向完全错了,还是受了上一题的影响。
13在何源的个人计算机中,用户“He Yuan”最近在本机上访问过一些文件,以下哪一个不是?
A.Sample Project Plan.doc
B. URGENT.doc
C. connect.py
D. 美国恐怖故事 01.mp4
E. Comprehensive-Minute-Template.doc
直接最近访问记录里面看一下文档,筛一下路径要是HeYuan这个用户的,就可以找了。
14在何源的个人计算机中,以下哪一个是程序“VERACRYPT.EXE”的运行次数?
A.1
B.2
C.3
D.4
E. 6
应用程序运行痕迹里面按名称排一下很快就找到了。
15 、在何源的个人计算机中,在程序“VERACRYPT.EXE”运行时,以下哪个 dll 文件并没有同时被加载?
A. COMDLG32.DLL B. CRYPT32.DLL C. SECUR32.DLL
D. CRYPTSP.DLL E. ENCRYPT.DLL
16 、在何源的个人计算机中,用户“He Yuan”的桌面墙纸(Wall paper)背景是什么颜色?
A.黑色 B. 灰色 C. 蓝色 D. 红色 E. 绿色
弘连仿真。
17 、在何源的个人计算机中,以下哪个文件在电脑 power off 的时候仍然拥有内存的内容? 此文件具有与电脑内存 (RAM)相似的大小并保存在根目录。
A. WIN386.SWP B. HIBERFIL.sys C. PAGEFILE.SYS D. NTUSER.DAT
E. SWAPFILE.SYS
做这题真的搞笑,我刚准备清理莫名快爆了的C盘,知乎就教我要清理B选项这个文件,好像是休眠的,关掉这个还能释放3G的内存,然后搜了一下其他选项,AC没有,E的内存比较小,就选B啦,记住这个文件呐!
18 、在何源的个人计算机中,以下哪个 database 文件存有此操作系统的 timeline 痕迹?
A.SRUDB.dat
B.Windows.edb
C.Spartan.edb
D. ActivitiesCache.db
E. Thumbs.db
去时间轴里面随便点一个跳转源文件,然后就能看到都是D选项这样子的了。
19 、在何源的个人计算机中,曾被分配过的 ip 地址是?
A.147.8.177.224 B. 147.10.188.23 C. 192.168.0.110 D. 10.12.9.214 E. 192.168.1.2
这题考ip就去看网络连接,只有A项比较“显眼”,哈哈其实是只有A项啦。
20 、在何源的个人计算机中,用户”Administrator”的 Internet Explorer 浏览器的 start page 是以下哪个?
A.http://go.microsoft.com
B.https://www.bing.com
C.http://www.baidu.com
D.https://www.google.com
弘连仿真。
21 在何源的个人计算机中,你是否可以找到何源 iPhone 手机的线索。关于他的手机,以下哪条信息不正确?
A.IMEI:359461082062689
B. Serial Number:F17V1L6EHG70
C. Apple ID :heyuan516@icloud.com
D. MSISDN: 85259114189
E. 无
用弘连的时候就看到了熟悉的证据嵌套识别,也就是说有手机备份,然后学习了一下方法,跳转源代码,然后把文件导出来,放回去分析,但是不知道为什么弘连上下下来不完整,就去取证大师里面找手机备份,阴差阳错直接看到了APPLE然后就找到了那个源文件,从取证大师里面下下来就完整了,放回去又碰到了问题,弘连根本分析不出什么东西来,结果弄了一晚上重启一下弘连就搞定了。
22 、用户“He Yuan”在 WhatsApp 上与谁进行了对话?
A.Keanu Reeves
B.Michael Nyqvist
C.Peter Wang
D. John Manager
E. Michael Brown
23 在手机联系人中,Anthony Chung 的手机号是多少?
A.+85252018664
B.+85257025241
C.+85257024765
D. +8613890274976
E. +8613928749036
24、He Yuan 在 iPhone 自带的 Safari 浏览器中搜索过一些关键词,以下哪一个不是?
A.野狼 disco B.拜佛过人 professor C.engineer's day 1024
D.Programmer's Day no bug E.poptown 攻略
25、用户“He Yuan”的 WeChat ID 是多少?
A.HEYUAN516
B.wxid_9y8cs5hdin2i15
C.wxid_9y8cs5hdin2i14
D.wxid_9y8cs5hdin2i13
E.wxid_9y8cs5hdin2i12
26、在 WeChat 的多个聊天记录中,用户“He Yuan”没有聊到过哪个话题?
A.与中介谈买房
B.与老板谈洗钱
C.与黑客谈交易
D.与网贷谈借钱
E.与朋友谈炒房
看记录挺搞笑的y1s1
27.从 WeChat 中的一个聊天记录中可知,用户“He Yuan”持有多少人的数据?
A.About 500
B.About 1000
C.About 2000
D.About 3000
E.About 500
认真看记录,只能说努力不会白费,何况这些都是真正取证工作中应该关注的。
28.接上题,Hacker 最后要支付多少 Bitcoin 给 He Yuan?
A.0.002312 B.0.066666 C.0.036354 D.0.014594 E.0.012398
我发现看记录最好还是一个一个点进去看,外面的总的会少一些信息。
29、接上题,He Yuan 的 Bitcoin 收款地址是多少?
A.cI7g0tIzPuP2pxb20HQHNGOQdpmptDaCBf
B.InCeInFZmAP3PCLHLOchKTEZevQdHgQdP3
C.4qISisBY2Z8xgh9C6orRfuRzmzXKznUc5Z
D.18yZq8Dboyuvnd3R6pqG9kJkaZBki2JCoN
E.n5X7jwdPspKRgnZU6xzcEQueJanRqGdZQd
这题很妙,从手机微信记录里点不开这张照片,那么就去看电脑微信的照片缓存,然后根据时间就能找到了。这个去看电脑记录确实是个优秀的方法。
30、接上题,He Yuan 分享给 Hacker 的百度网盘链接是多少?
A.https://pan.baidu.com/s/u8rLTgLZabfd9Va1wRjzyc9
B.https://pan.baidu.com/s/nIDo2yLop_ciNUxihF2cZi8
C.https://pan.baidu.com/s/N6RiGxMZDnswlOUKRi0IB6Q
D.https://pan.baidu.com/s/uFUc4W0zYmrGZMOxVm843GU
E.https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY3Ww
31、接上题,He Yuan 提到的解压密码是多少?
A.bAtNyn3lHwP8xXW
B.hNfpdKcJlvpEFEa
C.decrypt123456
D.2019123456
E.HetoHacker123456
32、接上题,He Yuan 收到了来自哪位 hacker 的转账? hacker 的 wechat ID 是多少?
A.Kevin , wxid_ugo2wrc3fuci22
B.Scott , wxid_i1lhj24r792i22
C.Iva , wxid_7qh2jzeomtvp22
D.John , wxid_QAZbWKIgIz4jpu
E.Jack , wxid_dbEx7dtbX4zPbb
33、根据 Wechat 聊天记录,He Yuan 在 2019-10-26 号(UTC+8)晚上跟哪位朋友出去吃晚饭了?朋友的 Wechat ID是多少?
A.Iron Man , wxid_0ZYBi7dchvMIym
B.Black Panther , wxid_zSrai2bRoLUNVb
C.Red Bull , wxid_2yy2ekynoLbnq3
D.White Tiger, wxid_whMQ2YOLPiNNt7
E.Black Sheep , wxid_s00vt9uixjq922
34、在2019-10-31(UTC+8),何源用iPhone手机在车库拍了一些车的照片,请问最早的那张车照片是什么时候拍的?
A.10/31/2019 18:53:29 PM(UTC+8)
B.10/30/2019 10:43:27 AM(UTC+8)
C.10/26/2019 19:53:29 PM(UTC+8)
D.10/28/2019 20:40:30 PM(UTC+8)
E.10/27/2019 10:53:29 AM(UTC+8)
一开始真的找不到这天的照片,结果还是之前那个backup文件的问题,重启过弘连之后重新导出了backup文件再放进去分析,照片都多了几张!看来取证大师里面下载的也是不完整的!看来弘连就是需要重启,性能会好很多。
35、接上题,请问照片”IMG_0075.HEIC”拍摄地 GPS 坐标是以下哪一个?
A.28 deg 13' 5.25" N, 125 deg 9' 6.34" E
B.22 deg 17' 1.36" N, 114 deg 8' 9.91" E
C.120 deg 23' 5.58" N, 119 deg 7' 4.53" E
D.88 deg 6' 2.14" N, 130 deg 6' 7.86" E
E.100 deg 17' 1.36" N, 224 deg 6' 8.57" E
把这张照片导出来,就能看到了。看一个博主说要预览该图片源文件,直接导出手机备份,在备份里找图片,要不然哈希是错误的,所以说如果要哈希值,要这么做哦~
36、在何源的个人计算机中,你能找到一个 Veracrypt 加密容器文件吗?它的原始文件名是?
A.containerx.txt
B.VC_Container
C.$RV61F4M
D.data encrypt.txt
E.$IV61F4M
这题要么爆搜,要么仿真里面打开一下这个软件,不知道为什么这个软件好眼熟。
37 、接上题,此 Veracrypt 加密容器文件之前可能被挂载为哪一个盘符(drive letter) ?
A. A: B. B: C. Z: D. D: E. E:
38 、在何源的个人计算机中,何源曾在电脑上登陆过客户端百度云盘,请问他的 Baidu 账号是多少?
A. Yuanhe516
B. Heyuan516
C. Heyuan515
D. Yuanhe515
E. None
这种适合用弘连做。
39 、在何源的个人计算机中,何源利用客户端百度网盘上传过一些文件,请问以下哪一个是?
A. 美国恐怖故事 04.mp4
B. Crawler_connect.py
C. file encrypt.doc
D. Secret.xlsx
E. Company_info.xlsx
40 、在何源的个人计算机中,何源 iPhone 手机中的一些图片曾被同步到他的百度网盘中,请问图片“2019-06-21 113537.jpg”的 MD5 hash 值是多少?
A. fe41107c5260498e67171755e2b4bb1d
B. 6055e4fa9e8a56c708a3db7198d091e7
C. 7b8e1183d80962c0ad5a95ec673317a7
D. 148685a257c49247f09b942237f1a248
E. db4a58e48ef51ca2c6c0f6e07f44d186
比较轻松就能找到了,这种一般我用弘连。
41 、在何源的个人计算机中,何源用百度网盘上传文件“/美国恐怖故事/美国恐怖故事 01.mp4”的起始时间是? (格式:UNIX Timestamp UTC+8)
A. 1572506551
B. 1572506618
C. 1572506608
D. 1572506551
E. 1572507864
这题很有意思,给出了一个新概念UNIX Timestamp,那么就去百度一下,发现是一种时间表达方式,网上直接有转换工具,轻松搞定!同时注意一下这题AD选项是一样的,就是说nzh的博客没有错误。
42 、在何源的个人计算机中,可以发现有多少文件,文件夹存在于何源的百度网盘中?
A. Files: 55, Folder: 3
B. Files: 82,Folder: 2
C. Files: 23, Folder: 1
D. Files: 90, Folder: 2
E. Files: 102, Folder: 7
直接看网盘文件,然后按照那个文件名排序一下就很好看出来文件夹了。
43 、在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器 google 搜索过一些信息,以下哪个不是搜索的关键词?
A. gmail register
B. tor data sale
C. online lender
D. shadowsock
E. how to hide a partition
这题我一开始还在纠结有这个geogle条件限制怎么做,结果人家D爆搜都搜不出来,那就只能选D喽。
44 、在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器注册过一个新的 Gmail account,请从网页标题痕迹中找出此账号。
A. jackhe666@gmail.com
B. johnhe7@gmail.com
C. jacksonhe8@gmail.com
D. jorkerhe888@gmail.com
E. yuanhe666@gmail.com
这题如果用弘连安安单单做,或者从浏览器记录入手好像不大行,只能用取证大师看那个邮件解析,或者去爆搜,看了博客,还可以看win10时间轴或者仿真输入gmail看历史记录。(何源竟然也叫Jackson哈哈哈)
45 、在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器下载过一些文件,以下哪一个不是?
A. WeChat_C1018.exe
B. bitcoin-018.1-win64-setup.exe
C. torbrowser-install-win64-8.5.5_en-US.exe
D. SteamSetup.exe
E. BaiduNetdisk_6.8.4.1.exe
这题取证大师、弘连都能看,但是总的来说弘连轻松一点,因为取证大师分日子比较清楚,点点有点麻烦,具体情况再具体分析比较好。
46 、在何源的个人计算机中,用户“He Yuan”曾用以下哪款网页浏览器登陆过网页版百度网盘?
A. Internet Explorer
B. Firefox
C. Chrome
D. Microsoft Edge
E. Tor
直接搜百度网盘,原本还在纠结要不要去百度一下看看复制一下网址,看来想多了。哦不不不,应该是后面这种做法!差不多截个一半https://pan.baidu.com就行了,然后发现两个浏览器都有记录,那么就要注意用户是HeYuan了。
47 、在何源的个人计算机中,用户“He Yuan”曾用 Tor 浏览器访问过一些网站,以下哪一个不是?
A. https://duckduckgo.com
B. http://deepmix2cmtqm5ut74f4acz2eskr5htcdetpzupmdkas6fzi4cnc7sad.onion
C. http://vfqnd6mieccqyiit.onion
D. http://bntee6mf5w2okbpxdxheq7bk36yfmwithltxubliyvum6wlrrxzn72id.onion
E. http://silkroadjuwsx3nq.onion
首先百度了一下tor浏览器,然后并没有在取证大师里面发现这个浏览器就去弘连里面找到了,然后搜搜就行了。搞不懂为啥取证大师不行,看了其他博客发现要是想在取证大师里面看tor浏览器,就要上暗网取证,这个我现在还不懂,先记住这个浏览器去弘连看就行啦。
48 、接上题,以下哪个 URL 是由用户手动输入到 Tor 浏览器中的?
A. http://tfwdi3izigxllure.onion
B. https://hiddenwikitor.com
C. http://deepmix5e3vptpr2.onion
D. http://vfqnd6mieccqyiit.onion
E. http://smoker32pk4qt3mx.onion
这题我不会,一个一个搜想找找不同,就发现A只有一个文件,B搜不到,C有一个正在切换线路,然后看了博客才知道暗网在切换线路是需要手动输入,不然访问不到,所以出现了切换线路这个文件。很牛!
49 、接上题,关于网页”http://rso4hutlefirefqp.onion”,以下哪一个描述是正确的?
A. ccPal - stolen creditcards, ebay and paypal accounts for bitcoins - buy CVV2s for bitcoin - PayPals for Bitcoin - Ebay Accounts for Bitcoin
B. UKPassports - Buy passport from the United Kingdom UK, real passports from the UK, no fake passports
C. Stolen Apple Products for Bitcoin. Get the newest apple products for a fraction of the price.
Iphones for Bitcoin, Ipads for Bitcoin.
D. NLGrowers - Buy Weed, Hash, Cannabis, Marijuana with from the netherlands with Bitcoins - your deep web weed source
E. We sell medical cannabis, rick simpson cannabis oil and other medical cannabis products
都是英文看的头大,不过看到那个cannnabis是大麻,关键词,选E。
50 、接上题,哪个网页引导用户到了网页” http://vfqnd6mieccqyiit.onion”?
A. https://thehiddenwiki.org
B. http://hiddenwikitor.com
C. https://onionshare.org
D. http://xfnwyig7olypdq5r.onion
E. https://www.onionexplore.org
这题我是想去看看时间轴的,但是在这之前的都是大于一分钟,我觉得有点奇怪,这题不大会做。
下面是内存取证,我第一次接触
51 、分析何源的公司计算机内存镜像,何源的公司计算机操作系统以及硬件架构是什么?
A. Windows 7 x86
B. Windows 7 x64
C. Windows 8 x86
D. Windows 8 x64
E. Windows 10 x64
学习了四个博客,方法有些小差别,用截图看一下。
第一种就只是-f了一下,是不行的
这种就是在后面还要加一个imageinfo这种就行了(volatility -f 文件名 imageinfo)
52 、分析何源的公司计算机内存镜像,以下哪一个是进程“explorer.exe”的 PID?
A. 5098 B. 3484 C. 3048 D. 2236 E. 9875
这题也是,有些方法不大行,就比如
然后换了一种方法
然后就在文件夹里形成了一个记事本文件,但我得到的记事本好像像一个时间线,跟题目不搭嘎,不过也学了个命令(volatility -f 文件名 --profile=第一步获取的版本 pslist>保存的文件夹\pslist.txt)
写的好难受,让我休息一下,去做一下20的前面吧哈哈哈
53 、分析何源的公司计算机内存镜像,以下哪一个是正确的用户 SID ?
A. HTC_admin : S-1-5-21-2316527938-3914680751-2175519146-1001
B. TMP_User : S-1-5-21-2316527938-3914680751-2175519146-1002
C. TMP : S-1-5-21-2316527938-3914680751-2175519146-1001
D. YuanHe : S-1-5-21-2316527938-3914680751-2175519146-1002
E. None
54 、分析何源的公司计算机内存镜像,以下哪个远程地址与本地地址建立过 TCP 连接?
A. 10.165.12.130
B. 10.165.12.126
C. 10.165.10.125
D. 10.165.10.130
E. 10.165.10.131
55 、接上题,在上述 TCP 连接里,远程地址的端口号是多少?
A. 80 B. 443 C. 445 D. 22 E. 3389
56 、分析何源的公司计算机内存镜像,注册表“\SystemRoot\System32\Config\SAM”在内存镜像中的虚拟地址 (Virtual Address)是多少?
A. Offset: 0x97b5e5d8
B. Offset: 0x9a5689c8
C. Offset: 0x8c6b49c8
D. Offset: 0x8bc1a1c0
E. Offset: 0x9bc1a1c0
57 、分析何源的公司计算机内存镜像,用户“Yuan He”登入密码的 NTLM hash 是多少?
A. bf12857078039ff604bf8e1fb4308643
B. 31d6cfe0d16ae931b73c59d7e0c089c0
C. bf12857078039ff604bf8e1fb430a7d4
D. a53452d6cd5e2d72423cd3eac8b05607
E. 99e74d973f8f852432f6d5a59659ed88
58 、分析何源的公司计算机内存镜像,盘符“E:”上的文件“Personal Information.xlsx”何时被访问过?
A. 2019-10-31 07:58:45
B. 2019-10-31 10:33:42
C. 2019-10-31 06:59:45
D. 2019-10-31 09:31:42
E. 2019-10-31 08:32:42
59 、分析何源的公司计算机内存镜像,以下哪个是文件“Personal Information.xlsx”的正确路径?
A. Users\YuanHe\Desktop\Confidential\Personal Information.xlsx
B. Users\YuanHe\Desktop\Personal Information.xlsx
C. Users\TMP_User\Desktop\Confidential\Personal Information.xlsx
D. Users\TMP_User\Desktop\Personal Information.xlsx
E. Users\Administrator\Desktop\Confidential\Personal Information.xlsx
60 、分析何源的公司计算机内存镜像,可以发现以下哪些文件夹曾被访问过?
1 …\Company_Files\Jonathan Norton
2 …\Company_Files\Stephen Chow
3 …\Company_Files\John Wick
4 …\ Company_Files\Logan Chen
5 …\Company_Files\Colleen Johnson
A 2,3,5
B 2,4,6
C 1,3,5
D 3,4,5
E 1,4,5
61 、分析何源的公司计算机内存镜像,以下那一项有关这台计算机的资料是正确?
A. 这台计算机安装 Window 的时间是 2019-10-31 11:56:23 UTC + 0
B. 这台计算机的名称是 WIN-VUAL29E4P0K
C. 公开资料显示这台计算机 TCPIP 的最后更新时间是 2019-10-31 04:59:00 UTC + 0
D. A 及 C 都是正确
E. B 及 C 都是正确
62 、分析何源的公司计算机内存镜像,以下那一项关于这台计算机连接 USB 装置的描述是正确?
A. 没有,因为透析资料找不到
B. 没有,因为内存容量没有取得完整的注册表资料
C. 有,而且装置的牌子应该是 HUAWEI
D. 有,而且装置的 GUID 是 4d36e967-e325-11ce-afc1-832210318
E. 有,而且装置的首次插入时间 HEX 值是 40 43 30 b9 b8 8f d5 01
4921
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
