2022取证校赛重做

就快要校赛了，虽然我明显是陪跑选手，还是准备再好好做一遍去年校赛，毕竟也付出了一些努力了得认真对待。

上次是刚入门的时候（虽然现在也还是在入门）做的，主要用取证大师，现在用弘连会稍微多一点。

链接：https://pan.baidu.com/s/18rwk0KnVmaRfvIZL1TotTg?pwd=2ppx 
提取码就先不给了，本校的同学需要可以找我或者找师兄~
--来自百度网盘超级会员V2的分享

Personal Computer电子数据检验（1-20题：3分，21-30题：4分，共100分）

在一起电诈案件中，受害者称自己的银行卡被他人冒用，曾收到假冒公安的短信，因为自己在一个P2P网站中理财，假冒公安称该网站已被列入非法网站，要自己到公安备案网站填写自己的信息，并帮助自己追回本金，因此信以为真，在网站上填写了自己的信息和绑定的银行卡信息；办案机关推测嫌疑人可能是获取了P2P网站中的注册用户信息，从而进行定向诈骗，“Personal Computer.E01”为嫌疑人笔记本电脑镜像。

1、计算“Personal Computer.E01”文件的sha256值（）

A. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5

B. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6

C. e6e47e210bd56c7071ce73ab5523736120071d0f3da5335936d7beb25c3914cd

D. 1e646dec202c96b72f13cc3cf224148fc4e19d6faaaf76efffc31b1ca2cdd200

 

2、请分析该检材的操作系统版本（）

A. Windows 10 Education

B. Windows 10 Home

C. Windows 10 Pro

D. Windows 10 Enterprise

第一次用弘连看这么基础的信息，没能一步到位hhh

 

3、找出该系统用户最后一次登陆时间：（）

A. 2019-07-14 10:50:02  

B. 2019-07-14 10:10:02

C. 2019-07-14 10:40:02   

D. 2019-07-14 10:30:02

 

4、找出该系统最后一次正常关机时间：（）

A. 2019-07-14 17:30:05

B. 2019-07-14 10:30:05  

C. 2019-07-14 11:30:05   

D. 2019-07-14 12:30:05

注意这不在那个开关机里面，我记得取证大师也是这样的。 

5、请计算检材桌面上文本文件的sha256值：（）

A. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5  

B. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6

C. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c7   

D. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c8

仿真一下，看到桌面是“新建文本文档”2

 直接在txt里面筛选一下，计算一下哈希值。

 

6、该系统于2019年7月13日安装的软件为：（）

A. Eraser  

B. Putty

C. Xftp   

D. Xshell

没什么好方法，最后还是直接搜了。

7、找出该嫌疑人于2019-07-13 17:52:19时，使用WinRAR工具访问了_____文件：（）

A. navicat11.zip  

B. we.tar.gz

C. test2-master.zip  

D. BitLocker.rar

一开始去时间轴里面筛 WinRAR，但时间没有特别匹配的，所以还是得最这个最近访问的项目里面看一下。

8、系统于2019-07-13 17:53:45时运行了___程序：（）

A. regedit.exe  

B. WinRAR.exe

C. Xshell.exe   

D. Foxmail.exe

 

9、文件test2-master.zip是什么时间下载到本机的：（）

A. 2019-07-13 14:21:01  

B. 2019-07-13 17:22:01

C. 2019-07-13 15:23:01   

D. 2019-07-13 16:20:01

10、文件test2-master.zip是使用什么工具下载到本地的：（）

A. Chrome

B. Internet Explorer

C. edge   

D. 迅雷

接上题。

11、嫌疑人成功连接至192.168.184.128服务器的时间为：（）

A. 2019-07-13 16:21:28  

B. 2019-07-13 16:21:31

C. 2019-07-13 16:21:35   

D. 2019-07-13 16:21:25

 

12、嫌疑人通过远程连接到128服务器，下载了什么文件到本机：（）

A. web.tar.gz  

B. we.tar.gz

C. home.tar.gz   

D. wwwroot.tar.gz

虽然看上去有点离谱，但只能搜到这个。 

13、承接上一题，下载该文件用了多长时间：（）

A. 10秒  

B. 20秒

C. 15秒   

D. 25秒

 

14、该镜像“Personal Computer.E01”中存在几个手机备份：（）

A. 4

B. 3

C. 2

D. 1

一般备份我都会用弘连的这个证据嵌套识别看一下。

15、请分析并提取手机备份文件（备份密码请注意“Personal Computer.E01”桌面相关记录），嫌疑人所用的手机的IMEI号码：（）

A. 352021062748965

B. 352021062748966

C. 352021062748967   

D. 352021062748968

这题注意题目中高光的这个条件！

16、嫌疑人是通过何种方式首次联系到售卖恶意程序的卖家的：（）

A. 微信  

B. QQ

C. 短信   

D. 邮件

 

 

17、嫌疑人和卖家的资金来往是通过何种方式：（）

A. 微信  

B. QQ

C. 银行转账  

D. 支付宝

 

18、嫌疑人在犯罪过程中所使用的QQ账号为：（）

A. 1649840939

B. 1137588348

C. 364505251   

D. 1722629449

19、卖家所使用的微信账号ID为：（）

A. refrain_C  

B. flame_guan

C. chao636787   

D. sword19880521

 注意是卖家，我差点做错了。

 

20、嫌疑人电脑中存在Bitlocker容器（恢复秘钥通过其他方式获得：494208-639155-079684-230648-428923-176902-004312-663696），嫌疑人下载了几个恶意程序到本机“Personal Computer.E01”加密容器中：（）

A. 1  

B. 2

C. 3   

D. 4

这题我真的印象深刻，当时怎么都找不到那个盘，还是别人跟我说的在C盘。

输入恢复密钥之后出现了三个文件。

 网上搜一下，第二个排除恶意软件。

 这题不会，看博客好像大家都偏向猜了，那我也就没必要猜了。

21、嫌疑人是什么时间开始对受害者实施诈骗的：（）

A. 2019-07-13 19:14:44  

B. 2019-07-13 19:24:44

C. 2019-07-13 19:04:44   

D. 2019-07-13 19:44:44

注意看案件信息，是收到短信信息，所以去短信里面看。

 

22、请综合分析，嫌疑人入侵服务所使用的登陆方式为：（）

A. SSH密码登陆  

B. SSH密钥登陆

C. 连接后门程序  

D. FTP登陆   

先想直接上理论，就去学习了一下，分享一个可以看懂也可以看不懂的博客。

(20条消息) ssh中的密码登录和密钥登录_ssh 密码_欢喜躲在眉梢里的博客-CSDN博客

 照这个说法，密钥登录不需要密码，所以会选B。

下面还有一种方法。

23、通过手机微信记录分析，涉案邮件收件人为：（）

A. 1649841939@qq.com  

B. 1649840939@qq.com

C. 1649845939@qq.com  

D. 1649848939@qq.com

24、压缩包test2-master.zip中的文件是什么？（）

A.恶意软件

B.加密程序

C.密钥文件

D.下载软件

 

 

25、文件runit.txt从哪个域名下载的？（D）

A.https://pan.forensix.cn/lib/367d7f96-299f-4029-91a8-a31594b736cf/runit

B.https://pan.baidu.com/s/19uDE7H2RtEf7LLBgs5sDmg?errno=0&errmsg=Auth Login Sucess&&bduss=&ssnerror=0&traceid=

C.https://pan.forensix.cn/seafhttp/files/dec88b97-b2bc-414f-93a3-dcbbc15d615/runit

D.https://pan.forensix.cn/seafhttp/files/8fdf1982-e323-4efe-ae28-2bba21b5162c/runit

 其实这个之前微信记录里面有，但我觉得搜一下也是一种保险的做法。

 

26、嫌疑人在什么时间登陆PC端网页微信？（）

A. 2019-07-13 16:34:55

B. 2019-07-13 16:40:13

C. 2019-07-13 16:45:45

D. 2019-07-13 16:53:45

先去弄个网址好搜。

 

27、嫌疑人于2019-07-13 17:22:23下载了什么文件？（）

A.网站目录压缩文件

B.数据库备份文件

C.网站日志文件

D.数据库日志文件

 

 

 

28、硬盘C盘根目录中，文件pagefile.sys.vhd的作用是什么？（）

A. pagefile页面交换文件

B. 虚拟机启动文件

C. 系统配置文件

D. 虚拟磁盘

29、“Personal Computer.E01”中名为“2019bw”的虚拟机，该虚拟机操作系统内核版本是（）

A. Ubuntu 16.04.3 LTS

B. KERNEL_VERSION 4.4.1-87

C. Ubuntu 16.04.4 LTS

D. KERNEL_VERSION 4.4.0-87

 

30、“Personal Computer.E01”中虚拟机的密码为（）

A. admin888

B. honglian123

C. root

D. 123456

 结束，第一次做的时候用了两三天（那时候真的不会昂），这次用了两三个小时，还用博客记录了一下，虽然还是极其垃圾，但是还是有点点进步了，总的来说，这次用的工具软件变了、有些题目的做法变了，还是有一个遗留问题，就是那个动态数据链和数据库备份文件、数据库日志文件的关系。

希望这次校赛能有好运气吧！