就快要校赛了,虽然我明显是陪跑选手,还是准备再好好做一遍去年校赛,毕竟也付出了一些努力了得认真对待。
上次是刚入门的时候(虽然现在也还是在入门)做的,主要用取证大师,现在用弘连会稍微多一点。
链接:https://pan.baidu.com/s/18rwk0KnVmaRfvIZL1TotTg?pwd=2ppx
提取码就先不给了,本校的同学需要可以找我或者找师兄~
--来自百度网盘超级会员V2的分享
Personal Computer电子数据检验(1-20题:3分,21-30题:4分,共100分)
在一起电诈案件中,受害者称自己的银行卡被他人冒用,曾收到假冒公安的短信,因为自己在一个P2P网站中理财,假冒公安称该网站已被列入非法网站,要自己到公安备案网站填写自己的信息,并帮助自己追回本金,因此信以为真,在网站上填写了自己的信息和绑定的银行卡信息;办案机关推测嫌疑人可能是获取了P2P网站中的注册用户信息,从而进行定向诈骗,“Personal Computer.E01”为嫌疑人笔记本电脑镜像。
1、计算“Personal Computer.E01”文件的sha256值()
A. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5
B. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6
C. e6e47e210bd56c7071ce73ab5523736120071d0f3da5335936d7beb25c3914cd
D. 1e646dec202c96b72f13cc3cf224148fc4e19d6faaaf76efffc31b1ca2cdd200
2、请分析该检材的操作系统版本()
A. Windows 10 Education
B. Windows 10 Home
C. Windows 10 Pro
D. Windows 10 Enterprise
第一次用弘连看这么基础的信息,没能一步到位hhh
3、找出该系统用户最后一次登陆时间:()
A. 2019-07-14 10:50:02
B. 2019-07-14 10:10:02
C. 2019-07-14 10:40:02
D. 2019-07-14 10:30:02
4、找出该系统最后一次正常关机时间:()
A. 2019-07-14 17:30:05
B. 2019-07-14 10:30:05
C. 2019-07-14 11:30:05
D. 2019-07-14 12:30:05
注意这不在那个开关机里面,我记得取证大师也是这样的。
5、请计算检材桌面上文本文件的sha256值:()
A. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5
B. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6
C. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c7
D. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c8
仿真一下,看到桌面是“新建文本文档”2
直接在txt里面筛选一下,计算一下哈希值。
A. Eraser
B. Putty
C. Xftp
D. Xshell
没什么好方法,最后还是直接搜了。
7、找出该嫌疑人于2019-07-13 17:52:19时,使用WinRAR工具访问了_____文件:()
A. navicat11.zip
B. we.tar.gz
C. test2-master.zip
D. BitLocker.rar
一开始去时间轴里面筛 WinRAR,但时间没有特别匹配的,所以还是得最这个最近访问的项目里面看一下。
8、系统于2019-07-13 17:53:45时运行了___程序:()
A. regedit.exe
B. WinRAR.exe
C. Xshell.exe
D. Foxmail.exe
9、文件test2-master.zip是什么时间下载到本机的:()
A. 2019-07-13 14:21:01
B. 2019-07-13 17:22:01
C. 2019-07-13 15:23:01
D. 2019-07-13 16:20:01
10、文件test2-master.zip是使用什么工具下载到本地的:()
A. Chrome
B. Internet Explorer
C. edge
D. 迅雷
接上题。
11、嫌疑人成功连接至192.168.184.128服务器的时间为:()
A. 2019-07-13 16:21:28
B. 2019-07-13 16:21:31
C. 2019-07-13 16:21:35
D. 2019-07-13 16:21:25
12、嫌疑人通过远程连接到128服务器,下载了什么文件到本机:()
A. web.tar.gz
B. we.tar.gz
C. home.tar.gz
D. wwwroot.tar.gz
虽然看上去有点离谱,但只能搜到这个。
13、承接上一题,下载该文件用了多长时间:()
A. 10秒
B. 20秒
C. 15秒
D. 25秒
14、该镜像“Personal Computer.E01”中存在几个手机备份:()
A. 4
B. 3
C. 2
D. 1
一般备份我都会用弘连的这个证据嵌套识别看一下。
15、请分析并提取手机备份文件(备份密码请注意“Personal Computer.E01”桌面相关记录),嫌疑人所用的手机的IMEI号码:()
A. 352021062748965
B. 352021062748966
C. 352021062748967
D. 352021062748968
这题注意题目中高光的这个条件!
16、嫌疑人是通过何种方式首次联系到售卖恶意程序的卖家的:()
A. 微信
B. QQ
C. 短信
D. 邮件
17、嫌疑人和卖家的资金来往是通过何种方式:()
A. 微信
B. QQ
C. 银行转账
D. 支付宝
18、嫌疑人在犯罪过程中所使用的QQ账号为:()
A. 1649840939
B. 1137588348
C. 364505251
D. 1722629449
19、卖家所使用的微信账号ID为:()
A. refrain_C
B. flame_guan
C. chao636787
D. sword19880521
注意是卖家,我差点做错了。
20、嫌疑人电脑中存在Bitlocker容器(恢复秘钥通过其他方式获得:494208-639155-079684-230648-428923-176902-004312-663696),嫌疑人下载了几个恶意程序到本机“Personal Computer.E01”加密容器中:()
A. 1
B. 2
C. 3
D. 4
这题我真的印象深刻,当时怎么都找不到那个盘,还是别人跟我说的在C盘。
输入恢复密钥之后出现了三个文件。
网上搜一下,第二个排除恶意软件。
这题不会,看博客好像大家都偏向猜了,那我也就没必要猜了。
A. 2019-07-13 19:14:44
B. 2019-07-13 19:24:44
C. 2019-07-13 19:04:44
D. 2019-07-13 19:44:44
注意看案件信息,是收到短信信息,所以去短信里面看。
A. SSH密码登陆
B. SSH密钥登陆
C. 连接后门程序
D. FTP登陆
先想直接上理论,就去学习了一下,分享一个可以看懂也可以看不懂的博客。
(20条消息) ssh中的密码登录和密钥登录_ssh 密码_欢喜躲在眉梢里的博客-CSDN博客
照这个说法,密钥登录不需要密码,所以会选B。
下面还有一种方法。
23、通过手机微信记录分析,涉案邮件收件人为:()
A. 1649841939@qq.com
B. 1649840939@qq.com
C. 1649845939@qq.com
24、压缩包test2-master.zip中的文件是什么?()
A.恶意软件
B.加密程序
C.密钥文件
D.下载软件
A.https://pan.forensix.cn/lib/367d7f96-299f-4029-91a8-a31594b736cf/runit
B.https://pan.baidu.com/s/19uDE7H2RtEf7LLBgs5sDmg?errno=0&errmsg=Auth Login Sucess&&bduss=&ssnerror=0&traceid=
C.https://pan.forensix.cn/seafhttp/files/dec88b97-b2bc-414f-93a3-dcbbc15d615/runit
D.https://pan.forensix.cn/seafhttp/files/8fdf1982-e323-4efe-ae28-2bba21b5162c/runit
其实这个之前微信记录里面有,但我觉得搜一下也是一种保险的做法。
26、嫌疑人在什么时间登陆PC端网页微信?()
A. 2019-07-13 16:34:55
B. 2019-07-13 16:40:13
C. 2019-07-13 16:45:45
D. 2019-07-13 16:53:45
先去弄个网址好搜。
27、嫌疑人于2019-07-13 17:22:23下载了什么文件?()
A.网站目录压缩文件
B.数据库备份文件
C.网站日志文件
D.数据库日志文件
28、硬盘C盘根目录中,文件pagefile.sys.vhd的作用是什么?()
A. pagefile页面交换文件
B. 虚拟机启动文件
C. 系统配置文件
D. 虚拟磁盘
29、“Personal Computer.E01”中名为“2019bw”的虚拟机,该虚拟机操作系统内核版本是()
A. Ubuntu 16.04.3 LTS
B. KERNEL_VERSION 4.4.1-87
C. Ubuntu 16.04.4 LTS
D. KERNEL_VERSION 4.4.0-87
30、“Personal Computer.E01”中虚拟机的密码为()
A. admin888
B. honglian123
C. root
D. 123456
结束,第一次做的时候用了两三天(那时候真的不会昂),这次用了两三个小时,还用博客记录了一下,虽然还是极其垃圾,但是还是有点点进步了,总的来说,这次用的工具软件变了、有些题目的做法变了,还是有一个遗留问题,就是那个动态数据链和数据库备份文件、数据库日志文件的关系。
希望这次校赛能有好运气吧!