20美亚团队赛,镜像+解析,由于时间不多,只做pc+内存+恶意程序。
这是20美亚个人赛加团队赛题目,可以自行下载练习,建议先做完个人赛,因为思路是连续的。完整的案件分析也会考。
链接:https://pan.baidu.com/s/1eLQiOl6P-6Bblbh6bOn6Yw?pwd=ybww
提取码:ybww
--来自百度网盘超级会员V3的分享
前言:说实话,没见过这么大的检材,700个g,如果防电脑里跑是很吃不消的,特别是哈希计算,说实话,一般电脑,包括游戏本都不太带得动,然后题目量真的很大,需要优秀的处理器。
总结:题量很大,各个模块非常非常混乱,需要分工合作,我刚刚上午和队友做完,建议跑哈希可以放一放,检材可以少开一点,不要一个案件开4个检材,除非你电脑实在太牛逼,不然都会卡死的,做题涉及到个个密码的问题,相关性也很强,千万不要在一棵树上吊死,不要和题目死磕,能做就做,不能做就猜一下,爆搜找找可能的答案,队友合作好。
做的第一个人士Bob,先搞清楚他的相关信息。
一个笔记本+一个台式+路由器+iMac台式+苹果手机一个
本来做完就累了,回来想想还是总结一下:
20题目超级大,900个G,一般电脑都吃不消,就是跑检材的时候,我跑了很多的哈希值,然后电脑一次性开多个检材是绝对吃不消的,所以要理性,建议打开一两个就好。然后电脑取证Bob部分绝对是难度极大地,实在不行先跳过,不要死磕。后面的题目可能连起来的。然后我感觉20年的树莓派还有介质取证比较简单,确实比较简单,没什么难度。内存取证感觉还是要多用小程序做,比较简单,但是限制性也很大,想一等奖还是要苦修。还有要关注题目的连续性,比如说那个客户邮件12分,就连续性很强,我当时就没有想到,整个案件我觉得还原的难度是很大的,不过部分还原还是做得到的,还是要加油加油,相信自己脑洞再大一点。
Bob的笔记本计算机
35. [单选题] Bob的笔记本计算机的哈希值(SHA-1)是甚么? (1分)
A. 57701AC2194A74804DEB0F7332532D39711C5DF0
B. 57705DF01AC2194A74804DEB0F7332532D39711C
C. 1AC2194A74804DEB0F7332532D39711C57705DF0
D. 5DF01AC2194A74804DEB0F7332532D39711C5770
E. 6DF01AC2194A74804DEB0F7332532D39711C5778
说实话这种题目就是傻逼,比谁电脑性能强,是真无语,这种题好像21就少一些了,我建议找第四台机器专门跑这个。
36. [单选题] 笔记本计算机中安装了甚么电子邮件程序? (1分)
A. Big Email Sender
B. Super Email Sender
C. Bulk Email Sender
D. Super Email Sent
E. Super Email Send
直接看是看不到的,无脑爆搜
37. [单选题] 网络钓鱼电子邮件的接收者是储存在甚么文件? (1分)
A. NETFLIX.htm.dump
B. NETFLIX.dump
C. NETFLIXS.dump
D. NETFLIX.htm.bak
E. NETFLIX.CONTAINER
A
爆搜看文件是都看得到,一个一个点进去看,发现某个存在信息就是对滴其他要么是html文件,要么什么都不是,就是链接,都不对。
38. [单选题] 在Bob的笔记本, 有什么可疑APK及其功能? (1分)
A. 检查虚拟货币的价格
B. 虚拟专用网络
C. 盗取登入名称及密码
D. 储存私人资料
E. 作为一个洋葱浏览器
A
仿真后可以看到有雷电模拟器,但是在仿真机上死活打不开(但是我现在复盘的时候可以打开了,不过打开后发现什么东西都没,就是个空壳子),然后我觉得可能是版本问题,因为是20年的题目,我复盘的时候雷电肯定更新了,所以我是看不到的,但是20年应该是可以打开的,所以我一下子心态崩了,我想在外面重构雷电的这台虚拟机,可是无奈水平太差,所以我考试的时候又没有重构出来,然后我想那不如把APP导出来,然后我就去虚拟机把雷电的整个文件夹导出来,但是发现又不行,感觉我好几项技能都没用学精,导致操作很失败。所以在外面,我会把所有技能都学精,再试一遍。
总共有77个APK,我把桌面上导出来,然后放到雷店里面,说实话我是不知道可以APK是哪个 的 ,结合下面题目的提示,问我是什么网站的,问我bitlocker密钥,我勉强可以猜测一下,但是说实话,我觉得还是猜的,如果光判断这道题,方法就是一个一个点击,然后报读爆搜。
网上看到很多大佬的,要么没思路,要么就是从40题倒推可以找到到底是那个APK,硬要爆搜,说实话也是找不到的,因为网上确实有这个apk。
(团队赛纵观全局,视野要广与心态都要放好,不要一个不知道去卡死)
最后可以大致猜想这是一个比特币换算器。
39. [单选题] 该可疑APK 从什么网站获取资料? (1分)
A. https://coinapk.io/v1/exchangerate
B. https://bit.coinapi.io/v1/exchange_rate
C. https://rest.coinapi.io/v1/exchangerate
D. https://rest.net/v1/exchangerates
E. https://online.coinapi.io/v/exchangerate
A,这题做不出,我给个思路,首先洋葱浏览器需要外网vpn,然后再抓包,可是无论如何我们都抓不到,然后jadx反编译我也看不到,这题我觉得无解
40. [单选题] 上述APK中发现的Bitlocker密钥是甚么? (3分)
A. 74785aaaa
B. 741852963
C. 72564529633
D. bob052963
E. 522852693
B,送了,因为找到APK就送了。
B 每一个APK我都点开了,发现只有这个是找得到密码的,只有点击一下最下角,所以可以倒推就是这个APK是可疑的。
41. [单选题] 网络钓鱼网站的网页寄存的网站地址是甚么? (1分)
A. http://zeta-onlineshop.sytes.net/wordpress/net/2019/Login
B. http://zello-onlineshop.sytes.net/wordpress/net/2020/Login
C. http://zello-onlineshop.sytes.net/nets/2020/Login
D. http://zello-easyshop.sytes.net/wordpresss/net/2020/Login
E. http://zello-onlinemet.sytes.net/wordpres/net/2020
B,真做不出来,还是试试看爆搜
果真是暴力比赛
Bob的桌上计算机
42. [单选题] Bob的桌上计算机的哈希值(SHA-256)是甚么? (1分)
A. 86C740D5FB096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C2673
B. 267340D5FB096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C86C7
C. 267386C740D5FB096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C
D. 40D5FB096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C267386C7
E. B6C740D5F8096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C2673
A 说实话,算这个是真的没有任何技术含量,就是比比看谁处理器牛逼罢了
这个真的很搞人心态,系统分区被bitlock加密,什么都看不到,也就是不bitlock解密什么都做不了,也就是手那个APK要是没做出来,就什么都做不出来了,我当时就是没做出来的,心态直接炸裂了。
43. [单选题] Bob的桌上计算机的安装时间是几点?(本地时间) (2分)
A. 2020/9/13 1:40:00
B. 2020/9/15 3:40:00
C. 2020/9/17 2:40:00
D. 2020/9/15 5:40:00
E. 2020/9/15 18:40:00
B
44. [单选题] Bob桌上计算机内发现的网络钓鱼脚本是甚么?(某些字符被刻意用*遮盖) (1分)
A. d**nload.zip
B. **ternal.zip
C. i*t*r.zip
D. out**.zip
E. ex**rnal.zip
其他找不到,感觉只能选c
45. [单选题] 该网络钓鱼脚本的功能是甚么? (1分)
A. 摧毁目标电脑
B. 传播电脑病毒
C. 收集个人数据
D. 发送勒索信息
E. 自动化进行分布式拒绝服务攻击
说实话我也不知道,就解压后查看了一下源码,涉及到一个网站remote addr 远程连接,我猜测是连接到远程主机上(网站或者服务器)
有时间,国家,版本号,但是又对random做了一次版本号的加密, 下面是算法,最后写道一个php里面,反正绝对和网站有关,所以猜c
Cole 冯启礼
Cole的桌上计算机
75. [单选题] Cole桌上计算机的哈希值(SHA-1)是甚么? (1分)
A. 0D00A8A853B9001A9FC7BF89D9FBBA790C065CE2
B. 0D22A8A853B9001A9FC7BF89D9FBBA795CE2
C. A8A853B9001A9FC7BF89D9FBBA790C065CE20D00
D. 5CE20D00A8A853B9001A9FC7BF89D9FBBA790C06
E. 5CE2A8A853B9001A9FC7BF89D9FBBA790C060D00.
76. [单选题] Cole桌上计算机的用户名是甚么? (1分)
A. ADMIN
B. COLE
C. COLE-DESKTOP
D. COLE-PC
E. COLE-PC-841315.
77. [单选题] 在Cole的桌上计算机中发现了多少潜在的受害者? (2分)
A. 100
B. 150
C. 200
D. 250
E. 300.
这个只能看文档,txt,或者xlsx,或者word,其实就是在最近访问文件里面猜,看关键词找,我当时很快地就看到了VIP,可能是因为运气好的缘故,个人感觉打开软件这一块还是美亚稍微好一点,直接点击就能看。
78. [单选题] 潜在受害者的数据被储存在哪里?(某些字符被刻意用*遮盖) (2分)
A. Partition 3\secret\doc**ent.txt
B. Partition 3\secrets\c**tomer.txt
C. Partition 3\secrets\vi**.txt
D. Partition 3\secrets\vi**.zip
E. Partition 3\sec*ets\*ips.doc.
直接c,文件名就ok
79. [单选题] 预设浏览器何时安装? (2分)
A. 2019-10-01
B. 2019-12-01
C. 2019-12-07
D. 2020-09-24
E. 2020-09-28.
首先要知道是什么浏览器,然后再分析,但是我看历史记录,发现最早的记录都到24号,所以直接无脑D上去,管他什么。
80. [单选题] Cole桌上计算机上预设安装了甚么浏览器? (1分)
A. Chrome
B. Edge
C. Firefox
D. Internet Explorer
E. Opera.
这个题我做错了,答案是D IE浏览器
有几个思路
1:应该是最早下载的浏览器,其他浏览器都要比她晚下载
2:应该和系统安装时间同步,就是同一时间安装的
在安装软件里面无论弘连还是美亚都是看不到的,说明他修改删除了,所以只能仿真
照理说控制面板里应该有,但是竟然看不到,真是无语
打开ie
看到这个快捷方式就完胜的,确实和系统是同时安装的,所以我总结搜索看文件安装时间和快捷方式会好很多
81. [单选题] 上述储存浏览记录的默认浏览器,该文件档案的类型是什么? (1分)
A. bat
B. dat
C. History
D. places
E. Web.
B
历史记录加跳转源文件
82. [单选题] 入侵Zello的证据文件是甚么? (2分)
A. Event log
B. Email
C. Pretech
D. Ransome note
E. WebCacheV01.dat.
E 说实话这题我是猜的,感觉E像一点,哈哈哈现在我就来学一下
我觉得可以无脑爆搜,说实话只有E是搜得到的,建议就美亚爆搜,比较强大
下面引用专家的做法
邮件说要请专家支付两个比特币攻击zello,感觉这个也是证据,但跳转源文件是colefung909@gmail.com.pst,没有这个选项
从zello服务器的14题里面推断出123.php是后门病毒,在Edge浏览器里面发现了他的踪迹,跳转源文件是WebCacheV01.dat
由于我不做服务器,所以我压根链接不上,就是没法做到思路串通,而且我觉得问无脑问题比较影响队友。
83. [单选题] 受感染网站的网址是什么? (2分)
A. www.apple.com
B. www.google.com
C. www.vmware.com
D. http://fortess.com
E. http://zello-onlineshop.sytes.net.
E 说实话也是猜的,其他网站哪有实力去攻破。
有说法是服务器乱入,也有人说资格赛送了,反正我是链接不起来。
或者还可以爆搜哦
84. [单选题] Cole桌上计算机上的DDoS勒索字条是甚么?(某些字符被刻意用*遮盖) (2分)
A. license.txt
B. Ransome Note of **OS.txt
C. Ransome Note of **OS.doc
D. edb.log
E. **inst.log.
85. [单选题] 在Cole桌上计算机上发现的DDoS勒索字条中,比特币钱包地址是甚么? (2分)
A. 1L6fKWpEYvUi8FeG6BnXqfh1joAgmJA1h1
B. 2A6fKWpEYvUi8FeG6BnXqAA1joAgmJA1h1
C. 3F6fKWpEYvUi8FeG11nXqAA1joAgmJA1h1
D. 5C6fKWpEYvUi8FeG6BnXqAA1joAgfJA1h1
E. A1h1KWpEYvUi8FeG6BnXqfh1joAgmJ1L6f.
Cole的笔记本计算机
86. [单选题] Cole笔记本计算机的哈希值(SHA-1)是甚么? (1分)
A. 2EF559C89F2C5E6A2E02CFF13DBD61E423B89CD2
B. 2EF59CD259C89F2C5E6A2E02CFF13DBD61E423B8
C. 59C89F2C5E6A2E02CFF13DBD61E423B82EF59CD2
D. 8CO259C89F2C5E6A2E02CFF13DBD61E423B82EF5
E. 9CD259C89F2C5E6A2E02CFF13DBD61E423B82EF5.
87. [单选题] Cole笔记本计算机有多少个用户帐户? (1分)
A. 2
B. 3
C. 4
D. 5
E. 6.
3个 不要觉得是6个,那三个不是的
88. [单选题] 当前登录用户帐户的用户名是甚么? (1分)
A. Administrator
B. Bob
C. Cole
D. Daniel
E. Guest.
c显然
说实话一开始我没有反应过来,随机存储记忆体是什么,百度一下发现是RAM,其实就是内存取证,感觉每年都是有内存取证的题目的,建议大家用小程序做,只要不行拿一等奖,小程序都够了,基本上可以做大部分的题目的。
89. [单选题] 在Cole笔记本的随机存取记忆体中, 是甚么Windows配置文件? (1分)
A. Win7SP1x64
B. Win7SP1x64_25000
C. Win7SP2x64
D. Win2008R2SP1x64_24418
E. Win2008R2SP2x64.
第一个就是
90. [单选题] 用户密码的前5个字符是甚么? (3分)
A. 12345
B. 78945
C. passw
D. P@ssw
E. qazws.
91. [单选题] 计算机中可疑的txt文件的名称是甚么? (2分)
A. abc.txt
B. costomer.txt
C. secret.txt
D. vips.txt
E. No suspicious file was found.
D,这个好像前面做过了
92. [单选题] 可疑txt文件曾经出现在哪个路径? (2分)
A. C:/Users/Cole
B. C:/Users/Cole/Desktop/
C. C:/Users/Cole/Desktop/Trade
D. E:/USB16GB
E. No suspicious file was found.
93. [单选题] 是否有任何证据表明该文件已执行? (3分)
A. 是的,因为与此文件相关的lnk文件在内存偏移量 (Memory Offset) 0xcd40e382中找到
B. 是的,因为与此文件相关的lnk文件在内存偏移量 (Memory Offset) 0x117a86230中找到
C. 是的,因为在Cole \ AppData \ Roaming \ Microsoft \ Windows \ Recent \中找到了与此文件相关的lnk文件
D. 找不到执行证据,因为没有与txt文件相关的预取文件
E. 找不到可疑文件和lnk文件.
94. [单选题] 以下哪个与上述可疑txt文件相关的发现是正确的? (2分)
A. 在创建可疑txt文件之后,创建/访问了另一个txt文件
B. 在创建另一个txt文件之后创建/访问该文件
C. Cole使用Microsoft Word打开文件
D. 无法确定与文件相关的时间事件
E. 该文件是通过内部网络ip下载的.
真的不会,我直接猜了
customers.txt的创建时间:2020/9/17 9:08:26,两个文件都是最近访问,且创建时间很近
95. [单选题] 根据系统时间,Cole在2020-09-18 01:01:08 UTC + 0000左右用笔记本计算机做了甚么? (2分)
A. 他创建了一个新的xls文件
B. 他从USB复制了一些文件
C. 他打开了一些txt文件
D. 他删除了一些文件
E. 没有.
2020-09-18 09:01:08 UTC + 8,运行了Eraser.exe(痕迹清除器)
Cole的内存镜像
这里说关于内存取证,我简单说一下,有volatility2和volatility3
v2只能取win7之前的,v3可以取win10,所以美亚21年的内存考的就是win10,必须要v3才可以取证,我恰恰只熟悉v2的命令,我命令不太熟悉,内存取证网上说的并不多,所以我21美亚做的不是很好,建议大家多学习v3的命令,比较适应性强,我觉得22年多半会考v3,win10毕竟是主流,csdn学习资源很多,我觉得都很好,这里我推荐一篇博客,讲的是内存取证入门,基本上应该是够用了,如果目标在一等奖,那还是要看看其他的,这个大佬水平很不错,至于我的博文稍微看看就好了,勉强入门。
volatility内存取证学习,美亚杯比赛版,密码+注册表_modest —YBW的博客-CSDN博客_volatility 密码Volatility3用法_江左盟宗主的博客-CSDN博客_volatility3volatility内存取证学习,美亚杯比赛版,密码+注册表_modest —YBW的博客-CSDN博客_volatility 密码
我建议小程序,取一下很快
96. [单选题] FTK Imager.exe的PID是甚么? (1分)
A. 368
B. 660
C. 1288
D. 2224
E. 2456.
97. [单选题] FTK Imager.exe的父应用程序是甚么? (1分)
A. 592
B. 660
C. 1288
D. 2224
E. 2456.
98. [单选题] FTK Imager.exe使用甚么DLL? (1分)
A. mmlang.dll
B. Normal.dll
C. sensapi.dll
D. Secu.dll
E. WINNS.dll.
这题就做不了啦,软件跑不出来,还是要我们手工做
由于我不熟悉v3,所以我用v3做一下这个题
99. [单选题] MpCmdRun.exe的PID是甚么? (2分)
A. 660
B. 1288
C. 1388
D. 2240
E. 2456.
正常情况看这个是看不出的pstree
在这里我要解释一下:
pstree会展示父子进程,一般都是在活动的
psscan功能强大一点,可能会展示死去进程,也就是历史进程
这题就是考一个历史进程的概念
100. [单选题] 以下哪个与MpCmdRun.exe相关的项目是正确? (2分)
A. 该进程于2020-09-17 11:15:57 UTC + 0000创建
B. 该过程于2020-09-18 01:20:57 UTC + 0000终止
C. 该进程由schost.exe启动
D. 该过程是通过网络驱动器启动的
E. 这不是合法程序.
这题答案是出来啦,看进程就可以了
101. [单选题] 上次启动后,笔记本计算机连接的外部IP是甚么? (1分)
A. 31.12.82.1
B. 40.10.261.1
C. 218.112.79.1
D. 218.112.172.8
E. 未连接/未连接到任何外部IP.
其实这道题我考试的时候做不出来
我用connections命令,发现这条命令行不通,就是说版本不支持啥的,然后我就没做
没试过netscan,最后发现也是可以的,但是从这张图上没有看到任何远程连接
102. [单选题] 上次启动后,笔记本计算机连接的网络驱动器路径是甚么? (1分)
A. E:/
B. F:/
C. G:/
D. Z:/
E. 未连接/未连接到任何外部IP.
说实话,美亚是真的坏,太坏了,这个说实话大部分人都会感觉肯定有ip,没想到
Cole的笔记本计算机
说实话,我考试的时候一个都没用做出来,扣了12分,难过死我啦,检材是笔记本,但是答案放在桌面计算机上,我是真的想不到,
103. [单选题] Cole公司的一位客户有一封电子邮件m*b*@ms**.z**.**.tw,可以在Cole的笔记本计算机中找到此数据吗? (某些字符被故意用*遮盖) (3分)
A. 是
B. 否
C. 无法确定,因为找不到这样的文件
D. 由于信息太有限,无法确定
E. 由于数据已加密,无法确定.
笔记本计算机里没有vips.txt,桌上计算机里有
104. [单选题] 收到上述电子邮件的客户名称是甚么? (3分)
A. 陈志
B. 陈志林
C. 陈宜
D. 郭倍
E. No customer data was found.
C
105. [单选题] 属于上述客户的电话号码是甚么? (某些字符被故意用*遮盖) (3分)
A. 3225**1*
B. 61**221**
C. 62**6*82*
D. 65**25**7
E. No customer data was found.
C
106. [单选题] 上述客户可能居住的区域是甚么? (3分)
A. Hong Kong Island
B. Kowloon City
C. Tsuen Wan
D. Tin Shui wai
E. No customer data was found.
D
想这个题就是考整体关联性,我认为计算机方面关联性就很重要,计算机都是我做的,我竟然还没有反应过来,真是很遗憾
107. [单选题] Cole的PI的哈希值(SHA-256)是甚么? (1分)
A. 0556EABC9BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7C
B. 05569BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7CEABC
C. 9BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7C0556EABC
D. AA8C9BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7C0556
E. EABC9BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7C0556.
108. [单选题] Cole PI 装置的操作系统是甚么? (2分)
A. Android
B. Debian
C. Mac
D. Ubuntu24
E. Windows.
109. [单选题] 操作系统是甚么版本? (2分)
A. 20.1.1 LTS (Focal Fossa)
B. 20.01.1 LTS (Focal Fossa)
C. 20.02.1 LTS (Focal Fossa)
D. 20.03.1 LTS (Focal Fossa)
E. 20.04.1 LTS (Focal Fossa).
110. [单选题] 装置的文件系统是甚么? (1分)
A. Android
B. Ext 4
C. EXT
D. iOS
E. NTFS.
说实话,这题我做错了,我是直接百度搜的答案一般也出来啦,但是我运气不好,刚好错了
然后看解析我发现弘连有自动分析文件系统的,真不错
111. [单选题] 操作系统的时区是甚么? (1分)
A. Asia/Amman
B. Asia/ Baku
C. Asia/Shanghai
D. Asia/Seoul
E. Asia/Tokyo.
说实话,我也是猜的,直接上海,猜对啦
我参考一下教程,他们一般都是搜索timezong,我觉得比赛的时候应该是不知道要搜timezone的我也试一下。
原来是这样的,linux时间信息都放在timezone里面,所以我看到网上很多大佬看的都是这个文件。
因为如果搜索time,信息实在是太多了,也是看不到答案 的。
112. [单选题] 哪个文件包含儿童色情物品内容?(某些字符被故意用*遮盖) (1分)
A. "Partition 2\**r\pt*c1.jpg,Partition 2\**r\pt*c2.jpg,Partition 2\**r\pt*c3.jpg"
B. "Partition 2\v**\ptha1.jpg,Partition 2\v**\ptha2.jpg,Partition 2\v**\ptha3.jpg"
C. "Partition 2\mnt\pth**.jpg,Partition 2\mnt\pth**.jpg,Partition 2\mnt\pth**.jpg"
D. "Partition 2\**hc1.jpg,Partition 2\**hc2.jpg,Partition 2\**hc3.jpg"
E. "Partition 2\media\pt**.jpg,Partition 2\media\pt**(1).jpg,Partition 2\media\pt**(2).jpg".
这两题因为是照片,而且提示jpg,我就直接去照片里面找,找到了就好,当然顺着路径照也是可以的,我觉得照片少,翻翻也蛮快的,然后跳转到源文件就好
113. [单选题] Cole PI装置中的儿童色情物品的创建时间是甚么? (1分)
A. 2020/09/15 11:21
B. 2020/09/15 17:21
C. 2020/09/15 18:21
D. 2020/09/16 19:21
E. 242020/09/15 20:21.
解法同上
114. [单选题] Cole NAS的哈希值(SHA-256)是甚么? (1分)
A. 28715B79890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D
B. 2871890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D5B79
C. 5B79890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D2871
D. 6879890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D2871
E. 890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D28715B79.
115. [单选题] 儿童色情数据存放在哪里? (2分)
A. Partition 3\cole-shared\media
B. Partition 4\cole\media
C. Partition 4\cole_shared\DCIM
D. Partition 4\cole_shared\media
E. Partition 4\cole_share\mnt.
由于存储设备做了动态卷的缘故,我总是看不到
然后看了官方视频讲解,才知道要把raid里面打开才能看
如果单纯跳转到源文件,是看不到答案的,因为答案都是分区四,就在我想不明白的时候,发现其实可能识别raid作为第四分区,因为前面已经有了三个分区。
116. [单选题] 设备中现有多少儿童色情数据? (2分)
A. 1
B. 2
C. 3
D. 4
E. 5.
3
117. [单选题] Cole NAS装置中的儿童色情物品的创建时间是甚么? (1分)
A. 2020/09/13 16:51
B. 2020/09/14 16:50
C. 2020/09/14 16:51
D. 2020/09/15 16:51
E. 2020/09/15 17:57.
自己看。
Daniel 罗俊杰
Daniel的桌上计算机
127. [单选题] Daniel的桌上计算机的哈希值(SHA-256)是甚么? (1分)
A. E588564CA7AAA5352F6A1215A9F1FBE4
B. FBE4564CA7AAA5352F6A1215A9F1E588
C. 01DD40CF28603F421F3A09CD38F1C8AA40A2AC4BFB46ECF8299C38CE6AE44EO5
D. 07DD40CF28603F421F3A09CD38F1C8AA40A2AC4BFB46ECF8299C38CE6AE44ED5
E. 4ED540CF28603F421F3A09CD38F1C8AA40A2AC4BFB46ECF8299C38CE6AE407DD.
D
128. [单选题] 该桌上计算机操作系统储存在哪个分区上? (1分)
A. Partition 1
B. Partition 2
C. Partition 3
D. Partition 4
E. Partition 5.
C
说实话,我考试的时候一直不知道什么分区对应partition什么,所以疯狂做不出来
从弘连看我知道是3
从分区信息看,我也能知道是3
129. [单选题] 在桌上计算器机中找到Daniel的电子邮件地址是甚么? (2分)
A. daniel43346@gmail.com
B. daniellaw43346@gmail.com
C. daniellaw43346@yahoo.com
D. daniellaw43346@yahoo.com.hk
E. daniellaw43346@ymail.com.
B
直接看出来的
130. [单选题] 该恶意软件感染源是甚么? (2分)
A. "daniellaw43346@gmail.com - Daniel_Gmail.pst, Paypal updated:New Account update needs to be noticed"
B. "daniellaw43346@gmail.com - Daniel_Gmails.pst, Paypal updated:New Account update needs to be noticed"
C. "daniellaw@gmail.com - Daniel_Gmail.pst, Paypal updated:New Account update needs to be noticed"
D. "danielaw43346@gmail.com - Daniel_Gmail.pst, Paypal updated:New Account update needs to be noticed"
E. "daniellaw43346@yahoo.com - Daniel_Gmail.pst, Paypal updated:New Account update needs to be noticed".
A
我客观的说,就是找不同,我当时看了半天,就是一点点小错误
131. [单选题] 在Daniel的桌面上发现了甚么恶意软件?(某些字符被刻意用*遮盖) (2分)
A. wi**ows.bat
B. ootd-4.0.**2.0.exe
C. 7z**00-x64.exe
D. NDP452-KB290**07-x86-x64-AllOS-ENU.exe
E. **deo_view**_3.1.2.4.zip.
E
这个题表面上说是桌面上,其实我觉得是说桌面计算机,我觉得其他是没有的,因为桌面上什么东西都没用,我当时是直接去虚拟机里面找,找到了这个文件夹件,然后用弘连导出查看 的,我就是直接用沙箱跑一下就出来了。
然后可能是windows是盗版的缘故,我无法把虚拟机里面的东西直接导出来了。
当时我一导出来,火眼直接查杀了,然后我就选了,后面放到沙箱也就是确认一下。
132. [单选题] 该恶意软件的哈希值(SHA-256)是甚么? (1分)
A. 508972AFE67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D
B. 5089E67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D72AF
C. 72AFE67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D5089
D. 77AFB67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D50B9
E. E67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D508972AF.
C
133. [单选题] 该恶意软件的功能是甚么? (2分)
A. 远程桌面协议
B. 作为获得管理员级别访问权限的rootkit
C. 作为键盘侧录程序 (Keylogger)
D. 作为抢夺者 (Snipper)
E. 作为特洛伊木马 (Trojan Horse).
E
火绒和沙箱都说是木马
Daniel的MAC
134. [单选题] Daniel的MacBook 计算机的哈希值(SHA-1)是甚么? (1分)
A. B90D23B13560A619F682DE76991CD768
B. B9OD23B13560A619F682DE76991CO768
C. C71C21730461FC901FD99F76C3679C3FED0DFAB9
D. C77C21730461FC901FD99F76C3679C3FED0DFA89
E. FAB921730461FC901FD99F76C3679C3FED0DC71C.
C
135. [单选题] Daniel的MacBook 计算机中有多少个分区? (1分)
A. 2
B. 3
C. 4
D. 5
E. 6
A
美亚有一个看分区蛮好的东西,我觉得很不错的
我做的部分不多,其他都是和队友分工的。
20美亚团队赛,镜像+解析,由于时间不多,只做pc+内存+恶意程序。相关推荐
- 19美亚 团队赛(完整版)
背景 证据路径 题目 1.在黑客路由器里,有一台设备的MAC地址为00:11:6B:47:4D:55,请问它的IP地址是什么? 192.168.0.102 2.在黑客路由器里,发现一设备的IP地址为1 ...
- 19美亚团队赛(完整),第一次做团队赛(火眼和美亚)
还是先对镜像里的东西,大致翻一翻 1.在黑客路由器里,有一台设备的MAC地址为00:11:6B:47:4D:55,请问它的IP地址是什么? 192.168.0.102 去看Hacker_Router ...
- 21美亚杯团队赛,镜像+解析,只做了pc+恶意+内存,希望与大家一起学习进步。
这是镜像,题目也在镜像里面. 链接:https://pan.baidu.com/s/1WMWUWd1M-7HINIWafr7oCg?pwd=ybww 提取码:ybww --来自百度网盘超级会员V3的分 ...
- 2016第二届美亚杯全国电子数据取证大赛团队赛write up
2016第二届美亚杯全国电子数据取证大赛 团队赛wp 本人TEL15543132658 同wechat,欢迎多多交流,wp有不足欢迎大家补充多多探讨! A部分write up 关于Hugo计算机的附加 ...
- 2019美亚杯团队赛
这套题也做了一段时间了,主要是之前要放假要跑1500,晚上摆烂严重,现在放假了逼自己一把.先发出来,争取这两天做完 这几天也又受了一些刺激,还得更加努力吧,让自己优秀一些,也要瘦一些呀hhh(2023 ...
- 2021美亚杯团队赛write up(未完)
个人赛与团队赛下载文件解压密码:MeiyaCup2021 加密容器解密密码: uR%{)Y'Qz-n3oGU`ZJo@(1ntxp8U1+bW;JlZH^I4%0rxf;[N+eQ)Lolrw& ...
- 2015美亚杯团队赛
团队赛 –背景介绍 审问 Eden 之后发现,他的朋友 Johnson 不仅仅是一个黑客,更是一个电脑高手. Johnson 开发并传播不少应用程序,其中也包括窃取网站敏感信息的恶意软件.Johnso ...
- 第七届团队程序设计天梯赛 题目解析讲解
B站正在录视频- 题目是2022年5月天梯赛决赛原题: 题号 题目名称 L1-1 今天我要赢 L1-2 种钻石 L1-3 谁能进图书馆 L1-4 拯救外星人 L1-5 试试手气 L1-6 斯德哥尔摩火 ...
- KDD Cup 2021城市大脑赛题解析!报名倒计时3天
↑↑↑关注后"星标"Datawhale 每日干货 & 每月组队学习,不错过 Datawhale赛事 KDD Cup 2021,数据挖掘顶会赛题 比赛链接:http://ww ...
最新文章
- B 站校招面试官“炫耀资产、贬低应试者”?当事人发长文回应,北邮学子要求向学校道歉
- 拆解 Linux 网络包发送过程
- Object family 在Object search中的default逻辑
- 【数据结构与算法】实验 模拟FIFO网络打印机
- Linux初级入门百篇-LVM 简介
- 【转载】MSDN上发现了一篇很好的WCF入门教程
- 中文分词:采用二元词图以及viterbi算法(三)
- 终于理解你的软件 搞那么多年了 (通用权限管理系统组件源码完善了7-8年)
- 汇编语言王爽 实验七
- 我的网址收藏-更新日期(2014-09-04)
- java mp3转g722_(转载)wav文件转成g722, g729编码的文件
- 摩托梁念坚出任微软大中华区董事长兼CEO
- 最新智商测试html5,2017年最新智商测试题
- 苹果 Apple Beta 版软件计划 相关软件地址
- 逆境之中见真章,JASMINER在众多出海企业中脱颖而出
- HTML5期末大作业:电影票务网站设计——电影票务网站整套(24页) HTML+CSS+JavaScript 学生DW网页设计作业成品 web课程设计网页规划与设计 计算机毕设网页设计源码
- android之ION内存管理器(1)-- 简介
- Linux下搭建FTP服务器教程
- 软件开发委托(个人)协议
- 计算机软件故障的排除方法,Windows 7系统常见小故障以及排除方法
热门文章
- 2021年危险化学品经营单位主要负责人考试题库及危险化学品经营单位主要负责人考试资料
- 解析EIT遇到的问题
- python gui Gooey 报错 error: argument command: invalid choice:
- oracle 经纬度格式转换,oracle操作之经纬度转换
- 【apktool正确打包流程】Apktool 打包失败解决办法【解包时必须带上-r参数,表示不解码资源文件】因为资源文件的接码会导致各种问题???
- cocos 播放龙骨动画,ios可能存在动画问题
- 上传文件计算机传输的,两台电脑之间若何快速传输几百G的文件?
- 【企业上云】云计算介绍以及分层Iaas、Pass、SaaS
- vetur配置html标签不换行,vscode vetur插件配置不换行
- java怎么设有滚动的标签_java – JScrollPane’laggy’滚动,包含许多组件