“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)
试题
|
1 |
Gary的笔记本电脑已成功取证并制作成镜像 (Forensic Image),下列哪个是其MD5哈希值。 |
|
|
A. |
0CFB3A0BB016165F1BDEB87EE9F710C9 |
|
|
B. |
5F1BDEB87EE9F710C90CFB3A0BB01616 |
|
|
C. |
A0BB016160CFB3A0BB0161661670CFB3 |
|
|
D. |
16160CFB3A0BB016166A0BB016166167 |
|
|
E. |
FB3A0BB016165 B016166 A0DF7FJE2EJ0 |
|
2 |
根据此镜像 (Forensic Image),里面有多少个硬盘分区? |
|
|
A. |
1 |
|
|
B. |
2 |
|
|
C. |
3 |
|
|
D. |
4 |
|
|
E. |
5 |
|
3 |
你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)? |
|
|
A. |
0 |
|
|
B. |
512 |
|
|
C. |
2,048 |
|
|
D. |
206848 |
|
|
E. |
102,402,047 |
|
4 |
你能找到硬盘操作系统分区的大小吗 (字节byte)? |
|
|
A. |
48.7 |
|
|
B. |
102,195,200 |
|
|
C. |
140,232,703 |
|
|
D. |
19,369,295,872 |
|
|
E. |
52,323,942,400 |
|
5 |
在包含操作系统的分区内,$MFT的物理起始偏移位置是什么? |
|
|
A. |
3328 |
|
|
B. |
4170040 |
|
|
C. |
6026176 |
|
|
D. |
6291456 |
|
|
E. |
16949352 |
|
6 |
请找出系统文件“SOFTWARE",请问操作系统的安装日期是? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC) |
|
|
A. |
2017-09-14 02:10 UTC |
|
|
B. |
2017-09-14 02:11 UTC |
|
|
C. |
2017-09-14 02:12 UTC |
|
|
D. |
2017-09-14 02:13 UTC |
|
|
E. |
2017-09-14 02:14 UTC |
|
7 |
用户“Gary"的SID是什么? |
|
|
A. |
1000 |
|
|
B. |
1001 |
|
|
C. |
1002 |
|
|
D. |
1005 |
|
|
E. |
1007 |
|
8 |
用户“彼得"的SID是什么? |
|
|
A. |
1000 |
|
|
B. |
1001 |
|
|
C. |
1002 |
|
|
D. |
1005 |
|
|
E. |
1007 |
|
9 |
硬盘的操作系统是什么? |
|
|
A. |
Windows 7 |
|
|
B. |
Windows 8 |
|
|
C. |
Windows 10 |
|
|
D. |
Linux Red Hat 7.1 |
|
|
E. |
MAC OS X |
|
10 |
哪个是Windows的默认浏览器? |
|
|
A. |
Microsoft Internet Explorer |
|
|
B. |
Google Chrome |
|
|
C. |
Mozilla Firefox |
|
|
D. |
Opera |
|
|
E. |
QQ 浏览器 |
|
11 |
用户 “Gary"曾经浏览过一些非法博彩网站,下列哪项URL符合? |
|
|
a. |
www.10086.com |
|
|
b. |
www.188bet.com |
|
|
c. |
www.hv5858.com |
|
|
d. |
www.12377.cn |
|
|
e. |
www.88.bettingwell.com |
|
|
f. |
www.aaakk.org |
|
|
A. |
只有(a) & (b) |
|
|
B. |
(a), (b), (d) & (f) |
|
|
C. |
(b), (c), (d) & (f) |
|
|
D. |
(b), (c), (e) & (f) |
|
|
E. |
以上皆是 |
|
12 |
用户Gary曾经登入上述非法博彩网站,下列哪个是其登入名称? |
|
|
A. |
ggchey68 |
|
|
B. |
gany-cher88 |
|
|
C. |
galy_chen88 |
|
|
D. |
garychen1688 |
|
|
E. |
garychen88 |
|
13 |
在所有用户中,用于电子邮件发送/接收的程序名称是什么? |
|
|
A. |
新浪邮箱 |
|
|
B. |
网易163 |
|
|
C. |
阿里邮箱 |
|
|
D. |
Foxmail |
|
|
E. |
Mozilla Mail – ThunderBird |
|
14 |
在该Windows系统中,曾经连接数个USB移动储存装置 (U盘),下列那个不是该系统连接过的USB移动储存装置 ? |
|
|
A. |
WD My Passport 0827 USB Device |
|
|
B. |
StoreJet Transcend USB Device |
|
|
C. |
Samsung Portable SSD USB Device |
|
|
D. |
StoreJet TS256GESD400K USB Device |
|
|
E. |
General UDisk USB Device |
|
15 |
在该Windows系统中,下列哪个USB移动储存装置 (U盘)曾被指派为‘Z’磁盘分区代号(Drive Letter) ? |
|
|
A. |
WD My Passport 0827 USB Device |
|
|
B. |
StoreJet Transcend USB Device |
|
|
C. |
Samsung Portable SSD USB Device |
|
|
D. |
StoreJet TS256GESD400K USB Device |
|
|
E. |
General UDisk USB Device |
|
16 |
该Windows系统中,下列哪个是最后的关机时间? |
|
|
A. |
2017-10-31 4:52:54 UTC |
|
|
B. |
2017-10-31 4:53:54 UTC |
|
|
C. |
2017-10-31 4:54:54 UTC |
|
|
D. |
2017-10-31 4:55:54 UTC |
|
|
E. |
2017-10-31 4:56:54 UTC |
|
17 |
该Windows系统中,下列哪个是电脑名称? |
|
|
A. |
GARYPC |
|
|
B. |
GARY-PC |
|
|
C. |
GARY_PC |
|
|
D. |
GARY |
|
|
E. |
GARY-NB |
|
18 |
在该Windows系统中,下列哪个是用户Gary日常使用的邮箱帐号? |
|
|
A. |
ics_user@mail.com |
|
|
B. |
ics_user@gmail.com |
|
|
C. |
gary@mail.com |
|
|
D. |
gary_chen@mail.com |
|
|
E. |
gary_chen@gmail.com |
|
19 |
在该Windows系统中,用户Gary曾经收过一封来自邮箱帐号 ics_user@mail.com 的邮件,内容提及有关制作钓鱼网站及邮件帐号eric_wang99@outlook.com,下列哪个是此封邮件的发送日期和时间? |
|
|
A. |
2017-09-25 17:07:15 |
|
|
B. |
2017-10-17 14:35:45 |
|
|
C. |
2017-10-17 18:24:02 |
|
|
D. |
2017-10-26 19:17:08 |
|
|
E. |
2017-10-26 19:24:57 |
|
20 |
在该Windows系统中,用户Gary还曾经收过两封来自邮箱帐号 eric_wang99@outlook.com的邮件,标题为“学习制作网站”,下列哪个是第一封邮件的发送日期和时间? |
|
|
A. |
2017-09-25 17:07:15 |
|
|
B. |
2017-10-17 14:35:45 |
|
|
C. |
2017-10-17 18:24:02 |
|
|
D. |
2017-10-18 18:30:45 |
|
|
E. |
2017-10-18 19:38:05 |
|
21 |
在该Windows系统中,用户Gary还曾经收过两封来自邮箱帐号 eric_wang99@outlook.com邮件,标题为“学习制作网站”,下列哪个是第二封电邮的发送日期和时间? |
|
|
A. |
2017-09-25 17:07:15 |
|
|
B. |
2017-10-17 14:35:45 |
|
|
C. |
2017-10-17 18:24:02 |
|
|
D. |
2017-10-18 18:30:45 |
|
|
E. |
2017-10-18 19:38:05 |
|
22 |
用户Gary还曾经收过一封来自邮箱帐号 ics_user@mail.com 的邮件,附加了两张与咖啡豆有关的相片,下列哪个是此封邮件的发送日期和时间? |
|
|
A. |
2017-09-25 17:07:15 |
|
|
B. |
2017-10-17 14:35:45 |
|
|
C. |
2017-10-17 18:24:02 |
|
|
D. |
2017-10-26 19:17:08 |
|
|
E. |
2017-10-26 19:24:57 |
|
23 |
在该Windows系统中,用户Gary还曾经收到一封来自邮箱帐号 eric_wang99@outlook.com 的邮件,附加有三张与Apple iCloud相关的相片,下列哪个为该封邮件的发送日期和时间? |
|
|
A. |
449cebf0eb96499df047fe0bff8e1627 |
|
|
B. |
17f9c6bcca44d128f7ed6769a6920278 |
|
|
C. |
4bc48ce355acd4732f33a79e29728e96 |
|
|
D. |
4bc48ce355acd4732f33a79e29728e96 |
|
|
E. |
e3e545c80a7273b7b0d7c73dacdd7227 |
|
24 |
在该Windows系统中,用户Gary还曾经收到一封来自邮箱帐号 eric_wang99@outlook.com 的邮件,附加有三张与Apple iCloud相关的相片,下列哪个为该封邮件的发送日期和时间? |
|
|
A. |
2017-09-25 17:07:15 |
|
|
B. |
2017-10-17 14:35:45 |
|
|
C. |
2017-10-17 18:24:02 |
|
|
D. |
2017-10-18 18:30:45 |
|
|
E. |
2017-10-18 19:38:05 |
|
25 |
Gary经常使用笔记本电脑浏览互联网,他的笔记本电脑上曾经连接过多少WIFI热点? |
|
|
A. |
1 |
|
|
B. |
2 |
|
|
C. |
3 |
|
|
D. |
4 |
|
|
E. |
5 |
|
26 |
上述电脑曾经连接过星巴克WIFI热点,下列哪项是其全局唯一识别元(Globally Unique Identifier, GUID)? |
|
|
A. |
{8039D237-A346-4BA1-9B78-5752580ED7F0} |
|
|
B. |
{39489FA0-DE35-4989-8730-E2E2ED15E85A} |
|
|
C. |
{558B94DF-8D68-4779-AA25-65FBDAB4C2B9} |
|
|
D. |
{4EFCDA7E-CE51-4EC2-8980-8629647C9968} |
|
|
E. |
{AF0778E8-6C4F-41C6-84B2-CB14490CF29E} |
|
27 |
有关Gary的笔记本电脑,下列哪项是其最后分派得到的IP地址? |
|
|
A. |
192.168.0.1 |
|
|
B. |
192.168.10.4 |
|
|
C. |
192.168.20.6 |
|
|
D. |
192.168.30.3 |
|
|
E. |
192.168.40.5 |
|
28 |
Eric曾发邮件给Gary,内容是关于如何在暗网(Dark Web)中浏览枪械的信息,以下哪个URL是由Eric提供的? |
|
|
A. |
http://hhnovpxmqrw5xaqg.onion |
|
|
B. |
http://gunsjmzh2btr7lpy.onion |
|
|
C. |
http://gunsdtk58tolcrre.onion |
|
|
D. |
http://armoryohajjhou6m.onion |
|
|
E. |
http://armory45jijdf7d.onion |
|
29 |
Eric 售卖iCloud 网站给Gary 的价钱是多少? |
|
|
A. |
$500 |
|
|
B. |
$800 |
|
|
C. |
$1000 |
|
|
D. |
$1400 |
|
|
E. |
$1500 |
|
30 |
Gary 经常将非法文件存储到该笔记本电脑的加密分区中,下列哪一个为该加密软件? |
|
|
A. |
TrueCrypt |
|
|
B. |
VeraCrypt |
|
|
C. |
Bitlocker |
|
|
D. |
LUKS |
|
|
E. |
PGP WDE |
|
31 |
在加密磁区内有三张与Apple iCloud有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)? |
|
|
A. |
c9fbfaf3c45492c40feb83a83217f146 |
|
|
B. |
14903a7bd9d709b653f9afe8e3e51cdd |
|
|
C. |
7cb0f29812317db645edbcd6cf46e1ba |
|
|
D. |
5503d096bdf832460c8f51da62fbbb5d |
|
|
E. |
9918465b62171ba2c0a95595db629bf3 |
|
32 |
在加密磁区内有三张与暗网(Dark Web)有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)? |
|
|
A. |
2836d35fb45c591211d5b6865c4a82f5 |
|
|
B. |
d2b14799050b6c4ad6b07cd1227b91a5 |
|
|
C. |
9110c96baa70c00acd8fbdfe2dc7c397 |
|
|
D. |
703899985d881e2d103eb4fd1306be2e |
|
|
E. |
4c57a45b8da5ea01e5eb7d875f94a7b8 |
|
34 |
在上述加密磁区内,存有一个名为”2017-10-27”的文件夹,内有三张枪械的图片,该三张图片是来自哪个网站? |
|
|
A. |
http://gunsdtk58tolcrre.onion |
|
|
B. |
http://gunsjmzh2btr7lpy.onion |
|
|
C. |
thegunstorelasvegas.com |
|
|
D. |
cabelas.com |
|
|
E. |
hyattgunstore.com |
|
35 |
Gary的笔记本电脑曾经下载过多少张有关恐怖组织的图片? |
|
|
A. |
1 |
|
|
B. |
2 |
|
|
C. |
3 |
|
|
D. |
4 |
|
|
E. |
5 |
|
36 |
根据Gary与Eric邮件的内容,Eric曾经提供Gary一个私有云盘,下列哪项是该邮件提供的资料? |
|
|
A. |
动物图 |
|
|
B. |
枪的结构图 |
|
|
C. |
博彩图 |
|
|
D. |
博彩文件 |
|
|
E. |
|
37 |
下列哪项是上述私有云盘的网址? |
|
|
A. |
http://mantech.mooo.cn |
|
|
B. |
||
|
C. |
http://mooo.com |
|
|
D. |
http://mantech.com |
|
|
E. |
http://23.54.45.113 |
|
38 |
下列哪项是上述私有云盘网址的连接端口? |
|
|
A. |
TCP 80 |
|
|
B. |
TCP 8080 |
|
|
C. |
UDP 80 |
|
|
D. |
TCP 8000 |
|
|
E. |
TCP 443 |
|
39 |
下列哪项是Gary第一次浏览该私有云盘网址时,所使用的浏览器? |
|
|
A. |
Microsoft Explorer |
|
|
B. |
Google Chrome |
|
|
C. |
Mozilla Firefox |
|
|
D. |
Opera |
|
|
E. |
QQ 浏览器 |
|
40 |
下列哪项是Gary第一次浏览该私有云盘网址的日期和时间? |
|
|
A. |
2017-10-29 12:42:09 |
|
|
B. |
2017-10-30 12:42:09 |
|
|
C. |
2017-10-31 12:42:09 |
|
|
D. |
2017-10-30 10:42:09 |
|
|
E. |
2017-10-30 11:42:09 |
|
41 |
在上述加密磁区内,存有一个名为”2017-10-30”的文件夹,里面有三张与枪械结构有关的图片,该三张图片是从哪个方法/软件下载? |
|
|
A. |
邮件 |
|
|
B. |
Firefox |
|
|
C. |
Chrome |
|
|
D. |
USB thumb drive |
|
|
E. |
ftp |
|
42 |
Gary的笔记本电脑,曾经下载过一个感染了电脑病毒的文件,名为invoice.zip。该病毒程序文件是什么时候下载? |
|
|
A. |
2017-10-31 12:26:20 |
|
|
B. |
2017-10-31 12:50:34 |
|
|
C. |
2017-10-31 12:29:55 |
|
|
D. |
2017-10-31 10:52:10 |
|
|
E. |
2017-10-31 12:18:54 |
|
43 |
Gary的笔记本电脑,还存有一个感染了电脑病毒的程序文件,名为\User\Gary\Downloads\invoice\dist\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么? |
|
|
A. |
2017-10-31 12:26:27 |
|
|
B. |
2017-10-31 12:50:34 |
|
|
C. |
2017-10-31 12:29:55 |
|
|
D. |
2017-10-31 10:52:10 |
|
|
E. |
2017-10-31 12:18:54 |
|
44 |
上述invoice.exe文件伪装成什么格式的软件? |
|
|
A. |
|
|
|
B. |
jpg |
|
|
C. |
psd |
|
|
D. |
Docx |
|
|
E. |
Doc |
|
45 |
上述的\User\Gary\Downloads\invoice\dist\invoice.exe文件,最后执行日期/时间(Last Accessed Data/Time) 是什么? |
|
|
A. |
2017-10-31 12:26:27 |
|
|
B. |
2017-10-31 12:50:34 |
|
|
C. |
2017-10-31 12:29:55 |
|
|
D. |
2017-10-31 10:52:10 |
|
|
E. |
2017-10-31 12:18:54 |
|
46 |
事实上,Gary的笔记本电脑被电脑病毒感染了,部份文件被加密,当中包括下列哪种文件类型? |
|
|
a. |
exe |
|
|
b. |
gif |
|
|
c. |
jpg |
|
|
d. |
psd |
|
|
e. |
Docx |
|
|
f. |
Doc |
|
|
A. |
只有(a) & (b) |
|
|
B. |
(a), (b), (d) & (f) |
|
|
C. |
(b), (c), (d) & (f) |
|
|
D. |
(b), (c), (e) & (f) |
|
|
E. |
以上皆是 |
|
47 |
上述\User\Gary\Downloads\invoice\dist\invoice.exe文件共执行多少? |
|
|
A. |
1 |
|
|
B. |
2 |
|
|
C. |
3 |
|
|
D. |
4 |
|
|
E. |
5 |
|
48 |
上述\User\Gary\Downloads\invoice\dist\invoice.exe文件是由什么程序编写? |
|
|
A. |
LISP |
|
|
B. |
C++ |
|
|
C. |
Visual Basic |
|
|
D. |
Python |
|
|
E. |
Java |
|
49 |
上述\User\Gary\Downloads\invoice\dist\invoice.exe文件,执行时会呼叫下列哪个动态连结函式库(Dynamic Linked Library) |
|
|
A. |
KERNEL32.DLL |
|
|
B. |
USER32.DLL |
|
|
C. |
SHELL32.DLL |
|
|
D. |
NTDLL.DLL |
|
|
E. |
SYSTEM32.DLL |
|
50 |
Gary的笔记本电脑,还存有另一感染了电脑病毒的程序文件,名为\tmp\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么? |
|
|
A. |
2017-10-31 12:26:27 |
|
|
B. |
2017-10-31 12:50:34 |
|
|
C. |
2017-10-31 12:29:55 |
|
|
D. |
2017-10-31 10:52:10 |
|
|
E. |
2017-10-31 12:18:54 |
|
51 |
上述两个文件\User\Gary\Downloads\invoice\dist\invoice.exe和 \tmp\invoice.exe是什么关系? |
|
|
A. |
前者是后者的复本 |
|
|
B. |
后者是前者的复本 |
|
|
C. |
两者MD5不相同 |
|
|
D. |
两者元数据(Metadata)相同 |
|
|
E. |
两者无关系 |
|
52 |
根据勒索讯息的显示,勒索网址是什么? |
|
|
A. |
http://223.17.250.208:6000/C&C/ |
|
|
B. |
http://223.17.250.208/C&C/ |
|
|
C. |
http://223.17.250.208:6060/C&C/ |
|
|
D. |
http://223.17.250.208:80/C&C/ |
|
|
E. |
http://223.17.250.208:8080/C&C/ |
|
53 |
根据勒索讯息的显示,勒索金额是多少钱? |
|
|
A. |
$1,000 |
|
|
B. |
$10,000 |
|
|
C. |
$20,000 |
|
|
D. |
$50,000 |
|
|
E. |
$100,000 |
|
54 |
根据勒索讯息的显示,下列哪个是与勒索案件有关的比特币钱包? |
|
|
A. |
1KcjhpkowGWh5QYgPx5hYGuzbZpewgBszh |
|
|
B. |
1KcjhpknwGWh5QYgPx5hYGuzbZpewgBszh |
|
|
C. |
1KcjhpknwGWh5QYgPx5hYGuzbZpewgBzzh |
|
|
D. |
1KcjhpknwGWh5QYgPx6hYGuzbZpewgBszh |
|
|
E. |
1KcjhpknwGWh6QYgPx5hYGuzbZpewgBszh |
|
55 |
执法机关曾在现场对Gary的电脑进行电子法证检验,期间曾撷取与勒索软件相关的屏幕影像,并储存为png格式。下列哪项是其储存位置? |
|
|
A. |
\Users\彼得\Downloads\ |
|
|
B. |
\Users\彼得\Desktop\ |
|
|
C. |
\Users\Gary\Downloads\ |
|
|
D. |
\Users\Gary\Desktop\ |
|
|
E. |
\Users\Gary\Documents |
Keys point 分高下
|
经法证工具分析后发现Gary的笔记本电脑有三个分区硬盘,所有敏感文件均储存在一个加密磁区,而其加密匙放在下列哪个位置? |
||
|
A. |
\Windows\ |
|
|
B. |
\Users\ |
|
|
C. |
\Users\Gary\Desktop |
|
|
D. |
\Users\Gary\Documents |
|
|
E. |
\ |
|
答案解析
1、
|
A. |
0CFB3A0BB016165F1BDEB87EE9F710C9 |
2、
|
C. |
3 |
3、内存物理地址的单位是字节(Byte),而一个逻辑区块占用512字节,所以要将这个值除以512=206848
|
D. |
206848 |
4、48.73*1073741824为52323439083.52
|
E. |
52,323,942,400 |
5、应为6498304
|
D. |
6291456 |
6、北京是东八区,领先UTC时间八个小时,所以减掉后得出答案
|
B. |
2017-09-14 02:11 UTC |
7、
|
A. |
1000 |
8、
|
B. |
1001 |
9、
|
A. |
Windows 7 |
10、
|
A. |
Microsoft Internet Explorer |
11、首先排除正常的10086和12377网站,然后搜索每个网站
|
D. |
(b), (c), (e) & (f) |
12、将每个选项搜索,得到garychen88
|
E. |
garychen88 |
13、
|
E. |
Mozilla Mail – ThunderBird |
14、
|
C. |
Samsung Portable SSD USB Device |
15、
|
E. |
General UDisk USB Device |
16、
|
A. |
2017-10-31 4:52:54 UTC |
17、
|
B. |
GARY-PC |
18、
|
D. |
gary_chen@mail.com |
19、
|
C. |
2017-10-17 18:24:02 |
20、
|
D. |
2017-10-18 18:30:45 |
21、
|
E. |
2017-10-18 19:38:05 |
22、
|
D. |
2017-10-26 19:17:08 |
23、
|
B. |
17f9c6bcca44d128f7ed6769a6920278 |
24
|
E. |
2017-10-18 19:38:05 |
25、
|
D. |
4 |
26、取证结果 -> 密码/密钥检索 -> 无线账号
|
E. |
{AF0778E8-6C4F-41C6-84B2-CB14490CF29E} |
27、取证结果 -> 系统痕迹 -> 网络配置 -> 网络连接 找到DHCPIP地址一栏有D选项的IP地址
|
D. |
192.168.30.3 |
28、找到Eric发的邮件,根据提升打开附件的网页截图,找出暗网的url
|
B. |
http://gunsjmzh2btr7lpy.onion |
29、继续在收件箱中查找Eric与Gary的通信内容,在一封标题为“发票”的邮件中找到了疑似信息。
|
C. |
$1000 |
30、
|
B. |
VeraCrypt |
31、在收件箱中查找Eric与Gary的通信内容,在一Re:学习制作网站的邮件中找到了疑似信息。可以导出这份邮件的三份图片附件
|
A. |
c9fbfaf3c45492c40feb83a83217f146 |
32、做法同上
|
E. |
4c57a45b8da5ea01e5eb7d875f94a7b8 |
34
|
B. |
http://gunsjmzh2btr7lpy.onion |
35、下载这种图片一般都是用浏览器下载,所以在取证结果 -> 上网记录 -> 下载记录 里找线索
|
B. |
2 |
36、一个邮件包含三题答案
|
B. |
枪的结构图 |
37、
|
B. |
http://mantech.mooo.com |
38、
|
D. |
TCP 8000 |
39、把地址http://mantech.mooo.com:8000拉进FMP实时搜索,在“上网记录”一栏找到FireFox浏览器的最新访问信息。
|
C. |
Mozilla Firefox |
40、取证结果 -> 上网记录 -> FireFox -> 历史记录,以时间为关键字正序排序。得出嫌疑人第一次访问该私有网盘网址的准确时间。
|
B. |
2017-10-30 12:42:09 |
41、取证结果 -> 上网记录 -> FireFox -> 下载记录,发现有三张图片被下载到了E:\2017-10-30,与题目吻合
|
B. |
Firefox |
42、将关键字“invoice.zip”实时搜索,找到对应的文件,查看文件创建时间,得出答案。
|
E. |
2017-10-31 12:18:54 |
43、将关键字“invoice.exe”实时搜索。题目要求我们得到的是文件最后存取日期,考虑到.exe文件一般不会被写,所以这个日期应该是最后的访问时间,在文件摘要中可以得到这一信息。
|
A. |
2017-10-31 12:26:27 |
44、
|
A. |
|
45、为tmp目录下invoice.exe的访问时间。
|
B. |
2017-10-31 12:50:34 |
46、
|
D. |
(b), (c), (e) & (f) |
47、将关键字“invoice.exe”实时搜索,然后在 用户痕迹 -> 最近程序访问记录 里面发现该程序被运行了五次。
|
E. |
5 |
48、导出invoice.zip之后,发现里面有pyc文件
|
D. |
Python |
49、该题逆向动态调试可得
|
A. |
KERNEL32.DLL |
50、见43题
|
B. |
2017-10-31 12:50:34 |
51、tmp为打开时生产的临时文件
|
B. |
后者是前者的复本 |
52、选项的网址拉进FMP实时搜索,发现C选项对应的网址是嫌疑人用火狐浏览器访问过的。
|
C. |
http://223.17.250.208:6060/C&C/ |
53、在系统桌面上找找,结果发现一张screen.png,得到三题答案。
|
B. |
$10,000 |
54、
|
D. |
1KcjhpknwGWh5QYgPx6hYGuzbZpewgBszh |
55、
|
D. |
\Users\Gary\Desktop\ |
“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)相关推荐
- 2022美亚杯第八届中国电子数据取证大赛-个人赛write up详解,软件就用弘连和美亚,尽量写的细致一点。建议入门看,仅为了解题,没有专业精神。专业选手去看后面推荐的两篇解析,都是大佬。
建议新手看我的博客,比较简单粗暴,解题率较低,仅仅是为了比赛,入门的同学可以看看.我的水平还很糟糕,之后会努力学习,所以这篇博客也会不断修改完善.博客还有很多不当之处,如有发现不当之处请私信我,我会做 ...
- “美亚杯”第二届中国电子数据取证大赛答案解析(团体赛)
1. 根据所提供的文件,在映像文件的采集过程中,曾使用那一种的写入保护设备? A)软件写入保护设备 B)WiebeTech写入保护设备 C)EPOS写入保护器 D)Tableau取证工具SATA / ...
- “美亚杯”第二届中国电子数据取证大赛答案解析(个人赛)
(一)个人赛-背景介绍 (39题, 50分) Hugo是一个职业黑客,他喜欢透过非法入侵其他人的电脑来炫耀自己高超的计算机技术.他也是一个臭名昭著的匪徒,其敛财手段主要有: 1)网络攻击诈骗: 2)编 ...
- 2018第四届美亚杯中国电子数据取证大赛个人赛write up
"美亚杯"第四届中国电子数据取证竞赛-资格赛 本人TEL15543132658 同wechat,欢迎多多交流,wp有不足欢迎大家补充多多探讨! 本次比赛共1 个章节, 50 个小题 ...
- 2021第七届美亚杯中国电子数据取证大赛详解write up
"美亚杯"第七届中国电子数据取证大赛-个人赛 本人TEL15543132658同wechat,个人解题思路,有不同见解欢迎讨论. 本次比赛共1 个段落, 62 个小题, 总共114 ...
- 2020第六届美亚杯中国电子数据取证大赛个人资格赛
2020第六届美亚杯中国电子数据取证大赛个人资格赛 这一套还不错,个人赛的检材也各个有联系,检材照片和笔录让人身临其境. 第一次用富文本编辑器,感觉好酷 目录 笔记本计算机 手机 USB 笔记本计算机 ...
- 2020年第六届“美亚杯”中国电子数据取证大赛 资格赛 解题(一)
美亚杯 博主今年是大二学生,第一次参加"美亚杯",第一次写wp
- 2017第三届美亚杯全国电子数据取证大赛个人赛write up
2017年美亚杯全国电子数据取证大赛 本人TEL15543132658 同wechat,欢迎多多交流,wp有不足欢迎大家补充多多探讨! Questions 1 Gary的笔记本电脑已成功取证并制作成镜 ...
- 2016第二届美亚杯全国电子数据取证大赛团队赛write up
2016第二届美亚杯全国电子数据取证大赛 团队赛wp 本人TEL15543132658 同wechat,欢迎多多交流,wp有不足欢迎大家补充多多探讨! A部分write up 关于Hugo计算机的附加 ...
最新文章
- laravel定时任务
- javascript常用函数和技巧
- 轻量级定时任务框架:APScheduler
- 怎么设置php的css颜色代码,CSS的文本字体颜色如何设置
- [小结]InnoDB体系结构及工作原理
- C#LeetCode刷题之#704-二分查找(Binary Search)
- 《Linux编程》上机作业 ·005【进程管理与通信】
- matplotlib 可视化 —— 定制画布风格 Customizing plots with style sheets(plt.style)
- java静态类是只有一个吗,一个只有“私有最终静态”变量的java类。这是一个好主意吗?...
- 图像识别pytorch入门1
- 近场动力学python_科学网—近动力学最新上线的文章快报:2018年7月 - 韩非的博文...
- 日常开销记账表格_日常NetQuote的开销我们的管理风格在很大程度上是一种欺骗...
- JVM HotSpot 可达性分析算法实现细节
- Word文档电子版“手写签名”!替代手写直接打印
- 【CCF】小中大(C++)
- 变分自编码(VAE)及代码解读
- lighttpd 配置 ssl证书
- 链家深圳二手房房价数据分析
- traceroute不通的解决
- 一个游戏程序员的学习资料【转】
热门文章
- 《Graph Learning》| HIN-基于元路径的相似度
- .基金从业资格考试信息
- Linux环境:Zookeeper:Error contacting service. It is probably not running
- Zookeeper出现Error contacting service. It is probably not running问题
- 【运维面试】公司拒绝了你,后来又通知你去上班,还要不要去?
- 公有链、联盟链的区别
- 解决SAP业务问题的思考——逆向思维
- Cocos Creator 3D 粒子系统初战(一),不要钱的酷炫火焰拿走不谢!
- java atlas mysql_jdbc连接atlas报错
- javascript 时间倒计时