19美亚团队赛（完整版）

背景

证据路径

题目

1.在黑客路由器里，有一台设备的MAC地址为00:11:6B:47:4D:55，请问它的IP地址是什么？

192.168.0.102

2.在黑客路由器里，发现一设备的IP地址为192.168.0.103，请问该设备为如下哪一个：

exploitU

3.警方已经查证所有连接此router的设备都归黑客所有，根據黑客路由器的訊息，下列哪组（设备---ip）是错误的：

A:Network Attached Storage 2000 --- 192.168.0.102

B:Galaxy J7 --- 192.168.0.104

C:Galaxy A8 --- 192.168.0.104

D:exploitU --- 192.168.0.103

E:MACs-MacBook-Air --- 192.168.0.100

如上图，根本没有该设备

4.Hacker现场检获的Windows主机硬盘已成功取证并制作成镜像Win1.E01，下列哪个是其硬盘证据文件的MD5哈希值。

A:3e57817ea6263bc2c696a3455cc96381

B:d9a0b52f5ac3951ec4056449c31d886a

C:ed43de631a56dd2c8bac4abbd3882c86

D:dd32beac5ef2cd1cac06bdd8b5e88cbc4eb94de9

E:48a45c39da458f3cadd92017e0247454dc8bff66

5.MD5hash算法会产生一个什么大小的值。

128bit

32位16进制，128bit

6.对于一个E01镜像证据文件，要想成功通过校验过程，以下哪个是正确的

A:MD5 hash值以及 SHA1 hash值校验通过

B:MD5 hash值或者 SHA1 hash值校验通过

C:只需要CRC值校验通过

D:CRC值以及 MD5(或SHA1) hash值校验通过

E:CRC值或者 MD5(或SHA1) hash值校验通过

不做解释。。

7.对于镜像Win1.E01，操作系统(OperatingSystem)是什么？

Windows10pro

8.对于镜像Win1.E01，一个簇(Cluster)包含多少个扇区（Sector）？

在$boot文件的十六进制中可见

9.对于镜像Win1.E01，包含操作系统的分区中，共有多少个扇区（sector）？

169,646,337

10.对于镜像Win1.E01，硬盘上有多少扇区（sector）被主引导记录（MasterBootRecord）所保留?

11.对于镜像Win1.E01，文件被删到回收站（RecycleBin）的时间可在以下哪个文件的元数据(metadata)中找到？

A INFO2 文件

B $I文件

C $R文件

D 回收站目录项（Recycle Bin directory entry）

E LNK 文件

方法1：

方法2：

火眼里右键任意一条回收站记录，跳到源文件即可

12.对于镜像Win1.E01，系统的最后关机(lastshutdown)时间是多少？

A. 2019-10-23 07：43：53 UTC

B. 2019-11-01 09：35：46 UTC

C. 2019-10-20 11：23：32 UTC

D. 2019-10-21 10：13：28 UTC

E. 2019-10-22 08：03：16 UTC

注意时区转换

13.当一个文件A被打开，一个带有文件A名字的快捷方式文件（linkfile）会在以下哪个文件夹生成？

A:Shortcut

B:History

C:Temp

D:Recent

E:Desktop

14.Win3.E01镜像档案的建立日期是?

A:2019-10-31

B:2019-11-01

C:2019-11-02

D:2019-11-03

E:2019-11-04

最后运行时间应该在11-01

15.在Win3.E01镜像文件内有多少个硬盘分区？

16.对于Win3.E01镜像，其操作系统的安装日期是？

2019-10-15

17.对于Win3.E01镜像，其操作系统共有多少个可登录用户？

注意为可登录只有Administrator为启用

18.对于Win3.E01镜像，系统的时区设定是什么?

China Standard Time

19.对于Win3.E01镜像，其主机名是

DESKTOP-1JMUE2M

20.对于Win3.E01镜像，其操作系统是

A. Windows xp

B. Windows 7

C. Windows 8

D. Windows 10

E. Windows Vista

如上图

21.对于Win3.E01镜像，其可登录的用户名是

Administrator

同17题

22.对于Win3.E01镜像，其曾使用过以下哪个IP地址

A. 192.168.0.101

B. 192.168.1.101

C. 192.168.0.104

D. 192.168.1.104

直接美亚里搜就好

23.对于Win3.E01镜像，以下哪个USB存储设备曾经连接过Win3这台主机

A:SMI USB DISK USB Device

B:Kingston DataTraveler 3.0 USB Device

C:General UDisk USB Device

D:选项 A，B

E:选项 A，B，C

24.对于Win3.E01镜像，以下哪些程序被设定为开机启动项

A:"C:\Program Files\Realtek\Audio\HDA\RtDCpl64.exe"

B:"C:\Users\Administrator\AppData\Local\Microsoft\OneDrive\OneDrive.exe"

C:"F:\BaiduNetdisk\BaiduNetdisk.exe"

D:"F:\BaiduNetdisk\YunDetectService.exe"

E:以上全部选项

25.对于Win3.E01镜像，曾经有个文件在A盘下，A:\NewTextDocument.txt，请问这个文件的创建时间（UTC）

A:2019-10-26 07:47:02 AM

B:2019-10-27 07:47:02 AM

C:2019-10-28 07:47:02 AM

D:2019-10-29 07:47:02 AM

E:以上都不是

注意时区转换

26.对于Win3.E01镜像，曾经在D盘下有这样一个文件，D:\BaiduNetdiskDownload\dataencrypt.txt，请问这个文件的创建时间(inUTC)

A:2019-10-29 09:30:00 AM

B:2019-10-30 09:30:00 AM

C:2019-10-31 09:30:00 AM

D:2019-11-01 09:30:00 AM

E:以上都不是;

注意时区转换

27.在黑客的网络中有一个网络附加存储（NAS），对于Win3.E01镜像，请问在Win3的记录中，以下哪一个选项最有可能是NAS的IP，以及绑定的盘符？

A:192.168.0.102 - Z:

B:192.168.0.102 - Y:

C:192.168.0.105 - Z:

D:192.168.0.105 - Y:

E:以上都不是;

28.对于Win3.E01镜像，在其回收站中，有一个文件agent1.7z，请问在删除之前它原本的路径是？

A:C:\Users\Administrator\Desktop\agent\agent1.7z

B:C:\Users\Administrator\Desktop\agent1.7z

C:C:\Users\Administrator\Downloads\agent1.7z

D:C:\Users\Administrator\Documents\agent1.7

E:以上都不是;

29.对于Win3.E01镜像，在其桌面上，有一个文件夹"macrodocs",在这个文件夹中哪些文件存在恶意宏（Macro）

1. Do Not Open.docm
2. N_Data.xlsm
3. Sol-1120.xlsm
4. Sol-BBA.xlsm
5. Today Is A Good Day.docm
6. exploit_1.docm
7. phishing.docm
8. 申请信息(Application Information).docm

A:1，4，7

B:1，6，7

C:3，7，8

D:4，7，8

E:6，7，8

导出时电脑自动扫描到了

微云步沙箱

30.接上题，根据对上述恶意文件phishing.docm的宏(Macro)分析，下列哪一个是其想要连接的ip地址？

192.168.0.100

用微步云沙箱分析一下

31.接上题，根据对上述恶意文件phishing.docm的宏(Macro)分析，下列哪一个是其想要连接IP的端口号？

真滴没找着，分析不出来。。

32.对于Win3.E01镜像，其系统中曾有如下文件，C:\Users\Administrator\Desktop\NextStep.txt，但此文件已经被删除，你是否可以找出此文件的删除时间

A. 2019-11-01 18:47:13 （UTC）

B. 2019-11-01 13:27:13 （UTC）

C. 2019-10-31 11:37:43 （UTC）

D. 2019-10-30 18:47:13 （UTC）

E. 以上都不是

33.接上题，请问文件C:\Users\Administrator\Desktop\NextStep.txt，是怎样被删除的？

A. Windows Delete (press delete button)

B. Shift + Delete

C. Eraser.exe

D. CCleaner

E. 以上都不是

按上题时间搜时间线 c较接近

34.接上题，请尝试恢复文件C:\Users\Administrator\Desktop\NextStep.txt，阅读文件内容，请问下列内容的正确顺序是1. Data Steal 2. test DoS attack 3. phishing email 4. Kali debug

A. 1，2，3，4

B. 4，3，2，1

C. 4，1，2，3

D. 4，3，1，2

E. 以上都不是

卷影分析

35.对于Win3.E01镜像，administrator的最早登陆时间是？

A. 2019-10-15 04:54:56 AM （UTC）

B. 2019-10-15 05:54:56 AM （UTC）

C. 2019-10-15 06:54:56 AM （UTC）

D. 2019-10-15 07:54:56 AM （UTC）

E. 2019-10-15 08:54:56 AM （UTC）

注意转换时区

36.对于Win3.E1镜像，以下哪些文件曾出现在盘符A:下

1. A:\New Text Document (2).txt

2. A:\New Text Document.txt

3. A:\Personal Information.xlsx

4. A:\key.txt

5. A:\keyList.txt

A. 1，2，3

B. 1，3，5

C. 2，3，4

D. 2，3，5

E. 全部

37.对于Win3.E01镜像，Eraser6.2.0.2986.exe是何时被下载的

A. 2019-11-01 01:25:16 PM (UTC)

B. 2019-10-31 01:25:16 PM (UTC)

C. 2019-10-30 01:25:16 PM (UTC)

D. 2019-10-29 01:25:16 PM (UTC)

E. 2019-10-28 01:25:16 PM (UTC)

38.接上题，Eraser6.2.0.2986.exe是从哪一个网站上下载的

A. pcword.com

B. secure-eraser.com

C. cnet.com

D. eraser.heidi.ie

E. sourceforge.net

39.对于Win3.E01而言，日志文件中哪些是该电脑使用过的打印（虚拟）设备？

1. Samsung CLP-775 Series PCL

2. Microsoft Print to PDF

3. http://192.168.0.106的 HP LaserJet Pro FDN

4. OneNote

A. 1, 2

B. 1, 3

C. 2, 4

D. 1, 2, 3

E. 1, 2, 3, 4

直接搜

40.对于Win3.E01镜像，该糸统是否有卷影副本（VolumeShadowCopy）？如果有卷影副本，请查看初始的卷快照（VolumeShadowCopy）记录，请问丢失的文件acres.dll.mui的最后访问时间（最后访问时间）？（UTC+8）

A. 该糸统没有卷影副本

B. 2019-03-19 18:39:04

C. 2019-10-30 11:40:41

D. 2019-10-31 22:00:50

E. 没有显示最后访问时间

acres 不是Acres！！！

41.分析两台Windows镜像，请找出比特币钱包的备份，它的MD5哈希是

bcf83e3a6a2aecde08010f54018c4c89

直接搜wallet ->找到wallet.bat

42.接上题，请解析此比特币钱包的备份，请问以下哪个不是此钱包的P2SH地址

A. 3HeQp9c74rqN6ymzGwr9JB7z8CPaX2458w

B. 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy

C. 3CevVaAjLPedZo9Uujr8kJj35gbRzM1zgC

D. 37Xb6GhDrKWqwn2nY5gFpRFjVXAAe27147

E. 以上都不是

直接打开文件搜name（只搜得到A 答案是B 有些懵逼

43 检材镜像“Linux.E01”的SHA1 值是多少

A. 4C286E182BC4D1832A8739B18C19ECAF9262C37A

B. 01464E1616E3FDD5C60C0CC5516C1D1454CC4185

C. 5E204BA351B2E558B0FAD92E14EC5E3C56322F62

D. 9ACFCC1B74862B442DA377D712E8271516C3E5B1

E. 97405075A7A9E139FF748F3BCE1AC0B7C4029C04

44对于Linux.E01镜像，其文件系统是什么
A. NTFS

B. EXT4

C. SWAP

D. XFS

E. 以上都不是

分区二是主要分区，看分区二文件系统即可

45 对于Linux.E01镜像，在Linux中，以下哪一个命令没有被执行过

A. ./builder.py -p Windows server //147.8.177.24:8080 -o agent.exe

B. ./ares.py runserver -h 0.0.0.0 -p 8080 --threaded

C. git clone https //github.com/Arno0x/WSC2.git

D. slowhttptest -c 500 -H -g -o ./out -i 10 -r 200 -t GET -u www.gov.hk:8080/ onlinebanking/WebContent/index.html -x 24 -p 2

E. vim Desktop/macro_script_public.txt

历史记录直接搜即可

46 对于Linux.E01镜像，该服务器中运行了 docker 应用, docker 镜像 d7a9eb4b82cb909c3836a6d36acde1f3f21fcf13a93254ef6c8a3107d2bc5f61创建时间是?

A. 2019-10-16T02:41:36.817783651Z

B. 2019-10-17T02:41:36.817783651Z

C. 2019-10-18T02:41:36.817783651Z

D. 2019-10-19T02:41:36.817783651Z

E. 以上都不是

直接可看