17美亚团队赛电子取证

案件背景：
Gary被逮捕后;其计算机被没收并送至计算机取证实验室。经调查后，执法机关再逮捕一名疑犯 Eric，并检取其家中计算机(window 8)，并而根据其家中计算机纪录,执法机关再于其他地方取得一台与案有关的服务器,而该服务器内含四个硬盘。该服务器是运行LINUX系统。
由于事件涉及Windows 7,8,LINUX及 Mac IOS系统，故取证团队有可能需要使用相关系统之取证工具(105题,105分)

Linux取证部分

选B，打开逐个核对

选D
做法一：用X-ways打开选择该分区

做法二：用该盘总的扇区数减去该分区扇区数

这里的磁区英文翻译应该是起始扇区，这题问的应该是扇区数
选A，同上

选E

选B，高级搜索，可以确定搜索范围

选D，直接搜索选项

Raid部分

这部分敬请期待，会尽快更新的

Windows取证部分

选B，直接计算得到

选C，在应用路径下找到工具名称

选B

选A，该镜像的时区的东八区，题目要求UTC，故-8

分别选C，D

选B，没得讲的

选A，直接搜索选项

选D，将doc导出，ctrl+f 搜索

选A，直接搜索

选C，首先按搜索记录找到，再按照搜索时间去查找历史记录

缩小范围，再根据选项搜索

选E，直接搜索

选E，根据路径去找到文件计算即可

选B，直接搜索

分别选A，D，E

选A，直接搜

选A，拿眼睛看

选A，这题我是真没想到，压缩包弱口令23456

选C

选B，跟着路径找一下就看见了，考眼力

选D，搜索路径关键字

选D

选A，根据选项找

选D，根据登录成功的回显搜索，但是这样找不到amons用户，所以直接搜索用户名可能更稳一点

选E，也是直接搜

选A，没想到是中文的下载，我搜download没有，直接顺着看一遍找到了

选B，根据上题可知

选A，搜索关键字，找最早的访问时间

选F，找到了直接算

内存取证部分

镜像为上题导出的镜像

选D

选C，根据父进程一个一个反推回去

选D，按名称排序更快查找

选E，同上题

选B

注意，这里是从内存中提取该文件，而不是磁盘里那个

.\volatility.exe -f .\Memory.vmem --profile Win81U1x86 procdump -p 3096 --dump-dir=./

选E，这题用可视化工具有点麻烦，我是直接数的，选中第一个按向下方向键比较好数一点

注意！！！
看到这题我才反应过来上面是问的内存中的filezilla.exe文件，这里才是磁盘中的文件
选C，根据文件名称，搜索到源文件再计算

选E，连接埠即端口的意思
.\volatility.exe -f .\Memory.vmem --profile Win81U1x86 netscan | findstr svchost.exe

苹果手机部分

选D，文件分类->手机备份->苹果手机备份

此题不会

选B，基本信息

选D，基本信息

选C，这里所谓屏幕快照就是截屏，截屏里面与枪有关的图有七张，但是其中只有四张与题干网址相关。

选C，根据手机备份图片可知，这题1、2、3、4型号的枪的图片都有，官方答案给的C，我不会

选B，找到图片，再直接计算

选C

希望上面存疑的几题，有做出来的师傅，告知我一下，尤其是第99题，十分感谢