这套题也做了一段时间了，主要是之前要放假要跑1500，晚上摆烂严重，现在放假了逼自己一把。先发出来，争取这两天做完

这几天也又受了一些刺激，还得更加努力吧，让自己优秀一些，也要瘦一些呀hhh（2023.4.28于商会大厦）

何源是一名25岁的客服人员，在一间电讯公司工作。某日，何源在用手机在政府建筑物中偷拍车牌期间被警员截停，盘问期间警员检查手机相册发现多张车牌图片，何源情绪紧张，趁警员不注意，抢过手机丢入车流，被完全损毁。行为十分可疑，警方于是展开调查。审讯期间何源承认利用自己职权的便利，登入公司储存客户数据的服务器，非法取得一些政府人员的个人资料，例如姓名，车牌号码，电话等等，再将这些数据出售。
警方检获何源个人计算机，以及何源公司计算机（由于何源的公司不允许警方检取整台计算机, 人员只能取得内存数据档案(memory image) 以作分析)。现你被委派对何的计算机进行电子数据取证，还原事件经过。
经警方调查发现，何源与一名黑客之间有联系，通过bitcoin买卖数据，通过调查追踪抓捕黑客。2.随后警方在黑客住址获取并镜像了Windows主机两台，Linux主机一台，MacBook Air 一台，四个RAID硬盘，2部安卓手机，以及一部路由器的日志。另外，警方还抓取了黑客住所一段时间内的网络流量包。你的团队负责对相关的电子设备进行电子数据分析，找出黑客的可疑行为。
随后警方在黑客住址获取并镜像了Windows主机两台，Linux主机一台，MacBook Air 一台，四个RAID硬盘，2部安卓手机，以及一部路由器的日志。另外，警方还抓取了黑客住所一段时间内的网络流量包。你的团队负责对相关的电子设备进行电子数据分析，找出黑客的可疑行为。

VC加密容器密码：]ZMpMFtYqUH(rTWY]hm(

路由器

1.在黑客路由器里，有一台设备的MAC地址为00:11:6B:47:4D:55，请问它的IP地址是什么？

2.在黑客路由器里，发现一设备的IP地址为192.168.0.103，请问该设备为如下哪一个：

3.警方已经查证所有连接此router的设备都归黑客所有，根據黑客路由器的訊息，下列哪组（设备---ip）是错误的：

A:Network Attached Storage 2000 --- 192.168.0.102

B:Galaxy J7 --- 192.168.0.104

C:Galaxy A8 --- 192.168.0.104

D:exploitU --- 192.168.0.103

E:MACs-MacBook-Air --- 192.168.0.100

windows

4.Hacker现场检获的Windows主机硬盘已成功取证并制作成镜像Win1.E01，下列哪个是其硬盘证据文件的MD5哈希值。
A:3e57817ea6263bc2c696a3455cc96381

B:d9a0b52f5ac3951ec4056449c31d886a

C:ed43de631a56dd2c8bac4abbd3882c86

D:dd32beac5ef2cd1cac06bdd8b5e88cbc4eb94de9

E:48a45c39da458f3cadd92017e0247454dc8bff66

5.MD5hash算法会产生一个什么大小的值。

128bit

6.对于一个E01镜像证据文件，要想成功通过校验过程，以下哪个是正确的
A:MD5 hash值以及 SHA1 hash值校验通过

B:MD5 hash值或者 SHA1 hash值校验通过

C:只需要CRC值校验通过

D:CRC值以及 MD5(或SHA1) hash值校验通过

E:CRC值或者 MD5(或SHA1) hash值校验通过

这题直接上答案吧。

7.对于镜像Win1.E01，操作系统(OperatingSystem)是什么？

Windows10pro

8.对于镜像Win1.E01，一个簇(Cluster)包含多少个扇区（Sector）？

8

芝士点：这种问题去看$boot的十六进制第一行最后一位

9.对于镜像Win1.E01，包含操作系统的分区中，共有多少个扇区（sector）？

78140037168

美亚杯还得取证大师做，走，我们换软件(太久不用了，手生的离谱）

我去刚刚发现前几题镜像开错了，离谱。

10.对于镜像Win1.E01，硬盘上有多少扇区（sector）被主引导记录（MasterBootRecord）所保留?

63

师兄看的未使用空间是63，猜测一个字节给自己的，咱先这么认为吧。

11.对于镜像Win1.E01，文件被删到回收站（RecycleBin）的时间可在以下哪个文件的元数据(metadata)中找到？
A INFO2 文件

B $I文件

C $R文件

D 回收站目录项（Recycle Bin directory entry）

E LNK 文件

这种题越不会，越容易做，可以直接搜选项。

不过dzy还提供了另一种做法：弘连里面看一条删除的文件的源文件。

(16条消息) WINDOWS回收站机制总结_binzhongbi757的博客-CSDN博客

12.对于镜像Win1.E01，系统的最后关机(lastshutdown)时间是多少？
A. 2019-10-23 07：43：53 UTC

B. 2019-11-01 09：35：46 UTC

C. 2019-10-20 11：23：32 UTC

D. 2019-10-21 10：13：28 UTC

E. 2019-10-22 08：03：16 UTC

当时它好像还有非正常关机，但没时间，注意时区转换

13.当一个文件A被打开，一个带有文件A名字的快捷方式文件（linkfile）会在以下哪个文件夹生成？

A:Shortcut

B:History

C:Temp

D:Recent

E:Desktop

直接上手自己尝试。

14.Win3.E01镜像档案的建立日期是?

A:2019-10-31

B:2019-11-01

C:2019-11-02

D:2019-11-03

E:2019-11-04

完全不会，看了师兄的博客，可以去看ftk说明文件，搜了一下

15.在Win3.E01镜像文件内有多少个硬盘分区？

7

16.对于Win3.E01镜像，其操作系统的安装日期是？

2019-10-15

17.对于Win3.E01镜像，其操作系统共有多少个可登录用户？

1

注意设置列里面看看有没有有用的项

18.对于Win3.E01镜像，系统的时区设定是什么?

China Standard Time

19.对于Win3.E01镜像，其主机名是

DESKTOP-1JMUE2M

20.对于Win3.E01镜像，其操作系统是

A. Windows xp

B. Windows 7

C. Windows 8

D. Windows 10

E. Windows Vista

21.对于Win3.E01镜像，其可登录的用户名是

administrator

同17题

22.对于Win3.E01镜像，其曾使用过以下哪个IP地址

A. 192.168.0.101

B. 192.168.1.101

C. 192.168.0.104

D. 192.168.1.104

23.对于Win3.E01镜像，以下哪个USB存储设备曾经连接过Win3这台主机
A:SMI USB DISK USB Device

B:Kingston DataTraveler 3.0 USB Device

C:General UDisk USB Device

D:选项 A，B

E:选项 A，B，C

这个取证大师看起来方便些，但我有点打不开，所以还是弘连暴搜了。

24.对于Win3.E01镜像，以下哪些程序被设定为开机启动项
A:"C:\Program Files\Realtek\Audio\HDA\RtDCpl64.exe"

B:"C:\Users\Administrator\AppData\Local\Microsoft\OneDrive\OneDrive.exe"

C:"F:\BaiduNetdisk\BaiduNetdisk.exe"

D:"F:\BaiduNetdisk\YunDetectService.exe"

E:以上全部选项

这题怎么不能暴搜呢？

25.对于Win3.E01镜像，曾经有个文件在A盘下，A:\NewTextDocument.txt，请问这个文件的创建时间（UTC）
A:2019-10-26 07:47:02 AM

B:2019-10-27 07:47:02 AM

C:2019-10-28 07:47:02 AM

D:2019-10-29 07:47:02 AM

E:以上都不是

弘连又不好用了，还好取证大师给力。

这个暴搜也给我上了一课，我从 A:\NewTextDocument.txt开始搜，搜到好多东西，然后慢慢少一些NewTextDocument.txt=》TextDocument.txt=》Document.txt才内容少下来，我以前一直觉得是搜的越准确越好，现在发现不是这样的，反而软件觉得匹配的更多。

最近盘古石杯就要比赛了，让我试一试盘古石的软件（一点用不来，无语死了）

26.对于Win3.E01镜像，曾经在D盘下有这样一个文件D:\BaiduNetdiskDownload\dataencrypt.txt，请问这个文件的创建时间(inUTC)
A:2019-10-29 09:30:00 AM

B:2019-10-30 09:30:00 AM

C:2019-10-31 09:30:00 AM

D:2019-11-01 09:30:00 AM

E:以上都不是;

27.在黑客的网络中有一个网络附加存储（NAS），对于Win3.E01镜像，请问在Win3的记录中，以下哪一个选项最有可能是NAS的IP，以及绑定的盘符？
A:192.168.0.102 - Z:

B:192.168.0.102 - Y:

C:192.168.0.105 - Z:

D:192.168.0.105 - Y:

E:以上都不是;

ip搜不出来，直接搜盘符。

28.对于Win3.E01镜像，在其回收站中，有一个文件agent1.7z，请问在删除之前它原本的路径是？
A:C:\Users\Administrator\Desktop\agent\agent1.7z

B:C:\Users\Administrator\Desktop\agent1.7z

C:C:\Users\Administrator\Downloads\agent1.7z

D:C:\Users\Administrator\Documents\agent1.7

E:以上都不是;

29.对于Win3.E01镜像，在其桌面上，有一个文件夹"macrodocs",在这个文件夹中哪些文件存在恶意宏（Macro）
1. Do Not Open.docm
2. N_Data.xlsm
3. Sol-1120.xlsm
4. Sol-BBA.xlsm
5. Today Is A Good Day.docm
6. exploit_1.docm
7. phishing.docm
8. 申请信息(Application Information).docm

A:1，4，7

B:1，6，7

C:3，7，8

D:4，7，8

E:6，7，8

高危动作，直接导出（以为提醒我有问题就不会再导出了，我的电脑不会出事吧555）

（受不了了慌死了，花了我39块钱续费迈克菲，那还是我的电脑值钱一点）

30.接上题，根据对上述恶意文件phishing.docm的宏(Macro)分析，下列哪一个是其想要连接的ip地址？

31.接上题，根据对上述恶意文件phishing.docm的宏(Macro)分析，下列哪一个是其想要连接IP的端口号？

32.对于Win3.E01镜像，其系统中曾有如下文件，C:\Users\Administrator\Desktop\NextStep.txt，但此文件已经被删除，你是否可以找出此文件的删除时间
A. 2019-11-01 18:47:13 （UTC）

B. 2019-11-01 13:27:13 （UTC）

C. 2019-10-31 11:37:43 （UTC）

D. 2019-10-30 18:47:13 （UTC）

E. 以上都不是

33.接上题，请问文件C:\Users\Administrator\Desktop\NextStep.txt，是怎样被删除的？
A. Windows Delete (press delete button)

B. Shift + Delete

C. Eraser.exe

D. CCleaner

E. 以上都不是

34.接上题，请尝试恢复文件C:\Users\Administrator\Desktop\NextStep.txt，阅读文件内容，请问下列内容的正确顺序是1. Data Steal 2. test DoS attack 3. phishing email 4. Kali debug
A. 1，2，3，4

B. 4，3，2，1

C. 4，1，2，3

D. 4，3，1，2

E. 以上都不是

35.对于Win3.E01镜像，administrator的最早登陆时间是？
A. 2019-10-15 04:54:56 AM （UTC）

B. 2019-10-15 05:54:56 AM （UTC）

C. 2019-10-15 06:54:56 AM （UTC）

D. 2019-10-15 07:54:56 AM （UTC）

E. 2019-10-15 08:54:56 AM （UTC）

36.对于Win3.E1镜像，以下哪些文件曾出现在盘符A:下
1. A:\New Text Document (2).txt

2. A:\New Text Document.txt

3. A:\Personal Information.xlsx

4. A:\key.txt

5. A:\keyList.txt

A. 1，2，3

B. 1，3，5

C. 2，3，4

D. 2，3，5

E. 全部

37.对于Win3.E01镜像，Eraser6.2.0.2986.exe是何时被下载的
A. 2019-11-01 01:25:16 PM (UTC)

B. 2019-10-31 01:25:16 PM (UTC)

C. 2019-10-30 01:25:16 PM (UTC)

D. 2019-10-29 01:25:16 PM (UTC)

E. 2019-10-28 01:25:16 PM (UTC)

38.接上题，Eraser6.2.0.2986.exe是从哪一个网站上下载的
A. pcword.com

B. secure-eraser.com

C. cnet.com

D. eraser.heidi.ie

E. sourceforge.net

39.对于Win3.E01而言，日志文件中哪些是该电脑使用过的打印（虚拟）设备？
1. Samsung CLP-775 Series PCL

2. Microsoft Print to PDF

3. http://192.168.0.106的 HP LaserJet Pro FDN

4. OneNote

A. 1, 2

B. 1, 3

C. 2, 4

D. 1, 2, 3

E. 1, 2, 3, 4

40.对于Win3.E01镜像，该糸统是否有卷影副本（VolumeShadowCopy）？如果有卷影副本，请查看初始的卷快照（VolumeShadowCopy）记录，请问丢失的文件acres.dll.mui的最后访问时间（最后访问时间）？（UTC+8）
A. 该糸统没有卷影副本

B. 2019-03-19 18:39:04

C. 2019-10-30 11:40:41

D. 2019-10-31 22:00:50

E. 没有显示最后访问时间
41.分析两台Windows镜像，请找出比特币钱包的备份，它的MD5哈希是

42.接上题，请解析此比特币钱包的备份，请问以下哪个不是此钱包的P2SH地址
A. 3HeQp9c74rqN6ymzGwr9JB7z8CPaX2458w

B. 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy

C. 3CevVaAjLPedZo9Uujr8kJj35gbRzM1zgC

D. 37Xb6GhDrKWqwn2nY5gFpRFjVXAAe27147

E. 以上都不是

linux

43 检材镜像“Linux.E01”的SHA1 值是多少

A. 4C286E182BC4D1832A8739B18C19ECAF9262C37A

B. 01464E1616E3FDD5C60C0CC5516C1D1454CC4185

C. 5E204BA351B2E558B0FAD92E14EC5E3C56322F62

D. 9ACFCC1B74862B442DA377D712E8271516C3E5B1

E. 97405075A7A9E139FF748F3BCE1AC0B7C4029C04

44对于Linux.E01镜像，其文件系统是什么
A. NTFS

B. EXT4

C. SWAP

D. XFS

E. 以上都不是

45 对于Linux.E01镜像，在Linux中，以下哪一个命令没有被执行过

A. ./builder.py -p Windows server //147.8.177.24:8080 -o agent.exe

B. ./ares.py runserver -h 0.0.0.0 -p 8080 --threaded

C. git clone https //github.com/Arno0x/WSC2.git

D. slowhttptest -c 500 -H -g -o ./out -i 10 -r 200 -t GET -u www.gov.hk:8080/ onlinebanking/WebContent/index.html -x 24 -p 2

E. vim Desktop/macro_script_public.txt

46 对于Linux.E01镜像，该服务器中运行了 docker 应用, docker 镜像 d7a9eb4b82cb909c3836a6d36acde1f3f21fcf13a93254ef6c8a3107d2bc5f61创建时间是?

A. 2019-10-16T02:41:36.817783651Z

B. 2019-10-17T02:41:36.817783651Z

C. 2019-10-18T02:41:36.817783651Z

D. 2019-10-19T02:41:36.817783651Z

E. 以上都不是

47 接上题，docker 的版本是

A. 16.05.2-ce

B. 17.03.8-ce

C. 18.01.2-ce

D. 18.06.1-ce

E. 19.03.3-ce

48 接上题，docker 容器 64b97169b10e2fb268498fb16db93fd89bdb72abe99902739d760979d0c03888 的创建时间是

A. 2019-10-26T09:12:05.451029831Z

B. 2019-10-27T09:12:05.451029831Z

C. 2019-10-28T09:12:05.451029831Z

D. 2019-10-29T09:12:05.451029831Z

E. 以上都不是

49 对于Linux.E01镜像，在此Linux中，关于用户账户，以下哪一项是正确的

A. root:x:0:0:root:/root:/bin/bash

B. daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin

C. bin:x:2:2:bin:/bin:/usr/sbin/nologin

D. sys:x:3:3:sys:/dev:/usr/sbin/nologin

E. ABCD

50. 对于Linux.E01镜像，以下哪个文件保存了用户登陆历史记录

51 对于Linux.E01镜像，分析用户登陆记录，以下哪个时间曾是root用户第一次登陆时间

A. 2019-10-15 10:29:53 (UTC+8)

B. 2019-10-15 12:39:53 (UTC+8)

C. 2019-10-15 22:49:53 (UTC+8)

D. 2019-10-16 02:59:53 (UTC+8)

E. 2019-10-16 22:49:53 (UTC+8)

52 对于Linux.E01镜像，下列哪些网页曾在 Firefox 浏览器上浏览过

A. ates (Artem Teslenko) · GitHub

B. C&C远控工具：Ares - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体, 4hou.com

C. 捷匯：轉換 XBT/HKD. 至香港元

D. Articles by Keith Shaw | Network World

E. 选项A，B，C，D

53 对于Linux.E01镜像，以下命令曾在何时执行过 apt-get install monodevelop mono-gmcs mono-mcs liblog4net-cil-dev

A. Oct 26 15:00:25

B. Oct 26 16:00:54

C. Oct 26 16:22:35

D. 选项A，B

E. 选项B，C

54 对于Linux.E01镜像，agent.exe 是由以下哪种工具生成

A. builder.py

B. malware.py

C. test.py

D. agent.py

E. 以上全都不是

mac

第一次做mac，第一次用mac(虚拟机），只能说挺洋气的，有想买mac的冲动。

55 对于MacBookAir.00001镜像，其文件系统是
A. HFS

B. APFS

C. HFS+

D. NTFS

E. exFAT

58 对于MacBookAir.00001镜像，其主机名是

A. Kevin-MacBook-Air

B. John-MacBook-Air

C. Hacker-MacBook-Air

D. MACs-MacBook-Air

E. 以上都不是

59 对于MacBookAir.00001镜像，其中有一个可疑文件，该文件的MD5哈希值是 53e2ba6bebc6683b52db10d7c272b036，请找出这个文件，它的文件名是

A. idinfo.xlsx

B. group.xlsx

C. maple.xlsx

D. wow.docx

E. 以上都不是

暴搜后算哈希值。

60 接上题，请问下列哪个名称存在在以上文件中？

A. conc

B. 脆麻花

C. 我不是洪卓立

D. T_karius

E. 愛你的人

61 对于MacBookAir.00001镜像，黑客使用此苹果电脑制作虚假图片并存放于某文件夹中，请问带有“生化武器”字样图片的创建时间是什么？

A. 2019-10-30 20:39 +8

B. 2019-10-31 17:36 +8

C. 2019-10-30 15:56 +8

D. 2019-10-29 11:31 +8

E. 2019-10-28 21:18 +8

没有任何思路，看了其他博客，说官方也是一张一张看，那我就不看了。

后来回去看看按照创建时间来排，从29号开始其实照片不多的，看看还是可以的hhh

62 接上题，请问此图片的MD5哈希值是什么？

A. 6a204bd89f3c8348afd5c77c717a097a

B. 4ff3eb6bb1e8cdc226e376f48651a6b5

C. 376892edba1e485aa91bfb1a5927634b

D. 7c185b4d6383ee211e3925bae9fa176a

E. 以上都不是

6 这根本不大能放弃，那我还是去看吧。

63 接上题，在这些虚假图片中，有一张图片的修改时间明显被人为修改过，请问此图片的MD5哈希值是什么？

A. 65e6747234d63c397581196cfdebd732

B. f890421a3956441e5b511088a0900d8a

C. f7ca2bf91a071d66bbfd9f3fd2e3854b

D. 5cfcbfa9be9dc9677efc6eb970b321e1

E. 以上都不是

这个文件夹名字非常友好。

看呐这个修改时间多么有问题。

64 对于MacBookAir.00001镜像，在Chrome 浏览器中, 以下哪些词条被搜索过？

1. youtube mac 2. craking passwd 3. steam mac download 4. people pics download

A. 2, 3

B. 1, 3

C. 1, 4

D. 1, 2, 3

E. 全部

暴搜。。。

65 对于MacBookAir.00001镜像，以下哪一个网页没有被访问过

A. 香港高登討論區

B. GitHub - jaxBCD/Zeebsploit: web scanner - exploitation - information gathering

C. 郭富城54歲生日　囡囡普通話唱生日歌 - 香港高登討論區

D. Buy MacBook Pro - Apple (HK)

E. 全部

搜。。。

66 对于MacBookAir.00001镜像，浏览器历史记录显示有一个Gmail账户曾登陆过，请问是以下哪一个账户

A. kevinanonymous0101@gmail.com

B. kevingmaillll@gmail.com

C. kevinsgmail0101@gmail.com

D. kevin0101gmail@gmail.com

E. 以上都不是

搜！

2019美亚杯团队赛相关推荐

2020第六届“美亚杯”团队赛WP
目录一.前言二.Zello部分三.Bob部分路由器部分(29-34) Laptop部分(35-41) Desktop部分(42-25) Phone部分(46-55) S2部分(56-69) I ...
2021美亚杯团队赛write up（未完）
个人赛与团队赛下载文件解压密码:MeiyaCup2021 加密容器解密密码: uR%{)Y'Qz-n3oGU`ZJo@(1ntxp8U1+bW;JlZH^I4%0rxf;[N+eQ)Lolrw& ...
2015美亚杯团队赛
团队赛 –背景介绍审问 Eden 之后发现,他的朋友 Johnson 不仅仅是一个黑客,更是一个电脑高手. Johnson 开发并传播不少应用程序,其中也包括窃取网站敏感信息的恶意软件.Johnso ...
18年美亚杯团队赛（第A、B部分）
先放上题目链接链接:https://pan.baidu.com/s/1_Npeu-GXBxtFSP50jwsxnw?pwd=zxyy 提取码:zxyy --来自百度网盘超级会员V1的分享 " ...
21美亚杯团队赛，镜像＋解析，只做了pc+恶意＋内存，希望与大家一起学习进步。
这是镜像,题目也在镜像里面. 链接:https://pan.baidu.com/s/1WMWUWd1M-7HINIWafr7oCg?pwd=ybww 提取码:ybww --来自百度网盘超级会员V3的分 ...
2019 蓝桥杯省赛 B 组模拟赛（一）蒜厂年会
2019 蓝桥杯省赛 B 组模拟赛(一)蒜厂年会这题有两种情况 1.最大的和是在0~n-1 2.最大的和越过了首尾这时候只要用n个数的和 - 0~n-1 的连续的最小和这是求连续子集最大.最小 ...
2019 蓝桥杯省赛 B 组模拟赛（一）——计蒜客（未完待续）
比赛链接: 2019 蓝桥杯省赛 B 组模拟赛(一) 友情提示: 蓝桥杯的头文件,如果不是都记得,可以直接万能头文件 #include <bits/stdc++.h>, 不过有的时候,这样 ...
2019美亚杯个人赛刷题
文章目录写在前面解题 1. 何源的个人计算机硬盘已成功被取证并制作成镜像(ForensicImage),下列哪个是镜像的SHA1哈希值? 2.在何源的个人计算机中,硬盘中包含哪个操作系统(Oper ...

2019美亚杯团队赛

路由器

1.在黑客路由器里，有一台设备的MAC地址为00:11:6B:47:4D:55，请问它的IP地址是什么？

windows

14.Win3.E01镜像档案的建立日期是?

15.在Win3.E01镜像文件内有多少个硬盘分区？

20.对于Win3.E01镜像，其操作系统是

21.对于Win3.E01镜像，其可登录的用户名是

22.对于Win3.E01镜像，其曾使用过以下哪个IP地址

linux

mac

2019美亚杯团队赛相关推荐

最新文章

热门文章