2018年美亚杯个人赛

“美亚杯”第四届中国电子数据取证竞赛-资格赛

单项选择

1. [单选题] 1.Victor的笔记本电脑己成功取证并制作成法证映像档 (Forensic Image)，下列哪个是其MD5哈希值? (2分)

A.FC20782C21751AB76B2A93F3A17922D0

B.882114D62E713DEA34C270CF2F1C69D2

C.A0BB016160CFB3A0BB0161661670CFB3

D.917ED59083C8B35C54D3FCBFE4C4BB0B

E.FC20782C21751BA76B2A93F3A17922D0

2. [单选题] 2.根据法证映像档 (Forensic Image)，确定原笔记本内有多少个硬盘分区? (2分)

A.1

B.2

C.3

D.4

E.5

 

 

 

 3. [单选题] 3.你能找到硬盘操作系统分区内的开始逻辑区块地址（LBA）? (答案格式: 扇区, Sector) (2分)

A.0

B.2408

C.1048576

D.62916608

E.32213303296

 

 

 

 4. [单选题] 4.你能找到硬盘操作系统分区的物理大少吗 (字节byte)? (2分)

A.62709760

B.62910464

C.104857600

D.32107397120

E.32210157568

系统分区占扇区62910464，每扇区512byte，因此：

 

 

 

 

 5. [单选题] 5.操作系统分区的文件系统是哪种? (2分)

A.FAT32

B.EXFAT

C.NTFS

D.EXT3

E.HFS+

同上

 6. [单选题] 6.操作系统分区，每个簇(Cluster)包含几个扇区(sectors)? (2分)

A.2

B.4

C.6

D.8

E.16

常识题

 7. [单选题] 7.在操作系统分区内，$MFT的物理起始扇区位置(Starting physical sector)是什么? (2分)

A.62,919,936

B.67,086,648

C.68,942,784

D.69,208,064

E.79,865,960

 

 

 8. [单选题] 8.请找出系统文件“SOFTWARE＂，请问操作系统的安装日期是?

（答案格式 －“世界协调时间＂：YYYY-MM-DD HH:MM UTC）

(2分)

A.2018-10-25 08:08 UTC

B.2018-10-25 08:09 UTC

C.2018-10-25 08:10 UTC

D.2018-10-25 08:11 UTC

E.2018-10-25 08:12 UTC

 

 

9. [单选题] 9.用户“victor＂的唯一标识符(SID)是什么?（答案格式：RID） (2分)

A.1001

B.1002

C.1003

D.1004

E.1005

 

 

 

10. [单选题] 10.用户“Lily＂的唯一标识符(SID)是什么?（答案格式：RID） (2分)

A.1001

B.1002

C.1003

D.1004

E.1005

 

 

 11. [单选题] 11.Victor上一次更改系统登入密码是?

（答案格式 －“本地时间＂：YYYY-MM-DD HH:MM +8） (2分)

A.2018-11-01 16:08 +8

B.2018-11:01 14:15 +8

C.2018-10-26 17:00 +8

D.2018-10-25 08:08 +8

E.2018-10-25 16:08 +8

 

 

 12. [单选题] 12.Lily上一次更改系统登入密码是?

（答案格式 －“本地时间＂：YYYY-MM-DD HH:MM +8） (2分)

A.2018-11-01 03:02:01 +8

B.2018-11:02 11:13:33 +8

C.2018-10-26 17:00:45 +8

D.2018-10-30 12:30:40 +8

E.2018-10-27 12:08:37 +8

 

 

 13. [单选题] 13.Victor 总共登录系统多少次? (2分)

A.3

B.16

C.33

D.36

E.45

14. [单选题] 14.以下哪个帐号已经被禁用? (2分)

A.Administrator

B.victor

C.Lily

D.simon

E.以上皆不是

 

 

15. [单选题] 15.以下哪个帐系统权限最低? (2分)

A.Administrator

B.victor

C.Lily

D.simon

E.以上权限一样

 

 

16. [单选题] 16.以下哪个帐号曾经远端登录系统? (2分)

A.Administrator

B.Victor

C.Lily

D.simon

E.远端登入已被禁止

 

 

 17. [单选题] 17.硬盘操作系统的版本? (2分)

A.Windows 7 Enterprise (32 位)

B.Windows 7 Enterprise (64 位)

C.Windows 7 Professional (32 位)

D.Windows 7 Professional (64 位)

E.Windows 7 Ultimate (64 位)

 

 

 18. [单选题] 18.操作系统的最新服务包(Service Pack)版本号是什么? (2分)

AService Pack 1

B.Service Pack 2

C.Service Pack 3

D.Service Pack 4

E.Service Pack 5

见上图

19. [单选题] 19.下列哪个是victor的默认打印机? (2分)

A.

HP OfficeJet 250 Mobile Series

B.

CutePDF Writer

C.

Microsoft XPS Document Writer

D.

PDF Complete

E.

AL-M2330

 

 

 

20. [单选题] 20.在2018-10-31 08:29:32 +8时间, 账号simon曾经使用以下哪个文件? (2分)

A.Microsoft 商店.url

B.ug.jpeg

C.Reddy Resume.doc

D.grocerylistsDOTorg_Spreadsheet_v1_1.xls

E.InvoiceTemplate.docx

 

 

 并不很准确，但只有这个

21. [单选题] 21.接上题，开启上述文件的程序是? (2分)

A.Internet Explorer

B.Firefox

C.画图

D.WPS 表格

E.WPS 文字

默认

22. [单选题] 22.以下哪个是victor的默认网页浏览器? (2分)

A.Internet Explorer

B.Google Chrome

C.360浏览器

D.Firefox

E.迅雷浏览器

 

 

 引诱法

 

 

火狐跳了出来 

23. [单选题] 23.victor的回收站里面有一张地图，以下哪个是这张地图原来的文件名? (2分)

A.捕获.PNG

B.抓取.PNG

C.Screenshot.PNG

D.Map.bmp

E.Map.jpg

 

 

 24. [单选题] 24.接上题，上述地图原来的储存路径是? (2分)

A.C:\Users\victor\Pictures

B.C:\Users\victor\Documents

C.C:\Users\victor\Desktop

D.C:\Users\victor\Downloads

E.C:\

还原文件，在桌面又遇到了它~

 

 

 

 将文件还原，在桌面又遇到了它~

25. [单选题] 25.找出一个名为"request for quotation.lnk"的档案，并指出该LNK文件的目标路径? (2分)

A.C:\Users\victor\Pictures

B.C:\Users\victor\Documents

C.C:\Users\victor\Desktop

D.C:\Users\victor\Downloads

E.C:\ 

 

 

 

 

 

 26. [单选题] 26.接上题，上述文件上一次开启的时间是?

（答案格式 －“本地时间＂：YYYY-MM-DD HH:MM:SS +8） (2分)

A.2018-10-29 15:11:43 +8

B.2018-10-29 19:24:16 +8

C.2018-10-29 15:11:42 +8

D.2018-11-01 14:51:25 +8

E.2018-10-29 07:11:42 +8

 

 

 可以明确的，2018/11/1 14:51是已知最晚打开时间，同时这个也是选项内最晚时间，因此选D

27. [单选题] 27.接上题，"request for quotation.lnk"的元数据(metadata)记录了以下哪个网卡的物理地址(mac address)? (2分)

A.00:0C:29:70:F4:47

B.00:50:56:C0:00:13

C.47:F4:70:29:0C:00

D.E4:A7:A0:CB:66:C7

E.00:0C:29:70:F4:47

 

 

 28. [单选题] 28.系统账号victor使用以下哪个电子邮件发送/接收的程序? (2分)

A.Outlook express

B.Lotus Note

C.Thunderbird

D.Roundcube

E.没有安装以上软件

 

 

 29. [单选题] 29.系统经哪个IP地址，登录互联网？ (2分)

A.10.0.4.1

B.10.0.4.128

C.192.168.72.2

D.192.168.72.128

E.192.168.72.233

 

 

 30. [单选题] 30.在该操作系统中，曾经连接数个USB移动储存装置 (U盘)，下列那个是该系统连接过的USB移动储存装置 ? (2分)

A.Verbatim USB Device

B.USB Mass storage USB Device

C.WD 2500BMV External USB Device

D.SanDisk Cruzer Fit USB Device

E.Seagate 250 External USB Device

 

 

31. [单选题] 31.在操作系统中，上述U盘曾被指派以下哪个磁盘分区代号(Drive Letter) ? (2分)

A.D:

B.E:

C.F:

D.G:

E.Z:

32. [单选题] 32.该操作系统中，下列哪个是最后的关机时间?

（答案格式 －“世界协调时间＂：YYYY-MM-DD HH:MM:SS UTC） (2分)

A.2018-11-02 08:59:38 UTC

B.2018-11-02 10:22:40 UTC

C.2018-11-02 10:23:03 UTC

D.2018-11-02 10:47:28 UTC

E.2018-11-02 10:47:51 UTC

 

 

33. [单选题] 33.该操作系统中，下列哪个是计算机的主机名? (2分)

A.VICTOR-COMPUTER

B.WORKGROUP

C.SIMON-HOME

D.VICTOR-HOME

E.LILY-HOME

 

 

 34. [单选题] 34.接上题，设定为上述计算机主机名前是什么名称? (2分)

A.42P323K467-22

B.37L4247F27-25

C.WIN-6S2GC51RGL9

D.USER-PC

E.MY-PC

 

 

 藏在系统时间更改中

35. [单选题] 35.接上题，上述计算机主机名设定时间是?

（答案格式 －“本地时间＂：YYYY-MM-DD HH:MM:SS +8） (2分)

A.2018-10-24 11:07:22 +8

B.2018-10-28 12:22:59 +8

C.2018-10-27 13:45:18 +8

D.2018-10-25 16:04:19 +8

E.2018-10-25 16:07:38 +8

 

 

 在system日志中，事件ID是6011

36. [单选题] 36.在该操作系统中，下列哪个是用户victor日常使用的电邮账号? (2分)

[email protected]

[email protected]

[email protected]

[email protected]

E.以上皆不是

 

 

 

37. [单选题] 37.victor 上一次更改上述电邮账号密码是什么时候?

（答案格式 －“本地时间＂：YYYY-MM-DD） (2分)

A.2018-10-29

B.2018-10-30

C.2018-10-31

D.2018-11-01

E.2018-11-02

 

 

 38. [单选题] 38.victor什么时候收到勒索电邮?

（答案格式 －“本地时间＂：YYYY-MM-DD HH:MM +8） (2分)

A.2018-11-02 09:09 +8

B.2018-11-02 09:10 +8

C.2018-11-02 10:09 +8

D.2018-11-02 17:09 +8

E.2018-11-02 17:10 +8

 

 39. [单选题] 39.以下哪个是发出勒索邮件的的IP地址? (2分)

A.10.152.64.57

B.10.152.64.217

C.220.246.55.13

D.74.208.4.220

E.10.76.45.13

 

 40. [单选题] 40.勒索邮件的附件解压后有一个病毒文件，这个文件的MD5哈希值是? (2分)

A.72596F71248531853F37D4BD15D088C4

B.15B64B15CC5A5442196471690D4A088B

C.67A1487E296328C9E802D50741D8DB9C

D.72596F71248DH3S92LS7D4BD15D088C4

E.5BB71EF8E95A5249EF4C2A8CFF9A1E1C

 

 

41. [单选题] 41.上述的病毒文件什么时间被系统执行?

（答案格式 －“本地时间＂：YYYY-MM-DD HH:MM +8） (2分)

A.2018-11-02 14:15 +8

B.2018-11-02 17:09 +8

C.2018-11-02 17:13 +8

D.2018-11-02 17:20 +8

E.2018-11-02 17:23 +8

 

 在规定时间内有且只有这个奇特文件在运行，且与报毒文件同为.jar包

42. [单选题] 42.这个病毒是否会在重新开机后自动运行?如会，它是通过下列哪个程序执行? (2分)

A.Thunder.exe

B.QyKernel.exe

C.QyClient.exe

D.javaw.exe

E.病毒不会自动执行

重启后扫描

 

 这玩意儿又来了

43. [单选题] 43.病毒文件被执行后有以下哪个文件被生成? (2分)

A.E8S377N3N8UOAMS82PQJ.temp

B.tbc_stat_cache.dat

C.JNativeHook_4940080920928265976.dll

D.83aa4cc77f591dfc2374580bbd95f6ba.tmp

E.downloads.json

 

 猜测为该文件，因时间相近

理一下病毒思路：.pdf.jar——>javaw.exe——>asdasd/asda.jar——>JNaticeHook_4940080920928265976.dll

44. [单选题] 44.接上题，上述文件有什么功能? (2分)

A.获取镜头权限

B.追踪键盘记录

C.抓取浏览器密码

D.抓取系统登入密码

E.存取系统分区

 

 通过360杀毒，得知该你木马的具体名称进行搜索

 

 

45. [单选题] 45.以下哪个是系统安装的第三方输入法软件? (2分)

A.sogou pinyin

B.sogou wubi

C.Baidu Pinyin

D.QQ Pingyin

E.以上皆不是

 

 

46. [单选题] 46.操作系统是跟哪一个时间服务器自动同步? (2分)

A.time.nist.gov

B.time-a.nist.gov

C.time.windows.com

D.time-b.nist.gov

E.time-nw.nist.gov

 

 

47. [单选题] 47. 法证人员于2018-11-02 下午6时25分到场，之后对系统作以下哪项取证? (2分)

A.抓取荧幕画面

B.备份使用者资料

C.备份浏览记录

D.抓取网络数据包

E.制作内存镜像档

 

48. [单选题] 48. 法证人员到场后，以下哪个软件曾经在系统里运行过? (2分)

A.wireshark.exe

B.Magnet RAM capture.exe

C.Lightscreen.exe

D.fastdump.exe

E.以上皆不是

 

 

49. [单选题] 49.接上题，所抓取的资料被储存为以下哪个文件? (2分)

A.victor_PC_networktraffic.pcapng

B.Lily_PC.networktraffice.pcapng

C.PC_ screenshot.PNG

D.victor_PC_memdump.dmp

E.Lily_PC_memdump.dmp

推测：1提取内存，应为dmp文件

2是victor的电脑

50. [单选题] 50.接上题，上述档案储存到以下哪个分区? (2分)

A.D：

B.E：

C.F:

D.G:

E.H:

F明显为可移动磁盘