“美亚杯”第四届中国电子数据取证竞赛-资格赛
单项选择
1. [单选题] 1.Victor的笔记本电脑己成功取证并制作成法证映像档 (Forensic Image),下列哪个是其MD5哈希值? (2分)
A.FC20782C21751AB76B2A93F3A17922D0
B.882114D62E713DEA34C270CF2F1C69D2
C.A0BB016160CFB3A0BB0161661670CFB3
D.917ED59083C8B35C54D3FCBFE4C4BB0B
E.FC20782C21751BA76B2A93F3A17922D0
2. [单选题] 2.根据法证映像档 (Forensic Image),确定原笔记本内有多少个硬盘分区? (2分)
A.1
B.2
C.3
D.4
E.5
3. [单选题] 3.你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)? (答案格式: 扇区, Sector) (2分)
A.0
B.2408
C.1048576
D.62916608
E.32213303296
4. [单选题] 4.你能找到硬盘操作系统分区的物理大少吗 (字节byte)? (2分)
A.62709760
B.62910464
C.104857600
D.32107397120
E.32210157568
系统分区占扇区62910464,每扇区512byte,因此:
5. [单选题] 5.操作系统分区的文件系统是哪种? (2分)
A.FAT32
B.EXFAT
C.NTFS
D.EXT3
E.HFS+
同上
6. [单选题] 6.操作系统分区,每个簇(Cluster)包含几个扇区(sectors)? (2分)
A.2
B.4
C.6
D.8
E.16
常识题
7. [单选题] 7.在操作系统分区内,$MFT的物理起始扇区位置(Starting physical sector)是什么? (2分)
A.62,919,936
B.67,086,648
C.68,942,784
D.69,208,064
E.79,865,960
8. [单选题] 8.请找出系统文件“SOFTWARE",请问操作系统的安装日期是?
(答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC)
(2分)
A.2018-10-25 08:08 UTC
B.2018-10-25 08:09 UTC
C.2018-10-25 08:10 UTC
D.2018-10-25 08:11 UTC
E.2018-10-25 08:12 UTC
9. [单选题] 9.用户“victor"的唯一标识符(SID)是什么?(答案格式:RID) (2分)
A.1001
B.1002
C.1003
D.1004
E.1005
10. [单选题] 10.用户“Lily"的唯一标识符(SID)是什么?(答案格式:RID) (2分)
A.1001
B.1002
C.1003
D.1004
E.1005
11. [单选题] 11.Victor上一次更改系统登入密码是?
(答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A.2018-11-01 16:08 +8
B.2018-11:01 14:15 +8
C.2018-10-26 17:00 +8
D.2018-10-25 08:08 +8
E.2018-10-25 16:08 +8
12. [单选题] 12.Lily上一次更改系统登入密码是?
(答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A.2018-11-01 03:02:01 +8
B.2018-11:02 11:13:33 +8
C.2018-10-26 17:00:45 +8
D.2018-10-30 12:30:40 +8
E.2018-10-27 12:08:37 +8
13. [单选题] 13.Victor 总共登录系统多少次? (2分)
A.3
B.16
C.33
D.36
E.45
14. [单选题] 14.以下哪个帐号已经被禁用? (2分)
A.Administrator
B.victor
C.Lily
D.simon
E.以上皆不是
15. [单选题] 15.以下哪个帐系统权限最低? (2分)
A.Administrator
B.victor
C.Lily
D.simon
E.以上权限一样
16. [单选题] 16.以下哪个帐号曾经远端登录系统? (2分)
A.Administrator
B.Victor
C.Lily
D.simon
E.远端登入已被禁止
17. [单选题] 17.硬盘操作系统的版本? (2分)
A.Windows 7 Enterprise (32 位)
B.Windows 7 Enterprise (64 位)
C.Windows 7 Professional (32 位)
D.Windows 7 Professional (64 位)
E.Windows 7 Ultimate (64 位)
18. [单选题] 18.操作系统的最新服务包(Service Pack)版本号是什么? (2分)
AService Pack 1
B.Service Pack 2
C.Service Pack 3
D.Service Pack 4
E.Service Pack 5
见上图
19. [单选题] 19.下列哪个是victor的默认打印机? (2分)
A.
HP OfficeJet 250 Mobile Series
B.
CutePDF Writer
C.
Microsoft XPS Document Writer
D.
PDF Complete
E.
AL-M2330
20. [单选题] 20.在2018-10-31 08:29:32 +8时间, 账号simon曾经使用以下哪个文件? (2分)
A.Microsoft 商店.url
B.ug.jpeg
C.Reddy Resume.doc
D.grocerylistsDOTorg_Spreadsheet_v1_1.xls
E.InvoiceTemplate.docx
并不很准确,但只有这个
21. [单选题] 21.接上题,开启上述文件的程序是? (2分)
A.Internet Explorer
B.Firefox
C.画图
D.WPS 表格
E.WPS 文字
默认
22. [单选题] 22.以下哪个是victor的默认网页浏览器? (2分)
A.Internet Explorer
B.Google Chrome
C.360浏览器
D.Firefox
引诱法
火狐跳了出来
23. [单选题] 23.victor的回收站里面有一张地图,以下哪个是这张地图原来的文件名? (2分)
A.捕获.PNG
B.抓取.PNG
C.Screenshot.PNG
D.Map.bmp
E.Map.jpg
24. [单选题] 24.接上题,上述地图原来的储存路径是? (2分)
A.C:\Users\victor\Pictures
B.C:\Users\victor\Documents
C.C:\Users\victor\Desktop
D.C:\Users\victor\Downloads
E.C:\
还原文件,在桌面又遇到了它~
将文件还原,在桌面又遇到了它~
25. [单选题] 25.找出一个名为"request for quotation.lnk"的档案,并指出该LNK文件的目标路径? (2分)
A.C:\Users\victor\Pictures
B.C:\Users\victor\Documents
C.C:\Users\victor\Desktop
D.C:\Users\victor\Downloads
E.C:\
26. [单选题] 26.接上题,上述文件上一次开启的时间是?
(答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (2分)
A.2018-10-29 15:11:43 +8
B.2018-10-29 19:24:16 +8
C.2018-10-29 15:11:42 +8
D.2018-11-01 14:51:25 +8
E.2018-10-29 07:11:42 +8
可以明确的,2018/11/1 14:51是已知最晚打开时间,同时这个也是选项内最晚时间,因此选D
27. [单选题] 27.接上题,"request for quotation.lnk"的元数据(metadata)记录了以下哪个网卡的物理地址(mac address)? (2分)
A.00:0C:29:70:F4:47
B.00:50:56:C0:00:13
C.47:F4:70:29:0C:00
D.E4:A7:A0:CB:66:C7
E.00:0C:29:70:F4:47
28. [单选题] 28.系统账号victor使用以下哪个电子邮件发送/接收的程序? (2分)
A.Outlook express
B.Lotus Note
C.Thunderbird
D.Roundcube
E.没有安装以上软件
29. [单选题] 29.系统经哪个IP地址,登录互联网? (2分)
A.10.0.4.1
B.10.0.4.128
C.192.168.72.2
D.192.168.72.128
E.192.168.72.233
30. [单选题] 30.在该操作系统中,曾经连接数个USB移动储存装置 (U盘),下列那个是该系统连接过的USB移动储存装置 ? (2分)
A.Verbatim USB Device
B.USB Mass storage USB Device
C.WD 2500BMV External USB Device
D.SanDisk Cruzer Fit USB Device
E.Seagate 250 External USB Device
31. [单选题] 31.在操作系统中,上述U盘曾被指派以下哪个磁盘分区代号(Drive Letter) ? (2分)
A.D:
B.E:
C.F:
D.G:
E.Z:
32. [单选题] 32.该操作系统中,下列哪个是最后的关机时间?
(答案格式 -“世界协调时间":YYYY-MM-DD HH:MM:SS UTC) (2分)
A.2018-11-02 08:59:38 UTC
B.2018-11-02 10:22:40 UTC
C.2018-11-02 10:23:03 UTC
D.2018-11-02 10:47:28 UTC
E.2018-11-02 10:47:51 UTC
33. [单选题] 33.该操作系统中,下列哪个是计算机的主机名? (2分)
A.VICTOR-COMPUTER
B.WORKGROUP
C.SIMON-HOME
D.VICTOR-HOME
E.LILY-HOME
34. [单选题] 34.接上题,设定为上述计算机主机名前是什么名称? (2分)
A.42P323K467-22
B.37L4247F27-25
C.WIN-6S2GC51RGL9
D.USER-PC
E.MY-PC
藏在系统时间更改中
35. [单选题] 35.接上题,上述计算机主机名设定时间是?
(答案格式 -“本地时间":YYYY-MM-DD HH:MM:SS +8) (2分)
A.2018-10-24 11:07:22 +8
B.2018-10-28 12:22:59 +8
C.2018-10-27 13:45:18 +8
D.2018-10-25 16:04:19 +8
E.2018-10-25 16:07:38 +8
在system日志中,事件ID是6011
36. [单选题] 36.在该操作系统中,下列哪个是用户victor日常使用的电邮账号? (2分)
E.以上皆不是
37. [单选题] 37.victor 上一次更改上述电邮账号密码是什么时候?
(答案格式 -“本地时间":YYYY-MM-DD) (2分)
A.2018-10-29
B.2018-10-30
C.2018-10-31
D.2018-11-01
E.2018-11-02
38. [单选题] 38.victor什么时候收到勒索电邮?
(答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A.2018-11-02 09:09 +8
B.2018-11-02 09:10 +8
C.2018-11-02 10:09 +8
D.2018-11-02 17:09 +8
E.2018-11-02 17:10 +8
39. [单选题] 39.以下哪个是发出勒索邮件的的IP地址? (2分)
A.10.152.64.57
B.10.152.64.217
C.220.246.55.13
D.74.208.4.220
40. [单选题] 40.勒索邮件的附件解压后有一个病毒文件,这个文件的MD5哈希值是? (2分)
A.72596F71248531853F37D4BD15D088C4
B.15B64B15CC5A5442196471690D4A088B
C.67A1487E296328C9E802D50741D8DB9C
D.72596F71248DH3S92LS7D4BD15D088C4
E.5BB71EF8E95A5249EF4C2A8CFF9A1E1C
41. [单选题] 41.上述的病毒文件什么时间被系统执行?
(答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A.2018-11-02 14:15 +8
B.2018-11-02 17:09 +8
C.2018-11-02 17:13 +8
D.2018-11-02 17:20 +8
E.2018-11-02 17:23 +8
在规定时间内有且只有这个奇特文件在运行,且与报毒文件同为.jar包
42. [单选题] 42.这个病毒是否会在重新开机后自动运行?如会,它是通过下列哪个程序执行? (2分)
A.Thunder.exe
B.QyKernel.exe
C.QyClient.exe
D.javaw.exe
E.病毒不会自动执行
重启后扫描
这玩意儿又来了
43. [单选题] 43.病毒文件被执行后有以下哪个文件被生成? (2分)
A.E8S377N3N8UOAMS82PQJ.temp
B.tbc_stat_cache.dat
C.JNativeHook_4940080920928265976.dll
D.83aa4cc77f591dfc2374580bbd95f6ba.tmp
E.downloads.json
猜测为该文件,因时间相近
理一下病毒思路:.pdf.jar——>javaw.exe——>asdasd/asda.jar——>JNaticeHook_4940080920928265976.dll
44. [单选题] 44.接上题,上述文件有什么功能? (2分)
A.获取镜头权限
B.追踪键盘记录
C.抓取浏览器密码
D.抓取系统登入密码
E.存取系统分区
通过360杀毒,得知该你木马的具体名称进行搜索
45. [单选题] 45.以下哪个是系统安装的第三方输入法软件? (2分)
A.sogou pinyin
B.sogou wubi
C.Baidu Pinyin
D.QQ Pingyin
E.以上皆不是
46. [单选题] 46.操作系统是跟哪一个时间服务器自动同步? (2分)
A.time.nist.gov
B.time-a.nist.gov
C.time.windows.com
D.time-b.nist.gov
E.time-nw.nist.gov
47. [单选题] 47. 法证人员于2018-11-02 下午6时25分到场,之后对系统作以下哪项取证? (2分)
A.抓取荧幕画面
B.备份使用者资料
C.备份浏览记录
D.抓取网络数据包
E.制作内存镜像档
48. [单选题] 48. 法证人员到场后,以下哪个软件曾经在系统里运行过? (2分)
A.wireshark.exe
B.Magnet RAM capture.exe
C.Lightscreen.exe
D.fastdump.exe
E.以上皆不是
49. [单选题] 49.接上题,所抓取的资料被储存为以下哪个文件? (2分)
A.victor_PC_networktraffic.pcapng
B.Lily_PC.networktraffice.pcapng
C.PC_ screenshot.PNG
D.victor_PC_memdump.dmp
E.Lily_PC_memdump.dmp
推测:1提取内存,应为dmp文件
2是victor的电脑
50. [单选题] 50.接上题,上述档案储存到以下哪个分区? (2分)
A.D:
B.E:
C.F:
D.G:
E.H:
F明显为可移动磁盘