这是20美亚个人赛加团队赛题目,可以自行下载练习,建议先做完个人赛,因为思路是连续的。完整的案件分析也会考。
链接:https://pan.baidu.com/s/1eLQiOl6P-6Bblbh6bOn6Yw?pwd=ybww
提取码:ybww
--来自百度网盘超级会员V3的分享
前言:说实话,没见过这么大的检材,700个g,如果防电脑里跑是很吃不消的,特别是哈希计算,说实话,一般电脑,包括游戏本都不太带得动,然后题目量真的很大,需要优秀的处理器。
总结:题量很大,各个模块非常非常混乱,需要分工合作,我刚刚上午和队友做完,建议跑哈希可以放一放,检材可以少开一点,不要一个案件开4个检材,除非你电脑实在太牛逼,不然都会卡死的,做题涉及到个个密码的问题,相关性也很强,千万不要在一棵树上吊死,不要和题目死磕,能做就做,不能做就猜一下,爆搜找找可能的答案,队友合作好。
做的第一个人士Bob,先搞清楚他的相关信息。
一个笔记本+一个台式+路由器+iMac台式+苹果手机一个
本来做完就累了,回来想想还是总结一下:
20题目超级大,900个G,一般电脑都吃不消,就是跑检材的时候,我跑了很多的哈希值,然后电脑一次性开多个检材是绝对吃不消的,所以要理性,建议打开一两个就好。然后电脑取证Bob部分绝对是难度极大地,实在不行先跳过,不要死磕。后面的题目可能连起来的。然后我感觉20年的树莓派还有介质取证比较简单,确实比较简单,没什么难度。内存取证感觉还是要多用小程序做,比较简单,但是限制性也很大,想一等奖还是要苦修。还有要关注题目的连续性,比如说那个客户邮件12分,就连续性很强,我当时就没有想到,整个案件我觉得还原的难度是很大的,不过部分还原还是做得到的,还是要加油加油,相信自己脑洞再大一点。
Bob的笔记本计算机
35. [单选题] Bob的笔记本计算机的哈希值(SHA-1)是甚么? (1分)
A. 57701AC2194A74804DEB0F7332532D39711C5DF0
B. 57705DF01AC2194A74804DEB0F7332532D39711C
C. 1AC2194A74804DEB0F7332532D39711C57705DF0
D. 5DF01AC2194A74804DEB0F7332532D39711C5770
E. 6DF01AC2194A74804DEB0F7332532D39711C5778
说实话这种题目就是傻逼,比谁电脑性能强,是真无语,这种题好像21就少一些了,我建议找第四台机器专门跑这个。
36. [单选题] 笔记本计算机中安装了甚么电子邮件程序? (1分)
A. Big Email Sender
B. Super Email Sender
C. Bulk Email Sender
D. Super Email Sent
E. Super Email Send
直接看是看不到的,无脑爆搜
37. [单选题] 网络钓鱼电子邮件的接收者是储存在甚么文件? (1分)
A. NETFLIX.htm.dump
B. NETFLIX.dump
C. NETFLIXS.dump
D. NETFLIX.htm.bak
E. NETFLIX.CONTAINER
A
爆搜看文件是都看得到,一个一个点进去看,发现某个存在信息就是对滴其他要么是html文件,要么什么都不是,就是链接,都不对。
38. [单选题] 在Bob的笔记本, 有什么可疑APK及其功能? (1分)
A. 检查虚拟货币的价格
B. 虚拟专用网络
C. 盗取登入名称及密码
D. 储存私人资料
E. 作为一个洋葱浏览器
A
仿真后可以看到有雷电模拟器,但是在仿真机上死活打不开(但是我现在复盘的时候可以打开了,不过打开后发现什么东西都没,就是个空壳子),然后我觉得可能是版本问题,因为是20年的题目,我复盘的时候雷电肯定更新了,所以我是看不到的,但是20年应该是可以打开的,所以我一下子心态崩了,我想在外面重构雷电的这台虚拟机,可是无奈水平太差,所以我考试的时候又没有重构出来,然后我想那不如把APP导出来,然后我就去虚拟机把雷电的整个文件夹导出来,但是发现又不行,感觉我好几项技能都没用学精,导致操作很失败。所以在外面,我会把所有技能都学精,再试一遍。
总共有77个APK,我把桌面上导出来,然后放到雷店里面,说实话我是不知道可以APK是哪个 的 ,结合下面题目的提示,问我是什么网站的,问我bitlocker密钥,我勉强可以猜测一下,但是说实话,我觉得还是猜的,如果光判断这道题,方法就是一个一个点击,然后报读爆搜。
网上看到很多大佬的,要么没思路,要么就是从40题倒推可以找到到底是那个APK,硬要爆搜,说实话也是找不到的,因为网上确实有这个apk。
(团队赛纵观全局,视野要广与心态都要放好,不要一个不知道去卡死)
最后可以大致猜想这是一个比特币换算器。
39. [单选题] 该可疑APK 从什么网站获取资料? (1分)
A. https://coinapk.io/v1/exchangerate
B. https://bit.coinapi.io/v1/exchange_rate
C. https://rest.coinapi.io/v1/exchangerate
D. https://rest.net/v1/exchangerates
E. https://online.coinapi.io/v/exchangerate
A,这题做不出,我给个思路,首先洋葱浏览器需要外网,然后再抓包,可是无论如何我们都抓不到,然后jadx反编译我也看不到,这题我觉得无解
40. [单选题] 上述APK中发现的Bitlocker密钥是甚么? (3分)
A. 74785aaaa
B. 741852963
C. 72564529633
D. bob052963
E. 522852693
B,送了,因为找到APK就送了。
B 每一个APK我都点开了,发现只有这个是找得到密码的,只有点击一下最下角,所以可以倒推就是这个APK是可疑的。
41. [单选题] 网络钓鱼网站的网页寄存的网站地址是甚么? (1分)
A. http://zeta-onlineshop.sytes.net/wordpress/net/2019/Login
B. http://zello-onlineshop.sytes.net/wordpress/net/2020/Login
C. http://zello-onlineshop.sytes.net/nets/2020/Login
D. http://zello-easyshop.sytes.net/wordpresss/net/2020/Login
E. http://zello-onlinemet.sytes.net/wordpres/net/2020
B,真做不出来,还是试试看爆搜
果真是暴力比赛
Bob的桌上计算机
42. [单选题] Bob的桌上计算机的哈希值(SHA-256)是甚么? (1分)
A. 86C740D5FB096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C2673
B. 267340D5FB096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C86C7
C. 267386C740D5FB096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C
D. 40D5FB096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C267386C7
E. B6C740D5F8096A18CC419AF74D7A55389F28D7F8E1CE6FABD17371E66E1C2673
A 说实话,算这个是真的没有任何技术含量,就是比比看谁处理器牛逼罢了
这个真的很搞人心态,系统分区被bitlock加密,什么都看不到,也就是不bitlock解密什么都做不了,也就是手那个APK要是没做出来,就什么都做不出来了,我当时就是没做出来的,心态直接炸裂了。
43. [单选题] Bob的桌上计算机的安装时间是几点?(本地时间) (2分)
A. 2020/9/13 1:40:00
B. 2020/9/15 3:40:00
C. 2020/9/17 2:40:00
D. 2020/9/15 5:40:00
E. 2020/9/15 18:40:00
B
44. [单选题] Bob桌上计算机内发现的网络钓鱼脚本是甚么?(某些字符被刻意用*遮盖) (1分)
A. d**nload.zip
B. **ternal.zip
C. i*t*r.zip
D. out**.zip
E. ex**rnal.zip
其他找不到,感觉只能选c
45. [单选题] 该网络钓鱼脚本的功能是甚么? (1分)
A. 摧毁目标电脑
B. 传播电脑病毒
C. 收集个人数据
D. 发送勒索信息
E. 自动化进行分布式拒绝服务攻击
说实话我也不知道,就解压后查看了一下源码,涉及到一个网站remote addr 远程连接,我猜测是连接到远程主机上(网站或者服务器)
有时间,国家,版本号,但是又对random做了一次版本号的加密, 下面是算法,最后写道一个php里面,反正绝对和网站有关,所以猜c
Cole 冯启礼
Cole的桌上计算机
75. [单选题] Cole桌上计算机的哈希值(SHA-1)是甚么? (1分)
A. 0D00A8A853B9001A9FC7BF89D9FBBA790C065CE2
B. 0D22A8A853B9001A9FC7BF89D9FBBA795CE2
C. A8A853B9001A9FC7BF89D9FBBA790C065CE20D00
D. 5CE20D00A8A853B9001A9FC7BF89D9FBBA790C06
E. 5CE2A8A853B9001A9FC7BF89D9FBBA790C060D00.
76. [单选题] Cole桌上计算机的用户名是甚么? (1分)
A. ADMIN
B. COLE
C. COLE-DESKTOP
D. COLE-PC
E. COLE-PC-841315.
77. [单选题] 在Cole的桌上计算机中发现了多少潜在的受害者? (2分)
A. 100
B. 150
C. 200
D. 250
E. 300.
这个只能看文档,txt,或者xlsx,或者word,其实就是在最近访问文件里面猜,看关键词找,我当时很快地就看到了VIP,可能是因为运气好的缘故,个人感觉打开软件这一块还是美亚稍微好一点,直接点击就能看。
78. [单选题] 潜在受害者的数据被储存在哪里?(某些字符被刻意用*遮盖) (2分)
A. Partition 3\secret\doc**ent.txt
B. Partition 3\secrets\c**tomer.txt
C. Partition 3\secrets\vi**.txt
D. Partition 3\secrets\vi**.zip
E. Partition 3\sec*ets\*ips.doc.
直接c,文件名就ok
79. [单选题] 预设浏览器何时安装? (2分)
A. 2019-10-01
B. 2019-12-01
C. 2019-12-07
D. 2020-09-24
E. 2020-09-28.
首先要知道是什么浏览器,然后再分析,但是我看历史记录,发现最早的记录都到24号,所以直接无脑D上去,管他什么。
80. [单选题] Cole桌上计算机上预设安装了甚么浏览器? (1分)
A. Chrome
B. Edge
C. Firefox
D. Internet Explorer
E. Opera.
这个题我做错了,答案是D IE浏览器
有几个思路
1:应该是最早下载的浏览器,其他浏览器都要比她晚下载
2:应该和系统安装时间同步,就是同一时间安装的
在安装软件里面无论弘连还是美亚都是看不到的,说明他修改删除了,所以只能仿真
照理说控制面板里应该有,但是竟然看不到,真是无语
打开ie
看到这个快捷方式就完胜的,确实和系统是同时安装的,所以我总结搜索看文件安装时间和快捷方式会好很多
81. [单选题] 上述储存浏览记录的默认浏览器,该文件档案的类型是什么? (1分)
A. bat
B. dat
C. History
D. places
E. Web.
B
历史记录加跳转源文件
82. [单选题] 入侵Zello的证据文件是甚么? (2分)
A. Event log
B. Email
C. Pretech
D. Ransome note
E. WebCacheV01.dat.
E 说实话这题我是猜的,感觉E像一点,哈哈哈现在我就来学一下
我觉得可以无脑爆搜,说实话只有E是搜得到的,建议就美亚爆搜,比较强大
下面引用专家的做法
邮件说要请专家支付两个比特币攻击zello,感觉这个也是证据,但跳转源文件是[email protected],没有这个选项
从zello服务器的14题里面推断出123.php是后门病毒,在Edge浏览器里面发现了他的踪迹,跳转源文件是WebCacheV01.dat
由于我不做服务器,所以我压根链接不上,就是没法做到思路串通,而且我觉得问无脑问题比较影响队友。
83. [单选题] 受感染网站的网址是什么? (2分)
A. www.apple.com
B. www.google.com
C. www.vmware.com
D. http://fortess.com
E. http://zello-onlineshop.sytes.net.
E 说实话也是猜的,其他网站哪有实力去攻破。
有说法是服务器乱入,也有人说资格赛送了,反正我是链接不起来。
或者还可以爆搜哦
84. [单选题] Cole桌上计算机上的DDoS勒索字条是甚么?(某些字符被刻意用*遮盖) (2分)
A. license.txt
B. Ransome Note of **OS.txt
C. Ransome Note of **OS.doc
D. edb.log
E. **inst.log.
85. [单选题] 在Cole桌上计算机上发现的DDoS勒索字条中,比特币钱包地址是甚么? (2分)
A. 1L6fKWpEYvUi8FeG6BnXqfh1joAgmJA1h1
B. 2A6fKWpEYvUi8FeG6BnXqAA1joAgmJA1h1
C. 3F6fKWpEYvUi8FeG11nXqAA1joAgmJA1h1
D. 5C6fKWpEYvUi8FeG6BnXqAA1joAgfJA1h1
E. A1h1KWpEYvUi8FeG6BnXqfh1joAgmJ1L6f.
86. [单选题] Cole笔记本计算机的哈希值(SHA-1)是甚么? (1分)
A. 2EF559C89F2C5E6A2E02CFF13DBD61E423B89CD2
B. 2EF59CD259C89F2C5E6A2E02CFF13DBD61E423B8
C. 59C89F2C5E6A2E02CFF13DBD61E423B82EF59CD2
D. 8CO259C89F2C5E6A2E02CFF13DBD61E423B82EF5
E. 9CD259C89F2C5E6A2E02CFF13DBD61E423B82EF5.
87. [单选题] Cole笔记本计算机有多少个用户帐户? (1分)
A. 2
B. 3
C. 4
D. 5
E. 6.
3个 不要觉得是6个,那三个不是的
88. [单选题] 当前登录用户帐户的用户名是甚么? (1分)
A. Administrator
B. Bob
C. Cole
D. Daniel
E. Guest.
c显然
说实话一开始我没有反应过来,随机存储记忆体是什么,百度一下发现是RAM,其实就是内存取证,感觉每年都是有内存取证的题目的,建议大家用小程序做,只要不行拿一等奖,小程序都够了,基本上可以做大部分的题目的。
89. [单选题] 在Cole笔记本的随机存取记忆体中, 是甚么Windows配置文件? (1分)
A. Win7SP1x64
B. Win7SP1x64_25000
C. Win7SP2x64
D. Win2008R2SP1x64_24418
E. Win2008R2SP2x64.
第一个就是
90. [单选题] 用户密码的前5个字符是甚么? (3分)
A. 12345
B. 78945
C. passw
D. P@ssw
E. qazws.
91. [单选题] 计算机中可疑的txt文件的名称是甚么? (2分)
A. abc.txt
B. costomer.txt
C. secret.txt
D. vips.txt
E. No suspicious file was found.
D,这个好像前面做过了
92. [单选题] 可疑txt文件曾经出现在哪个路径? (2分)
A. C:/Users/Cole
B. C:/Users/Cole/Desktop/
C. C:/Users/Cole/Desktop/Trade
D. E:/USB16GB
E. No suspicious file was found.
93. [单选题] 是否有任何证据表明该文件已执行? (3分)
A. 是的,因为与此文件相关的lnk文件在内存偏移量 (Memory Offset) 0xcd40e382中找到
B. 是的,因为与此文件相关的lnk文件在内存偏移量 (Memory Offset) 0x117a86230中找到
C. 是的,因为在Cole \ AppData \ Roaming \ Microsoft \ Windows \ Recent \中找到了与此文件相关的lnk文件
D. 找不到执行证据,因为没有与txt文件相关的预取文件
E. 找不到可疑文件和lnk文件.
94. [单选题] 以下哪个与上述可疑txt文件相关的发现是正确的? (2分)
A. 在创建可疑txt文件之后,创建/访问了另一个txt文件
B. 在创建另一个txt文件之后创建/访问该文件
C. Cole使用Microsoft Word打开文件
D. 无法确定与文件相关的时间事件
E. 该文件是通过内部网络ip下载的.
真的不会,我直接猜了
customers.txt的创建时间:2020/9/17 9:08:26,两个文件都是最近访问,且创建时间很近
95. [单选题] 根据系统时间,Cole在2020-09-18 01:01:08 UTC + 0000左右用笔记本计算机做了甚么? (2分)
A. 他创建了一个新的xls文件
B. 他从USB复制了一些文件
C. 他打开了一些txt文件
D. 他删除了一些文件
E. 没有.
2020-09-18 09:01:08 UTC + 8,运行了Eraser.exe(痕迹清除器)
Cole的内存镜像
这里说关于内存取证,我简单说一下,有volatility2和volatility3
v2只能取win7之前的,v3可以取win10,所以美亚21年的内存考的就是win10,必须要v3才可以取证,我恰恰只熟悉v2的命令,我命令不太熟悉,内存取证网上说的并不多,所以我21美亚做的不是很好,建议大家多学习v3的命令,比较适应性强,我觉得22年多半会考v3,win10毕竟是主流,csdn学习资源很多,我觉得都很好,这里我推荐一篇博客,讲的是内存取证入门,基本上应该是够用了,如果目标在一等奖,那还是要看看其他的,这个大佬水平很不错,至于我的博文稍微看看就好了,勉强入门。
volatility内存取证学习,美亚杯比赛版,密码+注册表_modest —YBW的博客-CSDN博客_volatility 密码Volatility3用法_江左盟宗主的博客-CSDN博客_volatility3volatility内存取证学习,美亚杯比赛版,密码+注册表_modest —YBW的博客-CSDN博客_volatility 密码
我建议小程序,取一下很快
96. [单选题] FTK Imager.exe的PID是甚么? (1分)
A. 368
B. 660
C. 1288
D. 2224
E. 2456.
97. [单选题] FTK Imager.exe的父应用程序是甚么? (1分)
A. 592
B. 660
C. 1288
D. 2224
E. 2456.
98. [单选题] FTK Imager.exe使用甚么DLL? (1分)
A. mmlang.dll
B. Normal.dll
C. sensapi.dll
D. Secu.dll
E. WINNS.dll.
这题就做不了啦,软件跑不出来,还是要我们手工做
由于我不熟悉v3,所以我用v3做一下这个题
99. [单选题] MpCmdRun.exe的PID是甚么? (2分)
A. 660
B. 1288
C. 1388
D. 2240
E. 2456.
正常情况看这个是看不出的pstree
在这里我要解释一下:
pstree会展示父子进程,一般都是在活动的
psscan功能强大一点,可能会展示死去进程,也就是历史进程
这题就是考一个历史进程的概念
100. [单选题] 以下哪个与MpCmdRun.exe相关的项目是正确? (2分)
A. 该进程于2020-09-17 11:15:57 UTC + 0000创建
B. 该过程于2020-09-18 01:20:57 UTC + 0000终止
C. 该进程由schost.exe启动
D. 该过程是通过网络驱动器启动的
E. 这不是合法程序.
这题答案是出来啦,看进程就可以了
101. [单选题] 上次启动后,笔记本计算机连接的外部IP是甚么? (1分)
A. 31.12.82.1
B. 40.10.261.1
C. 218.112.79.1
D. 218.112.172.8
E. 未连接/未连接到任何外部IP.
其实这道题我考试的时候做不出来
我用connections命令,发现这条命令行不通,就是说版本不支持啥的,然后我就没做
没试过netscan,最后发现也是可以的,但是从这张图上没有看到任何远程连接
102. [单选题] 上次启动后,笔记本计算机连接的网络驱动器路径是甚么? (1分)
A. E:/
B. F:/
C. G:/
D. Z:/
E. 未连接/未连接到任何外部IP.
说实话,美亚是真的坏,太坏了,这个说实话大部分人都会感觉肯定有ip,没想到
Cole的笔记本计算机
说实话,我考试的时候一个都没用做出来,扣了12分,难过死我啦,检材是笔记本,但是答案放在桌面计算机上,我是真的想不到,
103. [单选题] Cole公司的一位客户有一封电子邮件m*b*@ms**.z**.**.tw,可以在Cole的笔记本计算机中找到此数据吗? (某些字符被故意用*遮盖) (3分)
A. 是
B. 否
C. 无法确定,因为找不到这样的文件
D. 由于信息太有限,无法确定
E. 由于数据已加密,无法确定.
笔记本计算机里没有vips.txt,桌上计算机里有
104. [单选题] 收到上述电子邮件的客户名称是甚么? (3分)
A. 陈志
B. 陈志林
C. 陈宜
D. 郭倍
E. No customer data was found.
C
105. [单选题] 属于上述客户的电话号码是甚么? (某些字符被故意用*遮盖) (3分)
A. 3225**1*
B. 61**221**
C. 62**6*82*
D. 65**25**7
E. No customer data was found.
C
106. [单选题] 上述客户可能居住的区域是甚么? (3分)
A. Hong Kong Island
B. Kowloon City
C. Tsuen Wan
D. Tin Shui wai
E. No customer data was found.
D
想这个题就是考整体关联性,我认为计算机方面关联性就很重要,计算机都是我做的,我竟然还没有反应过来,真是很遗憾
107. [单选题] Cole的PI的哈希值(SHA-256)是甚么? (1分)
A. 0556EABC9BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7C
B. 05569BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7CEABC
C. 9BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7C0556EABC
D. AA8C9BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7C0556
E. EABC9BECCFA67E825864EBAB7B503EEC293C6209CDC931016D2F1D081F7C0556.
108. [单选题] Cole PI 装置的操作系统是甚么? (2分)
A. Android
B. Debian
C. Mac
D. Ubuntu24
E. Windows.
109. [单选题] 操作系统是甚么版本? (2分)
A. 20.1.1 LTS (Focal Fossa)
B. 20.01.1 LTS (Focal Fossa)
C. 20.02.1 LTS (Focal Fossa)
D. 20.03.1 LTS (Focal Fossa)
E. 20.04.1 LTS (Focal Fossa).
110. [单选题] 装置的文件系统是甚么? (1分)
A. Android
B. Ext 4
C. EXT
D. iOS
E. NTFS.
说实话,这题我做错了,我是直接百度搜的答案一般也出来啦,但是我运气不好,刚好错了
然后看解析我发现弘连有自动分析文件系统的,真不错
111. [单选题] 操作系统的时区是甚么? (1分)
A. Asia/Amman
B. Asia/ Baku
C. Asia/Shanghai
D. Asia/Seoul
E. Asia/Tokyo.
说实话,我也是猜的,直接上海,猜对啦
我参考一下教程,他们一般都是搜索timezong,我觉得比赛的时候应该是不知道要搜timezone的我也试一下。
原来是这样的,linux时间信息都放在timezone里面,所以我看到网上很多大佬看的都是这个文件。
因为如果搜索time,信息实在是太多了,也是看不到答案 的。
112. [单选题] 哪个文件包含儿童色情物品内容?(某些字符被故意用*遮盖) (1分)
A. "Partition 2\**r\pt*c1.jpg,Partition 2\**r\pt*c2.jpg,Partition 2\**r\pt*c3.jpg"
B. "Partition 2\v**\ptha1.jpg,Partition 2\v**\ptha2.jpg,Partition 2\v**\ptha3.jpg"
C. "Partition 2\mnt\pth**.jpg,Partition 2\mnt\pth**.jpg,Partition 2\mnt\pth**.jpg"
D. "Partition 2\**hc1.jpg,Partition 2\**hc2.jpg,Partition 2\**hc3.jpg"
E. "Partition 2\media\pt**.jpg,Partition 2\media\pt**(1).jpg,Partition 2\media\pt**(2).jpg".
这两题因为是照片,而且提示jpg,我就直接去照片里面找,找到了就好,当然顺着路径照也是可以的,我觉得照片少,翻翻也蛮快的,然后跳转到源文件就好
113. [单选题] Cole PI装置中的儿童色情物品的创建时间是甚么? (1分)
A. 2020/09/15 11:21
B. 2020/09/15 17:21
C. 2020/09/15 18:21
D. 2020/09/16 19:21
E. 242020/09/15 20:21.
解法同上
114. [单选题] Cole NAS的哈希值(SHA-256)是甚么? (1分)
A. 28715B79890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D
B. 2871890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D5B79
C. 5B79890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D2871
D. 6879890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D2871
E. 890D90B661183F6849469FA2042D103D629A6BC9A4304E39B13C019D28715B79.
115. [单选题] 儿童色情数据存放在哪里? (2分)
A. Partition 3\cole-shared\media
B. Partition 4\cole\media
C. Partition 4\cole_shared\DCIM
D. Partition 4\cole_shared\media
E. Partition 4\cole_share\mnt.
由于存储设备做了动态卷的缘故,我总是看不到
然后看了官方视频讲解,才知道要把raid里面打开才能看
如果单纯跳转到源文件,是看不到答案的,因为答案都是分区四,就在我想不明白的时候,发现其实可能识别raid作为第四分区,因为前面已经有了三个分区。
116. [单选题] 设备中现有多少儿童色情数据? (2分)
A. 1
B. 2
C. 3
D. 4
E. 5.
3
117. [单选题] Cole NAS装置中的儿童色情物品的创建时间是甚么? (1分)
A. 2020/09/13 16:51
B. 2020/09/14 16:50
C. 2020/09/14 16:51
D. 2020/09/15 16:51
E. 2020/09/15 17:57.
自己看。
Daniel 罗俊杰
Daniel的桌上计算机
127. [单选题] Daniel的桌上计算机的哈希值(SHA-256)是甚么? (1分)
A. E588564CA7AAA5352F6A1215A9F1FBE4
B. FBE4564CA7AAA5352F6A1215A9F1E588
C. 01DD40CF28603F421F3A09CD38F1C8AA40A2AC4BFB46ECF8299C38CE6AE44EO5
D. 07DD40CF28603F421F3A09CD38F1C8AA40A2AC4BFB46ECF8299C38CE6AE44ED5
E. 4ED540CF28603F421F3A09CD38F1C8AA40A2AC4BFB46ECF8299C38CE6AE407DD.
D
128. [单选题] 该桌上计算机操作系统储存在哪个分区上? (1分)
A. Partition 1
B. Partition 2
C. Partition 3
D. Partition 4
E. Partition 5.
C
说实话,我考试的时候一直不知道什么分区对应partition什么,所以疯狂做不出来
从弘连看我知道是3
从分区信息看,我也能知道是3
129. [单选题] 在桌上计算器机中找到Daniel的电子邮件地址是甚么? (2分)
A. [email protected]
B. [email protected]
C. [email protected]
D. [email protected]
E. [email protected].
B
直接看出来的
130. [单选题] 该恶意软件感染源是甚么? (2分)
A. "[email protected] - Daniel_Gmail.pst, Paypal updated:New Account update needs to be noticed"
B. "[email protected] - Daniel_Gmails.pst, Paypal updated:New Account update needs to be noticed"
C. "[email protected] - Daniel_Gmail.pst, Paypal updated:New Account update needs to be noticed"
D. "[email protected] - Daniel_Gmail.pst, Paypal updated:New Account update needs to be noticed"
E. "[email protected] - Daniel_Gmail.pst, Paypal updated:New Account update needs to be noticed".
A
我客观的说,就是找不同,我当时看了半天,就是一点点小错误
131. [单选题] 在Daniel的桌面上发现了甚么恶意软件?(某些字符被刻意用*遮盖) (2分)
A. wi**ows.bat
B. ootd-4.0.**2.0.exe
C. 7z**00-x64.exe
D. NDP452-KB290**07-x86-x64-AllOS-ENU.exe
E. **deo_view**_3.1.2.4.zip.
E
这个题表面上说是桌面上,其实我觉得是说桌面计算机,我觉得其他是没有的,因为桌面上什么东西都没用,我当时是直接去虚拟机里面找,找到了这个文件夹件,然后用弘连导出查看 的,我就是直接用沙箱跑一下就出来了。
然后可能是windows是盗版的缘故,我无法把虚拟机里面的东西直接导出来了。
当时我一导出来,火眼直接查杀了,然后我就选了,后面放到沙箱也就是确认一下。
132. [单选题] 该恶意软件的哈希值(SHA-256)是甚么? (1分)
A. 508972AFE67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D
B. 5089E67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D72AF
C. 72AFE67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D5089
D. 77AFB67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D50B9
E. E67F7991F13212E1FE517F82BDC032DE0F5CDF15FDF641ED1FDD233D508972AF.
C
133. [单选题] 该恶意软件的功能是甚么? (2分)
A. 远程桌面协议
B. 作为获得管理员级别访问权限的rootkit
C. 作为键盘侧录程序 (Keylogger)
D. 作为抢夺者 (Snipper)
E. 作为特洛伊木马 (Trojan Horse).
E
火绒和沙箱都说是木马
134. [单选题] Daniel的MacBook 计算机的哈希值(SHA-1)是甚么? (1分)
A. B90D23B13560A619F682DE76991CD768
B. B9OD23B13560A619F682DE76991CO768
C. C71C21730461FC901FD99F76C3679C3FED0DFAB9
D. C77C21730461FC901FD99F76C3679C3FED0DFA89
E. FAB921730461FC901FD99F76C3679C3FED0DC71C.
C
135. [单选题] Daniel的MacBook 计算机中有多少个分区? (1分)
A. 2
B. 3
C. 4
D. 5
E. 6
A
美亚有一个看分区蛮好的东西,我觉得很不错的
我做的部分不多,其他都是和队友分工的。