“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)

试题

1

Gary的笔记本电脑已成功取证并制作成镜像 (Forensic Image),下列哪个是其MD5哈希值。

A.

0CFB3A0BB016165F1BDEB87EE9F710C9

B.

5F1BDEB87EE9F710C90CFB3A0BB01616

C.

A0BB016160CFB3A0BB0161661670CFB3

D.

16160CFB3A0BB016166A0BB016166167

E.

FB3A0BB016165 B016166 A0DF7FJE2EJ0

2

根据此镜像 (Forensic Image),里面有多少个硬盘分区?

A.

1

B.

2

C.

3

D.

4

E.

5

3

你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)?

A.

0

B.

512

C.

2,048

D.

206848

E.

102,402,047

4

你能找到硬盘操作系统分区的大小吗 (字节byte)?

A.

48.7

B.

102,195,200

C.

140,232,703

D.

19,369,295,872

E.

52,323,942,400

5

在包含操作系统的分区内,$MFT的物理起始偏移位置是什么?

A.

3328

B.

4170040

C.

6026176

D.

6291456

E.

16949352

6

请找出系统文件“SOFTWARE",请问操作系统的安装日期是? 

(答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC)

A.

2017-09-14 02:10 UTC

B.

2017-09-14 02:11 UTC

C.

2017-09-14 02:12 UTC

D.

2017-09-14 02:13 UTC

E.

2017-09-14 02:14 UTC

7

用户“Gary"的SID是什么?

A.

1000

B.

1001

C.

1002

D.

1005

E.

1007

8

用户“彼得"的SID是什么?

A.

1000

B.

1001

C.

1002

D.

1005

E.

1007

9

硬盘的操作系统是什么?

A.

Windows 7

B.

Windows 8

C.

Windows 10

D.

Linux Red Hat 7.1

E.

MAC OS X

10

哪个是Windows的默认浏览器?

A.

Microsoft Internet Explorer

B.

Google Chrome

C.

Mozilla Firefox

D.

Opera

E.

QQ 浏览器

11

用户 “Gary"曾经浏览过一些非法博彩网站,下列哪项URL符合?

a.

www.10086.com

b.

www.188bet.com

c.

www.hv5858.com

d.

www.12377.cn

e.

www.88.bettingwell.com

f.

www.aaakk.org

A.

只有(a) & (b)

B.

(a), (b), (d) & (f)

C.

(b), (c), (d) & (f)

D.

(b), (c), (e) & (f)

E.

以上皆是

12

用户Gary曾经登入上述非法博彩网站,下列哪个是其登入名称?

A.

ggchey68

B.

gany-cher88

C.

galy_chen88

D.

garychen1688

E.

garychen88

13

在所有用户中,用于电子邮件发送/接收的程序名称是什么?

A.

新浪邮箱

B.

网易163

C.

阿里

D.

Foxmail

E.

Mozilla Mail – ThunderBird

14

在该Windows系统中,曾经连接数个USB移动储存装置 (U盘),下列那个不是该系统连接过的USB移动储存装置 ?

A.

WD My Passport 0827 USB Device

B.

StoreJet Transcend USB Device

C.

Samsung Portable SSD USB Device

D.

StoreJet TS256GESD400K USB Device

E.

General UDisk USB Device

15

在该Windows系统中,下列哪个USB移动储存装置 (U盘)曾被指派为‘Z’磁盘分区代号(Drive Letter) ?

A.

WD My Passport 0827 USB Device

B.

StoreJet Transcend USB Device

C.

Samsung Portable SSD USB Device

D.

StoreJet TS256GESD400K USB Device

E.

General UDisk USB Device

16

该Windows系统中,下列哪个是最后的关机时间?

A.

2017-10-31 4:52:54 UTC

B.

2017-10-31 4:53:54 UTC

C.

2017-10-31 4:54:54 UTC

D.

2017-10-31 4:55:54 UTC

E.

2017-10-31 4:56:54 UTC

17

该Windows系统中,下列哪个是电脑名称?

A.

GARYPC

B.

GARY-PC

C.

GARY_PC

D.

GARY

E.

GARY-NB

18

在该Windows系统中,下列哪个是用户Gary日常使用的邮箱帐号?

A.

[email protected]

B.

[email protected]

C.

[email protected]

D.

[email protected]

E.

[email protected]

19

在该Windows系统中,用户Gary曾经收过一封来自邮箱帐号 [email protected] 的邮件,内容提及有关制作钓鱼网站及邮件帐号[email protected],下列哪个是此封邮件的发送日期和时间?

A.

2017-09-25 17:07:15

B.

2017-10-17 14:35:45

C.

2017-10-17 18:24:02

D.

2017-10-26 19:17:08

E.

2017-10-26 19:24:57

20

在该Windows系统中,用户Gary还曾经收过两封来自邮箱帐号 [email protected]的邮件,标题为“学习制作网站”,下列哪个是第一封邮件的发送日期和时间?

A.

2017-09-25 17:07:15

B.

2017-10-17 14:35:45

C.

2017-10-17 18:24:02

D.

2017-10-18 18:30:45

E.

2017-10-18 19:38:05

21

在该Windows系统中,用户Gary还曾经收过两封来自邮箱帐号 [email protected]邮件,标题为“学习制作网站”,下列哪个是第二封电邮的发送日期和时间?

A.

2017-09-25 17:07:15

B.

2017-10-17 14:35:45

C.

2017-10-17 18:24:02

D.

2017-10-18 18:30:45

E.

2017-10-18 19:38:05

22

用户Gary还曾经收过一封来自邮箱帐号 [email protected] 的邮件,附加了两张与咖啡豆有关的相片,下列哪个是此封邮件的发送日期和时间?

A.

2017-09-25 17:07:15

B.

2017-10-17 14:35:45

C.

2017-10-17 18:24:02

D.

2017-10-26 19:17:08

E.

2017-10-26 19:24:57

23

在该Windows系统中,用户Gary还曾经收到一封来自邮箱帐号 [email protected] 的邮件,附加有三张与Apple iCloud相关的相片,下列哪个为该封邮件的发送日期和时间?

A.

449cebf0eb96499df047fe0bff8e1627

B.

17f9c6bcca44d128f7ed6769a6920278

C.

4bc48ce355acd4732f33a79e29728e96

D.

4bc48ce355acd4732f33a79e29728e96

E.

e3e545c80a7273b7b0d7c73dacdd7227

24

在该Windows系统中,用户Gary还曾经收到一封来自邮箱帐号 [email protected] 的邮件,附加有三张与Apple iCloud相关的相片,下列哪个为该封邮件的发送日期和时间?

A.

2017-09-25 17:07:15

B.

2017-10-17 14:35:45

C.

2017-10-17 18:24:02

D.

2017-10-18 18:30:45

E.

2017-10-18 19:38:05

25

Gary经常使用笔记本电脑浏览互联网,他的笔记本电脑上曾经连接过多少WIFI热点?

A.

1

B.

2

C.

3

D.

4

E.

5

26

上述电脑曾经连接过星巴克WIFI热点,下列哪项是其全局唯一识别元(Globally Unique Identifier, GUID)?

A.

{8039D237-A346-4BA1-9B78-5752580ED7F0}

B.

{39489FA0-DE35-4989-8730-E2E2ED15E85A}

C.

{558B94DF-8D68-4779-AA25-65FBDAB4C2B9}

D.

{4EFCDA7E-CE51-4EC2-8980-8629647C9968}

E.

{AF0778E8-6C4F-41C6-84B2-CB14490CF29E}

27

有关Gary的笔记本电脑,下列哪项是其最后分派得到的IP地址?

A.

192.168.0.1

B.

192.168.10.4

C.

192.168.20.6

D.

192.168.30.3

E.

192.168.40.5

28

Eric曾发邮件给Gary,内容是关于如何在暗网(Dark Web)中浏览枪械的信息,以下哪个URL是由Eric提供的?

A.

http://hhnovpxmqrw5xaqg.onion

B.

http://gunsjmzh2btr7lpy.onion

C.

http://gunsdtk58tolcrre.onion

D.

http://armoryohajjhou6m.onion

E.

http://armory45jijdf7d.onion

29

Eric 售卖iCloud 网站给Gary 的价钱是多少?

A.

$500

B.

$800

C.

$1000

D.

$1400

E.

$1500

30

Gary 经常将非法文件存储到该笔记本电脑的加密分区中,下列哪一个为该加密软件?

A.

TrueCrypt

B.

VeraCrypt

C.

Bitlocker

D.

LUKS

E.

PGP WDE

31

在加密磁区内有三张与Apple iCloud有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)?

A.

c9fbfaf3c45492c40feb83a83217f146

B.

14903a7bd9d709b653f9afe8e3e51cdd

C.

7cb0f29812317db645edbcd6cf46e1ba

D.

5503d096bdf832460c8f51da62fbbb5d

E.

9918465b62171ba2c0a95595db629bf3

32

在加密磁区内有三张与暗网(Dark Web)有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)?

A.

2836d35fb45c591211d5b6865c4a82f5

B.

d2b14799050b6c4ad6b07cd1227b91a5

C.

9110c96baa70c00acd8fbdfe2dc7c397

D.

703899985d881e2d103eb4fd1306be2e

E.

4c57a45b8da5ea01e5eb7d875f94a7b8

34

在上述加密磁区内,存有一个名为”2017-10-27”的文件夹,内有三张枪械的图片,该三张图片是来自哪个网站?

A.

http://gunsdtk58tolcrre.onion

B.

http://gunsjmzh2btr7lpy.onion

C.

thegunstorelasvegas.com

D.

cabelas.com

E.

hyattgunstore.com

35

Gary的笔记本电脑曾经下载过多少张有关恐怖组织的图片?

A.

1

B.

2

C.

3

D.

4

E.

5

36

根据Gary与Eric邮件的内容,Eric曾经提供Gary一个私有云盘,下列哪项是该邮件提供的资料?

A.

动物图

B.

枪的结构图

C.

博彩图

D.

博彩文件

E.

恐怖主义图

37

下列哪项是上述私有云盘的网址?

A.

http://mantech.mooo.cn

B.

http://mantech.mooo.com

C.

http://mooo.com

D.

http://mantech.com

E.

http://23.54.45.113

38

下列哪项是上述私有云盘网址的连接端口?

A.

TCP 80

B.

TCP 8080

C.

UDP 80

D.

TCP 8000

E.

TCP 443

39

下列哪项是Gary第一次浏览该私有云盘网址时,所使用的浏览器?

A.

Microsoft Explorer

B.

Google Chrome

C.

Mozilla Firefox

D.

Opera

E.

QQ 浏览器

40

下列哪项是Gary第一次浏览该私有云盘网址的日期和时间?

A.

2017-10-29 12:42:09

B.

2017-10-30 12:42:09

C.

2017-10-31 12:42:09

D.

2017-10-30 10:42:09

E.

2017-10-30 11:42:09

41

在上述加密磁区内,存有一个名为”2017-10-30”的文件夹,里面有三张与枪械结构有关的图片,该三张图片是从哪个方法/软件下载?

A.

邮件

B.

Firefox

C.

Chrome

D.

USB thumb drive

E.

ftp

42

Gary的笔记本电脑,曾经下载过一个感染了电脑病毒的文件,名为invoice.zip。该病毒程序文件是什么时候下载?   

A.

2017-10-31 12:26:20

B.

2017-10-31 12:50:34

C.

2017-10-31 12:29:55

D.

2017-10-31 10:52:10

E.

2017-10-31 12:18:54

43

Gary的笔记本电脑,还存有一个感染了电脑病毒的程序文件,名为\User\Gary\Downloads\invoice\dist\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?

A.

2017-10-31 12:26:27

B.

2017-10-31 12:50:34

C.

2017-10-31 12:29:55

D.

2017-10-31 10:52:10

E.

2017-10-31 12:18:54

44

上述invoice.exe文件伪装成什么格式的软件?

A.

pdf

B.

jpg

C.

psd

D.

Docx

E.

Doc

45

上述的\User\Gary\Downloads\invoice\dist\invoice.exe文件,最后执行日期/时间(Last Accessed Data/Time) 是什么?

A.

2017-10-31 12:26:27

B.

2017-10-31 12:50:34

C.

2017-10-31 12:29:55

D.

2017-10-31 10:52:10

E.

2017-10-31 12:18:54

46

事实上,Gary的笔记本电脑被电脑病毒感染了,部份文件被加密,当中包括下列哪种文件类型?

a.

exe

b.

gif

c.

jpg

d.

psd

e.

Docx

f.

Doc

A.

只有(a) & (b)

B.

(a), (b), (d) & (f)

C.

(b), (c), (d) & (f)

D.

(b), (c), (e) & (f)

E.

以上皆是

47

上述\User\Gary\Downloads\invoice\dist\invoice.exe文件共执行多少?

A.

1

B.

2

C.

3

D.

4

E.

5

48

上述\User\Gary\Downloads\invoice\dist\invoice.exe文件是由什么程序编写?

A.

LISP

B.

C++

C.

Visual Basic

D.

Python

E.

Java

49

上述\User\Gary\Downloads\invoice\dist\invoice.exe文件,执行时会呼叫下列哪个动态连结函式库(Dynamic Linked Library)

A.

KERNEL32.DLL

B.

USER32.DLL

C.

SHELL32.DLL

D.

NTDLL.DLL

E.

SYSTEM32.DLL

50

Gary的笔记本电脑,还存有另一感染了电脑病毒的程序文件,名为\tmp\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?

A.

2017-10-31 12:26:27

B.

2017-10-31 12:50:34

C.

2017-10-31 12:29:55

D.

2017-10-31 10:52:10

E.

2017-10-31 12:18:54

51

上述两个文件\User\Gary\Downloads\invoice\dist\invoice.exe和 \tmp\invoice.exe是什么关系?

A.

前者是后者的复本

B.

后者是前者的复本

C.

两者MD5不相同

D.

两者元数据(Metadata)相同

E.

两者无关系

52

根据勒索讯息的显示,勒索网址是什么?

A.

http://223.17.250.208:6000/C&C/

B.

http://223.17.250.208/C&C/

C.

http://223.17.250.208:6060/C&C/

D.

http://223.17.250.208:80/C&C/

E.

http://223.17.250.208:8080/C&C/

53

根据勒索讯息的显示,勒索金额是多少钱?

A.

$1,000

B.

$10,000

C.

$20,000

D.

$50,000

E.

$100,000

54

根据勒索讯息的显示,下列哪个是与勒索案件有关的比特币钱包?

A.

1KcjhpkowGWh5QYgPx5hYGuzbZpewgBszh

B.

1KcjhpknwGWh5QYgPx5hYGuzbZpewgBszh

C.

1KcjhpknwGWh5QYgPx5hYGuzbZpewgBzzh

D.

1KcjhpknwGWh5QYgPx6hYGuzbZpewgBszh

E.

1KcjhpknwGWh6QYgPx5hYGuzbZpewgBszh

55

执法机关曾在现场对Gary的电脑进行电子法证检验,期间曾撷取与勒索软件相关的屏幕影像,并储存为png格式。下列哪项是其储存位置?

A.

\Users\彼得\Downloads\

B.

\Users\彼得\Desktop\

C.

\Users\Gary\Downloads\

D.

\Users\Gary\Desktop\

E.

\Users\Gary\Documents

Keys point 分高下

经法证工具分析后发现Gary的笔记本电脑有三个分区硬盘,所有敏感文件均储存在一个加密磁区,而其加密匙放在下列哪个位置?

A.

\Windows\

B.

\Users\

C.

\Users\Gary\Desktop

D.

\Users\Gary\Documents

E.

\

答案解析

1、

A.

0CFB3A0BB016165F1BDEB87EE9F710C9

“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)_第1张图片

2、

C.

3

3、内存物理地址的单位是字节(Byte),而一个逻辑区块占用512字节,所以要将这个值除以512=206848

D.

206848

“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)_第2张图片

4、48.73*1073741824为52323439083.52

E.

52,323,942,400

5、应为6498304

D.

6291456

“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)_第3张图片

6、北京是东八区,领先UTC时间八个小时,所以减掉后得出答案

B.

2017-09-14 02:11 UTC

7、

A.

1000

8

B.

1001

9、

A.

Windows 7

10、

A.

Microsoft Internet Explorer

11、首先排除正常的10086和12377网站,然后搜索每个网站

D.

(b), (c), (e) & (f)

12、将每个选项搜索,得到garychen88

E.

garychen88

13、

E.

Mozilla Mail – ThunderBird

14、

C.

Samsung Portable SSD USB Device

15、

E.

General UDisk USB Device

“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)_第4张图片

16、

A.

2017-10-31 4:52:54 UTC

17、

B.

GARY-PC

18、

D.

[email protected]

“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)_第5张图片

19、

C.

2017-10-17 18:24:02

“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)_第6张图片

20、

D.

2017-10-18 18:30:45

21、

E.

2017-10-18 19:38:05

22、

D.

2017-10-26 19:17:08

“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)_第7张图片

23、

B.

17f9c6bcca44d128f7ed6769a6920278

“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)_第8张图片

24

E.

2017-10-18 19:38:05

“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)_第9张图片

25、

D.

4

26、取证结果 -> 密码/密钥检索 -> 无线账号

E.

{AF0778E8-6C4F-41C6-84B2-CB14490CF29E}

“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)_第10张图片

27、取证结果 -> 系统痕迹 ->  网络配置 -> 网络连接 找到DHCPIP地址一栏有D选项的IP地址

D.

192.168.30.3

28、找到Eric发的邮件,根据提升打开附件的网页截图,找出暗网的url

B.

http://gunsjmzh2btr7lpy.onion

29、继续在收件箱中查找Eric与Gary的通信内容,在一封标题为“发票”的邮件中找到了疑似信息。

C.

$1000

“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)_第11张图片

30、

B.

VeraCrypt

“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)_第12张图片

31、在收件箱中查找Eric与Gary的通信内容,在一Re:学习制作网站的邮件中找到了疑似信息。可以导出这份邮件的三份图片附件

A.

c9fbfaf3c45492c40feb83a83217f146

“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)_第13张图片

32、做法同上

E.

4c57a45b8da5ea01e5eb7d875f94a7b8

“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)_第14张图片

34

B.

http://gunsjmzh2btr7lpy.onion

35、下载这种图片一般都是用浏览器下载,所以在取证结果 -> 上网记录 -> 下载记录 里找线索

B.

2

36、一个邮件包含三题答案

B.

枪的结构图

37、

B.

http://mantech.mooo.com

38、

D.

TCP 8000

“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)_第15张图片

39、把地址http://mantech.mooo.com:8000拉进FMP实时搜索,在“上网记录”一栏找到FireFox浏览器的最新访问信息。

C.

Mozilla Firefox

“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)_第16张图片

40、取证结果 -> 上网记录 -> FireFox -> 历史记录,以时间为关键字正序排序。得出嫌疑人第一次访问该私有网盘网址的准确时间。

B.

2017-10-30 12:42:09

41、取证结果 -> 上网记录 -> FireFox -> 下载记录,发现有三张图片被下载到了E:\2017-10-30,与题目吻合

B.

Firefox

42、将关键字“invoice.zip”实时搜索,找到对应的文件,查看文件创建时间,得出答案。

E.

2017-10-31 12:18:54

43、将关键字“invoice.exe”实时搜索。题目要求我们得到的是文件最后存取日期,考虑到.exe文件一般不会被写,所以这个日期应该是最后的访问时间,在文件摘要中可以得到这一信息。

A.

2017-10-31 12:26:27

44、

A.

pdf

45、为tmp目录下invoice.exe的访问时间。

B.

2017-10-31 12:50:34

46、

D.

(b), (c), (e) & (f)

47、将关键字“invoice.exe”实时搜索,然后在 用户痕迹 -> 最近程序访问记录 里面发现该程序被运行了五次。

E.

5

48、导出invoice.zip之后,发现里面有pyc文件

D.

Python

“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)_第17张图片

49、该题逆向动态调试可得

A.

KERNEL32.DLL

50、见43题

B.

2017-10-31 12:50:34

51、tmp为打开时生产的临时文件

B.

后者是前者的复本

52、选项的网址拉进FMP实时搜索,发现C选项对应的网址是嫌疑人用火狐浏览器访问过的。

C.

http://223.17.250.208:6060/C&C/

53、在系统桌面上找找,结果发现一张screen.png,得到三题答案。

B.

$10,000

54、

D.

1KcjhpknwGWh5QYgPx6hYGuzbZpewgBszh

55、

D.

\Users\Gary\Desktop\

“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)_第18张图片

你可能感兴趣的:(电子取证,安全,windows,系统安全,数据分析,电子取证)