“美亚杯”第三届中国电子数据取证大赛答案解析(个人赛)
试题
| 1 |
Gary的笔记本电脑已成功取证并制作成镜像 (Forensic Image),下列哪个是其MD5哈希值。 |
|
| A. |
0CFB3A0BB016165F1BDEB87EE9F710C9 |
|
| B. |
5F1BDEB87EE9F710C90CFB3A0BB01616 |
|
| C. |
A0BB016160CFB3A0BB0161661670CFB3 |
|
| D. |
16160CFB3A0BB016166A0BB016166167 |
|
| E. |
FB3A0BB016165 B016166 A0DF7FJE2EJ0 |
| 2 |
根据此镜像 (Forensic Image),里面有多少个硬盘分区? |
|
| A. |
1 |
|
| B. |
2 |
|
| C. |
3 |
|
| D. |
4 |
|
| E. |
5 |
| 3 |
你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)? |
|
| A. |
0 |
|
| B. |
512 |
|
| C. |
2,048 |
|
| D. |
206848 |
|
| E. |
102,402,047 |
| 4 |
你能找到硬盘操作系统分区的大小吗 (字节byte)? |
|
| A. |
48.7 |
|
| B. |
102,195,200 |
|
| C. |
140,232,703 |
|
| D. |
19,369,295,872 |
|
| E. |
52,323,942,400 |
| 5 |
在包含操作系统的分区内,$MFT的物理起始偏移位置是什么? |
|
| A. |
3328 |
|
| B. |
4170040 |
|
| C. |
6026176 |
|
| D. |
6291456 |
|
| E. |
16949352 |
| 6 |
请找出系统文件“SOFTWARE",请问操作系统的安装日期是? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC) |
|
| A. |
2017-09-14 02:10 UTC |
|
| B. |
2017-09-14 02:11 UTC |
|
| C. |
2017-09-14 02:12 UTC |
|
| D. |
2017-09-14 02:13 UTC |
|
| E. |
2017-09-14 02:14 UTC |
| 7 |
用户“Gary"的SID是什么? |
|
| A. |
1000 |
|
| B. |
1001 |
|
| C. |
1002 |
|
| D. |
1005 |
|
| E. |
1007 |
| 8 |
用户“彼得"的SID是什么? |
|
| A. |
1000 |
|
| B. |
1001 |
|
| C. |
1002 |
|
| D. |
1005 |
|
| E. |
1007 |
| 9 |
硬盘的操作系统是什么? |
|
| A. |
Windows 7 |
|
| B. |
Windows 8 |
|
| C. |
Windows 10 |
|
| D. |
Linux Red Hat 7.1 |
|
| E. |
MAC OS X |
| 10 |
哪个是Windows的默认浏览器? |
|
| A. |
Microsoft Internet Explorer |
|
| B. |
Google Chrome |
|
| C. |
Mozilla Firefox |
|
| D. |
Opera |
|
| E. |
QQ 浏览器 |
| 11 |
用户 “Gary"曾经浏览过一些非法博彩网站,下列哪项URL符合? |
|
| a. |
www.10086.com |
|
| b. |
www.188bet.com |
|
| c. |
www.hv5858.com |
|
| d. |
www.12377.cn |
|
| e. |
www.88.bettingwell.com |
|
| f. |
www.aaakk.org |
|
| A. |
只有(a) & (b) |
|
| B. |
(a), (b), (d) & (f) |
|
| C. |
(b), (c), (d) & (f) |
|
| D. |
(b), (c), (e) & (f) |
|
| E. |
以上皆是 |
| 12 |
用户Gary曾经登入上述非法博彩网站,下列哪个是其登入名称? |
|
| A. |
ggchey68 |
|
| B. |
gany-cher88 |
|
| C. |
galy_chen88 |
|
| D. |
garychen1688 |
|
| E. |
garychen88 |
| 13 |
在所有用户中,用于电子邮件发送/接收的程序名称是什么? |
|
| A. |
新浪邮箱 |
|
| B. |
网易163 |
|
| C. |
阿里邮箱 |
|
| D. |
Foxmail |
|
| E. |
Mozilla Mail – ThunderBird |
| 14 |
在该Windows系统中,曾经连接数个USB移动储存装置 (U盘),下列那个不是该系统连接过的USB移动储存装置 ? |
|
| A. |
WD My Passport 0827 USB Device |
|
| B. |
StoreJet Transcend USB Device |
|
| C. |
Samsung Portable SSD USB Device |
|
| D. |
StoreJet TS256GESD400K USB Device |
|
| E. |
General UDisk USB Device |
| 15 |
在该Windows系统中,下列哪个USB移动储存装置 (U盘)曾被指派为‘Z’磁盘分区代号(Drive Letter) ? |
|
| A. |
WD My Passport 0827 USB Device |
|
| B. |
StoreJet Transcend USB Device |
|
| C. |
Samsung Portable SSD USB Device |
|
| D. |
StoreJet TS256GESD400K USB Device |
|
| E. |
General UDisk USB Device |
| 16 |
该Windows系统中,下列哪个是最后的关机时间? |
|
| A. |
2017-10-31 4:52:54 UTC |
|
| B. |
2017-10-31 4:53:54 UTC |
|
| C. |
2017-10-31 4:54:54 UTC |
|
| D. |
2017-10-31 4:55:54 UTC |
|
| E. |
2017-10-31 4:56:54 UTC |
| 17 |
该Windows系统中,下列哪个是电脑名称? |
|
| A. |
GARYPC |
|
| B. |
GARY-PC |
|
| C. |
GARY_PC |
|
| D. |
GARY |
|
| E. |
GARY-NB |
| 18 |
在该Windows系统中,下列哪个是用户Gary日常使用的邮箱帐号? |
|
| A. |
||
| B. |
||
| C. |
||
| D. |
||
| E. |
| 19 |
在该Windows系统中,用户Gary曾经收过一封来自邮箱帐号 [email protected] 的邮件,内容提及有关制作钓鱼网站及邮件帐号[email protected],下列哪个是此封邮件的发送日期和时间? |
|
| A. |
2017-09-25 17:07:15 |
|
| B. |
2017-10-17 14:35:45 |
|
| C. |
2017-10-17 18:24:02 |
|
| D. |
2017-10-26 19:17:08 |
|
| E. |
2017-10-26 19:24:57 |
| 20 |
在该Windows系统中,用户Gary还曾经收过两封来自邮箱帐号 [email protected]的邮件,标题为“学习制作网站”,下列哪个是第一封邮件的发送日期和时间? |
|
| A. |
2017-09-25 17:07:15 |
|
| B. |
2017-10-17 14:35:45 |
|
| C. |
2017-10-17 18:24:02 |
|
| D. |
2017-10-18 18:30:45 |
|
| E. |
2017-10-18 19:38:05 |
| 21 |
在该Windows系统中,用户Gary还曾经收过两封来自邮箱帐号 [email protected]邮件,标题为“学习制作网站”,下列哪个是第二封电邮的发送日期和时间? |
|
| A. |
2017-09-25 17:07:15 |
|
| B. |
2017-10-17 14:35:45 |
|
| C. |
2017-10-17 18:24:02 |
|
| D. |
2017-10-18 18:30:45 |
|
| E. |
2017-10-18 19:38:05 |
| 22 |
用户Gary还曾经收过一封来自邮箱帐号 [email protected] 的邮件,附加了两张与咖啡豆有关的相片,下列哪个是此封邮件的发送日期和时间? |
|
| A. |
2017-09-25 17:07:15 |
|
| B. |
2017-10-17 14:35:45 |
|
| C. |
2017-10-17 18:24:02 |
|
| D. |
2017-10-26 19:17:08 |
|
| E. |
2017-10-26 19:24:57 |
| 23 |
在该Windows系统中,用户Gary还曾经收到一封来自邮箱帐号 [email protected] 的邮件,附加有三张与Apple iCloud相关的相片,下列哪个为该封邮件的发送日期和时间? |
|
| A. |
449cebf0eb96499df047fe0bff8e1627 |
|
| B. |
17f9c6bcca44d128f7ed6769a6920278 |
|
| C. |
4bc48ce355acd4732f33a79e29728e96 |
|
| D. |
4bc48ce355acd4732f33a79e29728e96 |
|
| E. |
e3e545c80a7273b7b0d7c73dacdd7227 |
| 24 |
在该Windows系统中,用户Gary还曾经收到一封来自邮箱帐号 [email protected] 的邮件,附加有三张与Apple iCloud相关的相片,下列哪个为该封邮件的发送日期和时间? |
|
| A. |
2017-09-25 17:07:15 |
|
| B. |
2017-10-17 14:35:45 |
|
| C. |
2017-10-17 18:24:02 |
|
| D. |
2017-10-18 18:30:45 |
|
| E. |
2017-10-18 19:38:05 |
| 25 |
Gary经常使用笔记本电脑浏览互联网,他的笔记本电脑上曾经连接过多少WIFI热点? |
|
| A. |
1 |
|
| B. |
2 |
|
| C. |
3 |
|
| D. |
4 |
|
| E. |
5 |
| 26 |
上述电脑曾经连接过星巴克WIFI热点,下列哪项是其全局唯一识别元(Globally Unique Identifier, GUID)? |
|
| A. |
{8039D237-A346-4BA1-9B78-5752580ED7F0} |
|
| B. |
{39489FA0-DE35-4989-8730-E2E2ED15E85A} |
|
| C. |
{558B94DF-8D68-4779-AA25-65FBDAB4C2B9} |
|
| D. |
{4EFCDA7E-CE51-4EC2-8980-8629647C9968} |
|
| E. |
{AF0778E8-6C4F-41C6-84B2-CB14490CF29E} |
| 27 |
有关Gary的笔记本电脑,下列哪项是其最后分派得到的IP地址? |
|
| A. |
192.168.0.1 |
|
| B. |
192.168.10.4 |
|
| C. |
192.168.20.6 |
|
| D. |
192.168.30.3 |
|
| E. |
192.168.40.5 |
| 28 |
Eric曾发邮件给Gary,内容是关于如何在暗网(Dark Web)中浏览枪械的信息,以下哪个URL是由Eric提供的? |
|
| A. |
http://hhnovpxmqrw5xaqg.onion |
|
| B. |
http://gunsjmzh2btr7lpy.onion |
|
| C. |
http://gunsdtk58tolcrre.onion |
|
| D. |
http://armoryohajjhou6m.onion |
|
| E. |
http://armory45jijdf7d.onion |
| 29 |
Eric 售卖iCloud 网站给Gary 的价钱是多少? |
|
| A. |
$500 |
|
| B. |
$800 |
|
| C. |
$1000 |
|
| D. |
$1400 |
|
| E. |
$1500 |
| 30 |
Gary 经常将非法文件存储到该笔记本电脑的加密分区中,下列哪一个为该加密软件? |
|
| A. |
TrueCrypt |
|
| B. |
VeraCrypt |
|
| C. |
Bitlocker |
|
| D. |
LUKS |
|
| E. |
PGP WDE |
| 31 |
在加密磁区内有三张与Apple iCloud有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)? |
|
| A. |
c9fbfaf3c45492c40feb83a83217f146 |
|
| B. |
14903a7bd9d709b653f9afe8e3e51cdd |
|
| C. |
7cb0f29812317db645edbcd6cf46e1ba |
|
| D. |
5503d096bdf832460c8f51da62fbbb5d |
|
| E. |
9918465b62171ba2c0a95595db629bf3 |
| 32 |
在加密磁区内有三张与暗网(Dark Web)有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)? |
|
| A. |
2836d35fb45c591211d5b6865c4a82f5 |
|
| B. |
d2b14799050b6c4ad6b07cd1227b91a5 |
|
| C. |
9110c96baa70c00acd8fbdfe2dc7c397 |
|
| D. |
703899985d881e2d103eb4fd1306be2e |
|
| E. |
4c57a45b8da5ea01e5eb7d875f94a7b8 |
| 34 |
在上述加密磁区内,存有一个名为”2017-10-27”的文件夹,内有三张枪械的图片,该三张图片是来自哪个网站? |
|
| A. |
http://gunsdtk58tolcrre.onion |
|
| B. |
http://gunsjmzh2btr7lpy.onion |
|
| C. |
thegunstorelasvegas.com |
|
| D. |
cabelas.com |
|
| E. |
hyattgunstore.com |
| 35 |
Gary的笔记本电脑曾经下载过多少张有关恐怖组织的图片? |
|
| A. |
1 |
|
| B. |
2 |
|
| C. |
3 |
|
| D. |
4 |
|
| E. |
5 |
| 36 |
根据Gary与Eric邮件的内容,Eric曾经提供Gary一个私有云盘,下列哪项是该邮件提供的资料? |
|
| A. |
动物图 |
|
| B. |
枪的结构图 |
|
| C. |
博彩图 |
|
| D. |
博彩文件 |
|
| E. |
恐怖主义图 |
| 37 |
下列哪项是上述私有云盘的网址? |
|
| A. |
http://mantech.mooo.cn |
|
| B. |
http://mantech.mooo.com |
|
| C. |
http://mooo.com |
|
| D. |
http://mantech.com |
|
| E. |
http://23.54.45.113 |
| 38 |
下列哪项是上述私有云盘网址的连接端口? |
|
| A. |
TCP 80 |
|
| B. |
TCP 8080 |
|
| C. |
UDP 80 |
|
| D. |
TCP 8000 |
|
| E. |
TCP 443 |
| 39 |
下列哪项是Gary第一次浏览该私有云盘网址时,所使用的浏览器? |
|
| A. |
Microsoft Explorer |
|
| B. |
Google Chrome |
|
| C. |
Mozilla Firefox |
|
| D. |
Opera |
|
| E. |
QQ 浏览器 |
| 40 |
下列哪项是Gary第一次浏览该私有云盘网址的日期和时间? |
|
| A. |
2017-10-29 12:42:09 |
|
| B. |
2017-10-30 12:42:09 |
|
| C. |
2017-10-31 12:42:09 |
|
| D. |
2017-10-30 10:42:09 |
|
| E. |
2017-10-30 11:42:09 |
| 41 |
在上述加密磁区内,存有一个名为”2017-10-30”的文件夹,里面有三张与枪械结构有关的图片,该三张图片是从哪个方法/软件下载? |
|
| A. |
邮件 |
|
| B. |
Firefox |
|
| C. |
Chrome |
|
| D. |
USB thumb drive |
|
| E. |
ftp |
| 42 |
Gary的笔记本电脑,曾经下载过一个感染了电脑病毒的文件,名为invoice.zip。该病毒程序文件是什么时候下载? |
|
| A. |
2017-10-31 12:26:20 |
|
| B. |
2017-10-31 12:50:34 |
|
| C. |
2017-10-31 12:29:55 |
|
| D. |
2017-10-31 10:52:10 |
|
| E. |
2017-10-31 12:18:54 |
| 43 |
Gary的笔记本电脑,还存有一个感染了电脑病毒的程序文件,名为\User\Gary\Downloads\invoice\dist\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么? |
|
| A. |
2017-10-31 12:26:27 |
|
| B. |
2017-10-31 12:50:34 |
|
| C. |
2017-10-31 12:29:55 |
|
| D. |
2017-10-31 10:52:10 |
|
| E. |
2017-10-31 12:18:54 |
| 44 |
上述invoice.exe文件伪装成什么格式的软件? |
|
| A. |
|
|
| B. |
jpg |
|
| C. |
psd |
|
| D. |
Docx |
|
| E. |
Doc |
| 45 |
上述的\User\Gary\Downloads\invoice\dist\invoice.exe文件,最后执行日期/时间(Last Accessed Data/Time) 是什么? |
|
| A. |
2017-10-31 12:26:27 |
|
| B. |
2017-10-31 12:50:34 |
|
| C. |
2017-10-31 12:29:55 |
|
| D. |
2017-10-31 10:52:10 |
|
| E. |
2017-10-31 12:18:54 |
| 46 |
事实上,Gary的笔记本电脑被电脑病毒感染了,部份文件被加密,当中包括下列哪种文件类型? |
|
| a. |
exe |
|
| b. |
gif |
|
| c. |
jpg |
|
| d. |
psd |
|
| e. |
Docx |
|
| f. |
Doc |
|
| A. |
只有(a) & (b) |
|
| B. |
(a), (b), (d) & (f) |
|
| C. |
(b), (c), (d) & (f) |
|
| D. |
(b), (c), (e) & (f) |
|
| E. |
以上皆是 |
| 47 |
上述\User\Gary\Downloads\invoice\dist\invoice.exe文件共执行多少? |
|
| A. |
1 |
|
| B. |
2 |
|
| C. |
3 |
|
| D. |
4 |
|
| E. |
5 |
| 48 |
上述\User\Gary\Downloads\invoice\dist\invoice.exe文件是由什么程序编写? |
|
| A. |
LISP |
|
| B. |
C++ |
|
| C. |
Visual Basic |
|
| D. |
Python |
|
| E. |
Java |
| 49 |
上述\User\Gary\Downloads\invoice\dist\invoice.exe文件,执行时会呼叫下列哪个动态连结函式库(Dynamic Linked Library) |
|
| A. |
KERNEL32.DLL |
|
| B. |
USER32.DLL |
|
| C. |
SHELL32.DLL |
|
| D. |
NTDLL.DLL |
|
| E. |
SYSTEM32.DLL |
| 50 |
Gary的笔记本电脑,还存有另一感染了电脑病毒的程序文件,名为\tmp\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么? |
|
| A. |
2017-10-31 12:26:27 |
|
| B. |
2017-10-31 12:50:34 |
|
| C. |
2017-10-31 12:29:55 |
|
| D. |
2017-10-31 10:52:10 |
|
| E. |
2017-10-31 12:18:54 |
| 51 |
上述两个文件\User\Gary\Downloads\invoice\dist\invoice.exe和 \tmp\invoice.exe是什么关系? |
|
| A. |
前者是后者的复本 |
|
| B. |
后者是前者的复本 |
|
| C. |
两者MD5不相同 |
|
| D. |
两者元数据(Metadata)相同 |
|
| E. |
两者无关系 |
| 52 |
根据勒索讯息的显示,勒索网址是什么? |
|
| A. |
http://223.17.250.208:6000/C&C/ |
|
| B. |
http://223.17.250.208/C&C/ |
|
| C. |
http://223.17.250.208:6060/C&C/ |
|
| D. |
http://223.17.250.208:80/C&C/ |
|
| E. |
http://223.17.250.208:8080/C&C/ |
| 53 |
根据勒索讯息的显示,勒索金额是多少钱? |
|
| A. |
$1,000 |
|
| B. |
$10,000 |
|
| C. |
$20,000 |
|
| D. |
$50,000 |
|
| E. |
$100,000 |
| 54 |
根据勒索讯息的显示,下列哪个是与勒索案件有关的比特币钱包? |
|
| A. |
1KcjhpkowGWh5QYgPx5hYGuzbZpewgBszh |
|
| B. |
1KcjhpknwGWh5QYgPx5hYGuzbZpewgBszh |
|
| C. |
1KcjhpknwGWh5QYgPx5hYGuzbZpewgBzzh |
|
| D. |
1KcjhpknwGWh5QYgPx6hYGuzbZpewgBszh |
|
| E. |
1KcjhpknwGWh6QYgPx5hYGuzbZpewgBszh |
| 55 |
执法机关曾在现场对Gary的电脑进行电子法证检验,期间曾撷取与勒索软件相关的屏幕影像,并储存为png格式。下列哪项是其储存位置? |
|
| A. |
\Users\彼得\Downloads\ |
|
| B. |
\Users\彼得\Desktop\ |
|
| C. |
\Users\Gary\Downloads\ |
|
| D. |
\Users\Gary\Desktop\ |
|
| E. |
\Users\Gary\Documents |
Keys point 分高下
| 经法证工具分析后发现Gary的笔记本电脑有三个分区硬盘,所有敏感文件均储存在一个加密磁区,而其加密匙放在下列哪个位置? |
||
| A. |
\Windows\ |
|
| B. |
\Users\ |
|
| C. |
\Users\Gary\Desktop |
|
| D. |
\Users\Gary\Documents |
|
| E. |
\ |
|
答案解析
1、
| A. |
0CFB3A0BB016165F1BDEB87EE9F710C9 |
2、
| C. |
3 |
3、内存物理地址的单位是字节(Byte),而一个逻辑区块占用512字节,所以要将这个值除以512=206848
| D. |
206848 |
4、48.73*1073741824为52323439083.52
| E. |
52,323,942,400 |
5、应为6498304
| D. |
6291456 |
6、北京是东八区,领先UTC时间八个小时,所以减掉后得出答案
| B. |
2017-09-14 02:11 UTC |
7、
| A. |
1000 |
8、
| B. |
1001 |
9、
| A. |
Windows 7 |
10、
| A. |
Microsoft Internet Explorer |
11、首先排除正常的10086和12377网站,然后搜索每个网站
| D. |
(b), (c), (e) & (f) |
12、将每个选项搜索,得到garychen88
| E. |
garychen88 |
13、
| E. |
Mozilla Mail – ThunderBird |
14、
| C. |
Samsung Portable SSD USB Device |
15、
| E. |
General UDisk USB Device |
16、
| A. |
2017-10-31 4:52:54 UTC |
17、
| B. |
GARY-PC |
18、
| D. |
19、
| C. |
2017-10-17 18:24:02 |
20、
| D. |
2017-10-18 18:30:45 |
21、
| E. |
2017-10-18 19:38:05 |
22、
| D. |
2017-10-26 19:17:08 |
23、
| B. |
17f9c6bcca44d128f7ed6769a6920278 |
24
| E. |
2017-10-18 19:38:05 |
25、
| D. |
4 |
26、取证结果 -> 密码/密钥检索 -> 无线账号
| E. |
{AF0778E8-6C4F-41C6-84B2-CB14490CF29E} |
27、取证结果 -> 系统痕迹 -> 网络配置 -> 网络连接 找到DHCPIP地址一栏有D选项的IP地址
| D. |
192.168.30.3 |
28、找到Eric发的邮件,根据提升打开附件的网页截图,找出暗网的url
| B. |
http://gunsjmzh2btr7lpy.onion |
29、继续在收件箱中查找Eric与Gary的通信内容,在一封标题为“发票”的邮件中找到了疑似信息。
| C. |
$1000 |
30、
| B. |
VeraCrypt |
31、在收件箱中查找Eric与Gary的通信内容,在一Re:学习制作网站的邮件中找到了疑似信息。可以导出这份邮件的三份图片附件
| A. |
c9fbfaf3c45492c40feb83a83217f146 |
32、做法同上
| E. |
4c57a45b8da5ea01e5eb7d875f94a7b8 |
34
| B. |
http://gunsjmzh2btr7lpy.onion |
35、下载这种图片一般都是用浏览器下载,所以在取证结果 -> 上网记录 -> 下载记录 里找线索
| B. |
2 |
36、一个邮件包含三题答案
| B. |
枪的结构图 |
37、
| B. |
http://mantech.mooo.com |
38、
| D. |
TCP 8000 |
39、把地址http://mantech.mooo.com:8000拉进FMP实时搜索,在“上网记录”一栏找到FireFox浏览器的最新访问信息。
| C. |
Mozilla Firefox |
40、取证结果 -> 上网记录 -> FireFox -> 历史记录,以时间为关键字正序排序。得出嫌疑人第一次访问该私有网盘网址的准确时间。
| B. |
2017-10-30 12:42:09 |
41、取证结果 -> 上网记录 -> FireFox -> 下载记录,发现有三张图片被下载到了E:\2017-10-30,与题目吻合
| B. |
Firefox |
42、将关键字“invoice.zip”实时搜索,找到对应的文件,查看文件创建时间,得出答案。
| E. |
2017-10-31 12:18:54 |
43、将关键字“invoice.exe”实时搜索。题目要求我们得到的是文件最后存取日期,考虑到.exe文件一般不会被写,所以这个日期应该是最后的访问时间,在文件摘要中可以得到这一信息。
| A. |
2017-10-31 12:26:27 |
44、
| A. |
|
45、为tmp目录下invoice.exe的访问时间。
| B. |
2017-10-31 12:50:34 |
46、
| D. |
(b), (c), (e) & (f) |
47、将关键字“invoice.exe”实时搜索,然后在 用户痕迹 -> 最近程序访问记录 里面发现该程序被运行了五次。
| E. |
5 |
48、导出invoice.zip之后,发现里面有pyc文件
| D. |
Python |
49、该题逆向动态调试可得
| A. |
KERNEL32.DLL |
50、见43题
| B. |
2017-10-31 12:50:34 |
51、tmp为打开时生产的临时文件
| B. |
后者是前者的复本 |
52、选项的网址拉进FMP实时搜索,发现C选项对应的网址是嫌疑人用火狐浏览器访问过的。
| C. |
http://223.17.250.208:6060/C&C/ |
53、在系统桌面上找找,结果发现一张screen.png,得到三题答案。
| B. |
$10,000 |
54、
| D. |
1KcjhpknwGWh5QYgPx6hYGuzbZpewgBszh |
55、
| D. |
\Users\Gary\Desktop\ |
