17年第三届美亚杯电子取证个人赛WP（新手小白练习）

个人赛 案件背景：

Gary是一位经常用手提电脑的人，而且热爱足球运动，常常看足球网站。他于2007年9月开始想赚快钱，思想变得偏激，并关注一些违法的事。于是Gary就想着赌博，查阅军事资料，了解恐怖袭击的新闻报道。另外他开始上网寻找有关如何购买枪械、刀等武器的资料，还寻找如何制造假网站，但最后均无收获。

题目来源于美亚杯官网

新手小白才开始学，以下题解如有不对或有好的方法可以私信哈哈哈！！！！

Questions

这是1-15题

	1	Gary的笔记本电脑已成功取证并制作成镜像 (Forensic Image)，下列哪个是其MD5哈希值。
	A.	0CFB3A0BB016165F1BDEB87EE9F710C9
	B.	5F1BDEB87EE9F710C90CFB3A0BB01616
	C.	A0BB016160CFB3A0BB0161661670CFB3
	D.	16160CFB3A0BB016166A0BB016166167
	E.	FB3A0BB016165 B016166 A0DF7FJE2EJ0

	2	根据此镜像 (Forensic Image)，里面有多少个硬盘分区？
	A.	1
	B.	2
	C.	3
	D.	4
	E.	5

	3	你能找到硬盘操作系统分区内的开始逻辑区块地址（LBA）？
	A.	0
	B.	512
	C.	2,048
	D.	206,848
	E.	102,402,047

 选中 分区2_本地磁盘[D] -摘要-查看 物理位置

除以512（单位是字节（Byte），而一个逻辑区块占用512位）

	4	你能找到硬盘操作系统分区的大小吗 (字节byte)？
	A.	48.7
	B.	102,195,200
	C.	140,232,703
	D.	19,369,295,872
	E.	52,323,942,400

	5	在包含操作系统的分区内，$MFT的物理起始偏移位置是什么？
	A.	3328
	B.	4,170,040
	C.	6,026,176
	D.	6,498,304
	E.	16,949,352

48.73GB×2^20再换算成以字节为单位

	6	请找出系统文件“SOFTWARE＂，请问操作系统的安装日期是？  （答案格式 －“世界协调时间＂：YYYY-MM-DD HH:MM UTC）
	A.	2017-09-04 10:10 UTC
	B.	2017-09-04 10:11 UTC
	C.	2017-09-04 10:12 UTC
	D.	2017-09-04 10:13 UTC
	E.	2017-09-04 02:14 UTC

	7	用户“Gary＂的SID是什么？
	A.	1000
	B.	1001
	C.	1002
	D.	1005
	E.	1007

	8	用户“彼得＂的SID是什么？
	A.	1000
	B.	1001
	C.	1002
	D.	1005
	E.	1007

	9	硬盘的操作系统是什么？
	A.	Windows 7
	B.	Windows 8
	C.	Windows 10
	D.	Linux Red Hat 7.1
	E.	MAC OS X

 

	10	哪个是Windows的默认浏览器？
	A.	Microsoft Internet Explorer
	B.	Google Chrome
	C.	Mozilla Firefox
	D.	Opera
	E.	QQ 浏览器

仿真浏览器设置里面查看 

	11	用户 “Gary＂曾经浏览过一些非法博彩网站，下列哪项URL符合？
	a.	www1.10086.com
	b.	www.188bet.com
	c.	www.hv5858.com
	d.	www.12377.cn
	e.	www.88.bettingwell.com
	f.	www.aaakk.org
	A.	只有(a) & (b)
	B.	(a), (b), (d) & (f)
	C.	(b), (c), (d) & (f)
	D.	(b), (c), (e) & (f)
	E.	以上皆是

实时搜索

	12	用户Gary曾经登入上述非法博彩网站，下列哪个是其登入名称？
	A.	ggchey68
	B.	gany-cher88
	C.	galy_chen88
	D.	garychen1688
	E.	garychen88

	13	在所有用户中，用于电子邮件发送/接收的程序名称是什么？
	A.	新浪邮箱
	B.	网易163
	C.	阿里邮箱
	D.	Foxmail
	E.	Mozilla Mail – ThunderBird

 

	14	在该Windows系统中，曾经连接数个USB移动储存装置 (U盘)，下列那个不是该系统连接过的USB移动储存装置 ?
	A.	WD My Passport 0827 USB Device
	B.	StoreJet Transcend USB Device
	C.	Samsung Portable SSD USB Device
	D.	StoreJet TS256GESD400K USB Device
	E.	General UDisk USB Device

 

 

 

	15	在该Windows系统中，下列哪个USB移动储存装置 (U盘)曾被指派为‘Z’磁盘分区代号(Drive Letter) ?
	A.	WD My Passport 0827 USB Device
	B.	StoreJet Transcend USB Device
	C.	Samsung Portable SSD USB Device
	D.	StoreJet TS256GESD400K USB Device
	E.	General UDisk USB Device