某比武----WP
答题卡
| 姓名: | 单位: | ||||
|---|---|---|---|---|---|
| 1-5(3分) | 6-10(3分) | 11-15(3分) | 16-20(3分) | 21-25(4分) | 26-30(4分) |
| 得分 |
案情介绍
在一起电诈案件中,受害者称自己的银行卡被他人冒用,曾收到假冒公安的短信,因为自己在一个P2P网站中理财,假冒公安称该网站已被列入非法网站,要自己到公安备案网站填写自己的信息,并帮助自己追回本金,因此信以为真,在网站上填写了自己的信息和绑定的银行卡信息;办案机关推测嫌疑人可能是获取了P2P网站中的注册用户信息,从而进行定向诈骗,“Personal Computer.E01”为嫌疑人笔记本电脑镜像。
题目
1、计算“Personal Computer.E01”文件的sha256值()
A. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5
B. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6
C. e6e47e210bd56c7071ce73ab5523736120071d0f3da5335936d7beb25c3914cd
D. 1e646dec202c96b72f13cc3cf224148fc4e19d6faaaf76efffc31b1ca2cdd200
解题
方法一:使用Windows命令计算
1 | certutil -hashfile "E:\试题镜像\Personal Computer.E01" SHA256 |
方法二:使用工具hashcalc进行计算
方法三:使用美亚取证大师里的工具集里的哈希值计算工具
答案
“Personal Computer.E01”文件的sha256值为C. e6e47e210bd56c7071ce73ab5523736120071d0f3da5335936d7beb25c3914cd
2、请分析该检材的操作系统版本()
A. Windows 10 Education
B. Windows 10 Home
C. Windows 10 Pro
D. Windows 10 Enterprise
解题
答案
该检材的操作系统版本为A. Windows 10 Education
3、找出该系统用户最后一次登陆时间:()
A. 2019-07-14 10:50:02
B. 2019-07-14 10:10:02
C. 2019-07-14 10:40:02
D. 2019-07-14 10:30:02
解题
答案
该系统用户最后一次登陆时间:C. 2019-07-14 10:40:02
4、找出该系统最后一次正常关机时间:()
A. 2019-07-14 17:30:05
B. 2019-07-14 10:30:05
C. 2019-07-14 11:30:05
D. 2019-07-14 12:30:05
解题
答案
该系统最后一次正常关机时间:C. 2019-07-14 11:30:05(这里我不知道为啥这样)
5、请计算检材桌面上文本文件的sha256值:()
A. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5
B. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6
C. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c7
D. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c8
解题
使用仿真软件进行仿真
找到桌面的文件,使用Windows的命令行进行SHA256的计算
答案
计算检材桌面上文本文件的sha256值:A. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5
6、该系统于2019年7月13日安装的软件为:()
A. Eraser
B. Putty
C. Xftp
D. Xshell
解题
答案
该系统于2019年7月13日安装的软件为:A. Eraser
7、找出该嫌疑人于2019-07-13 17:52:19时,使用WinRAR工具访问了_文件:()
A. navicat11.zip
B. we.tar.gz
C. test2-master.zip
D. BitLocker.rar
解题
答案
该嫌疑人于2019-07-13 17:52:19时,使用WinRAR工具访问了_文件:D. BitLocker.rar
8、系统于2019-07-13 17:53:45时运行了_程序:()
A. regedit.exe
B. WinRAR.exe
C. Xshell.exe
D. Foxmail.exe
解题
答案
系统于2019-07-13 17:53:45时运行了程序:D. Foxmail.exe
9、文件test2-master.zip是什么时间下载到本机的:()
A. 2019-07-13 14:21:01
B. 2019-07-13 17:22:01
C. 2019-07-13 15:23:01
D. 2019-07-13 16:20:01
解题
答案
文件test2-master.zip是什么时间下载到本机的:D. 2019-07-13 16:20:01
10、文件test2-master.zip是使用什么工具下载到本地的:()
A. Chrome
B. Internet Explorer
C. edge
D. 迅雷
解题
答案
文件test2-master.zip是使用什么工具下载到本地的:A. Chrome
11、嫌疑人成功连接至192.168.184.128服务器的时间为:()
A. 2019-07-13 16:21:28
B. 2019-07-13 16:21:31
C. 2019-07-13 16:21:35
D. 2019-07-13 16:21:25
解题
答案
嫌疑人成功连接至192.168.184.128服务器的时间为:B. 2019-07-13 16:21:31
12、嫌疑人通过远程连接到128服务器,下载了什么文件到本机:()
A. web.tar.gz
B. we.tar.gz
C. home.tar.gz
D. wwwroot.tar.gz
解题
这题我是暴力搜索的,发现只有B可以检索到,后来我又在仿真的加密盘符里找到了这个文件
答案
嫌疑人通过远程连接到128服务器,下载了什么文件到本机:B. we.tar.gz
13、承接上一题,下载该文件用了多长时间:()
A. 10秒
B. 20秒
C. 15秒
D. 25秒
解题
答案
下载该文件用了多长时间:C. 15秒
14、该镜像“Personal Computer.E01”中存在几个手机备份:()
A. 4
B. 3
C. 2
D. 1
解题
答案
该镜像“Personal Computer.E01”中存在几个手机备份:D. 1
手机备份提取
使用取证大师定位软件位置,找到文件的路径
然后使用FTK进行导出(这里你要问为什么不用取证大师导出,因为我要用盘古石手机取证软件分析手机镜像,使用取证大师和盘古石计算机取证软件导出的文件都不行)
将导出的iTunes备份导入到盘古石手机取证软件里,但是发现备份被加密了,在仿真的桌面上我们发现一串字符,尝试输入,发现成功解密(15题有提示:备份密码请注意“Personal Computer.E01”桌面相关记录)。
打开案件
15、请分析并提取手机备份文件(备份密码请注意“Personal Computer.E01”桌面相关记录),嫌疑人所用的手机的IMEI号码:()
A. 352021062748965
B. 352021062748966
C. 352021062748967
D. 352021062748968
解题
答案
嫌疑人所用的手机的IMEI号码:C. 352021062748967
16、嫌疑人是通过何种方式首次联系到售卖恶意程序的卖家的:()
A. 微信
B. QQ
C. 短信
D. 邮件
解题
答案
嫌疑人是通过B.QQ首次联系到售卖恶意程序的卖家的
17、嫌疑人和卖家的资金来往是通过何种方式:()
A. 微信
B. QQ
C. 银行转账
D. 支付宝
解题
答案
嫌疑人和卖家的资金来往是通过A. 微信进行的。
18、嫌疑人在犯罪过程中所使用的QQ账号为:()
A. 1649840939
B. 1137588348
C. 364505251
D. 1722629449
解题
答案
嫌疑人在犯罪过程中所使用的QQ账号为:A. 1649840939
19、卖家所使用的微信账号ID为:()
A. refrain_C
B. flame_guan
C. chao636787
D. sword19880521
解题
答案
卖家所使用的微信账号ID:C. chao636787
20、嫌疑人电脑中存在Bitlocker容器(恢复秘钥通过其他方式获得:494208-639155-079684-230648-428923-176902-004312-663696),嫌疑人下载了几个恶意程序到本机“Personal Computer.E01”加密容器中:()
A. 1
B. 2
C. 3
D. 4
答案
疑人下载了几个恶意程序到本机“Personal Computer.E01”加密容器中:C. 3
21、嫌疑人是什么时间开始对受害者实施诈骗的:()
A. 2019-07-13 19:14:44
B. 2019-07-13 19:24:44
C. 2019-07-13 19:04:44
D. 2019-07-13 19:44:44
解题
这个不能截图,使用盘古石手机取证软件查看短信,第一个就是
答案
嫌疑人是什么时间开始对受害者实施诈骗的:C. 2019-07-13 19:04:44
22、请综合分析,嫌疑人入侵服务所使用的登陆方式为:()
A. SSH密码登陆
B. SSH密钥登陆
C. 连接后门程序
D. FTP登陆
解题
答案
请综合分析,嫌疑人入侵服务所使用的登陆方式为:B. SSH密钥登陆
23、通过手机微信记录分析,涉案邮件收件人为:()
A. 1649841939@qq.com
B. 1649840939@qq.com
C. 1649845939@qq.com
解题
答案
通过手机微信记录分析,涉案邮件收件人为:B. 1649840939@qq.com
24、压缩包test2-master.zip中的文件是什么?()
A.恶意软件
B.加密程序
C.密钥文件
D.下载软件
解题
答案
压缩包test2-master.zip中的文件是C.密钥文件
25、文件runit.txt从哪个域名下载的?(D)
A.https://pan.forensix.cn/lib/367d7f96-299f-4029-91a8-a31594b736cf/runit
B.https://pan.baidu.com/s/19uDE7H2RtEf7LLBgs5sDmg?errno=0&errmsg=Auth Login Sucess&&bduss=&ssnerror=0&traceid=
C.https://pan.forensix.cn/seafhttp/files/dec88b97-b2bc-414f-93a3-dcbbc15d615/runit
D.https://pan.forensix.cn/seafhttp/files/8fdf1982-e323-4efe-ae28-2bba21b5162c/runit
解题
在取证大师搜索runit.txt,发现这个文件是在IE浏览器里下载的
进入仿真,找到这个文件,复制链接
答案
文件runit.txt从哪个域名下载的:D.https://pan.forensix.cn/seafhttp/files/8fdf1982-e323-4efe-ae28-2bba21b5162c/runit
26、嫌疑人在什么时间登陆PC端网页微信?()
A. 2019-07-13 16:34:55
B. 2019-07-13 16:40:13
C. 2019-07-13 16:45:45
D. 2019-07-13 16:53:45
解题
答案
嫌疑人在什么时间登陆PC端网页微信:A. 2019-07-13 16:34:55
27、嫌疑人于2019-07-13 17:22:23下载了什么文件?()
A.网站目录压缩文件
B.数据库备份文件
C.网站日志文件
D.数据库日志文件
不会做
看的大佬的WP,他用的火眼我没有这个软件,取证大师看不到啊
28、硬盘C盘根目录中,文件pagefile.sys.vhd的作用是什么?()
A. pagefile页面交换文件
B. 虚拟机启动文件
C. 系统配置文件
D. 虚拟磁盘
解题
答案
硬盘C盘根目录中,文件pagefile.sys.vhd的作用是D. 虚拟磁盘
29、“Personal Computer.E01”中虚拟机的密码为()
A. admin888
B. honglian123
C. root
D. 123456
解题
在虚拟机文件夹下有一个网站用法.txt的文档,打开发现有虚拟账号和密码,尝试登录并且成功
答案
“Personal Computer.E01”中虚拟机的密码为:A. admin888
30、“Personal Computer.E01”中名为“2019bw”的虚拟机,该虚拟机操作系统内核版本是()
A. Ubuntu 16.04.3 LTS
B. KERNEL_VERSION 4.4.1-87
C. Ubuntu 16.04.4 LTS
D. KERNEL_VERSION 4.4.0-87
解题
进入虚拟机后,使用linux命令查看这个虚拟机的操作系统的内核
1 | uname -r |
答案
“Personal Computer.E01”中名为“2019bw”的虚拟机,该虚拟机操作系统内核版本是:D. KERNEL_VERSION 4.4.0-87
