2018年美亞杯個人賽

  • 2021 年 11 月 11 日
  • 筆記

「美亞杯」第四屆中國電子數據取證競賽-資格賽

單項選擇

1. [單選題] 1.Victor的筆記型電腦電腦己成功取證並製作成法證映像檔 (Forensic Image),下列哪個是其MD5哈希值? (2分)

A.FC20782C21751AB76B2A93F3A17922D0

B.882114D62E713DEA34C270CF2F1C69D2

C.A0BB016160CFB3A0BB0161661670CFB3

D.917ED59083C8B35C54D3FCBFE4C4BB0B

E.FC20782C21751BA76B2A93F3A17922D0

2. [單選題] 2.根據法證映像檔 (Forensic Image),確定原筆記型電腦內有多少個硬碟分區? (2分)

A.1

B.2

C.3

D.4

E.5

 

 

 

 3. [單選題] 3.你能找到硬碟作業系統分區內的開始邏輯區塊地址(LBA)? (答案格式: 扇區, Sector) (2分)

A.0

B.2408

C.1048576

D.62916608

E.32213303296

 

 

 

 4. [單選題] 4.你能找到硬碟作業系統分區的物理大少嗎 (位元組byte)? (2分)

A.62709760

B.62910464

C.104857600

D.32107397120

E.32210157568

系統分區占扇區62910464,每扇區512byte,因此:

 

 

 

 

 5. [單選題] 5.作業系統分區的文件系統是哪種? (2分)

A.FAT32

B.EXFAT

C.NTFS

D.EXT3

E.HFS+

同上

 6. [單選題] 6.作業系統分區,每個簇(Cluster)包含幾個扇區(sectors)? (2分)

A.2

B.4

C.6

D.8

E.16

常識題

 7. [單選題] 7.在作業系統分區內,$MFT的物理起始扇區位置(Starting physical sector)是什麼? (2分)

A.62,919,936

B.67,086,648

C.68,942,784

D.69,208,064

E.79,865,960

 

 

 8. [單選題] 8.請找出系統文件「SOFTWARE",請問作業系統的安裝日期是?

(答案格式 -「世界協調時間":YYYY-MM-DD HH:MM UTC)

(2分)

A.2018-10-25 08:08 UTC

B.2018-10-25 08:09 UTC

C.2018-10-25 08:10 UTC

D.2018-10-25 08:11 UTC

E.2018-10-25 08:12 UTC

 

 

9. [單選題] 9.用戶「victor"的唯一標識符(SID)是什麼?(答案格式:RID) (2分)

A.1001

B.1002

C.1003

D.1004

E.1005

 

 

 

10. [單選題] 10.用戶「Lily"的唯一標識符(SID)是什麼?(答案格式:RID) (2分)

A.1001

B.1002

C.1003

D.1004

E.1005

 

 

 11. [單選題] 11.Victor上一次更改系統登入密碼是?

(答案格式 -「本地時間":YYYY-MM-DD HH:MM +8) (2分)

A.2018-11-01 16:08 +8

B.2018-11:01 14:15 +8

C.2018-10-26 17:00 +8

D.2018-10-25 08:08 +8

E.2018-10-25 16:08 +8

 

 

 12. [單選題] 12.Lily上一次更改系統登入密碼是?

(答案格式 -「本地時間":YYYY-MM-DD HH:MM +8) (2分)

A.2018-11-01 03:02:01 +8

B.2018-11:02 11:13:33 +8

C.2018-10-26 17:00:45 +8

D.2018-10-30 12:30:40 +8

E.2018-10-27 12:08:37 +8

 

 

 13. [單選題] 13.Victor 總共登錄系統多少次? (2分)

A.3

B.16

C.33

D.36

E.45

14. [單選題] 14.以下哪個帳號已經被禁用? (2分)

A.Administrator

B.victor

C.Lily

D.simon

E.以上皆不是

 

 

15. [單選題] 15.以下哪個帳系統許可權最低? (2分)

A.Administrator

B.victor

C.Lily

D.simon

E.以上許可權一樣

 

 

16. [單選題] 16.以下哪個帳號曾經遠端登錄系統? (2分)

A.Administrator

B.Victor

C.Lily

D.simon

E.遠端登入已被禁止

 

 

 17. [單選題] 17.硬碟作業系統的版本? (2分)

A.Windows 7 Enterprise (32 位)

B.Windows 7 Enterprise (64 位)

C.Windows 7 Professional (32 位)

D.Windows 7 Professional (64 位)

E.Windows 7 Ultimate (64 位)

 

 

 18. [單選題] 18.作業系統的最新服務包(Service Pack)版本號是什麼? (2分)

AService Pack 1

B.Service Pack 2

C.Service Pack 3

D.Service Pack 4

E.Service Pack 5

見上圖

19. [單選題] 19.下列哪個是victor的默認印表機? (2分)

A.

HP OfficeJet 250 Mobile Series

B.

CutePDF Writer

C.

Microsoft XPS Document Writer

D.

PDF Complete

E.

AL-M2330

 

 

 

20. [單選題] 20.在2018-10-31 08:29:32 +8時間, 帳號simon曾經使用以下哪個文件? (2分)

A.Microsoft 商店.url

B.ug.jpeg

C.Reddy Resume.doc

D.grocerylistsDOTorg_Spreadsheet_v1_1.xls

E.InvoiceTemplate.docx

 

 

 並不很準確,但只有這個

21. [單選題] 21.接上題,開啟上述文件的程式是? (2分)

A.Internet Explorer

B.Firefox

C.畫圖

D.WPS 表格

E.WPS 文字

默認

22. [單選題] 22.以下哪個是victor的默認網頁瀏覽器? (2分)

A.Internet Explorer

B.Google Chrome

C.360瀏覽器

D.Firefox

E.迅雷瀏覽器

 

 

 引誘法

 

 

火狐跳了出來 

23. [單選題] 23.victor的回收站裡面有一張地圖,以下哪個是這張地圖原來的文件名? (2分)

A.捕獲.PNG

B.抓取.PNG

C.Screenshot.PNG

D.Map.bmp

E.Map.jpg

 

 

 24. [單選題] 24.接上題,上述地圖原來的儲存路徑是? (2分)

A.C:\Users\victor\Pictures

B.C:\Users\victor\Documents

C.C:\Users\victor\Desktop

D.C:\Users\victor\Downloads

E.C:\

還原文件,在桌面又遇到了它~

 

 

 

 將文件還原,在桌面又遇到了它~

25. [單選題] 25.找出一個名為”request for quotation.lnk”的檔案,並指出該LNK文件的目標路徑? (2分)

A.C:\Users\victor\Pictures

B.C:\Users\victor\Documents

C.C:\Users\victor\Desktop

D.C:\Users\victor\Downloads

E.C:\ 

 

 

 

 

 

 26. [單選題] 26.接上題,上述文件上一次開啟的時間是?

(答案格式 -「本地時間":YYYY-MM-DD HH:MM:SS +8) (2分)

A.2018-10-29 15:11:43 +8

B.2018-10-29 19:24:16 +8

C.2018-10-29 15:11:42 +8

D.2018-11-01 14:51:25 +8

E.2018-10-29 07:11:42 +8

 

 

 可以明確的,2018/11/1 14:51是已知最晚打開時間,同時這個也是選項內最晚時間,因此選D

27. [單選題] 27.接上題,”request for quotation.lnk”的元數據(metadata)記錄了以下哪個網卡的物理地址(mac address)? (2分)

A.00:0C:29:70:F4:47

B.00:50:56:C0:00:13

C.47:F4:70:29:0C:00

D.E4:A7:A0:CB:66:C7

E.00:0C:29:70:F4:47

 

 

 28. [單選題] 28.系統帳號victor使用以下哪個電子郵件發送/接收的程式? (2分)

A.Outlook express

B.Lotus Note

C.Thunderbird

D.Roundcube

E.沒有安裝以上軟體

 

 

 29. [單選題] 29.系統經哪個IP地址,登錄互聯網? (2分)

A.10.0.4.1

B.10.0.4.128

C.192.168.72.2

D.192.168.72.128

E.192.168.72.233

 

 

 30. [單選題] 30.在該作業系統中,曾經連接數個USB移動儲存裝置 (U盤),下列那個是該系統連接過的USB移動儲存裝置 ? (2分)

A.Verbatim USB Device

B.USB Mass storage USB Device

C.WD 2500BMV External USB Device

D.SanDisk Cruzer Fit USB Device

E.Seagate 250 External USB Device

 

 

31. [單選題] 31.在作業系統中,上述U盤曾被指派以下哪個磁碟分區代號(Drive Letter) ? (2分)

A.D:

B.E:

C.F:

D.G:

E.Z:

32. [單選題] 32.該作業系統中,下列哪個是最後的關機時間?

(答案格式 -「世界協調時間":YYYY-MM-DD HH:MM:SS UTC) (2分)

A.2018-11-02 08:59:38 UTC

B.2018-11-02 10:22:40 UTC

C.2018-11-02 10:23:03 UTC

D.2018-11-02 10:47:28 UTC

E.2018-11-02 10:47:51 UTC

 

 

33. [單選題] 33.該作業系統中,下列哪個是電腦的主機名? (2分)

A.VICTOR-COMPUTER

B.WORKGROUP

C.SIMON-HOME

D.VICTOR-HOME

E.LILY-HOME

 

 

 34. [單選題] 34.接上題,設定為上述電腦主機名前是什麼名稱? (2分)

A.42P323K467-22

B.37L4247F27-25

C.WIN-6S2GC51RGL9

D.USER-PC

E.MY-PC

 

 

 藏在系統時間更改中

35. [單選題] 35.接上題,上述電腦主機名設定時間是?

(答案格式 -「本地時間":YYYY-MM-DD HH:MM:SS +8) (2分)

A.2018-10-24 11:07:22 +8

B.2018-10-28 12:22:59 +8

C.2018-10-27 13:45:18 +8

D.2018-10-25 16:04:19 +8

E.2018-10-25 16:07:38 +8

 

 

 在system日誌中,事件ID是6011

36. [單選題] 36.在該作業系統中,下列哪個是用戶victor日常使用的電郵帳號? (2分)

[email protected]

[email protected]

[email protected]

[email protected]

E.以上皆不是

 

 

 

37. [單選題] 37.victor 上一次更改上述電郵帳號密碼是什麼時候?

(答案格式 -「本地時間":YYYY-MM-DD) (2分)

A.2018-10-29

B.2018-10-30

C.2018-10-31

D.2018-11-01

E.2018-11-02

 

 

 38. [單選題] 38.victor什麼時候收到勒索電郵?

(答案格式 -「本地時間":YYYY-MM-DD HH:MM +8) (2分)

A.2018-11-02 09:09 +8

B.2018-11-02 09:10 +8

C.2018-11-02 10:09 +8

D.2018-11-02 17:09 +8

E.2018-11-02 17:10 +8

 

 39. [單選題] 39.以下哪個是發出勒索郵件的的IP地址? (2分)

A.10.152.64.57

B.10.152.64.217

C.220.246.55.13

D.74.208.4.220

E.10.76.45.13

 

 40. [單選題] 40.勒索郵件的附件解壓後有一個病毒文件,這個文件的MD5哈希值是? (2分)

A.72596F71248531853F37D4BD15D088C4

B.15B64B15CC5A5442196471690D4A088B

C.67A1487E296328C9E802D50741D8DB9C

D.72596F71248DH3S92LS7D4BD15D088C4

E.5BB71EF8E95A5249EF4C2A8CFF9A1E1C

 

 

41. [單選題] 41.上述的病毒文件什麼時間被系統執行?

(答案格式 -「本地時間":YYYY-MM-DD HH:MM +8) (2分)

A.2018-11-02 14:15 +8

B.2018-11-02 17:09 +8

C.2018-11-02 17:13 +8

D.2018-11-02 17:20 +8

E.2018-11-02 17:23 +8

 

 在規定時間內有且只有這個奇特文件在運行,且與報毒文件同為.jar包

42. [單選題] 42.這個病毒是否會在重新開機後自動運行?如會,它是通過下列哪個程式執行? (2分)

A.Thunder.exe

B.QyKernel.exe

C.QyClient.exe

D.javaw.exe

E.病毒不會自動執行

重啟後掃描

 

 這玩意兒又來了

43. [單選題] 43.病毒文件被執行後有以下哪個文件被生成? (2分)

A.E8S377N3N8UOAMS82PQJ.temp

B.tbc_stat_cache.dat

C.JNativeHook_4940080920928265976.dll

D.83aa4cc77f591dfc2374580bbd95f6ba.tmp

E.downloads.json

 

 猜測為該文件,因時間相近

理一下病毒思路:.pdf.jar——>javaw.exe——>asdasd/asda.jar——>JNaticeHook_4940080920928265976.dll

44. [單選題] 44.接上題,上述文件有什麼功能? (2分)

A.獲取鏡頭許可權

B.追蹤鍵盤記錄

C.抓取瀏覽器密碼

D.抓取系統登入密碼

E.存取系統分區

 

 通過360殺毒,得知該你木馬的具體名稱進行搜索

 

 

45. [單選題] 45.以下哪個是系統安裝的第三方輸入法軟體? (2分)

A.sogou pinyin

B.sogou wubi

C.Baidu Pinyin

D.QQ Pingyin

E.以上皆不是

 

 

46. [單選題] 46.作業系統是跟哪一個時間伺服器自動同步? (2分)

A.time.nist.gov

B.time-a.nist.gov

C.time.windows.com

D.time-b.nist.gov

E.time-nw.nist.gov

 

 

47. [單選題] 47. 法證人員於2018-11-02 下午6時25分到場,之後對系統作以下哪項取證? (2分)

A.抓取熒幕畫面

B.備份使用者資料

C.備份瀏覽記錄

D.抓取網路數據包

E.製作記憶體鏡像檔

 

48. [單選題] 48. 法證人員到場後,以下哪個軟體曾經在系統里運行過? (2分)

A.wireshark.exe

B.Magnet RAM capture.exe

C.Lightscreen.exe

D.fastdump.exe

E.以上皆不是

 

 

49. [單選題] 49.接上題,所抓取的資料被儲存為以下哪個文件? (2分)

A.victor_PC_networktraffic.pcapng

B.Lily_PC.networktraffice.pcapng

C.PC_ screenshot.PNG

D.victor_PC_memdump.dmp

E.Lily_PC_memdump.dmp

推測:1提取記憶體,應為dmp文件

2是victor的電腦

50. [單選題] 50.接上題,上述檔案儲存到以下哪個分區? (2分)

A.D:

B.E:

C.F:

D.G:

E.H:

F明顯為可移動磁碟

VirMach 便宜 VPS

QNews

QNews