2018第四届美亚杯中国电子数据取证大赛个人赛write up

“美亚杯”第四届中国电子数据取证竞赛-资格赛
本人TEL15543132658 同wechat，欢迎多多交流，wp有不足欢迎大家补充多多探讨！

本次比赛共1 个章节, 50 个小题, 比赛时长118 分钟, 总共100分

单项选择

1. Victor的笔记本电脑己成功取证并制作成法证映像档 (Forensic
Image)，下列哪个是其MD5哈希值? (2分)

A. FC20782C21751AB76B2A93F3A17922D0

B. 882114D62E713DEA34C270CF2F1C69D2

C. A0BB016160CFB3A0BB0161661670CFB3

D. 917ED59083C8B35C54D3FCBFE4C4BB0B

E. FC20782C21751BA76B2A93F3A17922D0

解析：取证大师直接分析得出

2. 根据法证映像档 (Forensic Image)，确定原笔记本内有多少个硬盘分区? (2分)

A. 1

B. 2

C. 3

D. 4

E. 5

解析：取证大师直接分析得出

3. 你能找到硬盘操作系统分区内的开始逻辑区块地址（LBA）? (答案格式: 扇区, Sector)
(2分)

A. 0

B. 2408

C. 1048576

D. 62916608

E. 32213303296

解析：winhex直接查看

4. 你能找到硬盘操作系统分区的物理大少吗 (字节byte)? (2分)

A. 62709760

B. 62910464

C. 104857600

D. 32107397120

E. 32210157568

解析：winhex直接查看

5. 操作系统分区的文件系统是哪种? (2分)

A. FAT32

B. EXFAT

C. NTFS

D. EXT3

E. HFS+

解析：取证大师直接分析得出

6. 操作系统分区，每个簇(Cluster)包含几个扇区(sectors)? (2分)

A. 2

B. 4

C. 6

D. 8

E. 16

解析：winhex直接查看

7. 在操作系统分区内，$MFT的物理起始扇区位置(Starting physical sector)是什么?
(2分)

A. 62,919,936

B. 67,086,648

C. 68,942,784

D. 69,208,064

E. 79,865,960

解析：winhex直接查看

8. 请找出系统文件“SOFTWARE＂，请问操作系统的安装日期是? （答案格式
－“世界协调时间＂：YYYY-MM-DD HH:MM UTC） (2分)

A. 2018-10-25 08:08 UTC

B. 2018-10-25 08:09 UTC

C. 2018-10-25 08:10 UTC

D. 2018-10-25 08:11 UTC

E. 2018-10-25 08:12 UTC

解析：取证大师直接分析得出

9. 用户“victor＂的唯一标识符(SID)是什么?（答案格式：RID） (2分)

A. 1001

B. 1002

C. 1003

D. 1004

E. 1005

解析：取证大师直接分析得出

10. 用户“Lily＂的唯一标识符(SID)是什么?（答案格式：RID） (2分)

A. 1001

B. 1002

C. 1003

D. 1004

E. 1005

解析：取证大师直接分析得出

11. Victor上一次更改系统登入密码是? （答案格式 －“本地时间＂：YYYY-MM-DD HH:MM
+8） (2分)

A. 2018-11-01 16:08 +8

B. 2018-11:01 14:15 +8

C. 2018-10-26 17:00 +8

D. 2018-10-25 08:08 +8

E. 2018-10-25 16:08 +8

解析：取证大师直接分析得出

12. Lily上一次更改系统登入密码是? （答案格式 －“本地时间＂：YYYY-MM-DD HH:MM
+8） (2分)

A. 2018-11-01 03:02:01 +8

B. 2018-11:02 11:13:33 +8

C. 2018-10-26 17:00:45 +8

D. 2018-10-30 12:30:40 +8

E. 2018-10-27 12:08:37 +8

解析：取证大师直接分析得出

13. Victor 总共登录系统多少次? (2分)

A. 3

B. 16

C. 33

D. 36

E. 45

解析：取证大师直接分析得出

14. 以下哪个帐号已经被禁用? (2分)

A. Administrator

B. victor

C. Lily

D. simon

E. 以上皆不是

解析：取证大师直接分析得出

15. 以下哪个帐系统权限最低? (2分)

A. Administrator

B. victor

C. Lily

D. simon

E. 以上权限一样

解析：取证大师直接分析得出

16. 以下哪个帐号曾经远端登录系统? (2分)

A. Administrator

B. victor

C. Lily

D. simon

E. 远端登入已被禁止

解析：

17. 硬盘操作系统的版本? (2分)

A. Windows 7 Enterprise (32 位)

B. Windows 7 Enterprise (64 位)

C. Windows 7 Professional (32 位)

D. Windows 7 Professional (64 位)

E. Windows 7 Ultimate (64 位)

解析：取证大师直接分析得出

18. 操作系统的最新服务包(Service Pack)版本号是什么? (2分)

A. Service Pack 1

B. Service Pack 2

C. Service Pack 3

D. Service Pack 4

E. Service Pack 5

解析：取证大师直接分析得出

19. 下列哪个是victor的默认打印机? (2分)

A. HP OfficeJet 250 Mobile Series

B. CutePDF Writer

C. Microsoft XPS Document Writer

D. PDF Complete

E. AL-M2330

解析：仿真系统中，在Victor用户下的控制面板中找到默认打印机

20. 在2018-10-31 08:29:32 +8时间, 账号simon曾经使用以下哪个文件? (2分)

A. Microsoft 商店.url

B. ug.jpeg

C. Reddy Resume.doc

D. grocerylistsDOTorg_Spreadsheet_v1_1.xls

E. InvoiceTemplate.docx

解析：对选项进行实时搜索得出。

21. 接上题，开启上述文件的程序是? (2分)

A. Internet Explorer

B. Firefox

C. 画图

D. WPS 表格

E. WPS 文字

解析：接上题图，取证大师直接分析得出

22. 以下哪个是victor的默认网页浏览器? (2分)

A. Internet Explorer

B. Google Chrome

C. 360浏览器

D. Firefox

E. 迅雷浏览器

解析：仿真系统Victor用户下，新建.html文件，可知默认浏览器。

23. victor的回收站里面有一张地图，以下哪个是这张地图原来的文件名? (2分)

A. 捕获.PNG

B. 抓取.PNG

C. Screenshot.PNG

D. Map.bmp

E. Map.jpg

解析：取证大师直接分析得出

24. 接上题，上述地图原来的储存路径是? (2分)

A. C:\Users\victor\Pictures

B. C:\Users\victor\Documents

C. C:\Users\victor\Desktop

D. C:\Users\victor\Downloads

E. C:\

解析：取证大师直接分析得出

25. 找出一个名为"request for quotation.lnk"的档案，并指出该LNK文件的目标路径?
(2分)

A. C:\Users\victor\Pictures

B. C:\Users\victor\Documents

C. C:\Users\victor\Desktop

D. C:\Users\victor\Downloads

E. C:\

解析：“C:\……\Desktop\request for quotation.docx”

26. 接上题，上述文件上一次开启的时间是? （答案格式 －“本地时间＂：YYYY-MM-DD
HH:MM:SS +8） (2分)

A. 2018-10-29 15:11:43 +8

B. 2018-10-29 19:24:16 +8

C. 2018-10-29 15:11:42‌ +8

D. 2018-11-01 14:51:25 +8

E. 2018-10-29 07:11:42 +8

解析：取证大师直接分析得出

27. 接上题，""的元数据(metadata)记录了以下哪个网卡的物理地址(mac address)? (2分)

A. 00:0C:29:70:F4:47

B. 00:50:56:C0:00:13

C. 47:F4:70:29:0C:00

D. E4:A7:A0:CB:66:C7

E. 00:0C:29:70:F4:47

解析：以“request for quotation.lnk”为关键词搜索，可得答案

28. 系统账号victor使用以下哪个电子邮件发送/接收的程序? (2分)

A. Outlook express

B. Lotus Note

C. Thunderbird

D. Roundcube

E. 没有安装以上软件

解析：取证大师直接分析得出

29. 系统经哪个IP地址，登录互联网？ (2分)

A. 10.0.4.1

B. 10.0.4.128

C. 192.168.72.2

D. 192.168.72.128

E. 192.168.72.233

解析：对选项进行搜索可得答案

30. 在该操作系统中，曾经连接数个USB移动储存装置
(U盘)，下列那个是该系统连接过的USB移动储存装置 ? (2分)

A. Verbatim USB Device

B. USB Mass storage USB Device

C. WD 2500BMV External USB Device

D. SanDisk Cruzer Fit USB Device

E. Seagate 250 External USB Device

解析：取证大师直接分析得出

31. 在操作系统中，上述U盘曾被指派以下哪个磁盘分区代号(Drive Letter) ? (2分)

A. D:

B. E:

C. F:

D. G:

E. Z:

解析：取证大师直接分析得出

32. 该操作系统中，下列哪个是最后的关机时间? （答案格式
－“世界协调时间＂：YYYY-MM-DD HH:MM:SS UTC） (2分)

A. 2018-11-02 08:59:38 UTC

B. 2018-11-02 10:22:40 UTC

C. 2018-11-02 10:23:03 UTC

D. 2018-11-02 10:47:28 UTC

E. 2018-11-02 10:47:51 UTC

解析：取证大师直接分析得出

33. 该操作系统中，下列哪个是计算机的主机名? (2分)

A. VICTOR-COMPUTER

B. WORKGROUP

C. SIMON-HOME

D. VICTOR-HOME

E. LILY-HOME

解析：取证大师直接分析得出

34. 接上题，设定为上述计算机主机名前是什么名称? (2分)

A. 42P323K467-22

B. 37L4247F27-25

C. WIN-6S2GC51RGL9

D. USER-PC

E. MY-PC

解析：第一步：查看系统日志，发现有主机名做更改的日志

第二步：跳转并打开相应文件，按照事件ID查找事件

第三步：查看事件详情。

35. 接上题，上述计算机主机名设定时间是? （答案格式 －“本地时间＂：YYYY-MM-DD
HH:MM:SS +8） (2分)

A. 2018-10-24 11:07:22 +8

B. 2018-10-28 12:22:59 +8

C. 2018-10-27 13:45:18 +8

D. 2018-10-25 16:04:19 +8

E. 2018-10-25 16:07:38 +8

解析：如上题图：记录时间项

36. 在该操作系统中，下列哪个是用户victor日常使用的电邮账号? (2分)

A. [email protected]

B. [email protected]

C. [email protected]

D. [email protected]

E. 以上皆不是

解析：取证大师直接分析得出

37. victor 上一次更改上述电邮账号密码是什么时候? （答案格式
－“本地时间＂：YYYY-MM-DD） (2分)

A. 2018-10-29

B. 2018-10-30

C. 2018-10-31

D. 2018-11-01

E. 2018-11-02

解析：查看电子邮件详细信息可得答案。

38. victor什么时候收到勒索电邮? （答案格式 －“本地时间＂：YYYY-MM-DD HH:MM +8）
(2分)

A. 2018-11-02 09:09 +8

B. 2018-11-02 09:10 +8

C. 2018-11-02 10:09 +8

D. 2018-11-02 17:09 +8

E. 2018-11-02 17:10 +8

解析：找到相关邮件可得时间

39. 以下哪个是发出勒索邮件的的IP地址? (2分)

A. 10.152.64.57

B. 10.152.64.217

C. 220.246.55.13

D. 74.208.4.220

E. 10.76.45.13

解析：找到相关邮件可得IP地址

40. 勒索邮件的附件解压后有一个病毒文件，这个文件的MD5哈希值是? (2分)

A. 72596F71248531853F37D4BD15D088C4

B. 15B64B15CC5A5442196471690D4A088B

C. 67A1487E296328C9E802D50741D8DB9C

D. 72596F71248DH3S92LS7D4BD15D088C4

E. 5BB71EF8E95A5249EF4C2A8CFF9A1E1C

解析：找到文件解压后计算MD5值

41. 上述的病毒文件什么时间被系统执行? （答案格式 －“本地时间＂：YYYY-MM-DD HH:MM
+8） (2分)

A.2018-11-02 14:15 +8

B.2018-11-02 17:09 +8

C.2018-11-02 17:13 +8

D.2018-11-02 17:20 +8

E.2018-11-02 17:23 +8

解析：搜索文件，可得其最早访问时间

42. 这个病毒是否会在重新开机后自动运行?如会，它是通过下列哪个程序执行? (2分)

A. Thunder.exe

B. QyKernel.exe

C. QyClient.exe

D. javaw.exe

E. 病毒不会自动执行

解析：解压后发现是个jar程序，判断通过javaw.exe运行

43. 病毒文件被执行后有以下哪个文件被生成? (2分)

A. E8S377N3N8UOAMS82PQJ.temp

B. tbc_stat_cache.dat

C. JNativeHook_4940080920928265976.dll

D. 83aa4cc77f591dfc2374580bbd95f6ba.tmp

E. downloads.json

解析：通过反编译发现里边只有两个.class文件，估计占用空间也就十几K，可是jar包却要200多K，但是怎么分析能够得到生成的文件我还没找到，如果个人赛现场开虚拟机用动态分析运行监控的话，太浪费时间了，并且不一定能找到答案。此题不会。

44. 接上题，上述文件有什么功能? (2分)

A. 获取镜头权限

B. 追踪键盘记录

C. 抓取浏览器密码

D. 抓取系统登入密码

E. 存取系统分区

解析：使用JDGUI进行反编译，通过读java代码得出

45. 以下哪个是系统安装的第三方输入法软件? (2分)

A. sogou pinyin

B. sogou wubi

C. Baidu Pinyin

D. QQ Pingyin

E. 以上皆不是

解析：取证大师直接分析得出

46. 操作系统是跟哪一个时间服务器自动同步? (2分)

A. time.nist.gov

B. time-a.nist.gov

C. time.windows.com

D. time-b.nist.gov

E. time-nw.nist.gov

解析：在仿真系统中，找到时间设置即可

47. 法证人员于2018-11-02 下午6时25分到场，之后对系统作以下哪项取证? (2分)

A. 抓取荧幕画面

B. 备份使用者资料

C. 备份浏览记录

D. 抓取网络数据包

E. 制作内存镜像档

解析：由48题可得。

48. 法证人员到场后，以下哪个软件曾经在系统里运行过? (2分)

A. wireshark.exe

B. Magnet RAM capture.exe

C. Lightscreen.exe

D. fastdump.exe

E. 以上皆不是

解析：由49题可得

49. 接上题，所抓取的资料被储存为以下哪个文件? (2分)

A. victor_PC_networktraffic.pcapng

B. Lily_PC.networktraffice.pcapng

C. PC_ screenshot.PNG

D. victor_PC_memdump.dmp

E. Lily_PC_memdump.dmp

解析：搜索选项可得

50. 接上题，上述档案储存到以下哪个分区? (2分)

A. D：

B. E：

C. F:

D. G:

E. H:

解析：导出快捷方式，查看属性-目标。