案情介绍
- 何源是一名25岁的客服人员,在一间电讯公司工作。某日,何源在用iPhone手机在政府建筑物中偷拍车牌期间被警员截停,盘问期间警员检查手机相册发现多张车牌图片,何源情绪紧张,趁警员不被,抢过手机丢入车流,被完全损毁。行为十分可疑,警方于是展开调查。审讯期间何源承认利用自己职权的便利,登入公司储存客户数据的服务器,非法取得一些政府人员的个人资料,例如姓名,车牌号码,电话等等,再将这些数据出售。
- 警方检获何源个人计算机,以及何源公司计算机(由于何的公司不允许警方检取整台计算机, 人员只能取得内存数据档案(memory image) 以作分析)。现你被委派对何的计算机进行电子数据取证,还原事件经过。
你会获得何源 ( YuanHe ) 计算机的硬盘镜像文件 "win2.E01"以及何源公司计算机的内存数据档案 “memdump.mem”。 根据这两个镜像文件的内容,请回答以下问题:
证据列表
| 证据路径 | 说明 |
| HE_Company_Windows_RAM\memdump.mem | 何源的公司计算机内存镜像 |
| HE_Home_Windows\Win2\Win2.E01 | 何源的个人计算机镜像 |
何源的个人计算机镜像(1-50)
| 1 | 1 | 1何源的个人计算机硬盘已成功被取证并制作成镜像(Forensic Image),下列哪个是镜像的SHA1哈希值? |
| x | A. | 6891d022c7e6fe81dc8ba2160e1ab610891596d3 |
| B. | 3e57817ea6263bc2c696a3455cc96381 | |
| C. | ed43de631a56dd2c8bac4abbd3882c86 | |
| D. | dd32beac5ef2cd1cac06bdd8b5e88cbc4eb94de9 | |
| E. | 48a45c39da458f3cadd92017e0247454dc8bff66 |
在首页创建计算哈希任务
等待任务完成即可
| 1 | 2 | 2在何源的个人计算机中,硬盘中包含哪个操作系统(Operating System)? |
| A. | Windows 7 | |
| B. | FAT32 | |
| x | C. | Windows 10 |
| D. | Kali Linux | |
| E. | NTFS |
| 1 | 3 | 3(*)何源个人计算机的文件系统(File System)是什么? |
| A. | FAT16 | |
| B. | FAT32 | |
| C. | Windows 7 | |
| x | D. | NTFS |
| E. | Windows 10 |
(为什么不是fat32呢?)
| 1 | 4 | 4(*)在何源的个人计算机中,你能找到操作系统分区的总容量吗 (单位:字节byte)? |
| x | A. | 492,083,081,216 |
| B. | 105,685,986,874 | |
| C. | 386,908,999,680 | |
| D. | 105,174,081,536 | |
| E. | 492,594,986,554 |
操作系统分区即OS盘
方法一:直接转换1GB=1024MB,1MB=1024KB, 1KB=1024B, 所以1GB=1024*1024*1024B
从上题图中看到OS盘大小为458.28GB, 字节数等于458.28*1024^3B,但是这个方法与答案有出入,不过还是可以选出答案的
方法二:1扇区等于512字节
扇区数从上题图中看到,直接计算得出标准答案
| 1 | 5 | 5在何源的个人计算机中,操作系统分区的$Bitmap的起始物理扇区位置(Physical Sector Number)是多少? |
| A. | 5,683,328 | |
| B. | 6,170,040 | |
| C. | 7,026,176 | |
| D. | 8,498,304 |
| x | E. | 9,168,216 |
| 1 | 6 | 6在何源的个人计算机中,请问操作系统的安装日期是?(答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC) |
| x | A. | 2019-10-16 04:44 UTC |
| B. | 2019-10-17 16:25 UTC | |
| C. | 2019-10-16 10:12 UTC | |
| D. | 2019-10-18 02:13 UTC | |
| E. | 2019-10-18 09:14 UTC |
CST是(China Standard Time)中国标准时间,即UTC +8
题目问UTC+0,在CST基础上减去8即可
| 1 | 7 | 7在何源的个人计算机中,每个扇区(Sector)包含多少个字节?(单位: byte) |
| x | A. | 512 bytes |
| B. | 1024 bytes | |
| C. | 2048 bytes | |
| D. | 4096 bytes | |
| E. | 8192 bytes |
扇区大小一律512bytes
| 1 | 8 | 8在何源的个人计算机中,操作系统的时区是哪个时区? |
| A. | Eastern Standard Time (GMT-05:00) : US and Canada | |
| B. | Pacific Standard Time (GMT-08:00): Tijuana | |
| C. | Korea Standard Time (GMT+09:00): Seoul | |
| D. | GMT Standard Time (GMT): Dublin, Edinburgh, Lisbon, London | |
| X | E. | China Standard Time (GMT+08:00): Beijing, Chongqing, Hong Kong, Shanghai |
| 1 | 9 | 9在何源个人计算机的操作系统中,下列哪个是计算机的主机名? |
| A. | DESKTOP-JW47K02 | |
| B. | HEYuan-WIN1 | |
| C. | HEYuan-WIN2 | |
| x | D. | DESKTOP-SM22M96 |
| E. | DESKTOP-WE23K24 |
| 1 | 10 | 10在何源的个人计算机中,以下哪一个是用户“He Yuan”的SID? |
| A. | S-1-5-21-1551135561-2581751248-1803739423-1001 | |
| x | B. | S-1-5-21-1551135561-2581751248-1803739423-1000 |
| C. | S-1-5-21-1551135561-2581751248-1803739423-500 | |
| D. | S-1-5-21-1551135561-2581751248-1803739423-501 |
| E. | None |
| 3 | 11 | 11在何源的个人计算机中,下列哪个USB移动储存装置 (U盘)曾被分配为‘E’磁盘分区代号(DriveLetter) ? |
| x | A. | Kingston DataTraveler 3.0 USB Device |
| B. | SanDisk Transcend USB Device | |
| C. | Samsung Portable SSD USB Device | |
| D. | WD My Passport 3.0 USB Device | |
| E. | Seagate Flash Disk USB Device |
有两个都曾被分配成E盘,但是选项只有一个符合
| 2 | 12 | 12在何源的个人计算机中,用户“He Yuan”曾经在挂载为“E”盘的USB移动储存装置中访问过一些文件/文件夹,以下哪一个不是? |
| A. | E:\美国恐怖故事 | |
| B. | E:\New Text Document.txt | |
| x | C. | E:\CONFIDENTIAL.doc |
| D. | E:\PycharmProjects | |
| E. | A,B,C,D |
| 3 | 13 | 13在何源的个人计算机中,用户“He Yuan”最近在本机上访问过一些文件,以下哪一个不是? |
| A. | Sample Project Plan.doc | |
| x | B. | URGENT.doc |
| C. | connect.py | |
| D. | 美国恐怖故事01.mp4 | |
| E. | Comprehensive-Minute-Template.doc |
| 2 | 14 | 14在何源的个人计算机中,以下哪一个是程序“VERACRYPT.EXE”的运行次数? |
| A. | 1 | |
| B. | 2 | |
| x | C. | 3 |
| D. | 4 | |
| E. | 6 |
火眼跟取证大师的不一样,还是以取证大师为准吧
| 2 | 15 | 15在何源的个人计算机中,在程序“VERACRYPT.EXE”运行时,以下哪个dll文件并没有同时被加载? |
| A. | COMDLG32.DLL | |
| B. | CRYPT32.DLL | |
| C. | SECUR32.DLL |
| D. | CRYPTSP.DLL | |
| x | E. | ENCRYPT.DLL |
右键跳转源文件
导出当前文件
下载工具
一般都是选择64位
打开刚才导出的文件
等待分析即可
| 2 | 16 | 16在何源的个人计算机中,用户“He Yuan”的桌面墙纸(Wall paper)背景是什么颜色? |
| A. | 黑色 | |
| B. | 灰色 | |
| x | C. | 蓝色 |
| D. | 红色 | |
| E. | 绿色 |
仿真后直接看
| 1 | 17 | 17在何源的个人计算机中,以下哪个文件在电脑power off的时候仍然拥有内存的内容? 此文件具有与电脑内存(RAM)相似的大小并保存在根目录。 |
| A. | WIN386.SWP | |
| x | B. | HIBERFIL.sys |
| C. | PAGEFILE.SYS | |
| D. | NTUSER.DAT | |
| E. | SWAPFILE.SYS |
理论题
| 1 | 18 | 18在何源的个人计算机中,以下哪个database文件存有此操作系统的timeline痕迹? |
| A. | SRUDB.dat | |
| B. | Windows.edb | |
| C. | Spartan.edb | |
| x | D. | ActivitiesCache.db |
| E. | Thumbs.db |
常识类题目,Win10时间线信息存放的数据库名称为ActivitiesCache.db
| 1 | 19 | 19在何源的个人计算机中,曾被分配过的ip地址是? |
| x | A. | 147.8.177.224 |
| B. | 147.10.188.23 | |
| C. | 192.168.0.110 | |
| D. | 10.12.9.214 | |
| E. | 192.168.1.2 |
| 2 | 20 | 20在何源的个人计算机中,用户”Administrator”的Internet Explorer浏览器的start page是以下哪个? |
| A. | ||
| B. | https://www.bing.com |
| C. | ||
| D. | https://www.google.com | |
| x | E. |
| 1 | 21 | 21在何源的个人计算机中,你是否可以找到何源iPhone手机的线索。关于他的手机,以下哪条信息不正确? |
| A. | IMEI:359461082062689 | |
| B. | Serial Number:F17V1L6EHG70 | |
| x | C. | Apple ID :heyuan516@icloud.com |
| D. | MSISDN: 85259114189 | |
| E. | 无 |
跳转到源文件,导出文件
| 1 | 22 | 22用户“He Yuan”在WhatsApp上与谁进行了对话? |
| A. | Keanu Reeves | |
| B. | Michael Nyqvist | |
| C. | Peter Wang | |
| x | D. | John Manager |
| E. | Michael Brown |
| 1 | 23 | 23在手机联系人中,Anthony Chung的手机号是多少? |
| x | A. | +85252018664 |
| B. | +85257025241 | |
| C. | +85257024765 | |
| D. | +8613890274976 | |
| E. | +8613928749036 |
| 1 | 24 | 24He Yuan在iPhone自带的Safari浏览器中搜索过一些关键词,以下哪一个不是? |
| A. | 野狼disco | |
| x | B. | 拜佛过人professor |
| C. | engineer's day 1024 | |
| D. | Programmer's Day no bug | |
| E. | poptown 攻略 |
| 1 | 25 | 25用户“He Yuan”的WeChat ID是多少? |
| A. | HEYUAN516 |
| B. | wxid_9y8cs5hdin2i15 | |
| C. | wxid_9y8cs5hdin2i14 | |
| D. | wxid_9y8cs5hdin2i13 | |
| x | E. | wxid_9y8cs5hdin2i12 |
| 1 | 26 | 26在WeChat的多个聊天记录中,用户“He Yuan”没有聊到过哪个话题? |
| A. | 与中介谈买房 | |
| x | B. | 与老板谈洗钱 |
| C. | 与黑客谈交易 | |
| D. | 与网贷谈借钱 | |
| E. | 与朋友谈炒房 |
与黑客谈交易
与中介谈买房
与网贷谈借钱
与朋友谈炒房
| 1 | 27 | 27从WeChat中的一个聊天记录中可知,用户“He Yuan”持有多少人的数据? |
| A. | About 500 | |
| B. | About 1000 | |
| x | C. | About 2000 |
| D. | About 3000 | |
| E. | About 5000 |
| 1 | 28 | 28接上题,Hacker最后要支付多少Bitcoin 给He Yuan? |
| A. | 0.002312 | |
| B. | 0.066666 | |
| C. | 0.036354 | |
| x | D. | 0.014594 |
| E. | 0.012398 |
放大这张照片可以看到转出多少钱
| 1 | 29 | 29接上题,He Yuan的Bitcoin收款地址是多少? |
| A. | cI7g0tIzPuP2pxb20HQHNGOQdpmptDaCBf | |
| B. | InCeInFZmAP3PCLHLOchKTEZevQdHgQdP3 | |
| C. | 4qISisBY2Z8xgh9C6orRfuRzmzXKznUc5Z | |
| x | D. | 18yZq8Dboyuvnd3R6pqG9kJkaZBki2JCoN |
| E. | n5X7jwdPspKRgnZU6xzcEQueJanRqGdZQd |
| 1 | 30 | 30接上题,He Yuan分享给Hacker的百度网盘链接是多少? |
| A. | https://pan.baidu.com/s/u8rLTgLZabfd9Va1wRjzyc9 |
| B. | https://pan.baidu.com/s/nIDo2yLop_ciNUxihF2cZi8 | |
| C. | https://pan.baidu.com/s/N6RiGxMZDnswlOUKRi0IB6Q | |
| D. | https://pan.baidu.com/s/uFUc4W0zYmrGZMOxVm843GU | |
| x | E. | https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY3Ww |
| 1 | 31 | 31接上题,He Yuan提到的解压密码是多少? |
| A. | bAtNyn3lHwP8xXW | |
| B. | hNfpdKcJlvpEFEa | |
| C. | decrypt123456 | |
| D. | 2019123456 | |
| x | E. | HetoHacker123456 |
| 1 | 32 | 32接上题,He Yuan收到了来自哪位hacker的转账? hacker的wechat ID是多少? |
| x | A. | Kevin , wxid_ugo2wrc3fuci22 |
| B. | Scott , wxid_i1lhj24r792i22 | |
| C. | Iva , wxid_7qh2jzeomtvp22 | |
| D. | John , wxid_QAZbWKIgIz4jpu | |
| E. | Jack , wxid_dbEx7dtbX4zPbb |
| 1 | 33 | 33根据Wechat聊天记录,He Yuan在2019-10-26号(UTC+8)晚上跟哪位朋友出去吃晚饭了?朋友的WechatID是多少? |
| A. | Iron Man , wxid_0ZYBi7dchvMIym | |
| B. | Black Panther , wxid_zSrai2bRoLUNVb | |
| C. | Red Bull , wxid_2yy2ekynoLbnq3 | |
| D. | White Tiger, wxid_whMQ2YOLPiNNt7 | |
| x | E. | Black Sheep , wxid_s00vt9uixjq922 |
| 2 | 34 | *34在2019-10-31(UTC+8),何源用iPhone手机在车库拍了一些车的照片,请问最早的那张车照片是什么时候拍的? |
| A. | 10/31/2019 18:53:29 PM(UTC+8) | |
| B. | 10/30/2019 10:43:27 AM(UTC+8) | |
| C. | 10/26/2019 19:53:29 PM(UTC+8) | |
| x | D. | 10/28/2019 20:40:30 PM(UTC+8) |
| E. | 10/27/2019 10:53:29 AM(UTC+8) |
不明白
| 3 | 35 | 35接上题,请问照片”IMG_0075.HEIC”拍摄地GPS坐标是以下哪一个? |
| A. | 28 deg 13' 5.25" N, 125 deg 9' 6.34" E | |
| x | B. | 22 deg 17' 1.36" N, 114 deg 8' 9.91" E |
| C. | 120 deg 23' 5.58" N, 119 deg 7' 4.53" E | |
| D. | 88 deg 6' 2.14" N, 130 deg 6' 7.86" E | |
| E. | 100 deg 17' 1.36" N, 224 deg 6' 8.57" E |
| 1 | 36 | 36在何源的个人计算机中,你能找到一个Veracrypt加密容器文件吗?它的原始文件名是? |
| A. | containerx.txt | |
| B. | VC_Container | |
| C. | $RV61F4M | |
| x | D. | data encrypt.txt |
| E. | $IV61F4M |
| 2 | 37 | 37接上题,此Veracrypt加密容器文件之前可能被挂载为哪一个盘符(drive letter) ? |
| x | A. | A: |
| B. | B: | |
| C. | Z: | |
| D. | D: | |
| E. | E: |
取证大师中的–>自动取证\win2.E01\用户痕迹\最近访问记录\最近访问的文档
| 2 | 38 | 38在何源的个人计算机中,何源曾在电脑上登陆过客户端百度云盘,请问他的Baidu账号是多少? |
| A. | Yuanhe516 | |
| B. | Heyuan516 | |
| x | C. | Heyuan515 |
| D. | Yuanhe515 | |
| E. | None |
| 2 | 39 | 39在何源的个人计算机中,何源利用客户端百度网盘上传过一些文件,请问以下哪一个是? |
| x | A. | 美国恐怖故事04.mp4 |
| B. | Crawler_connect.py | |
| C. | file encrypt.doc | |
| D. | Secret.xlsx | |
| E. | Company_info.xlsx |
| 2 | 40 | 40在何源的个人计算机中,何源iPhone手机中的一些图片曾被同步到他的百度网盘中,请问图片“2019-06-21 113537.jpg”的MD5 hash 值是多少? |
| A. | fe41107c5260498e67171755e2b4bb1d | |
| B. | 6055e4fa9e8a56c708a3db7198d091e7 | |
| x | C. | 7b8e1183d80962c0ad5a95ec673317a7 |
| D. | 148685a257c49247f09b942237f1a248 | |
| E. | db4a58e48ef51ca2c6c0f6e07f44d186 |
| 2 | 41 | 41在何源的个人计算机中,何源用百度网盘上传文件“/美国恐怖故事/美国恐怖故事01.mp4”的起始时间是?(格式:UNIX Timestamp UTC+8)此题无效 |
| x | A. | 1572506551 |
| B. | 1572506618 | |
| C. | 1572506608 | |
| D. | 1572506551 | |
| E. | 1572507864 |
| 2 | 42 | 42在何源的个人计算机中,可以发现有多少文件,文件夹存在于何源的百度网盘中? |
| A. | Files: 55, Folder: 3 | |
| x | B. | Files: 82,Folder: 2 |
| C. | Files: 23, Folder: 1 | |
| D. | Files: 90, Folder: 2 | |
| E. | Files: 102, Folder: 7 |
| 2 | 43 | 43在何源的个人计算机中,用户“He Yuan”曾用Microsoft Edge浏览器google搜索过一些信息,以下哪个不是搜索的关键词? |
| A. | gmail register | |
| B. | tor data sale | |
| C. | online lender | |
| x | D. | shadowsock |
| E. | how to hide a partition |
| 3 | 44 | 44在何源的个人计算机中,用户“He Yuan”曾用Microsoft Edge浏览器注册过一个新的Gmail account,请从网页标题痕迹中找出此账号。 |
| A. | ||
| B. | ||
| x | C. | |
| D. | ||
| E. |
| 3 | 45 | 45在何源的个人计算机中,用户“He Yuan”曾用Microsoft Edge浏览器下载过一些文件,以下哪一个不是? |
| A. | WeChat_C1018.exe | |
| x | B. | bitcoin-018.1-win64-setup.exe |
| C. | torbrowser-install-win64-8.5.5_en-US.exe | |
| D. | SteamSetup.exe | |
| E. | BaiduNetdisk_6.8.4.1.exe |
| 2 | 46 | 46在何源的个人计算机中,用户“He Yuan”曾用以下哪款网页浏览器登陆过网页版百度网盘? |
| A. | Internet Explorer | |
| B. | Firefox | |
| C. | Chrome | |
| x | D. | Microsoft Edge |
| E. | Tor |
| 3 | 47 | 47在何源的个人计算机中,用户“He Yuan”曾用Tor浏览器访问过一些网站,以下哪一个不是? |
| A. | https://duckduckgo.com | |
| B. | http://deepmix2cmtqm5ut74f4acz2eskr5htcdetpzupmdkas6fzi4cnc7sad.onion | |
| C. | ||
| D. | http://bntee6mf5w2okbpxdxheq7bk36yfmwithltxubliyvum6wlrrxzn72id.onion | |
| x | E. |
| 3 | 48 | *48接上题,以下哪个URL是由用户手动输入到Tor浏览器中的? |
| A. | ||
| B. | https://hiddenwikitor.com | |
| x | C. | |
| D. | ||
| E. |
| 3 | 49 | 49接上题,关于网页”http://rso4hutlefirefqp.onion”,以下哪一个描述是正确的? |
| A. | ccPal - stolen creditcards, ebay and paypal accounts for bitcoins - buy CVV2s for bitcoin - PayPals for Bitcoin - Ebay Accounts for Bitcoin | |
| B. | UKPassports - Buy passport from the United Kingdom UK, real passports from the UK, no fake passports | |
| C. | Stolen Apple Products for Bitcoin. Get the newest apple products for a fraction of the price. Iphones for Bitcoin, Ipads for Bitcoin. | |
| D. | NLGrowers - Buy Weed, Hash, Cannabis, Marijuana with from the netherlands with Bitcoins - your deep web weed source |
| x | E. | We sell medical cannabis, rick simpson cannabis oil and other medical cannabis products |
| 3 | 50 | *接上题,哪个网页引导用户到了网页” http://vfqnd6mieccqyiit.onion”? |
| A. | https://thehiddenwiki.org | |
| x | B. | |
| C. | https://onionshare.org | |
| D. | ||
| E. | https://www.onionexplore.org |
何源的公司计算机内存镜像(51-62)
| 1 | 51 | 51分析何源的公司计算机内存镜像,何源的公司计算机操作系统以及硬件架构是什么? |
| x | A. | Windows 7 x86 |
| B. | Windows 7 x64 | |
| C. | Windows 8 x86 | |
| D. | Windows 8 x64 | |
| E. | Windows 10 x64 |
| 1 | 52 | 52分析何源的公司计算机内存镜像,以下哪一个是进程“explorer.exe”的PID? |
| A. | 5098 | |
| x | B. | 3484 |
| C. | 3048 | |
| D. | 2236 | |
| E. | 9875 |
| 1 | 53 | 53分析何源的公司计算机内存镜像,以下哪一个是正确的用户SID ? |
| A. | HTC_admin : S-1-5-21-2316527938-3914680751-2175519146-1001 | |
| x | B. | TMP_User : S-1-5-21-2316527938-3914680751-2175519146-1002 |
| C. | TMP : S-1-5-21-2316527938-3914680751-2175519146-1001 | |
| D. | YuanHe : S-1-5-21-2316527938-3914680751-2175519146-1002 | |
| E. | None |
| 1 | 54 | 54分析何源的公司计算机内存镜像,以下哪个远程地址与本地地址建立过TCP连接? |
| x | A. | 10.165.12.130 |
| B. | 10.165.12.126 | |
| C. | 10.165.10.125 |
| D. | 10.165.10.130 | |
| E. | 10.165.10.131 |
netscan
| 1 | 55 | 55接上题,在上述TCP连接里,远程地址的端口号是多少? |
| A. | 80 | |
| B. | 443 | |
| x | C. | 445 |
| D. | 22 | |
| E. | 3389 |
同上
| 1 | 56 | 56分析何源的公司计算机内存镜像,注册表“\SystemRoot\System32\Config\SAM”在内存镜像中的虚拟地址(Virtual Address)是多少? |
| A. | Offset: 0x97b5e5d8 | |
| x | B. | Offset: 0x9a5689c8 |
| C. | Offset: 0x8c6b49c8 | |
| D. | Offset: 0x8bc1a1c0 | |
| E. | Offset: 0x9bc1a1c0 |
| 1 | 57 | 57分析何源的公司计算机内存镜像,用户“Yuan He”登入密码的NTLM hash是多少? |
| A. | bf12857078039ff604bf8e1fb4308643 | |
| B. | 31d6cfe0d16ae931b73c59d7e0c089c0 | |
| C. | bf12857078039ff604bf8e1fb430a7d4 | |
| D. | a53452d6cd5e2d72423cd3eac8b05607 | |
| x | E. | 99e74d973f8f852432f6d5a59659ed88 |
| 3 | 58 | 58分析何源的公司计算机内存镜像,盘符“E:”上的文件“Personal Information.xlsx”何时被访问过? |
| A. | 2019-10-31 07:58:45 | |
| B. | 2019-10-31 10:33:42 | |
| x | C. | 2019-10-31 06:59:45 |
| D. | 2019-10-31 09:31:42 | |
| E. | 2019-10-31 08:32:42 |
timeliner
| 3 | 59 | 59分析何源的公司计算机内存镜像,以下哪个是文件“Personal Information.xlsx”的正确路径? |
| A. | Users\YuanHe\Desktop\Confidential\Personal Information.xlsx | |
| B. | Users\YuanHe\Desktop\Personal Information.xlsx | |
| C. | Users\TMP_User\Desktop\Confidential\Personal Information.xlsx | |
| x | D. | Users\TMP_User\Desktop\Personal Information.xlsx |
| E. | Users\Administrator\Desktop\Confidential\Personal Information.xlsx |
mftparser
| 3 | 60 | 60分析何源的公司计算机内存镜像,可以发现以下哪些文件夹曾被访问过?
|
| A | 2,3,5 | |
| B | 2,4,6 | |
| C | 1,3,5 | |
| D | 3,4,5 | |
| x | E | 1,4,5 |
timeliner后逐一筛选
| 3 | 61 | 61分析何源的公司计算机内存镜像,以下那一项有关这台计算机的资料是正确? |
| A. | 这台计算机安装Window的时间是2019-10-31 11:56:23 UTC + 0 | |
| x | B. | 这台计算机的名称是WIN-VUAL29E4P0K |
| C. | 公开资料显示这台计算机TCPIP的最后更新时间是2019-10-31 04:59:00 UTC + 0 | |
| D. | A及C都是正确 | |
| E. | B及C都是正确 |
以下为参考思路:
A
B
主机名所在的目录为:ControlSet001\Control\ComputerName\ComputerName
C
使用timeliner模块并筛选TCP项,可以看到调用到TCP操作的三个时间与答案提供的04:59:00不符
| 4 | 62 | 62分析何源的公司计算机内存镜像,以下那一项关于这台计算机连接USB装置的描述是正确? |
| A. | 没有,因为透析资料找不到 | |
| B. | 没有,因为内存容量没有取得完整的注册表资料 | |
| C. | 有,而且装置的牌子应该是HUAWEI | |
| D. | 有,而且装置的GUID是4d36e967-e325-11ce-afc1-832210318 |
| x | E. | 有,而且装置的首次插入时间HEX值是40 43 30 b9 b8 8f d5 01 |
以下为参考思路:
使用设备扫描命令查询是否有USB使用痕迹:
发现确实存在USB的使用记录,排除A,B两项。在注册表中查询USB设备使用情况(注册表中与USB设备相关的路径为:ControlSet001\Enum\USBSTOR)
可以发现设备的牌子为Seagate而不是HUAWEI,排除C选项。再继续搜寻注册表信息
可以看到GUID为4d36e967-e325-11ce-bfc1-08002be10318,至此排除D选项
完
扫一扫
7176
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
