文章目录
-
- 写在前面
- 使用工具
- 刷题
-
- 1.在黑客路由器里,有一台设备的MAC地址为00:11:6B:47:4D:55,请问它的IP地址是什么?
- 2.在黑客路由器里,发现一设备的IP地址为192.168.0.103,请问该设备为如下哪一个:
- 3.警方已经查证所有连接此router的设备都归黑客所有,根據黑客路由器的訊息,下列哪组(设备---ip)是错误的:
- 4.Hacker现场检获的Windows主机硬盘已成功取证并制作成镜像Win1.E01,下列哪个是其硬盘证据文件的MD5哈希值。
- 5.MD5hash算法会产生一个什么大小的值。
- 6.对于一个E01镜像证据文件,要想成功通过校验过程,以下哪个是正确的
- 7.对于镜像Win1.E01,操作系统(OperatingSystem)是什么?
- 8.对于镜像Win1.E01,一个簇(Cluster)包含多少个扇区(Sector)?
- 9.对于镜像Win1.E01,包含操作系统的分区中,共有多少个扇区(sector)?
- 10.对于镜像Win1.E01,硬盘上有多少扇区(sector)被主引导记录(MasterBootRecord)所保留?
- 11.对于镜像Win1.E01,文件被删到回收站(RecycleBin)的时间可在以下哪个文件的元数据(metadata)中找到?
- 12.对于镜像Win1.E01,系统的最后关机(lastshutdown)时间是多少?
- 13.当一个文件A被打开,一个带有文件A名字的快捷方式文件(linkfile)会在以下哪个文件夹生成?
- 14.Win3.E01镜像档案的建立日期是?
- 15.在Win3.E01镜像文件内有多少个硬盘分区?
- 16.对于Win3.E01镜像,其操作系统的安装日期是?
- 17.对于Win3.E01镜像,其操作系统共有多少个可登录用户?
- 18.对于Win3.E01镜像,系统的时区设定是什么?
- 19.对于Win3.E01镜像,其主机名是
- 20.对于Win3.E01镜像,其操作系统是
- 21.对于Win3.E01镜像,其可登录的用户名是
- 22.对于Win3.E01镜像,其曾使用过以下哪个IP地址
- 23.对于Win3.E01镜像,以下哪个USB存储设备曾经连接过Win3这台主机
- 24.对于Win3.E01镜像,以下哪些程序被设定为开机启动项
- 25.对于Win3.E01镜像,曾经有个文件在A盘下,A:\NewTextDocument.txt,请问这个文件的创建时间(UTC)
- 26.对于Win3.E01镜像,曾经在D盘下有这样一个文件,D:\BaiduNetdiskDownload\dataencrypt.txt,请问这个文件的创建时间(inUTC)
- 27.在黑客的网络中有一个网络附加存储(NAS),对于Win3.E01镜像,请问在Win3的记录中,以下哪一个选项最有可能是NAS的IP,以及绑定的盘符?
- 28.对于Win3.E01镜像,在其回收站中,有一个文件agent1.7z,请问在删除之前它原本的路径是?
- 29.对于Win3.E01镜像,在其桌面上,有一个文件夹"macrodocs",在这个文件夹中哪些文件存在恶意宏(Macro)
- 30.接上题,根据对上述恶意文件phishing.docm的宏(Macro)分析,下列哪一个是其想要连接的ip地址?
- 31.接上题,根据对上述恶意文件phishing.docm的宏(Macro)分析,下列哪一个是其想要连接IP的端口号?
- 32.对于Win3.E01镜像,其系统中曾有如下文件,C:\Users\Administrator\Desktop\NextStep.txt,但此文件已经被删除,你是否可以找出此文件的删除时间
- 33.接上题,请问文件C:\Users\Administrator\Desktop\NextStep.txt,是怎样被删除的?
- 34.接上题,请尝试恢复文件C:\Users\Administrator\Desktop\NextStep.txt,阅读文件内容,请问下列内容的正确顺序是
- 35.对于Win3.E01镜像,administrator的最早登陆时间是?
- 36.对于Win3.E01镜像,以下哪些文件曾出现在盘符A:下
- 37.对于Win3.E01镜像,Eraser6.2.0.2986.exe是何时被下载的
- 38.接上题,Eraser6.2.0.2986.exe是从哪一个网站上下载的
- 39.对于Win3.E01而言,日志文件中哪些是该电脑使用过的打印(虚拟)设备?
- 40.对于Win3.E01镜像,该糸统是否有卷影副本(VolumeShadowCopy)?如果有卷影副本,请查看初始的卷快照(VolumeShadowCopy)记录,请问丢失的文件acres.dll.mui的最后访问时间(最后访问时间)?(UTC+8)
- 41.分析两台Windows镜像,请找出比特币钱包的备份,它的MD5哈希是
- 42.接上题,请解析此比特币钱包的备份,请问以下哪个不是此钱包的P2SH地址
- 43.
- 106.在Hacker_PCAP文件夹中,有一个文件的MD5值为后5位为7ffb7,请问该文件的修改时间(Modifytime)为?
- 107.在Hacker_PCAP文件夹中,哪两个pcap文件包含DoS攻击?
- 108.在Hacker_PCAP文件夹中,请对其中的Hacking.pcap分析,最后一个数据包的捕捉时间是什么时候?
- 109.请继续分析所有PCAP文件,找出被攻击的网站域名是什么?
- 110.请继续分析所有PCAP文件,找出以下被攻击的网站IP是多少?
- 111.请继续分析Hacking.pcap文件,下列哪种协议的数据包数量占比约为0.3%?
- 112.请继续分析Hacking.pcap文件,它共记录了多少个数据包(Packet)?
- 113.根据黑客手机镜像中的视频文件分析,发起攻击后多长时间服务器停止服务?
- 114.根据黑客手机镜像中的视频文件和Hacking.pcap文件,判断黑客所使用的DoS攻击是如下哪一种?
- 115.在Hacking.pcap文件中,DoS攻击的数据包被Wireshark解析为如下哪种协议?
- 116.在Hacking.pcap文件中,DoS攻击的数据包的结尾是(转义字符)?
- 参考资料
写在前面
最近参加了美亚组织的培训,正好借刷题把学习的知识和技巧巩固一下。(2021年6月)
最近准备美亚杯,刷刷题。和小组分工了下,自己做的是Router log、2个windows和流量。
使用工具
取证工具: 取证大师V6.1.80018RTM、弘连火眼证据分析软件v4.14.0.33748、弘连火眼仿真取证V4.1.1.2972、VMware Workstation、wireshark version 3.4.2
刷题
1.在黑客路由器里,有一台设备的MAC地址为00:11:6B:47:4D:55,请问它的IP地址是什么?
192.168.0.102
路由器日志里查看:
Oct 31 08:09:44 DHCP INFO DHCPS:Recv DISCOVER from 00:11:6B:47:4D:55
Oct 31 08:09:45 DHCP INFO DHCPS:Send OFFER with ip 192.168.0.102
2.在黑客路由器里,发现一设备的IP地址为192.168.0.103,请问该设备为如下哪一个:
exploitU
查看90:B1:1C:84:73:43对应的路由器
3.警方已经查证所有连接此router的设备都归黑客所有,根據黑客路由器的訊息,下列哪组(设备—ip)是错误的:
GalaxyA8—192.168.0.104
没有GalaxyA8这个服务器
4.Hacker现场检获的Windows主机硬盘已成功取证并制作成镜像Win1.E01,下列哪个是其硬盘证据文件的MD5哈希值。
D9A0B52F5AC3951EC4056449C31D886A
5.MD5hash算法会产生一个什么大小的值。
128-bit
32位16进制,128bit
6.对于一个E01镜像证据文件,要想成功通过校验过程,以下哪个是正确的
MD5hash值或者SHA1hash值校验通过
7.对于镜像Win1.E01,操作系统(OperatingSystem)是什么?
Windows10pro
8.对于镜像Win1.E01,一个簇(Cluster)包含多少个扇区(Sector)?
8
9.对于镜像Win1.E01,包含操作系统的分区中,共有多少个扇区(sector)?
169,646,337
10.对于镜像Win1.E01,硬盘上有多少扇区(sector)被主引导记录(MasterBootRecord)所保留?
63
分区1对应的63没有显示出来的,可以把X-ways或Winhex的过滤关掉。
11.对于镜像Win1.E01,文件被删到回收站(RecycleBin)的时间可在以下哪个文件的元数据(metadata)中找到?
$I文件
火眼里右键任意一条回收站记录,跳到源文件即可:
12.对于镜像Win1.E01,系统的最后关机(lastshutdown)时间是多少?
2019-10-2307:43:53UTC
13.当一个文件A被打开,一个带有文件A名字的快捷方式文件(linkfile)会在以下哪个文件夹生成?
Recent
14.Win3.E01镜像档案的建立日期是?
2019-11-01
在给的镜像文件里有一个win3.E01.txt,里面有FTK创建E01镜像的相关信息。
15.在Win3.E01镜像文件内有多少个硬盘分区?
7
16.对于Win3.E01镜像,其操作系统的安装日期是?
2019-10-15
17.对于Win3.E01镜像,其操作系统共有多少个可登录用户?
1
注意是可登录用户数量:
18.对于Win3.E01镜像,系统的时区设定是什么?
ChinaStandardTime
19.对于Win3.E01镜像,其主机名是
DESKTOP-1JMUE2M
20.对于Win3.E01镜像,其操作系统是
Windows10
21.对于Win3.E01镜像,其可登录的用户名是
Administrator
22.对于Win3.E01镜像,其曾使用过以下哪个IP地址
192.168.0.101
直接一个一个搜索
23.对于Win3.E01镜像,以下哪个USB存储设备曾经连接过Win3这台主机
选项A,B,C
24.对于Win3.E01镜像,以下哪些程序被设定为开机启动项
以上全部选项
火眼查看自启动程序:
最低0.47元/天 解锁文章
扫一扫
1865
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
