查看原文
其他

全国电子数据取证竞赛试题完整版放送!敢来挑战吗?

美亚柏科 美亚柏科 2022-07-05

“美亚杯”第三届全国电子数据取证竞赛圆满结束啦,完整版竞赛试题出炉,欢迎各位大神前来挑战!我们将在稍后为大家送上标准答案,敬请期待!


个人赛考题


Questions


1

Gary的笔记本电脑已成功取证并制作成镜像(Forensic Image),下列哪个是其MD5哈希值。


A

0CFB3A0BB016165F1BDEB87EE9F710C9


B

5F1BDEB87EE9F710C90CFB3A0BB01616


C

A0BB016160CFB3A0BB0161661670CFB3


D

16160CFB3A0BB016166A0BB016166167


E

FB3A0BB016165  B016166 A0DF7FJE2EJ0

 


2

根据此镜像 (Forensic Image),里面有多少


A

1


B

2


C

3


D

4


E

5

 


3

你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)?


A

0


B

512


C

2,048


D

206848


E

102,402,047

 


4

你能找到硬盘操作系统分区的大小吗(字节byte)?


A

48.7


B

102,195,200


C

140,232,703


D

19,369,295,872


E

52,323,942,400

 


5

在包含操作系统的分区内,$MFT的物理起始偏移位置是什么?


A

3328


B

4170040


C

6026176


D

6291456


E

16949352

 


6

请找出系统文件“SOFTWARE",请问操作系统的安装日期是? 

(答案格式 -“世界协调时间":YYYY-MM-DD  HH:MM UTC)


A

2017-09-14  02:10 UTC


B

2017-09-14  02:11 UTC


C

2017-09-14  02:12 UTC


D

2017-09-14  02:13 UTC


E

2017-09-14  02:14 UTC

 


7

“Gary的SID是什么?


A

1000


B

1001


C

1002


D

1005


E

1007

 


8

彼得的SID是什么?


A

1000


B

1001


C

1002


D

1005


E

1007

 


9

硬盘的操作系统是什么?


A

Windows  7


B

Windows 8


C

Windows 10


D

Linux Red Hat 7.1


E

MAC OS X

 


10

哪个是Windows的默认浏览器?


A

Microsoft Internet Explorer


B

Google Chrome


C

Mozilla Firefox


D

Opera


E

QQ 浏览器

 


11

用户“Gary"曾经浏览过一些非法博彩网站,下列哪项URL符合?


a

www1.10086.com


b

www.188bet.com


c

www.hv5858.com


d

www.12377.cn


e

www.88.bettingwell.com


f

www.aaakk.org





A

只有(a) & (b)


B

(a), (b), (d)  & (f)


C

(b), (c), (d)  & (f)


D

(b), (c),  (e) & (f)


E

以上皆是

 


12

用户Gary曾经登入上述非法博彩网站,下列哪个是其登入名称?


A

ggchey68


B

gany-cher88


C

galy_chen88


D

garychen1688


E

garychen88

 


13

在所有用户中,用于电子邮件发送/接收的程序名称是什么?


A

新浪邮箱


B

网易163


C

阿里


D

Foxmail


E

Mozilla Mail –  ThunderBird

 


14

在该Windows系统中,曾经连接数个USB移动储存装置 (U盘),下列那个不是该系统连接过的USB移动储存装置 ?


A

WD My Passport 0827 USB Device


B

StoreJet Transcend USB Device


C

Samsung Portable SSD USB Device


D

StoreJet TS256GESD400K USB Device


E

General UDisk USB Device

 


15

在该Windows系统中,下列哪个USB移动储存装置(U盘)曾被指派为‘Z’磁盘分区代号(Drive Letter)?


A

WD My Passport 0827 USB Device


B

StoreJet Transcend USB Device


C

Samsung Portable SSD USB Device


D

StoreJet TS256GESD400K USB Device


E

General UDisk USB Device

 


16

该Windows系统中,下列哪个是最后的关机时间?


A

2017-10-31  4:52:54 UTC


B

2017-10-31  4:53:54 UTC


C

2017-10-31  4:54:54 UTC


D

2017-10-31  4:55:54 UTC


E

2017-10-31  4:56:54 UTC

 


17

该Windows系统中,下列哪个是电脑名称?


A

GARYPC


B

GARY-PC


C

GARY_PC


D

GARY


E

GARY-NB

 


18

在该Windows系统中,下列哪个是用户Gary日常使用的邮箱帐号?


A

ics_user@mail.com


B

ics_user@gmail.com


C

gary@mail.com


D

gary_chen@mail.com


E

gary_chen@gmail.com

 


19

在该Windows系统中,用户Gary曾经收过一封来自邮箱帐号 ics_user@mail.com的邮件,内容提及有关制作钓鱼网站及邮件帐号eric_wang99@outlook.com,下列哪个是此封邮件的发送日期和时间?


A

2017-09-25  17:07:15


B

2017-10-17  14:35:45


C

2017-10-17  18:24:02


D

2017-10-26  19:17:08


E

2017-10-26  19:24:57

 


20

在该Windows系统中,用户Gary还曾经收过两封来自邮箱帐号eric_wang99@outlook.com的邮件,标题为“学习制作网站”,下列哪个是第一封邮件的发送日期和时间?


A

2017-09-25  17:07:15


B

2017-10-17  14:35:45


C

2017-10-17  18:24:02


D

2017-10-18  18:30:45


E

2017-10-18  19:38:05

 

 


21

在该Windows系统中,用户Gary还曾经收过两封来自邮箱帐号eric_wang99@outlook.com邮件,标题为“学习制作网站”,下列哪个是第二封电邮的发送日期和时间?


A

2017-09-25  17:07:15


B

2017-10-17  14:35:45


C

2017-10-17  18:24:02


D

2017-10-18  18:30:45


E

2017-10-18  19:38:05

 


22

用户Gary还曾经收过一封来自邮箱帐号 ics_user@mail.com的邮件,附加了两张与咖啡豆有关的相片,下列哪个是此封邮件的发送日期和时间?


A

2017-09-25  17:07:15


B

2017-10-17  14:35:45


C

2017-10-17  18:24:02


D

2017-10-26  19:17:08


E

2017-10-26  19:24:57

 

 


23

在该Windows系统中,用户Gary还曾经收到一封来自邮箱帐号 eric_wang99@outlook.com的邮件,附加有三张与Apple iCloud相关的相片,下列哪个为该封邮件的发送日期和时间?


A

449cebf0eb96499df047fe0bff8e1627


B

17f9c6bcca44d128f7ed6769a6920278


C

4bc48ce355acd4732f33a79e29728e96


D

4bc48ce355acd4732f33a79e29728e96


E

e3e545c80a7273b7b0d7c73dacdd7227

 


24

在该Windows系统中,用户Gary还曾经收到一封来自邮箱帐号 eric_wang99@outlook.com的邮件,附加有三张与Apple iCloud相关的相片,下列哪个为该封邮件的发送日期和时间?


A

2017-09-25  17:07:15


B

2017-10-17  14:35:45


C

2017-10-17  18:24:02


D

2017-10-18  18:30:45


E

2017-10-18  19:38:05

 


25

Gary经常使用笔记本电脑浏览互联网,他的笔记本电脑上曾经连接过多少WIFI热点?


A

1


B

2


C

3


D

4


E

5

 


26

上述电脑曾经连接过星巴克WIFI热点,下列哪项是其全局唯一识别元(Globally Unique Identifier, GUID)?


A

{8039D237-A346-4BA1-9B78-5752580ED7F0}


B

{39489FA0-DE35-4989-8730-E2E2ED15E85A}


C

{558B94DF-8D68-4779-AA25-65FBDAB4C2B9}


D

{4EFCDA7E-CE51-4EC2-8980-8629647C9968}


E

{AF0778E8-6C4F-41C6-84B2-CB14490CF29E}

 


27

有关Gary的笔记本电脑,下列哪项是其最后分派得到的IP地址?


A

192.168.0.1


B

192.168.10.4


C

192.168.20.6


D

192.168.30.3


E

192.168.40.5

 


28

Eric曾发邮件给Gary,内容是关于如何在暗网(Dark Web)中浏览枪械的信息,以下哪个URL是由Eric提供的?


A

http://hhnovpxmqrw5xaqg.onion


B

http://gunsjmzh2btr7lpy.onion


C

http://gunsdtk58tolcrre.onion


D

http://armoryohajjhou6m.onion


E

http://armory45jijdf7d.onion

 


29

Eric 售卖iCloud  网站给Gary 的价钱是多少?


A

$500


B

$800


C

$1000


D

$1400


E

$1500

 


30

Gary  经常将非法文件存储到该笔记本电脑的加密分区中,下列哪一个为该加密软件?


A

TrueCrypt


B

VeraCrypt


C

Bitlocker


D

LUKS


E

PGP WDE

 


31

在加密磁区内有三张与Apple iCloud有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)?


A

c9fbfaf3c45492c40feb83a83217f146


B

14903a7bd9d709b653f9afe8e3e51cdd


C

7cb0f29812317db645edbcd6cf46e1ba


D

5503d096bdf832460c8f51da62fbbb5d


E

9918465b62171ba2c0a95595db629bf3

 


32

在加密磁区内有三张与暗网(Dark Web)有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)?


A

2836d35fb45c591211d5b6865c4a82f5


B

d2b14799050b6c4ad6b07cd1227b91a5


C

9110c96baa70c00acd8fbdfe2dc7c397


D

703899985d881e2d103eb4fd1306be2e


E

4c57a45b8da5ea01e5eb7d875f94a7b8

 


33

在加密磁区内有三张与Apple iCloud有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)?


A

c9fbfaf3c45492c40feb83a83217f146


B

14903a7bd9d709b653f9afe8e3e51cdd


C

7cb0f29812317db645edbcd6cf46e1ba


D

5503d096bdf832460c8f51da62fbbb5d


E

9918465b62171ba2c0a95595db629bf3

 


34

在上述加密磁区内,存有一个名为”2017-10-27”的文件夹,内有三张枪械的图片,该三张图片是来自哪个网站?


A

http://gunsdtk58tolcrre.onion


B

http://gunsjmzh2btr7lpy.onion


C

thegunstorelasvegas.com


D

cabelas.com


E

hyattgunstore.com

 


35

Gary的笔记本电脑曾经下载过多少张有关恐怖组织的图片?


A

1


B

2


C

3


D

4


E

5

 


36

根据Gary与Eric邮件的内容,Eric曾经提供Gary一个私有云盘,下列哪项是该邮件提供的资料?


A

动物图


B

枪的结构图


C

博彩图


D

博彩文件


E

恐怖主义

 


37

下列哪项是上述私有云盘的网址?


A

http://mantech.mooo.cn


B

http://mantech.mooo.com


C

http://mooo.com


D

http://mantech.com


E

http://23.54.45.113

 


38

下列哪项是上述私有云盘网址的连接端口?


A

TCP 80


B

TCP 8080


C

UDP 80


D

TCP 8000


E

TCP 443

 


39

下列哪项是Gary第一次浏览该私有云盘网址时,所使用的浏览器?


A

Microsoft  Explorer


B

Google  Chrome


C

Mozilla  Firefox


D

Opera


E

QQ 浏览器

 


40

下列哪项是Gary第一次浏览该私有云盘网址的日期和时间?


A

2017-10-29  12:42:09


B

2017-10-30  12:42:09


C

2017-10-31  12:42:09


D

2017-10-30  10:42:09


E

2017-10-30  11:42:09

 


41

在上述加密磁区内,存有一个名为”2017-10-30”的文件夹,里面有三张与枪械结构有关的图片,该三张图片是从哪个方法/软件下载?


A

邮件


B

Firefox


C

Chrome


D

USB thumb  drive


E

ftp

 


42

Gary的笔记本电脑,曾经下载过一个感染了电脑病毒的文件,名为invoice.zip。该病毒程序文件是什么时候下载?     


A

2017-10-31  12:26:20


B

2017-10-31  12:50:34


C

2017-10-31  12:29:55


D

2017-10-31  10:52:10


E

2017-10-31  12:18:54

 


43

Gary的笔记本电脑,还存有一个感染了电脑病毒的程序文件,名为\User\Gary\Downloads\invoice\dist\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?


A

2017-10-31  12:26:27


B

2017-10-31  12:50:34


C

2017-10-31  12:29:55


D

2017-10-31  10:52:10


E

2017-10-31  12:18:54

 


44

上述invoice.exe文件伪装成什么格式的软件?


A

pdf


B

jpg


C

psd


D

Docx


E

Doc

  


45

上述的\User\Gary\Downloads\invoice\dist\invoice.exe文件,最后执行日期/时间(Last Accessed Data/Time) 是什么?


A

2017-10-31  12:26:27


B

2017-10-31  12:50:34


C

2017-10-31  12:29:55


D

2017-10-31  10:52:10


E

2017-10-31  12:18:54

  


46

事实上,Gary的笔记本电脑被电脑病毒感染了,部份文件被加密,当中包括下列哪种文件类型?


a

exe


b

gif


c

jpg


d

psd


e

Docx


f

Doc





A

只有(a) & (b)


B

(a), (b), (d)  & (f)


C

(b), (c), (d)  & (f)


D

(b),  (c), (e) & (f)


E

以上皆是

 


47

上述\User\Gary\Downloads\invoice\dist\invoice.exe文件共执行多少?


A

1


B

2


C

3


D

4


E

5

 


48

上述\User\Gary\Downloads\invoice\dist\invoice.exe文件是由什么程序编写?


A

LISP


B

C++


C

Visual  Basic


D

Python


E

Java

 


49

上述\User\Gary\Downloads\invoice\dist\invoice.exe文件,执行时会呼叫下列哪个动态连结函式库(Dynamic Linked Library)


A

KERNEL32.DLL


B

USER32.DLL


C

SHELL32.DLL


D

NTDLL.DLL


E

SYSTEM32.DLL

 


50

Gary的笔记本电脑,还存有另一感染了电脑病毒的程序文件,名为\tmp\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?


A

2017-10-31  12:26:27


B

2017-10-31  12:50:34


C

2017-10-31  12:29:55


D

2017-10-31  10:52:10


E

2017-10-31  12:18:54

 


51

上述两个文件\User\Gary\Downloads\invoice\dist\invoice.exe和 \tmp\invoice.exe是什么关系?


A

前者是后者的复本


B

后者是前者的复本


C

两者MD5不相同


D

两者元数据(Metadata)相同


E

两者无关系

 


52

根据勒索讯息的显示,勒索网址是什么?


A

http://223.17.250.208:6000/C&C/


B

http://223.17.250.208/C&C/


C

http://223.17.250.208:6060/C&C/


D

http://223.17.250.208:80/C&C/


E

http://223.17.250.208:8080/C&C/

 


53

根据勒索讯息的显示,勒索金额是多少钱?


A

$1,000


B

$10,000


C

$20,000


D

$50,000


E

$100,000

 


54

根据勒索讯息的显示,下列哪个是与勒索案件有关的比特币钱包?


A

1KcjhpkowGWh5QYgPx5hYGuzbZpewgBszh


B

1KcjhpknwGWh5QYgPx5hYGuzbZpewgBszh


C

1KcjhpknwGWh5QYgPx5hYGuzbZpewgBzzh


D

1KcjhpknwGWh5QYgPx6hYGuzbZpewgBszh


E

1KcjhpknwGWh6QYgPx5hYGuzbZpewgBszh

 


55

执法机关曾在现场对Gary的电脑进行电子法证检验,期间曾撷取与勒索软件相关的屏幕影像,并储存为png格式。下列哪项是其储存位置?


A

\Users\彼得\Downloads\


B

\Users\彼得\Desktop\


C

\Users\Gary\Downloads\


D

\Users\Gary\Desktop\


E

\Users\Gary\Documents

  

Keys point à分高下


经法证工具分析后发现Gary的笔记本电脑有三个分区硬盘,所有敏感文件均储存在一个加密磁区,而其加密匙放在下列哪个位置?


A

\Windows\


B

\Users\


C

\Users\Gary\Desktop


D

\Users\Gary\Documents


E

\


团体赛考题


Questions

Gary被逮捕后,其计算机被没收并送至计算机取证实验室。经调查后,执法机关再逮捕一名疑犯Eric,并检取其家中计算机(window 8), 并而根据其家中计算机纪录, 执法机关再于其他地方取得一台与案有关的服务器,而该服务器内含四个硬盘。该服务器是运行LINUX 系统。


由于事件涉及Windows 7,8, LINUXMac IOS系统,故取证团队有可能需要使用相关系统之取证工具(105,105)


1、被检取作法证检验的LINUX系统,共有四个硬盘,已经分别被制作为四个E01法证镜像文件(Forensic Images),下列哪个不是它们的MD5哈希值(Hash value)?


A.2e4a6afe6b27188480d1b7b10e576f7c        B.c961d814f99d45b3f54e8a1d48be8544         C.a88e671fc44940620e77a9342d311133       D.c961d814f23d45b3f54e6a1d48be8544         E.cf5c42018d93c3703f744c646e7f21ae


2、上述四个法证镜像文件中,其中有一个法证镜像文件(Forensic Image)内含三个磁盘分区(Partition)。对于第三个(即最后一个)磁盘分区(Partition)而言,下列哪个是其起始磁区(Starting Sector)?


A.2048     B.1050624        C.51382271      D.51382272     E.50331648


3、上述磁盘分区(Partition)共占多少磁区(StartingSector)?


A.69924864     B.60058404     C.50331648      D.1048576       E.2048


4、在上述第三个(即最后一个)磁盘分区(Partition)当中,储存了一个名为amons.mark的文件,下列哪项为其MD5哈希值(Hashvalue)


A.01daa9fb8d1cc386bffb0c25ff57d7ea  B.64394febb8fb82520164645ade7dbaa0       C.b69894efe2f03d43d95d98856ea21674         D.74c5d7a6500d63a0308f2fc54a03eb0d        E.43309465540a069357182af1da438a07


5、在上述第三个(即最后一个)磁盘分区(Partition)当中,储存了一个名为slackware-13.37-install-dvd.iso的文件,下列哪项为其MD5哈希值(Hashvalue)


A.01daa9fb8d1cc386bffb0c25ff57d7ea  B.64394febb8fb82520164645ade7dbaa0      C.b69894efe2f03d43d95d98856ea21674

D.74c5d7a6500d63a0308f2fc54a03eb0d        E.43309465540a069357182af1da438a07


6、于上述四个法证镜像文件中,有三个硬盘共同组成一个独立磁盘冗余阵列RAID System。以磁区(sector)计算,该阵列(RAID)大小(size)是多少?


A.110051100

B.110049052

C.110049053

D.120049664

E.120049663


7、就该独立磁盘冗余阵列RAID System而言,下列哪项是其建立日期?


A.2017-09-0510:06:55    B.2017-09-06 10:06:55    C.2017-09-07 10:06:55    D.2017-09-08 10:06:55   E.2017-09-0810:06:55


8、就该独立磁盘冗余阵列RAID System而言,下列哪项是其UUID?

A.ae891891:ab1261bf:17f4b1e8:c1adaef6     B.ae891891:ac1261bf:27f4b1e8:c1adaef6         C.ae891891:ad1261bf:37f4b1e8:c1adaef6

D.ae891891:ae1261bf:57f4b1e8:c1adaef6    E.ae891891:af1261bf:67f4b1e8:c1adaef6


9、就该独立磁盘冗余阵列RAID System而言,是使用了下列哪种阵列配置排列(RAID LAYOUT)?

        

A.left-symmetric      B.right-symmetric   C.pre-Lie algebra    D.rootedtree algebras    E.vertex algebras


10、就该独立磁盘冗余阵列RAID System而言,是使用了下列哪种阵列级别(RAID LEVEL)?


A.RAID0

B.RAID 1

C.RAID 5 

D.RAID 6 

E.RAID 1 0


11、此外,在该独立磁盘冗余阵列RAIDSystem中,内含一个标示为逻辑分卷管理器Logical Volume Manager (LVM) 的磁盘分区(Partition),此分区(Partition)共有多少个磁区(Sector)?


A.110051100

B.110049052   

C.110049053   

D.120049664   

E.120049663


12、就上述逻辑分卷管理器LogicalVolume Manager (LVM)而言,下列哪个是其仅有的物理卷Physical Volume (PV) UUID ?


A.l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9

B.ysHo03-FFL9-0Tfl-zOeO-O7fn-TPzX-2p4mu0

C.UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw      

D.eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5Ul

E.UGpPyJ-lSUZ-eGJh-aEKV-OMtA-2y0I-yitBi9


13、在该物理卷Physical Volume(PV)中,下列哪个是其仅有的卷组 Volume Group (VG) 名称 ?


A.vol_vm_guests      

B.vol_vm_guest        

C.vol_guest       

D.lv_vm1 

E.lv_vm2


14、下列哪项是该卷组 Volume Group(VG) UUID ?


A.l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9 

B.ysHo03-FFL9-0Tfl-zOeO-O7fn-TPzX-2p4mu0         

C.UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw      

D.eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5Ul   

E.UGpPyJ-lSUZ-eGJh-aEKV- OMtA-2y0I-yitBi9


15、该卷组 Volume Group (VG)共有多少个LVM物理区域PhysicalExtent (PE)?


A.50       B.3210     C.3456      D.6666     E.6716

         

16、该卷组Volume Group (VG)共划分了多少个物理区域PhysicalExtent (PE)用了配置逻辑卷Logical Volume (LV)?

         

A.50        B.3210     C.3456      D.6666     E.6716

        

17、该卷组Volume Group (VG)还余下多少个物理区域PhysicalExtent (PE)未被配置使用?


A.50        B.3210     C.3456      D.6666     E.6716

        

18     就该卷组Volume Group (VG)而言,每个物理区域PhysicalExtent (PE)的大小(size)是多少?


A.1MB     B.2 MB     C.4 MB     D.8 MB    E.16 MB

         

19、事实上,该卷组Volume Group(VG) 共配置了两个逻辑卷组Logical Volume (LV),第一个逻辑卷组Logical Volume (LV) UUID ?


A.l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9         

B.ysHo03-FFL9-0Tfl-zOeO-O7fn-TPzX-2p4mu0

C.UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw      

D.eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5Ul

E.UGpPyJ-lSUZ-eGJh-aEKV-OMtA-2y0I-yitBi9


20、上述第一个逻辑卷组LogicalVolume (LV)的名称是什么 ?

         

A./dev/loop0    B.vol_vm_guest        C.vol_guest       D.lv_vm1 E.lv_vm2


21、上述第一个逻辑卷组LogicalVolume (LV)共占据了多少物理区域Physical Extent (PE) ?


A.50 B.3210     C.3456      D.6666     E.6716


22、上述第一个逻辑卷组LogicalVolume (LV)的建立时间是什么 ?


A.2017-09-0605:02:16 +0800

B.2017-09-0705:02:16 +0800          

C.2017-09-0805:02:16 +0800

D.2017-09-0905:02:16 +0800         

E.2017-09-1005:02:16 +0800


23、在上述第一个逻辑卷组Logical Volume(LV)当中,储存有一个名为duncan.mark的文件,下列哪项为其MD5哈希值(Hash value)?


A.01daa9fb8d1cc386bffb0c25ff57d7ea  B.8da97369e625574d1d8145d49ca9b61c      C.b69894efe2f03d43d95d98856ea21674

D.74c5d7a6500d63a0308f2fc54a03eb0d        E.43309465540a069357182af1da438a07


24、在该卷组Volume Group (VG)共配置了两个逻辑卷组Logical Volume (LV),其中有一个逻辑卷组Logical Volume (LV)是用作运行Ubuntu 系统,该逻辑卷Logical Volume (LV) UUID是什么?


A.l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9

B.ysHo03-FFL9-0Tfl-zOeO-O7fn-TPzX-2p4mu0

C.UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw      

D.eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5Ul   

E.UGpPyJ-lSUZ-eGJh-aEKV- OMtA-2y0I-yitBi9


25、在上述逻辑卷组Logical Volume(LV)当中,储存有一个名为lora.mark的文件,下列哪项为其MD5哈希值(Hash value)?


A.01daa9fb8d1cc386bffb0c25ff57d7ea  B.8da97369e625574d1d8145d49ca9b61c      C.b69894efe2f03d43d95d98856ea21674

D.74c5d7a6500d63a0308f2fc54a03eb0d        E.43309465540a069357182af1da438a07


 26、事实上,上述被检取作法证检验的LINUX系统,曾经运行了三个虚拟机器(Virtual Machine, VM),下列哪项组合包含了上述全部曾运行的虚拟机器?

         i        Gentoo     ii       Slackware         iii      Ubuntu     iv      Antergos  v       CentOS


A.(i), (ii) (iii)

B.(i),(iii) (iv)

C.(i),(iii) (v)

D.(ii),(iii) (v)

E.(i),(iii) (v)


27、在上述三个虚拟机器(Virtual Machine, VM)当中,其中有一个储存了可用作编程(Coding)的勒索软件源码( Source Code),它是使用了下列哪个本地IP 地址 (Local IP Address) ?

         

A.192.168.122.198 

B.192.168.10.10      

C.192.168.122.214     

D.192.168.122.157 

E.192.168.122.2


28、在上述三个虚拟机器(VirtualMachine, VM)当中,其中一个曾经安装并运行过私有云软件,它是使用下列哪个本地IP 地址 (Local IP Address) ?


A.192.168.122.198 

B.192.168.10.10      

C. 192.168.122.214    

D.192.168.122.157 

E.192.168.122.2


29、在上述三个虚拟机器(VirtualMachine, VM)当中,其中一个安装了FTP服务器服务,它是使用下列哪个本地IP 地址(Local IP Address) ?


A.192.168.122.198 

B.192.168.10.10      

C.192.168.122.214

D.192.168.122.157 

E.192.168.122.2


30、在个人竞赛中,Gary的手提电脑(Win7OS)发现有勒索程序invoice.exe。就是次团体竞赛中,于题27中提及过的虚拟机器(Virtual Machine, VM)里,在哪个位置能发现此勒索程序的原始代码?


A..../Python-Serverless-Ransomware-master/…    

B.…/holy_crypt-1.1/…      

C       …/setuptools-master/…

D.…/invoice/… 

E.…/ransomware-master/…


31、根据上述勒索程序的原始代码,哪行程序代码显示该程序进行自我复制(Self-replication)?


A.8   B.70 C       74     D.84          E.119


32、根据上述勒索程序的原始代码,哪行程序代码显示开始进行文件加密(Encryption)?


A.8   B.70 C       74     D.84          E.119


33、根据上述勒索程序的原始代码,该程序总共能加密多少类型文件?


A.19 

B.20 

C.21 

D.22          

E.不能加密


34、根据上述勒索程序的原始代码,该程序是使用何种加密标准?


A.DataEncryption Standard (DES)  

B.AdvancedEncryption Standard (AES)   

C.RSA (Rivest–Shamir–Adleman)

D.Twofish E.Blowfish


35、根据上述勒索程序的原始代码,哪行程序代码显示连接指挥及控制(Command & Control, C&C)服务器。


A.2   B.70 C.74 D.84  E.119


36、于题28中提及过的虚拟机器(VirtualMachine, VM)曾经运行过一个私有云软件,提供私有云服务,并储存有一个于2017 1030日建立的PCAP文件,下列哪个是其MD5哈希值(Hash value)?


A.36a179aebadcd697e11bf0bbad7c4d8a       B.88ac535e35792b72efd768c2f8c11f94

C.9e4bf671e1d44da9e085c4c790116e59

D.0ac9f639679361708832c77950f93be2        E.1b385451a788a825673c31862566e0a5


37、运行在此虚拟机器(VirtualMachine, VM)的私有云软件,根据其设定,下列哪项是其对外连结的URL?


A.http://mantech.mood.com:8000         

B.http://mantech.mooo.com:8000         

C.http://mantech.mooo.com:8080

D.http://mantech.mooo.com:8088         

E.http://mantech.mooe.com:8000

         

38、此私有云软件,会使用内置RPC框架(InternalRPC framework),其ID是什么?

[: RPC –远端过程调用(Remote Procedure Call) ]          


A.1318f3e6015c708ef841013094b83689adc97573

B.1318f3e6015d708ef841013094b84689adc97573        

C.1318f3e6015e708ef841013094b85689adc97573

D.1318f3e6015f708ef841013094b95689adc97573

E.1318f3e6015g708ef841013094b05689adc97573

         

39、此虚拟机器(VirtualMachine, VM)中的私有云软件,会连接上一个本地MySQL 数据库,登入密码是什么?


A.f0123    B.f1234    C       f1334       D.f1134    E.f2345


40、在上述运行私有云软件的虚拟机器(VirtualMachine, VM)中,遗留了一个以日期为文件名称的PCAP文件,它共记录了多少个数据包(Packet)

         

A.85193   B.85194   C.85195   D.85196   E.85197


41、上述PCAP文件共占据了多少时间?


A.1447  B.1457  C.1537   D.1547  E.1557


42、上述PCAP文件记录了多少个公共IP地址(Public IP)?


A.3   B.4   C.5   D.6   E.7


43、根据上述PCAP文件,总流量值最高的公共IP地址是哪个?


A.14.0.229.190        B.49.130.131.245    C.118.140.184.98    D.37.218.240.198   E.37.218.240.199


44、根据上述PCAP文件,最高下载流量的公共IP地址是哪个?


A.14.0.229.190        B.49.130.131.245    C.118.140.184.98    D.37.218.240.198   E.37.218.240.199


45、根据调查得知,上述PCAP文件是前文提及的私有云软件尚在运作时的上传/下载资料记录。当中记录了Gary曾于该私有云浏览与案有关的枪械照片,共有三张(不计缩略图)。请按时间顺序,找出其MD5哈希值。

第一张枪械照片的MD5哈希值是什么?


A.89c68c45a7e4d10f409cf2764fd44c33          B.d291d1da748ce7fb4ba408a6bbbcb222         C.37088010ef0f8730c0f8600653b1fca2

D.9fd7afbdb5d682525509b3b57f4c0c91         E.003bc4bfbd364bd447648ea36cd1c514


46、第二张枪械照片的MD5哈希值是什么?


A.0585b1c1d2e132e32ce3928be2b60d6a      B.e9a21071a5df65d43ea2a75fab51279e         C.5a078264ecd55918308a3164eefee7f3        D.a9c2962d2e0f31b067ae1b1d04ec9d94         E.b9b039a8aed7132cc9630788f9d698f2


47、第三张枪械照片的MD5哈希值是什么?    

A.b23d4610b0012ac47cb0f60bae8ee0a7       B.7c1bf67df7aab0db10c68f9646e9a674         C.bdbb0f0915790aa718d6837025ecf269

D.f94398336683d9878f9ea7598f2e40dd        E.e533c315c7000ad15227a2670f606334


48、上述枪械照片是经下列哪个浏览器软件浏览的?


A.Chrome         B.QQ Browser C.Internet Explorer D.Firefox  E.Opera


49、在题29中提及过的虚拟机器(VirtualMachine, VM),曾安装并提供过FTP服务,请问是下列哪种FTP?

         

A.vsftp      B.gftp       C       WinScp     D.ProFTP E.Fire-FTP


50、根据该FTP服务器的日志,只记录了一个公共地址IP曾上传(UPLOAP)过资料,是下列哪个?


A.125.203.195.185 B.14.0.226.51 C.192.168.1.57         D.210.3.88.181        E.45.64.240.68


51、根据该FTP服务器的日志,用户warrior曾上传过哪些资料?

i)       Desert.jpgii)     6cd5c528b5f00233ba7e0ba154de0309.jpg   iii)  Koala.jpg   iv)invoice.exe  v)invoice.02.exe

         A.i

         B.i,ii

         C.i,ii, iv

         D.ii,iv,v

         E.i,iii, iv, v


52、根据该FTP服务器的日志,用户warrior第一次上传的时间为:


A.2017-10-2711:51:38 (UTC)  

B.2017-10-28 03:35:51(UTC)  

C.2017-10-28 09:44:28 (UTC)  

D.2017-10-28 03:33:22 (UTC)

E.2017-10-3102:01:30(UTC)


53、上述安装了FTP 服务器服务的虚拟机器(VirtualMachine, VM)内,储存有一个名为invoice.exe的执行文件,下列哪项是其储存位置?


A./home/lora   

B./home/warrior/doc      

C       /home/warrior/photo      

D./etc/doc-base      

E./var/log


54、上述执行文件invoice.exeMD5哈希值(Hashvalue)是什么?

A.9d377b10ce778c4938b3c7e2c63a229a       B.bdf3bf1da3405725be763540d6601144       

C.5690ebcf2a6233ba743fbbd37b0b13a6

D.5a44c7ba5bbe4ec867233d67e4806848      E.fafa5efeaf3cbe3b23b2748d13e629a1


55、上述执行文件invoice.exe是使用了什么执行文件格式(ExecutableFile Format)?


A.PE32     B.PE64     C       ELF   D.COFF     E.XCOFF


56、下列哪项不是上述执行文件invoice.exe的执行文件格式的节表(SectionTable)?


A..text      B..rdata   C       .reloc        D..data    E..rsrc


57、Eric的手提电脑内的虚拟机器己成功取证并制作成法证镜像文件 (Forensic Image),下列哪个是其MD5哈希值。


A.0CFB3A0BB016165F1BDEB87EE9F710C9    B.F4089F7DA826DF56654C7AAE32D583C2

C.A0BB016160CFB3A0BB0161661670CFB3    D.16160CFB3A0BB016166A0BB016166167

E.FB3A0BB016165B016166 A0DF7FJE2EJ0


58、根据上述法证镜像文件 (ForensicImage)的显示,Eric是使用的下列哪个虚拟机?


A.Parallel 

B.Virtual Box    

C.VMware        

D.KVM     

E.Xen


59、根据法证镜像文件(Forensic Image),内有多少个硬盘分区?


A.1   B.2   C.3   D.4   E.5


60、请找出系统文件“SOFTWARE",请问操作系统的安装日期是?

(答案格式-“世界协调时间":YYYY-MM-DD HH:MM UTC


A.2013-10-1721:27 UTC         

B.2013-11-14 02:11 UTC         

C.2017-09-28 06:16 UTC         

D.2017-10-02 02:10 UTC 

E.2017-10-03 12:14 UTC         


61、用户“IEUSER"的SID是什么?

         

A.500        B.1000     C.1001      D.1005     E.1007

         

62、用户“IEUSER"的最后登入日期?


A.2013-08-22   B.2017-10-28   C.2017-10-30   D.2017-11-01  E.2017-11-02  


63、硬盘的操作系统是什么?


A.windows7     

B.windows8     

C.windows10   

D.Linux Red Hat 7.1         

E.MAC OS X     


64、根据执法机关调查所得,Eric曾经对暗网进行资料搜寻,并储存于电脑上。根据Eric 电脑上资料,那些来自暗网(Dark Web)并与洋葱网域(.onion)有关的信息,存放于哪个文件?


A.好东西 B.暗东西 C.坏东西 D.宝贝     E.你的宝贝


65、上述的文件,提及了多少条洋葱网域(.onion)的信息?


A.1   B.2   C.3   D.4   E.5


66、Eric 曾在其电脑使用浏览器Chrome,浏览过一些有关“如何学习PHP网页计”的信息,下列哪项是相关的浏览记录?


A.www.yiyada.com

B.www.hackdig.com/

C.www.carbonblack.com

D.www.antiy.com/

E.click.alibabacloud.com/


67、Eric还曾在其电脑使用浏览器Chrome,搜集过一些有关勒索软件的信息,下列哪项不是相关的浏览记录?


A.www.hackdig.com/

B.click.aliyun.com/

C.www.carbonblack.com

D.click.alibabacloud.com/

E.www.antiy.com/


68、根据执法机关调查所得,Eric更在上述其中一个网站下载了相关的勒索软件信息,是一份名为“揭开勒索软件的真面目”的文件。根据Eric电脑记录,是从哪个网站下载的?


A.www.hackdig.com/      

B.click.aliyun.com/  

C.www.carbonblack.com         

D.click.alibabacloud.com/        

E.www.antiy.com/


69、续上题,该份名为“揭开勒索软件的真面目”文件的MD5哈希值(Hash value)是什么?

A.9110c96baa70c00acd8fbdfe2dc7c397         B.0258646764b1cb36ca2570090062b65c         C.ce38881d8f63a00973e6324bc1bf9245

D.703899985d881e2d103eb4fd1306be2e      E.84af8511ca9a66e79cfb28da0da2ee76


70、Eric 曾在其电脑制造勒索网站,下列哪项是相关网站的首页位置?

A.\Windows\C&C\   

B.\xampp\htdocs\C&C\   

C.\xampp\apache\C&C\  

D.\xampp\httpd\C&C\     

E.\inetpub\wwwroot\C&C\


71、Eric 曾经收过一封有关mantech.mooo.com信息之电邮,标题为"你的东西到了",根据Eric计算机记录,下列那个是发信人电邮地址之域名(Domain Name)?


A.guerrillamail.com          B.guerrillomail.com          C.guerrillbmail.com D.guerrillcmail.com          E.guerrilldmail.com


72、该封有关mantech.mooo.com信息的电邮,曾提及一个密码(Password),是什么?


A.Fewer@4      B.Much@5       C.Less@6 D.More@6       E.Echo@7


73、该封有关mantech.mooo.com信息的电邮,曾提及其相关连接埠,是多少?


A.1100018000   B.1080018000   C.1600018000    D.1700018000   E.17001 18000


74     此外,亦有另一封有关mantech.mooo.com信息之电邮,曾提及一个云盘,而其相关端口,是多少?


A.8000     B.8001     C.9000      D.9002     E.11000


75     Eric 曾经收过一封标题“你要的宝贝到了”的电邮,根据Eric电脑记录,下列哪个是发信人电邮地址(不包括域名)?

         

A.8xhbjn+3u2w1yitqmaws       B.8xhbjn+3u2w1yitqmows       C.8xhbjn+3u2w1yitqmbws       D.8xhbjn+3u2w1yitqmsws

E.8xhbjn+3u2w1yitqmtws


76     上述该封标题“你要的宝贝到了”的电邮,附有一个电邮附件,详述了如何编写勒索软件。有关资料的提供者是谁?


A.DaveKen      B.AmitSerper   C.AmitPerper   D.ChrisKennedy       E.David Kennedy


77     上述电邮附件,还提及过编写勒索软件相关原始码(Program Code),其中显示Advanced Encryption Standard (AES)加密方法字眼的图片,其MD5哈希值(Hashvalue)是什么?


A.a93a6572335e37863f5d611293c6660         B.95c60bbc1cb267f85e51f99c2c9646f5 C.0e20d5f091eac98f6e196dcda2c73837

D.ee2b59e91e829e3b3d350d8c14306dcb      E.f4b881e8a08d4bd40c5ee96ab3580bc8


78     在个人竞赛中,Gary曾经收到一封来自电邮帐号eric_wang99@outlook.com 的电邮,附加有三张与Apple iCloud有关的钓鱼网站相片。现经执法机关调查后,得知此电邮的发信人就是Eric。在Eric的电脑中,在哪位置可以找到电邮?

         A.\Users\IEUser\AppData\Roaming\Thunderbird\Profiles\szoyi44h.default\ImapMail\imap-mail.outlook.com\Sent-1\网站价钱\

        B.\Users\IEUser\AppData\Roaming\Thunderbird\Profiles\szoyk44h.default\ImapMail\imap-mail.outlook.com\Sent-1\网站价钱\

         C.\Users\IEUser\AppData\Roaming\Thunderbird\Profiles\szoyl44h.default\ImapMail\imap-mail.outlook.com\Sent-1\网站价钱\


D.  \Users\IEUser\AppData\Roaming\Thunderbird\Profiles\szoym44h.default\ImapMail\imap-mail.outlook.com\Sent-1\网站价钱\

         E.\Users\IEUser\AppData\Roaming\Thunderbird\Profiles\szoyn44h.default\ImapMail\imap-mail.outlook.com\Sent-1\网站价钱\


79     续上题,在Eric的电脑中,在哪位置可以找到上述钓鱼网站资料?


A.\inetpub\wwwroot\itunes\itones\       

B.\inetpub\wwwroot\itunes\itenes\       

C.\inetpub\wwwroot\itunes\itanes\

D.\inetpub\wwwroot\itunes\itunes\       

E.\inetpub\wwwroot\itunes\itumes\


80     Eric电脑储存了一个icloud数据库供上述钓鱼网站所使用,根据相关记录,有多少IP地址是“登陆成功”?


A.13 B.14 C.15 D.16          E.17


81     根据执法机关调查所得,Eric是使用一个文件传输软件,进行网上远端文件存取,以逃避执法机关追查。下列哪个是相关软件。


A.vsftp      B.gftp       C.ProFTP  D.Filezilla E.Fire-FTP


82     上述文件传输软件相关的传输日志是储存在哪里?

A.Users\IEUser\Pictures\log\  

B.Users\IEUser\Documents\   

C.Users\IEUser\Pictures\log\  

D.Users\IEUser\Music\

E.ProgramFiles\


83     根据上述相关文件的传输日志显示,能成功登入的用户,有以下哪个用户?

(请选择其中一项)

         i        amons      ii       duncan     iii    lora  iv      warrior   v       eric           

A.i ii

B.i,iii v

C.i,iv v

D.i,iii iv

E.只有iv


84     根据上述成功登入的日志记录,该传输服务器的网址是什么?

(请选择其中一项)


A.http://mantech.mooo.com:8000         

B.http://mantech.mooo.com:9000         

C.http://mantech.mooo.com:17001

D.http://mantech.mooo.com:18000       

E.http://mantech.mooo.com:18001


85     根据上述相关文件的传输日志显示,能成功从服务器下载文件的用户,是以下哪个用户?

         

A.amons  B.duncan C.lora        D.warrior          E.eric


86     根据上述相关文件的传输日志显示,用户是使用了什么传输网址最后成功从服务器下载文件?

         

A.http://mantech.mooo.com:8000         

B.http://mantech.mooo.com:9000         

C.http://mantech.mooo.com:17001

D.http://mantech.mooo.com:18000       

E.http://mantech.mooo.com:18001


87     根据Eric电脑的浏览网页记录,他是何时浏览私有云盘http://mantech.mooo.com:8000?

A.2017-10-29   

B.2017-10-30   

C.2017-10-31       

D.2017-11-01  

E.2017-11-02


88     执法机关曾在Eric的电脑进行现场搜证并检取其虚拟内存,放在下列位置中:

Users\IEUser\Desktop\RAM\ , 文件名称:Memory.vmem。下列哪项是其MD5哈希值?


A.3A70A392F8FF1DE83F8CAE94C4E71427     B.5F1BDEB87EE9F710C90CFB3A0BB01616

C.F68778AE77C4E4B88212B179C4622FC4     D.16160CFB3A0BB016166A0BB016166167

E.FD3AFD63F34F167EAD59CD66B08ADEBF


89     在该段内存中,共运行了多少个进程(以独立程序ID计算)

         

A.16 B.25 C.48 D.54          E.62

         

90     就进程w3wp.exe而言,下列哪项是该程序产生次序?


A.wininit.exe>services.exe  > w3wp.exe >svchost.exe

B.smss.exe>services.exe  > svchost.exe >w3wp.exe

C.wininit.exe>services.exe  > svchost.exe >w3wp.exe

D.csrss.exe>>svchost.exe  >services.exe  > w3wp.exe

E.System>services.exe  > svchost.exe > w3wp.exe


91     根据调查资料,Eric总是使用filezilla软件上传/下载文件。filezilla的程序ID是什么?

         

A.4   B.780        C.820        D.3096     E.3228

        

92     上述filezilla进程的父程序(ParentPID) 是什么?

         

A.516        B.1536     C.1676      D.2284     E.3124

         

93     你知道程序ID:3932是什么进程(process)吗?

         

A.winlogon.exe        

B.QQBrowser.exe    

C.QQProtect.exe      

D.svchost.exe  

E.chrome.exe

         

94     请从该段内存中提取(Extract)上述filezilla进程的原来执行档 -filezilla.exe文件,并计算其md5哈希值(hash value)。下列哪行是该md5哈希值?

         

A.43502d07de3d31f05f1623b76c47a58e        B.7cac848d4a36e5c5d3773b4cd213fab4         C.2717eae9129e3943d33c639825654425

D.98eb240853589172c82e3d7935e9b7ba         E.147fc1da6b0a752be633dcb20553450

         

95     根据上述的取回的文件filezilla.exe,它在执行时会呼叫多少个动态连结函式库(Dynamic Linked Library)?

         

A.32 

B.56 

C.73 

D.82         

E.98

         

96     Eric的电脑中,还储存有一个同名的文件filezilla.exe,你能找到该文件的md5哈希值(hash value)吗?

         

A.43502d07de3d31f05f1623b76c47a58e        B.7cac848d4a36e5c5d3773b4cd213fab4         C.2717eae9129e3943d33c639825654425

D.98eb240853589172c82e3d7935e9b7ba         E.147fc1da6b0a752be633dcb20553450         


97     该段内存中有多少个连接埠与svchost.exe有关?

         

A.3   B.4   C.5   D.6         E.7


98     Eric有一个苹果可携式设备,并备份到电脑,密码是wangapple,最后备份的日期是什么?

         

A.2017-10-22   B.2017-10-23   C.2017-10-24   D.2017-10-25  E.2017-10-26

         

99     该苹果可携式设备,是什么型号?

         

A.MLQ32ZP/C  B.MLQ64ZP/B  C.MLQ32ZP/B  D.MLQ64ZP/A E.MLQ32ZP/A

         

100  该苹果可携式设备名称是什么?

         

A.bean iPhone   

B.bean iPad        

C.beaniPad Mini          

D.beaniPod         

E.beaniPod Touch

         

101  该苹果可携式设备序号是什么?

         

A.4D85FA6D4FD2    B.6F7E653CCSD48   C.3CCSD46F7E653   D.DLXRH10JGXQ4   E.10JGXQ4DLXRH

         

102  Eric的苹果可携式设备备份内,储存了枪的数张相片,是与网页thegunstorelasvegas.com有关,有多少张图片是存放于屏幕快照文件夹内?

         

A.2   B.3   C.4   D.5   E.6

         

103  根据该苹果可携式设备的备份所显示,下列哪三项有可能是Eric意图购买的枪械型号?

         i.SPRINGFIELDXDS9 9MM

         ii       M4.223    iii      MP45 M2.0      iv      Springfield Armory SAINT AR-15 5.56/223Carbine         v       Springfield Armory SAINT AR-15 5.56/224 Carbine

                   

A.i,ii, iii

B.iii,iv, v

C.i,iii, iv

D.i,iii, v

E.全部皆是

         

104  Eric的苹果可携式设备的备份内,在其中一张相片中,显示一款枪价值是$949.9,你能找出该相片的MD5哈希值?

         

A.42b3e17a7d431f8c09ff319d970faae2          B.63878942da949014adca2a1ce304caf0         C.4caae44fbe76c22206dc986ac88b3006

D.4bc423d322bca4a1cf7b407ff31ad4cc          E.82b53001f6ceb5181ffaef472097c24a

         

105  Eric的苹果可携式设备备份内,有多少相片与”深水战士”有关?

         

A.IMG_0006.JPG     

B.IMG_0035.PNG    

C.IMG_0060.PNG    

D.IMG_0062.PNG  

E.IMG_0072.JPG



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存