2019美亚杯个人赛

1.何源的个人计算机硬盘已成功被取证并制作成镜像（ForensicImage），下列哪个是镜像的SHA1哈希值？

A.6891d022c7e6fe81dc8ba2160e1ab610891596d3
B.3e57817ea6263bc2c696a3455cc96381
C.ed43de631a56dd2c8bac4abbd3882c86
D.dd32beac5ef2cd1cac06bdd8b5e88cbc4eb94de9
E.48a45c39da458f3cadd92017e0247454dc8bff66

2.在何源的个人计算机中，硬盘中包含哪个操作系统（OperatingSystem）？C
A.Windows7
B.FAT32
C.Windows10
D.KaliLinux
E.NTFS

3.何源个人计算机的文件系统(FileSystem)是什么？D
A.FAT16
B.FAT32
C.Windows7
D.NTFS
E.Windows10

4.在何源的个人计算机中，你能找到操作系统分区的总容量吗(单位：字节byte)？A
A.492,083,081,216
B.105,685,986,874
C.386,908,999,680
D.105,174,081,536
E.492,594,986,554

同上

5.在何源的个人计算机中，操作系统分区的$Bitmap的起始物理扇区位置(PhysicalSectorNumber)是多少？
A.5,683,328
B.6,170,040
C.7,026,176
D.8,498,304
E.9,168,216

 

 

 

6.在何源的个人计算机中，请问操作系统的安装日期是？（答案格式－“世界协调时间＂：YYYY-MM-DDHH:MMUTC）A
A.2019-10-1604:44UTC
B.2019-10-1716:25UTC
C.2019-10-1610:12UTC
D.2019-10-1802:13UTC
E.2019-10-1809:14UTC

 

 

 

7.在何源的个人计算机中，每个扇区(Sector)包含多少个字节？（单位:byte）A
A.512bytes
B.1024bytes
C.2048bytes
D.4096bytes
E.8192bytes

尝试，NTFS

8.在何源的个人计算机中，操作系统的时区是哪个时区？E
A.EasternStandardTime(GMT-05:00):USandCanada
B.PacificStandardTime(GMT-08:00):Tijuana
C.KoreaStandardTime(GMT+09:00):Seoul
D.GMTStandardTime(GMT):Dublin,Edinburgh,Lisbon,London
E.ChinaStandardTime(GMT+08:00):Beijing,Chongqing,HongKong,Shanghai

 

 

 

9.在何源个人计算机的操作系统中，下列哪个是计算机的主机名?D
A.DESKTOP-JW47K02
B.HEYuan-WIN1
C.HEYuan-WIN2
D.DESKTOP-SM22M96
E.DESKTOP-WE23K24

 

 

 

10.在何源的个人计算机中，以下哪一个是用户“HeYuan”的SID？B
A.S-1-5-21-1551135561-2581751248-1803739423-1001
B.S-1-5-21-1551135561-2581751248-1803739423-1000
C.S-1-5-21-1551135561-2581751248-1803739423-500
D.S-1-5-21-1551135561-2581751248-1803739423-501
E.None

 

 

 

11.在何源的个人计算机中，下列哪个USB移动储存装置(U盘)曾被分配为‘E’磁盘分区代号(DriveLetter)?
A.KingstonDataTraveler3.0USBDevice
B.SanDiskTranscendUSBDevice
C.SamsungPortableSSDUSBDevice
D.WDMyPassport3.0USBDevice
E.SeagateFlashDiskUSBDevice

12.在何源的个人计算机中，用户“HeYuan”曾经在挂载为“E”盘的USB移动储存装置中访问过一些文件/文件夹，以下哪一个不是？
A.E:\美国恐怖故事
B.E:\NewTextDocument.txt
C.E:\CONFIDENTIAL.doc
D.E:\PycharmProjects
E.A,B,C,D

 

 

 

 

 

 

 

 

 

 

13.在何源的个人计算机中，用户“HeYuan”最近在本机上访问过一些文件，以下哪一个不是？
A.SampleProjectPlan.doc
B.URGENT.doc
C.connect.py
D.美国恐怖故事01.mp4
E.Comprehensive-Minute-Template.doc

 

 

 

 

 

 

 

 

 

 

 

14.在何源的个人计算机中，以下哪一个是程序“VERACRYPT.EXE”的运行次数？
A.1
B.2
C.3
D.4
E.6

 

 

 

15.在何源的个人计算机中，在程序“VERACRYPT.EXE”运行时，以下哪个dll文件并没有同时被加载？
A.COMDLG32.DLL
B.CRYPT32.DLL
C.SECUR32.DLL
D.CRYPTSP.DLL
E.ENCRYPT.DLL

16.在何源的个人计算机中，用户“HeYuan”的桌面墙纸（Wallpaper）背景是什么颜色？
A.黑色
B.灰色
C.蓝色
D.红色
E.绿色

17.在何源的个人计算机中，以下哪个文件在电脑poweroff的时候仍然拥有内存的内容?此文件具有与电脑内存（RAM）相似的大小并保存在根目录。
A.WIN386.SWP
B.HIBERFIL.sys
C.PAGEFILE.SYS
D.NTUSER.DAT
E.SWAPFILE.SYS

18.在何源的个人计算机中，以下哪个database文件存有此操作系统的timeline痕迹？
A.SRUDB.dat
B.Windows.edb
C.Spartan.edb
D.ActivitiesCache.db
E.Thumbs.db

 

 火眼跳转源文件

19.在何源的个人计算机中，曾被分配过的ip地址是？
A.147.8.177.224
B.147.10.188.23
C.192.168.0.110
D.10.12.9.214
E.192.168.1.2

 

 

20.在何源的个人计算机中，用户”Administrator”的InternetExplorer浏览器的startpage是以下哪个？
A.http://go.microsoft.com
B.https://www.bing.com
C.http://www.baidu.com
D.https://www.google.com
E.http://hao.360.cn

 

 

 

21.在何源的个人计算机中，你是否可以找到何源iPhone手机的线索。关于他的手机，以下哪条信息不正确？
A.IMEI：359461082062689
B.SerialNumber：F17V1L6EHG70
C.AppleID：heyuan516@icloud.com
D.MSISDN:85259114189
E.无

 

 

 

 

 

 

 

 

 22.用户“HeYuan”在WhatsApp上与谁进行了对话？

A.KeanuReeves
B.MichaelNyqvist
C.PeterWang
D.JohnManager
E.MichaelBrown

 

 

 

23.在手机联系人中，AnthonyChung的手机号是多少？
A.+85252018664
B.+85257025241
C.+85257024765
D.+8613890274976
E.+8613928749036

 

 

 

24.HeYuan在iPhone自带的Safari浏览器中搜索过一些关键词，以下哪一个不是？
A.野狼disco
B.拜佛过人professor
C.engineer'sday1024
D.Programmer'sDaynobug
E.poptown攻略

 

 

 

 

 

 

 

 

 

  

25.用户“HeYuan”的WeChatID是多少？
A.HEYUAN516
B.wxid_9y8cs5hdin2i15
C.wxid_9y8cs5hdin2i14
D.wxid_9y8cs5hdin2i13
E.wxid_9y8cs5hdin2i12

 

 

 26.在WeChat的多个聊天记录中，用户“HeYuan”没有聊到过哪个话题？

A.与中介谈买房
B.与老板谈洗钱
C.与黑客谈交易
D.与网贷谈借钱
E.与朋友谈炒房

除了B都有 

27.从WeChat中的一个聊天记录中可知，用户“HeYuan”持有多少人的数据？
A.About500
B.About1000
C.About2000
D.About3000
E.About5000

 

 

 

28.接上题，Hacker最后要支付多少Bitcoin给HeYuan?
A.0.002312
B.0.066666
C.0.036354
D.0.014594
E.0.012398

 

 

 

29.接上题，HeYuan的Bitcoin收款地址是多少？
A.cI7g0tIzPuP2pxb20HQHNGOQdpmptDaCBf
B.InCeInFZmAP3PCLHLOchKTEZevQdHgQdP3
C.4qISisBY2Z8xgh9C6orRfuRzmzXKznUc5Z
D.18yZq8Dboyuvnd3R6pqG9kJkaZBki2JCoN
E.n5X7jwdPspKRgnZU6xzcEQueJanRqGdZQd

 

 

 

30.接上题，HeYuan分享给Hacker的百度网盘链接是多少?
A.https://pan.baidu.com/s/u8rLTgLZabfd9Va1wRjzyc9
B.https://pan.baidu.com/s/nIDo2yLop_ciNUxihF2cZi8
C.https://pan.baidu.com/s/N6RiGxMZDnswlOUKRi0IB6Q
D.https://pan.baidu.com/s/uFUc4W0zYmrGZMOxVm843GU
E.https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY3Ww

 

 

 

31.接上题，HeYuan提到的解压密码是多少？
A.bAtNyn3lHwP8xXW
B.hNfpdKcJlvpEFEa
C.decrypt123456
D.2019123456
E.HetoHacker123456

 

 

 

32.接上题，HeYuan收到了来自哪位hacker的转账？hacker的wechatID是多少？
A.Kevin,wxid_ugo2wrc3fuci22
B.Scott,wxid_i1lhj24r792i22
C.Iva,wxid_7qh2jzeomtvp22
D.John,wxid_QAZbWKIgIz4jpu
E.Jack,wxid_dbEx7dtbX4zPbb

 

 

 33.根据Wechat聊天记录，HeYuan在2019-10-26号（UTC+8）晚上跟哪位朋友出去吃晚饭了？朋友的WechatID是多少?

A.IronMan,wxid_0ZYBi7dchvMIym
B.BlackPanther,wxid_zSrai2bRoLUNVb
C.RedBull,wxid_2yy2ekynoLbnq3
D.WhiteTiger,wxid_whMQ2YOLPiNNt7
E.BlackSheep,wxid_s00vt9uixjq922

 

 

 

34.在2019-10-31(UTC+8)，何源用iPhone手机在车库拍了一些车的照片,请问最早的那张车照片是什么时候拍的？
A.10/31/201918:53:29PM(UTC+8)
B.10/30/201910:43:27AM(UTC+8)
C.10/26/201919:53:29PM(UTC+8)
D.10/28/201920:40:30PM(UTC+8)
E.10/27/201910:53:29AM(UTC+8)

 

 

 

35.接上题，请问照片”IMG_0075.HEIC”拍摄地GPS坐标是以下哪一个？
A.28deg13'5.25"N,125deg9'6.34"E
B.22deg17'1.36"N,114deg8'9.91"E
C.120deg23'5.58"N,119deg7'4.53"E
D.88deg6'2.14"N,130deg6'7.86"E
E.100deg17'1.36"N,224deg6'8.57"E

 

 

 

36.在何源的个人计算机中，你能找到一个Veracrypt加密容器文件吗？它的原始文件名是？
A.containerx.txt
B.VC_Container
C.$RV61F4M
D.dataencrypt.txt
E.$IV61F4M

 

 

 仿真诱捕大法好

37.接上题，此Veracrypt加密容器文件之前可能被挂载为哪一个盘符(driveletter)?
A.A:
B.B:
C.Z:
D.D:
E.E:

38.在何源的个人计算机中，何源曾在电脑上登陆过客户端百度云盘，请问他的Baidu账号是多少？
A.Yuanhe516
B.Heyuan516
C.Heyuan515
D.Yuanhe515
E.None

 

 

 

 

39.在何源的个人计算机中，何源利用客户端百度网盘上传过一些文件，请问以下哪一个是？
A.美国恐怖故事04.mp4
B.Crawler_connect.py
C.fileencrypt.doc
D.Secret.xlsx
E.Company_info.xlsx

 

 

 

40.在何源的个人计算机中，何源iPhone手机中的一些图片曾被同步到他的百度网盘中，请问图片“2019-06-21 113537.jpg”的MD5hash值是多少？
A.fe41107c5260498e67171755e2b4bb1d
B.6055e4fa9e8a56c708a3db7198d091e7
C.7b8e1183d80962c0ad5a95ec673317a7
D.148685a257c49247f09b942237f1a248
E.db4a58e48ef51ca2c6c0f6e07f44d186

 

 

 

取证大师

41.在何源的个人计算机中，何源用百度网盘上传文件“/美国恐怖故事/美国恐怖故事01.mp4”的起始时间是？（格式：UNIXTimestampUTC+8）
A.1572506551
B.1572506618
C.1572506608
D.1572506551
E.1572507864

 

 

 

42.在何源的个人计算机中，可以发现有多少文件,文件夹存在于何源的百度网盘中？
A.Files:55,Folder:3
B.Files:82，Folder:2
C.Files:23,Folder:1
D.Files:90,Folder:2
E.Files:102,Folder:7

 

 

 仔细查看有82个文件和两个文件夹

43.在何源的个人计算机中，用户“HeYuan”曾用Microsoft Edge浏览器google搜索过一些信息，以下哪个不是搜索的关键词？
A.gmailregister
B.tordatasale
C.onlinelender
D.***
E.howtohideapartition

 

 

 

 

 

 

 

 

 

44.在何源的个人计算机中，用户“HeYuan”曾用Microsoft Edge浏览器注册过一个新的Gmailaccount,请从网页标题痕迹中找出此账号。
A.jackhe666@gmail.com
B.johnhe7@gmail.com
C.jacksonhe8@gmail.com
D.jorkerhe888@gmail.com
E.yuanhe666@gmail.com

 

 引诱术

 

45.在何源的个人计算机中，用户“HeYuan”曾用Microsoft Edge浏览器下载过一些文件，以下哪一个不是？
A.WeChat_C1018.exe
B.bitcoin-018.1-win64-setup.exe
C.torbrowser-install-win64-8.5.5_en-US.exe
D.SteamSetup.exe
E.BaiduNetdisk_6.8.4.1.exe

 

 Edge下载文件会自动保存在download之中

46.在何源的个人计算机中，用户“HeYuan”曾用以下哪款网页浏览器登陆过网页版百度网盘？
A.InternetExplorer
B.Firefox
C.Chrome
D.MicrosoftEdge
E.Tor

 

 确认被搜索关键字pan.baidu

 

 这是ie的，但这明显不是登录

 

 edge有明显登录痕迹

47.在何源的个人计算机中，用户“HeYuan”曾用Tor浏览器访问过一些网站，以下哪一个不是？
A.https://duckduckgo.com
B.http://deepmix2cmtqm5ut74f4acz2eskr5htcdetpzupmdkas6fzi4cnc7sad.onion
C.http://vfqnd6mieccqyiit.onion
D.http://bntee6mf5w2okbpxdxheq7bk36yfmwithltxubliyvum6wlrrxzn72id.onion

E.http://silkroadjuwsx3nq.onion

48.接上题，以下哪个URL是由用户手动输入到Tor浏览器中的？
A.http://tfwdi3izigxllure.onion
B.https://hiddenwikitor.com
C.http://deepmix5e3vptpr2.onion
D.http://vfqnd6mieccqyiit.onion
E.http://smoker32pk4qt3mx.onion

不会，但感觉是D

49.接上题，关于网页”http://rso4hutlefirefqp.onion”，以下哪一个描述是正确的？
A.ccPal - stolen creditcards, ebay and paypal accounts for bitcoins - buy CVV2s for bitcoin - PayPals for Bitcoin - Ebay Accounts for Bitcoin
B.UKPassports - Buy passport from the United Kingdom UK, real passports from the UK, no fake passports
C.Stolen Apple Products for Bitcoin. Get the newest apple products for a fraction of the price. Iphones for Bitcoin, Ipads for Bitcoin.
D.NLGrowers - Buy Weed, Hash, Cannabis, Marijuana with from the netherlands with Bitcoins - your deep web weed source
E.We sell medical cannabis, rick simpson cannabis oil and other medical cannabis products

 

 50.接上题，哪个网页引导用户到了网页” http://vfqnd6mieccqyiit.onion”?

A.https://thehiddenwiki.org
B.http://hiddenwikitor.com
C.https://onionshare.org
D.http://xfnwyig7olypdq5r.onion
E.https://www.onionexplore.org

 

 如此看来只有Hiddenwiki是可以引导的

https://github.com/volatilityfoundation/volatility/wiki/Command-Reference#consoles内存取证至圣先师

51.分析何源的公司计算机内存镜像，何源的公司计算机操作系统以及硬件架构是什么？ A.Windows 7 x86
B.Windows 7 x64
C.Windows 8 x86
D.Windows 8 x64
E.Windows 10 x64

'.\volatility(1).exe' -f "E:\2019美亚个人\memdump.mem" imageinfo

 

 

52.分析何源的公司计算机内存镜像，以下哪一个是进程“explorer.exe”的PID?

A.5098
B.3484
C.3048
D.2236
E.9875

'.\volatility(1).exe' -f "E:\2019美亚个人\memdump.mem" --profile=Win7SP1x86_23418 pslist

 

 

 53.分析何源的公司计算机内存镜像，以下哪一个是正确的用户SID？

A.HTC_admin : S-1-5-21-2316527938-3914680751-2175519146-1001
B.TMP_User : S-1-5-21-2316527938-3914680751-2175519146-1002
C.TMP : S-1-5-21-2316527938-3914680751-2175519146-1001
D.YuanHe : S-1-5-21-2316527938-3914680751-2175519146-1002
E.None

& '.\volatility(1).exe' -f "E:\2019美亚个人\memdump.mem" --profile=Win7SP1x86_23418 getsids > 1.txt

 

 

 

 

 

 

 

 

 

 C不存在　　TMP_User正确

54.分析何源的公司计算机内存镜像，以下哪个远程地址与本地地址建立过TCP连接？
A.10.165.12.130
B.10.165.12.126
C.10.165.10.125
D.10.165.10.130
E.10.165.10.131

 & '.\volatility(1).exe' -f "E:\2019美亚个人\memdump.mem" --profile=Win7SP1x86_23418 netscan > 2.txt

 

 55.接上题，在上述TCP连接里，远程地址的端口号是多少？

A.80
B.443
C.445
D.22
E.3389

同上 445

56.分析何源的公司计算机内存镜像，注册表“\SystemRoot\System32\Config\SAM”在内存镜像中的虚拟地址（VirtualAddress）是多少？
A.Offset:0x97b5e5d8
B.Offset:0x9a5689c8
C.Offset:0x8c6b49c8
D.Offset:0x8bc1a1c0
E.Offset:0x9bc1a1c0

& '.\volatility(1).exe' -f "E:\2019美亚个人\memdump.mem" --profile=Win7SP1x86_23418 hivelist > 3.txt

 

 

57.分析何源的公司计算机内存镜像，用户“YuanHe”登入密码的NTLMhash是多少？
A.bf12857078039ff604bf8e1fb4308643
B.31d6cfe0d16ae931b73c59d7e0c089c0
C.bf12857078039ff604bf8e1fb430a7d4
D.a53452d6cd5e2d72423cd3eac8b05607
E.99e74d973f8f852432f6d5a59659ed88

& .\volatility_2.6_win64_standalone.exe -f "E:\2019美亚个人\memdump.mem" --profile=Win7SP1x86_23418 hashdump > 2.txt

 

 58.分析何源的公司计算机内存镜像，盘符“E：”上的文件“PersonalInformation.xlsx”何时被访问过？

A.2019-10-3107:58:45
B.2019-10-3110:33:42
C.2019-10-3106:59:45
D.2019-10-3109:31:42
E.2019-10-3108:32:42

PS K:\内存\好用的内存取证> & .\volatility_2.6_win64_standalone.exe -f "E:\2019美亚个人\memdump.mem" --profile=Win7SP1x86_23418 timeliner > 3.txt

这题包括以下不知道为跑不出来

 

59.分析何源的公司计算机内存镜像，以下哪个是文件“PersonalInformation.xlsx”的正确路径？
A.Users\YuanHe\Desktop\Confidential\PersonalInformation.xlsx
B.Users\YuanHe\Desktop\PersonalInformation.xlsx
C.Users\TMP_User\Desktop\Confidential\PersonalInformation.xlsx
D.Users\TMP_User\Desktop\PersonalInformation.xlsx
E.Users\Administrator\Desktop\Confidential\PersonalInformation.xlsx

60.分析何源的公司计算机内存镜像，可以发现以下哪些文件夹曾被访问过？
1…\Company_Files\JonathanNorton
2…\Company_Files\StephenChow
3…\Company_Files\JohnWick
4…\Company_Files\LoganChen
5…\Company_Files\ColleenJohnson
A.2,3,5
B.2,4,6
C.1,3,5
D.3,4,5
E.1,4,5

61.分析何源的公司计算机内存镜像，以下那一项有关这台计算机的资料是正确？
A.这台计算机安装Window的时间是2019-10-3111:56:23UTC+0
B.这台计算机的名称是WIN-VUAL29E4P0K
C.公开资料显示这台计算机TCPIP的最后更新时间是2019-10-3104:59:00UTC+0
D.A及C都是正确
E.B及C都是正确

62.分析何源的公司计算机内存镜像，以下那一项关于这台计算机连接USB装置的描述是正确？
A.没有，因为透析资料找不到
B.没有，因为内存容量没有取得完整的注册表资料
C.有，而且装置的牌子应该是HUAWEID.有，而且装置的GUID是4d36e967-e325-11ce-afc1-832210318
E.有，而且装置的首次插入时间HEX值是404330b9b88fd501