2016第二届美亚杯电子数据取证(个人赛)

Posted 2021-11-04 山川绿水

2016第二届美亚杯——个人赛

1.请写下Hugo电脑硬盘的MD5哈希值。

答案:F895FD18E47A5371AEC6DB72D0AEDCA7

2. 你能找到多少个硬盘分区？
A) 1
B) 2
C) 3
D) 4
E) 5
答案：C

3.根据主引導記錄（MBR），以下哪組偏移显示了包含操作系统分区的总扇区数？
A) 偏移 446-449
B) 偏移 458-461
C) 偏移 474-477
D) 偏移 490-493
E) 偏移 506-509
(1)先查看磁盘内的主要文件、文件夹，确定系统分区是分区2，

(2)使用winhex查看磁盘的MBF尾部，第二个分区的0C-0F偏移显示了包含文件操作系统分区的总扇区，级偏移474-477

4.根据主引導記錄（MBR），包含操作系统的分区的总扇区数是多少？
（答案格式：5246852048 sectors）

5.请找出系统文件“SOFTWARE＂，请问操作系统的安装日期是？
（答案格式 －“世界协调时间＂：YYYY-MM-DD HH:MM UTC）

A) 1996-01-04 02:56 UTC
B) 2009-06-10 21:10 UTC
C) 2015-04-14 07:12 UTC
D) 2016-09-09 05:26 UTC
E) 2016-09-13 02:28 UTC

答案:2016-09-09 05:26 UTC
解题:使用取证大师,找到的时间是UTC+8搜索一应该注意-8小时

6. 用户“Hugo＂的唯一标识符（SID）是什么？（答案格式：RID）
A) 1000
B) 1001
C) 1002
D) 1003
E) 1007
答案:A

7.于包含操作系统的分区內，$Bitmap的物理起始偏移位置是什么？
（答案格式：256363）

物理位置:3325526016

分区2的物理地址:105906176
操作系统的分区:3219619840

3325526016-105906176=3219619840

答案:3219619840

方法二:
使用x-ways进行分析，找到分区2里的$

可以计算为:

6288320*512=3219619840

答案:3219619840

8. 硬盘的操作系统是什么？
A) 视窗XP
B) 视窗7
C) 视窗8
D) 视窗10
E) 视窗CE

答案:B

9.操作系统的最新服务包（Service Pack）版本号是什么？
A) Service pack 1
B) Service pack 2
C) Service pack 3
D) Service pack 4
E) Service pack 5

答案:A

10.其中一个分布式拒绝服务／拒绝服务工具的readme文件中声明“SECURITY TESTING PURPOSES ONLY！＂请找出该readme文件，并列出文件中的前十二字符？

目标文件：C:\\Users\\Hugo\\Documents\\Tools\\GoldenEye-master\\README.md

导出文件readme.md

答案:GoldenEye =

11.哪一个用户拥有分布式拒绝服务／拒绝服务（DDOS／DOS）工具？
A) Home
B) Hugo
C) Administrator
D) Mike
E) Public

答案:B

12. 用户 “Hugo＂的收藏夹中是否含有任何与“黑客＂相关的链接？若有，请列举出相关链接。
（答案格式：http://123.com/abc.htm）

答案:https://0day.work/

13.Hugo有时会自己编写程序代码。请问Hugo用什么语言编写程序？
（答案格式：ProgramLanguageName）

[D]:\\Users\\Hugo\\Documents\\Attack\\malware.py

答案:python

14.请检查Hugo在桌面上的快捷方式文件，其中有一个快捷方式文件的创建日期是“2016-09-14＂（世界协调时间／UTC），请问该文件的目标位置是什么？
（答案格式：D:\\folder\\123.abc）

答案:C:\\Users\\Dell\\AppData\\Local\\Programs\\Python\\Python35-32\\python.exe
思路:去Hugo桌面找到该快捷方式,导出文件找其路径

15. 请找一个“shellcode＂的文件夹，该文件夹中含有一个用于连接HTC Touch2设备的程序。请列举出其中任何的电子邮件地址。
（答案格式：abcd@email.com）

答案:celilunuver@gmail.com

16. Hugo承认曾经进行网络攻击诈骗，并且把诈骗金额记录在电脑中。请问，保存有诈骗金额记录的文件名是什么？
（答案格式：123.abc）

答案:Important.xlsx
**解题思路:**诈骗记录一般放在xlsx或txt中

17. 在所有用户中，用于电子邮件发送/接收的程序名称是什么？
A) Gmail
B) Foxmail
C) 新浪邮箱
D) 网易163
E) 阿里邮箱

答案:B

18. 根据上述问题，请于注册表(registry) 找出该电子邮件发送/接收程序的版本号。（答案格式：1.3.4.5）
取证大师寻找注册表的方法

根据用户名Hugo,找到下载的文件，调到注册表里，然后使用注册表解析
找到对应的版本号

19. Hugo的主要电子邮件地址是什么？
（答案格式：abc@mail.com）

答案:hackerthehugo@qq.com

20. 加分题︰Hugo有任何其他属于Google的电子邮件地址吗？
（答案格式：abcd@gmail.com）

答案:hugo82618@gmail.com

21.Hugo编写了一个获取击键信息（k）的程序。请问，该程序的文件名是什么？（答案格式：123.abc）

答案malware.py
22. 根据上述问题，程序中攻击者的IP地址是什么?(答案格式：123.123.123.123）

答案:192.168.4.78

23. Hugo也编写了另一个程序，并存储在同一个文件夹中，该程序开启一个用于建立连接的端口。请问，该端口号是多少？
（答案格式：8080）

答案:443

24. Hugo有时会注入恶意脚本到已经被攻击的网站中盗取PayPal的用户帐户和密码。请找到该脚本。请问，用于存储盗窃信息的文件名称是什么？
（答案格式：123.abc）

答案passwd.txt
思路:

login.php
\\Users\\Hugo\\Documents\\

25. Hugo用于PayPal的网络钓鱼电子邮件，请问，该PayPal帐户号码是什么？
（答案格式：98-765-4321）

答案12-976-9860

26. 根据上述问题，网络钓鱼电子邮件将链接到一个URL查看交易的细节。请问，该链接的URL是什么？
（答案格式：http://abc.com/abc.htm）

答案http://158.69.201.134/login.html

27. 请问哪一个文件中保存了微软互联网浏览器的历史浏览记录？
（答案格式：123.abc）

答案index.dat

28. 根据上述问题，那个档案储存了Hugo的微软互联网浏览器的缓存记录（cache history）？（答案格式：C:\\folder\\subfolder\\123.abc）

答案:C:\\Users\\Hugo\\AppData\\Local\\Microsoft\\Feeds Cache\\index.dat

29. 根据微软互联网浏览器的历史浏览记录，Hugo在2016-09-13，02:32:34（世界协调时间／UTC），曾访问域／主机的名称／地址是什么？
（答案格式：http://www.abc.com.cn）

答案:http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
注意给的时间+8h

30. 请找出Mozilla Firefox的互联网历史文本，上述文本的名称是什么？
（答案格式：123.abc）

答案:places.sqlite

31. 请检查视窗用户Hugo中的Mozilla Firefox互联网历史文本，他是在那一天（世界协调时间／UTC），访问网页www.xshellz.com？
（答案格式：YYYY-MM-DD）

答案:2016-09-13
解题：搜索关键词www.xshellz.com

32. 请问哪一个文件中保存了Google Chrome浏览器的历史浏览记录？

答案:History

33. 该电脑中可能含有Jason的相关信息，例如电子邮件地址。请问，Jason的电子邮件地址是什么？
(提示：21个字符)

答案:jasonforensics@qq.com

34. 有没有发现其他可以与手机通讯的聊天程式？
（答案格式：ProgramName）

答案:微信

35. 有没有发现任何包括安全文件传输功能的传输工具？
（答案格式：123.abc）

36. 根据上述问题，该文件传输工具是从哪里下载的？
（答案格式：https://domain.abc）

答案:https://winscp.net

37. 根据上述问题，请问用户使用哪一个浏览器下载该文件传输工具？
A) Internet Explorer
B) Firefox
C) Chrome
D) 以上任何一个都没有

答案:C

38. 有没有发现任何已下载的远程访问工具？若有，请列举。
（答案格式：123.abc）

答案putty.exe

39. 加分题︰根据远程访问工具，请问用户曾连接到哪一个主机名？
答案：shell.xshellz.com
解题：通过查找注册表
HKEY_USERS/Hugo/sid/Software/SimonTatham/PuTTY

参考连接
https://blog.csdn.net/weixin_42744595/article/details/110678125