2019美亚杯个人赛

Posted 山川绿水

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了2019美亚杯个人赛相关的知识,希望对你有一定的参考价值。

2019美亚杯个人赛

© 版权声明
中国电子数据取证大赛(含之前用过的大赛名称)相关检材和试题等内容,其版权归属于本赛事组委会,使用者在使用或变相使用时,必须声明版权
拥有者是中国电子数据取证大赛组委会,一切未声明使用或变相使用的行为,组委会将保留司法追诉的权利,特此声明!
创作者:香港警务处和香港大学
版权拥有者:中国电子数据取证大赛组委会
© 版权声明
中国电子数据取证大赛(含之前用过的大赛名称)相关检材和试题等内容,其版权归属于本赛事组委会,使用者在使用或变相使用时,必须声明版权
拥有者是中国电子数据取证大赛组委会,一切未声明使用或变相使用的行为,组委会将保留司法追诉的权利,特此声明!
创作者:香港警务处和香港大学
版权拥有者:中国电子数据取证大赛组委会
资格赛 - 案情介绍

  1. 何源是一名 25 岁的客服人员,在一间电讯公司工作。某日,何源在用 iPhone 手机在政府建筑物
    中偷拍车牌期间被警员截停,盘问期间警员检查手机相册发现多张车牌图片,何源情绪紧张,趁
    警员不被,抢过手机丢入车流,被完全损毁。行为十分可疑,警方于是展开调查。审讯期间何源
    承认利用自己职权的便利,登入公司储存客户数据的服务器,非法取得一些政府人员的个人资
    料,例如姓名,车牌号码,电话等等,再将这些数据出售。
  2. 警方检获何源个人计算机,以及何源公司计算机(由于何的公司不允许警方检取整台计算机, 人
    员只能取得内存数据档案(memory image) 以作分析)。现你被委派对何的计算机进行电子数据取
    证,还原事件经过。
    你会获得何源 ( YuanHe ) 计算机的硬盘镜像文件 "win2.E01"以及何源公司计算机的内存数据档案
    “memdump.mem”。 根据这两个镜像文件的内容,请回答以下问题:
    证据列表
    证据路径 说明
    HE_Company_Windows_RAM\\memdump.mem
    何源的公司计算机内存镜像
    HE_Home_Windows\\Win2\\Win2.E01 何源的个人计算机镜像

个人赛 Individual Challenge
© 版权声明
中国电子数据取证大赛(含之前用过的大赛名称)相关检材和试题等内容,其版权归属于本赛事组委会,使用者在使用或变相使用时,必须声明版权
拥有者是中国电子数据取证大赛组委会,一切未声明使用或变相使用的行为,组委会将保留司法追诉的权利,特此声明!
创作者:香港警务处和香港大学
版权拥有者:中国电子数据取证大赛组委会
1 何源的个人计算机硬盘已成功被取证并制作成镜像(Forensic Image),下列哪个是镜像的 SHA1 哈希值?
A. 6891d022c7e6fe81dc8ba2160e1ab610891596d3
B. 3e57817ea6263bc2c696a3455cc96381
C. ed43de631a56dd2c8bac4abbd3882c86
D. dd32beac5ef2cd1cac06bdd8b5e88cbc4eb94de9
E. 48a45c39da458f3cadd92017e0247454dc8bff66

答案:6891D022C7E6FE81DC8BA2160E1AB610891596D3

2 在何源的个人计算机中,硬盘中包含哪个操作系统(Operating System)?
A. Windows 7
B. FAT32
C. Windows 10
D. Kali Linux
E. NTFS
答案:C

3 何源个人计算机的文件系统(File System)是什么?
A. FAT16
B. FAT32
C. Windows 7
D. NTFS
E. Windows 10
答案:D

4 在何源的个人计算机中,你能找到操作系统分区的总容量吗 (单位:字节 byte)?
A. 492,083,081,216
B. 105,685,986,874
C. 386,908,999,680
D. 105,174,081,536
E. 492,594,986,554

答案:A

容量=扇区*512

5 在何源的个人计算机中,操作系统分区的$Bitmap 的起始物理扇区位置(Physical Sector Number)是多少?
A. 5,683,328
B. 6,170,040
C. 7,026,176
D. 8,498,304
E. 9,168,216

答案:E

个人赛 Individual Challenge
© 版权声明
中国电子数据取证大赛(含之前用过的大赛名称)相关检材和试题等内容,其版权归属于本赛事组委会,使用者在使用或变相使用时,必须声明版权
拥有者是中国电子数据取证大赛组委会,一切未声明使用或变相使用的行为,组委会将保留司法追诉的权利,特此声明!
创作者:香港警务处和香港大学
版权拥有者:中国电子数据取证大赛组委会
2 6 在何源的个人计算机中,请问操作系统的安装日期是?
(答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC)
A. 2019-10-16 04:44 UTC
B. 2019-10-17 16:25 UTC
C. 2019-10-16 10:12 UTC
D. 2019-10-18 02:13 UTC
E. 2019-10-18 09:14 UTC
答案:A
系统信息中找到的,镜像时区是东八区,题目问的是UTC

7 在何源的个人计算机中,每个扇区(Sector)包含多少个字节?(单位: byte)
A. 512 bytes
B. 1024 bytes
C. 2048 bytes
D. 4096 bytes
E. 8192 bytes
扇区大小一律512bytes
答案:A

8 在何源的个人计算机中,操作系统的时区是哪个时区?
A. Eastern Standard Time (GMT-05:00) : US and Canada
B. Pacific Standard Time (GMT-08:00): Tijuana
C. Korea Standard Time (GMT+09:00): Seoul
D. GMT Standard Time (GMT): Dublin, Edinburgh, Lisbon, London
E. China Standard Time (GMT+08:00): Beijing, Chongqing, Hong Kong, Shanghai

系统信息—>时区信息
答案:E

9 在何源个人计算机的操作系统中,下列哪个是计算机的主机名?
A. DESKTOP-JW47K02
B. HEYuan-WIN1
C. HEYuan-WIN2
D. DESKTOP-SM22M96
E. DESKTOP-WE23K24
答案:D

10 在何源的个人计算机中,以下哪一个是用户“He Yuan”的 SID?
A. S-1-5-21-1551135561-2581751248-1803739423-1001
B. S-1-5-21-1551135561-2581751248-1803739423-1000
C. S-1-5-21-1551135561-2581751248-1803739423-500
D. S-1-5-21-1551135561-2581751248-1803739423-501
E. None
答案:B

11 在何源的个人计算机中,下列哪个 USB 移动储存装置 (U 盘)曾被分配为‘E’磁盘分区代号(Drive Letter) ?
A. Kingston DataTraveler 3.0 USB Device
B. SanDisk Transcend USB Device
C. Samsung Portable SSD USB Device
D. WD My Passport 3.0 USB Device
E. Seagate Flash Disk USB Device
答案:A

个人赛 Individual Challenge
© 版权声明
中国电子数据取证大赛(含之前用过的大赛名称)相关检材和试题等内容,其版权归属于本赛事组委会,使用者在使用或变相使用时,必须声明版权
拥有者是中国电子数据取证大赛组委会,一切未声明使用或变相使用的行为,组委会将保留司法追诉的权利,特此声明!
创作者:香港警务处和香港大学
版权拥有者:中国电子数据取证大赛组委会
3
12 在何源的个人计算机中,用户“He Yuan”曾经在挂载为“E”盘的 USB 移动储存装置中访问过一些文件/文件
夹,以下哪一个不是?
A. E:\\美国恐怖故事
B. E:\\New Text Document.txt
C. E:\\CONFIDENTIAL.doc
D. E:\\PycharmProjects
E. A,B,C,D
答案:D
这题从最近访问文档去看路径,知道是E盘
13 在何源的个人计算机中,用户“He Yuan”最近在本机上访问过一些文件,以下哪一个不是?
A. Sample Project Plan.doc
B. URGENT.doc
C. connect.py
D. 美国恐怖故事 01.mp4
E. Comprehensive-Minute-Template.doc
答案:B

14 在何源的个人计算机中,以下哪一个是程序“VERACRYPT.EXE”的运行次数?
A. 1
B. 2
C. 3
D. 4
E. 6
答案:C

15 在何源的个人计算机中,在程序“VERACRYPT.EXE”运行时,以下哪个 dll 文件并没有同时被加载?
A. COMDLG32.DLL
B. CRYPT32.DLL
C. SECUR32.DLL
D. CRYPTSP.DLL
E. ENCRYPT.DLL
答案:E
使用EXE.exe文件进行分析

16 在何源的个人计算机中,用户“He Yuan”的桌面墙纸(Wall paper)背景是什么颜色?
A. 黑色
B. 灰色
C. 蓝色
D. 红色
E. 绿色
答案:C

个人赛 Individual Challenge
© 版权声明
中国电子数据取证大赛(含之前用过的大赛名称)相关检材和试题等内容,其版权归属于本赛事组委会,使用者在使用或变相使用时,必须声明版权
拥有者是中国电子数据取证大赛组委会,一切未声明使用或变相使用的行为,组委会将保留司法追诉的权利,特此声明!
创作者:香港警务处和香港大学
版权拥有者:中国电子数据取证大赛组委会
4
17 在何源的个人计算机中,以下哪个文件在电脑 power off 的时候仍然拥有内存的内容? 此文件具有与电脑内存
(RAM)相似的大小并保存在根目录。
A. WIN386.SWP
B. HIBERFIL.sys
C. PAGEFILE.SYS
D. NTUSER.DAT
E. SWAPFILE.SYS
答案:B

这题是道理论题,靠记住,hiberfil.sys是一个系统文件会实时备份内存数据,在早期版本的Windows中, Hiberfil.sys 文件的大小等同于物理内存大小;而在Windows 7中,Hiberfil.sys可以在物理内存大小的50% - 100%的范围自行调整。

18 在何源的个人计算机中,以下哪个 database 文件存有此操作系统的 timeline 痕迹?
A. SRUDB.dat
B. Windows.edb
C. Spartan.edb
D. ActivitiesCache.db
E. Thumbs.db
答案:D

火眼证据分析,从时间线中跳转到源文件中

19 在何源的个人计算机中,曾被分配过的 ip 地址是?
A. 147.8.177.224
B. 147.10.188.23
C. 192.168.0.110
D. 10.12.9.214
E. 192.168.1.2
答案:A
自动取证\\win2.E01\\系统痕迹\\系统信息\\网络配置\\网络连接

20 在何源的个人计算机中,用户”Administrator”的 Internet Explorer 浏览器的 start page 是以下哪个?
A. http://go.microsoft.com
B. https://www.bing.com
C. http://www.baidu.com
D. https://www.google.com
E. http://hao.360.cn
答案:E

21 在何源的个人计算机中,你是否可以找到何源 iPhone 手机的线索。关于他的手机,以下哪条信息不正确?
A. IMEI:359461082062689
B. Serial Number:F17V1L6EHG70
C. Apple ID :heyuan516@icloud.com
D. MSISDN: 85259114189
E. 无
答案:C

可以在取证大师中找到部分信息,但是不是很全面,使用取证大师将手机的文件导出来,然后使用火眼证据分析软件进行分析


火眼证据分析之后,发现 Apple ID不对

22 用户“He Yuan”在 WhatsApp 上与谁进行了对话?
A. Keanu Reeves
B. Michael Nyqvist
C. Peter Wang
D. John Manager
E. Michael Brown
答案:D

个人赛 Individual Challenge
© 版权声明
中国电子数据取证大赛(含之前用过的大赛名称)相关检材和试题等内容,其版权归属于本赛事组委会,使用者在使用或变相使用时,必须声明版权
拥有者是中国电子数据取证大赛组委会,一切未声明使用或变相使用的行为,组委会将保留司法追诉的权利,特此声明!
创作者:香港警务处和香港大学
版权拥有者:中国电子数据取证大赛组委会
5
23 在手机联系人中,Anthony Chung 的手机号是多少?
A. +85252018664
B. +85257025241
C. +85257024765
D. +8613890274976
E. +8613928749036
答案:A

24 He Yuan 在 iPhone 自带的 Safari 浏览器中搜索过一些关键词,以下哪一个不是?
A. 野狼 disco
B. 拜佛过人 professor
C. engineer’s day 1024
D. Programmer’s Day no bug
E. poptown 攻略
答案:B

25 用户“He Yuan”的 WeChat ID 是多少?
A. HEYUAN516
B. wxid_9y8cs5hdin2i15
C. wxid_9y8cs5hdin2i14
D. wxid_9y8cs5hdin2i13
E. wxid_9y8cs5hdin2i12
答案:E

26 在 WeChat 的多个聊天记录中,用户“He Yuan”没有聊到过哪个话题?
A. 与中介谈买房
B. 与老板谈洗钱
C. 与黑客谈交易
D. 与网贷谈借钱
E. 与朋友谈炒房
答案:B
通过查看聊听记录获得

27 从 WeChat 中的一个聊天记录中可知,用户“He Yuan”持有多少人的数据?
A. About 500
B. About 1000
C. About 2000
D. About 3000
E. About 5000
答案:C

28 接上题,Hacker 最后要支付多少 Bitcoin 给 He Yuan?
A. 0.002312
B. 0.066666
C. 0.036354
D. 0.014594
E. 0.012398
答案:D

个人赛 Individual Challenge
© 版权声明
中国电子数据取证大赛(含之前用过的大赛名称)相关检材和试题等内容,其版权归属于本赛事组委会,使用者在使用或变相使用时,必须声明版权
拥有者是中国电子数据取证大赛组委会,一切未声明使用或变相使用的行为,组委会将保留司法追诉的权利,特此声明!
创作者:香港警务处和香港大学
版权拥有者:中国电子数据取证大赛组委会
6
29 接上题,He Yuan 的 Bitcoin 收款地址是多少?
A. cI7g0tIzPuP2pxb20HQHNGOQdpmptDaCBf
B. InCeInFZmAP3PCLHLOchKTEZevQdHgQdP3
C. 4qISisBY2Z8xgh9C6orRfuRzmzXKznUc5Z
D. 18yZq8Dboyuvnd3R6pqG9kJkaZBki2JCoN
E. n5X7jwdPspKRgnZU6xzcEQueJanRqGdZQd
答案:D

这个图片无法直接打开,需要去解析备份文件,这是因为备份了三次,文件名同名自动更改了,只解析到了第一次备份的文件。我们需要去把第一次备份我文件移除该目录,然后把后面备份的文件名中的“(1)、(2)”给删掉,再添加证据->重新取证。就能看见多出一些内容了


30 接上题,He Yuan 分享给 Hacker 的百度网盘链接是多少?
A. https://pan.baidu.com/s/u8rLTgLZabfd9Va1wRjzyc9
B. https://pan.baidu.com/s/nIDo2yLop_ciNUxihF2cZi8
C. https://pan.baidu.com/s/N6RiGxMZDnswlOUKRi0IB6Q
D. https://pan.baidu.com/s/uFUc4W0zYmrGZMOxVm843GU
E. https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY3Ww

答案:https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY3Ww

31 接上题,He Yuan 提到的解压密码是多少?
A. bAtNyn3lHwP8xXW
B. hNfpdKcJlvpEFEa
C. decrypt123456
D. 2019123456
E. HetoHacker123456
答案:E

32 接上题,He Yuan 收到了来自哪位 hacker 的转账? hacker 的 wechat ID 是多少?
A. Kevin , wxid_ugo2wrc3fuci22
B. Scott , wxid_i1lhj24r792i22
C. Iva , wxid_7qh2jzeomtvp22
D. John , wxid_QAZbWKIgIz4jpu
E. Jack , wxid_dbEx7dtbX4zPbb
答案:A

33 根据 Wechat 聊天记录,He Yuan 在 2019-10-26 号(UTC+8)晚上跟哪位朋友出去吃晚饭了?朋友的 Wechat ID
是多少?
A. Iron Man , wxid_0ZYBi7dchvMIym
B. Black Panther , wxid_zSrai2bRoLUNVb
C. Red Bull , wxid_2yy2ekynoLbnq3
D. White Tiger, wxid_whMQ2YOLPiNNt7
E. Black Sheep , wxid_s00vt9uixjq922
答案:E

个人赛 Individual Challenge
© 版权声明
中国电子数据取证大赛(含之前用过的大赛名称)相关检材和试题等内容,其版权归属于本赛事组委会,使用者在使用或变相使用时,必须声明版权
拥有者是中国电子数据取证大赛组委会,一切未声明使用或变相使用的行为,组委会将保留司法追诉的权利,特此声明!
创作者:香港警务处和香港大学
版权拥有者:中国电子数据取证大赛组委会
7
34 在2019-10-31(UTC+8),何源用iPhone手机在车库拍了一些车的照片,请问最早的那张车照片是什么时候拍的?
A. 10/31/2019 18:53:29 PM(UTC+8)
B. 10/30/2019 10:43:27 AM(UTC+8)
C. 10/26/2019 19:53:29 PM(UTC+8)
D. 10/28/2019 20:40:30 PM(UTC+8)
E. 10/27/2019 10:53:29 AM(UTC+8)

35 接上题,请问照片”IMG_0075.HEIC”拍摄地 GPS 坐标是以下哪一个?
A. 28 deg 13’ 5.25" N, 125 deg 9’ 6.34" E
B. 22 deg 17’ 1.36" N, 114 deg 8’ 9.91" E
C. 120 deg 23’ 5.58" N, 119 deg 7’ 4.53" E
D. 88 deg 6’ 2.14" N, 130 deg 6’ 7.86" E
E. 100 deg 17’ 1.36" N, 224 deg 6’ 8.57" E
36 在何源的个人计算机中,你能找到一个 Veracrypt 加密容器文件吗?它的原始文件名是?
A. containerx.txt
B. VC_Container
C. $RV61F4M
D. data encrypt.txt
E. $IV61F4M
答案:D

37 接上题,此 Veracrypt 加密容器文件之前可能被挂载为哪一个盘符(drive letter) ?
A. A:
B. B:
C. Z:
D. D:
E. E:
答案:A

取证大师中的–>自动取证\\win2.E01\\用户痕迹\\最近访问记录\\最近访问的文档

38 在何源的个人计算机中,何源曾在电脑上登陆过客户端百度云盘,请问他的 Baidu 账号是多少?
A. Yuanhe516
B. Heyuan516
C. Heyuan515
D. Yuanhe515
E. None
答案:C
取证大师–>自动取证\\win2.E01\\云存储客户端\\百度云管家\\Heyuan515

个人赛 Individual Challenge
© 版权声明
中国电子数据取证大赛(含之前用过的大赛名称)相关检材和试题等内容,其版权归属于本赛事组委会,使用者在使用或变相使用时,必须声明版权
拥有者是中国电子数据取证大赛组委会,一切未声明使用或变相使用的行为,组委会将保留司法追诉的权利,特此声明!
创作者:香港警务处和香港大学
版权拥有者:中国电子数据取证大赛组委会
8
39 在何源的个人计算机中,何源利用客户端百度网盘上传过一些文件,请问以下哪一个是?
A. 美国恐怖故事 04.mp4
B. Crawler_connect.py
C. file encrypt.doc
D. Secret.xlsx
E. Company_info.xlsx
答案:A

40 在何源的个人计算机中,何源 iPhone 手机中的一些图片曾被同步到他的百度网盘中,请问图片“2019-06-21
113537.jpg”的 MD5 hash 值是多少?
A. fe41107c5260498e67171755e2b4bb1d
B. 6055e4fa9e8a56c708a3db7198d091e7
C. 7b8e1183d80962c0ad5a95ec673317a7
D. 148685a257c49247f09b942237f1a248
E. db4a58e48ef51ca2c6c0f6e07f44d186
答案:C
先在火眼中找到图片信息,然后取证大师中找到md5

41 在何源的个人计算机中,何源用百度网盘上传文件“/美国恐怖故事/美国恐怖故事 01.mp4”的起始时间是?
(格式:UNIX Timestamp UTC+8)
A. 1572506551
B. 1572506618
C. 1572506608
D. 1572506551
E. 1572507864

42 在何源的个人计算机中,可以发现有多少文件,文件夹存在于何源的百度网盘中?
A. Files: 55, Folder: 3
B. Files: 82,Folder: 2
C. Files: 23, Folder: 1
D. Files: 90, Folder: 2
E. Files: 102, Folder: 7
答案:B

由本地缓存记录可知,总的文件有84,但是其中有两个是空的,说明总的由82个文件夹

43 在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器 google 搜索过一些信息,以下哪个不是
搜索的关键词?
A. gmail register
B. tor data sale
C. online lender
D. shadowsock
E. how to hide a partition
答案:D
取证大师—>上网记录—>Microsoft Edge–>搜索记录

个人赛 Individual Challenge
© 版权声明
中国电子数据取证大赛(含之前用过的大赛名称)相关检材和试题等内容,其版权归属于本赛事组委会,使用者在使用或变相使用时,必须声明版权
拥有者是中国电子数据取证大赛组委会,一切未声明使用或变相使用的行为,组委会将保留司法追诉的权利,特此声明!
创作者:香港警务处和香港大学
版权拥有者:中国电子数据取证大赛组委会
9
44 在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器注册过一个新的 Gmail account,请从网
页标题痕迹中找出此账号。
A. jackhe666@gmail.com
B. johnhe7@gmail.com
C. jacksonhe8@gmail.com
D. jorkerhe888@gmail.com
E. yuanhe666@gmail.com
答案:C

45 在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器下载过一些文件,以下哪一个不是?
A. WeChat_C1018.exe
B. bitcoin-018.1-win64-setup.exe
C. torbrowser-install-win64-8.5.5_en-US.exe
D. SteamSetup.exe
E. BaiduNetdisk_6.8.4.1.exe
答案:B




46 在何源的个人计算机中,用户“He Yuan”曾用以下哪款网页浏览器登陆过网页版百度网盘?
A. Internet Explorer
B. Firefox
C. Chrome
D. Microsoft Edge
E. Tor
答案:D

47 在何源的个人计算机中,用户“He Yuan”曾用 Tor 浏览器访问过一些网站,以下哪一个不是?
A. https://duckduckgo.com
B. http://deepmix2cmtqm5ut74f4acz2eskr5htcdetpzupmdkas6fzi4cnc7sad.onion
C. http://vfqnd6mieccqyiit.onion
D. http://bntee6mf5w2okbpxdxheq7bk36yfmwithltxubliyvum6wlrrxzn72id.onion
E. http://silkroadjuwsx3nq.onion
答案:E


48 接上题,以下哪个 URL 是由用户手动输入到 Tor 浏览器中的?
A. http://tfwdi3izigxllure.onion
B. https://hiddenwikitor.com
C. http://deepmix5e3vptpr2.onion
D. http://vfqnd6mieccqyiit.onion
E. http://smoker32pk4qt3mx.onion
答案:1
解决此类问题,应该从洋葱浏览器的数据库文件入手从历史记录跳到安装路径


我们导出洋葱浏览器的数据库,分析数据库

个人赛 Individual Challenge
© 版权声明
中国电子数据取证大赛(含之前用过的大赛名称)相关检材和试题等内容,其版权归属于本赛事组委会,使用者在使用或变相使用时,必须声明版权
拥有者是中国电子数据取证大赛组委会,一切未声明使用或变相使用的行为,组委会将保留司法追诉的权利,特此声明!
创作者:香港警务处和香港大学
版权拥有者:中国电子数据取证大赛组委会
10
49 接上题,关于网页”http://rso4hutlefirefqp.onion”,以下哪一个描述是正确的?
A. ccPal - stolen creditcards, ebay and paypal accounts for bitcoins - buy CVV2s for bitcoin - PayPals
for Bitcoin - Ebay Accounts for Bitcoin
B. UKPassports - Buy passport from the United Kingdom UK, real passports from the UK, no fake passports
C. Stolen Apple Products for Bitcoin. Get the newest apple products for a fraction of the price.
Iphones for Bitcoin, Ipads for Bitcoin.
D. NLGrowers - Buy Weed, Hash, Cannabis, Marijuana with from the netherlands with Bitcoins - your deep
web weed source
E. We sell medical cannabis, rick simpson cannabis oil and other medical cannabis products
50 接上题,哪个网页引导用户到了网页” http://vfqnd6mieccqyiit.onion”?
A. https://thehiddenwiki.org
B. http://hiddenwikitor.com
C. https://onionshare.org
D. http://xfnwyig7olypdq5r.onion
E. https://www.onionexplore.org

51 分析何源的公司计算机内存镜像,何源的公司计算机操作系统以及硬件架构是什么?
A. Windows 7 x86
B. Windows 7 x64
C. Windows 8 x86
D. Windows 8 x64
E. Windows 10 x64
答案:A

.\\volatility.exe -f .\\medump.mem imageinfo

52 分析何源的公司计算机内存镜像,以下哪一个是进程“explorer.exe”的 PID?
A. 5098
B. 3484
C. 3048
D. 2236
E. 9875
答案:B

.\\volatility.exe -f .\\memdump.mem --profile=Win7SP1x86_23418 pstree

53 分析何源的公司计算机内存镜像,以下哪一个是正确的用户 SID ?
A. HTC_admin : S-1-5-21-2316527938-3914680751-2175519146-1001
B. TMP_User : S-1-5-21-2316527938-3914680751-2175519146-1002
C. TMP : S-1-5-21-2316527938-3914680751-2175519146-1001
D. YuanHe : S-1-5-21-2316527938-3914680751-2175519146-1002
E. None
答案:B

.\\volatility.exe -f .\\memdump.mem --profile=Win7SP1x86_23418 getsids > 2.txt

.\\volatility.exe -f .\\memdump.mem --profile=Win7SP1x86_23418 getsids > 2.txt

个人赛 Individual Challenge
© 版权声明
中国电子数据取证大赛(含之前用过的大赛名称)相关检材和试题等内容,其版权归属于本赛事组委会,使用者在使用或变相使用时,必须声明版权
拥有者是中国电子数据取证大赛组委会,一切未声明使用或变相使用的行为,组委会将保留司法追诉的权利,特此声明!
创作者:香港警务处和香港大学
版权拥有者:中国电子数据取证大赛组委会
11
54 分析何源的公司计算机内存镜像,以下哪个远程地址与本地地址建立过 TCP 连接?
A. 10.165.12.130
B. 10.165.12.126
C. 10.165.10.125
D. 10.165.10.130
E. 10.165.10.131
答案:A
取证大师,内存小工具

55 接上题,在上述 TCP 连接里,远程地址的端口号是多少?
A. 80
B. 443
C. 445
D. 22
E. 3389
答案:C

56 分析何源的公司计算机内存镜像,注册表“\\SystemRoot\\System32\\Config\\SAM”在内存镜像中的虚拟地址
(Virtual Address)是多少?
A. Offset: 0x97b5e5d8
B. Offset: 0x9a5689c8
C. Offset: 0x8c6b49c8
D. Offset: 0x8bc1a1c0
E. Offset: 0x9bc1a1c0
答案:B

.\\volatility.exe -f .\\memdump.mem --profile=Win7SP1x86_23418 hivelist

57 分析何源的公司计算机内存镜像,用户“Yuan He”登入密码的 NTLM hash 是多少?
A. bf12857078039ff604bf8e1fb4308643
B. 31d6cfe0d16ae931b73c59d7e0c089c0
C. bf12857078039ff604bf8e1fb430a7d4
D. a53452d6cd5e2d72423cd3eac8b05607
E. 99e74d973f8f852432f6d5a59659ed88
答案:E

.\\volatility.exe -f .\\memdump.mem --profile=Win7SP1x86_23418 hashdump

58 分析何源的公司计算机内存镜像,盘符“E:”上的文件“Personal Information.xlsx”何时被访问过?
A. 2019-10-31 07:58:45
B. 2019-10-31 10:33:42
C. 2019-10-31 06:59:45
D. 2019-10-31 09:31:42
E. 2019-10-31 08:32:42
答案:C

.\\volatility.exe -f .\\memdump.mem --profile=Win7SP1x86_23418 mftparser > 3.txt

个人赛 Individual Challenge
© 版权声明
中国电子数据取证大赛(含之前用过的大赛名称)相关检材和试题等内容,其版权归属于本赛事组委会,使用者在使用或变相使用时,必须声明版权
拥有者是中国电子数据取证大赛组委会,一切未声明使用或变相使用的行为,组委会将保留司法追诉的权利,特此声明!
创作者:香港警务处和香港大学
版权拥有者:中国电子数据取证大赛组委会
12
59 分析何源的公司计算机内存镜像,以下哪个是文件“Personal Information.xlsx”的正确路径?
A. Users\\YuanHe\\Desktop\\Confidential\\Personal Information.xlsx
B. Users\\YuanHe\\Desktop\\Personal Information.xlsx
C. Users\\TMP_User\\Desktop\\Confidential\\Personal Information.xlsx
D. Users\\TMP_User\\Desktop\\Personal Information.xlsx
E. Users\\Administrator\\Desktop\\Confidential\\Personal Information.xlsx
答案:C

.\\volatility.exe -f .\\memdump.mem --profile=Win7SP1x86_23418 mftparser > 3.txt

60 分析何源的公司计算机内存镜像,可以发现以下哪些文件夹曾被访问过?
1 …\\Company_Files\\Jonathan Norton
2 …\\Company_Files\\Stephen Chow
3 …\\Company_Files\\John Wick
4 …\\ Company_Files\\Logan Chen
5 …\\Company_Files\\Colleen Johnson
A 2,3,5
B 2,4,6
C 1,3,5
D 3,4,5
E 1,4,5

61 分析何源的公司计算机内存镜像,以下那一项有关这台计算机的资料是正确?
A. 这台计算机安装 Window 的时间是 2019-10-31 11:56:23 UTC + 0
B. 这台计算机的名称是 WIN-VUAL29E4P0K
C. 公开资料显示这台计算机 TCPIP 的最后更新时间是 2019-10-31 04:59:00 UTC + 0
D. A 及 C 都是正确
E. B 及 C 都是正确
答案:B

62 分析何源的公司计算机内存镜像,以下那一项关于这台计算机连接 USB 装置的描述是正确?
A. 没有,因为透析资料找不到
B. 没有,因为内存容量没有取得完整的注册表资料
C. 有,而且装置的牌子应该是 HUAWEI
D. 有,而且装置的 GUID 是 4d36e967-e325-11ce-afc1-832210318
E. 有,而且装置的首次插入时间 HEX 值是 40 43 30 b9 b8 8f d5 01

以上是关于2019美亚杯个人赛的主要内容,如果未能解决你的问题,请参考以下文章

2016第二届美亚杯电子数据取证(个人赛)

第一届美亚杯

2021年第七届“美亚杯”电子数据取证个人赛Write up

第七届美亚杯资格赛复盘

2021美亚团队赛复盘

男童手臂被电梯夹断,惨不忍睹!秦皇岛环美亚盘点电梯伤人事件