19美亚杯个人赛

• 案情介绍

**1.**何源是一名 25 岁的客服人员，在一间电讯公司工作。某日，何源在用 iPhone 手机在政府建筑物 中偷拍车牌期间被警员截停，盘问期间警员检查手机相册发现多张车牌图片，何源情绪紧张，趁 警员不被，抢过手机丢入车流，被完全损毁。行为十分可疑，警方于是展开调查。审讯期间何源 承认利用自己职权的便利，登入公司储存客户数据的服务器，非法取得一些政府人员的个人资 料，例如姓名，车牌号码，电话等等，再将这些数据出售。

**2.**警方检获何源个人计算机，以及何源公司计算机（由于何的公司不允许警方检取整台计算机, 人 员只能取得内存数据档案(memory image) 以作分析)。现你被委派对何的计算机进行电子数据取 证，还原事件经过。

你会获得何源 ( YuanHe ) 计算机的硬盘镜像文件 "win2.E01"以及何源公司计算机的内存数据档案 “memdump.mem”。 根据这两个镜像文件的内容，请回答以下问题：

• 题目分析

这62道题目大致可以分成三部分: 纯Windows部分,iPhone手机部分和内存镜像部分,

1.何源的个人计算机硬盘已成功被取证并制作成镜像（ForensicImage），下列哪个是镜像的SHA1哈希值？

A.6891d022c7e6fe81dc8ba2160e1ab610891596d3
B.3e57817ea6263bc2c696a3455cc96381
C.ed43de631a56dd2c8bac4abbd3882c86
D.dd32beac5ef2cd1cac06bdd8b5e88cbc4eb94de9
E.48a45c39da458f3cadd92017e0247454dc8bff66

2.在何源的个人计算机中，硬盘中包含哪个操作系统（OperatingSystem）？C

A.Windows7
B.FAT32
C.Windows10
D.KaliLinux
E.NTFS

3.何源个人计算机的文件系统(FileSystem)是什么？

A.FAT16
B.FAT32
C.Windows7
D.NTFS
E.Windows10

4.在何源的个人计算机中，你能找到操作系统分区的总容量吗(单位：字节byte)？

A.492,083,081,216
B.105,685,986,874
C.386,908,999,680
D.105,174,081,536
E.492,594,986,554

根据扇区大小可以得到大致的

961,099,776 * 512 = 492,083,085,312

5.在何源的个人计算机中，操作系统分区的$Bitmap的起始物理扇区位置(PhysicalSectorNumber)是多少？

A.5,683,328
B.6,170,040
C.7,026,176
D.8,498,304
E.9,168,216

6.在何源的个人计算机中，请问操作系统的安装日期是？（答案格式－“世界协调时间＂：YYYY-MM-DDHH:MMUTC）A

A.2019-10-1604:44UTC

B.2019-10-1716:25UTC
C.2019-10-1610:12UTC
D.2019-10-1802:13UTC
E.2019-10-1809:14UTC

7.在何源的个人计算机中，每个扇区(Sector)包含多少个字节？（单位:byte）A

A.512bytes
B.1024bytes
C.2048bytes
D.4096bytes
E.8192bytes

在前面计算可以得出,是512.

8.在何源的个人计算机中，操作系统的时区是哪个时区？

A.EasternStandardTime(GMT-05:00):USandCanada
B.PacificStandardTime(GMT-08:00):Tijuana
C.KoreaStandardTime(GMT+09:00):Seoul
D.GMTStandardTime(GMT):Dublin,Edinburgh,Lisbon,London
E.ChinaStandardTime(GMT+08:00):Beijing,Chongqing,HongKong,Shanghai

9.在何源个人计算机的操作系统中，下列哪个是计算机的主机名?D

A.DESKTOP-JW47K02
B.HEYuan-WIN1
C.HEYuan-WIN2
D.DESKTOP-SM22M96
E.DESKTOP-WE23K24

10.在何源的个人计算机中，以下哪一个是用户“HeYuan”的SID？B

A.S-1-5-21-1551135561-2581751248-1803739423-1001
B.S-1-5-21-1551135561-2581751248-1803739423-1000
C.S-1-5-21-1551135561-2581751248-1803739423-500
D.S-1-5-21-1551135561-2581751248-1803739423-501
E.None

11.在何源的个人计算机中，下列哪个USB移动储存装置(U盘)曾被分配为‘E’磁盘分区代号(DriveLetter)?

A.KingstonDataTraveler3.0USBDevice
B.SanDiskTranscendUSBDevice
C.SamsungPortableSSDUSBDevice
D.WDMyPassport3.0USBDevice
E.SeagateFlashDiskUSBDevice

12.在何源的个人计算机中，用户“HeYuan”曾经在挂载为“E”盘的USB移动储存装置中访问过一些文件/文件夹，以下哪一个不是？

A.E:\美国恐怖故事
B.E:\NewTextDocument.txt
C.E:\CONFIDENTIAL.doc
D.E:\PycharmProjects
E.A,B,C,D

13.在何源的个人计算机中，用户“HeYuan”最近在本机上访问过一些文件，以下哪一个不是？

A.SampleProjectPlan.doc
B.URGENT.doc
C.connect.py
D.美国恐怖故事01.mp4
E.Comprehensive-Minute-Template.doc

14.在何源的个人计算机中，以下哪一个是程序“VERACRYPT.EXE”的运行次数？

A.1
B.2
C.3
D.4
E.6

15.在何源的个人计算机中，在程序“VERACRYPT.EXE”运行时，以下哪个dll文件并没有同时被加载？

A.COMDLG32.DLL
B.CRYPT32.DLL
C.SECUR32.DLL
D.CRYPTSP.DLL
E.ENCRYPT.DLL

在仿真里使用WinPrefetchView，查看Veracrypt.exe：

16.在何源的个人计算机中，用户“HeYuan”的桌面墙纸（Wallpaper）背景是什么颜色？

A.黑色
B.灰色
C.蓝色
D.红色
E.绿色

17.在何源的个人计算机中，以下哪个文件在电脑poweroff的时候仍然拥有内存的内容?此文件具有与电脑内存（RAM）相似的大小并保存在根目录。

A.WIN386.SWP
B.HIBERFIL.sys
C.PAGEFILE.SYS
D.NTUSER.DAT
E.SWAPFILE.SYS

HIBERFIL.sys

搜了下才知道这个文件与内存有关：

18.在何源的个人计算机中，以下哪个database文件存有此操作系统的timeline痕迹？

A.SRUDB.dat
B.Windows.edb
C.Spartan.edb
D.ActivitiesCache.db
E.Thumbs.db

火眼跳转源文件

19.在何源的个人计算机中，曾被分配过的ip地址是？

A.147.8.177.224
B.147.10.188.23
C.192.168.0.110
D.10.12.9.214
E.192.168.1.2

20.在何源的个人计算机中，用户”Administrator”的InternetExplorer浏览器的startpage是以下哪个？

A.http://go.microsoft.com
B.https://www.bing.com
C.http://www.baidu.com
D.https://www.google.com
E.http://hao.360.cn

21.在何源的个人计算机中，你是否可以找到何源iPhone手机的线索。关于他的手机，以下哪条信息不正确？

A.IMEI：359461082062689
B.SerialNumber：F17V1L6EHG70
C.AppleID：heyuan516@icloud.com
D.MSISDN:85259114189
E.无

22.用户“He Yuan”在 WhatsApp 上与谁进行了对话？

A. Keanu Reeves

B. Michael Nyqvist

C. Peter Wang

D. John Manager

E. Michael Brown

23. 在手机联系人中，Anthony Chung 的手机号是多少？

A. +85252018664

B. +85257025241

C. +85257024765

D. +8613890274976

E. +8613928749036

24. He Yuan 在 iPhone 自带的 Safari 浏览器中搜索过一些关键词，以下哪一个不是？

A. 野狼 disco

B. 拜佛过人 professor

C. engineer’s day 1024

D. Programmer’s Day no bug

E. poptown 攻略

25.用户“HeYuan”的WeChatID是多少？

A.HEYUAN516
B.wxid_9y8cs5hdin2i15
C.wxid_9y8cs5hdin2i14
D.wxid_9y8cs5hdin2i13
E.wxid_9y8cs5hdin2i12

刚开始找的whatsapp,一直没找到

26.在WeChat的多个聊天记录中，用户“HeYuan”没有聊到过哪个话题？

A.与中介谈买房
B.与老板谈洗钱
C.与黑客谈交易
D.与网贷谈借钱**
E.与朋友谈炒房

27.从WeChat中的一个聊天记录中可知，用户“HeYuan”持有多少人的数据？

A.About500
B.About1000
C.About2000
D.About3000
E.About5000

28.接上题，Hacker最后要支付多少Bitcoin给HeYuan?

A.0.002312
B.0.066666
C.0.036354
D.0.014594
E.0.012398

29.接上题，HeYuan的Bitcoin收款地址是多少？

A.cI7g0tIzPuP2pxb20HQHNGOQdpmptDaCBf
B.InCeInFZmAP3PCLHLOchKTEZevQdHgQdP3
C.4qISisBY2Z8xgh9C6orRfuRzmzXKznUc5Z
D.18yZq8Dboyuvnd3R6pqG9kJkaZBki2JCoN
E.n5X7jwdPspKRgnZU6xzcEQueJanRqGdZQd

30.接上题，HeYuan分享给Hacker的百度网盘链接是多少?

A.https://pan.baidu.com/s/u8rLTgLZabfd9Va1wRjzyc9
B.https://pan.baidu.com/s/nIDo2yLop_ciNUxihF2cZi8
C.https://pan.baidu.com/s/N6RiGxMZDnswlOUKRi0IB6Q
D.https://pan.baidu.com/s/uFUc4W0zYmrGZMOxVm843GU
E.https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY3Ww

31.接上题，HeYuan提到的解压密码是多少？

A.bAtNyn3lHwP8xXW
B.hNfpdKcJlvpEFEa
C.decrypt123456
D.2019123456
E.HetoHacker123456

32.接上题，HeYuan收到了来自哪位hacker的转账？hacker的wechatID是多少？

A.Kevin,wxid_ugo2wrc3fuci22
B.Scott,wxid_i1lhj24r792i22
C.Iva,wxid_7qh2jzeomtvp22
D.John,wxid_QAZbWKIgIz4jpu
E.Jack,wxid_dbEx7dtbX4zPbb

33.根据Wechat聊天记录，HeYuan在2019-10-26号（UTC+8）晚上跟哪位朋友出去吃晚饭了？朋友的WechatID是多少?

A.IronMan,wxid_0ZYBi7dchvMIym
B.BlackPanther,wxid_zSrai2bRoLUNVb
C.RedBull,wxid_2yy2ekynoLbnq3
D.WhiteTiger,wxid_whMQ2YOLPiNNt7
E.BlackSheep,wxid_s00vt9uixjq922

34.在2019-10-31(UTC+8)，何源用iPhone手机在车库拍了一些车的照片,请问最早的那张车照片是什么时候拍的？

A.10/31/201918:53:29PM(UTC+8)
B.10/30/201910:43:27AM(UTC+8)
C.10/26/201919:53:29PM(UTC+8)
D.10/28/201920:40:30PM(UTC+8)
E.10/27/201910:53:29AM(UTC+8)**

在修改时间筛选

35.接上题，请问照片”IMG_0075.HEIC”拍摄地GPS坐标是以下哪一个？

A.28deg13’5.25"N,125deg9’6.34"E
B.22deg17’1.36"N,114deg8’9.91"E
C.120deg23’5.58"N,119deg7’4.53"E
D.88deg6’2.14"N,130deg6’7.86"E
E.100deg17’1.36"N,224deg6’8.57"E

36.在何源的个人计算机中，你能找到一个Veracrypt加密容器文件吗？它的原始文件名是？

A.containerx.txt
B.VC_Container
C.$RV61F4M
D.dataencrypt.txt
E.$IV61F4M

37.接上题，此Veracrypt加密容器文件之前可能被挂载为哪一个盘符(driveletter)?

A.A:
B.B:
C.Z:
D.D:
E.E:

38.在何源的个人计算机中，何源曾在电脑上登陆过客户端百度云盘，请问他的Baidu账号是多少？

A.Yuanhe516
B.Heyuan516
C.Heyuan515
D.Yuanhe515
E.None

39.在何源的个人计算机中，何源利用客户端百度网盘上传过一些文件，请问以下哪一个是？

A.美国恐怖故事04.mp4
B.Crawler_connect.py
C.fileencrypt.doc
D.Secret.xlsx
E.Company_info.xlsx

40.在何源的个人计算机中，何源iPhone手机中的一些图片曾被同步到他的百度网盘中，请问图片“2019-06-21 113537.jpg”的MD5hash值是多少？

A.fe41107c5260498e67171755e2b4bb1d
B.6055e4fa9e8a56c708a3db7198d091e7
C.7b8e1183d80962c0ad5a95ec673317a7
D.148685a257c49247f09b942237f1a248
E.db4a58e48ef51ca2c6c0f6e07f44d186

41.在何源的个人计算机中，何源用百度网盘上传文件“/美国恐怖故事/美国恐怖故事01.mp4”的起始时间是？（格式：UNIXTimestampUTC+8）

A.1572506551
B.1572506618
C.1572506608
D.1572506551
E.1572507864

42.在何源的个人计算机中，可以发现有多少文件,文件夹存在于何源的百度网盘中？

A.Files:55,Folder:3
B.Files:82，Folder:2
C.Files:23,Folder:1
D.Files:90,Folder:2
E.Files:102,Folder:7

文件有哈希值.文件夹没有

43.在何源的个人计算机中，用户“HeYuan”曾用Microsoft Edge浏览器google搜索过一些信息，以下哪个不是搜索的关键词？

A.gmailregister
B.tordatasale
C.onlinelender**
D.shadowsock
E.howtohideapartition

44.在何源的个人计算机中，用户“HeYuan”曾用Microsoft Edge浏览器注册过一个新的Gmailaccount,请从网页标题痕迹中找出此账号。

A.jackhe666@gmail.com
B.johnhe7@gmail.com
C.jacksonhe8@gmail.com
D.jorkerhe888@gmail.com
E.yuanhe666@gmail.com

45.在何源的个人计算机中，用户“HeYuan”曾用Microsoft Edge浏览器下载过一些文件，以下哪一个不是？

A.WeChat_C1018.exe
B.bitcoin-018.1-win64-setup.exe
C.torbrowser-install-win64-8.5.5_en-US.exe
D.SteamSetup.exe
E.BaiduNetdisk_6.8.4.1.exe

46.在何源的个人计算机中，用户“HeYuan”曾用以下哪款网页浏览器登陆过网页版百度网盘？

A.InternetExplorer
B.Firefox
C.Chrome
D.MicrosoftEdge
E.Tor

确认被搜索关键字pan.baidu

这是ie的，但这明显不是登录

47.在何源的个人计算机中，用户“HeYuan”曾用Tor浏览器访问过一些网站，以下哪一个不是？

A.https://duckduckgo.com
B.http://deepmix2cmtqm5ut74f4acz2eskr5htcdetpzupmdkas6fzi4cnc7sad.onion
C.http://vfqnd6mieccqyiit.onion
D.http://bntee6mf5w2okbpxdxheq7bk36yfmwithltxubliyvum6wlrrxzn72id.onion

E.http://silkroadjuwsx3nq.onion

48.接上题，以下哪个URL是由用户手动输入到Tor浏览器中的？

A.http://tfwdi3izigxllure.onion
B.https://hiddenwikitor.com
C.http://deepmix5e3vptpr2.onion
D.http://vfqnd6mieccqyiit.onion
E.http://smoker32pk4qt3mx.onion

根据洋葱浏览器的访问规则，推测手动输入的URL为正常的.com结尾形式，而非字段处理后的后缀为.onion的地址。

49.接上题，关于网页”http://rso4hutlefirefqp.onion”，以下哪一个描述是正确的？

A.ccPal - stolen creditcards, ebay and paypal accounts for bitcoins - buy CVV2s for bitcoin - PayPals for Bitcoin - Ebay Accounts for Bitcoin
B.UKPassports - Buy passport from the United Kingdom UK, real passports from the UK, no fake passports
C.Stolen Apple Products for Bitcoin. Get the newest apple products for a fraction of the price. Iphones for Bitcoin, Ipads for Bitcoin.
D.NLGrowers - Buy Weed, Hash, Cannabis, Marijuana with from the netherlands with Bitcoins - your deep web weed source
E.We sell medical cannabis, rick simpson cannabis oil and other medical cannabis products

50.接上题，哪个网页引导用户到了网页” http://vfqnd6mieccqyiit.onion”?

A.https://thehiddenwiki.org
B.http://hiddenwikitor.com
C.https://onionshare.org
D.http://xfnwyig7olypdq5r.onion
E.https://www.onionexplore.org

图中所有.onion网站都在图中选中网站之后，即是由该网站引导访问

也就是从http://hiddenwikitor.com开始引导的

51.分析何源的公司计算机内存镜像，何源的公司计算机操作系统以及硬件架构是什么？

A.Windows 7 x86

B.Windows 7 x64
C.Windows 8 x86
D.Windows 8 x64
E.Windows 10 x64

python vol.py -f "/root/桌面/memdump.mem" windows.info

52. 分析何源的公司计算机内存镜像，以下哪一个是进程“explorer.exe”的 PID?

A. 5098

B. 3484

C. 3048

D. 2236

E. 9875

python3 vol.py -f "memdump.mem" windows.pslist | grep -i 'explorer.exe'

53.分析何源的公司计算机内存镜像，以下哪一个是正确的用户SID？

A.HTC_admin : S-1-5-21-2316527938-3914680751-2175519146-1001
B.TMP_User : S-1-5-21-2316527938-3914680751-2175519146-1002
C.TMP : S-1-5-21-2316527938-3914680751-2175519146-1001
D.YuanHe : S-1-5-21-2316527938-3914680751-2175519146-1002
E.None

python3 vol.py -f "memdump.mem" windows.getsids >>1.txt

54.分析何源的公司计算机内存镜像，以下哪个远程地址与本地地址建立过TCP连接？

A.10.165.12.130
B.10.165.12.126
C.10.165.10.125
D.10.165.10.130
E.10.165.10.131

55.接上题，在上述TCP连接里，远程地址的端口号是多少？

A.80
B.443
C.445
D.22
E.3389

同上 445

python3 vol.py -f "memdump.mem" windows.netscan >>1.txt

56.分析何源的公司计算机内存镜像，注册表“\SystemRoot\System32\Config\SAM”在内存镜像中的虚拟地址（VirtualAddress）是多少？

A.Offset:0x97b5e5d8
B.Offset:0x9a5689c8
C.Offset:0x8c6b49c8
D.Offset:0x8bc1a1c0
E.Offset:0x9bc1a1c0

python3 vol.py -f "memdump.mem" windows.registry.hivelist >>1.txt

57.分析何源的公司计算机内存镜像，用户“YuanHe”登入密码的NTLMhash是多少？

A.bf12857078039ff604bf8e1fb4308643
B.31d6cfe0d16ae931b73c59d7e0c089c0
C.bf12857078039ff604bf8e1fb430a7d4
D.a53452d6cd5e2d72423cd3eac8b05607
E.99e74d973f8f852432f6d5a59659ed88

python3 vol.py -f "memdump.mem" windows.hashdump >>1.txt

58.分析何源的公司计算机内存镜像，盘符“E：”上的文件“PersonalInformation.xlsx”何时被访问过？

A.2019-10-3107:58:45
B.2019-10-3110:33:42
C.2019-10-3106:59:45
D.2019-10-3109:31:42
E.2019-10-3108:32:42

python3 vol.py -f "memdump.mem" timeliner  >>1.txt

因为有一个空格所以直接搜PersonalInformation.xlsx搜不到

59.分析何源的公司计算机内存镜像，以下哪个是文件“Personal Information.xlsx”的正确路径？

A.Users\YuanHe\Desktop\Confidential\PersonalInformation.xlsx
B.Users\YuanHe\Desktop\PersonalInformation.xlsx
C.Users\TMP_User\Desktop\Confidential\PersonalInformation.xlsx
D.Users\TMP_User\Desktop\PersonalInformation.xlsx
E.Users\Administrator\Desktop\Confidential\PersonalInformation.xlsx

python3 vol.py -f "memdump.mem" filescan  >>1.txt

读取不到Administrator的目录

但是其他的都没有所以Users\Administrator\Desktop\Confidential\PersonalInformation.xlsx

60. 分析何源的公司计算机内存镜像，可以发现以下哪些文件夹曾被访问过？

1. …Company_FilesJonathan Norton
2. …Company_FilesStephen Chow
3. …Company_FilesJohn Wick
4. … Company_FilesLogan Chen
5. …Company_FilesColleen Johnson

A 2,3,5

B 2,4,6

C 1,3,5

D 3,4,5

E 1,4,5

python3 vol.py -f "memdump.mem" timeliner >>1.txt

只搜索到了 4,5

61. 分析何源的公司计算机内存镜像，以下那一项有关这台计算机的资料是正确？

A. 这台计算机安装 Window 的时间是 2019-10-31 11:56:23 UTC + 0

B. 这台计算机的名称是 WIN-VUAL29E4POK

C. 公开资料显示这台计算机 TCPIP 的最后更新时间是 2019-10-31 04:59:00 UTC + 0

D. A 及 C 都是正确

E. B 及 C 都是正确

A选项

python3 vol.py -f "memdump.mem" -o 0x8bclalc0 windows.registry.printkey 

B选项

python3 vol.py -f "memdump.mem" windows.envars >>1.txt

windows.envars

解题过程：B。对提供的选项进行逐项分析。

A选项错误，在Microsoft路径下寻找系统信息。

虽然没有找到安装时间InstalledDate对应的键值，但是可以通过Last updated进行大致判断。正常的系统信息会记录在如下路径：(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate。

B选项正确，主机名所在的目录为：ControlSet001\Control\ComputerName\ComputerName。

C选项错误，使用timeliner模块并筛选TCP项，可以看到调用到TCP操作的三个时间与答案提供的04:59:00不符。

62.分析何源的公司计算机内存镜像，以下那一项关于这台计算机连接 USB 装置的描述是正确？

A. 没有，因为透析资料找不到

B. 没有，因为内存容量没有取得完整的注册表资料

C. 有，而且装置的牌子应该是 HUAWEI

D. 有，而且装置的 GUID 是 4d36e967-e325-11ce-afc1-832210318

E. 有，而且装置的首次插入时间 HEX 值是 40 43 30 b9 b8 8f d5 01

解题过程：E。逐项进行分析。

首先使用命令volatility -h | grep service查找与设备相关的命令。

然后使用设备扫描命令查询是否有USB使用痕迹。

发现确实存在USB的使用记录，排除A,B两项。在注册表中查询USB设备使用情况（注册表中与USB设备相关的路径为：ControlSet001\Enum\USBSTOR）。

可以发现设备的牌子为Seagate而不是HUAWEI，排除C选项。再继续搜寻注册表信息。

可以看到GUID为4d36e967-e325-11ce-bfc1-08002be10318，至此排除D选项，得到最终答案。