2017美亚杯资格赛复盘WP
美亚杯2017个人赛复盘WP
背景
Gary是一位经常使用笔记本电脑的人。他热爱足球,常常浏览足球网站。但从2017年9月开始, Gary开始计划赚些快钱,思想也变得偏激。他不时关注一些电脑类的违法技术,还参与进行网上dubo,甚至搜寻军事资讯,恐怖袭击等的相关新闻。他开始上网寻找有关买枪械和刀等武器的资料,但最后均无收获。后来Gary开始与一名黑客接触,并询问如何制造假网站以及购买枪械的方法。其后Gary的笔记本电脑被勒索赎金恶意软件(Ransomware)感染,于是Gary报警。执法机关接到报警后,出动电脑法证调查人员,检取Gary的电脑,开始进行法证检验,并将电脑硬盘制造成一个法证镜像,以作分析之用。
题目
| 1 | Gary的笔记本电脑已成功取证并制作成镜像 (Forensic Image),下列哪个是其MD5哈希值。 A |
|---|---|
| A. | 0CFB3A0BB016165F1BDEB87EE9F710C9 |
| B. | 5F1BDEB87EE9F710C90CFB3A0BB01616 |
| C. | A0BB016160CFB3A0BB0161661670CFB3 |
| D. | 16160CFB3A0BB016166A0BB016166167 |
| E. | FB3A0BB016165 B016166 A0DF7FJE2EJ0 |
| 2 | 根据此镜像 (Forensic Image),里面有多少个硬盘分区?C | |
|---|---|---|
| A. | 1 | |
| B. | 2 | |
| C. | 3 | |
| D. | 4 | |
| E. | 5 |
| 3 | 你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)? D |
|---|---|
| A. | 0 |
| B. | 512 |
| C. | 2,048 |
| D. | 206,848 |
| E. | 102,402,047 |
| 4 | 你能找到硬盘操作系统分区的大小吗 (字节byte)? E |
|---|---|
| A. | 48.7 |
| B. | 102,195,200 |
| C. | 140,232,703 |
| D. | 19,369,295,872 |
| E. | 52,323,942,400 |
| 5 | 在包含操作系统的分区内,$MFT的物理起始偏移位置是什么?D |
|---|---|
| A. | 3328 |
| B. | 4,170,040 |
| C. | 6,026,176 |
| D. | 6,498,304 |
| E. | 16,949,352 |
这边我卡了一段时间,一直在算C盘的物理位置。结果后来看到题目强调“包含操作系统”,才醒悟过来这是个坑。
太逆天了,怎么会装在D盘?反正直接翻MFT表就可以了。
| 6 | 请找出系统文件“SOFTWARE",请问操作系统的安装日期是? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC) B |
|---|---|
| A. | 2017-09-04 10:10 UTC |
| B. | 2017-09-04 10:11 UTC |
| C. | 2017-09-04 10:12 UTC |
| D. | 2017-09-04 10:13 UTC |
| E. | 2017-09-04 02:14 UTC |
这边注意一下时区是UTC
| 7 | 用户“Gary"的SID是什么?A |
|---|---|
| A. | 1000 |
| B. | 1001 |
| C. | 1002 |
| D. | 1005 |
| E. | 1007 |
| 8 | 用户“彼得"的SID是什么?B |
|---|---|
| A. | 1000 |
| B. | 1001 |
| C. | 1002 |
| D. | 1005 |
| E. | 1007 |
| 9 | 硬盘的操作系统是什么?A |
|---|---|
| A. | Windows 7 |
| B. | Windows 8 |
| C. | Windows 10 |
| D. | Linux Red Hat 7.1 |
| E. | MAC OS X |
| 10 | 哪个是Windows的默认浏览器?C A |
|---|---|
| A. | Microsoft Internet Explorer |
| B. | Google Chrome |
| C. | Mozilla Firefox |
| D. | Opera |
| E. | QQ 浏览器 |
然而这样是假的。要想知道真正的默认浏览器还是得去翻注册表。
| 11 | 用户 “Gary"曾经浏览过一些非法博彩网站,下列哪项URL符合?D |
|---|---|
| a. | www1.10086.com |
| b. | www.188bet.com |
| c. | www.hv5858.com |
| d. | www.12377.cn |
| e. | www.88.bettingwell.com |
| f. | www.aaakk.org |
| A. | 只有(a) & (b) |
| B. | (a), (b), (d) & (f) |
| C. | (b), (c), (d) & (f) |
| D. | (b), (c), (e) & (f) |
| E. | 以上皆是 |
| 12 | 用户Gary曾经登入上述非法博彩网站,下列哪个是其登入名称?E |
|---|---|
| A. | ggchey68 |
| B. | gany-cher88 |
| C. | galy_chen88 |
| D. | garychen1688 |
| E. | garychen88 |
| 13 | 在所有用户中,用于电子邮件发送/接收的程序名称是什么?E |
|---|---|
| A. | 新浪邮箱 |
| B. | 网易163 |
| C. | 阿里邮箱 |
| D. | Foxmail |
| E. | Mozilla Mail – ThunderBird |
| 14 | 在该Windows系统中,曾经连接数个USB移动储存装置 (U盘),下列那个不是该系统连接过的USB移动储存装置 ?A |
|---|---|
| A. | WD My Passport 0827 USB Device |
| B. | StoreJet Transcend USB Device |
| C. | Samsung Portable SSD USB Device |
| D. | StoreJet TS256GESD400K USB Device |
| E. | General UDisk USB Device |
一个个筛过去就行了。
| 15 | 在该Windows系统中,下列哪个USB移动储存装置 (U盘)曾被指派为‘Z’磁盘分区代号(Drive Letter) ? C |
|---|---|
| A. | WD My Passport 0827 USB Device |
| B. | StoreJet Transcend USB Device |
| C. | Samsung Portable SSD USB Device |
| D. | StoreJet TS256GESD400K USB Device |
| E. | General UDisk USB Device |
| 16 | 该Windows系统中,下列哪个是最后的关机时间? A |
|---|---|
| A. | 2017-10-31 4:52:54 UTC |
| B. | 2017-10-31 4:53:54 UTC |
| C. | 2017-10-31 4:54:54 UTC |
| D. | 2017-10-31 4:55:54 UTC |
| E. | 2017-10-31 4:56:54 UTC |
看来关机和正常关机不是一回事。话说美亚出的题目,连自家的软件也取不对吗?
另外注意以下时区。
| 17 | 该Windows系统中,下列哪个是电脑名称?B |
|---|---|
| A. | GARYPC |
| B. | GARY-PC |
| C. | GARY_PC |
| D. | GARY |
| E. | GARY-NB |
| 18 | 在该Windows系统中,下列哪个是用户Gary日常使用的邮箱帐号? D |
|---|---|
| A. | ics_user@mail.com |
| B. | ics_user@gmail.com |
| C. | gary@mail.com |
| D. | gary_chen@mail.com |
| E. | gary_chen@gmail.com |
| 19 | 在该Windows系统中,用户Gary曾经收过一封来自邮箱帐号 ics_user@mail.com 的邮件,内容提及有关制作钓鱼网站及邮件帐号eric_wang99@outlook.com,下列哪个是此封邮件的发送日期和时间? C |
|---|---|
| A. | 2017-09-25 17:07:15 |
| B. | 2017-10-17 14:35:45 |
| C. | 2017-10-17 18:24:02 |
| D. | 2017-10-26 19:17:08 |
| E. | 2017-10-26 19:24:57 |
| 20 | 在该Windows系统中,用户Gary还曾经收过两封来自邮箱帐号 eric_wang99@outlook.com的邮件,标题为“学习制作网站”,下列哪个是第一封邮件的发送日期和时间? D |
|---|---|
| A. | 2017-09-25 17:07:15 |
| B. | 2017-10-17 14:35:45 |
| C. | 2017-10-17 18:24:02 |
| D. | 2017-10-18 18:30:45 |
| E. | 2017-10-18 19:38:05 |
| 21 | 在该Windows系统中,用户Gary还曾经收过两封来自邮箱帐号 eric_wang99@outlook.com邮件,标题为“学习制作网站”,下列哪个是第二封电邮的发送日期和时间? E |
|---|---|
| A. | 2017-09-25 17:07:15 |
| B. | 2017-10-17 14:35:45 |
| C. | 2017-10-17 18:24:02 |
| D. | 2017-10-18 18:30:45 |
| E. | 2017-10-18 19:38:05 |
额,题目重复?
| 22 | 用户Gary亦曾经收过一封来自电邮账号 ics_user@mail.com 的电邮,附加了两张与咖啡豆有关的相片,下列哪个是此封电邮之发送日期及时间? D |
|---|---|
| A. | 2017-09-25 17:07:15 |
| B. | 2017-10-17 14:35:45 |
| C. | 2017-10-17 18:24:02 |
| D. | 2017-10-26 19:17:08 |
| E. | 2017-10-26 19:24:57 |
| 23 | 下列哪项是与上述咖啡豆有关相片的MD5哈希值/哈希值(Hash value)?B |
|---|---|
| A. | 449cebf0eb96499df047fe0bff8e1627 |
| B. | 17f9c6bcca44d128f7ed6769a6920278 |
| C. | 4bc48ce355acd4732f33a79e29728e96 |
| D. | 4bc48ce355acd4732f33a79e29728e97 |
| E. | e3e545c80a7273b7b0d7c73dacdd7227 |
| 24 | 在该Windows系统中,用户Gary还曾经收到一封来自邮箱帐号 eric_wang99@outlook.com 的邮件,附加有三张与Apple iCloud相关的相片,下列哪个为该封邮件的发送日期和时间?E |
|---|---|
| A. | 2017-09-25 17:07:15 |
| B. | 2017-10-17 14:35:45 |
| C. | 2017-10-17 18:24:02 |
| D. | 2017-10-18 18:30:45 |
| E. | 2017-10-18 19:38:05 |
| 25 | Gary经常使用笔记本电脑浏览互联网,他的笔记本电脑上曾经连接过多少WIFI热点?C |
|---|---|
| A. | 1 |
| B. | 2 |
| C. | 3 |
| D. | 4 |
| E. | 5 |
其实这里我已经不是很确定了。毕竟wifi和wifi热点还是有区别的。
谔谔,果然美亚题还得取证大师来做。这里因为卷影的原因多生成一组数据,实际数量就是4个。
| 26 | 上述电脑曾经连接过星巴克WIFI热点,下列哪项是其全局唯一识别元(Globally Unique Identifier, GUID)?E | |
|---|---|---|
| A. | ||
| B. | ||
| C. | ||
| D. | ||
| E. |
怎么会对不上……无所谓,还有搜索大法呢
这个好像是网络连接的日志文件。也就是说刚刚看到的两个GUID只是无线网卡的GUID捏……
| 27 | 有关Gary的笔记本电脑,下列哪项是其最后分派得到的IP地址?D |
|---|---|
| A. | 192.168.0.1 |
| B. | 192.168.10.4 |
| C. | 192.168.20.6 |
| D. | 192.168.30.3 |
| E. | 192.168.40.5 |
| 28 | Eric曾发邮件给Gary,内容是关于如何在暗网(Dark Web)中浏览枪械的信息,以下哪个URL是由Eric提供的?B |
|---|---|
| A. | http://hhnovpxmqrw5xaqg.onion |
| B. | http://gunsjmzh2btr7lpy.onion |
| C. | http://gunsdtk58tolcrre.onion |
| D. | http://armoryohajjhou6m.onion |
| E. | http://armory45jijdf7d.onion |
枪械图
| 29 | Eric 售卖iCloud 网站给Gary 的价钱是多少?C |
|---|---|
| A. | $500 |
| B. | $800 |
| C. | $1000 |
| D. | $1400 |
| E. | $1500 |
| 30 | Gary 经常将非法文件存储到该笔记本电脑的加密分区中,下列哪一个为该加密软件?B |
|---|---|
| A. | TrueCrypt |
| B. | VeraCrypt |
| C. | Bitlocker |
| D. | LUKS |
| E. | PGP WDE |
我从回收站里面拖出来的。正好还有个vc容器,看来就是这个了。
| 31 | 在加密磁区内有三张与Apple iCloud有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)?A |
|---|---|
| A. | c9fbfaf3c45492c40feb83a83217f146 |
| B. | 14903a7bd9d709b653f9afe8e3e51cdd |
| C. | 7cb0f29812317db645edbcd6cf46e1ba |
| D. | 5503d096bdf832460c8f51da62fbbb5d |
| E. | 9918465b62171ba2c0a95595db629bf3 |
| 32 | 在加密磁区内有三张与暗网(Dark Web)有关的相片,下列哪个为其中一张相片的MD5哈希值(Hash Value)?E |
|---|---|
| A. | 2836d35fb45c591211d5b6865c4a82f5 |
| B. | d2b14799050b6c4ad6b07cd1227b91a5 |
| C. | 9110c96baa70c00acd8fbdfe2dc7c397 |
| D. | 703899985d881e2d103eb4fd1306be2e |
| E. | 4c57a45b8da5ea01e5eb7d875f94a7b8 |
| 33 | Gary的计算机系统时区是什么?? A |
|---|---|
| A. | 中国标准时间 |
| B. | 日本标准时间 |
| C. | 泰国标准时间 |
| D. | 新加坡标准时间 |
| E. | 伦敦标准时间 |
| 34 | 在上述加密磁区内,存有一个名为”2017-10-27”的文件夹,内有三张枪械的图片,该三张图片是来自哪个网站?B |
|---|---|
| A. | http://gunsdtk58tolcrre.onion |
| B. | http://gunsjmzh2btr7lpy.onion |
| C. | thegunstorelasvegas.com |
| D. | cabelas.com |
| E. | hyattgunstore.com |
加密磁盘是在打不开。但是是三张枪械图的话,盲猜就是邮件里的那几张图
| 35 | Gary的笔记本电脑曾经下载过多少张有关恐怖组织的图片? |
|---|---|
| A. | 1 |
| B. | 2 |
| C. | 3 |
| D. | 4 |
没有什么直接指向恐怖组织的线索。不过在后面翻download文件夹的时候发现了isis的统计数据,正好就是我们要找的图片。
| 36 | 根据Gary与Eric邮件的内容,Eric曾经提供Gary一个私有云盘,下列哪项是该邮件提供的资料?B |
|---|---|
| A. | 动物图 |
| B. | 枪的结构图 |
| C. | 博彩图 |
| D. | 博彩文件 |
| E. | 恐怖主义图 |
| 37 | 下列哪项是上述私有云盘的网址?B |
|---|---|
| A. | http://mantech.mooo.cn |
| B. | http://mantech.mooo.com |
| C. | http://mooo.com |
| D. | http://mantech.com |
| E. | http://23.54.45.113 |
| 38 | 下列哪项是上述私有云盘网址的连接端口?D |
|---|---|
| A. | TCP 80 |
| B. | TCP 8080 |
| C. | UDP 80 |
| D. | TCP 8000 |
| E. | TCP 443 |
| 39 | 下列哪项是Gary第一次浏览该私有云盘网址时,所使用的浏览器?C |
|---|---|
| A. | Microsoft Explorer |
| B. | Google Chrome |
| C. | Mozilla Firefox |
| D. | Opera |
| E. | QQ 浏览器 |
| 40 | 下列哪项是Gary第一次浏览该私有云盘网址的日期和时间?B |
|---|---|
| A. | 2017-10-29 12:42:09 |
| B. | 2017-10-30 12:42:09 |
| C. | 2017-10-31 12:42:09 |
| D. | 2017-10-30 10:42:09 |
| E. | 2017-10-30 11:42:09 |
| 41 | 在上述加密磁区内,存有一个名为”2017-10-30”的文件夹,里面有三张与枪械结构有关的图片,该三张图片是从哪个方法/软件下载?B |
|---|---|
| A. | 邮件 |
| B. | Firefox |
| C. | Chrome |
| D. | USB thumb drive |
| E. | ftp |
还是那句话,遇事不决全局搜索
| 42 | Gary的笔记本电脑,曾经下载过一个感染了电脑病毒的文件,名为invoice.zip。该病毒程序文件是什么时候下载? E | |
|---|---|---|
| A. | 2017-10-31 12:26:20 | |
| B. | 2017-10-31 12:50:34 | |
| C. | 2017-10-31 12:29:55 | |
| D. | 2017-10-31 10:52:10 | |
| E. | 2017-10-31 12:18:54 |
| 43 | Gary的笔记本电脑,还存有一个感染了电脑病毒的程序文件,名为\User\Gary\Downloads\invoice\dist\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?A |
|---|---|
| A. | 2017-10-31 12:26:27 |
| B. | 2017-10-31 12:50:34 |
| C. | 2017-10-31 12:29:55 |
| D. | 2017-10-31 10:52:10 |
| E. | 2017-10-31 12:18:54 |
| 44 | 上述invoice.exe文件伪装成什么格式的软件?A |
|---|---|
| A. | |
| B. | jpg |
| C. | psd |
| D. | Docx |
| E. | Doc |
| 45 | 上述的\User\Gary\Downloads\invoice\dist\invoice.exe文件,最后执行日期/时间(Last Accessed Data/Time) 是什么?B |
|---|---|
| A. | 2017-10-31 12:26:27 |
| B. | 2017-10-31 12:50:34 |
| C. | 2017-10-31 12:29:55 |
| D. | 2017-10-31 10:52:10 |
| E. | 2017-10-31 12:18:54 |
| 46 | 事实上,Gary的笔记本电脑被电脑病毒感染了,部份文件被加密,当中包括下列哪种文件类型?D |
|---|---|
| a. | exe |
| b. | gif |
| c. | jpg |
| d. | psd |
| e. | Docx |
| f. | Doc |
| A. | 只有(a) & (b) |
| B. | (a), (b), (d) & (f) |
| C. | (b), (c), (d) & (f) |
| D. | (b), (c), (e) & (f) |
| E. | 以上皆是 |
e和f是肯定有的,其他两个没有见过,所以直接选E
| 47 | 上述\User\Gary\Downloads\invoice\dist\invoice.exe文件共执行多少?C E |
|---|---|
| A. | 1 |
| B. | 2 |
| C. | 3 |
| D. | 4 |
| E. | 5 |
访问和创建也算是运行吗……
| 48 | 上述\User\Gary\Downloads\invoice\dist\invoice.exe文件是由什么程序编写?D |
|---|---|
| A. | LISP |
| B. | C++ |
| C. | Visual Basic |
| D. | Python |
| E. | Java |
使用了大量的pyc,并且还导入了python27的dll库……应该是python
| 49 | 上述\User\Gary\Downloads\invoice\dist\invoice.exe文件,执行时会呼叫下列哪个动态连结函式库(Dynamic Linked Library)A |
|---|---|
| A. | KERNEL32.DLL |
| B. | USER32.DLL |
| C. | SHELL32.DLL |
| D. | NTDLL.DLL |
| E. | SYSTEM32.DLL |
甚至不用ida,用弘连自带的反编译就可以了。
| 50 | Gary的笔记本电脑,还存有另一感染了电脑病毒的程序文件,名为\tmp\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?B |
|---|---|
| A. | 2017-10-31 12:26:27 |
| B. | 2017-10-31 12:50:34 |
| C. | 2017-10-31 12:29:55 |
| D. | 2017-10-31 10:52:10 |
| E. | 2017-10-31 12:18:54 |
| 51 | 上述两个文件\User\Gary\Downloads\invoice\dist\invoice.exe和 \tmp\invoice.exe是什么关系?B |
|---|---|
| A. | 前者是后者的复本 |
| B. | 后者是前者的复本 |
| C. | 两者MD5不相同 |
| D. | 两者元数据(Metadata)相同 |
| E. | 两者无关系 |
首先不可能是无关系,然后我比对了一下,两者的元数据也不相同,但确实是同一个文件。因为前者的创建时间比后者早,而且tmp文件夹是用来暂存文件的,所以合理推测后者是前者的复本。
| 52 | 根据勒索讯息的显示,勒索网址是什么?C |
|---|---|
| A. | http://223.17.250.208:6000/C&C/ |
| B. | http://223.17.250.208/C&C/ |
| C. | http://223.17.250.208:6060/C&C/ |
| D. | http://223.17.250.208:80/C&C/ |
| E. | http://223.17.250.208:8080/C&C/ |
| 53 | 根据勒索讯息的显示,勒索金额是多少钱?B |
|---|---|
| A. | $1,000 |
| B. | $10,000 |
| C. | $20,000 |
| D. | $50,000 |
| E. | $100,000 |
| 54 | 根据勒索讯息的显示,下列哪个是与勒索案件有关的比特币钱包?B |
|---|---|
| A. | 1KcjhpkowGWh5QYgPx5hYGuzbZpewgBszh |
| B. | 1KcjhpknwGWh5QYgPx5hYGuzbZpewgBszh |
| C. | 1KcjhpknwGWh5QYgPx5hYGuzbZpewgBzzh |
| D. | 1KcjhpknwGWh5QYgPx6hYGuzbZpewgBszh |
| E. | 1KcjhpknwGWh6QYgPx5hYGuzbZpewgBszh |
眼镜看得痛……其实选项之间互相比对一下也能排除出正确答案。
| 55 | 执法机关曾在现场对Gary的电脑进行电子法证检验,期间曾撷取与勒索软件相关的屏幕影像,并储存为png格式。下列哪项是其储存位置?D | |
|---|---|---|
| A. | \Users\彼得\Downloads\ | |
| B. | \Users\彼得\Desktop\ | |
| C. | \Users\Gary\Downloads\ | |
| D. | \Users\Gary\Desktop\ | |
| E. | \Users\Gary\Documents |
其实就是刚刚那张截图。
补充
后来发现vc容器的秘钥文件就在C盘的根目录下……其实很多题目的秘钥都会放在很显眼的位置,我却光顾着搜索用户目录下的数据,真是大意了(虽然也不影响做题)。
总结
这次做题本来是想试试盘古石的工具,结果一言难尽……该说是取证大师和弘连用习惯了吗,盘古石的电脑取证用起来真是处处掣肘。其仿真软件甚至连这个单镜像都仿不起来,还是用弘连仿起来的。
题目本身质量还行,难度中等。只不过我从头到尾都严加关注的vc容器对解题其实没有多大帮助,还是让我很意外的。
