2019美亚杯资格赛复盘WP

美亚杯2019资格赛

windows

1 何源的个人计算机硬盘已成功被取证并制作成镜像(Forensic Image),下列哪个是镜像的 SHA1 哈希值?

A. 6891d022c7e6fe81dc8ba2160e1ab610891596d3

B. 3e57817ea6263bc2c696a3455cc96381

C. ed43de631a56dd2c8bac4abbd3882c86

D. dd32beac5ef2cd1cac06bdd8b5e88cbc4eb94de9

E. 48a45c39da458f3cadd92017e0247454dc8bff66

image-20230414205103262

2 在何源的个人计算机中,硬盘中包含哪个操作系统(Operating System)?C

A. Windows 7

B. FAT32

C. Windows 10

D. Kali Linux

E. NTFS

image-20230414205226976

3 何源个人计算机的文件系统(File System)是什么?D
img. FAT16
img. FAT32
img. Windows 7
img. NTFS
img. Windows 10

image-20230414205252081

4 在何源的个人计算机中,你能找到操作系统分区的总容量吗 (单位:字节 byte)?A
img. 492,083,081,216
img. 105,685,986,874
img. 386,908,999,680
img. 105,174,081,536
img. 492,594,986,554

image-20230414205331470

image-20230414205524225

啧,略有误差,但应该影响不大。应该是对齐的缘故。

5 在何源的个人计算机中,操作系统分区的$Bitmap 的起始物理扇区位置(Physical Sector Number)是多少?E
img. 5,683,328
img. 6,170,040
img. 7,026,176
img. 8,498,304
img. 9,168,216

image-20230414205917759

6 在何源的个人计算机中,请问操作系统的安装日期是?(答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC)A

A. 2019-10-16 04:44 UTC

B. 2019-10-17 16:25 UTC

C. 2019-10-16 10:12 UTC

D. 2019-10-18 02:13 UTC

E. 2019-10-18 09:14 UTC

这里需要注意一下是时区是UTC+8

7 在何源的个人计算机中,每个扇区(Sector)包含多少个字节?(单位: byte)A

A. 512 bytes

B. 1024 bytes

C. 2048 bytes

D. 4096 bytes

E. 8192 bytes

8 在何源的个人计算机中,操作系统的时区是哪个时区?E

A. Eastern Standard Time (GMT-05:00) : US and Canada

B. Pacific Standard Time (GMT-08:00): Tijuana

C. Korea Standard Time (GMT+09:00): Seoul

D. GMT Standard Time (GMT): Dublin, Edinburgh, Lisbon, London

E. China Standard Time (GMT+08:00): Beijing, Chongqing, Hong Kong, Shanghai

9 在何源个人计算机的操作系统中,下列哪个是计算机的主机名?D

A. DESKTOP-JW47K02

B. HEYuan-WIN1

C. HEYuan-WIN2

D. DESKTOP-SM22M96

E. DESKTOP-WE23K24

10 在何源的个人计算机中,以下哪一个是用户“He Yuan”的 SID?B

A. S-1-5-21-1551135561-2581751248-1803739423-1001

B. S-1-5-21-1551135561-2581751248-1803739423-1000

C. S-1-5-21-1551135561-2581751248-1803739423-500

D. S-1-5-21-1551135561-2581751248-1803739423-501

E. None

image-20230414210340100

11 在何源的个人计算机中,下列哪个 USB 移动储存装置 (U 盘)曾被分配为‘E’磁盘分区代号(Drive Letter) ?E

A. Kingston DataTraveler 3.0 USB Device

B. SanDisk Transcend USB Device

C. Samsung Portable SSD USB Device

D. WD My Passport 3.0 USB Device

E. Seagate Flash Disk USB Device

image-20230414210525226

emmmm,这样子没办法直接看出来。事实上,取证大师采集的usb设备信息是根据usb首次接入的注册表信息而得来的,也就是说就算其后期改动盘符我们也是不清楚的。我们其实可以从注册表中得知更详细的信息,具体可以看62题。

至少这题我认为是没有答案的……官方答案选A的话,就和金士顿挂载的address对不上了。

image-20230414212857160

12 在何源的个人计算机中,用户“He Yuan”曾经在挂载为“E”盘的 USB 移动储存装置中访问过一些文件/文件夹,以下哪一个不是?C

A. E:\美国恐怖故事

B. E:\New Text Document.txt

C. E:\CONFIDENTIAL.doc

D. E:\PycharmProjects

E. A,B,C,D

image-20230416081115629

13 在何源的个人计算机中,用户“He Yuan”最近在本机上访问过一些文件,以下哪一个不是?B

A. Sample Project Plan.doc

B. URGENT.doc

C. connect.py

D. 美国恐怖故事 01.mp4

E. Comprehensive-Minute-Template.doc

一个个搜过去,然后看用户痕迹就可以了

image-20230416082444067

14 在何源的个人计算机中,以下哪一个是程序“VERACRYPT.EXE”的运行次数?C

A. 1

B. 2

C. 3

D. 4

E. 6

image-20230416082556908

15 在何源的个人计算机中,在程序“VERACRYPT.EXE”运行时,以下哪个 dll 文件并没有同时被加载?E

A. COMDLG32.DLL

B. CRYPT32.DLL

C. SECUR32.DLL

D. CRYPTSP.DLL

E. ENCRYPT.DLL

IDA进入动调,然后看modules就可以了

image-20230416083027015

16 在何源的个人计算机中,用户“He Yuan”的桌面墙纸(Wall paper)背景是什么颜色?C

A. 黑色

B. 灰色

C. 蓝色

D. 红色

E. 绿色

17 在何源的个人计算机中,以下哪个文件在电脑 power off 的时候仍然拥有内存的内容? 此文件具有与电脑内存(RAM)相似的大小并保存在根目录。B

A. WIN386.SWP

B. HIBERFIL.sys

C. PAGEFILE.SYS

D. NTUSER.DAT

E. SWAPFILE.SYS

其实休眠文件和关机没啥关系,不过题目这么问了那我也只能选这个。

18 在何源的个人计算机中,以下哪个 database 文件存有此操作系统的 timeline 痕迹?D

A. SRUDB.dat

B. Windows.edb

C. Spartan.edb

D. ActivitiesCache.db

E. Thumbs.db

我想了半天也不明白这个timeline是个啥……网上查了一下发现其实就是ActivitiesCache.db,大意了。

19 在何源的个人计算机中,曾被分配过的 ip 地址是?A

A. 147.8.177.224

B. 147.10.188.23

C. 192.168.0.110

D. 10.12.9.214

E. 192.168.1.2

image-20230416084514258

20

在何源的个人计算机中,用户”Administrator”的 Internet Explorer 浏览器的 start page 是以下哪个?A

A. http://go.microsoft.com

B. https://www.bing.com

C. http://www.baidu.com

D. https://www.google.com

E. http://hao.360.cn

image-20230416084643214

21 在何源的个人计算机中,你是否可以找到何源 iPhone 手机的线索。关于他的手机,以下哪条信息不正确?C

A. IMEI:359461082062689

B. Serial Number:F17V1L6EHG70

C. Apple ID :heyuan516@icloud.com

D. MSISDN: 85259114189

E. 无

image-20230416085015203

22 用户“He Yuan”在 WhatsApp 上与谁进行了对话?D

A. Keanu Reeves

B. Michael Nyqvist

C. Peter Wang

D. John Manager

E. Michael Brown

image-20230416085051545

23 在手机联系人中,Anthony Chung 的手机号是多少?A

A. +85252018664

B. +85257025241

C. +85257024765

D. +8613890274976

E.+8613928749036

24 He Yuan 在 iPhone 自带的 Safari 浏览器中搜索过一些关键词,以下哪一个不是?B

A. 野狼 disco

B. 拜佛过人 professor

C. engineer's day 1024

D. Programmer's Day no bug

E. poptown 攻略

25 用户“He Yuan”的 WeChat ID 是多少?E

A. HEYUAN516

B. wxid_9y8cs5hdin2i15

C. wxid_9y8cs5hdin2i14

D. wxid_9y8cs5hdin2i13

E. wxid_9y8cs5hdin2i12

26

在 WeChat 的多个聊天记录中,用户“He Yuan”没有聊到过哪个话题?B

A. 与中介谈买房

B. 与老板谈洗钱

C. 与黑客谈交易

D. 与网贷谈借钱

E. 与朋友谈炒房

C:SCOTT

A:ZHANG

D:LENDER

E:/ZHANG

27 从 WeChat 中的一个聊天记录中可知,用户“He Yuan”持有多少人的数据?C

A. About 500

B. About 1000

C. About 2000

D. About 3000

E. About 5000

image-20230416085931978

28 接上题,Hacker 最后要支付多少 Bitcoin 给 He Yuan?D

A. 0.002312

B. 0.066666

C. 0.036354

D. 0.014594

E. 0.012398

image-20230416085953529

29 接上题,He Yuan 的 Bitcoin 收款地址是多少?D

A. cI7g0tIzPuP2pxb20HQHNGOQdpmptDaCBf

B. InCeInFZmAP3PCLHLOchKTEZevQdHgQdP3

C. 4qISisBY2Z8xgh9C6orRfuRzmzXKznUc5Z

D. 18yZq8Dboyuvnd3R6pqG9kJkaZBki2JCoN

E. n5X7jwdPspKRgnZU6xzcEQueJanRqGdZQd

30 接上题,He Yuan 分享给 Hacker 的百度网盘链接是多少?E

A. https://pan.baidu.com/s/u8rLTgLZabfd9Va1wRjzyc9

B. https://pan.baidu.com/s/nIDo2yLop_ciNUxihF2cZi8

C. https://pan.baidu.com/s/N6RiGxMZDnswlOUKRi0IB6Q

D. https://pan.baidu.com/s/uFUc4W0zYmrGZMOxVm843GU

E. https://pan.baidu.com/s/1QfrGtSAAffkyvnxi_aY3Ww

31 接上题,He Yuan 提到的解压密码是多少?E

A. bAtNyn3lHwP8xXW

B. hNfpdKcJlvpEFEa

C. decrypt123456

D. 2019123456

E. HetoHacker123456

32 接上题,He Yuan 收到了来自哪位 hacker 的转账? hacker 的 wechat ID 是多少?A

A. Kevin , wxid_ugo2wrc3fuci22

B. Scott , wxid_i1lhj24r792i22

C. Iva , wxid_7qh2jzeomtvp22

D. John , wxid_QAZbWKIgIz4jpu

E. Jack , wxid_dbEx7dtbX4zPbb

33 根据 Wechat 聊天记录,He Yuan 在 2019-10-26 号(UTC+8)晚上跟哪位朋友出去吃晚饭了?朋友的 Wechat ID是多少?E

A. Iron Man , wxid_0ZYBi7dchvMIym

B. Black Panther , wxid_zSrai2bRoLUNVb

C. Red Bull , wxid_2yy2ekynoLbnq3

D. White Tiger, wxid_whMQ2YOLPiNNt7

E. Black Sheep , wxid_s00vt9uixjq922

34 在2019-10-31(UTC+8),何源用iPhone手机在车库拍了一些车的照片,请问最早的那张车照片是什么时候拍的?A

A. 10/31/2019 18:53:29 PM(UTC+8)

B. 10/30/2019 10:43:27 AM(UTC+8)

C. 10/26/2019 19:53:29 PM(UTC+8)

D. 10/28/2019 20:40:30 PM(UTC+8)

E. 10/27/2019 10:53:29 AM(UTC+8)

image-20230416090540410

35 接上题,请问照片”IMG_0075.HEIC”拍摄地 GPS 坐标是以下哪一个?B

A. 28 deg 13' 5.25" N, 125 deg 9' 6.34" E

B. 22 deg 17' 1.36" N, 114 deg 8' 9.91" E

C. 120 deg 23' 5.58" N, 119 deg 7' 4.53" E

D. 88 deg 6' 2.14" N, 130 deg 6' 7.86" E

E. 100 deg 17' 1.36" N, 224 deg 6' 8.57" E

image-20230416090851089

36 在何源的个人计算机中,你能找到一个 Veracrypt 加密容器文件吗?它的原始文件名是?D

A. containerx.txt

B. VC_Container

C. $RV61F4M

D. data encrypt.txt

E. $IV61F4M

注意这里要的是原始文件名,所以不要把临时文件名扔上去……

image-20230416091011825

image-20230416092414793

37 接上题,此 Veracrypt 加密容器文件之前可能被挂载为哪一个盘符(drive letter) ?A

A. A:

B. B:

C. Z:

D. D:

E. E:

这方面没啥直接证据捏,那就走点歪门邪道——硬搜

image-20230416093503291

所有选项里面只有A有数据但没有多少访问记录,所以是临时挂载的,推测这个就是VC挂的盘符

38 在何源的个人计算机中,何源曾在电脑上登陆过客户端百度云盘,请问他的 Baidu 账号是多少?C

A. Yuanhe516

B. Heyuan516

C. Heyuan515

D. Yuanhe515

E. None

39 在何源的个人计算机中,何源利用客户端百度网盘上传过一些文件,请问以下哪一个是?A

A. 美国恐怖故事 04.mp4

B. Crawler_connect.py

C. file encrypt.doc

D. Secret.xlsx

E. Company_info.xlsx

image-20230416091341581

40 在何源的个人计算机中,何源 iPhone 手机中的一些图片曾被同步到他的百度网盘中,请问图片“2019-06-21 113537.jpg”的 MD5 hash 值是多少?C

A. fe41107c5260498e67171755e2b4bb1d

B. 6055e4fa9e8a56c708a3db7198d091e7

C. 7b8e1183d80962c0ad5a95ec673317a7

D. 148685a257c49247f09b942237f1a248

E. db4a58e48ef51ca2c6c0f6e07f44d186

image-20230416091841542

41 在何源的个人计算机中,何源用百度网盘上传文件“/美国恐怖故事/美国恐怖故事 01.mp4”的起始时间是?(格式:UNIX Timestamp UTC+8)A

A. 1572506551

B. 1572506618

C. 1572506608

D. 1572506551

E. 1572507864

emmmm,选项又有问题了

image-20230416091905665

image-20230416092045817

42 在何源的个人计算机中,可以发现有多少文件,文件夹存在于何源的百度网盘中?D

A. Files: 55, Folder: 3

B. Files: 82,Folder: 2

C. Files: 23, Folder: 1

D. Files: 90, Folder: 2

E. Files: 102, Folder: 7

加上正在上传的就行了

image-20230416094342433

43 在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器 google 搜索过一些信息,以下哪个不是搜索的关键词?D

A. gmail register

B. tor data sale

C. online lender

D. shadowsock

E. how to hide a partition

44 在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器注册过一个新的 Gmail account,请从网页标题痕迹中找出此账号。C

A. jackhe666@gmail.com

B. johnhe7@gmail.com

C. jacksonhe8@gmail.com

D. jorkerhe888@gmail.com

E. yuanhe666@gmail.com

看url效率太低了,建议直接搜

image-20230416095413229

45 在何源的个人计算机中,用户“He Yuan”曾用 Microsoft Edge 浏览器下载过一些文件,以下哪一个不是?B

A. WeChat_C1018.exe

B. bitcoin-018.1-win64-setup.exe

C. torbrowser-install-win64-8.5.5_en-US.exe

D. SteamSetup.exe

E. BaiduNetdisk_6.8.4.1.exe

image-20230416095548297

46

在何源的个人计算机中,用户“He Yuan”曾用以下哪款网页浏览器登陆过网页版百度网盘?D

A. Internet Explorer

B. Firefox

C. Chrome

D. Microsoft Edge

E. Tor

image-20230416095741755

47 在何源的个人计算机中,用户“He Yuan”曾用 Tor 浏览器访问过一些网站,以下哪一个不是?

A. https://duckduckgo.com

B. http://deepmix2cmtqm5ut74f4acz2eskr5htcdetpzupmdkas6fzi4cnc7sad.onion

C. http://vfqnd6mieccqyiit.onion

D. http://bntee6mf5w2okbpxdxheq7bk36yfmwithltxubliyvum6wlrrxzn72id.onion

E. http://silkroadjuwsx3nq.onion

48 接上题,以下哪个 URL 是由用户手动输入到 Tor 浏览器中的?C

A. http://tfwdi3izigxllure.onion

B. https://hiddenwikitor.com

C. http://deepmix5e3vptpr2.onion

D. http://vfqnd6mieccqyiit.onion

E. http://smoker32pk4qt3mx.onion

导出tor的数据库,然后在places表里面看type就可以了。1就是手输。

image-20230416101843825

image-20230416101852298

49 接上题,关于网页”http://rso4hutlefirefqp.onion”,以下哪一个描述是正确的?

A. ccPal - stolen creditcards, ebay and paypal accounts for bitcoins - buy CVV2s for bitcoin - PayPals for Bitcoin - Ebay Accounts for Bitcoin

B. UKPassports - Buy passport from the United Kingdom UK, real passports from the UK, no fake passports

C. Stolen Apple Products for Bitcoin. Get the newest apple products for a fraction of the price.

Iphones for Bitcoin, Ipads for Bitcoin.

D. NLGrowers - Buy Weed, Hash, Cannabis, Marijuana with from the netherlands with Bitcoins - your deep web weed source

E. We sell medical cannabis, rick simpson cannabis oil and other medical cannabis products

image-20230416103709147

image-20230416103911982

50 接上题,哪个网页引导用户到了网页” http://vfqnd6mieccqyiit.onion”?B

A. https://thehiddenwiki.org

B. http://hiddenwikitor.com

C. https://onionshare.org

D. http://xfnwyig7olypdq5r.onion

E. https://www.onionexplore.org

虽然看起来确实是一个引导网页,但我登上去的时候发现站点已经失效了,所以无从查证……

image-20230416105212235

内存

51 分析何源的公司计算机内存镜像, 何源的公司计算机操作系统以及硬件架构是什么?A
![img](file:///C:\Users\HP\AppData\Local\Temp\ksohtml42740\wps6.png). Windows 7 x86
![img](file:///C:\Users\HP\AppData\Local\Temp\ksohtml42740\wps7.png). Windows 7 x64
![img](file:///C:\Users\HP\AppData\Local\Temp\ksohtml42740\wps8.png). Windows 8 x86
![img](file:///C:\Users\HP\AppData\Local\Temp\ksohtml42740\wps9.png). Windows 8 x64
![img](file:///C:\Users\HP\AppData\Local\Temp\ksohtml42740\wps10.png). Windows 10 x64

image-20230414150938305

52 分析何源的公司计算机内存镜像,以下哪一个是进程“explorer.exe”的 PID?B
![img](file:///C:\Users\HP\AppData\Local\Temp\ksohtml42740\wps11.png). 5098
![img](file:///C:\Users\HP\AppData\Local\Temp\ksohtml42740\wps12.png). 3484
![img](file:///C:\Users\HP\AppData\Local\Temp\ksohtml42740\wps13.png). 3048
![img](file:///C:\Users\HP\AppData\Local\Temp\ksohtml42740\wps14.png). 2236
![img](file:///C:\Users\HP\AppData\Local\Temp\ksohtml42740\wps15.png). 9875

image-20230414151042832

53 分析何源的公司计算机内存镜像, 以下哪一个是正确的用户 SID ?D
![img](file:///C:\Users\HP\AppData\Local\Temp\ksohtml42740\wps16.png). HTC_admin : S-1-5-21-2316527938-3914680751-2175519146-1001
![img](file:///C:\Users\HP\AppData\Local\Temp\ksohtml42740\wps17.png). TMP_User : S-1-5-21-2316527938-3914680751-2175519146-1002
![img](file:///C:\Users\HP\AppData\Local\Temp\ksohtml42740\wps18.png). TMP : S-1-5-21-2316527938-3914680751-2175519146-1001
![img](file:///C:\Users\HP\AppData\Local\Temp\ksohtml42740\wps19.png). YuanHe : S-1-5-21-2316527938-3914680751-2175519146-1002
![img](file:///C:\Users\HP\AppData\Local\Temp\ksohtml42740\wps20.png). None

最后四位对不上 image-20230414152810922

是这个了

image-20230414175443357

54 分析何源的公司计算机内存镜像,以下哪个远程地址与本地地址建立过 TCP 连接?A
img. 10.165.12.130
img. 10.165.12.126
img. 10.165.10.125
img. 10.165.10.130
img. 10.165.10.131

image-20230414153400345

55 接上题, 在上述 TCP 连接里,远程地址的端口号是多少?C
img. 80
img. 443
img. 445
img. 22
img. 3389
56 分析何源的公司计算机内存镜像,注册表“\SystemRoot\System32\Config\SAM”在内存镜像中的虚拟地址 (Virtual Address)是多少?B
img. Offset: 0x97b5e5d8
img. Offset: 0x9a5689c8
img. Offset: 0x8c6b49c8
img. Offset: 0x8bc1a1c0
img. Offset: 0x9bc1a1c0

image-20230414154033097

57 分析何源的公司计算机内存镜像, 用户 “Yuan He”登入密码的 NTLM hash 是多少?E
img. bf12857078039ff604bf8e1fb4308643
img. 31d6cfe0d16ae931b73c59d7e0c089c0
img. bf12857078039ff604bf8e1fb430a7d4
img. a53452d6cd5e2d72423cd3eac8b05607
img. 99e74d973f8f852432f6d5a59659ed88

image-20230414160854758

58 分析何源的公司计算机内存镜像,盘符 “E:”上的文件 “Personal Information.xlsx”何时被访问过?C
img. 2019-10-31 07:58:45
img. 2019-10-31 10:33:42
img. 2019-10-31 06:59:45
img. 2019-10-31 09:31:42
img. 2019-10-31 08:32:42

注意要看“visited”(访问)的 image-20230414174530239

59 分析何源的公司计算机内存镜像,以下哪个是文件 “Personal Information.xlsx”的正确路径?
img. Users\YuanHe\Desktop\Confidential\Personal Information.xlsx
img. Users\YuanHe\Desktop\Personal Information.xlsx
img. Users\TMP_User\Desktop\Confidential\Personal Information.xlsx
img. Users\TMP_User\Desktop\Personal Information.xlsx
img. Users\Administrator\Desktop\Confidential\Personal Information.xlsx

filescan了一下,发现tmp_user的用户目录下面并没有confidential文件夹捏。

image-20230414175924500

60 分析何源的公司计算机内存镜像,可以发现以下哪些文件夹曾被访问过?1 …\Company_Files\Jonathan Norton2 …\Company_Files\Stephen Chow3 …\Company_Files\John Wick4 …\ Company_Files\Logan Chen5 …\Company_Files\Colleen Johnson E
A 2,3,5
B 2,4,6
C 1,3,5
D 3,4,5
E 1,4,5

image-20230414182541755

还是很离谱的,我不是很理解为什么全是远程访问……但因为信息全部集中在explorer上面,所以很自然会想到去提取这个进程

memdump之后直接暴力搜索,把所有选项都试过去就可以了。

image-20230414183450697

还有一种比较小众但高效的办法,就是使用shellbags——一个记录注册表和文件夹变化的注册表项。比起timeliner,这个插件在文件访问的历史分析上更有针对性(就连打开文件夹都会被记下来),锁定路径也更精确。

image-20230414184948690

61 分析何源的公司计算机内存镜像,以下那一项有关这台计算机的资料是正确?
![img](file:///C:\Users\HP\AppData\Local\Temp\ksohtml42740\wps51.png). 这台计算机安装 Window 的时间是 2019-10-31 11:56:23 UTC + 0
![img](file:///C:\Users\HP\AppData\Local\Temp\ksohtml42740\wps52.png). 这台计算机的名称是 WIN-VUAL29E4P0K
![img](file:///C:\Users\HP\AppData\Local\Temp\ksohtml42740\wps53.png). 公开资料显示这台计算机 TCPIP 的最后更新时间是 2019-10-31 04:59:00 UTC + 0
![img](file:///C:\Users\HP\AppData\Local\Temp\ksohtml42740\wps54.png). A 及 C 都是正确
![img](file:///C:\Users\HP\AppData\Local\Temp\ksohtml42740\wps55.png). B 及 C 都是正确

先拿到计算机名,确定B是正确的

image-20230414200410063

IP更改的话,看看时间线

image-20230414200806895

这里是对TCPIP注册表的改动,所以能确定是IP更新。时间上和C对不上。

然后就是系统安装时间。

image-20230414201718147

这个值是时间戳,转换一下就好了。

image-20230414202129212

62 分析何源的公司计算机内存镜像,以下那一项关于这台计算机连接 USB 装置的描述是正确?
img. 没有,因为透析资料找不到
img. 没有,因为内存容量没有取得完整的注册表资料
img. 有,而且装置的牌子应该是 HUAWEI
img. 有,而且装置的 GUID 是 4d36e967-e325-11ce-afc1-832210318
img. 有,而且装置的首次插入时间 HEX 值是 40 43 30 b9 b8 8f d5 01

先用devicetree随便看看,然后就找到了USB存储设备。

image-20230414185802621

usb在首次连接计算机后会在注册表中留下相关信息,所以这里要结合hivelist和printkey找到设备信息。(直接导出注册表也可以,但这边还是用常规手法走一下流程)

image-20230414193429823

image-20230414193441585

image-20230414193450902

image-20230414193841757

到这里其实已经可以用排除法得出E为正确答案

注册表的这些路径其实更多的是靠经验得出来的……很难说有什么系统的学习方法呢。

总结

电脑和手机题一般,但是内存题很不错,我也确实从中学到不少东西。

posted @ 2023-04-16 11:25  古明地核  阅读(469)  评论(0编辑  收藏  举报