美亚杯团队2021

admin 管理员组

文章数量: 887016

目录

staff A

staff B

特普电话

特普计算机

计算机内存

常威手机

 常威USB

常威矿机 

常威无人机 

常威手机 

windows电脑

常威Linu

---

staff A

1. [填空题] 工地职员A计算机的修复密钥标识符是什么？(请以大写英文及阿拉伯数字输入答案，不要输入”-“)

230C1BB3106A4E4EBF5D3D10961585D4

2. [填空题] 工地职员A计算机的修复密钥解除锁定是什么？(请以数字输入答案，不要输入”-“) 

 483714461582060962373351019646502348309628684431

在个人赛的FTP服务器中有答案

3. [单选题] 工地职员A的计算机被什么程式加密？ (1分)

A. Ransomware

B. BitLocker

C. AxCrypt

D. PGP

E. FileVault 2

B

4. [单选题] 工地职员A的孩子有可能正准备就读什么学校？ (2分)

A. 小学

B. 中学

C. 幼儿园

D. 大学

C

5. [多选题] 工地职员A并没有打开过哪一个档案？ (2分)

A. Staff3.xlsx

B. Staff4.xlsx

C. Staff1.xlsx

D. Staff2.xlsx

E. BTC address.bmp

ABD

6. [填空题] 工地职员A的计算机被远程控制了多少分钟？(请以阿拉伯数字回答) 

11分 

7. [单选题] 工地职员A的计算机被加密后，被要求存入的虚疑货币是什么？ (1分)

A. 比特币现金

B. 比特币

C. 以太币

D. 泰达币

 B

他之前浏览过有关BTC的相关信息，结合之前和主管的聊天，推断是比特币

8. [填空题] 在工地职员A的计算机曾经打开过的Excel档案中，有多少人有可能在法律部门工作？(请以阿拉伯数字回答)  

 22

staff B

 B员工解密码575025-204820-336325-067067-589996-389829-603361-712272（也在ftp中）

9. [多选题] 工地职员 B 的计算机在什么日期和时间被黑客控制？ (2分)

A. 2021-10-19

B. 2021-09-16

C. 11:16:41 (UTC +8:00)

D. 05:55:50 (UTC +8:00)

E. 18:40:06 (UTC +8:00)
AE

日期挑了个接近的

10. [填空题] 工地职员 B 的计算机的MAC Address是什么? (请以大写英文及数字输入答案) 

000C29E2532D 

 11. [填空题] 工地职员 B 的计算机用户FaFa的 Profile ID 是什么？(请以大写英文及数字输入答案，不要输入”-“)

S15211634007002120346002840274508681001

profile id就是用户标识？ 

12. [填空题] 工地职员 B 的办公室计算机的 Windows CD Key 是什么？(请以大写英文及数字输入答案，不要输入”-“) 

VK7JG-NPHTM-C97JM-9MPGT-3V66T

首先尝试了cmd命令发现没有结果

然后尝试用注册表方法，Win+R打开运行，然后输入regedit，然后打开计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform，找到BackupProductKeyDefault并双击打开，里面的数值数据就是你电脑的Windows密钥

13. [单选题] 检查过工地职员 B 的计算机登录档后(Window Registry)，计算机感染了什么恶意软件？ (2分)

A. Adware

B. Worms

C. Rootkits

D. 没有感染任何恶意软件

 D

没有找到明显的恶意软件

14. [单选题] 工地职员B的计算机中被加密硬盘内的图片”_120778782_58759559.jpg”，有可能是从下列哪个的途径载入计算机？ (1分)

A. 电邮下载附件

B. USB盘

C. 网上下载

D. 蓝芽传入

E. Direct-link

 C

15. [多选题] 工地职员 B 的计算机中被加密硬盘内的图片中，人物中衣着有什么颜色？ (2分)

A. 黄色

B. 红色

C. 紫色

D. 蓝色

E. 绿色

 BE

还有上题的图片

16. [填空题] 工地职员 B 的计算机有多少个磁盘分区？(请以阿拉伯数字输入答案) 

3 5

原来没有盘符的分区也算

17. [填空题] 工地职员 B 的计算机硬盘分割表是什么？(答案请以首字母大写作答) 

 GPT

查看方法：

1. 打开cmd输入 diskpart 后回车
2. 然后在新打开的窗口中输入 list disk 回车，查看GPT的选项是否有 * 号，有则是GPT分区，无则为MBR分区

 18. [填空题] 在 工地职员 B 的计算机Event Log中最后登入时services.exe的Process ID是什么？(请以阿拉伯数字输入) 

1833

不会

19. [填空题] 甚么IP曾经上传档案到网页服务器? (请以阿拉伯数字回答，不用输入”.“)

20314594120

对Apache日志进行分析，发现其中有post请求，并且上传档案与upload有关，并且重点查找php，txt等文件，经过审计发现疑似目标ip

20. [多选题] 承上题，以下哪试档案曾被上传到网页服务器? (3分)

A. kjk2.jpg

B. kjk2.php

C. b6778k-9.0.php

D. b374k-2.5.php

E. d374k-2.5.php

ABD

在上题的日志中搜索

21. [单选题] 入侵者可能使用甚么漏洞进行入侵网页服务器? (1分)

A. 文件上传漏洞

B. SQL 注入

C. 跨站脚本攻击

D. 格式化字符串弱点

A

这里黑客进行了文件上传，因此推断是文件上传漏洞

22. [多选题] 在网页服务器找到的所有文件档(doc 及 docx)中，有以下哪些文件制作人(Author)? (2分)

A. Kevin L. Brown

B. Peter R. Lee

C. Mary

D. May

E. Colin

AC

直接仿真后再管理器中搜索

23. [多选题] 在网页服务器中，哪个是可疑档案?它如何取得计算机控制权? (3分)

A. 可疑档案: b6778k-9.0.php

B. 可疑档案: b374k-2.5.php

C. 可疑档案: upload.php

D. 透过浏览器远程管理取得计算机控制权

E.透过PuTTY(远程登录工具) 取得计算机控制权
BD

通过对各个文件的分析，发现只有B的文件是恶意文件，同时可以查看文件的代码，发现这是个webshell后门文件（内含一句话木马关键词ev，al）

24. [填空题] 在网页服务器中，运行可疑档案需要密码，其密码的哈希值(Hash Value)是甚么? (请以英文全大写及阿拉伯数字回答) (3分)

0DE664ECD2BE02CDD54234A0D1229B43 

25. [单选题] 在网页服务器中，可疑档案的译码函数是甚么? (2分)

A. unzip_file('$x,$y')

B. gzdecode (base64_decode($x))

C. gzinflate(base64_decode($x))

D. 以上皆否

 C

 查看php代码源文件，除去连接符，就有了选项c

 26. [填空题] 解压后的脚本档的档案大小是多少? (请以字节及阿拉伯数字回答) (3分)

109041

不知道为什么，这个解码脚本用python就是无法生成对应文件 ，有点无语

后面使用php成功解密

(1条消息) base64+gzinflate压缩编码（加密）文件_北方的刀郎的博客-CSDN博客

27. [多选题] 解压后的脚本文件内有甚么功能? (3分)

A. 编辑文件

B. 删除文件

C. 更改用户密码

D. 加密文件

E. 重新命名文件

ABE

直接上网搜索

28. [单选题] 解压后的脚本含有压缩功能，当中使用的解压方法是甚么? (2分)

A. PclZip.php

B. Unzip_gz()

C. ZipArchive()

D. 以上皆否

C

解压脚本后只有c

特普电话

29. [多选题] 特普的电话中一张于2021年09月30日 10:45:12拍摄的相片包含以下哪些字? (1分)

A. 精忠

B. 报国

C. 忠诚

D. 勇毅

CD

扫描二维码，得到答案 

30. [多选题] 特普的电话中的whatsapp账号85268421495@s.whatsapp中，有哪些其他人的WhatsApp用户数据记录? ) (2分)

A. 85222117188@s.whatsapp

B. 85289853825@s.whatsapp

C. 85264795287@s.whatsapp

D. 85231882226@s.whatsapp

AD

在general前面加85得到数据记录，分别查看三人的信息

31. [单选题] 特普电话的热点分享密码是什么? (1分)

A. 12345678

B. 69447401bceb

C. Jioijo4542554

D. Dak Pou Home

B

32. [多选题] 特普于经纬度22.278843, 114.165783，没有做什么? (2分)

A. 拍影片

B. 拍照

C. 使用google map

D. 在Whatsapp中分享实时位置

ACD

除了能找到一张照片也找不到其他的信息了 

33. [多选题] 特普于电话中安装了一个可疑软件(版本为2020033001)，跟据该可疑软件的安装档，下列哪项描述正确? (2分)

A. 软件名称是安全防护

B. 软件名称是安心回家

C. 软件签名(signAlgorithm)以 SHA512withRSA加密

D. 封包名称(packageName)是org.chromium.webapk.a5b80edf82b436506_v2

A

导出用雷电app分析

34、【多选题】特普于电话中安装了一个可疑软件(版本为2020033001),根据该可疑软件的安装档,可疑软件中涉及以下安全许可？

A . android.permission.READ_SMS读取信内容

B . android.permission.SEND_SMS发送短信

C . android.permission.READ_CONTACTS读取联系人

D . android.permission.BLUETOOTH使用蓝牙

E . android.permission.CLEAR_APP_CACHE清除缓存

ABC

35. [填空题] 特普可能在电话中被可疑软件窃取了的验证码是什么? (请以英文全大写及阿拉伯数字回答) (2分) 

113476

 前题该应用会读取短信，而这手机中恰好有一条短信验证码

特普计算机

36. [填空题] 特普的计算机可能中了病毒，病毒的加壳(Packing)方法是甚么? (请以英文全大写作答) (2分)

UPX 

 查看最近打开项目，发现downloads文件夹，打开后发现其中有一个malware.exe程序，分析后发现是upx壳

37. [单选题] 特普的计算机可能中了病毒，病毒的编译工具是甚么? (2分)

A. GCC

B. Borland

C. TCC

D. Microsoft Visual C/C++

 D

使用upx脱壳

再查壳 ，发现是c++

 38. [填空题] 特普的计算机可能中了病毒，病毒的编译者使用可能使用的账户名称是甚么? (请以英文全大写作答) (3分)

GPGF

用ida分析，查看字符串，发现特定文件夹，GPGF

39. [单选题] 特普的计算机可能中了病毒，病毒的自我复制位置是甚么? (2分)

A. C:\Temp\temp.txt

B. C:\Users\<profile>\Desktop\malware.exe

C. C:\Users\public\malware.exe

D. C:\a.txt
C

在import下发现copyfileA，跟进分析，将下图从上往下看连接即得复制地址

40. [单选题] 特普的计算机可能中了病毒，病毒的修改登录文件位置是甚么? (3分)

A. HKLM\Software\Microsoft\Windows\CurrentVersion\Run

B. HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

C. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

D.HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\Background
D

修改登录文件自然是修改注册表register

跟进分析，发现相近的目录

41. [多选题] 特普的计算机可能中了病毒，病毒留下了ASCII ART(ASCII艺术, 文字图)，以下哪个不是病毒留下? (3分)

A. HI

B. HELLO

C. HOW ARE YOU

D. GOODBYE

 ACD

额，第一次知道还能这样搞，骚的

42. [单选题] 特普的计算机可能中了病毒，病毒扰乱文件目标文件名是甚么? (2分)

A. C:\Users\<profile>\Documents\target.txt

B. C:\Users\<profile>\Desktop\target.txt

C. C:\c.txt

D. C:\temp.txt
B

经过彬哥的指导对本道题目有了一定的了解，但可能因为刚开始做逆向不久因此在理解上比较单薄。好了，本题通过ida分析，首先检索字符串，发现符合题目要求的就B和C两个，跟进分析

 发现该程序对目标文件进行了读取，然后进行复制，后将读取到的字符的ASCII码后移3位，存储到目标文件中，该文件路径就是B

43. [单选题] 特普的计算机可能中了病毒，病毒扰乱文件方法是甚么? (3分)

A. + 3

B. XOR 5

C. + 4

D. – 4

A

独立分析有些困难，不过见到过彬哥反编译后的文件，确实有+3这个操作

计算机内存

44. [填空题] 特普的计算机中，哪一个是 FTK Imager.exe 的程式编号(PID)? (请阿拉伯数字回答) 

6136

45. [多选题] 特普的计算机中，cmd.exe (PID: 4496) 它的执行日期及时间是? (1分)

A. 2021-10-17

B. 2021-10-18

C. 2021-10-19

D. 10:42:51

E. 10:43:09

F. 10:43:25

CE

46. [填空题] 特普的计算机曾经以FTP 对外连接，连接的IP是? (请以阿拉伯数字回答，不用输入".") 124.217.179.74

47. [多选题] 特普的计算机中，以下哪一个指令于上述连接中有使用过? (3分)

A. get

B. put

C. delete

D. bye

E. quit

BD应该是上传（put）了病毒后，中断连接（bye）

48. [多选题] 在Linux 的"Volatility" 中，哪一个指令可以知道此程式支持哪一个Windows 版本? (2分)

A. vol.py --profile

B. vol.py --systeminfo

C. vol.py --info

D. vol.py --verinfo
AC

常威手机

 49. [填空题] 常威手机中的Telegram有可能是在2021年9月24日_____时44分58秒 (UTC +8) 首次下载的。(请以阿拉伯数字输入答案) (2分)

12

50. [填空题] 常威手机曾经连接的无人机名称是什么?(请以英文全大写及阿拉伯数字回答)

 SSPARK

大疆go是一款手机无人机控制软件

 51. [填空题] 常威手机中，档案“dji1633936161416.mp4”的解像度是 ________________ (例如是1920 x 1280，请输入 19201280)。 (1分)

1280*720

搜索后导出查看

 52. [填空题] 常威手机中，发现于网络上下载的软件“安心出行”安装档的哈希值(MD5)是?(请以英文全大写及阿拉伯数字回答)

81c342665d9a8d4d02b0fbb7033167b5

找到对应的应用和对应安装包位置，导出用雷电app分析

53. [多选题] 常威手机中执行软件“安心出行”(版本2.1.3)中涉及以下安全许可? (2分)

A. android.permission.ACCESS_WIFI_STATE 获取WiFi状态

B. android.permission.BATTERY_STATS电量统计

C. android.permission.VIBRATE使用振动

D. android.permission.CONTROL_LOCATION_UPDATES控制定位更新

E. ndroid.permission.CAMERA拍照权限
CE

查看安装包对应xml文件

54. [多选题] 常威手机中软件“安心出行”(版本2.1.3)的安装档(.apk)中，哪个不是它的签名算法? (3分)

A. MD5withRSA

B. SHA256withRSA

C. SHA256withDSA

D. MD5withDSA

ACD

雷电app查看签名

55. [多选题] 于常威的手机中执行软件“安心出行”(版本1)可能会连接至哪一个网站? (2分)

A. https://back-home-****.pages.dev

B. org.chromium.******.a5b80edf82b436506

C. org.chromium.******.a5b80edf82b436506_v2

D. https://back-home-****.pages.dev/manifest.json
AC

A选项通过代理抓包获取地址

没想到还能从这里看到答案 C

 常威USB

56. [单选题] 在常威苹果手提计算机, 用户开机密码是什么 ?(提示：常威 USB 设备中可能有相关数据) (3分)

A. C**sthegoa*

B. Draw**fgd*f

C. Co*kkfid*dd

D. App*is*won

A

刚开始取证大师跑不出数据，用数据恢复，成功将USB数据恢复出来，再用原始数据检索，找到对应选项， cpisthegoat

57. [填空题] 在常威U 盘内有多少磁盘分隔区 ? (请以阿拉伯数字回答) (2分)

4 

用取证大师制作镜像，然后x-ways查看，但我不会用（库）

58. [填空题] 在常威U 盘内有多少份excel 文件 ? (请以阿拉伯数字回答) (1分)

1

只有这一个正常文件

 59. [填空题] 在常威U 盘内, 内含有多少个客户数据 ? (请以阿拉伯数字回答) (1分)

50

60. [多选题] 以下哪个客户数据储存在常威U 盘内 ？ (3分)

A. jmuat1@reference

B. cgeraudg@forbes

C. cwarmishamo@admin.ch

D. abddfdf@google

E. alex1234@apple

ABC

上题打开的表格，搜索过去即可

61. [单选题] 常威MAC计算机上一个系统版本是甚么及现正运行哪一个版本的系统? (3分)

A. MacOS 10.11.6 and MacOS 11.6

B. MacOS 10.11.5 and MacOS 11.5

C. MacOS 10.11.4 and MacOS 11.6

D. 以上皆非

A

提示：mac计算机如果是aff4格式那么需要用Arsenal-Image-Mounter-v3.9.239挂载，再用取证大师分析，分析后会有一块数据分区加密了，用密码进行filevault2解密。

 上一个系统版本信息查看\Chris - Data:\root\private\var\db\PreviousSystemVersion.plist，来自官方wp

62. [多选题] 常威MAC计算机的系统事件纪录内哪个卷标(Flag)是关于储存档案于计算机? (3分)

A. Created

B. InodeMetaMod

C. FinderInfoChanged

D. IsDirectory

E. OwnerChanged

ABCE

关于Mac OSX FSEvents flag相关知识

63. [多选题] 常威MAC计算机曾连接哪一个无线网络SSID? (2分)

A. wai wifi

B. wanchainew1

C. central2

D. Hongkong1

AB

不知道为什么在密码的分组里出现

64. [单选题] 常威MAC计算机的使用者甚么时候将”隔空投送”(airdrop)转换至任何人模式? (2分)

A. 2021-10-21 16:52:48 (UTC +8)

B. 2021-10-21 18:52:48 (UTC +8)

C. 2021-10-21 06:52:48 (UTC +8)

D. 2021-10-21 08:52:48 (UTC +8)
A

这题要制作镜像，然后用Magnet AXIOM进行分析

65. [填空题] 常威MAC计算机的APFS储存容器的文件签名是________，偏移值为______(例如NTFS及64，请输入 NTFS64)。 (2分)

 NXSB    32

66. [单选题] 常威MAC计算机的镜像档案内，总共有多少个系统默认的卷标? (1分)

A. 4

B. 5

C. 6

D. 7

C B 

或许是因为加密分区是用户额外加设的，因此不是默认卷标

67. [填空题] 常威MAC计算机的使用者上一次关闭浏览器时，正在浏览多少个网页? (请以阿拉伯数字回答) (3分)

10 

68. [多选题] 常威MAC计算机中以下哪个档案并不是iPhone所拍摄的图片? (2分)

A. IMG_0002

B. IMG_0003

C. IMG_0004

D. IMG_0005

E. IMG_0006

AD

在计算机上就找到了这些文件

常威矿机 

69. [多选题] 在常威的矿机没有进行哪种加密货币掘矿 ? (2分)

A. Bitcoin

B. Ethereum

C. RVN

D. Dodge

E. ENJ

ACDE

linux矿机分析，从日志入手，linux日志存放在/var/log/目录之下，上网搜索，发现phoenixminer是一款挖矿软件，查看其日志

 查看后发现，该矿机主要是对以太坊进行挖矿行为

70. [填空题] 在常威矿机有几张显示适配器进行掘矿 ? (请以阿拉伯数字回答) (1分)

2

分析日志得出结论

71. [单选题] 在常威矿机, hive OS 操作系统是什么版本 ? (1分)

A. 5.4.0 *****

B. 6.0.1 *****

C. 7.0.2 *****

D. 10.0.2*****

E. 15.1.2*****

A

uname -a

72. [多选题] 在常威矿机中, 哪个不是收取掘矿收益的加密货币钱包地址 ? (1分)

A. 0xE365625f4**537151304ceba7C7D9dF0C7E829**

B. 0xe68de863f4c3c3cc0**191b9cefdae91b3e6fbd8**

C. 0x00000000897**f4136b4a59731680a88f895303**

D. 0x7335c**20f9533d9cc825e2a6e80821fd44e27f8**

E. 0x00**000089705f4136b4a59731680a88f895303**
BCDE

搜索wallet，只有第一个能打开

73. [单选题] 在常威矿机中, 用于掘矿登入密码是什么 ? (2分)

A. eg97em**wm

B. Deg97em**wm

C. feg97em**wm

D. eeg97em**wm

E. heg97em**wm

A

查看rig.conf文件

 74. [填空题] 在常威矿机中,用于掘矿Nvidia显示适配器所使用的驱动程式使用什么版本?(请以英文全大写及阿拉伯数字回答) (1分)

460.91.03

75. [多选题] 在常威矿机中, 用于掘矿显示适配器型号包括什么? (2分)

A. GeForce RTX 3060

B. Quadro P2000

C. RX 6600

D. GeForce GTX 1660 Ti

E. GeForce GTX 3070

AB

76. [多选题] 在常威矿机, 哪一天没有进行掘矿? (2分)

A. 2021-10-06

B. 2021-10-09

C. 2021-10-15

D. 2021-10-17

E. 2021-10-18

B

同理，其他的日期都找不到 

常威无人机 

77. [填空题] 常威的无人机中的飞航纪录_________.DAT可见到于2021年10月11日1505时的GPS地点。(请以英文全大写及阿拉伯数字回答) (1分)

 FLY096

78. [单选题] 常威的无人机于2021年10月11日15:07:51时之间所在的地点是什么? (1分)

A. 22.269299, 114.200486

B. 22.269353, 114.287267

C. 22.346855, 114.289552

D. 22.269293, 114.201278
D

79. [填空题] 常威的无人机哪一个档案有最后降落时间的数据(请以英文全大写及阿拉伯数字回答,不用输入".")？ (1分)

FLT096DAT 

常威手机 

80. [多选题] 常威的手机中哪一个是由常威的无人机于2021年10月11日所拍摄的图像文件? (2分)

A. Containers 货柜

B. Buildings 大厦

C. bicycle 单车

D. Mountain 山

ABD

找到对应的文件，根据文件目录，找到对应的位置，分析其中的图片

81. [填空题] 常威的手机中显示常威的无人机DJI GO 4的版本是4.3.___?(请以阿拉伯数字回答) (1分) 

37

82. [多选题] 常威的手机中所安装的DJI GO 4 软件中，以下哪个database没有显示临时禁飞区? (2分)

A. Filesflysafe_app.db

B. Special_warning.db

C. Flysafe_app_dynamic_areas.db

D. Flysafe_polygon_1860.db

C

搜索后，只有c中有数据

83.【填空题】常威的手机中在 _________.db可知道DJGO4的登入电子邮件请以英文全大写及阿拉伯数字回答）（1分）

Localappstate

从软件入手，找到其存储信息的位置

 84. [填空题] 常威的手机中在__________.db包含了名为server_timestamp 的资料(请以英文全大写及阿拉伯数字回答) (1分)

flysafe_app_dynamic_areas

82题的图中出现过

windows电脑

85. [单选题] 常威利用Windows 计算机中的VM Kali进行攻击和收取受害人电话的数据，请找出常威的VM存放地址 (2分)

A. Users\Chris Paul\Desktop\安全防护 Malware\Kali-Linux-2020.2a-amd64_2.vmwarevm

B. \Users\Chris Paul\Desktop\安全防护 Malware Demo\Kali-Linux-2020.2a-amd64_2.vmwarevm

C. \Users\Chris Paul\Documents\安全防护 Malware \Kali-Linux-2020.2a-amd64_2.vmwarevm

D. \Users\Chris Paul\Documents\Virtual Machines
A

直接搜索Kali-Linux-2020.2a-amd64_2.vmwarevm得到结果

86. [单选题] 常威在收集数据后储存数据于Windows 计算机一个名为"text2.txt"的档案中，随后他将档案移往"\home\kali\Desktop\project\"中, 下述哪个档案可以证明这一点? i) \root\.bash_history ii) \home\kali\.bash_history (3分)

A. 只有 i

B. 只有ii

C. 两个也可以

D. 两个也不可以
D

将文件从桌面拖入虚拟机中是不会有历史记录的

87. [单选题] 常威Windows计算机中哪一个程式/档案有可能用作收取受害人电话上的数据? (3分)

A. \home\kali\Desktop\server_express_ok.js

B. \home\kali\Desktop\baddish\package.json

C. \home\kali\Desktop\baddish\server.js

D. \home\kali\Desktop\server.js
C

找到虚拟机的存放位置，对目录下vmdk结尾的文件进行虚拟磁盘分析，然后进行自动取证，分析终端记录。

88. [多选题] 常威Windows计算机中显示常威第一次偷取受害人电话数据有机会是在哪一个日子及时间登入 Kali 系统? (2分)

A. 2021-09-27

B. 2021-09-29

C. 2021-09-29

D. 11:42:47

E. 16:04:24

F. 16:30:04
AF

查看win时间轴分析，发现27号有vm运行记录，并且29号有客户资料的信息

89. [多选题] 常威Windows计算机中以下哪一个檔案的哈希值(MD5)能证明常威曾开启存有客户数据的档案? (2分)

A. 0ED1DB00F8598AD3C6B331BF0C477AD4

B. 1E1BDB083F66251A63B79DEA3801E6E9

C. 575326396E31040FE2E13BE42C55C3E2

D. 3128604B4A9EC1D37418942555F6B08A

E. FB5EF33EDEA8ECB5BF07C5DF5332D29F
AC

搜索“客户资料”（注意繁体字），得到一个xlsx文件和一个快捷方式，分别进行哈希计算，得到结果。

 lnk：575326396E31040FE2E13BE42C55C3E2

xlsx：21CD88843C1DF6A859D4D50AE85E564D

90. [单选题] 常威 Windows 计算机中，哪一个档案可以找到USB装置初次连接的时间? (1分)

A. C:\Windows\setupapi.log

B. C:\Windows\setupapi.setup.log

C. C:\Windows\INF\setupapi.setup.log

D. C:\Windows\INF\setupapi.dev.log

C

91. [单选题] 常威 Windows 计算机接驳了一个3D 打印机，以下哪一个哈希值是属于上述打印机的驱动程式文件中的安装信息文件(INF檔)? (提示：关键词包含CH341) (3分)

A. 1348FA38956*****1770D7C3E63545BC

B. DBC4F08F835*****FF95420B352B506A

C. 35E7C67A652*****611EDE19C37241C5

D. BAE3BE76CC1*****31EB562ABAFE28DE
C

直接搜索，找到对应文件，oem22.inf，

92. [填空题] 续上题，上述安装信息文件的版本日期是什么? (请以阿拉伯数字，及以下格式回答，例: 2019年3月4日，请回答20190304) (1分)

20190130

93. [多选题] 常威Windows计算机安装了一些与3D 打印机有关的软件，有可能是以下哪个? (1分)

A. Ultimaker Cura

B. 3DPrinterOS

C. Simplify3D

D. Creality Slicer

 AD

直接搜索

94. [单选题] 续上题，哪一个档案记录了切片软件Creality Slicer曾经开启的3d立体模块(.stl)纪录? (1分)

A. \Users\Chris Paul\AppData\Roaming\Creality Slicer\stderr.log

B. \Users\Chris Paul\AppData\Roaming\Creality Slicer\stdout.log

C. \Users\Chris Paul\AppData\Roaming\Creality Slicer\4.8\Creality Slicer.cfg

D. \Users\Chris Paul\AppData\Roaming\Creality Slicer\4.8\Creality Slicer.log
D

直接对着路径找

95. [多选题] 续上题，哪一个3d立体模块(.stl)曾用切片软件Creality Slicer开启? (2分)

A. clip_sideb.stl

B. frame.stl

C. trigger.stl

D. hand_guard.stl

AB

在日志中一个个搜索过去

常威Linux

环境搭建遇到了些问题：1.仿真识别不了系统，取证大师分析得知是kali。2.仿真没有root密码，在加载页面“esc”跳过，选择+hive启动即可进入kali系统，然后密码绕过（参考博客：(4条消息) 虚拟机kali linux忘记密码了，如何重置？_kali linux登陆密码忘记_日熙！的博客-CSDN博客）

96. [填空题] 哪一个是Wai_Linux1.E01 鉴证映像中Linux LVM 磁盘分区的长度? (请以阿拉伯数字回答) (1分)

233388976 

97. [填空题] 常威 LINUX 计算机安装在逻辑卷管理(Logical Volume Manager)的磁盘分区上, 哪一个是卷组(Volume group) 的通用唯一标识符(UUID)? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

FEKVK3TY1TLUIR2G8IYQ3MVNRVUVZOSL

98. [多选题] 续上题，哪一个是逻辑卷(Logical Volume )设定的名字? (2分)

A. swap

B. root

C. var

D. home

ABD

99. [单选题] 常威 LINUX 计算机曾试用挖矿程式"T-Rex"，在相关脚本(script)中哪一个是工人(worker)的名称? (1分)

A. stratum

B. rig0

C. ethash

D. E365625f402537151304ceba7C7D9dF0C7E82986

B

直接搜索，然后打开一个发现关键词

 100. [填空题] LINUX 系统中利用fdisk 指令下，下列哪一个是 "exFAT"的磁盘分区类型编号(Partition type id)? (请以英文全大写及阿拉伯数字回答) (1分)

0X4F611C33

101. [单选题] 在Linux 的环境下，以下哪一个指令用于激活扫描到的卷组(Volume group) (1分)

A. vgscan

B. vgchange

C. vgdisplay

D. vgactive

B

102. [单选题] 在Linux 的环境下，下列哪一个指令可以删除内有档案的文件夹? (1分)

A. rm -d

B. rm -r

C. rm -rd

D. rm -rf

D

103. [填空题] 常威 LINUX 计算机逻辑滚动条 (Logical Volume) 路径“vg/home”使用了甚么系统建立? (请以英文全大写回答) (2分)

kali

104. [填空题] 常威 LINUX 计算机逻辑滚动条 (Logical Volume) 路径 “vg/root” 的Current LE是什么? (请以阿拉伯数字回答) (1分) 

5120

105. [填空题] 常威 LINUX 计算机扇区群组 (Volume group)的Total PE是甚么? (请以阿拉伯数字回答) (1分) 

43752

---

 总结：这次团队赛的检材类型较为新颖，有矿机和无人机，其中对恶意进程的逆向分析占了一点的篇幅，在逆向工程这部分还需下功力！

本文标签： 美亚 团队