2021美亚杯团队赛write up

个人赛与团队赛下载文件解压密码：MeiyaCup2021
加密容器解密密码:

uR%{)Y'Qz-n3oGU`ZJo@(1ntxp8U1+bW;JlZH^I4%0rxf;[N+eQ)Lolrw&E%,4q1

背景：

几天后，“大路建设”旗下有一家名为“元材原料”的材料供应子公司，该公司发现几名员工的个人财务资料在网上遭公开发布。为了员工安全，主管决定报警求助。经警方调查发现黑客入侵的手法与“大路建设”的案件十分相似，因此引起调查人员怀疑两起案件有所关联。

经调查后，警方拘捕了“常威”和“特普”两名本地男子，怀疑他们与本案有关。警方在搜查他们的住宅及公司后，扣押了数台数码设备，请分析以下电子数据并重建电子数据痕迹，以确认“常威”和“特普”在本案中是否有违法犯罪，并还原事件经过。

与“ 大路建设”相关的资料

编号

详情

档案路径

工地职员A的办公室计算机的电子数据

\Meiya Cup 2021\image\StaffA_computer

哈希值:

(MD5)

27B51665BAE414B12E675AB00037B97E

编号

详情

档案路径

工地职员B的办公室计算机的电子数据

\Meiya Cup 2021\image\StaffB_computer

哈希值:

(MD5)

93B341864CDF237942DFEFD206C254F

与“ 元材原料”相关的资料

编号

详情

档案路径

网页服务器的电子数据

\Meiya Cup 2021\image\Yuen_Choi_Webserver

哈希值:

(MD5)

5031772C817E69E24CAB2A311E7A243A

与“常威”相关的资

编号

详情

档案路径

常威的背景资料

\Meiya Cup 2021\调查报告\常威\常威的背景资料.PDF

哈希值:

(MD5)

14D9E5C738F8BB9BEA6247ECC0834CC4

编号

详情

档案路径

常威调查报告

\Meiya Cup 2021\调查报告\常威\常威调查报告.PDF

哈希值:

(MD5)

F699A0A9FCACD1908B63F729EC7AA91B

编号

详情

档案路径

6.

常威手机的电子数据

\Meiya Cup 2021\image\Wai\Wai phone

哈希值:

(MD5)

59A1E857ACAFE443EEE7B61D8E38FC30

编号

详情

档案路径

7.

常威USB设备的电子数据

\Meiya Cup 2021\image\Wai\Wai USB

哈希值:

(MD5)

A3940AB500580AFF5788AA7E8FFF8194

编号

详情

档案路径

8.

常威Windows计算机的电子数据

\Meiya Cup 2021\image\Wai\Wai_Windows_Computer

哈希值:

(MD5)

7D64C3A1F8C9D23605944C2B646D7C2F

编号

详情

档案路径

9.

常威矿机的电子数据

\Meiya Cup 2021\image\Wai\HIVE OS

哈希值:

(MD5)

8BA234FCAB189D2F983E9C7568E0236B

编号

详情

档案路径

10.

常威无人机的电子数据

\Meiya Cup 2021\image\Wai\Wai Drone

哈希值:

(MD5)

AEEB0697D8ADA7F2FBA2A8EEA6C9F033

编号

详情

档案路径

11.

常威无人机內存储卡的电子数据

\Meiya Cup 2021\image\Wai\Wai DJI Drone SD Card

哈希值:

(MD5)

8F988304B2F5B709183E572CE5B15F9E

编号

详情

档案路径

12.

常威MAC计算机的电子数据

\Meiya Cup 2021\image\Wai\Wai_MacBook

哈希值:

(MD5)

4A23CAC4CAB628848FDCD903C92DB370

编号

详情

档案路径

13

常威LINUX计算机的电子数据

\Meiya Cup 2021\image\Wai\Wai_Linux\Wai_Linux1

哈希值:

(MD5)

A6F625C8926EDC478701185889206F84

与“特普”有关的资料

编号

详情

档案路径

14.

特普的背景资料

\Meiya Cup 2021\调查报告\特普\特普的背景资料.PDF

哈希值:

(MD5)

5C2E18A972CFA6314FCCD5621B1F09F7

编号

详情

档案路径

15.

特普调查报告

\Meiya Cup 2021\调查报告\特普\特普调查报告.PDF

哈希值:

(MD5)

867DCFD4C5C98D27B80F7766A47AD5F3

编号

详情

档案路径

16.

特普Windows计算机的电子数据

\Meiya Cup 2021\image\DaK Pou\Dak Pou Windows

哈希值:

(SHA256)

AFA120370516F9FDF4E4D8944537E780DC7A0D6097255C9B60DAD0F40B94602F

编号

详情

档案路径

17.

从特普Windows计算机存储器提取的镜像文件

\Meiya Cup 2021\image\DaK Pou\Dak Pou Windows_memdump

哈希值:

(MD5)

96DB42F352141B9E325E7F524A09D2C9

编号

详情

档案路径

18.

特普手机的电子数据

\Meiya Cup 2021\image\DaK Pou\Dak Pou phone

哈希值:

(MD5)

F00662655272181F49F9B9B85D659361

大路建设
工地职员A的办公室计算机

1. [填空题] 工地职员A计算机的修复密钥标识符是什么？(请以大写英文及阿拉伯数字输入答案，不要输入”-“) (1分)

230C1BB3-106A-4E4E-BF5D-3D10961585D4

2. [填空题] 工地职员A计算机的修复密钥解除锁定是什么？(请以数字输入答案，不要输入”-“) (1分)

在个人赛的FTP服务器里面，483714-461582-060962-373351-019646-502348-309628-684431

3. [单选题] 工地职员A的计算机被什么程式加密？ (1分)

A. Ransomware

B. BitLocker

C. AxCrypt

D. PGP

E. FileVault 2

4. [单选题] 工地职员A的孩子有可能正准备就读什么学校？ (2分)

A. 小学

B. 中学

C. 幼儿园

D. 大学

5. [多选题] 工地职员A并没有打开过哪一个档案？ (2分)

A. Staff3.xlsx

B. Staff4.xlsx

C. Staff1.xlsx

D. Staff2.xlsx

E. BTC address.bmp

6. [填空题] 工地职员A的计算机被远程控制了多少分钟？(请以阿拉伯数字回答) (2分)

7. [单选题] 工地职员A的计算机被加密后，被要求存入的虚疑货币是什么？ (1分)

A. 比特币现金

B. 比特币

C. 以太币

D. 泰达币

8. [填空题] 在工地职员A的计算机曾经打开过的Excel档案中，有多少人有可能在法律部门工作？(请以阿拉伯数字回答) (1分)

9. [多选题] 工地职员 B 的计算机在什么日期和时间被黑客控制？ (2分)

A. 2021-10-19

B. 2021-09-16

C. 11:16:41 (UTC +8:00)

D. 05:55:50 (UTC +8:00)

E. 18:40:06 (UTC +8:00)

TeamViewer跳转

10. [填空题] 工地职员 B 的计算机的MAC Address是什么? (请以大写英文及数字输入答案) (1分)

MAC地址（英语：Media Access Control Address），直译为媒体存取控制位址，也称为局域网地址（LAN Address），MAC位址，以太网地址（Ethernet Address）或物理地址（Physical Address），它是一个用来确认网络设备位置的位址。在OSI模型中，第三层网络层负责IP地址，第二层数据链路层则负责MAC位址。MAC地址用于在网络中唯一标示一个网卡，一台设备若有一或多个网卡，则每个网卡都需要并会有一个唯一的MAC地址

11. [填空题] 工地职员 B 的计算机用户FaFa的 Profile ID 是什么？(请以大写英文及数字输入答案，不要输入”-“) (1分)

S-1-5-21-1634007002-1203460028-4027450868-1001

12. [填空题] 工地职员 B 的办公室计算机的 Windows CD Key 是什么？(请以大写英文及数字输入答案，不要输入”-“) (1分)

FTP bitlocker:

575025-204820-336325-067067-589996-389829-603361-712272

仿真后produkey直接扫

VK7JGNPHTMC97JM9MPGT3V66T

13. [单选题] 检查过工地职员 B 的计算机登录档后(Window Registry)，计算机感染了什么恶意软件？ (2分)

A. Adware

B. Worms

C. Rootkits

D. 没有感染任何恶意软件

杀毒软件扫一下

14. [单选题] 工地职员B的计算机中被加密硬盘内的图片”_120778782_58759559.jpg”，有可能是从下列哪个的途径载入计算机？ (1分)

A. 电邮下载附件

B. USB盘

C. 网上下载

D. 蓝芽传入

E. Direct-link

15. [多选题] 工地职员 B 的计算机中被加密硬盘内的图片中，人物中衣着有什么颜色？ (2分)

A. 黄色

B. 红色

C. 紫色

D. 蓝色

E. 绿色

16. [填空题] 工地职员 B 的计算机有多少个磁盘分区？(请以阿拉伯数字输入答案) (1分)

17. [填空题] 工地职员 B 的计算机硬盘分割表是什么？(答案请以首字母大写作答) (2分)

18. [填空题] 在工地职员 B 的计算机Event Log中最后登入时services.exe的Process ID是什么？(请以阿拉伯数字输入) (3分)

找最后登录的那一条

636

Webserver

19. [填空题] 甚么IP曾经上传档案到网页服务器? (请以阿拉伯数字回答，不用输入”.“) (2分)

个人赛xampp里面

20. [多选题] 承上题，以下哪试档案曾被上传到网页服务器? (3分)

A. kjk2.jpg

B. kjk2.php

C. b6778k-9.0.php

D. b374k-2.5.php

E. d374k-2.5.php

21. [单选题] 入侵者可能使用甚么漏洞进行入侵网页服务器? (1分)

A. 文件上传漏洞

B. SQL 注入

C. 跨站脚本攻击

D. 格式化字符串弱点

22. [多选题] 在网页服务器找到的所有文件档(doc 及 docx)中，有以下哪些文件制作人(Author)? (2分)

A. Kevin L. Brown

B. Peter R. Lee

C. Mary

D. May

E. Colin

23. [多选题] 在网页服务器中，哪个是可疑档案?它如何取得计算机控制权? (3分)

A. 可疑档案: b6778k-9.0.php

B. 可疑档案: b374k-2.5.php

C. 可疑档案: upload.php

D. 透过浏览器远程管理取得计算机控制权

E.透过PuTTY(远程登录工具) 取得计算机控制权

1.可疑的代码肯定是由可以执行危险操作的函数构成,可以执行危险操作的PHP函数最重要的就是“eval”函数了,对于加密的PHP代码(仅变形字符串,非zend等方式加密),肯定要用到“eval”函数。

2.其次就是可以执行系统命令的函数了,比如上面某牛的代码中提到的四个“system”、“shell_exec”、“exec”、“popen”。当然还有其他的,比如passthru等。

乃正师兄的wp

基本就能确定了

24. [填空题] 在网页服务器中，运行可疑档案需要密码，其密码的哈希值(Hash Value)是甚么? (请以英文全大写及阿拉伯数字回答) (3分)

0de664ecd2be02cdd54234a0d1229b43

b374k

留着备用

25. [单选题] 在网页服务器中，可疑档案的译码函数是甚么? (2分)

A. unzip_file('$x,$y')

B. gzdecode (base64_decode($x))

C. gzinflate(base64_decode($x))

D. 以上皆否

php木马

26. [填空题] 解压后的脚本档的档案大小是多少? (请以字节及阿拉伯数字回答) (3分)

109041

27. [多选题] 解压后的脚本文件内有甚么功能? (3分)

A. 编辑文件

B. 删除文件

C. 更改用户密码

D. 加密文件

E. 重新命名文件

28. [单选题] 解压后的脚本含有压缩功能，当中使用的解压方法是甚么? (2分)

A. PclZip.php

B. Unzip_gz()

C. ZipArchive()

D. 以上皆否

29. [多选题] 特普的电话中一张于2021年09月30日 10:45:12拍摄的相片包含以下哪些字? (1分)

A. 精忠

B. 报国

C. 忠诚

D. 勇毅

30. [多选题] 特普的电话中的whatsapp账号85268421495@s.whatsapp.net中，有哪些其他人的WhatsApp用户数据记录? ) (2分)

A. 85222117188@s.whatsapp.net

B. 85289853825@s.whatsapp.net

C. 85264795287@s.whatsapp.net

D. 85231882226@s.whatsapp.net

31. [单选题] 特普电话的热点分享密码是什么? (1分)

A. 12345678

B. 69447401bceb

C. Jioijo4542554

D. Dak Pou Home

32. [多选题] 特普于经纬度22.278843, 114.165783，没有做什么? (2分)

A. 拍影片

B. 拍照

C. 使用google map

D. 在Whatsapp中分享实时位置

33. [多选题] 特普于电话中安装了一个可疑软件(版本为2020033001)，跟据该可疑软件的安装档，下列哪项描述正确? (2分)

A. 软件名称是安全防护

B. 软件名称是安心回家

C. 软件签名(signAlgorithm)以 SHA512withRSA加密

D. 封包名称(packageName)是org.chromium.webapk.a5b80edf82b436506_v2

我觉得应该是只有a的，不知道为啥

34. [多选题] 特普于电话中安装了一个可疑软件(版本为2020033001)，跟据该可疑软件的安装档，可疑软件中涉及以下安全许可? (2分)

A. android.permission.READ_SMS读取短信内容

B. android.permission.SEND_SMS发送短信

C. android.permission.READ_CONTACTS读取联系人

D. android.permission.BLUETOOTH使用蓝牙

E. android.permission.CLEAR_APP_CACHE清除应用缓存

35. [填空题] 特普可能在电话中被可疑软件窃取了的验证码是什么? (请以英文全大写及阿拉伯数字回答) (2分)

113476

特普计算机

36. [填空题] 特普的计算机可能中了病毒，病毒的加壳(Packing)方法是甚么? (请以英文全大写作答) (2分)

这部分不太会，跳过了

常威手机

49. [填空题] 常威手机中的Telegram有可能是在2021年9月24日_____时44分58秒 (UTC +8) 首次下载的。(请以阿拉伯数字输入答案) (2分)

50. [填空题] 常威手机曾经连接的无人机名称是什么?(请以英文全大写及阿拉伯数字回答) (1分)

SSPARK

51. [填空题] 常威手机中，档案“dji1633936161416.mp4”的解像度是 ________________ (例如是1920 x 1280，请输入 19201280)。 (1分)

1280*720

[填空题] 常威手机中，发现于网络上下载的软件“安心出行”安装档的哈希值(MD5)是?(请以英文全大写及阿拉伯数字回答) (2分)

81c342665d9a8d4d02b0fbb7033167b5

[多选题] 常威手机中执行软件“安心出行”(版本2.1.3)中涉及以下安全许可? (2分)
    A. android.permission.ACCESS_WIFI_STATE 获取WiFi状态
    B. android.permission.BATTERY_STATS电量统计
    C. android.permission.VIBRATE使用振动
    D. android.permission.CONTROL_LOCATION_UPDATES控制定位更新
    E. android.permission.CAMERA拍照权限

[多选题] 常威手机中软件“安心出行”(版本2.1.3)的安装档(.apk)中，哪个不是它的签名算法? (3分)
    A. MD5withRSA
    B. SHA256withRSA
    C. SHA256withDSA
    D. MD5withDSA

[多选题] 于常威的手机中执行软件“安心出行”(版本1)可能会连接至哪一个网站? (2分)
    A. https://back-home-****.pages.dev
    B. org.chromium..a5b80edf82b436506
    C. org.chromium..a5b80edf82b436506_v2
    D. https://back-home-****.pages.dev/manifest.json

E. android.permission.CAMERA拍照权限

有两个，注意分辨

开xml进行暴搜

常威USB

56. [单选题] 在常威苹果手提计算机, 用户开机密码是什么 ?(提示：常威 USB 设备中可能有相关数据) (3分)

A. C**sthegoa*

B. Draw**fgd*f

C. Co*kkfid*dd

D. App*is*won

我先尝试着反编译，

但是没啥用

全空，尝试恢复

然后暴搜

57. [填空题] 在常威U 盘内有多少磁盘分隔区 ? (请以阿拉伯数字回答) (2分)

x-ways打开得到

58. [填空题] 在常威U 盘内有多少份excel 文件 ? (请以阿拉伯数字回答) (1分)

59. [填空题] 在常威U 盘内, 内含有多少个客户数据 ? (请以阿拉伯数字回答) (1分)

60. [多选题] 以下哪个客户数据储存在常威U 盘内？ (3分)

A. jmuat1@reference.com

B. cgeraudg@forbes.com

C. cwarmishamo@admin.ch

D. abddfdf@google.com

E. alex1234@apple.com

一一比对即可

61. [单选题] 常威MAC计算机上一个系统版本是甚么及现正运行哪一个版本的系统? (3分)

A. MacOS 10.11.6 and MacOS 11.6

B. MacOS 10.11.5 and MacOS 11.5

C. MacOS 10.11.4 and MacOS 11.6

D. 以上皆非

这里有个filevault2的解密

密码cpisthegoat

然后version搜索就可以发现previous system version

****

系统版本信息： Preboot\root\4A14282D-8DC8-3473-BB07-F12364604073\System\Library\CoreServices\systemVersion.plist

历史版本信息：分区1[apfsb0]\Chris - Data\root\private\var\db\PreviousSystemVersion.plist

应用历史安装记录：分区1[apfsb0]:\Chris - Data:\root\Library\Receipts\InstallHistory.plist
————————————————
版权声明：本文为CSDN博主「奇乃正」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/weixin_42744595/article/details/127844645

****

62. [多选题] 常威MAC计算机的系统事件纪录内哪个卷标(Flag)是关于储存档案于计算机? (3分)

A. Created

B. InodeMetaMod

C. FinderInfoChanged

D. IsDirectory

E. OwnerChanged

理论题，记住

OSX FSEvents flag知识

63. [多选题] 常威MAC计算机曾连接哪一个无线网络SSID? (2分)

A. wai wifi

B. wanchainew1

C. central2

D. Hongkong1

64. [单选题] 常威MAC计算机的使用者甚么时候将”隔空投送”(airdrop)转换至任何人模式? (2分)

A. 2021-10-21 16:52:48 (UTC +8)

B. 2021-10-21 18:52:48 (UTC +8)

C. 2021-10-21 06:52:48 (UTC +8)

D. 2021-10-21 08:52:48 (UTC +8)

65. [填空题] 常威MAC计算机的APFS储存容器的文件签名是________，偏移值为______(例如NTFS及64，请输入 NTFS64)。 (2分)

NXSB 32

66. [单选题] 常威MAC计算机的镜像档案内，总共有多少个系统默认的卷标? (1分)

A. 4

B. 5

C. 6

D. 7

除了Chris-Data外都是默认卷标（记住）

67. [填空题] 常威MAC计算机的使用者上一次关闭浏览器时，正在浏览多少个网页? (请以阿拉伯数字回答) (3分)

68. [多选题] 常威MAC计算机中以下哪个档案并不是iPhone所拍摄的图片? (2分)

A. IMG_0002

B. IMG_0003

C. IMG_0004

D. IMG_0005

E. IMG_0006

常威矿机

69. [多选题] 在常威的矿机没有进行哪种加密货币掘矿 ? (2分)

A. Bitcoin

B. Ethereum

C. RVN

D. Dodge

E. ENJ

仿真后可以看到有phoenixminer

查看日志

主机名和内容都能反映

70. [填空题] 在常威矿机有几张显示适配器进行掘矿 ? (请以阿拉伯数字回答) (1分)

71. [单选题] 在常威矿机, hive OS 操作系统是什么版本 ? (1分)

A. 5.4.0 *****

B. 6.0.1 *****

C. 7.0.2 *****

D. 10.0.2*****

E. 15.1.2*****

72. [多选题] 在常威矿机中, 哪个不是收取掘矿收益的加密货币钱包地址 ? (1分)

A. 0xE365625f4**537151304ceba7C7D9dF0C7E829**

B. 0xe68de863f4c3c3cc0**191b9cefdae91b3e6fbd8**

C. 0x00000000897**f4136b4a59731680a88f895303**

D. 0x7335c**20f9533d9cc825e2a6e80821fd44e27f8**

E. 0x00**000089705f4136b4a59731680a88f895303**

0xE365625f402537151304ceba7C7D9dF0C7E82986.ETH-Player, PSW: x"

73. [单选题] 在常威矿机中, 用于掘矿登入密码是什么 ? (2分)

A. eg97em**wm

B. Deg97em**wm

C. feg97em**wm

D. eeg97em**wm

E. heg97em**wm

rig.conf

这个1不知道是干嘛的，我猜是一个e？？？

74. [填空题] 在常威矿机中,用于掘矿Nvidia显示适配器所使用的驱动程式使用什么版本?(请以英文全大写及阿拉伯数字回答) (1分)

4609103

75. [多选题] 在常威矿机中, 用于掘矿显示适配器型号包括什么? (2分)

A. GeForce RTX 3060

B. Quadro P2000

C. RX 6600

D. GeForce GTX 1660 Ti

E. GeForce GTX 3070

76. [多选题] 在常威矿机, 哪一天没有进行掘矿? (2分)

A. 2021-10-06

B. 2021-10-09

C. 2021-10-15

D. 2021-10-17

E. 2021-10-18

暴搜

常威无人机

77. [填空题] 常威的无人机中的飞航纪录_________.DAT可见到于2021年10月11日1505时的GPS地点。(请以英文全大写及阿拉伯数字回答) (1分)

Drone_DJI - Spark.zip/flyctrl/FLY093.DAT : 0xD189DE(大小: 22519808 字节)

FLY093.DAT

78. [单选题] 常威的无人机于2021年10月11日15:07:51时之间所在的地点是什么? (1分)

A. 22.269299, 114.200486

B. 22.269353, 114.287267

C. 22.346855, 114.289552

D. 22.269293, 114.201278

比较，选近似

79. [填空题] 常威的无人机哪一个档案有最后降落时间的数据(请以英文全大写及阿拉伯数字回答,不用输入".")？ (1分)

查看旅程源文件

80. [多选题] 常威的手机中哪一个是由常威的无人机于2021年10月11日所拍摄的图像文件? (2分)

A. Containers 货柜

B. Buildings 大厦

C. bicycle 单车

D. Mountain 山

回去看常威手机

这个应该是手机自己拍的，转到源文件夹后可以看到有DJI文件夹，打开看看

81. [填空题] 常威的手机中显示常威的无人机DJI GO 4的版本是4.3.___?(请以阿拉伯数字回答) (1分)

82. [多选题] 常威的手机中所安装的DJI GO 4 软件中，以下哪个database没有显示临时禁飞区? (2分)

A. Filesflysafe_app.db

B. Special_warning.db

C. Flysafe_app_dynamic_areas.db

D. Flysafe_polygon_1860.db

83. [填空题] 常威的手机中在__________.db可知道DJI GO 4 的登入电子邮件(请以英文全大写及阿拉伯数字回答) (1分)

应用找到跳转

84. [填空题] 常威的手机中在__________.db包含了名为server_timestamp 的资料(请以英文全大写及阿拉伯数字回答) (1分)

Flysafe_app_dynamic_areas.db

82题见过的

常威电脑

85. [单选题] 常威利用Windows 计算机中的VM Kali进行攻击和收取受害人电话的数据，请找出常威的VM存放地址 (2分)

A. Users\Chris Paul\Desktop\安全防护 Malware\Kali-Linux-2020.2a-amd64_2.vmwarevm

B. \Users\Chris Paul\Desktop\安全防护 Malware Demo\Kali-Linux-2020.2a-amd64_2.vmwarevm

C. \Users\Chris Paul\Documents\安全防护 Malware \Kali-Linux-2020.2a-amd64_2.vmwarevm

D. \Users\Chris Paul\Documents\Virtual Machines

暴搜跳转

86. [单选题] 常威在收集数据后储存数据于Windows 计算机一个名为"text2.txt"的档案中，随后他将档案移往"\home\kali\Desktop\project\"中, 下述哪个档案可以证明这一点? i) \root\.bash_history ii) \home\kali\.bash_history (3分)

A. 只有 i

B. 只有ii

C. 两个也可以

D. 两个也不可以

把文件直接从Windows里面拖进虚拟机，是不会有历史命令的，我们无法判断是从windows里面移过去的，所以两个都不可以证明

87. [单选题] 常威Windows计算机中哪一个程式/档案有可能用作收取受害人电话上的数据? (3分)

A. \home\kali\Desktop\server_express_ok.js

B. \home\kali\Desktop\baddish\package.json

C. \home\kali\Desktop\baddish\server.js

D. \home\kali\Desktop\server.js

历史命令分析一下

88. [多选题] 常威Windows计算机中显示常威第一次偷取受害人电话数据有机会是在哪一个日子及时间登入 Kali 系统? (2分)

A. 2021-09-27

B. 2021-09-29

C. 2021-09-29

D. 11:42:47

E. 16:04:24

F. 16:30:04

89. [多选题] 常威Windows计算机中以下哪一个檔案的哈希值(MD5)能证明常威曾开启存有客户数据的档案? (2分)

A. 0ED1DB00F8598AD3C6B331BF0C477AD4

B. 1E1BDB083F66251A63B79DEA3801E6E9

C. 575326396E31040FE2E13BE42C55C3E2

D. 3128604B4A9EC1D37418942555F6B08A

E. FB5EF33EDEA8ECB5BF07C5DF5332D29F

因为打开过，联想到快捷方式，前面遇到过的客户资料

90. [单选题] 常威 Windows 计算机中，哪一个档案可以找到USB装置初次连接的时间? (1分)

A. C:\Windows\setupapi.log

B. C:\Windows\setupapi.setup.log

C. C:\Windows\INF\setupapi.setup.log

D. C:\Windows\INF\setupapi.dev.log

理论题-->setup.log

91. [单选题] 常威 Windows 计算机接驳了一个3D 打印机，以下哪一个哈希值是属于上述打印机的驱动程式文件中的安装信息文件(INF檔)? (提示：关键词包含CH341) (3分)

A. 1348FA38956*****1770D7C3E63545BC

B. DBC4F08F835*****FF95420B352B506A

C. 35E7C67A652*****611EDE19C37241C5

D. BAE3BE76CC1*****31EB562ABAFE28DE

搜

92. [填空题] 续上题，上述安装信息文件的版本日期是什么? (请以阿拉伯数字，及以下格式回答，例: 2019年3月4日，请回答20190304) (1分)

20190130

93. [多选题] 常威Windows计算机安装了一些与3D 打印机有关的软件，有可能是以下哪个? (1分)

A. Ultimaker Cura

B. 3DPrinterOS

C. Simplify3D

D. Creality Slicer

暴搜

94. [单选题] 续上题，哪一个档案记录了切片软件Creality Slicer曾经开启的3d立体模块(.stl)纪录? (1分)

A. \Users\Chris Paul\AppData\Roaming\Creality Slicer\stderr.log

B. \Users\Chris Paul\AppData\Roaming\Creality Slicer\stdout.log

C. \Users\Chris Paul\AppData\Roaming\Creality Slicer\4.8\Creality Slicer.cfg

D. \Users\Chris Paul\AppData\Roaming\Creality Slicer\4.8\Creality Slicer.log

都能搜到，到处比对，搜索.stl

95. [多选题] 续上题，哪一个3d立体模块(.stl)曾用切片软件Creality Slicer开启? (2分)

A. clip_sideb.stl

B. frame.stl

C. trigger.stl

D. hand_guard.stl

常威linux

96. [填空题] 哪一个是Wai_Linux1.E01 鉴证映像中Linux LVM 磁盘分区的长度? (请以阿拉伯数字回答) (1分)

差点忘记火眼识别不了linux的E01

x-ways打开分区二

97. [填空题] 常威 LINUX 计算机安装在逻辑卷管理(Logical Volume Manager)的磁盘分区上, 哪一个是卷组(Volume group) 的通用唯一标识符(UUID)? (请以英文全大写及阿拉伯数字回答，不用输入”-“) (1分)

vgdisplay

98. [多选题] 续上题，哪一个是逻辑卷(Logical Volume )设定的名字? (2分)

A. swap

B. root

C. var

D. home

lvdisplay

99. [单选题] 常威 LINUX 计算机曾试用挖矿程式"T-Rex"，在相关脚本(script)中哪一个是工人(worker)的名称? (1分)

A. stratum

B. rig0

C. ethash

D. E365625f402537151304ceba7C7D9dF0C7E82986

用取证大师可以直接对E01进行自动取证

100. [填空题] LINUX 系统中利用fdisk 指令下，下列哪一个是 "exFAT"的磁盘分区类型编号(Partition type id)? (请以英文全大写及阿拉伯数字回答) (1分)

101. [单选题] 在Linux 的环境下，以下哪一个指令用于激活扫描到的卷组(Volume group) (1分)

A. vgscan

B. vgchange

C. vgdisplay

D. vgactive

全部--help看一下

102. [单选题] 在Linux 的环境下，下列哪一个指令可以删除内有档案的文件夹? (1分)

A. rm -d

B. rm -r

C. rm -rd

D. rm -rf

常识，binwalk用多了。。

103. [填空题] 常威 LINUX 计算机逻辑滚动条 (Logical Volume) 路径“vg/home”使用了甚么系统建立? (请以英文全大写回答) (2分)

KALI

104. [填空题] 常威 LINUX 计算机逻辑滚动条 (Logical Volume) 路径 “vg/root” 的Current LE是什么? (请以阿拉伯数字回答) (1分)

5120

105. [填空题] 常威 LINUX 计算机扇区群组 (Volume group)的Total PE是甚么? (请以阿拉伯数字回答) (1分)

43752

或者把两个加起来。。也行

pvscan用于扫描系统中的所有物理卷，并输出相关信息。

pvcreate用于将分区或整个硬盘转换成物理卷，主要是添加LVM属性信息并划分PE存储单位。该命令需要使用硬盘或分区的设备文件作为参数(可以有多个)。例如，执行以下操作将把分区/dev/sdb1、/dev/sdb2转换成物理卷。

pvdisplay用于显示物理卷的详细信息，需要使用指定的物理卷作为命令参数，默认时将显示所有物理卷信息。例如，执行以下“pvdisplay /dev/sdb1”命令可以查看物理卷/dev/sdb1的详细信息。

pvremove用于将物理卷还原成普通分区或磁盘，不再用于LVM体系，被移除的物理卷将无法被pvscan识别。执行“pvremove /dev/sdb1”命令可以将物理卷/dev/sdb1从LVM体系中移除。[root@houliangjin~]#pvremove /dev/sdb1

vgscan命令用于扫描系统中已建立的LVM卷组及相关信息。[root@houliangjin~]#vgscan

vgcreate用于将一个或多个物理卷创建为一个卷组，第一个命令参数用于设置新卷组的名称，其后依次指定需要加入到该卷组的物理卷作为参数。例如，若要使用物理卷“/dev/sdb1、/dev/sdb2”创建名为abc的卷组，可以执行以下操作。

vgdisplay用于显示系统中各卷组的详细信息，需要使用指定卷组名作为命令参数(未指定卷组时将显示所有卷组的信息)。例如，若要查看卷组abc的详细信息，可以执行以下操作。

vgremove命令用于删除指定的卷组，指定卷组名称作为参数即可。删除时应确保该卷组中没有正在使用的逻辑卷。例如，若要删除名为abc的LVM卷组，可以执行以下操作。[root@houliangjin~]# vgremove abc

vgextend用于扩展卷组的磁盘空间。当创建了新的物理卷，并需要将其添加到已有卷组中时，就可以使用vgextend命令。该命令的第一个参数为需要扩展容量的卷组名称，其后为需要添加到该卷组中的各物理卷。例如，一下操作将重新创建卷组abc，包含物理卷“/dev/sdb1、/dev/sdb2”,然后通过vgextend命令将物理卷“/dev/sdc1”添加到卷组abc中。

lvscan命令用于扫描系统中已建立的逻辑卷及相关信息。[root@houliangjin~]# lvscan

lvcreate用于从指定的卷组中分割空间，以创建新的逻辑卷。需要指定逻辑卷大小、名称及所在的卷组名作为参数。命令格式如下[root@houliangjin~]# lvcreate -L 容量大小 -n 逻辑卷名卷组名

lvdisplay命令用于显示逻辑卷的详细信息，需要指定逻辑卷的设备文件作为参数，也可以使用卷组名作为参数，以显示该卷组中所有逻辑卷的信息。例如，执行以下操作可以查看前面创建的hlj逻辑卷的详细信息。

lvextend用于动态扩展逻辑卷的空间，当目前使用的逻辑卷空间不足时，可以从所在卷组中分割额外的空间进行扩展。只要指定需增加的容量大小及逻辑卷文件位置即可。前提条件是该卷组中还有尚未分配的磁盘空间，否则需要先扩展卷组容量。另外，调整逻辑卷的容量后，需要执行“resize2fs /dev/卷组名/逻辑卷名”命令以便Linux系统重新识别文件系统的大小(resize2fs命令用于在线调整文件系统大小)，需要格式化之后才可以使用resize2fs命令

使用lvextend命令时，基本格式如下[root@houliangjin~]# lvextend -L +大小 /dev/卷组名/逻辑卷名