2019美亚杯个人赛R0undab0ut

1.何源的个人计算机硬盘已成功被取证并制作成镜像（ForensicImage），下列哪个是镜像的SHA1哈希值？

A.6891d022c7e6fe81dc8ba2160e1ab610891596d3B.3e57817ea6263bc2c696a3455cc96381C.ed43de631a56dd2c8bac4abbd3882c86D.dd32beac5ef2cd1cac06bdd8b5e88cbc4eb94de9E.48a45c39da458f3cadd92017e0247454dc8bff66

2.在何源的个人计算机中，硬盘中包含哪个操作系统（OperatingSystem）？CA.Windows7B.FAT32C.Windows10D.KaliLinuxE.NTFS

3.何源个人计算机的文件系统(FileSystem)是什么？DA.FAT16B.FAT32C.Windows7D.NTFSE.Windows10

4.在何源的个人计算机中，你能找到操作系统分区的总容量吗(单位：字节byte)？AA.492,083,081,216B.105,685,986,874C.386,908,999,680D.105,174,081,536E.492,594,986,554

同上

5.在何源的个人计算机中，操作系统分区的$Bitmap的起始物理扇区位置(PhysicalSectorNumber)是多少？A.5,683,328B.6,170,040C.7,026,176D.8,498,304E.9,168,216

7.在何源的个人计算机中，每个扇区(Sector)包含多少个字节？（单位:byte）AA.512bytesB.1024bytesC.2048bytesD.4096bytesE.8192bytes

尝试，NTFS

8.在何源的个人计算机中，操作系统的时区是哪个时区？EA.EasternStandardTime(GMT-05:00):USandCanadaB.PacificStandardTime(GMT-08:00):TijuanaC.KoreaStandardTime(GMT+09:00):SeoulD.GMTStandardTime(GMT):Dublin,Edinburgh,Lisbon,LondonE.ChinaStandardTime(GMT+08:00):Beijing,Chongqing,HongKong,Shanghai

9.在何源个人计算机的操作系统中，下列哪个是计算机的主机名DA.DESKTOP-JW47K02B.HEYuan-WIN1C.HEYuan-WIN2D.DESKTOP-SM22M96E.DESKTOP-WE23K24

10.在何源的个人计算机中，以下哪一个是用户“HeYuan”的SID？BA.S-1-5-21-1551135561-2581751248-1803739423-1001B.S-1-5-21-1551135561-2581751248-1803739423-1000C.S-1-5-21-1551135561-2581751248-1803739423-500D.S-1-5-21-1551135561-2581751248-1803739423-501E.None

11.在何源的个人计算机中，下列哪个USB移动储存装置(U盘)曾被分配为‘E’磁盘分区代号(DriveLetter)A.KingstonDataTraveler3.0USBDeviceB.SanDiskTranscendUSBDeviceC.SamsungPortableSSDUSBDeviceD.WDMyPassport3.0USBDeviceE.SeagateFlashDiskUSBDevice

12.在何源的个人计算机中，用户“HeYuan”曾经在挂载为“E”盘的USB移动储存装置中访问过一些文件/文件夹，以下哪一个不是？A.E:\美国恐怖故事B.E:\NewTextDocument.txtC.E:\CONFIDENTIAL.docD.E:\PycharmProjectsE.A,B,C,D

13.在何源的个人计算机中，用户“HeYuan”最近在本机上访问过一些文件，以下哪一个不是？A.SampleProjectPlan.docB.URGENT.docC.connect.pyD.美国恐怖故事01.mp4E.Comprehensive-Minute-Template.doc

14.在何源的个人计算机中，以下哪一个是程序“VERACRYPT.EXE”的运行次数？A.1B.2C.3D.4E.6

15.在何源的个人计算机中，在程序“VERACRYPT.EXE”运行时，以下哪个dll文件并没有同时被加载？A.COMDLG32.DLLB.CRYPT32.DLLC.SECUR32.DLLD.CRYPTSP.DLLE.ENCRYPT.DLL

16.在何源的个人计算机中，用户“HeYuan”的桌面墙纸（Wallpaper）背景是什么颜色？A.黑色B.灰色C.蓝色D.红色E.绿色

17.在何源的个人计算机中，以下哪个文件在电脑poweroff的时候仍然拥有内存的内容此文件具有与电脑内存（RAM）相似的大小并保存在根目录。A.WIN386.SWPB.HIBERFIL.sysC.PAGEFILE.SYSD.NTUSER.DATE.SWAPFILE.SYS

18.在何源的个人计算机中，以下哪个database文件存有此操作系统的timeline痕迹？A.SRUDB.datB.Windows.edbC.Spartan.edbD.ActivitiesCache.dbE.Thumbs.db

火眼跳转源文件

19.在何源的个人计算机中，曾被分配过的ip地址是？A.147.8.177.224B.147.10.188.23C.192.168.0.110D.10.12.9.214E.192.168.1.2

21.在何源的个人计算机中，你是否可以找到何源iPhone手机的线索。关于他的手机，以下哪条信息不正确？A.IMEI：359461082062689B.SerialNumber：F17V1L6EHG70C.AppleID：heyuan516@icloud.comD.MSISDN:85259114189E.无

22.用户“HeYuan”在WhatsApp上与谁进行了对话？

A.KeanuReevesB.MichaelNyqvistC.PeterWangD.JohnManagerE.MichaelBrown

23.在手机联系人中，AnthonyChung的手机号是多少？A.+85252018664B.+85257025241C.+85257024765D.+8613890274976E.+8613928749036

24.HeYuan在iPhone自带的Safari浏览器中搜索过一些关键词，以下哪一个不是？A.野狼discoB.拜佛过人professorC.engineer'sday1024D.Programmer'sDaynobugE.poptown攻略

25.用户“HeYuan”的WeChatID是多少？A.HEYUAN516B.wxid_9y8cs5hdin2i15C.wxid_9y8cs5hdin2i14D.wxid_9y8cs5hdin2i13E.wxid_9y8cs5hdin2i12

26.在WeChat的多个聊天记录中，用户“HeYuan”没有聊到过哪个话题？

A.与中介谈买房B.与老板谈洗钱C.与黑客谈交易D.与网贷谈借钱E.与朋友谈炒房

除了B都有

27.从WeChat中的一个聊天记录中可知，用户“HeYuan”持有多少人的数据？A.About500B.About1000C.About2000D.About3000E.About5000

28.接上题，Hacker最后要支付多少Bitcoin给HeYuanA.0.002312B.0.066666C.0.036354D.0.014594E.0.012398

29.接上题，HeYuan的Bitcoin收款地址是多少？A.cI7g0tIzPuP2pxb20HQHNGOQdpmptDaCBfB.InCeInFZmAP3PCLHLOchKTEZevQdHgQdP3C.4qISisBY2Z8xgh9C6orRfuRzmzXKznUc5ZD.18yZq8Dboyuvnd3R6pqG9kJkaZBki2JCoNE.n5X7jwdPspKRgnZU6xzcEQueJanRqGdZQd

31.接上题，HeYuan提到的解压密码是多少？A.bAtNyn3lHwP8xXWB.hNfpdKcJlvpEFEaC.decrypt123456D.2019123456E.HetoHacker123456

32.接上题，HeYuan收到了来自哪位hacker的转账？hacker的wechatID是多少？A.Kevin,wxid_ugo2wrc3fuci22B.Scott,wxid_i1lhj24r792i22C.Iva,wxid_7qh2jzeomtvp22D.John,wxid_QAZbWKIgIz4jpuE.Jack,wxid_dbEx7dtbX4zPbb

33.根据Wechat聊天记录，HeYuan在2019-10-26号（UTC+8）晚上跟哪位朋友出去吃晚饭了？朋友的WechatID是多少

A.IronMan,wxid_0ZYBi7dchvMIymB.BlackPanther,wxid_zSrai2bRoLUNVbC.RedBull,wxid_2yy2ekynoLbnq3D.WhiteTiger,wxid_whMQ2YOLPiNNt7E.BlackSheep,wxid_s00vt9uixjq922

34.在2019-10-31(UTC+8)，何源用iPhone手机在车库拍了一些车的照片,请问最早的那张车照片是什么时候拍的？A.10/31/201918:53:29PM(UTC+8)B.10/30/201910:43:27AM(UTC+8)C.10/26/201919:53:29PM(UTC+8)D.10/28/201920:40:30PM(UTC+8)E.10/27/201910:53:29AM(UTC+8)

35.接上题，请问照片”IMG_0075.HEIC”拍摄地GPS坐标是以下哪一个？A.28deg13'5.25"N,125deg9'6.34"EB.22deg17'1.36"N,114deg8'9.91"EC.120deg23'5.58"N,119deg7'4.53"ED.88deg6'2.14"N,130deg6'7.86"EE.100deg17'1.36"N,224deg6'8.57"E

36.在何源的个人计算机中，你能找到一个Veracrypt加密容器文件吗？它的原始文件名是？A.containerx.txtB.VC_ContainerC.$RV61F4MD.dataencrypt.txtE.$IV61F4M

仿真诱捕大法好

37.接上题，此Veracrypt加密容器文件之前可能被挂载为哪一个盘符(driveletter)A.A:B.B:C.Z:D.D:E.E:

38.在何源的个人计算机中，何源曾在电脑上登陆过客户端百度云盘，请问他的Baidu账号是多少？A.Yuanhe516B.Heyuan516C.Heyuan515D.Yuanhe515E.None

39.在何源的个人计算机中，何源利用客户端百度网盘上传过一些文件，请问以下哪一个是？A.美国恐怖故事04.mp4B.Crawler_connect.pyC.fileencrypt.docD.Secret.xlsxE.Company_info.xlsx

40.在何源的个人计算机中，何源iPhone手机中的一些图片曾被同步到他的百度网盘中，请问图片“2019-06-21113537.jpg”的MD5hash值是多少？A.fe41107c5260498e67171755e2b4bb1dB.6055e4fa9e8a56c708a3db7198d091e7C.7b8e1183d80962c0ad5a95ec673317a7D.148685a257c49247f09b942237f1a248E.db4a58e48ef51ca2c6c0f6e07f44d186

取证大师

42.在何源的个人计算机中，可以发现有多少文件,文件夹存在于何源的百度网盘中？A.Files:55,Folder:3B.Files:82，Folder:2C.Files:23,Folder:1D.Files:90,Folder:2E.Files:102,Folder:7

仔细查看有82个文件和两个文件夹

43.在何源的个人计算机中，用户“HeYuan”曾用MicrosoftEdge浏览器google搜索过一些信息，以下哪个不是搜索的关键词？A.gmailregisterB.tordatasaleC.onlinelenderD.shadowsockE.howtohideapartition

44.在何源的个人计算机中，用户“HeYuan”曾用MicrosoftEdge浏览器注册过一个新的Gmailaccount,请从网页标题痕迹中找出此账号。A.jackhe666@gmail.comB.johnhe7@gmail.comC.jacksonhe8@gmail.comD.jorkerhe888@gmail.comE.yuanhe666@gmail.com

引诱术

45.在何源的个人计算机中，用户“HeYuan”曾用MicrosoftEdge浏览器下载过一些文件，以下哪一个不是？A.WeChat_C1018.exeB.bitcoin-018.1-win64-setup.exeC.torbrowser-install-win64-8.5.5_en-US.exeD.SteamSetup.exeE.BaiduNetdisk_6.8.4.1.exe

Edge下载文件会自动保存在download之中

46.在何源的个人计算机中，用户“HeYuan”曾用以下哪款网页浏览器登陆过网页版百度网盘？A.InternetExplorerB.FirefoxC.ChromeD.MicrosoftEdgeE.Tor

确认被搜索关键字pan.baidu

不会，但感觉是D

如此看来只有Hiddenwiki是可以引导的

51.分析何源的公司计算机内存镜像，何源的公司计算机操作系统以及硬件架构是什么？A.Windows7x86B.Windows7x64C.Windows8x86D.Windows8x64E.Windows10x64

52.分析何源的公司计算机内存镜像，以下哪一个是进程“explorer.exe”的PID

A.5098B.3484C.3048D.2236E.9875

53.分析何源的公司计算机内存镜像，以下哪一个是正确的用户SID？

A.HTC_admin:S-1-5-21-2316527938-3914680751-2175519146-1001B.TMP_User:S-1-5-21-2316527938-3914680751-2175519146-1002C.TMP:S-1-5-21-2316527938-3914680751-2175519146-1001D.YuanHe:S-1-5-21-2316527938-3914680751-2175519146-1002E.None

C不存在TMP_User正确

54.分析何源的公司计算机内存镜像，以下哪个远程地址与本地地址建立过TCP连接？A.10.165.12.130B.10.165.12.126C.10.165.10.125D.10.165.10.130E.10.165.10.131

55.接上题，在上述TCP连接里，远程地址的端口号是多少？

A.80B.443C.445D.22E.3389

同上445

56.分析何源的公司计算机内存镜像，注册表“\SystemRoot\System32\Config\SAM”在内存镜像中的虚拟地址（VirtualAddress）是多少？A.Offset:0x97b5e5d8B.Offset:0x9a5689c8C.Offset:0x8c6b49c8D.Offset:0x8bc1a1c0E.Offset:0x9bc1a1c0

57.分析何源的公司计算机内存镜像，用户“YuanHe”登入密码的NTLMhash是多少？A.bf12857078039ff604bf8e1fb4308643B.31d6cfe0d16ae931b73c59d7e0c089c0C.bf12857078039ff604bf8e1fb430a7d4D.a53452d6cd5e2d72423cd3eac8b05607E.99e74d973f8f852432f6d5a59659ed88

58.分析何源的公司计算机内存镜像，盘符“E：”上的文件“PersonalInformation.xlsx”何时被访问过？

A.2019-10-3107:58:45B.2019-10-3110:33:42C.2019-10-3106:59:45D.2019-10-3109:31:42E.2019-10-3108:32:42

PSK:\内存\好用的内存取证>&.\volatility_2.6_win64_standalone.exe-f"E:\2019美亚个人\memdump.mem"--profile=Win7SP1x86_23418timeliner>3.txt这题包括以下不知道为跑不出来

59.分析何源的公司计算机内存镜像，以下哪个是文件“PersonalInformation.xlsx”的正确路径？A.Users\YuanHe\Desktop\Confidential\PersonalInformation.xlsxB.Users\YuanHe\Desktop\PersonalInformation.xlsxC.Users\TMP_User\Desktop\Confidential\PersonalInformation.xlsxD.Users\TMP_User\Desktop\PersonalInformation.xlsxE.Users\Administrator\Desktop\Confidential\PersonalInformation.xlsx

60.分析何源的公司计算机内存镜像，可以发现以下哪些文件夹曾被访问过？1…\Company_Files\JonathanNorton2…\Company_Files\StephenChow3…\Company_Files\JohnWick4…\Company_Files\LoganChen5…\Company_Files\ColleenJohnsonA.2,3,5B.2,4,6C.1,3,5D.3,4,5E.1,4,5