1、Gary的笔记本电脑已成功取证并制作成镜像 (Forensic Image)，下列哪个是其MD5哈希值。
A.0CFB3A0BB016165F1BDEB87EE9F710C9
B.5F1BDEB87EE9F710C90CFB3A0BB01616
C.A0BB016160CFB3A0BB0161661670CFB3
D.16160CFB3A0BB016166A0BB016166167
E.FB3A0BB016165 B016166 A0DF7FJE2EJ0

2根据此镜像 (Forensic Image)，里面有多少个硬盘分区？
A.1
B.2
C.3
D.4
E.5

3你能找到硬盘操作系统分区内的开始逻辑区块地址（LBA）？
A.0
B.512
C.2,048
D.206848
E.102,402,047

在镜像生成之时，D盘才是真的操作系统分区

内存物理地址的单位是字节（Byte）而一个逻辑区块占用512位，所以要将这个值除以512；
结合磁盘内容，找到D盘的物理位置105,906,176 因为现今计算机上所谓一个逻辑区块通常占512位.所以105906176/512=206848

4你能找到硬盘操作系统分区的大小吗 (字节byte)？
A.48.7
B.102,195,200
C.140,232,703
D.19,369,295,872
E.52,323,942,400

48.73*1024*1024*1024=52323942400
5在包含操作系统的分区内，$MFT的物理起始偏移位置是什么？
A.3328
B.4170040
C.6026176
D.6498304（winhex打开）
E.16949352

 

 

6请找出系统文件“SOFTWARE＂，请问操作系统的安装日期是？ 
（答案格式 －“世界协调时间＂：YYYY-MM-DD HH:MM UTC）
A.2017-09-04 10:10 UTC
B.2017-09-04 10:11 UTC
C.2017-09-04 10:12 UTC 
D.2017-09-04 10:13 UTC
E.2017-09-14 02:14 UTC

东八区时间的坑 在时区信息里面可以看到

7用户“Gary＂的SID是什么？
A.1000
B.1001
C.1002
D.1005
E.1007

8用户“彼得＂的SID是什么？
A.1000
B.1001
C.1002
D.1005
E.1007

9硬盘的操作系统是什么？
A.Windows 7
B.Windows 8
C.Windows 10
D.Linux Red Hat 7.1
E.MAC OS X

10哪个是Windows的默认浏览器？
A.Microsoft Internet Explorer
B.Google Chrome
C.Mozilla Firefox
D.Opera
E.QQ 浏览器

11用户 “Gary＂曾经浏览过一些非法博彩网站，下列哪项URL符合？
a.www.10086.com
b.www.188bet.com
c.www.hv5858.com
d.www.12377.cn 
e. www.88.bettingwell.com
f.www.aaakk.org 
A.只有(a) & (b)
B.(a), (b), (d) & (f) 
C.(b), (c), (d) & (f) 
D.(b), (c), (e) & (f)
E.以上皆是

 

 

12用户Gary曾经登入上述非法博彩网站，下列哪个是其登入名称？
A.ggchey68
B.gany-cher88
C.galy_chen88
D.garychen1688
E.garychen88

13在所有用户中，用于电子邮件发送/接收的程序名称是什么？
A.新浪邮箱
B.网易163
C.阿里邮箱
D.Foxmail
E.Mozilla Mail – ThunderBird

14在该Windows系统中，曾经连接数个USB移动储存装置 (U盘)，下列那个不是该系统连接过的USB移动储存装置 ?
A.WD My Passport 0827 USB Device
B.StoreJet Transcend USB Device
C.Samsung Portable SSD USB Device
D.StoreJet TS256GESD400K USB Device
E.General UDisk USB Device

15在该Windows系统中，下列哪个USB移动储存装置 (U盘)曾被指派为‘Z’磁盘分区代号(Drive Letter) ?
A.WD My Passport 0827 USB Device
B.StoreJet Transcend USB Device
C.Samsung Portable SSD USB Device
D.StoreJet TS256GESD400K USB Device
E.General UDisk USB Device

 

16该Windows系统中，下列哪个是最后的关机时间?
A.2017-10-31 4:52:54 UTC
B.2017-10-31 4:53:54 UTC
C.2017-10-31 4:54:54 UTC
D.2017-10-31 4:55:54 UTC
E.2017-10-31 4:56:54 UTC

17该Windows系统中，下列哪个是电脑名称?
A.GARYPC
B.GARY-PC
C.GARY_PC
D.GARY
E.GARY-NB

18在该Windows系统中，下列哪个是用户Gary日常使用的邮箱帐号?
A.ics_user@mail.com
B.ics_user@gmail.com
C.gary@mail.com
D.gary_chen@mail.com
E.gary_chen@gmail.com

19在该Windows系统中，用户Gary曾经收过一封来自邮箱帐号  HYPERLINK "

mailto:ics_user@mail.com" cs_user@mail.com 的邮件，内容提及有关制作钓鱼网站及邮件帐号eric_wang99@outlook.com，下列哪个是此封邮件的发送日期和时间?
A.2017-09-25 17:07:15
B.2017-10-17 14:35:45
C.2017-10-17 18:24:02
D.2017-10-26 19:17:08
E.2017-10-26 19:24:57

20在该Windows系统中，用户Gary还曾经收过两封来自邮箱帐号  HYPERLINK "

mailto:eric_wang99@outlook.com
" ric_wang99@outlook.com的邮件，标题为“学习制作网站”，下列哪个是第一封邮件的发送日期和时间?
A.2017-09-25 17:07:15
B.2017-10-17 14:35:45
C.2017-10-17 18:24:02
D.2017-10-18 18:30:45
E.2017-10-18 19:38:05

审题 第一封邮件

21在该Windows系统中，用户Gary还曾经收过两封来自邮箱帐号eric_wang99@outlook.com邮件，标题为“学习制作网站”，下列哪个是第二封电邮的发送日期和时间?

A.2017-09-25 17:07:15

B.2017-10-17 14:35:45

C.2017-10-17 18:24:02

D.2017-10-18 18:30:45

E.2017-10-18 19:38:05

22、用户Gary还曾经收过一封来自邮箱帐号 ics_user@mail.com的邮件，附加了两张与咖啡豆有关的相片，下列哪个是此封邮件的发送日期和时间?

A.2017-09-25 17:07:15

B.2017-10-17 14:35:45

C.2017-10-17 18:24:02

D.2017-10-26 19:17:08

E.2017-10-26 19:24:57

23.下列哪项是与上述咖啡豆有关相片的MD5哈希值/哈希值(Hash value)?

A.449cebf0eb96499df047fe0bff8e1627

B.17f9c6bcca44d128f7ed6769a6920278

C.4bc48ce355acd4732f33a79e29728e96

D.4bc48ce355acd4732f33a79e29728e96

E.e3e545c80a7273b7b0d7c73dacdd7227

导出

24在该Windows系统中，用户Gary还曾经收到一封来自邮箱帐号 eric_wang99@outlook.com的邮件，附加有三张与Apple iCloud相关的相片，下列哪个为该封邮件的发送日期和时间?

A.2017-09-25 17:07:15

B.2017-10-17 14:35:45

C.2017-10-17 18:24:02

D.2017-10-18 18:30:45

E.2017-10-18 19:38:05

25.Gary经常使用笔记本电脑浏览互联网，他的笔记本电脑上曾经连接过多少WIFI热点？

A.1

B.2

C.3

D.4

E.5

 无线上网里面看到四种

26上述电脑曾经连接过星巴克WIFI热点，下列哪项是其全局唯一识别元（Globally Unique Identifier, GUID）？

A.{8039D237-A346-4BA1-9B78-5752580ED7F0}

B.{39489FA0-DE35-4989-8730-E2E2ED15E85A}

C.{558B94DF-8D68-4779-AA25-65FBDAB4C2B9}

D.{4EFCDA7E-CE51-4EC2-8980-8629647C9968}

E.{AF0778E8-6C4F-41C6-84B2-CB14490CF29E}

这是网卡guid

要在密钥里面找

27有关Gary的笔记本电脑，下列哪项是其最后分派得到的IP地址？

A.192.168.0.1

B.192.168.10.4

C.192.168.20.6

D.192.168.30.3

E.192.168.40.5

28Eric曾发邮件给Gary，内容是关于如何在暗网(Dark Web)中浏览枪械的信息，以下哪个URL是由Eric提供的?

A.http://hhnovpxmqrw5xaqg.onion

B.http://gunsjmzh2btr7lpy.onion

C.http://gunsdtk58tolcrre.onion

D.http://armoryohajjhou6m.onion

E.http://armory45jijdf7d.onion

29Eric 售卖iCloud 网站给Gary的价钱是多少?

A.$500

B.$800

C.$1000

D.$1400

E.$1500

30 Gary经常将非法文件存储到该笔记本电脑的加密分区中，下列哪一个为该加密软件?

A. TrueCrypt

B. VeraCrypt

C. Bitlocker

D.LUKS

E.PGP WDE

31在加密磁区内有三张与Apple iCloud有关的相片，下列哪个为其中一张相片的MD5哈希值(Hash Value)?

A.c9fbfaf3c45492c40feb83a83217f146

B.14903a7bd9d709b653f9afe8e3e51cdd

C.7cb0f29812317db645edbcd6cf46e1ba

D.5503d096bdf832460c8f51da62fbbb5d

E.9918465b62171ba2c0a95595db629bf3

32在加密磁区内有三张与暗网(Dark Web)有关的相片，下列哪个为其中一张相片的MD5哈希值(Hash Value)?

A.2836d35fb45c591211d5b6865c4a82f5

B.d2b14799050b6c4ad6b07cd1227b91a5

C.9110c96baa70c00acd8fbdfe2dc7c397

D.703899985d881e2d103eb4fd1306be2e

E.4c57a45b8da5ea01e5eb7d875f94a7b8

33     Gary的计算机系统时区是什么？? A
A.     中国标准时间
B.     日本标准时间
C.     泰国标准时间
D.     新加坡标准时间
E.     伦敦标准时间

34在上述加密磁区内，存有一个名为”2017-10-27”的文件夹，内有三张枪械的图片，该三张图片是来自哪个网站?

A.http://gunsdtk58tolcrre.onion

B.http://gunsjmzh2btr7lpy.onion

C.thegunstorelasvegas.com

D.cabelas.com

E.hyattgunstore.com

这个和之前的一样了

35Gary的笔记本电脑曾经下载过多少张有关恐怖组织的图片?

A.1

B.2

C.3

D.4

E.5

下载记录里面看到这两张

36根据Gary与Eric邮件的内容，Eric曾经提供Gary一个私有云盘，下列哪项是该邮件提供的资料?

A.动物图

B.枪的结构图

C.博彩图

D.博彩文件

E.恐怖主义图

37下列哪项是上述私有云盘的网址?

A.http://mantech.mooo.cn

B.http://mantech.mooo.com

C.http://mooo.com

D.http://mantech.com

E.http://23.54.45.113

38下列哪项是上述私有云盘网址的连接端口?

A.TCP 80

B.TCP 8080

C.UDP 80

D.TCP 8000

E.TCP 443

同上

39下列哪项是Gary第一次浏览该私有云盘网址时，所使用的浏览器?

A.Microsoft Explorer

B.Google Chrome

C.Mozilla Firefox

D.Opera

E.QQ 浏览器

直接搜索这个网址 找到记录

40下列哪项是Gary第一次浏览该私有云盘网址的日期和时间?

A.2017-10-29 12:42:09

B.2017-10-30 12:42:09

C.2017-10-31 12:42:09

D.2017-10-30 10:42:09

E.2017-10-30 11:42:09

41在上述加密磁区内，存有一个名为”2017-10-30”的文件夹，里面有三张与枪械结构有关的图片，该三张图片是从哪个方法/软件下载?

A.邮件

B.Firefox

C.Chrome

D.USB thumb drive

E.ftp

直接搜

42、Gary的笔记本电脑，曾经下载过一个感染了电脑病毒的文件，名为invoice.zip。该病毒程序文件是什么时候下载?

A.2017-10-31 12:26:20

B.2017-10-31 12:50:34

C.2017-10-31 12:29:55

D.2017-10-31 10:52:10

E.2017-10-31 12:18:54

43.Gary的笔记本电脑，还存有一个感染了电脑病毒的程序文件，名为User/Gary/Downloads/invoice/dist/invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?

A.2017-10-31 12:26:27

B.2017-10-31 12:50:34

C.2017-10-31 12:29:55

D.2017-10-31 10:52:10

E.2017-10-31 12:18:54

44上述invoice.exe文件伪装成什么格式的软件?

A.pdf

B.jpg

C.psd

D.Docx

E.Doc

直接仿真里面看的

45上述的User/Gary/Downloads/invoice/dist/invoice.exe文件，最后执行日期/时间(Last Accessed Data/Time) 是什么?

A.2017-10-31 12:26:27

B.2017-10-31 12:50:34

C.2017-10-31 12:29:55

D.2017-10-31 10:52:10

E.2017-10-31 12:18:54

46事实上，Gary的笔记本电脑被电脑病毒感染了，部份文件被加密，当中包括下列哪种文件类型?

a.exe

b.gif

c.jpg

d.psd

e.Docx

f.Doc

A.只有(a) & (b)

B.(a), (b), (d) & (f)

C.(b), (c), (d) & (f)

D.(b), (c), (e) & (f)

E.以上皆是

直接搜索可以发现doc docx jpg文件都被加密了

47上述User/Gary/Downloads/invoice/dist/invoice.exe文件共执行多少?

A.1

B.2

C.3

D.4

E.5

48上述User/Gary/Downloads/invoice/dist/invoice.exe文件是由什么程序编写?

A.LISP

B.C++

C.Visual Basic

D.Python

E.Java

看到zip文件中有很多pyd文件

 

49上述User/Gary/Downloads/invoice/dist/invoice.exe文件，执行时会呼叫下列哪个动态连结函式库(Dynamic Linked Library)

A.KERNEL32.DLL

B.USER32.DLL

C.SHELL32.DLL

D.NTDLL.DLL

E.SYSTEM32.DLL

exe文件反编译 直接搜索的

50、Gary的笔记本电脑，还存有另一感染了电脑病毒的程序文件，名为\tmp\invoice.exe。该文件的最后存取日期/时间(Last Accessed Data/Time) 是什么?

A.2017-10-31 12:26:27

B.2017-10-31 12:50:34

C.2017-10-31 12:29:55

D.2017-10-31 10:52:10

E.2017-10-31 12:18:54

注意是第一个文件 根据路径

 

51上述两个文件\User\Gary\Downloads\invoice\dist\invoice.exe和 \tmp\invoice.exe是什么关系?

A.前者是后者的复本

B.后者是前者的复本

C.两者MD5不相同

D.两者元数据(Metadata)相同

E.两者无关系

这应该没什么好说的 /tmp是临时文件夹

52根据勒索讯息的显示，勒索网址是什么？

A.http://223.17.250.208:6000/C&C/

B.http://223.17.250.208/C&C/

C.http://223.17.250.208:6060/C&C/

D.http://223.17.250.208:80/C&C/

E.http://223.17.250.208:8080/C&C/

53根据勒索讯息的显示，勒索金额是多少钱？

A.$1,000

B.$10,000

C.$20,000

D.$50,000

E.$100,000

在桌面上找到

54、根据勒索讯息的显示，下列哪个是与勒索案件有关的比特币钱包？

A.1KcjhpkowGWh5QYgPx5hYGuzbZpewgBszh

B.1KcjhpknwGWh5QYgPx5hYGuzbZpewgBszh

C.1KcjhpknwGWh5QYgPx5hYGuzbZpewgBzzh

D.1KcjhpknwGWh5QYgPx6hYGuzbZpewgBszh

E.1KcjhpknwGWh6QYgPx5hYGuzbZpewgBszh、

同上

55、执法机关曾在现场对Gary的电脑进行电子法证检验，期间曾撷取与勒索软件相关的屏幕影像，并储存为png格式。下列哪项是其储存位置?

A.Users彼得Downloads

B.Users彼得Desktop

C.UsersGaryDownloads

D.UsersGaryDesktop

E.UsersGaryDocuments

同上