- [单选题] 1.Victor的笔记本电脑己成功取证并制作成法证映像档 (Forensic Image),下列哪个是其MD5哈希值? (2分)
A. FC20782C21751AB76B2A93F3A17922D0
B. 882114D62E713DEA34C270CF2F1C69D2
C. A0BB016160CFB3A0BB0161661670CFB3
D. 917ED59083C8B35C54D3FCBFE4C4BB0B
E. FC20782C21751BA76B2A93F3A17922D0
用取证大师选证据文件点击E01文件查看
Xways右键属性
- [单选题] 2.根据法证映像档 (Forensic Image),确定原笔记本内有多少个硬盘分区? (2分)
A. 1
B. 2
C. 3
D. 4
E. 5
取证大师添加设备时选择恢复丢失分区
XWAYS在
相应的勾选,结果说明就三个
- [单选题] 3.你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)? (答案格式: 扇区, Sector) (2分)
A. 0
B. 2408
C. 1048576
D. 62916608
E. 32213303296
LBA实际是分区在磁盘中的物理地址,也就是物理扇区,要知道WINDOWS系统分区是什么
一般我们系统都在C盘,有program files 和program files(x86)文件
所以看一下哪个盘有这两个文件
发现D盘文件被删,E盘有文件,所以E盘是系统盘
选择 victor_pc下面再选分区三,不能选择最上面的“victor_PC,分区3”,可以看到左下角有扇区
取证大师选E盘,拖到后面看得到物理扇区
取证大师选E盘左下角看得到物理位置32,213,303,296
物理位置除以512可得答案
- [单选题] 4.你能找到硬盘操作系统分区的物理大少吗 (字节byte)? (2分)
A. 62709760
B. 62910464
C. 104857600
D. 32107397120
E. 32210157568
取证大师里直接看E盘
XWAYS在分区三属性里能看到
选E
- [单选题] 5.操作系统分区的文件系统是哪种? (2分)
A. FAT32
B. EXFAT
C. NTFS
D. EXT3
E. HFS+
都能直接看到
- [单选题] 6.操作系统分区,每个簇(Cluster)包含几个扇区(sectors)? (2分)
A. 2
B. 4
C. 6
D. 8
E. 16
取证大师在E盘$boot文件下偏移量13的数值
每簇字节数除以每扇区字节数得8
- [单选题] 7.在操作系统分区内,$MFT的物理起始扇区位置(Starting physical sector)是什么? (2分)
A. 62,919,936
B. 67,086,648
C. 68,942,784
D. 69,208,064
E. 79,865,960
XWAYS选择$MFT,也得选中第一扇区物理扇区号(和第三题一样)
- [单选题] 8.请找出系统文件“SOFTWARE",请问操作系统的安装日期是? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC) (2分)
A. 2018-10-25 08:08 UTC
B. 2018-10-25 08:09 UTC
C. 2018-10-25 08:10 UTC
D. 2018-10-25 08:11 UTC
E. 2018-10-25 08:12 UTC
取证大师直接就能看到北京时间,换算成世界协调时间,得从北京时间减去8小时
XWAYS比较麻烦,在分区三选择文件类型小沙漏,取消全选
找到windows registry注册表,勾选常用的这几个
点击激活后在分区三右键浏览递归
每个文件都有两份,像这种在regback里的是备份,隔段时间才更新,不准
就看这种config下面的
双击打开 software文件,左上角小箭头创建报告
选择report system文件模板,输出出来
能看到时间
- [单选题] 9.用户“victor"的唯一标识符(SID)是什么?(答案格式:RID) (2分)
A. 1001
B. 1002
C. 1003
D. 1004
E. 1005
WINDOWS登录信息都在SAM里
取证大师在取证结果里找用户信息,左下角也有SID
XWAYS查看注册表,在SAM里的domain account users names能看到,对应的3e9文件也能看到
- [单选题] 10.用户“Lily"的唯一标识符(SID)是什么?(答案格式:RID) (2分)
A. 1001
B. 1002
C. 1003
D. 1004
E. 1005
同上
- [单选题] 11.Victor上一次更改系统登入密码是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A. 2018-11-01 16:08 +8
B. 2018-11:01 14:15 +8
C. 2018-10-26 17:00 +8
D. 2018-10-25 08:08 +8
E. 2018-10-25 16:08 +8
取证大师在用户信息victor里往右拉,直接看到
XWAYS在注册表3E9的F里看得到last pw change
- [单选题] 12.Lily上一次更改系统登入密码是? (答案格式 -“本地时间":YYYY-MM-DD HH:MM +8) (2分)
A. 2018-11-01 03:02:01 +8
B. 2018-11:02 11:13:33 +8
C. 2018-10-26 17:00:45 +8
D. 2018-10-30 12:30:40 +8
E. 2018-10-27 12:08:37 +8
同上
- [单选题] 13.Victor 总共登录系统多少次? (2分)
A. 3
B. 16
C. 33
D. 36
E. 45
XWAYS里看得出logon count:36
取证大师里,账户登录筛选用户名victor能看到36次
用户信息victor往右拉也能看到36次
- [单选题] 14.以下哪个帐号已经被禁用? (2分)
A. Administrator
B. victor
C. Lily
D. simon
E. 以上皆不是
取证大师在用户信息右拉
XWAYS在注册表看到account disabled,可能要逐个文件看
- [单选题] 15.以下哪个帐系统权限最低? (2分)
A. Administrator
B. victor
C. Lily
D. simon
E. 以上权限一样
用户信息右拉看到所在组,Guests说明权限最低,Simon
XWAYS在domains builtin aliases下面看文件,能看到分组,可能要逐个查看,guests组里的1004是simon
- [单选题] 16.以下哪个帐号曾经远端登录系统? (2分)
A. Administrator
B. victor
C. Lily
D. simon
E. 远端登入已被禁止
暂无解
- [单选题] 17.硬盘操作系统的版本? (2分)
A. Windows 7 Enterprise (32 位)
B. Windows 7 Enterprise (64 位)
C. Windows 7 Professional (32 位)
D. Windows 7 Professional (64 位)
E. Windows 7 Ultimate (64 位)
取证大师在系统信息里看
XWAYS注册表SAM导出后看得到,但是不知道位数
- [单选题] 18.操作系统的最新服务包(Service Pack)版本号是什么? (2分)
A. Service Pack 1
B. Service Pack 2
C. Service Pack 3
D. Service Pack 4
E. Service Pack 5
同上直接能看得到
- [单选题] 19.下列哪个是victor的默认打印机? (2分)
A. HP OfficeJet 250 Mobile Series
B. CutePDF Writer
C. Microsoft XPS Document Writer
D. PDF Complete
E. AL-M2330
注册表NTUSER里看victor的printers,默认cutePDF writer
取证大师在E盘user下victor 里的ntuser.dat,注册表解析
也是printers下的
- [单选题] 20.在2018-10-31 08:29:32 +8时间, 账号simon曾经使用以下哪个文件? (2分)
A. Microsoft 商店.url
B. ug.jpeg
C. Reddy Resume.doc
D. grocerylistsDOTorg_Spreadsheet_v1_1.xls
E. InvoiceTemplate.docx
自动取证 最近访问的文档 筛选时间可看出
或者文件过滤按时间过滤
或取证大师全显E盘后在****创建时间****筛选所给的时间
然后导出当前文件显示属性
能看到此文件
XWAYS沙漏过滤时间
未完待续
