Questions
Gary被逮捕后,其计算机被没收并送至计算机取证实验室。经调查后,执法机关再逮捕一名疑犯Eric,并检取其家中计算机(window 8), 并而根据其家中计算机纪录, 执法机关再于其他地方取得一台与案有关的服务器,而该服务器内含四个硬盘。该服务器是运行LINUX 系统。
由于事件涉及Windows 7,8, LINUX及Mac IOS系统,故取证团队有可能需要使用相关系统之取证工具(105题,105分)
E01 Images
| 1 | 被检取作法证检验的LINUX系统,共有四个硬盘,已经分别被制作为四个E01法证镜像文件(Forensic Images),下列哪个不是它们的MD5哈希值(Hash value)? | |
| A. | 2e4a6afe6b27188480d1b7b10e576f7c | |
| x | B. | c961d814f99d45b3f54e8a1d48be8544 |
| C. | a88e671fc44940620e77a9342d311133 | |
| D. | c961d814f23d45b3f54e6a1d48be8544 | |
| E. | cf5c42018d93c3703f744c646e7f21ae |
| 2 | 上述四个法证镜像文件中,其中有一个法证镜像文件(Forensic Image)内含三个磁盘分区(Partition)。对于第三个(即最后一个)磁盘分区(Partition)而言,下列哪个是其起始磁区(Starting Sector)? | |
| A. | 2048 | |
| B. | 1050624 | |
| C. | 51382271 | |
| x | D. | 51382272 |
| E. | 50331648 |
| 3 | 上述磁盘分区(Partition)共占多少磁区(Starting Sector)? | |
| x | A. | 69924864 |
| B. | 60058404 | |
| C. | 50331648 | |
| D. | 1048576 | |
| E. | 2048 |
| 4 | 在上述第三个(即最后一个)磁盘分区(Partition)当中,储存了一个名为amons.mark的文件,下列哪项为其MD5哈希值(Hash value) | |
| A. | 01daa9fb8d1cc386bffb0c25ff57d7ea | |
| B. | 64394febb8fb82520164645ade7dbaa0 | |
| C. | b69894efe2f03d43d95d98856ea21674 | |
| D. | 74c5d7a6500d63a0308f2fc54a03eb0d | |
| x | E. | 43309465540a069357182af1da438a07 |
| 5 | 在上述第三个(即最后一个)磁盘分区(Partition)当中,储存了一个名为slackware-13.37-install-dvd.iso的文件,下列哪项为其MD5哈希值(Hash value) | |
| A. | 01daa9fb8d1cc386bffb0c25ff57d7ea | |
| x | B. | 64394febb8fb82520164645ade7dbaa0 |
| C. | b69894efe2f03d43d95d98856ea21674 | |
| D. | 74c5d7a6500d63a0308f2fc54a03eb0d | |
| E. | 43309465540a069357182af1da438a07 |
VM-HD1,2,3
RAID
| 6 | 于上述四个法证镜像文件中,有三个硬盘共同组成一个独立磁盘冗余阵列RAID System。以磁区(sector)计算,该阵列(RAID)大小(size)是多少? | |
| A. | 110051100 | |
| B. | 110049052 | |
| C. | 110049053 | |
| x | D. | 120049664 |
| E. | 120049663 |
组raid后,用fdisk -l查看硬盘及分区信息
| 7 | 就该独立磁盘冗余阵列RAID System而言,下列哪项是其建立日期? | |
| A. | 2017-09-05 10:06:55 | |
| B. | 2017-09-06 10:06:55 | |
| x | C. | 2017-09-07 10:06:55 |
| D. | 2017-09-08 10:06:55 | |
| E. | 2017-09-08 10:06:55 |
| 8 | 就该独立磁盘冗余阵列RAID System而言,下列哪项是其UUID? | |
| A. | ae891891:ab1261bf:17f4b1e8:c1adaef6 | |
| B. | ae891891:ac1261bf:27f4b1e8:c1adaef6 | |
| x | C. | ae891891:ad1261bf:37f4b1e8:c1adaef6 |
| D. | ae891891:ae1261bf:57f4b1e8:c1adaef6 | |
| E. | ae891891:af1261bf:67f4b1e8:c1adaef6 |
| 9 | 就该独立磁盘冗余阵列RAID System而言,是使用了下列哪种阵列配置排列(RAID LAYOUT)? | |
| x | A. | left-symmetric |
| B. | right-symmetric | |
| C. | pre-Lie algebra | |
| D. | rooted tree algebras | |
| E. | vertex algebras |
| 10 | 就该独立磁盘冗余阵列RAID System而言,是使用了下列哪种阵列级别(RAID LEVEL)? | |
| A. | RAID 0 | |
| B. | RAID 1 | |
| x | C. | RAID 5 |
| D. | RAID 6 | |
| E. | RAID 1 0 |
LVM
| 11 | 此外,在该独立磁盘冗余阵列RAID System中,内含一个标示为逻辑分卷管理器Logical Volume Manager (LVM) 的磁盘分区(Partition),此分区(Partition)共有多少个磁区(Sector)? | |
| A. | 110051100 | |
| B. | 110049052 | |
| x | C. | 110049053 |
| D. | 120049664 | |
| E. | 120049663 |
磁区=end-start+1
pvdisplay
| 13 | 在该物理卷Physical Volume (PV)中,下列哪个是其仅有的卷组 Volume Group (VG) 名称 ? | |
| A. | vol_vm_guests | |
| x | B. | vol_vm_guest |
| C. | vol_guest | |
| D. | lv_vm1 | |
| E. | lv_vm2 |
| 14 | 下列哪项是该卷组 Volume Group (VG) UUID ? | |
| A. | l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9 | |
| B. | ysHo03-FFL9-0Tfl-zOeO-O7fn-TPzX-2p4mu0 | |
| C. | UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw | |
| x | D. | eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5Ul |
| E. | UGpPyJ-lSUZ-eGJh-aEKV- OMtA-2y0I-yitBi9 |
vgdisplay
| 15 | 该卷组 Volume Group (VG)共有多少个LVM物理区域Physical Extent (PE)? | |
| A. | 50 | |
| B. | 3210 | |
| C. | 3456 | |
| D. | 6666 | |
| x | E. | 6716 |
| 16 | 该卷组Volume Group (VG)共划分了多少个物理区域Physical Extent (PE)用了配置逻辑卷Logical Volume (LV)? | |
| A. | 50 | |
| B. | 3210 | |
| C. | 3456 | |
| x | D. | 6666 |
| E. | 6716 |
| 17 | 该卷组Volume Group (VG)还余下多少个物理区域Physical Extent (PE)未被配置使用? | |
| x | A. | 50 |
| B. | 3210 | |
| C. | 3456 | |
| D. | 6666 | |
| E. | 6716 |
| 18 | 就该卷组Volume Group (VG)而言,每个物理区域Physical Extent (PE)的大小(size)是多少? | |
| A. | 1 MB | |
| B. | 2 MB | |
| C. | 4 MB | |
| x | D. | 8 MB |
| E. | 16 MB |
| 19 | 事实上,该卷组Volume Group (VG) 共配置了两个逻辑卷组Logical Volume (LV),第一个逻辑卷组Logical Volume (LV) UUID是 ? | |
| x | A. | l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9 |
| B. | ysHo03-FFL9-0Tfl-zOeO-O7fn-TPzX-2p4mu0 | |
| C. | UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw | |
| D. | eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5Ul | |
| E. | UGpPyJ-lSUZ-eGJh-aEKV- OMtA-2y0I-yitBi9 |
Lvdisplay
| 20 | 上述第一个逻辑卷组Logical Volume (LV)的名称是什么 ? | |
| A. | /dev/loop0 | |
| B. | vol_vm_guest | |
| C. | vol_guest | |
| x | D. | lv_vm1 |
| E. | lv_vm2 |
| 21 | 上述第一个逻辑卷组Logical Volume (LV)共占据了多少物理区域Physical Extent (PE) ? | |
| A. | 50 | |
| x | B. | 3210 |
| C. | 3456 | |
| D. | 6666 | |
| E. | 6716 |
| 22 | 上述第一个逻辑卷组Logical Volume (LV)的建立时间是什么 ? | |
| A. | 2017-09-06 05:02:16 +0800 | |
| B. | 2017-09-07 05:02:16 +0800 | |
| x | C. | 2017-09-08 05:02:16 +0800 |
| D. | 2017-09-09 05:02:16 +0800 | |
| E. | 2017-09-10 05:02:16 +0800 |
| 23 | 在上述第一个逻辑卷组Logical Volume (LV)当中,储存有一个名为duncan.mark的文件,下列哪项为其MD5哈希值(Hash value)? | |
| A. | 01daa9fb8d1cc386bffb0c25ff57d7ea | |
| x | B. | 8da97369e625574d1d8145d49ca9b61c |
| C. | b69894efe2f03d43d95d98856ea21674 | |
| D. | 74c5d7a6500d63a0308f2fc54a03eb0d | |
| E. | 43309465540a069357182af1da438a07 |
使用dd if=/dev/mapper/vol_vm_guest-lv_vm1 of=/home/you/sdadisk.img创建镜像,导出后在取证大师中加载镜像
| 24 | 在该卷组Volume Group (VG) 共配置了两个逻辑卷组Logical Volume (LV),其中有一个逻辑卷组Logical Volume (LV)是用作运行Ubuntu 系统,该逻辑卷Logical Volume (LV) UUID是 什么? | |
| A. | l87QVT-6IjH-bVea-dM3H-OMtA-2y0I-yitBi9 | |
| B. | ysHo03-FFL9-0Tfl-zOeO-O7fn-TPzX-2p4mu0 | |
| x | C. | UGpPyJ-lSUZ-eGJh-hrny-qPFY-UFUA-DfZ8mw |
| D. | eSpqp3-OwnF-9ari-aEKV-IjRq-KjcY-kLz5Ul | |
| E. | UGpPyJ-lSUZ-eGJh-aEKV- OMtA-2y0I-yitBi9 |
| 25 | 在上述逻辑卷组Logical Volume (LV)当中,储存有一个名为lora.mark的文件,下列哪项为其MD5哈希值(Hash value)? | |
| A. | 01daa9fb8d1cc386bffb0c25ff57d7ea | |
| B. | 8da97369e625574d1d8145d49ca9b61c | |
| C. | b69894efe2f03d43d95d98856ea21674 | |
| x | D. | 74c5d7a6500d63a0308f2fc54a03eb0d |
| E. | 43309465540a069357182af1da438a07 |
同23题
Win8
| 57 | Eric的手提电脑内的虚拟机器己成功取证并制作成法证镜像文件 (Forensic Image),下列哪个是其MD5哈希值。 | |
| A. | 0CFB3A0BB016165F1BDEB87EE9F710C9 | |
| x | B. | F4089F7DA826DF56654C7AAE32D583C2 |
| C. | A0BB016160CFB3A0BB0161661670CFB3 | |
| D. | 16160CFB3A0BB016166A0BB016166167 | |
| E. | FB3A0BB016165 B016166 A0DF7FJE2EJ0 |
| 58 | 根据上述法证镜像文件 (Forensic Image)的显示,Eric是使用的下列哪个虚拟机? | |
| A. | Parallel | |
| B. | Virtual Box | |
| x | C. | VMware |
| D. | KVM | |
| E. | Xen |
| 59 | 根据法证镜像文件(Forensic Image),内有多少个硬盘分区? | |
| A. | 1 | |
| x | B. | 2 |
| C. | 3 | |
| D. | 4 | |
| E. | 5 |
| 60 | 请找出系统文件“SOFTWARE",请问操作系统的安装日期是? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC) | |
| x | A. | 2013-10-17 21:27 UTC |
| B. | 2013-11-14 02:11 UTC | |
| C. | 2017-09-28 06:16 UTC | |
| D. | 2017-10-02 02:10 UTC | |
| E. | 2017-10-03 12:14 UTC |
北京时间-8为UTC时间
| 61 | 用户“IEUSER"的SID是什么? | |
| A. | 500 | |
| B. | 1000 | |
| x | C. | 1001 |
| D. | 1005 | |
| E. | 1007 |
| 62 | 用户“IEUSER"的最后登入日期? | |
| A. | 2013-08-22 | |
| B. | 2017-10-28 | |
| C. | 2017-10-30 | |
| x | D. | 2017-11-01 |
| E. | 2017-11-02 |
| 63 | 硬盘的操作系统是什么? | |
| A. | windows7 | |
| x | B. | windows8 |
| C. | windows10 | |
| D. | Linux Red Hat 7.1 | |
| E. | MAC OS X |
| 64 | 根据执法机关调查所得,Eric曾经对暗网进行资料搜寻,并储存于电脑上。根据Eric 电脑上资料,那些来自暗网(Dark Web)并与洋葱网域(.onion)有关的信息,存放于哪个文件? | |
| x | A. | 好东西 |
| B. | 暗东西 | |
| C. | 坏东西 | |
| D. | 宝贝 | |
| E. | 你的宝贝 |
依据选项搜索关键词“东西”
| 65 | 上述的文件,提及了多少条洋葱网域(.onion)的信息? | |
| A. | 1 | |
| B. | 2 | |
| C. | 3 | |
| x | D. | 4 |
| E. | 5 |
| 66 | Eric 曾在其电脑使用浏览器Chrome,浏览过一些有关“如何学习PHP网页设计”的信息,下列哪项是相关的浏览记录? | |
| x | A. | www.yiyada.com |
| B. | www.hackdig.com/ | |
| C. | www.carbonblack.com | |
| D. | www.antiy.com/ | |
| E. | click.alibabacloud.com/ |
搜索关键词得
| 67 | Eric还曾在其电脑使用浏览器Chrome,搜集过一些有关勒索软件的信息,下列哪项不是相关的浏览记录? | |
| A. | www.hackdig.com/ | |
| B. | click.aliyun.com/ | |
| x | C. | www.carbonblack.com |
| D. | click.alibabacloud.com/ | |
| E. | www.antiy.com/ |
将选项一个个带入搜索
| 68 | 根据执法机关调查所得,Eric更在上述其中一个网站下载了相关的勒索软件信息,是一份名为“揭开勒索软件的真面目”的文件。根据Eric电脑记录,是从哪个网站下载的? | |
| A. | www.hackdig.com/ | |
| B. | click.aliyun.com/ | |
| C. | www.carbonblack.com | |
| D. | click.alibabacloud.com/ | |
| x | E. | www.antiy.com/ |
搜索关键词“揭开勒索软件的真面目”
| 69 | 续上题,该份名为“揭开勒索软件的真面目”文件的MD5哈希值(Hash value)是什么? | |
| A. | 9110c96baa70c00acd8fbdfe2dc7c397 | |
| B. | 0258646764b1cb36ca2570090062b65c | |
| C. | ce38881d8f63a00973e6324bc1bf9245 | |
| D. | 703899985d881e2d103eb4fd1306be2e | |
| x | E. | 84af8511ca9a66e79cfb28da0da2ee76 |
根据上题找到ransomware.pdf
| 70 | Eric 曾在其电脑制造勒索网站,下列哪项是相关网站的首页位置? | |
| A. | \Windows\C&C\ | |
| x | B. | \xampp\htdocs\C&C\ |
| C. | \xampp\apache\C&C\ | |
| D. | \xampp\httpd\C&C\ | |
| E. | \inetpub\wwwroot\C&C\ |
逐个搜索选项,发现只有B符合
| 71 | Eric 曾经收过一封有关mantech.mooo.com信息之电邮,标题为"你的东西到了",根据Eric计算机记录,下列那个是发信人电邮地址之域名(Domain Name)? | |
| x | A. | guerrillamail.com |
| B. | guerrillomail.com | |
| C. | guerrillbmail.com | |
| D. | guerrillcmail.com | |
| E. | guerrilldmail.com |
| 72 | 该封有关mantech.mooo.com信息的电邮,曾提及一个密码(Password),是什么? | |
| A. | Fewer@4 | |
| B. | Much@5 | |
| C. | Less@6 | |
| x | D. | More@6 |
| E. | Echo@7 |
| 73 | 该封有关mantech.mooo.com信息的电邮,曾提及其相关连接埠,是多少? | |
| A. | 11000及18000 | |
| B. | 10800及18000 | |
| C. | 16000及18000 | |
| D. | 17000及18000 | |
| x | E. | 17001 及18000 |
| 74 | 此外,亦有另一封有关mantech.mooo.com信息之电邮,曾提及一个云盘,而其相关端口,是多少? | |
| x | A. | 8000 |
| B. | 8001 | |
| C. | 9000 | |
| D. | 9002 | |
| E. | 11000 |
| 75 | Eric 曾经收过一封标题“你要的宝贝到了”的电邮,根据Eric电脑记录,下列哪个是发信人电邮地址(不包括域名)? | |
| x | A. | 8xhbjn+3u2w1yitqmaws |
| B. | 8xhbjn+3u2w1yitqmows | |
| C. | 8xhbjn+3u2w1yitqmbws | |
| D. | 8xhbjn+3u2w1yitqmsws | |
| E. | 8xhbjn+3u2w1yitqmtws |
| 76 | 上述该封标题“你要的宝贝到了”的电邮,附有一个电邮附件,详述了如何编写勒索软件。有关资料的提供者是谁? | |
| A. | Dave Ken | |
| x | B. | Amit Serper |
| C. | Amit Perper | |
| D. | Chris Kennedy | |
| E. | David Kennedy |
宝贝.zip文件是加密的,爆破得密码23456
| 77 | 上述电邮附件,还提及过编写勒索软件相关原始码(Program Code),其中显示Advanced Encryption Standard (AES)加密方法字眼的图片,其MD5哈希值(Hash value)是什么? | |
| A. | a93a6572335e37863f5d611293c6660 | |
| B. | 95c60bbc1cb267f85e51f99c2c9646f5 | |
| x | C. | 0e20d5f091eac98f6e196dcda2c73837 |
| D. | ee2b59e91e829e3b3d350d8c14306dcb | |
| E. | f4b881e8a08d4bd40c5ee96ab3580bc8 |
| 78 | 在个人竞赛中,Gary曾经收到一封来自电邮帐号 eric_wang99@outlook.com 的电邮,附加有三张与Apple iCloud有关的钓鱼网站相片。现经执法机关调查后,得知此电邮的发信人就是Eric。在Eric的电脑中,在哪位置可以找到电邮? | |
| A. | \Users\IEUser\AppData\Roaming\Thunderbird\Profiles\szoyi44h.default\ImapMail\imap-mail.outlook.com\Sent-1\网站价钱\ | |
| x | B. | \Users\IEUser\AppData\Roaming\Thunderbird\Profiles\szoyk44h.default\ImapMail\imap-mail.outlook.com\Sent-1\网站价钱\ |
| C. | \Users\IEUser\AppData\Roaming\Thunderbird\Profiles\szoyl44h.default\ImapMail\imap-mail.outlook.com\Sent-1\网站价钱\ | |
| D | \Users\IEUser\AppData\Roaming\Thunderbird\Profiles\szoym44h.default\ImapMail\imap-mail.outlook.com\Sent-1\网站价钱\ | |
| E. | \Users\IEUser\AppData\Roaming\Thunderbird\Profiles\szoyn44h.default\ImapMail\imap-mail.outlook.com\Sent-1\网站价钱\ |
搜索“网站价钱”,再跳转源文件得
| 79 | 续上题,在Eric的电脑中,在哪位置可以找到上述钓鱼网站资料? | |
| A. | \inetpub\wwwroot\itunes\itones\ | |
| B. | \inetpub\wwwroot\itunes\itenes\ | |
| C. | \inetpub\wwwroot\itunes\itanes\ | |
| x | D. | \inetpub\wwwroot\itunes\itunes\ inetpub是iis的安装有关 |
| E. | \inetpub\wwwroot\itunes\itumes\ |
搜索inetpub\wwwroot\itunes得
| 80 | Eric电脑储存了一个icloud 数据库供上述钓鱼网站所使用,根据相关记录,有多少IP地址是“登陆成功”? | |
| A. | 13 | |
| B. | 14 | |
| C. | 15 | |
| x | D. | 16 |
| E. | 17 |
在数据库文件中找到,导出后查看即可
| 81 | 根据执法机关调查所得,Eric是使用一个文件传输软件,进行网上远端文件存取,以逃避执法机关追查。下列哪个是相关软件。 | |
| A. | vsftp | |
| B. | gftp | |
| C. | ProFTP | |
| x | D. | Filezilla |
| E. | Fire-FTP |
在安装软件中查找
| 82 | 上述文件传输软件相关的传输日志是储存在哪里? | |
| x | A. | Users\IEUser\Pictures\log\ |
| B. | Users\IEUser\Documents\ | |
| C. | Users\IEUser\Pictures\log\ | |
| D. | Users\IEUser\Music\ | |
| E. | Program Files\ |
搜索每个选项得
| 83 | 根据上述相关文件的传输日志显示,能成功登入的用户,有以下哪个用户? (请选择其中一项) | |
| i | amons | |
| ii | duncan | |
| iii | lora | |
| iv | warrior | |
| v | eric | |
| A. | i 及 ii | |
| B. | i, iii及 v | |
| C. | i, iv及 v | |
| x | D. | i, iii 及 iv |
| E. | 只有iv |
导出文件后搜索
| 84 | 根据上述成功登入的日志记录,该传输服务器的网址是什么? (请选择其中一项) | |
| A. | http://mantech.mooo.com:8000 | |
| B. | http://mantech.mooo.com:9000 | |
| C. | http://mantech.mooo.com:17001 | |
| D. | http://mantech.mooo.com:18000 | |
| x | E. | http://mantech.mooo.com:18001 |
文件内搜索mantech.mooo.com
| 85 | 根据上述相关文件的传输日志显示,能成功从服务器下载文件的用户,是以下哪个用户? | |
| x | A. | amons |
| B. | duncan | |
| C. | lora | |
| D. | warrior | |
| E. | eric |
文件内搜索“下载”
| 86 | 根据上述相关文件的传输日志显示,用户是使用了什么传输网址最后成功从服务器下载文件? | |
| A. | http://mantech.mooo.com:8000 | |
| x | B. | http://mantech.mooo.com:9000 |
| C. | http://mantech.mooo.com:17001 | |
| D. | http://mantech.mooo.com:18000 | |
| E. | http://mantech.mooo.com:18001 |
| 87 | 根据Eric电脑的浏览网页记录,他是何时浏览私有云盘http://mantech.mooo.com:8000? | |
| A. | 2017-10-29 | |
| x | B. | 2017-10-30 |
| C | 2017-10-31 | |
| D. | 2017-11-01 | |
| E. | 2017-11-02 |
直接搜索http://mantech.mooo.com:8000
Win8 – Memory(内存取证)
| 88 | 执法机关曾在Eric的电脑进行现场搜证并检取其虚拟内存,放在下列位置中: Users\IEUser\Desktop\RAM\ , 文件名称:Memory.vmem。下列哪项是其MD5哈希值? | |
| A. | 3A70A392F8FF1DE83F8CAE94C4E71427 | |
| B. | 5F1BDEB87EE9F710C90CFB3A0BB01616 | |
| C. | F68778AE77C4E4B88212B179C4622FC4 | |
| D. | 16160CFB3A0BB016166A0BB016166167 | |
| x | E. | FD3AFD63F34F167EAD59CD66B08ADEBF |
| 89 | 在该段内存中,共运行了多少个进程(以独立程序ID计算)? | |
| A. | 16 | |
| B. | 25 | |
| C. | 48 | |
| x | D. | 54 |
| E. | 62 |
用取证大师内存解析工具得
| 90 | 就进程w3wp.exe而言,下列哪项是该程序产生次序? | |
| A. | wininit.exe >services.exe > w3wp.exe > svchost.exe | |
| B. | smss.exe >services.exe > svchost.exe > w3wp.exe | |
| x | C. | wininit.exe >services.exe > svchost.exe > w3wp.exe |
| D. | csrss.exe >> svchost.exe > services.exe > w3wp.exe | |
| E. | System >services.exe > svchost.exe > w3wp.exe |
依次找到进程看父进程编号即可推导
| 91 | 根据调查资料,Eric总是使用filezilla软件上传/下载文件。filezilla的程序ID是什么? | |
| A. | 4 | |
| B. | 780 | |
| C. | 820 | |
| x | D. | 3096 |
| E. | 3228 |
| 92 | 上述filezilla进程的父程序(Parent PID) 是什么? | |
| A. | 516 | |
| B. | 1536 | |
| C. | 1676 | |
| D. | 2284 | |
| x | E. | 3124 |
| 93 | 你知道程序ID:3932是什么进程(process)吗? | |
| A. | winlogon.exe | |
| x | B. | QQBrowser.exe |
| C. | QQProtect.exe | |
| D. | svchost.exe | |
| E. | chrome.exe |
| 94 | 请从该段内存中提取(Extract)上述filezilla进程的原来执行档 - filezilla.exe文件,并计算其md5哈希值(hash value)。下列哪行是该md5哈希值? | |
| A. | 43502d07de3d31f05f1623b76c47a58e | |
| x | B. | 7cac848d4a36e5c5d3773b4cd213fab4 |
| C. | 2717eae9129e3943d33c639825654425 | |
| D. | 98eb240853589172c82e3d7935e9b7ba | |
| E. | 147fc1da6b0a752be633dcb20553450 |
此题运用kali自带的Volatility
首先查看内存的Profiles
再查找filezilla.exe
最后导出并计算哈希
| 95 | 根据上述的取回的文件filezilla.exe,它在执行时会呼叫多少个动态连结函式库(Dynamic Linked Library)? | |
| A. | 32 | |
| B. | 56 | |
| C. | 73 | |
| x | D. | 82 |
| E. | 98 |
| 96 | 在Eric的电脑中,还储存有一个同名的文件filezilla.exe,你能找到该文件的md5哈希值(hash value)吗? | |
| A. | 43502d07de3d31f05f1623b76c47a58e | |
| B. | 7cac848d4a36e5c5d3773b4cd213fab4 | |
| x | C. | 2717eae9129e3943d33c639825654425 |
| D. | 98eb240853589172c82e3d7935e9b7ba | |
| E. | 147fc1da6b0a752be633dcb20553450 |
| 97 | 该段内存中有多少个连接埠与svchost.exe 有关? | |
| A. | 3 | |
| B. | 4 | |
| C. | 5 | |
| D. | 6 | |
| E. | 7 |
A
