😋大家好，我是YAy_17，是一枚爱好网安的小白，正在自学ing。

本人水平有限，欢迎各位大佬指点，一起学习💗，一起进步⭐️。

⭐️此后如竟没有炬火，我便是唯一的光。⭐️

2018年美亚杯电子数据取证大赛-团体赛

第A部份 (第 1 至 12 题) : 根据镜像文件 "c2server.E01" 的内容，回答关于黑客控制的命令服务器(C&C服务器)的问题。

根据镜像文件 "IT_Notebook.E01" 的内容，回答关于荣科数码(RKD)的笔记本计算机的问题。

第C部份 (第 43 至 54 题) : 根据镜像文件 "Streaing Server.E01" 的内容，回答关于荣科数码(RKD)的流媒体服务器的问题。

第D部份 (第 55 至 84 题) : 根据镜像文件，其文件名为 "RongkeDatabaseD1.E01", "RongekeDatabaseD2.E01", "RongekeDatabaseD3.E01" 的内容，回答关于荣科数码(RKD)的数据库服务器的问题。注意: 该系统时区未被正确设定，记录文件(log)内的时间较实际时间快16小时，且没有连结互联网。

第E部份 (第 85 至 95 题) : 法证人员曾在Victor的计算器现场作现场取证，并使工具获取其内存镜像。该内存镜像文件名为 "victor_PC_memdump.dmp"，请使用该档案作内存数据分析并回答下列问题:

第F部份 (第 96 至 120 题) : 关于手机取证的问题根据一个“三星SM-N9005 Galaxy Note 3＂的手机镜像文件 "DumpData.bin" 的内容，回答下述手机取证问题。 (该文件是由Cellebrite Physical Extraction采集而来的。)

2018年美亚杯电子数据取证大赛-团体赛

第A部份 (第 1 至 12 题) : 根据镜像文件 "c2server.E01" 的内容，回答关于黑客控制的命令服务器(C&C服务器)的问题。

1. [单选题] 1.黑客控制的命令服务器(C&C服务器)是什么版本的系统? (1分)
A. CentOS 7
B. CentOS 6
C. Ubuntu 18.04
D. Ubuntu 16.04
E. Ubuntu 14.04

使用取证大师加载镜像文件“c2server.E01”，查看系统信息：

2. [单选题] 2.该C&C服务器 /dev/sda1 的通用唯一标识符 (UUID) 是什么? (1分)
A. a69c799c-7f0e-4191-9748-66a7e6bc37ad
B. 35a727cd-4440-438f-b3dd-0f82d37f8c0e
C. ec593f12-e418-492d-97af-b804b8208d99
D. 4fce5b91-e899-4807-882f-78c9bcfa66e5
E. 07febb97-674c-4cae-803c-19ce92024ce

通过火眼仿真软件，进行仿真；

当然还可以使用命令nl /etc/fstab；通用唯一标识符(UUID)就存放在这个文件中；

通用唯一标识符：(用于识别分区的唯一标识符，本身也是磁盘分区的属性)

3. [单选题] 3.系统的时区设定是什么? (1分)
A. Asia/Macao
B. Asia/Hong_Kong
C. Hongkong
D. GMT
E. Etc/GMT+8

时区信息不仅可以通过取证大师查找，还可以进入仿真系统之后使用nl /etc/timezone

时区信息存放在文件/etc/timezone中；

4. [单选题] 4.黑客曾上传受害公司荣科数码(RKD)文件到C&C服务器，上传方式包括: (i)ftp (ii)ssh (iii)telnet (1分)
A. (i)
B. (ii)
C. (iii)
D. (i) and (ii)
E. (ii) and (iii)

这里我只是找到了，黑客通过FTP上传victor的个人数据；

后续通过学习Linux取证：首先在Linux中常用的文件传输协议主要是FTP和SSH，其中的Telnet是用于远程登录，而不是文件传输；

之后查看Linux的历史命令（历史命令存放在/root/.bash_history）

包括后续还有很多的命令，由此判断使用的是FTP；

5. [单选题] 5.黑客曾使用哪一个文件传输协议(FTP)服务账户，用作登入C&C服务器上传档案? (1分)
A. upload
B. C&C
C. ftpuser
D. root
E. rdkuser

查看ftp的日志文件，存放在/var/log/pure-ftpd/下面的transfer.log文件中；

由上面的图示，可以做出5、9两个题目；

6. [单选题] 6.接上题，C&C服务器中使用了哪个系统账户用作使用文件传输协议(FTP)服务? (1分)
A. upload
B. C&C
C. ftpuser
D. root
E. rdkuser

新增一个用户ftpuser，加入组为ftpgroup组，用作使用upload文件传输协议；

7. [单选题] 7. 根据黑客上传的档案，你能找到荣科数码路由器的物理地址(Mac Address)是什么? (1分)
A. A0:B4:A5:E6:86:23
B. EC:1A:59:50:F9:02
C. 74:EA:3A:A3:0D:46
D. 8C:0D:76:B0:69:5C
E. 14:91:82:73:6D:FD

由上面的图，我们可以发现黑客一直在对/home/c2/FTP文件夹下进行操作，我们可以去看看：

包括下面还有tools、wifi文件夹；arp.txt文件中存在着如下的内容：

ip.txt文件中存在着：

默认网关为：192.168.7.1，这也就是路由器的IP地址，再对照上面arp.txt可以得到最终的物理地址；

8. [单选题] 8.黑客在使用什么软件以暴力破解法取得 Wifi的密码? (1分)
A. Wireshark
B. Fern WiFi Wireless Cracker
C. Kismet
D. Aircrack-ng
E. WepAttack

因为我们还发现了wifi这个文件夹嘛，看看里面有什么，发现了三张图片：

9. [单选题] 9.黑客在什么时候将网络摄录镜头的配置文件cam_config_backup.bin上载到C&C服务器? （答案格式－“本地时间＂：YYYY-MM-DD HH:MM:SS +8） (1分)
A. 2018-11-01 15:13:17 +8
B. 2018-11-01 17:14:26 +8
C. 2018-11-01 17:18:07 +8
D. 2018-11-01 17:18:24 +8
E. 2018-11-01 17:18:28 +8

上面第五题说过这个题目了；

10. [单选题] 10.哪一个网络地址(IP Address)可追查黑客的位置? (1分)
A. 192.168.7.12
B. 218.255.242.113
C. 218.255.242.117
D. 220.246.55.13
E. 220.246.55.160

查看ftp日志，上面的题目已经诉说了ftp的日志文件存在于何处；

经过搜索，上面的ABCD选项是直接搜索不到的；

11. [单选题] 11.在命令控制服务器(C&C服务器)中找出从数据库服务器盗取的数据档案,该档案包含多少个数据库? (1分)
A. 1
B. 2
C. 3
D. 4
E. 5

目前这个题目还不会做

12. [单选题] 12.接上题,从该数据库寻找到受害人林胜"Victor"的顾客资料及交易数据是否存在，以及包含以下属于他的什么数据： (i)电邮地址 (ii)信用卡号码 (iii)身份证号码 (1分)
A. (i)
B. (ii)
C. (i) (ii)
D. (i) (ii) (iii)
E. 没有该数据存在

后面的两个题目是比较难的，首先我们知道了黑客操作的文件夹是/home/c2/FTP这个文件夹，我们继续看看文件夹中还有什么没有看到，发现了一张图片：

这张图片的大小有点问题，使用winhex去看一下；

FF D8 FF E0是jpg文件的头部，那我们搜索一下他的尾部 FF D9（这里搜索到三处，最后一处的后面十六进制为1F8B0800这是gzip文件的头部）

那么之后我们的操作便是将前面的十六进制的内容全部删除，将剩下的gzip文件保存下来，看看gzip文件中存在着什么，将保存下来的gzip文件进行解压，又发现了一个HACK文件，再次使用winhex进行查看：

之后使用notepad进行搜索：

看到这里database：business，便可以得到一个数据库；

接着在文件中搜索电子邮箱的关键字.com发现文件中是存在着电子邮箱的；同样也是有着信用卡的；之后搜索身份证号，需要使用正则匹配：

发现是不存在身份证的；

根据镜像文件 "IT_Notebook.E01" 的内容，回答关于荣科数码(RKD)的笔记本计算机的问题。

13. [单选题] 13.荣科数码(RKD)的笔记本计算机，其操作系统共有多少个可登录用户？ (1分)
A. 1
B. 2
C. 3
D. 4
E. 5

将分区4进行卷影分析，得到分区6、7，在分区6中的key文件夹中得到了bitblocker：

将分区5进行Bitlocker解密，重新取证得到：

存在两个可以登录的用户；

14. [单选题] 14.该笔记本计算机硬盘的第5分区为Bitlocker加密盘，寻找相关的恢复密钥。该密钥最后一组数字为？ (1分)
A. 405579
B. 236947
C. 663058
D. 193194
E. 231904

恢复密钥为：377014-431563-666281-526955-516230-430353-038973-663058

15. [单选题] 15.该笔记本计算机硬盘的操作系统是什么？ (1分)
A. 视窗XP 专业版
B. 视窗7 企业版
C. 视窗8 家用版
D. 视窗10 专业版
E. Linux Ubuntu 18.04 LTS

16. [单选题] 16.黑客是通过什么方式入侵该笔记本计算机的操作系统？ (1分)
A. 远程桌面暴力破解(RDP Brute Force)
B. 病毒感染入侵
C. 操作系统漏洞入侵
D. 分布式拒绝服务入侵(DDoS)
E. SQL注入漏洞入侵

查看登录日志，发现了大量的登陆失败的记录，因此判断是远程桌面暴力破解；

17. [单选题] 17.接上题，黑客是通过哪个网络地址(IP Address)入侵该荣科数码的操作系统？ (1分)
A. 192.168.7.11
B. 192.168.7.12
C. 192.168.7.16
D. 192.168.7.102
E. 192.168.7.103

由上题得到，黑客通过远程桌面进行登录，之后通过用户痕迹->远程桌面->连接成功记录得到：

18. [单选题] 18.接上题，黑客首次成功入侵该操作系统的日期时间？（答案格式－“本地时间＂：YYYY-MM-DD HH:MM:SS +8） (1分)
A. 2018-10-25 16:18:44 +8
B. 2018-11-01 15:23:07 +8
C. 2018-11-01 15:31:42 +8
D. 2018-11-01 15:36:51 +8
E. 2018-11-01 17:42:08 +8

事件ID为“4624”为登陆成功；

19. [单选题] 19.接上题，黑客用于入侵该操作系统的工作站名称？ (1分)
A. RKD-OFFICE
B. BLACK-I
C. WIN-H6OUSLN5PIH
D. ANONYMOUS
E. RKD-GUEST

20. [单选题] 20.黑客在该笔记本计算机的Windows资源管理器(Windows Explorer)中曾搜寻过的文字？ (1分)
A. iexplorer, password, login
B. user, password, security
C. s, documents, excel
D. login, password, ipcam
E. password, iexplorer, s

在Windows引擎搜索记录中查找到如下结果：

21. [单选题] 21.入侵该笔记本计算机后，黑客透过命令提示符(cmd)执行某些命令，紧接生成了什么文件？ (1分)
A. ip.txt
B. arp.txt
C. netscan.txt
D. ip.txt, arp.txt
E. ip.txt, arp.txt, netscan.txt

22. [单选题] 22.从笔记本计算机中，寻找黑客的命令控制服务器(C&C服务器)的网络位置？ (1分)
A. 220.246.55.208
B. acdn.adnxs.com
C. 3a95a35cd6b35f714120f210c0ac0c10.clo.footprintdns.com
D. code.jquery.com
E. 220.246.55.212

搜索选项；

23. [单选题] 23.黑客在该笔记本计算机系统通过什么形式链接命令控制服务器(C&C服务器)？ (1分)
A. FTP
B. SSH
C. TELNET
D. HTTP
E. SFTP

由上题得到通过FTP形式连接命令；

24. [单选题] 24.黑客从命令控制服务器(C&C服务器)下载过什么档案到该笔记本计算机？ (1分)
A. putty-64bit-0.70-installer.msi
B. iepv.zip
C. WinSCP-5.13.4-Setup.exe
D. mimikatz_trunk.7z
E. 以上皆是

25. [单选题] 25.黑客从笔记本计算机的网络浏览器Internet Explorer下载过什么档案？ (1分)
A. netscan_portable.zip
B. 7z1805-x64.exe
C. mimikatz_trunk.zip
D. mimikatz_trunk.7z
E. 以上皆是

26. [单选题] 26.黑客入侵该笔记本计算机系统后，曾安装过什么软件？ (1分)
A. 7-Zip
B. WinSCP
C. PuTTY
D. Mimikatz
E. SoftPerfect Network Scanner

根据黑客入侵计算机的时间去推算，安装的软件为7Z

27. [单选题] 27.在笔记本计算机中，黑客执行程序\Users\Administrator\Desktop\netscan_portable\64-bit\netscan.exe的具体时间？（答案格式－“本地时间＂：YYYY-MM-DD HH:MM:SS +8） (1分)
A. 2018-11-01 16:07:12 +8
B. 2018-11-01 16:16:49 +8
C. 2018-11-01 16:04:34 +8
D. 2018-11-01 17:25:12 +8
E. 以上皆不是

28. [单选题] 28.2018年11月1日16:06，在笔记本计算机中有多少个关于网络信息的档案被黑客建立？ (1分)
A. 1
B. 2
C. 3
D. 4
E. 5

这里我们还记得在检材一中，存在着好多关于网络的文件，例如arp.txt、ip.txt等等；这些文件都是黑客上传的，所以在他的本地就很有可能存在这个这些文件，我们直接进行搜索：

29. [单选题] 29.在笔记本计算机中，黑客执行程序\Users\Administrator\Desktop\iepv\iepv.exe的具体时间？（答案格式－“本地时间＂：YYYY-MM-DD HH:MM:SS +8） (1分)
A. 2018-11-01 16:07:12 +8
B. 2018-11-01 16:09:07 +8
C. 2018-11-01 16:17:51 +8
D. 2018-11-01 16:18:18 +8
E. 以上皆非

30. [单选题] 30.接上题，执行程序iepv.exe涉及什么dll文件？ (1分)
A. NTDLL.DLL
B. MSVCRT.DLL
C. BCRYPTPRIMITIVES.DLL
D. WINDOWS.STORAGE.DLL
E. 以上皆是

这个题目需要将iepv在本地进行测试，（记得关闭杀软）使用DependencyWork去搞；

31. [单选题] 31.接上题，紧接程序iepv.exe执行后，有什么档案被建立，该档案哈希值(MD5)为？ (1分)
A. EDCE37A107A0D661D6B2ABD3449A156E
B. FE26492B12917DFE1B5A65252B8B4798
C. E23B7F04247A927E6EB98C26200135E1
D. B3C9312AC745F20F936577D426456AD8
E. E0836588DA17DA632B82CC2FDDE59E98

这个题直接使用取证大师->设置->哈希库->建立文件夹->增加哈希类型,将选项中的md5哈希值加入，之后便是“工具”->哈希值比对;最终得到了如下的7个文件，这里没有去仔细的看，直接找到iepv_sites.txt文件，看他的md5值：其实就是选项中的A。结果选错了；

看到上面的这些匹配到的可疑文件，大概就是锁定两个文件，iepassword.txt和iepv_sites.txt这两个文件，之后看了这两个文件的创建时间，其实就可以锁定答案是iepassword.txt，对应的md5的值就是C；

32. [单选题] 32.在笔记本计算机中，黑客曾执行程序\Users\Administrator\Downloads\mimikatz_trunk\x64\mimikatz.exe多少次？ (1分)
A. 2
B. 3
C. 4
D. 5
E. 6

33. [单选题] 33.接上题，执行上述mimikatz.exe后，黑客曾经输入了什么命令符？ (1分)
A. debug, logonpasswords
B. logon, passwords
C. privilegE：:debug, sekurlsA：:logonpasswords
D. privilegE：:logon, sekurlsA：:passwords
E. 以上皆不是

查看mimikatz的日志文件：

34. [单选题] 34.接上题，mimikatz.exe执行上述命令符后，哪项信息可被黑客用作破解该系统其他用户的密码？ (1分)
A. NTLM: e19ccf75ee54e06b06a5907af13cef42
B. NTLM: 059b6a3134dd40d5543c59da1e10c664
C. SHA1: 9131834cf4378828626b1beccaa5dea2c46f9b63
D. SHA1: 116f90c6089215de0d7f4f530c9276f75a6c5209
E. 以上皆不是

35. [单选题] 35.接上题，续上述mimikatz的结果，该密码长度为多少字符？ (1分)
A. 6
B. 7
C. 8
D. 9
E. 以上皆不是

将上述的NTLM值进行解密得到：iloveu2

36. [单选题] 36.在笔记本计算机中，黑客是否使用网络浏览器进入过荣科数码的网络摄像机(IP Camera)进行浏览？如进入过，具体日期及时间为？（答案格式－“本地时间＂：YYYY-MM-DD HH:MM:SS +8） (1分)
A. 没有
B. 2018-11-01 16:02:37 +8
C. 2018-11-01 16:09:30 +8
D. 2018-11-01 17:17:14 +8
E. 以上皆不是

只是找到了时间最接近的；

37. [单选题] 37.在笔记本计算机中，除网络浏览器外，黑客还通过什么软件入侵网络摄像机(IP Camera)？ (1分)
A. WinSCP
B. FileZilla
C. PuTTY
D. 命令提示符(CMD)
E. 档案总管

直接搜索

38. [单选题] 38.在笔记本计算机中，黑客从网络摄像机提取了1个档案到该系统硬盘，该档案的哈希值(MD5)为？ (1分)
A. 79985D36B7A860473AA19A0B82B4747E
B. CA47E27329203C266372D04475DB2C57
C. B6C75B8D8C99C35973ECF55C4C345F51
D. C28983B21CA6558D00806CCBDCA5D502
E. BBB0C766E5F65DB23F5F317738FDBCB5

还记得之前的CC服务器上的日志中，存在着一个文件：

搜索一下这个文件 cam_config_backup.bin ,然后将文件导出：计算md5即可；

39. [单选题] 39.接上题，分析上述从网络摄像机提取的档案，除账户admin外还有什么登陆账户发现？ (1分)
A. user
B. public
C. guest
D. user, guest
E. user, public

将之前 cam_config_backup导出，打开直接在文件中去检索即可，便能够找到user、guest；

40. [单选题] 40.接上题，网络摄像机可以透过什么方式链接多流媒体服务器？ (1分)
A. SFTP
B. TELNET
C. SSH
D. FTP
E. 以上皆不是

同样在上面的文件中进行搜索：

41. [单选题] 41.在笔记本计算机中，黑客曾经使用系统的记事本(Notepad)最后开启的一个文件名称为? (1分)
A. config_alarm.ini
B. config_3thddns.ini
C. readme.txt
D. desktop.ini
E. 以上皆不是

这个A B时间都是一样的是什么鬼啊？这个不太会，美亚的老师说去仿真，我仿真也没找到...

42. [单选题] 42.在笔记本计算机中，黑客最后把被入侵用户桌面的档案全部删除，具体删除的日期时间是？（答案格式－“本地时间＂：YYYY-MM-DD HH:MM:SS +8） (1分)
A. 2018-11-01 15:32:46 +8
B. 2018-11-01 15:34:29 +8
C. 2018-11-01 17:32:29 +8
D. 2018-11-01 17:43:09 +8
E. 以上皆不

删除档案的时间肯定是在连接期间，那么连接成功的时间如下：

断开连接的时间如下：

那么最终删除档案的时间推断为 2018-11-01 17:32:29 +8

第C部份 (第 43 至 54 题) : 根据镜像文件 "Streaing Server.E01" 的内容，回答关于荣科数码(RKD)的流媒体服务器的问题。

43.荣科数码(RKD)的流媒体服务器的主机名称是什么? (1分)
A. pi
B. Streaming Service
C. C&C Server
D. RKD
E. raspberrypi

主机名：/etc/hostname文件中：取证大师中搜索hostname，将其导出：

44. [单选题] 44.黑客首次进入流媒体服务器的时间是什么? （答案格式－“世界协调时间＂：YYYY-MM-DD HH:MM UTC） (1分)
A. 2018-11-01 16:17
B. 2018-11-01 08:34
C. 2018-11-01 08:17
D. 2018-11-01 01:17
E. 2018-11-01 00:42

这个不会做，美亚杯的老师说要仿真，但是也没仿真，我仿真不起来；

45. [单选题] 45.下面哪一个是流媒体服务器 "eth0" 的网络地址(IP Address)? (1分)
A. 10.0.4.10
B. 10.0.4.15
C. 192.168.7.11
D. 192.168.7.12
E. 192.168.7.103

关于linux系统的取证，我感觉上来就是看history比较方便，也比较有好处，对我们的取证会很有帮助；就直接导出history：

46. [单选题] 46.下面哪一个是流媒体服务器 "wlan0" 的网络地址(IP Address)? (1分)
A. 10.0.4.10
B. 10.0.4.15
C. 192.168.7.11
D. 192.168.7.12
E. 192.168.7.103

在历史命令中发现了一个文件./tmp/nmap，之后我去看了这个文件但是没找到，不过在./tmp目录下面发现了ip这个文件，便发现了wlan0的网络地址：

47. [单选题] 47.下面哪一个是流媒体服务器曾经同步时间的网络时间协议(NTP)服务器的网络地址(IP Address)? (1分)
A. 192.168.7.1
B. 10.0.4.1
C. 110.115.125.123
D. 203.95.213.129
E. 220.246.55.208

这里需要看的是syslog文件，直接搜索syslog文件，将其导出到本地，在该文件中搜索NTP：

48. [单选题] 48.在流媒体服务器中，根据账户"pi"的指令记录，黑客首次输入指令 "cat /etc/shadow" ，他从中获得了什么信息? (1分)
A. 流媒体服务器内的用户名称
B. 流媒体服务器内的用户密码
C. 流媒体服务器内的用户密码更换日期
D. 流媒体服务器的网络位置
E. 因没有权限，什么信息也得不到

这里先通过cat进行了查看，但是下面的一句就是提升权限；所以我们判断就是没有权限；

49. [单选题] 49.在流媒体服务器中，账户"pi"曾在流媒体服务器安装了什么软件? (i) nmap (ii) arp-scan (iii) bind9 (1分)
A. (i)
B. (ii)
C. (iii)
D. (i)、(ii) and (iii)
E. (ii) and (iii)

以上的都被安装过；

50. [单选题] 50.为什么黑客在流媒体服务器安装 "bind9"? (1分)
A. 为取得流媒体服务器 "root" 的权限
B. 为记录键盘的记录
C. 为截取网络上的数据包
D. 为提供域名系统服务(DNS)
E. 为扫描网络中其他计算机的网络位置

百度搜索bind9是干什么用的即可；

51. [单选题] 51.黑客把C&C服务器下载的档案sys.c放置在数据库服务器哪一个位置? (1分)
A. /
B. /home/
C. /home/root/
D. /home/rongke/
E. /home/auxsup/

这里我是在历史命令中看到的：

52. [单选题] 52.为什么黑客能够连接网路 10.0.4.0/24 ? (1分)
A. 因为此网路连接了互联网
B. 因为路由器中的访问控制列表(Access Control List)没作出限制
C. 因为流媒体服务器同时接驳了互联网及上述网路
D. 因为网络摄影机同时接驳了互联网及上述网路
E. 以上皆不是

53. [单选题] 53.黑客在流媒体服务器加入了多少条防火墙规则? (1分)
A. 0
B. 1
C. 2
D. 3
E. 4

关于防火墙，一般是使用iptables进行搜索：我这里还是使用了历史命令文件；

54. [单选题] 54.在流媒体服务器中，黑客何时在删除档案 "HACK.jpg"? （答案格式－“本地时间＂：YYYY-MM-DD HH:MM:SS +8） (1分)
A. 2018-11-01 09:09:15 +8
B. 2018-11-01 17:12:40‌ +8
C. 2018-11-01 17:15:02 +8
D. 2018-11-02 09:09:15 +8
E. 2018-11-02 17:15:02 +8

这里直接进行搜索即可；

第D部份 (第 55 至 84 题) : 根据镜像文件，其文件名为 "RongkeDatabaseD1.E01", "RongekeDatabaseD2.E01", "RongekeDatabaseD3.E01" 的内容，回答关于荣科数码(RKD)的数据库服务器的问题。注意: 该系统时区未被正确设定，记录文件(log)内的时间较实际时间快16小时，且没有连结互联网。

(关于Raid的题目，我不太会，并没有进行仿真，这里只是听了美亚杯培训老师的讲解，记了一下笔记)

55.荣科数码(RKD)的数据库服务器有多少个磁盘冗余数组(RAID)的虚拟块设备Multiple Devices(md)? (1分)
A. 0
B. 1
C. 2
D. 3
E. 4

56. [单选题] 56.该数据库服务器设有多少个卷组（VG）、逻辑卷（LV）？ (1分)
A. 一个卷组、两个逻辑卷
B. 两个卷组、两个逻辑卷
C. 两个卷组、三个逻辑卷
D. 三个卷组、三个逻辑卷
E. 三个卷组、四个逻辑卷

两个卷组，三个逻辑卷；

57. [单选题] 57.该数据库内，挂载"/home"分割所在的卷组（VG）的UUID为？ (1分)
A. YaPmrx-aWuN-jB9F-bK6V-5mrf-qDD1-RKttcS
B. zd02XF-jjsB-Nelp-RhA3-Xesv-PbXZ-FbVYsv
C. 6tPmv1-CHhY-3Th3-d1ZO-NkCE-JH3k-zp4dtA
D. CHFrqt-VMqH-eTcq-6khn-k8MC-UO4i-zZwuWN
E. MOHN39-Ly2p-5km1-d2mi-3SeN-fTVu-y0PF58

这里的寻找/home所在的卷组的UUID，通过仿真，使用lvdisplay :more 先去查找/home所在的卷组是什么，之后找对应卷组的UUID，命令：vgdisplay :more

58. [单选题] 58.该数据库内，"/boot"所在的虚拟块设备(Multiple Devices)总阵列大小(ARRAY SIZE)？ (1分)
A. 3900416 (3.72 GiB 3.99 GB)
B. 6831104 (6.51 GiB 7.00 GB)
C. 10218496 (9.75 GiB 10.46 GB)
D. 5109248 (4.87 GiB 5.23 GB)
E. 3415552 (3.26 GiB 3.50 GB)

这个题我不会，老师说要仿真；

59. [单选题] 59.该数据库服务器的时区设定为？ (1分)
A. Asia/Macao
B. Asia/Hong_Kong
C. Hongkong
D. GMT
E. Etc/GMT+8

仿真后：timedatectl

60. [单选题] 60.根据串流服务器的记录, 黑客入侵后曾横向登入数据库服务器，其登入方式包括: (i)ftp (ii)ssh2 (iii)telnet (1分)
A. (i)
B. (ii)
C. (iii)
D. (i) and (ii)
E. (ii) and (iii)

黑客入侵后曾经横向登入数据库服务器，我们可以看一下日志文件：/var/log/auth.log

这个文件是ssh的登录日志，会记录下ssh登录，sudo，su等命令的相关信息；直接在取证大师中搜索，之后便是将该文件导出，进行搜索即可；

61. [单选题] 61.接上题,首次成功登入数据库服务器的时间及账户为? （答案格式－账户名称日期时间 “依第59条时区设定作答＂：YYYY-MM-DD HH:MM) (1分)
A. rkdadm 2018-11-01 16:33
B. auxsup 2018-11-01 16:33
C. auxsup 2018-11-02 08:33
D. root 2018-11-01 16:33
E. root 2018-11-01 16:31

还是看上面的截图记录就好了，黑客创建的账号为auxsup，再加上时区的分别，推断大概就是B

62. [单选题] 62.接上题，该账户在数据库服务器属于以下哪些用户组? (i)root (ii)www-data (iii)sudo (1分)
A. (i)
B. (ii)
C. (i) and (ii)
D. (ii) and (iii)
E. 以上皆不是

63. [单选题] 63.在该成功远程登录数据库服务器前曾经被多次登入失败，登入的用户名称包括： (i)root (ii)admin (iii)pi (1分)
A. (i)
B. (ii)
C. (i)及(iii)
D. (ii)及(iii)
E. 以上皆是

找出数据库的error.log日志文件，进行导出，之后便是搜索相关的登入失败的信息，登入失败一般是denied

64. [单选题] 64.接上题，该账户登入数据库服务器后，使用了哪一个CVE的漏洞进行提权？ (1分)
A. CVE - 2015 - 1328
B. CVE - 2015 - 8660
C. CVE - 2017 - 1000112
D. CVE - 2017 - 0358
E. CVE - 2017 - 16995

这个不会....

65. [单选题] 65.接上题，黑客在数据库服务器进行提权中曾使用哪些工具？ (1分)
A. exec
B. javaw
C. msfvenom
D. psexe
E. gcc

这里我在auth.log和error.log文件中全部进行了索引，只能找到gcc；

66. [单选题] 66.黑客在数据库服务器成功提权后，紧接进行了什么动作？ (1分)
A. 使用另一账户登入
B. 制作后门
C. 截取数据包
D. 建立新账户
E. 安装软件

在安装完gcc之后，便是增加新的用户的操作，当然加入的用户不只是rkduser1，后面文件内容中还有2 3 4

67. [单选题] 67. 除首次被黑客登入的帐户外，还有什么账号被不当地登入使用？ (1分)
A. rkduser
B. rkduser1
C. rkduser2
D. rkduser3
E. rkduser4

还使用了rkduser通过ssh进行连接；

68. [单选题] 68.该数据服务器经哪个IP得到连接互联网功能？ (1分)
A. 10.0.4.1
B. 10.0.4.10
C. 10.0.4.16
D. 192.168.7.103
E. 10.0.4.17

根据上面的截图也可以看到，对外连接用到的ip地址都是10.0.4.10

69. [单选题] 69.黑客在数据库服务器设定了一个反向shell(reverse shell)后门，请找出该连接使用什么端口(Port) ？ (1分)
A. 5251
B. 5140
C. 40
D. 51
E. 5152

通过定时任务进行搜索：crontab，寻找匹配到的文件中是否含有可疑的文件，然后将其导出到本地：

发现后门的端口为5152 ，同时每分钟执行一次

70. [单选题] 70.接上题，该数据库服务器的后门何时会执行? (1分)
A. 管理员登入
B. 系统开机时
C. 数据库被存取时
D. 每一天
E. 每一分钟

71. [单选题] 71.黑客在该数据库服务器中进行了内网扫描，其扫描范围是： (1分)
A. 10.0.4.0 / 22
B. 10.0.4.0 / 24
C. 192.168.7.0 / 24
D. 192.168.7.103 / 24
E. 10.0.4.15 / 24

关于扫描一般会出现的关键字为scan；

通过apt安装了arp-scan，之后扫描了10.0.4.0/24网段

72. [单选题] 72.接上题，在该内网中有一台主机名名称为"RKDSERVER1"，黑客曾由数据库试图登入该主机，其登入方式为： (i)ftp (ii)ssh2 (iii)telnet (1分)
A. (i)
B. (ii)
C. (iii)
D. (i)及(ii)
E. (ii)及(iii)

在取证大师中搜索hosts文件，之后寻找到对应主机名为RKDSERVER1的ip地址：

找到了对应的ip地址之后，看看.bash_history里面有什么。我的取证大师取证没结果：我自己找到了

73. [单选题] 73.黑客在登入期间，曾经尝试登入数据库服务器的MYSQL数据库，总共失败多少次？(MYSQL的记录文件时间设定较实际时间快4小时） (1分)
A. 6
B. 8
C. 10
D. 12
E. 14

第一次应该不是；

74. [单选题] 74.在数据库服务器中，档案路径＂\home\rkduser\t＂是什么类型的档案？ (1分)
A. tcpdump capture file
B. ELF 64-bit LSB executable, x86-64
C. ASCII text
D. UTF-8 Unicode text
E. Bourne-Again shell script

找到对应的文件，使用了nodpad++打开之后发现，里面有很多的乱码，还有ip地址，系统的版本信息，之后结合答案用wireshark打开之后发现就是流量包；

75. [单选题] 75.在数据库服务器中，黑客使用什么指令工具对数据包进行截取？ (1分)
A. arp-scan
B. nmap
C. fgdump
D. tcpdump
E. wireshark

查看历史命令发现，有执行tcpdump的嫌疑：

76. [单选题] 76.接上题，黑客共截获多少个数据包项目？ (1分)
A. 1041
B. 2825
C. 6070
D. 4032
E. 5484

刚才的t文件放到wireshark中，即可发现

77. [单选题] 77.接上题，截取数据包过程中，有多少次上述反向shell(Reverse shell)后门的成功连接？ (1分)
A. 0
B. 14
C. 1
D. 15
E. 7

通过wireshark的过滤，发现没有有效的数据；

78. [单选题] 78.接上题，黑客从数据包中获得的MYSQL数据库密码长度是多少个字符? (1分)
A. 4
B. 6
C. 9
D. 12
E. 15

79. [单选题] 79.黑客登入上述MYSQL数据库后，曾在CLI界面使用MYSQL命令进行了多少个数据库及数据表(Table)的浏览？ (1分)
A. 一个数据库内的两个数据表
B. 两个数据库内的两个数据表
C. 一个数据库内的三个数据表
D. 两个数据库内的三个数据表
E. 三个数据库内的三个数据表

两个数据库

这里同样只找到了三张表；

80. [单选题] 80.数据库服务器中，黑客曾连接过哪一个FTP服务器? (1分)
A. 220.246.55.208
B. 10.0.4.10
C. 10.0.4.16
D. 192.168.7.103
E. 220.246.55.13

过滤协议FTP：

81. [单选题] 81.接上题，该FTP服务器的上载账号名称及密码是： (1分)
A. upioad, 123456
B. upload, 123456
C. upload, 12345
D. admin, 123456
E. admin, abcdef

82. [单选题] 82.黑客在数据库服务器注销前，进行了什么动作？ (1分)
A. 传送数据库数据
B. 删除命令痕迹
C. 汇出数据库
D. 卸除软件
E. 设置后门

删除历史命令

83. [单选题] 83.在数据库服务器中，恢复inode值为258177的档案，计算其SHA1哈希值 (1分)
A. 42323B19952CF79D626AD51FF14A5F201CFE969C
B. B151D2CCE44D80AB860879C0FE5BB7326C5A7F3D
C. EA4A616DF97B59F7672865DC1FB449DD8E4DF3E2
D. 8C3A07CC7E594E696F3C7A79EDB9C762905839A1
E. B3CDCEABD7B672603F9D6F63D037053C63D5F5B6

还不会

84. [单选题] 84.在数据库服务器中，路径"/usr/sbin"内有多少个系统文件被不当替换? (1分)
A. 1
B. 2
C. 3
D. 4
E. 以上皆不是

这个目前也不会做...

这里的文件还特别多，不知道怎么确定有多少个系统文件被不当的替换；

第E部份 (第 85 至 95 题) : 法证人员曾在Victor的计算器现场作现场取证，并使工具获取其内存镜像。该内存镜像文件名为 "victor_PC_memdump.dmp"，请使用该档案作内存数据分析并回答下列问题:

85. 从内存镜像档案的数据显示，该镜像档案的建立日期是? （答案格式－“世界协调时间＂：YYYY-MM-DD HH:MM:SS UTC） (1分)
A. 2018-11-02 08:31:12 UTC
B. 2018-11-02 10:31:12 UTC
C. 2018-11-02 14:31:12 UTC
D. 2018-11-02 18:31:12 UTC
E. 2018-11-02 20:31:12 UTC

使用Volatility分析内存镜像：

大概是win7 64位 SP1版本；图片的下面存在着该镜像档案建立的时间

86. [单选题] 86.在内存镜像中，就进程javaw.exe而言，它的进程id是? (1分)
A. 2364
B. 2616
C. 26
D. 459
E. 8003975b30

父进程是2616；

87. [单选题] 87.接上题，javaw.exe 是经以下哪个方法在系统上执行？ (1分)
A. 利用命令提示符(cmd)执行
B. 利用psexec软行
C. 于Windows资源管理器上双击档案执行
D. 于运行中执行
E. 于系统启时自动执行

换句话说，也就是找javaw.exe的父进程是谁；

explorer.exe对应于Windows资源管理器上双击档案执行

88. [单选题] 88.接上题，根据javaw.exe 的进程，它首先执行了下列哪个指令 (1分)
A. C:\Program Files\Java\jdk1.8.0_191(2)\bin\javaw.exe" -jar C:\Users\victor\AppData\Roaming\asdasd\asda.jar
B. C:\Program Files\Java\jdk1.8.0_191\bin\javaw.exe" -jar C:\Users\victor\AppData\Roaming\asdasd\asda.jar
C. C:\Program Files\Java\jdk1.8.0_191\bin\javaw.exe" -jar C:\Users\victor\AppData\Roaming\asdasd\victor_personal_data.pdf.jar
D. C:\Program Files\Java\jdk1.8.0_191(1)\bin\javaw.exe" -jar C:\Users\victor\AppData\Roaming\asdasd\asda.jar
E. C:\Program Files\Java\jdk1.8.0_191(1)\bin\javaw.exe" -jar C:\Users\victor\AppData\Roaming\asdasd\victor_personal_data.pdf.jar

89. [单选题] 89.接上题，javaw.exe的进程在执行时会呼叫了多少个动态链接函式库(Dynamic Linked Library)? (1分)
A. 79
B. 80
C. 81
D. 82
E. 83

将上个题的结果的动态链接库文件直接全部复制出来，然后将里面的不是动态链接库的文件删除掉，总共80

90. [单选题] 90.接上题，javaw.exe的进程曾连接至哪一网络地址(IP Address)？ (1分)
A. 119.188.13.180
B. 192.168.72.128
C. 220.246.55.13
D. 120.241.102.156
E. 23.41.99.52

91. [单选题] 91.接上题，javaw.exe的进程曾连接至上述网络地址的哪个端口(port)？ (1分)
A. 1505
B. 1506
C. 49290
D. 1505 & 1506
E. 1505 & 49290

答案选择D，不会做，只找到了1506

92. [单选题] 92.从内存镜像中提取Victor计算机感染的"Adwind RAT"病毒的配置文件(XML格式)并作分析，该病毒档案与C&C服务器连接所使用的密码为? (1分)
A. 1234
B. 5555
C. 2468
D. 0000
E. 9999

93. [单选题] 93.接上题，上述"Adwind RAT "病毒具备了屏幕截图的功能。从内存镜像中分析，黑客是何时对系统进行屏幕截图呢? (以截图显示时间作答) (1分)
A. 2018年11月2日18时27分至18时28分
B. 2018年11月2日18时28分至18时30分
C. 2018年11月2日18时29分至18时30分
D. 2018年11月2日18时29分至18时31分
E. 2018年11月2日18时28分至18时29分

94. [单选题] 94.取证人员是使用"Magnet RAM Cap"获取该内存镜像，你能找到该档案属于哪个版本吗? (1分)
A. 0.90
B. 1.00
C. 1.01
D. 0.91
E. 1.50

95. [单选题] 95.从内存镜像中，你能读取多少个操作系统的用户登入密码? (1分)
A. 0
B. 1
C. 2
D. 3
E. 4

上面的这几个题目都不太会..

第F部份 (第 96 至 120 题) : 关于手机取证的问题根据一个“三星SM-N9005 Galaxy Note 3＂的手机镜像文件 "DumpData.bin" 的内容，回答下述手机取证问题。 (该文件是由Cellebrite Physical Extraction采集而来的。)

96.检测“三星SM-N9005 Galaxy Note 3＂的手机镜像文件并找出系统分区。请问系统分区(system partition)的大小是多少？ (1分)
A. 1.2 GB
B. 2.2 GB
C. 4.6 GB
D. 12.2 GB
E. 15 GB

使用了弘连的取证分析软件；

97. [单选题] 97.接上题，在手机镜像文件中，系统分区(system partition)的文件系统类型是什么？ (1分)
A. YAFFS
B. YAFFS2
C. Ext3
D. Ext4
E. 以上皆不是

由上面的图片得到文件系统类型；

98. [单选题] 98.检测手机镜像文件并找出用户数据的分区。请问用户数据分区(userdata partition)的大小是多少？ (1分)
A. 3.1 GB
B. 2.9 GB
C. 4.6 GB
D. 12.2 GB
E. 11.9 GB

99. [单选题] 99.接上题，在手机镜像文件中，请问该用户数据分区(userdata partition)的文件系统类型是什么？ (1分)
A. YAFFS
B. YAFFS2
C. Ext3
D. Ext4
E. FAT

100. [单选题] 100.如果手机安装了应用程序，你会在哪个位置找寻该应用程序的“apk＂文件？ (1分)
A. /root/app/
B. /system/apps/
C. /system/media/apk/
D. /system/application/
E. 以上皆不是

101. [单选题] 101.该手机显示设备的时区是什么？ (1分)
A. Europe/London
B. Europe/Amsterdam
C. Asia/Hong_Kong
D. Asia/Bangkok
E. 以上皆不是

102. [单选题] 102.在手机镜像文件中，找出“102. [单选题] 102.在手机镜像文件中，找出“com.android.email＂文件夹，数据库中设置的电子邮件地址是什么？ (1分)
A. digitalrongke@gmail.com
B. victorlam@gmail.com
C. rongkedigital@mail.com
D. kedigital@hotmail.com
E. 以上皆不是

103. [单选题] 103.接上题，上述数据库共有多少条电子邮件记录？ (1分)
A. 9
B. 10
C. 21
D. 50
E. 5

104. [单选题] 104.接上题，谁是首个电子邮件的接收者？ (1分)
A. kedigital@hotmail.com
B. jc266575@gmail.com
C. rongkedigital@mail.com
D. digitalrongke@gmail.com
E. 以上皆不是

105. [单选题] 105.接上题，服务器的时间戳显示的第一个电子邮件的发送日期／时间是什么？（答案格式－“世界协调时间＂：YYYY-MM-DD HH:MM:SS UTC） (1分)
A. 2018-10-29 21:30:18 UTC
B. 2018-10-26 06:21:02 UTC
C. 2018-10-29 21:33:54 UTC
D. 2018-10-31 07:26:51 UTC
E. 2018-10-31 08:26:11 UTC

106. [单选题] 106.在手机镜像文件中，哪一个文件包含日历记录？ (1分)
A. calendar.base.db
B. database_calendar.db
C. calendar_record.db
D. calendar.db
E. ddcalendar.db

107. [单选题] 107.在手机镜像文件的下载文件夹中，该手机用户下载了哪个“apk＂文件？ (1分)
A. Evernote.apk
B. kodi.apk
C. CloudAgent.apk
D. channel_71067978_1005035_1539597843180.apk
E. 以上皆不是

108. [单选题] 108.在手机镜像文件中，哪个文件用于存储“微信”记录？ (1分)
A. chatmessages.db
B. msgstore.db
C. mm.sqlite
D. chatstorage.db
E. EnMicroMsg.db

其他选项搜索不到

109. [单选题] 109.接上题，检查“微信＂数据库，请问Leo和Jason在2018年10月31(UTC+8)日共有多少条通讯记录？ (1分)
A. 7
B. 20
C. 30
D. 5
E. 9

110. [单选题] 110.在手机镜像文件中，用户在2018-10-31(UTC+8)截取了多少个截图？ (1分)
A. 5
B. 20
C. 7
D. 2
E. 8

111. [单选题] 111.接上题，该截图的文件名是什么，请选择最早的一个档案？ (1分)
A. Screenshot_2018-10-31-16-08-57.png
B. Screenshot_2018-10-31-12-08-12.png
C. Screenshot_2018-10-31-17-02-51.png
D. Screenshot_2018-10-28-15-00-10.png
E. Screenshot_2018-10-30-09-08-17.png

这里我将两个截图直接导出到桌面上了；创建时间最早的是57

112. [单选题] 112.在手机镜像文件中，安装了哪种黑客软件？ (1分)
A. Hack-it
B. Ethicalhacking
C. I Hack You
D. LUCKY HACK PATCHER
E. 以上皆不是

113. [单选题] 113.接上题，该应用程序是什么时候安装的？（答案格式－“世界协调时间＂：YYYY-MM-DD HH:MM:SS UTC） (1分)
A. 2018-10-31 09:05:26 UTC
B. 2018-11-01 22:21:08 UTC
C. 2018-10-26 23:37:34 UTC
D. 2018-10-31 17:05:26 UTC
E. 2018-10-31 09:21:01 UTC

114. [单选题] 114.在手机镜像文件的用户媒体文件夹中，有涉及枪支的照片／图片，档案的名称是什么？ (1分)
A. 20181101_160634.jpg
B. 20181031_153537.jpg
C. 20181031_170633.jpg
D. 20181031_091635.jpg
E. 20181031_070813.jpg

直接找就行了，没法放图，违规了；

115. [单选题] 115.在手机镜像文件中，哪个文件记录了联系人（电话簿）？ (1分)
A. contact1.db
B. database.contacts.db
C. contacts1.db
D. contacts2.db
E. contact.db

随便找到一个联系人，直接跳转到源文件；

116. [单选题] 116.接上题，有多少个现有联系人记录？ (1分)
A. 7
B. 13
C. 9
D. 15
E. 8

117. [单选题] 117.在手机镜像文件中的联系人数据库中，共有多少个电子邮件帐户？ (1分)
A. 1
B. 6
C. 7
D. 3
E. 2

118. [单选题] 118.接上题，在联系人数据库的已删除记录中，以+852 6__________开头的电话号码是什么？请填写空格. (1分)
A. +852 66253737
B. +852 67486468
C. +852 63873984
D. +852 61810641
E. +852 67645745