前言:
备赛今年的美亚杯,其实之前就已经有做过一次了但是找不到写的wp放哪了,所以这里也是重新打一遍。
链接:
容器密码:
3hqGFfT#BYjd74t@f%9fDqs6D^$wVjAvxZkA794UVkVRcq^Zu6Xp87Wp#X3XD%ER!nHzzTnSEMwy8NEGX6A%P&#rBUkxypAPKwX4mP3WZuHnYKRc7sA33hd@qS
案情:2023月8月的一天,香港警方在调查一起网络诈骗案件时,发现有三名本地男子,分別为李大輝(李大辉),浩賢(浩贤)和Elvis CHUI,并确信这三名被捕男子均为大学同学。怀疑三人背后涉及一个庞大的电信诈骗集团。于是将这三名本地男子拘捕,扣押了三人相关的电子设备并进行分析。
现在你被委派处理这件案件,请依据以下资料分析上述三人是否涉嫌犯罪,并还原事件经过。
检材:
2
3
4
5
6
7
8
9
10
11
|----Android.bin
|----Individual2
|----IOS
|----Sever
|----SQLite
|----Window 7
|----Window 10
|----Mac OS.img
|----Window Artifacts.E01
|----網路題目.pcapng题目分布:
手机:1-7
服务器:8-14
流量分析:15-18
理论:19-25、46-52、67-87、97
内存:26-31
计算机Window Artifacts.E01:32-45
ios:53-66
计算机window10:88-89
计算机window7:90-96
数据分析:98
Powershell脚本:99-100
手机
1、[填空题]参考’Android.bin’同答以下题目,李大辉所用手机移动运营商公司的名称,提示:请所有字母都用大写英文
DUCK
注意不是厂商,是移动运营商
2、[单选题] 参考’Android.bin’回答以下题目,李大辉的手机安装了什么即时通讯软件(inslant Messaging App)?
A. WhatsApp
A. WhatsApp
B. LINE
C. 微信
D. Signal
E. QQ
3、[填空题]参考 ‘ Android.bin ‘ 回答以下题目,李大辉的手机安装了什么反追踪软件? ,提示: 所有答案字母都用小写字母并用xxx_xxx_xxxxxxx_xxxxxx_xxxx格式作答
air_tag_tracker_detect_lite
这题没有找到,参考别人的blog
安卓手机中谷歌商店安装的应用记录通常存储在“
/data/data/com.android.vending/databases“目录下。
不过,该路径下的文件需要手机获取root权限后才能查看。这里面可能包含与应用安装、更新、用户偏好
等相关的数据库文件。
需要注意的是,不同的安卓系统版本和设备厂商可能会对这些数据的存储位置有一些细微的差异,但总体上是
在谷歌商店应用的相关数据目录下。并且,在操作手机文件系统时要谨慎,不当的操作可能会号致手机出现
问题。
但是我并没有找到这个文件,如果找到用navicat连接数据库,在表里搜索track(追踪)即可找到这个软件
4、[单选题]参考 ‘ Android.bin ‘ 回答以下题目 ,李大辉的手机是什么时间成功登入
C. 2022-08-18_21:56:37
A. 2022-08-18_21:52:30
B. 2022-08-19_21:56:23
C. 2022-08-18_21:56:37
D. 2022-08-19_06:59:07
E. 2022-08-19_07:01:17
发送验证码应该就是要登入了,验证码一般只有几分钟有效
5、[填空题]参考 ‘ Android.bin ‘ 回答以下题目 ,李大辉登入WHATSAPP时的认证短码是什么?提示: 请以阿拉伯数字作答
304313
接上题
6、[单选题]参考 ‘ Android.bin ‘ 回答以下题目,李大辉到美丽好化妆品公司的入职时间是何时?
C. 2017-05-25
A. 2016-04-16
B. 2016-06-28
C. 2017-05-25
D. 2017-07-25
E. 2017-08-18
在excel表格里可以找到李大辉的员工证
7、[单选题]参考 ‘ Android.bin ‘ 回答以下题目,李大辉曾于什么时间使用了图像编辑软件? (官方答案可能不对)
A. 2022-09-10
A. 2022-09-10
B. 2022-09-12
C. 2022-10-05
D. 2022-11-10
E. 2022-11-13
用取证大师查看图片
查看图片源文件发现只有一个图片的创建时间不同于修改时间,可能是编辑了图片,但是于官方答案不同。
服务器
仿真时发现需要密码,在保存密码里可以找到,用第一个就登入成功了
8、[填空题]参考Server文件夹下的 ‘ Meiya_VPN.vmdk ‘ 回答以下题目,这个访问服务器使用了哪个端口?提示: 请用阿拉伯数字作答
943
如上保存密码里就显示端口了
9、[填空题]参考Server文件夹下的 ‘ Meiya_VPN.vmdk ‘ 回答以下题目,“User1”账户最近连接到这个访问服务器时使用的IP地址是多少?提示: 用IPV4 格式回答
192.166.244.167
没找到User1用户,看了别人的才发现不是本地的是远程连接的用户
用取证大师搜索User1原始数据(由于未能索引)
发现日志文件
打开查看,再次搜索User1即可得到最近的登入ip
10、[多选题]参考Server文件夹下的 ‘ Meiya_VPN.vmdk ‘回答以下题目,哪些文件可以找出这个访问服务器的Ubuntu版本?
AB
A. lsb-release
B. issue.net
C. .profile
D. console
由于是选择题直接在火眼里搜索
11、[多选题]参考Server文件夹下的 ‘ Meiya_VPN.vmdk ‘回答以下题目,哪些文件有助于分辨这是一个存储服务器?
ABC
A. auth.log
B. sys.log
C. bash_history
D. idconfig
问了一波ai(当时模拟线下断网环境,所以用的本地ai)
但是在服务器里只搜索得到AC,感觉这题应该算是理论题
12、[单选题]参考Server文件夹下的 ‘ Meiya_VPN.vmdk ‘ 回答以下题目,这个访问服务器所在时区是哪个时区?
C. UTC -7
A. UTC +9
B. UTC +8
C. UTC -7
D. UTC
查看一下时区
问一波ai得到的是UTC-8选项里接近的是UTC-7问一下是哪个地区的时区发现离的很近所以直接选UTC-7(当时模拟线下断网环境,所以用的本地ai)
13、[填空题]参考Server文件夹下的 ‘ Meiya_VPN.vmdk ‘ 回答以下题目,这个访问服务器的“openvpn”帐户密码是多少?提示:请用大写字母与阿拉伯数字作答
TLFAG6L6DSSC
这题我登入第一个发现对的我就直接选了但是答案是第二个
看了一下别人的wp
通过查看刚刚的log文件可以发现服务器的ens33被重设为192.168.112.138,所以应该是第二个密码
14、[单选题] 参考Server文件夹下的 ‘ Meiya_VPN.vmdk ‘回答以下题目,在这个访问服务器中,“User1”账户之间的连接所使用的加密算法(密码)是什么?
D. AES-256-CBC
A. Blowfish-CBC
B. 3DES-CBC
C. AES-128-GCM
D. AES-256-CBC
全局搜索User1可以找到一个User1.ovpn文件打开查看就可以看到加密算法
流量分析
15、[填空题]参考’ 网络题目.pcapng ‘ 文件回答以下题目,给出正在进行Nmap扫瞄的计算机互联网协议地址? 提示: 以IPV4格式给出答案
192.168.186.132
16、[填空题]参考’ 网络题目pcapng’ 文件回答以下题目,有多少个Nmap扫瞄正在同时进行?提示:请给出阿拉伯数字作答
2
直接过滤,发现有2个明确的nmap扫描在并行执行,一个是IPv4扫描,另一个是IPv6扫描。
17、[单选题]参考网络题目.pcapng文件回答以下题目,当计算机正在扫瞄8.8.8.8,namp相关的指令是什么?
A. nmap -sT 8.8.8.8
A. nmap -sT 8.8.8.8
B. nmap -sU 8.8.8.8
C. nmap -sn -PR 8.8.8.8
D. nmap -sn -PU 8.8.8.8
查看目标 IP 地址为8.8.8.8的流量协议基本都是TCP
18、[单选题]参考网络题目.pcapng文件回答以下题目,当计算机正在扫瞄45.33.32.156,namp相关的指令是什么?
B. nmap -sU 45.33.32.156
A. nmap -sT 45.33.32.156
B. nmap -sU 45.33.32.156
C. nmap -sn -45.33.32.156
D. nmap -sn -45.33.32.156
这题其实是有点懵的,TCP、ICMP协议都有,但是过滤后直接就跳到UDP协议,所以这里也是猜测是UDP扫描
理论
19、[单选题]国强被指派设定一个DHCP服务器,该服务器需借出最后100个的IP地址,以下哪个IP地址会是被借出的IP地址?
C. 10.1.4.254
A. 10.1.4.255
B. 10.1.4.100
C. 10.1.4.254
D. 10.1.4.1
根据DHCP服务器的配置,它被设定为借出最后100个IP地址。假设子网掩码为255.255.255.0(即/24子网),网络地址为10.1.4.0,广播地址为10.1.4.255,可用主机地址范围为10.1.4.1到10.1.4.254。
可用地址总数为254个(从10.1.4.1到10.1.4.254)。最后100个IP地址的范围是从10.1.4.155到10.1.4.254(计算方式:254 - 100 + 1 = 155)
20、[单选题]以下哪个协议是属于TCP/IP协议? (有争议)
i: DHCP
ii: HTTP
iii: RTP
iv: Telnet
B. ii & iv或者C. 所有皆是 (All answers belong to TCP/IP protocol)
A. i & iii
B. ii & iv
C. 所有皆是 (All answers belong to TCP/IP protocol)
D. 所有皆否(All answers don’t belong to TCP/IP protocol)
这题还是比较有争议的,我搜维基百科和直接百度搜索得到两个不同的答案
维基百科:
百度搜索:
21、[单选题]浩贤为一间公司的网络管理员,他需要把一个路由器作出以下设定
1)允许192.168.26.3连上互联网
2)允许192.168.26.2作UDP连接
现在浩贤把路由器作以下设定:
access-list 119 deny udp any any
access-list 121 permit udp host 192.168.26.2 any
access-list 120 deny tcp any any
access-list 122 permit tcp host 192.168.26.3 eq www any
access-list 123 permit tcp any eq ftp any
志伟是浩贤的主管,他发现浩贤的设定错误,浩贤应作怎样的更正?
C. 删除(Delete)’ access-list 120 deny tcp any any ‘ 与’ access-list 119 deny udp any any ‘
A. ‘ access-list 123 permit tcp any eq ftp any ‘ 更正为(change) ‘access-list 123 permit udp any eq ftp any ‘
B. ‘ access-list 122 permit tcp host 192.168.26.3 eq www any ‘ 更正为(change) ‘ access-list 122 permit udp host 192.168.26.3 eq www any ‘
C. 删除(Delete)’ access-list 120 deny tcp any any ‘ 与’ access-list 119 deny udp any any ‘
D. 删除(Delete)’ access-list 123 permit tcp any eq ftp any ‘
分析现有ACL:
1 | access-list 119 deny udp any any:拒绝所有UDP流量,这会阻止192.168.26.2的UDP连接,因为该规则在允许规则之前匹配。 |
22、[单选题]根据以下ping指令的结果,你会估计192.168.186.132是哪一个操作系统
Ping 192.168.186.132 (使用 32 字节的数据):
回复自 192.168.186.132: 字节=32 时间<1ms TTL=64
回复自 192.168.186.132: 字节=32 时间<1ms TTL=64
回复自 192.168.186.132: 字节=32 时间<1ms TTL=64
回复自 192.168.186.132: 字节=32 时间<1ms TTL=64
192.168.186.132 的 Ping 统计资料:
封包: 已传送 = 4,已收到 = 4, 已遗失 = 0 (0% 遗失),
大约的来回时间 (毫秒):
最小值 = 0ms,最大值 = 0ms,平均 = 0ms
A. Linux
A. Linux
B. Windows XP
C. Windows 7
D. iOS 12.4 (Cisco Routers)
23、[单选题]当使用nmap扫瞄目标后,nmap内出现以下信息
“Note: Host seems down. If it is really up, but blocking our ping probes” (主机似乎关机。如果它是开启的,它正在阻挡ping探测。)
应用哪一个指令找出开放的端口?
D. nmap -Pn
A. nmap -sT
B. nmap -sN
C. nmap -sX
D. nmap -Pn
24、[单选题]以下哪一个Nmap指令可以减低被侦测的可能性
B. nmap -sT -O -T0
A. nmap -sT -O -T5
B. nmap -sT -O -T0
C. nmap sU
D. nmap -A –host-timeout 99-T1
25、[单选题]Apple计算机的硬盘可以使用以下分区方案:
D. All of the above
A. Apple Partition Map
B. GUID Partition Table
C. Master Boot Record
D. All of the above
磁盘
26、[单选题]参考’ Mac OS.img ‘ 文件回答以下题目,’ Mac OS.img ‘ 文件中可以找到多少个符号链接?
B. 1
A. 0
B. 1
C. 2
D. 3
这题不知道为什么用r-studio没法恢复出来,所以只能看了其他人的wp搜索alias
27、[单选题]参考’ Mac OS.img ‘ 文件回答以下题目,在’ Mac OS.img ‘ 档中使用了哪种分区方案?
B. GUID Partition Table
A. Apple Partition Map
B. GUID Partition Table
C. Master Boot Record
D. HFS+
用x-ways打开即可看到
28、[单选题]参考’ Mac OS.img ‘ ‘文件回答以下题目,’ Mac OS.img ‘ 档的文件系统的正确描述是什么?
C. HFS+(已启用日志记录和区分大小写)HFS+ (with journaling and case sensitivity enabled)
A. HFS+(已启用日志记录)HFS+ (with journaling enabled)
B. HFS+(已启用区分大小写)HFS+ (with case sensitivity enabled)
C. HFS+(已启用日志记录和区分大小写)HFS+ (with journaling and case sensitivity enabled)
D. APFS (已启用区分大小写)APFS (with case sensitivity enabled)
HFSX 是在HFS+基础上引入了区分大小写的特性
29、[填空题]参考’ Mac OS.img ‘ 文件回答以下题目,从文件“Car.rtfd”中删除了哪个文件?提示:答案需包括副文件名,并以全小写字母作答,例如 answer.docx
yeah.jpg
这里也是找不到,看了别人wp才知道
DocumentRevisions-V100 是 Apple 在 OSX Lion 中引入的内部版本控制系统。基本上每次保存时都会保存文件的历史副本,和Car.rtfd目录相比多出了一个yeah.jpg说明被删除的文件是这一个
30、[填空题]参考’ Mac OS.img ‘文件回答以下题目,请提供’ Mac OS.img ‘ 映像文件被“fsck”命令检查的具体时间。提示:答案格式为YYYYMMDD-HHMMSS,如2023年1月1日1530时30秒则请回答”20230101-153030”)
20230713-082435
这里也是挺懵的,看了wp说是检查的过程会对文件系统的一些元数据进行更改, 这些更改可能包括更新文件系统的某些时间戳, 例如最后检查时间或最后修改时间。而最开始被更改的分区时间, 应该为 fsck 命令检查的具体时间
所以时间为2023/07/13 16:24:35是+8的换算一下为2023/07/13 08:24:35
31、[单选题]参考 ‘ Mac OS.img ‘ 文件回答以下题目,在 .dmg 档中删除了多少个文件?
D. 4
A. 1
B. 2
C. 3
D. 4
到回收站里看找到4个文件
计算机Window Artifacts.E01
32、[填空题]参考 ‘ Window Artifacts.E01 ‘ 内的Windows 注册表回答以下题目,Elvis Chui 总共登入过该计算机多少次?提示: 请以阿拉伯数字作答
11
33、[单选题]参考 ‘ Window Artifacts.E01 ‘ 内的Windows 注册表回答以下题目,该计算机的操作系统是在哪一个时区?
B. UTC +8
A. UTC +4
B. UTC +8
C. UTC -8
D. UTC -4
34、[单选题]参考 ‘ Window Artifacts.E01 ‘内的Windows 注册表回答以下题目,该计算机的操作系统于何时安装? (以计算机系统时区回答)
B. 2023-07-13 11:18:14
A. 2023-07-13 19:18:14
B. 2023-07-13 11:18:14
C. 2023-07-13 03:18:14
D. 2023-07-12 19:18:14
35、[多选题]参考’ Window Artifacts.E01 ‘内的Windows 注册表回答以下题目,哪(几)个程序会于操作系统启动时自动执行?
ABC
A. Avast
B. Steam
C. OneDrive
D. QQ
36、[单选题]参考’ Window Artifacts.E01 ‘内的Windows 注册表回答以下题目,该计算机内安装了以下哪一个程序?
B. WPS Office
A. QQ
B. WPS Office
C. Opera
D. Kaspersky
37、[填空题]参考’ Window Artifacts.E01 ‘内的Windows 注册表回答以下题目,计算机内的OneDrive程序版本是什么?
21.220.1024.0005
38、[填空题]参考’ Window Artifacts.E01 ‘内的Windows 注册表回答以下题目,计算机有一个正在连接的网络接口,该接口连接DHCP服务器的IP地址是多少?提示: 以 IPV4格式回答
192.168.88.254
39、[单选题]参考’ Window Artifacts.E01 ‘内的Windows 注册表回答以下题目,该计算机何时连接过一只U盘? (以计算机系统时区回答)
D. 2023-07-13 11:48:29
A. 2023-07-13 11:48:26
B. 2023-07-13 03:48:29
C. 2023-07-12 19:48:29
D. 2023-07-13 11:48:29
40、[多选题]参考’ Window Artifacts.E01 ‘回答以下题目,Elvis Chui 将哪几个文本文件放在回收站中?
BE
A. $+D10I76A74P.txt
B. Holiday schedule 2023-07-16.txt
C. Holiday schedule 2023-07-13.txt
D. Minute on 2023-07-01.txt
E. Minute on 2023-07-10.txt
41、[单选题]参考’ Window Artifacts.E01 ‘ 回答以下题目,Elvis Chui在什么时间删除了第一个文本文件? (以计算机系统时区回答)
D. 2023-07-13 11:49:45
A. 2023-07-13 11:50:15
B. 2023-07-13 03:49:45
C. 2023-07-13 03:50:15
D. 2023-07-13 11:49:45
42、[填空题]参考 ‘ Window Artifacts.E01 ‘回答以下题目,Elvis Chui删除的第一个文本文件的文件名是什么?提示: 请用小写字母回答及需列明文件格式。如文件名字内有空格位置,请用_标示。例如: go_to_school.docx
holiday_schedule_2023-07-16.txt
43、[单选题] 参考 ‘ Window Artifacts.E01 ‘ 回答以下题目,Elvis Chui删除的第一个文本文件在什么时间创建? (以计算机系统时区回答)
C. 2023-07-13_11:49:45
A. 2023-07-13_11:42:39
B. 2023-07-13_11:50:49
C. 2023-07-13_11:49:45
D. 2023-07-13_11:45:22
跳转到源文件
44、[填空题]参考 ‘ Window Artifacts.E01 ‘ 回答以下题目,Elvis Chui计划于2023年7月15日20点5分有什么活动? 提示: 答案请与文件内的文字与大细阶相同
Movie
还原后查看
45、[填空题]参考 ‘ Window Artifacts.E01 ‘ 回答以下题目,该计算机执行STEAM.EXE总共多少次? 提示: 请用阿拉伯数字作答
7
理论
46、[单选题]一个名为“Account”的数据库表拥有5个”列”,以下哪一个指令会产生错误讯息?(提示: 1.数据库是拥有正常默认的系统表格 2.错误信息是关于”超出上限”的错误)
C. SELECT * from Account WHERE name=‘Candy’ ORDER BY 6
A. SELECT * from Account WHERE name=‘Alex’ OR ‘1’=1
B. SELECT * FROM Account WHERE name=‘Bill’ UNION SELECT NULL, NULL, NULL, NULL
C. SELECT * from Account WHERE name=‘Candy’ ORDER BY 6
D. SELECT name FROM sys.tables
47、[单选题]当客户端收到一个页面请求的HTTP状态代码为304时,以下哪种情况最有可能发生?
B. 页面将从浏览器缓存中加载The page will be loaded from the browser cache
A. 页面将显示错误The page will display with errors
B. 页面将从浏览器缓存中加载The page will be loaded from the browser cache
C. 浏览器将显示“访问被拒绝”The browser will display an “Access Denied”
D. 服务器将复位向客户端到另一个资源The server will redirect the client to another resource
48、[单选题]在HTML注入攻击中,以下哪种情况最有可能出现?(有争议)
A.
A.
B.
C.
D.
有争议这题
49、[单选题]如何预防HTML注入攻击?
D. 输入过滤Input sanitization
A. 密钥管理Key management
B. 同源策略执行Same Origin Policy enforcement
C. 会话验证Session validation
D. 输入过滤Input sanitization
50、[单选题]同源策略在浏览器内存中提供Web应用程序安全的目的是什么?
C. 控制来自不同服务器的代码之间的交互Controlling interactions between code from different servers
A. 防止客户端访问恶意网站Preventing the client from accessing a malicious site
B. 禁止Web会话运行外部脚本Prohibiting a web session from running externally sourced scripts
C. 控制来自不同服务器的代码之间的交互Controlling interactions between code from different servers
D. 阻止浏览器运行危险或有害的脚本Stopping a browser from running dangerous or harmful scripts
51、[填空题]编写Nmap命令以显示以下结果。
Starting Nmap 7.94 (https://nmap.org) at 2023-07-11 18:26 中国标准时间
Nmap scan report for www.baidu.com (220.181.38.149)
Host is up (0.044s latency).
Other addresses for www.baidu.com (not scanned): 220.181.38.150
Not shown: 998 filtered tcp ports (no-response)
PORT STATE SERVICE
80/tcp open http
| http-robots.txt: 10 disallowed entries
| /baidu /s? /ulink? /link? /home/news/data/ /bh /shifen/
|_/homepage/ /cpro /
443/tcp open https
| http-robots.txt: 10 disallowed entries
| /baidu /s? /ulink? /link? /home/news/data/ /bh /shifen/
|_/homepage/ /cpro /
Nmap done: 1 IP address (1 host up) scanned in 6.01 seconds
提示:请输入完整的Nmap指令,例如: nmap –script http-brute -p 80 www.google.com
nmap –script http-robots.txt
www.baidu.com
根据给定的Nmap扫描结果,显示对www.baidu.com的扫描,包括主机存活状态、开放端口(80/tcp和443/tcp)以及http-robots.txt脚本的输出(显示了10个不允许的条目)。为了重现这一结果,需要使用Nmap的脚本引擎(NSE)运行http-robots.txt脚本。
52、[填空题]除了使用Nmap,还有其他方法可以验证上述结果,其中一种方法是使用Web浏览器浏览URL,编写URL以显示上述结果。(答案不要包含“http://”)
www.baidu.com/robots.txt
ios
53、[单选题]参考’ IOS ‘ 文件夹回答以下题目,根据 ‘ com.apple.ios.StoreKitUIService.plist ‘ , 这部电话是什么型号?
C. iPhone XR
A. SAMSUNG S23
B. iPhone X
C. iPhone XR
D. iPhone XS
E. iPhone 13
用plist编辑器打开
54、[单选题]参考 ‘ IOS ‘ 文件夹回答以下题目,根据com.apple.ios.StoreKitUIService.plist,上述电话的文件系统是什么?
D. APFS
A. FAT32
B. NTFS
C. HFS+
D. APFS
E. EXT4
55、[多选题]参考 ‘ IOS ‘ 文件夹回答以下题目,根据ChatStorage.sqlite,哪些对话已锁定?
ABC
E. status@broadcast
找到session表,根据别人的wp
56、[填空题]参考 ‘ IOS ‘ 文件夹回答以下题目,根据ChatStorage.sqlite,有多少段录音对话?提示: 请以阿拉伯数字作答
45
录音文件的后缀名为“opus”
57、[单选题]参考 ‘ IOS ‘ 文件夹回答以下题目,Apple Cocoa Core Data timestamp 是由什么时间开始?
A. 2001年1月1日
A. 2001年1月1日
B. 1970年1月1日
C. 2006年1月1日
D. 1960年1月1日
58、[填空题]参考 ‘ IOS ‘ 文件夹回答以下题目,根据Photos.sqlite数据库中,有多少段视频可能涉及WhatsApp?提示: 请以阿拉伯数字作答
7
只有addition alasset attributes表和cloudmaster里涉及
综合来看只有7
59、[多选题] 参考 ‘ IOS ‘ 文件夹回答以下题目,根据Photos.sqlite数据库中,下列哪个选项对IMG_0008.HEIC的描述是错的?(有争议)
ABCD
A. 由第三方软件拍摄
B. 经过修改
C. 由后镜拍摄
D. 用ISO200拍摄
E. 没有储存经纬度
在ZASSET表中可以找到IMG_0008.HEIC的ZPK为491
在ZEXTENDEDATTRIBUTES表进行匹配
ZISO为160,ZAPERTURE(光圈)为1.8,ZEXPOSUREBIAS(曝光偏差)为0,ZFOCALLENGTH(焦距)为4.25,ZLATITUDE(维度)为22.2782783333333,ZLONGITUDE(经度)为114.17077,ZSHUTTERSPEED(快门速度)为0.02,ZCAMERAMAKE(相机)为Apple,ZCAMERAMODE(三星部分折叠屏手机的相机功能)为iPhone XR,ZLENSMODEL为iPhone XR back camera 4.25mm f/1.8
根据这个分析出来的结果应该为ADE但是不对就很奇怪
60、[填空题]参考 ‘ IOS ‘ 文件夹回答以下题目,根据 ‘ sms(ios).db ‘ 的资料,全局唯一标识符(GUID): DD31C26F-1D72-DE0F-431E-EF98F104402D显示的信息是什么?提示:答案需要与信息一样(答案包括中文字、阿拉伯数字与符号)
你的Uber验证码为7476.请勿分享此验证码.
sms(ios).db在\Meiya_cup_2023\Individual\IOS\8
61、[多选题] 参考 ‘ IOS ‘ 资料 夹回答以下题目,根据 ‘ com.burbn.instagram.plist ‘ 及 ‘ com.facebook.Facebook.plist ‘ 手机安装了实时通讯软件Facebook及Instagram的那个版本? (Instant Messaging Apps)?
AB
A. Instagram (Version 278.0.0.19.115)
B. Facebook (Version 410.0.0.41.116)
C. Instagram (Version 279.0.0.23.112)
D. Facebook (Version 410.0.0.26.115)
E. Instagram (Version 278.0.0.25.115)
F. Facebook (Version 410.0.0.57.116)
先查看两个pist文件所在位置
直接排除法筛版本号
62、[填空题] 参考 ‘ IOS ‘ 文件夹回答以下题目,根据 ‘ ChatStorage(ios).sqlite ‘ , 用户数据Peter Chow (85262012141)在什么日期和时间(以UTC +8时区)曾经通过实时通讯软件送出一个信息(内容为: I am already home)? 提示:以UTC +8时区作答,并以YYYY-MM-DD_HH:MM:SS格式作答,例如:2023-01-01_10:01:01 (答案无需输入UTC +8)
2023-04-01_11:21:51
ChatStorage(ios).sqlite在\Meiya_cup_2023\Individual\IOS\10\Active\var\mobile\Applications\group.net.whatsapp.WhatsApp.shared
在ZWAMESSAGE表中可以找到日期和时间,但是是时间戳的形式
写个脚本转化一下
1 | import datetime |
转化到时区 UTC+8为2023-04-01 11:21:51
63、[填空题] 参考 ‘ IOS ‘ 文件夹回答以下题目,根据影片IMG_0687.MOV的原数据,找出影片拍摄时间?提示:以UTC +8时区作答,并以YYYY-MM-DD_HH:MM:SS格式作答,例如:2023-01-01_10:01:01 (答案无需输入UTC +8)(不会)
2023-06-06_18:11:29
64、[单选题] 参考 ‘ IOS ‘ 文件夹回答以下题目,根据 ‘ CallHistory(ios).storedata ‘,哪份表格显示了通话记录?
B. ZCALLRECORD
A. ZCALLBPROPERTIES
B. ZCALLRECORD
C. Z_2REMOTEPARTICIPANTHANDLES
D. Z_METADATA
E. Z_MODELCACHE
F. Z_PRIMARYKEY
直接一个一个表看过去
65、[填空题] 参考’ IOS ‘ 文件夹回答以下题目,根据 ‘ com.apple.sharingd.plist ‘,这部手机的隔空投送的身份标识号(AirDrop ID)是什么?提示:请以阿拉伯数字与小写字母作答
2abd0940fbdc
com.apple.sharingd.plist在\Meiya_cup_2023\Individual\IOS\13
66、[填空题] 参考 ‘ IOS ‘ 文件夹回答以下题目,根据 ‘ Accounts3.sqlite ‘,这部手机的苹果使用者账号 (Apple ID) 是什么?提示:请以电邮格式作答(例:jack2023@hotmail.com)
Accounts3.sqlite在\Meiya_cup_2023\Individual\IOS\14
理论
67、[单选题] 哪一行代码的是负责更新在GitHub使用中的 .journal 文件的更新历史记录 ?
line 1 git config –global user.name “mikesezto”
line 2 git config –global user.email “smike@general.org“
line 3
line 4 cd which-truth
line 5 rm.journal
line 6
line 7 git add.journal
line 8 git commit -m “Remove sensitive data”
line 9 git push
line 10
line 11 git clone –mirror http://github.com/smike/which-truth
line 12
line 13 java -jar bfg.jar –delete-files.journal which-truth
line 14 cd which-truth
line 15 git reflog expire –expire=now –all
line 16 git gc –prune=now –aggressive
line 17 git push –force
A. 08
A. 08
B. 13
C. 16
D. 17
68、[单选题] 下列哪一行AWS S3 Bucket授权策略中的设置有问题?
line 1 {
line 2 “Version”: “2020-11-12”,
line 3 “Statement”: [
line 4 {
line 5 “Sid”: “PublicReadGetObject”,
line 6 “Effect”: “Allow”,
line 7 “Principal”: “*”,
line 8 “Action”: “s3:GetObject”,
line 9 “Resource”: “arn:aws:s3:::company-sensitive-14dnid23nfief/*”
line 10 }
line 11 ]
line 12 }
B. 7
A. 2
B. 7
C. 8
D. 9
69、[单选题] 以下哪项是多重身份验证 (MFA) 的示例
A. PIN 码和软件令牌 PIN and software token
A. PIN 码和软件令牌 PIN and software token
B. 指纹和视网膜扫描 fingerprint and retinal scan
C. 用户名和密码username and password
D. 一次性短信代码和硬件令牌one-time SMS code and a hardware token
70、[单选题]AWS用家在户口网络进行设定,而这些设定会记录用户或第三者的活动。第 11 行代码中的设定可以找到哪些用户或第三者的活动信息?
line 1 sudo yum install python-pip -y
line 2 sudo pip install opencanary
line 3
line 4 sudo opencanaryd –copyconfig
line 5
line 6 opencanaryd –start
line 7
line 8
line 9 sudo yun install jq -y
line 10
line 11 jq -r .src_host /var/tmp/opencanary.log | grep -V ^$ | sort | uniq > -/sources.txt
line 12 jq -r .logdata.USERNAME /var/tmp/opencanary.log | grep -V null | sort | uniq > -/usernames.txt
line 13 jq -r .logdata.PASSWORD /var/tmp/opencanary.log | grep -V null | sort | uniq > -/passwords.txt
D. Attacker Source 攻击者的来源
A. User Name 用户的名称
B. User Source 用户的来源
C. Attacker Name 攻击者的名称
D. Attacker Source 攻击者的来源
71、[单选题] AWS用户设置了一个VPC,IP地址范围为10.0.0.0-10.0.0.24。 下列哪个 IP 地址用于 DNS ?
C. 10.0.0.2
A. 10.0.0.0
B. 10.0.0.1
C. 10.0.0.2
D. 10.0.0.3
72、[单选题] 以下哪种类型的云服务用于操作系统和网络 ?
C. 基础架构即服务 Infrasture as a Service
A. 软件即服务Software as a Service
B. 平台即服务Platform as a Service
C. 基础架构即服务 Infrasture as a Service
D. 数据即服务 Data as a Service
73、[单选题] 以下哪项是Bastionhost的特点?
C. 限制暴露的服务 Limits exposed services
A. 包含敏感信息 Contains sensitive information
B. 无法访问内部系统 No access to internal systems
C. 限制暴露的服务 Limits exposed services
D. 没有连接到互联网 No connection to the internet
74、[单选题] 在Linux系统中,哪个命令可以用于创建文件系统?
B. mkfs-ext4 /dev/sda2
A. mount /dev/sda3 /mnt/usb
B. mkfs-ext4 /dev/sda2
C. mkfs-ext3 /sys/sda1
D. pvcreate /dev/sda
E. genfstab -U -p /mnt
75、[单选题] ‘Link’实际上是指向LINUX系统中另一个文件或文件夹的指标。以下哪个命令可以产生下面的结果:
> ls -ilas
|total 0
|9731253 0 drwxr-xr-x 1 user users 4096 Jul 14 13:31 .
|1725961 0 drwxr-xr-x 1 user users 4096 Jul 14 13:29 ..
|90371467 0 -rw-r–r– 2 user users 90 Jul 14 13:30 testing.txt
|90371467 0 -rw-r–r– 2 user users 90 Jul 14 13:30 shotcut-testing.txt
C. ln testing.txt shotcut-testing.txt
A. link -s testing.txt shotcut-testing.txt
B. ln -s shotcut.txt testing.txt
C. ln testing.txt shotcut-testing.txt
D. ln -s testing.txt shotcut-testing.txt
E. ln shotcut.txt testing.txt
76、[单选题] 以下哪个命令用于在Linux系统中创建分区?
A. gdisk /dev/sde
A. gdisk /dev/sde
B. mke2fs /dev/sdb1 -t ext4
C. mount /dev/sdc1 /mnt/fs_home
D. fdisk -lu
E. lvcreate -l +200 /dev/vg00/log/vol-00
77、[单选题] 一个系统管理员要扩展运行在LVM系统中的服务器存储。以下哪个命令可以用于扩展LVM中的逻辑卷?
E. lvresize -l +200 /dev/vg02/vol-01
A. lvdisplay /dev/vg02/vol-01
B. lvcreate -n /dev/vg02 -l 200
C. lvextend -n /dev/vg02 -l +200
D. lvscan -l +200 /dev/vg02/vol-01
E. lvresize -l +200 /dev/vg02/vol-01
78、[单选题]一个系统管理员编写了一个bash代码来构建一个RAID系统,如下所示,将要实现什么类型的RAID?
| #!/bin/bash
| hd1=/dev/sda1
| hd2=/dev/sdb1
| hd3=/dev/sdc1
| hd4=/dev/sdd1
| mdadm –build /dev/md1 –level=1 –raid-devices=2 $hd1 $hd2
| mdadm –build /dev/md2 –level=1 –raid-devices=2 $hd3 $hd4
| mdadm –build /dev/md3 –level=0 –raid-devices=2 /dev/md2 /dev/md1
C. RAID 1+0
A. RAID 0
B. RAID 1
C. RAID 1+0
D. RAID 0+1
E. 这个代码不起作用 (No effect)
79、[单选题]以下是运行在LINUX服务器中的服务清单。以下哪个命令可以关闭“bluetooth.service”服务?
|● vm-production-xabonline.com
| State: running
| Jobs: 0 queued
| Failed: 0 units
| Since: Fri 2023-05-19 08:37:06 UTC; 2 months 11 days ago
| CGroup:
| ├─init.scope
| │ └─ 1 /sbin/init
| ├─system.slice
| │ ├─bluetooth.service
| │ │ └─ 737 /usr/lib/bluetooth/bluetoothd
| │ ├─dbus.service
| │ ├─docker.service
| │ │ └─ 853 /usr/bin/dockerd -H fd://
| │ ├─libvirtd.service
| │ │ └─ 2975 /usr/bin/libvirtd –timeout 120
| │ ├─polkit.service
| │ └─virtlogd.service
| │ └─ 3176 /usr/bin/virtlogd
| └─user.slice
| └─user-1000.slice
D. systemctl stop bluetooth.service
A. systemctl kill bluetooth.service
B. systemctl disable bluetooth.service
C. systemctl down bluetooth.service
D. systemctl stop bluetooth.service
E. systemctl rm bluetooth.service
80、[单选题]cron服务在LINUX系统中充当作业调度程序。它实际上是在cron表(crontab)中指定的命令行列表。现在准备启动和关闭一个Web服务器(httpd.service),如下所示:
上午8时30分(启动)- 下午6时06分(关闭);周一至周五
AM 0830 (start) - PM 0606 (Closed) ; Monday to Friday
以下哪个crontab设置适用于这种情况?
B. 30 8 * * 1-5 /usr/bin/systemctl start httpd.service 及 06 18 * * 1-5 /usr/bin/systemctl stop httpd.service
A. 30 8 * 1-5 * /usr/bin/systemctl start httpd.service 及 06 18 * 1-5 * /usr/bin/systemctl stop httpd.service
B. 30 8 * * 1-5 /usr/bin/systemctl start httpd.service 及 06 18 * * 1-5 /usr/bin/systemctl stop httpd.service
C. 30 8 1-5 * */usr/bin/systemctl start httpd.service 及 06 18 1-5 * */usr/bin/systemctl stop httpd.service
D. 30 8 * * * /usr/bin/systemctl start httpd.service 及 06 18 * * * /usr/bin/systemctl stop httpd.service
E. 以上都不是
81、[单选题] 以下哪个Linux命令可以显示目录中的所有文件,包括隐藏文件?
B. ls -asl
A. ls -ls
B. ls -asl
C. ls -lAs | wc
D. ls -als | grep ssh
E. None
82、[单选题] 如果您想要检查Linux系统上可用的剩余磁盘空间量,您会使用以下哪个命令?
A. df -vh
A. df -vh
B. df -sh
C. dl -vh
D. dd -sh
E. dt -vh
83、[单选题] Dockerfile是一个文本文档,用于在Docker架构中生成以下哪个组件?
B. image
A. docker engine
B. image
C. container
D. volumes
E. docker network
84、[单选题] 在Linux系统中,运行中程序的进程并位于内存区域,可以通过检查文件/proc/[pid]/maps来显示这些内存区域。以下哪个不是Linux系统中的内存区?
C. [paging]
A. [heap]
B. [stack]
C. [paging]
D. [vvar]
E. [vdso]
85、[单选题] 以下命令中,哪个命令可以对”export-logs”输出进行排序?
D. export-logs|sort
A. export-logs<sort
B. export-logs>sort
C. export-logs&sortD
D. export-logs|sort
E. export-logs<>sort
86、[多选题] 哪些文件会影响Linux主机的名称解析功能?
ABD
A. /etc/resolv.conf
B. /etc/hosts
C. /etc/default/names
D. /etc/nsswitch.conf
E. /etc/inet/hosts
87、[单选题] 哪个系统文件包含了一般的端口、关联的服务和协议?
A. /etc/services
A. /etc/services
B. /etc/sysconfig/network-scripts
C. /etc/services.conf
D. /etc/inet/hosts
E. Noneofthechoices
计算机window10
88、[填空题] 参考’ Windows 10 ‘ 文件夹回答以下题目,在 Windows 10 中 \Users\qqqqq\Downloads,视频文件(mixkit-two-women-laying-together-925-medium.mp4),在MFT 中分成多少个Data Cluster 储存?提示: 请以阿拉伯数字作答
5
用x-ways转化为镜像
找到文件所在的位置
查看Cluster
按理来说应该是有1595个数据簇,但是官方给的答案是5所以应该是要让我们答片段,怪的很
89、[单选题]参考’ Windows 10 ‘ 文件夹回答以下题目
在 Windows 10 中 \Users\qqqqq\Downloads\ mixkit-two-woman-laying-together-925-medium.mp4 的last Access 时间是多少?
A
A. 2023/07/10 18:31:32
B. 2023/07/10 18:31:01
C. 2023/07/10 19:31:22
D. 2023/07/11 19:31:22
计算机windows7
90、[填空题]参考’ Windows 7 ‘ 文件夹回答以下题目,在 Windows 7 中 \Users\Allen\Desktop,有1个MP3 文件 (例:unlock-me-149058.mp3),用户使用什么程序打开该MP3 文件? 提示:请以小写字母作答
potplayer
91、[单选题] 参考’ Windows 7 ‘ 文件夹回答以下题目,在 Windows 7 中 ‘ \Users\Allen\Desktop ‘有1个MP3 文件 (unlock-me-149058.mp3),该文件的Zone identiflier为’3’。上述’3’字代表哪一个security Zone ?
B. Internet Zone
A. Local Machine Zone
B. Internet Zone
C. Restricted Zone
D. Trust Site Zone
理论题
92、[单选题] 参考’ Windows 7 ‘ 文件夹回答以下题目,在 Windows 7 中 \Users\Allen\Desktop有1个MP3 文件 (unlock-me-149058.mp3),该文件从哪个网站下载?
B. free-mp3-download.net/
D. mygomp3.com
93、[单选题] 参考’ Windows 7 ‘ 文件夹回答以下题目 With reference to ‘ Windows 7 ‘ folder to answer below question 在 Windows 7 中 \Users\Allen\Downloads 内有mp3文件 (miracle.mp3), 更改名称时间?
D. 2023-07-13 10:55:20
A. 2023-07-13 02:55:20
B. 2023-07-15 10:55:20
C. 2023-07-12 10:58:04
D. 2023-07-13 10:55:20
文件溯源,筛选miracle.mp3
94、[填空题]参考’ Windows 7 ‘ 文件夹回答以下题目,在 Windows 7 中 \Users\Allen\Downloads 内有mp3文件 (miracle.mp3), mp3文件更改名称前的名称是什么? 提示: 请以与记录相同的名称与文件格式作答
a-small-miracle-132333.mp3
95、[单选题] 参考’ Windows 7 ‘ 文件夹回答以下题目,在 Windows 7中有多少个文件曾被potplayer 播放?
B. 8
A. 7
B. 8
C. 9
D. 10
看别人的wp是这么做的但是我感觉很离谱,这都只是最近的有可能不全。
96、[填空题]参考’ Windows 7 ‘ 文件夹回答以下题目,在 Windows 7中, potplayer最后播放的文件名?提示: 请以与记录相同的名称(包括小写字母、阿拉伯数字与符号)与文件格式作答
unlock-me-149058.mp3
这题也是感觉很奇怪,接上题最后访问时间应该是easy-lifestyle-137766.mp3,但是看别人的wp说仿真后进去看播放清单是unlock-me-149058.mp3,官方答案也是unlock-me-149058.mp3。
理论
97、[单选题]事件应急小组 ( IR team)正在处理一起网络事件。 调查显示,目标服务器是一个 EC2 Linux 实例,与该事件有关。
该团队打算获取Linux系统的内存(使用SHA256)。 与该事件关联的 AWS 账户以用户名“duckman”注册。 为了促进内存获取过程,该团队建立了专用的“取证服务器”。 并使用“LiME”通过网络获取内存。
以下哪一个指令是设定取证服务器以作取得内存内容的初步步骤?
C. scp -I
/DFIRSciAWTest.pem lime.ko ec2-duckman@3.137.169.127:/scp -I/DFIRSciAWTest.pem /usr/bin/nc ec2-duckman@3.137.169.127:/
A. nc -l 4444 >mem126.lime.gz
B. Insmod lime.ko “pathtcp:4444 format=lime digest=sha256 compress=1”
C. scp -I /DFIRSciAWTest.pem lime.ko ec2-duckman@3.137.169.127:/scp -I /DFIRSciAWTest.pem /usr/bin/nc ec2-duckman@3.137.169.127:/
D. ssh duckman@
数据分析
98、[单选题]基于两个 SQLite 数据库文件“cus_202308102034.json”和“date_202308101120.json”。(有争议)
请编译一个 SQLite 脚本找出谁前往目的地“莫斯科”
包括
-所有客户的姓名、
-目的地、
-“arrival_timestamp_HK”[将时间戳转换为本地时间并将该列命名为“local_time”]。
D. SELECT cus.customer_name, cus.destination, datetime(date.arrival_timestamp_HK, ‘unixepoch’, ‘localtime’) AS arrival_time_hkFROM cusINNER JOIN date ON cus.destination = date.Destination WHERE cus.destination = ‘Moscow’ AND date.Destination = ‘Moscow’ AND date.arrival_timestamp_HK IS NOT NULL AND datetime(date.arrival_timestamp_HK, ‘unixepoch’, ‘localtime’)
A. SELECT c.customer_name, c.destination, datetime(d.arrival_timestamp_HK, ‘unixepoch’, ‘localtime’) AS arrival_time_hkFROM cus cINNER JOIN date d ON c.destination = d.Destination WHERE c.destination = ‘Moscow’
B. SELECT cus.customer_name, cus.destination, datetime(date.arrival_timestamp_HK, ‘unixepoch’, ‘localtime’) AS arrival_time_hkFROM cusINNER JOIN date ON customer_id = date.id WHERE cus.destination = ‘Moscow’ AND date.Destination = ‘Moscow’ AND date.arrival_timestamp_HK IS NOT NULL AND datetime(date.arrival_timestamp_HK, ‘unixepoch’, ‘localtime’)
C. SELECT cus.customer_name, cus.destination, date.arrival_timestampFROM cusINNER JOIN date ON cus.destination = date.destination;WHERE cus.destination = ‘Moscow’ AND date.Destination = ‘Moscow’
D. SELECT cus.customer_name, cus.destination, datetime(date.arrival_timestamp_HK, ‘unixepoch’, ‘localtime’) AS arrival_time_hkFROM cusINNER JOIN date ON cus.destination = date.Destination WHERE cus.destination = ‘Moscow’ AND date.Destination = ‘Moscow’ AND date.arrival_timestamp_HK IS NOT NULL AND datetime(date.arrival_timestamp_HK, ‘unixepoch’, ‘localtime’)
Powershell脚本
99、[填空题] 写一个Powershell的脚本以提取正在连接到Window 11计算机的可移动设备的记录。就每一个装置记录,提取相关的数据如装置名称、制造商、装置详情、硬件编号。及后用 “Write-Host” 指令题示数据。
1 | $removableDevices = Get-PnpDevice | Where-Object { $_.Class -eq "DiskDrive" } |
100、[填空题]以下 PowerShell 脚本用于从 Windows Server 2012 R2 获取具有管理员权限的所有使用者活动。
1 | Get-WinEvent -FilterHashtable @{ |
使用 “Where-Object” 命令来进一步过滤事件。
事件的属性 “$_.Properties[?]” 中的参数是什么?
如果事件的第 9 个属性与内建的 Administrator 账户的安全标识符(SID:S-1-5-21–500)匹配,则确保只选择与管理员活动相关的事件。
8
