检材及题目下载链接：https://pan.baidu.com/s/1N413QYOOcgKWnCBRj4osrA?pwd=jb6f

题目补充说明：

• 计算机取证，第六题中邮件为 “发送的最后一封邮件”

• 数据分析，第四题中，更新题干：2024年5月1日更改为2023年5月1日

• 流量分析第一题中，时区为北京时间

计算机取证

本次阶段共 1 个段落, 10 个小题 , 总共 19 分

请根据计算机检材，回答以下问题： (10个小题, 共19分)

1. [填空题] 计算机中曾挂载的Bitlocker加密分区的恢复密钥后6位为？（答案格式：6位数字） (1分)

   答：700755

   使用 ArsenalImageMounter挂载计算机镜像磁盘到本机上

   

   使用FileLocator Pro利用正则表达式(\b\d{6}-\d{6}-\d{6}-\d{6}-\d{6}-\d{6}-\d{6}-\d{6}\b)全文搜索计算机镜像挂载到本机的这几个的盘符，找到一个Bitlocker恢复密钥文件，恢复密钥后6位为700755

   

2. [填空题] 请写出曾远程连接过该计算机的IP；（答案格式：6.6.6.6） (1分)

   答：192.168.50.227

   远程桌面的相关事件主要记录在事件日志文件Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx中事件ID：1149和事件日志文件Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx中事件ID：24、25中。

   两个文件的都在：C:\Windows\System32\winevt\Logs\目录下

   事件ID：1149：远程桌面服务: 用户身份验证已成功:

   事件ID：24：远程桌面服务: 会话已断开连接:

   事件ID：25：远程桌面服务: 会话重新连接成功:

   步骤1.使用仿真或磁盘挂载的方式加载镜像，访问镜像文件系统盘目录下的C:\Windows\System32\winevt\Logs\，将Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx和Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx拷贝至本机电脑，直接双击会使用事件查看器打开。

   步骤2. 点击右侧菜单中的“筛选当前日志”。

   

   步骤3. Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx事件日志中远程桌面服务的事件ID是1149，然后输入1149过滤日志，在Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx则是过滤事件ID：24、25。

   

   步骤4. 然后，您将获得一个事件列表，其中包含与该服务器的所有远程桌面连接的历史记录。点击记录，即可看到远程桌面连接的详细信息，包括IP地址、计算机名、登录时间等，曾远程连接过该计算机的IP为：192.168.50.227。

   

3. [填空题] 计算机中曾挂载的vhd非加密分区驱动器号为？（答案格式：大写，如D） (1分)

   答：M

全局搜索搜索“*.vhd”，找到三个VHD文件，结合历史使用记录判断338899.vhd和996600.vhd是曾经挂载的VHD，接下来需要判断那个是非加密的以及其对应的驱动器号。

方法一：仿真后直接双击VHD文件挂载，之前挂载过的VHD系统默认还是使用上次挂载的驱动器号，可见996600.vhd是分加密分区，盘符号为M

方法二：分析注册表及VHD镜像

Windows所有的磁盘挂载记录及分配的驱动器号可以在注册表HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices 中查看到

使用Xway Forensics加载镜像文件，打开SYSTEM注册表（路径：C:\Windows\System32\config\SYSTEM）

对338899.vhd和996600.vhd进行分析，如果是MBR分区格式，则在注册表\MountedDevices的键值数据中会记录VHD的磁盘签名（Disk Signature），如果是GPT分区格式，则会记录记录VHD被挂载的那个分区的分区GUID。

使用Winhex或者直接在Xway Forensics中打开338899.vhd和996600.vhd，点击菜单栏 文件 → 打开（快捷键：Ctrl+O），选择要打开的磁盘镜像文件，点击菜单栏 专业工具 → 将镜像文件转化为磁盘，然后点击文本信息栏顶部一个形如 v 的按钮→ 分区表（模板）

Winhex自动识别该VHD磁盘是MBR分区格式，并使用Matser Boot Record（MBR）的模板显示了磁盘的相关信息，通过查看发现338899.vhd和996600.vhd都是MBR分区格式，其中338899.vhd的磁盘签名为3C 79 4F 8E（原始十六进制数据：8E4F793C（小端序））和996600.vhd的磁盘签名为FB 98 60 E1（原始十六进制数据：E16098FB（小端序））

通过分区表我们可以对照注册表SYSTEM\MountedDevices相关键值信息，来确定338899.vhd和996600.vhd之前挂载时被分配的驱动器号（盘符），可见驱动器号M:所对应的磁盘签名是E16098FB，也就是996600.vhd的磁盘签名，驱动器号G:所对应的磁盘签名是8E4F793C，也就是338899.vhd的磁盘签名。(关于注册表与盘符的关系，详见我的这篇文章：【取证】浅谈注册表与磁盘盘符的关系 | Fat Pig)

接下来需要判断，338899.vhd和996600.vhd哪个的分区是加密的，VHD分区加密一般就是Bitlocker，BitLocker加密分区会在文件系统头部写入 -FVE-FS- 标识，这是BitLocker卷加密的固定特征。该签名用于标识加密容器的类型和版本。我们可以直接使用WinHex搜索签名头文本**-FVE-FS-** 或者搜索签名头十六进制数据2D 46 56 45 2D 46 53 2D，若存在此签名，则表明该分区为BitLocker加密分区。通过搜索确定338899.vhd为加密分区，996600.vhd为非加密分区其对应的驱动号为M。

4. [填空题] 接上题，分区中最后修改时间的文件MD5值为？（答案格式：全大写） (1分)

答：0A7152C5AA002A3D65DC5C5C5FAAB868

5. [填空题] 请找到计算机中的Veracrypt加密容器，并写出其解密密码？（答案格式：字母大小写与实际需一致） (6分)

6. [填空题] 请写出IP为202.113.81.243的发件人向机主发送的邮件附件MD5值；（答案格式：全大写） (1分)

7. [填空题] 计算机中Will Wight - Cradle Series (Books 1-12)- MOBI.torrent文件的下载地址为？（答案格式：http://…） (1分)

8. [填空题] 计算机中lqrazqq016j41.jpg文件的删除时间为？（UTC+0800）（答案格式：1990-01-01 01:01:01） (1分)

9. [填空题] Fikret Ceker曾经向机主发送过一张照片，请找到该图片写出其拍摄的GPS坐标；（答案格式：保留小数点后4位，如33.3333N,33.3333E） (3分)

10. [填空题] 计算机中用户“李四”在最后一次成功登录之前登录失败了多少次？ （答案格式：纯数字） (3分)

手机取证

本次阶段共 1 个段落, 8 个小题 , 总共 19 分

请根据手机检材，回答以下问题（备份密码6666）： (8个小题, 共19分)

1. [填空题] 分析手机检材，写出苹果手机的序列号是多少？（答案格式：大小写与实际需一致） (1分)

2. [填空题] 分析手机检材，写出嫌疑人facebook账号的密码是多少？（答案格式：大小写与实际需一致） (1分)

3. [多选题] 分析手机检材，下列哪些地址是嫌疑人曾经去过的？ (2分)

A. 南宁市青秀区

B. 南宁市江南区

C. 济南市历城区

D. 上海市松江区

E. 上海市宝山区

4. [填空题] 分析手机检材，嫌疑人安装了用于记账的APP，请问该APP的包名是什么？（答案格式：com.abc.abc） (1分)

5. [填空题] 分析手机检材，嫌疑人记账APP中记录的使用支付宝支付的用于礼金红包的金额一共是多少？（答案格式：请写整数金额，如1230元） (5分)

6. [填空题] 分析手机检材，嫌疑人家里路由器密码是多少？（答案格式：大小写与实际需一致） (3分)

7. [填空题] 分析手机检材，写出嫌疑人最新家庭地址；（答案格式：XX市XX区XX路XX弄 (1分)

8. [填空题] 分析手机检材，嫌疑人团伙走私的“大麻”的单价是每克多少元？（答案格式：XX元/克） (5分)

服务器取证

本次阶段共 1 个段落, 6 个小题 , 总共 19 分

请根据服务器检材，回答以下问题: (6个小题, 共19分)

1. [填空题] 重建完整的系统后，redis对外暴露的端口号是多少？（答案格式：数字） (3分)

2. [填空题] 请找出加密mysql数据库连接密码所用的加密密钥（盐值）？（答案格式：注意大小写） (3分)

3. [填空题] 请分析得出相亲网站的后台数据库中哪张表存放了会员相关信息，写出表名？ (6分)

4. [填空题] 已知用户在系统中的所有操作都会被记录，请找出用户在“查询角色”时，其请求的后端路径地址为？（格式：/api/query/…） (3分)

5. [填空题] 请分析得出数据库用户表中status为-1状态值的含义为？（格式：学生） (1分)

6. [填空题] 请统计平均月均收入第二高的省份（省份包含三大类：省、直辖市、自治区）（答案格式：请写出完整的省份名（或直辖市名、自治区名），如江西省、天津市、西藏自治区） (3分)

程序功能分析

本次阶段共 1 个段落, 6 个小题 , 总共 14 分

请根据APK检材，回答以下问题： (6个小题, 共14分)

1. [填空题] 分析APK检材，请问程序申请了几项系统权限？（答案格式：6) (2分)

2. [填空题] 分析APK检材，请写出程序的入口邀请码；（答案格式：与实际大小写保持一致） (6分)

3. [填空题] 分析APK检材，该程序进行恶意行为时的文件使用的加密算法及加密模式是？（答案格式：大写，如XXX-XXX） (1分)

4. [填空题] 分析APK检材，该程序进行恶意行为时的文件使用的加密密钥是？（答案格式：与实际大小写保持一致） (3分)

5. [填空题] 分析APK检材，该程序上传文件的服务器通信URL是多少？（答案格式：https://xxxx/xx/xx） (1分)

6. [单选题] 分析APK检材，以下哪个是该程序存在的恶意行为？ (1分)

A. 偷偷调用前置摄像头拍照并上传图片至服务器

B. 偷偷调用后置摄像头拍照并上传图片至服务器

C. 后台偷偷录音并上传音频至服务器

D. 偷偷获取通讯录信息并上传服务器

E. 偷偷获取短信信息并上传服务器

网络流量分析

本次阶段共 1 个段落, 6 个小题 , 总共 19 分

请根据网络流量包检材，回答以下问题： (6个小题, 共19分)

1. [填空题] 分析网络流量包，请问目录遍历攻击开始时间是什么时候？（答案格式：1990-01-01 01:01:01） (1分)

2. [单选题] 分析网络流量包，可以发现哪种攻击行为？ (1分)

A. 网络钓鱼

B. SQL注入

C. 拒绝服务攻击

D. 恶意软件传播

E. 中间人攻击

3. [填空题] 分析网络流量包，黑客获取到的数据库名称是？（答案格式：小写） (3分)

4. [填空题] 分析网络流量包，黑客通过时间盲注获取到的数据是什么？（答案格式：与实际大小写保持一致） (6分)

5. [填空题] 分析网络流量包，黑客使用什么webshell管理工具控制服务器？（答案格式：请写中文名，无需填写版本号） (3分)

6. [填空题] 分析网络流量包，黑客通过后门执行的最后一条命令是什么？（答案格式：与实际大小写保持一致） (5分)

数据分析

本次阶段共 1 个段落, 4 个小题 , 总共 10 分

请根据数据分析检材，回答以下问题： (4个小题, 共10分)

1. [填空题] 分析数据库检材，该数据库中会员姓名包含“强”字的会员数量为多少？（答案格式：纯数字） (1分)

2. [填空题] 属于会员id“89378”的直接下级用户数为多少？（答案格式：纯数字） (1分)

3. [填空题] 请计算每名会员的总返佣金额，写出总返佣金额最大的会员id；（答案格式：纯数字） (3分)

4. [填空题] 计算在2024年5月1日到2024年5月30日之间（包含5月1日和5月30日），总提现金额大于1000的用户数量；（答案格式：纯数字） (5分)