标签：容器 13 07 2019 答案 长安 服务器 第一届

案情介绍

在一起电诈案件中，受害者称自己的银行卡被他人冒用，曾收到假冒公安的短信，因为自己在一个P2P网站中理财，假冒公安称该网站已被列外非法网站，要自己到公安备案网站填写自己的信息，并帮助自己追回本金，因此信以为真，在网站上填写了自己的信息和绑定的银行卡信息；办案机关推测嫌疑人可能是获取了P2P网站中的注册用户信息，从而进行定向诈骗，因此调取了P2P理财网站的服务器，现委派你对该服务器进行电子数据取证。

题目

wp借鉴了以下blog：
https://forensics.xidian.edu.cn/wiki/ChanganCup2019/#part-1
https://blog.csdn.net/weixin_60498532/article/details/132561114

检材一

你获得该P2P理财网站服务器硬盘镜像文件“检材1.E01”，根据这个镜像文件，回答下列问题：

1、计算“检材1.E01”镜像的SHA256值是多少（ ）

A.2b20022249e3e5d66d4bbed34ad337be5dd77b313c92dfe929aa56ed71449697
B.6a574c40548110598bd4c88520d34b37d13b372066737ede3104743f986b7263
C.5ee0b3809807bf8a39453695c5835cddfd33f65b4f5bee8b5670625291a6bc1c
D.8495b678da27c64b54f083afefbcf9f83f94c1de133c70c175b4a784551939dd
计算哈希

答案：B

2、该服务器的操作系统版本是什么（ ）

A. CentOS release 6.5 (Final)
B. Ubuntu 16.04.3 LTS
C. Debian GNU/Linux 7.8 (wheezy)
D.CentOS Linux release 7.6.1810(Core)
xterminal连接不上

去搜了一下（注意关键词密码正确但用户认证失败），更改配置文件

vim /etc/ssh/sshd_config

这里两处原来都是no，将他更改为yes，再指令systemctl restart sshd,就可以连接上了
ps：不连也可以直接在vm里做

连接完之后，题目问操作系统版本

cat /etc/centos-release

• 答案：D

3、该服务器内核版本是多少（ ）

A.3.10.0-957.el7.x86_64
B. 3.2.0-4-amd64
C. 4.8.0-52-generic
D. 4.10.0-28-generic

uname -a

答案：A

4、原服务器存在多少硬盘分区？（ ）

A.1
B.2
C.3
D.4

sudo fdisk -l

或者

lsblk

答案：B

5、原服务器中硬盘分区其中含有一个LVM逻辑卷的分区，请找出该分区内开始的逻辑区块地址（LBA）。（答案格式： 扇区，Sector)

A.0
B.2048
C.2099200
D.4194344

通过上一题我们可以看到sda2硬盘分区是lvm，还是使用sudo fdisk -l

答案：C

6、该LVM逻辑卷分区内root逻辑卷的文件系统是什么？（ ）

A.NTFS
B.EXT4
C.SWAP
D.XFS

lsblk -f

答案：D

7、该LVM逻辑卷分区内root逻辑卷的物理大小是多少？（单位：byte）（ ）

A. 2,147,483,648
B. 2,147,504,128
C. 18,249,416,704
D. 20,400,046,080

同第五题的命令

答案：C

8、请找出该服务器的网站访问端口是什么？（ ）

A.22
B.25
C.80
D.8091

用指令去查所有的端口，发现被监听的ip中只有一个可视

netstat -tuln

答案：B

9、该服务器中运行了docker应用，在本地有多少docker镜像？（ ）

A.10
B.11
C.12
D.13

docker images列出所有的容器镜像，这里一开始把容器节点当作docker镜像

答案：A

10、该docker应用的server版本是多少？（ ）

A.16.05.2
B.17.03.8
C.18.09.7
D.19.03.3

运用指令

docker version

显示出来是客户端和服务器，我们只看服务器就好了
答案：C

11、该docker应用中总共有多少容器节点？（ ）

A.10
B.11
C.12
D.13

查看容器节点对应的就是查docker容器，docker ps -a列出所有的容器

答案：B

12、运行中的容器节点有多少？（ ）

A.1
B.2
C.3
D.4

docker ps是列出所有正在运行的容器

答案： C

13、在运行中的容器节点中，其中一台容器名称为romantic_varahamihira的容器节点，它的hostname是什么？（ ）

A. 16fc160060c1
B. 1ef6292872e0
C. 753abb28b629
D. 53766d68636f

根据上一题，我们找到了对应的容器

再根据容器id查看详细的信息

docker inspect 53766d68636f

答案：D

14、上题容器节点中，占用了主机的哪个端口？（ ）

A.25
B.8012
C.8091
D.未占用端口

根据12题就可以看到

答案：B

15、在运行中的容器节点中，其中一台容器ID为15debb1824e6的容器节点，它运行了什么服务？（ ）

A.ftp
B.ssh
C.nginx
D.smtp

根据12题查到相应的容器，并看到使用的命令是开启了ssh服务

答案：B

16、上题容器节点中，占用了主机的哪个端口？（ ）

A.22
B.8091
C.39999
D.未占用端口、

见上题，看到转了接口，意思是从主机的39999接口映射到了22端口
答案：C

17、该服务器中网站运行在docker容器中，其中web服务使用的是什么应用？（ ）

A.apache
B.tomcat
C.nginx
D.IIS

十二题呈现的三个容器中，第三个容器使用的命令是启动nginx，运行前端服务，与题目的符合
答案：C

18、上题所述运行web服务的容器节点，使用的镜像名称是什么？（格式REPOSITORY：TAG）（ ）

A.apache: latest
B.tomcat: jessie-slim
C.nginx: jessie-slim
D.nginx: latest

题目要的是镜像的名字，所以我们就不能用docker ps -a看名称，因为该指令显示的是容器的名称

所以我们用过该指令确定容器的名称和服务，再到另外一个容器里去找

docker images

我们知道是用的nginx的服务，所以直接得到tag，也符合题目的要求
答案：D

19、上题所述容器节点占用的容器端口是什么？（ ）

A.22
B.80
C.8091
D.未占用端口

容器端口就是映射到的端口

答案：B

20、网站目录所在的容器内部路径为（格式：容器ID：路径）（ ）

A. d1085c1a8828:/home/ vue2-element-touzi-admin
B. 53766d68636f:/ home/ vue2-element-touzi-admin
C. 16fc160060c1:/var/www/ vue2-element-touzi-admin
D. 15debb1824e6: /var/www/ vue2-element-touzi-admin

首先A项的容器都没有运行，直接排除（其实不能这么做，还是应该启动容器，然后进入到目录里去看），看看其他的容器
B项


看解释是管理系统的模板，按照经验或看下一题都可以判断
答案：B

21、网站目录所在的主机路径为下列选项中的哪个？（ ）

A./var/lib/docker/overlay2/cca977c8ca4a251023000285fbc8b4556636e1adc53cb012c84133a7b857abfc/diff/home/vue2-element-touzi-admin
B./var/lib/docker/overlay2/fd27756120785ef656c9211b6147ef5f38d6a9811006d85359458f7fa8d45415/diff/home/vue2-element-touzi-admin
C./var/lib/docker/overlay2/f405ba5e3f1f0e04a3585fbc95a47d13b4009dd9d599ac91015babebd5a5ff9b/diff/var/www/ vue2-element-touzi-admin
D./var/lib/docker/overlay2/d42b9a02aa87386b137242f691cb3e6303c4c0f3441419efb17ff550fdf5de28/diff/var/www/ vue2-element-touzi-admin
inspect看一下具体信息有没有

docker inspect 537

答案：A

22、网站日志的路径在哪？（格式：容器ID：路径）（ ）

A. 53766d68636f:/etc/nginx/logs/jrweb.log
B. 53766d68636f:/var/log/access.log
C. 16fc160060c1:/etc/nginx/logs/jrweb.log
D. 16fc160060c1:/var/log/access.log

这里应该是要去看配置文件，在上面我们知道网站用了nginx服务，所以先去看nginx对应的那个服务器

根据C也是找到了相应的文件
答案：C

23、案发当时，该服务器的原始IP地址是多少？（ ）

A.192.168.160.89
B.192.168.184.100
C.192.168.120.111
D.192.168.184.128

在上一题中我们发现了服务器对应的log，查看一下

cat /etc/nginx/logs/jrweb.log

答案：D

24、在docker中，各容器节点和主机之间的网络连接模式是什么？

A. bridge模式 
B. host模式
C. container模式
D.none模式

gpt一下，docker容器与主机的联系是桥接的模式

答案：A

25、当我们想将网站重构好时，访问网站时，web应用在其中承担什么样的工作？（ ）

A.运行网站
B.转发
C.反向代理
D.负载均衡

答案：A

26、从网站日志中，我们可以看到嫌疑人入侵服务器所使用的IP是?

A.192.168.184.1
B.192.168.160.89
C.192.168.184.133
D.192.168.160.169

23题已经找到日志，简单粗暴一点就直接grep选项
在C项中是可以看到密码登陆的所以判定为入侵

答案：C

27、网站目录中网站的主配置文件是哪一个？(相对路径)（ ）

A./config/index.js
B./server/api.js
C./server/index.js
D./src/main.js

题目说到网站目录的配置，还是到启动nginx服务的那个容器里去找

docker exec -it 53766d68636f /bin/bash
cd /home/vue2-element-touzi-admin
cat README.md

答案：B

28、该网站使用的是什么数据库？（ ）

A.mysql
B.oracle
C.mongodb
D.redis

从上一道题的文件中是可以看到有关数据库的信息的，所以我们直接去server目录下找这个文件

还是在这个网站目录下去找server，就可以看到db.js

答案：C

29、所使用数据库的端口是多少？（ ）

A.1521
B.3306
C.6379
D.27017

从上一题的连接数据库记录就可以看到

答案：D

30、数据库所在服务器IP是多少？（ ）

A.192.168.160.131
B.192.168.184.131
C.192.168.160.169
D.192.168.184.129

见上题
答案：D

31、数据库的用户名是什么？（ ）

A.root
B.tougu
C.admin
D.goose

同上题

答案：A

32、数据库的密码是什么？（ ）

A.123456
B.admin
C.goose
D.root

同上题
答案：D

33、该网站所使用的数据库库名是什么？( )

A.root
B.tougu
C.admin
D.goose

答案：B

34、在案发时，黑客对该服务器某个文件/目录进行了加密，请问是哪个文件/目录？（ ）

A.~/.bash_history
B./var/log/
C./etc/ssh/sshd_config
D.~/ runit-agent.txt

查看历史指令，发现有encrypt加密的记录

答案：A

检材二

你获得了该P2P理财网站数据库服务器硬盘镜像文件“检材2.E01”，根据这个镜像文件，回答下列问题：
检材二的解压密码为检材一提及的数据库ip地址

35、该数据库服务器使用数据库的安装路径在哪？（ ）

A. /etc/mysql/
B. /home/redis/
C. /etc/mongo/
D. /var/lib/mongo/

挨个去翻就可以找到了

答案：D

36、数据库的配置文件的路径？（ ）

A./var/lib/mongo/mongo.conf
B./var/lib/mongo/mongod.conf
C./etc/mongod.conf
D./home/redis/redis.conf

和上一题一样挨个去找，只有C可以找到

答案：C

37、数据库的日志文件路径在哪里？（ ）

A./etc/redis.log
B./var/log/mongodb.log
C./var/log/mongodb/mongod.log
D./var/lib/mongo/mongo.log

还是按照路径去翻就可以得到选项只有C可以找到

答案：C

38、该数据库的网站用户表名是什么？（ ）

A.user
B.users
C.touzi
D.licai

在上面的查看数据库路相关信息时存在相关记录

其中mongoose只是创建的方法，第一个users是模型的名字，第二个users是表的名字
答案：B

39、该数据库中网站用户表里的密码字段加密方式是（ ）

A.未加密
B.双重MD5
C.MD5加salt
D.MD5

还是回到检材一里去看，这里知道server目录下的api.js去查看，要看这种加密方式，还是要看从数据库调取数据时有没有加解密这样的操作


这里看到用户密码验证时，并没有进行其他操作，断定没有加密
答案：A

40、该用户表被做过什么样的修改？（ ）

A.删除用户
B.修改用户密码
C.修改用户名
D.添加用户

一开始还想着到上面提到的log文件里去找，发现没有什么有用线索，看看大佬的解法吧
/root/.dbshell文件中记录了mongodb的shell命令，所以到数据库那个服务器里直接去找这个文件就可以了

发现有关users这个表的命令，更新了admin用户的密码
答案：B

41、嫌疑人对该数据库的哪个库进行了风险操作？（ ）

A.licai
B.touzi
C.tougu
D.admin

进入到前面提到的数据库日志里grep，
A项

B项没有查到相关记录
C项中发现了删库的相关操作，先看的wp才知道的，这里的dropdatabase就是删除数据库的操作，后面更是删除了相关表的信息记录

D项

答案：C

42、嫌疑人对上述数据库做了什么样的风险操作？（ ）

A.修改库名
B.添加库
C.查询库
D.删除库

根据上一题就可以知道
答案：D

43、嫌疑人在哪个时间段内登陆数据库？（ ）

A.18:03-18:48
B.18:05-18:45
C.18:01-18:50
D.18:05-18:32

在数据库日志里，找了一圈没找到，去看登陆日志，直接用last指令

找到对应的last指令对应的文件，路径：/var/log/wtmp

在看历史登陆记录时，我们看到了之前提到的嫌疑人的ip，就可以判断登陆时间
答案：D

44、嫌疑人在什么时间对数据库进行了42题所述的风险操作？（ ）

A.18:09:37
B.18:09:40
C.18:09:44
D.18:09:50

根据42题就可以判断
答案：A

检材三

经调查，你扣押获得了一台嫌疑人使用过的VPN服务器，并用服务器硬盘制作成“检材3.E01”镜像文件，根据该镜像文件，回答下列问题。
检材三压缩包密码为题26的ip地址

45、该服务器所使用的VPN软件，采用了什么协议（ ）

A.L2TP
B.PPTP
C.IPSec
D.NFS

用history指令去查看历史指令

明显可以看到有pptpd
答案：B

46、该服务器的时区为（ ）

A. Asia/ShangHai
B. Asia/Tokyo
C. Asia/Bangkok
D. Asia/Dhaka

查看时区的指令或者到timezone文件里找，这里没找到

timedatectl

答案：D

47、该服务器中对VPN软件配置的option的文件位置在哪里？（ ）

A. /etc/ppp/options.pptpd
B./var/lib/vpn/options.pptpd
C./etc/ipsec/options.ipsecd
D./etc/l2tp/options.l2tpd

这里发现一个好用的指令locate，但是需要安装，实际操作不建议用，因为可能会破坏现场证据

答案：A

48、VPN软件开启了写入客户端的连接与断开，请问写入的文件是哪个？（ ）

A.wtmp
B.btmp
C.ftmp
D.tmp

在路径/etc/pptpd.conf下找到配置文件，在配置文件里发现有记录用户连接与断开记录在哪

答案：A

49、VPN软件客户端被分配的IP范围是（ ）

A.192.168.184.1-192.168.184.11
B.192.168.184.12-192.168.184.18
C.192.168.184.19-192.168.184.26
D.192.168.184.27-192.168.184.35

还是在上一题的文件中，通过途中文字解释，remote ip就是客户端被分配的ip

答案：B

50、由option文件可以知道，option文件配置了VPN软件的日志路径为（ ）

A./var/lib/logs/
B./etc/logs/
C./var/log/pptp/
D./var/log/

47题知道了option文件的位置，直接查看

答案：C

51、VPN软件记录了客户端使用的名称和密码，记录的文件是（ ）

A. /etc/l2tp/chap-secrets
B. /etc/ipsec/pap-secrets
C. /etc/ppp/chap-secrets
D. /etc/ppp/pap-secrets
AB没有该路径，D项文件内容为空
C项

答案：C

52、在服务器时间2019-07-02_02:08:27登陆过VPN客户端的用户名是哪个？（ ）

A. root
B. vpn1
C. vpn2
D. vpn3
需要找到对应的登陆日志，路径：/etc//var/log/ppp/pptpd.log

答案：A

53、上题用户登陆时的客户IP是什么？（ ）

A. 192.168.184.133
B. 172.16.81.101
C. 192.168.184.134
D. 192.168.43.238
见上题
答案：D

54、通过IP172.16.80.188登陆VPN服务器的用户名是哪个？（ ）

A. root
B. vpn1
C. vpn2
D. vpn3
导出文本直接搜索，对应login

答案：B

55、上题用户登陆VPN服务器的北京时间是（ ）

A. 2019-07-11_10:46:50
B. 2019-07-11_11:30:36
C. 2019-07-13_14:15:37
D. 2019-07-13_16:15:37
46题知道了时区是+06的形式，所以从日志里看到的时间还要加2个小时
答案：D

56、该服务器曾被进行过抓包，请问network.cap是对哪个网卡进行抓包获得的抓包文件？（ ）

A.eth0
B.ens33
C.ens37
D.ens160

这里一开始想法就是先locate一下看看能不能找到相关的，没找到，所以就去看看历史指令记录，看看抓包关于这个的指令

history

发现ens33相关记录
答案：B

57、对ens37网卡进行抓包产生的抓包文件并保存下来的是哪个?

A. network.cap
B. network1.cap
C. net0713.cap
D. net0713-1.cap

先找到了抓包存储的文件，但是两个选项都有，再往后看发现network1.cap被删了，同时network.cap也被删了，也就说明了上题为什么locate不到的原因

答案;D

58、从保存的数据包中分析可知，出口的IP为（ ）

A. 172.16.80.92
B. 172.16.81.101
C. 172.16.81.188
D. 172.16.80.133

根据上题得到保存的数据包是network1.cap，直接顺着路经去找，将流量包导出，wireshark查看一下，看流量包时看到echo-request，感觉不对劲，查一下是用ping命令发送数据包，结合wp是这个，但是不懂为啥，看看gpt解释

答案：A

检材四

你抓获了嫌疑人，并扣押了嫌疑人笔记本电脑，制作笔记本硬盘镜像文件“检材4.E01”，请根据镜像文件，回答下列问题：
172.16.80.188为检材4解压密码

59、计算“检材4.E01”文件的sha256值（ ）

A. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5
B. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6
C. e6e47e210bd56c7071ce73ab5523736120071d0f3da5335936d7beb25c3914cd
D. 1e646dec202c96b72f13cc3cf224148fc4e19d6faaaf76efffc31b1ca2cdd200

答案：C

60、请分析该检材的操作系统版本（ ）

A. Windows 10 Education
B. Windows 10 Home
C. Windows 10 Pro
D. Windows 10 Enterprise

xway手搓，操作系统版本放在注册表里，路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

答案：A

61、找出该系统用户最后一次登陆时间：（ ）

A. 2019-07-14 10:50:02
B. 2019-07-14 10:10:02
C. 2019-07-14 10:40:02
D. 2019-07-14 10:30:02
先用axiom分析出电脑的密码，但是md5的形式是，还要进一步的md5解密


这里是仿真进去后到事件日志里的secure里找id为4624或4647的时间，因为在相关信息中，用户信息看不到，所以无法判断哪一次是最后一次
火眼看一下登陆信息

答案：C

62、找出该系统最后一次正常关机时间：（ ）

A. 2019-07-14 17:30:05
B. 2019-07-14 10:30:05
C. 2019-07-14 11:30:05
D. 2019-07-14 12:30:05
这里就直接看4647就可以了，因为只提到关机

答案：C

63、请计算检材桌面上文本文件的sha256值：（ ）

A. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c5
B. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c6
C. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c7
D. 58a4ab5ee3dc4c4a279fa8287ed7dce315090512fa87127f8f9278c7972366c8

答案：A

64、该系统于2019年7月13日安装的软件为：（ ）

A. Eraser
B. Putty
C. Xftp
D. Xshell
这里用的axiom分析后看的

或者仿真后到控制面板里的卸载程序看

答案：A

65、找出该嫌疑人于2019-07-13 17:52:19时，使用WinRAR工具访问了_____文件：（ ）

A. navicat11.zip
B. we.tar.gz
C. test2-master.zip
D. BitLocker.rar
先看winrar得到发那个访问记录，发现没有时间

再火眼构建时间线，根据时间就可以找到
答案：

66、系统于2019-07-13 17:53:45时运行了___程序：（ ）

A. regedit.exe
B. WinRAR.exe
C. Xshell.exe
D. Foxmail.exe
看时间线就可以看到
答案：D

67、文件test2-master.zip是什么时间下载到本机的：（ ）

A. 2019-07-13 14:21:01
B. 2019-07-13 17:22:01
C. 2019-07-13 15:23:01
D. 2019-07-13 16:20:01
路径：/users/eval/downloads
答案：D

68、文件test2-master.zip是使用什么工具下载到本地的：（ ）

A. Chrome
B. Internet Explorer
C. edge
D. 迅雷
从谷歌浏览器的下载记录里
答案：A

69、嫌疑人成功连接至192.168.184.128服务器的时间为：（ ）

A. 2019-07-13 16:21:28
B. 2019-07-13 16:21:31
C. 2019-07-13 16:21:35
D. 2019-07-13 16:21:25
找关于xshell的log这类的文件，发现log文件夹为空，但是却发现了新建会话

在文件里也找到了题目的ip，再去看创建时间

答案：A

70、嫌疑人通过远程连接到128服务器，下载了什么文件到本机?

A. web.tar.gz
B. we.tar.gz
C. home.tar.gz
D. wwwroot.tar.g
在最近访问记录里找到了we.tar.gz，全局搜索也只搜到这一个
答案：B

71、承接上一题，下载该文件用了多长时间：（ ）

A. 10秒
B. 20秒
C. 15秒
D. 25秒
接上题看创建时间和修改时间相差15秒
答案：C

72、请计算该下载文件的sha256值：（ ）

A. 077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d8
B. 077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d7
C. 077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d6
D. 077d894557edf44e5792e0214e0f1c46b9b615be11ac306bcce2af9d666f47d5
在检材一的路径下：\var\lib\docker\overlay2\cca977c8ca4a251023000285fbc8b4556636e1adc53cb012c84133a7b857abfc\diff\home，找到该文件计算哈希值

答案：D

73、请分析并提取，嫌疑人所用的手机的IMEI号码：（ ）

A. 352021062748965
B. 352021062748966
C. 352021062748967
D. 352021062748968
从火眼分析中发现有一个ios数据备份


答案：C

74、嫌疑人是通过何种方式联系到售卖恶意程序的卖家的：（ ）

A. 微信
B. QQ
C. 短信
D. 邮件
回到源文件，将ios备份添加为检材，密码是仿真之后桌面上的标签

在qq聊天记录里发现售卖加密程序的记录

答案：B

75、嫌疑人和卖家的资金来往是通过何种方式：（ ）

A. 微信
B. QQ
C. 银行转账
D. 支付宝
从微信聊天记录里看到了微信转账

答案：A

76、嫌疑人在犯罪过程中所使用的QQ账号为：（ ）

A. 1649840939
B. 1137588348
C. 364505251
D. 1722629449
见74题
答案：A

77、卖家所使用的微信账号ID为：（ ）

A. refrain_C
B. flame_guan
C. chao636787
D. sword19880521
直接看微信聊天记录，一目了然

答案：C

78、嫌疑人下载了几个恶意程序到本机：（ ）

A. 1
B. 2
C. 3
D. 4
在聊天记录里找到三处关于源码的聊天记录，但是最后一条是解码，并非恶意程序



答案：B

79、恶意程序被嫌疑人保存在什么位置：（ ）

A. D:/DOWNLOAD
B. C:/USER
C. C:/
D. D:/
从计算机最近访问的记录来看，文件都是被存放在D盘

答案：D

80、恶意程序是使用什么工具下载到本地的：（ ）

A. Chrome
B. Internet Explorer
C. edge
D. 迅雷
在edge浏览器的下载记录里找到了对应的网址

答案：C

81、嫌疑人是什么时间开始对受害者实施诈骗的：（ ）

A. 2019-07-13 19:14:44
B. 2019-07-13 19:24:44
C. 2019-07-13 19:04:44
D. 2019-07-13 19:44:44
以为在qq和微信里，结果在短信里

答案：C

82、请提取受害者的银行卡信息，银行卡账号为：（ ）

A. 6225000088217563457
B. 6225000088257563456
C. 6225000088257563458
D. 6225000088257563459
在pc里找到了虚拟机的文件夹


直接去对vmdk进行仿真找不到相应的信息，但是在文件夹中发现了.vmx后缀的文件和磁盘快照，该磁盘快照是基于vmx制作出来的，而vmdk应该是没有操作过的。直接打开vmx文件，再发现路径：/home/admin888/fund下，有一个数据库文件，dbsql直接打开就可以了

在register_info表中发现了受害人的电话号码对应的张昊，id为4，再根据id在register_bank表里找到了对应的银行卡号

答案：B

83、请综合分析，嫌疑人第一次入侵目标服务器的行为发生在：（ ）

A. 2019-07-13 16:17:30
B. 2019-07-13 16:17:32
C. 2019-07-13 16:17:35
D. 2019-07-13 16:17:38
看到xshell连接，推测远程登陆，再到浏览器里搜一搜


答案：C

84、请综合分析，嫌疑人入侵服务所使用的登陆方式为：（ ）

A. SSH密码登陆
B. SSH密钥登陆
C. 连接后门程序
D. FTP登陆
结合xshell的分析结果发现还有相应的密钥

答案：B

85、可知嫌疑人应对外发送过邮件，请分析并找到发出的邮件，可知邮件的发送时间为：（ ）

A. 2019-07-13 17:55
B. 2019-07-14 17:56
C. 2019-07-14 17:57
D. 2019-07-14 17:58
wp写这里其实可以从qq的聊天记录看到发送这封邮件的账号，但是我的火眼确实没分析到，
在浏览器的记录里是发现了foxmail，没有找到邮件，但是发送邮件，服务器中是会有记录的，联想到之前有提到过抓包，58题的包里之前翻过并没有关于邮件的，再看看另外两个流量包，最终是在net0713这个包里找到的
电子邮件常用的协议有：SMTP、IMAP、POP，在流量包里到这几个协议里找就好了

找到对应的记录，导出imf，再用邮件打开就可以看到发送时间了


答案：B

86、可知嫌疑人应对外发送过邮件，请分析并找到发出的邮件，可知邮件收件人为：（ ）

A. [email protected]
B. [email protected]
C. [email protected]
D. [email protected]
通过上题截图就可以看到
答案：B

87、请重构被入侵的网站，可知该网站后台管理界面的登陆用户名为：（ ）

A. root
B. Administered
C. admin
D. user
在C盘文件备案平台里的网站用法就可以看到

答案：C

88、请重构被入侵的网站，并登陆网站后台管理界面，对该网站进行证据固定，可知该网站首页左侧导航栏，不包含下列那个内容：（ ）

A. 信息列表
B. 资金管理
C. 资金数据
D. 会员信息
发现压缩包有密码，再用pc桌面上的密码本爆破得到密码

在该磁盘文件里发现了构建网站的目录

在examplelmgs里可以看到对应的样张

答案：D

89、通过分析知，嫌疑人对目标服务器植入了勒索程序，请解密检材2中的被加密数据库，其sha256值为：（ ）

A. 8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a2
B. 8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a3
C. 8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a4
D. 8dcf2f71482bb492b546eec746c714be9324ea254778bf5cbb9e5115b30c77a5
在检材二的目录下找到被加密的数据库db.encrypt

看到加密程序，反编译main函数，找gpt写一个解密数据库的脚本

def decrypt_file(input_file, output_file):
    with open(input_file, 'rb') as f:
        encrypted_data = f.read()

    decrypted_data = bytes([((byte ^ 0xAA) - 66) % 256 for byte in encrypted_data])

    with open(output_file, 'wb') as f:
        f.write(decrypted_data)

if __name__ == "__main__":
    input_filename = "db.encrypt"
    output_filename = "db"
    decrypt_file(input_filename, output_filename)
    print("Decryption complete. Decrypted file saved as:", output_filename)

计算哈希值一下哈希值

在bitlocker加密的盘里也发现了一个db文件，计算一下哈希值，两者相同

答案：A

90、通过分析知，嫌疑人有对目标服务器植入ddos程序，对该程序进行功能性分析，可知该程序会将自身复制到目标机器的什么目录下：（ ）

A. /etc
B. /lib
C. /root
D. /tmp

91、通过分析知，嫌疑人有对目标服务器植入ddos程序，对该程序进行功能性分析，可知该程序主控地址为（多选）：（ ）

A. shaoqian.f3322.net
B. shaoqian.f3344.net
C. gh.dsaj3a2.org
D. gh.dsaj2a1.org
这两题应该是和runit.txt有关，但是一直没找到

92、压缩包test2-master.zip中的文件是什么？（ ）

A.恶意软件
B.加密程序
C.密钥文件
D.下载软件

解压查看文件，发现文件内容有private key，说明它是私人密钥

答案：C

93、应用程序TrueCrypt-7.2.exe是在什么时间下载到本机的？（ ）

A. 2019-07-06 00:04:38
B. 2019-07-06 00:06:38
C. 2019-07-06 00:08:38
D. 2019-07-06 00:10:38

在谷歌的下载记录里就可以找到

答案：C

94、文件runit.txt从哪个域名下载的？（ ）

A.https://pan.forensix.cn/lib/367d7f96-299f-4029-91a8-a31594b736cf/runit

B. https://pan.baidu.com/s/19uDE7H2RtEf7LLBgs5sDmg?errno=0&errmsg=Auth Login Sucess&&bduss=&ssnerror=0&traceid=
C.https://pan.forensix.cn/seafhttp/files/dec88b97-b2bc-414f-93a3-dcbbc15d615/runit
D. https://pan.forensix.cn/seafhttp/files/8fdf1982-e323-4efe-ae28-2bba21b5162c/runit
edge浏览器里，或者去看聊天记录

答案：D

95、BitLocker密钥在什么位置？（ ）

A. D:/DOWNLOAD
B. C:/USER
C. C:/
D. D:/
这直接去找是找不到的，到最近访问记录里才能找到

答案：B

96、BitLocker.rar生成的时间是？（ ）

A. 2019-07-13 17:51:47
B. 2019-07-13 17:52:19
C. 2019-07-13 17:53:24
D. 2019-07-13 16:31:06

这里也是直接去看winrar访问记录找不到，到最近访问程序里看到，去看创建时间

答案：B

97、文件we.tar.gz传输完成的时间是？（ ）

A. 2019-07-13 16:31:06
B. 2019-07-13 16;33:00
C. 2019-07-13 16:33:15
D. 2019-07-13 16:33:30

同上题，找we的最后完成时间，发现访问了三次，提取第一次的最后访问时间

答案：C

98、嫌疑人在什么时间登陆网页微信？（ ）

A. 2019-07-13 16:34:55
B. 2019-07-13 16:40:13
C. 2019-07-13 16:45:45
D. 2019-07-13 16:53:45

直接浏览器搜索网页微信，得到网址，再到浏览记录里找

只有在edge浏览器里才能找到对应的时间，但怎么判断是否登陆还是不理解

答案：A

99、嫌疑人于2019-07-13 17:22:23下载了什么文件？（ ）

A.网站目录压缩文件
B.数据库备份文件
C.网站日志文件
D.数据库日志文件

这里要到bitlocker加密的盘里去找，但是怎么被下载下来的还不是很清楚

答案：B

100、硬盘C盘根目录中，文件pagefile.sys.vhd的作用是什么？（ ）

A. pagefile页面交换文件
B. 虚拟机启动文件
C. 系统配置文件
D. 虚拟磁盘

因为打开该文件会显示bitlocker加密，所以是虚拟磁盘
答案：D

标签：容器,13,07,2019,答案,长安,服务器,第一届
From： https://www.cnblogs.com/Deskgod/p/18294863