1. 李大辉所用手机移动运营商公司的电话

mobile DUCK -》 DUCK

  1. 参考 ' Android.bin ' 回答以下题目 With reference to 'Android.bin' to answer below question 李大辉的手机安装了什么即时通讯软件 (Instant Messaging App)? What instant messaging app is installed on Li Dahui's mobile phone? (1分)

A.whatapps -》使用率最高的聊天软件

  1. 李大辉的手机安装了什么反追踪软件?

这道题有点难度

于是乎,我们从db文件中找到 localappstate.db 然后搜索track发现软件,名字为title

  1. 李大辉的手机是什么时间成功登入WhatsApp?

2022-08-18 21:55:12

  1. 李大辉登入WHATSAPP时的认证短码是什么?

304-313

  1. 李大辉到美丽好化妆品公司的入职时间是何时?

2017.5.25

  1. 李大辉曾于什么时间使用了图像编辑软件?

2022.10.11

同样的文件,原本的jpg改成了png,说明使用了图片修改工具,于是时间是这个

meiya_vpn.vmdk

  1. 参考Server文件夹下的 ' Meiya_VPN.vmdk ' 回答以下题目,这个访问服务器使用了哪个端口?

通过浏览器来寻找的943端口,及密码

  1. “User1”账户最近连接到这个访问服务器时使用的IP地址是多少?

这是通过日志找的,通过vpn日志,Meiya_VPN.vmdk/分区5/var/log, 通过日志,我们找到访问vpn的网站

  1. 哪些文件可以找出这个访问服务器的Ubuntu版本?

思路是根据答案一个个翻找文件,看能否看到版本信息

AB

  • lsb-release: 包含了有关系统版本的信息, 包括Ubuntu版本.
  • issue.net: 系统登录界面的欢迎信息, 包括系统版本信息, /etc/issue/etc/issue.net在 login 提示符之前显示. /etc/motd 是在用户成功登录系统之后显示.
  • .profile: 用户配置文件, 不包含系统版本信息.
  • console: 控制台终端, 不是文件.
  1. 哪些文件有助于分辨这是一个存储服务器?

a auth_log b.sys.log c .bash_history

  1. 这个访问服务器所在时区是哪个时区?

c utc-7

  1. 这个访问服务器的“openvpn”帐户密码是多少?

TLfAg6l6dssc/

  1. 在这个访问服务器中,“User1”账户之间的连接所使用的加密算法(密码)是什么?

user1.ovpn 存储 OpenVPN 会话的连接设置, 里面有一行 cipher AES-256-CBC, 定义了加密算法.

但由于服务端配置存在问题, 可以在连接日志中看到实际上服务端与客户端的连接并没有使用 AES-256-CBC, 而是使用了 AES-128-CBC. 在程序的日志中可以看到详细原因.

搜索user1,发现一个user1.ovpn的

流量分析

  1. 给出正在进行Nmap扫瞄的计算机互联网协议地址?

192.168.186.132

因为完成了三次握手,且发现这个ip一直在尝试访问其他端口通过分析流量包发现

  1. 有多少个Nmap扫瞄正在同时进行?

2

每一次 ICMP_Echo_ReqICMP_Echo_Reply 是一个扫描进程的开始.

  1. 当计算机正在扫瞄8.8.8.8,namp相关的指令是什么

A.nmap -sT 8.8.8.8;

我认为这个属于tcp全连接扫描,需要tcp三次握手,所有-sT

  1. 当计算机正在扫瞄45.33.32.156,namp相关的指令是什么

UDP 扫描(-sU选项)通常在进行主机发现时会使用 ICMP Echo 请求, 然后在确定主机在线后, 通过 UDP 连接进行端口扫描.

B.nmap -sU 45.33.32.156;

  1. 国强被指派设定一个DHCP服务器,该服务器需借出最后100个的IP地址,以下哪个IP地址会是被借出的IP地址?

C.10.1.4.254

DHCP 服务器的 C 段范围是 1~254, 最后 100 个.

  1. 以下那个协议是属于TCP/IP协议?

B. ii & iv talnet 也属于tcp/ip 协议

  1. 浩贤为一间公司的网络管理员,他需要把一个路由器作出以下设定

1) 允许192.168.26.3连上互联网

2) 允许192.168.26.2作UDP连接

现在浩贤把路由器作以下设定:-

access-list 119 deny udp any any

access-list 121 permit udp host 192.168.26.2 any

access-list 120 deny tcp any any

access-list 122 permit tcp host 192.168.26.3 eq www any

access-list 123 permit tcp any eq ftp any

C. 删除***********************

  1. 根据以下ping指令的结果,你会估计192.168.186.132是哪一个操作系统

通过ping命令查看服务器是linux还是windows系列 - Agoly - 博客园

Ping 192.168.186.132 (使用 32 字节的数据):

回复自 192.168.186.132: 字节=32 时间<1ms TTL=64

回复自 192.168.186.132: 字节=32 时间<1ms TTL=64

回复自 192.168.186.132: 字节=32 时间<1ms TTL=64

回复自 192.168.186.132: 字节=32 时间<1ms TTL=64

A) Linux

TTL 值是每个操作系统设置的默认值, 用来决定数据包在网络中传递的最大跳数. 不同的操作系统有不同的默认 TTL 值.

一般情况下, Windows < 10 为 128, Windows >= 10 为 64, Linux 和 macOS 为 64.

  1. 当使用nmap扫瞄目标后,nmap内出现以下信息

(主机似乎关机。如果它是开启的,它正在阻挡ping探测。)应用哪一个指令找出开放的端口?

A) nmap -sT -》D.namp -Pn

ping探测被阻挡了,需要不使用ping探测主机是否存活 使用-Pn

  1. 以下哪一个Nmap指令可以减低被侦测的可能性

D: nmap -A --host-timeout 99-T1 -》 B.namp -sT -o -T0

  • -sT: 以 tcp 连接扫描
  • -O: 关闭操作系统检测
  • -T0: 扫描速度最低

Mac OS.img

  1. Apple计算机的硬盘可以使用以下分区方案:

A:Apple Partition Map; -》 D.all off above

  1. ' Mac OS.img ' 文件中可以找到多少个符号链接?

通过搜索alias文件,查找alias文件,发现只有一个,所以只有一个符号链接

  1. 在' Mac OS.img ' 档中使用了哪种分区方案?

D:HFS+ -》 B.GPT(GUID PARTITION TABLE)

通过x-ways可以直接查看镜像的分区类型

  1. ' Mac OS.img ' 档的文件系统的正确描述是什么?

C.HFS+(一起用日志记录和区分大小写)

利用r-studio network 可以直接查看文件系统类型是 HFS+

打开镜像-》 选择.img

  1. 从文件“Car.rtfd”中删除了哪个文件? (难)
  • 首先解释一下什么是.rftd文件 它是指苹果系统中一个存储具有关联性的照片,图表,等附件的文档的"包",将这些文件整合在一起,跟.rtf文件不同的是,后者只包含文字和基本格式.
  • 接着介绍一下苹果的 “.DocumentRevisions-V100” 文件夹是 macOS 系统的版本数据库文件夹,他相当于windows的备份点,它存储在电脑中,当文档被编辑修改后,系统会自动在这个文件夹中生成相应的备份文件,以便用户恢复到之前的版本。
  • 最后,通过r-studio network文件,查看到V100备份文件,发现被删除文件

yeah.jpg

  1. 请提供' Mac OS.img ' 映像文件被“fsck”命令检查的具体时间。

fsck 是个检查和修复文件系统错误的命令, 这个过程会对文件系统的一些元数据进行更改, 这些更改可能包括更新文件系统的某些时间戳, 例如最后检查时间或最后修改时间, 而最开始被更改的分区时间, 应该为 fsck 命令检查的具体时间(需要校正时区).

20230713-082435

  1. 在 .dmg 档中删除了多少个文件?(.img)

.Trashes 是回收站, 里面有 3 个被删掉的文件, 结合上面根据版本记录删掉了 yeah.jpg, 一共是 4 个.有的wp说四个,是因为.DS_store,但这个文件,就不是删除的文件

Mac OS.img 文件是一个 HFSJ 文件系统分区, 卷标名为 "MyUSB", 它在取证软件上无法被自动分析是因为缺少完整的系统, 只是一个可挂载的移动存储设备分区.img 格式是 macOS 中磁盘镜像文件的标准格式, 可以作为虚拟磁盘被挂载, 类似于 Windows 平台的 vhd(x) 文件.

D.4

Window Artifacts.E01

  1. Elvis Chui 总共登入过该计算机多少次?

10 -》11 这个题不对劲,火眼是十一次,但取证大师是十次

取证大师需要分析日志筛选,但火眼直接就跑出来了,建议以后使用火眼分析镜像,取证大师分析文件

  1. 该计算机的操作系统是在哪一个时区?

B

(UTC+08:00) 北京,重慶,香港特別行政區,烏魯木齊

  1. 该计算机的操作系统于何时安装? (以计算机系统时区回答)

2023-07-13 11:18:14;

  1. 哪(几)个程序会于操作系统启动时自动执行?

C:OneDrive a.avast b.steam

  1. 该计算机内安装了以下哪一个程序?

B:WPS Office;

  1. 计算机内的OneDrive程序版本是什么?

21.220.1024.0005

  1. 计算机有一个正在连接的网络接口,该接口连接DHCP服务器的IP地址是多少?

192.168.88.129 -》192.168.88.254

  1. 该计算机何时连接过一只U盘? (以计算机系统时区回答)

2023-07-13 11:48:27

D:2023-07-13 11:48:29

  1. Elvis Chui 将哪几个文本文件放在回收站中?(为什么取证大师会漏文件)

B:Holiday schedule 2023-07-16.txt;

E: Minute on 2023-07-10.txt

  1. Elvis Chui在什么时间删除了第一个文本文件? (以计算机系统时区回答)

D:2023-07-13 11:49:45

  1. Elvis Chui删除的第一个文本文件的文件名是什么?

Holiday schedule 2023-07-16.txt

同上

  1. Elvis Chui删除的第一个文本文件在什么时间创建? (以计算机系统时区回答)

D:2023-07-13_11:45:22

最近访问文件 真的很重要!!!!

  1. Elvis Chui计划于2023年7月15日20点5分有什么活动?

Movie

  1. 该计算机执行STEAM.EXE总共多少次?

7

运行多少次,可以利用取证大师

  1. 一个名为“Account”的数据库表拥有5个"列",以下哪一个指令会产生错误讯息?

(提示: 1.数据库是拥有正常默认的系统表格 2.错误信息是关于"超出上限"的错误)

C:SELECT * from Account WHERE name=‘Candy’ ORDER BY 6

超出列数的上限,固然会报错

  1. 当客户端收到一个页面请求的HTTP状态代码为304时,以下哪种情况最有可能发生?

B:页面将从浏览器缓存中加载The page will be loaded from the browser cache;

HTTP 304 Not Modified 说明无需再次传输请求的内容, 可以使用缓存的内容.

  1. 在HTML注入攻击中,以下哪种情况最有可能出现?

C: <script>alert(‘Correct’)</script>; -》 A.<form *****>

  1. 如何预防HTML注入攻击?

D:输入过滤Input sanitization

  1. 同源策略在浏览器内存中提供Web应用程序安全的目的是什么?

C:控制来自不同服务器的代码之间的交互Controlling interactions between code from different servers;

  1. 编写Nmap命令以显示以下结果。

nmap --script http-robots.txt www.baidu.com

  1. 除了使用Nmap,还有其他方法可以验证上述结果,其中一种方法是使用Web浏览器浏览URL,编写URL以显示上述结果。

www.baidu.com/robots.txt

IOS

  1. 根据 ' com.apple.ios.StoreKitUIService.plist ' , 这部电话是什么型号?

看硬件 hardwareModel 信息:C:iPhone XR;

  1. 根据com.apple.ios.StoreKitUIService.plist,上述电话的文件系统是什么?

D:APFS

iOS >= 10.3, 文件系统都是 APFS(Apple File System).

  1. 根据ChatStorage.sqlite,哪些对话已锁定?

//131072(二进制:100000000000000000)表示锁定会话状态,将ZFLAGS的值与131072做与运算,得到的值如果是131072,代表该会话已锁定,符合条件的只有ABC三个答案。

这里其实我是有点没理解的,还是没懂,为什么能这样

abc

  1. 根据ChatStorage.sqlite,有多少段录音对话?

录音属于media,通过数据库筛选功能,我们筛选文件后缀为opus文件,

.opus文件属于音频格式文件

45

  1. Apple Cocoa Core Data timestamp 是由什么时间开始?

A.200.1.1

Cocoa Core 数据时间戳转换器

  1. 根据Photos.sqlite数据库中,有多少段视频可能涉及WhatsApp?

总共是有十个视频的,但保存了只有七条,为什么呢?我解释一下:

  1. 根据Photos.sqlite数据库中,下列哪个选项对IMG_0008.HEIC的描述是错的?

如何区分从哪哪找表,确定信息位置的

下搜索发现了这个文件的编号为491,通过 ZEXTENDEDATTRIBUTES 表,找到491编号,发现拍摄设备

经纬度查询

  1. 根据 ' sms(ios).db ' 的资料,全局唯一标识符(GUID): DD31C26F-1D72-DE0F-431E-EF98F104402D显示的信息是什么?

直接全局搜索就完事

  1. 根据 ' com.burbn.instagram.plist ' 及 ' com.facebook.Facebook.plist '

手机安装了实时通讯软件Facebook及Instagram的那个版本? (Instant Messaging Apps)?

ins

facebook

  1. 根据 ' ChatStorage(ios).sqlite ' , 用户数据Peter Chow (85262012141)在什么日期和时间(以UTC +8时区)曾经通过实时通讯软件送出一个信息(内容为: I am already home)?

找不到我测了

  1. 根据影片IMG_0687.MOV的原数据,找出影片拍摄时间?

我艹了

  1. 根据 ' CallHistory(ios).storedata ',哪份表格显示了通话记录?

ZCALLRECORD (怎么找到的不知道,难道是一个一个翻找的吗?)

  1. 根据 ' com.apple.sharingd.plist ',这部手机的隔空投送的身份标识号(AirDrop ID)是什么?
  1. 根据 ' Accounts3.sqlite ',这部手机的苹果使用者账号 (Apple ID) 是什么?

需要英文基础,z account账户,找到苹果账户id

理论题(运维, 组网, Linux 基础)

  1. 哪一行代码的是负责更新在GitHub使用中的 .journal 文件的更新历史记录 ?

commit 提交更改. 在 commit 的时候就会在 .git 目录中生成文件版本更新记录.

  1. 下列哪一行AWS S3 Bucket授权策略中的设置有问题?

https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-bucket-user-policy-specifying-principal-intro.html.

B.7

  1. 以下哪项是多重身份验证 (MFA) 的示例

A. PIN 码和软件令牌

B. 指纹和视网膜扫描

C. 用户名和密码

D. 一次性短信代码和硬件令牌

https://aws.amazon.com/cn/what-is/mfa

  1. AWS用家在户口网络进行设定,而这些设定会记录用户或第三者的活动。第 11 行代码中的设定可以找到哪些用户或第三者的活动信息?
  1. AWS用户设置了一个VPC,IP地址范围为10.0.0.0-10.0.0.24。 下列哪个 IP 地址用于 DNS ?

https://repost.aws/zh-Hans/knowledge-center/vpc-enable-private-hosted-zone.

私有托管区只接受来自 VPC DNS 服务器的 DNS 查询.

VPC DNS 服务器的 IP 地址是在 VPC IPv4 网络范围 + 2 的基础上保留的 IP 地址.

开启 DNS 解析后, 您可以将 VPC DNS 服务器用作执行 DNS 解析的解析器.

  1. 以下哪种类型的云服务用于操作系统和网络 ?

https://aws.amazon.com/cn/what-is/iaas/.

A. 软件即服务

B. 平台即服务

C. 基础架构即服务

D. 数据即服务

  1. 以下哪项是Bastionhost的特点?

A. 包含敏感信息

B. 无法访问内部系统

C. 限制暴露的服务

D. 没有连接到互联网

堡垒机, 是外部网络与内部网络连接的工具.

  1. 在Linux系统中,哪个命令可以用于创建文件系统?

A. mount /dev/sda3 /mnt/usb

B. mkfs-ext4 /dev/sda2

C. mkfs-ext3 /sys/sda1

D. pvcreate /dev/sda

E. genfstab -U -p /mnt

https://www.linuxcool.com/.

  1. ‘Link’实际上是指向LINUX系统中另一个文件或文件夹的指标。以下哪个命令可以产生下面的结果:
ls -ilas
|total 0
|9731253 0 drwxr-xr-x 1 user users 4096 Jul 14 13:31 .
|1725961 0 drwxr-xr-x 1 user users 4096 Jul 14 13:29 ..
|90371467 0 -rw-r--r-- 2 user users 90 Jul 14 13:30 testing.txt
|90371467 0 -rw-r--r-- 2 user users 90 Jul 14 13:30 shotcut-testing.txt

A. link -s testing.txt shotcut-testing.txt

B. ln -s shotcut.txt testing.txt

C. ln testing.txt shotcut-testing.txt

D. ln -s testing.txt shotcut-testing.txt

E. ln shotcut.txt testing.txt

  1. 以下哪个命令用于在Linux系统中创建分区?

A. gdisk /dev/sde

B. mke2fs /dev/sdb1 -t ext4

C. mount /dev/sdc1 /mnt/fs_home

D. fdisk -lu

E. lvcreate -l +200 /dev/vg00/log/vol-00

  1. 一个系统管理员要扩展运行在LVM系统中的服务器存储。以下哪个命令可以用于扩展LVM中的逻辑卷?

A. lvdisplay /dev/vg02/vol-01

B. lvcreate -n /dev/vg02 -l 200

C. lvextend -n /dev/vg02 -l +200

D. lvscan -l +200 /dev/vg02/vol-01

E. lvresize -l +200 /dev/vg02/vol-01

  1. 一个系统管理员编写了一个bash代码来构建一个RAID系统,如下所示,将要实现什么类型的RAID?
#!/bin/bash
hd1=/dev/sda1
hd2=/dev/sdb1
hd3=/dev/sdc1
hd4=/dev/sdd1
mdadm --build /dev/md1 --level=1 --raid-devices=2 $hd1 $hd2
mdadm --build /dev/md2 --level=1 --raid-devices=2 $hd3 $hd4
mdadm --build /dev/md3 --level=0 --raid-devices=2 /dev/md2 /dev/md1

A. RAID 0

B. RAID 1

C. RAID 1+0

D. RAID 0+1

E. 这个代码不起作用

  1. 以下是运行在LINUX服务器中的服务清单。以下哪个命令可以关闭“bluetooth.service”服务
|● vm-production-xabonline.com
| State: running
| Jobs: 0 queued
| Failed: 0 units
| Since: Fri 2023-05-19 08:37:06 UTC; 2 months 11 days ago
| CGroup:
| ├─init.scope
| │ └─ 1 /sbin/init
| ├─system.slice
| │ ├─bluetooth.service
| │ │ └─ 737 /usr/lib/bluetooth/bluetoothd
| │ ├─dbus.service
| │ ├─docker.service
| │ │ └─ 853 /usr/bin/dockerd -H fd://
| │ ├─libvirtd.service
| │ │ └─ 2975 /usr/bin/libvirtd --timeout 120
| │ ├─polkit.service
| │ └─virtlogd.service
| │ └─ 3176 /usr/bin/virtlogd
| └─user.slice
| └─user-1000.slice

A. systemctl kill bluetooth.service

B. systemctl disable bluetooth.service

C. systemctl down bluetooth.service

D. systemctl stop bluetooth.service

E. systemctl rm bluetooth.service

  1. cron服务在LINUX系统中充当作业调度程序。它实际上是在cron表(crontab)中指定的命令行列表。现在准备启动和关闭一个Web服务器(httpd.service),如下所示:

A. 30 8 * 1-5 * /usr/bin/systemctl start httpd.service06 18 * 1-5 * /usr/bin/systemctl stop httpd.service

B. 30 8 * * 1-5 /usr/bin/systemctl start httpd.service06 18 * * 1-5 /usr/bin/systemctl stop httpd.service

C. 30 8 1-5 * */usr/bin/systemctl start httpd.service06 18 1-5 * */usr/bin/systemctl stop httpd.service

D. 30 8 * * * /usr/bin/systemctl start httpd.service06 18 * * * /usr/bin/systemctl stop httpd.service

E. 以上都不是

  1. 以下哪个Linux命令可以显示目录中的所有文件,包括隐藏文件?

B. ls -asl

  1. 如果您想要检查Linux系统上可用的剩余磁盘空间量,您会使用以下哪个命令?

A. df -vh

B. df -sh

C. dl -vh

D. dd -sh

E. dt -vh

  1. Dockerfile是一个文本文档,用于在Docker架构中生成以下哪个组件?

B. image

  1. 在Linux系统中,运行中程序的进程并位于内存区域,可以通过检查文件/proc/[pid]/maps来显示这些内存区域。以下哪个不是Linux系统中的内存区?

A. [heap]

B. [stack]

C. [paging]

D. [vvar]

E. [vdso]

  1. 以下命令中,哪个命令可以对"export-logs"输出进行排序?

D. export-logs|sort

  1. 哪些文件会影响Linux主机的名称解析功能?(多选题)

A. /etc/resolv.conf

B. /etc/hosts

C. /etc/default/names

D. /etc/nsswitch.conf

E. /etc/inet/hosts

  1. 哪个系统文件包含了一般的端口、关联的服务和协议?

A. /etc/services

B. /etc/sysconfig/network-scripts

C. /etc/services.conf

D. /etc/inet/hosts

E. Noneofthechoices

windows 10

  1. 在 Windows 10 中 \Users\qqqqq\Downloads,视频文件(mixkit-two-women-laying-together-925-medium.mp4),在MFT 中分成多少个Data Cluster 储存?

浏览递归,然后文件过滤,然后一个文件一个文件找

  1. 在 Windows 10 中 \Users\qqqqq\Downloads\ mixkit-two-woman-laying-together-925-medium.mp4 的last Access 时间是多少?

2023 7 10 18 31 32

win7

  1. 在 Windows 7 中 \Users\Allen\Desktop,有1个MP3 文件 (例:unlock-me-149058.mp3),用户使用什么程序打开该MP3 文件?

potplayers

  1. 在 Windows 7 中 ' \Users\Allen\Desktop '有1个MP3 文件 (unlock-me-149058.mp3),该文件的Zone identiflier为'3'。上述'3'字代表哪一个security Zone ?
  1. 在 Windows 7 中 \Users\Allen\Desktop有1个MP3 文件 (unlock-me-149058.mp3),该文件从哪个网站下载?

cache:缓存

火眼

取证大师

  1. 在 Windows 7 中 \Users\Allen\Downloads 内有mp3文件 (miracle.mp3), 更改名称时间?

才知道取证大师有文件溯源的功能,也可以在数据分析的模块中,选择文件溯源分析

  1. 在 Windows 7 中 \Users\Allen\Downloads 内有mp3文件 (miracle.mp3), mp3文件更改名称前的名称是什么?
  1. 在 Windows 7中有多少个文件曾被potplayer 播放?

第一种可以通过在recent文件中查看

第二种通过最近访问的项目和最近打开和保存的文件中看

出去重复的总共八个

  1. 在 Windows 7中, potplayer最后播放的文件名?

这个没理解为什么

理论题(内存取证,数据库)

  1. 事件应急小组 ( IR team)正在处理一起网络事件。 调查显示,目标服务器是一个 EC2 Linux 实例,与该事件有关该团队打算获取Linux系统的内存(使用SHA256)。 与该事件关联的 AWS 账户以用户名“duckman”注册。 为了促进内存获取过程,该团队建立了专用的“取证服务器”。 并使用“LiME”通过网络获取内存。

A. nc -l 4444 >mem126.lime.gz

B. insmod lime.ko “pathtcp:4444 format=lime digest=sha256 compress=1”

C. scp -I ~/DFIRSciAWTest.pem lime.ko ec2-duckman@3.137.169.127:~/scp -I ~/DFIRSciAWTest.pem /usr/bin/nc ec2-duckman@3.137.169.127:~/

D. ssh duckman@<target_server_ip> "sudo dd if=/dev/mem | gzip -1 -" > memory_dump.gz

以下哪一个指令是设定取证服务器以作取得内存内容的初步步骤?

  1. 基于两个 SQLite 数据库文件“cus_202308102034.json”和“date_202308101120.json”。

请编译一个 SQLite 脚本找出谁前往目的地“莫斯科".

包括

- 所有客户的姓名、

- 目的地、

- “arrival_timestamp_HK”[将时间戳转换为本地时间并将该列命名为“local_time”]。

A. SELECT c.customer_name, c.destination, datetime(d.arrival_timestamp_HK, 'unixepoch', 'localtime') AS arrival_time_hk FROM cus c INNER JOIN date d ON c.destination = d.Destination WHERE c.destination = 'Moscow'

B. SELECT cus.customer_name, cus.destination, datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime') AS arrival_time_hk FROM cus INNER JOIN date ON customer_id = date.id WHERE cus.destination = 'Moscow' AND date.Destination = 'Moscow' AND date.arrival_timestamp_HK IS NOT NULL AND datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime')

C. SELECT cus.customer_name, cus.destination, date.arrival_timestampFROM cus INNER JOIN date ON cus.destination = date.destination WHERE cus.destination = 'Moscow' AND date.Destination = 'Moscow'

D. SELECT cus.customer_name, cus.destination, datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime') AS arrival_time_hk FROM cus INNER JOIN date ON cus.destination = date.Destination WHERE cus.destination = 'Moscow' AND date.Destination = 'Moscow' AND date.arrival_timestamp_HK IS NOT NULL AND datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime')

  1. 写一个Powershell的脚本以提取正在连接到Window 11计算机的可移动设备的记录。就每一个装置记录,提取相关的数据如装置名称、制造商、装置详情、硬件编号。及后用 “Write-Host” 指令题示数据。
  2. 以下 PowerShell 脚本用于从 Windows Server 2012 R2 获取具有管理员权限的所有使用者活动。

Get-WinEvent -FilterHashtable @{

LogName = 'Security'

ID = 4688

Level = 0

} | Where-Object {+B86

$_.Properties[?].Value -match 'S-1-5-21-\d+-500'

} | Select-Object -Property TimeCreated, Message

使用 "Where-Object" 命令来进一步过滤事件。

事件的属性 "$_.Properties[?]" 中的参数是什么?

如果事件的第 9 个属性与内建的 Administrator 账户的安全标识符(SID:S-1-5-21-<domain>-500)匹配,则确保只选择与管理员活动相关的事件。

总结

参考

美亚杯2023个人赛题解 - XDforensics-Wiki

2023年美亚杯资格赛实操题解(非官方-附镜像)-CSDN博客