17美亚个人赛电子取证
作者:互联网
个人赛
案件背景:
Gary是一位经常用手提电脑的人,而且热爱足球运动,常常看足球网站。他于2007年9月开始想赚快钱,思想变得偏激,并关注一些违法的事。于是Gary就想着赌博,查阅军事资料,了解恐怖袭击的新闻报道。另外他开始上网寻找有关如何购买枪械、刀等武器的资料,还寻找如何制造假网站,但最后均无收获。
选A
3个
选E
MFT,全称Master File Table,即主文件表,它是NTFS文件系统的核心。它是包含了NTFS卷中所有文件信息的数据库,在$MFT 中每个文件(包括MFT本身)至少有一个MFT,记录着该文件的各种信息。这些信息被称为属性。
NTFS使用MFT条目定义它们对应的文件,有关文件的所有信息,比如大小、时间、权限等都存在MFT条目中,或者由MFT条目描述存储在MFT外部的空间中。
MFT由一个个MFT项(也称为文件记录(File Record))组成,每个MFT项占用1024字节的空间。这个概念相当于Linux中的inode,File Record在$MFT文件中物理上是连续的,且从0开始编号,每个MFT项的前部几十个字节有着固定的头结构,用来描述本MFT项的相关信息。后面的字节存放着“属性”。
我找到的答案是这个,但是官网的答案选项不一样,其他人的答案也是这个
选D,导出注册表,用注册表分析工具即可,GMT=UTC=北京时间-8。
或者系统信息里面可以看见。
选A
选B
windows7
选A
选D
d项虽然有,但不是赌博网站
选E
选D
选A
选E
选A,东八区-8
选B
选D
选C
选E
选D,这两种图片打开确实是咖啡豆
23题题目选项有误,但与题干24题相同
选E
选D,这个得看有多少个wifi账户
选E
选D
选B,这个从图片中来
选C
选B,这种问工具的题,只有靠记,或者去搜工具的用途
选D
这个看关键字,下载,就去下载历史或者用户的下载路径去去找
选B,根据邮件对话内容得知
选B
选D,同上
选C,去看浏览器的历史记录,按时间排序,只看在邮件发送时间之后的即可
选B,由上图知
直接搜索文件名,查看创建时间
选A
选B
选E,直接搜索文件名
同路径下存在python动态库
选A,根据invoice.exe内容
选B
选B,计算二者md5相同,且前者创建时间早与后者
选A
直接把病毒文件夹导出来,管理员运行一下,就知道了
官方答案:
选B
选A
选E
标签:文件,NTFS,字节,17,信息,美亚,MFT,File,个人赛 来源: https://blog.csdn.net/Mr_Liu_Stark/article/details/120630176