17美亚个人赛电子取证
作者:互联网
个人赛
案件背景:
Gary是一位经常用手提电脑的人,而且热爱足球运动,常常看足球网站。他于2007年9月开始想赚快钱,思想变得偏激,并关注一些违法的事。于是Gary就想着赌博,查阅军事资料,了解恐怖袭击的新闻报道。另外他开始上网寻找有关如何购买枪械、刀等武器的资料,还寻找如何制造假网站,但最后均无收获。
选A
3个
选E
MFT,全称Master File Table,即主文件表,它是NTFS文件系统的核心。它是包含了NTFS卷中所有文件信息的数据库,在$MFT 中每个文件(包括MFT本身)至少有一个MFT,记录着该文件的各种信息。这些信息被称为属性。
NTFS使用MFT条目定义它们对应的文件,有关文件的所有信息,比如大小、时间、权限等都存在MFT条目中,或者由MFT条目描述存储在MFT外部的空间中。
MFT由一个个MFT项(也称为文件记录(File Record))组成,每个MFT项占用1024字节的空间。这个概念相当于Linux中的inode,File Record在$MFT文件中物理上是连续的,且从0开始编号,每个MFT项的前部几十个字节有着固定的头结构,用来描述本MFT项的相关信息。后面的字节存放着“属性”。
我找到的答案是这个,但是官网的答案选项不一样,其他人的答案也是这个
选D,导出注册表,用注册表分析工具即可,GMT=UTC=北京时间-8。
或者系统信息里面可以看见。
选A
选B
windows7
选A
选D
d项虽然有,但不是赌博网站
选E
选D
![在这里插入图片描述](https://www.icode9.com/i/ll/?i=abf366433a174e29a113228c385d6178.png
选A
选E
选A,东八区-8
![在这里插入图片描述](https://www.icode9.com/i/ll/?i=8ebf0050dce94db581ea1da7b6bf8737.png
选B
选D
选C
选E
选D,这两种图片打开确实是咖啡豆
23题题目选项有误,但与题干24题相同
选E
选D,这个得看有多少个wifi账户
选E
选D
选B,这个从图片中来
选C
选B,这种问工具的题,只有靠记,或者去搜工具的用途
选D
这个看关键字,下载,就去下载历史或者用户的下载路径去去找
选B,根据邮件对话内容得知
选B
选D,同上
选C,去看浏览器的历史记录,按时间排序,只看在邮件发送时间之后的即可
选B,由上图知
直接搜索文件名,查看创建时间
选A
选B
选E,直接搜索文件名
同路径下存在python动态库
选A,根据invoice.exe内容
选B
选B,计算二者md5相同,且前者创建时间早与后者
选A
直接把病毒文件夹导出来,管理员运行一下,就知道了
官方答案:
选B
选A
选E
标签:文件,NTFS,字节,17,信息,美亚,MFT,File,个人赛 来源: https://blog.csdn.net/Mr_Liu_Stark/article/details/120630176