对计算机镜像进行分析,计算该镜像中ESP分区的SM3值后8位为?(答案格式:大写字母与数字组合,如:D23DDF44) (2分)【BE1073】
❝
ESP(EFI System Partition,EFI 系统分区)是一种特殊的分区,主要用于支持基于 UEFI(Unified Extensible Firmware Interface,统一可扩展固件接口)的系统启动。它是 GPT(GUID Partition Table)分区表格式的一部分。
ESP 分区的功能
存储引导加载程序:
保存操作系统的引导加载程序(如 Windows Boot Manager、GRUB 等)和相关文件。 每个安装在计算机上的操作系统通常会在 ESP 分区中创建一个子目录来存储自己的引导文件。 支持系统启动:
在基于 UEFI 的系统中,固件会读取 ESP 分区中的引导文件以启动操作系统。 传统的 BIOS 使用主引导记录(MBR)来启动系统,而 UEFI 则依赖 ESP。 存储 UEFI 应用程序:
包括硬件诊断工具、固件更新工具等。 多操作系统支持:
如果一台电脑安装了多个操作系统,ESP 分区可以存储每个系统的启动文件。 ESP 分区的特点
文件系统:
通常使用 FAT32 文件系统,因为 UEFI 固件需要支持它。 大小:
一般为 100MB 至 500MB,具体大小取决于安装的操作系统和需求。 标识符:
GPT 分区表中,ESP 的分区类型 GUID 是: C12A7328-F81F-11D2-BA4B-00A0C93EC93B
。挂载点:
在 Linux 系统中通常挂载为 /boot/efi
,而在 Windows 中不会为其分配盘符。
对计算机镜像进行分析,该操作系统超管账户最后一次注销时间为?(时区为UTC+08:00)(答案格式如:1970-01-01 00:00:00) (2分)【2024-10-25 22:57:34】
对计算机镜像进行分析,该操作系统超管账户有记录的登录次数为?(填写数字,答案格式如:1234) (2分)【26】
此处存疑,因为只是说了有记录的登录次数,但是有两次登录失败不知道算不算登录参数
对计算机镜像进行分析,该操作系统设置的账户密码最长存留期为多少天?(填写数字,答案格式如:1234) (2分)【42】
这个就是涉及到密码策略,这个东西很常见,大到系统,如windows,linux,小到软件,比如mysql这些都有密码策略
win+R
打开运行界面输入gpedit.msc
,打开本地组策略编辑器
对计算机镜像进行分析,该操作系统安装的数据擦除软件的版本为?(答案格式:1.23) (2分)【5.86】
本题考查常识,计算机中软件的默认安装目录的名称为Program Files
或Program Files(x86)
,在各个盘里面都会存在
最后是在C盘的Program Files
目录下有一个名为Eraser
的软件(翻译过来就是橡皮),进入目录之后打开
对计算机镜像进行分析,该操作系统接入过一名称为“Realtek USB Disk autorun USB Device”的USB设备,其接入时分配的盘符为?(答案格式:A:) (2分)【E:】
软件梭的题
对计算机镜像进行分析,该操作系统无线网卡分配的默认网关地址为?(答案格式:127.0.0.1) (2分)【192.168.43.104】
软件梭的题
对计算机镜像进行分析,该操作系统配置的连接NAS共享文件夹的IP地址为?(答案格式:127.0.0.1) (2分)【192.168.188.1】
软件梭的题
对计算机镜像进行分析,写出“吵群技巧.txt”文件SM3值的后8位?(大写字母与数字组合,如:D23DDF44) (2分)【10887AE1】
直接搜吵群技巧搜不出来,说明这个文件不是直接存在的,那就大概率是在压缩包里面
我们直接搜压缩包
找到了,在话术、方法、技巧.zip
里面
但是由于SM3是国密算法,所以certutil
不支持,老老实实导出来用软件算吧
对计算机镜像进行分析,该操作系统通过SSH连接工具连接CCTalk测试环境的SSH端口为?(填写数字,答案格式如:1234) (2分)【12849】
远程连接的题,该电脑上有一个Xshell
打开看看
对计算机镜像进行分析,该操作系统通过SSH连接工具连接的CCTalk境外服务器是哪个运营商的?(填写汉字,答案格式:阿里云) (2分)【亚马逊】
说实话,下次仿真计算机的时候先看回收站,坑的我裤衩子都不剩
Xmanager
的SSH连接工具除了Xshell
还有Xftp
。后缀分别为.xsh
和.xfp
还原CCTalk.xfp之后,点开Xftp
,用在线软件查一下Whois
就出来了,是Amazon亚马逊
的IP
对计算机镜像进行分析,获取机主保存在本机的U盾序号的后4位数字为?(填写数字,答案格式如:1234) (2分)【6409】
当然先搜一下U盾,出来这么一张照片
我敲?隐写?上一次碰隐写好像还是上一次
binwalk
一下发现一个PNG,再foremost
一下,就出来了隐藏的图片
对计算机镜像进行分析,机主存储的某篇新闻报道“小程序搅动资源争夺战”的发表年份为?(答案格式:2024) (2分)【2019】
这种信息要么就在文件头要么就在文件屁股
直接找就行了
对计算机镜像进行分析,该操作系统访问“环球商贸”的IP地址为?(答案格式:127.0.0.1) (2分)【39.108.126.128】
对计算机镜像进行分析,“环球商贸”服务器配置的登录密码为?(答案按照实际填写,字母存在大小写) (2分)【HQSM#20231108@gwWeB】
软件梭的题
对计算机镜像进行分析,机主安装的PC-Server服务环境的登录密码是?(答案按照实际填写,字母全小写) (2分)【jlb654321】
和上一个题一样
对计算机镜像进行分析,其搭建的宝塔面板的登录密码为?(按实际值填写) (2分)
从快速访问里面可以看到,有一个虚拟磁盘,挂载挂不上,直接当新检材
仿真起来之后需要先设置一下网络,因为直接NAT出来是没网的
进入/etc/netplan
目录修改配置文件00-installer-config.yaml
将原来的eth0
修改为ens33
然后用finashell连上(好家伙,计算机取证爆改服务器取证)
然后bt 14
一下
发现密码不给看,那就别怪我暴力了
费一下电脑,全局搜一下账号吧,想不到什么好办法
对计算机镜像进行分析,机主搭建的宝塔环境中绑定的宝塔账号是?(按实际值填写) (4分)【17859628390】
梭
对计算机镜像进行分析,机主搭建的宝塔面板中Mysql环境的root密码为?(按实际值填写) (4分)【123456】
宝塔里面看就行了
对计算机镜像进行分析,机主搭建的宝塔面板中Mysql环境连接的端口号为?(填写数字,答案格式如:1234) (2分)【3306】
看配置文件
接上题,“卡号分组”表所在的数据库名为?(答案按照实际填写,字母全小写) (4分)【a_train2023】
又是数据库,还是经典三步走
create user 'shuzheng'@'%' identified by '123456'; #创建用户
grant all privileges on *.* to 'shuzheng'@'%' identified by '123456'; #授权
flush privileges; #刷新权限
然后用Navicat连接,注意这一次需要加一个SSH隧道,直接连接数据库会连不上,具体原因尚不明确,可能是宝塔的安全策略,求各位大佬看见教一教弟弟
接上题,“孙华锦”在2020-07-01 10:49:07时间节点的交易余额为?(答案格式:1234.56) (4分)【6610.94】
两个筛选条件
对U盘镜像进行分析,其镜像中共有几个分区?(填写数字,答案格式如:1234) (2分)【2】
对U盘镜像进行分析,其中FAT32主分区的FAT表数量有几个?(请使用十进制数方式填写答案,答案格式:1234) (2分)【1】
用DiskGenius
,磁盘-打开虚拟磁盘文件,然后右键未格式化的两个分区,分别点击恢复文件
另一种方法
搜索Fat表头的十六进制F8FFFF
对U盘镜像进行分析,其中FAT32主分区定义的每扇区字节数为?(请使用十进制数方式填写答案,答案格式:1234) (2分)【512】
算一下不就得了
1G是1073741824字节
U盘总共2097152个扇区
咳咳,突然发现好像没那么麻烦,好像可以直接看
对U盘镜像进行分析,其中FAT32主分区的文件系统前保留扇区数为?(请使用十进制数方式填写答案,答案格式:1234) (2分)【7345】
❝
保留扇区数是从分区的第一个扇区开始,到 FAT 表区域之前的扇区数量。
对U盘镜像进行分析,其中FAT32主分区的FAT1表相对于整个磁盘的起始扇区数为?(请使用十进制数方式填写答案,答案格式:1234) (2分)
FAT1 的起始扇区号是相对于分区起始扇区,也就是2048+7345=9393
对U盘镜像进行分析,其中NTFS逻辑分区的$MFT起始簇号为?(请使用十进制数方式填写答案,答案格式:1234) (2分)【39082】
该磁盘八个扇区一个簇,算一算出来了就
对U盘镜像进行分析,其中NTFS逻辑分区的簇大小为多少个扇区?(请使用十进制数方式填写答案,答案格式:1234) (4分)【8】
同上题
对U盘镜像进行分析,请从该镜像的两个分区中找出使用“新建文本文档.txt”记录的同一个MD5值的两部分信息,并写出该MD5值的第13--20位字符串。(答案格式:大写字母与数字组合,如:D23DDF44) (4分)【d668aee2】
在导出照片目录里面有一张损坏的照片
和前面照片进行对比,发现文件头没了,那就补上
原文始发于微信公众号(sec0nd安全):【电子取证】2024数证杯——计算机取证+U盘
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论