“美亚杯”第九届全国电子数据取证竞赛(个人赛部分)
年轻人的第一次美亚杯,个人赛线下学生组第八,我是做服务器和流量的,PC和手机不太懂,欢迎加微信 WQZ1127786222 交流
案件基本情况
案情
2023月8月的一天,香港警方在调查一起网络诈骗案件时,发现有三名本地男子,分別为李大輝(李大辉),浩賢(浩贤)和Elvis CHUI,并确信这三名被捕男子均为大学同学。怀疑三人背后涉及一个庞大的电信诈骗集团。于是将这三名本地男子拘捕,扣押了三人相关的电子设备并进行分析。
现在你被委派处理这件案件,请依据以下资料分析上述三人是否涉嫌犯罪,并还原事件经过。
检材资料
1.李大輝的安卓手机镜像 (Android.bin)
2.李大輝的macOS系统镜像(Mac OS.img)
3.来自李大輝计算机的一个文件($MFT Record Nr_ 107115, SeqNr_2.txt)
4.浩賢的个人虚拟机文件(Server.zip)
5.浩賢的Windows 10系统虚拟机文件(Windows10.zip)
6.浩賢的iOS手机系统文件(IOS.zip)
7.来自Elvis Chui计算机的一个网络封包文件(網路.pcapng)
8.来自Elvis Chui计算机的镜像文件 (Windows Artifacts.e01)
9.来自Elvis Chui计算机的数据库文件(SQLITE.zip)
10.Elvis Chui的Windows7虚拟机文件(Windows7.zip)
赛前做的思维导图
容器密码:
1 | 3hqGFfT#B*Yjd74t@f%9fDqs6D^$wVjAvxZkA79*4UV*kVRcq^Zu6Xp87W*p#X3XD%*ER!nHzzTnSEMwy8NEGX6A*%P&#rBUkxypAPKwX4mP3WZuHnYKRc7sA33hd@qS |
题目
参考 ‘ Android.bin ‘ 回答以下题目 With reference to ‘Android.bin’ to answer below question 李大辉所用手机移动运营商公司的名称 What is the name of the telecommunication company that Li Dahui’s mobile phone is using. 提示:请所有字 母都用大写英文 Tips: Please answer in capital letters. (1 分)
1 | 鸭聊佳(mobileduck)是电话卡。 |
比赛的时候填CMHK了,感觉也不是不行嘛…..
参考 ‘ Android.bin ‘ 回答以下题目 With reference to ‘Android.bin’ to answer below question 李大辉的手机安装了什么即时通讯软件 (Instant Messaging App)? What instant messaging app is installed on Li Dahui’s mobile phone? (1 分)
A. WhatsApp
B. LINE
C. 微信
D. Signal
E. QQ
火眼解析出微信和WhatsApp,但是题目是单选题,选能解析出更多数据的那个
参考 ‘ Android.bin ‘ 回答以下题目 With reference to ‘Android.bin’ to answer below question 李大辉的手机安装了什么反追踪软件? What anti-tracking software is installed on Li Dahui’s mobile phone? 提示: 所有答案字母都用小写字母并用 xxx_xxx_xxxxxxx_xxxxxx_xxxx 格式作答 Tips: Please answer the question as below format in lowercase letters. (1 分)
(做题的时候反追踪软件往vpn那方面去想了)
软件应该是被删掉了,应用列表里找不到
参考 ‘ Android.bin ‘ 回答以下题目 With reference to ‘Android.bin’ to answer below question 李大辉的手机是什么时间成功登入 WhatsApp? At what time did Li Dahui’s mobile phone successfully log into WhatsApp? (2 分)
A. 2022-08-18_21:52:30
B. 2022-08-19_21:56:23
C. 2022-08-18_21:56:37
D. 2022-08-19_06:59:07
E. 2022-08-19_07:01:17
根据验证短信可以得到大概的时间范围
参考 ‘ Android.bin ‘ 回答以下题目 With reference to ‘Android.bin’ to answer below question 李大辉登入 WHATSAPP 时的认证短码是什么? What was the verification code that Li Dahui used to log into WhatsApp? 提示: 请以阿拉伯数字作答 Tips: Please answer in arabic numbers. (1 分)
参考 ‘ Android.bin ‘ 回答以下题目 With reference to ‘Android.bin’ to answer below question 李大辉到美丽好化妆品公司的入职时间是何时? When did Li Dahui join the Beauty Good Cosmetics Company? (2 分)
参考 ‘ Android.bin ‘ 回答以下题目 With reference to ‘Android.bin’ to answer below question 李大辉曾于什么时间使用了图像编辑软件? At what time did Li Dahui use image editing software? (2 分)
参考 Server 文件夹下的 ‘ Meiya_VPN.vmdk ‘ 回答以下题目 With reference to ‘ Meiya_VPN.vmdk ‘ in Server folder to answer below question 这个访问服务器使用 了哪个端口? Which port was used for this access server? 提示: 请用阿拉伯数字作答 Tips: Please answer in arabic numbers. (1 分)
参考 Server 文件夹下的 ‘ Meiya_VPN.vmdk ‘ 回答以下题目 With reference to ‘ Meiya_VPN.vmdk ‘ in Server folder to answer below question “User1”账户最近连 接到这个访问服务器时使用的 IP 地址是多少? What was the latest IP of “User1” account that connected to this access server? 提示: 用 IPV4 格式回答 Answer: Please answer in IPV4 format (1 分)
查看最近访问的文件,发现openvpn的一些文件,确定了是openvpn的一个服务器
192.166.244.167
参考 Server 文件夹下的 ‘ Meiya_VPN.vmdk ‘回答以下题目 With reference to ‘ Meiya_VPN.vmdk ‘ in Server folder to answer below question 哪些文件可以找出这 个访问服务器的 Ubuntu 版本? Which files can find out the Ubuntu version of this access server? (1 分)
A. lsb-release
B. issue.net
C. profile
D. console
AB
参考 Server 文件夹下的 ‘ Meiya_VPN.vmdk ‘回答以下题目 With reference to ‘ Meiya_VPN.vmdk ‘ in Server folder to answer below question 哪些文件有助于分辨 这是一个存储服务器? Which files could be used to prove this access server? (1 分)
A. auth.log
B. sys.log
C. bash_history
D. idconfig
idconfig不存在排除,bash_history肯定是在的
1 | 早期unix 在/usr/adm |
这三个文件通常与系统日志和用户活动有关:
A. auth.log:
- 该文件通常包含与系统身份验证(authentication)相关的日志信息。这包括用户登录、登出以及身份验证失败的记录。在Linux系统上,这个文件通常位于
/var/log/auth.log
。
B. sys.log:
sys.log
是一个广义的名称,实际上在不同的系统上可能指代不同的文件。通常,它包含了系统级别的消息、错误和警告。在一些Linux系统中,这可能是/var/log/syslog
文件。这个文件记录了系统的一般运行状况和事件。
C. bash_history:
- 这是用户的命令历史记录文件,包含用户在命令行终端中输入的每个命令。这个文件通常位于用户的家目录下,例如
~/.bash_history
。它记录了用户执行过的命令,可用于查看用户的活动和了解他们在系统上执行的操作。
请注意,确切的文件路径和名称可能因操作系统的不同而有所不同。上述路径是基于一些常见的Linux系统。在其他系统上,这些文件可能位于不同的位置。
ABC
参考 Server 文件夹下的 ‘ Meiya_VPN.vmdk ‘ 回答以下题目 With reference to ‘ Meiya_VPN.vmdk ‘ in Server folder to answer below question 这个访问服务器所在 时区是哪个时区? What is the time zone of this access server? (2 分)
A. UTC +9
B. UTC +8
C. UTC -7
D. UTC
洛杉矶时间,UTC -7
参考 Server 文件夹下的 ‘ Meiya_VPN.vmdk ‘ 回答以下题目 With reference to ‘ Meiya_VPN.vmdk ‘ in Server folder to answer below question 这个访问服务器的 “openvpn”帐户密码是多少? What is the password of the “openvpn” account of this access server? 提示:请用大写字母与阿拉伯数字作答 Tips: Please answer in capital letters and arabic numbers. (2 分)
一看网卡,二看保存的密码
TLfAg6l6dssc
参考 Server 文件夹下的 ‘ Meiya_VPN.vmdk ‘回答以下题目 With reference to ‘ Meiya_VPN.vmdk ‘ in Server folder to answer below question 在这个访问服务器 中,“User1”账户之间的连接所使用的加密算法(密码)是什么? What is the encryption algorithms (cipher) used for the connections among the “User1” account in this access server? (2 分)
A. Blowfish-CBC
B. 3DES-CBC
C. AES-128-GCM
D. AES-256-CBC
1 | # Automatically generated OpenVPN client config file |
AES-256-CBC
参考’ 网络题目.pcapng ‘ 文件回答以下题目 With reference to ‘ 网络题目.pcapng ‘ file to answer below question 给出正在进行 Nmap 扫瞄的计算机互联网协议地址? What is the source IP of the nmap scanning? 提示: 以 IPV4 格式给出答案 Answer: Please answer in IPV4 format. (1 分)
准备陇剑杯的时候学习过nmap流量了从一道题分析Nmap SYN/半连接/半开放扫描流量_nmap tcp 全开扫描 和半开扫描-CSDN博客,所以比赛的时候流量基本是一把梭的
nmap文档贴在下面,可以随时查看
1 | Nmap 7.94SVN ( https://nmap.org ) |
先放着,做到后面就知道了
192.168.186.132
参考’ 网络题目 pcapng’ 文件回答以下题目 With reference to ‘ 网络题目.pcapng ‘ file to answer below question 有多少个 Nmap 扫瞄正在同时进行? How many nmap scanning(s) is/are conducting at the same time? 提示:请给出阿拉伯数字作答 Tips: Please answer in number (1 分)
先放着,做到后面就知道了
2
参考网络题目.pcapng 文件回答以下题目 With reference to ‘ 网络题目.pcapng ‘ file to answer below question 当计算机正在扫瞄 8.8.8.8,namp 相关的指令是什么 The computer is scanning 8.8.8.8. What is the corresponding nmap command? (1 分)
A. nmap -sT 8.8.8.8
B. nmap -sU 8.8.8.8
C. nmap -sn -PR 8.8.8.8
D. nmap -sn -PU 8.8.8.8
协议都是TCP,查一下nmap -h就知道了
A
参考网络题目.pcapng 文件回答以下题目 With reference to ‘ 网络题目.pcapng ‘ file to answer below question 当计算机正在扫瞄 45.33.32.156,namp 相关的指令是什么 The computer is scanning 45.33.32.156. What is the corresponding nmap command? (1 分)
A. nmap -sT 45.33.32.156
B. nmap -sU 45.33.32.156
C. nmap -sn -45.33.32.156
D. nmap -sn -45.33.32.156
协议都是UDP,查一下nmap -h就知道了
B
国强被指派设定一个 DHCP 服务器,该服务器需借出最后 100 个的 IP 地址,以下哪个 IP 地址会是被借出的 IP 地址? Kwok-keung was assinged to configure a DHCP server. The server must lease the last 100 IP addresses. Which of the following IP address will be leased ? (1 分)
A. 10.1.4.255
B. 10.1.4.100
C. 10.1.4.254
D. 10.1.4.1
DHCP(Dynamic Host Configuration Protocol)服务器通常按照子网中可用IP地址的顺序进行分配。考虑到这一点,”最后100个IP地址”可能是指在子网范围内的最后100个地址。
如果子网是 10.1.4.0/24(即子网掩码为255.255.255.0),那么最后100个IP地址将是从 10.1.4.155 到 10.1.4.254。
在给出的选项中,只有一个IP地址在这个范围内:
C. 10.1.4.254
因此,答案是 C. 10.1.4.254。
以下那个协议是属于 TCP/IP 协议? Which of the following protocols belong to TCP/IP protocol? i: DHCP ii: HTTP iii: RTP iv: Telnet (1 分)
A. i & iii
B. ii & iv
C. 所有皆是 (All answers belong to TCP/IP protocol)
D. 所有皆否(All answers don’t belong to TCP/IP protocol)
TCP、UDP、RTP(RTCP)异同与区别 - 知乎 (zhihu.com)
计算机网络基础知识总结 | 菜鸟教程 (runoob.com)
B
志伟是浩贤的主管,他发现浩贤的设定错误,浩贤应作怎样的更正? Chi-wai is the supervisor of Ho-yin. He discovers Hoyin made mistake in the settings. What correction should Ho-yin do?(2 分)
1 | 浩贤为一间公司的网络管理员,他需要把一个路由器作出以下设定 |
A. ‘access-list 123 permit tcp any eq ftp any ‘ 更正为(change) ‘access-list 123 permit udp any eq ftp any ‘
B. ‘access-list 122 permit tcp host 192.168.26.3 eq www any ‘ 更正为(change) ‘access-list 122 permit udp host 192.168.26.3 eq www any ‘
C. 删除(Delete)’access-list 120 deny tcp any any’ 与’access-list 119 deny udp any any’
D. 删除(Delete)’access-list 123 permit tcp any eq ftp any ‘
deny tcp udp那个直接给整断网了,一眼丁真
C
根据以下 ping 指令的结果,你会估计 192.168.186.132 是哪一个操作系统 According to below ping commands, what is the operation system of the target IP address 192.168.186.132?(2 分)
A. Linux
B. Windows XP
C. Windows 7
D. iOS 12.4 (Cisco Routers)
1 | Ping 192.168.186.132 (使用 32 字节的数据): |
windows
linux
macos
根据ttl大小,应该是A
当使用 nmap 扫瞄目标后,nmap 内出现以下信息 After scanning the target by nmap, below messags is shown in nmap “Note: Host seems down. If it is really up, but blocking our ping probes” (主机似乎关机。如果它是开启的,它正在阻挡 ping 探测。) 应用哪一个指令找出开放的端口? Which command should be used to find out open port? (2 分)
A. nmap -sT
B. nmap -sN
C. nmap -sX
D. nmap -Pn
查一下文档就行了
1 | -Pn: Treat all hosts as online -- skip host discovery |
D
以下哪一个Nmap指令可以减低被侦测的可能性 Which nmap command can be used to lower the possibility of being dectected ? (2分)
A. nmap -sT -O -T5
B. nmap -sT -O -T0
C. nmap -sU
D. nmap -A –host-timeout 99-T1
主要看-T参数
1 | -T<0-5>: Set timing template (higher is faster) |
减低被侦测的可能性 肯定是越慢越好
B
Apple 计算机的硬盘可以使用以下分区方案: The following partition schemes can be used for an Apple computer’s hard drive: (1 分)
A. Apple Partition Map
B. GUID Partition Table
C. Master Boot Record
D. All of the above
这三种分区方案(Apple Partition Map,GUID Partition Table,Master Boot Record)是用于在硬盘驱动器上组织和管理数据存储的不同方法。它们在不同的计算机系统和操作系统之间有一些差异。
- Apple Partition Map:
- 这是一种旧的苹果(Apple)计算机使用的分区方案。它是一种基于32位标识符的分区表,支持最多16个分区。由于其限制和较早的设计,较新的Mac系统已经转向使用其他更现代的分区方案。
- GUID Partition Table (GPT):
- GPT是一种现代的分区方案,适用于较新的Mac系统以及其他操作系统,如Windows和Linux。它使用全球唯一标识符(GUID)来标识分区,支持更大的磁盘容量,提供更多的分区和数据保护功能。
- Master Boot Record (MBR):
- MBR是一种较旧的分区方案,通常在Windows系统中使用。它使用32位标识符来标识分区,支持最多四个主分区。由于限制,MBR对较大磁盘的支持有限,并且不支持较新的引导和安全特性。
由于苹果计算机可以运行不同的操作系统,并且与其他计算机系统进行互操作,因此支持多种分区方案,即Apple Partition Map、GUID Partition Table和Master Boot Record。因此,选项 D. All of the above 表示所有这三种分区方案都可以在苹果计算机的硬盘上使用。
参考’ Mac OS.img ‘ 文件回答以下题目 With reference to ‘ Mac OS.img ‘ file to answer below question ‘ Mac OS.img ‘ 文件中可以找到多少个符号链接? How many symbolic links can be found in the ‘ Mac OS.img ‘ file? (1 分)
A. 0
B. 1
C. 2
D. 3
B
参考’ Mac OS.img ‘ 文件回答以下题目 With reference to ‘ Mac OS.img ‘ file to answer below question 在’ Mac OS.img ‘ 档中使用了哪种分区方案? Which partition scheme was used in the ‘ Mac OS.img ‘ ? (2 分)
A. Apple Partition Map
B. GUID Partition Table
C. Master Boot Record
D. HFS+
看到HFS+就选D了
还是得会原始方法
B
参考’ Mac OS.img ‘ ‘文件回答以下题目 With reference to ‘ Mac OS.img ‘ file to answer below question ‘ Mac OS.img ‘ 档的文件系统的正确描述是什么? What is the correct description of the file system in the ‘ Mac OS.img ‘ ? (1 分)
A. HFS+(已启用日志记录)
B. HFS+(已启用区分大小写)
C. HFS+(已启用日志记录和区分大小写)
D. APFS (已启用区分大小写)
仿真
参考’ Mac OS.img ‘ 文件回答以下题目 With reference to ‘ Mac OS.img ‘ file to answer below question 从文件“Car.rtfd”中删除了哪个文件? Which file was deleted from the file “Car.rtfd”? 提示:答案需包括副文件名,并以全小写字母作答,例如 answer.docx Tips: The answer must be in lowercase and include file extension. Example: answer.docx (1 分)
.DocumentRevisions-V100
是 macOS 操作系统中的一个文件夹,用于存储应用程序和用户文档的版本历史记录信息。这个文件夹通常位于用户的主目录下,具体路径为 ~/.DocumentRevisions-V100
。这个文件夹是与版本控制系统相关的,它可以帮助用户跟踪文件的修改历史,查看以前的版本,并在需要时还原到先前的状态。
macOS 使用版本控制系统来实现“版本历史”和“自动保存”功能。当用户编辑文档时,系统会定期保存文档的版本历史,以便用户可以回溯到之前的版本。这有助于防止数据丢失,并提供了一种方便的方式来管理文件的不同状态。.DocumentRevisions-V100
文件夹包含了这些版本历史的信息。
需要注意的是,用户通常无需直接访问或修改这个文件夹,因为版本历史和自动保存是由系统自动处理的。如果你对 macOS 中的版本历史有特定的问题或需求,可以提供更多的上下文,我将尽力提供帮助。
删了yeah.jpg
参考’ Mac OS.img ‘文件回答以下题目 With reference to ‘ Mac OS.img ‘ file to answer below question 请提供’ Mac OS.img ‘ 映像文件被“fsck”命令检查的具体时间。 Please provide the specific time when the ‘ Mac OS.img ‘ was checked by the “fsck “ command. 提示:答案格式为 YYYYMMDD-HHMMSS,如 2023 年 1 月 1 日 1530 时 30 秒则请回答 “20230101-153030”) Tips: The answer format should be YYYYMMDD-HHMMSS. If the answer is 2023- 01-01 1530 hrs, the answer should be 20230101-153030. (1 分)
最早的创建时间
参考 ‘ Mac OS.img ‘ 文件回答以下题目 With reference to ‘ Mac OS.img ‘ file to answer below question 在 .dmg 档中删除了多少个文件? How many files were deleted from the .dmg file? (1 分)
A. 1
B. 2
C. 3
D. 4
Mac 上的 .DS_Store 究竟是什么文件?如何删除? - 简书 (jianshu.com)
4
参考 ‘ Window Artifacts.E01 ‘ 内的 Windows 注册表回答以下题目 With reference to ‘ Window Artifacts.E01 ‘ file to answer below question Elvis Chui 总共登入过该计算 机多少次? According to the windows registry record of “Window Artifacts.E01”, how many times has Elvis Chui logged into this computer? 提示: 请以阿拉伯数字作 答 Tips: Please answer in arabic numbers (1 分)
参考 ‘ Window Artifacts.E01 ‘ 内的 Windows 注册表回答以下题目 With reference to ‘ Window Artifacts.E01 ‘ file to answer below question 该计算机的操作系统是在哪一 个时区? What is the time zone of the operating system of this computer? (1 分)
A. UTC +4
B. UTC +8
C. UTC -8
D. UTC -4
参考 ‘ Window Artifacts.E01 ‘内的 Windows 注册表回答以下题目 With reference to ‘ Window Artifacts.E01 ‘ file to answer below question 该计算机的操作系统于何时安装? (以计算机系统时区回答) When was the operating system of this computer installed? (Answer in the time zone of the computer system) (1 分)
A. 2023-07-13 19:18:14
B. 2023-07-13 11:18:14
C. 2023-07-13 03:18:14
D. 2023-07-12 19:18:14
参考’ Window Artifacts.E01 ‘内的 Windows 注册表回答以下题目 With reference to ‘ Window Artifacts.E01 ‘ file to answer below question 哪(几)个程序会于操作系统启动 时自动执行? Which program(s) would be automatically executed upon operating system startup? (1 分)
A. Avast
B. Steam
C. OneDrive
D. QQ
参考’ Window Artifacts.E01 ‘内的 Windows 注册表回答以下题目 With reference to ‘ Window Artifacts.E01 ‘ file to answer below question 该计算机内安装了以下哪一个程序? Which one of the following programs was installed on this computer? (1 分)
A. QQ
B. WPS Office
C. Opera
D. Kaspersky
参考’ Window Artifacts.E01 ‘内的 Windows 注册表回答以下题目 With reference to ‘ Window Artifacts.E01 ‘ file to answer below question 计算机内的 OneDrive 程序版本是什么? What is the version of the OneDrive program installed on this computer? (1 分)
参考’ Window Artifacts.E01 ‘内的 Windows 注册表回答以下题目 With reference to ‘ Window Artifacts.E01 ‘ file to answer below question 计算机有一个正在连接的网络接口,该接口连接 DHCP 服务器的 IP 地址是多少? What is the IP address of DHCP server. ? 提示: 以 IPV4 格式回答 Answer: Please answer in IPV4 format. (1 分)
参考’ Window Artifacts.E01 ‘内的 Windows 注册表回答以下题目 With reference to ‘ Window Artifacts.E01 ‘ file to answer below question 该计算机何时连接过一只 U 盘? (以计算机系统时区回答) When was a USB flash drive last connected to this computer? (Answer in the time zone of the computer system) (1 分)
A. 2023-07-13 11:48:26
B. 2023-07-13 03:48:29
C. 2023-07-12 19:48:29
D. 2023-07-13 11:48:29
参考’ Window Artifacts.E01 ‘回答以下题目 With reference to ‘ Window Artifacts.E01 ‘ file to answer below question Elvis Chui 将哪几个文本文件放在回收站中? Which text files did Elvis Chui put into the recycle bin? (3 分)
A. $+D10I76A74P.txt
B. Holiday schedule 2023-07-16.txt
C. Holiday schedule 2023-07-13.txt
D. Minute on 2023-07-01.txt
E. Minute on 2023-07-10.txt
BE
参考’ Window Artifacts.E01 ‘ 回答以下题目 With reference to ‘ Window Artifacts.E01 ‘ file to answer below question Elvis Chui 在什么时间删除了第一个文本文件? (以计算机系统时区回答) What time did Elvis Chui delete the first text file? (Answer in the time zone of the computer system) (3 分)
A. 2023-07-13 11:50:15
B. 2023-07-13 03:49:45
C. 2023-07-13 03:50:15
D. 2023-07-13 11:49:45
参考 ‘ Window Artifacts.E01 ‘回答以下题目 With reference to ‘ Window Artifacts.E01 ‘ file to answer below question Elvis Chui 删除的第一个文本文件的文件名是什么? What was the name of the first text file Elvis Chui deleted? 提示: 请用小写字母回答及需列明文件格式。如文件名字内有空格位置,请用_标示。例 如: go_to_school.docx Tips: Please use lowercase to answer the questions and mention the file extension . If a blank space is present, please use _ to represent the blank space. Example: g o_to_school.docx
见上
参考 ‘ Window Artifacts.E01 ‘ 回答以下题目 With reference to ‘ Window Artifacts.E01 ‘ file to answer below question Elvis Chui 删除的第一个文本文件在什么 时间创建? (以计算机系统时区回答) When was the text file first deleted by Elvis was created? (Answer in the time zone of the computer system) (2 分)
参考 ‘ Window Artifacts.E01 ‘ 回答以下题目 With reference to ‘ Window Artifacts.E01 ‘ file to answer below question Elvis Chui 计划于 2023 年 7 月 15 日 20 点 5 分有什么活动? What is Elvis Chui’s plan at 8:05 PM on July 15, 2023? 提示: 答案 请与文件内的文字与大细阶相同 Tips: Please answer the exact words and uppercase/lowercase leters shown in the file (1 分)
参考 ‘ Window Artifacts.E01 ‘ 回答以下题目 With reference to ‘ Window Artifacts.E01 ‘ file to answer below question 该计算机执行 STEAM.EXE 总共多少次? How many times has STEAM.EXE been opened on this computer? 提示: 请用阿拉伯 数字作答 Tips: Please answer in arabic numbers (1 分)
一个名为“Account”的数据库表拥有 5 个”列”,以下哪一个指令会产生错误讯息? (提示: 1.数据库是拥有正常默认的系统表格 2.错误信息是关于”超出上限”的错误) A database table called “Account” has 5 columns. Which of the following command will case an error message? (Tips 1. database has default system tables 2. error message is related to “Out of Range”.) (1 分)
A. SELECT * from Account WHERE name=‘Alex’ OR ‘1’=1
B. SELECT * FROM Account WHERE name=‘Bill’ UNION SELECT NULL, NULL, NULL, NULL
C. SELECT * from Account WHERE name=‘Candy’ ORDER BY 6
D. SELECT name FROM sys.tables
C,sql注入入门题
当客户端收到一个页面请求的 HTTP 状态代码为 304 时,以下哪种情况最有可能发生? When a client receives an HTTP Status Code of 304 for a page request, which of the following is most likely to take place? (1 分)
A. 页面将显示错误
B. 页面将从浏览器缓存中加载
C. 浏览器将显示“访问被拒绝”
D. 服务器将复位向客户端到另一个资源
HTTP 304 Not Modified
说明无需再次传输请求的内容,也就是说可以使用缓存的内容。
B
在 HTML 注入攻击中,以下哪种情况最有可能出现? Which of the following would most likely be found in an HTML Injection attack? (1 分)
A. <form action=”http://1.2.3.4/login.htm">Password:\ </form>
B. <embed src=”http://demo.com/demo.swf"> </embed>
C. <script>alert(‘Correct’)</script>
D.<?php include(“inc/“ .$_GET[‘file’];?>
感觉AC都可以
在给定的 HTML 表单中,存在潜在的 HTML 注入漏洞。具体来说,这是因为在表单的 action 属性中使用了用户提供的输入,而且没有对该输入进行充分的过滤或转义。这可能导致攻击者通过在输入中插入恶意的 HTML 或脚本代码,从而执行潜在危险的操作。
一个简单的示例是,如果攻击者将以下内容输入到密码字段中:
1 | "><script>alert('XSS');</script><br name="test |
那么最终生成的 HTML 代码可能会变成:
1 | <form action="http://1.2.3.4/login.htm">Password:<input type="password" name="pword"> |
这样,当表单被提交时,嵌入其中的 JavaScript 代码就会在用户浏览器中执行,弹出一个对话框,显示 “XSS”。这是一种典型的 HTML 注入攻击,被称为跨站脚本(XSS)攻击。
要防范这类攻击,开发者应该对用户输入进行严格的验证和过滤,以确保输入不包含任何恶意代码。这可以通过使用输入验证和安全的输出编码等最佳实践来实现。
如何预防HTML注入攻击? How to prevent HTML injection attacks? (1分)
A. 密钥管理
B. 同源策略执行
C. 会话验证
D. 输入过滤
比赛的时候把CSRF和XSS搞混了…
同源策略(Same-Origin Policy)是一种Web浏览器安全策略,设计用于防止一个网页文档或脚本从一个源加载的内容与来自另一个源的资源进行交互。同源策略有助于防御以下安全威胁:
跨站脚本攻击 (XSS): 同源策略能够阻止恶意脚本在一个域中运行并访问另一个域的敏感信息。如果一个网站成功注入脚本到另一个域的页面中,同源策略将防止这个脚本访问其他域的信息。
跨站请求伪造 (CSRF): 同源策略防止不同源之间的网页发生不经意的交互,从而降低了CSRF攻击的风险。CSRF攻击依赖于用户的身份验证信息被发送到攻击者控制的站点,而同源策略会阻止这种跨站点的请求。
跨站点数据泄露: 同源策略防止一个站点通过脚本访问另一个站点的敏感信息,从而减少了数据泄露的风险。
恶意广告注入: 同源策略可以防止恶意广告或第三方内容提供商注入的恶意脚本与页面上的其他域进行交互,保护用户免受恶意广告的攻击。
窃取 Cookie: 同源策略可以防止脚本从一个源读取另一个源的 Cookie,从而降低了身份验证凭证被窃取的风险。
需要注意的是,同源策略仅在浏览器端实施,服务器端同源策略并不强制执行。因此,开发人员仍然需要在服务器端实施适当的安全措施,如验证和授权,以防范其他类型的攻击。
答案应该是D
同源策略在浏览器内存中提供Web应用程序安全的目的是什么? What is the purpose of Same-Origin Policy in providing web application security in a browser’s memory? (3分)
A. 防止客户端访问恶意网站
B. 禁止Web会话运行外部脚本
C. 控制来自不同服务器的代码之间的交互
D. 阻止浏览器运行危险或有害的脚本
C,上面写了
编写Nmap命令以显示以下结果。 Write the Namp command that will show the following result (2分)
1 | Starting Nmap 7.94 (https://nmap.org) at 2023-07-11 18:26 中国标准时间 |
要显示上述结果,可以使用以下 Nmap 命令:
1 | nmap -p 80,443 --script http-robots.txt www.baidu.com |
该命令的含义是:
-p 80,443
: 指定要扫描的端口,包括80和443。--script http-robots.txt
: 使用 Nmap 的http-robots.txt
脚本,该脚本会检查目标网站的robots.txt
文件,从而获取有关禁止访问的路径的信息。www.baidu.com
: 目标主机的域名或IP地址。
请注意,具体的扫描结果可能会因为目标主机的网络配置而有所不同。
下面是http-robots.txt.nse脚本的源码
1 | local http = require "http" |
除了使用 Nmap,还有其他方法可以验证上述结果,其中一种方法是使用 Web 浏览器浏 览 URL,编写 URL 以显示上述结果。(答案不要包含“http://”) Other than using Nmap, there are other methods which can verify the above result. One of the methods is using Web browser to surf the URL. Write the URL that will show the above result. (Answer without “http://”) (2 分)
参考’ IOS ‘ 文件夹回答以下题目 With reference to ‘ IOS ‘ to answer below question 根据 ‘ com.apple.ios.StoreKitUIService.plist ‘ , 这部电话是什么型号? According to ‘ com.apple.ios.StoreKitUIService.plist ‘, what is the model of this phone? (1 分)
火眼能解析出的内容是有限的,必须自己手搓了(这才是真正的取证
目录下有个com.apple.ios.StoreKitUIService.plist文件
1 |
|
参考 ‘ IOS ‘ 文件夹回答以下题目 With reference to ‘ IOS ‘ to answer below question 根据 com.apple.ios.StoreKitUIService.plist,上述电话的文件系统是什么? According to com.apple.ios.StoreKitUIService.plist, what is the file system of the phone in question? (1 分
A. FAT32
B. NTFS
C. HFS+
D. APFS
E. EXT4
- FAT32: FAT32通常用于可移动存储设备,而不是iOS设备的文件系统。
- NTFS: NTFS通常用于Windows操作系统,而不是iOS设备。
- HFS+: HFS+曾经是苹果的文件系统,但在最新版本的iOS中已被APFS取代。
- APFS: APFS(Apple File System)是苹果在iOS 10.3及更高版本中引入的文件系统。
- EXT4: EXT4是Linux系统上使用的文件系统,而iOS使用的是基于Unix的操作系统,并不直接采用EXT4。
D
参考 ‘ IOS ‘ 文件夹回答以下题目 With reference to ‘ IOS ‘ folder to answer below question 根据 ChatStorage.sqlite,哪些对话已锁定? According to ChatStorage.sqlite where chats are stored, which conversations are locked? (3 分)
A. [email protected]
B. [email protected]
C. [email protected]
D. [email protected]
E. status@broadcast
1 | 1. Z_PK — seems like a serial number |
考 ‘ IOS ‘ 文件夹回答以下题目 With reference to ‘ IOS ‘ folder to answer below question 根据 ChatStorage.sqlite,有多少段录音对话? According to ChatStorage.sqlite, how many recorded conversations are there? 提示: 请以阿拉伯 数字作答 Tips: Please answer in arabic numbers. (2 分)
1 | SELECT COUNT(1) |
48
答案里去掉了audio/mpeg这一项,是45
参考 ‘ IOS ‘ 文件夹回答以下题目 With reference to ‘ IOS ‘ folder to answer below question Apple Cocoa Core Data timestamp 是由什么时间开始? From what time does the Apple Cocoa Core Data timestamp start? (1 分)
Cocoa Core Data Timestamp Converter (epochconverter.com)
参考 ‘ IOS ‘ 文件夹回答以下题目 With reference to ‘ IOS ‘ folder to answer below question 根据 Photos.sqlite 数据库中,有多少段视频可能涉及 WhatsApp? According to the Photos.sqlite database, how many videos may be related to WhatsApp? 提 示: 请以阿拉伯数字作答 Tips: Please answer in arabic numbers (2 分)
Inside and Out of Apple’s Photos for Mac | Medium — Apple Mac 版照片的内里外外 |中等的
赛前刷过ios的题
1 | SELECT COUNT(1) |
7
参考 ‘ IOS ‘ 文件夹回答以下题目 With reference to ‘ IOS ‘ to answer below question 根据 Photos.sqlite 数据库中,下列哪个选项对 IMG_0008.HEIC 的描述是错的? According to the ‘ Photos.sqlite ‘ database, which of the following descriptions of IMG_0008.HEIC is incorrect? (3 分)
A. 由第三方软件拍摄
B. 经过修改
C. 由后镜拍摄
D. 用ISO200拍摄
E. 没有储存经纬度
1 | SELECT b.* |
ZEXTENDEDATTRIBUTES的字段我Fuzz了一下
1 | Z_PK |
在这张表中,我可以知道它是手机后镜拍摄的,A错误,C正确
ISO不是200,D错误
存储了经纬度,E错误
那么还差一个是否经过修改不知道,讲道理是可以查ZADDITIONALASSETATTRIBUTES的,但是我用了iOS_Local_PL_Photos.sqlite_Queries/iOS15/iOS15_LPL_Phsql_Basic.txt at main · ScottKjr3347/iOS_Local_PL_Photos.sqlite_Queries (github.com)里的sql语句,并修改了一下
1 | SELECT zAsset.ZSORTTOKEN AS 'zAsset-Sort Token', |
这两个字段的值不一样,所以我合理怀疑经过修改了(如果有不同见解请联系我~)
参考 ‘ IOS ‘ 文件夹回答以下题目 With reference to ‘ IOS ‘ folder to answer below question 根据 ‘ sms(ios).db ‘ 的资料,全局唯一标识符(GUID): DD31C26F-1D72-DE0F-431EEF98F104402D 显示的信息是什么? According to ‘ sms(ios).db ‘, what is the message shown on Globally Unique Identifier (GUID) of DD31C26F-1D72-DE0F-431E-EF98F104402D? 提示:答案需要与信息一样(答案包括中文字、阿拉伯数字与符号) Tips: Answer should be same as the message (including Chinese words, arabic nu mbers and symols) (1 分)
1 | SELECT text |
你的 Uber 驗證碼為 3666. 請勿分享此驗證碼.
参考 ‘ IOS ‘ 资料 夹回答以下题目 With reference to ‘ IOS ‘ folder to answer below question 根据 ‘ com.burbn.instagram.plist ‘ 及 ‘ com.facebook.Facebook.plist ‘ 手 机安装了实时通讯软件 Facebook 及 Instagram 的那个版本? (Instant Messaging Apps)? According to ‘com.burbn.instagram.plist ‘ and ‘ com.facebook.Facebook.plist ‘, which version of instant messaging apps (Facebook and Instagram) are installed on the phone? (1 分)
A. Instagram (Version 278.0.0.19.115)
B. Facebook (Version 410.0.0.41.116)
C. Instagram (Version 279.0.0.23.112)
D. Facebook (Version 410.0.0.26.115)
E. Instagram (Version 278.0.0.25.115)
F. Facebook (Version 410.0.0.57.116)
参考 ‘ IOS ‘ 文件夹回答以下题目 With reference to ‘ IOS ‘ folder to answer below question 根据 ‘ ChatStorage(ios).sqlite ‘ , 用户数据 Peter Chow (85262012141)在什么日期和时 间(以 UTC +8 时区)曾经通过实时通讯软件送出一个信息(内容为: I am already home)? According to ‘ ChatStorage(ios).sqlite ‘, on what day and time (in UTC+8 time zone ) did Peter Chan (user information 85262012141) send a message via instant mess aging? (Hint: Message Content: I am already home) 提示:以 UTC +8 时区作答,并以 YYYY-MM-DD_HH:MM:SS 格式作答 例如:2023-01-01_10:01:01 (答案无需输入 UTC +8) Tips: Please answer the question in UTC +8 timezone and use format YYYY-MMDD_HH:MM:SS to answer. Example: 2023-01-01_10:01:01 (2 分)
1 | SELECT ZSENTDATE |
在线方法
离线方法
1 | from datetime import datetime |
最后的结果加上8小时就好了
参考 ‘ IOS ‘ 文件夹回答以下题目 With reference to ‘ IOS ‘ folder to answer below question 根据影片 IMG_0687.MOV 的原数据,找出影片拍摄时间? According to original data of video IMG_0687.MOV, please find out the taping tim e? 提示:以 UTC +8 时区作答,并以 YYYY-MM-DD_HH:MM:SS 格式作答 例如:2023-01-01_10:01:01 (答案无需输入 UTC +8) Tips: Please answer the question in UTC +8 timezone and use format YYYY-MMDD_HH:MM:SS to answer. Example: 2023-01-01_10:01:01 (2 分)
妹找到
参考 ‘ IOS ‘ 文件夹回答以下题目 With reference to ‘ IOS ‘ folder to answer below question 根据 ‘ CallHistory(ios).storedata ‘,哪份表格显示了通话记录? According to ‘ CallHistory(ios).storedata ‘,which table(s) containting the data of call record? (2 分)
A. ZCALLBPROPERTIES
B. ZCALLRECORD
C. Z_2REMOTEPARTICIPANTHANDLES
D. Z_METADATA
E. Z_MODELCACHE
F. Z_PRIMARYKEY
B
参考’ IOS ‘ 文件夹回答以下题目 With reference to ‘ IOS ‘ folder to answer below question 根据 ‘ com.apple.sharingd.plist ‘,这部手机的隔空投送的身份标识号 (AirDrop ID)是什么? Accoding to ‘ com.apple.sharingd.plist ‘, What is AirDrop ID of the mobile phone? 提示:请以阿拉伯数字与小写字母作答 Tips: Please answer in arabic numbers and lowercase letters. (3 分)
参考 ‘ IOS ‘ 文件夹回答以下题目 With reference to ‘ IOS ‘ folder to answer below question 根据 ‘ Accounts3.sqlite ‘,这部手机的苹果使用者账号 (Apple ID) 是什么? According to ‘ Accounts3.sqlite ‘, what is the Apple ID of this mobile phone? 提示: 请以电邮格式作答(例:jack2023@hotmail.com) Please answer in email format (Example: jasck2023@hotmail.com) (2 分)
哪一行代码的是负责更新在 GitHub 使用中的 .journal 文件的更新历史记录 ? Which line of code in the script is responsible for updating GitHub with the updat ed history of the .journal file? (1 分)
1 | line 1 git config --global user.name "mikesezto" |
A. 08
B. 13
C. 16
D. 17
暑假给导师出信息收集的时候,就用了github信息泄露这个知识点,熟悉了一遍git操作
A 提交先前添加的文件变更,包括删除敏感数据,并添加一条提交消息:”Remove sensitive data”。
B 使用 BFG Repo-Cleaner 工具,删除仓库中名为 .journal
的文件。
C 执行 Git 垃圾回收,清理无用的对象,并通过 --aggressive
标志执行更彻底的清理。
D 强制推送更改到远程仓库,包括删除 .journal
文件以及垃圾回收操作。--force
标志用于覆盖远程仓库的历史记录。
B
下列哪一行 AWS S3 Bucket 授权策略中的设置有问题? Which line of setting in the following AWS bucket policy statement is in question? (1 分)
1 | line 1 { |
A. 2
B. 7
C. 8
D. 9
这看起来像一个 AWS Identity and Access Management (IAM) 或 AWS S3 存储桶策略(Bucket Policy)的 JSON 格式的片段。这段 JSON 描述了一个允许公共读取对象的 S3 存储桶访问策略。
让我们逐行解释:
line 1:
{
- 表示 JSON 对象的开始。
line 2:
"Version": "2020-11-12",
- 定义了策略的版本,这里是 “2020-11-12”。
line 3: `”Statement”: [
- 定义了一个语句数组,表示可以包含多个访问控制语句。
line 4:
{
- 表示一个语句的开始。
line 5:
"Sid": "PublicReadGetObject",
- 提供了语句的唯一标识符(SID),这里是 “PublicReadGetObject”。
line 6:
"Effect": "Allow",
- 定义了语句的效果,这里是 “Allow”,表示允许指定的操作。
line 7:
"Principal": "*",
- 定义了哪个主体(用户、角色或实体)被授予权限,这里是 “*”,表示所有主体。
line 8:
"Action": "s3:GetObject",
- 定义了允许的操作,这里是 “s3:GetObject”,表示允许获取对象。
line 9:
"Resource": "arn:aws:s3:::company-sensitive-14dnid23nfief/*"
- 指定了允许操作的资源,这里是一个 S3 存储桶中对象的 ARN(Amazon 资源命名),表示所有在
company-sensitive-14dnid23nfief
存储桶下的对象。
- 指定了允许操作的资源,这里是一个 S3 存储桶中对象的 ARN(Amazon 资源命名),表示所有在
line 10:
}
- 表示语句的结束。
line 11:
]
- 表示语句数组的结束。
line 12:
}
- 表示整个 JSON 对象的结束。
总体来说,这个策略允许任何人("*"
)对指定 S3 存储桶中以 company-sensitive-14dnid23nfief/
为前缀的所有对象进行读取操作。这种配置通常用于实现公共读取权限,例如用于托管静态网站的 S3 存储桶。
B
以下哪项是多重身份验证 (MFA) 的示例 Which of the following is an example of multi-factor authentication (MFA)? (1 分)
A. PIN 码和软件令牌
B. 指纹和视网膜扫描
C. 用户名和密码
D. 一次性短信代码和硬件令牌
前段时间刚刚Github用过MFA还是选错了,,,
A
AWS 用家在户口网络进行设定,而这些设定会记录用户或第三者的活动。第 11 行代码中 的设定可以找到哪些用户或第三者的活动信息? An AWS user is setting up his AWS account. Those setting will record the activitie s of the user or third party. What user or third party information could be found i n line 11 of code in the script ? (2 分)
1 | line 1 sudo yum install python-pip -y |
A. User Name 用户的名称
B. User Source 用户的来源
C. Attacker Name 攻击者的名称
D. Attacker Source 攻击者的来源
sources.txt推断是B
AWS 用户设置了一个 VPC,IP 地址范围为 10.0.0.0-10.0.0.24。 下列哪个 IP 地址用于 DNS ? An AWS user sets a VPC with IP address space of 10.0.0.0-10.0.0.24,Which of the following IP address is used for DNS? (2 分)
A. 10.0.0.0
B. 10.0.0.1
C. 10.0.0.2
D. 10.0.0.3
AWS VPC 如何设计与划分子网 - 宋某人 - 博客园 (cnblogs.com)
没玩过AWS,做题的时候完全是懵的
以下哪种类型的云服务用于操作系统和网络 ? Which of the following type of Cloud service is used for operating systems and network? (1 分)
A. 软件即服务
B. 平台即服务
C. 基础架构即服务
D. 数据即服务
C. 基础架构即服务
基础架构即服务 (IaaS) 提供的是基础计算资源,包括虚拟机、存储和网络。用户可以在这个基础上构建和运行自己的操作系统、应用程序和服务。因此,IaaS 通常用于操作系统和网络的管理。
以下哪项是 Bastionhost 的特点? What is the feature of a bastionhost? (2 分)
A. 包含敏感信息
B. 无法访问内部系统
C. 限制暴露的服务
D. 没有连接到互联网
2023-q2内部比武接触过堡垒机
C. 限制暴露的服务
Bastion host(堡垒主机)通常用于增强网络的安全性。其主要特点之一是限制暴露给公共网络的服务。Bastion host充当受信任的入口点,仅允许特定的安全访问,从而降低网络攻击的风险。其他选项不太适用于描述Bastion host的特点。
在 Linux 系统中,哪个命令可以用于创建文件系统? In Linux system, which command can be used to create file system ? (1 分)
A. mount /dev/sda3 /mnt/usb
B. mkfs-ext4 /dev/sda2
C. mkfs-ext3 /sys/sda1
D. pvcreate /dev/sda
E. genfstab -U -p /mnt
让我为你解释每一行的含义:
A. mount /dev/sda3 /mnt/usb
- 这个命令用于将设备
/dev/sda3
挂载到目录/mnt/usb
。它将文件系统(可能是 ext4、ext3 等)连接到指定的目录,使得目录中的文件对该文件系统可见。
B. mkfs-ext4 /dev/sda2
- 这个命令用于在设备
/dev/sda2
上创建 ext4 文件系统。mkfs-ext4
是一个假设的命令,实际上应该是mkfs.ext4
。
C. mkfs-ext3 /sys/sda1
- 这个命令存在错误。正确的命令应该是
mkfs.ext3 /dev/sda1
,用于在设备/dev/sda1
上创建 ext3 文件系统。
D. pvcreate /dev/sda
- 这个命令用于创建物理卷,将设备
/dev/sda
初始化为 LVM(逻辑卷管理)物理卷。它是创建 LVM 卷组的第一步。
E. genfstab -U -p /mnt
- 这个命令用于生成文件系统表(fstab)的条目,并将结果输出到标准输出。
-U
选项表示使用UUID,-p
选项表示打印结果而不写入/etc/fstab
文件。结果基于/mnt
目录中的已挂载文件系统。
需要注意的是,命令中存在一些错误,特别是选项或命令的拼写错误。正确的命令应该是:
mkfs.ext4
而不是mkfs-ext4
。mkfs.ext3 /dev/sda1
而不是mkfs-ext3 /sys/sda1
。
做题的时候A mount是挂载肯定排除
B 肯定是的
C /sys/sda1不存在
D 创建PV卷
E fstab是看挂载点的
‘Link’实际上是指向 LINUX 系统中另一个文件或文件夹的指标。以下哪个命令可以产生 下面的结果: A link is actually a pointer to another file or folder in the Linux system. Which of t he following command can generate below result?
1 | > ls -ilas |
A. link -s testing.txt shotcut-testing.txt
B. ln -s shotcut.txt testing.txt
C. ln testing.txt shotcut-testing.txt
D. ln -s testing.txt shotcut-testing.txt
E. ln shotcut.txt testing.txt
1 | ┌──(root㉿b3nguang)-[~/桌面/meiya] |
自己操作一下就好了
C
以下哪个命令用于在 Linux 系统中创建分区? Which of the following command is used to create partitions in the Linux system? (1 分)
A. gdisk /dev/sde
B. mke2fs /dev/sdb1 -t ext4
C. mount /dev/sdc1 /mnt/fs_home
D. fdisk -lu
E. lvcreate -l +200 /dev/vg00/log/vol-00
断网可以把资料准备好
创建分区的命令通常是使用磁盘分区工具,根据提供的选项来看,正确的命令是:
D. fdisk -lu
fdisk
是一个用于磁盘分区的常用命令行工具,-l
选项用于显示已安装的磁盘的分区表,-u
选项用于以单位为扇区显示大小。
其他选项的解释:
- A.
gdisk /dev/sde
-gdisk
用于 GUID Partition Table (GPT) 磁盘,不是创建分区的命令。 - B.
mke2fs /dev/sdb1 -t ext4
-mke2fs
用于创建 ext2, ext3 或 ext4 文件系统,而不是创建分区的命令。 - C.
mount /dev/sdc1 /mnt/fs_home
-mount
用于挂载文件系统,而不是创建分区的命令。 - E.
lvcreate -l +200 /dev/vg00/log/vol-00
-lvcreate
用于创建逻辑卷,不是创建分区的命令。
D
一个系统管理员要扩展运行在 LVM 系统中的服务器存储。以下哪个命令可以用于扩展 LVM 中的逻辑卷? A system administrator wants to expand the server storage running in LVM system. Which command can be used to expand the logical volume in LVM? (1 分)
A. lvdisplay /dev/vg02/vol-01
B. lvcreate -n /dev/vg02 -l 200
C. lvextend -n /dev/vg02 -l +200
D. lvscan -l +200 /dev/vg02/vol-01
E. lvresize -l +200 /dev/vg02/vol-01
暑假实习的时候这些命令基本上都看过一遍,心里有个印象,比赛的时候本地-h看看就行了
lvresize命令 – 调整LVM逻辑卷空间大小 – Linux命令大全(手册) (linuxcool.com)
E
一个系统管理员编写了一个 bash 代码来构建一个 RAID 系统,如下所示,将要实现什么 类型的 RAID? A system administrator has written a bash code to build a RAID system as shown below. What type of RAID is going to be implemented? (2 分)
1 | | #!/bin/bash |
A. RAID 0
B. RAID 1
C. RAID 1+0
D. RAID 0+1
E. 这个代码不起作用 (No effect)
让我们逐行解释这段 Bash 代码:
#!/bin/bash
- 这是一个 shebang 行,指定了脚本解释器的路径。在这里,它指定了使用 Bash 解释器来执行脚本。
hd1=/dev/sda1
- 定义了一个变量
hd1
,其值是/dev/sda1
。这是硬盘1的第一个分区的设备路径。
- 定义了一个变量
hd2=/dev/sdb1
- 同样,定义了一个变量
hd2
,其值是/dev/sdb1
。这是硬盘2的第一个分区的设备路径。
- 同样,定义了一个变量
hd3=/dev/sdc1
- 定义了一个变量
hd3
,其值是/dev/sdc1
。这是硬盘3的第一个分区的设备路径。
- 定义了一个变量
hd4=/dev/sdd1
- 定义了一个变量
hd4
,其值是/dev/sdd1
。这是硬盘4的第一个分区的设备路径。
- 定义了一个变量
mdadm --build /dev/md1 --level=1 --raid-devices=2 $hd1 $hd2
- 使用
mdadm
命令创建 RAID 1 阵列/dev/md1
,级别为 1,包含两个设备,即$hd1
和$hd2
。
- 使用
mdadm --build /dev/md2 --level=1 --raid-devices=2 $hd3 $hd4
- 使用
mdadm
命令创建另一个 RAID 1 阵列/dev/md2
,级别为 1,包含两个设备,即$hd3
和$hd4
。
- 使用
mdadm --build /dev/md3 --level=0 --raid-devices=2 /dev/md2 /dev/md1
- 使用
mdadm
命令创建 RAID 0 阵列/dev/md3
,级别为 0,包含两个设备,即/dev/md2
和/dev/md1
。
- 使用
综合起来,这段脚本的目的是创建一个混合 RAID 系统,包括两个级别为 1 的 RAID 1 阵列,并将它们放置在一个级别为 0 的 RAID 0 阵列中,形成一个 RAID 10 阵列。
C
以下是运行在 LINUX 服务器中的服务清单。以下哪个命令可以关闭 “bluetooth.service”服务? The following is a list of service running on a Linux server. Which command can b e used to turn off the Bluetooth service? (3 分)
1 | ● vm-production-xabonline.com |
A. systemctl kill bluetooth.service
B. systemctl disable bluetooth.service
C. systemctl down bluetooth.service
D. systemctl stop bluetooth.service
E. systemctl rm bluetooth.service
常识题,D
cron 服务在 LINUX 系统中充当作业调度程序。它实际上是在 cron 表(crontab)中指定 的命令行列表。现在准备启动和关闭一个 Web 服务器(httpd.service),如下所示: The Cron service acts as a job scheduler in the Linux system. It is actually a list of commands specified in the cron table (crontab). Now, the plan is to start and stop a web server (httpd.service) as below 上午 8 时 30 分(启动)- 下午 6 时 06 分(关闭);周一至周五 AM 0830 (start) - PM 0606 (Closed) ; Monday to Friday 以下哪个 crontab 设置适用于这种情况? Which of the following crontab setting can be used in this situation ?(1 分)
A. 30 8 * 1-5 * /usr/bin/systemctl start httpd.service 及 06 18 * 1-5 * /usr/bin/systemctl stop httpd.service
B. 30 8 * * 1-5 /usr/bin/systemctl start httpd.service 及 06 18 * * 1-5 /usr/bin/systemctl stop httpd.service
C. 30 8 1-5 * */usr/bin/systemctl start httpd.service 及 06 18 1-5 * */usr/bin/systemctl stop httpd.service
D. 30 8 * * * /usr/bin/systemctl start httpd.service 及 06 18 * * * /usr/bin/systemctl stop httpd.service
E. 以上都不是
1 | ┌──(root㉿b3nguang)-[~/桌面/meiya] |
我们断网的时候可以对应这这个进行操作
以下哪个 Linux 命令可以显示目录中的所有文件,包括隐藏文件? Which of the following Linux command is able to show all files in a directory, including hidden file? (1 分)
A. ls -ls
B. ls -asl
C. ls -lAs | wc
D. ls -als | grep ssh
E. None
-a展示所有,也算一道常识题了,B
如果您想要检查 Linux 系统上可用的剩余磁盘空间量,您会使用以下哪个命令? If you want to check the amount of free disk space available on a Linux System, you will use which of the following command? (1 分)
A. df -vh
B. df -sh
C. dl -vh
D. dd -sh
E. dt -vh
1 | ┌──(root㉿b3nguang)-[~/桌面/meiya] |
依旧是本地调试
Dockerfile 是一个文本文档,用于在 Docker 架构中生成以下哪个组件? Dockerfile is a text document that aims to produce which of the following component in docker architecture? (1 分)
A. docker engine
B. image
C. container
D. volumes
E. docker network
前段时间出题刚刚学会写dockerfile,选B
在 Linux 系统中,运行中程序的进程并位于内存区域,可以通过检查文件 /proc/[pid]/maps 来显示这些内存区域。以下哪个不是 Linux 系统中的内存区? In Linux system, process is an instance of a running program located in several memory regions that can be revealed by inspecting file /proc/[pid]/maps. Which of the following is not the memory region working in Linux system? (1 分)
A. [heap]
B. [stack]
C. [paging]
D. [vvar]
E. [vdso]
1 | ┌──(root㉿b3nguang)-[~/桌面/meiya] |
依旧是本地调试,下面是GPT的解释
在 Linux 系统中,通过检查 /proc/[pid]/maps
文件,我们可以查看进程的内存映射信息。关于给定的选项:
- A.
[heap]
: 通常表示堆区,用于动态分配内存。 - B.
[stack]
: 表示栈区,用于处理函数调用和本地变量。 - C.
[paging]
: 不是标准的 Linux 内存区域,可能是一个虚构的选项。 - D.
[vvar]
: 通常表示 vvar 区域,包含一些变量和时间信息。 - E.
[vdso]
: 表示 vdso 区域,包含一些系统调用的函数,用于提高性能。
因此,选项 C. [paging]
不是 Linux 系统中通常表示的内存区域,可能是一个误导性的选项。其他选项都与 Linux 进程的内存区域相关。
以下命令中,哪个命令可以对”export-logs”输出进行排序? Which of the following command can be used to sort the results of export-logs? (1 分)
A. export-logs<sort
B. export-logs>sort
C. export-logs&sort
D. export-logs|sort
E. export-logs<>sort
考管道符,D
哪些文件会影响 Linux 主机的名称解析功能?(多选题) Which files will affect the name resolution function of a Linux host? (1 分)
A. /etc/resolv.conf
B. /etc/hosts
C. /etc/default/names
D. /etc/nsswitch.conf
E. /etc/inet/hosts
A是DNS服务器,B是hosts文件,D比赛的时候搞不懂是干啥用的
影响 Linux 主机名称解析功能的文件有:
A. /etc/resolv.conf:这个文件包含了用于 DNS 解析的配置信息,包括域名服务器的地址等。
B. /etc/hosts:这个文件包含了主机名与 IP 地址的映射,可以用于本地名称解析。
D. /etc/nsswitch.conf:该文件指定了用于不同系统数据库(如 passwd、group、hosts 等)的名称解析方法。例如,可以配置它以查找文件、NIS、DNS 等。
其他选项:
C. /etc/default/names:通常不是标准的 Linux 配置文件,可能是一个虚构的选项。
E. /etc/inet/hosts:通常情况下,这个路径下的文件
/etc/inet/hosts
也不是标准的 Linux 配置文件路径,可能是一个虚构的选项。
因此,正确的选项是 A、B、D。
哪个系统文件包含了一般的端口、关联的服务和协议? Which file include the well known ports, associated services and protocol? (1 分)
A. /etc/services
B. /etc/sysconfig/network-scripts
C. /etc/services.conf
D. /etc/inet/hosts
E. None of the choices
1 | ┌──(root㉿b3nguang)-[~/桌面/meiya] |
本地调试秒了
参考’ Windows 10 ‘ 文件夹回答以下题目 With reference to ‘ Windows 10 ‘ folder to answer below question 在 Windows 10 中 \Users\qqqqq\Downloads,视频文件(mixkit-two-women-layingtogether-925-medium.mp4),在 MFT 中分成多少个 Data Cluster 储存? In Windows 10, the video file “mixkit-two-women-laying-together-925- medium.mp4” located at \Users\qqqqq\Downloads is stored in the Master File Ta ble (MFT) using a series of data clusters. The exact number of data clusters used to store the file in the MFT is? 提示: 请以阿拉伯数字作答 Tips: Please answer in arabic numbers
5
参考’ Windows 10 ‘ 文件夹回答以下题目 With reference to ‘ Windows 10 ‘ folder to answer below question 在 Windows 10 中 \Users\qqqqq\Downloads\ mixkit-two-woman-laying-together925-medium.mp4 的 last Access 时间是多少? In Windows 10, what is the last Access time of the file ‘ mixkit-two-woman-layingtogether-925-medium.mp4 ‘ located in ‘ \Users\qqqqq\Downloads ‘ ?
参考’ Windows 7 ‘ 文件夹回答以下题目 With reference to ‘ Windows 7 ‘ folder to answer below question 在 Windows 7 中 \Users\Allen\Desktop,有 1 个 MP3 文件 (例:unlock-me149058.mp3),用户使用什么程序打开该 MP3 文件? In Windows 7, there is 1 MP3 file (unlock-me149058.mp3) saved under the path ‘ \Users\Allen\Desktop. What program did the user use to open the mp3 file. 提示:请以小写字母作答 Tips: Please answer in lowercase letters
这里开始要对vmdk进行仿真,可是这么多vmdk我们一旦仿真错了,对后面的题目就会有影响
比如说这道题,我们打开vmx文件,找一下vmdk,就可以找到正在使用的磁盘
PotPlayer
参考’ Windows 7 ‘ 文件夹回答以下题目 With reference to ‘ Windows 7 ‘ folder to answer below question 在 Windows 7 中 ‘ \Users\Allen\Desktop ‘有 1 个 MP3 文件 (unlock-me149058.mp3),该文件的 Zone identiflier 为’3’。上述’3’字代表哪一个 security Zone ? In Windows 7, there is one MP3 file (unlock-me149058.mp3) saved under the path ‘ \Users\Allen\Desktop. The zone identiflier of above file is ‘3’. What security zone does ‘3’ represent?
在 Windows 操作系统中,Zone Identifier 是一个用于标识文件从何处来的信息。Zone Identifier 值指示文件的来源,例如,它可能是从 Internet 下载的,或者是从本地计算机上的受信任位置获取的。
在 Windows 中,Zone Identifier 的值对应于不同的安全区域。具体的映射关系如下:
0
: 本地计算机1
: 本地 Intranet2
: 受信任的站点3
: Internet4
: 受限制的站点
在你提到的情况中,Zone Identifier 的值为 ‘3’,表示该文件被标记为来自 Internet。这通常是通过从 Internet 下载文件或从外部存储设备中拷贝文件来获得的。
在 Windows 操作系统中,你可以使用文件的属性来查看 Zone Identifier。以下是一种查看文件 Zone Identifier 的方法:
- 通过文件属性:
- 右键单击文件,选择 “属性”。
- 在弹出的窗口中,切换到 “常规” 选项卡。
- 在 “安全” 部分,你会看到 “此文件来自 Internet,可能不安全” 或类似的文本。这表明 Zone Identifier 的值为 ‘3’,表示文件来自 Internet。
请注意,这个信息可能仅在文件确实具有 Zone Identifier 时显示。如果文件来自受信任的本地位置,通常不会显示 Zone Identifier 信息。
此外,你还可以使用 PowerShell 命令来查看文件的 Zone Identifier。以下是一个示例:
1 | Get-Item -LiteralPath "C:\Users\Allen\Desktop\unlock-me149058.mp3" | Get-ItemProperty | Select-Object Zone.Identifier |
这将返回文件的 Zone Identifier 值。
参考’ Windows 7 ‘ 文件夹回答以下题目 With reference to ‘ Windows 7 ‘ folder to answer below question 在 Windows 7 中 \Users\Allen\Desktop 有 1 个 MP3 文件 (unlock-me149058.mp3),该文件从哪个网站下载? In Windows 7, there is a MP3 file (unlock-me149058.mp3) saved under the path ‘ \Users\Allen\Desktop. Which website was use d to download the file?
B. free-mp3-download.net
D. mygomp3.com
参考’ Windows 7 ‘ 文件夹回答以下题目 With reference to ‘ Windows 7 ‘ folder to answer below question 在 Windows 7 中 \Users\Allen\Downloads 内有 mp3 文件 (miracle.mp3), 更改名称时间? In Windows 7, there is a MP3 file named “miracle.mp3 saved under the path ‘ \Users\Allen\Downloads.” When was the file’s name changed? (2 分)
A. 2023-07-13 02:55:20
B. 2023-07-15 10:55:20
C. 2023-07-12 10:58:04
D. 2023-07-13 10:55:20
B
参考’ Windows 7 ‘ 文件夹回答以下题目 With reference to ‘ Windows 7 ‘ folder to answer below question 在 Windows 7 中 \Users\Allen\Downloads 内有 mp3 文件 (miracle.mp3), mp3 文件更改名称前的名称是什么? In Windows 7, there is an MP3 file named “miracle.mp3 saved under the path ‘ \Users\Allen\Downloads.” What was the name of the MP3 file before it was renamed? 提示: 请以与记录相同的名称与文件格式作答 Tips: Please answer the exact name and file extension of the file
参考’ Windows 7 ‘ 文件夹回答以下题目 With reference to ‘ Windows 7 ‘ folder to answer below question 在 Windows 7 中有多少个文件曾被 potplayer 播放? In Windows 7, how many files have been played by potplayer? (1 分)
参考’ Windows 7 ‘ 文件夹回答以下题目 With reference to ‘ Windows 7 ‘ folder to answer below question 在 Windows 7 中, potplayer 最后播放的文件 名? In Windows 7, what is the name of the file name of last file played by PotPlayer? 提示: 请以与记录相同的名称(包括小写字母、阿拉伯数字与符号)与文件格式作答 Tips: Please answer the exact name (including lowercase letters, arabic numbers a nd symbols) and file extension of the file
事件应急小组 ( IR team)正在处理一起网络事件。 调查显示,目标服务器是一 个 EC2 Linux 实例,与该事件有关。 该团队打算获取 Linux 系统的内存(使用 SHA256)。 与该事件关联的 AWS 账户以用户 名“duckman”注册。 为了促进内存获取过程,该团队建立了专用的“取证服务器”。 并使用“LiME”通过网络获取内存。 以下哪一个指令是设定取证服务器以作取得内存内容的初步步骤? The incident response team was handling a cyber incident. The investigation reve aled that the target server, an EC2 Linux instance, was implicated in the incident. The team intends to obtain the memory of the Linux system (with SHA256). The A WS account associated with the incident is registered under the username “duckm an.” To facilitate the memory acquisition process, the team has established a dedi cated “forensic server.” and use “LiME” to acquire memory via network. Which of the following command is the early step to config the “forensic server” for the memory acquisition?
A. nc -l 4444 >mem126.lime.gz
B. Insmod lime.ko “pathtcp:4444 format=lime digest=sha256 compress=1”
C. scp -I /DFIRSciAWTest.pem lime.ko ec2-duckman@3.137.169.127:/scp -I /DFIRSciAWTest.pem /usr/bin/nc ec2-duckman@3.137.169.127:/
D. ssh duckman@ “sudo dd if=/dev/mem | gzip -1 -“ > memory_dump.gz
这些命令看起来与内存获取和传输相关,可能与数字取证(Digital Forensics and Incident Response,DFIR)有关。
A.
nc -l 4444 >mem126.lime.gz
:- 启动一个监听在本地端口 4444 的
nc
(netcat)服务,接收来自远程主机的数据,并将其写入名为mem126.lime.gz
的文件中。这可能是用于接收内存转储的命令。
- 启动一个监听在本地端口 4444 的
B.
Insmod lime.ko "pathtcp:4444 format=lime digest=sha256 compress=1"
:- 使用
insmod
命令加载 Linux 内核模块lime.ko
,并配置它以将内存内容发送到远程主机的 TCP 端口 4444,并使用 lime 格式、SHA256 摘要和压缩。
- 使用
C.
scp -I ~/DFIRSciAWTest.pem lime.ko [email protected]:~/scp -I ~/DFIRSciAWTest.pem /usr/bin/nc [email protected]:~/
:- 使用
scp
命令将lime.ko
文件传输到远程主机,并似乎还试图传输nc
工具。可能是为了准备远程主机以接收内存数据。
- 使用
D.
ssh duckman@<target_server_ip> "sudo dd if=/dev/mem | gzip -1 -" > memory_dump.gz
:- 通过 SSH 连接到目标服务器,使用
sudo dd
从/dev/mem
中读取数据,然后通过管道将其传输给gzip
进行压缩,并将结果写入名为memory_dump.gz
的文件。这是一种获取目标服务器内存镜像的方式。
- 通过 SSH 连接到目标服务器,使用
请注意,这些命令的使用可能需要特殊的权限,并且在实际场景中应该谨慎使用,确保符合法律和道德准则。
一眼丁真,C
基于两个 SQLite 数据库文件“cus_202308102034.json”和 “date_202308101120.json”。 请编译一个 SQLite 脚本找出谁前往目的地“莫斯科”. 包括 - 所有客户的姓名、 - 目的地、 - “arrival_timestamp_HK”[将时间戳转换为本地时间并将该列命名为“local_time”]。 Based on the two SQLite Database Files “cus_202308102034.json” and “date_20 2308101120.json”. please compile an SQLite statement to find out who traveled to the destination “ Moscow”, with all customers name, destination, “arrival_timestamp_HK” [conve rt the timestamp to localtime and name the column as “local_time”]
A. SELECT c.customer_name, c.destination, datetime(d.arrival_timestamp_HK, ‘unixepoch’, ‘localtime’) AS arrival_time_hk FROM cus c INNER JOIN date d ON c.destination = d.Destination WHERE c.destination = ‘Moscow’
B. SELECT cus.customer_name, cus.destination, datetime(date.arrival_timestamp_HK, ‘unixepoch’, ‘localtime’) AS arrival_time_hk FROM cus INNER JOIN date ON customer_id = date.id WHERE cus.destination = ‘Moscow’ AND date.Destination = ‘Moscow’ AND date.arrival_timestamp_HK IS NOT NULL AND datetime(date.arrival_timestamp_HK, ‘unixepoch’, ‘localtime’)
C. SELECT cus.customer_name, cus.destination, date.arrival_timestamp FROM cus INNER JOIN date ON cus.destination = date.destination;WHERE cus.destination = ‘Moscow’ AND date.Destination = ‘Moscow’
D. SELECT cus.customer_name, cus.destination, datetime(date.arrival_timestamp_HK, ‘unixepoch’, ‘localtime’) AS arrival_time_hk FROM cus INNER JOIN date ON cus.destination = date.Destination WHERE cus.destination = ‘Moscow’ AND date.Destination = ‘Moscow’ AND date.arrival_timestamp_HK IS NOT NULL AND datetime(date.arrival_timestamp_HK, ‘unixepoch’, ‘localtime’)
可以导入数据库慢慢看,也可以分析语句,我直接扔给GPT
答案中的关键点有:
- 使用正确的表别名(cus 和 date)以及正确的连接条件(cus.customer_id = date.customer_id)。
- 在
datetime
函数中将时间戳转换为本地时间,并将结果命名为local_time
。 - 在
WHERE
子句中,对客户和日期的目的地进行匹配,并确保到达时间戳不为空。
错误选项分析:
- 选项 A 中没有提供正确的连接条件,并且没有使用正确的表别名。
- 选项 B 中使用了错误的连接条件(customer_id = date.id)。
- 选项 C 中的
date.arrival_timestamp
没有进行时间戳转换,并且有额外的分号。
D
写一个 Powershell 的脚本以提取正在连接到 Window 11 计算机的可移动设备的记录。 就每一个装置记录,提取相关的数据如装置名称、制造商、装置详情、硬件编号。及后用 “Write-Host” 指令题示数据。 write a PowerShell script to retrieve all removable device records connected to a Windows 11 desktop, for each device record, extracts relevant information such as the device name, manufacturer, description, and hardware ID. Then, use the “Write-Host” cmdlet to displays such information. (2 分)
以下是一个 PowerShell 脚本的示例,用于提取连接到 Windows 11 计算机的可移动设备的相关信息,并使用 Write-Host
将数据显示在控制台上:
1 | # 获取连接到计算机的可移动设备信息 |
请注意,这个脚本使用 Get-PnpDevice
获取连接到计算机的所有 PnP 设备,并通过 Where-Object
过滤出类别为 ‘Portable Devices’(可移动设备)的设备。然后,它遍历每个设备,并提取设备名称、制造商、设备详情和硬件编号等信息,最后使用 Write-Host
将这些信息输出到控制台。
以下 PowerShell 脚本用于从 Windows Server 2012 R2 获取具有管理员权限的所有使用 者活动。 The following PowerShell script is used to retrieve all user activities with admin rig hts from a Windows Server 2012 R2.使用 “Where-Object” 命令来进一步过滤事件。 事件的属性 “$.Properties[?]” 中的参数是什么? 如果事件的第 9 个属性与内建的 Administrator 账户的安全标识符(SID:S-1-5-21– 500)匹配,则确保只选择与管理员活动相关的事件。 The “Where-Object” cmdlet is used to filter the events further. What is parameter of the event’s property “$.Properties[?]”? if the event’s 9th property matches the security identifier (SID) of the builtin Administrator account (SID: S-1-5-21– 500). This ensures that only events related to activities by an administrator are selected.
1 | Get-WinEvent -FilterHashtable @{ |
在这个 PowerShell 脚本中,$_.Properties[?]
中的问号是用来表示事件对象的属性索引的地方。在这种情况下,$_.Properties[8]
表示事件对象的第 9 个属性。因为在 PowerShell 中数组的索引是从 0 开始的,所以第 9 个属性的索引是 8。因此,$_.Properties[8].Value
用于获取事件的第 9 个属性的值,这个属性通常包含有关发起操作的账户的信息。在这里,该值与内建管理员账
总结
只会服务器和流量做个人赛难免吃慌,(如果线上做的话AI都能梭了),,,题还是刷少了….
b3nguang,写于2023/11/25