案件基本情况

案情

2023月8月的一天，香港警方在调查一起网络诈骗案件时，发现有三名本地男子，分別为李大輝（李大辉），浩賢(浩贤)和Elvis CHUI，并确信这三名被捕男子均为大学同学。怀疑三人背后涉及一个庞大的电信诈骗集团。于是将这三名本地男子拘捕，扣押了三人相关的电子设备并进行分析。 现在你被委派处理这件案件，请依据以下资料分析上述三人是否涉嫌犯罪，并还原事件经过。

检材资料

镜像挂载密码：

3hqGFfT#B*Yjd74t@f%9fDqs6D^$wVjAvxZkA79*4UV*kVRcq^Zu6Xp87W*p#X3XD%*ER!nHzzTnSEMwy8NEGX6A*%P&#rBUkxypAPKwX4mP3WZuHnYKRc7sA33hd@qS

1.李大輝的安卓手机镜像 (Android.bin)

2.李大輝的macOS系统镜像(Mac OS.img)

3.来自李大輝计算机的一个文件($MFT Record Nr_ 107115, SeqNr_2.txt)

4.浩賢的个人虚拟机文件(Server.zip)

5.浩賢的Windows 10系统虚拟机文件(Windows10.zip)

6.浩賢的iOS手机系统文件(IOS.zip)

7.来自Elvis Chui计算机的一个网络封包文件(網路.pcapng)

8.来自Elvis Chui计算机的镜像文件 (Windows Artifacts.e01)

9.来自Elvis Chui计算机的数据库文件(SQLITE.zip)

10.Elvis Chui的Windows7虚拟机文件(Windows7.zip)

手机

1. [填空题] 李大辉所用手机移动运营商公司的名称是什么？提示:请所有字母都用大写英文 (1分)

LGE

*找错了

LGE指的是LG Electronics（乐金电子/LG电子） 这个公司，它曾是主要的Android智能手机制造商，但在2021年，LG宣布退出全球手机业务，停止新的手机开发与销售

总之这是手机制造商，而不是机移动运营商

真正的运营商应该查看SIM卡：

这个Mobile Duck是指中国移动香港（China Mobile Hong Kong, CMHK）旗下的 “鸭聊佳（Mobile Duck / 鴨聊佳） 预付费 / 储值卡服务品牌

MOBILE DUCK

2. [单选题] 李大辉的手机安装了什么即时通讯软件？ (1分)

A. WhatsApp B. LINE C. 微信 D. Signal E. QQ

不是单选吗

AC

*错了

whatsapp有数据，而微信没有数据，那就说明只有whatsapp被使用了……吗?

挺奇怪的

A

3. [填空题] 李大辉的手机安装了什么反追踪软件？提示: 所有答案字母都用小写字母并用xxx_xxx_xxxxxxx_xxxxxx_xxxx格式作答 (1分)

不知道

*官方答案是air_tag_tracker_detect_lite

这是什么，完全没看见他在哪里出现过，也没找到任何题解思路，呃呃了

air_tag_tracker_detect_lite

4. [单选题] 李大辉的手机是什么时间成功登入WhatsApp？ (2分)

A. 2022-08-18_21:52:30 B. 2022-08-19_21:56:23 C. 2022-08-18_21:56:37 D. 2022-08-19_06:59:07 E. 2022-08-19_07:01:17

距离C最近

C

5. [填空题] 李大辉登入WHATSAPP时的认证短码是什么？提示: 请以阿拉伯数字作答 (1分)

同上题图

304-313

6. [单选题] 李大辉到美丽好化妆品公司的入职时间是何时？(2分)

A. 2016-04-16 B. 2016-06-28 C. 2017-05-25 D. 2017-07-25 E. 2017-08-18

C

7. [单选题] 李大辉曾于什么时间使用了图像编辑软件？ (2分)

A. 2022-09-10 B. 2022-09-12 C. 2022-10-05 D. 2022-11-10 E. 2022-11-13

不知道

*在Android.bin/分区57/media/0/DCIM下有一张图片：

可以看到修改时间和创建时间是不一样的，说明是被修改了

但是答案没有2022-10-11这个选项，怀疑是D选项把月和日写反了

VPN

8. [填空题] 这个访问服务器使用了哪个端口？提示: 请用阿拉伯数字作答 (1分)

明显是自己访问的自己，或许是在测试

943

*在usr/local/openvpn_as/etc/db下能找到config_local.db配置文件：

这里就能看出来端口号了

943

9. [填空题] “User1”账户最近连接到这个访问服务器时使用的IP地址是多少？提示: 用IPV4 格式回答 (1分)

果然找到了openvpnas.log，一共两个，导出搜索

203.198.117.194

*又做错了

我找的是openvpnas.log.1，答案在openvpnas.log，因为它更早，题目问的是最近连接

192.166.244.167

10. [多选题] 哪些文件可以找出这个访问服务器的Ubuntu版本？(1分)

A. lsb-release B. issue.net C. profile D. console

AB

11. [多选题] 哪些文件有助于分辨这是一个存储服务器？(1分)

A. auth.log B. sys.log C. bash_history D. idconfig

但是C里面什么也没有，所以应该是

AB

12. [单选题] 这个访问服务器所在时区是哪个时区？(2分)

A. UTC +9 B. UTC +8 C. UTC -7 D. UTC

C

13. [填空题] 这个访问服务器的“openvpn”帐户密码是多少？提示:请用大写字母与阿拉伯数字作答 (2分)

见第八题

TLFAG6l6DSSC

14. [单选题] 在这个访问服务器中，“User1”账户之间的连接所使用的加密算法（密码）是什么？(2分)

A. Blowfish-CBC B. 3DES-CBC C. AES-128-GCM D. AES-256-CBC

在openvpnas.log.1里面搜索四个选项，发现CD都能搜得到

C

*又做错了

User1的OpenVPN设置文件是user1.ovpn，路径不好确定，直接搜名称，或者后缀.opvn

里面就定义了使用的加密算法：

D

流量

15. [填空题] 给出正在进行Nmap扫瞄的计算机互联网协议地址？提示: 以IPV4格式给出答案 (1分)

参考文章：nmap流量特征及其用法详细

192.168.186.132

16. [填空题] 有多少个Nmap扫瞄正在同时进行？提示:请给出阿拉伯数字作答 (1分)

TCP扫描里面时不时穿插UDP扫描，应该是至少有两个，具体怎么判断不清楚

2

*通过icmp协议查找

在wireshark过滤icmp，可以看见有两组request和reply，在网络抓包中，这一对请求‑回应就构成了一次完整的探测事件，通过目标ip也能看出确实是之前看到的两次扫描的ip

不过，许多主机或防火墙直接丢弃ICMP Echo Request/Reply，导致看不到reply，会误判为未响应或扫描未完成，所以这种方法似乎是不太可靠的

但放在这题也能用吧

2

17. [单选题] 当计算机正在扫瞄8.8.8.8，namp相关的指令是什么？(1分)

A. nmap -sT 8.8.8.8 B. nmap -sU 8.8.8.8 C. nmap -sn -PR 8.8.8.8 D. nmap -sn -PU 8.8.8.8

A

18. [单选题] 当计算机正在扫瞄45.33.32.156，namp相关的指令是什么？(1分)

A. nmap -sT 45.33.32.156 B. nmap -sU 45.33.32.156 C. nmap -sn -45.33.32.156 D. nmap -sn -45.33.32.156

B

19. [单选题] 国强被指派设定一个DHCP服务器，该服务器需借出最后100个的IP地址，以下哪个IP地址会是被借出的IP地址？(1分)

A. 10.1.4.255

B. 10.1.4.100

C. 10.1.4.254

D. 10.1.4.1

和检材应该没什么关系

最后100个IP地址：从10.1.4.155到10.1.4.254

A. 10.1.4.255 → 广播地址，不可分配

B. 10.1.4.100 → 不在最后 100 个

C. 10.1.4.254 → 在最后 100 个 ✅

D. 10.1.4.1 → 网络第一个可用地址，不在最后 100 个

C

20. [单选题] 以下那个协议是属于TCP/IP协议？(1分)

i.DHCP **ii.HTTP ** iii.RTP iv.Telnet

**A. i & iii **

**B. ii & iv **

**C. 所有皆是 (All answers belong to TCP/IP protocol) **

D. 所有皆否(All answers don’t belong to TCP/IP protocol)

1. DHCP → TCP/IP 协议族下的应用层协议，用于动态分配 IP 地址
2. HTTP → TCP/IP 协议族下的应用层协议，用于网页通信
3. RTP → 实时传输协议，通常运行在 UDP 之上，也是 TCP/IP 协议族下的应用层协议
4. Telnet → TCP/IP 协议族下的应用层协议，用于远程登录

所以全部都是

C

21. [单选题] 浩贤为一间公司的网络管理员，他需要把一个路由器作出以下设定，现在浩贤把路由器作以下设定，志伟是浩贤的主管，他发现浩贤的设定错误，浩贤应作怎样的更正？(2分)

A. ‘access-list 123 permit tcp any eq ftp any ’ 更正为(change) ‘access-list 123 permit udp any eq ftp any ’

B. ‘access-list 122 permit tcp host 192.168.26.3 eq www any ’ 更正为(change) ‘access-list 122 permit udp host 192.168.26.3 eq www any ’

C. 删除(Delete)‘access-list 120 deny tcp any any’ 与’access-list 119 deny udp any any’

D. 删除(Delete)‘access-list 123 permit tcp any eq ftp any ’

A：FTP 是 TCP 协议（21/20端口），而不是 UDP，将 TCP 改为 UDP 是错误的，会导致 FTP 被阻挡

B：WWW（HTTP）是 TCP 协议（端口 80），改成 UDP 是错误的，会阻止 HTTP

C：如果这两条 ACL 阻止了所有 TCP 和 UDP 流量，会导致网络服务全部阻断，删除这些 deny 语句可以恢复正常访问

D：这是允许 FTP 的规则，不应删除，否则 FTP 无法访问

C

22. [单选题] 根据以下ping指令的结果，你会估计192.168.186.132是哪一个操作系统？(2分)

Ping 192.168.186.132 (使用32字节的数据):

回复自 192.168.186.132 F=32 d)<1ms TTL=64
回复自 192.168.186.132 F55=32 didl<1ms TTL=64
回复自192.168.186.132: F15=32 Mii) < 1ms TTL=64
回复自 192.168.186.132: F5=32 Bi)<1ms TTL=64

Ping 192.168.186.132 with 32 bytes of data

Reply from 192.168.186.132: byte=32 time <1ms TTL=64
Reply from 192.168.186.132: byte=32 time <1ms TTL=64
Reply from 192.168.186.132: byte=32 time <1ms TTL=64
Reply from 192.168.186.132: byte=32 time <1ms TTL=64)

**A. Linux **

**B. Windows XP **

**C. Windows 7 **

D. iOS 12.4 (Cisco Routers)

要判断操作系统，需要看ping 的 ICMP 响应特征，通常包括：

• TTL 值（Time To Live）
• ICMP 包大小（默认数据长度）
• 是否支持分片、是否返回“Destination unreachable”等信息

不同操作系统的默认 TTL 值大致如下：

题中TTL是64

A

23. [单选题] 当使用nmap扫瞄目标后，nmap内出现以下信息，应用哪一个指令找出开放的端口？(2分)

A. nmap -sT

B. nmap -sN

C. nmap -sX

D. nmap -Pn

要列出开放的 TCP 端口，最直接的是做 TCP connect 扫描（-sT），它会完成三次握手并报告哪些端口被接受（开放）

A

24.[单选题] 以下哪一个Nmap指令可以减低被侦测的可能性？(2分)

A. nmap -sT -O -T5

B. nmap -sT -O -T0

C. nmap -sU

D. nmap -A –host-timeout 99-T1

在选项里 -T0（极慢、最谨慎）能最大程度降低被检测的可能性（慢速发送、间隔大，躲避速率/阈值检测）

B

Mac OS

25. [单选题] Apple计算机的硬盘可以使用以下分区方案：(1分)

A. Apple Partition Map

B. GUID Partition Table

C. Master Boot Record

D. All of the above

Apple 计算机的硬盘支持的分区方案有：

1. Apple Partition Map (APM) → 老式 Mac（PowerPC）使用
2. GUID Partition Table (GPT) → Intel Mac 以及现代 macOS 使用
3. Master Boot Record (MBR) → 兼容 Windows 或旧式 BIOS 系统

D

26.[单选题]‘Mac OS.img’文件中可以找到多少个符号链接？(1分)

A. 0

B. 1

C. 2

D. 3

不知道怎么看，因为火眼扫不出来，从这之后除了27题都不会做，直接跳到windows部分了

它只是一个可挂载的移动存储设备分区，缺少完整的系统，所以火眼不能自动分析

果然离开工具啥也不是了，之后想办法补补，比如Xways这样的手动分析，唉唉

*直接在文件系统找

mac os有两种方式创建链接，一个是别名(alias)，另一个是符号链接

不过很奇怪，这一题似乎问的是别名，在文件系统就能找到：

最好的办法还是仿真，不过这个镜像是残缺的不能仿真

因为我不太懂mac的命令（不过应该和linux大差不差），下面就给几个可能的示例吧

查找符号链接：

ls -l $(find /Users -type l 2>/dev/null)

查看别名：

find /Users -type f -exec file {} \; | grep "Mac OS X alias"

27. [单选题] 在’Mac OS.img’ 档中使用了哪种分区方案？(2分)

A. Apple Partition Map

B. GUID Partition Table

C. Master Boot Record

D. HFS+

这个还是能看出来的，有HFS+ Private Data，也不能是别的了

D

*错了

唉，还以为能做出一题来

将img文件用Xways打开，能看见具体的分区方案：

这题说实话是我傻波一了，问的是分区方案不是分区系统，纯眼瞎

B

28. [单选题] ‘Mac OS.img’ 档的文件系统的正确描述是什么？(1分)

A. HFS+（已启用日志记录）

B. HFS+（已启用区分大小写）

C. HFS+（已启用日志记录和区分大小写）

D. APFS (已启用区分大小写）

在xway的专业工具 -> 技术细节报告能看见开启了日志记录：

不过区分大小写不知道怎么判断

29. [填空题] 从文件“Car.rtfd”中删除了哪个文件？提示:答案需包括副文件名，并以全小写字母作答，例如 answer.docx (1分)

*用文件系统日志的内容对比当前有的东西：

少了yeah.jpg

yeah.jpg

30. [填空题] 请提供’Mac OS.img’ 映像文件被“fsck”命令检查的具体时间。(1分)

31. [单选题] 在 .img 档中删除了多少个文件？(1分)

A. 1

B. 2

C. 3

D. 4

*查看回收站

.Trashes是macOS的回收站目录，里面有四个文件，但.DS_Store是配置文件，所以实际只有三个：

但还要加上之前发现的被删掉的yeah.jpg，所以一共是4个

D

windows

32. [填空题] Elvis Chui 总共登入过该计算机多少次？根据 ‘Window Artifacts.E01’ 内的Windows 注册表记录 (1分)

11

33. [单选题] 该计算机的操作系统是在哪一个时区？(1分)

A. UTC +4

B. UTC +8

C. UTC -8

D. UTC -4

注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\TimeZoneInformation里是时区信息：

B

34. [单选题] 该计算机的操作系统于何时安装？(以计算机系统时区回答) (1分)

A. 2023-07-13 19:18:14 B. 2023-07-13 11:18:14 C. 2023-07-13 03:18:14 D. 2023-07-12 19:18:14

C

35. *[多选题] 哪(几)个程序会于操作系统启动时自动执行？(1分)

A. Avast B. Steam C. OneDrive D. QQ

ABC

36. [单选题] 该计算机内安装了以下哪一个程序？(1分)

A. QQ B. WPS Office C. Opera D. Kaspersky

B

37. [填空题] 计算机内的OneDrive程序版本是什么？(1分)

21.220.1024.0005

38. [填空题] 计算机有一个正在连接的网络接口，该接口连接DHCP服务器的IP地址是多少？提示: 以 IPV4格式回答 (1分)

虚拟机使用ipconfig /all能看见只有Ethemet0网卡在工作，但是看不见DHCP服务器的地址，在火眼能找到：

192.168.88.254

39. [单选题] 该计算机何时连接过一只U盘？(以计算机系统时区回答) (1分)

A. 2023-07-13 11:48:26 B. 2023-07-13 03:48:29 C. 2023-07-12 19:48:29 D. 2023-07-13 11:48:29

与选项D最接近

D

40. [多选题] Elvis Chui 将哪几个文本文件放在回收站中？(3分)

A. $+D10I76A74P.txt

B. Holiday schedule 2023-07-16.txt

C. Holiday schedule 2023-07-13.txt

D. Minute on 2023-07-01.txt

E. Minute on 2023-07-10.txt

BE

41. [单选题] Elvis Chui在什么时间删除了第一个文本文件？(以计算机系统时区回答) (3分)

A. 2023-07-13 11:50:15 B. 2023-07-13 03:49:45 C. 2023-07-13 03:50:15 D. 2023-07-13 11:49:45

D

42. [填空题] Elvis Chui删除的第一个文本文件的文件名是什么？提示: 请用小写字母回答及需列明文件格式。如文件名字内有空格位置，请用_标示。例如: go_to_school.docx (2分)

Holiday_schedule_2023-07-16.txt

43. [单选题] Elvis Chui删除的第一个文本文件在什么时间创建？(以计算机系统时区回答) (2分)

A. 2023-07-13_11:42:39 B. 2023-07-13_11:50:49 C. 2023-07-13_11:49:45 D. 2023-07-13_11:45:22

还原看属性：

D

44.[填空题] Elvis Chui计划于2023年7月15日20点5分有什么活动？提示: 答案请与文件内的文字与大细阶相同 (1分

回收站里面还有一个十五号的txt，还原里面有日程：

Moive

45. [填空题] 该计算机执行STEAM.EXE总共多少次？提示: 请用阿拉伯数字作答 (1分)

没找到…

之前长安杯的经验是错误的，应该在火眼的预执行文件里找：

7

Web知识

46. [单选题] 一个名为“Account”的数据库表拥有5个"列"，以下哪一个指令会产生错误讯息？ (提示: 1.数据库是拥有正常默认的系统表格 2.错误信息是关于"超出上限"的错误) (1分)

A. SELECT * from Account WHERE name=‘Alex’ OR ‘1’=1

B. SELECT * FROM Account WHERE name=‘Bill’ UNION SELECT NULL, NULL, NULL, NULL

C. SELECT * from Account WHERE name=‘Candy’ ORDER BY 6

D. SELECT name FROM sys.tables

C选项order by 6但表只有五列，超出了上限，B也报错但不是超出上限错误

C

47. [单选题] 当客户端收到一个页面请求的HTTP状态代码为304时，以下哪种情况最有可能发生？(1分)

A. 页面将显示错误

B. 页面将从浏览器缓存中加载

C. 浏览器将显示“访问被拒绝”

D. 服务器将复位向客户端到另一个资源

HTTP状态码304 Not Modified (未修改) 是服务器对客户端的条件请求的回应，它告诉浏览器，自上次请求以来，其缓存的资源版本没有发生任何变化

因此浏览器不需要从服务器重新下载资源，而是可以直接使用本地缓存中的版本，这样可以节省带宽并加快页面加载速度

B

48. [单选题] 在HTML注入攻击中，以下哪种情况最有可能出现？(1分)

A. <form action="http://1.2.3.4/login.htm">Password:<input type="password" name="pword"> </form>

B. <embed src="http://demo.com/demo.swf"> </embed>

C. <script>alert(‘Correct’)</script>

D. <?php include(“inc/" .$_GET[‘file’]；?>

HTML注入攻击的核心是向易受攻击的页面中插入恶意的HTML代码，以改变页面的外观或功能

A注入了一个伪造的登录表单来钓鱼

A

49. [单选题] 如何预防HTML注入攻击？(1分)

**A. 密钥管理 **

**B. 同源策略执行 **

**C. 会话验证 **

D. 输入过滤

HTML注入的根本原因是应用程序未经验证或未正确处理就将用户输入的数据包含在输出的HTML页面中，比如评论之类的地方，过滤用户输入就能防御了

D

50. [单选题] 同源策略在浏览器内存中提供Web应用程序安全的目的是什么？(3分)

A. 防止客户端访问恶意网站

B. 禁止Web会话运行外部脚本

C. 控制来自不同服务器的代码之间的交互

D. 阻止浏览器运行危险或有害的脚本

同源策略规定一个源的脚本只能读取和操作来自同一源的资源，主要目的就是隔离来自不同源的文档或脚本，防止恶意脚本读取或篡改其他源的敏感数据

C

51. [填空题] 编写Nmap命令以显示以下结果。(2分)

Starting Nmap 7.94 (https://nmap.org) at 2023-07-11 18:26 中国标准时间
Nmap scan report for www.baidu.com (220.181.38.149)
Host is up (0.044s latency).
Other addresses for www.baidu.com (not scanned): 220.181.38.150

Not shown: 998 filtered tcp ports (no-response)
PORT          STATE            SERVICE
80/tcp           open                http
|  http-robots.txt: 10 disallowed entries
|  /baidu /s? /ulink? /link? /home/news/data/  /bh /shifen/
|_/homepage/  /cpro /
443/tcp     open             https
|  http-robots.txt: 10 disallowed entries
|  /baidu /s? /ulink? /link? /home/news/data/  /bh /shifen/
|_/homepage/  /cpro /

Nmap done: 1 IP address (1 host up) scanned in 6.01 seconds

输出显示了http-robots.txt的内容

nmap --script http-robots.txt www.baidu.com

52. [填空题] 除了使用Nmap，还有其他方法可以验证上述结果，其中一种方法是使用Web浏览器浏览URL，编写URL以显示上述结果。（答案不要包含“http://”）(2分)

www.baidu.com/robots.txt

ios

53. [单选题] 根据 ’ com.apple.ios.StoreKitUIService.plist ’ , 这部电话是什么型号？(1分)

A. SAMSUNG S23

B. iPhone X

C. iPhone XR

D. iPhone XS

E. iPhone 13

不知道为什么火眼不能查看完整的.plist文件，这里使用plisteditor查看：

这个款硬件网上能搜到：

C

54. [单选题] 根据com.apple.ios.StoreKitUIService.plist，上述电话的文件系统是什么？(1分)

A. FAT32

B. NTFS

C. HFS+

D. APFS

E. EXT4

现代iOS设备从iOS 10起就使用APFS文件系统，尤其是iPhone XR/iPhone 8之后的设备

D

55. [多选题] 根据ChatStorage.sqlite，哪些对话已锁定？(3分)

A. 447380449879@.whatsapp.net

B. 79096209701@.whatsapp.net

C. 923109725619@.whatsapp.net

D. 85256026169@.whatsapp.net

E. status@broadcast

不知道怎么做

56. [填空题] 根据ChatStorage.sqlite，有多少段录音对话？提示: 请以阿拉伯数字作答 (2分)

只能一个表一个表看，也不知道找的对不对：

48

57. [单选题] Apple Cocoa Core Data timestamp 是由什么时间开始？(1分)

A. 2001年1月1日 B. 1970年1月1日 C. 2006年1月1日 D. 1960年1月1日

A

58.[填空题] 根据Photos.sqlite数据库中，有多少段视频可能涉及WhatsApp？提示: 请以阿拉伯数字作答 (2分)

7

59. [多选题] 根据Photos.sqlite数据库中，下列哪个选项对IMG_0008.HEIC的描述是错的？(3分)

A. 由第三方软件拍摄

B. 经过修改

C. 由后镜拍摄

D. 用ISO200拍摄

E. 没有储存经纬度

在ZASSET表找到这一条数据：

ADE

60. [填空题] 根据 ’ sms(ios).db ’ 的资料，全局唯一标识符(GUID): DD31C26F-1D72-DE0F-431E-EF98F104402D显示的信息是什么？提示:答案需要与信息一样(答案包括中文字、阿拉伯数字与符号) (1分)

你的 Uber 驗證碼為 3666. 請勿分享此驗證碼. 

61. [多选题] 根据 ’ com.burbn.instagram.plist ’ 及 ’ com.facebook.Facebook.plist ’ 手机安装了实时通讯软件Facebook及Instagram的那个版本？(1分)

A. Instagram (Version 278.0.0.19.115)

B. Facebook (Version 410.0.0.41.116)

C. Instagram (Version 279.0.0.23.112)

D. Facebook (Version 410.0.0.26.115)

E. Instagram (Version 278.0.0.25.115)

F. Facebook (Version 410.0.0.57.116)

com.burbn.instagram.plist：

com.facebook.Facebook.plist：

AB

62. [填空题] 根据 ’ ChatStorage(ios).sqlite ’ , 用户数据Peter Chow (85262012141)在什么日期和时间(以UTC +8时区)曾经通过实时通讯软件送出一个信息(内容为: I am already home)? 提示:以UTC +8时区作答,并以YYYY-MM-DD_HH:MM:SS格式作答 例如:2023-01-01_10:01:01 (答案无需输入UTC +8) (2分)

发送时间：702012111.6379331

基准时间：2001-01-01 00:00:00 -> 978307200

注意这里用的是UTC+0的标准去转换时间戳，不要用成别的了

时间戳相加结果是1680319311.637933，然后转换到UTC+8：

2023-04-01_11:21:51

63. [填空题] 根据影片IMG_0687.MOV的原数据，找出影片拍摄时间？提示:以UTC +8时区作答,并以YYYY-MM-DD_HH:MM:SS格式作答 例如:2023-01-01_10:01:01 (答案无需输入UTC +8) (1分)

IMG_0687.MOV在哪呢？？

64. [单选题] 根据 ’ CallHistory(ios).storedata ‘，哪份表格显示了通话记录？(2分)

A. ZCALLBPROPERTIES

B. ZCALLRECORD

C. Z_2REMOTEPARTICIPANTHANDLES

D. Z_METADATA

E. Z_MODELCACHE

F. Z_PRIMARYKEY

B

65. [填空题] 根据 ’ com.apple.sharingd.plist ‘，这部手机的隔空投送的身份标识号(AirDrop ID)是什么？提示:请以阿拉伯数字与小写字母作答 (3分)

![](http://picture.928330.xyz/typora/image-20251014225538877.png)

66. [填空题] 根据 ’ Accounts3.sqlite ‘，这部手机的苹果使用者账号 (Apple ID) 是什么？提示:请以电邮格式作答(例:jack2023@hotmail.com) (2分)

就这个出现的最多

foratcd2023@gmail.com

组网运维

67. [单选题] 哪一行代码的是负责更新在GitHub使用中的 .journal 文件的更新历史记录？(1分)

line 1 git config --global user.name "mikesezto"
line 2 git config --global user.email "smike@general.org"
line 3
line 4 cd which-truth
line 5 rm .journal
line 6
line 7 git add .journal
line 8 git commit -m "Remove sensitive data"
line 9 git push
line 10
line 11 git clone --mirror http://github.com/smike/which-truth
line 12
line 13 java -jar bfg.jar --delete-files .journal which-truth
line 14 cd which-truth
line 15 git reflog expire --expire=now --all
line 16 git gc --prune=now --aggressive
line 17 git push --force

A. 08

B. 13

C. 16

D. 17

这个脚本的目的是从git的所有历史记录中彻底删除.journal文件

line 13使用BFG Repo-Cleaner工具在本地重写了Git历史，清除了所有关于.journal文件的痕迹，然而，此时远程的GitHub仓库仍然保留着旧的历史记录

line 17命令git push --force的作用是将本地被修改过的历史记录强制推送到GitHub，覆盖掉远程服务器上旧的历史记录，执行了这一步github上正在使用的历史记录才会被真正更新

D

68. [单选题] 下列哪一行AWS S3 Bucket授权策略中的设置有问题？(1分)

line 1 {
line 2   "Version": "2020-11-12", 
line 3   "Statement": [
line 4       {
line 5         "Sid": "PublicReadGetObject", 
line 6         "Effect": "Allow", 
line 7         "Principal": "*", 
line 8         "Action": "s3:GetObject", 
line 9         "Resource": "arn:aws:s3:::company-sensitive-14dnid23nfief/*"
line 10     }
line 11   ]
line 12 }

A. 2

B. 7

C. 8

D. 9

line 7的"Principal": "*"有问题，Principal定义了谁可以访问这个资源，而*是一个通配符，代表任何人，包括互联网上匿名的任意用户

B

69. [单选题] 以下哪项是多重身份验证 (MFA) 的示例？(1分)

A. PIN 码和软件令牌

B. 指纹和视网膜扫描

C. 用户名和密码

D. 一次性短信代码和硬件令牌

多重身份验证 (MFA) 要求用户提供至少两种不同类型的验证因素。验证因素通常分为三类：

1. 知识因素 (Something you know): 密码、PIN 码
2. 拥有因素 (Something you have): 手机（用于接收短信）、硬件令牌、软件令牌 App
3. 生物特征因素 (Something you are): 指纹、面部识别、视网膜扫描

A: PIN 码 (知识) + 软件令牌 (拥有) = 两种不同类型的因素，这是 MFA

B: 指纹 (生物特征) + 视网膜扫描 (生物特征) = 属于同一种类型的因素

C: 用户名和密码都属于知识因素

D: 短信代码 (拥有) + 硬件令牌 (拥有) = 属于同一种类型的因素

A

70. [单选题] AWS用家在户口网络进行设定，而这些设定会记录用户或第三者的活动。第 11 行代码中的设定可以找到哪些用户或第三者的活动信息？(2分)

line 1  sudo yum install python-pip -y
line 2  sudo pip install opencanary
line 3
line 4  sudo opencanaryd --copyconfig
line 5
line 6  opencanaryd --start
line 7
line 8
line 9  sudo yun install jq -y
line 10
line 11  jq -r .src_host /var/tmp/opencanary.log | grep -V ^$ | sort | uniq > -/sources.txt
line 12  jq -r .logdata.USERNAME /var/tmp/opencanary.log | grep -V null | sort | uniq > -/usernames.txt
line 13  jq -r .logdata.PASSWORD /var/tmp/opencanary.log | grep -V null | sort | uniq > -/passwords.txt

A. User Name 用户的名称

B. User Source 用户的来源

C. Attacker Name 攻击者的名称

D. Attacker Source 攻击者的来源

opencanary是一个蜜罐工具，通过模拟易受攻击的服务来诱捕攻击者并记录他们的活动

line 11的命令jq -r .src_host /var/tmp/opencanary.log ...正在处理opencanary的日志文件，jq -r .src_host的作用是从JSON格式的日志中提取src_host字段的值，src_host代表"source host"，即源主机的IP地址

由于这是蜜罐的日志，记录的活动来源很可能就是攻击者的IP地址，因此，该命令提取的是攻击者的来源信息

D

71. [单选题] AWS用户设置了一个VPC，IP地址范围为10.0.0.0-10.0.0.24。下列哪个 IP 地址用于 DNS？(2分)

A. 10.0.0.0

B. 10.0.0.1

C. 10.0.0.2

D. 10.0.0.3

在任何AWS VPC 的子网 (Subnet) 中，AWS都会保留前四个和最后一个IP地址用于特定目的

对于一个CIDR块（例如 10.0.0.0/24），保留规则如下：

• 10.0.0.0: 网络地址
• 10.0.0.1: 预留给VPC路由器
• 10.0.0.2: 预留给亚马逊提供的DNS服务器
• 10.0.0.3: 预留给未来使用
• 10.0.0.255: 网络广播地址，AWS不支持，因此也被保留

C

72. [单选题] 以下哪种类型的云服务用于操作系统和网络？ (1分)

A. 软件即服务

B. 平台即服务

C. 基础架构即服务

D. 数据即服务

基础架构即服务 (Infrastructure as a Service, IaaS) 提供了最核心的计算资源，如虚拟机、存储和网络。用户可以在这个基础上部署和运行自己的软件，包括操作系统和应用程序

平台即服务 (PaaS) 通常已经包含了操作系统和网络，用户只管理应用程序和数据

软件即服务 (SaaS) 提供的是完整的应用程序，用户无需关心任何底层技术

C

73. [单选题] 以下哪项是Bastionhost的特点？ (2分)

A. 包含敏感信息

B. 无法访问内部系统

C. 限制暴露的服务

D. 没有连接到互联网

堡垒机 (Bastion Host) 是一个位于网络边界（例如公网和私有网络之间）的、经过高度安全加固的服务器，它作为访问内部网络的唯一入口点

为了最大限度地减少被攻击的风险（即减小攻击面），堡垒机的一个核心安全原则就是尽可能少地开放服务和端口，通常只开放必要的管理服务，如SSH (端口 22) 或RDP (端口 3389)

C

74. [单选题] 在Linux系统中，哪个命令可以用于创建文件系统？ (1分)

A. mount /dev/sda3 /mnt/usb

B. mkfs-ext4 /dev/sda2

C. mkfs-ext3 /sys/sda1

D. pvcreate /dev/sda

E. genfstab -U -p /mnt

mkfs是"make filesystem"的缩写，是用于在磁盘分区上创建文件系统的命令

选项B的mkfs-ext4是专门用于创建ext4文件系统的变体

选项A的mount命令用于挂载文件系统

选项C的路径/sys/sda1是错误的，设备文件应在/dev目录下

选项D的pvcreate用于创建LVM物理卷。选项E的genfstab用于生成/etc/fstab文件内容

B

75. [单选题] ‘Link’实际上是指向LINUX系统中另一个文件或文件夹的指标。以下哪个命令可以产生以下结果？ (2分)

ls -ilas
|total 0
|9731253 0 drwxr-xr-x 1 user users 4096 Jul 14 13:31 .
|1725961 0 drwxr-xr-x 1 user users 4096 Jul 14 13:29 ..
|90371467 0 -rw-r--r-- 2 user users 90 Jul 14 13:30 testing.txt
|90371467 0 -rw-r--r-- 2 user users 90 Jul 14 13:30 shotcut-testing.txt

A. link -s testing.txt shotcut-testing.txt

B. ln -s shotcut.txt testing.txt

C. ln testing.txt shotcut-testing.txt

D. ln -s testing.txt shotcut-testing.txt

E. ln shotcut.txt testing.txt

输出结果中最关键的一列是第一列的inode号，文件testing.txt和shotcut-testing.txt拥有完全相同的inode号(90371467)，并且它们的链接计数为2，这表明它们之间是硬链接(hard link)关系

ln命令在不带-s参数时创建的就是硬链接，命令ln testing.txt shotcut-testing.txt的含义是为源文件testing.txt创建一个名为shotcut-testing.txt的硬链接

C

76. [单选题] 以下哪个命令用于Linux系统中创建分区？ (1分)

A. gdisk /dev/sde

B. mke2fs /dev/sdb1 -t ext4

C. mount /dev/sdc1 /mnt/fs_home

D. fdisk -lu

E. lvcreate -l +200 /dev/vg00/log/vol-00

在Linux中，fdisk和gdisk是用于管理磁盘分区的主要工具

选项A的gdisk /dev/sde会启动一个交互式程序，允许用户在/dev/sde磁盘上创建、删除和修改分区

选项B的mke2fs用于格式化分区

选项C的mount用于挂载分区

选项D的fdisk -lu用于列出分区

选项E的lvcreate用于创建LVM逻辑卷

A

77. [单选题] 一个系统管理员要扩展运行在LVM系统中的服务器存储。以下哪个命令可以用于扩展LVM中的逻辑卷？ (1分)

A. lvdisplay /dev/vg02/vol-01

B. lvcreate -n /dev/vg02 -l 200

C. lvextend -n /dev/vg02 -l +200

D. lvscan -l +200 /dev/vg02/vol-01

E. lvresize -l +200 /dev/vg02/vol-01

lvextend和lvresize命令都可以用来扩展逻辑卷

lvresize -l +200 /dev/vg02/vol-01命令的含义是在逻辑卷/dev/vg02/vol-01现有大小的基础上增加200个逻辑扩展单元(LE)的容量，而选项C的lvextend语法错误，-n用于指定名称

E

78. [单选题] 一个系统管理员编写了一个bash代码来构建一个RAID系统，将要实现什么类型的RAID？ (2分)

#!/bin/bash
hd1=/dev/sda1
hd2=/dev/sdb1
hd3=/dev/sdc1
hd4=/dev/sdd1
mdadm --build /dev/md1 --level=1 --raid-devices=2 $hd1 $hd2
mdadm --build /dev/md2 --level=1 --raid-devices=2 $hd3 $hd4
mdadm --build /dev/md3 --level=0 --raid-devices=2 /dev/md2 /dev/md1

A. RAID 0

B. RAID 1

C. RAID 1+0

D. RAID 0+1

E. 这个代码不起作用

脚本首先创建了两个RAID 1阵列（/dev/md1和/dev/md2），然后使用这两个RAID 1阵列作为组件，创建了一个RAID 0阵列(/dev/md3)

C

79. [单选题] 以下是运行在LINUX服务器中的服务清单。以下哪个命令可以关闭“bluetooth.service”服务？ (3分)

|● vm-production-xabonline.com
| State: running
| Jobs: 0 queued
| Failed: 0 units
| Since: Fri 2023-05-19 08:37:06 UTC; 2 months 11 days ago
| CGroup:
| ├─init.scope
| │ └─ 1 /sbin/init
| ├─system.slice
| │ ├─bluetooth.service
| │ │ └─ 737 /usr/lib/bluetooth/bluetoothd
| │ ├─dbus.service
| │ ├─docker.service
| │ │ └─ 853 /usr/bin/dockerd -H fd://
| │ ├─libvirtd.service
| │ │ └─ 2975 /usr/bin/libvirtd --timeout 120
| │ ├─polkit.service
| │ └─virtlogd.service
| │ └─ 3176 /usr/bin/virtlogd
| └─user.slice
| └─user-1000.slice

A. systemctl kill bluetooth.service

B. systemctl disable bluetooth.service

C. systemctl down bluetooth.service

D. systemctl stop bluetooth.service

E. systemctl rm bluetooth.service

无需多言

D

80. [单选题] cron服务在LINUX系统中充当作业调度程序。现在准备启动和关闭一个Web服务器（httpd.service），上午8时30分（启动）- 下午6时06分（关闭）；周一至周五，以下哪个crontab设置适用于这种情况？ (1分)

A. 30 8 * 1-5 * /usr/bin/systemctl start httpd.service 及 06 18 * 1-5 * /usr/bin/systemctl stop httpd.service

B. 30 8 * * 1-5 /usr/bin/systemctl start httpd.service 及 06 18 * * 1-5 /usr/bin/systemctl stop httpd.service

C. 30 8 1-5 * */usr/bin/systemctl start httpd.service 及 06 18 1-5 * */usr/bin/systemctl stop httpd.service

D. 30 8 * * * /usr/bin/systemctl start httpd.service 及 06 18 * * * /usr/bin/systemctl stop httpd.service

E. 以上都不是

Crontab的五个时间字段分别是：

• 分钟(0-59)

• 小时(0-23)

• 日期(1-31)

• 月份(1-12)

• 星期(0-7，0和7都代表周日)

“周一至周五"用1-5表示

“上午8时30分"是30 8

“下午6时06分"是06 18

B

81. [单选题] 以下哪个Linux命令可以显示目录中的所有文件，包括隐藏文件？ (1分)

A. ls -ls

B. ls -asl

C. ls -lAs | wc

D. ls -als | grep ssh

E. None

带-a的就行，D选项grep干坏事了

B

82. [单选题] 如果您想要检查Linux系统上可用的剩余磁盘空间量，您会使用以下哪个命令？ (1分)

A. df -vh

B. df -sh

C. dl -vh

D. dd -sh

E. dt -vh

A

83. [单选题] Dockerfile是一个文本文档，用于在Docker架构中生成哪个组件？ (1分)

A. docker engine

B. image

C. container

D. volumes

E. docker network

B

84. [单选题] 在Linux系统中，哪个不是内存区？ (1分)

A. [heap]

B. [stack]

C. [paging]

D. [vvar]

E. [vdso]

[heap](堆)、[stack](栈)、[vvar]和[vdso]都是Linux进程内存空间中实际存在的区域

而Paging(分页)是一种内存管理技术和机制，用于实现虚拟内存

C

85. [单选题] 以下命令中，哪个命令可以对"export-logs"输出进行排序? (1分)

A. export-logs<sort

B. export-logs>sort

C. export-logs&sort

D. export-logs|sort

E. export-logs<>sort

管道符使用

D

86. [多选题] 哪些文件会影响Linux主机的名称解析功能？ (1分)

A. /etc/resolv.conf

B. /etc/hosts

C. /etc/default/names

D. /etc/nsswitch.conf

E. /etc/inet/hosts

A. 定义DNS服务器的地址

B. 提供了IP地址到主机名的静态映射，优先级通常高于DNS

D. 配置文件，定义了系统进行名称解析时查询的顺序（例如，先查files即/etc/hosts，再查dns）

ABD

87. [单选题] 哪个系统文件包含了一般的端口、关联的服务和协议？ (1分)

A. /etc/services

B. /etc/sysconfig/network-scripts

C. /etc/services.conf

D. /etc/inet/hosts

E. Noneofthechoices

A

Win10

88 [填空题] 在 Windows 10 中 \Users\qqqqq\Downloads，视频文件(mixkit-two-women-laying-together-925-medium.mp4)在MFT 中分成多少个Data Cluster 储存？提示: 请以阿拉伯数字作答 (1分)

windows默认NTFS格式化时簇大小是4KB，即4096字节

这个文件大小6.22MB，6525158字节

6525158 ÷ 4096 ≈ 1593.35，向上取整 → 1594

1594

89. [单选题] 在 Windows 10 中 \Users\qqqqq\Downloads\ mixkit-two-woman-laying-together-925-medium.mp4 的last Access 时间是多少? (1分)

A. 2023/07/10 18:31:32

B. 2023/07/10 18:31:01

C. 2023/07/10 19:31:22

D. 2023/07/11 19:31:22

A

win7

90. 在 Windows 7 中 \Users\Allen\Desktop，有1个MP3 文件 (例:unlock-me-149058.mp3)，用户使用什么程序打开该MP3 文件? 提示:请以小写字母作答 (1分)

随便点开一个mp3文件：

potplayer

91. [单选题] 在 Windows 7 中 ’ \Users\Allen\Desktop ‘有1个MP3 文件 (unlock-me-149058.mp3)，该文件的Zone identiflier为’3’。‘3’代表哪一个security Zone? (1分)

A. Local Machine Zone

B. Internet Zone

C. Restricted Zone

D. Trust Site Zone

在Windows中，Zone Identifier（安全区域标识）用于标记文件来源的安全区域

B

92. [单选题] 在 Windows 7 中 \Users\Allen\Desktop有1个MP3 文件 (unlock-me-149058.mp3)，该文件从哪个网站下载? (1分)

A. www.Pixbay.com

B. free-mp3-download.net/

C. https://mp3juices.nu

D. mygomp3.com

在浏览器历史记录把四个选项全搜了一遍，愣是一个也没有

看到下载记录，原来是A选项把网站名称打错了：

虽然没有找到下载题目的记录，但也只能是这个了

A

*正确做法是在缓存里找：

93. [单选题] 在 Windows 7 中 \Users\Allen\Downloads 内有mp3文件 (miracle.mp3), 更改名称时间? (2分)

A. 2023-07-13 02:55:20

B. 2023-07-15 10:55:20

C. 2023-07-12 10:58:04

D. 2023-07-13 10:55:20

不知道怎么看

*这个需要解析NTFS看记录

每一次的NTFS元数据变更，都会记录在$LogFile中，实际上也就是记录MFT的变化

火眼耗时任务里面有这一项，执行之后能直接查看所有的记录，其中就能找到miracle.mp3相关记录：

A

94. [填空题] 在 Windows 7 中 \Users\Allen\Downloads 内有mp3文件 (miracle.mp3), mp3文件更改名称前的名称是什么? 提示: 请以与记录相同的名称与文件格式作答 (1分)

同上

a-small-miracle-132333.mp3

95. [单选题] 在 Windows 7中有多少个文件曾被potplayer 播放? (1分)

A. 7

B. 8

C. 9

D. 10

不知道

*可以在Windows 7 x64.vmdk/分区2/Users/Allen/AppData/Roaming/Microsoft/Windows/Recent文件夹下找到最近打开的文件，里面每一个快捷方式就代表一个项目

桌面上的八个MP4文件在这里面都能找到，当他们都是用potplayer打开的吧

另外，在最近访问的项目里面还能找到一个从没在recent里面出现过的：

这个文件也是真实存在的：

并且时间晚于potplayer的安装时间，按道理说应该也能通过potplayer打开，这么看应该是9个

可答案是8

8

96. [填空题] 在 Windows 7中, potplayer最后播放的文件名? 提示: 请以与记录相同的名称(包括小写字母、阿拉伯数字与符号)与文件格式作答 (1分)

不知道

*这个随便点开一个mp3文件，用potplayer打开，就能在播放清单里面看见（见90题图）

不过为什么清单里面就是最后一个呢？

另外，当时在做90题的时候，我点开的就是unlock这个mp3，还以为播放清单是根据我点开的顺序创建的…

unlock-me-149058.mp3

脚本

97. [单选题] 事件应急小组正在处理一起网络事件。以下哪一个指令是设定取证服务器以作取得内存内容的初步步骤? (3分)

A. nc -l 4444 >mem126.lime.gz

B. insmod lime.ko “pathtcp:4444 format=lime digest=sha256 compress=1”

C. scp -I ~/DFIRSciAWTest.pem lime.ko ec2-duckman@3.137.169.127:~/scp -I ~/DFIRSciAWTest.pem /usr/bin/nc ec2-duckman@3.137.169.127:~/

D. ssh duckman@<target_server_ip> "sudo dd if=/dev/mem | gzip -1 -" > memory_dump.gz

选项项A使用netcat(nc)命令在取证服务器上监听(listen)4444端口，并将接收到的所有数据流重定向保存到文件mem126.lime.gz中。这是接收内存镜像的标准准备步骤

选项B是在目标端执行的命令，它加载LiME内核模块以抓取内存，并通过TCP协议将数据发送到指定端口(4444)

选项C是使用scp将取证工具(lime.ko和nc)上传到目标端，这是一个准备步骤，但不是接收数据的步骤

选项D是通过ssh在目标端执行dd命令来抓取内存

A

98. [单选题] 基于两个SQLite数据库文件“cus_202308102034.json”和“date_202308101120.json”，编译一个SQLite脚本找出谁前往目的地“莫斯科”。 (3分)

A. SELECT c.customer_name, c.destination, datetime(d.arrival_timestamp_HK, 'unixepoch', 'localtime') AS arrival_time_hk FROM cus c INNER JOIN date d ON c.destination = d.Destination WHERE c.destination = 'Moscow'

B. SELECT cus.customer_name, cus.destination, datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime') AS arrival_time_hk FROM cus INNER JOIN date ON customer_id = date.id WHERE cus.destination = 'Moscow' AND date.Destination = 'Moscow' AND date.arrival_timestamp_HK IS NOT NULL AND datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime')

C. SELECT cus.customer_name, cus.destination, date.arrival_timestampFROM cus INNER JOIN date ON cus.destination = date.destination WHERE cus.destination = 'Moscow' AND date.Destination = 'Moscow'

D. SELECT cus.customer_name, cus.destination, datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime') AS arrival_time_hk FROM cus INNER JOIN date ON cus.destination = date.Destination WHERE cus.destination = 'Moscow' AND date.Destination = 'Moscow' AND date.arrival_timestamp_HK IS NOT NULL AND datetime(date.arrival_timestamp_HK, 'unixepoch', 'localtime')

选项B和D的WHERE子句中包含了AND datetime(...)，这是一个无效的语法，因为它没有进行任何比较

选项C的WHERE子句cus.destination = date.destination是多余的，因为这已经在JOIN条件中定义了

A

99. [填空题] 写一个Powershell脚本以提取正在连接到Window 11计算机的可移动设备的记录，提取相关的数据如装置名称、制造商、装置详情、硬件编号，并用“Write-Host”指令显示数据。 (2分)

# 获取所有被识别为可移动的即插即用设备
$removableDevices = Get-PnpDevice | Where-Object { $_.Removable -eq $true }

# 遍历找到的每个设备并显示其信息
foreach ($device in $removableDevices) {
    Write-Host "Device Name: $($device.FriendlyName)"
    Write-Host "Manufacturer: $($device.Manufacturer)"
    Write-Host "Description: $($device.Description)"
    # HardwareID可能是一个数组，所以我们用逗号将其连接成一个字符串
    $hardwareIds = $device.HardwareID -join ", "
    Write-Host "Hardware ID(s): $hardwareIds"
}

100.[填空题] 编写一个PowerShell脚本从Windows Server 2012 R2获取具有管理员权限的所有使用者活动。使用"Where-Object"命令来进一步过滤事件，如果事件的第9个属性与内建的Administrator账户的安全标识符（SID）匹配，则确保只选择与管理员活动相关的事件。 (3分)

# 从安全日志中获取所有成功的登录事件 (Event ID 4624)
# 然后通过管道传递给Where-Object进行过滤
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624} | Where-Object {
    # 检查事件的第9个属性(在数组中索引为8)的值
    # 并使用-like操作符匹配内建管理员账户的SID模式(以-500结尾)
    $_.Properties[8].Value -like 'S-1-5-*-500'
}