2023美亚杯个人赛[计算机取证系列]

1

题目描述：

填空题\] Elvis Chui 总共登入过该计算机多少次？根据 'Window Artifacts.E01' 内的Windows 注册表记录 #### 开始查找 从系统痕迹中开始查找 系统痕迹 ---\> 用户信息 ---\> Elvis Chui 发现为11次 ![](https://i-blog.csdnimg.cn/img_convert/51e4049574a49173db75d920c10b2aca.png) ## 2 #### 题目描述： 该计算机的操作系统是在哪一个时区？ #### 开始查找 直接从这样查找 系统痕迹 ---\> 系统信息 ---\> 时区信息 是：UTC+8 ![](https://i-blog.csdnimg.cn/img_convert/edd1360ac1735e1cdebf1b441a5764f9.png) ## 3 #### 题目描述： 该计算机的操作系统于何时安装？(以计算机系统时区回答) #### 开始查找 直接 系统痕迹 ---\> 系统信息 ---\> 安装时间 是在：2023-07-13 11:18:14 ![](https://i-blog.csdnimg.cn/img_convert/5570b7284dd41c88125faf5e3c8187bd.png) ## 4 #### 题目描述： 哪(几)个程序会于操作系统启动时自动执行？ #### 开始查找 直接在 用户痕迹 ---\> 开机自启动程序 ---\> 开机自动运行程序 有以下5个 ![](https://i-blog.csdnimg.cn/img_convert/b1c34f020f84948bc3fa5062bc6e1ad5.png) ## 5 #### 题目描述： 该计算机内安装了以下哪一个程序？ A. QQ B. WPS Office C. Opera D. Kaspersky #### 开始查找 直接在 系统痕迹 ---\> 安装软件 ---\> 其他软件 可以看到只有WPS Office有 答案：WPS Office ![](https://i-blog.csdnimg.cn/img_convert/d3b4f88725fac544e525b4a52105839b.png) ## 6 #### 题目描述： 计算机内的OneDrive程序版本是什么？ #### 开始查找 还是 系统痕迹 ---\> 安装软件 ---\> 其他软件 可以看到它的版本为： 21.220.1024.0005 ![](https://i-blog.csdnimg.cn/img_convert/6797e51601a9f305e191b607ed441c1c.png) ## 7 #### 题目描述： 计算机有一个正在连接的网络接口，该接口连接DHCP服务器的IP地址是多少？提示: 以 IPV4格式回答 #### 开始查找 这里查看 系统痕迹 ---\> 网络配置 ---\> 网络连接 可以发现有一个DHCP服务器，刚好它问的是该接口连接DHCP服务器的IP是多少，那么就是这个 答案：192.168.88.254 ![](https://i-blog.csdnimg.cn/img_convert/03501f0c9dce2eada3b2f54aa4b64f0a.png) ## 8 #### 题目描述： 参考'Window Artifacts.E01'内的Windows注册表回答以下题目，该计算机何时连接过一只U盘？(以计算机系统时区回答) A. 2023-07-13 11:48:26 B. 2023-07-13 03:48:29 C. 2023-07-12 19:48:29 D. 2023-07-13 11:48:29 #### 开始查找 从这里查找 系统痕迹 ---\> USB设备使用痕迹 ---\> 正常的USB设备使用痕迹 上面的Hub是集线器，那么就只有这个了 2023-07-13 11:48:28 时间上有一秒的差异，可能是因为取整策略不同 选择 D 选项 ![](https://i-blog.csdnimg.cn/img_convert/a4a49c6d3ff314b7bf5cf9d1853836c0.png) ## 9 #### 题目描述： Elvis Chui 将哪几个文本文件放在回收站中？ A:$+D10I76A74P.txt B:Holiday schedule 2023-07-16.txt C:Holiday schedule 2023-07-13.txt D:Minute on 2023-07-01.txt E:Minute on 2023-07-10.txt #### 开始查找 直接在 用户痕迹 ---\> 回收站删除记录 中查找 ![](https://i-blog.csdnimg.cn/img_convert/cff4ae476b2f9dc84b62eae81cb51949.png) 但是这里的meeting文件无法打开，跳转到源文件看一下 ![](https://i-blog.csdnimg.cn/img_convert/e462bccb6651b9329cdf9ef42c326f4b.png) 到这个文件夹下了，打开看看 ![](https://i-blog.csdnimg.cn/img_convert/77a6221233d9de539c839554c814e4e1.png) 有个7月3号和10号的文件夹，看看10号的 3号的都是选项中没有的文件所以就不管了，看到10号的中有一个是选项中的 ![](https://i-blog.csdnimg.cn/img_convert/41d1674ab2a54eee097aa59b0fe12404.png) 答案：BE ## 10 #### 题目描述： Elvis Chui在什么时间删除了第一个文本文件？(以计算机系统时区回答) A. 2023-07-13 11:50:15 B. 2023-07-13 03:49:45 C. 2023-07-13 03:50:15 D. 2023-07-13 11:49:45 #### 开始查找 上题的第一个文本文件是Holiday schedule 2023-07-16.txt 那么直接看它的删除时间是多少 答案：2023-07-13 11:49:45 ![](https://i-blog.csdnimg.cn/img_convert/0f10de1284e48bc5ad6c5a4d307a5fe7.png) ## 11 #### 题目描述： Elvis Chui删除的第一个文本文件的文件名是什么？提示: 请用小写字母回答及需列明文件格式。如文件名字内有空格位置，请用_标示。例如: go_to_school.docx #### 开始查找 还是和上题一样的文件，只不过是文件名了 答案：holiday_schedule_2023-07-16.txt ![](https://i-blog.csdnimg.cn/img_convert/feaee959b85162622479eab8cceafd9b.png) ## 12 #### 题目描述： Elvis Chui删除的第一个文本文件在什么时间创建？(以计算机系统时区回答) A. 2023-07-13_11:42:39 B. 2023-07-13_11:50:49 C. 2023-07-13_11:49:45 D. 2023-07-13_11:45:22 #### 开始查找 在这里看不到创建时间，跳转到源文件 可以看到创建时间为 2023-07-13 11:45:22 选择D选项 ![](https://i-blog.csdnimg.cn/img_convert/8620166db8c0d41b1d52af8f5f667f91.png) ## 13 #### 题目描述： Elvis Chui计划于2023年7月15日20点5分有什么活动？提示: 答案请与文件内的文字与大细阶相同 #### 开始查找 找了一圈没发现7月15号的文件，但是突然一想，回收站里的那个名字就是写的7月15，打开看一下，看看是不是活动策划，发现还真是 ![](https://i-blog.csdnimg.cn/img_convert/1508ba4ecbdfdce220793f2eabf200de.png) 答案就是2005的：Movie ## 14 #### 题目描述： 该计算机执行STEAM.EXE总共多少次？提示: 请用阿拉伯数字作答 #### 开始查找 直接在 系统痕迹 ---\> 应用程序运行痕迹 ---\> STEAM.EXE 下面会显示运行的时间和次数 答案：7 ![](https://i-blog.csdnimg.cn/img_convert/273682ed8d864bb28be0d06e70c341c5.png)