題目

1.計(jì)算機(jī)曾經(jīng)時(shí)間是錯(cuò)誤的，后經(jīng)過自動(dòng)同步調(diào)整為了正確的時(shí)間。請(qǐng)問該同步的時(shí)間為? ? ? ? ? ? ? ? ? ? ??（北京時(shí)間，格式為yyyyMMddhhmm例如202004250800）

2.計(jì)算機(jī)系統(tǒng)安裝時(shí)間為? ? ? ? ? ? ? ? ? ? ? （北京時(shí)間，格式為yyyyMMddhhmm例如202004250800）

3.用戶xiaohu的開機(jī)密碼為? ? ? ? ? ? ??

4.計(jì)算機(jī)從曾連接過多個(gè)優(yōu)盤，最早連接的優(yōu)盤序列號(hào)為? ? ? ? ? ?

5.請(qǐng)?jiān)趦?yōu)盤鏡像中找出用戶xiaohu壁紙圖片（不考慮分辨率是否一致），該圖片在優(yōu)盤中的起始地址為? ? ? ? ? ? ? ?（字節(jié)）

6.優(yōu)盤中有個(gè)文件拷貝自計(jì)算機(jī)，拷貝該文件的用戶的用戶名為 ? ? ? ? ? ? ?（字母全部小寫）

7.優(yōu)盤中存在數(shù)據(jù)庫資料，請(qǐng)找出該資料并確定會(huì)員信息表(member)中會(huì)員姓名為”李敬雅”的身份證號(hào)碼為? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

8.?現(xiàn)場取證人員已對(duì)一臺(tái)正處于開機(jī)運(yùn)行狀態(tài)的Windows系統(tǒng)進(jìn)行物理內(nèi)存轉(zhuǎn)儲(chǔ)（鏡像）并將其壓縮為WinMemory.zip，請(qǐng)先解壓后再進(jìn)行分析。該系統(tǒng)可能被勒索病毒感染，通過KDBG掃描檢測該系統(tǒng)的Build版本號(hào)，版本號(hào)為______(如17763），并使用Volatility Framework 2.6.1版本對(duì)疑似進(jìn)程remsh.exe(PID:9932)進(jìn)行程序代碼轉(zhuǎn)儲(chǔ)，導(dǎo)出該程序代碼dmp文件，計(jì)算其MD5哈希值（字母全部大寫）?? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??

鏡像資源

1.Computer.L01

2.Thumb drive.E01

3.WinDump.mem

鏈接：https://pan.baidu.com/s/1rfziy-jydG9kNBptPZODDg 提取碼：qecj