題目

1.計算機曾經(jīng)時(shí)間是錯誤的，后經(jīng)過(guò)自動(dòng)同步調整為了正確的時(shí)間。請問(wèn)該同步的時(shí)間為? ? ? ? ? ? ? ? ? ? ??（北京時(shí)間，格式為yyyyMMddhhmm例如202004250800）

2.計算機系統安裝時(shí)間為? ? ? ? ? ? ? ? ? ? ? （北京時(shí)間，格式為yyyyMMddhhmm例如202004250800）

3.用戶(hù)xiaohu的開(kāi)機密碼為? ? ? ? ? ? ??

4.計算機從曾連接過(guò)多個(gè)優(yōu)盤(pán)，最早連接的優(yōu)盤(pán)序列號為? ? ? ? ? ?

5.請在優(yōu)盤(pán)鏡像中找出用戶(hù)xiaohu壁紙圖片（不考慮分辨率是否一致），該圖片在優(yōu)盤(pán)中的起始地址為? ? ? ? ? ? ? ?（字節）

6.優(yōu)盤(pán)中有個(gè)文件拷貝自計算機，拷貝該文件的用戶(hù)的用戶(hù)名為 ? ? ? ? ? ? ?（字母全部小寫(xiě)）

7.優(yōu)盤(pán)中存在數據庫資料，請找出該資料并確定會(huì )員信息表(member)中會(huì )員姓名為”李敬雅”的身份證號碼為? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

8.?現場(chǎng)取證人員已對一臺正處于開(kāi)機運行狀態(tài)的Windows系統進(jìn)行物理內存轉儲（鏡像）并將其壓縮為WinMemory.zip，請先解壓后再進(jìn)行分析。該系統可能被勒索病毒感染，通過(guò)KDBG掃描檢測該系統的Build版本號，版本號為_(kāi)_____(如17763），并使用Volatility Framework 2.6.1版本對疑似進(jìn)程remsh.exe(PID:9932)進(jìn)行程序代碼轉儲，導出該程序代碼dmp文件，計算其MD5哈希值（字母全部大寫(xiě)）?? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??

鏡像資源

1.Computer.L01

2.Thumb drive.E01

3.WinDump.mem

鏈接：https://pan.baidu.com/s/1rfziy-jydG9kNBptPZODDg 提取碼：qecj