題目

1.計算機曾經時間是錯誤的，后經過自動同步調整為了正確的時間。請問該同步的時間為? ? ? ? ? ? ? ? ? ? ??（北京時間，格式為yyyyMMddhhmm例如202004250800）

2.計算機系統(tǒng)安裝時間為? ? ? ? ? ? ? ? ? ? ? （北京時間，格式為yyyyMMddhhmm例如202004250800）

3.用戶xiaohu的開機密碼為? ? ? ? ? ? ??

4.計算機從曾連接過多個優(yōu)盤，最早連接的優(yōu)盤序列號為? ? ? ? ? ?

5.請在優(yōu)盤鏡像中找出用戶xiaohu壁紙圖片（不考慮分辨率是否一致），該圖片在優(yōu)盤中的起始地址為? ? ? ? ? ? ? ?（字節(jié)）

6.優(yōu)盤中有個文件拷貝自計算機，拷貝該文件的用戶的用戶名為 ? ? ? ? ? ? ?（字母全部小寫）

7.優(yōu)盤中存在數(shù)據(jù)庫資料，請找出該資料并確定會員信息表(member)中會員姓名為”李敬雅”的身份證號碼為? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

8.?現(xiàn)場取證人員已對一臺正處于開機運行狀態(tài)的Windows系統(tǒng)進行物理內存轉儲（鏡像）并將其壓縮為WinMemory.zip，請先解壓后再進行分析。該系統(tǒng)可能被勒索病毒感染，通過KDBG掃描檢測該系統(tǒng)的Build版本號，版本號為______(如17763），并使用Volatility Framework 2.6.1版本對疑似進程remsh.exe(PID:9932)進行程序代碼轉儲，導出該程序代碼dmp文件，計算其MD5哈希值（字母全部大寫）?? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??

鏡像資源

1.Computer.L01

2.Thumb drive.E01

3.WinDump.mem

鏈接：https://pan.baidu.com/s/1rfziy-jydG9kNBptPZODDg 提取碼：qecj