2023美亚杯个人赛[计算机取证系列]

1

题目描述：

[填空题] Elvis Chui 总共登入过该计算机多少次？根据 ‘Window Artifacts.E01’ 内的Windows 注册表记录

开始查找

从系统痕迹中开始查找

系统痕迹 ---> 用户信息 ---> Elvis Chui

发现为11次

2

题目描述：

该计算机的操作系统是在哪一个时区？

开始查找

直接从这样查找

系统痕迹 ---> 系统信息 ---> 时区信息

是：UTC+8

3

题目描述：

该计算机的操作系统于何时安装？(以计算机系统时区回答)

开始查找

直接

系统痕迹 ---> 系统信息 ---> 安装时间

是在：2023-07-13 11:18:14

4

题目描述：

哪(几)个程序会于操作系统启动时自动执行？

开始查找

直接在

用户痕迹 ---> 开机自启动程序 ---> 开机自动运行程序

有以下5个

5

题目描述：

该计算机内安装了以下哪一个程序？

A. QQ

B. WPS Office

C. Opera

D. Kaspersky

开始查找

直接在

系统痕迹 ---> 安装软件 ---> 其他软件

可以看到只有WPS Office有

答案：WPS Office

6

题目描述：

计算机内的OneDrive程序版本是什么？

开始查找

还是

系统痕迹 ---> 安装软件 ---> 其他软件

可以看到它的版本为：

21.220.1024.0005

7

题目描述：

计算机有一个正在连接的网络接口，该接口连接DHCP服务器的IP地址是多少？提示: 以 IPV4格式回答

开始查找

这里查看

系统痕迹 ---> 网络配置 ---> 网络连接

可以发现有一个DHCP服务器，刚好它问的是该接口连接DHCP服务器的IP是多少，那么就是这个

答案：192.168.88.254

8

题目描述：

参考’Window Artifacts.E01’内的Windows注册表回答以下题目，该计算机何时连接过一只U盘？(以计算机系统时区回答)

A. 2023-07-13 11:48:26

B. 2023-07-13 03:48:29

C. 2023-07-12 19:48:29

D. 2023-07-13 11:48:29

开始查找

从这里查找

系统痕迹 ---> USB设备使用痕迹 ---> 正常的USB设备使用痕迹

上面的Hub是集线器，那么就只有这个了

2023-07-13 11:48:28

时间上有一秒的差异，可能是因为取整策略不同

选择 D 选项

9

题目描述：

Elvis Chui 将哪几个文本文件放在回收站中？

A:$+D10I76A74P.txt

B:Holiday schedule 2023-07-16.txt

C:Holiday schedule 2023-07-13.txt

D:Minute on 2023-07-01.txt

E:Minute on 2023-07-10.txt

开始查找

直接在

用户痕迹 ---> 回收站删除记录

中查找

但是这里的meeting文件无法打开，跳转到源文件看一下

到这个文件夹下了，打开看看

有个7月3号和10号的文件夹，看看10号的

3号的都是选项中没有的文件所以就不管了，看到10号的中有一个是选项中的

答案：BE

10

题目描述：

Elvis Chui在什么时间删除了第一个文本文件？(以计算机系统时区回答)

A. 2023-07-13 11:50:15

B. 2023-07-13 03:49:45

C. 2023-07-13 03:50:15

D. 2023-07-13 11:49:45

开始查找

上题的第一个文本文件是Holiday schedule 2023-07-16.txt

那么直接看它的删除时间是多少

答案：2023-07-13 11:49:45

11

题目描述：

Elvis Chui删除的第一个文本文件的文件名是什么？提示: 请用小写字母回答及需列明文件格式。如文件名字内有空格位置，请用_标示。例如: go_to_school.docx

开始查找

还是和上题一样的文件，只不过是文件名了

答案：holiday_schedule_2023-07-16.txt

12

题目描述：

Elvis Chui删除的第一个文本文件在什么时间创建？(以计算机系统时区回答)

A. 2023-07-13_11:42:39

B. 2023-07-13_11:50:49

C. 2023-07-13_11:49:45

D. 2023-07-13_11:45:22

开始查找

在这里看不到创建时间，跳转到源文件

可以看到创建时间为

2023-07-13 11:45:22

选择D选项

13

题目描述：

Elvis Chui计划于2023年7月15日20点5分有什么活动？提示: 答案请与文件内的文字与大细阶相同

开始查找

找了一圈没发现7月15号的文件，但是突然一想，回收站里的那个名字就是写的7月15，打开看一下，看看是不是活动策划，发现还真是

答案就是2005的：Movie

14

题目描述：

该计算机执行STEAM.EXE总共多少次？提示: 请用阿拉伯数字作答

开始查找

直接在

系统痕迹 ---> 应用程序运行痕迹 ---> STEAM.EXE

下面会显示运行的时间和次数

答案：7