[填空題] 工地職員A計算機的修復密鑰標識符是什么？(請以大寫英文及阿拉伯數字輸入答案，不要輸入”-“) (1分)
230C1BB3106A4E4EBF5D3D10961585D4
送分題，打開取證大師，找到bitlocker解密選項，對該分區解密的位置自動跳出恢復密鑰標記

[填空題] 工地職員A計算機的修復密鑰解除鎖定是什么？(請以數字輸入答案，不要輸入”-“) (1分)
483714461582060962373351019646502348309628684431
搜索bitlocker，找到和密鑰標識符一樣的密鑰快捷方式。跳轉到該文件，并導出查看屬性，但是并沒有找到解密路徑，懷疑密鑰文件在別的鏡像里，想到個人賽鏡像的bitlocker密鑰就是在FTP服務器中找到的。再次搜索bitlocker，找到密鑰文件。

[單選題] 工地職員A的計算機被什么程式加密？ (1分)
A. Ransomware
B. BitLocker
C. AxCrypt
D. PGP
E. FileVault 2
送分題，前面兩題都問到了。

[單選題] 工地職員A的孩子有可能正準備就讀什么學校？ (2分)
A. 小學
B. 中學
C. 幼兒園
D. 大學
在瀏覽器中找到了入學相關搜索信息，主要搜索關鍵詞幼兒園

[多選題] 工地職員A并沒有打開過哪一個檔案？ (2分)
A. Staff3.xlsx
B. Staff4.xlsx
C. Staff1.xlsx
D. Staff2.xlsx
E. BTC address.bmp
找到了兩個文件，如圖所示，剩下三個文件沒找到。

[填空題] 工地職員A的計算機被遠程控制了多少分鐘？(請以阿拉伯數字回答) (2分)
11
被控制了11分鐘零16秒，題目問分鐘數，為11分鐘

[單選題] 工地職員A的計算機被加密后，被要求存入的是什么？ (1分)
A.
B. b
C.
D.
搜索關鍵詞得到答案，其余選項，。

[填空題] 在工地職員A的計算機曾經打開過的Excel檔案中，有多少人有可能在法律部門工作？(請以阿拉伯數字回答) (1分)
22
前面題中看到，打開的文檔是Staff1.xlsx，查看該文件。打開文件后，發現主要在post列中會暴露職業信息。其中Legals是法律的意思。用篩選框篩一下，找到一共22個。

[多選題] 工地職員 B 的計算機在什么日期和時間被黑客控制？ (2分)
A. 2021-10-19
B. 2021-09-16
C. 11:16:41 (UTC +8:00)
D. 05:55:50 (UTC +8:00)
E. 18:40:06 (UTC +8:00)
日期選了A選項，C如果是11:26就對了，感覺C最接近，畢竟是多選題，如果按照取證大師智能取的結果選一個還不對。Teamviewer的被控時間還是18日，嚴重懷疑取證大師自動取證功能有限，于是手工開始分析，找到了這個日志，如下圖所示，這個日志占的空間還挺大的呢，這個證據確鑿！

[填空題] 工地職員 B 的計算機的MAC Address是什么? (請以大寫英文及數字輸入答案) (1分)
000C29E2532D
有ip地址記錄的就這一個網卡

[填空題] 工地職員 B 的計算機用戶FaFa的 Profile ID 是什么？(請以大寫英文及數字輸入答案，不要輸入”-“) (1分)
S15211634007002120346002840274508681001

[填空題] 工地職員 B 的辦公室計算機的 Windows CD Key 是什么？(請以大寫英文及數字輸入答案，不要輸入”-“) (1分)
VK7JGNPHTMC97JM9MPGT3V66T
方法一：使用取證大師注冊表解析功能，找到該路徑下得到key：
Windows的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform

[單選題] 檢查過工地職員 B 的計算機登錄檔后(Window Registry)，計算機感染了什么惡意軟件？ (2分)
A. Adware
B. Worms
C. Rootkits
D. 沒有感染任何惡意軟件
仿真起來后，把殺毒軟件裝上，全盤掃一下，沒有惡意軟件。

[單選題] 工地職員B的計算機中被加密硬盤內的圖片”_120778782_58759559.jpg”，有可能是從下列哪個的途徑載入計算機？ (1分)
A. 電郵下載附件
B. USB盤
C. 網上下載
D. 藍芽傳入
E. Direct-link
在瀏覽器記錄中找到線索

[多選題] 工地職員 B 的計算機 中被加密硬盤內的圖片中，人物中衣著有什么顏色？ (2分)
A. 黃色
B. 紅色
C. 紫色
D. 藍色
E. 綠色
本題主要考bitlocker密鑰文件位置，找到密鑰即可，之前在ftp服務器中找到仨，猜測還剩下一個應該是，嘗試解鎖。成功解鎖后，發現了圖片中人物衣服分別是紅色和綠色。

[填空題] 工地職員 B 的計算機有多少個磁盤分區？(請以阿拉伯數字輸入答案) (1分)
5
五個分區

[填空題] 工地職員 B 的計算機硬盤分割表是什么？(答案請以首字母大寫作答) (2分)
GPT
個人覺得應該是磁盤分區表，翻譯的有問題。使用xways加載該鏡像，即可得到結果。

[填空題] 在 工地職員 B 的計算機Event Log中最后登入時services.exe的Process ID是什么？(請以阿拉伯數字輸入) (3分)
636
審題，工地職工B最后登入時，查看這個時間點是2021年10月19日 11:26:07，找這個時間點附近的日志。講事件
使用取證大師搜索services.exe找到其日志，導出來分析一下，取證大師自動解析的我個人覺得不是很好看。導出后發現在晚于這個時間點，也有登錄日志，用日期來排序，找到最后一個登錄的日志。找到登錄時間節點在18:39:58是最后一次登錄，從日志分析出services.exe的pid號是16進制的0x27c，用計算器轉成10進制為636。

[多選題] 承上題，以下哪試檔案曾被上傳到網頁服務器? (3分)
A. kjk2.jpg
B. kjk2.php
C. b6778k-9.0.php
D. b374k-2.5.php
E. d374k-2.5.php
題目中說的檔案應該指的是木馬文件，根據上題，找到上傳涉及的php代碼文件的位置在/www.yuenchoi.com.hk/uploader.php
找到uploader.php源代碼，發現上傳的目錄是他的根目錄，找到他的根目錄，但是我突然意識到，這個目錄下的文件，不代表一定是他上傳的，比如說C選項在這個目錄中就有，但是日志里卻搜索不到。通過搜索日志，只有ABD三個選項的文件.

[單選題] 入侵者可能使用甚么漏洞進行入侵網頁服務器? (1分)
A. 文件上傳漏洞
B. SQL 注入
C. 跨站腳本攻擊
D. 格式化字符串弱點
送分題目，根據前兩道題得出，是滲透知識常識題。

[多選題] 在網頁服務器找到的所有文件檔(doc 及 docx)中，有以下哪些文件制作人(Author)? (2分)
A. Kevin L. Brown
B. Peter R. Lee
C. Mary
D. May
E. Colin
一共50個文檔，打開挨個看。

[填空題] 在網頁服務器中，運行可疑檔案需要密碼，其密碼的哈希值(Hash Value)是甚么? (請以英文全大寫及阿拉伯數字回答) (3分)
0DE664ECD2BE02CDD54234A0D1229B43

[單選題] 在網頁服務器中，可疑檔案的譯碼函數是甚么? (2分)
A. unzip_file(‘$x,$y’)
B. gzdecode (base64_decode($x))??C.gzinflate(base64_{d}ecode($x))**
D. 以上皆否
在木馬源代碼里

[單選題] 特普電話的熱點分享密碼是什么? (1分)
A. 12345678
B. 69447401bceb
C. Jioijo4542554
D. Dak Pou Home
在提取信息摘要界面能找到

[多選題] 特普于經緯度22.278843, 114.165783，沒有做什么? (2分)
A. 拍影片
B. 拍照
C. 使用google map
D. 在Whatsapp中分享實時位置
在這個位置，他只進行了拍照，所以選擇ACD。

[多選題] 特普于電話中安裝了一個可疑軟件(版本為2020033001)，跟據該可疑軟件的安裝檔，下列哪項描述正確? (2分)
A. 軟件名稱是安全防護
B. 軟件名稱是安心回家
C. 軟件簽名(signAlgorithm)以 SHA512withRSA加密
D. 封包名稱(packageName)是org.chromium.webapk.a5b80edf82b436506_v2
搜索關鍵詞為版本號信息，沒有直接找到軟件路徑，找到了標識符為www.icthna.net，搜索該標識符，找到apk位置，
userdata (ExtX)/Root/app/www.icthna.net-1/base.apk
導出來，進行分析，使用奇安信星源APP分析，得到AC選項，最后一章截圖做了標記。

[填空題] 特普的計算機可能中了病毒，病毒的編譯者使用可能使用的賬戶名稱是甚么? (請以英文全大寫作答) (3分)
GPGF
使用ida pro對已經脫殼的程序進行分析，找到病毒編譯者使用的路徑，找到他的賬戶名稱。

[單選題] 特普的計算機可能中了病毒，病毒的自我復制位置是甚么? (2分)
A. C:\Temp\temp.txt
B. C:\Users<profile>\Desktop\malware.exe
C. C:\Users\public\malware.exe
D. C:\a.txt
使用火絨劍/Process Monitor對其進行抓取。

[多選題] 特普的計算機可能中了病毒，病毒留下了ASCII ART(ASCII藝術, 文字圖)，以下哪個不是病毒留下? (3分)
A. HI
B. HELLO
C. HOW ARE YOU
D. GOODBYE
使用ida pro進行逆向分析，只獲得了HELLO的藝術文字圖。

[單選題] 特普的計算機可能中了病毒，病毒擾亂文件目標文件名是甚么? (2分)
A. C:\Users<profile>\Documents\target.txt
B. C:\Users<profile>\Desktop\target.txt
C. C:\c.txt
D. C:\temp.txt
使用逆向分析工具ida pro 找到該文件。

[單選題] 特普的計算機可能中了病毒，病毒擾亂文件方法是甚么? (3分)
A. + 3
B. XOR 5
C. + 4
D. – 4
使用ida pro逆向分析得到。

[填空題] 特普的計算機中，哪一個是 FTK Imager.exe 的程式編號(PID)? (請阿拉伯數字回答) (1分)
6136
使用volatility進行分析，先使用imageinfo查看鏡像相關信息，找到是win10的32位操作系統。

[填空題] 特普的計算機曾經以FTP 對外.“)連接，連接的IP是? (請以阿拉伯數字回答，不用輸入".") (2分)
2320014282
這道題出現在內存題目中，第一反應使用netscan命令，對其連接的網絡信息進行掃描，但是在這里無法找到確鑿證據說明是ftp連接。前往計算機鏡像進行查找。

[多選題] 特普的計算機中，以下哪一個指令于上述連接中有使用過? (3分)
A. get
B. put
C. delete
D. bye
E. quit
沒有確鑿證據，結合ftp命令猜測答案。

[多選題] 在Linux 的"Volatility" 中，哪一個指令可以知道此程式支持哪一個Windows 版本? (2分)
A. vol.py --profile
B. vol.py --systeminfo
C. vol.py --info
D. vol.py --verinfo
經過在linux系統里嘗試，只有C選項支持。

[填空題] 常威手機曾經連接的無人機名稱是什么?(請以英文全大寫及阿拉伯數字回答) (1分)
SSPARK
在設備位置里，找到DJI Go的相關信息，得到無人機名稱是SSPARK。

[填空題] 常威手機中，檔案“dji1633936161416.mp4”的解像度是 ________________ (例如是1920 x 1280，請輸入 19201280)。 (1分)
1280720
搜索該視頻，很容易就找到了，但是cellebrite不太友好，居然沒有視頻分辨率，導出后再查看詳細信息，得到分辨率信息。

[填空題] 常威手機中，發現于網絡上下載的軟件“安心出行”安裝檔的哈希值(MD5)是?(請以英文全大寫及阿拉伯數字回答) (2分)
81c342665d9a8d4d02b0fbb7033167b5
找到安裝的“安心出行”軟件，直接搜索安心出行找不到它的安裝包，搜索他的標識符，找到該app。

[多選題] 常威手機中軟件“安心出行”(版本2.1.3)的安裝檔(.apk)中，哪個不是它的簽名算法? (3分)
A. MD5withRSA
B. SHA256withRSA
C. SHA256withDSA
D. MD5withDSA
使用盤古石星源APP溯源分析系統，找到簽名算法。

[多選題] 于常威的手機中執行軟件“安心出行”(版本1)可能會連接至哪一個網站? (2分)
A. https://back-home-****.pages.dev
B. org.chromium..a5b80edf82b436506
C. org.chromium..a5b80edf82b436506_v2
D. https://back-home-****.pages.dev/manifest.json
此題不會，方法正常是抓包和分析源代碼。

[單選題] 在常威蘋果手提計算機, 用戶開機密碼是什么 ?(提示：常威 USB 設備中可能有相關數據) (3分)
A. Csthegoa***
B. Draw**fgdf
C. Cokkfiddd
D. Appis*won
本題正向的解題思路不太會，把答案帶進去搜索，根據提示，在常威的USB設備中查找。
使用取證大師，加載鏡像后，使用格式化恢復，參考美亞公眾號官方解析方法。跳轉到源文件，找到該文件并打開后，找到密碼為cpisthegoat。

[填空題] 在常威U 盤內有多少磁盤分隔區 ? (請以阿拉伯數字回答) (2分)
4
使用xways打開常威U盤鏡像進行分析，得到。

[填空題] 在常威U 盤內有多少份excel 文件 ? (請以阿拉伯數字回答) (1分)
1
使用美亞恢復大師對其進行分析，正常文件只有一個excel表格。

[填空題] 在常威U 盤內, 內含有多少個客戶數據 ? (請以阿拉伯數字回答) (1分)
50
使用取證大師，加載鏡像后，使用格式化恢復，參考美亞公眾號官方解析方法。拉到最底下，是50個人。

[多選題] 以下哪個客戶數據儲存在常威U 盤內 ？ (3分)
A. jmuat1@reference.com
B. cgeraudg@forbes.com
C. cwarmishamo@admin.ch
D. abddfdf@google.com
E. alex1234@apple.com
打開該文件進行搜索，只有DE搜不到

[單選題] 常威MAC計算機上一個系統版本是甚么及現正運行哪一個版本的系統? (3分)
A. MacOS 10.11.6 and MacOS 11.6
B. MacOS 10.11.5 and MacOS 11.5
C. MacOS 10.11.4 and MacOS 11.6
D. 以上皆非
MAC一定要用Arsenal Image Mounter，我第一次嘗試用mount image進行掛載，但是失敗了，本方法參考天宇寧達郭永健老師。掛載后使用取證大師進行取證分析，自動取證得到系統版本。

[多選題] 常威MAC計算機的系統事件紀錄內哪個卷標(Flag)是關于儲存檔案于計算機? (3分)
A. Created
B. InodeMetaMod
C. FinderInfoChanged
D. IsDirectory
E. OwnerChanged
Mac電腦的OSX FSEvents flag知識，理論題目，選擇ABCE

[多選題] 常威MAC計算機曾連接哪一個無線網絡SSID? (2分)
A. wai wifi
B. wanchainew1
C. central2
D. Hongkong1
使用取證大師，查看鑰匙串，找到wifi連接信息。

[單選題] 常威MAC計算機的使用者甚么時候將”隔空投送”(airdrop)轉換至任何人模式? (2分)
A. 2021-10-21 16:52:48 (UTC +8)
B. 2021-10-21 18:52:48 (UTC +8)
C. 2021-10-21 06:52:48 (UTC +8)
D. 2021-10-21 08:52:48 (UTC +8)
macOS Sierra (10.12) 引入了一種新的日志記錄機制，稱為統一日志 (unified log)記錄
\private\var\db\diagnostics存放主要日志文件
\private\var\db\uuidtext存放主要日志文件引用的日志文件
[apfsb0]:\Chris - Data:\root\Users\chrispaul\Library\Preferences\com.apple.sharingd.plist

[單選題] 常威MAC計算機的鏡像檔案內，總共有多少個系統默認的卷標? (1分)
A. 4
B. 5
C. 6
D. 7

[填空題] 常威MAC計算機的使用者上一次關閉瀏覽器時，正在瀏覽多少個網頁? (請以阿拉伯數字回答) (3分)
10

[多選題] 常威MAC計算機中以下哪個檔案并不是iPhone所拍攝的圖片? (2分)
A. IMG_0002
B. IMG_0003
C. IMG_0004
D. IMG_0005
E. IMG_0006
在MAC計算機上找到了BCE選項，所以選擇AD選項。

[多選題]

[填空題]
題目中說的顯示適配器應該指的是顯卡GPU，在上題中的日志文件中找到有2個。

[單選題] 在常威, OS 操作系統是什么版本 ? (1分)
A. 5.4.0 *******
B. 6.0.1 *****
C. 7.0.2 *****
D. 10.0.2***
E. 15.1.2*****
方法一：仿真成功后，輸入命令 uname -a即可得到結果。

[多選題] 在常威中, 哪個不是收取jk收益的錢包地址 ? (1分)
A. 0xE365625f4537151304ceba7C7D9dF0C7E829
B. 0xe68de863f4c3c3cc0191b9cefdae91b3e6fbd8**
C. 0x00000000897f4136b4a59731680a88f895303
D. 0x7335c20f9533d9cc825e2a6e80821fd44e27f8
E. 0x00**000089705f4136b4a59731680a88f895303****
搜索關鍵詞wallet，找到錢包地址為A選項，所以選擇BCDE

[單選題] 在常威中, 用于登入密碼是什么 ? (2分)
A. eg97emwm**
B. Deg97emwm
C. feg97emwm
D. eeg97emwm
E. heg97emwm
在rig.conf文件里，導出來，詳細查看，找到密碼，選項里應該少了個1，其他都能對得上，選擇A。

[填空題] 在常威中,用于Nvidia顯示適配器所使用的驅動程式使用什么版本?(請以英文全大寫及阿拉伯數字回答) (1分)
4609103
/usr/share/nvidia/nvidia-application-profiles-460.91.03-rc

[多選題] 在常威中, 用于顯示適配器型號包括什么? (2分)
A. GeForce RTX 3060
B. Quadro P2000
C. RX 6600
D. GeForce GTX 1660 Ti
E. GeForce GTX 3070
送分題，截圖同70題

[多選題] 在常威礦機, 哪一天沒有進行掘礦? (2分)
A. 2021-10-06
B. 2021-10-09
C. 2021-10-15
D. 2021-10-17
E. 2021-10-18
日志從頭拉到尾，只有2021年10月6日。

[單選題] 常威的無人機于2021年10月11日15:07:51時之間所在的地點是什么? (1分)
A. 22.269299, 114.200486
B. 22.269353, 114.287267
C. 22.346855, 114.289552
D. 22.269293, 114.201278
在這一秒鐘，有三個位置，答案都沒有，感覺D最接近。

[填空題] 常威的無人機哪一個檔案有最后降落時間的數據(請以英文全大寫及阿拉伯數字回答,不用輸入".")？ (1分)
FLT096DAT
拉到最底下，找到結果。 無人機幾道題沒有多少難度，都是看時間線分析出結果的。

[多選題] 常威的手機中哪一個是由常威的無人機于2021年10月11日所拍攝的圖像文件? (2分)
A. Containers 貨柜
B. Buildings 大廈
C. bicycle 單車
D. Mountain 山
從位置里找到無人機，再通過路徑找到可能存儲的位置，分別看到了山、貨柜、大廈。

[填空題] 常威的手機中顯示常威的無人機DJI GO 4的版本是4.3.37?(請以阿拉伯數字回答) (1分)
從位置跳轉到安裝程序信息，找到無人機系統版本。

[多選題] 常威的手機中所安裝的DJI GO 4 軟件中，以下哪個database沒有顯示臨時禁飛區? (2分)
A. Filesflysafe_app.db
B. Special_warning.db
C. Flysafe_app_dynamic_areas.db
D. Flysafe_polygon_1860.db
搜索找到數據庫Flysafe_app_dynamic_areas.db顯示了禁飛區，Special_warning.db數據庫是空的。

[填空題] 續上題，上述安裝信息文件的版本日期是什么? (請以阿拉伯數字，及以下格式回答，例: 2019年3月4日，請回答20190304) (1分)
20190130
在剛才的日志里找到時間信息

[多選題] 常威Windows計算機安裝了一些與3D 打印機有關的軟件，有可能是以下哪個? (1分)
A. Ultimaker Cura
B. 3DPrinterOS
C. Simplify3D
D. Creality Slicer
根據題目給的選項往回找即可。

[單選題] 在Linux 的環境下，以下哪一個指令用于激活掃描到的卷組(Volume group) (1分)
A. vgscan
B. vgchange
C. vgdisplay
D. vgactive
每個都用 --help命令查一下，找到只有vgchange有這個功能

[單選題] 在Linux 的環境下，下列哪一個指令可以刪除內有檔案的文件夾? (1分)
A. rm -d
B. rm -r
C. rm -rd
D. rm -rf
理論題，常識題。

[填空題] 常威 LINUX 計算機邏輯滾動條 (Logical Volume) 路徑“vg/home”使用了甚么系統建立? (請以英文全大寫回答) (2分)
KALI
使用lvdisplay命令

[填空題] 常威 LINUX 計算機邏輯滾動條 (Logical Volume) 路徑 “vg/root” 的Current LE是什么? (請以阿拉伯數字回答) (1分)
5120
使用lvdisplay命令