案件背景：
Gary被逮捕后;其計算機被沒收并送至計算機取證實驗室。經調查后，執法機關再逮捕一名疑犯 Eric，并檢取其家中計算機(window 8)，并而根據其家中計算機紀錄,執法機關再于其他地方取得一臺與案有關的服務器,而該服務器內含四個硬盤。該服務器是運行LINUX系統。
由于事件涉及Windows 7,8,LINUX及 Mac IOS系統，故取證團隊有可能需要使用相關系統之取證工具(105題,105分)

Linux取證部分

選B，打開逐個核對

選D
做法一：用X-ways打開選擇該分區

做法二：用該盤總的扇區數減去該分區扇區數

這里的磁區英文翻譯應該是起始扇區，這題問的應該是扇區數
選A，同上

選E

選B，高級搜索，可以確定搜索范圍

選D，直接搜索選項

Raid部分

這部分敬請期待，會盡快更新的

Windows取證部分

選B，直接計算得到

選C，在應用路徑下找到工具名稱

選B

選A，該鏡像的時區的東八區，題目要求UTC，故-8

分別選C，D

選B，沒得講的

選A，直接搜索選項

選D，將doc導出，ctrl+f 搜索

選A，直接搜索

選C，首先按搜索記錄找到，再按照搜索時間去查找歷史記錄

縮小范圍，再根據選項搜索

選E，直接搜索

選E，根據路徑去找到文件計算即可

選B，直接搜索

分別選A，D，E

選A，直接搜

選A，拿眼睛看

選A，這題我是真沒想到，壓縮包弱口令23456

選C

選B，跟著路徑找一下就看見了，考眼力

選D，搜索路徑關鍵字

選D

選D

選A，根據選項找

選D，根據登錄成功的回顯搜索，但是這樣找不到amons用戶，所以直接搜索用戶名可能更穩一點

選E，也是直接搜

選A，沒想到是中文的下載，我搜download沒有，直接順著看一遍找到了

選B，根據上題可知

選A，搜索關鍵字，找最早的訪問時間

選F，找到了直接算

內存取證部分

鏡像為上題導出的鏡像

選D

選C，根據父進程一個一個反推回去

選D，按名稱排序更快查找

選E，同上題

選B

注意，這里是從內存中提取該文件，而不是磁盤里那個

.\volatility.exe -f .\Memory.vmem --profile Win81U1x86 procdump -p 3096 --dump-dir=./

選E，這題用可視化工具有點麻煩，我是直接數的，選中第一個按向下方向鍵比較好數一點

注意！！！
看到這題我才反應過來上面是問的內存中的filezilla.exe文件，這里才是磁盤中的文件
選C，根據文件名稱，搜索到源文件再計算

選E，連接埠即端口的意思
.\volatility.exe -f .\Memory.vmem --profile Win81U1x86 netscan | findstr svchost.exe

蘋果手機部分

選D，文件分類->手機備份->蘋果手機備份

此題不會

選B，基本信息

選D，基本信息

選C，這里所謂屏幕快照就是截屏，截屏里面與槍有關的圖有七張，但是其中只有四張與題干網址相關。

選C，根據手機備份圖片可知，這題1、2、3、4型號的槍的圖片都有，官方答案給的C，我不會

選B，找到圖片，再直接計算

選C

希望上面存疑的幾題，有做出來的師傅，告知我一下，尤其是第99題，十分感謝

總結

以上是生活随笔為你收集整理的17美亚团队赛电子取证的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。