第一题

李大辉所用手机移动运营商公司的名称?

不多说，自动分析后查看SIM卡使用记录即可

即 Mobile Duck

第二题

李大辉的手机安装了什么即时通讯软件?

我们查看应用列表，发现了微信和WhatsApp，但是微信只是注册了账号，并没有使用过。所以这一题还是选 A

第三题

李大辉的手机安装了什么反追踪软件?

本题存疑，在检材中找到了一个vpn软件，按理来说这个应该也是反追踪软件，但是官方答案是air_tag_tracker_detect_lite，我并没有找到。vpn软件包名为com.ipsec.vpnclient.overlay

第四题

李大辉的手机是什么时间成功登入 WhatsApp?

A. 2022-08-18_21:52:30

B. 2022-08-19_21:56:23

C. 2022-08-18_21:56:37

D. 2022-08-19_06:59:07

E. 2022-08-19_07:01:17

既然要成功登入软件，那么注册就会有验证码，我们看验证码消息。

应该在这个时间之后的附近即 C

第五题

李大辉登入 WhatsApp 时的认证短码是什么?

见上图，即 304-313

第六题

李大辉到美丽好化妆品公司的入职时间是何时?

A. 2016-04-16

B. 2016-06-28

C. 2017-05-25

D. 2017-07-25

E. 2017-08-18

找到一个表格，是职员证

即 C

第七题

李大辉曾于什么时间使用了图像编辑软件?

A. 2022-09-10

B. 2022-09-12

C. 2022-10-05

D. 2022-11-10

E. 2022-11-13

我们查看手机相机拍摄的照片，即DCMI目录下，发现一张图片，创建时间和修改时间不一致，那么这张就是被P过的照片。但是不知为什么，值和答案的月份和日期是反着的

即 2022-10-11

第八题

这个访问服务器使用了哪个端口?

我们查询OpenVPN的文档，可以发现其配置文件usr/local/openvpn_as/etc/db/config_local.db，我们看到官方解释为

观察配置文件

即 943

第九题

User1 账户最近连接到这个访问服务器时使用的 IP 地址是多少?

首先全局搜索日志文件

发现集中在两个日志文件中

打开日志文件，直接搜索User1

找到IP 192.166.244.167

第十题

哪些文件可以找出这个访问服务器的 Ubuntu 版本?

这个其实是Linux常识，C是配置用户环境变量的文件，D就是控制台。A和B不太确认，那么我们就去看看

故 A B

lsb-release: 包含了有关系统版本的信息, 包括Ubuntu版本.

issue\.net: 系统登录界面的欢迎信息, 包括系统版本信息, /etc/issue和/etc/issue\.net在 login 提示符之前显示. /etc/motd 是在用户成功登录系统之后显示.

.profile: 用户配置文件, 不包含系统版本信息.

console: 控制台终端, 不是文件.

第十一题

哪些文件有助于分辨这是一个存储服务器?

中文题目有问题. 根据英文题目 Which files could be used to prove this access server? 可以知道, 题目问的是 “哪些文件有助于分辨这是一个 访问 服务器”.

既然要确认这是一个访问服务器，那么就是要看到服务器的命令执行记录，或者访问记录，那么A B C，都符合

auth.log里面有openvpn的登录信息:

Jul 12 03:31:10 ubuntu useradd[20631]: new user: name=openvpn_as,  UID=1001,  GID=1001,  home=/home/openvpn_as,  shell=/sbin/nologin,  from=/dev/pts/1

sys.log有openvpn启动信息:

Jul 12 11:01:36 ubuntu systemd[1]: Starting OpenVPN service...

bash_history 命令历史记录如果有的话按理说能证明的, 但是是空文件

故选 A B C

第十二题

这个访问服务器所在时区是哪个时区

查看 /etc/timezone 文件获得时区，即 America/Los_Angeles

第十三题

这个访问服务器的 openvpn 帐户密码是多少?

我们查看openvpn的初始化日志，即 /usr/local/openvpn_as/init.log，直接检索password。得到密码

第十四题

在这个访问服务器中, User1 账户之间的连接所使用的加密算法是什么?

A. Blowfish-CBC

B. 3DES-CBC

C. AES-128-GCM

D. AES-256-CBC

我们查看 /home/meiya/Downloads 目录下有一个文件 User1.ovpn，这个文件中存储了User1的加密算法。

即 D

第十五题

给出正在进行 Nmap 扫描的计算机互联网协议地址?

中文题目还是有点问题，根据英文题目 What is the source IP of the nmap scanning, 问的是 “Nmap 扫描的来源 IP 是什么”.

观察流量即可发现

即 192.168.186.132

第十六题

有多少个 Nmap 扫描正在同时进行?

我们观察流量，根据Control Bits

字段	含义
URG	紧急指针是否有效。如果设置1，用于通知接收数据方在处理所有数据包之前处理紧急数据包
ACK	确认号是否有效。用于确认主机成功接收数据包。如果Acknowledgment Number包含有效的确认号码，则设置ACK标志为。例如tcp三次握手的第二步，发送ACK=1和SYN=1 ，就是告知对方它已经收到初始包
PSH	强制将数据压入缓冲区
RST	连接重置
SYN	表示建立连接
FIN	表示关闭连接

我们可以看到，局域网主机 192.168.186.132 应该是对8.8.8.8和45.33.32.156进行了nmap的SYN扫描

故为 2

第十七题

当计算机正在扫描 8.8.8.8, Nmap 相关的指令是什么?

我们使用过滤语句得到扫描8.8.8.8的流量包，观察其特征，发现在ICMP echo包后紧跟TCP对端口的请求包

这就是nmap的 -sT 命令，先使用ICMP协议确认主机在线，然后使用TCP协议对端口进行扫描

故为 A

第十八题

当计算机正在扫描 45.33.32.156, Nmap 相关的指令是什么?

和上一题同理，我们过滤完后可以发现，使用ICMP确认主机在线后使用UDP扫描端口，即 -sU

故为 B

第十九题

国强被指派设定一个 DHCP 服务器, 该服务器需借出最后 100 个的 IP 地址, 以下哪个 IP 地址会是被借出的 IP 地址?

A. 10.1.4.255

B. 10.1.4.100

C. 10.1.4.254

D. 10.1.4.1

DHCP服务器如果使用C段，上限是254，同时又说是最后一百个，所以范围是 154-254 故选 C

第二十题

以下那个协议是属于 TCP/IP 协议?

A. i & iii

B. ii & iv

C. 所有皆是 (All answers belong to TCP/IP protocol)

D. 所有皆否(All answers don’t belong to TCP/IP protocol)

直接参考百科

运行在TCP协议上的协议：

• HTTP（Hypertext Transfer Protocol，超文本传输协议），主要用于普通浏览。
• HTTPS（Hypertext Transfer Protocol over Secure Socket Layer，or HTTP over SSL，安全超文本传输协议），HTTP协议的安全版本。
• FTP（File Transfer Protocol，文件传输协议），由名知义，用于文件传输。
• POP3（Post Office Protocol，version 3，邮局协议），收邮件用。
• SMTP（Simple Mail Transfer Protocol，简单邮件传输协议），用来发送电子邮件。
• TELNET（Teletype over the Network，网络电传），通过一个终端（terminal）登陆到网络。
• SSH（Secure Shell，用于替代安全性差的TELNET），用于加密安全登陆用。

运行在UDP协议上的协议：

• BOOTP（Boot Protocol，启动协议），应用于无盘设备。
• NTP（Network Time Protocol，网络时间协议），用于网络同步。
• DHCP（Dynamic Host Configuration Protocol，动态主机配置协议），动态配置IP地址。

其他：

• DNS（Domain Name Service，域名服务），用于完成地址查找，邮件转发等工作（运行在TCP和UDP协议上）。
• ECHO（Echo Protocol，回绕协议），用于查错及测量应答时间（运行在TCP和UDP协议上）。
• SNMP（Simple Network Management Protocol，简单网络管理协议），用于网络信息的收集和网络管理。
• ARP（Address Resolution Protocol，地址解析协议），用于动态解析以太网硬件的地址。

故选 B

第二十一题

浩贤为一间公司的网络管理员, 他需要把一个路由器作出以下设定

1) 允许 192.168.26.3 连上互联网 2) 允许 192.168.26.2 作 UDP 连接

现在浩贤把路由器作以下设定:

• access-list 119 deny udp any any
• access-list 121 permit udp host 192.168.26.2 any
• access-list 120 deny tcp any any
• access-list 122 permit tcp host 192.168.26.3 eq www any
• access-list 123 permit tcp any eq ftp any

志伟是浩贤的主管, 他发现浩贤的设定错误, 浩贤应作怎样的更正?

A. ‘access-list 123 permit tcp any eq ftp any’ 更正为 ‘access-list 123 permit udp any eq ftp any ‘

B. ‘access-list 122 permit tcp host 192.168.26.3 eq www any’ 更正为 ‘access-list 122 permit udp host 192.168.26.3 eq www any’

C. 删除 ‘access-list 120 deny tcp any any’ 与 ‘access-list 119 deny udp any any’

D. 删除 ‘access-list 123 permit tcp any eq ftp any’

access-list 119 deny udp any any 会拒绝所有UDP流量

access-list 121 permit udp host 192.168.26.2 any 虽然允许192.168.26.2的UDP，但由于119行在前面，永远不会执行

同理，access-list 120 deny tcp any any 会拒绝所有TCP流量

access-list 122 permit tcp host 192.168.26.3 eq www any 也永远不会执行

所以操作就是删除掉拒绝这两条规则，即 C

第二十二题

根据以下ping指令的结果, 你会估计 192.168.186.132 是哪一个操作系统？

Ping 192.168.186.132 (使用 32 字节的数据):

回复自 192.168.186.132: 字节=32 时间<1ms TTL=64

回复自 192.168.186.132: 字节=32 时间<1ms TTL=64

回复自 192.168.186.132: 字节=32 时间<1ms TTL=64

回复自 192.168.186.132: 字节=32 时间<1ms TTL=64

192.168.186.132 的 Ping 统计资料:

封包: 已传送 = 4, 已收到 = 4, 已遗失 = 0 (0% 遗失),

大约的来回时间 (毫秒):

最小值 = 0ms, 最大值 = 0ms, 平均 = 0ms

A. Linux

B. Windows XP

C. Windows 7

D. iOS 12.4 (Cisco Routers)

TTL 值是每个操作系统设置的默认值, 用来决定数据包在网络中传递的最大跳数. 不同的操作系统有不同的默认 TTL 值.

一般情况下, Windows < 10 为 128, Windows >= 10 为 64, Linux 和 macOS 为 64.

由于没有大于Windows10的选项，所以即 C

第二十三题

当使用nmap扫描目标后, Nmap 内出现以下信息 “Note: Host seems down. If it is really up, but blocking our ping probes” (主机似乎关机. 如果它是开启的, 它正在阻挡 ping 探测.) 应用哪一个指令找出开放的端口?

A. nmap -sT

B. nmap -sN

C. nmap -sX

D. nmap -Pn

像这种主机应该是禁Ping了，导致ping的ICMP包不通。所以我们使用 -Pn 命令来不是用Ping探测端口。

即 C

第二十四题

以下哪一个Nmap指令可以减低被侦测的可能性？

A. nmap -sT -O -T5

B. nmap -sT -O -T0

C. nmap sU

D. nmap -A –host-timeout 99-T1

降低nmap的被检测可能性，无非就是伪装正常链接，降低扫描速度等

-sT: 以 tcp 连接扫描，-O: 关闭操作系统检测，-T0: 扫描速度最低。

即 B

第二十五题

Apple 计算机的硬盘可以使用以下分区方案？

A. Apple Partition Map

B. GUID Partition Table

C. Master Boot Record

D. All of the above

参考 https://support.apple.com/zh-cn/guide/disk-utility/dsku1c614201/mac

我们可以知道，三种都可以使用

故 D

第二十六题

Mac OS.img 文件中可以找到多少个符号链接?

A. 0

B. 1

C. 2

D. 3

alias用于设置别名(快捷方式/软链接), 在镜像里只有一个标记了alias的文件, 那么只有一个。

即 B

第二十七题

在 Mac OS.img 档中使用了哪种分区方案?

A. Apple Partition Map

B. GUID Partition Table

C. Master Boot Record

D. HFS+

使用xways打开镜像文件，注意选择恢复镜像文件。然后我们就可以得到分区信息

即 GUID Partition Table ，B

第二十八题

Mac OS.img 档的文件系统的正确描述是什么?

A. HFS+(已启用日志记录)

B. HFS+(已启用区分大小写)

C. HFS+(已启用日志记录和区分大小写)

D. APFS(已启用区分大小写)

依旧使用xways，HFSX 就是在HFS+基础上引入了区分大小写的特性

故 C

第二十九题

从文件 Car.rtfd 中删除了哪个文件?

DocumentRevisions-V100 是 Apple 在 OSX Lion 中引入的内部版本控制系统. 它基本上每次保存时都会保存文件的历史副本, 类似 git. 里面有两个 .rtfd 文件夹, 其中有一个和目前的 Car.rtfd 不同, 多出来 yeah.jpg.

第三十题

请提供 Mac OS.img 映像文件被 fsck 命令检查的具体时间，答案格式为YYYYMMDD-HHMMSS，如2023年1月1日15时30分30秒则请回答”20230101-153030″

fsck 是个检查和修复文件系统错误的命令, 这个过程会对文件系统的一些元数据进行更改，也就是修改时间，那么我们把所有目录按照时间进行排序。找到最早为2023年7月13日16:24:35，但是可能是由于美亚杯是全球赛事吧，我们要将北京时间转换为标准UTC时间，即 20230713-082435

第三十一题

在 .img 档中删除了多少个文件?

A. 1

B. 2

C. 3

D. 4

我们查看回收站，即 Trash ，发现其中有三个文件（.DS_store是mac os自动生成的备份文件），加上刚刚的 yeah.jpg 共4个。故 D

第三十二题

总共登入过该计算机多少次?

直接打开分析即可看到

故 11

第三十三题

计算机的操作系统是在哪一个时区?

A. UTC +4

B. UTC +8

C. UTC -8

D. UTC -4

直接在基本信息即可看到，即 B

第三十四题

该计算机的操作系统于何时安装?

A. 2023-07-13 19:18:14

B. 2023-07-13 11:18:14

C. 2023-07-13 03:18:14

D. 2023-07-12 19:18:14

同样基本信息

故 B

第三十五题

哪(几)个程序会于操作系统启动时自动执行?

A. Avast

B. Steam

C. OneDrive

D. QQ

其实就是自启动程序，直接可以看到

故A B C

第三十六题

该计算机内安装了以下哪一个程序?

A. QQ

B. WPS Office

C. Opera

D. Kaspersky

直接查看安装软件信息，发现只有WPS Office

故 B

第三十七题

计算机内的 OneDrive 程序版本是什么?

直接看软件信息

即 21.220.1024.0005

第三十八题

计算机有一个正在连接的网络接口, 该接口连接 DHCP 服务器的 IP 地址是多少?

查看基本信息的网络适配器，发现只有一张物理网卡，故该网卡的连接应该是真实网络

我们在网络连接界面找到这张网卡的链接，发现DHCP服务器

即 192.168.88.129

第三十九题

该计算机何时连接过一只U盘?

在USB最近使用记录中可以看见一个U盘

即 2023-07-13 11:48:30

第四十题

Elvis Chui 将哪几个文本文件放在回收站中?

A. $+D10I76A74P.txt

B. Holiday schedule 2023-07-16.txt

C. Holiday schedule 2023-07-13.txt

D. Minute on 2023-07-01.txt

E. Minute on 2023-07-10.txt

查看基本信息中的回收站记录，即B E

第四十一题

Elvis Chui 在什么时间删除了第一个文本文件?

A. 2023-07-13 11:50:15

B. 2023-07-13 03:49:45

C. 2023-07-13 03:50:15

D. 2023-07-13 11:49:45

将回收站文件按照时间先后排序，发现删除的第一个就是文本文件，所以就是这个时间

即 D

第四十二题

Elvis Chui 删除的第一个文本文件的文件名是什么？

同上题，即

Holiday schedule 2023-07-16.txt

第四十三题

Elvis Chui 删除的第一个文本文件在什么时间创建?

就是问 Holiday schedule 2023-07-16.txt 是在什么时候创建，但是我们从回收站跳转源文件的话，会跳错文件，我们观察这个目录下的文件，发现一个大小相同的文件，且查看内容也相同。所以应该是这个文件

故 D

第四十四题

Elvis Chui 计划于2023年7月15日20点5分有什么活动?

我们查看回收站文件，发现7月15日的计划，所以查看时间即可

故为 Movie

第四十五题

该计算机执行 STEAM.EXE 总共多少次?

要查看某个exe文件执行了多少次，那么我们就查看预执行文件，直接搜索steam，发现运行了7次

即 7

Web安全

第四十六题

一个名为 Account 的数据库表拥有 5 个列, 以下哪一个指令会产生错误讯息?

A. SELECT * from Account WHERE name=‘Alex’ OR ‘1’=1

B. SELECT * FROM Account WHERE name=‘Bill’ UNION SELECT NULL, NULL, NULL, NULL

C. SELECT * from Account WHERE name=‘Candy’ ORDER BY 6

D. SELECT name FROM sys.tables

A和D不多说，没啥问题。B犯了联合查询前后的查询字段数不相同的错误，也会报错，报错类似

The used SELECT statements have a different number of columns

但是不知道为什么，反正答案是选C。C的错误更明显，6超过了列数5，所以也是会报错的

第四十七题

当客户端收到一个页面请求的 HTTP 状态代码为 304 时, 以下哪种情况最有可能发生?

A. 页面将显示错误

B. 页面将从浏览器缓存中加载

C. 浏览器将显示“访问被拒绝”

D. 服务器将复位向客户端到另一个资源

响应代码 304 Not Modified 说明使用本地缓存，即 B

第四十八题

在 HTML 注入攻击中, 以下哪种情况最有可能出现?

A. <form action="http://1.2.3.4/login.htm">Password:<input type="password" name="pword"> </form>

B. <embed src="http://demo.com/demo.swf"> </embed>

C. <script>alert(‘Correct’)</script>

D. <?php include(“inc/" .$_GET[‘file’]；?>

这里最明显的是D，D不是HTML注入，一般是文件包含或上传。但是A B C我觉得都有可能，A就是一个钓鱼框，将用户输入的密码传到自己服务器中。B是FLASH攻击，C是典型的XSS攻击。可能是应为A是原生HTML语法吧，答案即为A。

第四十九题

如何预防 HTML 注入攻击?

A. 密钥管理

B. 同源策略执行

C. 会话验证

D. 输入过滤

选D，这个没什么可解释的，过滤可疑输入，就可以基本避免恶意代码被插入HTML

第五十题

同源策略在浏览器内存中提供 Web 应用程序安全的目的是什么?

A. 防止客户端访问恶意网站

B. 禁止 Web 会话运行外部脚本

C. 控制来自不同服务器的代码之间的交互

D. 阻止浏览器运行危险或有害的脚本

那么也是直接使用百科解释

但是我觉得B好像也是对的的，不管了

第五十一题

编写 Nmap 命令以显示以下结果：

Starting Nmap 7.94 (https://nmap.org) at 2023-07-11 18:26 中国标准时间
Nmap scan report for www.baidu.com (220.181.38.149)
Host is up (0.044s latency).
Other addresses for www.baidu.com (not scanned): 220.181.38.150

Not shown: 998 filtered tcp ports (no-response)
PORT          STATE            SERVICE
80/tcp           open                http
|  http-robots.txt: 10 disallowed entries
|  /baidu /s? /ulink? /link? /home/news/data/  /bh /shifen/
|_/homepage/  /cpro /
443/tcp     open             https
|  http-robots.txt: 10 disallowed entries
|  /baidu /s? /ulink? /link? /home/news/data/  /bh /shifen/
|_/homepage/  /cpro /

Nmap done: 1 IP address (1 host up) scanned in 6.01 seconds

扫描 nmap 默认 1000 个端口，有两个有响应。脚本为 http-robots.txt，开放端口 80 和 443, 地址 www.baidu.com.

即 nmap –script http-robots.txt www.baidu.com

第五十二题

除了使用 Nmap, 还有其他方法可以验证上述结果, 其中一种方法是使用 Web 浏览器浏览 URL, 编写 URL 以显示上述结果

我们知道 robots.txt 是给爬虫机器人指定可爬取资源的规则，所以我们通过观察该文件即可得知可访问资源，故 https://baidu.com/robots.txt

第五十三题

根据 com.apple.ios.StoreKitUIService.plist, 这部电话是什么型号?

A. SAMSUNG S23

B. iPhone X

C. iPhone XR

D. iPhone XS

E. iPhone 13

我们直接搜索文件，查看文件

发现“硬件型号”，我们搜索一下。得知型号

故 C

第五十四题

根据 com.apple.ios.StoreKitUIService.plist, 上述电话的文件系统是什么?

A. FAT32

B. NTFS

C. HFS+

D. APFS

E. EXT4

接上题，查看 buildVersion 为19F77，即IOS 15.5，那么在IOS >= 10.3后，文件系统都为 APFS(Apple File System) ，故为 D

第五十五题

根据 ChatStorage.sqlite, 哪些对话已锁定?

A. 447380449879@.whatsapp.net

B. 79096209701@.whatsapp.net

C. 923109725619@.whatsapp.net

D. 85256026169@.whatsapp.net

E. status@broadcast

发现数据库中有一个表有SESSION关键词，那么有可能是这个表。我们所有账户都可以找到。但是有三个账号的ZFLAGS值好像比其他账号的要更大，应该就是锁定的意思

即 A B C

第五十六题

根据 ChatStorage.sqlite, 有多少段录音对话?

既然是录音，我们发现关键词Media，查看相关表，在ZVCARDSTRING字段，可以看见文件的类型，我们使用SQL语句过滤一下，即可得出总数

即 45

第五十七题

Apple Cocoa Core Data timestamp 是由什么时间开始?

A. 2001年1月1日

B. 1970年1月1日

C. 2006年1月1日

D. 1960年1月1日

这个搜一下就出来了

即 A

第五十八题

根据 Photos.sqlite 数据库中, 有多少段视频可能涉及 WhatsApp?

同样搜索该文件，导出后使用SQL语句查询，即可得到为7条

第五十九题

根据 Photos.sqlite 数据库中, 下列哪个选项对 IMG_0008.HEIC 的描述是错的?

搜索之后打开，并直接查找该图片

首先获取到其Z_PK值，然后再去其他表查看其他属性

首先没有使用第三方应用拍摄，而且使用后置镜头拍摄

感光度为160

存在经纬度

应该选 ADE ，但是官方答案是ABCD，不懂

第六十题

根据 sms.db 的资料, 全局唯一标识符(GUID) DD31C26F-1D72-DE0F-431E-EF98F104402D 显示的信息是什么?

不知道我问什么直接搜不到这个文件，存疑

答案 ：你的Uber验证码为7476.请勿分享此验证码.

第六十一题

根据 com.burbn.instagram.plist 及 com.facebook.Facebook.plist 手机安装了实时通讯软件 Facebook 及 Instagram 的那个版本?

A. Instagram (Version 278.0.0.19.115)

B. Facebook (Version 410.0.0.41.116)

C. Instagram (Version 279.0.0.23.112)

D. Facebook (Version 410.0.0.26.115)

E. Instagram (Version 278.0.0.25.115)

F. Facebook (Version 410.0.0.57.116)

直接搜索这两个文件，就可以看到版本

即 A B

第六十二题

据 ChatStorage.sqlite, 用户数据 Peter Chow (85262012141)在什么日期和时间(以UTC +8时区)曾经通过实时通讯软件送出一个信息(内容为: I am already home)?

发现时间，然后我们使用时间戳转换后再将其转换为UTC+8即可

即 2023-04-01_11:21:51

第六十三题

根据影片 IMG_0687.MOV 的原数据, 找出影片拍摄时间

暂时没找到

答案 ：2023-06-06_18:11:29

第六十四题

根据 CallHistory.storedata, 哪份表格显示了通话记录?

A. ZCALLBPROPERTIES

B. ZCALLRECORD

C. Z_2REMOTEPARTICIPANTHANDLES

D. Z_METADATA

E. Z_MODELCACHE

F. Z_PRIMARYKEY

即 B

第六十五题

根据 com.apple.sharingd.plist, 这部手机的隔空投送的身份标识号(AirDrop ID)是什么?

即 2abcd0940fbdc

第六十六题

根据 Accounts3.sqlite, 这部手机的苹果使用者账号 (Apple ID)是什么?

直接查找该文件，然后

即 foratcd2023@gmail.com

理论题(运维, 组网, Linux 基础)

第六十七题

哪一行代码的是负责更新在 GitHub 使用中的 .journal 文件的更新历史记录?

line 1 git config --global user.name "mikesezto"
line 2 git config --global user.email "smike@general.org"
line 3
line 4 cd which-truth
line 5 rm .journal
line 6
line 7 git add .journal
line 8 git commit -m "Remove sensitive data"
line 9 git push
line 10
line 11 git clone --mirror http://github.com/smike/which-truth
line 12
line 13 java -jar bfg.jar --delete-files .journal which-truth
line 14 cd which-truth
line 15 git reflog expire --expire=now --all
line 16 git gc --prune=now --aggressive
line 17 git push --force

A. 08

B. 13

C. 16

D. 17

commit 可以确认更改.，同时在 .git 目录中生成文件版本更新记录

故 A

第六十八题

下列哪一行 AWS S3 Bucket 授权策略中的设置有问题?

line 1 {
line 2   "Version": "2020-11-12", 
line 3   "Statement": [
line 4       {
line 5         "Sid": "PublicReadGetObject", 
line 6         "Effect": "Allow", 
line 7         "Principal": "*", 
line 8         "Action": "s3:GetObject", 
line 9         "Resource": "arn:aws:s3:::company-sensitive-14dnid23nfief/*"
line 10     }
line 11   ]
line 12 }

A. 2

B. 7

C. 8

D. 9

权限设置为公开，是不对的，故 B

文章：https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-bucket-user-policy-specifying-principal-intro.html

第六十九题

以下哪项是多重身份验证(MFA)的示例

A. PIN 码和软件令牌

B. 指纹和视网膜扫描

C. 用户名和密码

D. 一次性短信代码和硬件令牌

MFA需要两种不同的独立验证方式，故为A

第七十题

AWS 用家在户口网络进行设定, 而这些设定会记录用户或第三者的活动. 第 11 行代码中的设定可以找到哪些用户或第三者的活动信息?

这道题的中文描述更是抽象. 按照英文 “An AWS user is setting up his AWS account. Those setting will record the activities of the user or third party. What user or third party information could be found in line 11 of code in the script?” 可以翻译为 “一位 AWS 用户正在设定他的账户. 在脚本的第 11 行代码中, 可以找到哪些用户或第三方的信息?”.

第七十一题

AWS 用户设置了一个 VPC, IP 地址范围为 10.0.0.0-10.0.0.24. 下列哪个 IP 地址用于 DNS?

A. 10.0.0.0

B. 10.0.0.1

C. 10.0.0.2

D. 10.0.0.3

参考 https://repost.aws/zh-Hans/knowledge-center/vpc-enable-private-hosted-zone.

第七十二题

以下哪种类型的云服务用于操作系统和网络?

A. 软件即服务

B. 平台即服务

C. 基础架构即服务

D. 数据即服务

参考 https://aws.amazon.com/cn/what-is/iaas/.

答案 ：C ，看得懂就看吧

第七十三题

以下哪项是 Bastionhost 的特点?

A. 包含敏感信息

B. 无法访问内部系统

C. 限制暴露的服务

D. 没有连接到互联网

堡垒机，是外部网络与内部网络连接的接口，即限制内网的暴露的服务

第七十四题

在 Linux 系统中, 哪个命令可以用于创建文件系统?

A. mount /dev/sda3 /mnt/usb

B. mkfs-ext4 /dev/sda2

C. mkfs-ext3 /sys/sda1

D. pvcreate /dev/sda

E. genfstab -U -p /mnt

mout是挂载磁盘的，mkfs是管理磁盘的一个工具。pvcreate 创建物理卷，genfstab 生成一个包含文件系统信息的配置文件。没有ext3文件系统，故 B

第七十五题

Link 实际上是指向 Linux 系统中另一个文件或文件夹的指标. 以下哪个命令可以产生下面的结果:

ls -ilas
|total 0
|9731253 0 drwxr-xr-x 1 user users 4096 Jul 14 13:31 .
|1725961 0 drwxr-xr-x 1 user users 4096 Jul 14 13:29 ..
|90371467 0 -rw-r--r-- 2 user users 90 Jul 14 13:30 testing.txt
|90371467 0 -rw-r--r-- 2 user users 90 Jul 14 13:30 shotcut-testing.txt

A. link -s testing.txt shotcut-testing.txt

B. ln -s shotcut.txt testing.txt

C. ln testing.txt shotcut-testing.txt

D. ln -s testing.txt shotcut-testing.txt

E. ln shotcut.txt testing.txt

第七十六题

以下哪个命令用于在 Linux 系统中创建分区?

A. gdisk /dev/sde

B. mke2fs /dev/sdb1 -t ext4

C. mount /dev/sdc1 /mnt/fs_home

D. fdisk -lu

E. lvcreate -l +200 /dev/vg00/log/vol-00

第七十七题

一个系统管理员要扩展运行在 LVM 系统中的服务器存储. 以下哪个命令可以用于扩展 LVM 中的逻辑卷?

A. lvdisplay /dev/vg02/vol-01

B. lvcreate -n /dev/vg02 -l 200

C. lvextend -n /dev/vg02 -l +200

D. lvscan -l +200 /dev/vg02/vol-01

E. lvresize -l +200 /dev/vg02/vol-01

在Linux LVM(Logical Volume Manager)系统中, 扩展逻辑卷的命令是？

第七十八题

一个系统管理员编写了一个 bash 代码来构建一个 RAID 系统, 如下所示, 将要实现什么类型的 RAID?

#!/bin/bash
hd1=/dev/sda1
hd2=/dev/sdb1
hd3=/dev/sdc1
hd4=/dev/sdd1
mdadm --build /dev/md1 --level=1 --raid-devices=2 $hd1 $hd2
mdadm --build /dev/md2 --level=1 --raid-devices=2 $hd3 $hd4
mdadm --build /dev/md3 --level=0 --raid-devices=2 /dev/md2 /dev/md1

A. RAID 0

B. RAID 1

C. RAID 1+0

D. RAID 0+1

E. 这个代码不起作用

第七十九题

以下是运行在 Linux 服务器中的服务清单. 以下哪个命令可以关闭 bluetooth.service 服务?

|● vm-production-xabonline.com
| State: running
| Jobs: 0 queued
| Failed: 0 units
| Since: Fri 2023-05-19 08:37:06 UTC; 2 months 11 days ago
| CGroup:
| ├─init.scope
| │ └─ 1 /sbin/init
| ├─system.slice
| │ ├─bluetooth.service
| │ │ └─ 737 /usr/lib/bluetooth/bluetoothd
| │ ├─dbus.service
| │ ├─docker.service
| │ │ └─ 853 /usr/bin/dockerd -H fd://
| │ ├─libvirtd.service
| │ │ └─ 2975 /usr/bin/libvirtd --timeout 120
| │ ├─polkit.service
| │ └─virtlogd.service
| │ └─ 3176 /usr/bin/virtlogd
| └─user.slice
| └─user-1000.slice

A. systemctl kill bluetooth.service

B. systemctl disable bluetooth.service

C. systemctl down bluetooth.service

D. systemctl stop bluetooth.service

E. systemctl rm bluetooth.service

Linux基本命令就不多说了，B

第八十题

cron 服务在 Linux 系统中充当作业调度程序. 它实际上是在 cron 表(crontab)中指定的命令行列表. 现在准备启动和关闭一个 Web 服务器(httpd.service), 上午 8 时 30 分(启动) – 下午 6 时 06 分(关闭);周一至周五. 以下哪个 crontab 设置适用于这种情况?

A. 30 8 * 1-5 * /usr/bin/systemctl start httpd.service 及 06 18 * 1-5 * /usr/bin/systemctl stop httpd.service

B. 30 8 * * 1-5 /usr/bin/systemctl start httpd.service 及 06 18 * * 1-5 /usr/bin/systemctl stop httpd.service

C. 30 8 1-5 * */usr/bin/systemctl start httpd.service 及 06 18 1-5 * */usr/bin/systemctl stop httpd.service

D. 30 8 * * * /usr/bin/systemctl start httpd.service 及 06 18 * * * /usr/bin/systemctl stop httpd.service

E. 以上都不是

5 个 * 分别代表分钟, 小时, 日, 月, 周，故 B

第八十一题

以下哪个 Linux 命令可以显示目录中的所有文件, 包括隐藏文件?

A. ls -ls

B. ls -asl

C. ls -lAs | wc

D. ls -als | grep ssh

E. None

Linux基本命令，B

第八十二题

如果您想要检查 Linux 系统上可用的剩余磁盘空间量, 您会使用以下哪个命令?

A. df -vh

B. df -sh

C. dl -vh

D. dd -sh

E. dt -vh

同样基本命令 A

第八十三题

Dockerfile 是一个文本文档, 用于在 Docker 架构中生成以下哪个组件?

A. docker engine

B. image

C. container

D. volumes

E. docker network

常识，Dockerfile可以生成镜像，然后运行

第八十四题

在 Linux 系统中, 运行中程序的进程并位于内存区域, 可以通过检查文件 /proc/[pid]/maps 来显示这些内存区域. 以下哪个不是 Linux 系统中的内存区?

A. [heap]

B. [stack]

C. [paging]

D. [vvar]

E. [vdso]

故 C

第八十五题

以下命令中, 哪个命令可以对 export-logs 输出进行排序?

A. export-logs<sort

B. export-logs>sort

C. export-logs&sort

D. export-logs|sort

E. export-logs<>sort

其实就是Linux管道符，不多说，D

第八十六题

哪些文件会影响 Linux 主机的名称解析功能?

A. /etc/resolv.conf

B. /etc/hosts

C. /etc/default/names

D. /etc/nsswitch.conf

E. /etc/inet/hosts

故 A B D

第八十七题

哪个系统文件包含了一般的端口、关联的服务和协议?

A. /etc/services

B. /etc/sysconfig/network-scripts

C. /etc/services.conf

D. /etc/inet/hosts

E. Noneofthechoices

/etc/services 包含了一般的端口、关联的服务和协议信息，故 A

第八十八题

\Users\qqqqq\Downloads, 视频文件(mixkit-two-women-laying-together-925-medium.mp4), 在 MFT 中分成多少个 Data Cluster 储存?

第八十九题

Users\qqqqq\Downloads\mixkit-two-woman-laying-together-925-medium.mp4 的 last Access 时间是多少?

A. 2023/07/10 18:31:32

B. 2023/07/10 18:31:01

C. 2023/07/10 19:31:22

D. 2023/07/11 19:31:22

第九十题

\Users\Allen\Desktop 有 1 个 MP3 文件, 用户使用什么程序打开该 MP3 文件?

仿真后直接查看，答案：potplayer

第九十一题

\Users\Allen\Desktop有 1 个 MP3 文件, 该文件的 Zone Identiflier 为 3. 上述 3 字代表哪一个 security Zone?

A. Local Machine Zone

B. Internet Zone

C. Restricted Zone

D. Trust Site Zone

Zone Identifier 用于指示文件或数据的安全区域，参考：

故 B

第九十二题

\Users\Allen\Desktop 有 1 个 MP3 文件, 该文件从哪个网站下载?

在Chrome的缓存中，故 A

第九十三题

\Users\Allen\Downloads 内有 mp3 文件 miracle.mp3, 更改名称时间?

A. 2023-07-13 02:55:20

B. 2023-07-15 10:55:20

C. 2023-07-12 10:58:04

D. 2023-07-13 10:55:20

查看NTFS文件系统日志

故 B

第九十四题

\Users\Allen\Downloads 内有 mp3 文件 miracle.mp3, mp3 文件更改名称前的名称是什么?

见上题.，故 a-small-miracle-132333.mp3

第九十五题

有多少个文件曾被 potplayer 播放?

A. 7

B. 8

C. 9

D. 10

桌面上放着 8 个媒体文件.

以及在 recent 里有这 8 个文件的记录，推断为 8 个

第九十六题

potplayer 最后播放的文件名?

仿真直接查看 Potplayer

故 unlock-me-149058.mp3

理论题(内存取证, 数据库)

第九十七题

第九十八题

A:

SELECT c.customer_name,  c.destination,  datetime(d.arrival_timestamp_HK,  'unixepoch',  'localtime') AS arrival_time_hk
FROM cus c
INNER JOIN date d ON c.destination = d.Destination
WHERE c.destination = 'Moscow'

B:

SELECT cus.customer_name,  cus.destination,  datetime(date.arrival_timestamp_HK,  'unixepoch',  'localtime') AS arrival_time_hk
FROM cus
INNER JOIN date ON customer_id = date.id
WHERE cus.destination = 'Moscow' AND date.Destination = 'Moscow' AND date.arrival_timestamp_HK IS NOT NULL AND datetime(date.arrival_timestamp_HK,  'unixepoch',  'localtime')

两表连接时 customer_id 不对, 应是 cus.customer_id.

C:

SELECT cus.customer_name,  cus.destination,  date.arrival_timestamp
FROM cus
INNER JOIN date ON cus.destination = date.destination；
WHERE cus.destination = 'Moscow' AND date.Destination = 'Moscow'

没有转换时间戳.

D:

SELECT cus.customer_name,  cus.destination,  datetime(date.arrival_timestamp_HK,  'unixepoch',  'localtime') AS arrival_time_hk
FROM cus
INNER JOIN date ON cus.destination = date.Destination
WHERE cus.destination = 'Moscow' AND date.Destination = 'Moscow' AND date.arrival_timestamp_HK IS NOT NULL AND datetime(date.arrival_timestamp_HK,  'unixepoch',  'localtime')

A 与 D 的区别是, D 加了一个 date.arrival_timestamp_HK IS NOT NULL, 我个人感觉 A 和 D 都符合题意，官方答案为 A

第九十九题

写一个 Powershell 的脚本以提取正在连接到 Windows 11 计算机的可移动设备的记录. 就每一个装置记录, 提取相关的数据如装置名称、制造商、装置详情、硬件编号. 及后用 Write-Host 指令题示数据

$removableDevices = Get-PnpDevice | Where-Object { $_.Class -eq "DiskDrive" }

foreach ($device in $removableDevices) {
    $deviceDetails = Get-PnpDeviceProperty -InstanceId $device.InstanceId
    $deviceName = $device.Name
    $manufacturer = ($deviceDetails | Where-Object { $_.Key -eq "DEVPKEY_Device_Manufacturer" }).Data
    $description = ($deviceDetails | Where-Object { $_.Key -eq "DEVPKEY_Device_DeviceDesc" }).Data
    $hardwareId = ($deviceDetails | Where-Object { $_.Key -eq "DEVPKEY_Device_HardwareIds" }).Data

    Write-Host "Device Name: $deviceName"
    Write-Host "Manufacturer: $manufacturer"
    Write-Host "Description: $description"
    Write-Host "Hardware ID: $hardwareId"
    Write-Host "-----------------------------"
}

这种题还是借助AI吧，弄不懂

第一百题

以下 PowerShell 脚本用于从 Windows Server 2012 R2 获取具有管理员权限的所有使用者活动.

Get-WinEvent -FilterHashtable @{
LogName = 'Security'
ID = 4688
Level = 0
} | Where-Object { +B86
$_.Properties[?].Value -match 'S-1-5-21-\d+-500'
} | Select-Object -Property TimeCreated, Message

题目说”第 9 个属性与内建的 Administrator 账户的安全标识符(SID:S-1-5-21–500)匹配”, 第 9 个属性的的下标就是 8，故 8