题目

1.计算机曾经时间是错误的，后经过自动同步调整为了正确的时间。请问该同步的时间为                      （北京时间，格式为yyyyMMddhhmm例如202004250800）

2.计算机系统安装时间为                      （北京时间，格式为yyyyMMddhhmm例如202004250800）

3.用户xiaohu的开机密码为              

4.计算机从曾连接过多个优盘，最早连接的优盘序列号为           

5.请在优盘镜像中找出用户xiaohu壁纸图片（不考虑分辨率是否一致），该图片在优盘中的起始地址为               （字节）

6.优盘中有个文件拷贝自计算机，拷贝该文件的用户的用户名为              （字母全部小写）

7.优盘中存在数据库资料，请找出该资料并确定会员信息表(member)中会员姓名为”李敬雅”的身份证号码为                                 

8. 现场取证人员已对一台正处于开机运行状态的Windows系统进行物理内存转储（镜像）并将其压缩为WinMemory.zip，请先解压后再进行分析。该系统可能被勒索病毒感染，通过KDBG扫描检测该系统的Build版本号，版本号为______(如17763），并使用Volatility Framework 2.6.1版本对疑似进程remsh.exe(PID:9932)进行程序代码转储，导出该程序代码dmp文件，计算其MD5哈希值（字母全部大写）                                               

镜像资源

1.Computer.L01

2.Thumb drive.E01

3.WinDump.mem

链接：https://pan.baidu.com/s/1rfziy-jydG9kNBptPZODDg 提取码：qecj