Avancerade IT-Forensiska Verktyg I



Relevanta dokument
A V A N C E R A D E F O R E N S I S K A V E R K T Y G DT Kontakt: Mattias Weckstén Telefon: 7396

Filsystem. Varför? Hur? För att kunna lagra data mer permanent än i RAM. Vettig organisation Vettiga namn

LITEN LATHUND TILL ALUMNDATABASEN

1284_omslag.qxd :13 Sida 1 ECDL START OFFICE 2003 Allmän IT Windows XP Word 2003 Outlook 2003

Tentamen TEN1 HI

Lära känna skrivbordet

Flexibel meny i Studentportalen

Handbok Kfloppy diskettformaterare

Lumbago - Förord. Välkommen till Journalprogrammet Lumbago.

Software Translator 6.1 Manual

Framsteg med resultatrapportering

19. Skriva ut statistik

Elisabeth Bejefalk IT-Assistent Avesta kommun

Användarmanual Pagero Connect 2.0

En handledning för studerande på Högskolan Kristianstad

Här kan du välja befintligt upplägg eller skapa ett nytt. Klicka på edit uppe till höger för att redigera och/eller skapat nytt.

FÖR DATORER. Historiskt arkiv. Användarguide. För Österbottens Tidning

7 Mamut Client Manager

Manual till 3C för CPUP

ORDNA DINA BILDER. Var finns bilderna Var bör de finnas

Handbok för provledare

Vad tycker du om sfi?

Låt eleverna öva på att dra slutsatser om textens handling genom att leta ledtrådar i texten.

Manual till 3C för CPUP

ADAD-net. Användarmanual INDIVIDEN. Råbe och Kobberstad Februari 2010

Kommunal vuxenutbildning: elever, kursdeltagare och utbildningsresultat, första halvåret 2016.

PLATINA 1(23) Platina, för nya nämndsekreterare

IBM SmartCloud for Social Business. IBM SmartCloud Engage och IBM SmartCloud Connections Användarhandbok

LOTS ANSÖKAN TÄVLINGSTILLSTÅND

Föreläsning 3.1: Datastrukturer, en översikt

Manual Invånaradministratör

För att skriva CSS-kod använder man sig av olika kommandon. Ett exempel på hur man kan skriva kod för att ändra textfärg kan vara:

CSN-rapportering, gymnasiet

Steg 4 b. Molntjänster Onedrive Office 365 Windows 10. Mars -16 Liljedalsdata.se. Liljedalsdata Molntjänster En del av steg 4 Sida 1

Google Apps For Education

Assessios webb-baserade testsystem

Instruktion för fotohantering i. TakeCare. och TakeCare-Picsara. för case-användare

Referens till. WeavePoint 6 Mini

talets Piteå. En CD-skiva utgiven till Carina Bäckströms minne

DIG IN TO Dator och nätverksteknik

B = Bokad tid. T = Tillfälligt bokad tid. L = Ledig tid. X = Spärrad tid

Lagadministration Linda Emterby

Användarmanual för Hemsida

Clicker 5. Lathund kring de vanligaste och mest grundläggande funktionerna för att komma igång med Clicker. Habilitering & Hjälpmedel

ANVÄNDARMANUAL. handdatorer i ängs- och betesmarksinventeringen. för

Lathund för webbredaktörer. Så skriver du på webben

ANVÄNDARMANUAL. handdatorer i ängs- och betesmarksinventeringen. för

STADSBYGGNADSFÖRVALTNINGEN. Aktivitetsstöd. Behörigheten Föreningsadministratör. Datum: Version 2. Sidan 1 (30)

D A T A U T V I N N I N G F R Å N D I G I T A L A L A G R I N G S M E D I A K U N S K A P S P R O V DT

KOMMUNALT AKTIVITETSMEDLEMSBIDRAG

Rekonditionering Memoplanner 1.0/2.0

ÅGIT PRESENTERAR FILR SMIDIG OCH SÄKER FILÅTKOMST OCH DELNING

En guide till FirstClass

Användarmanual för nya funktioner

Instruktion sfi elever

Att genomföra ett e-postutskick till klubbens medlemmar

2. Komma igång Skapa grupper och elever Skriv också ut sidan 13 så att eleverna har en snabbguide till programmet.

Färgklövern. Färgklövern är gjord 1998 i samarbete mellan Datateket i Linköping och Hargdata AB i Linköping.

Laboration 3. Du har just brutit mot din egen policy. Vad måste du nu göra?

Årsskiftesrutiner i HogiaLön Plus SQL

Ansökningsformulärets frågor för ansökan om stöd i form av studiestödsberättigande för konst- och kulturutbildning 2016

KARMATIC PROFILER 2000 Manual

Handicom. Symbol for Windows. Blisseditor. Version 3.4

Marie Andersson, IKT-centrum E-post: (Bb Learn 9.1.8) Wikis i Blackboard

Laboration 3 MEN ---- STOPP! GÖR INTE DET

2. Markera område (se instruktioner längt ner på sidan) och markera Fastighetskartan och Laserdata till höger (se bild). Tryck på Ready.

Artiklar via UB:s sö ktja nst

ROVBASE. Manual Registrera observation. Version

Grundläggande programmering med C# 7,5 högskolepoäng

Manual för version V2

Kontakt: Mikael Forsman Användarmanual för VIDAR 4.0

Acrobat version Du behöver ha Acrobat Pro installerat på din dator för att signera planer i Atlas. Däri finns funktion för certifiering/signering.

Handledning för uppsatsadministratörer

Lathund Spåra ändringar

TDP Regler

SCHOLA COMAI ELEV WEBBKALENDER / SCHEMA VERSION 1.1. [Skriv text]

Routerinställning. Denna guide tar dig genom de enkla steg som behövs för att ställa in routern så den fungerar trådlöst.

Novell Filr 1.2 skrivbordsprogram för Mac snabbstart

Tentamen i Matematisk statistik Kurskod S0001M

ALEPH ver. 16 Sökning

Mikromarc 2 Meddelandecenter

Inledning. Att bli medlem

Komma igång med Eventor

Läs detta innan du fortsätter, eller skriv ut det, klicka runt lite och läs samtidigt.

Att komma igång med FirstClass (FC)!

Uppgift (poäng) 1 (2) 2 (3) 3 (4) 4 (4) 5 (3) 6 (4) 7 (6) 8 (6) 9 (8) Summa

GAFE Google Apps For Education. Vt 16 Guldkroksskolan Annika Andréasson

INSTALLATION AV VITEC MÄKLARSYSTEM. Studentversion

Gesäll provet Internetprogrammering I. Författare: Henrik Fridström. Personnummer: Skola: DSV

QlikView - Lathund för Flödesmodellen bas

Startsida. Högskolan Dalarna

LifeCareMobil Enköping Hemtjänst

Docker i Windows 8.1 med Hyper-V

BEHANDLINGSMÅL OCH PRIORITERINGAR

Datum: Version 1.6. Sidan 1 (43)

[MANUAL TILL LUVITS GRUNDFUNKTIONER]

Handledning. Biträdessidan. Handledning till Biträdessidan, 2013 version 1.0 :

Instruktion för att slutföra registreringen

INSTRUKTION Specifikation E modul.doc

ANVISNINGAR. Sjundeå e-postsystem. Del 1: inställningar. Version 1.0

Transkript:

Avancerade IT-Forensiska Verktyg I 16:e mars 2011 1400-1800 IDE, Högskolan i Halmstad Kontaktperson: Mattias Weckstén, ankn. 7396 Betyg: Del 1, 75% => 3 Del 2, 75% => 4 Del 3, G => 5 För betyg 4 krävs även godkänt för betyg 3, för betyg 5 både 3 och 4. Max: Del 1 = 50 p Del 2 = ~30 p Del 3 = G Hjälpmedel: Blyertspenna och radergummi. Viktigt! Läs noga instruktionerna på nästa sida innan du börjar!

INSTRUKTIONER Val markeras med kryss i vald ruta, från hörn till hörn. Felaktig markering suddas ut. Siffror i personnummer och siffersvar kodas på följande vis: Observera: Anteckna svaren i provhäftet. När du är klar för du över svaren till svarsformulären. Samtliga svarsformulär ska lämnas in. Provhäftet behålls eller kastas. Skriv och koda personnummer på varje blad. Även tomma blad. Glöm inte att koda siffersvar. Tomma rutor i siffersvar fylls ut med nollor. Exempel på ifyllda svarsformulär finns hos tentavakten om något är oklart. Ansvarig för tentamen besöker tentasalen ca 1 timma in i skrivningen. Lycka till!

Del 1 Varje rätt svar ger 1 p. Om flera av svarsalternativen är korrekta ska du välja det som är mest korrekt. 1. Hur många entries kan man ha i rootfoldern i FAT32? A. Det finns ingen begränsning. B. 2048 C. 512 D. 4096 2. En byte består av bitar. A. 2 B. 4 C. 8 D. 16 3. Vart hittar man en dators swapfil? A. pagefile.sys B. swapfile.sys C. hiberfil.sys D. Inte som en fil i filsystemet. 4. Kan man skapa en forensiskt sett korrekt boot-disk genom att formatera en diskett i Windows? A. Ja, utan vidare. B. Ja, om man tar bort COMMAND.COM, IO.SYS och DRVSPACE.BIN. C. Ja, om man ändrar i COMMAND.COM, IO.SYS och DRVSPACE.BIN. D. Nej. 5. Kan man i EnCase söka i en zip-fils interna struktur (ex. i de zippade filerna)? A. Ja, men endast om zip-filen inte är lösenordsskyddad. B. Ja, men endast om zip-filen är mountad. C. Ja, om både A och B gäller. D. Nej. 6. När du skapar ett nytt case så ska du ange en "Index Folder". Vad är dess syfte? A. Indexera rapporten. B. Organisera bevisfiler. C. Lagra temporära filer. D. Snabba upp sökningar. 7. Vart kan man se en fils fysiska position? A. GPS B. DVF C. Man måste genomföra en positionssökning. D. Det finns inget stöd för detta i EnCase.

8. Namnet på en cookie har formatet x@y.txt. Vad är x? A. Domännamnet. B. Användarnamnet. C. Datornamnet. D. Filnamnet. 9. Vilken algoritm är mest resurskrävande? A. CRC C. De är lika resurskrävande. B. MD5 D. Det går inte att jämföra. 10. Kommer en.jpg-fil som döpts om till.txt visas i table-pane under gallery-view? A. Nej. B. Ja, efter signaturanalys. C. Ja, efter hashgenerering. D. Ja, utan vidare. 11. Du har monterat en disk från EnCase. När du tittar på diskens innehåll i utforskaren ser du en fil med oallokerade kluster och du ser även filer som varit raderade. Vilken metod användes för att montera? A. VFS B. PDE C. VFS eller PDE, går ej att särskilja D. Varken VFS eller PDE, de har inte de beskrivna funktionerna. 12. Vad kan leda till problem för att kunna återskapa raderade filer? A. Fragmentering. B. Överskrivning. C. A+B. D. Varken A eller B. 13. Du utvinner en bevsfil från en hel hårddisk X. Vilket påstående är korrekt? A. MD5-hashen för bevisfilen och datat på disken X C. A + B är samma. B. MD5-hashen i bevisfilen och datat på disken X är D. Varken A eller B. samma. 14. Vad är skillnaden mellan write block och write protect? A. Write block är fail silent. B. Write protect är fail silent. C. Det är ingen skillnad. D. De är inte relaterade. 15. För att stänga av ett Linux-system kan du ibland behöva tillgång till vilket konto? A. sysadmin B. root C. admin D. system

16. Vad av följande lagras inte i headern på en bevisfil skad under EnCase 6? A. Vilket OS som användes. B. Version av EnCase. C. Tid och datum för utvinningen. D. Vilka andra program som körde under utvinningen. 17. Hur många filallokeringstabeller finns i FAT32? A. 1 B. 2 C. 32 D. Det kan variera. 18. Hur många primära partitioner finns maximalt i MBR? A. 1 B. 2 C. 4 D. 6 19. Hur stänger man vid live-respons av en hemdator med Windows Vista? A. Kapa strömmen. B. Shutdown från startmenyn. C. A eller B. D. Varken A eller B. 20. När en fil öppnas i Windows skapas en länk i vilken folder? A. Temp B. History C. Recent D. Shortcut 21. Datorers talsystem som består av siffrorna 0 och 1 benämns: A. ASCII B. FAT C. Binärt D. Hexadecimalt 22. Du vill visa alla element i din avbild. Vad gör du? A. Markerar set-include för avbilden. B. Markerar blue-check för avbilden. C. Klickar på avbilden. D. Markerar dixon-boxen. 23. Vad är sant för CRC hos två filer? A. Lika CRC = olika filer. B. Olika CRC = olika filer. C. Lika CRC = lika filer. D. Olika CRC = lika filer.

24. Vad anger den blå triangeln? A. Att samtliga filer är markerade. B. Att vi jobbar med en fysisk enhet. C. Att vi jobbar med en avbild. D. Att samtliga items (filer, foldrar etc.) är markerade. 25. Vad påverkas av block size vid utvinning? A. Tiden för att slutföra utvinningen. B. Den övre gränsen för error granularity. C. A och B. D. Varken A eller B. 26. En fil ockuperar tre kluster på en hårddisk. Klustren är fyra sektorer långa och sektorerna är av standardstorlek. Hur stor är filens fysiska storlek? A. ca 3 kb B. ca 6 kb C. ca 12 kb D. Det går inte att avgöra. 27. Tillåter EnCase att användaren skriver data till ev inhämtad bevis-fil? A. Ja, för att lägga till noteringar och kommentarer. C. Både A och B. B. Ja, för att lägga till sökresultat. D. Nej, data kan inte läggas till bevisfilen efter slutförd inhämtning. 28. Vad är korrekt för GREP? A. GREP matchar endast data. B. GREP matchar endast mönster. C. GREP matchar mönster och data. D. Ingen av alternativen. 29. Vad krävs av en hårddisk innan du lagrar avbilder på den? A. En formatering. B. En wipe. C. En NTFS-partition. D. En FAT32-partition. 30. Får man samma resultat om man tittar på registry-filerna i EnCase som om man göra en registry-dump i ett körande system? A. Ja, alltid. B. Ja, men endast om man stänger av systemet med hjälp av "Start->Shutdown" innan man gör diskutvinning. C. Ja, men endast om man stänger av systemet genom att dra ur strömkabeln innan man gör diskutvinning. D. Nej.

31. Vad händer med filerna i EnCase temp-folder? Antag att vi har ett case öppet. A. När caset stängs tas filerna bort. B. När programmet avslutas tas filerna bort. C. Om programmet crashar tas filerna bort. D. Varke A, B eller C. 32. Om man kodar 8-bitars ASCII som 7-bitars ASCII så använder du följande algoritm: A. PGP B. ROT-13 C. BASE-64 D. Ingen av alternativen. 33. Data du väljer i en panel visas mer detaljerat i nästa osv. Vilken beskrivning är korrekt? A. Data från Filter-pane visas i View-pane, där vald data i sin tur visas i Table-pane. B. Data från Tree-pane visas i Filter-pane, där vald data i sin tur visas i View-pane. C. Data från Tree-pane visas i Table-pane, där vald data i sin tur visas i View-pane. D. Data från View-pane visas i Table-pane, där vald data i sin tur visas i Tree-pane. 34. När är det lämpligt att göra en indexering av caset? A. Då vi saknar exakt tidpunkt för utvinningen. B. Då vi kommer att behöva göra upprepade sökningar. C. Då vi kommer att behöva göra väldigt få men exakta sökningar. D. Då vi kommer att behöva göra sökningar i kapslade filer med intern struktur (ex. zip). 35. Vilken vy påverkas av en text style? A. Hex-view. B. Text-view. C. A och B. D. Varken A eller B. 36. Vad innebär en fils physical location? A. Antalet sektorer från enhetens början till filens början. B. Antalet byte från enhetens början till filens slut. C. Antalet sektorer från enhetens början till filens slut. D. Antalet byte från enhetens början till filens början. 37. Vart hittar man spår efter web-mail som tex. Hotmail och Gmail? A. Temporary Internet Files. B. Pagefile.sys. C. Både A och B. D. Varken A eller B. 38. Om du tömmer papperskorgen och därefter raderar filen D:\Filer\PC.doc genom att lägga den i papperskorgen så har den internt i papperskorgen följande namn: A. DC1.doc B. PD1.doc C. PC1.doc D. DD1.doc

39. Om man kodar C:\Program Files till P:\Cebtenz Svyrf så använder du följande algoritm: A. ROT-13 B. Ingen av alternativen. C. BASE-64 D. PGP 40. Vart lagras filernas tidsstämplar? A. I folder-tabellen. B. I datum-tabellen. C. I fil-tabellen. D. I FAT. 41. Den minsta datamängd du kan skriva till en hårddisk är. Den minsta datamängd en fil kan skrivas till är. A. En bit / en byte. B. En sektor/ ett kluster. C. En volym/ en disk. D. En partition/ en MFT. 42. Vad hittar du på en hårddisks Cylinder 0, Huvud 0, Sektor 1? A. MBR B. MFT C. VBR D. VBS 43. Vad kallas den första sektorn på en volym? A. FAT B. VBR C. MBR D. VBD 44. Vad skiljer mellan USB 1.1 och USB 2? A. Kontakten. B. Spänningsnivåerna. C. Överföringshastigheten. D. A+B+C 45. Vad åstadkommer RAID 0? A. Ökad läs och skrivprestanda. B. Ökad läsprestanda. C. Ökad redundans och läsprestanda. D. Ökad redundans. 46. FAT organiserar och folderposten håller ordning på. A. Filnamn/ storlek. B. Filernas startkluster/ slutkluster. C. Filernas slutkluster/ startkluster. D. Filstorlek/ fragmentering.

47. En fils logiska storlek visas som: A. Antalet sektorer som den logiska filen ockuperar. B. Antalet kluster som den logiska filen ockuperar. C. Antalet byte som den logiska filen ockuperar. D. Antalet bitar som den logiska filen ockuperar. 48. En fils fysiska storlek är: A. Alltid större än den logiska storleken. B. Antalet byte i den logiska filen plus antalet byte slack från filens slut till klustrets slut. C. A+B D. Varken A eller B. 49. Hur återskapar EnCase en raderad fil? A. Den läser filens namn från FAT och identifierar filen utifrån dess startkluster och logiska storlek. B. Den läser filens namn från folderposten och letar reda på motsvarande filnamn i det oallokerade utrymmet. C. Den identifierar filen genom att hämta filens startkluster och storlek från folderposten. D. Den identifierar filen genom att hämta filens startkluster och storlek från FAT. 50. Ur forensisk synvinkel, varför är det lämpligt att köra wipe på en hårddisk innan du använder den i ett fall? A. Beviskedjan. B. Korskontaminering. C. För att kunna använda olika filsystem. D. Det finns inget behov av att köra en wipe.

Del 2 Om inget annat anges ger varje rätt svar 1 p. Bilden visar en fil, bestående av fält organiserade på sedvanligt vis. De svarta fälten är skriven data tillhörande filen. Matcha A,B och C med korrekt alternativ. 1. Fil-slack 2. Sektor-slack 3. Kluster

2. Här är en schematisk översikt av EnCase layout. Matcha fälten A-D. 1. Tree-pane 2. View-pane 3. Filter-pane 4. Table-pane 3. Ordna följande från första till sista moment vid en respons. Låt första steget vara A och sista D. 1. "Bag and tag" 2. Stäng ner systemet 3. Utvinn volatila data 4. Fotografera 4. Hur lagras det hexadecimala talet 0xDE 0xAD 0xBE 0xEF i minnet som little endian? Sätt endast ett kryss i rätt ruta (2p) A. 0xEF 0xBE 0xAD0 xde B. 0xDE 0xAD 0xBE 0xEF C. 0xAD 0xDE 0xEF 0xBE D. 0xBE 0xEF0 xde 0xAD 5. Hur många filer kan följande grep uttryck matcha maximalt? Ange svaret med tre siffror, inled med nollor om det behövs. (4p) FILNAMN_[1-47]

6. Här är en schematisk översikt av EnCase layout. Aktivitet i de olika fälten påverkar de andra fälten. Markera alla korrekta beroenden. Tex. om aktivitet i fält 1 kan påverka fält 2 så markerar du alternativet 1-2. Fel svar ger -2p. Minsta poäng på uppgiften: 0p. A. 1-2 G. 3-1 B. 1-3 H. 3-2 C. 1-4 I. 3-4 D. 2-1 J. 4-1 E. 2-3 K. 4-2 F. 2-4 L. 4-3 7. Här ser du en schematisk bild av MBR. Matcha komponenterna A, B och C. 1. Partitioner 2. Boot-kod 3. Signatur

8. Matcha begreppen. Anser du att begreppet A hör ihop med alternativ 1, anger du svaret A-1. A. Filsystem B. Recycle bin C. Checksumma D. 0x55 0xAA E. BASE-64 F. pagefile.sys 1. VBR 2. swap 3. SHA1 4. EXT3 5. INFO2 6. Low-ASCII 9. Här ser du FAT-tabellen för en partition med endast tre filer. Alla kluster bortom kluster 10 är oallokerade. Hitta den största filen och markera med kryss i svarsformuläret vilka kluster den ockuperar. (4p) 10. När en hårddisk förbereds för lagring till ett case behöver vi genomföra ett antal moment. Ange i vilken ordning följande moment ska utföras. Markera det första momentet med 1 och det sista momentet med 3. A. Formatera. B. Partionera. C. Wipe.

Del 3 Detta är uppgiften för betyg 5, så du måste verkligen gå på djupet och visa din förståelse för att få godkänt. Max en A4. Introducera en eller flera analysmetoder vi stött på under kursen. Resonera runt begränsningarna hos de olika analysmetoderna.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss