[面试题] 计算机镜像分析能力验证20题全解：Windows系统取证与数据恢复实战

本文对一次计算机镜像分析能力验证的完整题目进行解析，共涵盖20道核心题目。内容涉及系统分区MD5校验、用户密码破解、软件安装时间溯源、USB设备痕迹提取、电子邮件分析以及加密容器解密等多种数字取证场景。解析过程详细介绍了FTK Imager、Mimikatz、RegRipper等专业工具的使用方法。

1. 系统分区识别与MD5值计算

题目：分析计算机镜像，识别镜像中对应Windows系统的系统分区(即通常挂载为C盘的逻辑分区)，计算该分区的MD5后6位。
答案：2C8871
步骤：

1. 使用FTK Imager挂载镜像：点击「File」→「Add Evidence Item」选择目标镜像文件。
2. 识别系统分区：Windows系统分区通常是NTFS格式、容量最大的基本数据分区。在本镜像中，对应分区标识为“Basic data partition (4)”，格式为NTFS，容量为71034MB。
   
3. 计算MD5：在Evidence Tree中选中“Basic data partition (4)”分区节点，点击右键选择「Export Disk Image」。在弹出对话框中，选择输出格式（如dd或E01），设置保存路径，并务必勾选“Verify image after they are created”选项，该选项会在创建镜像时计算MD5哈希值。点击「Start」开始处理。
   
4. 处理完成后，在日志或生成的镜像文件信息中即可查看完整的MD5值，取其后6位即为答案。

2. 用户登录密码破解

题目：分析计算机镜像，“NIK_W”用户名的登录密码是什么？
答案：123321
步骤：

1. 提取密码文件：在FTK Imager中，定位到 C:\Windows\System32\config\ 目录。找到SAM和SYSTEM文件，右键选择「Export Files」将其导出到本地。
   
2. 使用Mimikatz提取哈希：将导出的SAM和SYSTEM文件与Mimikatz工具放在同一目录。以管理员身份运行Mimikatz，输入命令：lsadump::sam /sam:sam /system:system 并按回车执行。
   
3. 在输出结果中找到用户“NIK_W”对应的NTLM哈希值（MD4加密）。
   
4. 在线解密：复制该哈希值，访问在线哈希解密网站（如cmd5.com），进行查询解密即可得到明文密码。
   

3. 软件安装时间取证

题目：分析计算机镜像，名称为“TablePlus6.1.1”的应用安装时间是？
答案：2024-10-05 09:25:19
步骤：

1. 导出注册表文件：在FTK Imager中，定位到 C:\Windows\System32\config\ 目录，导出SOFTWARE文件。
   
2. 使用RegRipper分析：使用注册表取证工具RegRipper 3.0加载导出的SOFTWARE文件。
   
3. 搜索关键信息：将分析结果保存为文本文件，在文件中搜索“TablePlus”，即可在相关的Uninstall注册表项下找到其安装时间戳“InstallDate”。
   

4. USB设备序列号提取

题目：分析计算机镜像，最后一次使用的USB设备序列号为？
答案：2536201609180000
步骤：

1. 同第3题，使用RegRipper分析从 C:\Windows\System32\config\ 导出的SYSTEM文件。
2. 在分析结果中搜索“usbdevices”相关模块，查看设备记录。根据“LastWrite”时间（最后操作时间）找到最近使用的设备，其对应的序列号字段即为答案。
   

5. 邮件接收时间分析

题目：分析计算机镜像，邮件主题“转账对照表”的接收时间是？
答案：2025/10/09 18:10:14
步骤：

1. 定位邮件客户端：在仿真环境或文件系统中找到Foxmail的存储目录。
2. 查看邮件源码：找到“转账对照表”这封邮件，右键选择「更多操作」→「查看邮件源码」。
3. 在邮件头信息中，查找“Date”或“Received”字段，即可获得精确的接收时间。
   

6. 应用程序版本号查询

题目：分析计算机镜像，HBuilder应用的版本号为？
答案：4.29
步骤：

1. 进入系统仿真环境或直接浏览程序安装目录。
2. 启动HBuilderX，在菜单栏点击「帮助」→「关于」，弹出的对话框中会显示详细的版本号。
   

7. 特定时间点运行程序分析

题目：分析计算机镜像，“2025-10-09 17:29:35”打开的应用名称为？
答案：photolaunch.exe
步骤：

1. 分析Prefetch文件：Windows预读取文件（.pf）存储在 C:\Windows\Prefetch\ 目录，记录了应用程序的启动信息及时间。
2. 根据时间筛选：查找在该时间点附近生成的.pf文件。发现三个相关文件：SIHOST.EXE、TEXTINPUTHOST.EXE和PHOTOLAUNCH.EXE。
3. 判断用户程序：SIHOST.EXE和TEXTINPUTHOST.EXE是系统核心进程，通常非用户主动启动。PHOTOLAUNCH.EXE是“WPS看图”组件，符合用户打开图片的操作场景，因此答案为PHOTOLAUNCH.EXE。
   

8. 系统代理端口查找

题目：分析计算机镜像，设置的代理端口为？
答案：7781
步骤：
在文件系统中直接搜索关键词“代理”，或在系统设置、浏览器设置、网络配置文件中查找，可以快速定位到代理服务器端口设置。

9. Telegram绑定手机号发现

题目：分析计算机镜像，检材中曾登录的telegram绑定的手机号为？
答案：+56937644882
步骤：

1. 定位用户数据：Telegram的本地用户数据通常存储在“tdata”目录。在检材的 D:\images\ 路径下找到tdata.zip文件。
2. 替换数据文件：解压该zip文件，将其中的tdata文件夹覆盖到Telegram安装目录下的对应位置。
3. 启动验证：重新启动Telegram客户端，由于用户数据已恢复，客户端将直接显示已登录账户，包括绑定的手机号。
   

10. 计划任务与加密容器解密

题目：分析计算机镜像，名称为“EncryptFile”的计划任务，脚本中解密密码为？
答案：MoVS%Su=G9XaQ6W3
步骤：

1. 查看计划任务：通过“计算机管理”或SchTasks命令查看名为“EncryptFile”的计划任务详情。
2. 关联加密容器：发现存在X盘盘符及桌面有VeraCrypt（VC）加密容器快捷方式，推断计划任务可能与加密容器相关。
3. 打开加密容器：在D盘目录下找到疑似密钥文件的keylife.jpg和加密容器文件777。使用VeraCrypt，选择keylife.jpg作为密钥文件，加载并打开加密容器（映射为A盘）。
4. 获取密码：在打开的A盘中，找到包含解密密码的文本文件。
   
   

11. 解密文件数据分析

题目：接上题，被加密的表格文件中状态为已付款的订单数有几个？
答案：3
步骤：

1. 使用第10题获取的密码 MoVS%Su=G9XaQ6W3，打开加密容器A盘中的Excel文件 D:\manifest.xlsx（或该文件在加密前的位置）。
2. 在表格中筛选“状态”列为“已付款”的行，统计数量即为答案。
   

12. 加密算法确认

题目：分析计算机镜像，加密容器卷的加密算法为？
答案：TWOFISH
步骤：
在VeraCrypt加载加密容器时的界面或容器属性中，可以直接看到该加密卷所使用的加密算法。

13. 加密容器内图片修复与信息提取

题目：接上题，加密容器中，“苏海峰”的身份证号为？
答案：3411XXXXXXXXXXX011 (示例格式，实际需根据图片内容填写)
步骤：

1. 在加密容器A盘中找到包含身份证信息的图片文件，用十六进制编辑器（如WinHex）打开。
2. 发现文件头损坏，无法正常显示。对比正常的PNG文件头（十六进制：89 50 4E 47 0D 0A 1A 0A 00 00 00 0D 49 48 44 52）。
3. 使用WinHex将损坏的文件头修正为正确的PNG文件头。
4. 保存后，图片即可正常打开，查看其中的身份证号信息。
   

14. 加密文档密码爆破与数据统计

题目：接上题，加密容器中，记录的外快到账总额为？
答案：95880
步骤：

1. 尝试打开加密容器中的另一个加密文档（如Excel），输入错误密码后获得提示“5位数字密码”。
2. 使用密码恢复工具（如Passware Kit），选择“数字”类型，设定长度为5位，对文档进行爆破。
   
3. 工具成功破解出密码：54812。
   
4. 使用该密码打开文档，对“到账金额”列进行求和计算，得到总额。
   

15. APK打包历史时间溯源

题目：分析计算机镜像，存在APP打包历史记录的时间为？
答案：2024-10-05 15:45
步骤：

1. HBuilderX本地打包后，APK文件通常生成在项目目录的 unpackage/release/apk 子目录下。
2. 在文件系统中找到该APK文件，右键查看其「属性」→「详细信息」，其中的“修改日期”通常对应打包完成时间。
   

16. 应用标识（AppID）查找

题目：接上题，打包的apk应用appid值为？
答案：H57FE3E07
步骤：
在HBuilderX中打开对应项目，查看项目根目录下的 manifest.json 配置文件，其中的 appid 字段值即为答案。

17. 邮件发送方IP追溯

题目：分析计算机镜像，收到的财务报销邮件，发送方ip为？
答案：183.219.136.175
步骤：
同第5题，找到对应邮件，查看其邮件源码。在邮件头中查找“Received”字段，从最上层的接收记录里可以解析出发送连接时的公网IP地址。注意：此IP是发件人邮件客户端或服务器连接邮件服务商时使用的公网IP，并非发件人内网IP。

18. 邮件附件哈希校验

题目：接上题，附件中，exe执行程序的md5值后6位为？
答案：486674
步骤：

1. 将邮件中的exe附件导出到本地。
2. 使用哈希计算工具（如命令行certutil -hashfile 文件名 MD5）计算其MD5值。
3. 安全警告：此exe文件疑似恶意程序，切勿在真实环境中运行。
   

19. 嵌套虚拟机内密码提取

题目：分析计算机镜像，虚拟机浏览器中域名为“yusau.top”用户名admin的密码为？
答案：iu@9981
步骤：

1. 启动嵌套虚拟机：在宿主机（检材系统）的VMware中，需要开启CPU虚拟化支持选项（如Intel VT-x/EPT或AMD-V/RVI），然后启动嵌套的虚拟机镜像。
   
2. 登录虚拟机：在检材的VeraCrypt加密磁盘中找到该虚拟机的登录密码。
   
3. 提取浏览器密码：进入虚拟机系统，打开Google Chrome浏览器，访问设置中的「密码管理器」，即可查看到为站点“yusau.top”保存的用户名admin及其对应的密码。这涉及到前端与浏览器数据存储机制的了解。
   

20. 开发中网站信息检索

题目：分析计算机镜像，虚拟机中正在开发的网站前端代码中记录的商务联系电话是？
答案：18179611121
步骤：

1. 调整系统时间：虚拟机内WebStorm软件试用期过期，将虚拟机系统时间向前调整至许可有效期内。
   
2. 搜索代码：启动WebStorm并打开项目，使用其全局搜索功能（Ctrl+Shift+F），搜索关键词“商务”，即可在代码文件中找到对应的联系电话。
   

---

本文解析了一次完整的计算机镜像取证挑战，涵盖了从基础系统信息提取到复杂加密数据恢复的多个层面。在实际操作中，务必在合法授权的环境中进行，并注意保护数据安全与个人隐私。