2020创享杯21~40

一题中可能有多解，一般方法一是最基础的，方法二是比较快、方便的，需要掌握很多技巧和做题经验

21、在嫌疑人张某计算机 D:/photos/手机/文件夹中，有一张损坏的图片，无法正常打开，请想办法打开该图片，并找出照片中的内容（答案格式为：9090）

总共三张图片，第二张是无法显示的

将其导出，用恢复大师进行恢复

0110

22、疑人张某计算机中有涉案封邮件被删除了，请找出该邮件，并计算该邮件附件（压缩包）的 MD5值。（答案格式如：41F930B015A8CE90E02AF3A2F8FB33AF，字母大写）

尝试过调节参数还是恢复不出来

BB25B7B2207748F9957B0F722E081002

23、通过对检材的分析，请找出嫌疑人检材中保存的 VPN账号。（答案格式如：abc123，区分大小写）

文件被加密，需要破解，爆破无果

zhang668899

24、通过对检材的分析，请找出受害人李某因刷单被骗实际损失的总金额？（答案格式如：999）

iOS备份文件的取证

得知这个用户就是要找的李某

第一单返了25，第二单亏了4958，损失的是4958-25=4933

4933

25、过对检材的分析，请找出受害人林某用于“刷单”收款的支付宝账号。（答案格式如：

在iOS中没有发现林某，转到安卓检材分析

15759231438

26、通过对安卓手机取证分析，请找出嫌疑人张某在随手记 APP中记录的“现金”账号金额是多少。（答案格式如：10000）

方法一：

查找随手记软件的数据库，Huawei.dd/分区1/data/com.mymoney/databases/37518605-f12b-4a16-8e40-9dc7a4f96d79/mymoney.sqlite

接着导入到数据库软件中分析

其实也可以在火眼中进行预览，只不过要自己设置列才能显示出来想要的

方法二：

使用取证大师的取证小程序更便捷（要在小程序那里下载）

13890-2605-3900+14600-4200+18500 = 36285

36285

27、通过对安卓手机取证分析，请找出嫌疑人张某通过随手记 APP 在 2019 年 4 月26 日记录的刷单收入金额。（答案格式如：10000）

法一：

多表关联mymoney.sqlite库中的t_category和t_transaction，通过clientID关联字段可以获取

法二：

直接查看取证小程序，4月26的收入

14600

28、通过对检材分析发现，请找出受害人李天真的支付宝账号（答案格式如：13812345678）

在聊天消息中，李天真发送的申请表中有相关信息

18159667788

29、通过对检材的分析，请找出嫌疑人张某等人计划 2019年“五一”前后在“永定天子温泉”度假的具体日期。（答案格式如：2019-05-05）

2019-4-30

30、通对检材的分析，请找出嫌疑人张某快手 APP昵称“zhangli123733”对应的账号。（答案格式如：13812345678）

1334025097

31、已知嫌疑人张某通过某 APP发布了几条“招聘兼职”的相关视频，请找出其提到的邮箱地址。（答案格式如：abc123@qq.com，区分大小写）

提到了是视频，那么就不用管在哪个平台发送的，肯定是在手机里是有存储的

hotfan123@126.com

32、已知嫌疑人张某在 2019年 4月 27日驾车驶入过某万达广场，请找出嫌疑人的车牌号。（答案格式如：闽 F2Z9D8，字母大写）

搜索不到

33、通过对检材的分析，张某在 2018年08月29日17:38:31给某号码通过电话，请找出通话时长（秒）（答案格式如：10）

60

34、通过对检材的分析，张某在 2018年 08月 29日 17:55:59分发了一条短信，请找出该信息接收的手机号码。（答案格式如：13812345678）

17859628390

35、在嫌疑人张某手机备忘录中发现了一条附带照片内容为“团队建设活动初定 9.30”的记录，请找出该照片并计算其 MD5值。（答案格式如：41F930B015A8CE90E02AF3A2F8FB33AF，字母大写）

全局搜索团队建设活动初定，找到了一个数据库文件

查看后发现了照片的路径Text|团队建设活动初定9.30<>><><<<Attachment|/data/data/com.example.android.notepad/images/d29c24de$d758$4935$83d3$5233a70b98e9_3120_4160_1536886044989.jpg

可以得知大概率相关联的文件是在同一个包名下的

也可以在这个路径下找到备份包Huawei.dd/分区1/media/0/HuaweiBackup

D0F84B79852C92C14B6400269ECCBFD0

36、2018年 8月 28号 9:00-17:00有一条日程信息，请找出该条记录的标题内容。（答案格式如：创客攻坚事项）

卓越刷客团队全体会议

37、请对安卓手机检材进行分析，嫌疑人张某通过百度地图 APP有两条搜索位置信息，请找出记录的位置名称。（答案格式如：北海湾酒店）

未能解析出百度地图

38、通过对所给检材的分析，请找出该嫌疑人使用的 iCloud同步账号。（答案格式如：abc@icloud.com，区分大小写）

iCloud在iOS系统中

wangxx200041@icloud.com

39、通过对检材的分析，请找出其嫌疑人微信 wxid_m4ss89d1qaad12绑定手机对应的 ICCID号。（答案格式如：860000a00000f0000000，区分大小写）

898602d51317f2070037

40、通过对检材的分析判断，嫌疑人张某目前居住的家可能位于哪里。（答案格式如：泉州市洛江区）

张某的话就看安卓手机取证

厦门市同安区

这套题太折磨人了…

向各位师傅们请教一下22、23、32、37题~~~