2022美亚杯第八届中国电子数据取证大赛-个人赛write up详解，软件就用弘连和美亚，尽量写的细致一点。建议入门看，仅为了解题，没有专业精神。专业选手去看后面推荐的两篇解析，都是大佬。

建议新手看我的博客，比较简单粗暴，解题率较低，仅仅是为了比赛，入门的同学可以看看。我的水平还很糟糕，之后会努力学习，所以这篇博客也会不断修改完善。博客还有很多不当之处，如有发现不当之处请私信我，我会做相应修改，以免误人子弟。

关于官方镜像，建议看乃正哥的博客，乃正哥用奇安信的软件，我们学校没有，哈哈哈，应该很多学校和我们一样，所以我就用弘连和美亚写。下面是乃正哥的链接：

哈哈哈，向乃正哥学习！

2022美亚杯第八届中国电子数据取证大赛-个人赛write up详解_奇乃正的博客-CSDN博客

还强烈推荐浙警许专家的解析，我愿称之为美亚最强解析！  太强了，我许专家！！！

2022 美亚杯 资格赛 赛后复盘 题解_Grignard_的博客-CSDN博客

I.案件详情

于2022年10月，有市民因接获伪冒快递公司的电邮，不慎地于匪徒架设的假网站提供了个人信用咭资料导致经济损失。 警方追查下发现当中一名受骗市民男子李大輝 (TaiFai) 的信用卡曾经被匪徒在区内的商舖购物。 后来警方根据IP地址，锁定及拘捕了一名男子林浚熙 （阿熙 ChunHei），并于他的居所发现了一批相信曾被用作犯案的电脑及手机装置。

经调查后，警方发现阿熙除上述案件外，他亦牵涉其他的一些犯罪活动。

警方的电子数据取证小组在现场作出初步了调查并对涉案装置进行了电子数据取证。请你根据得到的资料，协助将事件经过还原。

II.警方资料

A)与’林浚熙’相关的资料

编号 1 林浚熙的调查报告
文件路径 Meiya_cup_2022/Individual/Report/ChunHei/林浚熙调查报告.pdf
哈希值：
SHA256 1CB8F69DACF1A8DB84F1F0208C46210827C5E182D316F7F9A4AE4CFBB8EBC859

编号 2 林浚熙的手机的电子数据
文件路径 Meiya_cup_2022/Individual/Image/ChunHei/ChunHei_iphone
哈希值：
SHA256 34AC7A2B5C3F51563076A758B28088FE92637A4C9E20A60D0F39C23389F51159

编号 3 林浚熙计算机的电子数据
文件路径 Meiya_cup_2022/Individual/Image/ChunHei/ChunHei_Desktop
哈希值：
SHA256 49177D9E144944118DF8D0F78DEA90A78F78D95C650B67D942AB2A0DC0EABB38

B)与受害人’李大辉’相关的资料

编号 4 李大辉的调查报告
文件路径 Meiya_cup/Individual/Report/TaiFai/助查人士李大輝调查报告.pdf
哈希值：
SHA256 C139AB65AC52FE9B3C9E0C7A9F9D6427F2F18FBE3C16585225F6DD01C4D500D2

编号 5 受害人李大辉的手机电子数据
文件路径 Meiya_cup_2022/Individual/Image/TaiFai/VTM_Mobile
哈希值： 092A7379B063A25A82A03EE07EEF1686BE86DD1F73C6E7B007BC26FADCB66555

C)与女友’王晓琳’相关的资料

编号 6 王晓林的调查报告
文件路径 Meiya_cup/Individual/Report/HiuLam/助查人士王晓琳调查报告.pdf
哈希值：
SHA256 5D9FC871259CAC02904947F83C2319E359C7CA916CA657555FF7F41E65A79B8A

编号 7 女友王晓林手机的电子数据
文件路径 Meiya_cup_2022/Individual/Image/HiuLam/HiuLam_iphone
哈希值： DB81354712AB1DC2BA01033E48CE97F811C77127A447B0928D83AE77A35C508D

我个人建议是画一张简短的思维导图，因为很多英文对应中文会不好理解，我过了几个月才写这一篇，所以自己也有点忘了，就画一张思维导图。

我的说明：就软件来说，美亚真的落后很多，取证大师解析都出不来，还是弘连厉害，我考前因为觉得美亚软件很垃圾，手机大师没有下载，导致很多手机的题目心态慌张，很吃亏，所以建议大家都下载下来，美亚杯长安杯结束官方都会对软件做一定的更新，我此处为了模拟考试的环境，我对软件不做更新。

个人赛部分共70题

1.[单选题] 王晓琳在这本电子书籍里最后对哪段文字加入了重点标示效果(Highlight)?(2分)
A. 卿有何妙计
B. 宝玉已是三杯过去了
C. 武松那日早饭罢
D. 就除他做个强马温罢

这题软件解析不出来，手机也没法仿真，所以考试的时候我也不知道怎么办，最后70题和这个呼应，所以我最后是通过爆搜猜出来的。直接爆搜，最后没有办法的办法，然后就找到了。因为我搜其他都做不出来。(略微暴力，除非比赛不建议如此）

2.[多选题] 王晓的手机里有一个 MTR Mobile (港)的手机程序(Mobile App)。 检视其数据库(Database) 的数据，王晓琳于2022年10月11日 22:04 时将一行程加入书签(Bookmark)，这段行程的起点及终点站包括?(2分)

考试的时候我放弃了，时间太紧，没法找数据库然后去查看
A. 尖沙咀
B. 红硒
C. 康城
D. 青衣
E. 沙田

弘连无法解析db文件

3.[填空题] 王晓琳于2022年10月2日使用她的手机拍摄了多少张的照片?(以拉伯数字回答)(1分)

 3 弘连看到，应该是错的，弘连这点也不行啊,其实是解析的问题，不够全面（我当时也错了）

 正确的做法是用时间线分析，我发现苹果拍照是HEIC格式保存，网上查了一下，ios11之后就是这个后缀，弘连还没直接分析出来，所以我当时就写了3个

 

 然后导出时间线，排序后发现依然很难看，因为5005不是拍摄图，是缩略图

 最终筛选出来是90个

 第二个方法，在文件里打开，用win看图片数量

4.[单选题] 检视王晓琳的手机照片，她于2022年10月2日到过什么地方?(1分)
A.大潭郊游径
B.城门畔塘径
C.大榄麦理浩径
D.京士柏卫理径

通过图片属性查看经纬度

 照理说经纬是可以查的，但是现实看没什么用，可能不够细

最后直接看看到了

5.[单选题] 李大辉使用的是一台LG V10的手机，它的型号是什么?(1分)
A. LGH960C
B. LGH961N
C. LGH960H
D. LGH961C
E. LGH961D

6.[单选题] 李大辉的手机最常搜索的类别(Category) 是什么?(1分)
A. 护肤品
B. 旅游
C. 运动
D. 学校

7.[填空题] 李大辉最近光顾了一家美丰快运公司，这快递件的单号是什么?(不要输入符号及空白，以阿拉伯数字回答)(1分）

这题弘连解析不出来，我考试就没有做，做不出，弘连对邮件的解析还要提升一下。

然后考完之后我用手机大师，单号一般先看短信，图片之类，找不到去看邮件，

最后找到是在收件箱里面。

8.[单选题] 李大辉收到的电邮中有一个钓鱼链结(Phishing Link)，这个链结的地址是什么?(1分)
A. 以上皆非
B. https://bit.ly/3yeARcO
C. https://bit.ly/5vM12
D. http://bit.ly/Hell0

也就是快递单号这个邮件里，有钓鱼链接

找不到，我考试的时候就爆搜，这题乃正哥是找邮件然后找数据库做的，最标准，但是我觉得比赛的时候是来不及的。

好像爆搜也蛮耗时的，当然最聪明的就是按照前半段爆搜，效率高很多。

 最后用时，所以当电脑性能够好的时候是可以弥补性能不足，cpu11800H

9.[单选题] 承上题，这封电邮是从哪个电邮地址寄出的?(1分)
A. 以上皆非
B. Cavinchow456@yahoo.com
C. 2020ChanChan@hotmail.com
D. 30624700Peter@proton.me

一个地方三个题目，分数还是蛮大的。

10.[单选题] 承上题，寄出这封电邮的IP地址是?(2分)
A. 以上皆非
B. 65.54.185.39
C. 10.13.105.56
D. 58.152.110.218

按道理说是找邮件的源文件，但是我看许专家和乃正哥的解析，emmm我爆搜试试看，不知道能不能做出来。

    [单选题] 李大辉手机有一个orderxlsx 的档案被加密了，解密钥匙是什么?(1分)
    A. 2022 Nov!
    B. 20221101
    C. Nov2022!
    D. P@sswOrd!

反正有密码，一个一个试过去很快（考试的时候更加高效）

或者图片看看也很快

 看到进货单

12.[填空题]香港的街道上每一枝街灯都有编号。分析李大辉手机里的程序KMB 1933，哪一枝街灯在经度 Latitude) 22.4160270000，纬度(Longitude) 114.2139450000 附近，它的编号是什么?(以大写英及阿拉伯数字回答)(2分)

这题考试我直接没做，考完我去看看数据库

遗憾，弘连对数据库解析不出来，弘连加油啦！高手去看乃正哥手工

手工做看乃正哥的博客，高水平选手建议乃正哥！！！

13.[填空题]李大辉的手机里有一张由该手机拍的照片，照片的元资料(Metadata) 曾被修改，这张照片的档案名是什么?(以大写英文及数字回
答，不用回答副档名)(2分)

说实话真的很难看，这题在分析界面是看不到的，必须到详细里面看，这里我不一定同意乃正哥用奇安信解的时间，但是是可以确实他这里修改了时间，照理说是三个时间是一样的

去看了一下文件，确实是这样的，就这一张照片是有修改时间的

14.[单选题] 分析李大辉的手机里的资料，他在哪一间公司工作?(2分)
A. 美丽好化妆品公司
B. 步步高贸易公司
C. 盛大国际有限公司
D. 永恒化妆品公司

    [填空题] 林浚熙曾经以手机登录Google账户的验证码是什么?(不要输入符号，以大写英文及阿拉伯数字回答)(1分)

火眼跑不出来，美亚手机大师也是不全的，这题奇安信可以解析，乃正哥博客。

    [填空题] 林浚熙手机的 WhatsApp’ 号码是什么?(号码)@s.whatsapp.net? (以阿拉伯数字回答)(1分)

17.[单选题] 通过分析林浚熙手机的照片，判断他在何处偷拍王晓琳?(1分)
A. 交通工具
B. 郊野公园
C. 游泳池
D. 酒店房间

18.[填空题] 林浚熙曾经删掉自己拍摄的照片，这张照片的档案名(Filename) 是什么?(不要输入，以大写英文及阿拉伯数字回答。如Cat10.jpg，需回答CAT10JPG)(2分)

有些时候太着急，我比赛这题都咩做出来，服了

19.[填空题] 王晓琳曾经发送一个PDF档案予林浚熙，这个档案的文件签名(File Signature) 是什么?(以十六进制数字答首八位数值，如
FOA1C5E1)(2分)

我真是服了，比赛的时候我不知道啥叫文件签名，真吐了，他们就是文件头，搞了我半天时间。

 真的拖进去就好了，搞了我半天时间

20.[填空题] 承上题，该PDF档案内包含一位曾经被肩的受害者资料。分析林熙手机的数据，这位受害者的英文名字是什么?(不要输入符号及空白，以大写英文回答)(2分)

打不开，做隐写，改doc打开,发现不对，有xlsx，打开了

 

看到这么多受害人

然后线索在于聊天记录，客观说这题给2分太少了

 然后就找到了

21.[单选题] 分析林浚熙手机上的数据，他在2022年10月17日计划去什么地方?(2分)
A. 以上皆非
B. 荃湾站
C. 沙田站
D. 国际金融中心二期

时间线找不到，我当时爆搜地点也没找到

这题参考许专家解析，许专家牛逼！！！

22.[填空题] 承上题，上述行程的结束时间是?(如答案为 1:01:59，需回答 160159)(2分)

这题参考许专家解析，许专家牛逼！！！

23.[填空题] 于林浚熙的手机里，在2022年9月1日 或以后，哪一张照片是由其他手机拍摄的，而它的档案名是什么?(不要输入，以大写英文及阿拉伯数字回答。如 Cat10.jpg，需回答CAT10JPG)(2分)

说实话我也没思路，考试的时候只能猜，我就猜他在酒店偷拍的那一张照片。

证据不明确，我也不知道怎么做，具体

24.[单选题] 根据照片的数据库Photos.sglite) 资料，哪一个栏目标题(Column Header) 可以显示这张照片的接收方式?(2分)

A. ZRECEIVEMETHODIDENTIFIER
B. ZIMPORTEDFROMSOURCEIDENTIFIER
C. ZIMPORTEDBYBUNDLEIDENTIFIER
D. ZRECEIVEDFROMIDENTIFIER

跳转到源文件，然后根据源文件导出。

 发现只有一个表是找得到的。

    [单选题] 承上题，这张照片通过什么方式接收?(2分)
    A. 网页下载
    B. 蓝牙传送
    C. 以上皆非
    D. WhatsApp软件传送
    E. Signal软件传送

显然是通过whattsapp

    [填空题] 承上题，这张照片原本的档案名(Original Filename) 是什么?不要输入，以大写英文及阿拉伯数字回答。如 Cat10,jpg，需回答CAT10JPG)(3分)

说实话，我真不知道。

    [填空题] 林熙手机里有一个备忘录(Notes)被上了锁，这个备忘录的名称是什么?(以大写英文及阿拉数字回答)(1分)

这题我猜是这个数字，否则也没有锁，可能弘连解不出来。其实答案不是这个，有锁意味着看不到，知道我看见专家的解析才觉得很有道理。

由于无法跳转，所以去查找文件结构备忘录一般是文件结构里面有数据库，数据库一般是写note，所以去翻看，我觉得文件夹不多，就看几个就知道答案了，基本上猜一下也可以猜出来是notestore这个，然后用db sqlite打开，就可以看到数据库内容

 然后在这个表格里面乱翻，也是能找到的，但是我都是依据许专家的解析来的，就知道这两个都是加密了，zippasswordprotect这个有1就说明是加密的

 在数据库中找到这四个备忘录

然后看提示信息

 所以最后得出结论，今天和halo都是上锁的。

    [填空题] 承上题，上述备忘录的内容有一串数字，它是什么?(以阿拉伯数字回答)(2分)

瞎猜啦，考试也没时间，但是数据库里面，实在是没有内容，所以我只能猜34567，真想看美亚的解析啊！！！

29.[单选题] 林浚熙计算机(Computer) 的操作系统(Operating System) 版本是什么?(1分)
A. Windows 10 Pro for Workstations 21H2
B. Windows 10 Pro 22H2
C. Windows 10 Home 21H2
D. Windows 10 Pro for Workstations 21H1

光页面看不到，要仿真起来看，主要是不够细致。

    [填空题] 林浚照计算机安装了什么品牌的虚拟专用网络 Virtual Private Network - VPN)软件?(不要输入符号及空白，以大写英文及阿拉伯数字回答)(1分)

桌面上就能看到，爆搜VPN也可以

    [填空题] 承上题，分析该虚拟专用网络的日志(Log)，他在哪天安装该虚拟专用网络?(如答案为 2022-12-29，需回答 20221229)(2分)

window里面日志看看

 当然一般看时间都要去控制面板

    [填空题] 检视林浚照计算机的数据，他使用哪种加密货币(Cryptocurrency) 以支付虚拟专用网络软件?以大写英文回答该加密货币的全名，如 BITCOIN)(1分)

考试的时候就随便写了比特币，哈哈哈猜的，看到可爱的B

 

    [填空题] 林浚熙的加密贷钱包Cryptocurrency Wallet) 名称是什么?不要输入符号，以大写英文及阿拉伯数字回答2分)

仿真点开就有

    [多选题] 林浚熙计算机里安装了哪个浏览器(Web Browser)? (1分)

A.Tor Browser
B.Microsoft Edge
C.Google Chrome
D.Opera
E.Internet Explorer

这个就一个个爆搜，找到哪些是哪些

    [单选题] 林浚熙使用浏览器 Google Chrome’ 曾经浏览最多的是哪 个网站? (1分)
    A. https://gmail.com
    B. https://mail.google.com/mail
    C. https://web.whatsapp.com
    D. https://facebook.com

谷歌只有89 还是whatsapp多很多

    [多选题] 除了上述网站,林浚熙曾使用浏览器 Google Chrome’ 搜索过什么?(1分)
    A. javascript教学
    B. php sql教学
    C. tor教学
    D. docker image教学
    E. electrum教学

    [单选题] 林浚照的计算机安装了一个通讯软件Signal’，它的用户部储存路径是什么?(1分)
    A. Users\HEINDesktop Signal
    B. Users\HEI\AppData Roaming Signa
    C. Program Files (x86)Signal
    D. Users\user Roaming Signal

方法很多，也可以看路径。

    [填空题] 通讯软件Signa’ 采用一个档案存放用户的聊天记录，它的档案名是什么?(不要输入，以大写英文及阿拉伯数字回答。如Cat10.jpg，需回答CAT10JPG)(2分)

跳转到源文件查看

 

    [填空题] 承上题，对上档案进行分析，林发熙的联络人当中有多少人安装了Siqnal?(以阿拉伯数字回答)(3分)

源数据库加密

 弘连数据库也解不出来

 联系人弘连也出不来

这题在当时只有奇安信做得出来，美亚弘连都是不行的。

工具不行，仿真看看，最后发现只有一个人，那么就开始数据库取证，后台找数据库

    [填空题] 林浚熙在“Signal’ 曾经与某人对话，那人的手机号码是什么? 需要与区码(Area Code) 一同答(以阿拉伯数字3分)

说实话我不会，只能看动态解析

但是从对话看，这个更加像是他的电话，而且涉及到区域码，这个应该是的（这里我不同意乃正哥的说法，哈哈哈如果其他大佬有指教，可以随时私信我，我们一起讨论讨论）

 

    [多选题] 承上题，两人在Signal’ 的对话中有些讯息(Message) 包含附件，这些讯息的 D’包括?(2分)
    A.5b9650fe-3bb6-4182-9900-f56177003672
    B.46a8762b-78ea-49aa-a6f5-b24975ec189f
    C.9729bf92-ab9c-45f7-8147-66234296aele
    D.47233ffe-1a73-4b3d-b97c-626246ec3129

数据库都解不开，就算我找到两张图片，也只能是瞎猜啊。

    [填空题]承上题，林浚熙曾经于2022年10月20日账Transfer Money) 予上述对话人士,那次眼的参考编号是什么?(以大写英文及阿拉白数字回答)(3分)

数据库的这几题建议参考专家，专家的解析思路偏ctf，也较符合常理

    [单选题] 林浚照的计算机安装了多少台虚拟机Virtual Machine - VM) ?(以阿拉伯数字回答)(1分)
    A.4
    B.1
    C.2
    D.3

就一台

    [单选题] 林浚熙的计算机里的虚拟机(VM) 存放在什么路径?(1分)
    A.User HEI Roaming Virtual Machinesl
    B.Users Public Documents Virtual Machines
    C.Program Files Virtual Machines
    D.\Users\HEINDocuments Virtual Machines

看路径

45.[单选题] 虚拟机 (VM) 使用什么版本的作业系统(Operating System) ?(1分)
A. CentOs Linux 7.5.1804 (Core)
B. Ubuntu 22.04.1 LTS
C. CentOS Linux release 7.6.1810(Core)
D. Ubuntu 20.04.5 LTS

    [多选题] 虚拟机(VM) 中的文件传输服务器(FTP Server) 有哪些用户?(2分)
    A. nobody
    B. root
    C. admin
    D. man
    E. ftpuser

后续取证就很烦，虚拟机要手动绕过，所以考试的时候我就没怎么做，也没时间了。

 为了偷懒，导出让火眼绕过,但是我发现旧版的火眼在导出上就存在一定问题，导出总是出错，所以这里，我求助许专家，专家教我了第二种导出方法：就是用火眼导出看，这里的导出必须选择源文件结构导出，那样才可以导出。

直接导出是不能建虚拟机，只可以静态。所以要导出。

要选择源文件结构导出，然后这个文件是没法火眼分析的，直接用火眼仿真去做仿真

   

重建后是这个结果，静态我是什么东西都看不出来，所以只能动态了。

[多选题] 虚拟机设置了什么网页服务器(Web Server)? (2分)
    A. NGINX
    B. LIGHTTPD
    C. WORDPRESS
    D. APACHE
    E. IIS

答案应该是阿帕奇和nginx，但是我不知道为什么电脑在分析的时候总是报错，本人手搓水平较差，会好好提高，我是histiry看的。

    [单选题] 网页服务器目录内有图片档案，而此档案的储存位置是?(1分)
    A. /var/www/html/post/src
    B. /var/www/html/post/css
    C. /var/www/html/post/vendor
    D. /var/www/post

无脑看路径

    [单选题] 分析网页服务器的网站数据，假网站的公司名称是什么?(1分)
    A. Krick Global Logistics
    B. Global Logistics
    C. Krick Post Global Logistics
    D. Krick Post

我的火眼是没有看出来的。考试的时候应该是根据这个看到公司名称

    [单选题] 检视假网站首页的显示，AY806369745HK 代表什么?(1分)
    A. 邮件号码
    B. 邮件收费号码
    C. 邮件序号
    D. 邮件参考号码

接下来就需要网站重构，看许专家

    [填空题] 分析假网站的资料，当受害人经假网站输入数据后，网站会产生一个档案，它的档案名是什么?(不要输入“，以大写英文及阿拉数字回答。如 Cat10.jpg，需回答CAT10JPG)(2分)

    [多选题] 分析假网站档案，process.php’ 源码(Source Code),推测此档案的用途可能是?(2分)
    A. 改变函数
    B. 产生档案
    C. 发出邮件
    D. 更新数据库

    [填空题] 检视档案process.php’ 源码, 林浚照的电邮密码是?(以大写英文回答)(1分)

    [多选题] 分析档案process.php’ 源码, 它不会收集哪些资料?(2分)
    A. GPS位置
    B. 信用卡号码
    C. 短讯验证码
    D. 电话号码
    E. 电邮地址

    [填空题] 虚拟机 (VM)安装了 Docker 程序，列出一个以5作为开端的 Doker"镜像 mage) ID (以阿拉伯数字及大写英文回答)（2分)

    [填空题] Docker 容器(Container)mysql’ 对外开放的通讯端口(Port) 是?(3分)

    [填空题] Docker容器mysql，用户 root’ 的密码是?(以大写英文及阿拉伯数字回答)(2分)

    [填空题] Docker容器，mysql 里哪一个数据库储存了大量个人资料?(以大写英文回答)(3分)

    [填空题]检视 Docker 容器’mysql’ 内数据库里的资料，李大辉的出生日期是?(如答案为 2022-12-29，需答 20221229) (3分)

    [多选题] 通过取证调查结果进行分析(包括但不限于以上问题及情节)，林照的行为涉及哪一种罪案?(5分)
    A.传送儿童色情物品
    B.抢劫
    C.诈骗
    D.勒索金钱
    E.购买毒品

诈骗与勒索金钱是和他女朋友发生的。

这里是交易毒品

    [填空题] 王晓琳手机的MEI’ 号是什么?(以阿拉伯数字回答)(1分)

    [多选题] 王晓琳的手机安装了什么即时通讯软件(lnstant Messaging Apps)?(1分)
    A. Signal
    B. 微信(WeChat)
    C. QQ
    D. WhatsApp
    E. LINE

显然

    [单选题] 王晓琳于什么日子和时间曾经通过即时通讯软件发出一个 PDF档案?(以时区UTC+8回答)(1分)
    A.2022-09-30 17:39:53
    B.2022-10-01 17:39:53
    C.2022-09-30 18:30:28
    D.2022-10-01 16:30:22

    [填空题] 承上题，这个 PDF 档案的MD5哈希值Hash Value) 是什么?(以大写英文及阿拉伯数字回答)(1分)

    [单选题] 王晓琳将这个“PDF 档案发给哪一个用户,而该用户的手机号码是什么?(1分)
    A.85297663607
    B.85259308538
    C.85269707307
    D.85246427813

    [多选题] 王晓琳发出这个，PDF 档案的原因是什么?(1分)
    A.寻求协助
    B.分享档案内容
    C.错误发出
    D.无法开启

    [单选题] 承上题，分析王晓琳与上述用户的对话，他们的关系是什么?(1分)
    A. 客户
    B. 师生
    C. 家人
    D. 同事

68.[单选题] 王晓琳于何时要求上述用户删除 张照片?(1分)
A. 2022-10-06
B. 2022-09-28
C. 2022-09-30
D. 2022-10-03

69.[单选题] 承上题，该用户向王晓琳提出什么要求以删除这张照片?(1分)
A. 金钱
B. 毒品
C. 性服务
D. 加密货币

我认为都很简单，美亚为了控制难度，很糟糕。

70.[单选题] 王晓琳的手机里有什么电了书籍(Electronic Book) ?(2分)
A. 三国演义
B. 红楼梦
C. 水浒传
D. 西游记

理由就是第一题，爆搜，无脑

 记：

资格赛成绩不好，学生榜单都没上（最后勉强得奖），写解析的时候看浙警许专家的解析，也深深地感觉自己的不足，这篇解析我想了很久，也断断续续写了很久，觉得写的很烂，特别是审计和服务器模块很粗糙，整体也偏向于做题，我个人目前是努力朝着深入发展，写着一篇主要是记录我当时的做题。之后我会对他进行二次更新，朝着深化细化发展，如果大佬看到这篇文章请直接跳过，不敢班门弄斧，文章是给刚刚接触取证的小朋友看的，水平很差，依赖软件，手搓能力极差，我也被一些大佬批评过，深深地受教，感谢大佬批评教育，我一定会在第二稿做的更好。

如果一些刚刚接触取证的小朋友建议看我的解析，比较直接利于比赛，也较为简单，希望与大家一起进步，我会不断完善的，请大家见谅，见谅。