1、通过对检材的分析，获取嫌疑人张某通过计算机远程桌面连接过的主机IP地址。（答案格式如：192.168.1.233）

2、通过对检材的分析，请获取嫌疑人计算机连接“Cai-wifi”的无线WiFi密码。（答案格式如：li123456）

3、通过对检材的分析，请获取到嫌疑人计算机中Administrator用户的系统登录密码。（答案格式如：li123456，区分大小写）

4、通过对检材分析，发现嫌疑人电脑E分区进行了Bitlocker加密分区，请对检材进行取证非分析，找出解开加密分区的BitLocker 恢复密钥：（答案格式如: 111111-000000-111111-000000-111111-000000-111111-000000）

6、已知嫌疑人U盘检无法正常读取，请对U盘镜像做修复和数据恢复，计算其中“TXT文本”文件的MD5值。（答案格式如：41F930B015A8CE90E02AF3A2F8FB33AF，字母大写）

7、通过对U盘检材的分析，请找出其文件系统每个簇占用多少KB? （答案格式如：4）

8、通过对检材的分析，请找出嫌疑人张某的 U盘在其计算机系统中的设备GUID号。（答案格式如：{e5u27f8f-4ad8-11e2-aa3b-7ca21e17826e}）

9、通过对检材的分析，提取嫌疑人张某邮箱账号 jackzhang@126.com对应的密码。（答案格式如：123123123）
将得到的bitlocker密码解密E盘后，重新对E盘取证

10、通过对计算机检材中标准 JPG格式图片进行数据恢复，请找出物理扇区位置为 6801616的图片
照片的拍摄日期？（答案格式如：1990-9-10）

11、请对检材进行分析，找出嫌疑人张某曾经上传过文件的百度网盘账号。（答案格式如：abcd123区分大小写）

12、检材的综合分析，请找出郑某给嫌疑人张某发送非法获取的公民隐私信息数据所使用的邮箱账号。（答案格式如：abc@gmail.com）

13、检材的分析，请找出嫌疑人张某的 Skype账号。（答案格式如：6e82aae4d1624dfc，区分
大小写）

14、某经常通过其计算机里的某软件，远程连接访问其伪基站服务器站点，从而提取相关资
料，根据对该软件的分析找出记录有“伪基站服务器”站点的IP地址。（答案格式如：192.168.1.233）

15、检材的关联分析，请找出受害人“林火”在“米老鼠吧网站”上注册的用户名。（答案格式如：abc123，区分大小写）

16、疑人张某经常浏览 bbs.elecfans.com网站，并已注册成会员，请对检材进行分析找出张某
在该网站注册的账号对应的密码。（答案格式如：abc123，区分大小写）

17、张某从百度网盘下载了某个RAR压缩包文件，请计算该压缩包解压后文件的MD5值。（答案格式如：41F930B015A8CE90E02AF3A2F8FB33AF，字母大写）


MD5: 8269918F9520C8445A4D64B6A115267E

18、算机检材的取证分析，请找出该团伙“客服组”组长的手机号码。（答案格式如：
13812345678）

19、检材的分析，嫌疑人张某通过其计算机上传了某个文件到百度网盘，请找出上传该文件
总共耗时多少秒？（答案格式如：65）
86

20、通过对计算机检材进行分析，已知嫌疑人电脑中有个Excel文档（记录了技术组成员信息）被人为删除了，请恢复该文件并计算出其MD5值。（答案格式如：41F930B015A8CE90E02AF3A2F8FB33AF，字母大写）

MD5:6BEDD29DD27E294EF285B2064B5

21、在嫌疑人张某计算机 D:/photos/手机/文件夹中，有一张损坏的图片，无法正常打开，请想办法打开该图片，并找出照片中的内容（答案格式为：9090）

22、疑人张某计算机中有涉案封邮件被删除了，请找出该邮件，并计算该邮件附件（压缩包）
的 MD5值。（答案格式如：41F930B015A8CE90E02AF3A2F8FB33AF，字母大写）
MD5: 8269918F9520C8445A4D64B6A115267E

23、通过对检材的分析，请找出嫌疑人检材中保存的 VPN账号。（答案格式如：abc123，区分大小写）

Zhang668899

24、通过对检材的分析，请找出受害人李某因刷单被骗实际损失的总金额？（答案格式如：999）
4958-353+328=4933

25、过对检材的分析，请找出受害人林某用于“刷单”收款的支付宝账号。（答案格式如：
13812345678）
15759231438

26、过对安卓手机取证分析，请找出嫌疑人张某在随手记 APP中记录的“现金”账号金额是多少。（答案格式如：10000）
安卓手机取证，随手记APP，查看mymoney.sqlite库中的mymoney t_account表获取，路径：$ \分区1[hda0]\data\com.mymoney\databases\37518605-f12b-4a16-8e40-9dc7a4f96d79
36285

27、过对安卓手机取证分析，请找出嫌疑人张某在随手记 APP中记录的“现金”账号金额是多少。（答案格式如：10000）
（安卓手机取证，随手记APP，多表关联mymoney.sqlite库中的t_category和t_transaction，通过clientID关联字段可以获取）
14600

28、通过对检材分析发现，请找出受害人李天真的支付宝账号（答案格式如：13812345678）

29、过对检材的分析，请找出嫌疑人张某等人计划 2019年“五一”前后在“永定天子温泉”度
假的具体日期。（答案格式如：2019-05-05）

30、对检材的分析，请找出嫌疑人张某快手 APP昵称“zhangli123733”对应的账号。（答案格
式如：13812345678）

31、已知嫌疑人张某通过某 APP发布了几条“招聘兼职”的相关视频，请找出其提到的邮箱地址。（答案格式如：abc123@qq.com，区分大小写）

32、已知嫌疑人张某在 2019年 4月 27日驾车驶入过某万达广场，请找出嫌疑人的车牌号。（答案格式如：闽 F2Z9D8，字母大写）

33、通过对检材的分析，张某在 2018年08月29日17:38:31给某号码通过电话，请找出通话时长（秒）（答案格式如：10）
（$Case路径下$\我的移动设备\分区1[hda0]\media\0\HuaweiBackup\找到华为2018年备份文件，再用sqlite或手机大师进行备份文件解析，目标在calllog.db中，注意Unix时间戳要转换）
60

34、通过对检材的分析，张某在 2018年 08月 29日 17:55:59分发了一条短信，请找出该信息接收的
手机号码。（答案格式如：13812345678）
（$Case路径下$\我的移动设备\分区1[hda0]\media\0\HuaweiBackup\找到华为2018年备份文件，再用sqlite或手机大师进行备份文件解析，目标在sms.db中注意Unix时间戳要转换）
17859628390

35、在嫌疑人张某手机备忘录中发现了一条附带照片内容为“团队建设活动初定 9.30”的记录，请找出该照片并计算其 MD5值。（答案格式如：41F930B015A8CE90E02AF3A2F8FB33AF，字母大写）
在嫌疑人张某手机备忘录中发现了一条附带照片内容为“团队建设活动初定9.30”的记录，请找出该照片并计算其MD5值。（答案格式如：41F930B015A8CE90E02AF3A2F8FB33AF，字母大写）
（$Case路径下$\我的移动设备\分区1[hda0]\media\0\HuaweiBackup\找到华为2018年备份文件，再用sqlite或手机大师进行备份文件解析，注意Unix时间戳要转换。目标在memo数据库可以找到该条记录，通过时间关系可以找到对应的照片，结合media目录查看照片拍摄时间。）
D0F84B79852C92C14B6400269ECCBFD0

36、2018年 8月 28号 9:00-17:00有一条日程信息，请找出该条记录的标题内容。（答案格式如：创客攻坚事项）
（$Case路径下$\我的移动设备\分区1[hda0]\media\0\HuaweiBackup\找到华为2018年备份文件，再用sqlite或手机大师进行备份文件解析，目标在calendar.db中，注意Unix Unix时间戳要转换。
卓越刷客团队全体会议

37、请对安卓手机检材进行分析，嫌疑人张某通过百度地图 APP有两条搜索位置信息，请找出记录的位置名称。（答案格式如：北海湾酒店）
（$Case路径下$\我的移动设备\分区1[hda0]\media\0\HuaweiBackup\找到华为2018年备份文件，用手机大师进行备份文件解析）
特房波特曼酒店

38、通过对所给检材的分析，请找出该嫌疑人使用的 iCloud同步账号。（答案格式如：abc@icloud.com，区分大小写）

39、通过对检材的分析，请找出其嫌疑人微信 wxid_m4ss89d1qaad12绑定手机对应的 ICCID号。（答案格式如：860000a00000f0000000，区分大小写）
898602d51317f2070037

40、通过对检材的分析判断，嫌疑人张某目前居住的家可能位于哪里。（答案格式如：泉州市洛江区）

厦门市同安区

41、通过对检材的分析，请提取嫌疑人张某苹果手机加密备忘录中记录的 iCloud密码。（答案格式如：abc123，区分大小写）
（华为备忘录中有iCloud备忘录的密码，通过iTunes还原到新的苹果手机，输入密码直接查看备忘录）
zhang@200041

42、通过对检材的综合分析，请找出嫌疑人张某计算机硬盘中的加密容器的密码。（答案格式如：abc123，区分大小写）

zhangli99

43、通过综合取证分析，受害人钟某收到“招聘信息”短信的日期可能是。（答案格式如：2019-1-1）

44、通过综合取证分析，请找出张某的农业银行卡账号。（答案格式为622848007756452018）
对硬盘检材进行系统仿真在桌面的便签条（Sticky Notes）中
6228000080003296789

45、通过对所给检材的综合分析，请找出嫌疑人张某的百度网盘账号 mydisk447绑定的手机号码。
（答案格式如：13812345678）

17114532606

46、根据对检材的综合分析，请找出与嫌疑人张某微信好友“小范宣传”的真实姓名。（答案格式如：张三）

47、通过对检材的综合分析，请找出卓越团队背后总指挥“黄总”新的手机号码。（答案格式如：13812345678）
（解析：总指挥=黄志荣，在加密容器的人员名单里有提现-安卓备份中有黄志荣的手机号，并通过短信告知了张某他的新手机尾号181####3688，再通过华为手机通讯录中找到荣哥18159883688的号）

48、通过对检材进行综合分析，找出记录该团伙组织架构成员的“人员名单.xls”重要文件，并计算其 MD5值。（答案格式如：41F930B015A8CE90E02AF3A2F8FB33AF，字母大写）

A4E558E8AB7BB03FB392BD4143B0D3A9

49、通过对检材分析，请找出记录了嫌疑人张某使用过的伪基站设备产生的数据，其中 send.data文件中总共有记录多少条数据？（答案格式如：10000）

510738

50、通过对伪基站数据的分析，请找出给 IMSI号为460004811810669的卡发送过短信的手机号码。（答案格式如：13812345678）
（查看上面获取的wjz.rar解压后的imsi.db文件）
1356158994

51、通过对调取的基站数据进行分析，请找出与张某共同实施违法犯罪活动的同行同伙的手机号码。（答案格式如：13812345678）
（基站数据关联分析，前面已获取了张某手机号码（17859628390），再根据同时间、同地点、出现同号码，从而关联出同行人李某的手机号码（13850621652）
13850621652

52、通过对调取的基站数据并结合所给检材进行综合分析，请找出与张某共同实施违法犯罪活动的同行同伙的姓名。（答案格式如：张三）
（根据上题分析出张某同伙的手机号码，再结合前面发现的人员信息表可以判断是李昊）

53、通过对检材的综合分析，请找出嫌疑人张某手机尾号 8390移动卡对应的 IMSI号。（答案格式如：46000174897235）
（基站数据关联分析，前面已获取了张某手机号码（17859628390），再根据“厦门理工学院”基站数据中记录的IMSI号获取）
460003448603418

54、通过对检材的综合分析，嫌疑人通过兼职刷单为诱饵骗取受害人通过微信转账到“**鹏”的收款账号中，请分析出该收款二维码对应的微信账号。（答案格式如：Abc123，区分大小写）

55、请对所给服务器检材进行分析，写出该 Linux系统用户“hop”访问该系统的 IP地址。（答案格式：192.168.1.1）

57、请对所给服务器检材进行分析，请写出管理员安装“gcc-c+±4.8.5-39.el7.x86_64”编译器的时间。（答案格式如：12:12:12）

58、请对所给服务器检材进行分析，写出 raid磁盘组配置的条带是多少 KB？（答案格式如：321）