第七届“美亚杯”中国电子数据取证大赛已圆满落幕。回顾竞技过程，许多参赛选手在解题时使用了取证小程序。在赛后复盘环节，团体赛职业组亚军江苏盐城市公安局“瓢城三少”的技术专家朱鸣众便在分享中提到，使用“office文档元数据解析” 取证小程序进行解题，快速获取到文档作者属性信息。这也说明取证小程序的简单便利和灵活拓展等优势特点得到了取证从业者的青睐与认可。

本次资格赛、团体赛的题量、检材数均为历届之最。其中，资格赛中涉及到“路由器日志”，团体赛中涉及“内存镜像”、“Office文档”等相关题目，相关取证小程序在神机小程序共享平台上均有上线，说明取证小程序在这次比赛中已被广泛应用。美亚柏科神机小程序研发团队对选手使用取证小程序快速解题的过程进行了如下梳理：

一、路由器日志解析

资格赛中出现“路由器日志”相关题目，推断可以使用 “路由器日志解析”小程序进行快速解题：

利用的小程序：

解题：

为了更加快速精准地解析赛题中给出的日志，在“本地”进入路由器日志解析小程序详情页面，如图所示进入开发模式：

在开发模式中修改第133行代码为图示：

点击右上角运行，等待结果出现。

运行“路由器日志解析”小程序后可以直接得到此份路由器日志中涉及的IP列表；在IP详细列表中执行题目选项所需的过滤：

命中文本字段发现过滤到的结果显示流向此IP的流量是通过21端口，而21端口为常用的FTP端口，因此AD可以作为备选项。通过进一步排查BCDE选项组合并不符合FTP特征。因此，在比赛过程中通过取证小程序得出的答案为AD。

二、内存镜像解析工具

团体赛中出现“内存”相关题目，推断可以使用 “内存镜像解析工具”小程序进行快速解题：

利用的小程序：

解题：

可以直接在解析结果对应的进程名称中查看到进程ID：

因此，在比赛过程中通过取证小程序得出的答案为6136。

可以直接在解析结果对应的进程名称中查看进程的执行日期及时间：

因此，在比赛过程中通过取证小程序得出的答案为CE。

三、Office文档元数据解析

团体赛中出现“office文档”相关题目，推断可以使用 “Office文档元数据解析”小程序进行快速解题：

题目：

利用的小程序：

解题：

使用“Office文档元数据解析”小程序进行解题：

因此，在比赛过程中通过取证小程序得出的答案为AC。

取证小程序不仅可以用于参加取证相关比赛，还能在日常工作中、生活中发挥作用。除了应用程序数据提取，还可利用取证小程序在取证过程中常用的实用小工具，扩展取证软件本身的功能；也可使用已有的数据获取接口，读取已提取到的数据进行研判分析，实现数据分析功能。

未来取证小程序将会持续扩展新接口，以便用户能快速实现完全自定义的取证功能和取证流程。在此，欢迎广大用户参与进来，共同建设取证小程序生态圈！

同时，“第三届”中国电子数据取证小程序大赛也正在如火如荼的进行中，对于取证行业感兴趣的朋友们抓紧时间报名！

对于美亚杯小程序解题和取证小程序大赛若还有疑问，欢迎至神机小程序共享平台交流区进行提问。

方法一：通过取证软件入口进入【神机小程序共享平台】-点击【交流区】-进行提问

方法二：通过钉钉入口进入【神机小程序共享平台】-点击【交流区】-进行提问