收藏
下载资源

电子数据取证工作试题

上传人:枫** 文档编号:421973184 上传时间:2023-05-20 格式:DOCX 页数:19 大小:21.24KB
返回 下载 相关 举报
电子数据取证工作试题_第1页
第1页 / 共19页
电子数据取证工作试题_第2页
第2页 / 共19页
电子数据取证工作试题_第3页
第3页 / 共19页
电子数据取证工作试题_第4页
第4页 / 共19页
电子数据取证工作试题_第5页
第5页 / 共19页
点击查看更多>>
资源描述

《电子数据取证工作试题》由会员分享,可在线阅读,更多相关《电子数据取证工作试题(19页珍藏版)》请在金锄头文库上搜索。

1、电子数据取证工作试题一、单选1 CPU 的中文含义是。A 主机B 中央处理器C 运算器D 控制器2 DOS 命令实质上就是一段 。A 数据B 可执行程序C 数据库D 计算机语言3 E01 的块数据校验采用A CRC 算法B MD5 算法C SHA-1 算法D SHA-2 算法4 E01 证据文件分卷大小默认为A 4.7GB 600MC 640MD 700M5 FAT文件系统中,当用户按Shift+Del删除该文件后,以下描述正确的是?A 文件已经彻底从硬盘中删除B 文件已删除,但文件内容首字节被改为十六进制 E5C 还在回收站中,可用取证大师恢复D 文件已删除,但是数据还在,目录项首字节被改为

2、十六进制 E56 FAT 文件系统中通常有多少个 FAT 表?A 1B 2C 3D 47 Linux 系统中常见的文件系统是A Ext2/Ext3/Ext4B NTFSC FAT32D CDFS8 MBR 扇区通常最后两个字节十六进制值为(编码次序不考虑)A AA 11B 11 FFC 55 AAD 66 BB9 Windows 记事本不能保存的文本编码为A ANSIB RTFC UnicodeD UTF-810 Windows 中的“剪贴板”是。A 一个应用程序B 磁盘上的一个文件C 内存中的一个空间D 一个专用文档11 不属于简体中文编码的是A Big5B UFT-8C UnicodeD

3、GB231212操作系统以扇区(Sector )形式将信息存储在硬盘上,每个扇区包括()个字节的数据 和一些其他信息。A 64B 32C 58D 51213 磁盘经过高级格式化后, 其表面形成多个不同半径的同心圆, 这些同心圆称为。A 磁道B 扇区C族D 磁面14 磁盘在格式化的时候被分为许多同心圆,这些同心圆轨迹叫做磁道,磁道是如何编号的A 由外向内从 0 开始编号B 由外向内从 1 开始编号C 由内向外从 0 开始编号D 由内向外从 1 开始编号15 当前大多数硬盘采用的寻址方式为A CHSB LBAC AUTOD LARGE16 断电会使原存信息消失的存储器是。A RAMB 硬盘C RO

4、MD U盘17关于MBR的描述,错误的是A MBR又称主引导记录B分区表项存在MBR当中C MBR中分区表可以记录多于4个分区的信息D MBR中分区表有64字节大小18 关于 MD5 算法说法错误的是A 哈希算法就是 MD5 算法B MD5 算法可以用于验证数据的完整性C MD5 算法是不可逆的D MD5 算法可用于加密19 关于 NTFS 文件系统的描述,错误的是A NTFS 支持磁盘配额B NTFS 也使用簇作为文件存储的最小分配单位C NTFS 采用 MFT 表记录对象名称D 删除文件时,其实际数据被清除20关于SATA的错误描述是A SATA支持串行数据传输B SATA不支持热插拔C

5、SATA接口最大传输速率比IDE快D平展开的SATA数据线比平展开的IDE数据线更窄二、多选1 DD 镜像文件可以通过哪些方式生成A 硬盘复制机生成B 取证大师生成C WinHex 生成D DD 命令生成2 E01 文件能够提供的功能有A 压缩功能B 哈希值功能C 密码保护功能D 提供元文件信息3 IE 上网记录包括A 缓存记录B 历史记录C Cookies 记录D IE 地址栏记录4 MBR 中包含的信息有A 卷引导记录B EBR 信息C 主分区表D 55AA 的签名标识5 调查取证当中的做法,错误的有A 在嫌疑人硬盘上安装取证软件进行取证B 先打开只读锁电源,再连接硬盘C 只读锁使用完毕后

6、,先取走硬盘,再关闭电源D 现场嫌疑人电脑处于开机状态,应当立即关机E 硬盘复制机要接上只读锁再连接嫌疑人硬盘6 对涉毒嫌疑人硬盘进行调查,正确的描述有 可以通过A 取证大师搜索上网记录B 可以通过涉毒关键字搜索上网记录C 搜索到的结果出现乱码需要通过选择合适的编码来查看D 已分配空间搜索不到的,需要进一步搜索未分配空间7 对于电子证物的处理那些操作是正确的A 手机运送过程中尽可能屏蔽手机信号B 开机状态的计算机要立即关机C 要记录线缆以及线缆和主机的连线方式D 电子证物只要注意防潮防震就行了8 对于取证相关原理的描述,错误的有A 相同内容的 word 文档与 txt 文档,其 HASH 值是

7、不一样的B 通过 HASH 值可以反推出源文件的内容CRAID 0 在存储数据时,同时备份数据D 硬盘复制机的复制速度可以突破接口的理论最大速度FAT32支持磁盘配额9 高级格式化的作用包括A 建立扇区B 为硬盘创建文件系统C 为硬盘划分磁道D 对扇区进行分区内的编号10 关于 RAID 的描述,正确的有A RAID 又称廉价磁盘冗余阵列或独立磁盘冗余阵列B RAID0 中只要一个硬盘损坏,数据将丢失C RAID1 中只要一个硬盘损坏,数据将丢失D RAID5 至少要由 3 个磁盘组成11 关于 U 盘的描述,错误的有A U 盘里头通过磁头来读写数据B U 盘里头通过盘片来存储数据C U 盘取

8、证不需要连接只读锁D U 盘在高级格式化时被划分成许多磁道12 关于磁盘分区的说法,错误的是A 磁盘分区后即可被操作系统存放数据B 通过高级格式化来分区C 通过低级格式化来分区D Windows 中同一个分区中可以存放不同文件系统格式的文件13 关于回收站文件夹,说法正确的有A 回收站文件夹具有系统属性B Windows 默认不会给 U 盘创建回收站文件夹C 回收站文件夹具有隐藏属性D 回收站文件夹中文件被清空,将不可以恢复14 关于回收站文件夹的描述,正确的有A 回收站文件夹具有系统属性B 回收站文件夹具有隐藏属性C 回收站被清空后数据将不可恢复D 不同的 Windows 系统和不同文件系统

9、中,回收站的名称不一定相同15 关于快捷方式文件,正确的有A其文件扩展名为.InkB 快捷方式文件包含了它所指向的目标文件名及其完整路径C 快捷方式文件包含了它所指向的目标文件的创建时间、最后访问时间和最后修改时间D 快捷方式文件包含了它所指向的目标文件所存储的卷的卷标信息16 关于取证大师文件属性过滤描述正确的有A 可以实现“隐藏文件”过滤B 使用“加密文件”过滤时,必须先执行加密文件分析C 使用“扩展名不匹配”过滤时,必须先执行文件签名分析D 可以实现 EFS 文件过滤17 关于日志解析,说法正确的有A 取证大师可以进行 Windows 日志解析B 取证大师可以进行 IIS 服务器日志解析

10、C Windows 日志分为应用程序日志、安全日志和系统日志D 日志文件不一定放在默认的目录下18 关于散列算法的描述,正确的有A 散列算法即哈希算法B 散列算法可以用于进行数据完整性一致性校验C MD5 和 SHA1 是两种不同的散列算法D 散列值一般采用十六进制E 散列算法的输入到输出是不可逆的19 关于删除文件恢复,正确的有A 删除文件都可以恢复B 取证大师支持删除文件查找C 取证大师支持删除文件恢复D 文件恢复不一定可以恢复所有内容20 关于扇区概念的描述,错误的是A 扇区大小默认为 4096 字节B 扇区是文件系统可寻址的最小单位C 扇区大小一般是 2 的 N 次方D 文件都是存放在

11、连续的扇区中三、判断1 Big5 是繁体字的一种编码格式2 CRC 校验算法是字节顺序敏感的3 E01 证据文件只能被 EnCase 取证软件所支持4 EnCase 提供良好的基于 windows 的界面,右边是 case 文件的目录结构,左边是用户访 问目录的证据文件的列表。567891011121314151617181920四1、FAT32文件系统向下兼容NTFS文件系统IDE 接口硬盘可以支持热插拔MBR 扇区通常最后两个字节十六进制值为 0x55AARAID5 磁盘阵列需要至少三块硬盘Shift+Del 删除的文件是不可以恢复的Windows Server 2003 的关机时要通过正

12、常方式关机 磁盘是计算机的重要外设, 没有磁盘, 计算计就不能运行。 格式化操作不会破坏磁盘的信息。计算机证据的分析主要分为对主机数据的分析和对网络数据的分析。 计算机证据的鉴定,就是针对收集和保全的计算机数据进行可信性的证明。 取证大师的签名恢复功能可以根据文件签名恢复未分配空间中的指定类型的文件 电子证据是指法庭上可能成为证据的以二进制形式存储或传送的信息。 未分配空间一般没有什么内容,对取证分析意义不大 文本样式的编码设置得不合理会导致查看的文本为乱码 文件逻辑大小可以大于其物理大小 相同文件系统下单个扇区容量会比簇的容量大、简答 共(20)分在现场有一块500GB SATA硬盘、一款智

13、能手机(开机状态),请简要描述从其获取到取证分析之间所注意的事项。2、在现场勘查时,发现有处于开机状态台式机,操作系统winXP,阐述获取此证物从拍照到封存的整个操作过程,并举例列出在固定易丢失数据时应注意的数据形式。3、在现场勘查时,主要考虑到电子数据获取的完整性和有效性,试从完整性角度描述对正在运行的DV、碎纸机和打印机的处理方式。4、请写出电子数据现场勘查的基本流程(10 分)5 、( 1)请尽量多的列出电子数据取证介质(取证对象)( 10 分)(2)请尽量多的列出电子数据取证软件答案:单选:1B2B3A4C5D6B7A8C9B10 C11 A12 D13A14A15B16A17C18A

14、19D20B多选1A,B,C,D2A,B,C,D3A,B,C,D4A,C,D5A,B,C,D,E6A,B,C,D7A,C8B,C,D,E9B,D10A,B,D11A,B,C,D12A,C,D13A,B,C14A,B,D15A,B,C,D16A,B,C,D17A,B,C,D18A,B,C,D,E19B,C,D20A,B,D判断:1 正确2 正确3 错误4 错误5 错误6 错误7 正确8 正确9 错误10 正确11 错误12 错误13 正确14 正确15 正确16 正确17 错误18 正确19 错误20 错误简答1、在现场有一块500GB SATA硬盘、一款智能手机(开机状态),请简要描述从其获取到取 证分析之间所注意的事项。要点:1)获取时记录其具体位置2)必要时现场记算硬盘哈希值 硬盘放入证物袋,注意防磁等环境; 手机注意开关机状态,放入屏蔽袋;3 )准备一块不小于500GB的磁盘做目标盘4)注意手

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 建筑资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号