《电子数据取证理论技能考核试卷C》由会员分享,可在线阅读,更多相关《电子数据取证理论技能考核试卷C(7页珍藏版)》请在金锄头文库上搜索。
1、卷器W叶d电子数据取证理论技能考核试卷姓名:部门: 成绩:一、单项选择题(每题1.5分,共30分)1. 现场拍照一般建议的流程是:(B)A. 小区入口一房间一楼层、门牌号一主卧一电脑B. 小区入口一楼层、门牌号一房间一主卧一电脑C. 小区入口一主卧一房间一楼层、门牌号一电脑D. 小区入口一电脑一房间一楼层、门牌号一主卧2. 目前主流的硬盘接口,俗称“串口”的为:(D )A. ZIFB. SASC. IDED. SATA3. 以下哪些是属于常见的硬盘接口?( E )A. IDEB. SATAC. LIFD. SASE. 以上都是4. 需要一个记录有多数文件的文件签名特征及扩展名的数据库,即:(B
2、 )A. 签名库B. 文件签名库C. 文件库D. 文件属性库5. 文件头部包含了成为(C )的识别信息,同一类型文件的文件头部信息是相同的。A. 文件头B. 扩展名C. 签名D. 以上答案均不正确6. IMEI是国际移动设备身份码的缩写,国际移动装备识别码,是由(C )位数字 组成的电子串码,它与每台手机相对应,理论上该码是全世界唯一的。A. 14B. 16C. 15D. 187. 通常情况下,收集数据的获取由现场环境和取证条件而决定,不包括以下哪种情 况?( D )A、可视化获取 B、逻辑获取 C、物理获取 D、动态获取8. 手机数据物理获取是使用特定的方法或软硬件工具,将手机内部存储空间完
3、整获 取,以便进行后期调查分析,以下不是物理获取方法的是(C )A. 镜像采集终端获取B. JTAG获取C. 动态获取D. 焊接获取9. 手机无法与分析机正常连接的原因(D )A、手机驱动问题B、手机通讯模式问题C、手机数据线问题D、以上都是10. SCSI转换器用于将SCSI硬盘转换为标准(A )接口,从而与主机连接。A、SATAB、IDEC、SASD、LIF11. 开盘维修硬盘需要的环境(B )A、真空室B、无尘室C、氧气室D、自然环境12. SAS%( ),SATA%( B )A、全双工全双工B、全双工半双工C、半双工全双工D、半双工半双工13. 手机输入PIN码3次都错误,SIM卡会被
4、锁定,此时需要输入(B )码解锁。A. PINB. PUKC. PUK2D. PIN214. 现场勘验检査程序不包括(D )A. 保护现场B.收集证据C. 提取、固定易丢失数据D.智能检索15. 以下哪项不是电子物证技术对象(E)A. 计算机B.手机C.照相机D. SD卡E.收音机F.打印机二、多项选择题(每题2分,共40分)1. 可以用于证明案件事实的材料,都是证据,证据包括:(ABCD )A. 物证。B. 证人证言。C. 被害人陈述。D. 试听材料、电子数据。2. 什么决定电子物证是否被采信(ABCD )A. 人员资质B.取证程序C.正确方法D.取证装备3. 电子物证取证人员应具备的业务能
5、力(ABCD )。A. 深入理解法律法规B.专业调查的岗位技能C.专业的取证工具D.规范的调查流程4. 动态仿真包括哪些流程:(ABCD)A. 链接加载硬盘B. 点击“仿真系统”C. 选择系统分区与用户D. 确定“开始仿真”5. 下面哪些是嫌疑人可能采用的反取证手段:(ABCD)A. 对文档内容进行加密B. 使用数据擦除工具C. 使用硬盘加密工具D. 使用数据隐写工具6. 不属于数据动态存储的包括(ABC )A. 光盘B. U盘C. 磁盘D. 内存条7. Linux文件系统包括(ABCD )A. EXT2B. EXT3C. EXT4D. FAT8. 现场勘查过程中正确的操作有(AB )A. 不
6、要立即关闭正在打印的打印机B. 不要立即关闭处于开机状态的电脑C. 带有还原卡的电脑,按照正常关机程序关机D. 在嫌疑人电脑上安装取证软件9. 现场勘验时,确定重点搜索区域,何谓重点区域(ABCD )A. 有计算机的办公区域B. 服务器机房C. 重点人员办公室D. 财务室10. 关于文件签名的描述,不正确的有(AD )A. 文件签名只放于文件头部B. 文件签名可用于识别文件的真实类型C. 取证大师内置有文件签名库D. TXT文件也有文件签名11. 远程勘验的常见方法(ABC )A. 在线提取B. 截屏C. 录像D. SQL植入12. 哪些属于硬盘接口( ABD )A. IDEB. SATAC.
7、 ERSD. SAS13. 哪些不是镜像文件(AC )A. MTKB. IMGC. FFTD. VHD14. DC-8810取证魔方具有哪些功能(ABC )A. 硬盘复制B. 动态仿真C. 网络复制D. 磁盘修复15. 可以加载动态仿真的有(AB )A. 物理磁盘仿真B. 物理磁盘生产的镜像文件仿真C. 镜像文件仿真D. 以上都不可以16. 以下哪些是取证分析的步骤(ABCD )A. 新建案例B. 添加设备C. 自动取证D. 制作报告17. 常见的散列算法有(ABCD )A. MD4B. MD5C. SHA-1D. SHA-25618. 文件签名分析的结果有那几种(ABCD )A. 可疑签名B
8、. 坏签名C. 匹配D. 未知19. 造成丢失分区的原因有(ABCD )A.误分区B.主引导记录(MBR)扇区损坏C.误GHOSTD.扩展引导记录(EBR)扇区损坏20. 现场勘验检査程序包括(ABCDE )A. 保护现场B. 收集证据C. 提取、固定已丢失数据D. 在线分析E. 提取、固定证物三、判断题(每题1分,共10分)1. 对于现场勘查记录、拷贝复制文件时已经取得的电子物证内容,应专门询问案件当事人, 并详细记载回答内容,使询问笔录和其他证据相互印证。(v )2. 一般是先打开硬盘复制机电源开关再接入硬盘进行复制。(X )3. 禁止对象接触设备及任何电源,搜查对象身上可能存在的存储设备
9、,如U盘、MP3、 PDA、数码、手机等。(V )4. SCSI根据不同标准,接口有50针、68针、78针三种。(X )5. Micro-SATA转SATA转换卡用于将Micro-SATA硬盘转换成标准SATA接口,从而与主 机连接。(V )6. 已知木马文件的散列值,用它来与系统中文件进行比对,则可证明是否中了相同的木马。(V7. Flash存储器的存储寿命是有限的,不能无限制擦写。(V )8. 简体中文与繁体中文网页都可以采用UTF-8编码(V )9. 图片被删除,Thumbs.db中将不可能保存着该图片的缩略图(X )10. 常见的字符编码有 Unicode、UTF-8、GB2312、BIG5. ( V )四、简答题(每题10分,共20分)1. SATA与SAS硬盘的异同。10分2. 手机取证注意事项。10分
