最新取证复习资料.docx

最新取证复习资料.docx

《最新取证复习资料.docx》由会员分享，可在线阅读，更多相关《最新取证复习资料.docx（12页珍藏版）》请在冰豆网上搜索。

最新取证复习资料

一、判断题

1.（）计算机取证一定要用取证软件来进行取证才能找到有效证据。

2.（）电子证据是指“以电子形式存在的、用作证据使用的一切材料及其派生物”。

3.（）收集到的电子证据只要是真实的就可以作为法庭的证据。

二、名词解释题.

1．动态取证.（内存数据,通讯状态,IE自动提交数据获取;通讯程序帐号/密码的获取;仿真运行的数据-例如财务数据/数据库）

取证人员依照法律规定和取证程序，由具有法律资格人员对于开机或者联网状态下的计算机及其相关计算机设备（包括交换机，路由器等）的内存数据，系统运行状态等进行相关的数据实时监控，分析和保存。

从中发现相关的犯罪证据，作出具有法律效应的检测分析报告以证明违法犯罪事实的存在。

（通常采用动态仿真系统，将待分析的硬盘中的操作系统模拟运行起来，然后再进行取证分析，提取一些在静态取证过程中无法获得的数据（如系统中已保存的各种密码），以及分析木马、恶意代码程序等）

2．静态取证.（各种存储介质的获取与复制）

取证人员依照法律规定和取证程序，由具有法律资格人员对计算机硬件的原始数据进行保全，检查，分析，然后从中找出与案件有关的数字证据，并作出具有法律效应的检测分析报告以证明违法犯罪事实的存在。

（就是直接分析硬盘中的文件内容，不需要将硬盘中的操作系统运行起来。

）

3．磁盘镜像.（指复制到相同功能的存储装置中以起到增强数据整合度，增强容错功能，增加吞吐量等作用。

指复制到不同的装置或数据格式，主要用于数据备份）

磁盘镜像”一词一般有两种不同含义。

一种是指复制到相同功能的存储装置中以起到增强数据整合度，增强容错功能，增加吞吐量等作用（如RAID）。

这时对应英文一般为DiskMirror，以下称为磁盘镜。

另一种含义是指复制到不同的装置或数据格式，主要用于数据备份。

这时对应英文一般为DiskImage，以下称为磁盘像。

通常在使用中这两者都称为“镜像”或“磁盘镜像”。

（：

又称磁盘映像，是将两个或两个以上的磁盘或磁盘子系统上生成同一个数据的镜像视图。

）

4．只读锁.（通过屏蔽写信号，确保不会修改犯罪嫌疑人的硬盘）

只读隔离保护器（只读锁）提供了计算机海量存储设备基于硬件的安全写保护方案，从硬件的层面阻止了写入通道，能有效的保护存储设备中的电子数据取证的安全性，数据能够从源盘读出来，但不会被意外修改，从而保证电子数据司法鉴定的有效性和数据完整性，是取证分析的必备工具。

（：

用于保护连接的硬盘中的数据，避免数据被篡改，确保电子介质的访问操作符合司法规范。

）

5．主动取证.

主动取证是指主动获取犯罪证据，作为证明犯罪者非法行为的电子数据证据的技术。

主要包括蜜网，蜜罐技术，动态监听与日志保全技术以及网络侦查陷阱。

6．司法鉴定.

司法鉴定是指在诉讼活动中鉴定人运用科学技术或者专门知识对诉讼涉及的专门性问题进行鉴别和判断并提供鉴定意见的活动。

7．证据固定.（应当提取什么样的电子证据，如何提取并有效的固定电子证据，是问题的关键。

1固定硬盘2部分文件的固定3固定易丢失的证据）

证据固定是为保护证据的完整性，真实性，原始性，对证据固定和封存。

针对电子证据的固定可分为，克隆硬盘，部分文件的固定，易丢失证据的固定。

（由于有些证据因各种原因可能随时灭失或者发生变化，从而影响证据的认定，因此需要通过一些方式，把这些证据及时固定下来。

）

8．MD5.（为计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护）

MD5全称是报文摘要算法常被用来验证网络文件传输的完整性，防止文件被人篡改。

此算法对任意长度的信息逐位计算，产生一个二进制长度为128位（十六进制长度为32位）的“指纹”（或称“报文摘要”），而不同的文件产生相同的报文摘要的可能性非常小

9．蜜罐技术

没有业务上的用途，因此所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷，主要用以监视、检测和分析攻击。

它用真实的或虚拟的系统模拟一个或多个易受攻击的主机，给入侵者提供一个容易攻击的目标，从而发现攻击者采用的手段。

.

（蜜罐好比是情报收集系统。

蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。

所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。

还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

）

10.数字隐藏.

数字隐藏（数据隐写术）是一种隐秘通信技术，它是将隐秘信息嵌入到其他正常媒体中，（如文本，图像，音频，视频）通过对藏有隐秘信息的载体的传输，实现隐秘信息的传递。

（或者：

数据隐写是将需要保密传输的信息隐藏在载体文件中，在载体文件的掩护下，秘密信息得以安全保密的传输，而且数据隐写术还可以和密码术进行有效的结合，进一步提高安全性）。

（：

或者采用将重要信息隐藏在一个看似平常的文件中来实现对重要信息的保密。

）

11.存储介质.（指存储数据的载体。

软盘、光盘、DVD、硬盘、闪存、U盘、CF卡、SD卡、MMC卡、SM卡、记忆棒（MemoryStick）、xD卡等）

存储介质是指存储数据的载体。

比如软盘、光盘、DVD、硬盘、闪存、U盘、CF卡、SD卡、MMC卡、SM卡、记忆棒（MemoryStick）、xD卡等。

目前最流行的存储介质是基于闪存（Nandflash）的，比如U盘、CF卡、SD卡、SDHC卡、MMC卡、SM卡、记忆棒、xD卡等。

12.硬盘柱面、扇区、磁道.（磁盘柱面：

所有盘面上的同一磁道构成一个圆柱

扇区：

信息以脉冲串的形式记录在这些轨迹中，这些同心圆不是连续记录数据，而是被划分成一段段的圆弧，每段圆弧叫做一个扇区（操作系统以扇区（Sector）形式将信息存储在硬盘上，每个扇区包括512个字节的数据和一些其他信息。

）

磁道：

磁盘在格式化时被划分成许多同心圆，这些同心圆轨迹叫做磁道

硬盘中，不同盘片相同半径的磁道所组成的圆柱称为柱面。

磁盘上的每个磁道被等分为若干个弧段，这些弧段便是磁盘的扇区。

硬盘的读写以扇区为基本单位

当磁盘旋转时，磁头若保持在一个位置上，则每个磁头都会在磁盘表面划出一个圆形轨迹，这些圆形轨迹就叫做磁道。

13.低格.（从硬盘生产厂家出品的硬盘通常还是“盲盘”，对其划分磁道和扇区这个工作必须完成以后才能在上面记录数据）

低级格式化就是将空白的磁盘划分出柱面和磁道，再将磁道划分为若干个扇区，每个扇区又划分出标识部分ID、间隔区GAP和数据区DATA等。

可见，低级格式化是高级格式化之前的一件工作，它不仅能在DOS环境来完成，也能在WindowsNT系统下完成。

而且低级格式化只能针对一块硬盘而不能支持单独的某一个分区。

每块硬盘在出厂时，已由硬盘生产商进行低级格式化，因此通常使用者无需再进行低级格式化操作。

（简称低格，也称硬盘物理格式化。

它的作用是检测硬盘磁介质，划分磁道，为每个磁道划分扇区，并根据用户选定的交叉因子安排扇区在磁道中的排列顺序。

）

14.MBR.（即主引导记录区，位于整个硬盘的0磁道0柱面1扇区。

它由两部分组成，分别是主引导记录MBR（mainbootrecord）和分区表DPT（diskpartitiontable）。

）

MBR，即主引导记录，是对IBM兼容机的硬盘或者可移动磁盘分区时，在驱动器最前端的一段引导扇区。

MBR描述了逻辑分区的信息，包含文件系统以及组织方式。

此外，MBR还包含计算机在启动的第二阶段加载操作系统的可执行代码或连接每个分区的引导记录（VBR）。

这个MBR代码通常被称为引导程序。

（：

主引导记录区，位于整个硬盘的0磁道0柱面1扇区。

它负责磁盘操作系统（DOS）对磁盘进行读写时分区合法性的判别、分区引导信息的定位，它由磁盘操作系统（DOS）在对硬盘进行初始化时产生的）

15.分区.（就是将硬盘划分为一个个的逻辑区域。

）

分区：

是物理磁盘的一部分，其作用如同一个物理分隔单元。

分区通常指主分区或扩展分区。

16.NTFS文件系统（是WindowsNT环境的文件系统。

）

是一个基于安全性的文件系统，它是建立在保护文件和目录数据基础上，同时照顾节省存储资源，减少磁盘占用量的一种先进的文件系统。

.

17.AES.

高级加密标准（英语：

AdvancedEncryptionStandard，缩写：

AES），在密码学中又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。

这个标准用来替代原先的DES，已经被多方分析且广为全世界所使用。

经过五年的甄选流程，高级加密标准由美国国家标准与技术研究院（NIST）于2001年11月26日发布于FIPSPUB197，并在2002年5月26日成为有效的标准。

2006年，高级加密标准已然成为对称密钥加密中最流行的算法之一。

（：

高级加密标准，在密码学中又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准）

18.DES.

DES全称为DataEncryptionStandard，即数据加密标准，是一种使用密钥加密的块算法，1976年被美国联邦政府的国家标准局确定为联邦资料处理标准（FIPS），随后在国际上广泛流传开来。

19.MAC地址.

MAC（MediaAccessControl或者MediumAccessControl）地址，意译为媒体访问控制，或称为物理地址、硬件地址，用来定义网络设备的位置。

在OSI模型中，第三层网络层负责IP地址，第二层数据链路层则负责MAC地址。

因此一个主机会有一个MAC地址，而每个网络位置会有一个专属于它的IP地址。

（物理地址、硬件地址，用来定义网络设备的位置。

）

20.IP地址.（互联网协议地址，是以TCP/IP协议进行数据通信的双方必须的、符合标准格式的节点（主机或路由器等）地址标识符，同一网络上联网的节点IP地址不能重复（冲突）。

）

IP地址是指互联网协议地址（英语：

InternetProtocolAddress，又译为网际协议地址），是IPAddress的缩写。

IP地址是IP协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。

目前还有些ip代理软件，但大部分都收费。

（互联网协议地址，IP地址是IP协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。

）

21.邮件客户端.（指使用IMAP/APOP/POP3/SMTP/ESMTP/协议收发电子邮件的软件。

用户不需要登入邮箱就可以收发邮件。

）

邮件客户端通常指使用IMAP/APOP/POP3/SMTP/ESMTP/协议收发电子邮件的软件。

用户不需要登入邮箱就可以收发邮件。

（指使用IMAP/APOP/SMTP/ESMTP协议收发电子邮件的软件。

用户不需要登入邮箱就可以收发邮件。

）

22.硬盘接口.（硬盘与主机系统间的连接部件，作用是在硬盘缓存和主机内存之间传输数据。

现在的硬盘接口综合起来说可以分成如下几种：

IDE（即ATA）、SCSI、IEEE1394（即火线）、SerialATA（串行ATA）与USB.）

硬盘接口是硬盘与主机系统间的连接部件，作用是在硬盘缓存和主机内存之间传输数据。

不同的硬盘接口决定着硬盘与计算机之间的连接速度，在整个系统中，硬盘接口的优劣直接影响着程序运行快慢和系统性能好坏。

（：

硬盘与主机系统间的连接部件，作用是在硬盘缓存和主机内存之间传输数据。

）

23.硬盘拷贝机.（指对硬盘进行复制，将硬盘的所有数据通过物理复制的方式进行克隆。

常规的拷贝方式包括：

硬盘到硬盘，分区到分区，硬盘到分区，分区到硬盘，硬盘到文件，分区到文件等方式。

）

是指对硬盘进行复制，将硬盘的所有数据通过物理复制的方式进行克隆。

（又称硬盘拷贝机、硬盘克隆机，它是司法过程中对嫌疑人计算机取证的常用工具之一。

用于硬盘对硬盘的复制，在