电子数据取证工作试题与答案Word文档下载推荐.docx
《电子数据取证工作试题与答案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《电子数据取证工作试题与答案Word文档下载推荐.docx(11页珍藏版)》请在冰豆网上搜索。
B2
C3
D4
7Linux系统中常见的文件系统是
AExt2/Ext3/Ext4
BNTFS
CFAT32
DCDFS
8MBR扇区通常最后两个字节十六进制值为(编码次序不考虑)
AAA11
B11FF
C55AA
D66BB
9Windows记事本不能保存的文本编码为
AANSI
BRTF
CUnicode
DUTF-8
10Windows中的“剪贴板”是。
A一个应用程序
B磁盘上的一个文件
C内存中的一个空间
D一个专用文档
11不属于简体中文编码的是
ABig5
BUFT-8
DGB2312
12操作系统以扇区(Sector)形式将信息存储在硬盘上,每个扇区包括()个字节的数据和一些其他信息。
A64
B32
C58
D512
13磁盘经过高级格式化后,其表面形成多个不同半径的同心圆,这些同心圆称为
A磁道
B扇区
C族
D磁面
14磁盘在格式化的时候被分为许多同心圆,这些同心圆轨迹叫做磁道,磁道是如何编号的
A由外向内从0开始编号
B由外向内从1开始编号
C由内向外从0开始编号
D由内向外从1开始编号
15当前大多数硬盘采用的寻址方式为
ACHS
BLBA
CAUTO
DLARGE
16断电会使原存信息消失的存储器是。
ARAM
B硬盘
CROM
17关于MBR的描述,错误的是
AMBR又称主引导记录
B分区表项存在MBR当中
CMBR中分区表可以记录多于4个分区的信息
DMBR中分区表有64字节大小
18关于MD5算法说法错误的是
A哈希算法就是MD5算法
BMD5算法可以用于验证数据的完整性
CMD5算法是不可逆的
DMD5算法可用于加密
19关于NTFS文件系统的描述,错误的是
ANTFS支持磁盘配额
BNTFS也使用簇作为文件存储的最小分配单位
CNTFS采用MFT表记录对象名称
D删除文件时,其实际数据被清除
20关于SATA的错误描述是
ASATA支持串行数据传输
BSATA不支持热插拔
CSATA接口最大传输速率比IDE快
D平展开的SATA数据线比平展开的IDE数据线更窄
二、多选
1DD镜像文件可以通过哪些方式生成
A硬盘复制机生成
B取证大师生成
CWinHex生成
DDD命令生成
2E01文件能够提供的功能有
A压缩功能
B哈希值功能
C密码保护功能
D提供元文件信息
3IE上网记录包括
A缓存记录
B历史记录
CCookies记录
DIE地址栏记录
4MBR中包含的信息有
A卷引导记录
BEBR信息
C主分区表
D55AA的签名标识
5调查取证当中的做法,错误的有
A在嫌疑人硬盘上安装取证软件进行取证
B先打开只读锁电源,再连接硬盘
C只读锁使用完毕后,先取走硬盘,再关闭电源
D现场嫌疑人电脑处于开机状态,应当立即关机
E硬盘复制机要接上只读锁再连接嫌疑人硬盘
6对涉毒嫌疑人硬盘进行调查,正确的描述有可以通过
A取证大师搜索上网记录
B可以通过涉毒关键字搜索上网记录
C搜索到的结果出现乱码需要通过选择合适的编码来查看
D已分配空间搜索不到的,需要进一步搜索未分配空间
7对于电子证物的处理那些操作是正确的
A手机运送过程中尽可能屏蔽手机信号
B开机状态的计算机要立即关机
C要记录线缆以及线缆和主机的连线方式
D电子证物只要注意防潮防震就行了
8对于取证相关原理的描述,错误的有
A相同内容的word文档与txt文档,其HASH值是不一样的
B通过HASH值可以反推出源文件的内容
CRAID0在存储数据时,同时备份数据
D硬盘复制机的复制速度可以突破接口的理论最大速度
FAT32支持磁盘配额
9高级格式化的作用包括
A建立扇区
B为硬盘创建文件系统
C为硬盘划分磁道
D对扇区进行分区内的编号
10关于RAID的描述,正确的有
ARAID又称廉价磁盘冗余阵列或独立磁盘冗余阵列
BRAID0中只要一个硬盘损坏,数据将丢失
CRAID1中只要一个硬盘损坏,数据将丢失
DRAID5至少要由3个磁盘组成
11关于U盘的描述,错误的有
AU盘里头通过磁头来读写数据
BU盘里头通过盘片来存储数据
CU盘取证不需要连接只读锁
DU盘在高级格式化时被划分成许多磁道
12关于磁盘分区的说法,错误的是
A磁盘分区后即可被操作系统存放数据
B通过高级格式化来分区
C通过低级格式化来分区
DWindows中同一个分区中可以存放不同文件系统格式的文件
13关于回收站文件夹,说法正确的有
A回收站文件夹具有系统属性
BWindows默认不会给U盘创建回收站文件夹
C回收站文件夹具有隐藏属性
D回收站文件夹中文件被清空,将不可以恢复
14关于回收站文件夹的描述,正确的有
B回收站文件夹具有隐藏属性
C回收站被清空后数据将不可恢复
D不同的Windows系统和不同文件系统中,回收站的名称不一定相同
15关于快捷方式文件,正确的有
A其文件扩展名为.lnk
B快捷方式文件包含了它所指向的目标文件名及其完整路径
C快捷方式文件包含了它所指向的目标文件的创建时间、最后访问时间和最后修改时间
D快捷方式文件包含了它所指向的目标文件所存储的卷的卷标信息
16关于取证大师文件属性过滤描述正确的有
A可以实现“隐藏文件”过滤
B使用“加密文件”过滤时,必须先执行加密文件分析
C使用“扩展名不匹配”过滤时,必须先执行文件签名分析
D可以实现EFS文件过滤
17关于日志解析,说法正确的有
A取证大师可以进行Windows日志解析
B取证大师可以进行IIS服务器日志解析
CWindows日志分为应用程序日志、安全日志和系统日志
D日志文件不一定放在默认的目录下
18关于散列算法的描述,正确的有
A散列算法即哈希算法
B散列算法可以用于进行数据完整性一致性校验
CMD5和SHA1是两种不同的散列算法
D散列值一般采用十六进制
E散列算法的输入到输出是不可逆的
19关于删除文件恢复,正确的有
A删除文件都可以恢复
B取证大师支持删除文件查找
C取证大师支持删除文件恢复
D文件恢复不一定可以恢复所有内容
20关于扇区概念的描述,错误的是
A扇区大小默认为4096字节
B扇区是文件系统可寻址的最小单位
C扇区大小一般是2的N次方
D文件都是存放在连续的扇区中
三、判断
1Big5是繁体字的一种编码格式
2CRC校验算法是字节顺序敏感的
3E01证据文件只能被EnCase取证软件所支持
4EnCase提供良好的基于windows的界面,右边是case文件的目录结构,左边是用户访问目录的证据文件的列表。
5FAT32文件系统向下兼容NTFS文件系统
6IDE接口硬盘可以支持热插拔7MBR扇区通常最后两个字节十六进制值为0x55AA
8RAID5磁盘阵列需要至少三块硬盘
9Shift+Del删除的文件是不可以恢复的
10WindowsServer2003的关机时要通过正常方式关机
11磁盘是计算机的重要外设,没有磁盘,计算计就不能运行。
12格式化操作不会破坏磁盘的信息。
13计算机证据的分析主要分为对主机数据的分析和对网络数据的分析。
14计算机证据的鉴定,就是针对收集和保全的计算机数据进行可信性的证明。
15取证大师的签名恢复功能可以根据文件签名恢复未分配空间中的指定类型的文件
16电子证据是指法庭上可能成为证据的以二进制形式存储或传送的信息。
17未分配空间一般没有什么内容,对取证分析意义不大
18文本样式的编码设置得不合理会导致查看的文本为乱码
19文件逻辑大小可以大于其物理大小
20相同文件系统下单个扇区容量会比簇的容量大
四、简答共(20)分
1、在现场有一块500GBSATA硬盘、一款智能手机(开机状态),请简要描述从其获取到取证分析之间所注意的事项。
2、在现场勘查时,发现有处于开机状态台式机,操作系统winXP,阐述获取此证物从拍照
到封存的整个操作过程,并举例列出在固定易丢失数据时应注意的数据形式。
3、在现场勘查时,主要考虑到电子数据获取的完整性和有效性,试从完整性角度描述对正在运行的DV、碎纸机和打印机的处理方式。
10分)
4、请写出电子数据现场勘查的基本流程(10分)
5、
(1)请尽量多的列出电子数据取证介质(取证对象)
(2)请尽量多的列出电子数据取证软件
答案:
单选:
1B2B3A4C5D6B7A8C9B
10C
11A
12D
13A
14A
15B
16A
17C
18A
19D
20B
多选
1A,B,C,D2A,B,C,D3A,B,C,D4A,C,D5A,B,C,D,E6A,B,C,D7A,C8B,C,D,E9B,D10A,B,D11A,B,C,D
12A,C,D
13A,B,C
14A,B,D
15A,B,C,D
16A,B,C,D
17A,B,C,D18A,B,C,D,E19B,C,D
20A,B,D
判断:
1正确
2正确
3错误
4错误
5错误
6错误
7正确
8正确
9错误
10正确
11错误
12错误
13正确
14正确
15正确
16正确
18正确
19错误
20错误
简答
要点:
1)获取时记录其具体位置
2)必要时现场记算硬盘哈希值硬盘放入证物袋,注意防磁等环境;
手机注意开关机状态,放入屏蔽袋;
3)准备一块不小于500GB的磁盘做目标盘
4)注意手机品牌,操作系统
密码
配件
要点
1拍照记录电脑整体状态,屏幕显示内容,主机接口连接
2周边相关配件
3注意易丢失数据,注意加密容器、加密文件、QQ等即时通讯数据的固定对一些关键数据、关键步骤应使用录像等方式记录,
重要的文件计算MD5值
4固定易丢失数据后,直接拔电源断电关机
5封条注意电源及输出接口
3、在现场勘查时,主要考虑到电子数据获取的完整性和有效性,试从完整性角度描述对正
在运行的DV、碎纸机和打印机的处理方式。
5、
(1)请尽量多的列出电子数据取证介质(取证对象)(10分)
升级会员 