《数据恢复与电子取证》习题二.docx

1、数据恢复与电子取证习题二数据恢复与电子取证习题2 一 不定项选择题（每小题1.5分，共10题，15分） 1数据恢复服务分类按故障种类可以分为哪几种？A.逻辑故障B.物理故障C.复合故障D.硬盘故障2哪些情况会导致我们无法进入系统？A.MBR损坏B.DBR损坏C.CMOS设置不正确D.主从盘设置不正确3操作系统的引导扇区通常位于磁盘的哪个位置？A.0磁道0柱面0扇区B. 0磁道0柱面1扇区C. 0磁道1柱面1扇区D.1磁道1柱面1扇区4当今市场上流行的主机信息存储技术，按其存储原理可以分为：A.电存储技术B.磁存储技术C.光存储技术D.半导体存储技术5Serial ATA与Ultra ATA相比

2、拥有哪些特点？A.Serial ATA采用串行方式传输数据B.Serial ATA采用比并行ATA更低的电压标准C.采用点对点协议，不存在并行ATA的主/从问题D.能够与目前的操作系统在软件上兼容，这就意味着不必更改目前的任何驱动程序和操作系统代码。6.当用户将需要数据恢复的设备送来时，需要向用户了解的信息有：A.数据丢失发生的原因，当时进行了什么操作，之后有无进行任何其他操作。B.存储设备的使用年限；容量大小，操作系统的版本和分区类型、大小。C.要恢复的数据在什么分区上，什么目录里；什么文件类型、大概数量。D.硬盘的品牌、转速。7下列属于域名解析的途径的有。A本地HOST文件B本地域名服务器

3、C远程域名服务器D根域名服务器8下列HTTP协议服务器响应状态码，哪些表示客户请求的页面已经被移走。A301B303C401D4039下列四条服务器日志哪些表示对方有攻击企图或行为？A2006-02-22 00:00:39 172.16.37.52 211.83.208.XXX 80 GETvvvccsscpp.css-304 Mozilla4.0+(compatible；+MSIE+6.0；+Windows+98)B2006-02-22 00:02:57 172.16.37.98 211.83.208.XXX 80 GETindex.asp -200 Mozilta4.0+(compatib

4、le；+MSIE+6.0；+Windows+98)C2006-02-22 03:23:42 172.16.XXX.XXX 211.83.208.XXX 80 HEADs criptswinntsystem32cmd.exec+dir 404D2006-02-22 03:27:11 172.16.xxx.XXX 211.83.208.XXX 80 GETmanagelogin.asp l-101404_Object_Not_Found 404 Mozilla4.75+en+(X11，+U；+Nessus)10下列哪些信息是网页浏览活动需要调查的内容？A浏览历史B浏览缓存内容CCookieD收藏站

5、点二 填空题（每空1.5分，共10空，15分）1操作系统以扇区（Sector）形式将信息存储在硬盘上，每个扇区包括_个字节的数据和一些其他信息。2一块硬盘有240个磁头，15505个柱面，每个磁道有63个扇区，那么这块硬盘的精确容量为_。3FAT文件格式一般将硬盘分为5个区域，分别是：主引导记录区、DOS引导记录区、_、_、_。4Windows下的分区有3种，即主分区、_、_。5MBR ，即主引导记录区，由两部分组成，分别是_、_。6假设硬盘的某一分区采取FAT16文件系统，已知簇的大小为32KB，那么该分区可分配的最大容量为_。三 名词解释（每小题5分，共4题，20分）1虚拟MBR2文件分配

6、表3计算机取证4磁盘镜像四 问答题（每小题10分，共3题，30分） 1如何理解高级格式化，它的作用是什么？2数据备份开始之前有哪些注意事项？3网络证据有哪些主要的来源？五、分析计算题（共20分，前8个字节每空0.5分，后8个字节每空2分）某一硬盘的分区表被破坏，已知这块硬盘的总扇区数为234441648，并假设此硬盘上第一个EBR所在扇区号为61432560。试完善此硬盘两个分区项的信息表。分区1分区2字节值含义字节值含义0活动分区0非活动分区1起始磁头号1起始磁头号2起始扇区号2起始扇区号3起始柱面号3起始柱面号4NTFS分区4扩展分区5结束磁头号5结束磁头号6结束扇区号6结束扇区号7结束柱面号7结束柱面号891011本分区之前已用的扇区数891011本分区之前已用的扇区数12131415本分区的总扇区数12131415本分区的总扇区数