电子物证专业考试复习题库（含答案）

PAGEPAGE76电子物证专业考试复习题库（含答案）一、单选题1.IP地址172.16.128.19是()。A、Internet地址B、环回地址C、MAC地址D、私有地址答案：D2.电子邮箱是(),具有指向特定人的特点。A、网络特征B、标识特征C、唯一特征D、准确特征答案：A3.如果对象将多个JPEG图片的文件的扩展名改为其他名称,需要通过()可以快速找到这些文件?A、散列值比对(MD5)B、散列值比对(SHA-1)C、文件签名分析D、以上答案均不正确答案：C4.以下属于MAC地址的是?()。A、72.168.1.1B、255.255.255.0C、1C-4B-D6-AD-26D、1C-4B-D6-AD-26-D7答案：D5.域名通常与下面哪个相对应?()A、MAC地址B、网络C、IP地址D、以上都不是答案：C6.不能用来进行数据恢复的工具软件是()。A、EncaseB、ExifShowC、EasyRecoveryD、FinalData答案：B7.扩展名为PNG文件通常是一个()。A、视频文件B、音频文件C、文本文件D、图片文件答案：D8.以下关于文件删除的说法中,不正确的是:()A、文件目录项的首字节改变为十六进制值E5。B、文件数据所占的簇被更新为未分配状态。C、文件数据被填充为00h。D、文件的数据仍然保留在原位置。答案：C9.能深入操作系统底层查看slack空间、未分配空间等数据的工具是()。A、EasyRecoveryB、FinalDataC、NslookupD、Encase答案：D10.下接口中是显示器接口的是()A、VGAB、PCI-eC、SATAD、IDE答案：A11.安卓手机的软件安装包格式为()A、msiB、exeC、apkD、ipa答案：C12.电子证据、数字证据、计算机证据三者之间的关系是()。A、电子证据包含数字证据、数字证据包含计算机证据B、电子证据包含计算机证据、计算机证据包含数字证据C、计算机证据包含电子证据、电子证据包含数字证据D、数字证据包含电子证据、计算机证据包含电子证据答案：A13.在Windows操作系统中用于打开注册表编辑器的命令是()。A、msconfigB、openC、regeditD、read答案：C14.关于日志分析,错误的是:()A、删除但未被覆盖的日志可以进行日志恢复B、可以通过关键词搜索查找被删除的日志C、日志分析无法定位攻击者的操作D、日志分析可以查看入侵者访问网页木马的相关信息答案：C15.Windows操作系统怎么在命令行里面查看ip详细信息()A、ipconfigB、ifconfigC、ipconfig/allD、ifconfig/all答案：C16.windows系统中拥有最高权限的用户是()A、administratorB、adminC、rootD、guest答案：A17.下列属于计算机输出设备的是()。A、打印机B、键盘C、鼠标D、扫描仪答案：A18.可以同时查看本机IP地址和MAC地址的命令是()。A、pingB、dirC、FormatD、ipconfig/all答案：D19.通常一个完整的邮件通常不包括()。A、邮件头B、正文C、附件D、邮件尾答案：D20.按照检验过程,电子物证检验的四个阶段是()。A、案件受理——提取数据——检验数据——分析数据并得出结果B、案件受理——提取数据——检验数据——形成鉴定文书C、提取数据——检验数据——分析数据并得出结果——形成鉴定文书D、提取数据——分析数据——检验数据——形成鉴定文书答案：C21.下列属于基本系统进程的是()A、winlogon.exeB、termsvr.exeC、wins.exeD、snmp.exe答案：A22.在进行电子物证检验时,如果嫌疑人将多个JPEG图片的扩展名改为了其他名称,需要通过()方法才能找到这些文件。A、散列值比对B、关键字搜索C、文件签名分析D、文本风格比对答案：C23.在计算机系统里,硬盘的每扇区的默认大小为:()A、512字节B、1024字节C、512位D、1024位答案：A24.下面关于计算机证据、电子证据和数字证据概念之间关系表述正确的是()。A、电子证据是数字证据的一个子集B、电子证据就是计算机证据C、数字证据是计算机证据的一个子集D、数字证据是电子证据的一个子集答案：D25.安卓手机连接电脑获取数据需要在手机中打开什么设置()A、开发者模式B、测试者模式C、使用者模式D、高级模式答案：A26.下面输出长度可以为512位的Hash算法的是()A、MD5B、SHAC、CRCD、SUM答案：B27.IPv6规定的IP地址长度是()位。A、32B、64C、128D、256答案：C28.对存储介质只读设备的作用叙述不正确的是()。A、能使证据盘数据的属性不发生变化B、保证取证和检验过程的有效性C、对源存储介质做逐位精确的备份D、可方便地将证据盘接入计算机取证专用设备,直接进行取证和分析答案：C29.电子证据是由电子设备存储或传输的有侦查作用或证据价值的电子信息及()。A、所属硬件B、派生物C、软件D、程序答案：B30.在MBR扇区中用于描述分区表信息的信息长度为:()A、16字节B、32字节C、64字节D、128字节答案：C31.扩展名为WPS文件通常是一个()。A、视频文件B、音频文件C、文本文件D、图片文件答案：C32.安卓系统可以使用什么命令对应用及其数据进行备份()A、ad(B)B、shellC、backupD、mount答案：C33.多备份原则属于下列哪个过程()A、证据发现B、证据提取C、证据分析D、证据保全答案：D34.以下哪个对象无法计算散列值:()A、FAT分区上的文件夹B、文件C、物理硬盘D、逻辑分区答案：A35.现在手机的通讯标准不包括为()A、2GB、4GC、5GD、6G答案：D36.信息都是通过各种()在计算机中进行存储的.A、字符编码B、字符串C、数字答案：A37.在一个驱动器上,最小的可以写入数据的单位为________,在一个文件系统上,最小的可以写入数据的单位为________.()A、比特和字节B、扇区和簇C、卷和驱动器D、内存和磁盘答案：B38.文件签名一般在文件的()位置A、文件头B、文件尾C、文件中间D、以上都正确答案：A39.计算机中有许多存储信息容量的单位,下面说法正确的是()。A、1TB=1024MBB、1MB=1024×1024×1024BC、1GB=1024×1024KBD、1MB=1024B答案：C40.只要某个地方的电缆断开或一个节点出现问题,整个网络就会崩溃的网络拓扑结构是()。A、星型结构B、环型结构C、树型结构D、总线型结构答案：D41.在一个文件的物理大小和逻辑大小之间存在的区域我们称之为()。A、未使用磁盘空间B、文件残留区C、未分配扇区D、未分配簇答案：B42.不属于电子数据证据特点的是()。A、易破坏性B、易复制性C、易传播性D、易恢复性答案：D43.电子物证鉴定意见可以作为案件侦查线索或()。A、结论依据B、法庭证据C、研究基础D、理论标准答案：B44.()不是电子邮件所用的编码。A、Base64B、UnicodeC、R-StudioD、Quoted-Printable答案：C45.数据不能装满操作系统所定义的最小块时剩余的空间是()。A、未分配空间B、物理空间C、逻辑空间D、slackspace答案：D46.在FAT文件系统中,文件的真实类型数据存储在()中。A、DBRB、FATC、FDTD、DATA答案：D47.扩展名为DOCX文件属于()结构。A、dbB、xmlC、emfD、mdb答案：B48.常见的加密方法不包含:()A、系统设置法B、软件加密法C、硬件加密法D、社会工程学答案：D49.计算机中存储的信息采用的是()。A、二进制B、八进制C、十进制D、十六进制答案：A50.注册表五大根键的数据保存在()文件中。A、操作系统日志B、配置单元C、服务器日志D、数据库日志答案：B51.下列()属于图像格式。A、MP3B、MP4C、JPGD、MOV答案：C52.()不是Windows下克隆硬盘时使用的软件工具。A、ddB、SafebackC、SnapBackD、Encase答案：A53.从事电子物证检验与分析的人员,应当取得()才能从事电子物证检验与分析工作。A、电子数据鉴定人资格证书B、培训证书C、勘查证D、相关专业毕业证答案：A54.关于Encase软件的使用方法叙述错误的是()。A、过滤器只能根据文件属性查找相关文件信息B、查询可以搜索文件残留区内的相关信息C、关键字搜索可以根据文件内容查找相关文件信息D、关键字搜索可以搜索文件残留区和未分配空间内的相关信息答案：B55.以下说法中正确的是()。A、对于鉴定意见不一致的案件,由高级鉴定人员出具鉴定文书B、鉴定文书需两名以上人员签字有效C、鉴定单位对送检材料有权自行处理,无需征求送检单位意见D、鉴定过程中要对使用的检验方法进行详细记录,而对检验环境不做要求答案：B56.在Linux系统上,用什么命令获取MAC地址()A、ipconfigB、ifconfigC、ipconfig-aD、ifconfig–a答案：C57.以下关于文件删除的说法中,不正确的是:()A、文件目录项的首字节改变为十六进制值E5B、文件数据被填充为00hC、文件数据所占的簇被更新为未分配状态D、文件的数据仍然保留在原位置答案：B58.通过查看数码相机拍摄照片的()信息,可以对其原始性进行检验。A、EXIFB、EXTFC、EIXFD、EFIX答案：A59.关于只读设备的描述,错误的是:()A、只读设备可以防止证据源不被修改B、只读设备可能会有读写开关C、只读锁可以有IDE/SATA/SCSI等各类接口D、8750Pro只读锁通过IDE接口与分析主机相连答案：D60.SHA-1哈希算法输出数据的长度是()位。A、160B、128C、256D、512答案：A61.数据库常用的数据模型不含有下面哪项()A、层次模型B、网状模型C、关系模型D、数据模型答案：D62.不属于常见文件系统的是:()A、FAT32B、NTFSC、EXT2D、UPS答案：D63.NTFS采用什么来记录文件的名字、起始位置与分配空间?()A、FAT表B、$BitmapC、MFT表D、MBR答案：C64.硬盘中的DBR是()时创建的。A、格式化B、分区C、创建文件D、计算机启动答案：A65.下列不属于现场勘查取证的基本原则是()A、不损害原则B、避免使用原始证据原则C、记录所做操作D、第三方记录原则答案：D66.解除冻结电子数据的,应当在()日内制作协助解除冻结通知书,送交电子数据持有人、网络服务提供者或者有关部门协助办理。A、1B、2C、3D、4答案：C67.在现场不关闭电子设备的情况下直接分析和提取电子系统中的数据属于()。A、收集证据B、提取固定易丢失数据C、电子证据检查D、在线分析答案：D68.以下不是操作系统的是()。A、NetWareB、DreamweaverC、UNIXD、WindowsXP答案：B69.扩展名为.BMP的文件通常是一个()A、视频文件B、音频文件C、文本文件D、图片文件答案：D70.下面可用于测试网络是否连通的命令是()。A、pingB、tracertC、nslookupD、ipconfig答案：A71.以下()字符串是正确的MD5散列值。A、C3030772311CE42BE4AEE12A618DD262B、C09EAF8B227BD6F8271G7A07ED7C09EA20181C、A15F88AD972F674DB10B4FF88A15D7E784370ADF88AD、ABE3D46F09683D6EB答案：A72.下面不支持单个文件大于4GB的文件系统是()。A、FAT32B、NTFSC、exFATD、以上均不支持答案：A73.能把多块独立的物理硬盘按不同方式组合起来形成一个逻辑硬盘,并能提供比单个硬盘更高的性能及数据冗余功能的是()。A、简单磁盘捆绑技术B、跨区卷技术C、RAID技术D、JBOD技术答案：C74.以下不属于电子物证综合检验分析软件的是()。A、FTKB、UFSC、EncaseD、X-ways答案：B75.常用的命令中,()可以检查某系统是否存在,测试你自己的网卡,测试某一域名的IP地址。A、pingB、mstsC、cmdD、ip答案：A76.分配给某个文件的区域但没有被占满的空间称为()。A、未分配空间B、松弛空间C、自由空间D、多余空间答案：B77.在电子物证检验中,用于搜索手机尾号是86正确的grep语法表达式是()。A、1#{8}86B、1#{9}86C、1[3578]#{4}86D、1{3578}#{4}86答案：A78.计算机系统时间提取的正确方法是:()A、记下取证人员赶到现场时手表上提示的日期和时间B、打开计算机,记下计算机系统日期和时间C、打开计算机,记下计算机系统日期和时间,并记录下与当前标准日期和时间的差值D、打开机箱,拔下硬盘数据线和电源线,开机进入BIOS,记录显示的系统日期和时间,并记录与当前标准时间的差值答案：D79.勘查现场嫌疑人计算机处于开机状态,正常的操作是:()A、直接关机,现场拆卸嫌疑人计算机硬盘并连接只读锁作现场取证工作B、在嫌疑人计算机上安装取证软件作现场取证工作C、直接关机,现场拆卸嫌疑人计算机硬盘并连接复制机生成副本D、固定易丢失数据后关机并封存答案：D80.下列软件中,哪一个属于系统软件()。A、PhotoshopB、Windows7C、WinzipD、Excel答案：B81.在EnCase中,可用于检验文件内容一致性的方法是()。A、哈希值B、文件头C、访问时间D、文件签名答案：A82.()是数据库系统中所有更新活动的操作序列。A、数据库日志B、数据库文件C、MDF文件答案：A83.下面可以验证电子文档内容是否被改过的命令是()。A、FormatB、MD5SumC、dirD、Ipconfig答案：B84.00-13-CE-B7-B6-BA是()。A、IP地址B、环回地址C、MAC地址D、私有地址答案：C85.以下软件中,()不是操作系统。A、Windows10B、unixC、linuxD、WPS答案：D86.下面不是Windows操作系统日志文件的是()。A、系统日志B、应用程序日志C、安全性日志D、用户操作日志答案：D87.传输控制协议(TCP)位于OSI七层协议的()。A、物理层B、数据链路层C、网络层D、传输层答案：D88.下面软件中,可以用来读取手机SIM卡中的数据的是()。A、ExifReaderB、SIMManagerC、FoxMailD、diskcopy答案：B89.硬盘的分区可由DOS外部命令()来实现。A、FdiskB、dirC、ipconfigD、Format答案：A90.下面不是数据库的是()。A、OrcaleB、SyBaseC、SQLServerD、Nslookup答案：D91.下列()不属于视频格式。A、MP3B、MP4C、JPGD、MOV答案：C92.一个MBR可以分几个主分区()A、3B、5C、4D、2答案：C93.下面属于电子数据取证的是()。A、现场勘验检查B、远程勘验C、电子物证检验D、以上都是答案：D94.集成电路卡识别码也称为()。A、IMSIB、MEIDC、ICCIDD、IMEI答案：C95.下列哪些不是硬盘接口()A、IDEB、SASC、SATAD、HDMI答案：D96.收集、提取电子数据,应当由()名以上侦查人员进行。A、1B、2C、3D、4答案：B97.在FAT文件系统中,根目录的首地址存储在()中。A、DBRB、FATC、FDTD、DATA答案：A98.在一个文件的物理大小和逻辑大小之间在的区域我们称之为什么:()A、未使用磁盘空间B、未分配簇C、未分配扇区D、文件残留区答案：D99.进行文件一致性检验时,经过MD5演算后得到的散列值是()。A、32bitB、64bitC、128bitD、256bit答案：C100.如果查到的IP地址为192.168.7.69,这是一个()。A、公有地址B、私有地址C、A类IP地址D、动态IP地址答案：B101.手机安卓系统是哪个公司开发()A、微软B、GoogleC、诺基亚D、Intel答案：B102.以下()字符串是正确的MD5散列值。A、EBABE3D46F09683D6EBB、F8B227BD6F8271G7A07ED7C09EA2018111FDC、D972F674DB10B4FF88A15D7E784370ADF88AC33D、D3030772311CE42BE4AEE12A618DD262答案：D103.查询某域名对应的IP地址的网络命令是()。A、FPortB、IpconfigC、Ipconfig/allD、Nslookup答案：D104.拥有技术成熟、性能稳定、容量大、价格低等优点的硬盘是()。A、机械硬盘B、固态硬盘C、混合硬盘答案：A105.下面属于加密算法的是()。A、EFSB、MSNC、NTFSD、FAT答案：A106.SATA3.0的传输速率是()。A、6.0Gb/sB、6.0GB/sC、3.0Gb/sD、3.0GB/s答案：A107.下面不属于复合型文件的是()。A、压缩文件B、注册表文件C、记事本文件D、OFFICE文件答案：C108.当我们查看一个文件的属性时,可以看到文件的大小、创建时间、修改时间、访问时间等属性。其中文件的大小指的是()。A、文件实际占用的扇区数B、文件实际占用的字节数C、文件实际占用的簇数D、以上所有描述均正确答案：B109.勘查现场嫌疑人计算机处于关机状态,正常的操作是:()A、重新开机运行操作系统并安装取证软件作现场取证工作B、重新开机运行操作系统固定易丢失数据后关机并封存C、现场拆卸嫌疑人计算机硬盘并连接只读锁作现场取证工作D、封存计算机答案：D110.目前的硬盘转速没有()。A、3600rpmB、7200rpmC、10000rpmD、15000rpm答案：A111.()是CDMA手机的身份识别码,也是每台CDMA手机或通讯平板唯一识别码A、MEIDB、IMEIC、IMSID、ICCID答案：A112.磁盘在格式化时被划分成许多同心圆,这些同心圆轨迹就叫做()A、磁道B、扇区C、柱面D、簇答案：A113.现场勘查人员必须是经过现场勘查相关的培训才能执行勘查任务,因为现场勘查工作是后续所有取证分析工作的基础,是保证证据的()的第一步A、司法有效性B、科学性C、多样性D、合理性答案：A114.()是可交换图像文件的缩写,是一个为数码相机使用的图像文件格式而制定的标准规格。A、JPEGB、ExifC、GIFD、BMP答案：B115.在UNIX系统中,每个文件在系统中有一个(),其中包含文件所有者的详细信息、文件的权限、文件的时间信息、文件的类型等信息。A、i-nodeB、C/H/SC、分区D、簇答案：A116.针对诺基亚手机的取证,连接数据线后需要在手机屏幕上选择什么模式?()A、PC套件B、大容量存储C、多媒体传送D、将PC连接至互联网答案：A117.可以进行文件一致性检验的命令是()。A、FormatB、dirC、MD5SumD、Ipconfig答案：C118.一个完整的计算机系统通常包括()。A、硬件系统和软件系统B、机算机及其外部设备C、主机、键盘与显示器D、办公软件和应用软件答案：A119.取相关的易丢失电子数据,并保护存储介质中的静态数据不被修改或破坏是指()A、取证准备B、证据识别C、证据收集D、证据提取及固定答案：D120.远程勘验结束后,应当及时制作()。A、远程勘验工作记录B、鉴定文书C、工作记录D、勘查笔录答案：A121.Windows系统为曾经打开过的文档在Recent文件夹中建立文件的文件类型是()。A、.lnkB、.xlsC、.dbxD、.exe答案：A122.IPv6地址的长度由()个字节组成。A、4B、8C、16D、32答案：C123.安卓6.0系统手机所采用的数据区加密方式为()A、文件加密B、全磁盘加密C、特殊加密D、极限加密答案：B124.电子证据的固定与封存是保证电子证据完整性、真实性和原始性的操作规程,目的就是通过制定严格的取证规则,从程序上规范取证过程,确保电子证据的()。A、完整性B、有效性C、真实性D、原始性答案：B125.下面可以获得网卡MAC地址的命令是()。A、pingB、ipconfigC、tracertD、nslookup答案：B126.提取当前屏幕显示的内容作为证据,可使用键盘上的()键A、ScrollB、PrintC、DelD、工作对象答案：B127.MD5的哈希值是()位的十六进制字符。A、16B、32C、64D、128答案：B128.以下哪个不是手机的操作系统。()A、SymbianOSB、GoogleAndroi(D)C、AppleiOSD、LINUX答案：D129.属于新式硬盘,简称为SSD的硬盘是()。A、机械硬盘B、固态硬盘C、混合硬盘答案：B130.在计算机中用于标识二进制数的字母是()。A、BB、CC、DD、E答案：A131.下列哪种存储设备在断电后其存储信息会很快丢失?()A、ROMB、U盘数据C、RAMD、硬盘数据答案：C132.在电子证据取证过程中,核心和关键的一步是()。A、保护现场和现场勘查B、分析数据C、追踪D、提交结果答案：B133.在NTFS文件系统中,最小的分配单位()。A、簇B、扇区C、1KBD、字节答案：A134.下面对电子物证检验对象说法错误的是()。A、包括各种电子设备和部件B、包括电子设备中储存的电子信息C、不包括电子设备中传输的电子信息D、包括磁盘未分配空间中的信息答案：C135.下面用于和内存交换数据的文件是()。A、page.sysB、pagefiles.sysC、pagefile.sysD、file.sys答案：C136.哪些操作易磨损硬盘,故不应经常使用。()A、高级格式化B、低级格式化C、硬盘分区D、向硬盘拷贝文件答案：B137.在电子证据检查中,通过已知内容设置(),对存储设备的数据文件或二进制数据进行搜索,是数据检验的有效方法。A、时间B、条件C、关键字D、位置答案：C138.IDE、SCSI、SATA和SAS描述了()设备的接口类型。A、CPUB、U盘C、硬盘D、RAM芯片答案：C139.关于服务器服证,错误的是:()A、服务器关机时一般采用正常关机方式B、服务器一般采用IDE硬盘C、在RAID阵列中会有多块硬盘D、非正确关闭服务器可能会导致数据库出错答案：B140.一个字节等于()位。A、8B、16C、32D、64答案：A141.用来检验数码照片属性的软件工具有()。A、ExifReaderB、SafebackC、WhoisD、EasyRecovery答案：A142.在电子物证检验中,用于检验文件内容是否被修改的技术方法是()。A、散列值分析B、文件扩展名分析C、文件加密分析D、文件签名分析答案：A143.所有计算机(节点)都连到中心节点上的网络拓扑结构是()。A、星型B、环型C、双星双环型D、总线型答案：A144.以下哪个信息是手机身份的唯一标识符()A、GPTB、UUIDC、IMEID、IEEI答案：C145.在现场实施勘验,提取、固定现场存留的与案件有关的电子证据和其他相关证据属于()A、现场勘查B、远程勘验C、电子证据检查D、电子证据分析答案：A146.文件签名恢复是根据()特征进行恢复文件的。A、文件头B、扩展名C、文件内容D、以上都是答案：A147.在进行硬盘克隆时,对目标盘的要求叙述正确的是()。A、无论是新的目标盘或用过的目标盘,对其容量都没有特殊要求B、如果是新的目标盘,直接将源盘中的数据进行复制即可C、如果是用过的目标盘,将里面的数据全部删除即可D、如果是用过的目标盘,要用专用设备对其先进行严格擦除答案：D148.电子证据取证步骤是()。A、追踪→分析数据→保护现场和现场勘查→提交结果B、保护现场和现场勘查→分析数据→追踪→提交结果C、追踪→保护现场和现场勘查→分析数据→提交结果D、保护现场和现场勘查→分析数据→提交结果→追踪答案：B149.苹果手机连接电脑获取数据可以使用以下哪种软件()A、ItunesB、AD(B)C、ED(B)D、GDB答案：A150.未使用的空间和文件删除后未再分配的空间是()。A、文件碎片空间B、空闲空间C、未分配空间D、逻辑文件空间答案：C151.针对WindowsMobile手机的取证,连接数据线后需要在手机屏幕上选择什么模式?()A、PC套件B、ActiveSyncC、多媒体传送D、系列模式答案：B152.扩展名为.mp3的文件通常是一个()A、视频文件B、音频文件C、文本文件D、图片文件答案：B153.在综合性电子物证检验工具中,用于检验文件内容一致性的技术是()。A、文件签名分析B、关键字搜索C、散列分析D、数据恢复答案：C154.需要根据所掌握的案情信息准备到现场进行勘查的人员和设备是指()A、取证准备B、证据识别C、证据收集D、证据分析答案：A155.计算机中有许多存储信息容量的单位,下面说法正确的是()。A、5TB=5×1024MBB、1MB=1024BC、3MB=1024×1024×1024BD、4GB=4×1024×1024KB答案：D156.公安部于()年出台了《公安机关鉴定机构登记管理办法》和《公安机关鉴定人登记管理办法》,规定地市级以上机构可开展电子物证等八类检验鉴定项目,将电子物证纳入检验鉴定范围。A、2004B、2005C、2006D、2007答案：C157.以下属于XML文件结构的是()。A、dbB、docxC、jpgD、doc答案：B158.下面()软件可以用来读取手机SIM卡中的数据。A、ExifReaderB、diskcopyC、FoxMailD、SIMManager答案：D159.只读锁连接硬盘设备进行只读操作,错误的是:()A、先开启只读锁电源,再连接硬盘设备B、主盘模式不能识别的设备,尝试将硬盘跳线设置为CS模式C、只读锁接口与硬盘不匹配的,采用转换器进行连接D、确保只读锁未打开“读写”功能答案：A160.下列()不属于图像格式。A、BMPB、MP4C、JPGD、PNG答案：B161.Windows7中操作系统日志文件的扩展名是()。A、evtB、txtC、logD、evtx答案：D162.下面()软件可以用来读取手机SIM卡中的数据。A、ExifReaderB、diskcopyC、FoxMailD、SIMManager答案：D163.“取证大师”自动取证后的分析结果需到哪个视图查看?()A、“搜索结果”视图B、“取证结果”视图C、“索引结果”视图D、“案例”视图答案：B164.新建的Excel工作簿中默认有()张工作表。A、2B、3C、4D、5答案：B165.每台机器上网都必须有合法的()地址。A、IPB、MACC、URLD、HTML答案：A166.Windows系统格式化硬盘,是将()。A、全部数据清零B、全部数据写入1C、根目录区清零D、根目录区写入1答案：C167.手机SIM卡不包括以下哪种规格()A、SIMB、Mini-SIMC、Micro-SIMD、Big-SIM答案：D168.磁盘分区中用于存储文件或文件夹的一组扇区,它是分区的基本存储单元,也称为分配单元的是?()A、磁道B、扇区C、柱面D、簇答案：D169.对送检的材料采用专用的设备进行克隆,目的是保持原始电子信息的()。A、多样性B、派生性C、时限性D、完整性答案：D170.Windows操作系统中保存机器IP地址对应的注册表文件是()。A、SAMB、SYSTEMC、USERSD、DEFAULT答案：B171.常见的硬盘接口方式有IDE接口和()。A、VGA接口B、IEEE1394接口C、DVI接口D、SCSI接口答案：D172.取证大师查看Word文件时,使用哪个视图可以达到与Word程序打开一样的显示效果()A、文本视图B、十六进制视图C、预览视图D、报告视图答案：C173.可以设置网络设备的状态,或是显示目前的设置的命令是()A、ipconfigB、dirC、tracertD、cls答案：A174.下面用于由源地址到目的地址传送邮件的协议是()。A、POPB、UDPC、ARPD、SMTP答案：D175.下面不属于Hash算法的是()A、MD5B、SHAC、CRCD、SUM答案：D176.文件头部信息存储在()中。A、DBRB、FATC、DATAD、FDT答案：C177.在电子物证检验中,用于检验文件是否修改过扩展名的技术是()。A、散列值分析B、扩展名分析C、加密分析D、文件签名分析答案：D178.鉴定单位可对送检材料暂时保存,但保存期限一般不超过()个月。A、1B、2C、3D、6答案：D179.用于手机取证的分析软件是()。A、ForensicSIMB、FoxProC、FormatD、FORTRAN答案：A180.对送检的材料采用专用的设备进行克隆,目的是保持原始电子信息的()。A、完整性B、派生性C、时限性D、多样性答案：A181.不能用来进行硬盘分区的软件工具是()。A、FdiskB、DMC、CopyD、PartitionMagic答案：C182.计算机中为了计算方便,会用到各种进制的计数方法,通常用最后一个字母来标识数制,42H表示在()下这个数是42。A、二进制B、八进制C、十进制D、十六进制答案：D183.()是微型计算机的核心,由运算器和控制器两部分组成。也是是决定计算机系统性能的重要指标A、CPUB、主机C、显卡答案：A184.关闭笔记本电脑的最佳办法是什么?()A、拔下计算机背部的电源插头B、从墙上拔下插座C、拿掉笔记本电脑的电池D、同时采取A和C两种方法答案：D185.对可能影响案件侦办且容易损坏或丢失的电子数据进行提取另存属于()A、收集证据B、提取固定易丢失数据C、电子证据检查D、电子证据分析答案：B186.电子数据的特点不包括()。A、依赖介质性B、易复制性C、不易破坏性D、表现形式多样性答案：C187.下列不属于证据种类的是()。A、物证B、电子数据C、视听资料D、分析意见答案：D188.检查现场所有可能有效的证据是指()A、取证准备B、证据识别C、证据收集D、证据分析答案：B189.()是英文StructuredQueryLanguage的缩写,中文意思是结构化查询语言,其功能强大,可查询数据库,还能定义、修改、插入、管理数据库及规定数据库的安全性能等,已逐步成为关系数据库的标准语言A、SQLB、CQOC、EQLD、ELL答案：A190.计算机的软件系统一般分为()两大部分。A、系统软件和应用软件B、操作系统和计算机语言C、程序和数据D、DOS和WINDOWS答案：A191.关于邮件数据文件扩展名,错误的是:()A、OfficeOutlook的邮件数据扩展名为.PSTB、OutlookExpress的邮件数据扩展名为.DBXC、Foxmail的邮件数据扩展名为.ocxD、邮件扩展名被更改,可以通过文件签名来检验答案：C192.扩展名为.MP4的文件通常是一个()A、视频文件B、音频文件C、文本文件D、图片文件答案：A193.电子物证检验结果可以作为案件侦查线索或()。A、决策依据B、可靠根据C、法庭证据D、研究基础答案：C194.Windows操作系统用文件的()将文件与浏览器关联。A、签名B、MD5哈希值C、扩展名D、元数据文件答案：C195.在电子物证检验中,用于检验文件内容一致性的技术是()。A、文件签名分析B、散列分析C、关键字搜索D、数据恢复答案：B196.苹果手机采用的操作系统是()A、Androi(D)B、WindowsC、DOSD、IOS答案：D197.linux系统中拥有最高权限的用户是()A、administratorB、adminC、rootD、guest答案：C198.MD5哈希算法输出数据的长度是()。A、32B、128C、256D、512答案：B199.利用电子物证综合检验工具搜索到被删除的OutlookExpress收发的邮件,导出时要添加的扩展名是()。A、.xlsB、.datC、.dbxD、.eml答案：D200.如果对象将多个JPEG图片的文件的扩展名改为其他名称,需要通过()可以快速找到这些文件?A、散列值比对(MD5)B、散列值比对(SHA-1)C、文件签名分析D、以上都错答案：C201.下面不是硬盘接口类型的是()。A、VGA接口B、IDE接口C、SATA接口D、SCSI接口答案：A202.软件一致性检验的内容不包括()。A、安装过程对比B、开发软件所用思想对比C、显示内容对比D、代码对比答案：B203.Windows作为主流操作系统,不支持的分区结构是()。A、MBR磁盘分区B、动态磁盘分区C、GPT磁盘分区D、APM分区答案：D204.下列文件扩展名中哪个不属于图片格式的后缀名?()。A、TIFB、JPGC、TXTD、PNG答案：C205.磁盘驱动器在向磁盘读取和写入数据时,最小的可以写入数据的单位为()。A、内存块B、扇区C、卷D、比特答案：B206.电子物证检验结果可以作为案件侦查线索或()。A、结论依据B、法庭证据C、研究基础D、理论标准答案：B207.通过()可以查询被调查网站注册时的注册人、管理人、技术人员等联系信息。A、Orcale数据库B、SQLServer数据库C、Whois数据库D、SyBase数据库答案：C208.以下()对象无法计算散列值。A、文件B、FAT分区上的文件夹C、逻辑分区D、物理硬盘答案：B209.UNIX操作系统下,我们查看文件的访问时间、修改时间等信息是基于其采用了()的数据结构记录文件的属性。A、关系模型B、node号C、i-nodeD、f节点答案：C210.下面可用作视频文件格式的是()。A、JPGB、MP4C、TIFD、PNG答案：B211.下面支持单个文件大于4GB的文件系统是()。A、FAT32B、FAT16C、eFATD、FAT12答案：C212.打开注册表的命令:()A、regedit.exeB、ipconfig.exeC、Format.exeD、ping.exe答案：A213.文件系统是操作系统与驱动器之间的接口。在一个文件系统上,最小的可以写入数据的单位为()。A、磁盘B、簇C、比特D、字节答案：B214.在NTFS文件系统中,$MFT中的文件记录大小一般是固定的,均为()。A、4KBB、、8KBC、16KBD、1KB答案：D215.对IP地址描述正确的是()。A、IP地址的长度由8个字节组成B、IP地址的长度由16个字节组成C、在网络上,一个IP地址代表了多个网络节点D、IP地址的长度由4个字节组成,采用标准的点分十进制表示法书写答案：D216.电子物证检验工作开始之前,检验人员要()。A、只对送检的材料编号拍照B、对送检的材料直接检验C、只对送检的硬盘及其它存储设备的信息进行克隆复制D、对送检的存储设备中的信息进行克隆复制,并进行编号、拍照答案：D217.扩展名为DOC文件使用的字符编码是()。A、ASCIIB、GB2312C、UnicodeD、base64答案：C218.MD5的哈希值是多少位的十六进制字符:()A、16B、32C、64D、128答案：B219.一个硬盘最多可以分为()个主分区。A、1B、2C、3D、4答案：D220.下面对电子物证检验对象说法错误的是()。A、包括各种电子设备和部件B、包括电子设备中储存的电子信息C、包括电子设备中传输的电子信息D、不包括磁盘未分配空间答案：D221.视频文件在磁盘中是以()方式保存的。A、二进制B、十六进制C、八进制D、十进制答案：A222.能深入操作系统底层查看所有的数据——包括slack空间、未分配空间、和Windows交换分区数据的数据恢复工具是()。A、EasyRecoveryB、FinalDataC、NslookupD、Encase答案：D223.下面不是文件系统的是()。A、WindowsB、UFSC、NTFSD、Ext2/Ext3答案：A224.按照Hash算法,Hash具有单向性,不可逆性,常用来检验()。A、数据的完整性B、数据的安全性C、数据的唯一答案：A225.假设当前分区文件系统的簇大小为8KB,有一个大小为17KB的文件要存储到该分区,那么该文件将会分配一个多大的物理空间?()A、17KBB、18KBC、20KBD、24KB答案：D226.下面不属于硬盘接口类型的是()。A、IDE接口B、SCSI接口C、SATA接口D、VGA接口答案：D227.IDE、SCSI、SATA和SAS描述了()设备的接口类型。A、CPUB、U盘C、硬盘D、RAM芯片答案：C228.数据量大,无法或者不便提取的,经()批准,可以对电子数据进行冻结。A、县级以上公安机关负责人B、侦查人员C、勘验人员D、案件侦办负责人答案：A229.以下关于加密说法,不正确的是?()A、加密包括对称加密和非对称加密两种B、信息隐蔽是加密的一种方法C、密钥的位数越多,信息的安全性就越高D、如果没有信息加密的密钥,只要知道加密程序的细节就可以对信息进行解密答案：D230.电子证据的特点不包括()。A、依赖介质性B、易复制性C、不易破坏性D、表现形式多样性答案：C231.以下哪些是属于取证软件?()A、EnCaseB、取证大师C、FTKD、X-WaysE、以上都是答案：E232.计算机中为了计算方便,会用到各种进制的计数方法,通常用最后一个字母来标识数制,23H表示在()下这个数是23。A、二进制B、十进制C、八进制D、十六进制答案：D233.对存储介质只读设备的作用叙述不正确的是()。A、能使证据盘数据的属性不发生变化B、对源存储介质做逐位精确的备份C、保证取证和检验过程的有效性D、可方便地将证据盘接入计算机取证专用设备,直接进行取证和分析答案：B234.用户对硬盘进行重新分区,并重新安装操作系统后,原来硬盘上存放的信息()。A、部分保留在未分配空间B、全部被覆盖C、全部保留在未分配空间D、全部保留在已分配空间答案：A235.用于查询本地IP地址和网卡MAC地址的命令是()。A、nslookupB、pslistC、tracertD、ipconfig-all答案：D236.以下对文件进行逻辑删除的说法中,不正确的是()。A、保存被删除文件的数据区被填充为00hB、文件内容仍保存在数据区中,并未删除C、被删除文件在数据区所占的簇被更新为未分配状态D、文件目录项的首字节改变为十六进制E5答案：A237.扩展名为DOC文件通常是一个()。A、视频文件B、音频文件C、文本文件D、图片文件答案：C238.下面对IP地址描述错误的是()。A、IP地址的长度由4个字节组成B、IP地址的长度由32位二进制组成C、在网络上,一个IP地址代表了多个网络节点D、IP地址采用标准的点分十进制表示法书写答案：C239.假设当前分区文件系统的簇大小为4KB,有一个大小为17KB文件要存储到该分区,那么该文件将会被分配一个()KB的物理空间。A、16B、17C、18D、20答案：D240.对送检的检材,依据送检要求,经技术检验后,只给出检出内容,不做主观评价的是()。A、鉴定书B、检验报告C、结果汇总D、检验意见书答案：B241.进行与时间有关的文件属性检验时,获得创建时间的递归目录列表的命令是()。A、dir/t:c/a/s/o:d(t表示时间,c表示创建)B、dir/t:a/a/s/o:dC、dir/t:w/a/s/o:dD、dir/t:s/a/s/o:d答案：A242.在FAT32文件系统中,最小的可以写入数据的单位为()。A、磁盘B、簇C、比特D、字节答案：B243.()是一个为数码相机使用的图像文件格式而制定的标准规格。A、EncaseB、ExifC、QuickViewPlusD、APNIC答案：B244.对已经被破坏或删除的办公文档碎片的检验方法叙述错误的是()。A、可根据文档的内容设置关键字进行查找B、可根据文档关联关系设置关键字进行查找C、可根据文档属性设置关键字进行查找D、可根据文档结构信息设置关键字进行查找答案：B245.Windwos系统格式化硬盘,是将()。A、全部数据清零B、全部数据写入1C、根目录区清零D、根目录区写入1答案：C246.在现场提取的易丢失数据以及现场在线分析时生成和提取的电子数据应当计算其完整性校验值并制作、填写()A、现场勘验检查笔录B、固定电子证据清单C、勘验检查照片记录表D、封存电子证据清单答案：B247.NTFS采用什么来记录文件的名字、起始位置与分配空间?()A、FAT表B、$BitmapC、MFT表D、MBR答案：C248.在计算机系统里,硬盘的每扇区的默认大小为()。A、1024字节B、1024位C、512字节D、5