电子物证专业考试复习题库（含答案）

电子物证专业考试复习题库(含答案)

一'单选题

1.IP地址172.16.128.19是0o

A、Internet地址

B、环回地址

C、MAC地址

D、私有地址

答案：D

2.电子邮箱是()，具有指向特定人的特点。

A、网络特征

B、标识特征

C、唯一特征

D、准确特征

答案：A

3.如果对象将多个JPEG图片的文件的扩展名改为其他名称,需要通过0可以快

速找到这些文件？

A、散列值比对(MD5)

B、散列值比对(SHA-1)

C、文件签名分析

D、以上答案均不正确

答案：C

4.以下属于MAC地址的是？()。

A、72.168.1.1

B、255.255.255.0

C、1C-4B-D6-AD-26

D、1C-4B-D6-AD-26-D7

答案：D

5.域名通常与下面哪个相对应？()

A、MAC地址

B、网络

C、IP地址

D、以上都不是

答案：C

6.不能用来进行数据恢复的工具软件是()o

AxEncase

B、ExifShow

C、EasyRecovery

D、FinalData

答案：B

7.扩展名为PNG文件通常是一个()。

A、视频文件

B、音频文件

C、文本文件

D、图片文件

答案：D

8.以下关于文件删除的说法中，不正确的是：()

A、文件目录项的首字节改变为十六进制值E5。

B、文件数据所占的簇被更新为未分配状态。

C、文件数据被填充为OOh。

D、文件的数据仍然保留在原位置。

答案：C

9.能深入操作系统底层查看sIack空间'未分配空间等数据的工具是()o

A、EasyRecovery

B、FinalData

CxNsIookup

D、Encase

答案：D

10.下接口中是显示器接口的是()

A、VGA

B、PCI-e

C、SATA

D、IDE

答案：A

11.安卓手机的软件安装包格式为()

A、msi

B、exe

Cxapk

D、ipa

答案：C

12.电子证据、数字证据、计算机证据三者之间的关系是()。

A、电子证据包含数字证据、数字证据包含计算机证据

B、电子证据包含计算机证据、计算机证据包含数字证据

C、计算机证据包含电子证据、电子证据包含数字证据

D、数字证据包含电子证据、计算机证据包含电子证据

答案：A

13.在Windows操作系统中用于打开注册表编辑器的命令是()o

Axmsconfig

B、open

Cxregedit

Dxread

答案：C

14.关于日志分析，错误的是：()

A、删除但未被覆盖的日志可以进行日志恢复

B、可以通过关键词搜索查找被删除的日志

C、日志分析无法定位攻击者的操作

D、日志分析可以查看入侵者访问网页木马的相关信息

答案：C

15.Windows操作系统怎么在命令行里面查看ip详细信息()

Axipconfig

B、ifconfig

Cxipconfig/aII

D、ifconfig/alI

答案：C

16.windows系统中拥有最高权限的用户是()

A、administrator

B、admin

C、root

D、guest

答案：A

17.下列属于计算机输出设备的是0。

A、打印机

B、键盘

C、鼠标

D、扫描仪

答案：A

18.可以同时查看本机IP地址和MAC地址的命令是()。

A、ping

B、dir

C、Format

D、ipconfig/aII

答案：D

19.通常一个完整的邮件通常不包括()。

A、邮件头

B、正文

C、附件

D、邮件尾

答案：D

20.按照检验过程,电子物证检验的四个阶段是()。

A、案件受理——提取数据——检验数据——分析数据并得出结果

B、案件受理——提取数据——检验数据—形成鉴定文书

C、提取数据——检验数据——分析数据并得出结果——形成鉴定文书

D、提取数据——分析数据——检验数据—形成鉴定文书

答案：C

21.下列属于基本系统进程的是()

Axwinlogon.exe

B、termsvr.exe

Cxwins.exe

D、snmp.exe

答案：A

22.在进行电子物证检验时,如果嫌疑人将多个JPEG图片的扩展名改为了其他名

称,需要通过()方法才能找到这些文件。

A、散列值比对

B、关键字搜索

C、文件签名分析

D、文本风格比对

答案：C

23.在计算机系统里,硬盘的每扇区的默认大小为：()

A、512字节

B、1024字节

G512位

D、1024位

答案：A

24.下面关于计算机证据、电子证据和数字证据概念之间关系表述正确的是()<>

A、电子证据是数字证据的一个子集

B、电子证据就是计算机证据

C、数字证据是计算机证据的一个子集

D、数字证据是电子证据的一个子集

答案：D

25.安卓手机连接电脑获取数据需要在手机中打开什么设置()

A、开发者模式

B、测试者模式

C、使用者模式

D、高级模式

答案：A

26.下面输出长度可以为512位的Hash算法的是()

A、MD5

B、SHA

C、CRC

D、SUM

答案:B

27.IPv6规定的IP地址长度是()位。

A、32

B、64

C、128

D、256

答案：C

28.对存储介质只读设备的作用叙述不正确的是()。

A、能使证据盘数据的属性不发生变化

B、保证取证和检验过程的有效性

C、对源存储介质做逐位精确的备份

D、可方便地将证据盘接入计算机取证专用设备,直接进行取证和分析

答案：C

29.电子证据是由电子设备存储或传输的有侦查作用或证据价值的电子信息及()o

A、所属硬件

B、派生物

C、软件

D、程序

答案：B

30.在MBR扇区中用于描述分区表信息的信息长度为:()

A、16字节

B、32字节

C、64字节

D、128字节

答案：C

31.扩展名为WPS文件通常是一个()。

A、视频文件

B、音频文件

C、文本文件

D、图片文件

答案：C

32.安卓系统可以使用什么命令对应用及其数据进行备份()

A、ad(B)

B、sheII

C、backup

D、mount

答案：C

33.多备份原则属于下列哪个过程()

A、证据发现

B、证据提取

C、证据分析

D、证据保全

答案：D

34.以下哪个对象无法计算散列值：()

A、FAT分区上的文件夹

B、文件

C、物理硬盘

D、逻辑分区

答案：A

35.现在手机的通讯标准不包括为()

A、2G

B、4G

C、5G

D、6G

答案：D

36.信息都是通过各种()在计算机中进行存储的.

A、字符编码

B、字符串

C、数字

答案：A

37.在一个驱动器上,最小的可以写入数据的单位为,在一个文件系统上,

最小的可以写入数据的单位为,0

A、比特和字节

B\扇区和簇

C、卷和驱动器

D、内存和磁盘

答案:B

38.文件签名一般在文件的()位置

A、文件头

B、文件尾

C、文件中间

D、以上都正确

答案:A

39.计算机中有许多存储信息容量的单位,下面说法正确的是()。

A、1TB=1024MB

B、1MB=1024X1024X1024B

C、1GB=1024X1024KB

D、1MB=1024B

答案：c

40.只要某个地方的电缆断开或一个节点出现问题,整个网络就会崩溃的网络拓

扑结构是()。

A、星型结构

B、环型结构

C、树型结构

D、总线型结构

答案：D

41.在一个文件的物理大小和逻辑大小之间存在的区域我们称之为()o

A、未使用磁盘空间

B、文件残留区

C、未分配扇区

D、未分配簇

答案：B

42.不属于电子数据证据特点的是()。

A、易破坏性

B、易复制性

C、易传播性

D、易恢复性

答案：D

43.电子物证鉴定意见可以作为案件侦查线索或()。

A、结论依据

B、法庭证据

C、研究基础

D、理论标准

答案：B

44.()不是电子邮件所用的编码。

AxBase64

B、Unicode

C、R-Studio

D、Quoted-PrintabIe

答案：C

45.数据不能装满操作系统所定义的最小块时剩余的空间是()。

A、未分配空间

B、物理空间

C、逻辑空间

D、sIackspace

答案：D

46.在FAT文件系统中,文件的真实类型数据存储在()中。

A、DBR

B、FAT

C、FDT

D、DATA

答案：D

47.扩展名为DOCX文件属于()结构。

A、db

B、xml

C、emf

D、mdb

答案：B

48.常见的加密方法不包含：()

A、系统设置法

B、软件加密法

C、硬件加密法

D、社会工程学

答案：D

49.计算机中存储的信息采用的是()。

A、二进制

B、八进制

C、十进制

D、十六进制

答案：A

50.注册表五大根键的数据保存在()文件中。

A、操作系统日志

B、配置单元

C、服务器日志

D、数据库日志

答案：B

51.下列()属于图像格式。

A、MP3

B、MP4

C、JPG

D、MOV

答案：c

52.()不是Windows下克隆硬盘时使用的软件工具。

A、dd

B、Safeback

C、SnapBack

D、Encase

答案：A

53.从事电子物证检验与分析的人员,应当取得()才能从事电子物证检验与分析

工作。

A、电子数据鉴定人资格证书

B、培训证书

C、勘查证

D、相关专业毕业证

答案：A

54.关于Encase软件的使用方法叙述错误的是()。

A、过滤器只能根据文件属性查找相关文件信息

B、查询可以搜索文件残留区内的相关信息

C、关键字搜索可以根据文件内容查找相关文件信息

D、关键字搜索可以搜索文件残留区和未分配空间内的相关信息

答案：B

55.以下说法中正确的是()。

A、对于鉴定意见不一致的案件,由高级鉴定人员出具鉴定文书

B、鉴定文书需两名以上人员签字有效

C、鉴定单位对送检材料有权自行处理,无需征求送检单位意见

D、鉴定过程中要对使用的检验方法进行详细记录,而对检验环境不做要求

答案：B

56.在Linux系统上,用什么命令获取MAC地址()

A、ipconfig

B、ifconfig

C、ipconfig-a

D、ifconfig-a

答案：c

57.以下关于文件删除的说法中，不正确的是：()

A、文件目录项的首字节改变为十六进制值E5

B、文件数据被填充为00h

C、文件数据所占的簇被更新为未分配状态

D、文件的数据仍然保留在原位置

答案：B

58.通过查看数码相机拍摄照片的()信息,可以对其原始性进行检验。

A、EXIF

B、EXTF

C、EIXF

D、EFIX

答案：A

59.关于只读设备的描述,错误的是：()

A、只读设备可以防止证据源不被修改

B、只读设备可能会有读写开关

C、只读锁可以有IDE/SATA/SCSI等各类接口

D、8750Pro只读锁通过IDE接口与分析主机相连

答案：D

60.SHA-1哈希算法输出数据的长度是()位。

A、160

B、128

C、256

D、512

答案:A

61.数据库常用的数据模型不含有下面哪项()

A、层次模型

B、网状模型

C、关系模型

D、数据模型

答案:D

62.不属于常见文件系统的是：()

A、FAT32

B、NTFS

GEXT2

D、UPS

答案：D

63.NTFS采用什么来记录文件的名字、起始位置与分配空间？()

A、FAT表

B、$Bitmap

GMFT表

D、MBR

答案：C

64.硬盘中的DBR是()时创建的。

A、格式化

B、分区

C、创建文件

D、计算机启动

答案：A

65.下列不属于现场勘查取证的基本原则是()

A、不损害原则

B、避免使用原始证据原则

C、记录所做操作

D、第三方记录原则

答案：D

66.解除冻结电子数据的,应当在()日内制作协助解除冻结通知书,送交电子数据

持有人'网络服务提供者或者有关部门协助办理。

A、1

B、2

C、3

D、4

答案：C

67.在现场不关闭电子设备的情况下直接分析和提取电子系统中的数据属于()。

A、收集证据

B、提取固定易丢失数据

C、电子证据检查

D、在线分析

答案：D

68.以下不是操作系统的是()。

AxNetWare

B、Dreamweaver

CvUNIX

D、WindowsXP

答案：B

69.扩展名为.BMP的文件通常是一个()

A、视频文件

B、音频文件

C、文本文件

D、图片文件

答案：D

70.下面可用于测试网络是否连通的命令是()。

A、ping

B、tracert

C、nsIookup

D、ipconfig

答案：A

71.以下()字符串是正确的MD5散列值。

A、C3030772311CE42BE4AEE12A618DD262

B、C09EAF8B227BD6F8271G7A07ED7C09EA20181

C、A15F88AD972F674DB10B4FF88A15D7E784370ADF88A

D、ABE3D46F09683D6EB

答案：A

72.下面不支持单个文件大于4GB的文件系统是()。

A、FAT32

B、NTFS

GexFAT

D、以上均不支持

答案：A

73.能把多块独立的物理硬盘按不同方式组合起来形成一个逻辑硬盘,并能提供

比单个硬盘更高的性能及数据冗余功能的是()。

A、简单磁盘捆绑技术

B、跨区卷技术

GRAID技术

D、JBOD技术

答案:C

74.以下不属于电子物证综合检验分析软件的是()。

A、FTK

B、UFS

C、Encase

D、X-ways

答案：B

75.常用的命令中，()可以检查某系统是否存在,测试你自己的网卡，测试某一域

名的IP地址。

A、ping

B、msts

C、cmd

D、ip

答案：A

76.分配给某个文件的区域但没有被占满的空间称为()。

A、未分配空间

B、松弛空间

C、自由空间

D、多余空间

答案：B

77.在电子物证检验中，用于搜索手机尾号是86正确的grep语法表达式是（）。

A、1#{8}86

B、1#{9}86

G1[3578]#{4}86

D、1{3578}#{4}86

答案：A

78.计算机系统时间提取的正确方法是：（）

A、记下取证人员赶到现场时手表上提示的日期和时间

B、打开计算机,记下计算机系统日期和时间

C、打开计算机,记下计算机系统日期和时间,并记录下与当前标准日期和时间的

差值

D、打开机箱,拔下硬盘数据线和电源线,开机进入BIOS,记录显示的系统日期和

时间,并记录与当前标准时间的差值

答案：D

79.勘查现场嫌疑人计算机处于开机状态,正常的操作是：（）

A、直接关机,现场拆卸嫌疑人计算机硬盘并连接只读锁作现场取证工作

B、在嫌疑人计算机上安装取证软件作现场取证工作

C、直接关机,现场拆卸嫌疑人计算机硬盘并连接复制机生成副本

D、固定易丢失数据后关机并封存

答案：D

80.下列软件中，哪一个属于系统软件()。

AxPhotoshop

B、Windows7

CxWinzip

D、ExceI

答案：B

81.在EnCase中，可用于检验文件内容一致性的方法是()。

A、哈希值

B、文件头

C、访问时间

D、文件签名

答案：A

82.()是数据库系统中所有更新活动的操作序列。

A、数据库日志

B、数据库文件

GMDF文件

答案：A

83.下面可以验证电子文档内容是否被改过的命令是()。

A、Format

B\MD5Sum

C、dir

DxIpconfig

答案：B

84.00-13-CE-B7-B6-BA是()。

A、IP地址

B、环回地址

C、MAC地址

D、私有地址

答案：c

85.以下软件中，()不是操作系统。

A、Windows10

B、unix

CxIinux

D、WPS

答案:D

86.下面不是Windows操作系统日志文件的是()。

A、系统日志

B、应用程序日志

C、安全性日志

D、用户操作日志

答案:D

87.传输控制协议(TCP)位于OSI七层协议的()0

A、物理层

B、数据链路层

C、网络层

D、传输层

答案：D

88.下面软件中，可以用来读取手机SIM卡中的数据的是()。

A、ExifReader

B、SIMManager

C\FoxMaiI

Dvdiskcopy

答案：B

89.硬盘的分区可由DOS外部命令0来实现。

A、Fdisk

B、dir

C、ipconfig

D、Format

答案：A

90.下面不是数据库的是0。

AxOrcaIe

B、SyBase

C、SQLServer

DvNslookup

答案：D

91.下列()不属于视频格式。

A、MP3

B、MP4

C、JPG

D、MOV

答案:C

92.一个MBR可以分几个主分区()

A、3

B、5

C、4

D、2

答案：C

93.下面属于电子数据取证的是Oo

A、现场勘验检查

B、远程勘验

C、电子物证检验

D、以上都是

答案：D

94.集成电路卡识别码也称为0。

A、IMSI

B、MEID

C、ICCID

D、IMEI

答案：c

95.下列哪些不是硬盘接口()

A、IDE

B、SAS

C、SATA

D、HDMI

答案：D

96.收集、提取电子数据，应当由()名以上侦查人员进行。

A、1

B、2

C、3

D、4

答案：B

97.在FAT文件系统中，根目录的首地址存储在()中。

A、DBR

B、FAT

C、FDT

D、DATA

答案:A

98.在一个文件的物理大小和逻辑大小之间在的区域我们称之为什么：()

A、未使用磁盘空间

B、未分配簇

C、未分配扇区

D、文件残留区

答案：D

99.进行文件一致性检验时,经过MD5演算后得到的散列值是()o

A、32bit

B、64bit

G128bit

D、256bit

答案：c

100.如果查到的IP地址为192.168.7.69,这是一个()。

A、公有地址

B、私有地址

C、A类IP地址

D、动态IP地址

答案：B

101.手机安卓系统是哪个公司开发()

A、微软

B、Google

C、诺基亚

D、InteI

答案：B

102.以下()字符串是正确的MD5散列值。

A、EBABE3D46F09683D6EB

B、F8B227BD6F8271G7A07ED7C09EA2018111FD

C、D972F674DB10B4FF88A15D7E784370ADF88AC33

D、D3030772311CE42BE4AEE12A618DD262

答案:D

103.查询某域名对应的IP地址的网络命令是()。

A、FPort

B、Ipconfig

C、Ipconfig/aII

D、NsIookup

答案：D

104.拥有技术成熟'性能稳定'容量大'价格低等优点的硬盘是()。

A、机械硬盘

B、固态硬盘

C、混合硬盘

答案：A

105.下面属于加密算法的是()。

A、EFS

B、MSN

GNTFS

D、FAT

答案：A

106.SATA3.0的传输速率是()。

Av6.OGb/s

B、6.OGB/s

C、3.OGb/s

D、3.OGB/s

答案：A

107.下面不属于复合型文件的是()。

A、压缩文件

B、注册表文件

C、记事本文件

D、OFFICE文件

答案：C

108.当我们查看一个文件的属性时,可以看到文件的大小、创建时间、修改时间、

访问时间等属性。其中文件的大小指的是()。

A、文件实际占用的扇区数

B、文件实际占用的字节数

C、文件实际占用的簇数

D、以上所有描述均正确

答案:B

109.勘查现场嫌疑人计算机处于关机状态,正常的操作是：()

A、重新开机运行操作系统并安装取证软件作现场取证工作

B、重新开机运行操作系统固定易丢失数据后关机并封存

C、现场拆卸嫌疑人计算机硬盘并连接只读锁作现场取证工作

D、封存计算机

答案：D

110.目前的硬盘转速没有()。

A、3600rpm

B、7200rpm

Cx10000rpm

Dx15000rpm

答案：A

111.()是CDMA手机的身份识别码,也是每台CDMA手机或通讯平板唯一识别码

A、MEID

B、IMEI

C、IMSI

D、ICCID

答案：A

112.磁盘在格式化时被划分成许多同心圆,这些同心圆轨迹就叫做()

A、磁道

B、扇区

C、柱面

D、簇

答案：A

113.现场勘查人员必须是经过现场勘查相关的培训才能执行勘查任务,因为现场

勘查工作是后续所有取证分析工作的基础,是保证证据的()的第一步

A、司法有效性

B、科学性

C、多样性

D、合理性

答案：A

114.()是可交换图像文件的缩写,是一个为数码相机使用的图像文件格式而制定

的标准规格。

A、JPEG

B、Exif

C、GIF

D、BMP

答案:B

115.在UNIX系统中，每个文件在系统中有一个()，其中包含文件所有者的详细信

息'文件的权限、文件的时间信息、文件的类型等信息。

A、i-node

B、C/H/S

C、分区

D、簇

答案：A

116.针对诺基亚手机的取证,连接数据线后需要在手机屏幕上选择什么模式？()

A、PC套件

B、大容量存储

C、多媒体传送

D、将PC连接至互联网

答案：A

117.可以进行文件一致性检验的命令是()。

AvFormat

B、dir

GMD5Sum

D、Ipconfig

答案：C

118.一个完整的计算机系统通常包括()。

A、硬件系统和软件系统

B、机算机及其外部设备

C、主机、键盘与显示器

D、办公软件和应用软件

答案：A

119.取相关的易丢失电子数据,并保护存储介质中的静态数据不被修改或破坏是

指()

A、取证准备

B、证据识别

C、证据收集

D、证据提取及固定

答案：D

120.远程勘验结束后,应当及时制作()。

A、远程勘验工作记录

B、鉴定文书

C、工作记录

D、勘查笔录

答案：A

121.Windows系统为曾经打开过的文档在Recent文件夹中建立文件的文件类型

是()。

Ax.Ink

B\.xIs

C、.dbx

D、.exe

答案：A

122.IPv6地址的长度由()个字节组成。

A、4

B、8

C、16

D、32

答案：c

123.安卓6.0系统手机所采用的数据区加密方式为()

A、文件加密

B、全磁盘加密

C、特殊加密

D、极限加密

答案：B

124.电子证据的固定与封存是保证电子证据完整性、真实性和原始性的操作规程,

目的就是通过制定严格的取证规则,从程序上规范取证过程,确保电子证据的()。

A、完整性

B、有效性

C、真实性

D、原始性

答案：B

125.下面可以获得网卡MAC地址的命令是()。

Axping

B、ipconfig

C、tracert

DxnsIookup

答案：B

126.提取当前屏幕显示的内容作为证据,可使用键盘上的()键

A、ScrolI

B、Print

GDel

D、工作对象

答案：B

127.MD5的哈希值是()位的十六进制字符。

A、16

B、32

C、64

D、128

答案：B

128.以下哪个不是手机的操作系统。()

A、SymbianOS

B、GoogIeAndroi(D)

C、AppIeiOS

D、LINUX

答案:D

129.属于新式硬盘,简称为SSD的硬盘是()。

A、机械硬盘

B、固态硬盘

C、混合硬盘

答案：B

130.在计算机中用于标识二进制数的字母是()。

A、B

B、C

C、D

D、E

答案：A

131.下列哪种存储设备在断电后其存储信息会很快丢失？()

A、ROM

B、U盘数据

C、RAM

D、硬盘数据

答案：C

132.在电子证据取证过程中，核心和关键的一步是()。

A、保护现场和现场勘查

B、分析数据

C、追踪

D、提交结果

答案：B

133.在NTFS文件系统中，最小的分配单位0。

A、簇

B、扇区

C、1KB

D、字节

答案：A

134.下面对电子物证检验对象说法错误的是()o

A、包括各种电子设备和部件

B、包括电子设备中储存的电子信息

C、不包括电子设备中传输的电子信息

D、包括磁盘未分配空间中的信息

答案：C

135.下面用于和内存交换数据的文件是()。

A、page.sys

B、pagefiIes.sys

CxpagefiIe.sys

D、file.sys

答案：C

136.哪些操作易磨损硬盘，故不应经常使用。()

A、高级格式化

B、低级格式化

C、硬盘分区

D、向硬盘拷贝文件

答案：B

137.在电子证据检查中，通过已知内容设置(),对存储设备的数据文件或二进制

数据进行搜索,是数据检验的有效方法。

A、时间

B、条件

C、关键字

D、位置

答案：c

138.IDE、SCSI、SATA和SAS描述了()设备的接口类型。

A、CPU

B、U盘

C、硬盘

D、RAM芯片

答案：c

139.关于服务器服证,错误的是：()

A、服务器关机时一般采用正常关机方式

B、服务器一般采用IDE硬盘

C、在RAID阵列中会有多块硬盘

D、非正确关闭服务器可能会导致数据库出错

答案：B

140.一个字节等于()位。

A、8

B、16

C、32

D、64

答案:A

141.用来检验数码照片属性的软件工具有()。

AxExifReader

BxSafeback

C、Whois

D、EasyRecovery

答案:A

142.在电子物证检验中，用于检验文件内容是否被修改的技术方法是()。

A、散列值分析

B、文件扩展名分析

C、文件加密分析

D、文件签名分析

答案：A

143.所有计算机(节点)都连到中心节点上的网络拓扑结构是()。

A、星型

B、环型

C、双星双环型

D、总线型

答案：A

144.以下哪个信息是手机身份的唯一标识符()

A、GPT

B、UUID

C、IMEI

D、IEEI

答案：C

145.在现场实施勘验,提取、固定现场存留的与案件有关的电子证据和其他相关

证据属于()

A、现场勘查

B、远程勘验

C、电子证据检查

D、电子证据分析

答案：A

146.文件签名恢复是根据()特征进行恢复文件的。

A、文件头

B、扩展名

C、文件内容

D、以上都是

答案：A

147.在进行硬盘克隆时,对目标盘的要求叙述正确的是()。

A、无论是新的目标盘或用过的目标盘，对其容量都没有特殊要求

B、如果是新的目标盘,直接将源盘中的数据进行复制即可

C、如果是用过的目标盘，将里面的数据全部删除即可

D、如果是用过的目标盘,要用专用设备对其先进行严格擦除

答案：D

148.电子证据取证步骤是()。

A、追踪-分析数据-保护现场和现场勘查一提交结果

B、保护现场和现场勘查T分析数据T追踪T提交结果

C、追踪一保护现场和现场勘查-分析数据一提交结果

D、保护现场和现场勘查一分析数据T提交结果一追踪

答案：B

149.苹果手机连接电脑获取数据可以使用以下哪种软件()

A、Itunes

B、AD(B)

C、ED(B)

D、GDB

答案：A

150.未使用的空间和文件删除后未再分配的空间是()。

A、文件碎片空间

B、空闲空间

C、未分配空间

D、逻辑文件空间

答案：C

151.针对WindowsMobiIe手机的取证,连接数据线后需要在手机屏幕上选择什么

模式？()

A、PC套件

B、ActiveSync

C、多媒体传送

D、系列模式

答案：B

152.扩展名为.mp3的文件通常是一个()

A、视频文件

B\首频文件

C、文本文件

D、图片文件

答案：B

153.在综合性电子物证检验工具中，用于检验文件内容一致性的技术是()。

A、文件签名分析

B、关键字搜索

C、散列分析

D、数据恢复

答案：C

154.需要根据所掌握的案情信息准备到现场进行勘查的人员和设备是指()

A、取证准备

B、证据识别

C、证据收集

D、证据分析

答案：A

155.计算机中有许多存储信息容量的单位,下面说法正确的是()。

A、5TB=5X1024MB

B、1MB=1024B

G3MB=1024X1024X1024B

D、4GB=4X1024X1024KB

答案：D

156.公安部于()年出台了《公安机关鉴定机构登记管理办法》和《公安机关鉴定

人登记管理办法》，规定地市级以上机构可开展电子物证等八类检验鉴定项目，

将电子物证纳入检验鉴定范围。

A、2004

B、2005

C、2006

D、2007

答案：C

157.以下属于XML文件结构的是()。

A、db

B、docx

C、jpg

Dvdoc

答案：B

158.下面()软件可以用来读取手机SIM卡中的数据。

A、ExifReader

B、diskcopy

C、FoxMaiI

DxSIMManager

答案：D

159.只读锁连接硬盘设备进行只读操作,错误的是：()

A、先开启只读锁电源，再连接硬盘设备

B、主盘模式不能识别的设备,尝试将硬盘跳线设置为CS模式

C、只读锁接口与硬盘不匹配的，采用转换器进行连接

D、确保只读锁未打开“读写”功能

答案:A

160.下列()不属于图像格式。

A、BMP

B、MP4

C、JPG

D、PNG

答案：B

161.Windows7中操作系统日志文件的扩展名是0。

A、evt

B、txt

Cxlog

D、evtx

答案：D

162.下面()软件可以用来读取手机SIM卡中的数据。

A、ExifReader

Bxdiskcopy

CxFoxMaiI

D、SIMManager

答案：D

163.“取证大师”自动取证后的分析结果需到哪个视图查看？()

A、“搜索结果”视图

B、“取证结果”视图

C、“索引结果”视图

D、“案例”视图

答案：B

164.新建的Excel工作簿中默认有()张工作表。

A、2

B、3

C、4

D、5

答案：B

165.每台机器上网都必须有合法的()地址。

A、IP

B、MAC

C、URL

D、HTML

答案:A

166.Windows系统格式化硬盘，是将0o

A、全部数据清零

B、全部数据写入1

C、根目录区清零

D、根目录区写入1

答案：C

167.手机SIM卡不包括以下哪种规格()

A、SIM

B、Mini-SIM

GMicro-SIM

D、Big-SIM

答案：D

168.磁盘分区中用于存储文件或文件夹的一组扇区,它是分区的基本存储单元,

也称为分配单元的是？()

Av磁道

B、扇区

C、柱面

D、簇

答案：D

169.对送检的材料采用专用的设备进行克隆，目的是保持原始电子信息的()。

A、多样性

B、派生性

C、时限性

D、完整性

答案：D

170.Windows操作系统中保存机器IP地址对应的注册表文件是()。

A、SAM

B、SYSTEM

GUSERS

D、DEFAULT

答案：B

171.常见的硬盘接口方式有IDE接口和()。

AvVGA接口

B、IEEE1394接口

C、DVI接口

D、SCSI接口

答案：D

172.取证大师查看Word文件时，使用哪个视图可以达到与Word程序打开一样的

显示效果()

A、文本视图

B、十六进制视图

C、预览视图

D、报告视图

答案:C

173.可以设置网络设备的状态,或是显示目前的设置的命令是()

Axipconfig

B、dir

Cxtracert

D、cIs

答案:A

174.下面用于由源地址到目的地址传送邮件的协议是()o

A、POP

B、UDP

GARP

D、SMTP

答案：D

175.下面不属于Hash算法的是()

A、MD5

B、SHA

C、CRC

D、SUM

答案：D

176.文件头部信息存储在()中。

A、DBR

B、FAT

C、DATA

D、FDT

答案：C

177.在电子物证检验中，用于检验文件是否修改过扩展名的技术是()。

A、散列值分析

B、扩展名分析

C、加密分析

D、文件签名分析

答案:D

178.鉴定单位可对送检材料暂时保存，但保存期限一般不超过()个月。

A、1

B、2

C、3

D、6

答案：D

179.用于手机取证的分析软件是0。

AvForensicSIM

B、FoxPro

CxFormat

D、FORTRAN

答案：A

180.对送检的材料采用专用的设备进行克隆，目的是保持原始电子信息的0o

A、完整性

B、派生性

G时限性

D、多样性

答案：A

181.不能用来进行硬盘分区的软件工具是()。

A、Fdisk

B、DM

C、Copy

D、PartitionMagic

答案：c

182.计算机中为了计算方便,会用到各种进制的计数方法,通常用最后一个字母

来标识数制,42H表示在()下这个数是42O

Av二进制

B、八进制

C、十进制

D、十六进制

答案：D

183.()是微型计算机的核心，由运算器和控制器两部分组成。也是是决定计算机

系统性能的重要指标

A、CPU

B、主机

C\显卡

答案：A

184.关闭笔记本电脑的最佳办法是什么？()

A、拔下计算机背部的电源插头

B、从墙上拔下插座

C、拿掉笔记本电脑的电池

D、同时采取A和C两种方法

答案：D

185.对可能影响案件侦办且容易损坏或丢失的电子数据进行提取另存属于()

A、收集证据

B、提取固定易丢失数据

C、电子证据检查

D、电子证据分析

答案：B

186.电子数据的特点不包括()。

A、依赖介质性

B、易复制性

C、不易破坏性

D、表现形式多样性

答案：C

187.下列不属于证据种类的是()。

A、物证

B、电子数据

C、视听资料

D、分析意见

答案：D

188.检查现场所有可能有效的证据是指()

A、取证准备

B、证据识别

C、证据收集

D、证据分析

答案：B

189.()是英文StructuredQueryLanguage的缩写，中文意思是结构化查询语言，

其功能强大,可查询数据库，还能定义、修改'插入、管理数据库及规定数据库的

安全性能等,已逐步成为关系数据库的标准语言

A、SQL

B、CQO

C、EQL

D、ELL

答案：A

190.计算机的软件系统一般分为()两大部分。

A、系统软件和应用软件

B、操作系统和计算机语言

C、程序和数据

D、DOS和WINDOWS

答案：A

191.关于邮件数据文件扩展名，错误的是：()

A、OfficeOutlook的邮件数据扩展名为.PST

B、OutlookExpress的邮件数据扩展名为.DBX

GFoxmaiI的邮件数据扩展名为.ocx

D、邮件扩展名被更改，可以通过文件签名来检验

答案：C

192.扩展名为.MP4的文件通常是一个()

A、视频文件

B、音频文件

C、文本文件

D、图片文件

答案：A

193.电子物证检验结果可以作为案件侦查线索或()。

A、决策依据

B、可靠根据

C、法庭证据

D、研究基础

答案：C

194.Windows操作系统用文件的()将文件与浏览器关联。

A、签名

B、MD5哈希值

C、扩展名

D、元数据文件

答案：C

195.在电子物证检验中，用于检验文件内容一致性的技术是()o

A、文件签名分析

B、散列分析

C、关键字搜索

D、数据恢复

答案：B

196.苹果手机采用的操作系统是()

AxAndroi(D)

B、Windows

C、DOS

D、IOS

答案：D

197.linux系统中拥有最高权限的用户是()

Axadministrator

B、admin

C\root

D、guest

答案：C

198.MD5哈希算法输出数据的长度是()。

A、32

B、128

C、256

D、512

答案：B

199.利用电子物证综合检验工具搜索到被删除的OutlookExpress收发的邮件,

导出时要添加的扩展名是()。

A、.xIs

B、.dat

C、.dbx

Dx.emI

答案：D

200.如果对象将多个JPEG图片的文件的扩展名改为其他名称,需要通过()可以

快速找到这些文件？

A、散列值比对(MD5)

B、散列值比对(SHA-1)

C、文件签名分析

D、以上都错

答案：C

201.下面不是硬盘接口类型的是()。

A、VGA接口

B、IDE接口

C、SATA接口

D、SCSI接口

答案：A

202.软件一致性检验的内容不包括()。

A、安装过程对比

B、开发软件所用思想对比

C、显示内容对比

D、代码对比

答案：B

203.Windows作为主流操作系统,不支持的分区结构是()。

A、MBR磁盘分区

B、动态磁盘分区

C、GPT磁盘分区

D、APM分区

答案：D

204.下列文件扩展名中哪个不属于图片格式的后缀名？()。

A、TIF

B、JPG

C、TXT

D、PNG

答案：C

205.磁盘驱动器在向磁盘读取和写入数据时,最小的可以写入数据的单位为()<)

A、内存块

B、扇区

C、卷

D、比特

答案：B

206.电子物证检验结果可以作为案件侦查线索或()。

A、结论依据

B、法庭证据

C、研究基础

D、理论标准

答案：B

207.通过()可以查询被调查网站注册时的注册人、管理人、技术人员等联系信息。

A、Orcale数据库

B、SQLServer数据库

GWhois数据库

D、SyBase数据库

答案：C

208.以下()对象无法计算散列值。

A、文件

B、FAT分区上的文件夹

C、逻辑分区

D、物理硬盘

答案：B

209.UNIX操作系统下，我们查看文件的访问时间、修改时间等信息是基于其采用

了()的数据结构记录文件的属性。

A、关系模型

B、node号

C\i-node

D、f节点

答案：c

210.下面可用作视频文件格式的是()。

A、JPG

B、MP4

C、TIF

D、PNG

答案：B

211.下面支持单个文件大于4GB的文件系统是()。

AFAT32

B、FAT16

C、eFAT

D、FAT12

答案：c

212.打开注册表的命令：()

A、regedit.exe

B、ipconfig.exe

CxFormat.exe

Dxping.exe

答案：A

213.文件系统是操作系统与驱动器之间的接口。在一个文件系统上,最小的可以

写入数据的单位为()。

A、磁盘

B、簇

C、比特

D、字节

答案：B

214.在NTFS文件系统中，$MFT中的文件记录大小一般是固定的，均为()。

A、4KB

B、、8KB

C、16KB

D、1KB

答案：D

215.对IP地址描述正确的是()。

A、IP地址的长度由8个字节组成

B、IP地址的长度由16个字节组成

C、在网络上，一个IP地址代表了多个网络节点

D、IP地址的长度由4个字节组成,采用标准的点分十进制表示法书写

答案：D

216.电子物证检验工作开始之前,检验人员要()。

A、只对送检的材料编号拍照

B、对送检的材料直接检验

C、只对送检的硬盘及其它存储设备的信息进行克隆复制

D、对送检的存储设备中的信息进行克隆复制，并进行编号、拍照

答案：D

217.扩展名为DOC文件使用的字符编码是()。

A、ASCII

B、GB2312

C、Unicode

D、base64

答案：c

218.MD5的哈希值是多少位的十六进制字符：()

A、16

B、32

C、64

D、128

答案：B

219.一个硬盘最多可以分为()个主分区。

A、1

B、2

C、3

D、4

答案：D

220.下面对电子物证检验对象说法错误的是()。

A、包括各种电子设备和部件

B、包括电子设备中储存的电子信息

C、包括电子设备中传输的电子信息

D、不包括磁盘未分配空间

答案：D

221.视频文件在磁盘中是以()方式保存的。

A、二进制

B、十六进制

C、八进制

D、十进制

答案：A

222.能深入操作系统底层查看所有的数据——包括slack空间、未分配空间、和

Windows交换分区数据的数据恢复工具是()。

AxEasyRecovery

BxFinalData

CxNsIookup

D、Encase

答案:D

223.下面不是文件系统的是()。

AxWindows

B、UFS

GNTFS

D、Ext2/Ext3

答案:A

224.按照Hash算法,Hash具有单向性,不可逆性,常用来检验()。

A、数据的完整性

B、数据的安全性

C、数据的唯一

答案：A

225.假设当前分区文件系统的簇大小为8KB,有一个大小为17KB的文件要存储到

该分区,那么该文件将会分配一个多大的物理空间？0

A、17KB

B、18KB

C、20KB

D、24KB

答案：D

226.下面不属于硬盘接口类型的是()。

A、IDE接口

B、SCSI接口

C、SATA接口

D、VGA接口

答案：D

227.IDE、SCSI、SATA和SAS描述了()设备的接口类型。

A、CPU

B、U盘

C、硬盘

D、RAM芯片

答案:c

228.数据量大,无法或者不便提取的，经()批准,可以对电子数据进行冻结。

A、县级以上公安机关负责人

B、侦查人员

C、勘验人员

D、案件侦办负责人

答案:A

229.以下关于加密说法,不正确的是？()

A、加密包括对称加密和非对称加密两种

B、信息隐蔽是加密的一种方法

C、密钥的位数越多,信息的安全性就越高

D、如果没有信息加密的密钥，只要知道加密程序的细节就可以对信息进行解密

答案：D

230.电子证据的特点不包括()。

A、依赖介质性

B、易复制性

C、不易破坏性

D、表现形式多样性

答案：C

231.以下哪些是属于取证软件？()

A、EnCase

B、取证大师

C、FTK

D、X-Ways

E、以上都是

答案：E

232.计算机中为了计算方便,会用到各种进制的计数方法,通常用最后一个字母

来标识数制,23H表示在()下这个数是23O

A、二进制

B、十进制

C、八进制

D、十六进制

答案：D

233.对存储介质只读设备的作用叙述不正确的是()。

A、能使证据盘数据的属性不发生变化

B、对源存储介质做逐位精确的备份

C、保证取证和检验过程的有效性

D、可方便地将证据盘接入计算机取证专用设备,直接进行取证和分析

答案：B

234.用户对硬盘进行重新分区,并重新安装操作系统后,原来硬盘上存放的信息

Oo

A、部分保留在未分配空间

B、全部被覆盖

C、全部保留在未分配空间

D、全部保留在已分配空间

答案：A

235.用于查询本地IP地址和网卡MAC地址的命令是()。

A、nsIookup

B、psIist

C、tracert

D、ipconfig-aII

答案：D

236.以下对文件进行逻辑删除的说法中，不正确的是()。

A、保存被删除文件的数据区被填充为00h

B、文件内容仍保存在数据区中，并未删除

C、被删除文件在数据区所占的簇被更新为未分配状态

D、文件目录项的首字节改变为十六进制E5

答案：A

237.扩展名为DOC文件通常是一个()。

A、视频文件

B、音频文件

C、文本文件

D、图片文件

答案：C

238.下面对IP地址描述错误的是0。

A、IP地址的长度由4个字节组成

B、IP地址的长度由32位二进制组成

C、在网络上，一个IP地址代表了多个网络节点

D、IP地址采用标准的点分十进制表示法书写

答案：C

239.假设当前分区文件系统的簇大小为4KB,有一个大小为17KB文件要存储到该

分区,那么该文件将会被分配一个OKB的物理空间。

A、16

B、17

C、18

D、20

答案：D

240.对送检的检材，依据送检要求,经技术检验后,只给出检出内容,不做主观评

价的是()。

A、鉴定书

B、检验报告

C、结果汇总

D、检验意见书

答案：B

241.进行与时间有关的文件属性检验时，获得创建时间的递归目录列表的命令是

()o

A、dir/t:c/a/s/o:d(t表示时间,c表示创建)

B、dir/t:a/a/s/o:d

C、dir/t:w/a/s/o:d

D、dir/t:s/a/s/o:d

答案：A

242.在FAT32文件系统中，最小的可以写入数据的单位为()。

A、磁盘

B、簇

C、比特

D、字节

答案:B

243.()是一个为数码相机使用的图像文件格式而制定的标准规格。

A、Encase

B、Exif

GQuickViewPlus

D、APNIC

答案:B

244.对已经被破坏或删除的办公文档碎片的检验方法叙述错误的是()o

A、可根据文档的内容设置关键字进行查找

B、可根据文档关联关系设置关键字进行查找

C、可根据文档属性设置关键字进行查找

D、可根据文档结构信息设置关键字进行查找

答案：B

245.Windwos系统格式化硬盘,是将()。

A、全部数据清零

B、全部数据写入1

C、根目录区清零

D、根目录区写入1

答案：C

246.在现场提取的易丢失数据以及现场在线分析时生成和提取的电子数据应当

计算其完整性校验值并制作、填写()

A、现场勘验检查笔录

B、固定电子证据清单

C、勘验检查照片记录表

D、封存电子证据清单

答案：B

247.NTFS采用什么来记录文件的名字、起始位置与分配空间？()