电子数据取证工作试题与答案

电子数据取证工作试题一、单项选择1CPU的中文含义是____。A主机B中央处理器C运算器D控制器2DOS命令实质上就是一段____。A数据B可执行程序C数据库D计算机语言3E01的块数据校验采用ACRC算法BMD5算法CSHA-1算法DSHA-2算法4E01证据文件分卷大小默认为A4.7GB600MC640MD700M5FAT文件系统中，当用户按Shift+Del删除该文件后，以下描述正确的选项是？A文件已经彻底从硬盘中删除B文件已删除，但文件内容首字节被改为十六进制E5C还在回收站中，可用取证大师恢复D文件已删除，但是数据还在，目录项首字节被改为十六进制E56FAT文件系统中通常有多少个FAT表?A1B2C3D47Linux系统中常见的文件系统是AExt2/Ext3/Ext4BNTFSCFAT32DCDFS8MBR扇区通常最后两个字节十六进制值为(编码次序不考虑)AAA11B11FFC55AAD66BB9Windows记事本不能保存的文本编码为AANSIBRTFCUnicodeDUTF-810Windows中的“剪贴板〞是________。A一个应用程序B磁盘上的一个文件C内存中的一个空间D一个专用文档11不属于简体中文编码的是ABig5BUFT-8CUnicodeDGB231212操作系统以扇区〔Sector〕形式将信息存储在硬盘上，每个扇区包括〔〕个字节的数据和一些其他信息。A64B32C58D51213磁盘经过高级格式化后,其外表形成多个不同半径的同心圆,这些同心圆称为____。A磁道B扇区C族D磁面14磁盘在格式化的时候被分为许多同心圆，这些同心圆轨迹叫做磁道，磁道是如何编号的A由外向内从0开始编号B由外向内从1开始编号C由内向外从0开始编号D由内向外从1开始编号15当前大多数硬盘采用的寻址方式为ACHSBLBACAUTODLARGE16断电会使原存信息消失的存储器是____。ARAMB硬盘CROMDU盘17关于MBR的描述，错误的选项是AMBR又称主引导记录B分区表项存在MBR当中CMBR中分区表可以记录多于4个分区的信息DMBR中分区表有64字节大小18关于MD5算法说法错误的选项是A哈希算法就是MD5算法BMD5算法可以用于验证数据的完整性CMD5算法是不可逆的DMD5算法可用于加密19关于NTFS文件系统的描述，错误的选项是ANTFS支持磁盘配额BNTFS也使用簇作为文件存储的最小分配单位CNTFS采用MFT表记录对象名称D删除文件时，其实际数据被去除20关于SATA的错误描述是ASATA支持串行数据传输BSATA不支持热插拔CSATA接口最大传输速率比IDE快D平展开的SATA数据线比平展开的IDE数据线更窄二、多项选择1DD镜像文件可以通过哪些方式生成A硬盘复制机生成B取证大师生成CWinHex生成DDD命令生成2E01文件能够提供的功能有A压缩功能B哈希值功能C密码保护功能D提供元文件信息3IE上网记录包括A缓存记录B历史记录CCookies记录DIE地址栏记录4MBR中包含的信息有A卷引导记录BEBR信息C主分区表D55AA的签名标识5调查取证当中的做法，错误的有A在嫌疑人硬盘上安装取证软件进行取证B先翻开只读锁电源，再连接硬盘C只读锁使用完毕后，先取走硬盘，再关闭电源D现场嫌疑人电脑处于开机状态，应当立即关机E硬盘复制机要接上只读锁再连接嫌疑人硬盘6对涉毒嫌疑人硬盘进行调查，正确的描述有可以通过A取证大师搜索上网记录B可以通过涉毒关键字搜索上网记录C搜索到的结果出现乱码需要通过选择适宜的编码来查看D已分配空间搜索不到的，需要进一步搜索未分配空间7对于电子证物的处理那些操作是正确的A运送过程中尽可能屏蔽信号B开机状态的计算机要立即关机C要记录线缆以及线缆和主机的连线方式D电子证物只要注意防潮防震就行了8对于取证相关原理的描述，错误的有A相同内容的word文档与txt文档，其HASH值是不一样的B通过HASH值可以反推出源文件的内容CRAID0在存储数据时，同时备份数据D硬盘复制机的复制速度可以突破接口的理论最大速度FAT32支持磁盘配额9高级格式化的作用包括A建立扇区B为硬盘创立文件系统C为硬盘划分磁道D对扇区进行分区内的编号10关于RAID的描述，正确的有ARAID又称廉价磁盘冗余阵列或独立磁盘冗余阵列BRAID0中只要一个硬盘损坏，数据将丧失CRAID1中只要一个硬盘损坏，数据将丧失DRAID5至少要由3个磁盘组成11关于U盘的描述，错误的有AU盘里头通过磁头来读写数据BU盘里头通过盘片来存储数据CU盘取证不需要连接只读锁DU盘在高级格式化时被划分成许多磁道12关于磁盘分区的说法，错误的选项是A磁盘分区后即可被操作系统存放数据B通过高级格式化来分区C通过低级格式化来分区DWindows中同一个分区中可以存放不同文件系统格式的文件13关于回收站文件夹，说法正确的有A回收站文件夹具有系统属性BWindows默认不会给U盘创立回收站文件夹C回收站文件夹具有隐藏属性D回收站文件夹中文件被清空，将不可以恢复14关于回收站文件夹的描述，正确的有A回收站文件夹具有系统属性B回收站文件夹具有隐藏属性C回收站被清空后数据将不可恢复D不同的Windows系统和不同文件系统中，回收站的名称不一定相同15关于快捷方式文件，正确的有A其文件扩展名为.lnkB快捷方式文件包含了它所指向的目标文件名及其完整路径C快捷方式文件包含了它所指向的目标文件的创立时间、最后访问时间和最后修改时间D快捷方式文件包含了它所指向的目标文件所存储的卷的卷标信息16关于取证大师文件属性过滤描述正确的有A可以实现“隐藏文件〞过滤B使用“加密文件〞过滤时，必须先执行加密文件分析C使用“扩展名不匹配〞过滤时，必须先执行文件签名分析D可以实现EFS文件过滤17关于日志解析，说法正确的有A取证大师可以进行Windows日志解析B取证大师可以进行IIS效劳器日志解析CWindows日志分为应用程序日志、平安日志和系统日志D日志文件不一定放在默认的目录下18关于散列算法的描述，正确的有A散列算法即哈希算法B散列算法可以用于进行数据完整性一致性校验CMD5和SHA1是两种不同的散列算法D散列值一般采用十六进制E散列算法的输入到输出是不可逆的19关于删除文件恢复，正确的有A删除文件都可以恢复B取证大师支持删除文件查找C取证大师支持删除文件恢复D文件恢复不一定可以恢复所有内容20关于扇区概念的描述，错误的选项是A扇区大小默认为4096字节B扇区是文件系统可寻址的最小单位C扇区大小一般是2的N次方D文件都是存放在连续的扇区中三、判断1Big5是繁体字的一种编码格式2CRC校验算法是字节顺序敏感的3E01证据文件只能被EnCase取证软件所支持4EnCase提供良好的基于windows的界面，右边是case文件的目录结构，左边是用户访问目录的证据文件的列表。5FAT32文件系统向下兼容NTFS文件系统6IDE接口硬盘可以支持热插拔7MBR扇区通常最后两个字节十六进制值为0x55AA8RAID5磁盘阵列需要至少三块硬盘9Shift+Del删除的文件是不可以恢复的10WindowsServer2003的关机时要通过正常方式关机11磁盘是计算机的重要外设,没有磁盘,计算计就不能运行。12格式化操作不会破坏磁盘的信息。13计算机证据的分析主要分为对主机数据的分析和对网络数据的分析。14计算机证据的鉴定，就是针对收集和保全的计算机数据进行可信性的证明。15取证大师的签名恢复功能可以根据文件签名恢复未分配空间中的指定类型的文件16电子证据是指法庭上可能成为证据的以二进制形式存储或传送的信息。17未分配空间一般没有什么内容，对取证分析意义不大18文本样式的编码设置得不合理会导致查看的文本为乱码19文件逻辑大小可以大于其物理大小20相同文件系统下单个扇区容量会比簇的容量大四、简答共(20)分1、在现场有一块500GBSATA硬盘、一款智能(开机状态)，请简要描述从其获取到取证分析之间所注意的事项。2、在现场勘查时，发现有处于开机状态台式机，操作系统winXP，阐述获取此证物从拍照到封存的整个操作过程，并举例列出在固定易丧失数据时应注意的数据形式。3、在现场勘查时，主要考虑到电子数据获取的完整性和有效性，试从完整性角度描述对正在运行的DV、碎纸机和打印机的处理方式。4、请写出电子数据现场勘查的根本流程〔10分〕5、〔1〕请尽量多的列出电子数据取证介质〔取证对象〕〔10分〕〔2〕请尽量多的列出电子数据取证软件答案：单项选择：1B2B3A4C5D6B7A8C9B10C11A12D13A14A15B16A17C18A19D20B多项选择1A,B,C,D2A,B,C,D3A,B,C,D4A,C,D5A,B,C,D,E6A,B,C,D7A,C8B,C,D,E9B,D10A,B,D11A,B,C,D12A,C,D13A,B,C14A,B,D15A,B,C,D16A,B,C,D17A,B,C,D18A,B,C,D,E19B,C,D20A,B,D判断：1正确2正确3错误4错误5错误6错误7正确8正确9错误10正确11错误12错误13正确14正确15正确16正确17错误18正确19错误20错误简答1、在现场有一块500GBSATA硬盘、一款智能(开机状态)，请简要描述从其获取到取证分析之间所注意的事项。要点：1)获取时记录其具体位置2〕必要时现场记算硬盘哈希值硬盘放入证物袋，注意防磁等环境；注意开关机状态，放入屏蔽袋；准备一块不小于500GB的磁盘做目标盘注意品牌，操作系统密码配件2、在现场勘查时，发现有处于开机状态台式机，操作系统winXP，阐述获取此证物从拍照到封存的整个操作过程，并举例列出在固定易丧失数据时应注意的数据形式。要点1拍照记录电脑整体状态，屏幕显示内容，主机接口连接2周边相关配件3注意易丧失数据，注意加密容器