数据安全与恢复题库.doc

数据安全与恢复总复习题一 、单项选择题（25）1检查、排除计算机的故障，应遵循（ ）的原则。a）检查、排除计算机的故障，应遵循（ ）的原则。b）由外到内、由软到硬c）由内到外、由硬到软d）由外到内、由硬到软答案：a 2下列文档的扩展名哪一个是批处理文件的扩展名？（）a）a.bakb）b.basc）c.batd）d.cab答案：c 3主引导扇区位于整个硬盘的那个位置：（）a）a0磁道0柱面0扇区b）b0磁道0柱面1扇区c）c0磁道1柱面1扇区d）d1磁道1柱面1扇区答案：b 4系统中一般有几个fat：（）a）a1个b）b2个c）c3个d）d4个答案：b 5硬盘数据的几个部分中，那个部分是唯一的：（）a）ambrb）bdbrc）cfatd）ddata区答案：a 6easy recovery工具的作用是：（）a）a磁盘镜象b）b数据恢复c）cdbr恢复d）dmbr恢复答案：b 7ntfs把磁盘分成两大部分，其中大约12%分配给（），以满足不断增长的文件数量。该文件对这12%的空间享有独占权，余下的88%的空间被分配用来存储文件。 a）ambrb）bdbrc）cfatd）dmft答案：d 8捷波的“恢复精灵”（recovery genius）的作用是（）。a）a硬盘保护卡b）b主板bios内置的系统保护c）c虚拟还原工具d）d杀毒软件提供的系统备份答案：c 9数据恢复的第一步一般是做什么的恢复：（）a）a分区恢复b）b主引导扇区记录c）c文件分配表的恢复d）d数据文件的恢复答案：a 10当用户将需要数据恢复的设备送来时，需要向用户了解的信息有：（）a）a数据丢失发生的原因，当时进行了什么操作，之后有无任何其它操作b）b存储设备的使用年限；容量大小，操作系统版本和分区的类型、大小c）c要恢复的数据在什么分区上，什么目录里；什么文件类型；大概数量d）d以上都是答案：d 11附加的收费可能来自：（）a）a加急费b）b数据刻录或转储成本费c）c上门服务费d）d以上都是答案：d 12fdt在fat12/16中采用（）方式，在fat32中采用（）方式。a）a固定、固定b）b非固定、固定c）c固定、非固定d）d、非固定、非固定答案：c 13关于ntfs的元文件，以下论述正确的是：（）a）a$mftmirr是$mft的完整映像，所以，为了安全可靠，每个ntfs分区，都有两份完全一样的$mft，就象fat分区的fat表b）b$mftmirr是$mft的完整部分像c）c$boot文件就是其dbrd）d$root是该分区中的根目录，是最高一级目录答案：d 14进入正式数据恢复操作流程以后，如果与初检结果判断偏差较大，操作风险和费用等急剧升高时，要：（）a）a停止继续工作，先行与用户沟通，取得书面认可（补充协议）后，再继续进行b）b先进行恢复，然后再与用户沟通c）c取消服务答案：a 15进行数据恢复工作的首要原则是：（）a）a决不能对送修数据产生新的伤害（二次损伤，再次损伤）b）b必须签定数据恢复服务流程工作单（服务合同书）c）c遇到问题及时与客户协商答案：a 16联机存储器又可以称为：（） a）a近线存储器b）b在线存储器c）c离线存储器答案：b 17数据恢复时，我们应该选择什么样的备份方式：（）a）a磁盘到磁盘的备份b）b文件到文件的备份c）c扇区到扇区的备份答案：c 18下面不属于电存储技术的设备是：（）a）acmos芯片b）b闪存c）czip磁盘答案：c 19下面所列文档中含有不属于easyrecovery可以修复的组是：（）a）aaccess、word、outlookb）bexcel、powerpoint、zipc）cacess、word、jpeg答案：c 20已经知道，mbr可以定位dbr，同样dbr又可以定位很多的项，选择下面不是直接由dbr确定的项：（）a）afat1的起始扇区b）bfdt的起始扇区c）c文件的结束簇号答案：c 21在windows 95系统中，文件或目录实际存储着两个名字，一个短文件名和一个长文件名。如果是短文件名，则存储在8.3格式的32字节的目录项中。当创建一个长文件名时，其对应短文件名的存储按以下几个原则处理，其中不正确的是：（）a）awindows 95取长文件名的前6个字符加上“1”形成短文件名，其扩展名不变b）b如果已存在这个名字的文件，则符号“”后的数字自动增加c）c如果有dos和windows 3.x非法的字符，则取消创建相应的短文件名答案：c 22 操作易损坏硬盘，故不应经常使用。a）a高级格式化b）b 低级格式化c）c硬盘分区d）d向硬盘拷答案：b 23硬盘驱动器 。a）a全封闭，耐震性好，不易损坏b）b不易碎，不象显示器那样要注意保护c）c耐震性差，搬运时要注意保护d）d不用时应套入纸套，防止灰尘进入答案：c 24磁盘的载体表面涂有一层，用于存储信息。a）a塑料b）b磁性材料c）c去磁物d）d防霉物答案：b 25磁盘一个扇区的容量为_。 a）a 128bb）b256bc）c512bd）d1024b答案：c 二 、判断题（44）1一块磁盘可以分4个主分区和一个扩展分区。答案：错误 2ntfs文件系统的dbr中读出的分区大小就是该分区的实际大小。答案：错误 3fat表中每个fat表项的值是文件下一簇的簇号。答案：正确 4diskgenius是一款分区表修复软件，是国人李大海编写的。答案：正确 5用winhex物理打开磁盘时不会读取dbr参数。答案：正确 6mhdd是一款磁盘检测工具，它能读取磁盘的p表进行坏道修复。答案：错误 7数据恢复人员在恢复磁盘时，为保护源盘数据安全，要养成做镜像的好习惯。答案：正确 8分区被格式化后，在恢复根目录下的文件时，只能按照不依赖文件系统来恢复。答案：错误 9fat32文件系统中的dbr备份扇区号，是dbr扇区号加上6。答案：正确 10索引项中的文件名是ansi编码的。答案：错误 11一般不将扩展dos分区设为活动分区。答案：正确 12mbr就是硬盘的主引导记录。答案：正确 13把制作好的光盘映象iso刻录成实际物理光盘，一定要刻录机和刻录软件。答案：正确 14在本地计算机中，只能运行一台虚拟计算机系统。答案：错误 15虚拟计算机系统中的硬件有变化时，本地计算机也要重新配置bios。答案：错误 16一般地，要构造虚拟计算机系统，本地计算机系统中的内存容量要尽量的大。答案：正确 17在本地计算机系统中要与虚拟windows系统计算机进行网络通信，就要求一定要连接网络连接线。答案：错误 18一般硬盘可以分区为两个扩展分区和一个主分区答案：错误 19利用ghost软件可以对windows xp系统进行备份。答案：正确 20如果把操作系统所在分区升级成动态磁盘后，也可以还原为基本磁盘答案：错误 21把基本磁盘升级为动态磁盘后，其上的数据不会丢失，可以直接使用答案：正确 22在硬盘的分区表遭到各种情况的破坏后，利用diskgen软件，都可以进行修复答案：正确 23在进行了0磁道损坏的修复后，就不能再利用fdisk来对硬盘进行分区了答案：错误 24文件在任意情况下的删除，只要不被覆盖，都是可以恢复的答案：正确 25从理论上来讲，文档的密码总是可以破解的，但是，在实际中，如果破解时间太长，工程上也认为是不可破解。答案：正确 26当硬盘上的分区有数据时，如果该硬盘的分区表损坏后，数据就不可能再恢复了答案：错误 27在fat 32文件系统中，如果用命令“shift+del”来删除了文件，当使用恢复工具软件来进行恢复时，一般情况下是不正常的答案：错误 28要恢复操作系统所在分区上的被删除的文件，一般情况下恢复的几率比较小，这也说明了不要在操作系统所在分区上保存文件答案：正确 29硬盘上一般用于保存数据的分区，最好使用ntfs文件系统答案：正确 30u盘使用ntfs文件系统要优于fat32文件系统。答案：错误 31在日常工作中，最好事先就安装好数据恢复工具软件，一旦出现文件的误删除，就可以马上进行恢复，成功率是最高的；答案：正确 32winrar密码的加密强度比office密码加密强度下，所以相同密码的条件下更容易。答案：错误 33adobe acrobat的存取限制密码是文档的所有者用于保护文档而设置的，该密码不影响使用者打开和浏览pdf文档，但保护文档不被修改、打印、选取文字和图形（包括将它们拷贝至剪贴板）、添加/修改注释等。（）答案：正确 34finaldata 也可以用以恢复数码存储设备上的数据。（）答案：正确 35photorescue支持多种数码相机储存介质，包括smart media记忆卡、compact flash（cf卡）、memory stick记忆卡、microdrive（微型硬盘）等。（）答案：正确 36word recovery作为word插件，可以修复没有密码保护的文档，不能修复有密码保护的文档，即使知道其密码。（）答案：正确 37凡仅有两种稳定的物理状态，能方便地检测出属于哪种稳定状态，两种稳定状态又容易相互转换的物质或元器件，都可以用来记忆二进制代码“0”和“1”，称这样的物质或元器件为存储介质或记录介质。（）答案：正确 38逻辑恢复指的是病毒感染、误格式化、误分区、误克隆、误操作、网络删除、操作时断电等数据丢失的恢复。（）答案：正确 39命令“fdisk/mbr”除可以重新建立主磁盘的主引导记录外，还可以清除分区表。（）答案：错误 40使用easyrecovery修复文档时，由于easyrecovery不能自动对待修复的文档进行备份，所以，在修复前必须对待修复文件进行备份，以防损坏。（）答案：错误 41数据恢复，简单地说，就是把遭受破坏、或由硬件缺陷导致不可访问或不可获得、或由于误操作等各种原因导致丢失的数据还原成正常数据。（）答案：错误 42因为ghost可以对硬盘进行备份，所以，无论用哪种方式和参数使用ghost对要恢复数据的硬盘做过备份后，都可以放心的对原硬盘进行恢复，如果不成功，还可以使用ghost备份的数据再次进行恢复。（）答案：错误 43硬盘的分区规则是：一个分区的所有扇区必须连续，硬盘可以有最多4个物理上的分区，这4个物理分区可以是1个主分区或者3个主分区加一个扩展分区。（）答案：错误 44硬盘低级格式化（1ow level format）简称低格，也称硬盘物理格式化（physical format）。它的作用是检测硬盘磁介质，划分磁道，为每个磁道划分扇区，并根据用户选定的交叉因子安排扇区在磁道中的排列顺序等。（）答案：正确 三 、填空题（31）1进行数据恢复以前，一般先用_软件对源盘进行磁盘健康检测，测试硬盘的磁头是否健康、磁盘坏道量和坏道位置、磁盘是否加密或剪切等等；然后用_软件对源盘进行扇区级镜像，对镜像数据分析而不是直接分析源盘数据。答案：mhdd winhex 2数据恢复领域涉及到的文件系统有windows下的_、_，linux下的_，unix下的_，mac下的_。答案：fat ntfs ext2/ext3 ufs1/ufs2 hfs+ 3手工分析与恢复数据最好的软件是_；自动恢复数据常用的软件有两种，分别是_和recover my files，其中前一中自动恢复软件对依赖文件系统的恢复比较有效，后一种对不依赖文件系统的文件比较有效。答案：winhex easyrecovery 4fat文件系统由_、_、_、_四部分构成，根目录的fdt表存在于_部分中。答案：dbr fat1 fat2 数据区 数据区 5fat中每一个文件或文件夹都有一个目录项，由目录项可得到该文件或文件夹的_和_两个重要信息，但是对于高位簇清0的问题不适用。答案：起始簇号 文件占有簇数 6fat中对于不连续文件的恢复，通常需要分析该文件的_。答案：文件结构 7主引导记录mbr中有分区表信息，分区表一共有_分区表项。答案：4 8如果一块磁盘提示未初始化，通常是它的mbr中的_标志被破坏，只要用十六进制编辑器重写该标志就可解决问题。答案：55aa 9扩展分区中每个逻辑分区中的dbr，都有一个隐含扇区大小参数，该隐含扇区大小的参考起始位置是扩展分区中的_。答案：第一个embr 10ntfs中一个文件的起始簇号和文件占用的簇数这两个重要信息，从该文件的_属性中可得到。答案：80 11ntfs中的文件都由_管理，它的起始位置可以由_得到。答案：mft表 dbr中bpb 12ntfs中每个文件的文件名存在于三个地方，分别是mft项的_属性中、该文件的索引项中、日志文件中，文件名都是以_码存放的。答案：30 unicode 13ntfs中每个mft项的大小是_（即两个扇区的大小）。答案：1k 14raid的实现有两种，分别是由专门的raid控制器实现的_和由软件实现的_。常用的raid组合有_、_。答案：硬raid 软raid raid10 raid53 15计算机系统是由硬件系统和_两大系统构成的。磁盘存储器属于_存储器，一般分为软盘存储器和硬盘存储器。答案：软件 外 16硬盘驱动器由_、_和_三个部分组成。答案：盘体 电路部分 接口 17硬盘的类型参数中，柱面数的英文缩写为_，磁头数的英文缩写为_，扇区数的英文缩写为_。答案：c h s 18dos环境下检测磁盘最好的工具是_软件_,该工具软件还具有修复坏道功能，除此工具软件外，_工具软件也不错。答案：mhdd hddr 19mft，主文件表（master file table）的简称，它是ntfs文件系统的核心。mft由一个一个的_（也称为文件记录）组成，每个文件记录占用_个字节的空间。分区中每个文件和文件夹的信息都生成一个文件记录存于mft中。访问文件和文件夹时都要先访问mft，在mft中找到该文件的记录，根据记录中的信息找到文件内容并对其进行访问。答案：mft项 1024 20ntfs文件系统被创建时，会同时建立一些重要的系统信息，这些系统信息也是以文件的形式存在，被称为_。该类文件的文件名以“_”符号开头，表示其为隐藏的系统文件，用户不能直接访问。一共有_个。答案：元文件 $ 16 21如果一个ntfs分区的大小超过2g，则该分区的簇的大小默认是_.答案：4k 22ntfs文件系统比fat32更稳定、更安全。视整个分区都是数据区，文件以_为单位分配存储空间，簇编号从_开始。答案：簇 0 23mbr中引导代码损坏的修复如果使用dos命令法，该命令为 c:_答案：fdisk /mbr 24硬盘分区的类型有_、扩展分区，在扩展分区基础上可以建_分区。答案：主分区 逻辑 25fat短文件名目录项中文件名是大写的_码答案：ascii码 26fat32文件系统中存储长文件名是_码.答案：unicode 27ntfs中文件名出现在三个地方，分别是_中、_中、日志文件中。都是_码表示。答案：30属性中、索引项中 、unicode 28硬盘在使用前，需先经过_和高级格式化，才能存放数据。答案：分区 29fat32文件系统中dbr的备份位于其dbr扇区之后_个扇区，ntfs文件系统的dbr备份位于_位置。他们的dbr备份有_个。答案：6 本分区的最后一个扇区 1 30mbr是指_。答案：主引导扇区 31dbr是指_。答案：操作系统引导扇区 四 、问答题（9）11、mbr的开始标志是什么，有哪几部分构成？fat和ntfs文件系统的开始标志是什么？答案： 开始标志是33 c0 8e 有4部分构成，分别是开始标志33 c0 8e 、引导代码、分区表、结束标志55aafat文件系统的开始标志eb 58 90ntfs文件系统的开始标志 eb 52 902、fat文件系统下，有一个文件名为“123456789.txt”的文件，该文件存储时会产生长文件名目录项吗，为什么？写该文件的短文件名，并指出短见文件名和长文件名分别用什么码表示？答案：会的，因为该文件名的字符数已经超出了短文件名的8.3结构短文件名为：1234561.txt短文件名用ansi码表示长文件名用unicode码表示 3fat文件系统下，文件被完全删除的特点是什么？格式化的特点是什么？答案：删除特点：清空与该文件相关的fat表项、父目录的fdt表中短文件名目录项首字节修改为e5、文件起始簇号的高16位清0、文件数据区内容不变。格式化特点：重写dbr，fat表和根目录的fdt表均被清空，子目录的fdt表不变。4ntfs文件系统的mft表由一个一个的mft项构成，$mft和$root元文件的mft项号分别是多少？每个项的大小是多少？给出10、30、80、90、a0、b0属性的名称。答案：$mft和$root元文件的mft项号分别是0号项和5号项，每个项的大小事1kb10属性：标准信息属性，含有文件建立时间和修改时间30属性：文件名属性，含有该文件的文件名80属性：数据属性，含有该文件的起始簇号和文件占有簇数90属性：索引跟属性，含有该目录下子目录和文件的索引项a0属性：索引分配属性，含有索引项缓冲区的地址和大小b0属性：位图属性，含有mft表的占有情况5硬盘常用的接口有哪几种？答案：ide sata scsi sas 6ghost镜像和winhex镜像的区别。答案：用ghost软件对磁盘或分区进行的镜像，是一种文件系统层的操作。该镜像不包含由于删除和格式化而丢失的数据。例如：500g的硬盘存有10g的数据，镜像后的容量还是10g。winhex的镜像指一种基于物理层面的、扇区级的镜像，是一种真正意义上的克隆。例如：500g的硬盘不管存有多少数据，要扇区级镜像至少需要一个500g容量的硬盘接收。7什么情况下需要镜像答案：（1）误删除、格式化、分区等操作丢失数据时。 目的是防止操作系统写入数据覆盖有用数据。（2）需要进行不可逆的操作。例如进行chkdsk（自动修复分区命令）操作。（3）磁盘存有坏道。对源盘操作可能加大坏道范围。（4）更换磁头组建。 防止换磁头时划伤盘片。（5）阵列恢复。 阵列由多块磁盘构成，阵列重组必须要分析结构，计算参数。这要求所有盘都挂到恢复用机上，这很困难。（6）电子取证。要求不能对源盘产生任何的写入操作。8mbr扇区损坏的原因有哪些？答案： 1、计算机运行中突然断电2、计算机运行中非法关机3、计算机运行中非法重启4、病毒破坏9请问该硬盘共有几个分区？分别叫什么分区？（主分区、扩展分区、逻辑分区等，顺序上的第几个分区）。（如答：有n个分区；第一个分区是xx分区，）答案：4个、第一个是主分区、第二个是主分区、第三个是扩展分区中第一逻辑分区、第四个是第二逻辑分区五 、分析与设计题（11）1一个文件，文件名为“sjhf.doc”,ansi码为53 4a 48 46 2e 44 4f 43,如果该文件被完全删除，分别写出在fat和ntfs文件系统下的手工恢复方法。答案：fat系统下：（1）搜索e5 4a 48 46 2e 44 4f 43,得到该文件的目录项（2）由目录项得到该文件的起始簇号和占有的簇数（3）定位该文件，复制文件到新文件，以doc保存该文件ntfs系统下：（1）搜索53 00 4a 00 48 00 46 00 2e 00 44 00 4f 00 43 00，得到该文件的mft项（2）分析该mft项中的80属性，由数据运行计算文件的开始簇号和占有的簇数（3）定位该文件，复制文件到新文件，以doc保存该文件2一个文件的80属性的数据运行列表，列表值为21 20 ed 05 22 48 07 48 22 21 28 c8 db，根据列表值计算该文件的每一部分的起始簇号和簇数。答案：第一部分21 20 ed 05起始簇号：5ed（1517） 大小：20（32簇）第二部分22 48 07 48 22起始簇号：5ed+2248（1517+8776） 大小： 748（1864簇）第三部分21 28 c8 db起始簇号：5ed+2248+dbc8（1517+8776-9272） 大小： 28（40簇）3一个客户的硬盘的d分区是fat文件系统，打开时提示“未格式化”，用winhex逻辑打开该分区，搜索“eb 58 90”未果，搜索“f8 ff ff 0f”，假设在1660扇区处发现该标志，由上可得该分区的dbr和fat1损坏，fat2完好，假设该分区有卷标“wxd”,给出恢复该分区的方法。答案：（1）搜索卷标名“wxd”，得到该卷标的目录项所在位置就是根目录的fdt表起始扇区（2）由根目录fdt表位置往上退一个扇区，该扇区号减去fat2起始扇区号得到fat表大小（3）由fat2起始位置和大小，修复fat1（4）求出相邻的两个目录之间的扇区数和簇数（搜索两个相邻的2e 20 20获得参数），得到 每簇扇区数=簇数/扇区数（5）物理打开磁盘，读取分区表得到该分区的大小和隐含扇区数（6）复制一个好的fat系统的dbr覆盖该系统的dbr， 将每簇扇区数、分区大小、隐含扇区数填写到dbr中。 （7）重启系统4假设ntfs系统下有一个文件“校历.xls”，请使用30和80属性恢复删除的文件。答案：（1）先在一个文本文件中输入文件名“校历.xsl”，以unicode码保存。（2）将“校历.xsl”的unicode码输入到“搜索”中，通过搜索文件名所在的30属性，从而定位到该文件的mft项。（3）从mft项中分析其80属性的数据运行，从而找到该文件的开始簇号及文件的大小。（4）定位该文件，选中所有内容，保存。5给出利用90、a0属性定位一个文件的方法。（ 例如：j:打印机xy校历.xsl ）答案：分析根目录的mft项（5号），由a0属性的数据运行可以先找到根目录的索引缓冲区，缓冲区里有根目录下所有文件和文件夹的索引项，通过搜索“打印机”文件名 ，找到“打印机”文件夹的索引项，该索引项中有“打印机”文件夹的mft项号。定位到“打印机”文件夹的mft项号，同理，分析该项找到它的索引缓冲区，找到文件“xy校历.xsl”的索引项，由索引项找到该文件的mft项号，定位到该文件的mft项，由80属性得到该文件。 6通过$mft元文件的mft项中的b0属性（位图属性），分析mft表的使用情况。答案：定位到$mft元文件的mft项（0号项），分析b0属性的数据运行，找到b0属性中指定的缓冲区，这里有mft表的使用情况（每个字节8位，每一位对应mft表中的一个mft项，“1”表示该项占用，“0”表示未占用）。 7使用30和80属性恢复删除的文件（例如：校历.xsl）。答案：（1）先在一个文本文件中输入文件名“校历.xsl”，以unicode码保存。（2）将“校历.xsl”的unicode码输入到“搜索”中，通过搜索文件名所在的30属性，从而定位到该文件的mft项。（3）从mft项中分析其8