取证试题.doc

一、判断题1. ( )计算机取证一定要用取证软件来进行取证才能找到有效证据。2. ( )电子证据是指“以电子形式存在的、用作证据使用的一切材料及其派生物”。3. ( )收集到的电子证据只要是真实的就可以作为法庭的证据。二、名词解释动态取证：通常采用动态仿真系统，将待分析的硬盘中的操作系统模拟运行起来，然后再进行取证分析，提取一些在静态取证过程中无法获得的数据（如系统中已保存的各种密码），以及分析木马、恶意代码程序等。静态取证：就是直接分析硬盘中的文件内容，不需要将硬盘中的操作系统运行起来。磁盘镜像：又称磁盘映像，是将两个或两个以上的磁盘或磁盘子系统上生成同一个数据的镜像视图。只读锁：用于保护连接的硬盘中的数据，避免数据被篡改，确保电子介质的访问操作符合司法规范。主动取证：主动取证是指主动获取犯罪证据，作为证明犯罪者非法行为的电子数据证据的技术。主要包括蜜网，蜜罐技术，动态监听与日志保全技术以及网络侦查陷阱。司法鉴定：在诉讼活动中鉴定人运用科学技术或者专门知识对诉讼涉及的专门性问题进行鉴别和判断并提供鉴定意见的活动。证据固定：由于有些证据因各种原因可能随时灭失或者发生变化，从而影响证据的认定，因此需要通过一些方式，把这些证据及时固定下来。MD5：为计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护。蜜罐技术：是指没有业务上的用途，因此所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷，主要用以监视、检测和分析攻击。它用真实的或虚拟的系统模拟一个或多个易受攻击的主机，给入侵者提供一个容易攻击的目标，从而发现攻击者采用的手段。数字隐藏：又称数据隐写术。是指将需要保密传输的信息隐藏在载体文件中，在载体文件的掩护下，秘密信息得以安全保密的传输，而且数字隐藏技术还可以和密码术进行有效的结合，进一步提高安全性存储介质：存储介质是指存储数据的载体。比如软盘、光盘、DVD、硬盘、闪存、U盘、CF卡、SD卡、MMC卡、SM卡、记忆棒（Memory Stick）、xD卡等（列举若干个即可）。柱面：所有盘面上的同一磁道构成一个圆柱。扇区：信息以脉冲串的形式记录在轨迹中，同心圆不是连续记录数据，而是被划分成一段段的圆弧，每段圆弧叫做一个扇区磁道：磁盘在格式化时被划分成许多同心圆，这些同心圆轨迹叫做磁道。低级格式化：简称低格，也称硬盘物理格式化。它的作用是检测硬盘磁介质，划分磁道，为每个磁道划分扇区，并根据用户选定的交叉因子安排扇区在磁道中的排列顺序。MBR：主引导记录区，位于整个硬盘的0磁道0柱面1扇区。它负责磁盘操作系统(DOS)对磁盘进行读写时分区合法性的判别、分区引导信息的定位，它由磁盘操作系统(DOS)在对硬盘进行初始化时产生的。分区：就是将硬盘划分为一个个的逻辑区域。NTFS文件系统：是一个基于安全性的文件系统，它是建立在保护文件和目录数据基础上，同时照顾节省存储资源，减少磁盘占用量的一种先进的文件系统。.AES：高级加密标准，在密码学中又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。DES：数据加密标准，是一种使用密钥加密的块算法。MAC地址：物理地址、硬件地址，用来定义网络设备的位置。IP地址：互联网协议地址，IP地址是IP协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。邮件客户端：指使用IMAP/APOP/SMTP/ESMTP协议收发电子邮件的软件。用户不需要登入邮箱就可以收发邮件。硬盘接口：硬盘与主机系统间的连接部件，作用是在硬盘缓存和主机内存之间传输数据。硬盘复制机：又称硬盘拷贝机、硬盘克隆机，它是司法过程中对嫌疑人计算机取证的常用工具之一。用于硬盘对硬盘的复制，在实现完全复制的同时，可使用CRC、MD5等校验技术检验生成的复制数据与源硬盘数据的一致性。 IDS：入侵检测系统”。依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。端口：是指传输层提供应用程序与网络之间的各接口点称为端口，它是个预定义的内部地址（编号），以16位字标识，提供从应用程序到传输层或从传输层到应用程序之间的一条通路。SIM卡密码：分为PIN码、PIN2码，PUK码和PUK2码，这四种密码的初始码是由提供SIM卡的移动网络运营商提供的。系统启动项：是指开机的时候系统会在前台或者后台自动运行的程序。数字指纹：是将不同的标志性识别代码指纹，利用数字水印技术嵌入到数字媒体中，然后将嵌入了指纹的数字媒体分发给用户。发行商发现盗版行为后，就能通过提取盗版产品中的指纹，确定非法复制的来源，对盗版者进行起诉，从而起到版权保护的作用。二、画图：1. 画出一般的加密解密过程。.P472. 画出计算机取证与司法鉴定的层次功能表。P23. 画出数字水印的嵌入和提取过程.P584. 画出信息隐藏系统的一般模型.P555. TcP/IP协议与 Is0(模型)的对应关系P1386. 手机取证的一般流程.获取证物-提取数据-检查分析-报告展示P205三、分析：1、计算机犯罪现场勘查基本步骤？（1）研究案情，观察、巡视现场，确定中心现场和勘查范围；（2）根据现场环境和案情，确定勘查顺序。一般以计算机为中心向外围勘查，对于比较大的现场可采用分片、分区的办法同时进行；（3）.用照相、录像、绘图、笔录等方法将原始现场“固定”下来。对显示器屏幕上图像、文字也要用照相、录像的方法及时取证。拍照屏幕显示内容时，相机速度应为130秒或更低，光圈为5.6或8，不要用闪光灯；（4）在确保不破坏计算机内部信息的前提下，寻找可能与犯罪有关的可疑痕迹物证，如手印、足迹、工具痕迹、墨水等痕迹，系统手册、运行记录、打印资料等文件，磁盘、磁带、光盘和优盘等存储器件。2、计算机取证、网络取证、手机取证的异同点分析相同点：(1)均是司法诉讼活动作出的专门性鉴定意见(2)均需要相同的合法提取证物流程(3)提取的证物信息均含有电子数据不同点：(1)对象不同。计算机取证针对的是计算机主机、计算机硬盘、存储文件等作为对象。网络取证的对象是数据报与网络数据流。手机取证的对象是手机内存、SIM卡、SD卡以及服务运营商。（2）取证环境不同。计算机取证中硬盘数据恢复则需在无尘的环境中进行。网络取证则需在联网的情况下进行。手机取证需在屏蔽箱内进行。（3）取证方式不同。网络取证有时为保证数据完整性，需采用分布式取证，其他两种则不用。（4）取证工具不同。计算机取证工具如Encase。网络取证工具如Wireshake,手机取证工具如便捷式手机取证箱（CellDEK）3、如何对一块带有操作系统的嫌疑硬盘进行取证（1) 将嫌疑硬盘连入只读锁确保硬盘中的数据不被随意篡改。（2）将连入只读锁的硬盘再连入用于取证的计算机中（该计算机不能联网）。（3）利用硬盘复制机对嫌疑硬盘进行点对点的完全复制（4）在复制后的硬盘上进行取证分析4、分析说明对硬盘做司法鉴定报告的主要有哪些内容。5、系统用户分析包括哪些内容？（1）使用用户管理器查看用户列表是否多出了个别可疑的管理员权限的用户账号（这个账号很可能是攻击者留下的）（2）查看用户属性是否被改变（比如来宾用户的属性）（3）调查清楚用户相关的文档（所有权等）四、简答1、文件碎片在电子取证中有什么应用？ 根据已经获得的文件或数据的用词、语法和编程（写作）风格，推断出其可能的分析技术，根据文件控制块（记录块）的碎片推断出其可能的格式的技术。2、列举4种注册表在电子取证中的应用（1）可以查看最近使用文件列表；（2）保留了可移动存储设备信息；（3）查看和分析自启动位置可以给调查者提供线索：被调查的活动是用户执行的结果，还是恶意软件或攻击者执行的结果；（4）可以查看用户信息项。3、列举4种以上的网络证据源（1）防火墙和路由器（2）数据包嗅探器和协议分析器、（3）入侵检测系统、远程访问服务器、（4）安全事件管理（SEM）软件、（5）网络取证分析工具4、如何获取易丢失的证据（1）运行可信的cmd.exe程序（2）记录系统时间和日期（3）确定哪些人登录到该系统（包括远程用户）（4）记录所有文件的创建、修改和访问时间（5）确定打开的端口5“取证大师”能完成的工作有哪些？自动取证；并行取证；电子邮件；即时通讯软件信息自动分析；上网记录自动分析；支持恢复已删除访问记录；文档自动分类和快速提取；直观的用户行为痕迹分析；独创的反取证软件检测；格式化分区数据恢复；支持对加密光盘进行调查6、实际取证一般要用哪些工具设备？照相机、摄像机；只读接口；数据克隆工具；校验码计算工具；电子数据检验专用计算机；综合性电子数据恢复、搜索、分析软件；电子物证存储柜；其他必备工具。（8类必备设备）7、常见硬盘接口类型及差异分析现在的硬盘接口综合起来说可以分成如下几种：IDE（即ATA）、SCSI、IEEE1394（即火线）、Serial ATA（串行ATA）与USB.（1）IDE是常见接口、价格便宜（2）serial ATA是intel制定取代IDE的下一代产品（3）SCSI拥护并行处理能力，价格不菲，适合服务器（4）IEEE1394与USB属于新一代接口，性能低、外接数量多8、如何应用关联分析来进行网络取证？用户名关联。密码关联。时间关联。关系人关联9、 如何挖掘文档碎片中的证据？ （1）利用文档碎片读取工具（例如WinHex）读出现有文档碎片中存在的已知文字编码 （2）对照文字编码进行翻译转化工作 （3）搜索关键字的文字编码，迅速锁定目标文件 （4）生成新的文档储存文档碎片10、反取证技术的研究有什么意义？答：只有对反取证技术深入了解，才能不断提高取证软件的可靠性、可信任性。另外反取证技术的研究还应用于保护个人隐私的需要，即保护合法公民或公司的正当法律权利不受侵害。11、手机取证的证据源有哪些？答：手机内存SIM卡手机扩展的闪存卡移动运营商和短信服务商12、简述WINDOWS文件系统数据恢复的基本原理 答：为了整个系统的效率，Windows操作系统只是将被删除文件所在的磁盘位置标注为“已删除”。很显然，一个文件被删除之后，假如它所在的磁盘记录还没被写入其他数据，那么这个文件的