电子物证检验工程师考试试卷及答案

电子物证检验工程师考试试卷及答案一、填空题（每题1分，共10分）1.电子物证检验中，MD5哈希算法的摘要长度是______位。2.电子物证取证首要原则是______，避免破坏原始证据。3.NTFS文件系统中记录元数据的核心文件是______。4.存储硬盘分区信息的区域是______。5.数字签名可验证数据的______和不可否认性。6.电子物证固定后需进行______验证以确保未篡改。7.恢复删除JPG文件的关键特征是文件头______（格式：十六进制）。8.云存储电子物证提取需注意______权限合法性。9.FAT32文件系统中，簇大小与______相关。10.电子物证检验报告核心是______与结论。二、单项选择题（每题2分，共20分）1.以下哈希算法安全性最高的是？A.MD5B.SHA-1C.SHA-256D.CRC322.原始电子介质正确处理方式是？A.直接打开B.制作镜像操作C.格式化D.随意复制3.NTFS中隐藏文件的属性标识是？A.只读B.隐藏C.系统D.存档4.不属于电子物证的是？A.手机短信B.纸质合同C.云端聊天记录D.电脑文档5.电子物证检验报告需由谁签字？A.检验人员B.管理员C.打字员D.任意人员6.MBR位于硬盘第几个扇区？A.0B.1C.2D.37.写保护工具的作用是？A.防止写入原始介质B.加快读取C.删除无用数据D.修复文件8.以下需电子物证鉴定的是？A.案件涉及数字资产B.电脑日常维护C.手机充电D.普通文档查看9.恢复删除PNG文件的文件头是？A.FFD8FFB.89504E47C.4D5AD.无固定10.电子物证存储需满足的条件不包括？A.防磁B.防潮C.随意存放D.防高温三、多项选择题（每题2分，共20分）1.电子物证的特点包括？A.易失性B.隐蔽性C.可复制性D.不可修改性2.NTFS的优势有？A.支持大文件B.权限控制C.数据压缩D.簇大小固定3.电子物证取证流程包括？A.现场勘查B.证据固定C.检验分析D.报告出具4.常用取证工具包括？A.取证大师B.EnCaseC.FTKD.Word5.电子物证检验需关注的文件头有？A.JPG（FFD8FF）B.PNG（89504E47）C.TXT（无固定）D.EXE（4D5A）6.云电子物证提取注意事项？A.合法权限B.记录过程C.固定哈希值D.无需验证7.电子物证存储介质要求？A.只读存储B.容量足够C.无病毒D.可随意写入8.电子物证检验对象包括？A.电脑硬盘B.手机SIM卡C.智能手表D.纸质笔记本9.数字签名组成部分？A.哈希值B.私钥加密C.公钥验证D.原始数据10.数据恢复方法包括？A.簇链分析B.文件头搜索C.日志分析D.格式化覆盖四、判断题（每题2分，共20分）1.电子物证可直接在原始介质操作。（×）2.SHA-256摘要长度比MD5长。（√）3.NTFS的MFT存储所有文件元数据。（√）4.纸质合同属于电子物证。（×）5.写保护可防止原始介质修改。（√）6.FAT32支持大于4GB的单个文件。（×）7.检验报告无需记录过程。（×）8.数字签名验证完整性和真实性。（√）9.簇链完整即可恢复删除文件。（√）10.云存储无需固定哈希值。（×）五、简答题（每题5分，共20分）1.简述电子物证取证首要原则及原因。答案：首要原则是保持原始证据完整性与不可修改性。原因：电子数据易被篡改、删除且痕迹难察觉，直接操作原始介质可能因误操作、病毒感染破坏证据真实性；原始证据是后续检验鉴定的唯一合法依据，若被破坏则无法还原真实情况，影响案件认定。因此需通过制作镜像在复制件上操作，同时固定原始介质哈希值验证一致性。2.简述NTFS中MFT的作用。答案：MFT（主文件表）是NTFS核心元数据文件，存储所有文件/文件夹的元数据：每个文件对应一个记录项，包含文件名、大小、时间戳、权限、簇链位置等；自身记录号为0，存储自身位置；即使文件被删除，若MFT记录未覆盖，仍可通过MFT定位簇链恢复文件，是NTFS文件管理的核心。3.简述电子物证检验报告核心内容。答案：核心包括：①委托单位及事项；②检验对象（介质型号、序列号、哈希值）；③检验过程（工具、方法、步骤）；④检验结果（发现的证据事实，如删除文件、聊天记录）；⑤检验结论（专业判断，是否支持委托事项）；⑥检验人员资质、签字及日期。需保证过程可复现、结果客观、结论明确。4.简述云存储电子物证提取注意事项。答案：需注意：①获取合法访问权限（委托授权或法定程序）；②记录提取过程（时间、操作、工具）确保可追溯；③提取前后固定哈希值验证未篡改；④不修改删除云端原始数据；⑤提取完整数据（含元数据、缓存）；⑥符合跨境传输规定（若涉及）。六、讨论题（每题5分，共10分）1.讨论数据恢复与数据提取的区别及联系。答案：区别：数据提取是获取存储介质中现有可访问数据（未删除文件、目录）；数据恢复是针对已删除、损坏或格式化数据，通过簇链、文件头、日志分析恢复不可直接访问的数据。联系：二者均为核心环节，提取是基础，恢复是补充；均需遵循原始性原则（镜像操作、哈希验证）；恢复数据需与提取数据整合作为证据。2.讨论如何应对电子物证中的数据加密挑战。答案：应对方法：①优先获取合法解密密钥（委托方、嫌疑人授权）；②使用取证工具（取证大师、EnCase）针对常见算法（AES、RSA）尝试破解；③分析加密文件元数据（时间、大小）推断加密方式；④无法破解则在报告中说明情况；⑤更新工具库、加强加密技术学习，提升应对能力。答案汇总一、填空题答案1.1282.保持原始性（不修改原始证据）3.MFT（主文件表）4.MBR（主引导记录）5.完整性6.哈希值7.FFD8FF8.访问9.分区大小10.检验过程二、单项选择题答案1.C2.B3.B4.B5.A6.A7.A8.A9.B10.C