电子数据取证工程师考试试卷及答案

电子数据取证工程师考试试卷及答案一、填空题（每题1分，共10分）1.电子数据取证中验证数据完整性的常用哈希算法有MD5和______。2.我国《电子签名法》规定，可靠电子签名与手写签名具有______效力。3.取证需遵循“不修改原始证据”原则，通常对原始介质做______操作。4.专用电子取证工具EnCase属于______类工具。5.电子数据中的日志文件主要记录系统或应用的______信息。6.未被覆盖的删除文件可通过恢复______信息找回。7.电子证据的三性是客观性、关联性和______。8.取证流程第一步通常是______。9.常见移动设备取证工具是______（举1例）。10.取证“链完整性”要求每一步操作有______记录。二、单项选择题（每题2分，共20分）1.以下不属于电子取证基本原则的是？A.合法性B.及时性C.随意性D.完整性2.生成只读镜像的工具是？A.ddB.ExcelC.PhotoshopD.Word3.我国《刑事诉讼法》将电子数据列为第几种证据类型？A.6B.7C.8D.94.包含邮件内容的文件格式是？A.PSTB.JPGC.MP4D.TXT5.原始介质读取需用______避免写操作？A.USB写保护B.普通USBC.SATAD.IDE6.属于动态取证范畴的是？A.内存分析B.硬盘镜像C.文件恢复D.日志分析7.电子证据“关联性”指？A.与案件事实相关B.真实存在C.合法获取D.可重复验证8.常见移动取证工具是？A.CellebriteUFEDB.EnCaseC.FTKD.Wireshark9.属于对称加密算法的是？A.AESB.RSAC.ECCD.DSA10.取证报告“证据固定”部分应包含？A.镜像哈希值B.分析过程C.结论D.法律依据三、多项选择题（每题2分，共20分）1.电子取证流程包括？A.现场保护B.证据提取C.分析鉴定D.报告出具2.属于电子证据的有？A.手机短信B.电脑日志C.监控录像D.纸质合同3.常用哈希算法有？A.MD5B.SHA-1C.SHA-256D.CRC324.取证工具需满足？A.合法性B.有效性C.可重复性D.封闭性5.移动取证需考虑？A.操作系统B.存储加密C.锁屏密码D.电池电量6.电子证据合法性审查包括？A.取证主体B.取证程序C.证据来源D.证据形式7.属于动态取证的是？A.网络流量分析B.进程分析C.内存转储D.注册表分析8.数据恢复前提是？A.未被覆盖B.介质未损坏C.有备份D.知道路径9.可靠电子签名条件？A.专属控制B.签署后未篡改C.数据未篡改D.可识别身份10.取证报告核心内容？A.委托事项B.取证过程C.分析结果D.鉴定意见四、判断题（每题2分，共20分）1.电子取证可直接在原始介质操作。（）2.哈希值相同则数据一定相同。（）3.电子签名法适用于所有场景。（）4.移动取证只能提取内存数据。（）5.日志文件无法被篡改。（）6.对称加密用相同密钥。（）7.取证无需记录操作日志。（）8.电子证据三性包含真实性。（）9.FTK是常用取证工具。（）10.网络流量分析属于动态取证。（）五、简答题（每题5分，共20分）1.简述“不修改原始证据”原则及实现方法。2.我国电子证据的法律地位及审查要点。3.移动设备与电脑取证的主要区别。4.哈希值在电子取证中的作用。六、讨论题（每题5分，共10分）1.讨论加密存储介质取证的难点及应对策略。2.讨论动态取证在网络犯罪案件中的重要性。---答案部分一、填空题1.SHA-1（或SHA-256）2.同等3.只读镜像（或镜像）4.专用电子取证5.操作（或活动）6.文件系统元数据（或元数据）7.合法性8.现场勘查（或证据接收）9.CellebriteUFED（或FTKMobile）10.可追溯（或操作）二、单项选择题1.C2.A3.C4.A5.A6.A7.A8.A9.A10.A三、多项选择题1.ABCD2.ABC3.ABC4.ABC5.ABCD6.ABCD7.ABC8.AB9.ABCD10.ABCD四、判断题1.×2.√3.×4.×5.×6.√7.×8.√9.√10.√五、简答题1.答案：该原则要求取证不修改原始介质/数据，避免破坏完整性。实现方法：①用只读接口（USB写保护、硬件写锁）读取原始介质；②对原始介质做只读镜像，分析基于镜像；③记录每步操作哈希值，验证数据未篡改；④使用取证专用设备（如写保护硬盘盒）。2.答案：我国《刑诉法》《民诉法》将电子数据列为独立证据，与其他证据效力同等。审查要点：①合法性（主体、程序、来源合法）；②关联性（与案件事实相关）；③客观性（真实存在、未篡改，可哈希验证）；④完整性（涵盖全部相关数据）。3.答案：①存储结构：移动设备为闪存，文件系统特殊（iOSAPFS、Androidext4），部分加密；②操作限制：需专用工具解锁锁屏/权限；③数据类型：含位置、即时通讯、生物特征等独特数据；④取证难度：介质易损、数据易自动清理，需快速提取。4.答案：哈希值是数据唯一数字指纹，作用：①验证完整性（取证前后哈希相同则未篡改）；②证据固定（记录在报告中证明真实性）；③快速比对（哈希相同则内容相同，筛选重复数据）；④溯源（关联不同介质相同数据，还原案件）。六、讨论题1.答案：难点：①密钥获取难（需密码或破解）；②加密算法复杂，破解耗时；③部分介质仅支持特定硬件读取；④破解后完整性易受质疑。应对：①合法询问获取用户密码；②用专业工具（如EnCase加密模块）分析；③合规暴力破解；④无法破解则说明状态，避免非法操作，记录破解过程确保可追溯。2.答案：动态取证针对运行系统，在网络犯罪中至关重要