【计算机取证期末复习题】

您所在的位置：网站首页 › 下面关于windows的说法正确的是 › 【计算机取证期末复习题】

【计算机取证期末复习题】

2024-06-18 09:02| 来源: 网络整理| 查看: 265

单选计算机取证是将计算机调查和分析技术应用于对潜在的，有法律效力的证据的确定与提取。以下关于计算机取证的描述中，错误的是（）。 A.计算机取证包括保护目标计算机系统、确定收集和保存电子证据，必须在开机的状态下进行 B.计算机取证围绕电子证据进行,电子证据具有高科技性、无形性和易破坏性等特点 C.计算机取证包括对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档 D.计算机取证是一门在犯罪进行过程中或之后收集证据的技术答案：A

计算机取证的合法原则是:（） A.计算机取证的目的是获取证据，因此首先必须确保证据获取再履行相关法律手续 B.计算机取证在任何时候都必须保证符合相关法律法规 C.计算机取证只能由执法机构才能执行，以确保其合法性 D.计算机取证必须获得执法机关的授权才可进行以确保合法性原则答案：B

计算机取证的合法原则不包括（） A 主体合法：合法调查人员、具有法定资格、“有案在册”的计算机取证专家 B 对象合法：只有被怀疑与案件事实有关联的信息，才能作为被取证调查的对象；调查取证时，电子设备的所有人、权利人应该在场 C 手段合法：符合技术操作规范，使用的工具和程序必须通过国家有关主管部门的评测 D 时间合法：应在适当的时间取证计算机取证的合法原则包括：主题合法、对象合法、手段合法、过程合法答案：D

E01 是取证分析工具 EnCase 的一个证据文件格式，文件的每个字节都经过 32 位的（）校验，这使得证据被篡改的可能性几乎为 0 A CRC 算法 B MD5 算法 C SHA-1 算法 D SHA-2 算法答案：A

数据克隆是计算机证据固定和保全的三大技术之一，下面有关数据克隆的描述，不正确的是________。 A. 一种“位对位”全盘镜像，将源盘信息按位 1：1 复制，但删除的文件无法克隆 B.在除了磁盘中的数据，还包括删除的文件、未分配空间、打印缓冲区、数据残留共和文件碎片等 C.在使用数据克隆设备进行克隆时，自动生成日志和指纹，实现检材的完整性 D.在进行数据克隆时，一般支持目标盘自动擦除、坏扇区智能处理，并可按数据块进行指纹验证克隆检材硬盘中的内容会在克隆硬盘中完全反应出来，不会丢失、遗漏、也不会被修改，包括被删除的文件、未分配空间、打印缓冲区、数据残留区和文件碎片等。答案：A

FAT 文件系统中，当用户按 Shift+Del 删除该文件后，以下描述正确的是？ A 文件已经彻底从硬盘中删除 B 文件已删除，但文件内容首字节被改为十六进制 E5 C 还在回收站中，可用取证大师恢复 D 文件已删除，但是数据还在，目录项首字节被改为十六进制 E5 答案：D

Linux 系统中常见的文件系统是（） A Ext2/Ext3/Ext4 B NTFS C FAT32 D CDFS 答案：A

MBR 扇区通常最后两个字节十六进制值为(编码次序不考虑) A AA 11 B 11 FF C 55 AA D 66 BB 答案：C

Windows 记事本不能保存的文本编码为 A ANSI B RTF C Unicode D UTF-8 答案：B

Windows 中的“剪贴板”是________。 A 一个应用程序 B 磁盘上的一个文件 C 内存中的一个空间 D 一个专用文档答案：C

下列（）不是计算机证据的优点。 A 可被精确复制 B 容易鉴别证据原件和当前电子证据之间是否有变化或关联 C 完全销毁电子证据比较困难 D 容易取证和鉴定答案：D

不属于简体中文编码的是 A Big5 B UFT-8 C Unicode D GB2312 答案：A

操作系统以扇区（Sector）形式将信息存储在硬盘上，每个扇区包括（）个字节的数据和一些其他信息。 A 64 B 32 C 58 D 512 答案：D

磁盘经过高级格式化后, 其表面形成多个不同半径的同心圆, 这些同心圆称为____。 A 磁道 B 扇区 C 族 D 磁面答案：A

断电会使原存信息消失的存储器是____。 A RAM B 硬盘 C ROM D U 盘答案：A

《刑法》第六章第 285、286、287 条对计算机犯罪的内容和量刑进行了明确的规定，以下（）不是其中规定的罪行。 A 非法侵入计算机信息系统罪 B 破坏计算机信息系统罪 C 利用计算机实施犯罪 D 国家重要信息系统管理者玩忽职守罪答案：D

关于 MBR 的描述，错误的是（） A MBR 又称主引导记录 B 分区表项存在 MBR 当中 C MBR 中分区表可以记录多于 4 个分区的信息 D MBR 中分区表有 64 字节大小答案：C

关于 MD5 算法说法错误的是 A 哈希算法就是 MD5 算法 B MD5 算法可以用于验证数据的完整性 C MD5 算法是不可逆的 D MD5 算法可用于加密答案：A

关于 NTFS 文件系统的描述，错误的是 A NTFS 支持磁盘配额 B NTFS 也使用簇作为文件存储的最小分配单位 C NTFS 采用 MFT 表记录对象名称 D 删除文件时，其实际数据被清除答案：D

下面有关 Linux 取证的描述，（）是错误的。 A 在对内存和硬盘制作镜像前，首先用 mount 命令把设备挂载到某一目录下 B 使用 who 命令可查看正在运行的进程及运行状态 C 使用 netstat 命令可使取证人员获知哪些网络连接正在运作，哪些服务或应用在哪些端口运行。 D /var/log/lastlog 是 Linux 日志子系统的关键文件，记录了最近成功登录的事件和最后一次不成功登录的事件答案：B

木马的隐藏不包括（） A.木马文件隐藏 B.木马自启动隐藏 C.木马通信隐藏 D.木马结果隐藏答案：D

关于 SATA 的错误描述是 A SATA 支持串行数据传输 B SATA 不支持热插拔 C SATA 接口最大传输速率比 IDE 快 D 平展开的 SATA 数据线比平展开的 IDE 数据线更窄答案：B

以下有关 EasyRecovery 的说法不正确的是（） A. EasyRecovery 在恢复数据时并不向硬盘写任何东西，而是在内存中对文件的 FAT 表和目录进行操作，避免因再次写硬盘而造成新的数据破坏。 B. 使用该软件时一定要注意将恢复出来的数据保存在其他的硬盘空间内。 C. 该软件能够对 FAT 和 NTFS 分区中的文件删除、格式化分区进行数据恢复。 D. 它主要是对数据进行硬件恢复。答案：D

以下不属于电子证据特点的是（） A. 电子证据的脆弱性 B. 电子证据的隐蔽性 C. 电子证据的不可挽救性 D.电子证据对系统的依赖性答案：C

以下不属于计算机取证过程中分析过程的是（） A. 协议分析 B. 镜像技术 C. 数据挖掘 D. 过程还原答案：B

以下属于计算机取证技术的发展趋势的是（） A. 动态取证技术 B. 计算机取证挖掘算法和柔性挖掘技术 C. 取证工具和过程的标准化 D. 以上都是答案：D

下面有关 MBR 分区的描述，不正确的是（） A MBR 的最前面 446 字节为主引导记录，安装引导加载程 B 主引导记录后面是 128 字节 EBR 信息 C 主引导记录后面是 64 字节主分区表，MBR 只能有 4 个主分区，或者 3 个主分区，一个扩展分区 D MBR 分区的最后是 2 字节 55AA 结束标志，它是磁盘的有效标志，如果缺失，会导致系统无限次重启答案：B

以下关于硬盘的逻辑结构说法不正确的是（） A. 每个盘片有两个面，这两个面都是用来存储数据的。 B. 随着读写磁头沿着盘片半径方向上下移动，每个盘片被划分成若干个同心圆磁道。 C. 磁道被划分成若干个段，每个段称为一个扇区。扇区的编号是按 0,1，……顺序进行的。 D. 硬盘柱面、磁道、扇区的划分表面上是看不到任何痕迹的。答案：C

以下不属于文件系统的是（）。 A. LINUX B.NTFS C. FAT32 D.EXT2 答案：A

以下不属于数据分析技术的是（）。 A. 对已删除文件的恢复、重建技术 B. 关键字搜索技术 C. 日志分析 D. 特殊类型文件分析答案：A

提取磁盘/分区镜像时，以下做法不妥的是（） A.在该磁盘/分区读写过程中提取 B.对目标磁盘/分区卸载或挂载为只读 C.使用 dd 提取镜像的时候遇到读取错误时，忽略该错误而不停止拷贝行为 D.为防止本地空间不够，可以使用 netcat 远程提取镜像答案：A

在大多数黑客案件中，嗅探工具常被用来捕捉通过网络的流量以重建诸如上网和访问网络文件等功能，以下（）是这类工具。 A. FTK B. sniffer pro C. Quick View Plus D.NTI-DOC 答案：B

下列哪个选项是无法计算哈希值的？ A. 硬盘 B. 分区 C. 文件 D. 文件夹答案：D

下列文件系统中，哪个是 Windows 7 系统不支持的？ A. exFat B. NTFS C. HFS D. FAT32 答案：C

下列有关文件的各类时间属性，操作系统是一定不记录的？ A. 创建时间 B. 修改时间 C. 访问时间 D. 删除时间答案：D

下列哪种不是常见的司法取证中的硬盘镜像格式？ A. Gho B. AFF C. S01 D. 001 答案：D

NetworkMiner 嗅探抓取的信息不包括以下哪项（）。 A. IP 地址 B. DNS 解析 C. 系统 C 盘文件列表 D. Mac 地址答案：C

UNIX 下误删除文件恢复工具不包括（）。 A.Toolkit B.extundelete C.debugfs D.lsof 答案：A

下列属于 Windows 7 系统中虚拟内存对应的文件是？（） A. hiberfil.sys B. pagefile.sys C. virtualmem.sys D. config.sys 答案：B

下面哪种类型的数据不属于易失性数据？（） A. 内存 B. 未分配簇 C. 运行的服务 D. 未打开的图片答案：D

计算机对硬盘的读写基本单位、数据存储和磁盘管理的最基本单位分别是________。 A.扇区簇 B.簇扇区 C.扇区柱面 D.簇磁道答案：A

（）是 Windows 系统存储关于计算机配置信息的数据库，是 Windows 操作系统的核心。 A.日志 B.注册表 C.系统目录 D.系统进程答案：B

有关木马取证的描述，错误的是（） A.木马取证的目的是找出木马的全部功能、追踪木马的作者、木马的使用者 B.可以通过文件扩展名、摘要、作者名、软件注册码判断数据来自某一个软件及其作者和产生时间 C.木马一般通过把自己注入某些常用进程达到隐藏的目的 D.驱动级木马在正常模式下对于注册表的改动无法观测到，但木马释放文件可以观测到答案：D

Linux 下误删除文件恢复工具不包括（） A.Toolkit B.extundelete C.debugfs D.lsof 答案：A

对于电子证物的处理，（）操作是错误的。 A.手机运送过程中尽可能屏蔽手机信号 B.不要随便给电脑进行开机和关机操作 C.要记录线缆以及线缆和主机的连线方式 D.电子证物只要注意防潮防震就行了答案：D

E01 的块数据校验采用（） A.CRC 算法 B.MD5 算法 C.SHA-1 算法 D.二进制反码运算答案：A

NetworkMiner 嗅探抓取的信息不包括。 A.IP 地址 B.DNS 解析 C.系统 C 盘文件列表 D.Mac 地址答案：C

在手机取证时，SIM 卡是重要的证据来源。SIM 卡能够存储的数据不包括________。 A.SIM 卡生产厂商写入的原始数据，包括用户识别码、认证算法、加密算法等 B.用户自已存入的数据，如短消息、话费记录、性能参数等 C.用户用卡过程自动存入的网络接续和用户信息数据，如最近一次位置登记时手机所在位置识别号 D.手机中的应用程序答案：D

判断 Big5 是繁体字的一种编码格式答案：对

CRC 校验算法是字节顺序敏感的答案：对

E01 证据文件只能被 EnCase 取证软件所支持答案：错

FAT32 文件系统向下兼容 NTFS 文件系统答案：错

IDE 接口硬盘可以支持热插拔答案：错

MBR 扇区通常最后两个字节十六进制值为 0x55AA 答案：对

RAID5 磁盘阵列需要至少三块硬盘答案：对 8. Shift+Del 删除的文件是不可以恢复的

答案：错

Windows Server 2008 的关机时要通过正常方式关机答案：对

磁盘是计算机的重要外设, 没有磁盘, 计算计就不能运行。答案：错

格式化操作不会破坏磁盘的信息。答案：错

计算机证据的分析主要分为对主机数据的分析和对网络数据的分析。答案：对

计算机证据的鉴定，就是针对收集和保全的计算机数据进行可信性的证明。答案：对

电子证据是指法庭上可能成为证据的以二进制形式存储或传送的信息。答案：对

未分配空间一般没有什么内容，对取证分析意义不大答案：错

文本样式的编码设置得不合理会导致查看的文本为乱码答案：对

文件逻辑大小可以大于其物理大小答案：错

相同文件系统下单个扇区容量会比簇的容量大答案：错

对于误删除，错误格式化，硬盘主引导记录、分区表或目录分配表损坏但又没有用其他数据覆盖这些形式的数据，恢复一般都有效。答案：对

数据库系统、网络服务器、防火墙都提供了日志功能。答案：对

恶意代码是一种程序，它通过把代码在不被察觉的情况下镶嵌到另一段程序中，从而达到破坏被感染电脑数据。计算机病毒、特洛伊木马、计算机蠕虫等都属于恶意代码。答案：对

证物的完整性验证和和数字时间戳都是通过计算哈希值来实现的。答案：对

在进行现场勘查的过程中，如果操作系统正在批量下载信息或杀毒，我们不应该立即终止这些操作。答案：错

在提取易失性信息的过程中可以使用目标系统上的程序实施提取。答案：错

计算机证物应存储在正常室温的环境下，避免遭受湿气、磁力、灰尘、烟雾、水及油的影响。答案：对

在 linux 系统中可以使用 kill 命令杀死某个进程。答案：对

Linux 中的日志等级 none 表示不记录任何信息答案：对

手机取证时一般将手机调成飞信模式再进行取证。答案：对

计算机仿真取证技术可以很大程度上弥补传统静态取证证据获取能力的不足。答案：错

开机状态下 Windows 的用户密码信息是以明文形式保存在注册表中的。答案：错

现场勘验时可以通过 PE 工具直接清除 windows 密码后进行开机取证。答案：错

对手机取证时应保证待检测手机的数据、信号畅通，以便及时接受到最新的证据。答案：错

iPhone 手机微信中获取的语音文件属于证据形式中的声像资料，而不是电子数据。答案：错

在进行硬盘克隆（对位复制）前必须对目标盘进行擦除。答案：对

Aff 与 E01 格式支持镜像压缩，可根据实际需求选择压缩比，减少文件占用的空间与镜像制作的时间。答案：对

Linux 系统主要日志有应用程序日志、系统日志和安全日志。答案：错

计算机取证只能由调查人员对原始存储介质进行备份，同时，备份过程应由嫌疑人、被害人或在场人共同确认，以免日后对证据的可采性滋生争议。答案：错

在电子证据取证过程中，为了保全证据通常使用数字签名和数字时间戳技术。其中数字签名用于验证传送对象的完整性以及传送者的身份，时间戳可以证明数字证据在特定的时间和日期是存在的，且从该时刻到出庭这段时间不曾被修改过。答案：对

注册表工具 Autoruns 具有全面自启动程序检测功能，找出那些被在系统启动和登录期间自运行的程序。答案：对

计算机证据具有多样性、电子性、准确性、脆弱性和挥发性特点。答案：错

在手机取证时，不要随便对手机进行开机和关机操作，同时应采用屏蔽措施阻止手机与外界通信。答案：对

内存取证工具 Volatility 只能用于 Windows 平台，它可以从运行进程、网络套接字、网络连接、DLL 和注册表配置单元中提取信息。答案：错

一般情况下，源盘生成的 E01 镜像，占用的空间小于同一块盘生成的 DD 镜像。答案：错

Linux 日志配置文件为/etc/rsyslog.conf，它设置了日志记录的具体规则和具体位置。答案：对

网络取证中，文件的时间属性对于还原事件发生的真实次序非常重要。文件下载时，文件创建时间为开始下载时间，文件修改时间为下载结束时间答案：错

多选 E01 文件能够提供的功能有（） A 压缩功能 B 哈希值功能 C 密码保护功能 D 提供元文件信息答案：A,B, D

有关 E01 文件描述正确的有（） A 取证分析工具 EnCase 的一个证据文件格式 B 包含文件头、校验值和数据块 C 密码保护功能 D 提供元文件信息答案：A,B, D

E01 是取证分析工具 EnCase 支持的一种证据文件格式，该文件除了包括证据数据外，还包括（）等元数据 A 调查人员 B 调查地点 C 调查机构 D 备注答案：A,B,C,D

IE 上网记录包括（） A 缓存记录 B 历史记录 C Cookies 记录 D IE 地址栏记录答案：A,B,C,D

MBR 中包含的信息有（） A 卷引导记录 B EBR 信息 C 主分区表 D 55AA 的签名标识答案：A,C,D

调查取证当中的做法，错误的有（） A 在嫌疑人硬盘上安装取证软件进行取证 B 先打开只读锁电源，再连接硬盘 C 只读锁使用完毕后，先取走硬盘，再关闭电源 D 现场嫌疑人电脑处于开机状态，应当立即关机 E 硬盘复制机要接上只读锁再连接嫌疑人硬盘答案：ABCDE

对于电子证物的处理那些操作是正确的（） A 手机运送过程中尽可能屏蔽手机信号 B 开机状态的计算机要立即关机 C 要记录线缆以及线缆和主机的连线方式 D 电子证物只要注意防潮防震就行了答案：A, C

对于取证相关原理的描述，错误的有（） A 相同内容的 word 文档与 txt 文档，其 HASH 值是不一样的 B 通过 HASH 值可以反推出源文件的内容 C RAID 0 在存储数据时，同时备份数据 D 硬盘复制机的复制速度可以突破接口的理论最大速度 E FAT32 支持磁盘配额答案：A,B,C,D、E

高级格式化的作用包括（） A 建立扇区 B 为硬盘创建文件系统 C 为硬盘划分磁道 D 对扇区进行分区内的编号答案：B,D

关于 RAID 的描述，正确的有（） A RAID 又称廉价磁盘冗余阵列或独立磁盘冗余阵列 B RAID0 中只要一个硬盘损坏，数据将丢失 C RAID1 中只要一个硬盘损坏，数据将丢失 D RAID5 至少要由 3 个磁盘组成答案：A,B,D

关于 U 盘的描述，错误的有（） A U 盘里头通过磁头来读写数据 B U 盘里头通过盘片来存储数据 C U 盘取证不需要连接只读锁 D U 盘在高级格式化时被划分成许多磁道答案：A,B,C,D

关于磁盘分区的说法，错误的是（） A 磁盘分区后即可被操作系统存放数据 B 通过高级格式化来分区 C 通过低级格式化来分区 D Windows 中同一个分区中可以存放不同文件系统格式的文件答案：A,C,D

关于回收站文件夹，说法正确的有（） A 回收站文件夹具有系统属性 B Windows 默认不会给 U 盘创建回收站文件夹 C 回收站文件夹具有隐藏属性 D 回收站文件夹中文件被清空，将不可以恢复答案：A,B,C

关于回收站文件夹的描述，正确的有（） A 回收站文件夹具有系统属性 B 回收站文件夹具有隐藏属性 C 回收站被清空后数据将不可恢复 D 不同的 Windows 系统和不同文件系统中，回收站的名称不一定相同答案：A,B,D

关于快捷方式文件，正确的有（） A 其文件扩展名为.lnk B 快捷方式文件包含了它所指向的目标文件名及其完整路径 C 快捷方式文件包含了它所指向的目标文件的创建时间、最后访问时间和最后修改时间 D 快捷方式文件包含了它所指向的目标文件所存储的卷的卷标信息答案：A,B,C,D

关于散列算法的描述，正确的有 A 散列算法即哈希算法 B 散列算法可以用于进行数据完整性一致性校验 C MD5 和 SHA1 是两种不同的散列算法 D 散列值一般采用十六进制 E 散列算法的输入到输出是不可逆的答案：A,B,C,D、E

关于扇区概念的描述，错误的是（） A 扇区大小默认为 4096 字节 B 扇区是文件系统可寻址的最小单位 C 扇区大小一般是 2 的 N 次方 D 文件都是存放在连续的扇区中答案：A,B,D

通常 Windows 系统中涉及文件的 3 个时间属性，M 代表 Modify，表示最后修改时间； A 代表 Access，表示最后访问时间；C 代表 Create，表示创建时间；下列解释错误的是？（） A．M 始终要晚于 C B． M、A、C 在 Linux 系统中也适用 C． M、A、C 时间是不能被任何工具修改的，因此是可信的 D．文件的 M、A、C 时间一旦发生变化，文件的哈希值随之改变答案：ABC

下列关于对位复制的说法中，不正确的是？（） A．为了确保目标盘与源盘的一致性，一定要找到与源盘品牌、型号、容量均一致的目标盘进行复制 B．为了确保司法取证的有效性，一定要验证目标盘与源盘哈希值的一致性 C．为了确保目标盘与源盘的一致性，目标盘的硬盘接口一定要与源盘一致 D．当目标盘容量大于源盘时，一定要计算目标盘整盘的哈希值，用于与源盘的哈希值进行比对一致性答案：ACD

下列关于现场勘验过操作的说法中，不正确的是？（） A．DD 文件是最常用的镜像格式，因为该格式是原始镜像，而且支持高压缩。 B．为了固定运行着的计算机的桌面状态，首先应该按键盘的 PrtSc 键进行截图。 C．对于关机状态下的计算机进行固定时，优先采取对硬盘盘体进行开盘操作的方式。 D．对于关机状态下又无法拆卸硬盘的计算机，应该开机直接查看系统里的数据。答案：CD

下列文件系统中，哪些是 Windows 的文件系统？（） A. HFS/HFS+ B. EXT2/3/4 C. NTFS D. FAT16/32 答案：CD

下列关于对位复制和创建镜像的说法中，错误的是？（） A．一般情况下，对位复制时，目标盘容量要等于源盘容量 B．制作 DD 镜像时，能够将 500G 源盘的完整 DD 镜像生成到 500G 的目标盘中 C．一般情况下，源盘生成的 E01 镜像，占用的空间小于同一块盘生成的 DD 镜像 D．用专门的镜像哈希计算工具，计算的同一块硬盘的 DD 和 E01 镜像哈希值是相同的答案：CD

下面关于文件头的说法中，不正确的是？（） A．各种类型文件的文件头长度不一定相同 B． JPG 格式文件的文件头存在细小差异 C．相比文件头，文件扩展名更可信，因此文件扩展名常用于判断文件类型 D．在 Windows 系统中，修改文件扩展名的同时，该文件的文件头也随之变化答案：BCD

下列哪些类型是 Windows7 系统中常见的日志类型？（） A. Application B. Security C. System D. Local 答案：ABC

手机中常用的简体中文编码格式不包括？（） A. Big5 B. UTF-16 C. Unicode BE D. UTF-7 答案：ABCD

下面哪些密码破解方法可以用于 RAR 文件？（） A. 彩虹表破解 B. 暴力破解 C. 掩码破解 D. 字典破解答案：BCD

计算机取证中数据固定的三大技术包括（）。 A.只读 B.克隆 C.校验技术 D.数据恢复答案：ABC

当调查分析跨时区事件时，操作系统和文件的时间属性非常重要。不同操作系统或文件系统对日期、时间有不同的处理方法，下面有关日期时间的描述，正确的是（）。 A.Linux 的时间标签有最后修改时间、最后访问时间和最后状态改变时间 B. windows 的时间标签有创建时间、最后写/修改时间和最后访问时间 C.当复制文件时，文件的创建时间、最后访问时间会、最后写/修改时间都不会改变 D.取证过程中需关闭取证主机上的杀毒软件自动扫描功能，因为它会访问被调查的文件，并可能改变文件的最后访问时间答案：ABCD

系统日志对取证有重要意义，（）是 Windows 系统日志能够获取的信息。 A.确定成功登录系统的用户 B.确定试图登录系统但没有成功登录的用户 C.跟踪审核策略的变更 D.确定访问特定文件的用户 E.跟踪用户权限的变化答案：ABCDE

计算机证据分析是整个取证过程的核心与关键，下面有关证据分析的描述，正确的有（） A.分析过程的开机、关机过程，尽可能地避免正在运行的进行数据丢失或存在不可逆转的删除程序 B.通过将收集的程序、数据和备份与当前进行的程序数据进行对比，发现篡改痕迹 C.分析过程是基于原始证据的复制件进行的，一份用于取证的备份必须是对原始数据的每一比特的精确克隆 D.分析之前，一定要为被分析的数据生成数字指纹答案：ABCD

计算机证据与传统证据一样，计算机证据必须是（）。 A.可信的 B.准确的 C.完整的 D.符合法津法规的答案：ABCD

在取证过程中，可能会遇到各种各样对系统的入侵或攻击，常用的追踪技术有（）。 A.通过 nslookup、tracert、whois 追踪入侵者 IP 地址 B.通过查询 DHCP 服务器地址分配信息进行动态 IP 地址跟踪 C.使用 arp -a 、ipconfig /all 追踪 MAC 地址 D.通过电子邮件头部信息进行电子邮件追踪答案：ABCD

下列关于文件大小和文件占用空间大小的说法中，不正确的是？（） A．文件大小和文件占用空间大小总是不一致的 B．文件占用空间大小总是大于文件的实际大小 C．文件大小总是文件占用扇区大小的整数倍 D．文件占用空间大小与文件实际大小之间的差额通常被称为文件松弛区（Slack）答案：ABC

下面哪些操作系统不属于智能手机操作系统？（） A. Linux B. Windows 8 C. Mac OS D. MTK 答案：AD

下面哪些文件不是 Windows 的注册表文件？（） A. Regedit B. Sam C. System D. Security 答案：BCD

下列关于制作硬盘复制件的说法中，不正确的是？（） A．降低直接在源盘检验带来的源盘损坏的风险。 B．防止误操作等原因造成的硬盘数据篡改。 C．对于某些传输速率低的硬盘，复制件采用高速率硬盘能有效提高后续取证效率。 D．制作复制件的同时，能够修复部分物理损坏的源盘。答案：CD

下列文件后缀名的说法中，不正确的是？（） A．文件的后缀名显示与否是 Windows 系统中可以设置的。 B．文件的后缀名一般来说为 3-4 个位长度。 C．可以通过改变文件的后缀名修改文件的类型。 D．所有文件都有文件后缀名。答案：BC

下列关于安卓手机取证说法错误的是（）。 A.安卓手机大部分的关键数据都记录在/data/data 区内 B. /data/data 区无法随意访问，需要最高用户权限的授权（root 权限） C.通过解析备份文件也可以完成对 data 区的取证 D.通过一些第三方软件，可以将 QQ、微信等主流社交软件的聊天记录储存位置指定在 SD 卡答案：AB 39. 下面有关 Linux 的用户登录信息，描述正确的有（） A.lastlog 列出所有用户最近登录的日志，用 lastlog 命令查看 B.btmp 登录失败尝试的登录信息，用 lastb 命令查看 C.wtmp 列出当前和曾经登入系统的用户信息，即正确登录的所有用户命令，用 last 命令查看 D.utmp 列出正确登录的所有用户命令，用 last 命令查看

答案：ABC

手机取证的电子证据来源主要有（） A.手机内存 B.SIM 卡 C.手机扩展的闪存卡 D.移动运商答案：ABCD

手机取证的发展方向有（） A.继续加强对手机取证工具、软件和方法的研发，改善它们的取证效果，使其符合法庭取证的要求 B.手机取证专家与各手机厂商通过交流协作，制定出统一的手机取证技术标准。 C.立法部门加强对涉及手机犯罪方法的立法工作，从法津法规上不给犯罪分子留下空子，切实有效打击手机犯罪 D.加强移动运商的监管答案：ABC

计算机证据与传统证据一样，必须是（） A.可信的 B.准确的 C.完整的，使法官信服的 D.符合法律法规，为法庭所接受的答案：ABCD

在计算机取证中，当系统遭到入侵后，可以以 IP 地址作为追踪入侵者的入口点。追踪入侵者 IP 地址常用的方法有（） A.nslookup B.tracert C.查找 DHCP 服务器地址分配日志 D.ipconfig 答案：ABC

在对磁盘数据进行取证时，首先进行磁盘镜像制作。制作磁盘镜像需注意以下几点（）。 A.对目标磁盘/分区卸载或挂载为只读 B.使用 dd 提取镜像的时候遇到读取错误时，忽略该错误而不停止拷贝行为 C.在该磁盘/分区读写过程中提取 D.为防止本地空间不够，可以使用 netcat 远程提取镜像答案：ABD

下面有关手机取证获取证物的描述，（）是正确的。 A.在获取证物的过程，不要随便对手机进行开机或关机操作 B.在取证现场，准确记录相关数字证据和常规证据，可对现场及证物拍照，记录原始证物的特点和状态 C.因为是数字取证，在现场搜集证物时，不需要对指纹、毛发等非数字证据进行收集 D.在把证物带离现场过程中，应采用屏蔽措施阻止手机与外界通信，同时避免物理损坏，防止数据被污染答案：ABD

为了能够长期存在于被攻击的系统中，木马需要把自己很好隐藏起来，下面（）不是木马隐藏的方法。 A.Rootkit B.添加到注册表的 RUN 项 C.添加到其他应用程序中 D.添加到系统服务中答案：BCD

时间是取证的重要数据，保存在硬件或文件中的时间可以作为证据确定行为和后果。通常 Windows 系统中涉及文件的 3 个时间属性：最后修改时间、最后访问时间和创建时间。下面有关几个时间的关系描述正确的是（）。 A.修改时间可以早于建立时间，如果修改时间早于建立时间，表明文件可能被复制或移动过 B.在一个文件夹中，如果一些文件的修改时间等于创建时间，并且有很近的创建时间或者修改时间，那么这些文件有可能是从网上批量下载的 C.如果在硬盘上批量的文件具有很近的访问时间，这些文件极有可能被同一个工具软件扫描过 D.如果一个文件的修改时间早于创建时间，表明该文件可能是解压后的文件答案：ABCD

android 是手机常用操作系统，下面有关 android 手机取证描述正确的是（）。 A.安卓手机中 QQ 信息，包括帐号信息、好友信息等都存储在/data/data 下 B. SQLite 数据库已经成为 android 系统的标准数据库，手机中常用到的通讯录管理软件、通话记录、短信应用、浏览器历史记录、以及其他即时通讯软件的聊天记录等等，采用的存储方式都是 SQLite 数据库格式。 C.程序执行过程产生的临时数据主要存储在静态 RAM 中，打电话最后拨打的号码，暂时存在静态 RAM 中，手机正常关机时才会写入通话记录中。 D.在手机取证时，使用取证精灵，在时间、对象和空间上通过对一部或多部手机数据进行逻辑分析，可确定手机持有人之间的关系，联系频率、通话次数、通话总时长等信息。答案：ABCD

简答分析题在现场有一块 500GB SATA 硬盘、一款智能手机(开机状态)，请简要描述从其获取到取证分析之间所注意的事项。答：1) 获取时记录其具体位置 2）必要时现场记算硬盘哈希值硬盘放入证物袋，注意防磁等环境；手机注意开关机状态，放入屏蔽袋； 3）准备一块不小于 500GB 的磁盘做目标盘 4）注意手机品牌，操作系统、密码、配件

在现场勘查时，发现有处于开机状态台式机，操作系统 winXP，阐述获取此证物从拍照到封存的整个操作过程，并举例列出在固定易丢失数据时应注意的数据形式。答： 1）拍照记录电脑整体状态，屏幕显示内容，主机接口连接 2）周边相关配件 3）注意易丢失数据，注意加密容器、加密文件、 QQ 等即时通讯数据的固定对一些关键数据、关键步骤应使用录像等方式记录，重要的文件计算 MD5 值 4）固定易丢失数据后，直接拔电源断电关机 5）封条注意电源及输出接口

在现场勘查时，主要考虑到电子数据获取的完整性和有效性，试从完整性角度描述对正在运行的打印机、复印机的处理方式。答： 1.现场录像、照相，记录现场原始状态，记录各设备之间的连线状态以及显示屏上正在提示的信息，如何在运行的程序是在格式化硬盘或者删除数据，应立即切断电源。 2.对于正在编辑成显示状态的文本、图像证据，尽可能立即打印输出，并注明打印时间和打印机的型号等。 3.制作现场笔录，绘制现场图 4.收集证据，提取证据，固定证据

若相关信息被加密、删改、破坏、计算机病毒、黑客的袭扰等情况，该如何取证？解密、恢复等方法答： 1）解密：备份被解密文件对密码进行解译。找到相应的密码文件后，请专业人员选用相应的解除密码口令软件。解密后，将对案件有价值的文件，即可进行一般取证在解密的过程中，必要的话，可以采取录象的方式 2）恢复：大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能，有些重要的数据库安全系统还会为数据库准备专门的备份。因此，可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复，获取定案所需证据。 3）测试：电子证据内容涉及电算化资料的，应当由司法会计专家对提取的资料进行现场验证验证中如发现可能与软件设计或软件使用有关的问题时，应当由司法会计专家现场对电算化软件进行数据测试（侦查实验）主要是使用事先制作的测试文件，经测试确认软件有问题时，则由计算机专家对软件进行检查或提取固定。

常见的易失性数据有哪些？什么情况下需要获取易失性数据？答：常见的易失性数据：系统日期和时间、当前运行的活动进程、当前的网络连接、当前打开的端口、在打开的套接字上监听的应用程序、当前登录的用户列表、剪贴板数据。获取易失性数据情况：判断易失性数据的价值、联机对易失性数据的破坏程度、确定练级调查的具体方法和必要的调查范围

简述计算机取证与司法鉴定的三大技术，它们保证了计算机取证与司法鉴定既能定性又能定量且可以随时精确重现。答：只读、克隆和校验技术只读技术保护电子数据不被更改，从而保证检材数据的原始性位对位的克隆技术保证检材数据的完整复制及鉴定过程的精确重复；校验技术既能辅助克隆技术精确重复鉴定过程，又能够用于电子证据的保全，知识产权鉴定等

在现场勘查时，发现有处于开机状态台式机，操作系统为 Linux。为了保护现场，第一要务为获取现场证据，保存数据，尤其是那些容易被改变的数据。试分析如何收集获取屏幕信息，内存信息、硬盘信息、进程信息和网络连接信息。答： 1）屏幕信息：最优先的步骤是利用照相设备或录像设备记录屏幕信息，如果没有准备好图像记录设备当系统处于控制台模式时，可以直接利用管道命令将输出的内容保存到文件中。可以用setterm进行截图。若系统属于X-Windows环境下，可使用X-Windows下的截图工具、GNOME软件截图、KDE软件截图 2）内存与硬盘信息：通过移动存储设备或者网络将系统存储器的内容记录下来。首先使用fdisk可以查看硬盘情况。然后使用mount将自己的硬盘挂载上去，最后使用dd命令将该信息存储到自己的移动硬盘中。 3）进程信息：Linux系统提供了who、w、ps和top等查看进程信息的系统调用，用户可以结合使用这些命令了解进程的运行状态以及存活情况。使用who查看当前登录的用户、w与who相似是who的增强版、ps查看进程，top与ps相似但一个动态显示过程。 4）网络连接信息：可以使用netstat查看网络连接情况、路由表和网络接口信息。

如果数字取证中嫌疑人经常使用浏览器访问互联网，那么以互联网行为为主线，可以从哪些方面获取相关证据信息，这些信息能证明什么？写出网络轨迹都有哪些？答：网站访问下拉列表、网站访问的历史记录、网站收藏夹此外，还可以从以下几个地方获取信息：（1）cookies，cookies 一般保存在 index。Dat 里面，包括 URL 信息访问日期时间，用户名等信息（2）临时文件（网页缓存），会显示如“最近一次访问的时间”在 TIF 中（3）历史记录，分成按日期、星期、月份，在 index.dat 显示访问的 URL 和时间（4）注册表，ntuser.dat 文件中，有近期访问的 URL，键的名称按时间顺序排列。

以原则规范计算机取证是保证电子证据可采性的关键，试简述由加拿大、法国等八国计算机取证人员组成的 G8 小组提出的计算机取证原则。答： (1)必须应用标准的取证与司法鉴定过程。 (2)获取证据时所采用的任何方法都不能改变原始证据。 (3)取证与司法鉴定人员必须经过专门培训。 (4)完整地记录证据的获取、访向、存储或传输的过程,并妥善保存这些记录以备随时查阅。 (5)每位保管电子证据的人员必须对其在该证据上的任何行为负责。 (6)任何负责获取、访问、存储或传输电子证据的机构有责任遵循以上原则。

和系统取证不同，网络取证通过对网络数据流的分析获取非法利用、入侵行为。试从多角度分析网络取证的特点。答： 1）主要研究对象与数据报(packets)或网络数据流(Network Traffic)有关，而不仅仅局限于计算机； 2）为满足证据的实时性和连续性，网络取证是动态的，并且结合入侵前后的网络环境变量，可以重建入侵过程； 3）为保证证据的完整性，网络取证有时是分布式的，需要部署多个取证点或取证代理(Agent)，而且这些取证点是相关和联动的； 3）为实现网络取证，通常需要与网络监控(Network Monitoring)相结合。

简述时间戳的作用及生成方法答：时间戳时取证工作中非常有用的技术，他是对数字对象进行登记来提供注册后特定事物存在与特定日期的时间和证据，它证明了数字证据在特定的事件和日期时存在的，并且从该是看到出庭这一段时间里不曾被修改过。时间戳产生的过程：用户首先将需要加时间戳的文件用Hash编码加密形成摘要；将该摘要发送到DTS； DTS 在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名)然后送回用户。

网络取证通过对网络数据流的分析重建入侵过程，简述网络取证的要点。答： 1）周界网络(Perimeter Network)：指在本地网的防火墙以外，与外部公网连接的所有设备及其连接； 2）端到端(End-to-End)：指攻击者的计算机到受害者的计算机的连接；日志相关(Log Correlation)：指各种日志记录在时间、日期、来源、目的甚至协议上满足一致性的匹配元素； 3）环境数据(Ambient Data)：指删除后仍然存在，以及存在于交换文件和slack空间的数据； 4）攻击现场(Attack Scenario)：将攻击再现、重建并按照逻辑顺序组织起来的事件。 1）发现攻击 2）初步分析 3）现场重建 4）取证分析

简述 5 种常见的木马自启动方式答： 1）添加在Win.ini的[windows]字段中有启动命令[load]和[run]中，一般情况下“=”后面是空白的 2）添加在System.ini的[boot]中，其[boot]字段的shell=Explorer.exe是易植入木马的地方 3）添加在注册表的RUN项中 4）添加在启动目录中 5）添加在文件关联中 6）添加在其他应用程序中 7）欺骗自启动 8）添加在系统服务中

在取证过程，常用的数据恢复方法有哪些。答：数据恢复可分为手工恢复和使用工具恢复两种引导扇区恢复：使用dd命令备份和恢复主引导目录分区表恢复：使用工具自动重建分区表 DBR恢复：直接Format恢复DBR、DiskEdit备份正确的DBR，然后用该备份做恢复、WinHex、Ntfs通过复制正常NTFS分区的DBR并更正参数恢复零磁道损坏的恢复：使用工具使0磁道往后稍移一点，让1磁道替代0磁道；DiskEdit、DiskGenius改后存盘退出，重启系统，用Format格式化硬盘，完成即可工作磁盘坏道的处理：修复逻辑坏道：使用Windows下的磁盘扫描工具，修复物理坏道：用软件隐藏物理坏道；低级格式化修复坏道；使用Wipe Info修复坏道

【本文地址】

公司简介

联系我们