計算機取證技術期末考試

1、一、選擇題（每小題2分，共20分） 1、以下有關EasyRecovery的說法不正確的是（）A. EasyRecovery在恢復數(shù)據(jù)時并不向硬盤寫任何東西，而是在內(nèi)存中鏡像文件的FAT表和目錄區(qū)。B. 使用該軟件時一定要注意將恢復出來的數(shù)據(jù)保存在其他的硬盤空間內(nèi)。C. 該軟件能夠?qū)AT和NTFS分區(qū)中的文件刪除、格式化分區(qū)進行數(shù)據(jù)恢復。D. 它主要是對數(shù)據(jù)進行硬件恢復。2、以下不屬于在數(shù)據(jù)恢復中需要使用的軟件的是（ ）。A. PC3000 B. FinalData C. Encase D. FixRAR3、以下不屬于電子證據(jù)特點的是（）A. 電子證據(jù)的脆弱性 B. 電子證據(jù)的隱蔽性 C. 電

2、子證據(jù)的不可挽救性 D.電子證據(jù)對系統(tǒng)的依賴性4、以下不屬于計算機取證過程中分析過程的是（）A. 協(xié)議分析 B. 鏡像技術 C. 數(shù)據(jù)挖掘 D. 過程還原5、以下屬于計算機取證技術的發(fā)展趨勢的是（）A. 動態(tài)取證技術 B. 計算機取證挖掘算法和柔性挖掘技術 C. 取證工具和過程的標準化 D. 以上都是6、以下關于硬盤的邏輯結構說法不正確的是（）A. 每個盤片有兩個面，這兩個面都是用來存儲數(shù)據(jù)的。B. 隨著讀寫磁頭沿著盤片半徑方向上下移動，每個盤片被劃分成若干個同心圓磁道。C. 磁道被劃分成若干個段，每個段稱為一個扇區(qū)。扇區(qū)的編號是按0,1，順序進行的。D. 硬盤柱面、磁道、扇區(qū)的劃分表面上是看

3、不到任何痕跡的。7、以下不屬于文件系統(tǒng)的是（）。A. LINUX B.NTFS C. FAT32 D.EXT28、以下不屬于數(shù)據(jù)分析技術的是（）。A. 對已刪除文件的恢復、重建技術 B. 關鍵字搜索技術 C. 日志分析 D. 特殊類型文件分析9、以下（）命令可以用來測試本地主機的網(wǎng)絡連接是否通暢。A. traceroute B. ping C. ipconfig D. pslist10、在大多數(shù)黑客案件中，嗅探工具常被用來捕捉通過網(wǎng)絡的流量以重建諸如上網(wǎng)和訪問網(wǎng)絡文件等功能，以下（）是這類工具。A. FTK B. sniffer pro C. Quick View Plus D.NTI-DOC

4、二、填空題（每空2分，共40分）1、當執(zhí)行刪除文件操作時，系統(tǒng)做了兩方面的工作：一是將目錄區(qū)中該文件的第一個字符改為“E6H”來表示該文件已經(jīng)被刪除；二是將文件所占的文件簇在（ ）中對應表項值全部置“0”。 文件分配表2、計算機對硬盤的讀寫是以（ ）為基本單位的；（）是數(shù)據(jù)存儲和磁盤管理的最基本單位。扇區(qū)、簇3、硬盤上的數(shù)據(jù)按照其不同的特點和作用大致可分為5部分：主引導扇區(qū)、操作系統(tǒng)引導扇區(qū)、文件分配表、目錄區(qū)和數(shù)據(jù)區(qū)。其中（）包括硬盤主引導記錄MBR和硬盤分區(qū)表DPT；將（）中起始單元的和FAT表結合分析可以知道文件在硬盤中的具體位置和大小。主引導扇區(qū)、目錄區(qū)4、操作系統(tǒng)啟動分為5個階段：預

5、引導階段、引導階段、加載內(nèi)核階段、初始化內(nèi)核階段和登錄。其中（）階段彩色的Windows XP的logo以及進度條顯示在屏幕中央。初始化內(nèi)核階段5、Windows的系統(tǒng)的主要日志有應用程序日志、系統(tǒng)日志和（）。安全日志6、加密算法主要分為對稱加密算法和非對稱加密算法，其中（）加密算法又稱為公鑰加密算法，其公鑰與私鑰是不同的。非對稱7、（）是一種不可逆的加密算法，它可以說是文件的數(shù)字指紋任何文件經(jīng)過該算法都得到一個128位獨一無二的數(shù)字，如果該文件被修改過該值也將改變，以此來校驗這個文件是否被篡改。（）MD58、Windows操作系統(tǒng)下常用的數(shù)據(jù)包截獲技術主要有兩種方式：（ ）和內(nèi)核層數(shù)據(jù)包截取

6、技術。用戶層數(shù)據(jù)包截取技術9、（）是指“通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖”。入侵檢測10、沒有分配給任何卷的可用磁盤空間稱為未分配空間，分配給文件的最后一個簇中會有未被當前文件占用的剩余空間，這部分空間一般被稱為（）。slack空間11、在電子證據(jù)取證過程中，為了保全證據(jù)通常使用數(shù)字簽名和數(shù)字時間戳技術，其中（）用于驗證傳送對象的完整性以及傳送者的身份。數(shù)字簽名12、Internet Explore的訪問歷史記錄關聯(lián)了三種類型的文件夾：cache、cookies和history，其中（）目錄主要將訪問的網(wǎng)站內(nèi)容保存在本地，以便用戶

7、下一次登錄時不必再次下載同樣的圖形和網(wǎng)頁文件。這些目錄的共同特點是都具有（）文件，從根本上說針對IE歷史記錄的分析和取證就是針對該文件。cache index.dat 1413、（）是Windows系統(tǒng)存儲關于計算機配置信息的數(shù)據(jù)庫，是Windows操作系統(tǒng)的核心。（）可以用來顯示注冊表的邏輯視圖。注冊表、注冊表編輯器14、電子郵件是通過SMTP和（）協(xié)議來進行收發(fā)的。POP315、網(wǎng)絡證據(jù)調(diào)查取證要點有時間、（）、日志、準備現(xiàn)場調(diào)查工具。網(wǎng)絡拓撲16、路由器按功能可以分為（）、企業(yè)級路由器和接入級路由器。骨干級路由器17、（）是從大量的、不完全的、有噪聲的、模糊的、隨機的數(shù)據(jù)中，提取隱含在其

8、中的、人們事先不知道的、但又是潛在有用的信息和知識的過程。數(shù)據(jù)挖掘三、判斷題（每小題2分，共20分）1、對于誤刪除，錯誤格式化，硬盤主引導記錄、分區(qū)表或目錄分配表損壞但又沒有用其他數(shù)據(jù)覆蓋這些形式的數(shù)據(jù)，恢復一般都有效。（）對2、數(shù)字引動設備主要包括PDA、移動硬盤、手機等。（）錯3、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡服務器、防火墻都提供了日志功能。（）對4、惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數(shù)據(jù)。計算機病毒、特洛伊木馬、計算機蠕蟲等都屬于惡意代碼。（）對5、證物的完整性驗證和和數(shù)字時間戳都是通過計算哈希值來實現(xiàn)的。（）對6、encase不具備關鍵字查找功能。（）錯7、在進行現(xiàn)場勘查的過程中，如果操作系統(tǒng)正在批量下載信息或殺毒，我們不應該立即終止這些操作。（）錯8、在提取易失性信息的過程中可以使用目標系統(tǒng)上的程序?qū)嵤┨崛?。（）錯9、計算機證物應存儲在正常室溫的環(huán)境下，避免遭受濕氣、磁力、灰塵、煙霧、水及油的影響。（）對10、在linux系統(tǒng)中可以使用kill命令殺死某個進程。（）對四、簡答