電子數(shù)據(jù)取證工作試題

電子數(shù)據(jù)取證工作試題1.CPU的中文含義是中央處理器。2.DOS命令實質(zhì)上就是一段可執(zhí)行程序。3.E01的塊數(shù)據(jù)校驗采用CRC算法。4.E01證據(jù)文件分卷大小默認為700M。5.FAT文件系統(tǒng)中，當用戶按Shift+Del刪除該文件后，文件已刪除，但數(shù)據(jù)還在，目錄項首字節(jié)被改為十六進制E5，可用取證大師恢復(fù)。6.FAT文件系統(tǒng)中通常有兩個FAT表。7.Linux系統(tǒng)中常見的文件系統(tǒng)是Ext2/Ext3/Ext4。8.MBR扇區(qū)通常最后兩個字節(jié)十六進制值為55AA。9.Windows記事本不能保存的文本編碼為Unicode。10.Windows中的“剪貼板”是內(nèi)存中的一個空間。11.不屬于簡體中文編碼的是Big5。12.操作系統(tǒng)以扇區(qū)（Sector）形式將信息存儲在硬盤上，每個扇區(qū)包括512個字節(jié)的數(shù)據(jù)和一些其他信息。13.磁盤經(jīng)過高級格式化后，其表面形成多個不同半徑的同心圓，這些同心圓稱為磁道。14.磁盤在格式化的時候被分為許多同心圓，這些同心圓軌跡由外向內(nèi)從開始編號。15.當前大多數(shù)硬盤采用的尋址方式為LBA。16.斷電會使原存信息消失的存儲器是RAM。17.關(guān)于MBR的描述，錯誤的是分區(qū)表項存在MBR當中。1.ARAID也稱為廉價磁盤冗余陣列或獨立磁盤冗余陣列。BRAID0只需要一個硬盤損壞，數(shù)據(jù)就會丟失。CRAID1只需要一個硬盤損壞，數(shù)據(jù)就會丟失。DRAID5至少需要三個磁盤來組成。2.關(guān)于U盤的描述，錯誤的有：A.U盤不是通過磁頭來讀寫數(shù)據(jù)的。B.U盤不是通過盤片來存儲數(shù)據(jù)的。C.U盤取證需要連接只讀鎖。D.U盤在高級格式化時不會被劃分成許多磁道。3.關(guān)于磁盤分區(qū)的說法，錯誤的是：A.磁盤分區(qū)后需要操作系統(tǒng)來存放數(shù)據(jù)。B.分區(qū)是通過低級格式化來實現(xiàn)的。C.分區(qū)是通過高級格式化來實現(xiàn)的。D.Windows中同一個分區(qū)中只能存放相同文件系統(tǒng)格式的文件。4.關(guān)于回收站文件夾的描述，正確的有：A.回收站文件夾具有系統(tǒng)屬性。B.Windows默認不會給U盤創(chuàng)建回收站文件夾。C.回收站文件夾具有隱藏屬性。D.回收站文件夾中文件被清空后將不可恢復(fù)。5.關(guān)于快捷方式文件，正確的有：A.快捷方式文件的文件擴展名為.lnk。B.快捷方式文件包含了它所指向的目標文件名及其完整路徑。C.快捷方式文件包含了它所指向的目標文件的創(chuàng)建時間、最后訪問時間和最后修改時間。D.快捷方式文件包含了它所指向的目標文件所存儲的卷的卷標信息。6.關(guān)于取證大師文件屬性過濾的描述，正確的有：A.可以實現(xiàn)“隱藏文件”過濾。B.使用“加密文件”過濾時，必須先執(zhí)行加密文件分析。C.使用“擴展名不匹配”過濾時，必須先執(zhí)行文件簽名分析。D.可以實現(xiàn)EFS文件過濾。7.關(guān)于日志解析，正確的有：A.取證大師可以進行Windows日志解析。B.取證大師可以進行IIS服務(wù)器日志解析。C.Windows日志分為應(yīng)用程序日志、安全日志和系統(tǒng)日志。D.日志文件不一定放在默認的目錄下。8.關(guān)于散列算法的描述，正確的有：A.散列算法即哈希算法。B.散列算法可以用于進行數(shù)據(jù)完整性一致性校驗。C.MD5和SHA1是兩種不同的散列算法。D.散列值一般采用十六進制。E.散列算法的輸入到輸出是不可逆的。9.關(guān)于刪除文件恢復(fù)，正確的有：A.不是所有刪除的文件都可以恢復(fù)。B.取證大師支持刪除文件查找。C.取證大師支持刪除文件恢復(fù)。D.文件恢復(fù)不一定可以恢復(fù)所有內(nèi)容。10.關(guān)于扇區(qū)概念的描述，錯誤的是：A.扇區(qū)大小不是默認為4096字節(jié)的。B.扇區(qū)不是文件系統(tǒng)可尋址的最小單位。C.扇區(qū)大小不一定是2的N次方。D.文件不一定存放在連續(xù)的扇區(qū)中。三、判斷1.Big5是一種繁體字編碼格式。2.CRC校驗算法對字節(jié)順序敏感。3.E01證據(jù)文件只能被EnCase取證軟件支持。4.EnCase提供基于Windows的界面，右邊是Case文件的目錄結(jié)構(gòu)，左邊是用戶訪問目錄的證據(jù)文件列表。5.FAT32文件系統(tǒng)向下兼容NTFS文件系統(tǒng)。6.IDE接口硬盤支持熱插拔。7.MBR扇區(qū)通常最后兩個字節(jié)的十六進制值為0x55AA。8.RAID5磁盤陣列需要至少三塊硬盤。9.Shift+Del刪除的文件無法恢復(fù)。10.WindowsServer2003需要通過正常方式關(guān)機。11.磁盤是計算機的重要外設(shè)，沒有磁盤，計算機無法運行。12.格式化操作不會破壞磁盤的信息。13.計算機證據(jù)的分析主要分為對主機數(shù)據(jù)和對網(wǎng)絡(luò)數(shù)據(jù)的分析。14.計算機證據(jù)的鑒定是對收集和保全的計算機數(shù)據(jù)進行可信性證明。15.取證大師的簽名恢復(fù)功能可以根據(jù)文件簽名恢復(fù)未分配空間中的指定類型的文件。16.電子證據(jù)是指以二進制形式存儲或傳送的可能成為證據(jù)的信息。17.未分配空間一般沒有什么內(nèi)容，對取證分析意義不大。18.設(shè)置不合理的文本樣式編碼會導(dǎo)致查看的文本為亂碼。19.文件的邏輯大小可以大于物理大小。20.相同文件系統(tǒng)下，單個扇區(qū)容量會比簇的容量大。四、簡答1.對于現(xiàn)場的500GBSATA硬盤和智能手機（開機狀態(tài)），在獲取到取證之前需要注意保護現(xiàn)場，避免對證據(jù)的破壞。同時，需要對硬盤和手機進行鏡像，以保證數(shù)據(jù)的完整性和有效性。2.對于處于開機狀態(tài)的臺式機，需要先拍照記錄現(xiàn)場情況，然后對計算機進行關(guān)機，并進行鏡像。在固定易丟失數(shù)據(jù)時，需要注意的數(shù)據(jù)形式包括RAM、虛擬內(nèi)存和臨時文件等。3.對于正在運行的DV、碎紙機和打印機，需要先停止它們的運行，以保證電子數(shù)據(jù)獲取的完整性和有效性。4.電子數(shù)據(jù)現(xiàn)場勘查的基本流程包括保護現(xiàn)場、確定取證對象、獲取證據(jù)、分析取證數(shù)據(jù)和撰寫取證報告等步驟。5.（1）電子數(shù)據(jù)取證介質(zhì)包括硬盤、U盤、移動硬盤、光盤等存儲介質(zhì)，以及手機、平板電腦等移動設(shè)備。（2）電子數(shù)據(jù)取證軟件包括EnCase、FTK、WinHex、X-Ways等。單選：1.B2.B3.A4.C5.D6.B7.A8.C9.B10.C11.A12.D13.A14.A15.B16.A17.C18.A19.D20.B多選：1.A,B,C,D2.A,B,C,D3.A,B,C,D4.A,B,C,D5.A,B,C,D6.A,B,C,D7.A,B,C,D8.A,B,C,D9.A,B,C,D10.A,B,C,D11.A,B,C,D12.A,B,C,D13.A,B,C,D14.A,B,C,D15.A,B,C,D16.A,B,C,D17.A,B,C,D18.A,B,C,D19.A,B,C,D20.A,B,C,D1、在現(xiàn)場獲取證物時，需要記錄硬盤和手機的具體位置，并在必要時現(xiàn)場記錄硬盤的哈希值。硬盤應(yīng)放入證物袋中并注意防磁等環(huán)境，手機應(yīng)注意開關(guān)機狀態(tài)并放入屏蔽袋中。準備一塊不小于500GB的磁盤作為目標盤，并注意手機品牌、操作系統(tǒng)、密碼和配件等信息。2、在現(xiàn)場勘查時，發(fā)現(xiàn)一臺開機狀態(tài)的臺式機，操