電子數(shù)據(jù)取證實(shí)務(wù)知到智慧樹章節(jié)測(cè)試課后答案2024年秋海南政法職業(yè)學(xué)院

電子數(shù)據(jù)取證實(shí)務(wù)知到智慧樹章節(jié)測(cè)試課后答案2024年秋海南政法職業(yè)學(xué)院第二章單元測(cè)試

電子數(shù)據(jù)取證過程中，以下哪項(xiàng)是保護(hù)現(xiàn)場(chǎng)的重要措施？（）

A:對(duì)涉案電子設(shè)備進(jìn)行拍照記錄B:立即刪除可能存在的證據(jù)C:無需記錄設(shè)備的原始狀態(tài)D:允許無關(guān)人員接觸涉案設(shè)備

答案:對(duì)涉案電子設(shè)備進(jìn)行拍照記錄電子數(shù)據(jù)取證的基本步驟不包括？（）

A:保護(hù)現(xiàn)場(chǎng)B:獲取數(shù)字證據(jù)C:銷毀證據(jù)D:分析證據(jù)

答案:銷毀證據(jù)在電子數(shù)據(jù)取證中，使用只讀設(shè)備復(fù)制數(shù)據(jù)的主要目的是？（）

A:節(jié)省存儲(chǔ)空間B:防止數(shù)據(jù)丟失C:提高復(fù)制速度D:確保證據(jù)完整性

答案:確保證據(jù)完整性FAT32文件系統(tǒng)中，通常包含幾個(gè)FAT表？（）

A:4個(gè)B:2個(gè)C:1個(gè)D:3個(gè)

答案:2個(gè)DD鏡像文件可以通過哪些方式生成（）

A:硬盤復(fù)制機(jī)生成B:取證大家生成C:WinHex生成D:DD命令生成

答案:硬盤復(fù)制機(jī)生成；取證大家生成；WinHex生成；DD命令生成E01文件能夠提供的功能有（）

A:密碼保護(hù)功能B:壓縮功能C:哈希值功能D:提供元文件信息

答案:密碼保護(hù)功能；壓縮功能；哈希值功能；提供元文件信息IE上網(wǎng)記錄包括（）

A:Cookies記錄B:IE地址欄記錄C:歷史記錄D:緩存記錄

答案:Cookies記錄；IE地址欄記錄；歷史記錄；緩存記錄電子數(shù)據(jù)取證架構(gòu)通常包括哪些組成部分？（）

A:數(shù)據(jù)收集B:數(shù)據(jù)報(bào)告C:數(shù)據(jù)保存D:數(shù)據(jù)分析

答案:數(shù)據(jù)收集；數(shù)據(jù)報(bào)告；數(shù)據(jù)保存；數(shù)據(jù)分析FAT文件系統(tǒng)中，當(dāng)用戶按Shift+Del刪除文件后，文件數(shù)據(jù)將徹底從硬盤中刪除（）

A:錯(cuò)B:對(duì)

答案:錯(cuò)FAT文件系統(tǒng)中通常有兩個(gè)FAT表（）

A:錯(cuò)B:對(duì)

答案:錯(cuò)

第四章單元測(cè)試

以下哪項(xiàng)是我國(guó)關(guān)于電子數(shù)據(jù)取證的主要標(biāo)準(zhǔn)之一？（）

A:ISO9001B:NISTSP800-88C:PCIDSSD:GB/T29360-2012

答案:GB/T29360-2012電子數(shù)據(jù)取證中，關(guān)于數(shù)據(jù)恢復(fù)技術(shù)的說法錯(cuò)誤的是？（）

A:數(shù)據(jù)恢復(fù)技術(shù)需要專業(yè)的軟件和工具B:數(shù)據(jù)恢復(fù)技術(shù)可以恢復(fù)所有被刪除的數(shù)據(jù)C:數(shù)據(jù)恢復(fù)技術(shù)依賴于數(shù)據(jù)在磁盤上的存儲(chǔ)方式D:數(shù)據(jù)恢復(fù)技術(shù)可以恢復(fù)被格式化但未被覆蓋的數(shù)據(jù)

答案:數(shù)據(jù)恢復(fù)技術(shù)可以恢復(fù)所有被刪除的數(shù)據(jù)電子數(shù)據(jù)取證中，以下哪項(xiàng)不屬于電子數(shù)據(jù)的特點(diǎn)？（）

A:可復(fù)制性B:實(shí)體性C:唯一性D:虛擬性

答案:實(shí)體性在電子數(shù)據(jù)取證中，為什么需要對(duì)取證過程進(jìn)行詳細(xì)記錄？（）

A:便于數(shù)據(jù)分析B:節(jié)省存儲(chǔ)空間C:確保證據(jù)的完整性D:提高取證效率

答案:確保證據(jù)的完整性高級(jí)格式化的作用包括（）

A:建立扇區(qū)B:為硬盤劃分磁道C:對(duì)扇區(qū)進(jìn)行分區(qū)內(nèi)的編號(hào)D:為硬盤創(chuàng)建文件系統(tǒng)

答案:對(duì)扇區(qū)進(jìn)行分區(qū)內(nèi)的編號(hào)；為硬盤創(chuàng)建文件系統(tǒng)關(guān)于RAID的描述，正確的有（）

A:RAID5至少要由3個(gè)磁盤組成B:RAID0中只要一個(gè)硬盤損壞，數(shù)據(jù)將丟失C:RAID又稱廉價(jià)磁盤冗余陣列或獨(dú)立磁盤冗余陣列D:RAID1中只要一個(gè)硬盤損壞，數(shù)據(jù)將丟失

答案:RAID5至少要由3個(gè)磁盤組成；RAID0中只要一個(gè)硬盤損壞，數(shù)據(jù)將丟失；RAID又稱廉價(jià)磁盤冗余陣列或獨(dú)立磁盤冗余陣列關(guān)于U盤的描述，錯(cuò)誤的有（）

A:U盤取證不需要連接只讀鎖B:U盤在高級(jí)格式化時(shí)被劃分成許多磁道C:U盤里頭通過磁頭來讀寫數(shù)據(jù)D:U盤里頭通過盤片來存儲(chǔ)數(shù)據(jù)

答案:U盤取證不需要連接只讀鎖；U盤在高級(jí)格式化時(shí)被劃分成許多磁道；U盤里頭通過磁頭來讀寫數(shù)據(jù)；U盤里頭通過盤片來存儲(chǔ)數(shù)據(jù)關(guān)于磁盤分區(qū)的說法，錯(cuò)誤的是（）

A:通過低級(jí)格式化來分區(qū)B:磁盤分區(qū)后即可被操作系統(tǒng)存放數(shù)據(jù)C:通過高級(jí)格式化來分區(qū)D:Windows中同一個(gè)分區(qū)中可以存放分歧文件系統(tǒng)花式的文件

答案:通過低級(jí)格式化來分區(qū)；磁盤分區(qū)后即可被操作系統(tǒng)存放數(shù)據(jù)；Windows中同一個(gè)分區(qū)中可以存放分歧文件系統(tǒng)花式的文件斷電會(huì)使原存信息消失的存儲(chǔ)器是RAM（）

A:錯(cuò)B:對(duì)

答案:對(duì)操作系統(tǒng)以扇區(qū)（Sector）形式將信息存儲(chǔ)在硬盤上，每個(gè)扇區(qū)包括512個(gè)字節(jié)的數(shù)據(jù)和一些其他信息（）

A:錯(cuò)B:對(duì)

答案:對(duì)

第七章單元測(cè)試

在隱寫術(shù)中，用于嵌入隱秘信息的載體通常不包括？（）

A:音頻文件B:文本文件C:視頻文件D:空白紙張

答案:空白紙張信息隱藏技術(shù)中的“魯棒性”是指？（）

A:信息隱藏后載體數(shù)據(jù)易于被檢測(cè)B:信息隱藏后載體數(shù)據(jù)難以被篡改C:信息隱藏后載體數(shù)據(jù)質(zhì)量下降D:信息隱藏后載體數(shù)據(jù)易于被恢復(fù)

答案:信息隱藏后載體數(shù)據(jù)難以被篡改在數(shù)字水印技術(shù)中，哪種水印被稱為“易碎水印”？（）

A:脆弱性水印B:健壯性水印C:可見水印D:加密水印

答案:脆弱性水印隱寫術(shù)與數(shù)字水印的主要區(qū)別在于？（）

A:隱藏信息的恢復(fù)性B:應(yīng)用領(lǐng)域C:嵌入方式D:嵌入位置

答案:隱藏信息的恢復(fù)性在處理加密硬盤時(shí)，如果沒有正確的密鑰或密碼，通?？梢圆扇∈裁创胧?？（）

A:格式化硬盤B:暴力破解C:放棄取證D:尋求法院命令以獲取密鑰

答案:暴力破解；尋求法院命令以獲取密鑰下列哪個(gè)工具或技術(shù)通常用于電子郵件取證？（）

A:TesseractOCRB:GmailAPIC:EnCaseD:Wireshark

答案:GmailAPI；EnCase關(guān)于收受接管站文件夾，說法正確的有（）

A:收受接管站文件夾中文件被清空，將不可以恢復(fù)B:收受接管站文件夾具有系統(tǒng)屬性C:收受接管站文件夾具有隱藏屬性D:Windows默許不會(huì)給U盤創(chuàng)建收受接管站文件夾

答案:收受接管站文件夾具有系統(tǒng)屬性；收受接管站文件夾具有隱藏屬性；Windows默許不會(huì)給U盤創(chuàng)建收受接管站文件夾在電子數(shù)據(jù)取證中，可以直接在嫌疑人硬盤上安裝取證軟件進(jìn)行取證（）

A:對(duì)B:錯(cuò)

答案:錯(cuò)E01證據(jù)文件的分卷大小默認(rèn)為4.7GB（）

A:對(duì)B:錯(cuò)

答案:錯(cuò)FAT文件系統(tǒng)中，當(dāng)用戶按Shift+Del刪除文件后，目錄項(xiàng)首字節(jié)被改為十六進(jìn)制E5（）

A:錯(cuò)B:對(duì)

答案:對(duì)

第五章單元測(cè)試

電子數(shù)據(jù)取證流程中，哪個(gè)步驟是在分析之后進(jìn)行的？（）

A:校驗(yàn)B:獲取C:報(bào)告D:備份

答案:報(bào)告電子數(shù)據(jù)取證中，關(guān)于哈希值（HashValue）的說法正確的是？（）

A:哈希值可以確保數(shù)據(jù)的完整性B:哈希值可以加密數(shù)據(jù)C:哈希值可以替代原始數(shù)據(jù)D:哈希值可以恢復(fù)被刪除的數(shù)據(jù)

答案:哈希值可以確保數(shù)據(jù)的完整性電子數(shù)據(jù)取證中，以下哪項(xiàng)技術(shù)通常用于分析網(wǎng)絡(luò)數(shù)據(jù)？（）

A:文件簽名分析B:流量分析C:磁盤克隆D:鏡像獲取

答案:流量分析以下哪項(xiàng)不是電子數(shù)據(jù)取證的基本原則？（）

A:關(guān)聯(lián)性原則B:完整性原則C:主觀性原則D:合法性原則

答案:主觀性原則關(guān)于收受接管站文件夾的描述，正確的有（）

A:分歧的Windows系統(tǒng)和分歧文件系統(tǒng)中，收受接管站的名稱紛歧定相同B:收受接管站文件夾具有系統(tǒng)屬性C:收受接管站被清空后數(shù)據(jù)將不可恢復(fù)D:收受接管站文件夾具有隱藏屬性

答案:分歧的Windows系統(tǒng)和分歧文件系統(tǒng)中，收受接管站的名稱紛歧定相同；收受接管站文件夾具有系統(tǒng)屬性；收受接管站文件夾具有隱藏屬性關(guān)于快速方式文件，正確的有（）

A:快捷方式文件包含了它所指向的目標(biāo)文件名及其完整路徑B:其文件擴(kuò)大名為.lnkC:快捷方式文件包含了它所指向的目標(biāo)文件所存儲(chǔ)的卷的卷標(biāo)信息D:快捷方式文件包含了它所指向的目標(biāo)文件的創(chuàng)建時(shí)間、最后訪問時(shí)間和最后修改時(shí)間

答案:快捷方式文件包含了它所指向的目標(biāo)文件名及其完整路徑；其文件擴(kuò)大名為.lnk；快捷方式文件包含了它所指向的目標(biāo)文件所存儲(chǔ)的卷的卷標(biāo)信息；快捷方式文件包含了它所指向的目標(biāo)文件的創(chuàng)建時(shí)間、最后訪問時(shí)間和最后修改時(shí)間關(guān)于取證大師文件屬性過濾描述正確的有（）

A:可以實(shí)現(xiàn)EFS文件過濾B:使用“加密文件”過濾時(shí)，必需先執(zhí)行加密文件闡發(fā)C:可以實(shí)現(xiàn)“隱藏文件”過濾D:使用“擴(kuò)大名不匹配”過濾時(shí)，必需先執(zhí)行文件簽名闡發(fā)

答案:可以實(shí)現(xiàn)EFS文件過濾；使用“加密文件”過濾時(shí)，必需先執(zhí)行加密文件闡發(fā)；可以實(shí)現(xiàn)“隱藏文件”過濾；使用“擴(kuò)大名不匹配”過濾時(shí)，必需先執(zhí)行文件簽名闡發(fā)磁盤經(jīng)過高級(jí)格式化后，其表面形成多個(gè)不同半徑的同心圓，這些同心圓稱為扇區(qū)（）

A:錯(cuò)B:對(duì)

答案:錯(cuò)當(dāng)前大多數(shù)硬盤采用的尋址方式為CHS（）

A:錯(cuò)B:對(duì)

答案:錯(cuò)電子數(shù)據(jù)取證是指通過采集、分析電子證據(jù)來確定事實(shí)的過程（）

A:錯(cuò)B:對(duì)

答案:對(duì)

第一章單元測(cè)試

電子數(shù)據(jù)取證與應(yīng)急響應(yīng)在哪些方面存在不同？（）

A:ABC都是B:過程C:實(shí)施主體D:目標(biāo)

答案:ABC都是電子數(shù)據(jù)取證中，除了物理存儲(chǔ)知識(shí)，還需要掌握什么？（）

A:網(wǎng)絡(luò)安全知識(shí)B:加密技術(shù)C:邏輯存儲(chǔ)知識(shí)D:數(shù)據(jù)分析技術(shù)

答案:邏輯存儲(chǔ)知識(shí)E01證據(jù)文件分卷大小默認(rèn)為多少？（）

A:500MBB:300MBC:900MBD:700MB

答案:700MB電子數(shù)據(jù)取證時(shí)，哪些措施可以防止數(shù)據(jù)的非授權(quán)訪問？（）

A:社交媒體分享B:數(shù)據(jù)加密C:定期備份D:訪問控制

答案:數(shù)據(jù)加密；訪問控制電子數(shù)據(jù)取證時(shí)，哪些類型的數(shù)據(jù)存儲(chǔ)介質(zhì)是常見的？（）

A:紙質(zhì)文檔B:光盤C:硬盤D:閃存

答案:紙質(zhì)文檔；硬盤；閃存電子數(shù)據(jù)取證中，常用的數(shù)據(jù)恢復(fù)工具有哪些？（）

A:FTKImagerB:EnCaseC:R-StudioD:Word文檔

答案:FTKImager；EnCase；R-StudioCPU的中文含義是中央處理器（CentralProcessingUnit）（）

A:對(duì)B:錯(cuò)

答案:對(duì)DOS命令實(shí)質(zhì)上是一段可執(zhí)行程序（）

A:對(duì)B:錯(cuò)

答案:對(duì)E01的塊數(shù)據(jù)校驗(yàn)采用MD5算法（）

A:錯(cuò)B:對(duì)

答案:錯(cuò)在FAT文件系統(tǒng)中，當(dāng)用戶按Shift+Del刪除文件后，文件已刪除，但數(shù)據(jù)還在，目錄項(xiàng)首字節(jié)被改為十六進(jìn)制E5。（）

A:對(duì)B:錯(cuò)

答案:對(duì)

第三章單元測(cè)試

電子數(shù)據(jù)取證過程中，以下哪項(xiàng)是電子數(shù)據(jù)審查的關(guān)鍵環(huán)節(jié)？（）

A:數(shù)據(jù)存儲(chǔ)B:數(shù)據(jù)獲取C:數(shù)據(jù)分析D:數(shù)據(jù)備份

答案:數(shù)據(jù)分析在電子數(shù)據(jù)取證中，以下哪項(xiàng)技術(shù)常用于遠(yuǎn)程調(diào)取電子數(shù)據(jù)？（）

A:遠(yuǎn)程桌面協(xié)議B:數(shù)據(jù)恢復(fù)C:磁盤克隆D:鏡像獲取

答案:遠(yuǎn)程桌面協(xié)議電子數(shù)據(jù)取證中，關(guān)于“原始電子數(shù)據(jù)”的說法正確的是？（）

A:原始電子數(shù)據(jù)必須是物理存儲(chǔ)介質(zhì)B:原始電子數(shù)據(jù)不存在，因?yàn)樗须娮訑?shù)據(jù)都可被復(fù)制C:原始電子數(shù)據(jù)無法復(fù)制D:原始電子數(shù)據(jù)是指未經(jīng)過修改或處理的數(shù)據(jù)

答案:原始電子數(shù)據(jù)是指未經(jīng)過修改或處理的數(shù)據(jù)MBR中包含的信息有（）

A:卷引導(dǎo)記錄B:55AA的簽名標(biāo)識(shí)C:主分區(qū)表D:EBR信息

答案:卷引導(dǎo)記錄；主分區(qū)表；EBR信息調(diào)查取證當(dāng)中的做法，錯(cuò)誤的有（）

A:在嫌疑人硬盤上安裝取證軟件進(jìn)行取證B:只讀鎖使用完畢后，先取走硬盤，再關(guān)閉電源C:現(xiàn)場(chǎng)嫌疑人電腦處于開機(jī)狀態(tài)，應(yīng)當(dāng)立即關(guān)機(jī)D:先打開只讀鎖電源，再連接硬盤

答案:在嫌疑人硬盤上安裝取證軟件進(jìn)行取證；只讀鎖使用完畢后，先取走硬盤，再關(guān)閉電源；現(xiàn)場(chǎng)嫌疑人電腦處于開機(jī)狀態(tài)，應(yīng)當(dāng)立即關(guān)機(jī)；先打開只讀鎖電源，再連接硬盤對(duì)涉毒嫌疑人硬盤進(jìn)行調(diào)查，正確的描述有可以通過（）

A:已分配空間搜索不到的，需要進(jìn)一步搜索未分配空間B:可以通過涉毒關(guān)鍵字搜索上網(wǎng)記錄C:搜索到的結(jié)果出現(xiàn)亂碼需要通過選擇合適的編碼來查看D:取證大師搜索上網(wǎng)記錄

答案:已分配空間搜索不到的，需要進(jìn)一步搜索未分配空間；可以通過涉毒關(guān)鍵字搜索上網(wǎng)記錄；搜索到的結(jié)果出現(xiàn)亂碼需要通過選擇合適的編碼來查看；取證大師搜索上網(wǎng)記錄電子數(shù)據(jù)作為證據(jù)使用的基本特性包括哪些？（）

A:真實(shí)性B:客觀性C:合法性D:關(guān)聯(lián)性。

答案:客觀性；合法性；關(guān)聯(lián)性。Linux系統(tǒng)中常見的文件系統(tǒng)是Ext2/Ext3/Ext4（）

A:對(duì)B:錯(cuò)

答案:對(duì)MBR扇區(qū)通常最后兩個(gè)字節(jié)十六進(jìn)制值為66BB（）

A:對(duì)B:錯(cuò)

答案:錯(cuò)Windows記事本不能保存UTF-8編碼的文本（）

A:對(duì)B:錯(cuò)

答案:對(duì)

第六章單元測(cè)試

在電子數(shù)據(jù)取證中，以下哪項(xiàng)不是常用的數(shù)據(jù)隱藏或偽裝技術(shù)？（）

A:隱寫分析B:加密技術(shù)C:數(shù)據(jù)壓縮D:隱寫術(shù)

答案:數(shù)據(jù)壓縮電子數(shù)據(jù)取證中，關(guān)于數(shù)字簽名（DigitalSignature）的說法錯(cuò)誤的是？（）

A:數(shù)字簽名可以驗(yàn)證數(shù)據(jù)的來源B:數(shù)字簽名可以確保數(shù)據(jù)不被篡改C:數(shù)字簽名可以恢復(fù)被刪除的數(shù)據(jù)D:數(shù)字簽名可以驗(yàn)證數(shù)據(jù)的完整性

答案:數(shù)字簽名可以恢復(fù)被刪除的數(shù)據(jù)在電子數(shù)據(jù)取證中，關(guān)于元數(shù)據(jù)（Metadata）的說法正確的是？（）

A:元數(shù)據(jù)不包含關(guān)于數(shù)據(jù)的信息B:元數(shù)據(jù)可以揭示數(shù)據(jù)的創(chuàng)建、修改和訪問時(shí)間C:元數(shù)據(jù)在取證過程中不重要D:元數(shù)據(jù)是數(shù)據(jù)的實(shí)際內(nèi)容

答案:元數(shù)據(jù)可以揭示數(shù)據(jù)的創(chuàng)建、修改和訪問時(shí)間在電子數(shù)據(jù)取證中，以下哪項(xiàng)技術(shù)主要用于數(shù)據(jù)隱藏？（）

A:數(shù)據(jù)壓縮B:數(shù)據(jù)加密C:隱寫術(shù)D:數(shù)字簽名

答案:隱寫術(shù)關(guān)于信息隱藏中的“透明性”，以下說法正確的是？（）

A:指信息隱藏后不影響載體的正常使用B:信息隱藏