电子数据取证工作试题与答案

电子数据取证工作试题一、单选 1CPU的中文含义是____。 A主机 B中央处理器 C运算器 D控制器

2DOS命令实质上就是一段____。A数据 B可执行程序 C数据库 D计算机语言

3E01的块数据校验采用 A CRC算法 B MD5算法 C SHA-1算法 D SHA-2算法

4E01证据文件分卷大小默认为A 4.7G B 600M C 640M

D 700M

5FAT文件系统中，当用户按Shift+Del删除该文件后，以下描述正确的是？

1A文件已经彻底从硬盘中删除B文件已删除，但文件内容首字节被改为十六进制E5C还在回收站中，可用取证大师恢复D文件已删除，但是数据还在，目录项首字节被改为十六进制E56FAT文件系统中通常有多少个FAT表?A 1

B 2 C 3 D 4

7Linux系统中常见的文件系统是A Ext2/Ext3/Ext4 B NTFS C FAT32 D CDFS

8MBR扇区通常最后两个字节十六进制值为(编码次序不考虑)A AA 11

B 11 FF C 55 AA D 66 BB

9Windows记事本不克不及储存的文本编码为A ANSI

B RTF C Unicode D UTF-8

10Windows中的“剪贴板”是________。A一个应用程序 B磁盘上的一个文件 C内存中的一个空间 D一个公用文档

11不属于简体中文编码的是 2A Big5 B UFT-8 C Unicode D GB2312

12操作系统以扇区（Sector）形式将信息存储在硬盘上，每个扇区包括（）个字节的数据和

一些其他信息。 A 64 B 32 C 58 D 512

13磁盘经过高级花式化后,其外表构成多个分歧半径的同心圆,这些同心圆称为____。A磁道

B扇区 C族 D磁面

14磁盘在格式化的时候被分为许多同心圆，这些同心圆轨迹叫做磁道，磁道是如何编号的A由外向内从开始编号

B由外向内从1开始编号 C由外向外从开始编号 D由内向外从1开始编号

15当前大多数硬盘采用的寻址方式为ACHS BLBA CAUTO DLARGE

16断电会使原存信息消逝的储备器是____。A RAM B硬盘 C ROM 3D U盘

17关于MBR的描述，错误的是A MBR又称主引导记录 B分区表项存在MBR当中

C MBR中分区表可以记录多于4个分区的信息D MBR中分区表有64字节大小18关于MD5算法说法错误的是A哈希算法就是MD5算法

B MD5算法可以用于验证数据的完整性C MD5算法是不可逆的

D MD5算法可用于加密

19关于NTFS文件系统的描述，错误的是A NTFS支持磁盘配额

B NTFS也使用簇作为文件存储的最小分配单位C NTFS采用MFT表记录对象名称D删除文件时，其实际数据被清除20关于SATA的错误描述是

A SATA支持串行数据传输

B SATA不支持热插拔

C SATA接口最大传输速率比IDE快D平展开的SATA数据线比平展开的IDE数据线更窄

2、多选

41DD镜像文件可以通过哪些方式生成A硬盘复制机生成 B取证大家生成 C WinHex生成

D DD命令生成

2E01文件能够提供的功能有A压缩功能 B哈希值功能 C密码保护功能 D提供元文件信息 3IE上网记录包括 A缓存记录 B历史记录 CCookies记录 D IE地址栏记录 4MBR中包含的信息有 A卷引导记录 BEBR信息 C主分区表 D55AA的签名标识

5调查取证当中的做法，错误的有A在嫌疑人硬盘上安装取证软件进行取证

5B先打开只读锁电源，再连接硬盘C只读锁使用完毕后，先取走硬盘，再关闭电源D现场嫌疑人电脑处于开机状态，应当立即关机E硬盘复制机要接上只读锁再连接嫌疑人硬盘6

对涉毒嫌疑人硬盘进行调查，正确的描述有可以通过A取证大师搜索上网记录

B可以通过涉毒关键字搜索上网记录C搜索到的结果出现乱码需要通过选择合适的编码来查看D已分配空间搜索不到的，需要进一步搜索未分配空间7对于电子证物的处理那些操作是正确的A手机运送过程中尽可能屏蔽手机信号B开机状态的计算机要立即关机C要记录线缆以及线缆和主机的连线方式D电子证物只要注意防潮防震就行了8对于取证相关原理的描述，错误的有A相同内容的word文档与txt文档，其HASH值是不一样的B通过HASH值可以反推出源文件的内容CRAID 0在存储数据时，同时备份数据D硬盘复制机的复制速度可以突破接口的理论最大速度FAT32支持磁盘配额

9高级格式化的作用包括 A建立扇区

6B为硬盘创建文件系统 C为硬盘划分磁道

D对扇区进行分区内的编号

10关于RAID的描述，正确的有ARAID又称廉价磁盘冗余阵列或独立磁盘冗余阵列BRAID0中只要一个硬盘损坏，数据将丢失CRAID1中只要一个硬盘损坏，数据将丢失

DRAID5至少要由3个磁盘组成11关于U盘的描述，错误的有A U盘里头通过磁头来读写数据BU盘里头通过盘片来存储数据CU盘取证不需要连接只读锁DU盘在高级格式化时被划分成许多磁道12关于磁盘分区的说法，错误的是A磁盘分区后即可被操作系统存放数据B通过高级格式化来分区

C通过低级格式化来分区

DWindows中同一个分区中可以存放分歧文件系统花式的文件13关于收受接管站文件夹，说法正确的有A收受接管站文件夹具有系统属性BWindows默许不会给U盘创建收受接管站文件夹C收受接管站文件夹具有隐藏属性

7D收受接管站文件夹中文件被清空，将不可以恢复14关于收受接管站文件夹的描述，正确的有A收受接管站文件夹具有系统属性B收受接管站文件夹具有隐藏属性C收受接管站被清空后数据将不可恢复D分歧的Windows系统和分歧文件系统中，收受接管站的名称纷歧定相同15关于快速方式文件，正确的有A其文件扩大名为.lnk

B快捷方式文件包含了它所指向的目标文件名及其完整路径C快捷方式文件包含了它所指向的目标文件的创建时间、最后访问时间和最后修改时间D快捷方式文件包含了它所指

向的目标文件所存储的卷的卷标信息16关于取证大师文件属性过滤描述正确的有A可以实现“隐藏文件”过滤

B使用“加密文件”过滤时，必需先执行加密文件阐发C使用“扩大名不匹配”过滤时，必需先执行文件签名阐发D可以实现EFS文件过滤

17关于日记解析，说法正确的有A取证大家可以举行Windows日记解析B取证大家可以举行IIS服务器日记解析CWindows日记分为应用步伐日记、平安日记和系统日记D日记文件纷歧定放在默许的目录下18关于散列算法的描述，正确的有

8A散列算法即哈希算法

B散列算法可以用于举行数据完整性一致性校验CMD5和SHA1是两种分歧的散列算法D散列值一般采用十六进制E散列算法的输入到输出是不可逆的19关于删除文件恢复，正确的有A删除文件都可以恢复

B取证大家支持删除文件查找C取证大家支持删除文件恢复D文件恢复纷歧定可以恢复所有内容20关于扇区观点的描述，错误的是A扇区大小默许为4096字节B扇区是文件系统可寻址的最小单元C扇区大小一般是2的N次方D文件都是存放在继续的扇区中

三、判断

1Big5是繁体字的一种编码格式2CRC校验算法是字节顺序敏感的3E01证据文件只能被EnCase取证软件所支持4EnCase提供良好的基于windows的界面，右边是case文件的目录结构，左边是用户访问

目录的证据文件的列表。

5FAT32文件系统向下兼容NTFS文件系统

96IDE接口硬盘可以支持热插拔7MBR扇区平日最后两个字节十六进制值为0x55AA8RAID5磁盘阵列需要最少三块硬盘9Shift+Del删除的文件是不可以恢复的10Windows Server 2003的关机时要通过正常方式关机11磁盘是计算机的重要外设,没有磁盘,计算计就不克不及运行。12花式化操纵不会破损磁盘的信息。13计算机证据的阐发首要分为对主机数据的阐发和对搜集数据的阐发。14计算机证据的判定，就是针对搜集和保全的计算机数据举行可信性的证明。15取证大家的签名恢复功能可以根据文件签名恢复未分配空间中的指定类型的文件16电子证据是指法庭上可能成为证据

的以二进制形式储备或传送的信息。17未分配空间一般没有甚么内容，对取证阐发意义不大18文本样式的编码设置得分歧理会招致查看的文本为乱码19文件逻辑大小可以大于其物理大小20相同文件系统下单个扇区容量会比簇的容量大

四、简答共(20)分

1、在现场有一块500GBSATA硬盘、一款智能(开机状态)，请简要描述从其获取到取

证阐发之间所留意的事项。

2、在现场勘查时，发现有处于开机状态台式机，操作系统winXP，阐述获取此证物从拍照

到封存的整个操作过程，并举例列出在固定易丢失数据时应注意的数据形式。

3、在现场勘查时，首要斟酌到电子数据获取的完整性和有效性，试从完整性角度描述对正

在运行的DV、碎纸机和打印机的处理方式。

104、请写出电子数据现场勘查的基本流程（10分）5、（1）请尽量多的列出电子数据取证介质（取证对象）（10分）（2）请尽量多的列出电子数据取证软件

答案：

单项选择： 1B 2B 3A 4C 5D 6B 7A 8C 9B

10C

11A 12D 13A

14A 15B 16A 17C 18A 19D 20B 多选 1A,B,C,D 2A,B,C,D 3A,B,C,D 4A,C,D 5A,B,C,D,E 6A,B,C,D 7A,C 8B,C,D,E

9B,D

10A,B,D 11A,B,C,D

1112A,C,D 13A,B,C 14A,B,D 15A,B,C,D 16A,B,C,D 17A,B,C,D 18A,B,C,D,E 19B,C,D 20A,B,D 判断： 1正确 2正确 3错误 4错误 5错误 6错误 7正确

8正确

9错误

10正确

11错误 12错误 13正确 14正确 15正确

16正确

17错误 1218正确 19错误 20错误 简答

1、在现场有一块500GBSATA硬盘、一款智能状态)，请简要描述从其获取到取

(开机