电子数据取证笔试试卷

《电子数据取证笔试试卷》由会员分享，可在线阅读，更多相关《电子数据取证笔试试卷（4页珍藏版）》请在装配图网上搜索。

1、电子数据取证试题说明:考试时间100 分钟，满分100分，答案写在答题纸上。一、单选题（共 10题，每题2分，共计20分）1.硬盘作为最常见的计算机存储介质，近几年从容量到性能都有了很大的提高，以下哪种 硬盘的理论传输速率最慢？A. SCSIB. IDEC.SASD.SATA2.以下哪种规格是市场上最常见的笔记本硬盘？A. 3.5 英寸B. 1.8 英寸C.2.5 英寸D.1 英寸3.以下哪种规格不是 SCSI 硬盘的针脚数？A. 50B. 68C.72D.804.下列哪种接口的存储设备是不支持热插拔的？A. USB 接口B. E-SATA接口C.SATA 接口D.IDE 接口5.下列哪个选项

2、是无法计算哈希值的？A. 硬盘B. 分区C.文件D.文件夹6.下列文件系统中A. exFat哪个是Windows 7系统不支持的？B. NTFSC. HFSD.FAT327.下列有关文件的各类时间属性，操作系统是一定不记录的？A. 创建时间B. 修改时间C. 访问时间D.删除时间8.下列哪种不是常见的司法取证中的硬盘镜像格式？A. GhoB. AFFC. S01D.0019.D. 6006系统日志中某些内容可能对取证有重要意义，比如“事件日志服务启动”通常被视为计 算机开机的标志，该事件所对应的事件编号为:A. 5005B. 5006C. 600510. Encase Forensic是业界文

3、明的司法取证软件，它是下面哪家公司开发的？A. GuidanceB. GetDataC. AccessDataD. PanSafe二、多选题（共 10题，每题3分，共计30分）1.通常Windows系统中涉及文件的3个时间属性，M代表Modify，表示最后修改时间；A 代表Access，表示最后访问时间；C代表Create，表示创建时间；下列解释错误的是？ AM 始终要晚于 CB. M、A、C在Linux系统中也适用C. M、A、C时间是不能被任何工具修改的，因此是可信的D.文件的M、A、C时间一旦发生变化，文件的哈希值随之改变2. 下列关于对位复制的说法中，不正确的是？A. 为了确保目标盘与

4、源盘的一致性，一定要找到与源盘品牌、型号、容量均一致的目 标盘进行复制B. 为了确保司法取证的有效性，一定要验证目标盘与源盘哈希值的一致性C. 为了确保目标盘与源盘的一致性，目标盘的硬盘接口一定要与源盘一致D. 当目标盘容量大于源盘时，一定要计算目标盘整盘的哈希值，用于与源盘的哈希值 进行比对一致性3. 下列关于现场勘验过操作的说法中，不正确的是？A. DD 文件是最常用的镜像格式，因为该格式是原始镜像，而且支持高压缩。B. 为了固定运行着的计算机的桌面状态，首先应该按键盘的PrtSc键进行截图。C. 对于关机状态下的计算机进行固定时，优先采取对硬盘盘体进行开盘操作的方式。D. 对于关机状态下

5、又无法拆卸硬盘的计算机，应该开机直接查看系统里的数据。4. 下列文件系统中，哪些是Windows的文件系统？A. HFS/HFS+B. EXT2/3/4C. NTFSD. FAT16/325. 下列关于对位复制和创建镜像的说法中，错误的是？A. 一般情况下，对位复制时，目标盘容量要等于源盘容量B. 制作DD镜像时，能够将500G源盘的完整DD镜像生成到500G的目标盘中C. 一般情况下，源盘生成的E01镜像，占用的空间小于同一块盘生成的DD镜像D. 用专门的镜像哈希计算工具，计算的同一块硬盘的DD和E01镜像哈希值是相同的6. 当一块硬盘被连接到计算机上时，Windows系统已经为其分配盘符，

6、但双击该盘符提示是否需要格式化磁盘，可能存在的原因是？A. 该分区格式为EXT4, Windows系统无法识别B. 该分区已损坏，Windows无法识别C. 该硬盘是一块从未使用过的全新的硬盘D .该分区被病毒感染，导致分区表丢失7. 下面关于文件头的说法中，不正确的是？A. 各种类型文件的文件头长度不一定相同B. JPG 格式文件的文件头存在细小差异C. 相比文件头，文件扩展名更可信，因此文件扩展名常用于判断文件类型D. 在Windows系统中，修改文件扩展名的同时，该文件的文件头也随之变化8. 下列哪些类型是Windows7系统中常见的日志类型？A. ApplicationB. Secur

7、ityC. SystemD. Local9. 手机中常用的简体中文编码格式不包括？C. Unicode BED. UTF-7A. Big5B. UTF-1610. 下面哪些密码破解方法可以用于RAR文件？A. 彩虹表破解 B. 暴力破解C. 掩码破解D. 字典破解三、不定项选择题（共 10题，每题 3分，共计30 分）1. 下列不是 NTFS 分区下的元文件的是？A. $MFTB. $BootC. $FATD. $Secure2. 下列属于 Windows 7系统中虚拟内存对应的文件是？A. hiberfil.sysB. pagefile.sys C. virtualmem.sys D. co

8、nfig.sys3. 下列关于文件大小和文件占用空间大小的说法中，不正确的是？A. 文件大小和文件占用空间大小总是不一致的B. 文件占用空间大小总是大于文件的实际大小C. 文件大小总是文件占用扇区大小的整数倍D. 文件占用空间大小与文件实际大小之间的差额通常被称为文件松弛区（Slack）4. 下面哪些操作系统不属于智能手机操作系统？A. LinuxB. Windows 8C.Mac OSD.MTK5.下面哪些文件不是 Windows 的注册表文件？A. RegeditB. SamC.SystemD.Security6.下面哪种类型的数据不属于易失性数据？A. 内存B. 未分配簇C.运行的服务D

9、.未打开的图片7.下列关于安卓手机取证说法错误的是？A. 安卓手机大部分的关键数据都记录在data区内B. Data区无法随意访问，需要最高用户权限的授权（root权限）C. 通过解析备份文件也可以完成对data区的取证D. 通过一些第三方软件，可以将QQ、微信等主流社交软件的聊天记录储存位置指定在 SD 卡8. 下列关于制作硬盘复制件的说法中，不正确的是？A. 降低直接在源盘检验带来的源盘损坏的风险。B. 防止误操作等原因造成的硬盘数据篡改。C. 对于某些传输速率低的硬盘，复制件采用高速率硬盘能有效提高后续取证效率D. 制作复制件的同时，能够修复部分物理损坏的源盘。9. 下列文件后缀名的说法

10、中，不正确的是？A. 文件的后缀名显示与否是Windows系统中可以设置的。B. 文件的后缀名一般来说为3-4个位长度。C. 可以通过改变文件的后缀名修改文件的类型。D. 所有文件都有文件后缀名。10. 下列关于 iPhone 取证说法错误的是？A. iPhone 数据恢复一定要越狱B. iPhone的DFU模式通常用于刷机和越狱C. iPhone4的4位屏幕密码可以破解D. iPhone只有越狱了才能进行密码破解四、判断题（共 10题，每题1分，共计10分）1. 手机取证时一般将手机调成飞信模式再进行取证。2. 计算机仿真取证技术可以很大程度上弥补传统静态取证证据获取能力的不足。3. 手机的

11、备份文件中不会记录IMEI号。4. 开机状态下Windows的用户密码信息是以明文形式保存在注册表中的。5. 安卓手机都可以通过备份进行获取。6. 现场勘验时可以通过PE工具直接清除windows密码后进行开机取证。7. 对手机取证时应保证待检测手机的数据、信号畅通，以便及时接受到最新的证据。8. iPhone手机微信中获取的语音文件属于证据形式中的声像资料，而不是电子数据。9. 在进行硬盘克隆（对位复制）前必须对目标盘进行擦除。10. Aff 与 E01 格式支持镜像压缩，可根据实际需求选择压缩比，减少文件占用的空间与镜 像制作的时间。五、简答题（共 2题，每题5分，共计10分）1. 简述硬盘克隆（对位复制）与镜像的异同。2. 简述有屏幕密码的安卓手机应该如何取证。