2023年7月27日发(作者：)

电子数据取证工作试题

一、单选

1CPU 的中文含义是____。

A主机

B中央处理器

C运算器

D控制器

2DOS命令实质上就是一段____。

A数据

B可执行程序

C数据库

D计算机语言

3E01的块数据校验采用

A CRC算法

B MD5算法

C SHA-1算法

D SHA-2算法

4E01证据文件分卷大小默认为

A 4.7G

B 600M

C 640M

D 700M

5FAT文件系统中，当用户按Shift+Del删除该文件后，以下描述正确的是？

1

A 文件已经彻底从硬盘中删除

B 文件已删除，但文件内容首字节被改为十六进制E5

C 还在回收站中，可用取证大师恢复

D文件已删除，但是数据还在，目录项首字节被改为十六进制E5

6FAT文件系统中通常有多少个FAT表?

A 1

B 2

C 3

D 4

7Linux系统中常见的文件系统是

A Ext2/Ext3/Ext4

B NTFS

C FAT32

D CDFS

8MBR扇区通常最后两个字节十六进制值为(编码次序不考虑)

A AA 11

B 11 FF

C 55 AA

D 66 BB

9Windows记事本不能保存的文本编码为

A ANSI

B RTF

C Unicode

D UTF-8

10Windows中的“剪贴板”是________。

A 一个应用程序

B磁盘上的一个文件

C内存中的一个空间

D一个专用文档

11不属于简体中文编码的是

2 A Big5

B UFT-8

C Unicode

D GB2312

12操作系统以扇区（Sector）形式将信息存储在硬盘上，每个扇区包括（）个字节的数据和一些其他信息。

A 64

B 32

C 58

D 512

13磁盘经过高级格式化后, 其表面形成多个不同半径的同心圆, 这些同心圆称为____。

A 磁道

B 扇区

C族

D磁面

14磁盘在格式化的时候被分为许多同心圆，这些同心圆轨迹叫做磁道，磁道是如何编号的

A由外向内从0开始编号

B由外向内从1开始编号

C由内向外从0开始编号

D由内向外从1开始编号

15当前大多数硬盘采用的寻址方式为

A CHS

B LBA

C AUTO

D LARGE

16断电会使原存信息消失的存储器是____。

A RAM

B 硬盘

C ROM

3 D U盘

17关于MBR的描述，错误的是

A MBR又称主引导记录

B 分区表项存在MBR当中

C MBR中分区表可以记录多于4个分区的信息

D MBR中分区表有64字节大小

18关于MD5算法说法错误的是

A 哈希算法就是MD5算法

B MD5算法可以用于验证数据的完整性

C MD5算法是不可逆的

D MD5算法可用于加密

19关于NTFS文件系统的描述，错误的是

A NTFS支持磁盘配额

B NTFS也使用簇作为文件存储的最小分配单位

C NTFS采用MFT表记录对象名称

D 删除文件时，其实际数据被清除

20关于SATA的错误描述是

A SATA支持串行数据传输

B SATA不支持热插拔

C SATA接口最大传输速率比IDE快

D 平展开的SATA数据线比平展开的IDE数据线更窄二、多选

4

1DD镜像文件可以通过哪些方式生成

A 硬盘复制机生成

B 取证大师生成

C WinHex生成

D DD命令生成

2E01文件能够提供的功能有

A 压缩功能

B哈希值功能

C密码保护功能

D提供元文件信息

3IE上网记录包括

A缓存记录

B历史记录

C Cookies记录

D IE地址栏记录

4MBR中包含的信息有

A卷引导记录

B EBR信息

C 主分区表

D 55AA的签名标识

5调查取证当中的做法，错误的有

A 在嫌疑人硬盘上安装取证软件进行取证

5 B先打开只读锁电源，再连接硬盘

C只读锁使用完毕后，先取走硬盘，再关闭电源

D现场嫌疑人电脑处于开机状态，应当立即关机

E硬盘复制机要接上只读锁再连接嫌疑人硬盘

6对涉毒嫌疑人硬盘进行调查，正确的描述有可以通过

A取证大师搜索上网记录

B可以通过涉毒关键字搜索上网记录

C搜索到的结果出现乱码需要通过选择合适的编码来查看

D已分配空间搜索不到的，需要进一步搜索未分配空间

7对于电子证物的处理那些操作是正确的

A手机运送过程中尽可能屏蔽手机信号

B开机状态的计算机要立即关机

C要记录线缆以及线缆和主机的连线方式

D电子证物只要注意防潮防震就行了

8对于取证相关原理的描述，错误的有

A相同内容的word文档与txt文档，其HASH值是不一样的B通过HASH值可以反推出源文件的内容

CRAID 0在存储数据时，同时备份数据

D硬盘复制机的复制速度可以突破接口的理论最大速度

FAT32支持磁盘配额

9高级格式化的作用包括

A建立扇区

6

B为硬盘创建文件系统

C为硬盘划分磁道

D对扇区进行分区内的编号

10关于RAID的描述，正确的有

A RAID又称廉价磁盘冗余阵列或独立磁盘冗余阵列

B RAID0中只要一个硬盘损坏，数据将丢失

C RAID1中只要一个硬盘损坏，数据将丢失

D RAID5至少要由3个磁盘组成

11关于U盘的描述，错误的有

A U盘里头通过磁头来读写数据

B U盘里头通过盘片来存储数据

C U盘取证不需要连接只读锁

D U盘在高级格式化时被划分成许多磁道

12关于磁盘分区的说法，错误的是

A磁盘分区后即可被操作系统存放数据

B通过高级格式化来分区

C通过低级格式化来分区

D Windows中同一个分区中可以存放不同文件系统格式的文件

13关于回收站文件夹，说法正确的有

A回收站文件夹具有系统属性

B Windows默认不会给U盘创建回收站文件夹

C回收站文件夹具有隐藏属性

7 D回收站文件夹中文件被清空，将不可以恢复

14关于回收站文件夹的描述，正确的有

A回收站文件夹具有系统属性

B回收站文件夹具有隐藏属性

C回收站被清空后数据将不可恢复

D不同的Windows系统和不同文件系统中，回收站的名称不一定相同

15关于快捷方式文件，正确的有

A其文件扩展名为.lnk

B快捷方式文件包含了它所指向的目标文件名及其完整路径

C快捷方式文件包含了它所指向的目标文件的创建时间、最后访问时间和最后修改时间D快捷方式文件包含了它所指向的目标文件所存储的卷的卷标信息

16关于取证大师文件属性过滤描述正确的有

A可以实现“隐藏文件”过滤

B使用“加密文件”过滤时，必须先执行加密文件分析

C使用“扩展名不匹配”过滤时，必须先执行文件签名分析

D可以实现EFS文件过滤

17关于日志解析，说法正确的有

A取证大师可以进行Windows日志解析

B取证大师可以进行IIS服务器日志解析

C Windows日志分为应用程序日志、安全日志和系统日志

D日志文件不一定放在默认的目录下

18关于散列算法的描述，正确的有

8

A散列算法即哈希算法

B散列算法可以用于进行数据完整性一致性校验

C MD5和SHA1是两种不同的散列算法

D 散列值一般采用十六进制

E 散列算法的输入到输出是不可逆的

19关于删除文件恢复，正确的有

A 删除文件都可以恢复

B 取证大师支持删除文件查找

C 取证大师支持删除文件恢复

D 文件恢复不一定可以恢复所有内容

20关于扇区概念的描述，错误的是

A 扇区大小默认为4096字节

B 扇区是文件系统可寻址的最小单位

C 扇区大小一般是2的N次方

D 文件都是存放在连续的扇区中

三、判断

1Big5是繁体字的一种编码格式

2CRC校验算法是字节顺序敏感的

3E01证据文件只能被EnCase取证软件所支持

4EnCase提供良好的基于windows的界面，右边是case文件的目录结构，左边是用户访问目录的证据文件的列表。

5FAT32文件系统向下兼容NTFS文件系统

9 6IDE接口硬盘可以支持热插拔

7MBR扇区通常最后两个字节十六进制值为0x55AA

8RAID5磁盘阵列需要至少三块硬盘

9Shift+Del删除的文件是不可以恢复的

10Windows Server 2003的关机时要通过正常方式关机

11磁盘是计算机的重要外设, 没有磁盘, 计算计就不能运行。

12格式化操作不会破坏磁盘的信息。

13计算机证据的分析主要分为对主机数据的分析和对网络数据的分析。

14计算机证据的鉴定，就是针对收集和保全的计算机数据进行可信性的证明。

15取证大师的签名恢复功能可以根据文件签名恢复未分配空间中的指定类型的文件

16电子证据是指法庭上可能成为证据的以二进制形式存储或传送的信息。

17未分配空间一般没有什么内容，对取证分析意义不大

18文本样式的编码设置得不合理会导致查看的文本为乱码

19文件逻辑大小可以大于其物理大小

20相同文件系统下单个扇区容量会比簇的容量大

四 、简答 共(20)分

1、在现场有一块500GB SATA硬盘、一款智能手机(开机状态)，请简要描述从其获取到取证分析之间所注意的事项。

2、在现场勘查时，发现有处于开机状态台式机，操作系统winXP，阐述获取此证物从拍照到封存的整个操作过程，并举例列出在固定易丢失数据时应注意的数据形式。

3、在现场勘查时，主要考虑到电子数据获取的完整性和有效性，试从完整性角度描述对正在运行的DV、碎纸机和打印机的处理方式。

10 4、请写出电子数据现场勘查的基本流程（10分）

5 、（1）请尽量多的列出电子数据取证介质（取证对象）（10分）

（2）请尽量多的列出电子数据取证软件

答案：

单选：

1B

2B

3A

4C

5D

6B

7A

8C

9B

10C

11A

12D

13A

14A

15B

16A

17C

18A

19D

20B

多选

1A,B,C,D

2A,B,C,D

3A,B,C,D

4A,C,D

5A,B,C,D,E

6A,B,C,D

7A,C

8B,C,D,E

9B,D

10A,B,D

11A,B,C,D

11 12A,C,D

13A,B,C

14A,B,D

15A,B,C,D

16A,B,C,D

17A,B,C,D

18A,B,C,D,E

19B,C,D

20A,B,D

判断：

1正确

2正确

3错误

4错误

5错误

6错误

7正确

8正确

9错误

10正确

11错误

12错误

13正确

14正确

15正确

16正确

17错误

12 18正确

19错误

20错误

简答

1、在现场有一块500GB SATA硬盘、一款智能手机(开机状态)，请简要描述从其获取到取证分析之间所注意的事项。

要点：

1) 获取时记录其具体位置

2）必要时现场记算硬盘哈希值

硬盘放入证物袋，注意防磁等环境；

手机注意开关机状态，放入屏蔽袋；

3）准备一块不小于500GB的磁盘做目标盘

4）注意手机品牌，操作系统

密码

配件

2、在现场勘查时，发现有处于开机状态台式机，操作系统winXP，阐述获取此证物从拍照到封存的整个操作过程，并举例列出在固定易丢失数据时应注意的数据形式。

要点

1拍照记录电脑整体状态，屏幕显示内容，主机接口连接

2周边相关配件

3注意易丢失数据，注意加密容器、加密文件、QQ等即时通讯数据的固定

对一些关键数据、关键步骤应使用录像等方式记录，

13 重要的文件计算MD5值

4固定易丢失数据后，直接拔电源断电关机

5封条注意电源及输出接口

3、在现场勘查时，主要考虑到电子数据获取的完整性和有效性，试从完整性角度描述对正在运行的DV、碎纸机和打印机的处理方式。

4、请写出电子数据现场勘查的基本流程（10分）

5 、（1）请尽量多的列出电子数据取证介质（取证对象）（10分） （2）请尽量多的列出电子数据取证软件

14