电子数据取证分析师考试题

• 1. 下面协议中,用于WWW传输控制的是( )

  ASMTP

  BHTML

  CURL

  DHTTP

• 2. 电子证据的固定与封存是保证电子证据完整性、真实性和原始性的操作规程,目的就是通过制定严格的取证规则,从程序上规范取证过程,确保电子证据的( )。

  A有效性

  B真实性

  C完整性

  D原始性

• 3. 侦查员小李即将前往案件现场收集、提取电子数据时,他应当再找( )侦查人员和他同行。

  A一名

  B二名

  C四名

  D三名

• 4. 下列( )是电子数据区别于传统证据的特性。

  A虚拟性

  B合法性

  C关联性

  D客观性

• 5. 以下关于证据文件的说法,错误的是( )。

  A证据文件中包含原始证据中未分配空间的数据

  B存放E01证据文件的目标盘要保证是擦除过的空盘

  CDD镜像文件生成过程中会通过哈希校验来保证其与原始证据一致性

  DE01证据文件通过校验算法来保证与原始证据的一致性

• 6. 由于案件需要,民警小吴需要进行网络远程勘验,那么该次网络远程勘验应该由办理案件的( )负责。

  A刑侦部门

  B网安部门

  C县级公安局

  D市级公安局

• 7. 民警小李准备聘请有专门知识的人进行电子数据鉴定,那么他应当经找( )批准。

  A乡派出所所长周某

  B市公安局局长钱某

  C县公安局局长孙某

  D公安厅厅长赵某

• 8. 关于证据获取的说法,错误的是( )。

  A可以通过硬盘复制机进行证据获取

  B可以通过DD命令进行证据获取

  C可以通过取证软件进行证据获取

  D证据获取过程中要保证原始证据是可读写的

• 9. 关于图片的取证调查,正确的是( )。

  A取证大师不支持图片的预览

  B图片被删除到未分配空间未被覆盖也是可以恢复的

  C图片的文件签名有误将无法取证

  D即使图片被删除,Thumbs.db中不可能保存着该图片的缩略图

• 10. 除( )、在现场不实施在线分析可能会造成严重后果;情况特殊、不允许关闭电子设备或扣押电子设备;在线分析不会损害目标设备中重要电子数据的完整性、真实性等以上三种情况外,一般不得实施在线分析。

  A设备所有人要求

  B网络环境限制

  C人手不足

  D案件情况紧急

• 11. 下列属于繁体中文专用编码格式的是（ ）。

  AGB2312

  BGBK

  CBIG5

  DUnicode

• 12. Windows系统中常见的文件系统是( )

  ACDFS

  BExt2/Ext3/Ext4

  CHFS

  DNTFS

• 13. 以下哪个网络命令可以查看本机的MAC地址和IP地址？（）

  AIpconfig/all

  BPing

  CTracert

  DNslookup

• 14. 关于电子取证的扣押过程断电处理，下列说法错误的是（）

  A笔记本保持待机状态

  B客户端电脑直接切断电源

  C服务器直接切断电源

  D手机保持飞行模式开机状态

• 15. 冻结电子数据的方法不包括：（ ）

  A计算电子数据的完整性校验值

  B锁定网络应用帐号

  C采取写保护措施

  D将电子数据存入移动硬盘

• 16. 对作为证据使用的电子数据，以下哪种方法不能保护电子数据的完整性？

  A扣押、封存电子数据原始存储介质

  B制作电子数据备份

  C计算电子数据完整性校验值

  D冻结电子数据

• 17. 以下哪种协议是发送电子邮件使用的协议（ ）

  AFTP

  BPOP3

  CSMTP

  DTCP

• 18. 现场勘验过程中，哪些不属于易失性电子证据（ ）

  A内存数据

  B运行中的页面聊天信息

  C正在删除的文件

  D桌面未打开的文档

• 19. 关于电子取证过程，以下哪项说法是正确的？

  A技术人员在复制数据过程中，不可对犯罪嫌疑人原始存储设备直接读写，应当使用专业取证设备。

  B对取证过程不需要进行全程同步录音录像。

  C技术人员在复制数据过程中，可以对犯罪嫌疑人原始存储设备直接读写。

  D检验完毕时，不需要有相关鉴定报告或清单。

• 20. 对提取的电子数据可以进行数据压缩，并在笔录中注明相应的方法和压缩后文件的（）。

  A验证值

  B校验值

  C完整值

  D完整性校验值

• 1. 关联分系可以将对象的通话记录、QQ好友、银行卡转账记录等全部关联起来。

  A对

  B错

• 2. 在实际应用中，访问BitLocker加密分区可以通过密码或者密钥实现。

  A对

  B错

• 3. 大数据的计量单位一般是以PB、EB、ZB为单位进行计量的。

  A对

  B错

• 4. 改变文件内容会改变文件哈希值，修改文件名称也会改变该文件的哈希值。

  A对

  B错

• 5. 公安部指定的机构及其承担检验工作的人员应当独立开展业务并承担相应责任，不受其他机构和个人影响。检验鉴定人员不能同时作为案件的侦查人员。

  A对

  B错

• 6. 对登记保存的原始存储介质，应当在五个工作日以内作出处理决定，逾期不作出处理决定的，视为自动解除。

  A对

  B错

• 7. 初查过程中收集、提取的电子数据，以及通过网络在线提取的电子数据，可以作为证据使用。

  A对

  B错

• 8. 网络在线提取应当计算电子数据的完整性校验值。必要时，可以提取有关电子签名认证证书、数字签名、注册信息等关联性信息。

  A对

  B错

• 9. USB调试模式是Android提供的一个用于开发工作的功能，使用该功能可在计算机和 Android 设备之间复制数据、在移动设备上安装应用程序、读取日志数据等。

  A对

  B错

• 10. 在Windows系统中，修改文件扩展名的同时，该文件的文件头也随之变化。

  A对

  B错

• 1. 具有下列情形之一，无法获取原始存储介质的，可以提取电子数据。( )

  A原始存储介质不便封存的

  B提取计算机内存存储的数据、网络传输的数据等不是存储在存储介质上的电子数据的

  C原始存储介质位于境外的

  D其他无法获取原始存储介质的情形

• 2. 关于散列算法的描述，正确的有

  A散列算法即哈希算法

  B散列算法可以用于进行数据完整性一致性校验

  CMD5和SHA1是两种不同的散列算法

  D散列值一般采用十六进制

  E散列算法的输入到输出是不可逆的

• 3. 以下属于完整性校验值算法的是？

  AMD5

  BSHA-1

  CSHA-256

  DSHA-512

• 4. 以下属于WINDOWS操作系统文件系统的是？

  AexFAT

  BNTFS

  CHFS+

  DWBFS

• 5. 下面哪些是保障司法有效性的措施？（）

  A进行硬盘复制生成证据副本

  B对硬盘通过只读锁连接进行分析

  C对证据进行HASH校验其完整性

  D通过取证软件生成类似E1的证据文件

• 6. 以下几种属于散列值算法的是？（ ）

  AMD5

  BSHA1

  CSHA256

  DCRC32

• 7. 云数据取证与传统手机取证的区别有哪些（ ）

  A实时性要求更强

  B获取相应登录认证口令

  C对应取证产品有所不同

  D取证载体有所变化

• 8. 以下哪些是完整性校验值的计算方法：（ ）

  AMD5

  Bsha1

  Csha2

  Dsha256

• 9. 缉私分局办案民警在一起水客走私案件中查获一架无人机（D JI Phantom3），在现场还发现一部手机，经检查，犯罪嫌疑人曾经通过该手机操控无人机飞行。根据以上案情，请回答下列问题：（1）无人机的数据源在哪儿？（2）如何确认无人机的飞行轨迹？

  A无人机自带的飞行记录器里（Flight Data Recorder）

  B无人机手机端的APP-D JI GO

  C此款无人机飞行轨迹保存在以 “飞行日期”和“飞行时间”命名的TXT日志里，如“DJIGlightRecord_2019-08-16_[09-04-00].txt”

  D无人机飞行轨迹日志因为是TXT格式，所以可直接双击打开查看

• 10. 封存手机等具有无线通信功能的原始存储介质，应当采取（ ）、（ ）、或者（ ）等措施。

  A信号屏蔽

  B信号阻断

  C切断电源

  D加密处理

• 1. 第四十七条 检查电子数据应当遵循以下原则：

• 2. 第三条 电子数据取证包括但不限于：

• 3. 目前公认的关于移动设备的取证原则：

• 4. 磁盘碎片

• 5. 为什么震动、突然断电和灰尘是硬盘致命伤？

• 6. 复合文件：

• 7. 文件签名原理

• 8. 文件松弛区：

• 9. FAT文件系统下文件的写入原理

• 10. 硬盘内部是不是真空？