电子数据取证分析师模拟考试卷(一)

考试总分:100分

考试类型:模拟试题

作答时间:90分钟

已答人数:639

试卷答案:没有

试卷介绍: 这里有最新的电子数据取证分析师模拟考试卷(一)为您提供,遇见不懂的题您可以参考答案。

开始答题

试卷预览

  • 1. 一个文件的扩展名通常表示( )。

    A文件的版本

    B文件的属性

    C文件的类型

    D文件的大小

  • 2. 由于案件需要,民警小吴需要进行网络远程勘验,那么该次网络远程勘验应该由办理案件的( )负责。

    A县级公安局

    B网安部门

    C市级公安局

    D刑侦部门

  • 3. 公安机关向有关单位和个人调取电子数据,应当经办案部门负责人批准,开具( ),注明需要调取电子数据的相关信息,通知电子数据持有人、网络服务提供者或者有关部门执行。

    A《调取证据通知书》

    B《协助冻结电子数据通知书》

    C《解除冻结电子数据通知书》

    D《办案协作函》

  • 4. 在案件现场,如果遇到一台个人PC机运行着Windows7的操作系统,你作为一名侦查人员应该如何来关闭该机器?( )。

    A以上答案都正确

    B拔下计算机背部的电源插头

    C使用Windows7的开始菜单中的“关闭计算机”功能

    D从插座上切断电源开关

  • 5. 民警小李在办理一起黑客入侵案时,发现现场没有符合条件的见证人,那么此时,他扣押存储介质的过程应该( )。

    A全程录音

    B全程照相

    C全程文字记录

    D全程录像

  • 6. 关于图片的取证调查,正确的是( )。

    A即使图片被删除,Thumbs.db中不可能保存着该图片的缩略图

    B取证大师不支持图片的预览

    C图片被删除到未分配空间未被覆盖也是可以恢复的

    D图片的文件签名有误将无法取证

  • 7. 以下关于上网记录调查,错误的是( )。

    A上网过程中浏览的图片并不缓存在本地

    B取证大师可以对上网记录搜索的结果进行二次过滤

    C取证大师可以对上网记录进行分类排序

    D取证大师可以调查FireFox浏览器的地址栏记录和书签信息

  • 8. 以下哪个对象无法计算散列值( )。

    A文件夹

    B逻辑分区

    C文件

    D物理硬盘

  • 9. 取证大师文件过滤中文件名过滤、文件属性过滤、过滤条件、时间过滤、文件大小过滤的关系是( )。

    A或非

    B逻辑非

    C逻辑或

    D逻辑与

  • 10. 下列关于对位克隆和创建镜像的说法中,哪个是错误的?( )

    A一般情况下,对位克隆前,需要对目标盘进行擦除操作,以免证据污染

    B制作磁盘克隆时,能够将500G源盘完整克隆到500G的目标盘中

    C一般情况下,制作磁盘DD镜像时,目标盘应大于源盘

    D用常规哈希计算工具,计算的同一块硬盘的DD和E01镜像哈希值是相同的

  • 11. 对手机的国际移动设备识别码(International Mobile Equipment Identity,IMEI),正确说法的是( )

    AIMEI串号是移动/联通/电信运营商分配的

    B市面上的手机,IMEI串号存在重复的可能

    CIMEI串号在手机刷机后就会变化

    DIMEI串号由12位数字组成

  • 12. 下列哪项不是计算机数据存储计量单位()

    AKB

    BTB

    CPB

    DYB

  • 13. 以下哪种操作会改变文件的哈希值()。

    A改变文件名称

    B改变文件内容

    C改变文件扩展名

    D改变文件为只读属性

  • 14. 关于手机取证,以下手法正确的有()

    A非智能山寨手机必须要使用镜像取证

    BAndroid手机必须要root才可以获取删除数据

    CiPhone手机需要越狱才可以获取删除数据

    D取证诺基亚手机时尽量不要拆除电池

  • 15. 安卓系统的手机一般不包含以下哪种模式( )

    A一般启动模式(Nnormal)

    B恢复模式(Recovery)

    CDFU模式(Development FirmwareUpgrade)

    D引导模式(Bootloader)

  • 16. 关于邮件数据文件扩展名,错误的是( )

    AOffice Outlook的邮件数据扩展名为.PST

    BOutlook Express的邮件数据扩展名为.DBX

    CFoxmail的邮件数据扩展名为.ocx

    D邮件扩展名被更改,可以通过文件签名来检验

  • 17. 根据《公安机关办理刑事案件电子数据取证规则》之规定,检查电子数据应当遵循原则中,以下说法哪一项说法错误:( )

    A通过写保护设备接入到检查设备进行检查,或者制作电子数据备份、对备份进行检查;

    B无法使用写保护设备且无法制作备份的,应当注明原因;

    C检查前解除封存、检查后重新封存前后应当拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封条处的状况;

    D检查具有无线通信功能的原始存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施保护电子数据的完整性。

  • 18. 数据不能装满操作系统所定义的最小块时剩余的空间是( )。

    A未分配空间

    B物理空间

    C逻辑空间

    D文件残留区

  • 19. Thumbs.db是什么文件?( )

    A动态连接文件

    B缩略图文件

    C数据库文件

    D病毒文件

  • 20. 在现场不关闭电子设备的情况下直接分析和提取电子系统中的数据属于( )。

    A提取固定易丢失数据

    B电子证据检查

    C收集证据

    D在线分析

  • 1. 计算机证据的分析主要分为对主机数据的分析和对网络数据的分析。

    A

    B

  • 2. FAT32文件系统向下不兼容NTFS文件系统。

    A

    B

  • 3. 簇是磁盘文件存储管理最小的逻辑存储单元。

    A

    B

  • 4. 如果服务器存放位置跟办公场所不在一起,则需要考虑两边同时进行,以免打草惊蛇,致使对象通过远程销毁服务器里的证据。

    A

    B

  • 5. 网络远程勘验录像可以采用屏幕录像或者录像机录像等方式,录像文件应当计算完整性校验值并记入笔录。

    A

    B

  • 6. 在Raid0、Raid1、Raid5三种磁盘阵列中,数据安全性最低的磁盘阵列是Raid0。

    A

    B

  • 7. 借助于取证工具可能提取到隐藏和删除的数据。

    A

    B

  • 8. MBR(Master Boot Record),即主引导记录分区最后结束的两个字节标志是“33 AA”。

    A

    B

  • 9. 哈希算法就是MD5算法,MD5的算法是不可逆的。

    A

    B

  • 10. 阿里云服务器镜像通常为iso格式 。

    A

    B

  • 1. 对作为证据使用的电子数据,应当采取以下一种或者几种方法保护电子数据的完整性()

    A扣押、封存电子数据原始存储介质

    B计算电子数据完整性校验值

    C制作、封存电子数据备份

    D冻结电子数据

    E对收集、提取电子数据的相关活动进行录像

  • 2. 下列关于现场勘验过操作的说法中,不正确的是?

    ADD文件是最常用的镜像格式,因为该格式是原始镜像,而且支持高压缩

    B为了固定运行着的计算机的桌面状态,首先应该按键盘的PrtScr键进行截图

    C对于关机状态下的计算机进行固定时,优先应该采取拆机卸硬盘的方式

    D对于关机状态下又无法拆卸硬盘的计算机,应该开机直接查看系统里的数据

  • 3. 下列关于电子数据现场勘验的描述正确的是:( )

    A提取的电子存储介质,尽可能确认对应的数据持有人

    B在对有密码的手机进行封存时,可直接将其放入物证带封存

    C根据案件现场具体情况,划定保护范围,禁止无关人员进入现场,有条件的应当设置警戒线和告示牌

    D个案现场的电子数据现场勘验应尽可能一次性完成

  • 4. 缉私民警围绕收款银行账号追踪网络销售走私货物的违法犯罪嫌疑人,根据自动取款机上的摄像将嫌疑人抓获,当场在其随身包内查获U盘和银行卡。下列属于电子证据的是( )

    Au盘内存储的网络销售账户及密码

    B贮存在电脑内的嫌疑人取款的摄像

    C信用卡取款记录

    D取款机打印出的取款凭证

  • 5. 计算机反取证技术有( )等。

    A木马病毒

    B数据擦除

    C数据隐藏

    D数据加密

  • 6. 以下哪些是手机取证中会使用到的技术( )

    A人工提取

    B云取证

    C备份取证

    D镜像取证

  • 7. 认定犯罪嫌疑人、被告人的网络身份与现实身份的同一性,可以通过( )等进行综合判断。

    A核查相关IP地址

    B网络活动记录

    C上网终端归属

    D相关证人证言以及犯罪嫌疑人、被告人供述和辩解

  • 8. 电子数据具有下列情形之一的,不得作为定案的根据:()

    A电子数据系篡改、伪造或者无法确定真伪的;

    B电子数据有增加、删除、修改等情形,影响电子数据真实性的;

    C笔录或者清单上没有侦查人员、电子数据持有人(提供人)、见证人签名或者盖章的;

    D其他无法保证电子数据真实性的情形。

  • 9. 技术人员小马在分析一起贪污案时发现嫌疑人电脑中有一个可疑的txt文档,大小是1KB,占用空间32KB,下列说法正确的是( )

    A该txt内可能隐藏着另一个文档

    B文件占用空间大小总是大于文件的实际大小

    C该系统定义的一个簇大小可能是32KB

    D文件占用空间大小与文件实际大小之间的差额通常被称为文件松弛区(Slack)

  • 10. 复印机中包含的潜在证据( )

    A快速复印列表

    B存储的复印文件(输入的和输出的)

    C复印件传送日志(传入的和传出的)

    D时钟设置

  • 1. 第十七条 现场提取电子数据可以采取以下措施保护相关电子设备:
  • 2. 第七条 收集、提取电子数据,可以根据案情需要采取以下一种或者几种措施、方法:
  • 3. 擦除与高级格式化区别
  • 4. 写保护
  • 5. FAT文件系统将硬盘分为五个区域:
  • 6. 文件过滤原理
  • 7. 电子数据取证的概念:
  • 8. 温彻斯特技术原理:
  • 9. 数据恢复:
  • 10. 怎样判断嫌疑人优盘中文件和硬盘中的文件是否存在拷贝关系?