注册 题库分类 下载APP 帮助中心
当前位置:首页 > 考试 > 职业技能 > 电子数据取证分析师 > 理论知识 >
电子数据取证分析师理论考试题

电子数据取证分析师理论考试题

考试总分:100分

考试类型:模拟试题

作答时间:90分钟

已答人数:492

试卷答案:没有

试卷介绍: 为你带来了电子数据取证分析师理论考试题,让你把握答题时间和在线评分,非常方便。

开始答题

试卷预览

单选题 判断题 多选题 主观题
  • 1. 计算机取证的基本流程正确的是( )。

    A证据识别→证据收集→证据获取及固定→证据保存→取证分析→报告

    B证据识别→证据收集→证据获取及固定→取证分析→证据保存→报告

    C证据识别→证据获取及固定→证据收集→证据保存→取证分析→报告

    D证据识别→证据获取及固定→证据收集→取证分析→证据保存→报告

  • 2. 关于关键词搜索,下列选项表述正确的是( )。

    A残留区域中的数据无法进行关键词搜索

    B通过正则表达可以实现关键词模糊匹配和批量搜索

    C通过创建索引并不能加快关键词搜索的速度

    D未分配空间中的数据无法进行关键词搜索

  • 3. 以下关于散列算法的描述,错误的是( )。

    A可以对分区进行散列计算

    B散列算法即哈希算法

    C不可以对硬盘进行散列计算

    D可以对文件进行散列计算

  • 4. 关于索引关键词,不正确的是( )。

    A取证大师索引服务不需要操作系统的支持

    B取证大师内置了索引关键词库

    C索引文件可能会占用大量磁盘空间

    D取证大师可以对常用的文档类型进行索引

  • 5. 公安机关跨地域调查取证的,可以将( )和相关法律文书及凭证传真或者通过公安机关信息化系统传输至协作地公安机关。

    A《协助冻结电子数据通知书》

    B《调取证据通知书》

    C《办案协作函》

    D《解除冻结电子数据通知书》

  • 6. 现预设置一关键字搜索手机号码,作为常用关键字在多个案例中进行搜索,可采用( )搜索方式。

    A实时搜索

    B索引搜索

    C原始数据搜索

    D关键字搜索

  • 7. 以下关于上网记录调查,错误的是( )。

    A取证大师可以调查FireFox浏览器的地址栏记录和书签信息

    B上网过程中浏览的图片并不缓存在本地

    C取证大师可以对上网记录进行分类排序

    D取证大师可以对上网记录搜索的结果进行二次过滤

  • 8. 民警小王在查明案件事实后发现,扣押的U盘不是犯罪嫌疑人的且犯罪嫌疑人未使用过此U盘,那么民警小王应该将该U盘( )。

    A退还给U盘所有者

    B作为个人U盘使用

    C销毁

    D作为单位U盘使用

  • 9. FAT文件系统中,当用户按Shift+Del删除该文件后,以下描述正确的是( )。

    A文件已删除,数据不在

    B还在回收站中,可用取证大师恢复

    C文件已经彻底从硬盘中删除

    D文件已删除,但是数据还在,目录项首字节被改为十六进制E5

  • 10. 计算机取证的基本流程正确的是( )。

    A证据识别→证据收集→证据获取及固定→取证分析→证据保存→报告

    B证据识别→证据收集→证据获取及固定→证据保存→取证分析→报告

    C证据识别→证据获取及固定→证据收集→证据保存→取证分析→报告

    D证据识别→证据获取及固定→证据收集→取证分析→证据保存→报告

  • 11. 下列( )类型具有最高权限.

    A访客用户

    B系统用户

    C超级用户(Root)

    D普通用户

  • 12. 以下关于证据文件的说法,错误的是( )

    A存放E01证据文件的目标盘要保证是擦除过的空盘

    B证据文件中包含原始证据中未分配空间的数据

    CE01证据文件通过校验算法来保证与原始证据的一致性

    DDD镜像文件生成过程中会通过哈希校验来保证其与原始证据一致性.

  • 13. 系统日志包括哪些日志?( )

    A应用程序日志和安全日志

    B系统日志和安全日志

    C系统日志、应用程序日志和安全日志

  • 14. 具有下列情形之一的,可以采取打印、拍照或者录像等方式固定相关证据:( )

    A无法扣押原始存储介质并且无法提取电子数据的;

    B存在电子数据自毁功能或装置,需要及时固定相关证据的;

    C需现场展示、查看相关电子数据的。

    D以上都是。

  • 15. 关于电子数据现场勘验检查,下列哪一选项说法不正确( )

    A电子数据现场勘验检查一般包括现场勘验检查和远程现场勘验检查。

    B电子数据现场勘验与电子数据检查由缉私部门会同具有专门知识的人共同组织实施。

    C非特殊情况,电子数据现场勘验与电子数据检查可不邀请见证人。

    D一般情况下,现场勘验检查程序包括保护现场,收集证据,提取、固定易丢失数据,在线分析,提取、固定证物等。

  • 16. 只读锁连接硬盘设备进行只读操作,错误的是( )

    A先开启只读锁电源,再连接硬盘设备

    B主盘模式不能识别的设备,尝试将硬盘跳线设置为C/S模式

    C只读锁接口与硬盘不匹配的,采用转换器进行连接

    D确保只读锁未打开“读写”功能

  • 17. 采取打印、拍照或者录像方式固定相关证据的,应当清晰反映电子数据的内容,并在相关笔录中注明采取打印、拍照或者录像等方式固定相关证据的原因,电子数据的存储位置、原始存储介质特征和所在位置等情况,由( )签名或者盖章;

    A侦查人员

    B侦查人员、电子数据持有人

    C侦查人员、电子数据持有人(提供人)

    D侦查人员、电子数据持有人(提供人)、见证人

  • 18. 以下那个数值可能是SHA1哈希值()

    Af4efb2848682fdf399412bdb9fb712b6

    B454e82bb3fe6862de3d522dhd88c59c8

    C9916173d0840e9f2ad0b76h7c8bffc80b591a35c

    D7b4af3a3d8170132ebfc90a5f0c3da404de4d966

  • 19. 现场提取电子证据,应当遵循哪些规定?

    A不得将提取的数据存储在原始存储介质中

    B不得在目标系统中安装新的应用程序

    C应当在有关笔录中详细、准确记录实施的操作

    D以上都对

  • 20. 电子数据的收集、提取程序有下列瑕疵,经补正或者作出合理解释的,依然不可以采用的是()

    A笔录或者清单上没有侦查人员、电子数据持有人(提供人)、见证人签名或者盖章的

    B电子数据有增加、删除、修改等情形的

    C对电子数据的名称、类别、格式等注明不清的

    D未以封存状态移送的

  • 1. 磁盘上每个扇区可存放的用户数据为512字节。

    A

    B

  • 2. 以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等证据,不属于电子数据。( )

    A

    B

  • 3. 对手机取证时应保证待检测手机的数据、信号畅通,以便及时接受到最新的证据。

    A

    B

  • 4. 文件签名信息只存在于文件的头部位置。

    A

    B

  • 5. 网络在线提取过程均应全程同步录像,计算录像文件完整性校验值并记入笔录。

    A

    B

  • 6. 以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等证据属于电子证据。

    A

    B

  • 7. 进行电子物证检验时,搜索到一个扩展名是.doc的文件,这个文件一定是Word文档。

    A

    B

  • 8. 做MD5校验的目的就是保证文件的完整性和唯一性。

    A

    B

  • 9. 收集、提取电子数据,应当由二名以上侦查人员进行。必要时,可以指派或者聘请专业技术人员进行收集、提取电子数据。

    A

    B

  • 10. 某走私冻品案件,主犯在逃,缉私民警在搜查案件主犯住所时,发现主犯的笔记本电脑未关机,正确的标准做法是将笔记本电脑正常关机后,放入物证袋扣押封存。

    A

    B

  • 1. 某公司涉嫌低保价格走私进口冻品,缉私民警对该公司搜查时发现,该公司采用了“云办公”的模式,所有的报关、财务、仓库收发货等均在“金蝶云”上,正确的做法是( ):

    A出具法律文书,去“金蝶云”服务提供商调取电子数据;

    B马上切断办公电脑电源,扣押封存所有办公电脑;

    C在该公司现场提取“金蝶云”上的电子数据,并制作《电子数据现场提取笔录》、《电子数据提取固定清单》等;

    D先将“金蝶云”上的电子数据导出,保存到该公司的办公电脑,再扣押封存该电脑。

  • 2. 电子证据的现场勘验检查是指在现场实施勘验,以( )现场存留的与案件有关电子证据和其它相关证据。

    A发现

    B提取

    C分析

    D固定

  • 3. 电子邮件信息在海关情报分析中的实战应用环节包括( ):

    A邮件信息的采集和提取

    B邮件信息的结构化分析

    C邮件正文信息的关联分析

    D收发件人目标关系结构及关联关系分析

  • 4. 在进行现场勘验时,如有必要可以采取打印、拍照或者录像等方式固定相关证据,以下说法正确的有( )

    A无法扣押原始存储介质并且无法提取电子数据的可以采取打印、拍照或者录像等方式

    B存在电子数据自毁功能或装置,需要及时固定相关证据的可以采取打印、拍照或者录像等方式

    C需现场展示、查看相关电子数据的可以采取打印、拍照或者录像等方式

    D采取打印、拍照或者录像等方式固定相关证据后,能够扣押原始存储介质的,应当扣押原始存储介质

  • 5. 电子数据侦查实验的任务包括:( )

    A验证一定条件下电子设备发生的某种异常或者电子数据发生的某种变化;

    B验证在一定时间内能否完成对电子数据的某种操作行为;

    C验证在某种条件下使用特定软件、硬件能否完成某种特定行为、造成特定后果;

    D确定一定条件下某种计算机信息系统应用或者网络行为能否修改、删除特定的电子数据;

    E确定电子数据是否存在

    F确定电子数据的数量有多少

    G其他需要验证的情况

  • 6. 数码相机拍摄照片中含有的EXIF信息一般包括( )。

    A照片拍摄时间

    B照片像素

    C照片文件大小

    D照片拍摄人

  • 7. 电子数据发现和提取过程中,对于导出的录像文件,应记录的内容包括( )

    A录像文件名。

    B录像开始时间。

    C录像结束时间(或时长)。

    D录像文件哈希值。

    E检验人员

  • 8. 下面那些操作系统不属于智能手机操作系统?( )

    ALinux

    BWindows 10

    CMac OS

    DMTK

  • 9. E01文件能够提供的功能有( )

    A压缩功能

    B哈希值功能

    C密码保护功能

    D提供元文件信息

  • 10. 在查证IP地址时,如果获取的是动态IP地址,则需要:()

    A记录该IP 地址

    B记录获取该IP 地址的时间

    C提供相关信息给公安网监部门

    D落地查证

  • 1. 磁盘复制与镜像区别
  • 2. 本分区参数记录表
  • 3. 文件松弛(残留)区slack
  • 4. 已知标准的3.5英寸软盘(A盘),为单张盘体双面存储,柱面数为80,每个磁道等分为18个扇区。则该软盘容量为?
  • 5. 硬盘的数据传输率
  • 6. 关键字搜索
  • 7. 硬盘复制
  • 8. 移动设备
  • 9. 简述哈希在取证中的作用,怎样理解哈希库可以称为一种广义的关键字搜索技术?
  • 10. 目前公认的关于移动设备的取证原则:能够保证证据链的真实性*(非原始性和完整性)对系统功能进行必要的修改是允许的取证过程应受到严格监督并记录在案
相关试卷
相关题库
APP
下载
手机浏览器 扫码下载
 关注
公众号
微信扫码关注
 微信
小程序
微信扫码关注
 领取
资料
微信扫码添加老师微信
 TOP