电子数据取证分析师考前冲刺试题及答案(一)

• 1. 计算机取证的基本流程正确的是( )。

  A证据识别→证据获取及固定→证据收集→取证分析→证据保存→报告

  B证据识别→证据收集→证据获取及固定→证据保存→取证分析→报告

  C证据识别→证据收集→证据获取及固定→取证分析→证据保存→报告

  D证据识别→证据获取及固定→证据收集→证据保存→取证分析→报告

• 2. 案件发生后,犯罪嫌疑人通常会破坏现场毁灭证据,因此,应当注意对被破坏和删除的电子数据( )。

  A书面注明

  B进行恢复操作

  C拍照固定

  D出具清单

• 3. 下面协议中,用于电子邮件Email传输控制的是( )

  AHTML

  BHTTP

  CSMTP

  DSNMP

• 4. EncaseForensic是业界文明的司法取证软件,它是( )公司开发的。

  AGetData

  BAccessData

  CR-Tools

  DGuidance

• 5. 案件发生后,犯罪嫌疑人通常会破坏现场毁灭证据,因此,应当注意对被破坏和删除的电子数据( )。

  A出具清单

  B书面注明

  C拍照固定

  D进行恢复操作

• 6. 识别文件真识类型最有效的方式是( )。

  A通过文件签名信息

  B通过MD5值

  C通过Hash值

  D通过文件扩展名

• 7. 公安机关向有关单位和个人调取电子数据,应当经办案部门负责人批准,开具( ),注明需要调取电子数据的相关信息,通知电子数据持有人、网络服务提供者或者有关部门执行。

  A《调取证据通知书》

  B《办案协作函》

  C《解除冻结电子数据通知书》

  D《协助冻结电子数据通知书》

• 8. EncaseForensic是业界文明的司法取证软件,它是( )公司开发的。

  AR-Tools

  BAccessData

  CGetData

  DGuidance

• 9. 取证大师文件过滤中文件名过滤、文件属性过滤、过滤条件、时间过滤、文件大小过滤的关系是( )。

  A逻辑与

  B逻辑非

  C逻辑或

  D或非

• 10. 以下关于散列算法的描述,错误的是( )。

  A可以对文件进行散列计算

  B不可以对硬盘进行散列计算

  C散列算法即哈希算法

  D可以对分区进行散列计算

• 11. 公安机关对登记保存的原始存储介质,应当在( )内作出处理决定,逾期不作出处理决定的,视为自动解除。

  A十五日

  B七日

  C五日

  D三日

• 12. 关于关键词搜索,正确的是( )。

  A关键词设置越多,搜索的速度越快

  B关键词编码设置不当,可能会搜索不到想要的结果

  C取证大师不选择搜索范围时,将不能进行搜索

  D取证大师中上网网页的关键词搜索,不必勾选UTF-8编码

• 13. 公安机关向有关单位和个人调取电子数据,应当经办案部门负责人批准,开具( ),注明需要调取电子数据的相关信息,通知电子数据持有人、网络服务提供者或者有关部门执行。

  A《解除冻结电子数据通知书》

  B《办案协作函》

  C《调取证据通知书》

  D《协助冻结电子数据通知书》

• 14. 易丢失数据提取和在线分析应当在( )详细、准确记录实施的操作以及对目标系统可能造成的影响。

  A勘验检查照片记录表

  B封存电子证据清单

  C现场勘验检查笔录

  D固定电子证据清单

• 15. 中国国家标准简体中文字符集的字符编码是（）。

  AUnicode码

  BGB2312码

  CASCII码

  DBIG-5编码

• 16. *.PST文件，是哪种应用软件的数据包？（ ）

  A微信

  BQQ

  COutlook

  DFoxmail

• 17. 电子数据是案件发生过程中形成的，以（ ）存储、处理、传输的，能够证明案件事实的数据。

  A数字化形式

  B电子化形式

  C数据化形式

  D数码化形式

• 18. 断电会使原存信息消失的存储器是 （ ）

  ARAM

  B硬盘

  CROM

  DU盘

• 19. 电子数据现场勘验中固定的证据需要hash校验，请问md5算法生成的散列值长度是多少位？（ ）

  A16位

  B32位

  C48位

  D64位

• 20. 提取开机手机等具有无线通信功能的存储介质，如何操作( )

  A直接用手机信号屏蔽袋封装提取；

  B直接用物证袋封装提取；

  C关机直接用物证袋封装提取；

  D取出手机电池直接用物证袋封装提取。

• 1. 没有只读保护情况下,在Windows下打开一个文件且不作任何文件内容的修改,不会改变文件的属性。

  A对

  B错

• 2. USB设备与计算机断开连接后，无法发现该USB曾经的使用记录。

  A对

  B错

• 3. 数据库取证时无法获取到数据库中曾经被删除的数据。

  A对

  B错

• 4. 手机数据重置后，不影响数据恢复。

  A对

  B错

• 5. 开展手机取证时一般要将取证目标切换至飞行模式后再取证。

  A对

  B错

• 6. 公安机关接受或者依法调取的其他国家机关在行政执法和查办案件过程中依法收集、提取的电子数据不能作为刑事案件的证据使用。

  A对

  B错

• 7. 通过查看照片的Exif信息，寻找相关信息，如查看拍摄照片的时间、拍摄器材等，有些照片还保存有GPS经纬度数据，可以确定拍摄地点。

  A对

  B错

• 8. RAID0磁盘阵列中两块硬盘存放同样的数据 。

  A对

  B错

• 9. 现场提取电子数据，对提取的电子数据不可以进行数据压缩。

  A对

  B错

• 10. Big5是繁体字的一种编码格式。

  A对

  B错

• 1. 缉私民警在电子数据恢复中可以用如下哪些工具（ ）

  A取证大师

  BEasyRecovery

  CQuickviewPlus

  DSafeback

• 2. 下列哪些数据属于易失性数据？（ ）

  A正在编辑状态的文档

  B通讯软件中打开的聊天记录

  C正在运行的进程

  D用户名及密码

• 3. 网络在线提取应当计算电子数据的完整性校验值；必要时，可以提取有关电子签名（ ）等关联性信息。

  A认证证书

  B数字签名

  C注册信息

  D电子代码

• 4. 关于RAID的描述，正确的有

  ARAID又称廉价磁盘冗余阵列或独立磁盘冗余阵列

  BRAID0中只要一个硬盘损坏，数据将丢失

  CRAID1中只要一个硬盘损坏，数据将丢失

  DRAID5至少要由3个磁盘组成

• 5. 下列关于现场勘验操作的说法中，正确的是（ ）

  ADD文件是最常用的镜像格式，该格式是原始镜像，但不支持压缩。

  B为了固定运行着的计算机的桌面状态，首先应该通过外置摄录机进行拍照、录像。

  C对于关机状态下的计算机进行固定时，优先将硬盘连接至只读锁制作镜像。

  D对于关机状态下又无法拆卸硬盘的计算机，应该开机直接查看系统里的数据。

• 6. 手机SIM存储的内容包括下列（ ）

  A通讯录

  B短信

  C通话记录

  D识别码（imei ICCID）

• 7. DD镜像文件可以通过哪些方式生成（）

  A硬盘复制机生成

  B取证大师生成

  CWinHex生成

  DDD命令生成

• 8. iTunes备份中的文件说明，正确的是( )

  AInfo.plist主要记录手机号、IMEI等设备信息

  BManifest.plist主要记录备份密钥、APP包名等信息

  CStatus.plist主要记录备份时间、备份数据大小等信息

  DManifest.db主要记录备份文件与手机实际文件对应关系等

• 9. 检查电子数据应当遵循以下原则：

  A通过写保护设备接入到检查设备进行检查，或者制作电子数据备份、对备份进行检查；

  B无法使用写保护设备且无法制作备份的，应当注明原因，并全程录像；

  C检查前解除封存、检查后重新封存前后应当拍摄被封存原始存储介质的照片，清晰反映封口或者张贴封条处的状况;

  D检查具有无线通信功能的原始存储介质，应当采取信号屏蔽、信号阻断或者切断电源等措施保护电子数据的完整性。

• 10. 下列（ ）情形下，鉴定人应当自行提出回避申请；没有自行提出回避申请的，有关公安机关负责人应当责令其回避；当事人及其法定代理人也有权要求其回避。

  A本人或者其近亲属与本案有利害关系的

  B担任过本案证人、辩护人、诉讼代理人的

  C担任过本案侦查人员的

  D是重新鉴定事项的原鉴定人的

  E担任过本案专家证人，提供过咨询意见的

• 1. 第十一条 对扣押的原始存储介质，应当按照以下要求封存：

• 2. 第九条 具有下列情形之一，无法扣押原始存储介质的，可以提取电子数据，但应当在笔录中注明不能扣押原始存储介质的原因、原始存储介质的存放地点或者电子数据的来源等情况，并计算电子数据的完整性校验值：

• 3. 为什么硬盘实际容量比标称容量要小

• 4. 网络远程勘验

• 5. 文件系统

• 6. 复制和镜像的区别

• 7. NTFS文件系统删除原理

• 8. 在使用目标存储介质对源存储介质或文件进行保全备份时,一定要先对目标介质进行( )。

• 9. 电子数据是信息数字化过程中形成的以数字形式存在的能够( )的数据。

• 10. 数字证书