电子数据取证分析师考前冲刺试题及答案(三)

• 1. MD5的哈希值是( )位的十六进制字符。

  A32位

  B16位

  C40位

  D64位

• 2. 作为证据使用的存储媒介、电子设备和电子数据应当在( )固定或封存。

  A证人面前

  B公安机关

  C嫌疑人面前

  D现场

• 3. 关于镜像文件的描述,错误的是

  AE01可用取证大师生成

  BDD镜像采用分卷时,扩展名通常为.001、.002…

  CDD镜像可用硬盘复制机生成

  D取证大师加载采用分卷的镜像文件时要选中所有文件

• 4. 以下哪个对象无法计算散列值( )。

  A物理硬盘

  B文件夹

  C逻辑分区

  D文件

• 5. EncaseForensic是业界文明的司法取证软件,它是( )公司开发的。

  AGuidance

  BR-Tools

  CAccessData

  DGetData

• 6. 关于索引关键词,不正确的是( )。

  A取证大师可以对常用的文档类型进行索引

  B索引文件可能会占用大量磁盘空间

  C取证大师内置了索引关键词库

  D取证大师索引服务不需要操作系统的支持

• 7. 由于案情需要,民警小杜需要进行电子数据侦查实验,那么他应该找( )批准。

  A县公安局局长李某

  B刑侦大队大队长孙谋

  C派出所所长张某

  D网安大队大队长赵某

• 8. 关于关键词搜索,正确的是( )。

  A取证大师不选择搜索范围时,将不能进行搜索

  B取证大师中上网网页的关键词搜索,不必勾选UTF-8编码

  C关键词编码设置不当,可能会搜索不到想要的结果

  D关键词设置越多,搜索的速度越快

• 9. 识别文件真识类型最有效的方式是( )。

  A通过文件扩展名

  B通过文件签名信息

  C通过MD5值

  D通过Hash值

• 10. Windows7中回收站文件夹名称为( )。

  ARecycled

  B$Recycle.Bin

  CRECYCLER

  DSystemVolumeInformation

• 11. 公安机关冻结电子数据的期限为( )。

  A一年

  B六个月

  C三个月

  D一个月

• 12. 下面说法有误的是（ ）

  A现场保护的原则是一切维持现状

  B静态数据是指没有和服务器数据库进行交互的数据

  C控制封锁计算机区域后，进行物理隔离时，如果嫌疑人手机亮屏，请先将手机关机，关机后再收缴

  D固定电子数据后封存为了保护电子数据的完整性、真实性和原始性

• 13. 下列不属于电子数据的是：

  A音视频

  B电子邮件

  C电子笔录

  D登录日志

• 14. 以下关于SQLite数据库描述正确的为：

  ASQLite数据值有5种存储类型

  BSQLite是一个开源免费数据库引擎，需要使用者事先配置环境

  CB+树中，所有数据同时存贮在叶子和分支节点上

  D数据库页码从0开始

• 15. 手机取证中为什么要进行信号屏蔽（ ）

  A为了防止有信号干扰取证电脑

  B为了防止有新的短信或电话进入顶替原有的证据

  C为了防止手机耗电快

  D为了防止辐射伤害检验人员身体

• 16. 关于硬盘接口，描述正确的是（ ）

  A硬盘接口与数据线不匹配的，可以通过转换器转接

  BSATA数据线可以兼容IDE接口

  CSAS接口可以兼容IDE接口

  DIDE线缆数据线和电源线是做在一起的

• 17. 收集、提取的原始存储介质或者电子数据，移送起诉（ ）。

  A应当以封存状态随案移送，并制作电子数据的备份一并移送

  B应当随案移送电子数据的备份

  C应当以封存状态随案移送原始存储介质

  D应当随案移送拆封并制作备份的原始存储介质及电子数据备份

• 18. 一个文件的扩展名通常表示____。

  A文件的大小

  B文件的类型

  C文件的版本

  D文件的属性

• 19. 对送检的材料采用专用的设备进行克隆，目的是保持原始电子信息的( )。

  A多样性

  B派生性

  C时限性

  D完整性

• 20. 以下选项中，不属于视频文件格式的是（ ）

  AMPG

  BAVI

  CPCX

  DASF

• 1. 现场提取电子数据，必须要有见证人。

  A对

  B错

• 2. Search for keywords创建的关键字保存在案例文件中?

  A对

  B错

• 3. 易失数据主要存在于计算机内存中。

  A对

  B错

• 4. 证物封存可以采用整机封存的方式,也可以对单一介质或部件进行封存。

  A对

  B错

• 5. 收集、提取电子数据，必须由侦查人员进行收集、提取电子数据。

  A对

  B错

• 6. EXIF信息可以反映数码相机的制造厂家、数码相机型号、照片分辨率、拍摄时间信息，且不可被篡改。

  A对

  B错

• 7. 在Linux系统下，使用head-n 1 /etc/issue 命令获取系统版本信息。

  A对

  B错

• 8. Android存储空间加密技术主要采用的是AES加密算法。

  A对

  B错

• 9. Shift+Del删除的文件是不可以恢复的

  A对

  B错

• 10. 对手机取证时应保证待检测手机的数据及信号畅通，以便及时接收到最新的证据。

  A对

  B错

• 1. 通常Windows系统中涉及文件的3个时间属性，M代表Modify，表示最后修改时间；A代表Access，表示最后访问时间；C代表Create，表示创建时间；下列说法不正确的有（ ）

  AM始终要晚于C

  B在FAT32格式的分区中，A中仅包含日期，不包含时间

  CM、A、C时间是不能被任何工具修改的，因此是可信的

  D文件的M、A、C时间一旦发生变化，文件的哈希值随之改变

• 2. 硬盘连接到计算机后，无法被操作系统识别的原因有

  A电源线、数据线没接好

  B硬盘接口针脚断裂

  C硬盘物理损坏

  D转接卡(如果有的话)连接不正确

• 3. Android的Recovery模式可能提供哪些功能?

  A清除cache分区数据

  B以root用户运行

  C清除data分区数据

  D执行recovery升级

• 4. iPhone一般具备两种存储设备，即随机访问内存（RAM）和非易失性内存（Flash）。下列选项中，哪些数据会经常存储非易失性内存（Flash）中。

  A系统进程及服务

  B日志文件

  C驱动程序

  D操作系统

• 5. 手机大师导出的报告，目前支持的格式有( )

  A网页

  BWORD

  CPDF

  D列表CSV

• 6. 具有下列哪些情形的，鉴定完成后应当永久保存鉴定资料。（ ）

  A涉及国家秘密没有解密的；

  B未破获的刑事案件。

  C可能或者实际被判处有期徒刑十年以上、无期徒刑、死刑的案件；

  D特别重大的火灾、交通事故、责任事故和自然灾害。

• 7. 固定存储介质和电子数据方式包括（ ）。

  A完整性校验方式；

  B备份方式；

  C封存方式；

  D直接拷贝方式

• 8. 镜像是用于获取存储介质上的所有数据的过程，其获取数据包括（ ）。

  A所有有效数据

  B已覆盖数据

  C删除数据

  D未分配空间中的数据

• 9. 现场提取电子数据，应当遵守的规定有（ ）。

  A不得将提取的数据存储在原始存储介质中

  B不得在目标系统中安装新的应用程序

  C如果因为特殊原因，需要在目标系统中安装新的应用程序的，应当在笔录中记录所安装的程序及目的

  D应当在有关笔录中详细、准确记录实施的操作

• 10. 对扣押的原始存储介质或者提取的电子数据，可以通过（ ）、（ ）、统计、（ ）、（ ）等方式进行检查。

  A恢复

  B破解

  C关联

  D比对

• 1. 电子数据取证

• 2. “数字指纹”

• 3. 存储介质

• 4. FAT文件系统删除与恢复原理

• 5. 硬盘复制机格式化和擦除的区别擦除：物理级写入操作，通常将磁盘中所有二进制位写0，包括扇区标识等信息均被擦除，因此会造成磁盘的不识别状态，时间更长。

• 6. FAT文件系统的删除原理

• 7. 为什么播放器等闪存不推荐采用NTFS？

• 8. DD格式是一种通用的磁盘镜像格式,也称( )格式。

• 9. 对于电子数据取证来时,取和证是一个闭环的过程,最终目标是形成( )。

• 10. OSI参考模型采用了( )层的体系结构。