题库分类下载APP 帮助中心

当前位置：首页 > 考试 > 职业技能 > 电子数据取证分析师 > 理论知识 >

电子数据取证分析师考前冲刺试题及答案(四)

电子数据取证分析师考前冲刺试题及答案(四)

考试总分：100分

考试类型：模拟试题

作答时间：90分钟

已答人数：70

试卷答案：没有

试卷介绍： 对于想考证的小伙伴来说，电子数据取证分析师考前冲刺试题及答案是必备资料，快来在线进行测试吧。

开始答题

试卷预览

单选题 判断题 多选题 主观题

1. 关于可疑签名的描述,正确的是( )。

A文件头在签名表中,而该文件的扩展名不正确的属于可疑签名

B存在可疑签名的文件取证软件无法判断其其实的文件类型

C文件头不在文件签名库中,扩展名在文件签名库中的是可疑签名

D文件头和扩展名都不在文件签名库中的属于可疑签名

2. 下列( )类型具有最高权限.

A系统用户

B超级用户(Root)

C访客用户

D普通用户

3. 下面协议中,用于WWW传输控制的是( )

AHTTP

BURL

CHTML

DSMTP

4. 系统日志包括( )日志。

A系统日志、应用程序日志和安全日志。

B应用程序日志和安全日志。

C系统日志和安全日志。

D系统日志和应用程序日志。

5. 作为证据使用的存储媒介、电子设备和电子数据应当在()固定或封存。

A公安机关

B证人面前

C现场

D嫌疑人面前

6. 以下关于证据文件的说法,错误的是( )。

A证据文件中包含原始证据中未分配空间的数据

BE01证据文件通过校验算法来保证与原始证据的一致性

C存放E01证据文件的目标盘要保证是擦除过的空盘

DDD镜像文件生成过程中会通过哈希校验来保证其与原始证据一致性

7. 关于证据文件的说法,正确的是( )。

AE01证据文件只包含原始数据

BE01证据文件只能被EnCase生成

CDD镜像文件中包括案例信息和校验值

D大多数取证分析软件都支持E01镜像文件

8. 下列( )是电子数据区别于传统证据的特性。

A客观性

B关联性

C合法性

D虚拟性

9. 以下( )介质可以不用只读接入。

AU盘

B固态硬盘

CCD盘

DSD卡

10. 根据事件性质、特点、种类和现场实际情况,迅速对可能涉案的计算机(网络)、设备、电子数据存储介质采取保护措施,防止遭到破坏属于( )。

A收集证据

B保护现场

C提取证据

D固定证据

11. 下列关于硬盘镜像文件制作说法错误的是（）

A同一块硬盘制作出的任何格式镜像文件哈希值是一定相同的

BEO1格式支持镜像压缩，可以选择压缩比减少文件占用与镜像制作时间

C为确保镜像文件数据的原始性与可追溯性，镜像制作一定要计算哈希值

D取证过程常用的硬盘镜像文件格式包括DD/E01/IMG/VMDK格式

12. 关于安卓手机root权限，下列说法错误的是（）

A获取root权限会修改手机系统中的数据

B通过刷入第三方recover也可以获取root权限

C安卓手机只有获取了root权限才可以提取手机物理镜像

D获取root权限可能导致手机数据清空获取无法开机

13. 引导记录（MBR），位于____柱面____磁道____扇区。（）

A0，0，0

B0，0，1

C0，1，1

D1，1，1

14. 计算机正在运行的程序存放在（）

AROM

BRAM

C显示器

DCPU

15. 以下做法正确的是：

A手机直接封存扣押，不需要关机或打开飞行模式

B讯问期间，多次尝试输入手机密码，直到手机解锁

C搜查办公场所时，应了解网络结构，特别是注意是否有NAS、带存储功能的路由器、服务器等设备

D台式机一般只有一块硬盘，拆卸后做好封存记录

16. 冻结电子数据之后，解除冻结的，应当在（）日内制作协助解除冻结通知书，送交电子数据持有人、网络服务提供者或者有关部门协助办理。（）

A两

B三

C五

D十

17. 勘查现场嫌疑人计算机处于开机状态，正常的操作是（）

A直接关机，现场拆卸嫌疑人计算机硬盘并连接只读锁作现场取证工作

B在嫌疑人计算机上安装取证软件作现场取证工作

C直接关机，现场拆卸嫌疑人计算机硬盘并连接复制机生成副本

D固定易丢失数据后关机并封存

18. 以下哪个为固化在手机SIM卡中，作为IC卡的唯一识别号码。（）

AIMEI

BICCID

CIMSI

DS/N

19. 对嫌疑人住所进行现场勘查时，发现现场计算机处于关机状态，该如何处理？

A现场打开计算机电源，并拷贝取证工具到该计算机进行现场取证，第一时间获取关键证据

B现场直接扣押封存该计算机

C现场拆卸封存计算机硬盘，并详细记录该计算机及硬盘的品牌型号及唯一序列号等相关信息

D现场计算机无需处理

20. 下列说法错误的是（）

A在未确定是否易丢失数据的情况下，及时关闭正在运行状态的电子设备保全证据

B对现场计算机信息系统可能被远程控制的，应当及时采取信号屏蔽、信号阻断、断开网络连接等措施

C及时将犯罪嫌疑人或者其他相关人员与电子设备分离

D保护电源

1. 数字证据副本(Duplicate Digital Evidence)是指原始物理介质上获取的所有数据对象的精确拷贝。

A对

B错

2. 对正在处于运行状态的涉案电脑，正确的扣押方式是马上断电进行封存扣押。

A对

B错

3. 在开展电子取证时，只要采取打印、拍照或者录像等方式固定相关证据后，可以不扣押原始存储介质。

A对

B错

4. MBR位于磁盘上的0柱面0磁道的0扇区

A对

B错

5. 非智能手机在开展电子取证时，一般在开机状态下进行。

A对

B错

6. 在IMAP电子邮件协议中，在客户端进行的阅读、移动、删除等操作不会同步至服务器。

A对

B错

7. 计算机仿真取证技术可以很大程度上弥补传统静态取证证据获取能力不足。

A对

B错

8. 手机微信存在分身版的情况下使用降级备份提取会造成数据丢失。

A对

B错

9. 根据《公安机关办理形式案件电子数据取证规则》，采取打印、拍照或者录像等方式固定相关电子证据后，可以不再扣押原始存储介质。

A对

B错

10. IDE接口硬盘可以支持热插拔。

A对

B错

1. 下面关于数码相机拍摄照片中EXIF信息说法正确的是( )。

A对数码相机拍摄的照片用PhotoShop等软件处理后，其EXIF信息不会发生改变

B不同品牌型号的数码相机拍摄出的照片所包含的EXIF信息一般是不同的

CEXIF是可交换图像文件的缩写，是专门为数码相机的照片设定的

D通过查看数码相机拍摄照片的EXIF信息，可以对其原始性进行检验

E利用Widows XP资源管理器不能查看数码照片的EXIF信息

2. 以下关于文件系统的相关描述中，正确的有（）

A簇是文件系统可寻址最小单位

B字节是操作系统可寻址的最小单位

C扇区是操作系统可寻址的最小单位

D计算机可以访问物理硬盘，但操作系统只能访问逻辑卷

3. 下列哪项情形可以采取打印、拍照或者录像等方式固定相关证据：（）

A无法扣押原始存储介质并且无法提取电子数据的；

B存在电子数据自毁功能或装置，需要及时固定相关证据的；

C需现场展示、查看相关电子数据的；

D电子数据存储介质存在密码无法打开的。

4. 一封完整的邮件包括邮件头、邮件正文、附件三个部分，邮件头一般包括哪些信息？（）

A发件人和收件人邮箱

B发件人和收件人的IP地址

C发件的时间和时区

D邮件编号（Message-Id）

5. icloud云备份包含那些信息（）

Aapp watch备份

Biphone上的照片以及视频

Capple pay信息和设置

Dimessage信息

6. 手机取证时，无法自动备份，手动备份选择需要的应用程序备份，提示存储空间不够，应该如何处理？( )

A手机镜像

B备份到外部存储

C卸载部分应用程序

D删除多媒体文件

7. 以下哪项对提取易失性数据时的操作是正确的（）。

A如果计算机已经打开，不要关闭计算机，不要关闭计算机上的任何窗口和软件

B不要打开计算机上的任何文件、运行任何程序

C有些网页或正在编辑的文档内容较多，要采用多次拍照、抓屏的办法固定证据

D根据情况可以关闭开启的窗口和软件。

8. 车载系统会记录（）。

A蓝牙连接记录

B导航记录

C车载通话记录

D操作日志

9. 手机取证过程中应该注意（）

A需在信号屏蔽的环境下进行

B若发现手机中安装了防护软件，如腾讯手机管家等，建议先退出再取证

C并不是每把手机都能进行数据提取

D接口损坏的手机可以采用拍照取证

10. 下面哪种类型的数据不属于易失性数据？（）

A内存

B未分配簇

C运行的服务

D未打开的图片

1. 第四十六条电子数据检查应当保护在公安机关内部移交过程中电子数据的完整性。移交时，应当办理移交手续，并按照以下方式核对电子数据：

2. 文件修复

3. 簇

4. 在一个机械式硬盘中，C盘的读写速度是最快的原因？

5. 注册表

6. 时间戳：

7. 未分配空间

8. 简述哈希四个特性

9. 哈希在取证中的作用

10. 如何伪装文本，不被文件签名过滤发现？

相关试卷

相关题库

手机浏览器扫码下载

关注
公众号

微信扫码关注

微信
小程序

微信扫码关注

微信扫码添加老师微信