考试总分:100分
考试类型:模拟试题
作答时间:90分钟
已答人数:77
试卷答案:没有
试卷介绍: 对于想考证的小伙伴来说,电子数据取证分析师考前冲刺试题及答案是必备资料,快来在线进行测试吧。
A客观性
B关联性
C合法性
D虚拟性
A文件头在签名表中,而该文件的扩展名不正确的属于可疑签名
B存在可疑签名的文件取证软件无法判断其其实的文件类型
C文件头不在文件签名库中,扩展名在文件签名库中的是可疑签名
D文件头和扩展名都不在文件签名库中的属于可疑签名
A系统用户
B超级用户(Root)
C访客用户
D普通用户
AHTTP
BURL
CHTML
DSMTP
A系统日志、应用程序日志和安全日志。
B应用程序日志和安全日志。
C系统日志和安全日志。
D系统日志和应用程序日志。
A公安机关
B证人面前
C现场
D嫌疑人面前
AE01证据文件只包含原始数据
BE01证据文件只能被EnCase生成
CDD镜像文件中包括案例信息和校验值
D大多数取证分析软件都支持E01镜像文件
AU盘
B固态硬盘
CCD盘
DSD卡
A收集证据
B保护现场
C提取证据
D固定证据
A同一块硬盘制作出的任何格式镜像文件哈希值是一定相同的
BEO1格式支持镜像压缩,可以选择压缩比减少文件占用与镜像制作时间
C为确保镜像文件数据的原始性与可追溯性,镜像制作一定要计算哈希值
D取证过程常用的硬盘镜像文件格式包括DD/E01/IMG/VMDK格式
A获取root权限会修改手机系统中的数据
B通过刷入第三方recover也可以获取root权限
C安卓手机只有获取了root权限才可以提取手机物理镜像
D获取root权限可能导致手机数据清空获取无法开机
A0,0,0
B0,0,1
C0,1,1
D1,1,1
AROM
BRAM
C显示器
DCPU
A手机直接封存扣押,不需要关机或打开飞行模式
B讯问期间,多次尝试输入手机密码,直到手机解锁
C搜查办公场所时,应了解网络结构,特别是注意是否有NAS、带存储功能的路由器、服务器等设备
D台式机一般只有一块硬盘,拆卸后做好封存记录
A两
B三
C五
D十
A直接关机,现场拆卸嫌疑人计算机硬盘并连接只读锁作现场取证工作
B在嫌疑人计算机上安装取证软件作现场取证工作
C直接关机,现场拆卸嫌疑人计算机硬盘并连接复制机生成副本
D固定易丢失数据后关机并封存
AIMEI
BICCID
CIMSI
DS/N
A现场打开计算机电源,并拷贝取证工具到该计算机进行现场取证,第一时间获取关键证据
B现场直接扣押封存该计算机
C现场拆卸封存计算机硬盘,并详细记录该计算机及硬盘的品牌型号及唯一序列号等相关信息
D现场计算机无需处理
A在未确定是否易丢失数据的情况下,及时关闭正在运行状态的电子设备保全证据
B对现场计算机信息系统可能被远程控制的,应当及时采取信号屏蔽、信号阻断、断开网络连接等措施
C及时将犯罪嫌疑人或者其他相关人员与电子设备分离
D保护电源
A对
B错
A对
B错
A对
B错
A对
B错
A对
B错
A对
B错
A对
B错
A对
B错
A对
B错
A对
B错
A对数码相机拍摄的照片用PhotoShop等软件处理后,其EXIF信息不会发生改变
B不同品牌型号的数码相机拍摄出的照片所包含的EXIF信息一般是不同的
CEXIF是可交换图像文件的缩写,是专门为数码相机的照片设定的
D通过查看数码相机拍摄照片的EXIF信息,可以对其原始性进行检验
E利用Widows XP资源管理器不能查看数码照片的EXIF信息
A簇是文件系统可寻址最小单位
B字节是操作系统可寻址的最小单位
C扇区是操作系统可寻址的最小单位
D计算机可以访问物理硬盘,但操作系统只能访问逻辑卷
A无法扣押原始存储介质并且无法提取电子数据的;
B存在电子数据自毁功能或装置,需要及时固定相关证据的;
C需现场展示、查看相关电子数据的;
D电子数据存储介质存在密码无法打开的。
Aapp watch备份
Biphone上的照片以及视频
Capple pay信息和设置
Dimessage信息
A手机镜像
B备份到外部存储
C卸载部分应用程序
D删除多媒体文件
A如果计算机已经打开,不要关闭计算机,不要关闭计算机上的任何窗口和软件
B不要打开计算机上的任何文件、运行任何程序
C有些网页或正在编辑的文档内容较多,要采用多次拍照、抓屏的办法固定证据
D根据情况可以关闭开启的窗口和软件。
A蓝牙连接记录
B导航记录
C车载通话记录
D操作日志
A需在信号屏蔽的环境下进行
B若发现手机中安装了防护软件,如腾讯手机管家等,建议先退出再取证
C并不是每把手机都能进行数据提取
D接口损坏的手机可以采用拍照取证
A内存
B未分配簇
C运行的服务
D未打开的图片
A发件人和收件人邮箱
B发件人和收件人的IP地址
C发件的时间和时区
D邮件编号(Message-Id)