电子数据取证分析师考前冲刺试题及答案(五)

• 1. 以下关于散列算法的描述,错误的是( )。

  A可以对分区进行散列计算

  B可以对文件进行散列计算

  C不可以对硬盘进行散列计算

  D散列算法即哈希算法

• 2. 以下关于证据文件的说法,错误的是( )。

  ADD镜像文件生成过程中会通过哈希校验来保证其与原始证据一致性

  B存放E01证据文件的目标盘要保证是擦除过的空盘

  CE01证据文件通过校验算法来保证与原始证据的一致性

  D证据文件中包含原始证据中未分配空间的数据

• 3. 在计算机领域中,通常用大写英文字母B来表示( )。

  A字

  B字长

  C二进制位

  D字节

• 4. 现场勘验检查结束后,应当制作()。

  A远程勘验工作记录

  B电子证据分析工作记录

  C电子证据检查工作记录

  D现场勘查工作记录

• 5. 以下哪个对象无法计算散列值( )。

  A逻辑分区

  B文件

  C文件夹

  D物理硬盘

• 6. 现场勘验检查结束后,应当制作()。

  A电子证据检查工作记录

  B电子证据分析工作记录

  C现场勘查工作记录

  D远程勘验工作记录

• 7. 民警小李准备聘请有专门知识的人进行电子数据鉴定,那么他应当经找( )批准。

  A县公安局局长孙某

  B乡派出所所长周某

  C市公安局局长钱某

  D公安厅厅长赵某

• 8. 在TCP/IP协议簇中,TCP、UDP协议工作在( )

  A应用层

  B网络互联层

  C网络接口层

  D传输层

• 9. 关于证据获取的说法,错误的是

  A可以通过DD命令进行证据获取

  B可以通过硬盘复制机进行证据获取

  C证据获取过程中要保证原始证据是可读写的

  D可以通过取证软件进行证据获取

• 10. 民警小李在办理一起黑客入侵案时,发现现场没有符合条件的见证人,那么此时,他扣押存储介质的过程应该( )。

  A全程录音

  B全程文字记录

  C全程照相

  D全程录像

• 11. 关于镜像文件的描述,错误的是( )。

  ADD镜像可用硬盘复制机生成

  B取证大师加载采用分卷的镜像文件时要选中所有文件

  CE01可用取证大师生成

  DDD镜像采用分卷时,扩展名通常为.001、.002…

• 12. 在电子取证中对不能停止运行的系统，要在短时间内完成对系统现场数据的备份工作。这种备份是将磁盘中所有数据按其（ ）进行备份。

  A物理存放格式

  B系统存放格式

  C逻辑存放格式

  D文件存放格式

• 13. FAT文件系统中，当用户按Shift+Del删除该文件后，以下描述正确的是：

  A文件已经彻底从硬盘中删除

  B文件已删除，但文件内容首字节被改为十六进制E5

  C还在回收站中，可恢复

  D文件已删除，但是数据还在，目录项首字节被改为十六进制E5

• 14. 采取技术侦察措施收集的证据材料,＿＿。（ ）

  A不得在审讯时直接公开使用。

  B不得暴露来源和收集方式。

  C如必须使用来证明犯罪事实，应将其转为能够公开使用的证据。

  D以上均正确。

• 15. _______俗称电子串号，是电子设备的身份标示。（）

  AICCID

  BIMEI

  CIMSI

  DSN

• 16. Android手机若有屏幕锁，以下说法正确的是：（）

  A毫无办法

  B若手机有开启USB调试模式，部分手机可按正常步骤获取

  C需要进行屏幕锁破解后，才能提取

  D需刷机再获取

• 17. 以下哪项不是对文件时间属性检验（ ）

  A创建时间

  B访问时间

  C修改时间

  D系统时间

• 18. 现场勘验过程中，发现开机的手机一部，以下操作不当的是（ ）

  A将手机放入屏蔽袋。

  B将手机开启飞行模式。

  C将手机直接扣押。

  D将手机相关配件（例如数据线）扣押。

• 19. 电子数据现场勘验过程中，发现一个3.6G的压缩包文件，请问以下哪个文件系统的存证盘无法存储该文件（ ）

  AFAT16

  BFAT32

  CNTFS

  DexFAT

• 20. 以下关于电子数据的收集和运用的说法，哪一项是正确的（）

  A网盘内存有的证人证言属于电子数据

  B未以封存状态移送的电子数据，不能作为定案根据

  C电子数据有增加、删减等情形，影响电子数据真实性的，经补正后可以采用

  D收集、提取电子数据，应当制作笔录并附电子数据清单，可以不对相关活动进行录像

• 1. 扣押原始存储介质，应当收集证人证言以及犯罪嫌疑人供述和辩解等与原始存储介质相关联的证据。

  A对

  B错

• 2. 对CD光盘进行取证时,可以直接读取,不用只读接入。

  A对

  B错

• 3. 文件逻辑大小可以大于其物理大小

  A对

  B错

• 4. 现场勘验中无特殊原因需要,不得在目标系统中安装新的应用程序。

  A对

  B错

• 5. 对提取的电子数据进行数据压缩的，在笔录中要注明相应的方法和压缩后文件的完整性校验值。

  A对

  B错

• 6. SPL、SHD是后台打印文件，是打印机打印页面时用于在硬盘上存储打印文稿预读取文件。

  A对

  B错

• 7. 根据《公安机关办理形式案件电子数据取证规则》，扣押原始存储介质及应用系统管理情况、网络拓扑与系统架构情况时，可以向相关人员了解、收集并在有关笔录中注明是否由多人使用、管理，并记录使用人员的身份情况。

  A对

  B错

• 8. DD镜像文件的每个字节都经过32位的CRC校验。

  A对

  B错

• 9. 收集、提取电子数据，应当由二名以上侦查人员进行，不能由其他人员进行。

  A对

  B错

• 10. 电子数据是案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据。

  A对

  B错

• 1. 记录关键步骤应当采用（ ）方式记录远程勘验过程中提取、生成电子证据等关键步骤

  A录像

  B照相

  C画图

  D截获计算机屏幕内容

• 2. 现场提取电子数据采取以下哪些措施是正确的：（ ）

  A及时将犯罪嫌疑人或者其他相关人员与电子设备分离;

  B关闭正在运行状态的电子设备;

  C对现场计算机信息系统可能被远程控制的，应当及时采取信号屏蔽、信号阻断、断开网络连接等措施；

  D直接拔电源；

• 3. 采集走私嫌疑人手机电话簿信息，可采取以下几种方法：（）

  A直接采集其 SIM 卡中存储的电话簿信息

  B直接采集存储在手机电话簿中的通讯录信息

  C通过获取随机密码方式，登录到手机中的电子信箱，提取其中的通讯录信息

  D通过嫌疑人手机号码对应营运商调取关联的通讯录信息

• 4. 云服务器镜像格式有：

  ADD

  Braw

  Cqcow

  Dqcow2

• 5. 以下关于计算机取证的基本原则的描述中正确的有（）

  A不损害原则

  B避免使用原始证据原则

  C记录所做的操作

  D遵循相关的法律法规

• 6. 计算机内存有大量的各类数据，通过对其做物理内存镜像能提出的有用的信息有( )

  A进程列表

  BBitLocker加密恢复密钥

  C保存到磁盘中的文档

  D动态链接库

• 7. 智能手机取证时，支持用（ ）进行连接取证

  A数据线

  B蓝牙

  C红外

  DWiFi

• 8. 在IOS系统的iTunes数据备份文件Status.plist保存的信息包括：（ ）

  A备份时间

  B应用程序列表

  C是否全备份

  D设备序列号

• 9. 下列关于正则表达式说法正确的是（ ）

  A“{n,m}”是m 和 n 均为非负整数，其中n <= m。最少匹配 n 次且最多匹配 m 次。例如，'o{1,3}' 将匹配 'fooooood' 中的前三个 o。'o{0,1}' 等价于 'o?'。请注意在逗号和两个数之间不能有空格

  B“*”作为特殊字符是匹配前面的子表达式零次或多次

  C“S”是匹配任何空白字符，包括空格、制表符、换页符等等。等价于 [ fnrtu000b]

  D“w”是匹配字母、数字、下划线

• 10. IE上网记录包括（ ）

  A缓存记录

  B历史记录

  CCookies记录

  DIE地址栏记录

• 1. 完整性校验值

• 2. 第十一条 具有下列情形之一的，经县级以上公安机关负责人或者检察长批准，可以对电子数据进行冻结：

• 3. 第五条 对作为证据使用的电子数据，应当采取以下一种或者几种方法保护电子数据的完整性：

• 4. FAT文件系统下文件的读取原理

• 5. 着陆区

• 6. 内部传输率

• 7. 低级格式化

• 8. 绿色全显框

• 9. 电子数据：

• 10. 固态硬盘