电子物证最终版.docVIP

本重点所有内容都为个人猜测，仅为大家复习提供一个方向，是非不再辩诉，此版为最终版本，之后不再更新。最后感谢万一组合、满红姐对本重点的付出。另选择题在题库中，估计题库总题在80~150之间，建议大家像做科一般多做两遍即能达到很高的正确率。 电子物证 填空题 电子数据的特点：表现形式的多样性与复杂性、依赖介质与无形性、易破坏性、易复制性、时限性、易传播性。 电子数据的审查：客观性审查、关联性审查、法律性审查。 电子数据取证：现场勘查检查、远程勘验、电子物证检验。 电子物证的固定方法：完整性校验方法、备份方法、封存方法。 电子物证检验：提取数据、检验数据、分析数据并得出结果、形成鉴定文书4个阶段。 电子物证检验的常用技术和工具 保全备份技术及工具镜像——Linux dd命令、Encase、Forensic Toolkit、SafeBack、NTI；硬件克隆——The Forensic Dossier、DC8201、Image MASSter Solo-IV 数据擦除技术及工具同上 数据恢复技术及工具FinalData。EasyRecovery。FileRecovery。PhotoRecovery。Encase。Forensic Toolkit。GetFree。R-Studio 数据搜索技术及工具Encase。Forensic Toolkit。X-Ways Forensic资源管理器 密码破解技术及工具Encase。Forensic Toolkit。X-Ways Forensic 文件一致性检验技术及工具Encase。Forensic Toolkit。MD5SUM 存储介质的擦除：存储介质的擦除标准（ChinaBMB21-2007 （6次））、命令擦除法、软件擦除法、硬件擦除法 保全备份：命令备份法（#dd if=/dev/hdb of=/dev/hdc）软件备份法、硬件备份法 电子物证检验工具encase： 案例文件：一个案例详细信息的文件 证据文件：encase分析方法的核心部分是证据文件 哈希值：根据文件或磁盘内容生成的用于描述文件唯一性的数字，即数字指纹 文件签名：.doc、.jpeg 文件松弛区：文件逻辑结束位置和物理结束位置之间的区域，这个区域的字节是以前文件残留下来的 GREP：#（0~9），？（重复0或者1次）详情P55,实际在多选题有出现过。 电子物证检验与分析过程与对应表单： 案件受理——《鉴定委托书》《固定电子证据清单》《封存电子证据清单》《委托鉴定检材清单》《原始证据使用记录》《鉴定受理登记表》《不予受理函》 检材的保存及处理——《送检（补充）检材和样本》 检验与分析——《鉴定管理流程表》 相关文书的形成与签发——《鉴定文书审批单》《备考表》 出庭等。 案例管理及证据操作 案例结构：由证据文件、案例文件、encase程序配置文件3部分组成 证据操作：encase证据文件（.e01、.e02、.e03）包含已获取的设备内容，集合了可分析的元数据、设备的哈希值以及所获得的设备内容；逻辑证据文件（.101、.102、.103）包含了在预览嫌疑计算机中的文件时，复制出来的有代表性的个别文件；原始数据镜像；单个文件包括目录 证据的分析与检验文本样式包括 ASCII：美国信息交换标准代码 GB2312：国标码（中华人民共和国国家汉字信息交换用编码） GB10830：国标10830汉字字符集 Big-5：大五码（繁体中文字符集） Unicode：统一码、万国码、单一码 UTF-8：万国码 RAID：告诉你已知条件问你采取哪一种RAID级别。（如采用RAID0/1/2/3/4/5/6等） 数据搜索 物理搜索：不考虑逻辑存储关系，针对物理扇区进行搜索； 逻辑搜索：按照逻辑存储关系在文件中进行遍历搜索。 FTK2.0检验工具：是第一个且唯一的一个集成Oracle数据库的司法工具。 FAT或NTFS文件系统 EXT2或EXT3文件系统 应用级存储层 文件 文件 信息分类层 目录或文件夹 目录 存储空间管理层 FAT或MFT Inode或数据位图 分配单元层 簇 块 数据分类层 分区 分区 物理层 绝对扇区或C/H/S 绝对扇区 文件系统存储层 文件系统和存储层 分配单元层没个分配单元的大小取决于3个方面：文件系统类别、分区大小和系统管理员的经验。 Quick View Plus：万能文件查看工具。 日志文件的检验 日志保存路径：%systemroot%\system32\config 应用程序日志后缀：AppEvent.evt 安全日志后缀：SecEvent.evt 系统日志后缀：SysEvent.evt Win7日志多了一个XML的格式 服务器日志：Windows系统下网络服务器日志格式主要有：Microsof