取证复习答案.docVIP

一、判断题 1. ( )计算机取证一定要用取证软件来进行取证才能找到有效证据。 2. ( )电子证据是指“以电子形式存在的、用作证据使用的一切材料及其派生物”。 3. ( )收集到的电子证据只要是真实的就可以作为法庭的证据。 二、名词解释题. 1．动态取证.（内存数据,通讯状态,IE自动提交数据获取;通讯程序帐号/密码的获取;仿真运行的数据-例如财务数据/数据库） 取证人员依照法律规定和取证程序，由具有法律资格人员对于开机或者联网状态下的计算机及其相关计算机设备（包括交换机，路由器等）的内存数据，系统运行状态等进行相关的数据实时监控，分析和保存。从中发现相关的犯罪证据，作出具有法律效应的检测分析报告以证明违法犯罪事实的存在。 （通常采用动态仿真系统，将待分析的硬盘中的操作系统模拟运行起来，然后再进行取证分析，提取一些在静态取证过程中无法获得的数据（如系统中已保存的各种密码），以及分析木马、恶意代码程序等） 2．静态取证. （各种存储介质的获取与复制） 取证人员依照法律规定和取证程序，由具有法律资格人员对计算机硬件的原始数据进行保全，检查，分析，然后从中找出与案件有关的数字证据，并作出具有法律效应的检测分析报告以证明违法犯罪事实的存在。 （就是直接分析硬盘中的文件内容，不需要将硬盘中的操作系统运行起来。） 3．磁盘镜像.（指复制到相同功能的存储装置中以起到增强数据整合度，增强容错功能，增加吞吐量等作用。指复制到不同的装置或数据格式，主要用于数据备份） 磁盘镜像”一词一般有两种不同含义。一种是指复制到相同功能的存储装置中以起到增强数据整合度，增强容错功能，增加吞吐量等作用（如RAID）。这时对应英文一般为Disk Mirror，以下称为磁盘镜。另一种含义是指复制到不同的装置或数据格式，主要用于数据备份。这时对应英文一般为Disk Image，以下称为磁盘像。通常在使用中这两者都称为“镜像”或“磁盘镜像”。 （：又称磁盘映像，是将两个或两个以上的磁盘或磁盘子系统上生成同一个数据的镜像视图。） 4．只读锁.（通过屏蔽写信号，确保不会修改犯罪嫌疑人的硬盘） 只读隔离保护器（只读锁）提供了计算机海量存储设备基于硬件的安全写保护方案，从硬件的层面阻止了写入通道，能有效的保护存储设备中的电子数据取证的安全性，数据能够从源盘读出来，但不会被意外修改，从而保证电子数据司法鉴定的有效性和数据完整性，是取证分析的必备工具。 （：用于保护连接的硬盘中的数据，避免数据被篡改，确保电子介质的访问操作符合司法规范。） 5．主动取证. 主动取证是指主动获取犯罪证据，作为证明犯罪者非法行为的电子数据证据的技术。主要包括蜜网，蜜罐技术，动态监听与日志保全技术以及网络侦查陷阱。 6．司法鉴定. 司法鉴定是指在诉讼活动中鉴定人运用科学技术或者专门知识对诉讼涉及的专门性问题进行鉴别和判断并提供鉴定意见的活动。 7．证据固定.（应当提取什么样的电子证据，如何提取并有效的固定电子证据，是问题的关键。1 固定硬盘2 部分文件的固定3 固定易丢失的证据） 证据固定是为保护证据的完整性，真实性，原始性，对证据固定和封存。针对电子证据的固定可分为，克隆硬盘，部分文件的固定，易丢失证据的固定。 （由于有些证据因各种原因可能随时灭失或者发生变化，从而影响证据的认定，因此需要通过一些方式，把这些证据及时固定下来。） 8．MD5.（为计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护） MD5全称是报文摘要算法常被用来验证网络文件传输的完整性，防止文件被人篡改。此算法对任意长度的信息逐位计算，产生一个二进制长度为128位（十六进制长度为32位）的“指纹”（或称“报文摘要”），而不同的文件产生相同的报文摘要的可能性非常小 9．蜜罐技术 没有业务上的用途，因此所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷，主要用以监视、检测和分析攻击。它用真实的或虚拟的系统模拟一个或多个易受攻击的主机，给入侵者提供一个容易攻击的目标，从而发现攻击者采用的手段。. （蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。） 10.数字隐藏. 数字隐藏（数据隐写术）是一种隐秘通信技术，它是将隐秘信息嵌入到其他正常媒体中，（如文本，图像，音频，视频）通过对藏有隐秘信息的载体的传输，实现隐秘信息的传递。（或者：数据隐写是将需要保密传输的信息隐藏在载体文件中，在载体文件的掩护下，秘密信息得以安全保密的传输，而且数据隐写术还可以和密码术进行有效的结合，进一步提高安全性）。（：