取证复习课程.docVIP

一、判断题 1. ( )计算机取证一定要用取证软件来进行取证才能找到有效证据。 2. ( )电子证据是指“以电子形式存在的、用作证据使用的一切材料及其派生物”。 3. ( )收集到的电子证据只要是真实的就可以作为法庭的证据。 二、名词解释题. 1．动态取证.（内存数据,通讯状态,IE自动提交数据获取;通讯程序帐号/密码的获取;仿真运行的数据-例如财务数据/数据库） 取证人员依照法律规定和取证程序，由具有法律资格人员对于开机或者联网状态下的计算机及其相关计算机设备（包括交换机，路由器等）的内存数据，系统运行状态等进行相关的数据实时监控，分析和保存。从中发现相关的犯罪证据，作出具有法律效应的检测分析报告以证明违法犯罪事实的存在。 （通常采用动态仿真系统，将待分析的硬盘中的操作系统模拟运行起来，然后再进行取证分析，提取一些在静态取证过程中无法获得的数据（如系统中已保存的各种密码），以及分析木马、恶意代码程序等） 2．静态取证. （各种存储介质的获取与复制） 取证人员依照法律规定和取证程序，由具有法律资格人员对计算机硬件的原始数据进行保全，检查，分析，然后从中找出与案件有关的数字证据，并作出具有法律效应的检测分析报告以证明违法犯罪事实的存在。 （就是直接分析硬盘中的文件内容，不需要将硬盘中的操作系统运行起来。） 3．磁盘镜像.（指复制到相同功能的存储装置