数据恢复及电子取证习题一.doc

《数据恢复与电子取证》习题一 一 不定项选择题（每小题1.5分，共10题，15分） 1．数据恢复服务分类按故障种类可以分为哪几种？ A..逻辑故障 B.物理故障 C.复合故障 D.硬盘故障 2．下列攻击哪些可应用恢复主引导记录？ A.Fdisk B.Fixmbr C.KV3000 D.Diskman 3．硬盘的主引导记录通常位于磁盘的哪个位置？ A..0磁道0柱面0扇区 B. 0磁道0柱面1扇区 C. 0磁道1柱面1扇区 D.1磁道1柱面1扇区 4．计算机通过IDE接口从硬盘得缓存中将数据读出交给相应得控制器得速度称为硬盘的： A.外部数据传输率 B.内部数据传输率 C.突发数据传输率 D.持续数据传输率 5．Serial ATA与Ultra ATA相比拥有哪些特点？ A.Serial ATA采用串行方式传输数据 B.Serial ATA采用比并行ATA更低的电压标准 C.采用点对点协议，不存在并行ATA的主/从问题 D.能够与目前的操作系统在软件上兼容，这就意味着不必更改目前的任何驱动程序和操作系统代码。 6.当用户将需要数据恢复的设备送来时，需要向用户了解的信息有： A.数据丢失发生的原因，当时进行了什么操作，之后有无进行任何其他操作。 B.存储设备的使用年限；容量大小，操作系统的版本和分区类型、大小。 C.要恢复的数据在什么分区上，什么目录里；什么文件类型、大概数量。 D.硬盘的品牌、转速。 7．下列属于域名解析的途径的有： A．本地HOST文件 B．本地域名服务器 C．远程域名服务器 D．根域名服务器 8．下面所列文档中都属于EasyRecovery可以恢复的组的是。 A．ACCESS、WORD、OURLOOK B．EXCEL、POWERPOINT、ZIP C．ACCESS、WORD、JPG D．OUTLOOK、OUTLOOKEXPRESS、WORD 9．下列四条服务器日志哪些表示对方有攻击企图或行为？ A．2006-02-22 00:00:39 172.16.37.52 – 211.83.208.XXX 80 GET／vvvc／css／cpp.css-304 Mozilla／4.0+(compatible；+MSIE+6.0；+Windows+98) B．2006-02-22 00:02:57 172.16.37.98 – 211.83.208.XXX 80 GET／index.asp -200 Mozilta／4.0+(compatible；+MSIE+6.0；+Windows+98) C．2006-02-22 03:23:42 172.16.XXX.XXX – 211.83.208.XXX 80 HEAD／s cripts／……winnt／system32／cmd.exe／c+dir 404 D．2006-02-22 03:27:11 172.16.xxx.XXX – 211.83.208.XXX 80 GET／manage／login.asp l-101404_Object_Not_Found 404 Mozilla／4.75+[en]+(X11，+U；+Nessus) 10．下列哪些信息是需要使用Index.dat文件作为索引文件的？ A．浏览历史 B．浏览缓存内容 C．Cookie D．收藏站点 二 填空题（每空1.5分，共10空，15分） 1．操作系统以扇区（Sector）形式将信息存储在硬盘上，每个扇区包括_______个字节的数据和一些其他信息。 2．一块硬盘有240个磁头，15505个柱面，每个磁道有63个扇区，那么这块硬盘的精确容量为______。 3．硬盘在存储数据之前，一般需经过低级格式化、______、______三个步骤之后才能使用。 4．MBR ，即主引导记录区，由两部分组成，分别是______、______。 5．假设硬盘的某一分区采取FAT32文件系统，已知簇的大小为32KB，那么该分区可分配的最大容量为______。 6．计算机证据几乎无所不在，但主要来自三个方面，即______、______、______三方面。 三 名词解释（每小题5分，共4题，20分） 1．数据恢复 2．虚拟MBR 3．计算机证据 4．电子数据鉴定 四 问答题（每小题10分，共3题，30分） 1．硬盘为什么要分区，分区的优点是什么？ 2．使用EFS加密文件和文件夹时有哪些注意事项？ 3．比较计算机证据与传统的证据异同。 五、分析计算题（共20分，前8个字节每空0.5分，后8个字节每空2分） 某一硬盘的分区表被破坏，已知这块硬盘的总扇区数为4124736，并假设此硬盘上第一个EBR所在扇区号为1435392。试完善此硬盘两个分区项的信息表。 分区1 分区2 字节 值 含义 字