电子数据取证笔试试卷-1.pdfVIP

单位： 姓名： 得分： 电子数据取证试题 说明：考试时间 100 分钟，满分 100 分，答案写在答题纸上。 一、 单选题（共 10 题，每题 2 分，共计 20 分） 1. 硬盘作为最常见的计算机存储介质，近几年从容量到性能都有了很大的提高，以下哪种 硬盘的理论传输速率最慢？ A. SCSI B. IDE C. SAS D. SATA 2. 以下哪种规格是市场上最常见的笔记本硬盘？ A. 3.5 英寸 B. 1.8 英寸 C. 2.5 英寸 D. 1 英寸 3. 以下哪种规格不是 SCSI硬盘的针脚数？ A. 50 B. 68 C. 72 D. 80 4. 下列哪种接口的存储设备是不支持热插拔的？ A. USB接口 B. E-SATA接口 C. SATA接口 D. IDE 接口 5. 下列哪个选项是无法计算哈希值的？ A. 硬盘 B. 分区 C. 文件 D. 文件夹 6. 下列文件系统中，哪个是 Windows 7 系统不支持的？ A. exFat B. NTFS C. HFS D. FAT32 7. 下列有关文件的各类时间属性，操作系统是一定不记录的？ A. 创建时间 B. 修改时间 C. 访问时间 D. 删除时间 8. 下列哪种不是常见的司法取证中的硬盘镜像格式？ A. Gho B. AFF C. S01 D. 001 9. 系统日志中某些内容可能对取证有重要意义，比如“事件日志服务启动”通常被视为计 算机开机的标志，该事件所对应的事件编号为： A. 5005 B. 5006 C. 6005 D. 6006 10. Encase Forensic是业界文明的司法取证软件，它是下面哪家公司开发的？ A. Guidance B. GetData C. AccessData D. PanSafe 二、 多选题（共 10 题，每题 3 分，共计 30 分） 1. 通常 Windows 系统中涉及文件的 3 个时间属性， M 代表 Modify ，表示最后修改时间； A 代表 Access，表示最后访问时间； C 代表 Create，表示创建时间；下列解释错误的是？ A ． M 始终要晚于 C B． M 、A 、C 在 Linux 系统中也适用 C． M 、A 、C 时间是不能被任何工具修改的，因此是可信的 单位： 姓名： 得分： D． 文件的 M 、A 、C 时间一旦发生变化，文件的哈希值随之改变 2. 下列关于对位复制的说法中，不正确的是？ A ． 为了确保目标盘与源盘的一致性，一定要找到与源盘品牌、型号、容量均一致的目 标盘进行复制 B． 为了确保司法取证的有效性，一定要验证目标盘与源盘哈希值的一致性 C． 为了确保目标盘与源盘的一致性，目标盘的硬盘接口一定要与源盘一致 D． 当目标盘容量大于源盘时，一定要计算目标盘整盘的哈希值，用于与源盘的哈希值 进行比对一致性 3. 下列关于现场勘验过操作的说法中，不正确的是？ A ． DD 文件是最常用的镜像格式，因为该格式是原始镜像，而且支持高压缩。 B． 为了固定运行着的计算机的桌面状态，首先应该按键盘的