电子数据取证工作试题与答案.docx

PAGE PAGE 10 电子数据取证工作试题 一、单选 1CPU 的中文含义是 。 A 主 机 B 中央处理器 C 运算器 D 控制器 2DOS 命令实质上就是一段 。 A 数 据 B 可执行程序 C 数据库 D 计算机语言 3E01 的块数据校验采用 A CRC 算 法B MD5 算 法C SHA-1 算 法D SHA-2 算 法 4E01 证据文件分卷大小默认为 A 4.7G B 600M C 640M D 700M 5FAT 文件系统中，当用户按 Shift+Del 删除该文件后，以下描述正确的是？ 文件已经彻底从硬盘中删除 文件已删除，但文件内容首字节被改为十六进制 E5 C 还在回收站中，可用取证大师恢复 D 文件已删除，但是数据还在，目录项首字节被改为十六进制 E5 6FAT 文件系统中通常有多少个 FAT 表? A 1 B 2 C 3 D 4 7Linux 系统中常见的文件系统是 A Ext2/Ext3/Ext4 B NTFS C FAT32 D CDFS 8MBR 扇区通常最后两个字节十六进制值为 (编码次序不考虑 ) A AA 11 B 11 FF C 55 AA D 66 BB 9Windows 记事本不能保存的文本编码为 A ANSI B RTF C Unicode D UTF-8 10Windows 中的 “剪贴板 ”是 。 A 一个应用程序B 磁盘上的一个文件C 内存中的一个空间D 一个专用文档 不属于简体中文编码的是 A Big5 B UFT-8 C Unicode D GB2312 操作系统以扇区（ Sector）形式将信息存储在硬盘上，每个扇区包括（）个字节的数据和 一些其他信息。 A 64 B 32 C 58 D 512 磁盘经过高级格式化后 , 其表面形成多个不同半径的同心圆 , 这些同心圆称为 。 A 磁 道B 扇 区C 族D 磁面 磁盘在格式化的时候被分为许多同心圆，这些同心圆轨迹叫做磁道，磁道是如何编号的 A 由外向内从 0 开始编号B 由外向内从 1 开始编号C 由内向外从 0 开始编号D 由内向外从 1 开始编号 当前大多数硬盘采用的寻址方式为 CHS LBA AUTO LARGE 断电会使原存信息消失的存储器是 。 A RAM B 硬 盘 C ROM D U 盘 关于 MBR 的描述，错误的是 A MBR 又称主引导记录 B 分区表项存在 MBR 当 中 C MBR 中分区表可以记录多于 4 个分区的信息D MBR 中分区表有 64 字节大小 关于 MD5 算法说法错误的是 A 哈希算法就是 MD5 算 法 B MD5 算法可以用于验证数据的完整性 C MD5 算法是不可逆的 D MD5 算法可用于加密 关于 NTFS 文件系统的描述，错误的是 A NTFS 支持磁盘配额 B NTFS 也使用簇作为文件存储的最小分配单位 C NTFS 采用 MFT 表记录对象名称D 删除文件时，其实际数据被清除20 关于 SATA 的错误描述是 A SATA 支持串行数据传输 B SATA 不支持热插拔 C SATA 接口最大传输速率比 IDE 快 D 平展开的 SATA 数据线比平展开的 IDE 数据线更窄 二、多选 1DD 镜像文件可以通过哪些方式生成 A 硬盘复制机生成B 取证大师生成C WinHex 生 成D DD 命令生成 2E01 文件能够提供的功能有 A 压 缩 功 能B 哈希值功能C 密码保护功能 D 提供元文件信息3IE 上网记录包括A 缓存记录 B 历史记录 C Cookies 记录 D IE 地址栏记录4MBR 中包含的信息有A 卷引导记录 EBR 信 息 主分区表 55AA 的签名标识 调查取证当中的做法，错误的有 A 在嫌疑人硬盘上安装取证软件进行取证 B 先打开只读锁电源，再连接硬盘 C 只读锁使用完毕后，先取走硬盘，再关闭电源D 现场嫌疑人电脑处于开机状态，应当立即关机E 硬盘复制机要接上只读锁再连接嫌疑人硬盘 对涉毒嫌疑人硬盘进行调查，正确的描述有可以通过A 取证大师搜索上网记录 B 可以通过涉毒关键字搜索上网记录 C 搜索到的结果出现乱码需要通过选择合适的编码来查看D 已分配空间搜索不到的，需要进一步搜索未分配空间7 对于电子证物的处理那些操作是正确的 A 手机运送过程中尽可能屏蔽手机信号 B 开机状态的计算机要立即关机 C 要记录线缆以及线缆和主机的连线方式 D 电子证物只要注意防潮防震就行了 8 对于取证相关原理的描述，错误的有 A 相同内容的 word 文档与 txt 文档，其 HASH 值是不一样的 B 通过 HASH 值可以反推出源文件的内容 CRAID 0 在存储数据时