计算机取证技术期末考试.pdfVIP

一、选择题（每小题2分，共20分）

1、以下有关EasyRecovery的说法不正确的是（）

A.EasyRecovery在恢复数据时并不向硬盘写任何东西，而是在内存中镜像文件的FAT表和

目录区。

B.使用该软件时一定要注意将恢复出来的数据保存在其他的硬盘空间内。

C.该软件能够对FAT和NTFS分区中的文件删除、格式化分区进行数据恢复。

D.它主要是对数据进行硬件恢复。

2、以下不属于在数据恢复中需要使用的软件的是（）。

A.PC3000B.FinalDataC.EncaseD.FixRAR

3、以下不属于电子证据特点的是（）

A.电子证据的脆弱性B.电子证据的隐蔽性

C.电子证据的不可挽救性D.电子证据对系统的依赖性

4、以下不属于计算机取证过程中分析过程的是（）

A.协议分析B.镜像技术C.数据挖掘D.过程还原

5、以下属于计算机取证技术的发展趋势的是（）

A.动态取证技术B.计算机取证挖掘算法和柔性挖掘技术

C.取证工具和过程的标准化D.以上都是

6、以下关于硬盘的逻辑结构说法不正确的是（）

A.每个盘片有两个面，这两个面都是用来存储数据的。

B.随着读写磁头沿着盘片半径方向上下移动，每个盘片被划分成若干个同心圆磁道。

C.磁道被划分成若干个段，每个段称为一个扇区。扇区的编号是按0,1，……顺序进行的。

D.硬盘柱面、磁道、扇区的划分表面上是看不到任何痕迹的。

7、以下不属于文件系统的是（）。

A.LINUXB.NTFSC.FAT32D.EXT2

8、以下不属于数据分析技术的是（）。

A.对已删除文件的恢复、重建技术B.关键字搜索技术

C.日志分析D.特殊类型文件分析

9、以下（）命令可以用来测试本地主机的网络连接是否通畅。

A.tracerouteB.pingC.ipconfigD.pslist

10、在大多数黑客案件中，嗅探工具常被用来捕捉通过网络的流量以重建诸如上网和访问

网络文件等功能，以下（）是这类工具。

A.FTKB.snifferproC.QuickViewPlusD.NTI-DOC

二、填空题（每空2分，共40分）

1、当执行删除文件操作时，系统做了两方面的工作：一是将目录区中该文件的第一个字符

改为“E6H”来表示该文件已经被删除；二是将文件所占的文件簇在（）中对应表

项值全部置“0”。文件分配表

2、计算机对硬盘的读写是以（）为基本单位的；（）是数据存储和磁盘管理的最基本单位。

扇区、簇

3、硬盘上的数据按照其不同的特点和作用大致可分为5部分：主引导扇区、操作系统引导

扇区、文件分配表、目录区和数据区。其中（）包括硬盘主引导记录MBR和硬盘分区表

DPT；将（）中起始单元的和FAT表结合分析可以知道文件在硬盘中的具体位置和大小。

主引导扇区、目录区

4、操作系统启动分为5个阶段：预引导阶段、引导阶段、加载内核阶段、初始化内核阶段

和登录。其中（）阶段彩色的WindowsXP的logo以及进度条显示在屏幕中央。初始化内

1/3

核阶段

5、Windows的系统的主要日志有应用程序日志、系统日志和（）。安全日志

6、加密算法主要分为对称加密算法和非对称加密算法，其中（）加密算法又称为公钥加密

算法，其公钥与私钥是不同的。非对称

7、（）是一种不可逆的加密算法，它可以说是文件的数字指纹任何文件经过该算法都得到

一个128位独一无二的数字，如果该文件被修改过该值也将改变，以此来校验这个文件是

否被篡改。（）MD5

8、Windows操作系统下常用的数据包截获技术主要有两种方式：（）和内核层数据包截取

技术。用户层数据包截取技术

9、（）是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，

检测到对系统的闯入或闯入的企图”。入侵检测

10、没有分配给任何卷的可用磁盘空间称为未分配空间，分配给文件的最后一个簇中会有

未被当前文件占用的剩余