2025年信息系统安全专家移动应用数据与聊天记录取证专题试卷及解析.pdfVIP

2025年信息系统安全专家移动应用数据与聊天记录取证专题试卷及解析1

2025年信息系统安全专家移动应用数据与聊天记录取证专

题试卷及解析

2025年信息系统安全专家移动应用数据与聊天记录取证专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在对Android设备进行聊天记录取证时，以下哪种数据库格式最常见于微信本

地存储？

A、SQLite

B、MySQL

C、Oracle

D、MongoDB

【答案】A

【解析】正确答案是A。SQLite是Android系统中最常用的轻量级数据库，微信、

QQ等主流应用均采用SQLite存储聊天记录等本地数据。MySQL和Oracle是重量级

数据库，不适用于移动端；MongoDB是NoSQL数据库，极少用于移动应用本地存储。

知识点：移动应用本地存储技术。易错点：可能误选MySQL，因其是常见数据库，但

需注意移动端特殊性。

2、iOS设备中，应用沙盒机制下聊天记录通常存储在哪个目录？

A、/var/mobile/Containers/Data/Application/

B、/System/Library/

C、/User/Applications/

D、/var/root/

【答案】A

【解析】正确答案是A。iOS应用沙盒机制将应用数据存储在

的随机命名目录中。B是系统目录，C是越狱后的路径，D是root目录，均不符合沙

盒机制要求。知识点：iOS沙盒机制。易错点：可能混淆越狱前后的路径差异。

3、在取证过程中，发现某聊天应用使用了端到端加密，以下哪种方法最可能获取

明文内容？

A、直接提取数据库文件

B、获取设备解锁密码后进行实时屏幕录制

C、破解应用加密算法

D、分析网络传输数据包

【答案】B

【解析】正确答案是B。端到端加密使得静态存储和网络传输均为密文，只有实时

获取设备解锁状态下的屏幕内容才能获取明文。A和D只能获取密文，C在现实取证

2025年信息系统安全专家移动应用数据与聊天记录取证专题试卷及解析2

中几乎不可行。知识点：端到端加密取证难点。易错点：可能误选A，忽略加密特性。

4、Android设备中，提取微信聊天记录需要获取的关键权限是？

A、READ_SMS

B、READ_EXTERNAL_STORAGE

C、ACCESS_FINE_LOCATION

D、RECORD_AUDIO

【答案】B

【解析】正确答案是B。微信聊天记录存储在外部存储的私有目录，需要

READ_EXTERNAL_STORAGE权限。A是短信权限，C是定位权限，D是录音权

限，均与聊天记录提取无关。知识点：Android权限机制。易错点：可能误选A，混淆

短信与聊天应用。

5、在取证分析中，发现某聊天应用的数据库文件被损坏，以下哪种恢复方法最有

效？

A、使用文件系统carving技术

B、重新安装应用

C、重启设备

D、清除应用缓存

【答案】A

【解析】正确答案是A。文件系统carving技术可以基于文件头尾特征恢复损坏或

删除的数据库文件。B、C、D均可能导致数据进一步丢失。知识点：数据恢复技术。易

错点：可能误选B，忽略数据覆盖风险。

6、iOS设备中，备份文件中的聊天记录通常以什么格式存储？

A、.db

B、.plist

C、.mddata

D、.sqlite

【答案】C

【解析】正确答案是C。iOS备份文件中的聊天记录通常以.mddata格式存储，需要

特殊工具解析。A和D是数据库文件扩展名，B是属性列表文件。知识点：iOS备份文

件结构。易错点：可能误选D，混淆原始文件与备份文件格式。

7、在取证过程中，发现某聊天应用使用了自毁消息功能，以下哪种方法最可能获

取已销毁消息？

A、分析应用缓存目录

B、查看网络日志