最新电子数据取证笔试试卷(2)-1
电子数据取证笔试试卷(2)-1汇编
电子数据取证试题说明:考试时间100分钟,满分100分,答案写在答题纸上。
一、单选题(共10题,每题2分,共计20分)1.硬盘作为最常见的计算机存储介质,近几年从容量到性能都有了很大的提高,以下哪种硬盘的理论传输速率最慢?A.SCSIB.IDEC.SASD.SATA2.以下哪种规格是市场上最常见的笔记本硬盘?A. 3.5英寸B. 1.8英寸C. 2.5英寸D.1英寸3.以下哪种规格不是SCSI硬盘的针脚数?A.50B.68C.72D.804.下列哪种接口的存储设备是不支持热插拔的?B接口B.E-SATA接口C.SATA接口D.IDE接口5.下列哪个选项是无法计算哈希值的?A.硬盘B.分区C.文件D.文件夹6.下列文件系统中,哪个是Windows 7系统不支持的?A.exFatB.NTFSC.HFSD.FAT327.下列有关文件的各类时间属性,操作系统是一定不记录的?A.创建时间B.修改时间C.访问时间D.删除时间8.下列哪种不是常见的司法取证中的硬盘镜像格式?A.GhoB.AFFC.S01D.0019.系统日志中某些内容可能对取证有重要意义,比如“事件日志服务启动”通常被视为计算机开机的标志,该事件所对应的事件编号为:A.5005B.5006C.6005D.600610.Encase Forensic是业界文明的司法取证软件,它是下面哪家公司开发的?A.GuidanceB.GetDataC.AccessDataD.PanSafe二、多选题(共10题,每题3分,共计30分)1.通常Windows系统中涉及文件的3个时间属性,M代表Modify,表示最后修改时间;A代表Access,表示最后访问时间;C代表Create,表示创建时间;下列解释错误的是?A.M始终要晚于CB.M、A、C在Linux系统中也适用C.M、A、C时间是不能被任何工具修改的,因此是可信的D.文件的M、A、C时间一旦发生变化,文件的哈希值随之改变2.下列关于对位复制的说法中,不正确的是?A.为了确保目标盘与源盘的一致性,一定要找到与源盘品牌、型号、容量均一致的目标盘进行复制B.为了确保司法取证的有效性,一定要验证目标盘与源盘哈希值的一致性C.为了确保目标盘与源盘的一致性,目标盘的硬盘接口一定要与源盘一致D.当目标盘容量大于源盘时,一定要计算目标盘整盘的哈希值,用于与源盘的哈希值进行比对一致性3.下列关于现场勘验过操作的说法中,不正确的是?A.DD文件是最常用的镜像格式,因为该格式是原始镜像,而且支持高压缩。
电子数据取证工作试题与答案
电子数据取证工作试题一、单选1CPU 的中文含义是____。
A主机B中央处理器C运算器D控制器2DOS命令实质上就是一段____。
A数据B可执行程序C数据库D计算机语言3E01的块数据校验采用A CRC算法B MD5算法C SHA-1算法D SHA-2算法4E01证据文件分卷大小默认为A 4.7GB 600MC 640MD 700M5FAT文件系统中,当用户按Shift+Del删除该文件后,以下描述正确的是?A 文件已经彻底从硬盘中删除B 文件已删除,但文件内容首字节被改为十六进制E5C 还在回收站中,可用取证大师恢复D文件已删除,但是数据还在,目录项首字节被改为十六进制E5 6FAT文件系统中通常有多少个FAT表?A 1B 2C 3D 47Linux系统中常见的文件系统是A Ext2/Ext3/Ext4B NTFSC FAT32D CDFS8MBR扇区通常最后两个字节十六进制值为(编码次序不考虑)A AA 11B 11 FFC 55 AAD 66 BB9Windows记事本不能保存的文本编码为A ANSIB RTFC UnicodeD UTF-810Windows中的“剪贴板”是________。
A 一个应用程序B磁盘上的一个文件C内存中的一个空间D一个专用文档11不属于简体中文编码的是A Big5B UFT-8C UnicodeD GB231212操作系统以扇区(Sector)形式将信息存储在硬盘上,每个扇区包括()个字节的数据和一些其他信息。
A 64B 32C 58D 51213磁盘经过高级格式化后, 其表面形成多个不同半径的同心圆, 这些同心圆称为____。
A 磁道B 扇区C族D磁面14磁盘在格式化的时候被分为许多同心圆,这些同心圆轨迹叫做磁道,磁道是如何编号的A由外向内从0开始编号B由外向内从1开始编号C由内向外从0开始编号D由内向外从1开始编号15当前大多数硬盘采用的寻址方式为A CHSB LBAC AUTOD LARGE16断电会使原存信息消失的存储器是____。
电子数据取证笔试试卷2 1
精品文档电子数据取证试题说明:考试时间100分钟,满分100分,答案写在答题纸上。
一、单选题(共10题,每题2分,共计20分)1.硬盘作为最常见的计算机存储介质,近几年从容量到性能都有了很大的提高,以下哪种硬盘的理论传输速率最慢?A.SCSIB.IDEC.SASD.SATA2.以下哪种规格是市场上最常见的笔记本硬盘?C.2.5英寸英寸B.A.3.5英寸 1.8D.1英寸3.以下哪种规格不是SCSI硬盘的针脚数?B.68C.72D.A.50 804.下列哪种接口的存储设备是不支持热插拔的?B. E-SATA接口C.SATA接口D.IDE接口 B接口5.下列哪个选项是无法计算哈希值的?B.分区C.文件D.A.硬盘文件夹6.下列文件系统中,哪个是Windows 7系统不支持的?A.exFatB.NTFSC.HFSD.FAT327.下列有关文件的各类时间属性,操作系统是一定不记录的?B.修改时间C.A.创建时间访问时间D.删除时间8.下列哪种不是常见的司法取证中的硬盘镜像格式?A.GhoB.AFFC.S01D.0019.系统日志中某些内容可能对取证有重要意义,比如“事件日志服务启动”通常被视为计算机开机的标志,该事件所对应的事件编号为:A.5005B.5006C.6005D.600610.Encase Forensic是业界文明的司法取证软件,它是下面哪家公司开发的?D.C.A.Guidance B.GetDataAccessDataPanSafe二、多选题(共10题,每题3分,共计30分)1.通常Windows系统中涉及文件的3个时间属性,M代表Modify,表示最后修改时间;A代表Access,表示最后访问时间;C代表Create,表示创建时间;下列解释错误的是?A.M始终要晚于CB.M、A、C在Linux系统中也适用C.M、A、C时间是不能被任何工具修改的,因此是可信的精品文档.精品文档D.文件的M、A、C时间一旦发生变化,文件的哈希值随之改变2.下列关于对位复制的说法中,不正确的是?A.为了确保目标盘与源盘的一致性,一定要找到与源盘品牌、型号、容量均一致的目标盘进行复制B.为了确保司法取证的有效性,一定要验证目标盘与源盘哈希值的一致性C.为了确保目标盘与源盘的一致性,目标盘的硬盘接口一定要与源盘一致D.当目标盘容量大于源盘时,一定要计算目标盘整盘的哈希值,用于与源盘的哈希值进行比对一致性3.下列关于现场勘验过操作的说法中,不正确的是?A.DD文件是最常用的镜像格式,因为该格式是原始镜像,而且支持高压缩。
大数据笔试题及答案
大数据笔试题及答案大数据技术的兴起和发展已经成为当今世界的热点话题。
随着人们对数据的需求和对数据分析的重视,大数据相关岗位的需求也日益增加。
因此,在求职和升职过程中,大数据笔试已成为各大公司选拔人才的重要环节。
本文将介绍几道常见的大数据笔试题目,并提供答案供参考。
题目一:请解释什么是大数据?并列举大数据的特点。
答案:大数据是指庞大且复杂的数据集合,无法使用传统的数据管理和分析方法进行处理。
大数据的特点包括以下几点:1. 大量性:大数据通常以TB、PB甚至EB为单位衡量,数据量巨大。
2. 高速性:大数据的产生速度非常快,需要实时或近实时地对数据进行处理和分析。
3. 多样性:大数据来源多样,可以包括结构化数据、半结构化数据和非结构化数据等多种形式。
4. 核心价值:大数据蕴含着重要的商业价值和创新机会,可以为企业决策和业务发展提供有力支持。
题目二:请简述Hadoop的原理和应用场景。
答案:Hadoop是一种分布式计算框架,基于Google的MapReduce和Google文件系统的研究成果。
其核心是Hadoop分布式文件系统(HDFS)和分布式计算框架(MapReduce)。
Hadoop的原理是将一个大任务划分为多个小任务,分布式地在多台计算机上进行计算。
MapReduce将计算任务分为Map阶段和Reduce阶段,通过将数据分片并在多个节点上并行计算,提高了计算效率。
Hadoop的应用场景包括大数据分析、数据挖掘、机器学习等领域。
它可以处理海量的数据,并通过分布式处理提高了数据的处理速度和计算效率。
题目三:请简述Spark的特点和优势。
答案:Spark是一种快速、通用、可扩展的大数据处理引擎。
其特点和优势如下:1. 快速:Spark使用内存计算,相比传统的基于磁盘的计算框架,速度更快。
同时,Spark还支持迭代计算和交互式查询,适用于需要实时计算的场景。
2. 通用:Spark提供了丰富的API,支持多种编程语言(如Java、Scala、Python等),可以处理大部分数据处理和分析需求。
电子数据取证智慧树知到答案章节测试2023年山东政法学院
第一章测试1.根据洛卡德物质交换(转移)原理,下列说法正确的是()。
A:嫌疑人会获取所侵入计算机中的电子数据;另一方面他也会在所侵入计算机系统中留下有关自己所使用计算机的电子“痕迹”。
B:两个对象接触时,物质不会在这两个对象之间产生交换或者转移。
C:网络犯罪过程中,嫌疑人使用的电子设备同被害者使用的电子设备、网络之间的电子数据不存在相互交换。
D:网络犯罪中的电子数据或“痕迹”都是自动转移或交换的结果,受人为控制,不仅保存于作为犯罪工具的计算机与处于被害地位的计算机中,而且在登录所途经的有关网络节点中也有保留。
答案:A2.电子数据作为证据使用的基本特性包括( )。
A:客观性、合法性、电子性B:客观性、真实性、电子性C:客观性、合法性、关联性D:客观性、虚拟性、关联性答案:C3.电子数据取证架构包括下列哪些()组成。
A:技术层B:对象层C:证据层D:基础层答案:ABCD4.电子数据取证与应急响应在哪些方面存在不同()。
A:过程B:使用的方法和技术C:实施主体D:目标答案:ACD5.要做好电子数据取证,不仅要掌握电子数据的物理存储知识,还必须掌握电子数据的逻辑存储知识。
()A:对B:错答案:A第二章测试1.通常使用()来保障电子证据的“真实性”与“有效性”。
A:数据恢复技术B:数据获取技术C:数字校验技术D:克隆技术答案:C2.物理修复包括()。
A:物理故障修复B:固件修复C:文件级修复D:芯片级修复答案:ABD3.以下属于FAT32文件系统逻辑结构的是()。
A:MFTB:FATC:DBRD:FDT答案:BCD4.电子数据存储介质按照存储原理分为磁存储、电存储和光存储。
()A:对B:错答案:A5.下列属于常见外部存储介质接口的是()。
A:IDEB:SCSIC:SATAD:USB答案:ABCD第三章测试1.下列说法哪个是正确的()。
A:视听资料就是电子数据B:电子数据与视听资料二者有本质区别。
一是电子数据范围更广,不但包含了视听资料的一部分,还涵盖网络数据、文本数据等诸多范围。
数据取证技术工作试题
数据取证技术工作试题
1. 数字取证基础知识
- 请解释数字取证的定义和目的。
- 简要介绍数字取证的主要步骤和流程。
2. 数据恢复和提取
- 描述一种常用的数据恢复方法,并解释其原理。
- 请说明如何提取和获取存储在手机上的数据,包括短信、通话记录和应用程序数据。
3. 取证工具和技术
- 列举几种流行的取证工具,并说明它们的特点和适用场景。
- 请介绍一种常用的取证技术,并解释其原理和应用。
4. 数据验证和完整性保护
- 请说明数字证据的验证过程和常用的验证方法。
- 如何保护数字证据的完整性和可信性?
5. 取证流程和法律要求
- 详细描述数字取证的关键流程和步骤。
- 数字取证工作中需要遵守哪些法律要求和道德准则?
6. 司法程序和数据取证
- 请解释数字取证在司法程序中的角色和重要性。
- 描述一个你在实践中遇到的数据取证案例,并讨论该案例对法律程序和调查结果产生的影响。
请注意,以上问题仅供参考,根据具体情况可以根据不同角度和要求进行调整和补充。
试题应旨在评估候选人的数字取证技术知识、应用能力和解决问题的能力,确保其适合从事该领域的工作。
电子数据取证工作试题
电子数据取证工作试题1.CPU的中文含义是中央处理器。
2.DOS命令实质上就是一段可执行程序。
3.E01的块数据校验采用CRC算法。
4.E01证据文件分卷大小默认为700M。
5.FAT文件系统中,当用户按Shift+Del删除该文件后,文件已删除,但数据还在,目录项首字节被改为十六进制E5,可用取证大师恢复。
6.FAT文件系统中通常有两个FAT表。
7.Linux系统中常见的文件系统是Ext2/Ext3/Ext4.8.MBR扇区通常最后两个字节十六进制值为55 AA。
9.Windows记事本不能保存的文本编码为Unicode。
10.Windows中的“剪贴板”是内存中的一个空间。
11.不属于简体中文编码的是Big5.12.操作系统以扇区(Sector)形式将信息存储在硬盘上,每个扇区包括512个字节的数据和一些其他信息。
13.磁盘经过高级格式化后,其表面形成多个不同半径的同心圆,这些同心圆称为磁道。
14.磁盘在格式化的时候被分为许多同心圆,这些同心圆轨迹由外向内从开始编号。
15.当前大多数硬盘采用的寻址方式为LBA。
16.断电会使原存信息消失的存储器是RAM。
17.关于MBR的描述,错误的是分区表项存在MBR当中。
1.ARAID也称为廉价磁盘冗余阵列或独立磁盘冗余阵列。
BRAID0只需要一个硬盘损坏,数据就会丢失。
CRAID1只需要一个硬盘损坏,数据就会丢失。
DRAID5至少需要三个磁盘来组成。
2.关于U盘的描述,错误的有:A。
U盘不是通过磁头来读写数据的。
B。
U盘不是通过盘片来存储数据的。
C。
U盘取证需要连接只读锁。
D。
U盘在高级格式化时不会被划分成许多磁道。
3.关于磁盘分区的说法,错误的是:A。
磁盘分区后需要操作系统来存放数据。
B。
分区是通过低级格式化来实现的。
C。
分区是通过高级格式化来实现的。
D。
Windows中同一个分区中只能存放相同文件系统格式的文件。
4.关于回收站文件夹的描述,正确的有:A。
电子证据调查考核试卷
B.证据内容真实
C.证据获取合法
D.证据与案件无关
14.在电子证据调查过程中,以下哪个环节可能导致证据污染?()
A.证据固定
B.证据提取
C.证据保存
D.证据提交
15.电子证据调查中,以下哪项措施可以降低证据被篡改的风险?()
A.证据原件保管
B.证据复制件保管
C.证据原件与复制件分离保管
1.电子证据的特点包括()
A.便于复制
B.易于篡改
C.传输速度快
D.存储容量大
2.以下哪些属于电子证据的获取方式?()
A.数据恢复
B.网络截取
C.硬件提取
D.软件分析
3.电子证据的固定方法包括()
A.制作镜像
B.使用防篡改存储设备
C.加密保护
D.直接打印
4.以下哪些措施可以保障电子证据的完整性?()
C.证据的丢失
D.证据的延误
5.以下哪种方法不适合电子证据的保全?()
A.数据备份
B.加密存储
C.纸质打印
D.公证保全
6.电子证据的审查主要从以下哪个方面进行?()
A.证据来源
B.证据内容
C.证据获取过程
D.所有上述方面
7.在我国,电子证据的法定审查标准是()
A.真实性
B.合法性
C.有效性
D. A和B
3.电子证据的______是指证据在形成、存储、传输过程中保持其原始性和完整性的特性。
4.电子证据的获取过程中,应当遵循的最重要的原则是______。
5.在进行电子证据的提取时,常用的方法是______和______。
6.电子证据的鉴定人应当具备专业的技术知识、良好的职业道德和______。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电子数据取证试题
说明:考试时间100分钟,满分100分,答案写在答题纸上。
一、单选题(共10题,每题2分,共计20分)
1.硬盘作为最常见的计算机存储介质,近几年从容量到性能都有了很大的提高,以下哪种
硬盘的理论传输速率最慢?
A.SCSI
B.IDE
C.SAS
D.SATA
2.以下哪种规格是市场上最常见的笔记本硬盘?
A. 3.5英寸
B. 1.8英寸
C. 2.5英寸
D.1英寸
3.以下哪种规格不是SCSI硬盘的针脚数?
A.50
B.68
C.72
D.80
4.下列哪种接口的存储设备是不支持热插拔的?
B接口
B.E-SATA接口
C.SATA接口
D.IDE接口
5.下列哪个选项是无法计算哈希值的?
A.硬盘
B.分区
C.文件
D.文件夹
6.下列文件系统中,哪个是Windows 7系统不支持的?
A.exFat
B.NTFS
C.HFS
D.FAT32
7.下列有关文件的各类时间属性,操作系统是一定不记录的?
A.创建时间
B.修改时间
C.访问时间
D.删除时间
8.下列哪种不是常见的司法取证中的硬盘镜像格式?
A.Gho
B.AFF
C.S01
D.001
9.系统日志中某些内容可能对取证有重要意义,比如“事件日志服务启动”通常被视为计
算机开机的标志,该事件所对应的事件编号为:
A.5005
B.5006
C.6005
D.6006
10.Encase Forensic是业界文明的司法取证软件,它是下面哪家公司开发的?
A.Guidance
B.GetData
C.AccessData
D.PanSafe
二、多选题(共10题,每题3分,共计30分)
1.通常Windows系统中涉及文件的3个时间属性,M代表Modify,表示最后修改时间;A
代表Access,表示最后访问时间;C代表Create,表示创建时间;下列解释错误的是?
A.M始终要晚于C
B.M、A、C在Linux系统中也适用
C.M、A、C时间是不能被任何工具修改的,因此是可信的
D.文件的M、A、C时间一旦发生变化,文件的哈希值随之改变
2.下列关于对位复制的说法中,不正确的是?
A.为了确保目标盘与源盘的一致性,一定要找到与源盘品牌、型号、容量均一致的目标盘进行复制
B.为了确保司法取证的有效性,一定要验证目标盘与源盘哈希值的一致性
C.为了确保目标盘与源盘的一致性,目标盘的硬盘接口一定要与源盘一致
D.当目标盘容量大于源盘时,一定要计算目标盘整盘的哈希值,用于与源盘的哈希值进行比对一致性
3.下列关于现场勘验过操作的说法中,不正确的是?
A.DD文件是最常用的镜像格式,因为该格式是原始镜像,而且支持高压缩。
B.为了固定运行着的计算机的桌面状态,首先应该按键盘的PrtSc键进行截图。
C.对于关机状态下的计算机进行固定时,优先采取对硬盘盘体进行开盘操作的方式。
D.对于关机状态下又无法拆卸硬盘的计算机,应该开机直接查看系统里的数据。
4.下列文件系统中,哪些是Windows的文件系统?
A.HFS/HFS+
B.EXT2/3/4
C.NTFS
D.FAT16/32
5.下列关于对位复制和创建镜像的说法中,错误的是?
A.一般情况下,对位复制时,目标盘容量要等于源盘容量
B.制作DD镜像时,能够将500G源盘的完整DD镜像生成到500G的目标盘中
C.一般情况下,源盘生成的E01镜像,占用的空间小于同一块盘生成的DD镜像
D.用专门的镜像哈希计算工具,计算的同一块硬盘的DD和E01镜像哈希值是相同的
6.当一块硬盘被连接到计算机上时,Windows系统已经为其分配盘符,但双击该盘符提示
是否需要格式化磁盘,可能存在的原因是?
A.该分区格式为EXT4,Windows系统无法识别
B.该分区已损坏,Windows无法识别
C.该硬盘是一块从未使用过的全新的硬盘
D.该分区被病毒感染,导致分区表丢失
7.下面关于文件头的说法中,不正确的是?
A.各种类型文件的文件头长度不一定相同
B.JPG格式文件的文件头存在细小差异
C.相比文件头,文件扩展名更可信,因此文件扩展名常用于判断文件类型
D.在Windows系统中,修改文件扩展名的同时,该文件的文件头也随之变化
8.下列哪些类型是Windows7系统中常见的日志类型?
A.Application
B.Security
C.System
D.Local
9.
10.手机中常用的简体中文编码格式不包括?
A.
B.Big5
C.
D.UTF-16
E.
F.Unicode BE
G.UTF-7
11.
12.下面哪些密码破解方法可以用于RAR文件?
A.彩虹表破解
B.
C.暴力破解
D.
E.掩码破解
F.
G.字典破解
三、不定项选择题(共10题,每题3分,共计30分)
1.下列不是NTFS分区下的元文件的是?
A.$MFT
B.$Boot
C.$FAT
D.$Secure
2.下列属于Windows 7系统中虚拟内存对应的文件是?
A.hiberfil.sys
B.pagefile.sys
C.virtualmem.sys
D.config.sys
3.下列关于文件大小和文件占用空间大小的说法中,不正确的是?
A.文件大小和文件占用空间大小总是不一致的
B.文件占用空间大小总是大于文件的实际大小
C.文件大小总是文件占用扇区大小的整数倍
D.文件占用空间大小与文件实际大小之间的差额通常被称为文件松弛区(Slack)
4.下面哪些操作系统不属于智能手机操作系统?
A.Linux
B.Windows 8
C.Mac OS
D.MTK
5.下面哪些文件不是Windows的注册表文件?
A.Regedit
B.Sam
C.System
D.Security
6.下面哪种类型的数据不属于易失性数据?
A.内存
B.未分配簇
C.运行的服务
D.未打开的图片
7.下列关于安卓手机取证说法错误的是?
A.安卓手机大部分的关键数据都记录在data区内
B.Data区无法随意访问,需要最高用户权限的授权(root权限)
C.通过解析备份文件也可以完成对data区的取证
D.通过一些第三方软件,可以将QQ、微信等主流社交软件的聊天记录储存位置指定在
SD卡
8.下列关于制作硬盘复制件的说法中,不正确的是?
A.降低直接在源盘检验带来的源盘损坏的风险。
B.防止误操作等原因造成的硬盘数据篡改。
C.对于某些传输速率低的硬盘,复制件采用高速率硬盘能有效提高后续取证效率。
D.制作复制件的同时,能够修复部分物理损坏的源盘。
9.下列文件后缀名的说法中,不正确的是?
A.文件的后缀名显示与否是Windows系统中可以设置的。
B.文件的后缀名一般来说为3-4个位长度。
C.可以通过改变文件的后缀名修改文件的类型。
D.所有文件都有文件后缀名。
10.下列关于iPhone取证说法错误的是?
A.iPhone数据恢复一定要越狱
B.iPhone的DFU模式通常用于刷机和越狱
C.iPhone4的4位屏幕密码可以破解
D.iPhone只有越狱了才能进行密码破解
四、判断题(共10题,每题1分,共计10分)
1.手机取证时一般将手机调成飞信模式再进行取证。
2.计算机仿真取证技术可以很大程度上弥补传统静态取证证据获取能力的不足。
3.手机的备份文件中不会记录IMEI号。
4.开机状态下Windows的用户密码信息是以明文形式保存在注册表中的。
5.安卓手机都可以通过备份进行获取。
6.现场勘验时可以通过PE工具直接清除windows密码后进行开机取证。
7.对手机取证时应保证待检测手机的数据、信号畅通,以便及时接受到最新的证据。
8.iPhone手机微信中获取的语音文件属于证据形式中的声像资料,而不是电子数据。
9.在进行硬盘克隆(对位复制)前必须对目标盘进行擦除。
10.Aff与E01格式支持镜像压缩,可根据实际需求选择压缩比,减少文件占用的空间与镜
像制作的时间。
五、简答题(共2题,每题5分,共计10分)
1.简述硬盘克隆(对位复制)与镜像的异同。
2.简述有屏幕密码的安卓手机应该如何取证。