计算机取证技术复习

三、简答题1. 在计算机取证的过程中，不管发生了什么紧急情况，调查者都必须遵循的原则是什么？答：①不要改变原始记录②不要在作为证据的计算机上执行无关的程序③不要给犯罪者销毁证据的机会④详细记录所有的取证活动⑤妥善保存取得的物证2•当Windows系统受到入侵攻击，而需要对系统进行取证分析的操作会引起易失性数据。

主要的易失性数据包括哪些？答：①系统日期和时间②当前运行的活动进程③当前的网络连接④当前打开的端口⑤当前打开的套接字上的应用程序⑥当前登录用户3. Windows系统中初始响应指的是什么？现场数据收集的主要步骤包括哪些？答：1.初始响应指的是收集受害者机器上的易失性数据，并据此进行取证分析的过程2. 现场数据收集包括一下3步：①打开一个可信的命令解释程序②数据收集的准备工作③开始收集易失性数据4. 描述你知道的证据获取技术包括哪些？答：① 对计算机系统和文件的安全获取技术；②避免对原始介质进行任何破坏和干扰；③对数据和软件的安全搜集技术；④对磁盘或其它存储介质的安全无损伤备份技术；⑤对已删除文件的恢复、重建技术；⑥对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术；⑦对交换文件、缓存文件、临时文件中包含的信息的复原技术；⑧计算机在某一特定时刻活动内存中的数据的搜集技术；⑨网络流动数据的获取技术等5. 基本过程模型有哪些步骤？答：①保证安全并进行隔离；②对现场信息进行记录；③全面查找证据；④对证据进行提取和打包；⑤维护证据监督链6. 电子证据与传统证据的区别有哪些？答：①计算机数据无时无刻不在改变；②计算机数据不是肉眼直接可见的，必须借助适当的工具；③搜集计算机数据的过程，可能会对原始数据造成很严重的修改，因为打开文件、打印文件等一般都不是原子操作；④电子证据问题是由于技术发展引起的，因为计算机和电信技术的发展非常迅猛，所以取证步骤和程序也必须不断调整以适应技术的进步。

,谈谈你的看法？ 答：6大流程： ① 取容易丢失的信息 ② 冻结硬件 ③ 申请取证 ④ 取证分析 ⑤ 分析报告⑥ 文件归档文件数据一般的隐藏术① 操作系统本身自带功能② 利用FAT 镞大小③ 利用slack 镞④ 利用更高级的工具答：①攻击预防阶段 ② 事件侦测阶段③ 初始响应阶段④ 响应策略匹配7. Windows 系统取证方法的主要流程是什么？答：6大流程：① 取容易丢失的信息② 冻结硬件③ 申请取证④ 取证分析⑤ 分析报告⑥ 文件归档8. 日志分析有哪些？包括什么内容？ 答：①操作系统日志分析；② 防火墙日志分析；③ IDS 软件日志分析；④ 应用软件日志分析9. Win dows 2000/XP 安全管理的常用方法有哪些？（至少写出 6个） 答：①创建2个管理员账户② 使用NTFS 分区③ 使用安全密码④ 设置屏保密码⑤ 创建一个陷门帐号⑥ 把administrator 账号改名 四、综合题1. Win dows 系统下取证方法的主要流程是什么？我们文件数据一般的隐藏术有哪些 2•阐述事件响应过程模型执行步骤及其工作内容?事先进行相关培训，并准备好所需的数字取证设备。

电子取证复习第一章信息安全1、信息安全含义：信息安全是一个整体概念，可以从信息系统需要达到的安全目标、面临的安全威胁、攻击手段等方面更全面和深刻地理解。

一般要讨论三方面的内容： 机密性：即只有授权用户或系统才能对被保护的数据进行访问。

完整性：是指数据本身不被未授权的修改、增加和删除等。

可用性：指数据或资源在合法的时候能够被授权的方式进行修改。

2、信息安全的威胁有：截取：是指资源被未授权地访问。

中断：是指将系统中存在的信息或资源抹去或变得不可用。

伪造：是指未授权方假冒其他对象，通常它所假冒的对象是合法对象。

篡改：是指未授权方访问并修改了资源。

3、信息系统安全体系结构：它是一个集合，其中包括与安全相关的各种硬件、软件、实现机制、相关文档和规章制度，以及有关法律法规等。

4、病毒和其他恶意代码：病毒本身不能独立存在，它必须有一个宿主为其提供藏身之所。

病毒的运行也要通过宿主的运行来帮助病毒获得其运行权。

蠕虫是一个独立存在的程序，它不需要宿主，它可以独立进行传播。

蠕虫一般通过网络进行传播。

病毒和蠕虫都可以进行自我复制，而特洛伊木马是不会自我复制的。

5、防火墙：在使用防火墙的时候，关键是对防火墙规则的设置。

6、对物理配线安全主要考察三个方面：授权连接、信号辐射、连接的完整性。

7、无线信道的物理安全：通过加密和授权的方式保障其信道安全。

8、安全管理包括：人员培训规章制度意识领域法律法规第二章信息犯罪1、信息具有哪些鲜明的特征？存在形式的数字化运行方式的网络化传送手段的快速化获取方式的简易化2、信息犯罪：是实施的针对信息载体、信息价值、运行和滥用信息资源的严重危害社会的行为。

3、信息犯罪、网络犯罪、计算机犯罪、电子商务犯罪关系图：4、信息犯罪的特征有哪些？1. 犯罪时间的模糊性2. 犯罪空间的虚拟性3. 犯罪运行的数字性（信息犯罪运行实际上也是二进制字符序列的运行）4. 危害区域的跨越性5. 犯罪现场的复杂性6. 犯罪手段的多样性5、针对信息运行安全的犯罪：刑法第二百八十五条规定：“违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

数字取证技术复习平时成绩：15% 实验成绩：25% 期末考核：60%考试题型：1、单项选择题（每小题 1 分，共 25 分）2、判断题（每小题 1 分，共 15 分）3、填空题（每空 1 分，共 10 分）4、简答题（每小题 6 分，共 36 分）5、综合分析题（14 分）案例基础上一、引言●计算机取证、数字取证、电子取证的概念1．计算机取证是指能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据的确定、收集、保护、分析、归档以及法庭出示的过程。

取证的目的是据此找出入侵者（或入侵的机器），并解释入侵过程。

2．计算机取证的主体对象是计算机系统内与犯罪案例有关的数据信息；数字取证的主体对象是存在于各种电子设备和网络中的数字化的与犯罪案例有关的数据信息；而电子取证的主体对象是指存储的电子化的、能反映有关案件真实情况的数据信息。

●破坏计算机信息系统犯罪1．《刑法》第286条第1款规定：“违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

”2．《全国人民代表大会常务委员会关于维护互联网安全的决定》第1条规定：“为了保障互联网的运行安全，对下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：…（三）违反国家规定，擅自中断计算机网络或者通信服务，造成计算机网络或者通信系统不能正常运行。

”●拖库和撞库1．“拖库”是指黑客入侵有价值的网络站点，把注册用户的资料数据库全部盗走的行为。

2．黑客将得到的数据在其它网站上进行尝试登陆，叫做“撞库”，因为很多用户喜欢使用统一的用户名密码，“撞库”也可以使黑客收获颇丰。

二、基本概念●信息犯罪的概念、特征和内容1．信息犯罪是实施的针对信息载体、信息价值、运行和滥用信息资源的严重危害社会的行为，包括信息载体犯罪、信息运行犯罪、信息内容犯罪和信息价值犯罪。

理器 213、微机感染病毒后，可能造成______ ______。

B. 213、微机感染病毒后，可能造成______。

A.引导扇区数据损坏 B.鼠标损坏 C.内存条物理损坏 D. 显示器损坏 214、 Word中 下列关于项目符号的说法，正确的是______ ______。

214、在Word中，下列关于项目符号的说法，正确的是______。

项目符号式样一旦设置, 项目符号一旦设置, A.项目符号式样一旦设置,便不能改变 B.项目符号一旦设置,便不能取消 C.项目符号只能是特殊字 D.项目符号可以设置, 符,不能是图片 D.项目符号可以设置,也可以取消或改变 215、Word中激活菜单栏的快捷键是______。

中激活菜单栏的快捷键是______ B.F10 C.F6 D.F8 215、Word中激活菜单栏的快捷键是______。

A.F1 216、已知某工作表的E列数据= 已在E 单元格中输入了如下公式= 并用拖动“填充柄” 216、已知某工作表的E列数据=B列+D列，已在E2单元格中输入了如下公式=B2+D2，并用拖动“填充柄” 的方式将该公式复制到了E列的其它单元格，现将鼠标移到E 单元格上，并使它成为活动单元格， 的方式将该公式复制到了E列的其它单元格，现将鼠标移到E4单元格上，并使它成为活动单元格，请问 这时公式编辑区中显示的是______ ______。

这时公式编辑区中显示的是______。

B.=B4+D4 C.显示的F4单元格的政党显示时的数据,即公式=B4+D4的计算结果 D.不能确定 C. 显示的F 单元格的政党显示时的数据, 即公式= A.=B2+D2 217、 的帮助信息，不正确的说法是______ ______。

217、关于 Windows 的帮助信息，不正确的说法是______。

在帮助窗口中,可以通过“目录” 在帮助窗口中,可以通过“索引” A.在帮助窗口中,可以通过“目录”选项卡进行帮助信息的查询 B.在帮助窗口中,可以通过“索引”选 在帮助窗口中,可以通过“搜索” 项卡进行帮助信息的查询 C.在帮助窗口中,可以通过“搜索”选取项卡输入关键字进行帮助信息的查 询 D.右击任意项目可以获得该项的帮助信息 218、 Windows中 下面_______的叙述是正确的。