计算机取证简答题综合题

合集下载

电子数据取证笔试试卷(2)-1

电子数据取证笔试试卷(2)-1

电子数据取证试题说明:考试时间100分钟,满分100分,答案写在答题纸上。

一、单选题(共10题,每题2分,共计20分)1.硬盘作为最常见的计算机存储介质,近几年从容量到性能都有了很大的提高,以下哪种硬盘的理论传输速率最慢?A.SCSIB.IDEC.SASD.SATA2.以下哪种规格是市场上最常见的笔记本硬盘?A. 3.5英寸B. 1.8英寸C. 2.5英寸D.1英寸3.以下哪种规格不是SCSI硬盘的针脚数?A.50B.68C.72D.804.下列哪种接口的存储设备是不支持热插拔的?B接口B.E-SATA接口C.SATA接口D.IDE接口5.下列哪个选项是无法计算哈希值的?A.硬盘B.分区C.文件D.文件夹6.下列文件系统中,哪个是Windows 7系统不支持的?A.exFatB.NTFSC.HFSD.FAT327.下列有关文件的各类时间属性,操作系统是一定不记录的?A.创建时间B.修改时间C.访问时间D.删除时间8.下列哪种不是常见的司法取证中的硬盘镜像格式?A.GhoB.AFFC.S01D.0019.系统日志中某些内容可能对取证有重要意义,比如“事件日志服务启动”通常被视为计算机开机的标志,该事件所对应的事件编号为:A.5005B.5006C.6005D.600610.Encase Forensic是业界文明的司法取证软件,它是下面哪家公司开发的?A.GuidanceB.GetDataC.AccessDataD.PanSafe二、多选题(共10题,每题3分,共计30分)1.通常Windows系统中涉及文件的3个时间属性,M代表Modify,表示最后修改时间;A代表Access,表示最后访问时间;C代表Create,表示创建时间;下列解释错误的是?A.M始终要晚于CB.M、A、C在Linux系统中也适用C.M、A、C时间是不能被任何工具修改的,因此是可信的D.文件的M、A、C时间一旦发生变化,文件的哈希值随之改变2.下列关于对位复制的说法中,不正确的是?A.为了确保目标盘与源盘的一致性,一定要找到与源盘品牌、型号、容量均一致的目标盘进行复制B.为了确保司法取证的有效性,一定要验证目标盘与源盘哈希值的一致性C.为了确保目标盘与源盘的一致性,目标盘的硬盘接口一定要与源盘一致D.当目标盘容量大于源盘时,一定要计算目标盘整盘的哈希值,用于与源盘的哈希值进行比对一致性3.下列关于现场勘验过操作的说法中,不正确的是?A.DD文件是最常用的镜像格式,因为该格式是原始镜像,而且支持高压缩。

计算机证考试试题及答案

计算机证考试试题及答案

计算机证考试试题及答案一、选择题(每题2分,共20分)1. 在计算机中,CPU是指什么?A. 中央处理器B. 中央存储器C. 中央输入设备D. 中央输出设备答案:A2. 下列哪个选项是计算机操作系统的功能?A. 管理计算机硬件资源B. 管理用户数据文件C. 管理网络连接D. 所有选项答案:D3. 以下哪种存储设备属于外部存储设备?A. 内存B. 硬盘C. 光盘D. 所有选项答案:C4. 在计算机科学中,算法的时间复杂度是指什么?A. 算法执行所需的时间B. 算法执行所需的内存空间C. 算法执行过程中的步骤数D. 算法的效率答案:D5. 以下哪个是网页浏览器?A. ChromeB. PhotoshopC. WordD. Excel答案:A6. 计算机病毒是一种什么类型的程序?A. 有益的程序B. 恶意的程序C. 无害的程序D. 教育程序答案:B7. 数据库管理系统(DBMS)的主要功能是什么?A. 存储数据B. 处理数据C. 管理数据D. 所有选项答案:D8. 以下哪个选项是计算机编程语言?A. HTMLB. CSSC. JavaScriptD. 所有选项答案:D9. 在计算机网络中,什么是IP地址?A. 网络设备的物理地址B. 网络设备的逻辑地址C. 网络设备的名称D. 网络设备的端口号答案:B10. 下列哪个选项是计算机硬件的基本组成部分?A. 键盘B. 鼠标C. 显示器D. 所有选项答案:D二、填空题(每题2分,共10分)1. 计算机的五大基本组成部分包括输入设备、输出设备、存储器、_______和外部设备。

答案:中央处理器2. 在计算机中,_______是用来存储程序和数据的部件。

答案:内存3. 计算机软件可以分为系统软件和_______。

答案:应用软件4. 计算机病毒主要通过_______、电子邮件和网络下载等方式传播。

答案:移动存储介质5. 在计算机网络中,_______协议是用于在互联网上进行通信的协议。

全国高考会考计算机短答题真题

全国高考会考计算机短答题真题

全国高考会考计算机短答题真题【全国高考会考计算机短答题真题】一、简答题1. 请简述计算机的五大组成部分及其功能。

计算机的五大组成部分包括:- 输入设备:用于将外部信息输入到计算机中,如键盘、鼠标等。

- 输出设备:将计算机处理的结果输出给用户,如显示器、打印机等。

- 中央处理器(CPU):负责运行和控制计算机的各种操作,包括算术逻辑运算、存取数据等。

- 存储器:用于存储程序和数据,包括主存储器(如内存)和辅助存储器(如硬盘)。

- 控制器:负责解释和执行计算机指令,控制计算机各部分的协调工作。

2. 请简述计算机系统中的操作系统的作用。

操作系统是计算机系统中的核心软件,其作用包括:- 资源管理:管理计算机硬件资源,如内存、CPU、硬盘等,合理分配资源,提高资源利用率。

- 文件管理:管理计算机存储设备上的文件,包括文件的读取、写入、复制、删除等操作。

- 进程管理:管理计算机系统中的各个进程,包括进程的创建、销毁、调度等。

- 用户接口:提供与用户交互的界面,使用户能够方便地使用计算机系统。

- 安全管理:确保计算机系统的安全和稳定运行,防止恶意攻击和数据泄露。

3. 请简述二进制和十进制之间的转换方法。

二进制和十进制是计算机中常用的数值表示方法,二者之间的转换方法如下:- 二进制转十进制:将二进制数的每一位与2的幂相乘,再求和得到其十进制表示。

例如,二进制数1101转换为十进制为1*(2^3) +1*(2^2) + 0*(2^1) + 1*(2^0) = 13。

- 十进制转二进制:将十进制数不断除以2,将余数反向排列,直到商为0。

例如,十进制数13转换为二进制为1101。

4. 请简述计算机网络的分类和特点。

计算机网络根据其覆盖范围可以分为局域网、城域网、广域网等不同类型。

其特点包括:- 资源共享:计算机网络可以实现硬件设备、软件资源的共享,提高资源利用效率。

- 信息交流:计算机网络可以快速、高效地进行信息交流和数据传输。

计算机取证简答题综合题

计算机取证简答题综合题

三、简答题1. 在计算机取证的过程中,不管发生了什么紧急情况,调查者都必须遵循的原则是什么?答:①不要改变原始记录②不要在作为证据的计算机上执行无关的程序③不要给犯罪者销毁证据的机会④详细记录所有的取证活动⑤妥善保存取得的物证2•当Windows系统受到入侵攻击,而需要对系统进行取证分析的操作会引起易失性数据。

主要的易失性数据包括哪些?答:①系统日期和时间②当前运行的活动进程③当前的网络连接④当前打开的端口⑤当前打开的套接字上的应用程序⑥当前登录用户3. Windows系统中初始响应指的是什么?现场数据收集的主要步骤包括哪些?答:1.初始响应指的是收集受害者机器上的易失性数据,并据此进行取证分析的过程2. 现场数据收集包括一下3步:①打开一个可信的命令解释程序②数据收集的准备工作③开始收集易失性数据4. 描述你知道的证据获取技术包括哪些?答:① 对计算机系统和文件的安全获取技术;②避免对原始介质进行任何破坏和干扰;③对数据和软件的安全搜集技术;④对磁盘或其它存储介质的安全无损伤备份技术;⑤对已删除文件的恢复、重建技术;⑥对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术;⑦对交换文件、缓存文件、临时文件中包含的信息的复原技术;⑧计算机在某一特定时刻活动内存中的数据的搜集技术;⑨网络流动数据的获取技术等5. 基本过程模型有哪些步骤?答:①保证安全并进行隔离;②对现场信息进行记录;③全面查找证据;④对证据进行提取和打包;⑤维护证据监督链6. 电子证据与传统证据的区别有哪些?答:①计算机数据无时无刻不在改变;②计算机数据不是肉眼直接可见的,必须借助适当的工具;③搜集计算机数据的过程,可能会对原始数据造成很严重的修改,因为打开文件、打印文件等一般都不是原子操作;④电子证据问题是由于技术发展引起的,因为计算机和电信技术的发展非常迅猛,所以取证步骤和程序也必须不断调整以适应技术的进步。

,谈谈你的看法? 答:6大流程: ① 取容易丢失的信息 ② 冻结硬件 ③ 申请取证 ④ 取证分析 ⑤ 分析报告⑥ 文件归档文件数据一般的隐藏术① 操作系统本身自带功能② 利用FAT 镞大小③ 利用slack 镞④ 利用更高级的工具答:①攻击预防阶段 ② 事件侦测阶段③ 初始响应阶段④ 响应策略匹配7. Windows 系统取证方法的主要流程是什么?答:6大流程:① 取容易丢失的信息② 冻结硬件③ 申请取证④ 取证分析⑤ 分析报告⑥ 文件归档8. 日志分析有哪些?包括什么内容? 答:①操作系统日志分析;② 防火墙日志分析;③ IDS 软件日志分析;④ 应用软件日志分析9. Win dows 2000/XP 安全管理的常用方法有哪些?(至少写出 6个) 答:①创建2个管理员账户② 使用NTFS 分区③ 使用安全密码④ 设置屏保密码⑤ 创建一个陷门帐号⑥ 把administrator 账号改名 四、综合题1. Win dows 系统下取证方法的主要流程是什么?我们文件数据一般的隐藏术有哪些 2•阐述事件响应过程模型执行步骤及其工作内容?事先进行相关培训,并准备好所需的数字取证设备。

计算机简答题试题及答案

计算机简答题试题及答案

计算机简答题试题及答案一、计算机简答题试题及答案1. 什么是计算机病毒?请简述其特点。

答案:计算机病毒是一种恶意软件,它能够自我复制并传播到其他计算机系统上。

其特点包括:(1)隐蔽性,病毒通常隐藏在正常程序中,不易被发现;(2)破坏性,病毒会破坏计算机系统的正常运行,甚至导致数据丢失;(3)传染性,病毒能够通过各种途径传播,如电子邮件、移动存储设备等;(4)潜伏性,病毒可能会在系统中潜伏一段时间,等待触发条件后发作。

2. 请简述云计算的基本概念及其优势。

答案:云计算是一种通过互联网提供计算资源(如服务器、存储、数据库、网络、软件等)的服务模式。

用户可以根据需要获取这些资源,而无需自己构建和维护基础设施。

云计算的优势包括:(1)成本效益,用户只需为实际使用的资源付费,无需前期投资;(2)可扩展性,资源可以根据需求动态调整;(3)灵活性,用户可以随时随地访问云服务;(4)可靠性,云服务提供商通常提供高可用性和数据备份。

3. 什么是数据库管理系统(DBMS)?它有哪些主要功能?答案:数据库管理系统(DBMS)是一种软件,用于创建和管理数据库。

它允许用户存储、检索和管理数据。

DBMS的主要功能包括:(1)数据定义,定义数据的结构和关系;(2)数据操纵,提供查询、更新、删除和插入数据的能力;(3)数据控制,确保数据的安全性和完整性;(4)事务管理,支持并发控制和恢复机制,以保证数据的一致性。

4. 请简述人工智能(AI)的发展历程。

答案:人工智能(AI)的发展历程可以分为几个阶段:(1)诞生阶段(20世纪50年代),AI的概念首次被提出,主要研究逻辑推理和问题求解;(2)黄金时代(20世纪60-70年代),AI技术取得显著进展,出现了专家系统等应用;(3)低谷期(20世纪80年代),由于技术限制和过高的期望,AI发展遭遇瓶颈;(4)复兴期(20世纪90年代至今),随着计算能力的提升和大数据的出现,AI技术再次取得突破,深度学习、机器学习等技术成为研究热点。

2022年职业考证-软考-信息安全工程师考试全真模拟易错、难点剖析B卷(带答案)第26期

2022年职业考证-软考-信息安全工程师考试全真模拟易错、难点剖析B卷(带答案)第26期

2022年职业考证-软考-信息安全工程师考试全真模拟易错、难点剖析B卷(带答案)一.综合题(共15题)1.单选题计算机取证是指能够为法庭所接受的、存在于计算机和相关设备中的电子证据的确认、保护、提取和归档的过程。

以下关于计算机取证的描述中,不正确的是()。

问题1选项A.为了保证调查工具的完整性,需要对所有工具进行加密处理B.计算机取证需要重构犯罪行为C.计算机取证主要是围绕电子证据进行的D.电子证据具有无形性【答案】A【解析】本题考查计算机取证技术相关知识。

计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。

计算机取证是指运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据,也就是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示。

从技术上讲,计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。

因此计算机取证并不要求所有工具进行加密处理。

故本题选A。

点播:调查工具需确保其完整性,要在合法和确保安全的机器上制作这些工具盘,并且还需要制作出所有程序的文件散列值(如 MD5、 SHA)校验列表。

以便于事后在必要时(如在法庭上)证明所使用取证工具的合法性和唯一性。

同样,对初始收集到的电子证据也应该有文件散列值记录,必要时可以采用多种散列值,以确保证据的完整性。

计算机取证主要是围绕电子证据进行的,电子证据具有高科技性、无形性和易破坏性等特点。

计算机取证可归纳为以下几点:是一门在犯罪进行过程中或之后收集证据的技术;需要重构犯罪行为;将为起诉提供证据;对计算机网络进行取证尤其困难,且完全依靠所保护的犯罪场景的信息质量。

其目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。

2.单选题在安全评估过程中,采取()手段,可以模拟黑客入侵过程,检测系统安全脆弱性。

问题1选项A.问卷调查B.人员访谈C.渗透测试D.手工检查【答案】C【解析】本题考查安全评估方面的基础知识。

计算机证书考试题目及答案

计算机证书考试题目及答案

计算机证书考试题目及答案在计算机领域中,获得相关的证书是评估和证明某人技能和知识的有效方式。

计算机证书考试题目及答案的准备工作对于考生来说至关重要。

本文将为您提供一些常见的计算机证书考试题目及答案,帮助您更好地准备考试。

第一部分:计算机基础知识1. 以下哪种是二进制数字系统的基本数字?答案:0和12. 什么是CPU的功能?答案:中央处理器,用于执行计算机程序的指令和处理数据。

3. 什么是RAM的全称?答案:随机访问存储器(Random Access Memory)4. 请解释什么是操作系统?答案:操作系统是计算机系统中的核心软件,负责管理和协调计算机硬件和软件之间的交互。

第二部分:常见的计算机软件知识5. 请列举三种常见的操作系统。

答案:Windows、Mac OS、Linux6. 什么是Microsoft Office套件?答案:Microsoft Office是由Microsoft开发的办公软件套件,包括常用的Word、Excel和PowerPoint等应用程序。

7. 请解释什么是网络浏览器?答案:网络浏览器是一种用于访问互联网上网页的应用程序,例如Google Chrome、Mozilla Firefox和Microsoft Edge等。

第三部分:网络和互联网知识8. 什么是IP地址?答案:IP地址是用于在网络上唯一标识设备的一组数字。

9. 请解释什么是URL?答案:URL是统一资源定位符,是用于定位和访问互联网上资源的地址。

10. 什么是HTTP和HTTPS?答案:HTTP是超文本传输协议,而HTTPS是通过加密保护数据传输的安全HTTP协议。

第四部分:编程和数据库知识11. 请列举三种常见的编程语言。

答案:Java、Python和C++等。

12. 请解释什么是SQL数据库?答案:SQL数据库是结构化查询语言数据库,用于存储和管理结构化数据。

13. 请解释什么是循环语句?答案:循环语句是编程中的一种结构,允许程序多次执行相同的代码块,直到满足退出条件。

电子数据取证工作试题

电子数据取证工作试题

电子数据取证工作试题1.CPU的中文含义是中央处理器。

2.DOS命令实质上就是一段可执行程序。

3.E01的块数据校验采用CRC算法。

4.E01证据文件分卷大小默认为700M。

5.FAT文件系统中,当用户按Shift+Del删除该文件后,文件已删除,但数据还在,目录项首字节被改为十六进制E5,可用取证大师恢复。

6.FAT文件系统中通常有两个FAT表。

7.Linux系统中常见的文件系统是Ext2/Ext3/Ext4.8.MBR扇区通常最后两个字节十六进制值为55 AA。

9.Windows记事本不能保存的文本编码为Unicode。

10.Windows中的“剪贴板”是内存中的一个空间。

11.不属于简体中文编码的是Big5.12.操作系统以扇区(Sector)形式将信息存储在硬盘上,每个扇区包括512个字节的数据和一些其他信息。

13.磁盘经过高级格式化后,其表面形成多个不同半径的同心圆,这些同心圆称为磁道。

14.磁盘在格式化的时候被分为许多同心圆,这些同心圆轨迹由外向内从开始编号。

15.当前大多数硬盘采用的寻址方式为LBA。

16.断电会使原存信息消失的存储器是RAM。

17.关于MBR的描述,错误的是分区表项存在MBR当中。

1.ARAID也称为廉价磁盘冗余阵列或独立磁盘冗余阵列。

BRAID0只需要一个硬盘损坏,数据就会丢失。

CRAID1只需要一个硬盘损坏,数据就会丢失。

DRAID5至少需要三个磁盘来组成。

2.关于U盘的描述,错误的有:A。

U盘不是通过磁头来读写数据的。

B。

U盘不是通过盘片来存储数据的。

C。

U盘取证需要连接只读锁。

D。

U盘在高级格式化时不会被划分成许多磁道。

3.关于磁盘分区的说法,错误的是:A。

磁盘分区后需要操作系统来存放数据。

B。

分区是通过低级格式化来实现的。

C。

分区是通过高级格式化来实现的。

D。

Windows中同一个分区中只能存放相同文件系统格式的文件。

4.关于回收站文件夹的描述,正确的有:A。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

三、简答题
1.在计算机取证的过程中,不管发生了什么紧急情况,调查者都必须遵循的原则是什么答:①不要改变原始记录
②不要在作为证据的计算机上执行无关的程序
③不要给犯罪者销毁证据的机会
④详细记录所有的取证活动
⑤妥善保存取得的物证
2•当Windows系统受到入侵攻击,而需要对系统进行取证分析的操作会引起易失性数据。

主要的易失性数据包括哪些
答:①系统日期和时间②当前运行的活动进程
③当前的网络连接④当前打开的端口
⑤当前打开的套接字上的应用程序⑥当前登录用户
系统中初始响应指的是什么现场数据收集的主要步骤包括哪些
答:1.初始响应指的是收集受害者机器上的易失性数据,
并据此进行取证分析的过程
2.现场数据收集包括一下3步:
①打开一个可信的命令解释程序
②数据收集的准备工作
③开始收集易失性数据
4.描述你知道的证据获取技术包括哪些
答:① 对计算机系统和文件的安全获取技术;
②避免对原始介质进行任何破坏和干扰;
③对数据和软件的安全搜集技术;
④对磁盘或其它存储介质的安全无损伤备份技术;
⑤对已删除文件的恢复、重建技术;
⑥对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术;
⑦对交换文件、缓存文件、临时文件中包含的信息的复原技术;
⑧计算机在某一特定时刻活动内存中的数据的搜集技术;
⑨网络流动数据的获取技术等
5.基本过程模型有哪些步骤
答:①保证安全并进行隔离;
②对现场信息进行记录;
③全面查找证据;
④对证据进行提取和打包;
⑤维护证据监督链
6.电子证据与传统证据的区别有哪些
答:①计算机数据无时无刻不在改变;
②计算机数据不是肉眼直接可见的,必须借助适当的工具;
③搜集计算机数据的过程,可能会对原始数据造成很严重的修改,因为打开文件、打印文
件等一般都不是原子操作;
④电子证据问题是由于技术发展引起的,
因为计算机和电信技术的发展非常迅猛,
所以取证步骤和程序也必须不断调整以适应技术的进步。

7.Windows系统取证方法的主要流程是什么
答:6大流程:
①取容易丢失的信息
②冻结硬件
③申请取证
④取证分析
⑤分析报告
⑥文件归档
8.日志分析有哪些包括什么内容
答:①操作系统日志分析;
②防火墙日志分析;
③IDS软件日志分析;
④应用软件日志分析
9.Win dows 2000/XP 安全管理的常用方法有哪些(至少写出6个)
答:①创建2个管理员账户
②使用NTFS分区
③使用安全密码
④设置屏保密码
⑤创建一个陷门帐号
⑥把administrator 账号改名四、综合题
1. Win dows系统下取证方法的主要流程是什么我们文件数据一般的隐藏术有哪些看法
④取证分析④利用更高级的工具
⑤分析报告
⑥文件归档
2•阐述事件响应过程模型执行步骤及其工作内容
②事件侦测阶段:识别可疑事件。

③初始响应阶段:证实攻击事件己经发生,须尽快收集易丢失的证据
④响应策略匹配:依据现有的经验确定响应策略。

⑤备份:产生系统备份
⑥调查:调查系统以便识别攻击者身份、攻击手段及攻击过程。

⑦安全方案实施:对被侦察的系统进行安全隔离。

⑧网络监控:监视网络以便识别攻击。

⑨恢复:将系统恢复到初始状态,并合理设置安全设施。

⑩报告:记录相应的步骤及补救的方法。

11.补充:对响应过程及方法进行回顾审查,并进行适当的调整
3.简述硬盘的结构与数据组织,写出一般文件的删除与恢复方法
答:①硬盘的结构主要分为物理结构和逻辑结构,
它的工作原理主要利用电、磁转换实现的,
硬盘的物理结构只要包括:盘片、磁头、盘片主轴、控制电机、
磁头控制器、数据转化器、接口、缓存等几个部分。

在逻辑结构中,
因为硬盘有很多的盘片组成,每个盘片被划分为若干个同心圆,
称为磁道,所有的盘片都固定在一个旋转抽上,这个轴即盘片主轴, 硬盘上的数据按照其不同的特点和作用大致可分为5部分:
MBR区、DBR区、FAT区、DIR区和DATA区。

其中,MBR区由分区软件创建,
而DBR区、DBR区、FAT区、DIR区和DATA区由高级格式化程序创建。

,谈谈你的
答:6大流程:
①取容易丢失的信息
②冻结硬件
③申请取证文件数据一般的隐藏术
①操作系统本身自带功能
②利用FAT镞大小
③利用slack镞
答:①攻击预防阶段:事先进行相关培训,并准备好所需的数字取证设备。

②删除方法平时使用的!!
③windows系统操作中,文件的删除分为逻辑删除和物理删除,
逻辑删除就是以上提到文件删除到回收站,
而物理删除是相当于清完回收站,这时windows设法还原,需要工具,工作原理就是利用硬盘灯数据组织在内存中重建数据。

4.在Windows系统下的文件删除与恢复的操作是什么
答:和3答题②③一致
5.计算机取证模型有哪些分别阐述其特点
答:计算机取证模型包括:
①基本过程模型;
②事件响应模型;
③法律执行过程
④过程抽象模型
⑤多维计算机取证。

相关文档
最新文档