电子数据取证工作试题
电子数据取证工作试题
1.CPU的中文含义是中央处理器。
2.DOS命令实质上就是一段可执行程序。
3.E01的块数据校验采用CRC算法。
4.E01证据文件分卷大小默认为700M。
5.FAT文件系统中,当用户按Shift+Del删除该文件后,文件已删除,但数据还在,目录项首字节被改为十六进制E5,可用取证大师恢复。
6.FAT文件系统中通常有两个FAT表。
7.Linux系统中常见的文件系统是Ext2/Ext3/Ext4.
8.MBR扇区通常最后两个字节十六进制值为55 AA。
9.Windows记事本不能保存的文本编码为Unicode。
10.Windows中的“剪贴板”是内存中的一个空间。
11.不属于简体中文编码的是Big5.
12.操作系统以扇区(Sector)形式将信息存储在硬盘上,每个扇区包括512个字节的数据和一些其他信息。
13.磁盘经过高级格式化后,其表面形成多个不同半径的同心圆,这些同心圆称为磁道。
14.磁盘在格式化的时候被分为许多同心圆,这些同心圆轨迹由外向内从开始编号。
15.当前大多数硬盘采用的寻址方式为LBA。
16.断电会使原存信息消失的存储器是RAM。
17.关于MBR的描述,错误的是分区表项存在MBR当中。
1.ARAID也称为廉价磁盘冗余阵列或独立磁盘冗余阵列。BRAID0只需要一个硬盘损坏,数据就会丢失。CRAID1只需要一个硬盘损坏,数据就会丢失。DRAID5至少需要三个磁盘来组成。
2.关于U盘的描述,错误的有:A。U盘不是通过磁头来读写数据的。B。U盘不是通过盘片来存储数据的。C。U盘取证需要连接只读锁。D。U盘在高级格式化时不会被划分成许多磁道。
3.关于磁盘分区的说法,错误的是:A。磁盘分区后需要操作系统来存放数据。B。分区是通过低级格式化来实现的。C。分区是通过高级格式化来实现的。D。Windows中同一个分区中只能存放相同文件系统格式的文件。
4.关于回收站文件夹的描述,正确的有:A。回收站文件夹具有系统属性。B。Windows默认不会给U盘创建回收站文件夹。C。回收站文件夹具有隐藏属性。D。回收站文件夹中文件被清空后将不可恢复。
5.关于快捷方式文件,正确的有:A。快捷方式文件的文件扩展名为.lnk。B。快捷方式文件包含了它所指向的目标文件名及其完整路径。C。快捷方式文件包含了它所指向的目标文件的创建时间、最后访问时间和最后修改时间。D。快捷方式文件包含了它所指向的目标文件所存储的卷的卷标信息。
如何恢复回收站清空的文件
6.关于取证大师文件属性过滤的描述,正确的有:A。可以实现“隐藏文件”过滤。B。使用“加密文件”过滤时,必须先执行加密文件分析。C。使用“扩展名不匹配”过滤时,必须先执行文件签名分析。D。可以实现EFS文件过滤。
7.关于日志解析,正确的有:A。取证大师可以进行Windows日志解析。B。取证大师可以进行IIS服务器日志解析。C。Windows日志分为应用程序日志、安全日志和系统日志。D。日志文件不一定放在默认的目录下。
8.关于散列算法的描述,正确的有:A。散列算法即哈希算法。B。散列算法可以用于进行数据完整性一致性校验。C。MD5和SHA1是两种不同的散列算法。D。散列值一般采用十六进制。E。散列算法的输入到输出是不可逆的。
9.关于删除文件恢复,正确的有:A。不是所有删除的文件都可以恢复。B。取证大师支持删除文件查。C。取证大师支持删除文件恢复。D。文件恢复不一定可以恢复所有内容。
10.关于扇区概念的描述,错误的是:A。扇区大小不是默认为4096字节的。B。扇区不是文件系统可寻址的最小单位。C。扇区大小不一定是2的N次方。D。文件不一定存放在连续的扇区中。
三、判断
1.Big5是一种繁体字编码格式。
2.CRC校验算法对字节顺序敏感。
3.E01证据文件只能被EnCase取证软件支持。
4.EnCase提供基于Windows的界面,右边是Case文件的目录结构,左边是用户访问目录的证据文件列表。
5.FAT32文件系统向下兼容NTFS文件系统。
6.IDE接口硬盘支持热插拔。
7.MBR扇区通常最后两个字节的十六进制值为0x55AA。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。