計(jì)算機(jī)取證技術(shù)期末考試

1、一、選擇題（每小題2分，共20分） 1、以下有關(guān)EasyRecovery的說法不正確的是（）A. EasyRecovery在恢復(fù)數(shù)據(jù)時(shí)并不向硬盤寫任何東西，而是在內(nèi)存中鏡像文件的FAT表和目錄區(qū)。B. 使用該軟件時(shí)一定要注意將恢復(fù)出來的數(shù)據(jù)保存在其他的硬盤空間內(nèi)。C. 該軟件能夠?qū)AT和NTFS分區(qū)中的文件刪除、格式化分區(qū)進(jìn)行數(shù)據(jù)恢復(fù)。D. 它主要是對(duì)數(shù)據(jù)進(jìn)行硬件恢復(fù)。2、以下不屬于在數(shù)據(jù)恢復(fù)中需要使用的軟件的是（ ）。A. PC3000 B. FinalData C. Encase D. FixRAR3、以下不屬于電子證據(jù)特點(diǎn)的是（）A. 電子證據(jù)的脆弱性 B. 電子證據(jù)的隱蔽性 C. 電

2、子證據(jù)的不可挽救性 D.電子證據(jù)對(duì)系統(tǒng)的依賴性4、以下不屬于計(jì)算機(jī)取證過程中分析過程的是（）A. 協(xié)議分析 B. 鏡像技術(shù) C. 數(shù)據(jù)挖掘 D. 過程還原5、以下屬于計(jì)算機(jī)取證技術(shù)的發(fā)展趨勢(shì)的是（）A. 動(dòng)態(tài)取證技術(shù) B. 計(jì)算機(jī)取證挖掘算法和柔性挖掘技術(shù) C. 取證工具和過程的標(biāo)準(zhǔn)化 D. 以上都是6、以下關(guān)于硬盤的邏輯結(jié)構(gòu)說法不正確的是（）A. 每個(gè)盤片有兩個(gè)面，這兩個(gè)面都是用來存儲(chǔ)數(shù)據(jù)的。B. 隨著讀寫磁頭沿著盤片半徑方向上下移動(dòng)，每個(gè)盤片被劃分成若干個(gè)同心圓磁道。C. 磁道被劃分成若干個(gè)段，每個(gè)段稱為一個(gè)扇區(qū)。扇區(qū)的編號(hào)是按0,1，順序進(jìn)行的。D. 硬盤柱面、磁道、扇區(qū)的劃分表面上是看

3、不到任何痕跡的。7、以下不屬于文件系統(tǒng)的是（）。A. LINUX B.NTFS C. FAT32 D.EXT28、以下不屬于數(shù)據(jù)分析技術(shù)的是（）。A. 對(duì)已刪除文件的恢復(fù)、重建技術(shù) B. 關(guān)鍵字搜索技術(shù) C. 日志分析 D. 特殊類型文件分析9、以下（）命令可以用來測(cè)試本地主機(jī)的網(wǎng)絡(luò)連接是否通暢。A. traceroute B. ping C. ipconfig D. pslist10、在大多數(shù)黑客案件中，嗅探工具常被用來捕捉通過網(wǎng)絡(luò)的流量以重建諸如上網(wǎng)和訪問網(wǎng)絡(luò)文件等功能，以下（）是這類工具。A. FTK B. sniffer pro C. Quick View Plus D.NTI-DOC

4、二、填空題（每空2分，共40分）1、當(dāng)執(zhí)行刪除文件操作時(shí)，系統(tǒng)做了兩方面的工作：一是將目錄區(qū)中該文件的第一個(gè)字符改為“E6H”來表示該文件已經(jīng)被刪除；二是將文件所占的文件簇在（ ）中對(duì)應(yīng)表項(xiàng)值全部置“0”。 文件分配表2、計(jì)算機(jī)對(duì)硬盤的讀寫是以（ ）為基本單位的；（）是數(shù)據(jù)存儲(chǔ)和磁盤管理的最基本單位。扇區(qū)、簇3、硬盤上的數(shù)據(jù)按照其不同的特點(diǎn)和作用大致可分為5部分：主引導(dǎo)扇區(qū)、操作系統(tǒng)引導(dǎo)扇區(qū)、文件分配表、目錄區(qū)和數(shù)據(jù)區(qū)。其中（）包括硬盤主引導(dǎo)記錄MBR和硬盤分區(qū)表DPT；將（）中起始單元的和FAT表結(jié)合分析可以知道文件在硬盤中的具體位置和大小。主引導(dǎo)扇區(qū)、目錄區(qū)4、操作系統(tǒng)啟動(dòng)分為5個(gè)階段：預(yù)

5、引導(dǎo)階段、引導(dǎo)階段、加載內(nèi)核階段、初始化內(nèi)核階段和登錄。其中（）階段彩色的Windows XP的logo以及進(jìn)度條顯示在屏幕中央。初始化內(nèi)核階段5、Windows的系統(tǒng)的主要日志有應(yīng)用程序日志、系統(tǒng)日志和（）。安全日志6、加密算法主要分為對(duì)稱加密算法和非對(duì)稱加密算法，其中（）加密算法又稱為公鑰加密算法，其公鑰與私鑰是不同的。非對(duì)稱7、（）是一種不可逆的加密算法，它可以說是文件的數(shù)字指紋任何文件經(jīng)過該算法都得到一個(gè)128位獨(dú)一無二的數(shù)字，如果該文件被修改過該值也將改變，以此來校驗(yàn)這個(gè)文件是否被篡改。（）MD58、Windows操作系統(tǒng)下常用的數(shù)據(jù)包截獲技術(shù)主要有兩種方式：（ ）和內(nèi)核層數(shù)據(jù)包截取

6、技術(shù)。用戶層數(shù)據(jù)包截取技術(shù)9、（）是指“通過對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖”。入侵檢測(cè)10、沒有分配給任何卷的可用磁盤空間稱為未分配空間，分配給文件的最后一個(gè)簇中會(huì)有未被當(dāng)前文件占用的剩余空間，這部分空間一般被稱為（）。slack空間11、在電子證據(jù)取證過程中，為了保全證據(jù)通常使用數(shù)字簽名和數(shù)字時(shí)間戳技術(shù)，其中（）用于驗(yàn)證傳送對(duì)象的完整性以及傳送者的身份。數(shù)字簽名12、Internet Explore的訪問歷史記錄關(guān)聯(lián)了三種類型的文件夾：cache、cookies和history，其中（）目錄主要將訪問的網(wǎng)站內(nèi)容保存在本地，以便用戶

7、下一次登錄時(shí)不必再次下載同樣的圖形和網(wǎng)頁文件。這些目錄的共同特點(diǎn)是都具有（）文件，從根本上說針對(duì)IE歷史記錄的分析和取證就是針對(duì)該文件。cache index.dat 1413、（）是Windows系統(tǒng)存儲(chǔ)關(guān)于計(jì)算機(jī)配置信息的數(shù)據(jù)庫，是Windows操作系統(tǒng)的核心。（）可以用來顯示注冊(cè)表的邏輯視圖。注冊(cè)表、注冊(cè)表編輯器14、電子郵件是通過SMTP和（）協(xié)議來進(jìn)行收發(fā)的。POP315、網(wǎng)絡(luò)證據(jù)調(diào)查取證要點(diǎn)有時(shí)間、（）、日志、準(zhǔn)備現(xiàn)場(chǎng)調(diào)查工具。網(wǎng)絡(luò)拓?fù)?6、路由器按功能可以分為（）、企業(yè)級(jí)路由器和接入級(jí)路由器。骨干級(jí)路由器17、（）是從大量的、不完全的、有噪聲的、模糊的、隨機(jī)的數(shù)據(jù)中，提取隱含在其

8、中的、人們事先不知道的、但又是潛在有用的信息和知識(shí)的過程。數(shù)據(jù)挖掘三、判斷題（每小題2分，共20分）1、對(duì)于誤刪除，錯(cuò)誤格式化，硬盤主引導(dǎo)記錄、分區(qū)表或目錄分配表損壞但又沒有用其他數(shù)據(jù)覆蓋這些形式的數(shù)據(jù)，恢復(fù)一般都有效。（）對(duì)2、數(shù)字引動(dòng)設(shè)備主要包括PDA、移動(dòng)硬盤、手機(jī)等。（）錯(cuò)3、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、防火墻都提供了日志功能。（）對(duì)4、惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達(dá)到破壞被感染電腦數(shù)據(jù)。計(jì)算機(jī)病毒、特洛伊木馬、計(jì)算機(jī)蠕蟲等都屬于惡意代碼。（）對(duì)5、證物的完整性驗(yàn)證和和數(shù)字時(shí)間戳都是通過計(jì)算哈希值來實(shí)現(xiàn)的。（）對(duì)6、encase不具備關(guān)鍵字查找功能。（）錯(cuò)7、在進(jìn)行現(xiàn)場(chǎng)勘查的過程中，如果操作系統(tǒng)正在批量下載信息或殺毒，我們不應(yīng)該立即終止這些操作。（）錯(cuò)8、在提取易失性信息的過程中可以使用目標(biāo)系統(tǒng)上的程序?qū)嵤┨崛?。（）錯(cuò)9、計(jì)算機(jī)證物應(yīng)存儲(chǔ)在正常室溫的環(huán)境下，避免遭受濕氣、磁力、灰塵、煙霧、水及油的影響。（）對(duì)10、在linux系統(tǒng)中可以使用kill命令殺死某個(gè)進(jìn)程。（）對(duì)四、簡(jiǎn)答