【计算机取证期末复习题】单选
计算机取证是将计算机调查和分析技术应⽤于对潜在的,有法律效⼒的证据的确定与提取。以下关于计算机取证的描述中,错误的是( )。
A.计算机取证包括保护⽬标计算机系统、确定收集和保存电⼦证据,必须在开机的状态下进⾏
B.计算机取证围绕电⼦证据进⾏,电⼦证据具有⾼科技性、⽆形性和易破坏性等特点
C.计算机取证包括对以磁介质编码信息⽅式存储的计算机证据的保护、确认、提取和归档
D.计算机取证是⼀⻔在犯罪进⾏过程中或之后收集证据的技术
答案:A
计算机取证的合法原则是:()
A.计算机取证的⽬的是获取证据,因此⾸先必须确保证据获取再履⾏相关法律⼿续
B.计算机取证在任何时候都必须保证符合相关法律法规
C.计算机取证只能由执法机构才能执⾏,以确保其合法性
D.计算机取证必须获得执法机关的授权才可进⾏以确保合法性原则
答案:B
计算机取证的合法原则不包括()
A 主体合法:合法调查⼈员、具有法定资格、“有案在册”的计算机取证专家
B 对象合法:只有被怀疑与案件事实有关联的信息,才能作为被取证调查的对象;调查取证时,电⼦设备的所有⼈、权利⼈应该在场
C ⼿段合法:符合技术操作规范,使⽤的⼯具和程序必须通过国家有关主管部⻔的评测
D 时间合法:应在适当的时间取证,计算机取证的合法原则包括:主题合法、对象合法、⼿段合法、过程合法
答案:D
E01 是取证分析⼯具 EnCase 的⼀个证据⽂件格式,⽂件的每个字节都经过 32 位的()校验,这使得证据被篡改的可能性⼏乎为 0
A CRC 算法
B MD5 算法
C SHA-1 算法
D SHA-2 算法
答案:A
数据克隆是计算机证据固定和保全的三⼤技术之⼀,下⾯有关数据克隆的描述,不正确的是。
A. ⼀种“位对位”全盘镜像,将源盘信息按位 1:1 复制,但删除的⽂件⽆法克隆
B.在除了磁盘中的数据,还包括删除的⽂件、未分配空间、打印缓冲区、数据残留共和⽂件碎⽚等
C.在使⽤数据克隆设备进⾏克隆时,⾃动⽣成⽇志和指纹,实现检材的完整性
D.在进⾏数据克隆时,⼀般⽀持⽬标盘⾃动擦除、坏扇区智能处理,并可按数据块进⾏指纹验证克隆检材硬盘中的内容会在克隆硬盘中完全反应出来,不会丢失、遗漏、也不会被修改,包括被删除的⽂件、未分配空间、打印缓冲区、数据残留区和⽂件碎⽚等。
答案:A
FAT ⽂件系统中,当⽤户 按 Shift+Del 删除该⽂件后, 以下描述正确的是?
A ⽂件已经彻底从硬盘中删除
B ⽂件已删除, 但⽂件内容⾸字节被改为⼗六进制 E5
C 还在回收站中, 可⽤取证⼤师恢复
D ⽂件已删除, 但是数据还在, ⽬录项⾸字节被改为⼗六进制 E5
答案:D
Linux 系统中常⻅的⽂件系统是()
A Ext2/Ext3/Ext4
B NTFS
C FAT32
D CDFS
答案:A
MBR 扇区通常最后两个字节⼗六进制值为(编码次序不考虑)
A AA 11
B 11 FF
C 55 AA
D 66 BB
答案:C
Windows 记事本不能保存的⽂本编码为
A ANSI
B RTF
C Unicode
D UTF-8
答案:B
Windows 中的“剪贴板”是。
A ⼀个应⽤程序
B 磁盘上的⼀个⽂件
C 内存中的⼀个空间
D ⼀个专⽤⽂档
答案:C
第4/35⻚
下列 ()不是计算机证据的优点。
A 可被精确复制
B 容易鉴别证据原件和当前电⼦证据之间是否有变化或关联
C 完全销毁电⼦证据⽐较困难
D 容易取证和鉴定
答案:D
不属于简体中⽂编码的是
A Big5
B UFT-8
C Unicode
D GB2312
答案:A
操作系统以扇区(Sector) 形式将信息存储在硬盘上, 每个扇区包括() 个字节的数据和⼀些其他信息。
A 64
B 32
C 58
D 512
答案:D
磁盘经过⾼级格式化后, 其表⾯形成多个不同半径的同⼼圆, 这些同⼼圆称为。
A 磁道
B 扇区
C 族
D 磁⾯
答案:A
断电会使原存信息消失的存储器是。
A RAM
B 硬盘
第5/35⻚
C ROM
D U 盘
答案:A
《刑法》第六章第 285、286、287 条对计算机犯罪的内容和量刑进⾏了
明确的规定,以下()不是其中规定的罪⾏。
A ⾮法侵⼊计算机信息系统罪
B 破坏计算机信息系统罪
C 利⽤计算机实施犯罪
D 国家重要信息系统管理者玩忽职守罪
答案:D
关于 MBR 的描述, 错误的是()
A MBR ⼜称主引导记录
B 分区表项存在 MBR 当中
C MBR 中分区表可以记录多于 4 个分区的信息
D MBR 中分区表有 64 字节⼤⼩
答案:C
关于 MD5 算法说法错误的是
A 哈希算法就是 MD5 算法
B MD5 算法可以⽤于验证数据的完整性
C MD5 算法是不可逆的
D MD5 算法可⽤于加密
答案:A
关于 NTFS ⽂件系统的描述, 错误的是
A NTFS ⽀持磁盘配额
B NTFS 也使⽤簇作为⽂件存储的最⼩分配单位
C NTFS 采⽤ MFT 表记录对象名称
D 删除⽂件时, 其实际数据被清除
答案:D
第6/35⻚
下⾯有关 Linux 取证的描述,()是错误的。
A 在对内存和硬盘制作镜像前,⾸先⽤ mount 命令把设备挂载到某⼀⽬录
下
B 使⽤ who 命令可查看正在运⾏的进程及运⾏状态
C 使⽤ netstat 命令可使取证⼈员获知哪些⽹络连接正在运作,哪些服务或应⽤在哪些端⼝运⾏。
D /var/log/lastlog 是 Linux ⽇志⼦系统的关键⽂件,记录了最近成功登录的事件和最后⼀次不成功登录的事件
答案:B
⽊⻢的隐藏不包括()
A.⽊⻢⽂件隐藏
B.⽊⻢⾃启动隐藏
C.⽊⻢通信隐藏
D.⽊⻢结果隐藏
答案:D
关于 SATA 的错误描述是
A SATA ⽀持串⾏数据传输
B SATA 不⽀持热插拔
C SATA 接⼝最⼤传输速率⽐ IDE 快
D 平展开的 SATA 数据线⽐平展开的 IDE 数据线更窄
答案:B
以下有关 EasyRecovery 的说法不正确的是()
A. EasyRecovery 在恢复数据时并不向硬盘写任何东⻄,⽽是在内存中对
⽂件的 FAT 表和⽬录进⾏操作,避免因再次写硬盘⽽造成新的数据破坏。
B. 使⽤该软件时⼀定要注意将恢复出来的数据保存在其他的硬盘空间内。
C. 该软件能够对 FAT 和 NTFS 分区中的⽂件删除、格式化分区进⾏数据恢复。
第7/35⻚
D. 它主要是对数据进⾏硬件恢复。
答案:D
以下不属于电⼦证据特点的是()
A. 电⼦证据的脆弱性
B. 电⼦证据的隐蔽性
C. 电⼦证据的不可挽救性
D.电⼦证据对系统的依赖性
答案:C
以下不属于计算机取证过程中分析过程的是()
A. 协议分析
B. 镜像技术
C. 数据挖掘
D. 过程还原
答案:B
以下属于计算机取证技术的发展趋势的是()
A. 动态取证技术
B. 计算机取证挖掘算法和柔性挖掘技术
C. 取证⼯具和过程的标准化
D. 以上都是
答案:D
下⾯有关 MBR 分区的描述,不正确的是()
A MBR 的最前⾯ 446 字节为主引导记录,安装引导加载程
B 主引导记录后⾯是 128 字节 EBR 信息
C 主引导记录后⾯是 64 字节主分区表,MBR 只能有 4 个主分区,或者 3
个主分区,⼀个扩展分区
D MBR 分区的最后是 2 字节 55AA 结束标志,它是磁盘的有效标志,如果缺失,会导致系统⽆限次重启
答案:B
第8/35⻚
以下关于硬盘的逻辑结构说法不正确的是()
A. 每个盘⽚有两个⾯,这两个⾯都是⽤来存储数据的。
B. 随着读写磁头沿着盘⽚半径⽅向上下移动,每个盘⽚被划分成若⼲个同
⼼圆磁道。
C. 磁道被划分成若⼲个段,每个段称为⼀个扇区。扇区的编号是按
0,1,……顺序进⾏的。
D. 硬盘柱⾯、磁道、扇区的划分表⾯上是看不到任何痕迹的。
答案:C
以下不属于⽂件系统的是()。
A. LINUX
B.NTFS
C. FAT32
D.EXT2
答案:A
以下不属于数据分析技术的是()。
A. 对已删除⽂件的恢复、重建技术
B. 关键字搜索技术
C. ⽇志分析
D. 特殊类型⽂件分析
答案:A
提取磁盘/分区镜像时,以下做法不妥的是()
A.在该磁盘/分区读写过程中提取
B.对⽬标磁盘/分区卸载或挂载为只读
C.使⽤ dd 提取镜像的时候遇到读取错误时,忽略该错误⽽不停⽌拷⻉⾏为
D.为防⽌本地空间不够,可以使⽤ netcat 远程提取镜像
答案:A
在⼤多数⿊客案件中,嗅探⼯具常被⽤来捕捉通过⽹络的流量以重建诸如上⽹和访问⽹
第9/35⻚
络⽂件等功能,以下()是这类⼯具。
A. FTK
B. sniffer pro
C. Quick View Plus
D.NTI-DOC
答案:B
下列哪个选项是⽆法计算哈希值的?
A. 硬盘
B. 分区
C. ⽂件
D. ⽂件夹
答案:D
下列⽂件系统中,哪个是 Windows 7 系统不⽀持的?
A. exFat
B. NTFS
C. HFS
D. FAT32
答案:C
下列有关⽂件的各类时间属性,操作系统是⼀定不记录的?
A. 创建时间
B. 修改时间
C. 访问时间
D. 删除时间
答案:D
下列哪种不是常⻅的司法取证中的硬盘镜像格式?
A. Gho
B. AFF
C. S01
D. 001
答案:D
第10/35⻚
NetworkMiner 嗅探抓取的信息不包括以下哪项( )。
A. IP 地址
B. DNS 解析
C. 系统 C 盘⽂件列表
D. Mac 地址
答案:C
UNIX 下误删除⽂件恢复⼯具不包括()。
A.Toolkit
B.extundelete
C.debugfs
D.lsof
答案:A
下列属于 Windows 7 系统中虚拟内存对应的⽂件是?()
A. hiberfil.sys
B. pagefile.sys
C. virtualmem.sys
D. config.sys
答案:B
下⾯哪种类型的数据不属于易失性数据?()
A. 内存
B. 未分配簇
C. 运⾏的服务
D. 未打开的图⽚
答案:D
计算机对硬盘的读写基本单位、数据存储和磁盘管理的最基本单位分别是__。
A.扇区 簇
B.簇 扇区
C.扇区 柱⾯
D.簇 磁道
第11/35⻚
答案:A
()是 Windows 系统存储关于计算机配置信息的数据库,是 Windows 操
作系统的核⼼。
A.⽇志
B.注册表
C.系统⽬录
D.系统进程
答案:B
有关⽊⻢取证的描述,错误的是()
A.⽊⻢取证的⽬的是找出⽊⻢的全部功能、追踪⽊⻢的作者、⽊⻢的使⽤
者
B.可以通过⽂件扩展名、摘要、作者名、软件注册码判断数据来⾃某⼀个
软件及其作者
和产⽣时间
C.⽊⻢⼀般通过把⾃⼰注⼊某些常⽤进程达到隐藏的⽬的
D.驱动级⽊⻢在正常模式下对于注册表的改动⽆法观测到,但⽊⻢释放⽂
件可以观测到
答案:D
Linux 下误删除⽂件恢复⼯具不包括()
A.Toolkit
B.extundelete
C.debugfs
D.lsof
答案:A
对于电⼦证物的处理,()操作是错误的。
A.⼿机运送过程中尽可能屏蔽⼿机信号
B.不要随便给电脑进⾏开机和关机操作
C.要记录线缆以及线缆和主机的连线⽅式
D.电⼦证物只要注意防潮防震就⾏了
第12/35⻚
答案:D
E01 的块数据校验采⽤()
A.CRC 算法
B.MD5 算法
C.SHA-1 算法
D.⼆进制反码运算
答案:A
NetworkMiner 嗅探抓取的信息不包括 。
A.IP 地址
B.DNS 解析
C.系统 C 盘⽂件列表
D.Mac 地址
答案:C
在⼿机取证时,SIM 卡是重要的证据来源。SIM 卡能够存储的数据不包括__。
A.SIM 卡⽣产⼚商写⼊的原始数据,包括⽤户识别码、认证算法、加密算法等
B.⽤户⾃已存⼊的数据,如短消息、话费记录、性能参数等
C.⽤户⽤卡过程⾃动存⼊的⽹络接续和⽤户信息数据,如最近⼀次位置登记时⼿机所在位置识别号
D.⼿机中的应⽤程序
答案:D
判断
Big5 是繁体字的⼀种编码格式
答案:对
CRC 校验算法是字节顺序敏感的
答案:对
E01 证据⽂件只能被 EnCase 取证软件所⽀持
第13/35⻚
答案:错
FAT32 ⽂件系统向下兼容 NTFS ⽂件系统
答案:错
IDE 接⼝ 硬盘可以⽀持热插拔
答案:错
MBR 扇区通常最后两个字节⼗六进制值为 0x55AA
答案:对
RAID5 磁盘阵列需要⾄少三块硬盘
答案:对
Shift+Del 删除的⽂件是不可以恢复的
答案:错
Windows Server 2008 的关机时要通过正常⽅式关机
答案:对
磁盘是计算机的重要外设, 没有磁盘, 计算计就不能运⾏。
答案:错
格式化操作不会破坏磁盘的信息。
答案:错
计算机证据的分析主要分为对主机数据的分析和对⽹络数据的分析。
答案:对
计算机证据的鉴定, 就是针对收集和保全的计算机数据进⾏可信性的证
明。
答案:对
电⼦证据是指法庭上可能成为证据的以⼆进制形式存储或传送的信息。
答案:对
第14/35⻚
未分配空间⼀般没有什么内容, 对取证分析意义不⼤
答案:错
⽂本样式的编码设置得不合理会导致查看的⽂本为乱码
答案:对
⽂件逻辑⼤⼩可以⼤于其物理⼤⼩
答案:错
相同⽂件系统下单个扇区容量会⽐簇的容量⼤
答案:错
对于误删除,错误格式化,硬盘主引导记录、分区表或⽬录分配表损坏但
⼜没有⽤其他
数据覆盖这些形式的数据,恢复⼀般都有效。
答案:对
数据库系统、⽹络服务器、防⽕墙都提供了⽇志功能。
答案:对
恶意代码是⼀种程序,它通过把代码在不被察觉的情况下镶嵌到另⼀段程
序中,从⽽达
到破坏被感染电脑数据。计算机病毒、特洛伊⽊⻢、计算机蠕⾍等都属于
恶意代码。
答案:对
证物的完整性验证和和数字时间戳都是通过计算哈希值来实现的。
答案:对
在进⾏现场勘查的过程中,如果操作系统正在批量下载信息或杀毒,我们不应该⽴即终⽌这些操作。
答案:错
在提取易失性信息的过程中可以使⽤⽬标系统上的程序实施提取。
第15/35⻚
答案:错
计算机证物应存储在正常室温的环境下,避免遭受湿⽓、磁⼒、灰尘、烟雾、⽔及油的影响。
答案:对
在 linux 系统中可以使⽤ kill 命令杀死某个进程。
答案:对
Linux 中的⽇志等级 none 表示不记录任何信息
答案:对
⼿机取证时⼀般将⼿机调成⻜信模式再进⾏取证。
答案:对
计算机仿真取证技术可以很⼤程度上弥补传统静态取证证据获取能⼒的不
⾜。
答案:错
开机状态下 Windows 的⽤户密码信息是以明⽂形式保存在注册表中的。
答案:错
现场勘验时可以通过 PE ⼯具直接清除 windows 密码后进⾏开机取证。
答案:错
对⼿机取证时应保证待检测⼿机的数据、信号畅通,以便及时接受到最新
的证据。
答案:错
iPhone ⼿机微信中获取的语⾳⽂件属于证据形式中的声像资料,⽽不是
电⼦数据。
答案:错
在进⾏硬盘克隆(对位复制)前必须对⽬标盘进⾏擦除。
第16/35⻚
答案:对
Aff 与 E01 格式⽀持镜像压缩,可根据实际需求选择压缩⽐,减少⽂件占⽤的空间与镜像制作的时间。
答案:对
Linux 系统主要⽇志有应⽤程序⽇志、系统⽇志和安全⽇志。
答案:错
计算机取证只能由调查⼈员对原始存储介质进⾏备份,同时,备份过程应由嫌疑⼈、被害⼈或在场⼈共同确认,以免⽇后对证据的可采性滋⽣争议。
答案:错
在电⼦证据取证过程中,为了保全证据通常使⽤数字签名和数字时间戳技术。其中数字签名⽤于验证传送对象的完整性以及传送者的身份,时间戳可以证明数字证据在特定的时间和⽇期是存在的,且从该时刻到出庭这段时间不曾被修改过。
答案:对
注册表⼯具 Autoruns 具有全⾯⾃启动程序检测功能,找出那些被在系统启动和登录期间⾃运⾏的程序。
答案:对
计算机证据具有多样性、电⼦性、准确性、脆弱性和挥发性特点。
答案:错
在⼿机取证时,不要随便对⼿机进⾏开机和关机操作,同时应采⽤屏蔽措施阻⽌⼿机与外界通信。
答案:对
第17/35⻚
内存取证⼯具 Volatility 只能⽤于 Windows 平台,它可以从运⾏进程、⽹络套接字、⽹络连接、DLL 和注册表配置单元中提取信息。
答案:错
⼀般情况下,源盘⽣成的 E01 镜像,占⽤的空间⼩于同⼀块盘⽣成的 DD镜像。
答案:错
Linux ⽇志配置⽂件为/etc/rsyslog.conf,它设置了⽇志记录的具体规则和具体位置。
答案:对
⽹络取证中,⽂件的时间属性对于还原事件发⽣的真实次序⾮常重要。⽂件下载时,⽂件创建时间为开始下载时间,⽂件修改时间为下载结束时间
答案:错
多选
E01 ⽂件能够提供的功能有()
A 压缩功能
B 哈希值功能
C 密码保护功能
D 提供元⽂件信息
答案:A,B, D
有关 E01 ⽂件描述正确的有()
A 取证分析⼯具 EnCase 的⼀个证据⽂件格式
B 包含⽂件头、校验值和数据块
C 密码保护功能
D 提供元⽂件信息
答案:A,B, D
E01 是取证分析⼯具 EnCase ⽀持的⼀种证据⽂件格式,该⽂件除了包括证据数据外,还包括()等元数据
第18/35⻚
A 调查⼈员
B 调查地点
C 调查机构
D 备注
答案:A,B,C,D
IE 上⽹记录包括()
A 缓存记录
B 历史记录
C Cookies 记录
D IE 地址栏记录
答案:A,B,C,D
MBR 中包含的信息有()
A 卷引导记录
B EBR 信息
C 主分区表
D 55AA 的签名标识
答案:A,C,D
调查取证当中的做法, 错误的有()
A 在嫌疑⼈硬盘上安装取证软件进⾏取证
B 先打开只读锁电源,再连接硬盘
C 只读锁使⽤完毕后,先取⾛硬盘,再关闭电源
D 现场嫌疑⼈电脑处于开机状态,应当⽴即关机
E 硬盘复制机要接上只读锁再连接嫌疑⼈硬盘
答案:ABCDE
对于电⼦证物的处理那些操作是正确的()
A ⼿机运送过程中尽可能屏蔽⼿机信号
B 开机状态的计算机要⽴即关机
C 要记录线缆以及线缆和主机的连线⽅式
D 电⼦证物只要注意防潮防震就⾏了
答案:A, C
第19/35⻚
对于取证相关原理的描述, 错误的有()
A 相同内容的 word ⽂档与 txt ⽂档,其 HASH 值是不⼀样的
B 通过 HASH 值可以反推出源⽂件的内容
C RAID 0 在存储数据时, 同时备份数据
D 硬盘复制机的复制速度可以突破接⼝的理论最⼤速度
E FAT32 ⽀持磁盘配额
答案:A,B,C,D、E
⾼级格式化的作⽤包括()
A 建⽴扇区
B 为硬盘创建⽂件系统
C 为硬盘划分磁道
D 对扇区进⾏分区内的编号
答案:B,D
关于 RAID 的描述, 正确的有()
A RAID ⼜称廉价磁盘冗余阵列或独⽴磁盘冗余阵列
B RAID0 中只要⼀个硬盘损坏, 数据将丢失
C RAID1 中只要⼀个硬盘损坏, 数据将丢失
D RAID5 ⾄少要由 3 个磁盘组成
答案:A,B,D
关于 U 盘的描述, 错误的有()
A U 盘⾥头通过磁头来读写数据
B U 盘⾥头通过盘⽚来存储数据
C U 盘取证不需要连接只读锁
D U 盘在⾼级格式化时被划分成许多磁道
答案:A,B,C,D
关于磁盘分区的说法,错误的是()
A 磁盘分区后即可被操作系统存放数据
B 通过⾼级格式化来分区
C 通过低级格式化来分区
D Windows 中同⼀个分区中可以存放不同⽂件系统格式的⽂件
第20/35⻚
答案:A,C,D
关于回收站⽂件夹, 说法正确的有()
A 回收站⽂件夹具有系统属性
B Windows 默认不会给 U 盘创建回收站⽂件夹
C 回收站⽂件夹具有隐藏属性
D 回收站⽂件夹中⽂件被清空, 将不可以恢复
答案:A,B,C
关于回收站⽂件夹的描述, 正确的有()
A 回收站⽂件夹具有系统属性
B 回收站⽂件夹具有隐藏属性
C 回收站被清空后数据将不可恢复
D 不同的 Windows 系统和不同⽂件系统中, 回收站的名称不⼀定相同
答案:A,B,D
关于快捷⽅式⽂件, 正确的有()
A 其⽂件扩展名为.lnk
B 快捷⽅式⽂件包含了 它所指向的⽬ 标⽂件名及其完整路径
C 快捷⽅式⽂件包含了 它所指向的⽬ 标⽂件的创建时间、 最后访问时间
和最后修改
时间
D 快捷⽅式⽂件包含了 它所指向的⽬ 标⽂件所存储的卷的卷标信息
答案:A,B,C,D
关于散列算法的描述, 正确的有
A 散列算法即哈希算法
B 散列算法可以⽤于进⾏数据完整性⼀致性校验
C MD5 和 SHA1 是两种不同的散列算法
D 散列值⼀般采⽤⼗六进制
E 散列算法的输⼊到输出是不可逆的
答案:A,B,C,D、E
关于扇区概念的描述, 错误的是()
第21/35⻚
A 扇区⼤⼩默认为 4096 字节
B 扇区是⽂件系统可寻址的最⼩单位
C 扇区⼤⼩⼀般是 2 的 N 次⽅
D ⽂件都是存放在连续的扇区中
答案:A,B,D
通常 Windows 系统中涉及⽂件的 3 个时间属性,M 代表 Modify,表示最
后修改时间;
A 代表 Access,表示最后访问时间;C 代表 Create,表示创建时间;下
列解释错误的是?()
A.M 始终要晚于 C
B. M、A、C 在 Linux 系统中也适⽤
C. M、A、C 时间是不能被任何⼯具修改的,因此是可信的
D.⽂件的 M、A、C 时间⼀旦发⽣变化,⽂件的哈希值随之改变
答案:ABC
下列关于对位复制的说法中,不正确的是? ()
A.为了确保⽬标盘与源盘的⼀致性,⼀定要找到与源盘品牌、型号、容量均⼀致的⽬标盘进⾏复制
B. 为了确保司法取证的有效性,⼀定要验证⽬标盘与源盘哈希值的⼀致性
C. 为了确保⽬标盘与源盘的⼀致性,⽬标盘的硬盘接⼝⼀定要与源盘⼀致
D.当⽬标盘容量⼤于源盘时,⼀定要计算⽬标盘整盘的哈希值,⽤于与源盘的哈希值进⾏⽐对⼀致性
答案:ACD
下列关于现场勘验过操作的说法中,不正确的是?()
A.DD ⽂件是最常⽤的镜像格式,因为该格式是原始镜像,⽽且⽀持⾼压缩。
B. 为了固定运⾏着的计算机的桌⾯状态,⾸先应该按键盘的 PrtSc 键进⾏截图。
C. 对于关机状态下的计算机进⾏固定时,优先采取对硬盘盘体进⾏开盘操作的⽅式。
D.对于关机状态下⼜⽆法拆卸硬盘的计算机,应该开机直接查看系统⾥的数据。
答案:CD
下列⽂件系统中,哪些是 Windows 的⽂件系统? ()
A. HFS/HFS+
B. EXT2/3/4
C. NTFS
D. FAT16/32
答案:CD
下列关于对位复制和创建镜像的说法中,错误的是?()
A.⼀般情况下,对位复制时,⽬标盘容量要等于源盘容量
B. 制作 DD 镜像时,能够将 500G 源盘的完整 DD 镜像⽣成到 500G 的⽬标盘中
C. ⼀般情况下,源盘⽣成的 E01 镜像,占⽤的空间⼩于同⼀块盘⽣成的DD 镜像
D.⽤专⻔的镜像哈希计算⼯具,计算的同⼀块硬盘的 DD 和 E01 镜像哈希值是相同的
答案:CD
下⾯关于⽂件头的说法中,不正确的是?()
A.各种类型⽂件的⽂件头⻓度不⼀定相同
B. JPG 格式⽂件的⽂件头存在细⼩差异
C. 相⽐⽂件头,⽂件扩展名更可信,因此⽂件扩展名常⽤于判断⽂件类型
D.在 Windows 系统中,修改⽂件扩展名的同时,该⽂件的⽂件头也随之变化
答案:BCD
下列哪些类型是 Windows7 系统中常⻅的⽇志类型? ()
第23/35⻚
A. Application
B. Security
C. System
D. Local
答案:ABC
⼿机中常⽤的简体中⽂编码格式不包括?()
A. Big5
B. UTF-16
C. Unicode BE
D. UTF-7
答案:ABCD
下⾯哪些密码破解⽅法可以⽤于 RAR ⽂件?()
A. 彩虹表破解
B. 暴⼒破解
C. 掩码破解
D. 字典破解
答案:BCD
计算机取证中数据固定的三⼤技术包括()。
A.只读
B.克隆
C.校验技术
D.数据恢复
答案:ABC
当调查分析跨时区事件时,操作系统和⽂件的时间属性⾮常重要。不同操
作系统或⽂件系统对⽇期、时间有不同的处理⽅法,下⾯有关⽇期时间的
描述,正确的是 () 。
A.Linux 的时间标签有最后修改时间、最后访问时间和最后状态改变时间
B. windows 的时间标签有创建时间、最后写/修改时间和最后访问时间
C.当复制⽂件时,⽂件的创建时间、最后访问时间会、最后写/修改时间都不会改变
第24/35⻚
D.取证过程中需关闭取证主机上的杀毒软件⾃动扫描功能,因为它会访问被调查的⽂件,并可能改变⽂件的最后访问时间
答案:ABCD
系统⽇志对取证有重要意义, ( ) 是 Windows 系统⽇志能够获取的信息。
A.确定成功登录系统的⽤户
B.确定试图登录系统但没有成功登录的⽤户
C.跟踪审核策略的变更
D.确定访问特定⽂件的⽤户
E.跟踪⽤户权限的变化
答案:ABCDE
计算机证据分析是整个取证过程的核⼼与关键,下⾯有关证据分析的描述,正确的有()
A.分析过程的开机、关机过程,尽可能地避免正在运⾏的进⾏数据丢失或存在不可逆转的删除程序
B.通过将收集的程序、数据和备份与当前进⾏的程序数据进⾏对⽐,发现篡改痕迹
C.分析过程是基于原始证据的复制件进⾏的,⼀份⽤于取证的备份必须是对原始数据的每⼀⽐特的精确克隆
D.分析之前,⼀定要为被分析的数据⽣成数字指纹
答案:ABCD
计算机证据与传统证据⼀样,计算机证据必须是()。
A.可信的
B.准确的
C.完整的
D.符合法津法规的
答案:ABCD
第25/35⻚
在取证过程中,可能会遇到各种各样对系统的⼊侵或攻击,常⽤的追踪技术有()。
A.通过 nslookup、tracert、whois 追踪⼊侵者 IP 地址
B.通过查询 DHCP 服务器地址分配信息进⾏动态 IP 地址跟踪
C.使⽤ arp -a 、ipconfig /all 追踪 MAC 地址
D.通过电⼦邮件头部信息进⾏电⼦邮件追踪
答案:ABCD
下列关于⽂件⼤⼩和⽂件占⽤空间⼤⼩的说法中,不正确的是?()
A.⽂件⼤⼩和⽂件占⽤空间⼤⼩总是不⼀致的
B. ⽂件占⽤空间⼤⼩总是⼤于⽂件的实际⼤⼩
C. ⽂件⼤⼩总是⽂件占⽤扇区⼤⼩的整数倍
D.⽂件占⽤空间⼤⼩与⽂件实际⼤⼩之间的差额通常被称为⽂件松弛区(Slack)
答案:ABC
下⾯哪些操作系统不属于智能⼿机操作系统?()
A. Linux
B. Windows 8
C. Mac OS
D. MTK
答案:AD
下⾯哪些⽂件不是 Windows 的注册表⽂件?()
A. Regedit
B. Sam
C. System
D. Security
答案:BCD
下列关于制作硬盘复制件的说法中,不正确的是?()
A.降低直接在源盘检验带来的源盘损坏的⻛险。
B. 防⽌误操作等原因造成的硬盘数据篡改。
C. 对于某些传输速率低的硬盘,复制件采⽤⾼速率硬盘能有效提⾼后续取证效率。
D.制作复制件的同时,能够修复部分物理损坏的源盘。
答案:CD
下列⽂件后缀名的说法中,不正确的是?()
A.⽂件的后缀名显示与否是 Windows 系统中可以设置的。
B. ⽂件的后缀名⼀般来说为 3-4 个位⻓度。
C. 可以通过改变⽂件的后缀名修改⽂件的类型。
D.所有⽂件都有⽂件后缀名。
答案:BC
下列关于安卓⼿机取证说法错误的是 ( ) 。
A.安卓⼿机⼤部分的关键数据都记录在/data/data 区内
B. /data/data 区⽆法随意访问,需要最⾼⽤户权限的授权(root 权限)
C.通过解析备份⽂件也可以完成对 data 区的取证
D.通过⼀些第三⽅软件,可以将 QQ、微信等主流社交软件的聊天记录储存位置指定在
SD 卡
答案:AB
39. 下⾯有关 Linux 的⽤户登录信息,描述正确的有()
A.lastlog 列出所有⽤户最近登录的⽇志,⽤ lastlog 命令查看
B.btmp 登录失败尝试的登录信息,⽤ lastb 命令查看
C.wtmp 列出当前和曾经登⼊系统的⽤户信息,即正确登录的所有⽤户命令,⽤ last 命令查看
D.utmp 列出正确登录的所有⽤户命令,⽤ last 命令查看
答案:ABC
⼿机取证的电⼦证据来源主要有()
A.⼿机内存
B.SIM 卡
C.⼿机扩展的闪存卡
D.移动运商
第27/35⻚
答案:ABCD
⼿机取证的发展⽅向有()
A.继续加强对⼿机取证⼯具、软件和⽅法的研发,改善它们的取证效果,使其符合法庭取证的要求
B.⼿机取证专家与各⼿机⼚商通过交流协作,制定出统⼀的⼿机取证技术标准。
C.⽴法部⻔加强对涉及⼿机犯罪⽅法的⽴法⼯作,从法津法规上不给犯罪分⼦留下空⼦, 切实有效打击⼿机犯罪
D.加强移动运商的监管
答案:ABC
计算机证据与传统证据⼀样,必须是()
A.可信的
B.准确的
C.完整的,使法官信服的
D.符合法律法规,为法庭所接受的
答案:ABCD
在计算机取证中,当系统遭到⼊侵后,可以以 IP 地址作为追踪⼊侵者的⼊⼝点。追踪⼊侵者 IP 地址常⽤的⽅法有()
A.nslookup
B.tracert
C.查找 DHCP 服务器地址分配⽇志
D.ipconfig
答案:ABC
在对磁盘数据进⾏取证时,⾸先进⾏磁盘镜像制作。制作磁盘镜像需注意
以下⼏点()。
A.对⽬标磁盘/分区卸载或挂载为只读
B.使⽤ dd 提取镜像的时候遇到读取错误时,忽略该错误⽽不停⽌拷⻉⾏为
第28/35⻚
C.在该磁盘/分区读写过程中提取
D.为防⽌本地空间不够,可以使⽤ netcat 远程提取镜像
答案:ABD
下⾯有关⼿机取证获取证物的描述,( )是正确的。
A.在获取证物的过程,不要随便对⼿机进⾏开机或关机操作
B.在取证现场,准确记录相关数字证据和常规证据,可对现场及证物拍照,记录原始证物的特点和状态
C.因为是数字取证,在现场搜集证物时,不需要对指纹、⽑发等⾮数字证据进⾏收集
D.在把证物带离现场过程中,应采⽤屏蔽措施阻⽌⼿机与外界通信,同时避免物理损坏,防⽌数据被污染
答案:ABD
为了能够⻓期存在于被攻击的系统中,⽊⻢需要把⾃⼰很好隐藏起来,下⾯ ()不 是⽊⻢隐藏的⽅法。
A.Rootkit
B.添加到注册表的 RUN 项
C.添加到其他应⽤程序中
D.添加到系统服务中
答案:BCD
时间是取证的重要数据,保存在硬件或⽂件中的时间可以作为证据确定⾏为和后果。通 常 Windows 系统中涉及⽂件的 3 个时间属性:最后修改时间、最后访问时间和创建时间。下⾯有关⼏个时间的关系描述正确的是
( )。
A.修改时间可以早于建⽴时间,如果修改时间早于建⽴时间,表明⽂件可能被复制或移动过
B.在⼀个⽂件夹中,如果⼀些⽂件的修改时间等于创建时间,并且有很近的创建时间或者修改时间,那么这些⽂件有可能是从⽹上批量下载的
C.如果在硬盘上批量的⽂件具有很近的访问时间,这些⽂件极有可能被同⼀个⼯具软件扫描过
D.如果⼀个⽂件的修改时间早于创建时间,表明该⽂件可能是解压后的⽂件
答案:ABCD
android 是⼿机常⽤操作系统,下⾯有关 android ⼿机取证描述正确的是
( )。
A.安卓⼿机中 QQ 信息,包括帐号信息、好友信息等都存储在/data/data下
B. SQLite 数据库已经成为 android 系统的标准数据库,⼿机中常⽤到的通讯录管理软件、通话记录、短信应⽤、浏览器历史记录、以及其他即时通讯软件的聊天记录等等,采⽤的存储⽅式都是 SQLite 数据库格式。
C.程序执⾏过程产⽣的临时数据主要存储在静态 RAM 中,打电话最后拨打的号码,暂时存在静态 RAM 中,⼿机正常关机时才会写⼊通话记录中。
D.在⼿机取证时,使⽤取证精灵,在时间、对象和空间上通过对⼀部或多部⼿机数据进⾏逻辑分析,可确定⼿机持有⼈之间的关系,联系频率、通话次数、通话总时⻓等信息。
答案:ABCD
填空
安卓操作系统对于短信和彩信采用SQLite数据库的方式进行存储
iphone的三种工作模式 正常模式 恢复模式 DFU模式
ios备份文件的种类 1. iCloud备份 2.iTunes备份 3.本地备份 4.第三方应用程序备份
电子数据的三种性质:客观性,关联性,合法性
在 Linux 系统中,有许多常用的命令可以用于执行各种任务。以下是一些常见的 Linux 命令及其作用:
ls:列出目录中的文件和子目录。
cd:改变当前工作目录。
pwd:显示当前工作目录的路径。
mkdir:创建新目录。
rm:删除文件或目录。
cp:复制文件或目录。
mv:移动文件或重命名文件。
touch:创建空文件或更新文件的访问和修改时间戳。
cat:连接文件并打印到标准输出设备上。
grep:在文件中搜索指定模式。
chmod:修改文件或目录的权限。
chown:修改文件或目录的所有者。
ps:显示当前进程的状态。
top:显示系统中运行的进程的动态实时信息。
kill:终止进程。
ifconfig:显示或配置网络接口的信息。
ping:测试与另一台计算机的连接。
ssh:安全连接到远程服务器。
scp:安全地复制文件到远程服务器。
tar:打包或解压文件。
这些是一些常见的 Linux 命令,覆盖了文件操作、进程管理、网络操作等多个领域。在日常使用 Linux 系统时,熟悉并掌握这些命令可以帮助您更高效地管理系统和执行各种任务。
简答分析题
简述电子取证一般程序和过程
①启动阶段:在启动电子数据取证程序时,要根据案件性质和具体情况进行各方面的准备,包括方案设计、法律文书准备、人财物资源配备等内容
②现场保护与勘查阶段:主要包括现场保护、现场访问、实地力查、现场分析、现场勘查记录、侦查实验、了解判断犯罪分子的个体特点等内容
③电子数据获取与固定阶段:即获取原始电子数据或者直接固定电子数据证据的活动.
④电子数据分析与检验阶段:常见的方法有数据搜索技术、数据恢复技术、加密解密技术、文件系统分析技术、日志分析技术、静态分析技术、动态分析技术、实时监控技术、追踪技术、数据挖掘技术等.
⑤评估阶段:对实施阶段所做的工作和结果进行评估.以判断实施活动是否成功完成,以及是否需要再次进行数据与固定,分析等活动。
⑥证据保管、移交与展示阶段:当涉案电子数据证据经过检验已经固定完毕后,还需要制作相关报告,并将检出的电子数据证据和原始证据介质妥善保管,按照法律程序进行移交。
电子取证的原则
- 依法取证原则:任何证据的有效性和可采用行都取决于证据的客观性与案件事实的关联性和取证活动的合法性。
- 保护证据完整性原则:取证过程中应保持电子数据的完整性。
- 及时取证原则:电子数据证据的获取具有时效性,一旦确定对象后,应尽快提取证据,防止证据变更和丢失。
- 证据连续性原则:为了在法庭采用时能证明整个调查过程的合法性,真实性,完整性,在电子数据证据从最初的获取状态到法庭提交状态应保持连续的。
材料题
现场勘察的时候,发现有处于开机状态的台式机,怎么样去进行数据保存,固定一些容易丢失的数据
看是哪个操作系统windows 和linux哪行 哪个目录 哪个文件
winxp
在现场勘查时,发现有处于开机状态台式机,操作系统winXP,阐述获取此证物从拍照到封存的整个操作过程,并举例列出在固定易丢失数据时应注意的数据形式。答:
1)拍照记录电脑整体状态,屏幕显示内容,主机接口连接
2)周边相关配件
3) 注意易丢失数据,注意加密容器、加密文件、QQ等即时通讯数据的固定 , 对一些关键数据、关键步骤应使用录像等方式记录,重要的文件计算MD5 值
4)固定易丢失数据后,直接拔电源断电关机
5)封条注意电源及输出接口
linux
在现场勘查时,发现有处于开机状态台式机,操作系统为Linux。为了保护现场,第一要务为获取现场证据,保存数据,尤其是那些容易被改变的数据。试分析如何收集获取屏幕信息,内存信息、硬盘信息、进程信息和网络连接信息。答:
- 屏幕信息:最优先的步骤是利用照相设备或录像设备记录屏幕信息,如果没有准备好图像记录设备当系统处于控制台模式时,可以直接利用管道命令将输出的内容保存到文件中。可以用setterm进行截图。
若系统属于X-Windows环境下,可使用X-Windows下的截图工具、 GNOME软件截图、KDE软件截图 - 内存与硬盘信息:通过移动存储设备或者网络将系统存储器的内容记录下来。首先使用fdisk可以查看硬盘情况。然后使用mount将自己的硬盘挂载上去,最后使用dd命令将该信息存储到自己的移动硬盘中。
- 进程信息:Linux系统提供了who、w、ps和top等查看进程信息的系统调用,用户可以结合使用这些命令了解进程的运行状态以及存活情况。使用who查看当前登录的用户、w与who相似是who的增强版、ps查看进程,top与ps相似但一个动态显示过程。
4)网络连接信息:可以使用netstat查看网络连接情况、路由表和网络接口信息。
邮件交流记录,观察关键信息,发件人收件人,发送时间,内容,哪个系统,进行罗列一下,哪个系统,哪个文件,哪个方式,或者写一些取证工具
从互联网,相关信息,取证技术这门课中,对于个人信息如何保护,如何文明上网,做守法公民,这门课学到哪些知识
个人信息保护:
隐私意识: 学会尊重他人隐私,同时保护自己的个人信息。
强密码: 使用复杂、独特的密码,并定期更换密码。
防范网络钓鱼: 谨慎对待来自陌生人的信息和链接,避免泄露个人信息。
保护设备安全: 安装杀毒软件、防火墙,定期更新操作系统和软件。
谨慎公开个人信息: 在社交媒体等平台上注意保护个人信息,避免过度分享。
双重认证: 启用双重认证功能,提高账号安全性。
文明上网:
网络言行规范: 尊重他人,避免使用侮辱、攻击性语言,维护网络环境和谐。
辨别信息真伪: 学会辨别信息的真实性,不轻信谣言和不实信息。
遵守网络规定: 遵守各网站的规定和协议,不传播违法信息。
网络礼仪: 注意网络礼仪,避免恶意刷屏、灌水等行为。
做守法公民:
遵守法律法规: 遵守国家法律,不参与网络犯罪活动。
知识产权保护: 尊重他人的知识产权,不侵犯他人的版权、专利等权利。
举报违法行为: 如发现网络犯罪或违法行为,应及时向相关部门举报。
自我保护意识: 学会保护自己的合法权益,不轻信网络诈骗信息。
“取证技术”这门课通常涵盖了以下一些知识点:
数字取证基础知识: 学习如何获取、分析和保护数字证据,包括数据恢复、数据提取和数据分析等技术。
取证工具和技术: 掌握各种数字取证工具的使用方法,了解取证过程中的常见技术和方法。
网络取证: 学习如何在网络环境中进行取证工作,包括追踪网络攻击者、检测网络犯罪等内容。
数据隐私保护: 了解个人信息保护的重要性,学习如何保护个人隐私数据免受侵犯。
法律法规: 熟悉相关的法律法规,包括网络安全法、个人信息保护法等,了解在数字取证过程中的法律责任和规定。
取证报告撰写: 学习如何撰写清晰、准确的取证报告,包括证据收集、分析和结论等内容。
取证伦理: 强调在进行数字取证工作时需要遵守的伦理准则和行为规范,保证取证过程的合法性和公正性。
在现场有⼀块 500GB SATA 硬盘、 ⼀款智能⼿机(开机状态), 请简要描述从其获取到取证分析之间所注意的事项。
答:1) 获取时记录其具体位置
2) 必要时现场记算硬盘哈希值,硬盘放⼊证物袋, 注意防磁等环境;⼿机注意开关机状态, 放⼊屏蔽袋;
3) 准备⼀块不⼩于 500GB 的磁盘做⽬ 标盘
4) 注意⼿机品牌, 操作系统、密码、配件
在现场勘查时, 发现有处于开机状态台式机, 操作系统 winXP, 阐述获取此证物从拍照到封存的整个操作过程, 并举例列出在固定易丢失数据时应注意的数据形式。
答:
1) 拍照记录电脑整体状态, 屏幕显示内容, 主机接⼝ 连接
2) 周边相关配件
3) 注意易丢失数据, 注意加密容器、 加密⽂件、 QQ 等即时通讯数据的固定对⼀些关键数据、 关键步骤应使⽤录像等⽅式记录,重要的⽂件计算 MD5 值
4) 固定易丢失数据后, 直接拔电源断电关机
5) 封条注意电源及输出接⼝
在现场勘查时, 主要考虑到电⼦数据获取的完整性和有效性, 试从完整性⻆度描述对正在运⾏的打印机、复印机的处理⽅式。
答:
1.现场录像、照相,记录现场原始状态,记录各设备之间的连线状态以及显示屏上正在提示的信息,如何在运⾏的程序是在格式化硬盘或者删除数据,应⽴即切断电源。
2.对于正在编辑成显示状态的⽂本、图像证据,尽可能⽴即打印输出,并注明打印时间和打印机的型号等。
**3.制作现场笔录,绘制现场图 **
4.收集证据,提取证据,固定证据若相关信息被加密、删改、破坏、计算机病毒、⿊客的袭扰等情况,该如何取证?解密、恢复等⽅法
答:
1)解密:备份被解密⽂件
对密码进⾏解译。
找到相应的密码⽂件后,请专业⼈员选⽤相应的解除密码⼝令软件。
解密后,将对案件有价值的⽂件,即可进⾏⼀般取证
在解密的过程中,必要的话,可以采取录象的⽅式
第31/35⻚
2)恢复:⼤多数计算机系统都有⾃动⽣成备份数据和恢复数据、剩余数
据的功能,有些重要的数据库安全系统还会为数据库准备专⻔的备份。
因此,可以通过对⾃动备份数据和已经被处理过的数据证据进⾏⽐较、恢
复,获取定案所需证据。
3)测试:电⼦证据内容涉及电算化资料的,应当由司法会计专家对提取的资料进⾏现场验证,验证中如发现可能与软件设计或软件使⽤有关的问题时,应当由司法会计专家现场对电算化软件进⾏数据测试(侦查实验)主要是使⽤事先制作的测试⽂件,经测试确认软件有问题时,则由计算机专家对软件进⾏检查或提取固定。
常⻅的易失性数据有哪些?什么情况下需要获取易失性数据?
答:
常⻅的易失性数据:系统⽇期和时间、当前运⾏的活动进程、当前的⽹络连接、当前打开的端⼝、在打开的套接字上监听的应⽤程序、当前登录的⽤户列表、剪贴板数据。获取易失性数据情况:判断易失性数据的价值、联机对易失性数据的破坏程度、确定练级调查的具体⽅法和必要的调查范围
简述计算机取证与司法鉴定的三⼤技术,它们保证了计算机取证与司法鉴定既能定性⼜能定量且可以随时精确重现。
答:只读、克隆和校验技术只读技术保护电⼦数据不被更改,从⽽保证检材数据的原始性位对位的克隆技术保证检材数据的完整复制及鉴定过程的精确重复;校验技术既能辅助克隆技术精确重复鉴定过程,⼜能够⽤于电⼦证据的保全,知识产权鉴定等
在现场勘查时, 发现有处于开机状态台式机, 操作系统为 Linux。为了保护现场,第⼀要务为获取现场证据,保存数据,尤其是那些容易被改变的数据。试分析如何收集获取屏幕信息,内存信息、硬盘信息、进程信息和⽹络连接信息。
答:
1)屏幕信息:最优先的步骤是利⽤照相设备或录像设备记录屏幕信息,如果没有准备好图像记录设备当系统处于控制台模式时,可以直接利⽤管道命令将输出的内容保存到⽂件中。可以⽤setterm进⾏截图。若系统属于X-Windows环境下,可使⽤X-Windows下的截图⼯具、GNOME软件截图、KDE软件截图
2)内存与硬盘信息:通过移动存储设备或者⽹络将系统存储器的内容记录下来。⾸先使⽤fdisk可以查看硬盘情况。然后使⽤mount将⾃⼰的硬盘挂载上去,最后使⽤dd命令将该信息存储到⾃⼰的移动硬盘中。
3)进程信息:Linux系统提供了who、w、ps和top等查看进程信息的系统调⽤,⽤户可以结合使⽤这些命令了解进程的运⾏状态以及存活情况。使⽤who查看当前登录的⽤户、w与who相似是who的增强版、ps查看进程,top与ps相似但⼀个动态显示过程。
4)⽹络连接信息:可以使⽤netstat查看⽹络连接情况、路由表和⽹络接⼝信息。如果数字取证中嫌疑⼈经常使⽤浏览器访问互联⽹,那么以互联⽹⾏为为主线,可以从哪些⽅⾯获取相关证据信息,这些信息能证明什么?写出⽹络轨迹都有哪些?
答:⽹站访问下拉列表、⽹站访问的历史记录、⽹站收藏夹此外,还可以从以下⼏个地⽅获取信息:
(1)cookies,cookies ⼀般保存在 index。Dat ⾥⾯,包括 URL 信息访问
⽇期时间,⽤户名等信息
(2)临时⽂件(⽹⻚缓存),会显示如“最近⼀次访问的时间”在 TIF 中
(3)历史记录,分成按⽇期、星期、⽉份,在 index.dat 显示访问的 URL和时间
(4)注册表,ntuser.dat ⽂件中,有近期访问的 URL,键的名称按时间顺序排列。以原则规范计算机取证是保证电⼦证据可采性的关键,试简述由加拿⼤、法国等⼋国计算机取证⼈员组成的 G8 ⼩组提出的计算机取证原则。
答:
(1)必须应⽤标准的取证与司法鉴定过程。
(2)获取证据时所采⽤的任何⽅法都不能改变原始证据。
(3)取证与司法鉴定⼈员必须经过专⻔培训。
(4)完整地记录证据的获取、访向、存储或传输的过程,并妥善保存这些记录以备随时查阅。
(5)每位保管电⼦证据的⼈员必须对其在该证据上的任何⾏为负责。
(6)任何负责获取、访问、存储或传输电⼦证据的机构有责任遵循以上原则。和系统取证不同,⽹络取证通过对⽹络数据流的分析获取⾮法利⽤、⼊侵⾏为。试从多⻆度分析⽹络取证的特点。
答:
1)主要研究对象与数据报(packets)或⽹络数据流(Network Traffic)有关,⽽不仅仅局限于计算机;
2)为满⾜证据的实时性和连续性,⽹络取证是动态的,并且结合⼊侵前后的⽹络环境变量,可以重建⼊侵过程;
3)为保证证据的完整性,⽹络取证有时是分布式的,需要部署多个取证点或取证代理(Agent),⽽且这些取证点是相关和联动的;
3)为实现⽹络取证,通常需要与⽹络监控(Network Monitoring)相结合。简述时间戳的作⽤及⽣成⽅法
答:
时间戳时取证⼯作中⾮常有⽤的技术,他是对数字对象进⾏登记来提供注册后特定事物存在与特定⽇期的时间和证据,它证明了数字证据在特定的事件和⽇期时存在的,并且从该是看到出庭这⼀段时间⾥不曾被修改过。时间戳产⽣的过程:
⽤户⾸先将需要加时间戳的⽂件⽤Hash编码加密形成摘要;
将该摘要发送到DTS;
DTS 在加⼊了收到⽂件摘要的⽇期和时间信息后再对该⽂件加密(数字签名)然后送回⽤户。⽹络取证通过对⽹络数据流的分析重建⼊侵过程,简述⽹络取证的要点。
答:
1)周界⽹络(Perimeter Network):指在本地⽹的防⽕墙以外,与外部公⽹连接的所有设备及其连接;
2)端到端(End-to-End):指攻击者的计算机到受害者的计算机的连接;⽇志相关(Log Correlation):指各种⽇志记录在时间、⽇期、来源、⽬的甚⾄协议上满⾜⼀致性的匹配元素;
3)环境数据(Ambient Data):指删除后仍然存在,以及存在于交换⽂件和slack空间的数据;
4)攻击现场(Attack Scenario):将攻击再现、重建并按照逻辑顺序组织起来的事件。
1)发现攻击
2)初步分析
3)现场重建
4)取证分析
简述 5 种常⻅的⽊⻢⾃启动⽅式
答:
1)添加在Win.ini的[windows]字段中有启动命令[load]和[run]中,⼀般情况下“=”后⾯是空⽩的
2)添加在System.ini的[boot]中,其[boot]字段的shell=Explorer.exe是易植⼊⽊⻢的地⽅
3)添加在注册表的RUN项中
4)添加在启动⽬录中
5)添加在⽂件关联中
6)添加在其他应⽤程序中
7)欺骗⾃启动
8)添加在系统服务中
在取证过程,常⽤的数据恢复⽅法有哪些。
答:数据恢复可分为⼿⼯恢复和使⽤⼯具恢复两种
引导扇区恢复:使⽤dd命令备份和恢复主引导⽬录
分区表恢复:使⽤⼯具⾃动重建分区表
DBR恢复:直接Format恢复DBR、DiskEdit备份正确的DBR,然后⽤该备份做恢复、WinHex、Ntfs通过复制正常NTFS分区的DBR并更正参数恢复
零磁道损坏的恢复:使⽤⼯具使0磁道往后稍移⼀点,让1磁道替代0磁道;DiskEdit、DiskGenius改后存盘退出,重启系统,⽤Format格式化硬盘,完成即可⼯作
磁盘坏道的处理:修复逻辑坏道:使⽤Windows下的磁盘扫描⼯具,修复
物理坏道:⽤软件隐藏物理坏道;低级格式化修复坏道;使⽤Wipe Info修复坏道
]]>
