计算机取证技术复习

腐败案件调查
对发现的腐败案件进行深入调查，查明涉案人员、涉案金额和涉 案环节等信息。
企业内控制度审计
对企业内控制度进行审计和评估，发现存在的问题和漏洞，提出 改进建议。
个人隐私保护
隐私泄露调查
对个人隐私泄露事件进行调查，查明泄露原因和涉事人员，为受害 人提供帮助和支持。
隐私保护咨询
为个人提供隐私保护咨询和服务，指导其正确处理个人隐私信息， 防范隐私泄露风险。
、盗版电影等，为知识产权保护提供线索和证据。
维权行动支持
02
为权利人提供维权技术支持和法律咨询，协助其打击侵权行为
和维护合法权益。
知识产权培训
03
为企业和个人提供知识产权培训，提高其知识产权意识和保护
能力。
企业内部腐败调查
内部腐败线索发现
通过数据分析和技术手段，发现企业内部腐败的线索和证据，如 虚假报销、利益输送等。
网络盗号案
总结词
网络盗号案是一种侵犯个人隐私和财产权益的犯罪行为。
详细描述
网络盗号案通常涉及黑客攻击、恶意软件、社交工程等手段。犯罪分子通过获取受害者的用户名、密码和身份信 息，进而盗取其数字资产或进行其他犯罪行为。计算机取证专家需要调查和分析电子数据证据，以识别犯罪行为 、追踪犯罪分子并保护受害者的权益。
THANKS
感谢观看
总结词
网络侵犯知识产权案是一种侵犯他人知 识产权的犯罪行为。
VS
详细描述
网络侵犯知识产权案通常涉及盗版软件、 盗用他人作品、专利侵权等行为。计算机 取证专家需要收集和分析电子数据证据， 以识别犯罪行为、追踪犯罪分子并保护受 害者的权益。同时，需要采取措施打击侵 犯知识产权的行为，保护知识产权所有者 的合法权益。

文件分析技术
01
文件格式解析
识别并解析不同文件格式，提取关 键信息。
文件签名验证
通过文件的数字签名验证文件的真 实性和完整性。
03
02
文件内容分析
对文件内容进行深入分析，提取与 案件相关的证据。
文件隐藏分析
检测和提取隐藏在文件中的关键信 息，如密码、密钥等。
04
网络监控与追踪技术
网络流量捕获
实时捕获网络流量，分析网络通信内容。
02
打击犯罪行为
电子证据在许多犯罪案件中发挥着越来越重要的作用。计算机取证技术
可以帮助执法部门获取关键的电子证据，为案件调查和起诉提供有力支
持，有效打击各类犯罪行为。
03
维护公共利益
在许多涉及公共利益的领域，如知识产权保护、消费者权益保护等，计
算机取证技术可以用于获取和验证相关证据，维护公共利益和社会公正
网络监视与监听
调查网络监视与监听行为，保护公民的通信自由和隐私权。
数字知识产权保护
数字版权
对数字版权进行保护，打击盗版和非法复制行为，维护创作者的权益。
商业机密
通过计算机取证技术，保护企业的商业机密不被泄露或侵犯。
05
计算机取证的挑战与未来发 展
法律与道德问题
法律问题
计算机取证过程中，如何确保合法性、合规性，避免侵犯个人隐私和权利，是当前面临的重要挑战。 需要制定和完善相关法律法规，明确计算机取证的法律地位和程序规范。
《计算机取证技术》ppt课 件
目录
• 计算机取证技术概述 • 计算机取证的基本原则与流程 • 计算机取证的主要技术 • 计算机取证的应用场景与案例分
析 • 计算机取证的挑战与未来发展

三、简答题1. 在计算机取证的过程中，不管发生了什么紧急情况，调查者都必须遵循的原则是什么？答：①不要改变原始记录②不要在作为证据的计算机上执行无关的程序③不要给犯罪者销毁证据的机会④详细记录所有的取证活动⑤妥善保存取得的物证2•当Windows系统受到入侵攻击，而需要对系统进行取证分析的操作会引起易失性数据。

主要的易失性数据包括哪些？答：①系统日期和时间②当前运行的活动进程③当前的网络连接④当前打开的端口⑤当前打开的套接字上的应用程序⑥当前登录用户3. Windows系统中初始响应指的是什么？现场数据收集的主要步骤包括哪些？答：1.初始响应指的是收集受害者机器上的易失性数据，并据此进行取证分析的过程2. 现场数据收集包括一下3步：①打开一个可信的命令解释程序②数据收集的准备工作③开始收集易失性数据4. 描述你知道的证据获取技术包括哪些？答：① 对计算机系统和文件的安全获取技术；②避免对原始介质进行任何破坏和干扰；③对数据和软件的安全搜集技术；④对磁盘或其它存储介质的安全无损伤备份技术；⑤对已删除文件的恢复、重建技术；⑥对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术；⑦对交换文件、缓存文件、临时文件中包含的信息的复原技术；⑧计算机在某一特定时刻活动内存中的数据的搜集技术；⑨网络流动数据的获取技术等5. 基本过程模型有哪些步骤？答：①保证安全并进行隔离；②对现场信息进行记录；③全面查找证据；④对证据进行提取和打包；⑤维护证据监督链6. 电子证据与传统证据的区别有哪些？答：①计算机数据无时无刻不在改变；②计算机数据不是肉眼直接可见的，必须借助适当的工具；③搜集计算机数据的过程，可能会对原始数据造成很严重的修改，因为打开文件、打印文件等一般都不是原子操作；④电子证据问题是由于技术发展引起的，因为计算机和电信技术的发展非常迅猛，所以取证步骤和程序也必须不断调整以适应技术的进步。

,谈谈你的看法？ 答：6大流程： ① 取容易丢失的信息 ② 冻结硬件 ③ 申请取证 ④ 取证分析 ⑤ 分析报告⑥ 文件归档文件数据一般的隐藏术① 操作系统本身自带功能② 利用FAT 镞大小③ 利用slack 镞④ 利用更高级的工具答：①攻击预防阶段 ② 事件侦测阶段③ 初始响应阶段④ 响应策略匹配7. Windows 系统取证方法的主要流程是什么？答：6大流程：① 取容易丢失的信息② 冻结硬件③ 申请取证④ 取证分析⑤ 分析报告⑥ 文件归档8. 日志分析有哪些？包括什么内容？ 答：①操作系统日志分析；② 防火墙日志分析；③ IDS 软件日志分析；④ 应用软件日志分析9. Win dows 2000/XP 安全管理的常用方法有哪些？（至少写出 6个） 答：①创建2个管理员账户② 使用NTFS 分区③ 使用安全密码④ 设置屏保密码⑤ 创建一个陷门帐号⑥ 把administrator 账号改名 四、综合题1. Win dows 系统下取证方法的主要流程是什么？我们文件数据一般的隐藏术有哪些 2•阐述事件响应过程模型执行步骤及其工作内容?事先进行相关培训，并准备好所需的数字取证设备。

电子取证复习第一章信息安全1、信息安全含义：信息安全是一个整体概念，可以从信息系统需要达到的安全目标、面临的安全威胁、攻击手段等方面更全面和深刻地理解。

一般要讨论三方面的内容： 机密性：即只有授权用户或系统才能对被保护的数据进行访问。

完整性：是指数据本身不被未授权的修改、增加和删除等。

可用性：指数据或资源在合法的时候能够被授权的方式进行修改。

2、信息安全的威胁有：截取：是指资源被未授权地访问。

中断：是指将系统中存在的信息或资源抹去或变得不可用。

伪造：是指未授权方假冒其他对象，通常它所假冒的对象是合法对象。

篡改：是指未授权方访问并修改了资源。

3、信息系统安全体系结构：它是一个集合，其中包括与安全相关的各种硬件、软件、实现机制、相关文档和规章制度，以及有关法律法规等。

4、病毒和其他恶意代码：病毒本身不能独立存在，它必须有一个宿主为其提供藏身之所。

病毒的运行也要通过宿主的运行来帮助病毒获得其运行权。

蠕虫是一个独立存在的程序，它不需要宿主，它可以独立进行传播。

蠕虫一般通过网络进行传播。

病毒和蠕虫都可以进行自我复制，而特洛伊木马是不会自我复制的。

5、防火墙：在使用防火墙的时候，关键是对防火墙规则的设置。

6、对物理配线安全主要考察三个方面：授权连接、信号辐射、连接的完整性。

7、无线信道的物理安全：通过加密和授权的方式保障其信道安全。

8、安全管理包括：人员培训规章制度意识领域法律法规第二章信息犯罪1、信息具有哪些鲜明的特征？存在形式的数字化运行方式的网络化传送手段的快速化获取方式的简易化2、信息犯罪：是实施的针对信息载体、信息价值、运行和滥用信息资源的严重危害社会的行为。

3、信息犯罪、网络犯罪、计算机犯罪、电子商务犯罪关系图：4、信息犯罪的特征有哪些？1. 犯罪时间的模糊性2. 犯罪空间的虚拟性3. 犯罪运行的数字性（信息犯罪运行实际上也是二进制字符序列的运行）4. 危害区域的跨越性5. 犯罪现场的复杂性6. 犯罪手段的多样性5、针对信息运行安全的犯罪：刑法第二百八十五条规定：“违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

数字取证技术复习平时成绩：15% 实验成绩：25% 期末考核：60%考试题型：1、单项选择题（每小题 1 分，共 25 分）2、判断题（每小题 1 分，共 15 分）3、填空题（每空 1 分，共 10 分）4、简答题（每小题 6 分，共 36 分）5、综合分析题（14 分）案例基础上一、引言●计算机取证、数字取证、电子取证的概念1．计算机取证是指能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据的确定、收集、保护、分析、归档以及法庭出示的过程。

取证的目的是据此找出入侵者（或入侵的机器），并解释入侵过程。

2．计算机取证的主体对象是计算机系统内与犯罪案例有关的数据信息；数字取证的主体对象是存在于各种电子设备和网络中的数字化的与犯罪案例有关的数据信息；而电子取证的主体对象是指存储的电子化的、能反映有关案件真实情况的数据信息。

●破坏计算机信息系统犯罪1．《刑法》第286条第1款规定：“违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

”2．《全国人民代表大会常务委员会关于维护互联网安全的决定》第1条规定：“为了保障互联网的运行安全，对下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：…（三）违反国家规定，擅自中断计算机网络或者通信服务，造成计算机网络或者通信系统不能正常运行。

”●拖库和撞库1．“拖库”是指黑客入侵有价值的网络站点，把注册用户的资料数据库全部盗走的行为。

2．黑客将得到的数据在其它网站上进行尝试登陆，叫做“撞库”，因为很多用户喜欢使用统一的用户名密码，“撞库”也可以使黑客收获颇丰。

二、基本概念●信息犯罪的概念、特征和内容1．信息犯罪是实施的针对信息载体、信息价值、运行和滥用信息资源的严重危害社会的行为，包括信息载体犯罪、信息运行犯罪、信息内容犯罪和信息价值犯罪。

C. 当前的网络连接 D.全选
3、FAT 表的定义是
A 包括主引导记录区和逻辑分区
B 正在运行的系统在分区上读取并定位数据的时候产生
C 包括文件名和文件属性的表
D 由文件名、被删除的文件的名字以及文件的属性构成的表
4、以下哪一项是关于分区表的描述
A 位于 0 柱面，0 磁道，1 扇区
B 位于主引导记录区
计算机取证习题 Q:计算机中的质量保障（Quality Assurance）主要涉及哪些内容？ A:质量保障指一个包含很多规则的文件方面很完备的系统，用以确保分析结果的准确性和可靠性，包 括： 同行评审报告、证据的处理、案件文书以及实验室人员的培训
Q:在 计 算 机 取 证 中 选 择 取 证 工 具 时 需 要 注 意 些 什 么 ？ A:要根据 NIST 和 NIJ 的标准，在使用前要进行验证，在更新好也要进行验证。
全选7fat记录而目录项记录着文件的名字文件的大小文件的起始簇文件的最后一个簇eof文件的大小文件的分割8encase软件是如何恢复一个删除的文件的在fat表中读取被删除文件的名字并根据其起始簇号和逻辑大小寻找文件在fat表中获取被删除文件的起始簇号和大小寻找文件以获得数据的起始地址和所需簇的数量9驱动上数据可以被写入的最小区域是驱动上文件被写入的最小区域是bitbyte内存磁盘10主引导记录区的分区表为物理驱动器准备了几个逻辑分区24三名词解释每小题4分共201计算机取证2文件系统3数据恢复4电子数据鉴定5自由空间闲散空间四简答题每小题4分共281列举几例有关计算机的犯罪2计算机取证的基本原则3fat文件系统中第一个扇区是引导启动扇区
Q:Segal’ Law 揭示数字取证中的什么问题？如何面对该类问题？ A:Segal’ Law 是说一个人有一块表就可以判断时间，如果有两块时间不同的表就无法确定哪个时间是 对的。面对该类问题，规定一个标准时间

北京信息职业技术学院
4
CPU的主要功能
CPU的主要功能有：指令控制、操作控制、 数据运算、异常处理、中断处理等功能。 指令控制：读取、分析、执行程序指令 操作控制：分解指令，逐步实现指令的功能 数据运算：可进行算数（代数、函数）和逻 辑（判断）运算 异常处理：对系统异常作出反应 中断处理：对外部设备的请求及时向应
北京信息职业技术学院
11
内存的速度
内存储器完成一次读(取 或写 或写(存 操作所需 内存储器完成一次读 取)或写 存)操作所需 的时间称为存储器的存取时间或者访问时 时间越短速度越快。 间。时间越短速度越快。
北京信息职业技术学院
12
存储器的三大技术指标
容量： 容量：越大越好 速度： 速度：越快越好 价格： 价格：越低越好 理想的存储器：容量向最大的看齐、 理想的存储器：容量向最大的看齐、速度向 最快的看齐、价格向最低的看齐。 最快的看齐、价格向最低的看齐。 实现理想存储器的方法： 实现理想存储器的方法：存储器分级体系结 即高速缓存、内存、外存层次管理。 构。即高速缓存、内存、外存层次管理。 CPU→SRAM→DRAM→外存 外存
北京信息职业技术学院
5
双核CPU 双核
双核处理器是指在一个处理器上集成两个运算核 心，从而提高计算能力。 多核处理器最大的挑战是 在有限的面积上集成多核 心面临的能耗极限。 “酷睿”是一款领先节能 的新型微架构，出发点是 提高每瓦特性能，即能效 比。早期的酷睿是基于笔 记本处理器的。
北京信息职业技术学院
6
存储器
北京信息职业技术学院
7
内存和外存
内存：用集成电路制成，与CPU直接连接， 内存 速度快、价格高，扩展难。常用于存储正在 执行的程序或正在处理的数据。 外存：用磁性或其它材料制成，与CPU通过 外存 接口相连接，速度慢、价格低、扩展易。常 用于存储未执行的程序或当前不需处理的数 据。

理器 213、微机感染病毒后，可能造成______ ______。

B. 213、微机感染病毒后，可能造成______。

A.引导扇区数据损坏 B.鼠标损坏 C.内存条物理损坏 D. 显示器损坏 214、 Word中 下列关于项目符号的说法，正确的是______ ______。

214、在Word中，下列关于项目符号的说法，正确的是______。

项目符号式样一旦设置, 项目符号一旦设置, A.项目符号式样一旦设置,便不能改变 B.项目符号一旦设置,便不能取消 C.项目符号只能是特殊字 D.项目符号可以设置, 符,不能是图片 D.项目符号可以设置,也可以取消或改变 215、Word中激活菜单栏的快捷键是______。

中激活菜单栏的快捷键是______ B.F10 C.F6 D.F8 215、Word中激活菜单栏的快捷键是______。

A.F1 216、已知某工作表的E列数据= 已在E 单元格中输入了如下公式= 并用拖动“填充柄” 216、已知某工作表的E列数据=B列+D列，已在E2单元格中输入了如下公式=B2+D2，并用拖动“填充柄” 的方式将该公式复制到了E列的其它单元格，现将鼠标移到E 单元格上，并使它成为活动单元格， 的方式将该公式复制到了E列的其它单元格，现将鼠标移到E4单元格上，并使它成为活动单元格，请问 这时公式编辑区中显示的是______ ______。

这时公式编辑区中显示的是______。

B.=B4+D4 C.显示的F4单元格的政党显示时的数据,即公式=B4+D4的计算结果 D.不能确定 C. 显示的F 单元格的政党显示时的数据, 即公式= A.=B2+D2 217、 的帮助信息，不正确的说法是______ ______。

217、关于 Windows 的帮助信息，不正确的说法是______。

在帮助窗口中,可以通过“目录” 在帮助窗口中,可以通过“索引” A.在帮助窗口中,可以通过“目录”选项卡进行帮助信息的查询 B.在帮助窗口中,可以通过“索引”选 在帮助窗口中,可以通过“搜索” 项卡进行帮助信息的查询 C.在帮助窗口中,可以通过“搜索”选取项卡输入关键字进行帮助信息的查 询 D.右击任意项目可以获得该项的帮助信息 218、 Windows中 下面_______的叙述是正确的。

计算机取证技术复习一.填空题1.计算机取证模型主要包括：、、、。

2.在证据收集的过程中必须收集的易失性证据主要有：、、、、、。

3.目前的计算机反取证技术主要有：、。

4．在Windows工作模式下显示系统的基本信息，包括：、、及。

5．隐藏术通常通过两种方法对数据进行保护：；。

6．在MACtimes中的Mtime指；Atime 指； Ctime指。

7、防止密码破译的措施：；；。

8、目前主要数据分析技术具体包括：：；；；。

9、安全管理主要包括三个方面：、、。

10、计算机信息系统的安全管理主要基于三个原则：、、。

11.系统信息安全包括：；；；；。

12.任何材料要成为证据，均需具备三性：；和。

13. 计算机取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的、、和的过程。

14．DES是对称密钥加密的算法， DES算法大致可以分成四个部分：；；和；15、目前，反取证技术分为三类：、、。

16、网络安全管理的隐患有：；；；。

二．判断1.取证的目的是为了据此找出入侵者（或入侵的机器），并解释入侵的过程。

（）2.网络入侵取证系统中，日志文件是可以很轻易被人修改的，但是这种修改是很容易被发现的。

（）3.硬盘由很多盘片组成，每个盘片被划分为若干个同心圆，称为磁道。

（）4.硬盘在存储数据之前，一般需经过低级格式化，分区和高级格式化这三个步骤之后才能使用，其作用是在物理硬盘上建立一定的数据逻辑结构。

（）5.初始响应在数据收集过程中，能将收集到的证据写回到被入侵机器的硬盘上。

（）6.数据遭受物理损坏后，失效的数据彻底无法使用。

（）7.数据备份是指将计算机硬盘上的原始数据复制到可移动媒体上，如磁带，光盘等。

（）8.计算机反取证就是删除或者隐藏入侵证据使取证工作失效。

（）9.用数字加密技术对数据进行保护主要有两种方式：保密和证明数据的完整性。

（）10.Windows文件删除分为逻辑删除和物理删除两种。

计算机取证技术一、计算机取证的概念和特点关于计算机取证概念的说法，国内外学者专家众说纷纭。

取证专家ReithClintMark 认为：计算机取证可以认为是“从计算机中收集和发现证据的技术和工具”。

LeeGarber在IEEESecurity发表的文章中认为：计算机取证是分析硬盘驱动器、光盘、软盘、Zip和Jazz磁盘、内存缓冲以及其他形式的储存介质以发现证据的过程。

计算机取证资深专家JuddRobbins对此给出了如下定义：计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。

其中，较为广泛的认识是：计算机取证是指能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据的确定、收集、保护、分析、归档以及法庭出示的过程。

电子证据也称为计算机证据，是指在计算机或计算机系统运行过程中产生的，以其记录的内容来证明案件事实的电磁记录物。

电子证据的表现形式是多样的，尤其是多媒体技术的出现，更使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息，这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。

证据在司法证明的中的作用是无庸质疑的，它是法官判定罪与非罪、此罪与彼罪的标准。

与传统证据一样，电子证据必须是：可信的、准确的、完整的、符合法律法规的，即可为法庭所接受的。

同时我们不难发现，电子证据还具有与传统证据有别的其它特点：①磁介质数据的脆弱性：电子证据非常容易被修改，并且不易留痕迹；②电子证据的无形性：计算机数据必须借助于其他一些输出设备才能看到结果；③高科技性：证据的产生、传输、保存都要借助高科技含量的技术与设备；④人机交互性：计算机证据的形成，在不同的环节上有不同的计算机操作人员的参与，它们在不同程度上都可能影响计算机系统的运转；⑤电子证据是由计算机和电信技术引起的，由于其它技术的不断发展，所以取证步骤和程序必须不断调整以适应技术的进步。

二、计算机取证的过程计算机取证包括物理证据获取和信息发现两个阶段。

1•信息安全的目标①机密性：是指只有授权用户或系统才能对被保护的数据进行访问②完整性：是指信息资源只能由授权方或者以授权的方式进行修改③可用性：是指信息资源在核实的时候能够被授权用户访问2.信息安全威胁①截取：是指资源违背授权的访问被动截取信息破坏了系统的机密性；主动截取信息破坏了系统的保密性和完整性②中断：是指系统中存在的信息或资源抹去或变得不可用中断往往破坏信息系统的完整性和可用性③伪造：是指未授权方假冒其他对象伪造破坏了系统的完整性和机密性④篡改：是指未授权方访问并修改了资源篡改破坏了系统的机密性，完整性和可用性3•物理安全中面临的威胁①口然破坏②人为破坏③环境破坏4•结点安全①结点的物理安全②访问权限控制和加密③病毒和其他恶意代码④备份⑤防火墙5.通信安全①无线和有线物理层安全②路由器和交换机安全③协议安全④应用程序安全6 •通信安全中电子邮件安全①电子邮件欺骗：是指修改邮件的实际发送者，邮件发送者使用工具将其真实的IP地址换成其他伪造的IP地址②电子邮件中继：是指使用其他邮件服务器发送电子邮件③电子邮件账户的盗用：指的是获収被害人电子邮件账号及其对应的密码，利用其直接进入邮箱操作的伪造④免费电子邮箱1•信息的特征①存在形式数字化②运行方式网络化③传送手段快速化④获取方式简易化2•信息犯罪是实施的针对信息载体、信息价值、运行和滥用信息资源的严重危害社会行为，包括信息载体犯罪、信息运行犯罪、信息内容犯罪、信息价值犯罪。

3•信息犯罪特征①犯罪时I'可模糊性②犯罪空I'可虚拟性③犯罪运行数字性④危害区域跨越性⑤犯罪现场复杂性⑥犯罪手段多样性4.信息犯罪包含网络犯罪，网络犯罪包含计算机犯罪和电子商务犯罪，计算机犯罪和电子商务犯罪有交集但不重合。

5•信息犯罪防范（可能是论述）信息犯罪的防范是一个系统工程，需要综合法律、技术和思想等方面，多方面、多层次地进行立体防范才能发挥作用（1）法律防范。

一、选择题（每小题2分，共20分）1、以下有关EasyRecovery的说法不正确的是（）A. EasyRecovery在恢复数据时并不向硬盘写任何东西，而是在内存中镜像文件的FAT表和目录区。

B. 使用该软件时一定要注意将恢复出来的数据保存在其他的硬盘空间内。

C. 该软件能够对FAT和NTFS分区中的文件删除、格式化分区进行数据恢复。

D. 它主要是对数据进行硬件恢复。

2、以下不属于在数据恢复中需要使用的软件的是（）。

A. PC3000B. FinalDataC. EncaseD. FixRAR3、以下不属于电子证据特点的是（）A. 电子证据的脆弱性B. 电子证据的隐蔽性C. 电子证据的不可挽救性D.电子证据对系统的依赖性4、以下不属于计算机取证过程中分析过程的是（）A. 协议分析B. 镜像技术C. 数据挖掘D. 过程还原5、以下属于计算机取证技术的发展趋势的是（）A. 动态取证技术B. 计算机取证挖掘算法和柔性挖掘技术C. 取证工具和过程的标准化D. 以上都是6、以下关于硬盘的逻辑结构说法不正确的是（）A. 每个盘片有两个面，这两个面都是用来存储数据的。

B. 随着读写磁头沿着盘片半径方向上下移动，每个盘片被划分成若干个同心圆磁道。

C. 磁道被划分成若干个段，每个段称为一个扇区。

扇区的编号是按0,1，……顺序进行的。

D. 硬盘柱面、磁道、扇区的划分表面上是看不到任何痕迹的。

7、以下不属于文件系统的是（）。

A. LINUXB.NTFSC. FAT32D.EXT28、以下不属于数据分析技术的是（）。

A. 对已删除文件的恢复、重建技术B. 关键字搜索技术C. 日志分析D. 特殊类型文件分析9、以下（）命令可以用来测试本地主机的网络连接是否通畅。

A. tracerouteB. pingC. ipconfigD. pslist10、在大多数黑客案件中，嗅探工具常被用来捕捉通过网络的流量以重建诸如上网和访问网络文件等功能，以下（）是这类工具。

不同点： 不同点： 1、传统证据的取证一般是犯罪过程终止后进行， 凶杀、强 传统证据的取证一般是犯罪过程终止后进行， 凶杀、 传统证据的取证一般是犯罪过程终止后进行 爆炸、纵火案件。 奸、爆炸、纵火案件。电子物证的取证有时需要在犯罪正在实施 的过程中进行，如黑客攻击等。 的过程中进行，如黑客攻击等。 2、电子物证挥发、变化较快，如正在运行系统中内存、寄存 、电子物证挥发、变化较快，如正在运行系统中内存、 器中的数据，时刻都在发生变化，提取时较困难。 器中的数据，时刻都在发生变化，提取时较困难。传统证据存留 时间较长（当然是现场不受到破坏的情况下） 时间较长（当然是现场不受到破坏的情况下）。 3、电子物证在法庭上举证时容易受到质疑，所以取证时必须 、电子物证在法庭上举证时容易受到质疑， 采取一定的技术手段或方法保证证据源的真实、可靠。 采取一定的技术手段或方法保证证据源的真实、可靠。传统证据 不会受到质疑。电子物证取证难度大，涉及计算机、通信、 不会受到质疑。电子物证取证难度大，涉及计算机、通信、网络 等多种技术。 等多种技术。
电子物，需要借助专门的 工具、方法提取，如指纹、鞋印等也必须借助 显现、灌模等方法才能辨认、提取和分析。电 子数据依附于电子设备或电子设备的介质中， 仅靠肉眼难以辨认，必须借助专门的工具，人 们才能解读其含义。
电子物证与传统证据取证的区别
非计算机设备中的电子数据
1、数码影像设备：各种摄像、视频采集、可视电话等设备，这些设备 数码影像设备：各种摄像、视频采集、可视电话等设备， 数码影像设备 中可能会留有数码相片、视频、 中可能会留有数码相片、视频、摄制的时间等内容 2、便携电子设备：PDA（掌上电脑）、电子记事本等，其中可能包含 、便携电子设备： ）、电子记事本等 （掌上电脑）、电子记事本等， 地址、密码、计划表、电话号码本、个人挡案、 地址、密码、计划表、电话号码本、个人挡案、声音等 3、手机寻呼机设备：可能含有电子信息、文本信息、留言等内容 、手机寻呼机设备：可能含有电子信息、文本信息、 4、读卡机：有些读卡中可能存有信用卡的卡号、有效期、用户姓名、 、读卡机：有些读卡中可能存有信用卡的卡号、有效期、用户姓名、 用户地址等内容 5、打印机：包括激光、喷墨等。大多数都设有缓存装置，可存储很多 、打印机：包括激光、喷墨等。大多数都设有缓存装置， 页文档内容， 页文档内容，有的打印机甚至带有硬盘装置

1. 数字取证的主要目的是：A. 恢复丢失的数据B. 分析电子证据C. 防止数据泄露D. 以上都是2. 数字取证的基本原则包括：A. 完整性B. 可信性C. 可重复性D. 以上都是3. 数字取证的主要步骤包括：A. 证据收集B. 证据分析C. 证据报告D. 以上都是4. 数字取证的工具主要包括：A. 取证软件B. 取证硬件C. 取证平台D. 以上都是5. 数字取证的软件工具主要包括：A. EnCaseB. FTKC. AutopsyD. 以上都是6. 数字取证的硬件工具主要包括：A. 取证工作站B. 取证硬盘C. 取证手机D. 以上都是7. 数字取证的平台工具主要包括：A. 云取证B. 移动取证C. 网络取证D. 以上都是8. 数字取证的证据收集方法主要包括：A. 物理收集B. 逻辑收集C. 远程收集D. 以上都是9. 数字取证的证据分析方法主要包括：A. 数据恢复B. 数据解析C. 数据关联D. 以上都是10. 数字取证的证据报告方法主要包括：A. 书面报告B. 口头报告C. 电子报告D. 以上都是11. 数字取证的完整性原则主要体现在：A. 证据的原始性B. 证据的不可篡改性C. 证据的可追溯性D. 以上都是12. 数字取证的可信性原则主要体现在：A. 证据的真实性B. 证据的可靠性C. 证据的可验证性D. 以上都是13. 数字取证的可重复性原则主要体现在：A. 证据的再现性B. 证据的可复制性C. 证据的可重现性D. 以上都是14. 数字取证的证据收集技术主要包括：A. 镜像复制B. 哈希校验C. 时间戳D. 以上都是15. 数字取证的证据分析技术主要包括：A. 数据恢复B. 数据解析C. 数据关联D. 以上都是16. 数字取证的证据报告技术主要包括：A. 书面报告B. 口头报告C. 电子报告D. 以上都是17. 数字取证的物理收集方法主要包括：A. 硬盘复制B. 内存复制C. 手机复制D. 以上都是18. 数字取证的逻辑收集方法主要包括：A. 文件复制B. 日志复制C. 数据库复制D. 以上都是19. 数字取证的远程收集方法主要包括：A. 网络抓包B. 远程桌面C. 云端数据D. 以上都是20. 数字取证的数据恢复技术主要包括：A. 文件恢复B. 分区恢复C. 系统恢复D. 以上都是21. 数字取证的数据解析技术主要包括：A. 文件解析B. 日志解析C. 数据库解析D. 以上都是22. 数字取证的数据关联技术主要包括：A. 时间关联B. 空间关联C. 行为关联D. 以上都是23. 数字取证的书面报告技术主要包括：A. 报告撰写B. 报告审核C. 报告提交D. 以上都是24. 数字取证的口头报告技术主要包括：A. 报告准备B. 报告演讲C. 报告反馈D. 以上都是25. 数字取证的电子报告技术主要包括：A. 报告生成B. 报告分发C. 报告存档D. 以上都是26. 数字取证的镜像复制技术主要包括：A. 硬盘镜像B. 内存镜像C. 手机镜像D. 以上都是27. 数字取证的哈希校验技术主要包括：A. MD5B. SHA-1C. SHA-256D. 以上都是28. 数字取证的时间戳技术主要包括：A. 文件时间戳B. 日志时间戳C. 数据库时间戳D. 以上都是29. 数字取证的文件恢复技术主要包括：A. 删除文件恢复B. 格式化文件恢复C. 损坏文件恢复D. 以上都是30. 数字取证的分区恢复技术主要包括：A. 删除分区恢复B. 格式化分区恢复C. 损坏分区恢复D. 以上都是31. 数字取证的系统恢复技术主要包括：A. 系统还原B. 系统备份C. 系统克隆D. 以上都是32. 数字取证的文件解析技术主要包括：A. 文本文件解析B. 图像文件解析C. 视频文件解析D. 以上都是33. 数字取证的日志解析技术主要包括：A. 系统日志解析B. 应用日志解析C. 网络日志解析D. 以上都是34. 数字取证的数据库解析技术主要包括：A. 关系数据库解析B. 非关系数据库解析C. 文件数据库解析D. 以上都是35. 数字取证的时间关联技术主要包括：A. 时间线分析B. 时间戳比对C. 时间序列分析D. 以上都是36. 数字取证的空间关联技术主要包括：A. 地理位置分析B. IP地址分析C. 网络拓扑分析D. 以上都是37. 数字取证的行为关联技术主要包括：A. 用户行为分析B. 系统行为分析C. 网络行为分析D. 以上都是38. 数字取证的报告撰写技术主要包括：A. 报告结构设计B. 报告内容编写C. 报告格式规范D. 以上都是39. 数字取证的报告审核技术主要包括：A. 报告内容审核B. 报告格式审核C. 报告逻辑审核D. 以上都是40. 数字取证的报告提交技术主要包括：A. 报告提交方式B. 报告提交时间C. 报告提交对象D. 以上都是41. 数字取证的报告准备技术主要包括：A. 报告材料准备B. 报告内容准备C. 报告演讲准备D. 以上都是42. 数字取证的报告演讲技术主要包括：A. 报告演讲技巧B. 报告演讲内容C. 报告演讲时间D. 以上都是43. 数字取证的报告反馈技术主要包括：A. 报告反馈收集B. 报告反馈分析C. 报告反馈应用D. 以上都是44. 数字取证的报告生成技术主要包括：A. 报告模板设计B. 报告内容填充C. 报告格式调整D. 以上都是45. 数字取证的报告分发技术主要包括：A. 报告分发方式B. 报告分发时间C. 报告分发对象D. 以上都是答案部分1. D2. D3. D4. D5. D6. D7. D8. D9. D10. D11. D12. D13. D14. D15. D16. D17. D18. D19. D20. D21. D22. D23. D24. D25. D26. D27. D28. D29. D30. D31. D32. D33. D34. D35. D36. D37. D38. D39. D40. D41. D42. D43. D44. D45. D。

盘的N分之一，因此RAID0可靠性最差，数据一旦损坏
将无法恢复。
12
• RAID0 是无冗余、无校验的磁盘阵列，实现 RAID0 至
少需要两个以上，它将两个以上的硬盘合并成一块， 数据按一定的规律同时分布在每块硬盘中，如图所示， 图中纵向代表的是单个磁盘，每个字母代表一块数据。
13
• RAID1
21
• 除RAID1和极少数情况外，所有RAID中的信息，
小结
• 认清磁盘阵列采用的具体方案有助于我们了解数据的
存储架构，制定有效的数据获取与数据恢复方案，更 好的服务于调查取证 统均采用了本小节介绍的阵列方案
• Raid7以上的磁盘阵列方案以及后续介绍的网络存储系
22
网络存储系统
• 在实际的网络存储系统中，存储设备与服务器的连接
18
• RAID5
RAID5（Striping with floating parity drive），是一种旋转奇 偶校验独立存取的阵列方式，它与RAID3、RAID4不同的 是没有固定的校验盘，而是按某种规则把奇偶校验信息均 匀地分布在阵列所属的硬盘上，并且奇偶校验信息和相对 应的数据分别存储于不同的磁盘上，所以在每块硬盘上， 既有数据信息也有校验信息。这一改变解决了争用校验盘 的问题，使得可在同一组内并发进行多个写操作。当 RAID 5系统中任意一个硬盘出现故障时，都可以利用其他 磁盘数据恢复其数据。所以RAID5既适用于大数据量的操
9
• 根据组成磁盘阵列的不同方式，RAID分为不同的级别。
从RAID概念的提出到现在，有明确标准级别的分别是 0、1、2、3、4、5、6、7、10、30、50等。下面分别对 一些具有代表性的磁盘阵列进行说明。
10

一、判断题1. ( )计算机取证一定要用取证软件来进行取证才能找到有效证据。

2. ( )电子证据是指“以电子形式存在的、用作证据使用的一切材料及其派生物”。

3. ( )收集到的电子证据只要是真实的就可以作为法庭的证据。

二、名词解释题.1．动态取证.（内存数据,通讯状态,IE自动提交数据获取;通讯程序帐号/密码的获取;仿真运行的数据-例如财务数据/数据库）取证人员依照法律规定和取证程序，由具有法律资格人员对于开机或者联网状态下的计算机及其相关计算机设备（包括交换机，路由器等）的内存数据，系统运行状态等进行相关的数据实时监控，分析和保存。

从中发现相关的犯罪证据，作出具有法律效应的检测分析报告以证明违法犯罪事实的存在。

（通常采用动态仿真系统，将待分析的硬盘中的操作系统模拟运行起来，然后再进行取证分析，提取一些在静态取证过程中无法获得的数据（如系统中已保存的各种密码），以及分析木马、恶意代码程序等）2．静态取证. （各种存储介质的获取与复制）取证人员依照法律规定和取证程序，由具有法律资格人员对计算机硬件的原始数据进行保全，检查，分析，然后从中找出与案件有关的数字证据，并作出具有法律效应的检测分析报告以证明违法犯罪事实的存在。

（就是直接分析硬盘中的文件内容，不需要将硬盘中的操作系统运行起来。

）3．磁盘镜像.（指复制到相同功能的存储装置中以起到增强数据整合度，增强容错功能，增加吞吐量等作用。

指复制到不同的装置或数据格式，主要用于数据备份）磁盘镜像”一词一般有两种不同含义。

一种是指复制到相同功能的存储装置中以起到增强数据整合度，增强容错功能，增加吞吐量等作用（如RAID）。

这时对应英文一般为Disk Mirror，以下称为磁盘镜。

另一种含义是指复制到不同的装置或数据格式，主要用于数据备份。

这时对应英文一般为Disk Image，以下称为磁盘像。

通常在使用中这两者都称为“镜像”或“磁盘镜像”。

（：又称磁盘映像，是将两个或两个以上的磁盘或磁盘子系统上生成同一个数据的镜像视图。