下载文档原格式
电子数据取证试题说明:考试时间100分钟,满分100分,答案写在答题纸上。
一、单选题(共10题,每题2分,共计20分)1.硬盘作为最常见的计算机存储介质,近几年从容量到性能都有了很大的提高,以下哪种硬盘的理论传输速率最慢?A.SCSIB.IDEC.SASD.SATA2.以下哪种规格是市场上最常见的笔记本硬盘?A. 3.5英寸B. 1.8英寸C. 2.5英寸D.1英寸3.以下哪种规格不是SCSI硬盘的针脚数?A.50B.68C.72D.804.下列哪种接口的存储设备是不支持热插拔的?B接口B.E-SATA接口C.SATA接口D.IDE接口5.下列哪个选项是无法计算哈希值的?A.硬盘B.分区C.文件D.文件夹6.下列文件系统中,哪个是Windows 7系统不支持的?A.exFatB.NTFSC.HFSD.FAT327.下列有关文件的各类时间属性,操作系统是一定不记录的?A.创建时间B.修改时间C.访问时间D.删除时间8.下列哪种不是常见的司法取证中的硬盘镜像格式?A.GhoB.AFFC.S01D.0019.系统日志中某些内容可能对取证有重要意义,比如“事件日志服务启动”通常被视为计算机开机的标志,该事件所对应的事件编号为:A.5005B.5006C.6005D.600610.Encase Forensic是业界文明的司法取证软件,它是下面哪家公司开发的?A.GuidanceB.GetDataC.AccessDataD.PanSafe二、多选题(共10题,每题3分,共计30分)1.通常Windows系统中涉及文件的3个时间属性,M代表Modify,表示最后修改时间;A代表Access,表示最后访问时间;C代表Create,表示创建时间;下列解释错误的是?A.M始终要晚于CB.M、A、C在Linux系统中也适用C.M、A、C时间是不能被任何工具修改的,因此是可信的D.文件的M、A、C时间一旦发生变化,文件的哈希值随之改变2.下列关于对位复制的说法中,不正确的是?A.为了确保目标盘与源盘的一致性,一定要找到与源盘品牌、型号、容量均一致的目标盘进行复制B.为了确保司法取证的有效性,一定要验证目标盘与源盘哈希值的一致性C.为了确保目标盘与源盘的一致性,目标盘的硬盘接口一定要与源盘一致D.当目标盘容量大于源盘时,一定要计算目标盘整盘的哈希值,用于与源盘的哈希值进行比对一致性3.下列关于现场勘验过操作的说法中,不正确的是?A.DD文件是最常用的镜像格式,因为该格式是原始镜像,而且支持高压缩。
电子物证试题及答案一、单选题(每题2分,共10分)1. 电子物证是指什么?A. 与案件有关的电子设备B. 与案件有关的电子数据C. 与案件有关的电子设备和电子数据D. 与案件无关的电子数据答案:C2. 在电子物证的收集过程中,以下哪项措施是正确的?A. 直接使用嫌疑人的电脑进行数据提取B. 断开电源后立即进行数据提取C. 使用专业的取证工具进行数据提取D. 将电子设备直接交给法医进行分析答案:C3. 电子物证的完整性校验通常使用什么技术?A. 哈希值校验B. 数据恢复C. 数据加密D. 数据解密答案:A4. 在电子物证分析中,以下哪种软件最常用于电子邮件分析?A. FTKB. EnCaseC. AutopsyD. Wireshark答案:A5. 电子物证的存储介质通常包括哪些?A. 硬盘B. 光盘C. 移动存储设备D. 所有以上选项答案:D二、多选题(每题3分,共15分)1. 电子物证的收集过程中,以下哪些措施是必要的?A. 确保收集过程的合法性B. 确保收集过程的安全性C. 确保收集过程的完整性D. 确保收集过程的可追溯性答案:ABCD2. 以下哪些因素可能影响电子物证的可靠性?A. 收集过程的不当操作B. 存储介质的损坏C. 电子设备的故障D. 分析工具的不准确性答案:ABCD3. 在电子物证分析中,以下哪些工具可以用于数据恢复?A. R-StudioB. RecuvaC. PhotoRecD. FTK Imager答案:ABC4. 电子物证的分析过程中,以下哪些步骤是常见的?A. 数据提取B. 数据筛选C. 数据分析D. 数据呈现答案:ABCD5. 电子物证的法律效力通常取决于哪些因素?A. 收集过程的合法性B. 证据的完整性C. 证据的关联性D. 证据的可靠性答案:ABCD三、判断题(每题1分,共5分)1. 电子物证的收集过程不需要遵循法律程序。
(错误)2. 电子物证的分析结果可以直接作为法庭证据。
电子数据取证工作试题一、单选1CPU 的中文含义是____。
A主机B中央处理器C运算器D控制器2DOS命令实质上就是一段____。
A数据B可执行程序C数据库D计算机语言3E01的块数据校验采用A CRC算法B MD5算法C SHA-1算法D SHA-2算法4E01证据文件分卷大小默认为A 4.7GB 600MC 640MD 700M5FAT文件系统中,当用户按Shift+Del删除该文件后,以下描述正确的是?A 文件已经彻底从硬盘中删除B 文件已删除,但文件内容首字节被改为十六进制E5C 还在回收站中,可用取证大师恢复D文件已删除,但是数据还在,目录项首字节被改为十六进制E5 6FAT文件系统中通常有多少个FAT表?A 1B 2C 3D 47Linux系统中常见的文件系统是A Ext2/Ext3/Ext4B NTFSC FAT32D CDFS8MBR扇区通常最后两个字节十六进制值为(编码次序不考虑)A AA 11B 11 FFC 55 AAD 66 BB9Windows记事本不能保存的文本编码为A ANSIB RTFC UnicodeD UTF-810Windows中的“剪贴板”是________。
A 一个应用程序B磁盘上的一个文件C内存中的一个空间D一个专用文档11不属于简体中文编码的是A Big5B UFT-8C UnicodeD GB231212操作系统以扇区(Sector)形式将信息存储在硬盘上,每个扇区包括()个字节的数据和一些其他信息。
A 64B 32C 58D 51213磁盘经过高级格式化后, 其表面形成多个不同半径的同心圆, 这些同心圆称为____。
A 磁道B 扇区C族D磁面14磁盘在格式化的时候被分为许多同心圆,这些同心圆轨迹叫做磁道,磁道是如何编号的A由外向内从0开始编号B由外向内从1开始编号C由内向外从0开始编号D由内向外从1开始编号15当前大多数硬盘采用的寻址方式为A CHSB LBAC AUTOD LARGE16断电会使原存信息消失的存储器是____。
电子数据取证理论技能考核试卷姓名:部门:成绩:________________一、单项选择题(每题1.5分,共30分)1.现场拍照一般建议的流程是:( B )A. 小区入口→房间→楼层、门牌号→主卧→电脑B. 小区入口→楼层、门牌号→房间→主卧→电脑C. 小区入口→主卧→房间→楼层、门牌号→电脑D. 小区入口→电脑→房间→楼层、门牌号→主卧2.目前主流的硬盘接口,俗称“串口”的为:( D )A. ZIFB. SASC. IDED. SATA3.以下哪些是属于常见的硬盘接口?( E )A. IDEB. SATAC. LIFD. SASE. 以上都是4.需要一个记录有多数文件的文件签名特征及扩展名的数据库,即:( B )A. 签名库B. 文件签名库C. 文件库D. 文件属性库5.文件头部包含了成为( C )的识别信息,同一类型文件的文件头部信息是相同的。
A. 文件头B. 扩展名C. 签名D. 以上答案均不正确6.IMEI是国际移动设备身份码的缩写,国际移动装备识别码,是由( C )位数字组成的"电子串码",它与每台手机相对应,理论上该码是全世界唯一的。
A. 14B. 16C. 15D. 187.通常情况下,收集数据的获取由现场环境和取证条件而决定,不包括以下哪种情况?( D )A、可视化获取B、逻辑获取C、物理获取D、动态获取8.手机数据物理获取是使用特定的方法或软硬件工具,将手机内部存储空间完整获取,以便进行后期调查分析,以下不是物理获取方法的是( C )A. 镜像采集终端获取B. JTAG获取C. 动态获取D. 焊接获取9.手机无法与分析机正常连接的原因( D )A、手机驱动问题B、手机通讯模式问题C、手机数据线问题D、以上都是10.SCSI转换器用于将SCSI硬盘转换为标准( A )接口,从而与主机连接。
A、SATAB、IDEC、SASD、LIF11.开盘维修硬盘需要的环境( B )A、真空室B、无尘室C、氧气室D、自然环境12.SAS为(),SATA为( B )A、全双工全双工B、全双工半双工C、半双工全双工D、半双工半双工13.手机输入PIN码3次都错误,SIM卡会被锁定,此时需要输入( B )码解锁。
精品文档电子数据取证试题说明:考试时间100分钟,满分100分,答案写在答题纸上。
一、单选题(共10题,每题2分,共计20分)1.硬盘作为最常见的计算机存储介质,近几年从容量到性能都有了很大的提高,以下哪种硬盘的理论传输速率最慢?A.SCSIB.IDEC.SASD.SATA2.以下哪种规格是市场上最常见的笔记本硬盘?C.2.5英寸英寸B.A.3.5英寸 1.8D.1英寸3.以下哪种规格不是SCSI硬盘的针脚数?B.68C.72D.A.50 804.下列哪种接口的存储设备是不支持热插拔的?B. E-SATA接口C.SATA接口D.IDE接口 B接口5.下列哪个选项是无法计算哈希值的?B.分区C.文件D.A.硬盘文件夹6.下列文件系统中,哪个是Windows 7系统不支持的?A.exFatB.NTFSC.HFSD.FAT327.下列有关文件的各类时间属性,操作系统是一定不记录的?B.修改时间C.A.创建时间访问时间D.删除时间8.下列哪种不是常见的司法取证中的硬盘镜像格式?A.GhoB.AFFC.S01D.0019.系统日志中某些内容可能对取证有重要意义,比如“事件日志服务启动”通常被视为计算机开机的标志,该事件所对应的事件编号为:A.5005B.5006C.6005D.600610.Encase Forensic是业界文明的司法取证软件,它是下面哪家公司开发的?D.C.A.Guidance B.GetDataAccessDataPanSafe二、多选题(共10题,每题3分,共计30分)1.通常Windows系统中涉及文件的3个时间属性,M代表Modify,表示最后修改时间;A代表Access,表示最后访问时间;C代表Create,表示创建时间;下列解释错误的是?A.M始终要晚于CB.M、A、C在Linux系统中也适用C.M、A、C时间是不能被任何工具修改的,因此是可信的精品文档.精品文档D.文件的M、A、C时间一旦发生变化,文件的哈希值随之改变2.下列关于对位复制的说法中,不正确的是?A.为了确保目标盘与源盘的一致性,一定要找到与源盘品牌、型号、容量均一致的目标盘进行复制B.为了确保司法取证的有效性,一定要验证目标盘与源盘哈希值的一致性C.为了确保目标盘与源盘的一致性,目标盘的硬盘接口一定要与源盘一致D.当目标盘容量大于源盘时,一定要计算目标盘整盘的哈希值,用于与源盘的哈希值进行比对一致性3.下列关于现场勘验过操作的说法中,不正确的是?A.DD文件是最常用的镜像格式,因为该格式是原始镜像,而且支持高压缩。
电子学会数据库一级考试真题与答案解析考试背景电子学会数据库一级考试是由电子学会(Electronic Society)主办的一项认证考试,旨在评估考生对数据库相关知识的掌握程度。
该考试对电子学会会员以及其他对数据库有兴趣的人士开放,内容涵盖了数据库的基本概念、模型与设计、数据查询与管理等方面的知识。
考试题目1. 以下哪个选项是数据库的定义?- A. 一个包含相关数据的文件夹- B. 一组相互关联的表- C. 用于保存数据的硬盘- D. 数据分析工具2. 数据库模型有多种类型,下列哪个不是数据库模型的种类?- A. 层次模型- B. 关系模型- C. 面向对象模型- D. 网状模型3. 在关系数据库中,什么是主键?- A. 用于连接两个表的字段- B. 用于唯一标识关系的字段- C. 用于存储大字段的数据类型- D. 用于控制数据访问权限的字段4. 下列哪个SQL语句用于向数据库表中插入数据?- A. UPDATE- B. INSERT- C. DELETE- D. SELECT5. 在数据库查询中,用于从表中选择指定的列的语句是?- A. SELECT- B. UPDATE- C. DELETE- D. INSERT解析1. 答案:B- 选项A是文件夹的定义,不是数据库的定义;- 选项C是硬盘的定义,不是数据库的定义;- 选项D是数据分析工具,不是数据库的定义。
2. 答案:D- 层次模型、关系模型和面向对象模型都是数据库模型的种类,而网状模型不属于数据库模型的种类。
3. 答案:B- 主键是用于唯一标识关系的字段,它能确保每条记录都具有唯一的标识符,并且每个主键值只能对应一条记录。
4. 答案:B- SQL语句中的INSERT用于向数据库表中插入数据。
5. 答案:A- SELECT语句用于从表中选择指定的列,以便进行查询操作。
以上是电子学会数据库一级考试的真题与答案解析。
希望对您备考有所帮助!。
数据取证技术工作试题
1. 数字取证基础知识
- 请解释数字取证的定义和目的。
- 简要介绍数字取证的主要步骤和流程。
2. 数据恢复和提取
- 描述一种常用的数据恢复方法,并解释其原理。
- 请说明如何提取和获取存储在手机上的数据,包括短信、通话记录和应用程序数据。
3. 取证工具和技术
- 列举几种流行的取证工具,并说明它们的特点和适用场景。
- 请介绍一种常用的取证技术,并解释其原理和应用。
4. 数据验证和完整性保护
- 请说明数字证据的验证过程和常用的验证方法。
- 如何保护数字证据的完整性和可信性?
5. 取证流程和法律要求
- 详细描述数字取证的关键流程和步骤。
- 数字取证工作中需要遵守哪些法律要求和道德准则?
6. 司法程序和数据取证
- 请解释数字取证在司法程序中的角色和重要性。
- 描述一个你在实践中遇到的数据取证案例,并讨论该案例对法律程序和调查结果产生的影响。
请注意,以上问题仅供参考,根据具体情况可以根据不同角度和要求进行调整和补充。
试题应旨在评估候选人的数字取证技术知识、应用能力和解决问题的能力,确保其适合从事该领域的工作。
电子数据取证工作试题1.CPU的中文含义是中央处理器。
2.DOS命令实质上就是一段可执行程序。
3.E01的块数据校验采用CRC算法。
4.E01证据文件分卷大小默认为700M。
5.FAT文件系统中,当用户按Shift+Del删除该文件后,文件已删除,但数据还在,目录项首字节被改为十六进制E5,可用取证大师恢复。
6.FAT文件系统中通常有两个FAT表。
7.Linux系统中常见的文件系统是Ext2/Ext3/Ext4.8.MBR扇区通常最后两个字节十六进制值为55 AA。
9.Windows记事本不能保存的文本编码为Unicode。
10.Windows中的“剪贴板”是内存中的一个空间。
11.不属于简体中文编码的是Big5.12.操作系统以扇区(Sector)形式将信息存储在硬盘上,每个扇区包括512个字节的数据和一些其他信息。
13.磁盘经过高级格式化后,其表面形成多个不同半径的同心圆,这些同心圆称为磁道。
14.磁盘在格式化的时候被分为许多同心圆,这些同心圆轨迹由外向内从开始编号。
15.当前大多数硬盘采用的寻址方式为LBA。
16.断电会使原存信息消失的存储器是RAM。
17.关于MBR的描述,错误的是分区表项存在MBR当中。
1.ARAID也称为廉价磁盘冗余阵列或独立磁盘冗余阵列。
BRAID0只需要一个硬盘损坏,数据就会丢失。
CRAID1只需要一个硬盘损坏,数据就会丢失。
DRAID5至少需要三个磁盘来组成。
2.关于U盘的描述,错误的有:A。
U盘不是通过磁头来读写数据的。
B。
U盘不是通过盘片来存储数据的。
C。
U盘取证需要连接只读锁。
D。
U盘在高级格式化时不会被划分成许多磁道。
3.关于磁盘分区的说法,错误的是:A。
磁盘分区后需要操作系统来存放数据。
B。
分区是通过低级格式化来实现的。
C。
分区是通过高级格式化来实现的。
D。
Windows中同一个分区中只能存放相同文件系统格式的文件。
4.关于回收站文件夹的描述,正确的有:A。
第一章单元测试1、单选题:根据洛卡德物质交换(转移)原理,下列说法正确的是()。
选项:A:两个对象接触时,物质不会在这两个对象之间产生交换或者转移。
B:网络犯罪过程中,嫌疑人使用的电子设备同被害者使用的电子设备、网络之间的电子数据不存在相互交换。
C:嫌疑人会获取所侵入计算机中的电子数据;另一方面他也会在所侵入计算机系统中留下有关自己所使用计算机的电子“痕迹”。
D:网络犯罪中的电子数据或“痕迹”都是自动转移或交换的结果,受人为控制,不仅保存于作为犯罪工具的计算机与处于被害地位的计算机中,而且在登录所途经的有关网络节点中也有保留。
答案: 【嫌疑人会获取所侵入计算机中的电子数据;另一方面他也会在所侵入计算机系统中留下有关自己所使用计算机的电子“痕迹”。
】2、单选题:电子数据作为证据使用的基本特性包括( )。
选项:A:客观性、合法性、电子性B:客观性、合法性、关联性C:客观性、虚拟性、关联性D:客观性、真实性、电子性答案: 【客观性、合法性、关联性】3、多选题:电子数据取证架构包括下列哪些()组成。
选项:A:对象层B:基础层C:技术层D:证据层答案: 【对象层;基础层;技术层;证据层】4、多选题:电子数据取证与应急响应在哪些方面存在不同()。
选项:A:过程B:目标C:实施主体D:使用的方法和技术答案: 【过程;目标;实施主体】5、判断题:要做好电子数据取证,不仅要掌握电子数据的物理存储知识,还必须掌握电子数据的逻辑存储知识。
()选项:A:错B:对答案: 【对】第二章单元测试1、单选题:通常使用()来保障电子证据的“真实性”与“有效性”。
选项:A:数据获取技术B:数字校验技术C:克隆技术D:数据恢复技术答案: 【数字校验技术】2、多选题:物理修复包括()。
选项:A:芯片级修复B:固件修复C:文件级修复D:物理故障修复答案: 【芯片级修复;固件修复;物理故障修复】3、多选题:以下属于FAT32文件系统逻辑结构的是()。
电子数据取证试题
说明:考试时间100分钟,满分100分,答案写在答题纸上。
一、单选题(共10题,每题2分,共计20分)
1.硬盘作为最常见的计算机存储介质,近几年从容量到性能都有了很大的提高,以下哪种
硬盘的理论传输速率最慢?
A.SCSI
B.IDE
C.SAS
D.SATA
2.以下哪种规格是市场上最常见的笔记本硬盘?
A. 3.5英寸
B. 1.8英寸
C. 2.5英寸
D.1英寸
3.以下哪种规格不是SCSI硬盘的针脚数?
A.50
B.68
C.72
D.80
4.下列哪种接口的存储设备是不支持热插拔的?
B接口
B.E-SATA接口
C.SATA接口
D.IDE接口
5.下列哪个选项是无法计算哈希值的?
A.硬盘
B.分区
C.文件
D.文件夹
6.下列文件系统中,哪个是Windows 7系统不支持的?
A.exFat
B.NTFS
C.HFS
D.FAT32
7.下列有关文件的各类时间属性,操作系统是一定不记录的?
A.创建时间
B.修改时间
C.访问时间
D.删除时间
8.下列哪种不是常见的司法取证中的硬盘镜像格式?
A.Gho
B.AFF
C.S01
D.001
9.系统日志中某些内容可能对取证有重要意义,比如“事件日志服务启动”通常被视为计
算机开机的标志,该事件所对应的事件编号为:
A.5005
B.5006
C.6005
D.6006
10.Encase Forensic是业界文明的司法取证软件,它是下面哪家公司开发的?
A.Guidance
B.GetData
C.AccessData
D.PanSafe
二、多选题(共10题,每题3分,共计30分)
1.通常Windows系统中涉及文件的3个时间属性,M代表Modify,表示最后修改时间;A
代表Access,表示最后访问时间;C代表Create,表示创建时间;下列解释错误的是?
A.M始终要晚于C
B.M、A、C在Linux系统中也适用
C.M、A、C时间是不能被任何工具修改的,因此是可信的
D.文件的M、A、C时间一旦发生变化,文件的哈希值随之改变
2.下列关于对位复制的说法中,不正确的是?
A.为了确保目标盘与源盘的一致性,一定要找到与源盘品牌、型号、容量均一致的目标盘进行复制
B.为了确保司法取证的有效性,一定要验证目标盘与源盘哈希值的一致性
C.为了确保目标盘与源盘的一致性,目标盘的硬盘接口一定要与源盘一致
D.当目标盘容量大于源盘时,一定要计算目标盘整盘的哈希值,用于与源盘的哈希值进行比对一致性
3.下列关于现场勘验过操作的说法中,不正确的是?
A.DD文件是最常用的镜像格式,因为该格式是原始镜像,而且支持高压缩。
B.为了固定运行着的计算机的桌面状态,首先应该按键盘的PrtSc键进行截图。
C.对于关机状态下的计算机进行固定时,优先采取对硬盘盘体进行开盘操作的方式。
D.对于关机状态下又无法拆卸硬盘的计算机,应该开机直接查看系统里的数据。
4.下列文件系统中,哪些是Windows的文件系统?
A.HFS/HFS+
B.EXT2/3/4
C.NTFS
D.FAT16/32
5.下列关于对位复制和创建镜像的说法中,错误的是?
A.一般情况下,对位复制时,目标盘容量要等于源盘容量
B.制作DD镜像时,能够将500G源盘的完整DD镜像生成到500G的目标盘中
C.一般情况下,源盘生成的E01镜像,占用的空间小于同一块盘生成的DD镜像
D.用专门的镜像哈希计算工具,计算的同一块硬盘的DD和E01镜像哈希值是相同的
6.当一块硬盘被连接到计算机上时,Windows系统已经为其分配盘符,但双击该盘符提示
是否需要格式化磁盘,可能存在的原因是?
A.该分区格式为EXT4,Windows系统无法识别
B.该分区已损坏,Windows无法识别
C.该硬盘是一块从未使用过的全新的硬盘
D.该分区被病毒感染,导致分区表丢失
7.下面关于文件头的说法中,不正确的是?
A.各种类型文件的文件头长度不一定相同
B.JPG格式文件的文件头存在细小差异
C.相比文件头,文件扩展名更可信,因此文件扩展名常用于判断文件类型
D.在Windows系统中,修改文件扩展名的同时,该文件的文件头也随之变化
8.下列哪些类型是Windows7系统中常见的日志类型?
A.Application
B.Security
C.System
D.Local
9.手机中常用的简体中文编码格式不包括?
A.Big5
B.UTF-16
C.Unicode BE
D.UTF-7
10.下面哪些密码破解方法可以用于RAR文件?
A.彩虹表破解
B.暴力破解
C.掩码破解
D.字典破解
三、不定项选择题(共10题,每题3分,共计30分)
1.下列不是NTFS分区下的元文件的是?
A.$MFT
B.$Boot
C.$FAT
D.$Secure
2.下列属于Windows 7系统中虚拟内存对应的文件是?
A.hiberfil.sys
B.pagefile.sys
C.virtualmem.sys
D.config.sys
3.下列关于文件大小和文件占用空间大小的说法中,不正确的是?
A.文件大小和文件占用空间大小总是不一致的
B.文件占用空间大小总是大于文件的实际大小
C.文件大小总是文件占用扇区大小的整数倍
D.文件占用空间大小与文件实际大小之间的差额通常被称为文件松弛区(Slack)
4.下面哪些操作系统不属于智能手机操作系统?
A.Linux
B.Windows 8
C.Mac OS
D.MTK
5.下面哪些文件不是Windows的注册表文件?
A.Regedit
B.Sam
C.System
D.Security
6.下面哪种类型的数据不属于易失性数据?
A.内存
B.未分配簇
C.运行的服务
D.未打开的图片
7.下列关于安卓手机取证说法错误的是?
A.安卓手机大部分的关键数据都记录在data区内
B.Data区无法随意访问,需要最高用户权限的授权(root权限)
C.通过解析备份文件也可以完成对data区的取证
D.通过一些第三方软件,可以将QQ、微信等主流社交软件的聊天记录储存位置指定在
SD卡
8.下列关于制作硬盘复制件的说法中,不正确的是?
A.降低直接在源盘检验带来的源盘损坏的风险。
B.防止误操作等原因造成的硬盘数据篡改。
C.对于某些传输速率低的硬盘,复制件采用高速率硬盘能有效提高后续取证效率。
D.制作复制件的同时,能够修复部分物理损坏的源盘。
9.下列文件后缀名的说法中,不正确的是?
A.文件的后缀名显示与否是Windows系统中可以设置的。
B.文件的后缀名一般来说为3-4个位长度。
C.可以通过改变文件的后缀名修改文件的类型。
D.所有文件都有文件后缀名。
10.下列关于iPhone取证说法错误的是?
A.iPhone数据恢复一定要越狱
B.iPhone的DFU模式通常用于刷机和越狱
C.iPhone4的4位屏幕密码可以破解
D.iPhone只有越狱了才能进行密码破解
四、判断题(共10题,每题1分,共计10分)
1.手机取证时一般将手机调成飞信模式再进行取证。
2.计算机仿真取证技术可以很大程度上弥补传统静态取证证据获取能力的不足。
3.手机的备份文件中不会记录IMEI号。
4.开机状态下Windows的用户密码信息是以明文形式保存在注册表中的。
5.安卓手机都可以通过备份进行获取。
6.现场勘验时可以通过PE工具直接清除windows密码后进行开机取证。
7.对手机取证时应保证待检测手机的数据、信号畅通,以便及时接受到最新的证据。
8.iPhone手机微信中获取的语音文件属于证据形式中的声像资料,而不是电子数据。
9.在进行硬盘克隆(对位复制)前必须对目标盘进行擦除。
10.Aff与E01格式支持镜像压缩,可根据实际需求选择压缩比,减少文件占用的空间与镜
像制作的时间。
五、简答题(共2题,每题5分,共计10分)
1.简述硬盘克隆(对位复制)与镜像的异同。
2.简述有屏幕密码的安卓手机应该如何取证。
