电子数据取证笔试试卷VIP免费

电子数据取证试题说明：考试时间100分钟，满分100分，答案写在答题纸上。一、单选题（共10题，每题2分，共计20分）1.硬盘作为最多见的计算机存储介质，近几年从容量到性能都有了很大的提高，以下哪一种硬盘的理论传输速度最慢？A.SCSIB.IDEC.SAS2.以下哪一种规格是市场上最多见的笔记本硬盘？A.3.5英寸B.1.8英寸C.2.5英寸3.以下哪一种规格不是SCSI硬盘的针脚数？A.50B.68C.724.下列哪一种接口的存储设备是不支持热插拔的？A.USB接口B.E-SATA接口C.SATA接口5.下列哪个选项是无法计算哈希值的？A.硬盘B.分区C.文件6.下列文件系统中，哪个是Windows7系统不支持的？A.exFatB.NTFSC.HFS7.下列有关文件的各类时间属性，操作系统是必然不记录的？A.创建时间B.修改时间C.访问时间8.下列哪一种不是常见的司法取证中的硬盘镜像格式？D.SATAD.1英寸D.80D.IDE接口D.文件夹D.FAT32D.删除时间A.GhoB.AFFC.S01D.0019.系统日记中某些内容可能对取证有重要意义，比如“事件日记服务启动”通常被视为计算机开机的标志，该事件所对应的事件编号为：A.5005B.5006C.6005D.600610.EncaseForensic是业界文明的司法取证软件，它是下面哪家公司开发的？A.GuidanceB.GetDataC.AccessDataD.PanSafe二、多选题（共10题，每题3分，共计30分）1.通常Windows系统中涉及文件的3个时间属性，M代表Modify，表示最后修改时间；A代表Access，表示最后访问时间；C代表Create，表示创建时间；下列解释错误的是？A．M始终要晚于CB．M、A、C在Linux系统中也适用C．M、A、C时间是不能被任何工具修改的，因此是可信的D．文件的M、A、C时间一旦发生转变，文件的哈希值随之改变2.下列关于对位复制的说法中，不正确的是？A．为了确保目标盘与源盘的一致性，必然要找到与源盘品牌、型号、容量均一致的目标盘进行复制B．为了确保司法取证的有效性，必然要验证目标盘与源盘哈希值的一致性C．为了确保目标盘与源盘的一致性，目标盘的硬盘接口必然要与源盘一致D．当目标盘容量大于源盘时，必然要计算目标盘整盘的哈希值，用于与源盘的哈希值进行比对一致性3.下列关于现场勘验过操作的说法中，不正确的是？A．DD文件是最常常利用的镜像格式，因为该格式是原始镜像，而且支持高紧缩。B．为了固定运行着的计算机的桌面状态，首先应该按键盘的PrtSc键进行截图。C．对于关机状态下的计算机进行固按时，优先采取对硬盘盘体进行开盘操作的方式。D．对于关机状态下又无法拆卸硬盘的计算机，应该开机直接查看系统里的数据。4.下列文件系统中，哪些是Windows的文件系统？A.HFS/HFS+B.EXT2/3/4C.NTFSD.FAT16/325.下列关于对位复制和创建镜像的说法中，错误的是？A．一般情况下，对位复制时，目标盘容量要等于源盘容量B．制作DD镜像时，能够将500G源盘的完整DD镜像生成到500G的目标盘中C．一般情况下，源盘生成的E01镜像，占用的空间小于同一块盘生成的DD镜像D．用专门的镜像哈希计算工具，计算的同一块硬盘的DD和E01镜像哈希值是相同的6.当一块硬盘被连接到计算机上时，Windows系统已经为其分派盘符，但双击该盘符提示是不是需要格式化磁盘，可能存在的原因是？A．该分区格式为EXT4，Windows系统无法识别B．该分区已损坏，Windows无法识别C．该硬盘是一块从未利用过的全新的硬盘D．该分区被病毒感染，致使分区表丢失7.下面关于文件头的说法中，不正确的是？A．各类类型文件的文件头长度不必然相同B．JPG格式文件的文件头存在细小不同C．相较文件头，文件扩展名更可信，因此文件扩展名常常利用于判断文件类型D．在Windows系统中，修改文件扩展名的同时，该文件的文件头也随之转变8.下列哪些类型是Windows7系统中常见的日记类型？A.ApplicationB.SecurityC.SystemD.Local9.电话中常常利用的简体中文编码格式不包括？A.Big5B.UTF-16C.UnicodeBED.UTF-710.下面哪些密码破解方式可以用于RAR文件？A.彩虹表破解B.暴力破解C.掩码破解D.字典破解三、不定项选择题（共10题，每题3分，共计30分）1.下列不是NTFS分区下的元文件的是？A.$MFTB.$BootC.$FATD.$Secure2.下列属于Windows7系统中虚拟内存对应的文件是？A.hiberfil.sysB.pagefile.sysC.virtualmem.sy...