计算机取证复习题及答案.pdf

《计算机取证复习题及答案.pdf》由会员分享，可在线阅读，更多相关《计算机取证复习题及答案.pdf（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机眼iiE复习题及答案计算机取iii：习题Q：计算机中的质量保障（Quality Assurance）主要涉及哪些内容？A：质量保附指一个包含很多规则的文非方面很完备的系统，用以确保分析结果的准确性和可靠性，包括：同行评市报告、证据的处理、采伶文书以及实验室人员的珩训IIQ：在计算机取证中选择取证工具时得要注意些什么？A；要根据NIST非HNIJ的标准，rI使用前迸行验证，在更新好也要选中丁验证。Q:Linux文件系统结构中的数据位图（Data Bitmap）的用途是什么？试结合示例加以说明A：数据主刻的每一位对应着一个数据块，F日 0或者1表示该数据块是否空闲。如1010表示第一个数据块

2、和第三个数在；1块不是空闲的，第二个和I第四个是空闲的Q:ls是Linux系统中常用命令，利用该命令是否能够判断一个指定目录上是否接载有文件系统？为什么？A：使用ls命令可以盗知该国录根结点i结点自由号Q：什么是监管链？它囱谁构建？A：监管链即连续创ijf;J店，是核时间顺序体列的文件戒书而也录，Z示仙子ijf;掘的捕获、保管、检削、传输、分忻和处理比信息.11取证人员构建Q：专家证人和非专家证人的主要区别是什么？什么样的人能充当专家证人？A：专家和1增人可以给出他们自己的观点，在法徐意义上能够帮助法官或者附审团理解说明他们不熟悉的证榻的人就可以充当专家证人。Q:Segal Law揭示数字取证

3、中的什么问题？如何面对该类问题？A:SegalLaw是说一个人有一块我就可以判断时问，如果有两块H节间小同的袋就无法确定哪个时间是对的丽对该兰是问题，规定一个,t;j;（佳时间Q：何为数字取证中的克隆操作？为何需要克隆操作？如何送行？A：数字取ii中的克隐操作是对蜒恕的量在掘进行逐比特拷贝原因：l数字证据是非常不稳定的，对证据的研究、t合资不能在原始证据上进行2JQ:!强有可能会崩泼，网此多5.隆以作为后备3.旦误操作有机会重新开始方法：fl,)耍一个驭iiE兹义上干净的破敛，从j反咆J函中移出版硬规；将j引使叙利克搓设备或其他电脑连接：应用取i镜 靠工具克隆Q：通常很多已被删除的信息依然可以

4、由Mactime工具展示出来，这样查到的已删除文件和来删除文件有什么不同？如何定位已删除文件在文件系统中所处的文件位置？A；已删除的文件不同有路径名，只能1币，示;!,I;i结点翻；1号可以根据该文件的2结点制号沓伐文件系统中与之相守或相近的i绪点编号，因为文件创建H、：ji结点的编号是战次序排列的，因此该文件的目录位置里极有可能和i纺J!i编号与之短接近的文件技网。Q:Liuux的ext3间的文件自通日志保存在一个文件中，该文件有大量时间信息，但该文件不会出现在目录列表中，如何访问该文件以便从中获取时间信息？A：冈为不在国录中，凉，所以不能通过名字找到，可以)ffi过hme2f运明星黑尔日志

5、文件的保存位置，2节点；号等信息，然后通过在这些信息去找到官Q：如果数字取证中嫌疑入经常使用浏览器访问互联网，那么以互联网行为为主线，可以从哪些方面获取相关证据信怠，这些信息又能证咧什么？A:!.cookies,cookies一般保存在index。Oat堪丽，包报URL信息访问问J1Jj时间，用户名等信息2临时文件网页缓存），会显示如“最近一次访问的时间”在TIF中3.历史记录p分成于在日期、星期、月份，在index.dat,II:尔访问的URL和l时间4.注册衰，ntuser.dat文件中，有近期访问的URL，键的名称按时间顺序排尹rJ.一、填5.I毯（每空1分，共32分1、计算机证据的来源

6、有、2、存储设备与服务器的连接方式通常有（、(、(3、向一块使微弱入敛据之前，首先宿妥将其分l豆和格式化，这个过程一般可以分为、()三个步骤，安装文件系统是其中的)4、硬盘分区可以分为、（，分区操作所做的事俯是对（边行修议。3、草草作系统启动扇区位于（，立包括）有I()6、NTFS将其数据一般佯放在？、对称加t中f技术的典型算法为，非对称加密技术的典型算法为8、信息隐藏技术主要分为（和（9、(）与（是电子签名法要解决的首要问题10、是计算机取证的核心和l关键II、(14、在计算机上维护有关应用程序，交全性系统事件的日志p可以使用（查看并管理事件日志。15、在从.VIN仍在是作系统开始（）就成为

7、了Windows及其所支持的应用段序的中心自己重敛据库。二i在瘁，也得空2分，；！t20分1、VliuXP主要的文件系统是（)A.FATl6 B。NTFSC.FAT32 D.FATl2 2、当关闭计算机时，主要丢失的是什么信息？A.RA.1中的费生撼B.正在运行的进程c.当前的网络连接D金边3、FAT袭的定义是A包括主引导记录区和Ji到自分区B正在运行的系统在分区Ii卖取并定位戴慌的时候产生c包括文件名和文件属性的表D 83文件名、被那iJI涂的文件的名字以及文件的鼠。11构成的表4、以下哪一项是关于分区农的拍迷A位于0校丽，0磁道，1扇区B位于主引导记录区C用于追踪硬ff.t驱动器上的分区D

8、以上所有的5、哪个边观FAT文件系统中分割文件的路径？AFAT表B目录结构c卷号导记录D主f圭文件表6、NTFS文件系统具有以下什么特点？A支持长文件名B支持文件加密管理功能c刘文件也是以目录形式来组织的D金边7、FAT记录（而国录琐记录着)A文件的名字文件的大小B文件的起始簇文件的摄后一个簇（EOF)C文件的最后一个簇（EOF文件的起始在要D文件的大小文件的分割8、Encase软件是如何恢复一个删除的文件的A在FAT表中读取被删除文件的名字并根据其起始簇号和逻编大小寻找文件B在目录项中读取被删除的文件的名字并在米分自己的簇中寻找文件的名字C从目录项中获得被l刷文件的起始自豪号和大小以获得数据

9、的起始地址和所需簇的数量D在F.T袋中获取被册，JI徐文件的起始簇号和大小寻找文件以获得数据的起始地址和所简直在的数量9、驱动上数据可以被写入的最小区l或是，驱动上文件被写入的最小区域是A BIT BY四B扇豆簇C卷骚动D内存磁徽10、主引导记录区的分区农为物理驱动器准备了几个逻槐分区。Al 62 C4 D 24 三、名词曲辛辛基（每小腿4分，共20分）l、计算机取证2、文件系统3、数据恢复4、电子数据鉴定5、自由空间、闲散空问四、简答题（每小JW 4分，共28分l、列举几例有关计算机的犯罪2、计算机取证的基本原则3、FAT文件系统中第一个扇区是引导（启动扇区。情对FAT引导扇区做个详细的捎述

10、4、法律执行过程模型的内容5、列举易失性系统信息有哪些6、计算机取证的技术有哪六大类？7、对自1Case软件的功能做一个筒单介绍三、简答题1在计算机取证的过程中，不管发生了什么紧急情况，调查者都必须遵循的原则是什么？答：不要改变原始记录不要在作为证据的计算机上执行无关的程序不要给犯罪者销毁证据的机会详细记录所有 的取证滔动妥善保存取得的物证2.当胃ind。”系统受到入侵攻击，而需要对系统进行取证分析的操作会引起易失使数据耍的易失性数据包指哪些？答：系统日舰和时间当前运行的活动进程当前的网络连接当前打开的端口当前打开的套接字上的应用程序当前登录用户3.Wind。”系统中初始响应指的是什么？现场数

11、据收集的主要步骤包括哪些？答；l.初始响应指的是收集受窑有机器卡的易失性数据，:!1：据此进行取iiE分析的过程2.现场数据收集包括一下3步：打开一个可信的命令解释程序数据收集的准备工作开始收集易失性敛据4.描述你知道的证据获取技术包括哪些？答：对计算机系统和文件的安全获取技术：避免对j原始介质进行任1J破坏和干扰：对数据和软件的安全搜集技术；对磁:CA:或其官存储介质的安全无损伤备份技术：对已删除文件的恢复、重建技术：.）（才磁盘空间、米分自己空间和l肉Fh空间中包含的信息的发妮技术；对交换文件、缓4字文件、临时文件中包含的信息的复原技术：计算机在某一特定时刻活动内存中的数据的搜集技术：网络

12、流动数据的获取技术等6.基本过程模型有哪些步骤？答保证安全封，进行隔离，对现场信息进行记录：金丽盗找证据：对证据进行提取和打包；维护证据l监督链6.电子证据与传统证据的区别有哪些？答：计算机数据无时无刻不在改变：计算机数据咱不是肉眼直接可见的，必须借助适当的工具：搜集计算机数据的过程，可能会对原始数锻造成很严重的修改，因为打开文件、打印文件等一般都不是原子操作：电子证据问题是由于技术发展引起的，网为计算机和电信技术的发展非常迅猛，所以取iii：步骤和tiff，也必须不断调憨以适应技术的进步。7.胃ind。”系统取证方法的主要流程是什么？答；6大i沉稳2取容易丢失的信息冻结硬件申谐取iiE取证分

13、析分析才在货文件归铛8.日志分析有哪些？包括什么内容？答：媒作系统日志分析：防火崎日志分析；IDS软件臼志分析：应用软件日志分析9.Windows 2000/XP安全管理的常用方法有哪些？（至少写出6个答创建2个管理E员账户使HJ.JTFS分区使用安全毡码设.a.屏保毡：码创建一个陷门帐号4巴adminis trator账号改名四、综合题1.Windows系统下取证方法的主要流程是什么？我们文件数据一般的隐撒术有哪些，谈谈你的看法？谷。6大ijf；应取容易丢失的信息冻结硬件申请取i正取证分析分析报省文件归铛文件数据一般的隐擞术操作系统本身自flf功能利用PAT髓且大小利用slack饭利用更高级

14、的工具2.阐述事件响应过程模型执行步骤及其工作内容？攻击预防阶段；事先选行相关tt甘II，并准备好所需的数字取证设备。事件侦狈IJ阶段：识f,IJITJ疑事件。初生fcl1H豆阶段：证实攻珩事件已经发生须尽快收集易丢失的证据I响应re!f匹配：irt辑现有的经验确定响应策略备份。产生系统备份调查。调查系统以便识别攻击者身份、攻击手段.攻击过程安全方案实施：对被侦察的系统进行安全隔离阙络览馆监视网络以便识到j：攻击。恢复将系统恢复到fl）始状态，并合理设置安全设施。报告记录相应的步骤及补救的方法。11.补充；对l响应过程及方法进行回顾，查，并进行适当的调葱3.简述硬盈的结构与数据组织，写出一般文

15、件的删除与恢复方法？答硬1茧的结构主要分为物理结构和逻钳结构p它的工作服Jlll半要利用电、H睛转t9!实现的，硬盘的物理结构只包括。必片、自量头、王盐片主轴、控制电机、磁头控制、数t扭转化、接口、缓存辈革几个部分在逻辑结构中因为硬盘有很多的盘片组成，每个金片被划分为右干个同心园，称为磁迢，所有的盘片者固定在一个J淀转抽上3这个铀目n盘片主辙，硬舷上的数据舷R也不同的特点和作用大致可分为5部分MBR区、DBR区、FAT区、DIR区和DATA区其中，MBR区由分区软件创建，百1iDBR区、DBR区、FAT区、DIR区利DATA区由高级格式化程序创建。删除方法平时使用的！windows系统操作中，

16、文件的删除分为逻缆删除;fl物琐删除，边:ill.lJ!lJ除就足以上挺重lj文件删除到回收锁，币II物理删除是相当于消完回收拙，i主时windows设法还尿，帘3罢工具，工作原理就是利用破宽灯数据组织在内存中重建数据。4.:!;Windows系统下的文件删除与恢复的操作是什么？答：相3答题一致5.计算机取证模型有哪些？分别阐述其特点？谷：计算机取iiE模型包括：基本过程模型：事件响应模型；法律执行过程过程抽象模型多纠计算机取证一、逃捺题（每小姐z分，主t20分1、以下有关EasyRecoverIll说挝、不正确的是）A.EasyRecovery在恢复数据时并不1bJ硬鱼写任何东西，而是在内存

17、1扣镜像文件的FAT袭和目录区。B.使用该软件倒一定要注j震将恢复出来的数据保存在其他的硬盘在空问内。c.该软件能够对FAT和NTFS分区中的文件删除、格式化分区进行数据恢复。D它：安处刘哥立掘进行破11恢复。z、以下不属T在数据恢复中窝妥使用的软件的是（)-A.PC3000 B.Fina!Data c.Encase D.F汉RAR3、以下4二属于电子证据特点的是）A.电子证据的脆弱性B.电子证据的E急剧i性c.电-f证据的,j，可挽救l牛D.电子证据对系统的依赖性4、以下不属Ti-1“算机取说过程中分析过程的是（A.协议分析 B钱像技术c.数据挖掘D.过程i基原5、以下属于计算机取证技术的发

18、展焰势的是A.动态取证技术B.计算机取证挖掘算法和柔性挖掘技术c.取HE工具和过程的标准化D以半都是6、以下关于硬盘的逻辑结构说法不正确的是）A.每个盘片有两个丽，这两个商都是用来存储数据的。B随着读写磁头沿着盘片半径方向上下移动，每个数片被划分成若干个同心因1滋道C.在敲道被划分成苦，下个段，何个段称为个扇区s扇区的编写是按0,1，顺序是1；行的D硬盘中土丽、磁道、扇区的划分我丽上是看不到j任何痕迹的。7、以下不属于文件系统的是仆。A.L卧托JXB.NTFS C.FAT32 D.EXT2 8、以下不属于数据分析技术的是门。A.,t已删除文fI的恢复、班主且技术B。关键字槐索技术c.同志分析D

19、.特殊类型文件分析9、以下。命令可以用来测试本地主机的网络连被是否通畅。A.traceroute B.ping C.ipconfig D.pslist 10、在大多去！客案件中，I嗅探工具常被用来撼tit通过网络的流量；以重建诸如t网刷访问网络文件等功能，以下）是这类工具A.FTK B.sniffer pro C.Quick,iew Plus D.NTIDOC 二、填空Im（每空2分，共40分1、当执行删除文件直是作时，系统做了两方丽的工作：一是将目录区中该文件的第一个字符改为“E6日”来表示该文件已经被删除：二是将文件所占的文件族在中对应表项值全部卫星“。”。文牛分自己农2、计算机对11!1

20、，胜的读写是以（)7-J总本单位的：（是数据存储刷磁批管擎的iflJ在本单位。崩l英、旅3、使数上的数据按照其艰同的特点和作用大致可分为5部分主31导fiiJI豆、操作系统引导扇l豆、文件分配袋、回来区草口数据区。其中）包括归航主引导记录b恒BR利硬翻：分区袋DPT：将（）中始单元的和FAT表统舍分析可 以知道文件在破盘：中的具体位盘和大小。二JI导刷l豆、i求区4、操作系统启功分为5个阶段预引导阶段、引导阶段、如l我内核阶段、初始化内核阶段和登录。其中阶段彩色的 W皿do附汩的logo以及进皮条-Ii示在屏幕申央.tJ.I始化内极阶段5、1瓦indows的系统的主要日志有应JlJI到芋日志、

21、系统日志;fl（）.安全门志6、加岔算法主绞分为页，I称）)1:111算法和非对弱、刘密草草法，:jl;i:p(）力II密算法又称为公例1ml蛮算法，其公钥与私钢是不同的.11：对称7、（是一种不可逆的2日i在法，官可以说是文件的敛字指纹任何文件经过该算浓郁得到一个128位在h-;t.的数字，如果该文件被修改j.:J；该fill也将改变，以此来佼验这个文件是，被篡改.()MD5 8、W皿dows操作系统下常用的数据包截获技术主要有两种方式：（币1内核层数据包摄取妓术。用户层在直抵包截llx技术9、）是指“通过对行为、安全国志成市计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入成闯入

22、的企图”，入侵检测10、没有分配纷任何卷的可用国f.t垃空间称为未分配空间，分配给文件的最后一个自章中会有米被当前文件占用的剩余空间，这部分空间一般被称为仆。slack空归l11、在咆手证据取证过程中，为了保金证据通常使用数字签名初级字时间技术，其中（）用于验证传送对象的完孩性以及传送者的身份。数字斗在4川，12、Inte1netExp lore的访问历史记录关联了三种类型的文件夹cache、cookies和history.其中。目录半夜将访问的网站内容保存在本地，以使用户下一次登录时不必再次下载同样的图形和：l网页文件。这些目录的共同特点是都具有文件，从根本上说辛对E历史L己录的分析和；Jl

23、j)(iu:就是钊对该文件.cache index dat 14 13、（）是Windows系统存储关于计算机配置信息的数据库，范Vindows操作系统的核心。可以用来报示注册袤的逻辘视阁。1主朋友、i-1:JVJ旺销销格14、电子邮件是通过SMTP利。协议来道行11史发的。POP315、网络证搅调查驭证要点有时间、。、日志、准备现场调查工具。例f的“16、E各自器核功能可以分为、企业级路fl:J施和接入级附件Iig.ft下级路刷:ls17、（）是从大蜜的、不先金的、有噪声的、缺粮的随机的数fol申，提取隐含在其中的、人们事先不知i草的、但又是1笛在有月号的信息和知识的过程.i注射但据三、判断

24、地i（每小miz分，共20分1、对于误删除，错误格式化，硕ffl:.:E引导记录、分区农就目录分配司在损坏但又没有用其他数据领被这些形式的微衔，恢复一般都有效。对z、数字号！动设备主要包括PDA、移动硬盘、手饥等（错3、数据库系统、网络服务梅、防火销部提仗了 R志功能。对4、恶意代码是一种程序，。通过把代鸥在不被察觉的情况下镶嵌11J另一段程序中，从f(ij达到破坏被感染电脑数据计算机病毒、特洛伊木马、计算机蠕虫等都属于恶意：代码。（）对5、证物的完整性验证和和数字时间戳都是通过计算：l喻希值米实现的对6、encase不具备关键字资找功能。）贺i7、在进行现场勘查的过程中，如果操作系统正在批最

25、下毅信息lj杀窍，我们不应该立即终止这些除ft.（）错S、tE提取易失性信息的过程中可以使用三标系统上的程序实施提取。11I 9、计算机iiE物应佯俯在正常室温的环境下，避免遭受湿气、磁力、灰尘、：1:1!1荡、水及臼Ii的影响，。对10、在liuux系统中可以使用kill命令杀化某个迹报。）对四、简答题（每小题5分，共20分l、简述数据恢复的方法2、i街简单介绍什么是司法接定9电子证据接定的专门司法机构有哪些？3、根据电子证据易破坏性的将点，确保电子证据可信、准确、完整并符合相关的法律法规，国际计算机证据组织就计算机取证提出了哪些原则？4、i者简述计算机取i正的流程。，填空题1：计算机取证模

26、型包括：王在本设和旅l,fjl：葱件l响应辑：在t执法过1槌剧；过和材l象稳稳j2：在证据收集过程中必须收集的易失证据主要有：系统日朗和时间：当前运行的活动自录：当前的网络连接：当前打开的端口；当前打开的态钱宇上的应用程序；当前登录用户3：目前的计算机翻反取证技术主要有：删除技术隐藏技术4：在windows工作模式下显示系统的基本信息包括：用户网络环士辑：系统进程：系统硬件环境5：隐藏术通常通过两种方法对数掘进行保护：使数据不可见，隐藏起所有周性；对数据）JO:6：在MACt imes 巾的Mtime指文件的最后修改事件：Atimes指：文件最后访问时间按：Ctimes指：文件的主主后创建时间

27、7：防止密码被破译的措施：强壮的1Jal野草草法：动态的会话密钥：良好的密码使用管理制度8：目前主要的数据分析技术包括艾件屈怜分析技术：文件极字捎娶分析技术：日杰分忻技术：署盟主亚笠主9：安全管理主要包指三个方丽技术安全管理：法律法规安全管现：网络安全管理10：计算机信息系统安全管理的三个原则多人负责原则：任则有限原则：Jffi,Jr分离原则11：信息系统安全包括：身份认证：访问控制：数据保密：数据完整性不可否认性12：任何材料要成为证据，均需具备三性客观相；关联性：合法性13：计算机取证是指对能够为法庭接受的，足够可靠平日有说服性的存在于计算机和相关外波中的电子证据的确认：保护：提取和归J隘

28、的过程14:DES是对称？啦？钥加密算法，DES算法大军史可以分为四个部分：初始茧换；谜代过草草；子密例生成：旦旦盘15：目前反取证技术分为：f祭出技术隐藏技术2加密技术16：网络安全管理的隐患有：安全机制；安全J具；安全漏洞和系统后门二判断l.取证的目的是为了据此找出入侵者（入侵的机然，并解释入侵的过程(F)2.网络入侵取ii系统中，日志文件是可以很经易被人修改的，但是这种修改是很容易被发圳的。（F)3.硬敛由很多敛片组成，每个盘片被划分为若干个同心囚，称为磁道 T)4.硬盘在存储数据之前，一般需经过低级格式化，分区和高级格式化这三个步骤之后才能使用，;It作用是在物理硬盘k建立一定的数据逻

29、相结灼(T)5.初始响应在数据收集过程中，能将收集到的证据弓凶刻被入侵机器的破敛上。T 6.数据遭受物理损坏后，失效的数据彻底无法使用，(F)7.数据各份是指；陈计算机破组；士的原始数据复制到可移动媒体卜，如磁带，光靠等。（I)8.计算机反取iiE就是删除或者隐藏入侵jjE:Ji佼取i正工作失效。(T)9.用敛字J.ruff技术对数掘进行保护主要有两种方式：保密和证明数据的完善在性。(p)10.Wind。WS文件删除分为逻锦删除和物理Jllllll涂两种。(T)11.防火崎本身具有较强的抗攻击能力，它是挺供信息安全服务，实现网络和信息安全的基础设施。(T)12.安企机制分为两类，一类是与安全服务干牙关：另一类与管理功能有关。(T)13.数据流加街是指把数锯:Ii）分为定长的数据块，再分知1JJJ口普I.数据块加密是指加；：后的i文前部分，用来参与报文后面部分的加密。(F)14.让一台计算机能辨别某个特定的文件系统的过程称为装载文件系统。C T