电子数据取证理论技能考核试卷C

姓名： 部门： 成绩：________________

一、单项选择题（每题1.5分，共30分）

1. 现场拍照一般建议的流程是：（ B ）

A. 小区入口→房间→楼层、门牌号→主卧→电脑 B. 小区入口→楼层、门牌号→房间→主卧→电脑 C. 小区入口→主卧→房间→楼层、门牌号→电脑 D. 小区入口→电脑→房间→楼层、门牌号→主卧

2. 目前主流的硬盘接口，俗称“串口”的为：（ D ） A. ZIF B. SAS C. IDE D. SATA

3. 以下哪些是属于常见的硬盘接口？ （ E ） A. IDE B. SATA C. LIF D. SAS

E. 以上都是

4. 需要一个记录有多数文件的文件签名特征及扩展名的数据库，即：（ B ） A. 签名库 B. 文件签名库 C. 文件库 D. 文件属性库

5. 文件头部包含了成为（ C ）的识别信息，同一类型文件的文件头部信息是相同的。 A. 文件头 B. 扩展名 C. 签名

D. 以上答案均不正确

6. IMEI是国际移动设备身份码的缩写，国际移动装备识别码，是由（ C ）位数字

组成的\"电子串码\"，它与每台手机相对应，理论上该码是全世界唯一的。 A. 14 B. 16 C. 15 D. 18

7. 通常情况下，收集数据的获取由现场环境和取证条件而决定，不包括以下哪种情

况？（ D ）

A、可视化获取 B、逻辑获取 C、物理获取 D、动态获取

8. 手机数据物理获取是使用特定的方法或软硬件工具，将手机内部存储空间完整获

取，以便进行后期调查分析，以下不是物理获取方法的是（ C ） A. 镜像采集终端获取 B. JTAG获取 C. 动态获取 D. 焊接获取

9. 手机无法与分析机正常连接的原因（ D ） A、手机驱动问题 B、手机通讯模式问题 C、手机数据线问题 D、以上都是

10. SCSI转换器用于将SCSI硬盘转换为标准（ A ）接口，从而与主机连接。 A、SATA B、IDE C、SAS D、LIF

11. 开盘维修硬盘需要的环境（ B ）

A、真空室 B、无尘室 C、氧气室 D、自然环境 12. SAS为（ ），SATA为（ B ） A、全双工 全双工 B、全双工 半双工 C、半双工 全双工 D、半双工 半双工

13. 手机输入PIN码3次都错误，SIM卡会被锁定，此时需要输入( B )码解锁。 A. PIN B. PUK C. PUK2 D. PIN2

14. 现场勘验检查程序不包括（ D ）

A.保护现场 B. 收集证据 C. 提取、固定易丢失数据 D. 智能检索

15. 以下哪项不是电子物证技术对象（ E ）

A. 计算机 B.手机 C.照相机

D. SD卡 E.收音机 F.打印机

二、多项选择题（每题2分，共40分）

1. 可以用于证明案件事实的材料，都是证据，证据包括：（ ABCD ） A. 物证。 B. 证人证言。 C. 被害人陈述。

D. 试听材料、电子数据。

2. 什么决定电子物证是否被采信（ ABCD ）

A. 人员资质 B. 取证程序 C. 正确方法 D. 取证装备 3. 电子物证取证人员应具备的业务能力（ ABCD ）。

A. 深入理解法律法规 B. 专业调查的岗位技能 C. 专业的取证工具 D. 规范的调查流程 4. 动态仿真包括哪些流程：（ ABCD ） A. 链接加载硬盘 B. 点击“仿真系统” C. 选择系统分区与用户 D. 确定“开始仿真”

5. 下面哪些是嫌疑人可能采用的反取证手段：（ABCD ） A. 对文档内容进行加密 B. 使用数据擦除工具 C. 使用硬盘加密工具 D. 使用数据隐写工具 6. 不属于数据动态存储的包括( ABC ) A. 光盘 B. U盘 C. 磁盘 D. 内存条

7. Linux文件系统包括( ABCD ) A. EXT2 B. EXT3 C. EXT4 D. FAT

8. 现场勘查过程中正确的操作有( AB ) A. 不要立即关闭正在打印的打印机 B. 不要立即关闭处于开机状态的电脑

C. 带有还原卡的电脑，按照正常关机程序关机 D. 在嫌疑人电脑上安装取证软件

9. 现场勘验时，确定重点搜索区域，何谓重点区域( ABCD ) A. 有计算机的办公区域 B. 服务器机房 C. 重点人员办公室 D.

财务室

10. 关于文件签名的描述，不正确的有( AD ) A. 文件签名只放于文件头部

B. 文件签名可用于识别文件的真实类型 C. 取证大师内置有文件签名库 D. TXT文件也有文件签名

11. 远程勘验的常见方法( ABC ) A. 在线提取

B. 截屏 C. 录像 D. SQL植入

12. 哪些属于硬盘接口( ABD ) A. IDE B. SATA C. ERS D. SAS

13. 哪些不是镜像文件( AC ) A. MTK B. IMG C. FFT D. VHD

14. DC-8810取证魔方具有哪些功能 ( ABC ) A. 硬盘复制 B. 动态仿真 C. 网络复制 D. 磁盘修复

15. 可以加载动态仿真的有( AB ) A. 物理磁盘仿真

B. 物理磁盘生产的镜像文件仿真 C. 镜像文件仿真 D. 以上都不可以

16. 以下哪些是取证分析的步骤( ABCD ) A. 新建案例 B. 添加设备 C. 自动取证 D. 制作报告

17. 常见的散列算法有( ABCD ) A. MD4 B. MD5 C. SHA-1 D. SHA-256

18. 文件签名分析的结果有那几种（ ABCD ） A. 可疑签名 B. 坏签名 C. 匹配 D. 未知

19. 造成丢失分区的原因有（ABCD ）

A. 误分区 B. 主引导记录（MBR）扇区损坏 C. 误GHOST D. 扩展引导记录（EBR）扇区损坏 20. 现场勘验检查程序包括( ABCDE )

A. B. C. D. E.

保护现场 收集证据

提取、固定已丢失数据 在线分析

提取、固定证物

三、判断题（每题1分，共10分）

1. 对于现场勘查记录、拷贝复制文件时已经取得的电子物证内容，应专门询问案件当事人，

并详细记载回答内容，使询问笔录和其他证据相互印证。（ √ ） 2. 一般是先打开硬盘复制机电源开关再接入硬盘进行复制。（ × ）

3. 禁止对象接触设备及任何电源，搜查对象身上可能存在的存储设备，如U盘、MP3、PDA、数码、手机等。（ √ ） 4. SCSI根据不同标准，接口有50针、68针、78针三种。（ × ）

5. Micro-SATA转SATA转换卡用于将Micro-SATA硬盘转换成标准SATA接口，从而与主机连接。（ √ ） 6. 已知木马文件的散列值，用它来与系统中文件进行比对，则可证明是否中了相同的木马。（ √ ） 7. Flash存储器的存储寿命是有限的，不能无限制擦写。（ √ ） 8. 简体中文与繁体中文网页都可以采用UTF-8编码（ √ ）

9. 图片被删除，Thumbs.db中将不可能保存着该图片的缩略图（ × ） 10. 常见的字符编码有Unicode、UTF-8、GB2312、BIG5....（ √ ）

四、简答题（每题10分，共20分）

1. SATA与SAS硬盘的异同。10分

2. 手机取证注意事项。10分