2024年5月25日发(作者:)
本重点所有内容都为个人猜测,仅为大家复习提供一个方向,是非不再辩诉,
此版为最终版本,之后不再更新。最后感谢万一组合、满红姐对本重点的付出。
另选择题在题库中,估计题库总题在80~150之间,建议大家像做科一般多做两
遍即能达到很高的正确率。
电子物证
填空题
1.电子数据的特点:表现形式的多样性与
复杂性、依赖介质与无形性、易破坏性、易
复制性、时限性、易传播性。
2.电子数据的审查:客观性审查、关联性
审查、法律性审查。
3.电子数据取证:现场勘查检查、远程勘
验、电子物证检验。
4.电子物证的固定方法:完整性校验方法、
备份方法、封存方法。
5.电子物证检验:提取数据、检验数据、
分析数据并得出结果、形成鉴定文书4个阶
段。
6.电子物证检验的常用技术和工具
① 保全备份技术及工具镜像——Linux dd
命令、Encase、Forensic Toolkit、SafeBack、
NTI;硬件克隆——The Forensic Dossier、
DC8201、Image MASSter Solo-IV
② 数据擦除技术及工具同上
③ 数据恢复技术及工具FinalData。
EasyRecovery。FileRecovery。PhotoRecovery。
Encase。Forensic Toolkit。GetFree。R-Studio
④ 数据搜索技术及工具Encase。Forensic
Toolkit。X-Ways Forensic资源管理器
⑤ 密码破解技术及工具Encase。Forensic
Toolkit。X-Ways Forensic
⑥ 文件一致性检验技术及工具Encase。
Forensic Toolkit。MD5SUM
7.存储介质的擦除:存储介质的擦除标准
(ChinaBMB21-2007 (6次))、命令擦除
法、软件擦除法、硬件擦除法
8.保全备份:命令备份法(#dd if=/dev/hdb
of=/dev/hdc)软件备份法、硬件备份法
9.电子物证检验工具encase:
① 案例文件:一个案例详细信息的文件
② 证据文件:encase分析方法的核心部分
是证据文件
③ 哈希值:根据文件或磁盘内容生成的用
于描述文件唯一性的数字,即数字指纹
④ 文件签名:.doc、.jpeg
⑤ 文件松弛区:文件逻辑结束位置和物理
结束位置之间的区域,这个区域的字节是以
前文件残留下来的
⑥ GREP:#(0~9),?(重复0或者1
次)详情P55,实际在多选题有出现过。
10.电子物证检验与分析过程与对应表单:
① 案件受理——《鉴定委托书》《固定电
子证据清单》《封存电子证据清单》《委托
鉴定检材清单》《原始证据使用记录》《鉴
定受理登记表》《不予受理函》
② 检材的保存及处理——《送检(补充)
检材和样本》
③ 检验与分析——《鉴定管理流程表》
④ 相关文书的形成与签发——《鉴定文书
审批单》《备考表》
⑤ 出庭等。
11.案例管理及证据操作
案例结构:由证据文件、案例文件、
encase程序配置文件3部分组成
证据操作:encase证据文件
(.e01、.e02、.e03)包含已获取的设
备内容,集合了可分析的元数据、设备
的哈希值以及所获得的设备内容;逻辑
证据文件(.101、.102、.103)包含了
在预览嫌疑计算机中的文件时,复制出
来的有代表性的个别文件;原始数据镜
像;单个文件包括目录
12.证据的分析与检验文本样式包括
① ASCII:美国信息交换标准代码
② GB2312:国标码(中华人民共和国国家
汉字信息交换用编码)
③ GB10830:国标10830汉字字符集
④ Big-5:大五码(繁体中文字符集)
⑤ Unicode:统一码、万国码、单一码
⑥ UTF-8:万国码
13.RAID:告诉你已知条件问你采取哪一种
RAID级别。(如采用RAID0/1/2/3/4/5/6等)
14.数据搜索
物理搜索:不考虑逻辑存储关系,针对
物理扇区进行搜索;
逻辑搜索:按照逻辑存储关系在文件中
进行遍历搜索。
15.FTK2.0检验工具:是第一个且唯一的一
个集成Oracle数据库的司法工具。
16.文件系统和存储层
应用级存储
层
FAT或NTFS
文件系统
文件
EXT2或EXT3
文件系统
文件
目录
Inode或数据
位图
块
分区
绝对扇区
19.常见的数据库日志:保存路
径%ORACLE_BASE%adminSIDbdump
注册表的键值:Windows日志目录项五
大根键:
HKCR:HKEY_CLASSES_ROOT(缩写HKCR)
HKCU:HKEY_CURRENT_USER(缩写
HKCU)
HKLM:HKEY_LOCAL_MACHINE(缩写
HKLM)
HKU:HKEY_USER
HKCC:HKEY_CURRENT_CONFIG(缩写
HKCC)
(1)OpenSaveMRU——对话框窗口历
史记录
(2)RecentDocs——最近运行文件
(3)RunMRU——开始—》运行执行过
的命令
(4)UserAssist——用户访问过的系统
对象
(5)TypedURLs——最近20个地址栏
输入的URL地址及文件路径
(1)Uninstall———计算机上的安装程序
(2)Run——自动运行的程序名及路径
信息分类层 目录或文件
夹
存储空间管
理层
FAT或MFT
分配单元层 簇
数据分类层 分区
物理层 绝对扇区或
C/H/S
文件系统存储层
分配单元层没个分配单元的大小取决于3个
方面:文件系统类别、分区大小和系统管理
员的经验。
17.Quick View Plus:万能文件查看工具。
18.日志文件的检验
① 日志保存路
径:%systemroot%system32config
② 应用程序日志后缀:
③ 安全日志后缀:
④ 系统日志后缀:
⑤ Win7日志多了一个XML的格式
⑥ 服务器日志:Windows系统下网络服务
器日志格式主要有:Microsoft IIS日志文件
格式(Microsoft IIS Log Format)、NCSA公用
日志文件格式(NCSA Common Log File
Format)、W3C扩展日志文件格式(W3C
Extended Log File Format)和ODBC日志记录
格式(即根据已知英文你翻译对应的中文意
思)
(3)HKLM Services——Windows服务程序
(4)GUID——网卡最后设置的IP地址、默
认网关
(5)USB——所有的USB设备
(6)USBSTOR——曾经使用过的USB设备
20.交换文件的检验:交换文件即虚拟内存
所使用的隐藏系统文件。当系统内存不足
是,会把内存中临时不用的内容交换到页交
换文件中,文件名为。在命令行
使用dir/ah
21.打印脱机文件:SHD是一个镜像文件,
包含打印操作的信息;SPL是打印的数据。
22.删除文件的方法:
① 逻辑删除——即删除到回收站;
② 物理删除——清空回收站;
③ 粉碎删除——普通办法无法恢复;
④ 数据擦除——用软件对数据擦除,普通
办法无法恢复。
23.回收站的特点:FAT文件系统为
RECYCLED,NTFS文件系统为RECYCLER,重
命名DC0.X(X为文件后缀名)
24.Cookies文件的检验:在Cookies文件夹
里面,格式为“用户名@网站[数字].X”(X
为文件后缀名)
25.手机取证收缴手机的保管与封装
①关闭状态不要开启。
②开启状态拍照记录或文字记录,记录屏幕
上信息内容、时间,及时关闭
③隔离网络,防止外来短信和店货,需要手
机信号屏蔽袋,用防静电指套装入防静电袋
26.SIM卡短信存储原理:每个SMS空间占
176字节——第1个字节:Status(状态字节)
① 00000000——没使用
② 00000001——已读
③ 00000011——未读
④ 00000101——已发
⑤ 00000111——未发
27.IMEI通过手机输入*#06#查得
名词解释
28.电子证据定义:
广义——只要是以电子形式存储、处理、传
输的信息都是电子数据。
狭义——即刑事诉讼法和民事诉讼中所规
定的电子数据,应该是指“由电子设备产生、
存储或传输的有证据价值的电子数据”,即
电子数据证据,简称电子证据。
29.电子物证检验:是指公安司法鉴定机构
的电子数据鉴定人员按照技术规程,运用专
业知识、仪器设备和技术方法,对受理委托
鉴定的检材进行检查、验证、鉴别、判定、
并出具检验鉴定意见的过程。
30.数据完整性校验:是指用一种特定的算
法对原始数据计算出一个校验值,然后再对
校验或保全备份的数据用同样的算法计算
一次校验值,如果和原始数据计算的校验值
一样,就说明数据是完整的。算法有Hash、
MD5、SHA、CRC4种算法,使用最多的是
hash。
31.电子数据取证的概念(不确定):对能
够为法庭接受的、足够可靠和有说服力的、
存在于计算机和相关外设或电子设备中的
电子数据的确定、收集、保护、分析、归档
以及法庭出示的过程。
32.电子物证的概念(不确定):保存与案
/事件相关电子数据的电子设备、存储介质。
33.注册表的检验(可能是3选1):分为
联机注册表检验、远程注册表检验和脱机注
册表检验。
① 联机注册表检验在被检验计算机
上直接对注册表进行检验,检验方法可以直
接使用操作系统自带的注册表编辑器或注
册表编辑工具进行检验。
② 远程注册表检验是通过网络对远
程计算机的注册表进行联机检验,需要远程
计算机开启Remote Registry服务,并且需要
拥有登陆远程计算机的账号和密码。
③ 脱机注册表检验是指在电子物证
检验工作站上对保全备份复件中的注册表
进行的检验。
发布评论