电子数据取证工作试题与答案

2024年5月30日发(作者：)

电子数据取证工作试题

一、单选

1CPU 的中文含义是____。

A主机

B中央处理器

C运算器

D控制器

2DOS命令实质上就是一段____。

A数据

B可执行程序

C数据库

D计算机语言

3E01的块数据校验采用

A CRC算法

B MD5算法

C SHA-1算法

D SHA-2算法

4E01证据文件分卷大小默认为

A 4.7G

B 600M

C 640M

D 700M

5FAT文件系统中，当用户按Shift+Del删除该文件后，以下描述正确的是？

1

A 文件已经彻底从硬盘中删除

B 文件已删除，但文件内容首字节被改为十六进制E5

C 还在回收站中，可用取证大师恢复

D文件已删除，但是数据还在，目录项首字节被改为十六进制E5

6FAT文件系统中通常有多少个FAT表?

A 1

B 2

C 3

D 4

7Linux系统中常见的文件系统是

A Ext2/Ext3/Ext4

B NTFS

C FAT32

D CDFS

8MBR扇区通常最后两个字节十六进制值为(编码次序不考虑)

A AA 11

B 11 FF

C 55 AA

D 66 BB

9Windows记事本不能保存的文本编码为

A ANSI

B RTF

C Unicode

D UTF-8

10Windows中的“剪贴板”是________。

A 一个应用程序

B磁盘上的一个文件

C内存中的一个空间

D一个专用文档

11不属于简体中文编码的是

2

A Big5

B UFT-8

C Unicode

D GB2312

12操作系统以扇区（Sector）形式将信息存储在硬盘上，每个扇区包括（）个字节的数据和

一些其他信息。

A 64

B 32

C 58

D 512

13磁盘经过高级格式化后, 其表面形成多个不同半径的同心圆, 这些同心圆称为____。

A 磁道

B 扇区

C族

D磁面

14磁盘在格式化的时候被分为许多同心圆，这些同心圆轨迹叫做磁道，磁道是如何编号的

A由外向内从0开始编号

B由外向内从1开始编号

C由内向外从0开始编号

D由内向外从1开始编号

15当前大多数硬盘采用的寻址方式为

A CHS

B LBA

C AUTO

D LARGE

16断电会使原存信息消失的存储器是____。

A RAM

B 硬盘

C ROM

3

D U盘

17关于MBR的描述，错误的是

A MBR又称主引导记录

B 分区表项存在MBR当中

C MBR中分区表可以记录多于4个分区的信息

D MBR中分区表有64字节大小

18关于MD5算法说法错误的是

A 哈希算法就是MD5算法

B MD5算法可以用于验证数据的完整性

C MD5算法是不可逆的

D MD5算法可用于加密

19关于NTFS文件系统的描述，错误的是

A NTFS支持磁盘配额

B NTFS也使用簇作为文件存储的最小分配单位

C NTFS采用MFT表记录对象名称

D 删除文件时，其实际数据被清除

20关于SATA的错误描述是

A SATA支持串行数据传输

B SATA不支持热插拔

C SATA接口最大传输速率比IDE快

D 平展开的SATA数据线比平展开的IDE数据线更窄

二、多选

4

1DD镜像文件可以通过哪些方式生成

A 硬盘复制机生成

B 取证大师生成

C WinHex生成

D DD命令生成

2E01文件能够提供的功能有

A 压缩功能

B哈希值功能

C密码保护功能

D提供元文件信息

3IE上网记录包括

A缓存记录

B历史记录

C Cookies记录

D IE地址栏记录

4MBR中包含的信息有

A卷引导记录

B EBR信息

C 主分区表

D 55AA的签名标识

5调查取证当中的做法，错误的有

A 在嫌疑人硬盘上安装取证软件进行取证

5

B先打开只读锁电源，再连接硬盘

C只读锁使用完毕后，先取走硬盘，再关闭电源

D现场嫌疑人电脑处于开机状态，应当立即关机

E硬盘复制机要接上只读锁再连接嫌疑人硬盘

6对涉毒嫌疑人硬盘进行调查，正确的描述有可以通过

A取证大师搜索上网记录

B可以通过涉毒关键字搜索上网记录

C搜索到的结果出现乱码需要通过选择合适的编码来查看

D已分配空间搜索不到的，需要进一步搜索未分配空间

7对于电子证物的处理那些操作是正确的

A手机运送过程中尽可能屏蔽手机信号

B开机状态的计算机要立即关机

C要记录线缆以及线缆和主机的连线方式

D电子证物只要注意防潮防震就行了

8对于取证相关原理的描述，错误的有

A相同内容的word文档与txt文档，其HASH值是不一样的

B通过HASH值可以反推出源文件的内容

CRAID 0在存储数据时，同时备份数据

D硬盘复制机的复制速度可以突破接口的理论最大速度

FAT32支持磁盘配额

9高级格式化的作用包括

A建立扇区

6

B为硬盘创建文件系统

C为硬盘划分磁道

D对扇区进行分区内的编号

10关于RAID的描述，正确的有

A RAID又称廉价磁盘冗余阵列或独立磁盘冗余阵列

B RAID0中只要一个硬盘损坏，数据将丢失

C RAID1中只要一个硬盘损坏，数据将丢失

D RAID5至少要由3个磁盘组成

11关于U盘的描述，错误的有

A U盘里头通过磁头来读写数据

B U盘里头通过盘片来存储数据

C U盘取证不需要连接只读锁

D U盘在高级格式化时被划分成许多磁道

12关于磁盘分区的说法，错误的是

A磁盘分区后即可被操作系统存放数据

B通过高级格式化来分区

C通过低级格式化来分区

D Windows中同一个分区中可以存放不同文件系统格式的文件

13关于回收站文件夹，说法正确的有

A回收站文件夹具有系统属性

B Windows默认不会给U盘创建回收站文件夹

C回收站文件夹具有隐藏属性

7