主机取证- Mac&Linux取证要点

单元测验-主机取证

1、单选题:
‍以下说法,错误的是?‍
选项:
A: 一般情况下,系统目录一旦安装完成就无法更改
B: 一般情况下,用户目录在安装完成后可以更改
C: 交换文件pagefile.sys通常用以暂存内存数据
D: 无法从休眠文件中获得内存数据
答案: 【 无法从休眠文件中获得内存数据

2、单选题:
‎关于LNK文件,以下说法错误的是?‌
选项:
A: LNK文件创建后,其创建时间基本不会发生变化
B: 在另一位置打开同名文件后,LNK文件的创建时间会发生变化
C: LNK文件与普通文件一样,可能存在创建、访问、修改时间
D: LNK文件的修改时间是指对应目标文件被最后打开的时间
答案: 【 在另一位置打开同名文件后,LNK文件的创建时间会发生变化

3、单选题:
‏在主机取证中,关于社交应用的取证,不包括以下哪个?‎
选项:
A: 账户信息
B: 联系人列表
C: 群组信息
D: 浏览器记录
答案: 【 浏览器记录

4、单选题:
‍在内存取证的过程中,内存反映了操作系统和应用程序最重要的“当前运行”的状态信息,通常情况下,不包括以下哪个信息?‏
选项:
A: 操作系统
B: 运行的程序
C: 活动网络连接
D: 打开的文件内容
答案: 【 打开的文件内容

5、多选题:
‎以下文件中可能存在图片的包括哪几个?​
选项:
A: 正常图片文件
B: 删除的图片文件
C: 符合文件中嵌入的图片
D: 压缩文档中的图片
答案: 【 正常图片文件;
删除的图片文件;
符合文件中嵌入的图片;
压缩文档中的图片

6、多选题:
‌关于社交应用取证,以下描述正确的是​
选项:
A: 能够获取社交应用的基本信息
B: 能够进行人物关系的构建
C: 能够进行资金流向的还原
D: 能够进行删除数据的恢复
答案: 【 能够获取社交应用的基本信息;
能够进行人物关系的构建;
能够进行资金流向的还原;
能够进行删除数据的恢复

7、判断题:
‎如果LNK文件中有其嵌入时间,且与LNK文件的创建、访问、修改时间基本相同,则表示其指向的目标文件在LNK文件创建后并没有被打开过。‏
选项:
A: 正确
B: 错误
答案: 【 正确

8、判断题:
​针对嫌疑人修改系统命令进行的反取证,只需在嫌疑人机器上运行对应的机器指令即可判别。‌
选项:
A: 正确
B: 错误
答案: 【 错误

9、填空题:
‍针对电子邮件的取证,主要包括(    )以及邮件内容的查看和分析。‌
答案: 【 邮件头

10、填空题:
‎Windows的事件日志(Event Log)主要包括:(    )、应用程序日志、安全日志等。‏
答案: 【 系统日志

取证原则&流程&工具

单元测验-原则流程

1、单选题:
‎以下选项中,不属于电子数据取证的硬件设备的是(    )​
选项:
A: 写保护设备TABLEAU
B: 镜像设备克隆机
C: 介质取证设备取证塔
D: 移动终端取证软件
答案: 【 移动终端取证软件

2、单选题:
‍在进行电子数据取证时,可以使用自启动取证光盘对计算机进行不拆机取证。以下哪个不属于自启动光盘套件?​
选项:
A: FTK Imager
B: SIFT
C: CAINE
D: DEFT
E: Kali
答案: 【 FTK Imager

3、单选题:
‍在现场勘验的过程中,所可能用到的取证手段不包括以下的哪一个?‍
选项:
A: 临机取证或数据获取
B: 内存取证或易失数据获取
C: 磁盘镜像或克隆
D: 电子数据关联分析
答案: 【 电子数据关联分析

4、单选题:
‏在电子数据的整个取证过程中,使用合规取证工具的主要目的是:​
选项:
A: 降低人工劳动复杂度及人力成本
B: 快速高效获得所需的电子数据
C: 使用不同工具保证电子数据获得的一致性
D: 取得的证据具有较高的证明力
答案: 【 取得的证据具有较高的证明力

5、多选题:
​计算机证据国际组织IOCE之计算机取证原则中,以下描述正确的是:‍
选项:
A: 取证过程必须符合规定和标准
B: 获取电子证据时,不得改变证据的原始性
C: 接触原始证据的人员应该得到培训
D: 任何对电子数据进行获取、访问、存储或传输的活动必须有完整记录
E: 任何人接触电子证据时,必须对其在该证据上的任何操作活动负责
答案: 【 取证过程必须符合规定和标准;
获取电子证据时,不得改变证据的原始性;
接触原始证据的人员应该得到培训;
任何对电子数据进行获取、访问、存储或传输的活动必须有完整记录;
任何人接触电子证据时,必须对其在该证据上的任何操作活动负责

6、多选题:
​英国首席警官协会(ACPO)都针对电子数据取证提出原则,以下描述正确的是:‎
选项:
A: 取证人员不能采取任何动作改变电子数据,以影响作为证据使用的可信性
B: 如果需要访问原始数据,取证人员必须具备相应能力,能够给出证据解释行为的关联性和可能影响的后果
C: 所有对于电子数据的动作应当被审计并且记录,第三方机构能够根据这些记录完整地检查和重现整个流程
D: 取证人员完全有能力确保取证符合法律和相关规定
答案: 【 取证人员不能采取任何动作改变电子数据,以影响作为证据使用的可信性;
如果需要访问原始数据,取证人员必须具备相应能力,能够给出证据解释行为的关联性和可能影响的后果;
所有对于电子数据的动作应当被审计并且记录,第三方机构能够根据这些记录完整地检查和重现整个流程;
取证人员完全有能力确保取证符合法律和相关规定

7、多选题:
‍电子数据取证的基本步骤中,以下描述正确的是:‍
选项:
A: 评估:电子数据取证人员应针对工作作出全面的评估,以决定下一步采取的行动
B: 获取:电子数据必须保存于原始状态中,防止被不正确的处理方法所影响、损害或删除
C: 分析:提取出有用证据,分析判断其中的关联性,将数据转换为可读可见的形式
D: 报告:所有操作都必须以日志形式记录,所有的结果都必须以报告形式记录展现
答案: 【 评估:电子数据取证人员应针对工作作出全面的评估,以决定下一步采取的行动;
获取:电子数据必须保存于原始状态中,防止被不正确的处理方法所影响、损害或删除;
分析:提取出有用证据,分析判断其中的关联性,将数据转换为可读可见的形式;
报告:所有操作都必须以日志形式记录,所有的结果都必须以报告形式记录展现

8、判断题:
‎在电子数据取证获得认可的基本原则中,所谓的流程合法是指:取证流程符合国家和地方的法律法规,但从事取证的人员可以未经法律授权。​
选项:
A: 正确
B: 错误
答案: 【 错误

9、判断题:
​电子数据取证获得认可的基本原则可以概括为:流程合法、方法可靠、人员专业、过程可查、工具合规。​
选项:
A: 正确
B: 错误
答案: 【 正确

10、填空题:
‍电子数据取证获得认可的基本原则可以概括为:流程合法、(    )、人员专业、过程可查、工具合规。‎
答案: 【 方法可靠

11、填空题:
​电子数据取证获得认可的基本原则可以概括为:流程合法、方法可靠、(    )、过程可查、工具合规。‎
答案: 【 人员专业

取证基础-操作系统&网络

单元测验-取证基础

1、单选题:
‌下列计算机系统组成中,电子数据取证最关心的是?​
选项:
A: 运算器
B: 控制器
C: 输入输出设备
D: 存储器
答案: 【 存储器

2、单选题:
‏在电子数据取证现场,需要克隆目标计算机的硬盘数据,通常情况下不考虑以下哪个指标?‌
选项:
A: 硬盘容量
B: 数据传输速率
C: 数据接口
D: 硬盘品牌
答案: 【 硬盘品牌

3、单选题:
‎你所知道的操作系统,以下哪

剩余75%内容付费后可查看

发表评论

电子邮件地址不会被公开。 必填项已用*标注