电子数据取证理论技能考核试卷C

电子数据取证理论技能考核试卷

姓名：部门：成绩：________________

一、单项选择题（每题1.5分，共30分）

1.现场拍照一般建议的流程是：（ B ）

A. 小区入口→房间→楼层、门牌号→主卧→电脑

B. 小区入口→楼层、门牌号→房间→主卧→电脑

C. 小区入口→主卧→房间→楼层、门牌号→电脑

D. 小区入口→电脑→房间→楼层、门牌号→主卧

2.目前主流的硬盘接口，俗称“串口”的为：（ D ）

A. ZIF

B. SAS

C. IDE

D. SATA

3.以下哪些是属于常见的硬盘接口？（ E ）

A. IDE

B. SATA

C. LIF

D. SAS

E. 以上都是

4.需要一个记录有多数文件的文件签名特征及扩展名的数据库，即：（ B ）

A. 签名库

B. 文件签名库

C. 文件库

D. 文件属性库

5.文件头部包含了成为（ C ）的识别信息，同一类型文件的文件头部信息是相同的。

A. 文件头

B. 扩展名

C. 签名

D. 以上答案均不正确

6.IMEI是国际移动设备身份码的缩写，国际移动装备识别码，是由（ C ）位数字

组成的"电子串码"，它与每台手机相对应，理论上该码是全世界唯一的。

A. 14

B. 16

C. 15

D. 18

7.通常情况下，收集数据的获取由现场环境和取证条件而决定，不包括以下哪种情

况？（ D ）

A、可视化获取

B、逻辑获取

C、物理获取

D、动态获取

8.手机数据物理获取是使用特定的方法或软硬件工具，将手机内部存储空间完整获

取，以便进行后期调查分析，以下不是物理获取方法的是（ C ）

A. 镜像采集终端获取

B. JTAG获取

C. 动态获取

D. 焊接获取

9.手机无法与分析机正常连接的原因（ D ）

A、手机驱动问题

B、手机通讯模式问题

C、手机数据线问题

D、以上都是

10.SCSI转换器用于将SCSI硬盘转换为标准（ A ）接口，从而与主机连接。

A、SATA

B、IDE

C、SAS

D、LIF

11.开盘维修硬盘需要的环境（ B ）

A、真空室

B、无尘室

C、氧气室

D、自然环境

12.SAS为（），SATA为（ B ）

A、全双工全双工

B、全双工半双工

C、半双工全双工

D、半双工半双工

13.手机输入PIN码3次都错误，SIM卡会被锁定，此时需要输入( B )码解锁。

A. PIN

B. PUK

C. PUK2

D. PIN2

14.现场勘验检查程序不包括（ D ）

A.保护现场

B. 收集证据

C. 提取、固定易丢失数据

D. 智能检索

15.以下哪项不是电子物证技术对象（ E ）

A. 计算机

B.手机

C.照相机

D. SD卡

E.收音机

F.打印机

二、多项选择题（每题2分，共40分）

1.可以用于证明案件事实的材料，都是证据，证据包括：（ ABCD ）

A. 物证。

B. 证人证言。

C. 被害人陈述。

D. 试听材料、电子数据。

2.什么决定电子物证是否被采信（ ABCD ）

A. 人员资质

B. 取证程序

C. 正确方法

D. 取证装备

3.电子物证取证人员应具备的业务能力（ ABCD ）。

A. 深入理解法律法规

B. 专业调查的岗位技能

C. 专业的取证工具

D. 规范的调查流程

4.动态仿真包括哪些流程：（ ABCD ）

A. 链接加载硬盘

B. 点击“仿真系统”

C. 选择系统分区与用户

D. 确定“开始仿真”

5.下面哪些是嫌疑人可能采用的反取证手段：（ABCD ）

A. 对文档内容进行加密

B. 使用数据擦除工具

C. 使用硬盘加密工具

D. 使用数据隐写工具

6.不属于数据动态存储的包括( ABC )

A.光盘

B.U盘

C.磁盘

D.内存条

7.Linux文件系统包括( ABCD )

A.EXT2

B.EXT3

C.EXT4

D.FAT

8.现场勘查过程中正确的操作有( AB )

A.不要立即关闭正在打印的打印机

B.不要立即关闭处于开机状态的电脑

C.带有还原卡的电脑，按照正常关机程序关机

D.在嫌疑人电脑上安装取证软件

9.现场勘验时，确定重点搜索区域，何谓重点区域( ABCD )

A.有计算机的办公区域

B.服务器机房

C.重点人员办公室

D.财务室

10.关于文件签名的描述，不正确的有( AD )

A.文件签名只放于文件头部

B.文件签名可用于识别文件的真实类型

C.取证大师内置有文件签名库

D.TXT文件也有文件签名

11.远程勘验的常见方法( ABC )