电子物证专业考试复习题库（含答案）

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

电子物证专业考试复习题库（含答案）

一'单选题

1.IP地址172.16.128.19是（）。

A、Internet地址

B、环回地址

C、MAC地址

D、私有地址

答案：D

2.电子邮箱是0,具有指向特定人的特点。

A、网络特征

B、标识特征

C、唯一特征

D、准确特征

答案：A

3.如果对象将多个JPEG图片的文件的扩展名改为其他名称,需要通过（）可以快

速找到这些文件？

A、散列值比对（MD5）

B、散列值比对（SHA-I）

C、文件签名分析

Dx以上答案均不正确

答案：C

第1页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

4.以下属于MAC地址的是？Oo

Av72.168.1.1

Bv255.255.255.0

C、1C-4B-D6-AD-26

D、1C-4B-D6-AD-26-D7

答案：D

5.域名通常与下面哪个相对应？0

A、MAC地址

B、网络

CvIP地址

Dx以上都不是

答案：C

6.不能用来进行数据恢复的工具软件是（）。

AxEncase

BxExifShow

C、EasyRecovery

DxFinaIData

答案：B

7.扩展名为PNG文件通常是一个0。

A、视频文件

B、音频文件

C、文本文件

第2页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

D、图片文件

答案：D

8.以下关于文件删除的说法中，不正确的是：O

Ax文件目录项的首字节改变为十六进制值E5。

B、文件数据所占的簇被更新为未分配状态。

C'文件数据被填充为OOh。

D、文件的数据仍然保留在原位置。

答案：C

9.能深入操作系统底层查看slack空间、未分配空间等数据的工具是Oo

AxEasyRecovery

B⅛FinalData

CxNsIookup

D、Encase

答案：D

10.下接口中是显示器接口的是（）

A、VGA

B、PCI-e

C、SATA

D、IDE

答案:A

11.安卓手机的软件安装包格式为（）

Axmsi

第3页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

Bxexe

Cvapk

Dxipa

答案：C

12.电子证据、数字证据、计算机证据三者之间的关系是（）。

A、电子证据包含数字证据'数字证据包含计算机证据

B、电子证据包含计算机证据'计算机证据包含数字证据

C、计算机证据包含电子证据'电子证据包含数字证据

D、数字证据包含电子证据、计算机证据包含电子证据

答案：A

13.在WindoWS操作系统中用于打开注册表编辑器的命令是（）。

Axmsconfig

B、open

C、regedit

D∖read

答案：C

14.关于日志分析,错误的是：（）

A4删除但未被覆盖的日志可以进行日志恢复

B、可以通过关键词搜索查找被删除的日志

C、日志分析无法定位攻击者的操作

D、日志分析可以查看入侵者访问网页木马的相关信息

答案：C

第4页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

15.Windows操作系统怎么在命令行里面查看ip详细信息（）

Axipconfig

B、ifconfig

C、ipconfig/alI

Dxifconfig/aII

答案：C

16.windows系统中拥有最高权限的用户是（）

A、administrator

B、admin

Cxroot

D、guest

答案：A

17.下列属于计算机输出设备的是0。

Av打印机

B、键盘

C、鼠标

D、扫描仪

答案：A

18.可以同时查看本机IP地址和MAC地址的命令是0。

Axping

B、dir

CxFormat

第5页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

D、ipconfig/aII

答案：D

19.通常一个完整的邮件通常不包括（）。

A、邮件头

B4正文

C、附件

D、邮件尾

答案：D

20.按照检验过程,电子物证检验的四个阶段是（）o

A、案件受理一一提取数据一一检验数据一一分析数据并得出结果

B、案件受理一一提取数据一一检验数据一一形成鉴定文书

C、提取数据一一检验数据一一分析数据并得出结果——形成鉴定文书

D、提取数据一一分析数据一一检验数据一一形成鉴定文书

答案：C

21.下列属于基本系统进程的是（）

AxwinIogon.exe

Bxtermsvr.exe

Cvwins.exe

Dxsnmp.exe

答案:A

22.在进行电子物证检验时,如果嫌疑人将多个JPEG图片的扩展名改为了其他名

称,需要通过（）方法才能找到这些文件。

第6页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

A、散列值比对

B、关键字搜索

C、文件签名分析

Dx文本风格比对

答案：C

23.在计算机系统里,硬盘的每扇区的默认大小为：O

A、512字节

Bv1024字节

G512位

D、1024位

答案：A

24.下面关于计算机证据、电子证据和数字证据概念之间关系表述正确的是0o

A、电子证据是数字证据的一个子集

B、电子证据就是计算机证据

C、数字证据是计算机证据的一个子集

Dv数字证据是电子证据的一个子集

答案：D

25.安卓手机连接电脑获取数据需要在手机中打开什么设置（）

A、开发者模式

B、测试者模式

C、使用者模式

D、高级模式

第7页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

答案：A

26.下面输出长度可以为512位的Hash算法的是O

AtMD5

BxSHA

C、CRC

D、SUM

答案:B

27.IPv6规定的IP地址长度是。位。

Av32

Bx64

C、128

D、256

答案：C

28.对存储介质只读设备的作用叙述不正确的是O。

A、能使证据盘数据的属性不发生变化

B、保证取证和检验过程的有效性

C、对源存储介质做逐位精确的备份

Dv可方便地将证据盘接入计算机取证专用设备,直接进行取证和分析

答案：C

29.电子证据是由电子设备存储或传输的有侦查作用或证据价值的电子信息及Oo

A、所属硬件

B、派生物

第8页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

C、软件

Dx程序

答案：B

30.在MBR扇区中用于描述分区表信息的信息长度为：O

A、16字节

Bt32字节

C、64字节

D、128字节

答案：C

31.扩展名为WPS文件通常是一个（）。

A、视频文件

B、音频文件

C、文本文件

D、图片文件

答案：C

32.安卓系统可以使用什么命令对应用及其数据进行备份（）

Avad（B）

B、sheII

C、backup

D、mount

答案：C

33.多备份原则属于下列哪个过程0

第9页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

A、证据发现

B、证据提取

Cv证据分析

D、证据保全

答案：D

34.以下哪个对象无法计算散列值：（）

A、FAT分区上的文件夹

Bv文件

C、物理硬盘

D、逻辑分区

答案：A

35.现在手机的通讯标准不包括为O

A、2G

B、4G

C、5G

Dv6G

答案：D

36.信息都是通过各种（）在计算机中进行存储的.

A、字符编码

B、字符串

C、数字

答案：A

第10页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

37.在一个驱动器上,最小的可以写入数据的单位为,在一个文件系统上,

最小的可以写入数据的单位为.O

A、比特和字节

B⅛扇区和簇

C、卷和驱动器

D、内存和磁盘

答案：B

38.文件签名一般在文件的（）位置

Av文件头

B、文件尾

C、文件中间

D、以上都正确

答案：A

39.计算机中有许多存储信息容量的单位,下面说法正确的是（）。

A、1TB=1024MB

Bx1MB=1024X1024×1024B

C、1GB=1024×1024KB

D、1MB=1024B

答案：C

40.只要某个地方的电缆断开或一个节点出现问题,整个网络就会崩溃的网络拓

扑结构是（）。

A、星型结构

第11页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

B、环型结构

C、树型结构

D、总线型结构

答案：D

41.在一个文件的物理大小和逻辑大小之间存在的区域我们称之为（）o

A、未使用磁盘空间

B、文件残留区

C、未分配扇区

Dv未分配簇

答案：B

42.不属于电子数据证据特点的是（）。

A、易破坏性

B、易复制性

C、易传播性

D、易恢复性

答案：D

43.电子物证鉴定意见可以作为案件侦查线索或（）。

A、结论依据

Bv法庭证据

C、研究基础

D、理论标准

答案：B

第12页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

44.（）不是电子邮件所用的编码。

AxBase64

B、Unicode

CxR-Studio

D、Quoted-PrintabIe

答案：C

45.数据不能装满操作系统所定义的最小块时剩余的空间是（）»

A、未分配空间

B、物理空间

C、逻辑空间

DxsIackspace

答案：D

46.在FAT文件系统中，文件的真实类型数据存储在（）中。

A、DBR

B、FAT

C、FDT

D、DATA

答案：D

47.扩展名为DOCX文件属于（）结构。

Axdb

B、xml

Cxemf

第13页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

Dxmdb

答案：B

48.常见的加密方法不包含：（）

A、系统设置法

B、软件加密法

C、硬件加密法

D、社会工程学

答案：D

49.计算机中存储的信息采用的是O。

A、二进制

B、八进制

C、十进制

D、十六进制

答案:A

50.注册表五大根键的数据保存在（）文件中。

Av操作系统日志

B、配置单元

C、服务器日志

D、数据库日志

答案：B

51.下列（）属于图像格式。

A、MP3

第14页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

B、MP4

C、JPG

D、MOV

答案：C

52.0不是WindoWS下克隆硬盘时使用的软件工具。

A、dd

BxSafeback

C、SnapBack

DvEncase

答案：A

53.从事电子物证检验与分析的人员,应当取得（）才能从事电子物证检验与分析

工作。

A、电子数据鉴定人资格证书

B、培训证书

C、勘查证

D、相关专业毕业证

答案：A

54.关于Encase软件的使用方法叙述错误的是（）。

A、过滤器只能根据文件属性查找相关文件信息

B、查询可以搜索文件残留区内的相关信息

C、关键字搜索可以根据文件内容查找相关文件信息

D、关键字搜索可以搜索文件残留区和未分配空间内的相关信息

第15页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

答案：B

55.以下说法中正确的是（）。

Av对于鉴定意见不一致的案件,由高级鉴定人员出具鉴定文书

B、鉴定文书需两名以上人员签字有效

C、鉴定单位对送检材料有权自行处理,无需征求送检单位意见

D、鉴定过程中要对使用的检验方法进行详细记录,而对检验环境不做要求

答案：B

56.在LinUX系统上,用什么命令获取MAC地址（）

Avipconfig

B∖ifconfig

Cvipconfig-a

Dvifconfig-a

答案：C

57.以下关于文件删除的说法中，不正确的是：0

A、文件目录项的首字节改变为十六进制值E5

B、文件数据被填充为Ooh

C、文件数据所占的簇被更新为未分配状态

D、文件的数据仍然保留在原位置

答案：B

58.通过查看数码相机拍摄照片的0信息,可以对其原始性进行检验。

A、EXIF

B、EXTF

第16页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

C、EIXF

D、EFIX

答案：A

59.关于只读设备的描述,错误的是：（）

A、只读设备可以防止证据源不被修改

B、只读设备可能会有读写开关

C、只读锁可以有IDE/SATA/SCSI等各类接口

D、8750Pro只读锁通过IDE接口与分析主机相连

答案：D

60.SHA-1哈希算法输出数据的长度是0位。

A、160

B、128

C、256

D、512

答案：A

61.数据库常用的数据模型不含有下面哪项（）

A、层次模型

B、网状模型

Cv关系模型

D、数据模型

答案：D

62,不属于常见文件系统的是：（）

第17页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

A、FAT32

B、NTFS

C、EXT2

DxUPS

答案：D

63.NTFS采用什么来记录文件的名字'起始位置与分配空间？O

A、FAT表

B4$Bitmap

C、MFT表

DvMBR

答案：C

64.硬盘中的DBR是（）时创建的。

A、格式化

B、分区

C、创建文件

D、计算机启动

答案：A

65.下列不属于现场勘查取证的基本原则是（）

A、不损害原则

B、避免使用原始证据原则

C、记录所做操作

D、第三方记录原则

第18页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

答案：D

66.解除冻结电子数据的,应当在O日内制作协助解除冻结通知书,送交电子数据

持有人'网络服务提供者或者有关部门协助办理。

A、1

Bv2

C、3

D、4

答案：C

67.在现场不关闭电子设备的情况下直接分析和提取电子系统中的数据属于O。

A、收集证据

B、提取固定易丢失数据

C、电子证据检查

D、在线分析

答案：D

68.以下不是操作系统的是（）。

AxNetWare

BxDreamweaver

C、UNIX

DxWindowsXP

答案：B

69.扩展名为.BMP的文件通常是一个（）

A、视频文件

第19页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

B、音频文件

C、文本文件

D、图片文件

答案：D

70.下面可用于测试网络是否连通的命令是0。

A、ping

Bxtracert

Cxnslookup

Dxipconfig

答案：A

71.以下0字符串是正确的MD5散列值。

A、C3030772311CE42BE4AEE12A618DD262

B、C09EAF8B227BD6F8271G7A07ED7C09EA20181

C、Al5F88AD972F674DB10B4FF88A15D7E784370ADF88A

D、ABE3D46F09683D6EB

答案：A

72.下面不支持单个文件大于4GB的文件系统是（）。

A、FAT32

B、NTFS

GexFAT

Dx以上均不支持

答案：A

第20页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

73.能把多块独立的物理硬盘按不同方式组合起来形成一个逻辑硬盘,并能提供

比单个硬盘更高的性能及数据冗余功能的是O。

A、简单磁盘捆绑技术

B、跨区卷技术

GRAID技术

D、JBOD技术

答案:C

74.以下不属于电子物证综合检验分析软件的是0。

AvFTK

BxUFS

CvEncase

D、X-ways

答案：B

75.常用的命令中，（）可以检查某系统是否存在,测试你自己的网卡,测试某一域

名的IP地址。

Avping

Btmsts

C、cmd

D∖ip

答案:A

76.分配给某个文件的区域但没有被占满的空间称为Oβ

A、未分配空间

第21页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

B、松弛空间

Cv自由空间

D、多余空间

答案：B

77.在电子物证检验中，用于搜索手机尾号是86正确的grep语法表达式是（）。

At1#{8}86

B、1#{9}86

G1[3578]#{4}86

Dx1{3578}#{4}86

答案：A

78.计算机系统时间提取的正确方法是：（）

A、记下取证人员赶到现场时手表上提示的日期和时间

B、打开计算机,记下计算机系统日期和时间

C、打开计算机,记下计算机系统日期和时间,并记录下与当前标准日期和时间的

差值

D、打开机箱,拔下硬盘数据线和电源线,开机进入BIOS,记录显示的系统日期和

时间,并记录与当前标准时间的差值

答案：D

79.勘查现场嫌疑人计算机处于开机状态,正常的操作是：（）

A、直接关机,现场拆卸嫌疑人计算机硬盘并连接只读锁作现场取证工作

B、在嫌疑人计算机上安装取证软件作现场取证工作

C、直接关机,现场拆卸嫌疑人计算机硬盘并连接复制机生成副本

第22页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

D、固定易丢失数据后关机并封存

答案：D

80.下列软件中，哪一个属于系统软件0。

AxPhotoshop

BxWindows7

CvWinzip

DxExceI

答案：B

81.在EnCase中，可用于检验文件内容一致性的方法是（）.

A、哈希值

B、文件头

C、访问时间

D、文件签名

答案:A

82.（）是数据库系统中所有更新活动的操作序列。

Av数据库日志

B、数据库文件

C4MDF文件

答案：A

83.下面可以验证电子文档内容是否被改过的命令是（）。

A、Format

B∖MD5Sum

第23页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

Cxdir

DxIpconfig

答案：B

84.00-13-CE-B7-B6-BA是（）。

A、IP地址

B、环回地址

C、MAC地址

D、私有地址

答案：C

85.以下软件中，（）不是操作系统。

AvWindows10

BxuniX

CxIinux

DvWPS

答案：D

86.下面不是WindOWS操作系统日志文件的是（）。

A、系统日志

Bv应用程序日志

C、安全性日志

D、用户操作日志

答案：D

87.传输控制协议（TCP）位于OSI七层协议的（）。

第24页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

A、物理层

B、数据链路层

C、网络层

D、传输层

答案：D

88.下面软件中，可以用来读取手机SIM卡中的数据的是（）。

AxExifReader

B、SIMManager

C∖FoxMaiI

Dxdiskcopy

答案：B

89,硬盘的分区可由DOS外部命令（）来实现。

AxFdisk

Bxdir

Cxipconfig

DxFormat

答案：A

90.下面不是数据库的是（）。

AxOrcaIe

BxSyBase

C、SQLServer

D、Nslookup

第25页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

答案：D

91.下列（）不属于视频格式。

AvMP3

B、MP4

CxJPG

D、MOV

答案：C

92.一个MBR可以分几个主分区（）

A、3

B、5

C、4

D、2

答案：C

93.下面属于电子数据取证的是（）o

A、现场勘验检查

B、远程勘验

C、电子物证检验

D、以上都是

答案：D

94.集成电路卡识别码也称为（）。

A、IMSI

B、MEID

第26页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

C、ICCID

D、IMEI

答案：C

95.下列哪些不是硬盘接口（）

A、IDE

B、SAS

C、SATA

D、HDMI

答案：D

96.收集'提取电子数据,应当由（）名以上侦查人员进行。

A、1

B、2

C、3

D、4

答案：B

97.在FAT文件系统中，根目录的首地址存储在O中。

AvDBR

B、FAT

C、FDT

D、DATA

答案：A

98.在一个文件的物理大小和逻辑大小之间在的区域我们称之为什么：（）

第27页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

A、未使用磁盘空间

Bs未分配簇

C、未分配扇区

Dx文件残留区

答案：D

99.进行文件一致性检验时,经过MD5演算后得到的散列值是（）。

A、32bit

Bv64bit

G128bit

D、256bit

答案：C

100.如果查到的IP地址为192.168.7.69,这是一个0。

A、公有地址

B、私有地址

C、A类IP地址

Dx动态IP地址

答案：B

101.手机安卓系统是哪个公司开发（）

A、微软

B、GoogIe

C、诺基亚

DxIntel

第28页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

答案：B

102.以下（）字符串是正确的MD5散列值。

A、EBABE3D46F09683D6EB

B、F8B227BD6F8271G7A07ED7C09EA2018111FD

C、D972F674DB10B4FF88A15D7E784370ADF88AC33

D、D3030772311CE42BE4AEE12A618DD262

答案：D

103.查询某域名对应的IP地址的网络命令是0。

AvFPort

B∖Ipconfig

CvIpconfig/aII

D、NsIookup

答案：D

104.拥有技术成熟'性能稳定、容量大、价格低等优点的硬盘是（）。

A、机械硬盘

B'固态硬盘

C、混合硬盘

答案：A

105.下面属于加密算法的是（）。

A、EFS

B、MSN

GNTFS

第29页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

D、FAT

答案：A

106.SATA3.0的传输速率是（）。

A、6.0Gb∕s

B、6.OGB/s

C、3.OGb/s

D∖3.OGB/s

答案：A

107.下面不属于复合型文件的是（）。

A、压缩文件

B、注册表文件

C、记事本文件

DxOFFICE文件

答案：C

108.当我们查看一个文件的属性时,可以看到文件的大小、创建时间、修改时间、

访问时间等属性。其中文件的大小指的是（）。

A、文件实际占用的扇区数

B、文件实际占用的字节数

C、文件实际占用的簇数

D、以上所有描述均正确

答案：B

109.勘查现场嫌疑人计算机处于关机状态,正常的操作是：（）

第30页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

A、重新开机运行操作系统并安装取证软件作现场取证工作

B、重新开机运行操作系统固定易丢失数据后关机并封存

Cv现场拆卸嫌疑人计算机硬盘并连接只读锁作现场取证工作

Dx封存计算机

答案：D

110.目前的硬盘转速没有（）。

Ax3600rpm

B47200rpm

Cv1OOOOrpm

Dx15000rpm

答案：A

111.（）是CDMA手机的身份识别码,也是每台CDMA手机或通讯平板唯一识别码

A、MEID

B、IMEI

C、IMSI

DvICCID

答案：A

112.磁盘在格式化时被划分成许多同心圆,这些同心圆轨迹就叫做（）

A、磁道

B、扇区

C、柱面

Dv簇

第31页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

答案：A

113.现场勘查人员必须是经过现场勘查相关的培训才能执行勘查任务,因为现场

勘查工作是后续所有取证分析工作的基础,是保证证据的（）的第一步

A、司法有效性

B、科学性

C'多样性

D、合理性

答案：A

114.（）是可交换图像文件的缩写,是一个为数码相机使用的图像文件格式而制定

的标准规格。

A、JPEG

B、Exif

C、GIF

D、BMP

答案：B

115.在UNlX系统中，每个文件在系统中有一个（），其中包含文件所有者的详细信

息、文件的权限、文件的时间信息'文件的类型等信息。

A4i-node

B、C/H/S

C、分区

D、簇

答案：A

第32页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

116.针对诺基亚手机的取证,连接数据线后需要在手机屏幕上选择什么模式？（）

A、PC套件

B、大容量存储

C、多媒体传送

D、将PC连接至互联网

答案：A

117.可以进行文件一致性检验的命令是（）。

A、Format

Bvdir

CxMD5Sum

DvIpconfig

答案：C

118.一个完整的计算机系统通常包括（）。

A、硬件系统和软件系统

B、机算机及其外部设备

Cx主机'键盘与显小器

D、办公软件和应用软件

答案：A

119.取相关的易丢失电子数据,并保护存储介质中的静态数据不被修改或破坏是

指（）

A、取证准备

B、证据识别

第33页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

C、证据收集

Ds证据提取及固定

答案：D

120.远程勘验结束后,应当及时制作（）0

A、远程勘验工作记录

B、鉴定文书

C、工作记录

Dv勘查笔录

答案：A

121.Windows系统为曾经打开过的文档在Recent文件夹中建立文件的文件类型

是（）。

Ax.Ink

B、.XIs

Cv.dbx

Dv.exe

答案：A

122.IPv6地址的长度由（）个字节组成。

A、4

Bx8

C、16

D、32

答案：C

第34页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

123.安卓6.O系统手机所采用的数据区加密方式为（）

Av文件加密

B、全磁盘加密

C、特殊加密

D、极限加密

答案：B

124.电子证据的固定与封存是保证电子证据完整性、真实性和原始性的操作规程,

目的就是通过制定严格的取证规则，从程序上规范取证过程,确保电子证据的（）。

A、完整性

B、有效性

Cx真实性

D、原始性

答案：B

125.下面可以获得网卡MAC地址的命令是（）。

A、ping

B∖ipconfig

Cvtracert

Dvnslookup

答案：B

126.提取当前屏幕显示的内容作为证据,可使用键盘上的（）键

A、ScrolI

B、Print

第35页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

C、Del

D、工作对象

答案：B

127.MD5的哈希值是（）位的十六进制字符。

A、16

B、32

C、64

D、128

答案：B

128.以下哪个不是手机的操作系统。（）

AvSymbianOS

BxGoogIeAndroi（D）

C、AppIeiOS

D、LINUX

答案：D

129.属于新式硬盘,简称为SSD的硬盘是（）。

A、机械硬盘

B、固态硬盘

C、混合硬盘

答案：B

130.在计算机中用于标识二进制数的字母是（）。

AvB

第36页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

B、C

C、D

D、E

答案：A

131.下列哪种存储设备在断电后其存储信息会很快丢失？O

A、ROM

B、U盘数据

CvRAM

D、硬盘数据

答案：C

132.在电子证据取证过程中,核心和关键的一步是（）。

A、保护现场和现场勘查

B、分析数据

Cx追踪

D、提交结果

答案：B

133.在NTFS文件系统中，最小的分配单位（）。

A、簇

B∖扇区

C、1KB

D、字节

答案：A

第37页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

134.下面对电子物证检验对象说法错误的是（）。

A、包括各种电子设备和部件

B、包括电子设备中储存的电子信息

C、不包括电子设备中传输的电子信息

D、包括磁盘未分配空间中的信息

答案：C

135.下面用于和内存交换数据的文件是O。

A、page,sys

Bvpagefiles.sys

C、pagefiIe.sys

D、file,sys

答案：C

136.哪些操作易磨损硬盘,故不应经常使用。（）

A、高级格式化

B、低级格式化

C、硬盘分区

D、向硬盘拷贝文件

答案：B

137.在电子证据检查中，通过已知内容设置（），对存储设备的数据文件或二进制

数据进行搜索,是数据检验的有效方法。

A、时间

B、条件

第38页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

C、关键字

D、位置

答案：C

138.IDEvSCShSATA和SAS描述了（）设备的接口类型。

A、CPU

B、U盘

Cv硬盘

D、RAM芯片

答案：C

139.关于服务器服证,错误的是：O

A、服务器关机时一般采用正常关机方式

B、服务器一般采用IDE硬盘

C^在RAlD阵列中会有多块硬盘

D、非正确关闭服务器可能会导致数据库出错

答案：B

140.一个字节等于（）位。

A、8

B、16

C、32

D、64

答案：A

141.用来检验数码照片属性的软件工具有（）。

第39页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

AxExifReader

BxSafeback

C、Whois

DxEasyRecovery

答案：A

142.在电子物证检验中，用于检验文件内容是否被修改的技术方法是（）o

A、散列值分析

B、文件扩展名分析

C、文件加密分析

D、文件签名分析

答案：A

143.所有计算机（节点）都连到中心节点上的网络拓扑结构是（）。

A、星型

B、环型

C、双星双环型

D、总线型

答案：A

144.以下哪个信息是手机身份的唯一标识符0

A、GPT

B、UUID

C、IMEI

D、IEEI

第40页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

答案:C

145.在现场实施勘验,提取、固定现场存留的与案件有关的电子证据和其他相关

证据属于O

A、现场勘查

B、远程勘验

C、电子证据检查

D、电子证据分析

答案：A

146.文件签名恢复是根据（）特征进行恢复文件的。

A、文件头

Bx扩展名

Cv文件内容

Dx以上都是

答案:A

147.在进行硬盘克隆时,对目标盘的要求叙述正确的是（）。

A、无论是新的目标盘或用过的目标盘,对其容量都没有特殊要求

B、如果是新的目标盘,直接将源盘中的数据进行复制即可

C、如果是用过的目标盘,将里面的数据全部删除即可

Dv如果是用过的目标盘,要用专用设备对其先进行严格擦除

答案：D

148.电子证据取证步骤是（）。

A、追踪T分析数据T保护现场和现场勘查T提交结果

第41页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

B、保护现场和现场勘查T分析数据T追踪T提交结果

C、追踪T保护现场和现场勘查T分析数据T提交结果

D、保护现场和现场勘查T分析数据T提交结果T追踪

答案：B

149.苹果手机连接电脑获取数据可以使用以下哪种软件（）

AxItunes

B、AD（B）

C、ED（B）

DvGDB

答案：A

150.未使用的空间和文件删除后未再分配的空间是（）。

A、文件碎片空间

空闲空间

C、未分配空间

D、逻辑文件空间

答案：C

151.针对WindoWSMobiIe手机的取证,连接数据线后需要在手机屏幕上选择什么

模式？（）

A、PC套件

BxActiveSync

C、多媒体传送

D、系列模式

第42页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

答案：B

152.扩展名为.mp3的文件通常是一个（）

A、视频文件

B⅛音频文件

C、文本文件

D、图片文件

答案：B

153.在综合性电子物证检验工具中，用于检验文件内容一致性的技术是（）o

Av文件签名分析

B、关键字搜索

C、散列分析

D、数据恢复

答案：C

154.需要根据所掌握的案情信息准备到现场进行勘查的人员和设备是指（）

A、取证准备

B、证据识别

C、证据收集

Dv证据分析

答案：A

155.计算机中有许多存储信息容量的单位,下面说法正确的是（）。

A45TB=5×1024MB

B、1MB=1024B

第43页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

G3MB=1024×1024×1024B

Dv4GB=4×1024×1024KB

答案：D

156.公安部于（）年出台了《公安机关鉴定机构登记管理办法》和《公安机关鉴定

人登记管理办法》，规定地市级以上机构可开展电子物证等八类检验鉴定项目，

将电子物证纳入检验鉴定范围。

A、2004

Bv2005

C、2006

D、2007

答案：C

157.以下属于XML文件结构的是（）。

A、db

Bxdocx

Cvjpg

D、doc

答案：B

158.下面（）软件可以用来读取手机SIM卡中的数据。

AxExifReader

Bxdiskcopy

C、FoxMaiI

D、SIMManager

第44页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

答案：D

159.只读锁连接硬盘设备进行只读操作,错误的是：（）

A、先开启只读锁电源,再连接硬盘设备

B、主盘模式不能识别的设备,尝试将硬盘跳线设置为CS模式

C、只读锁接口与硬盘不匹配的,采用转换器进行连接

D、确保只读锁未打开“读写”功能

答案：A

160.下列0不属于图像格式。

AvBMP

BvMP4

C、JPG

D、PNG

答案：B

161.Windows7中操作系统日志文件的扩展名是（）。

Axevt

B、txt

C、log

Dvevt×

答案：D

162.下面（）软件可以用来读取手机SIM卡中的数据。

A、ExifReader

B、diskcopy

第45页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

C∖FoxMaiI

DxSIMManager

答案：D

163.“取证大师”自动取证后的分析结果需到哪个视图查看？（）

A、“搜索结果”视图

Bx“取证结果”视图

C、“索引结果”视图

D、“案例”视图

答案：B

164.新建的EXCel工作簿中默认有0张工作表。

A、2

B、3

C、4

D、5

答案：B

165.每台机器上网都必须有合法的0地址。

A、IP

B、MAC

C、URL

D、HTML

答案：A

166.Windows系统格式化硬盘,是将（）。

第46页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

A、全部数据清零

B、全部数据写入1

C、根目录区清零

Dx根目录区写入1

答案：C

167.手机SIM卡不包括以下哪种规格（）

AxSIM

B、Mini-SIM

CMicro-SIM

DxBig-SIM

答案：D

168.磁盘分区中用于存储文件或文件夹的一组扇区,它是分区的基本存储单元,

也称为分配单元的是？（）

A、磁道

Bx扇区

Cx柱面

Dv簇

答案：D

169.对送检的材料采用专用的设备进行克隆，目的是保持原始电子信息的（）。

A、多样性

Bv派生性

Cx时限性

第47页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

D、完整性

答案：D

170.Windows操作系统中保存机器IP地址对应的注册表文件是（）。

AxSAM

BxSYSTEM

GUSERS

D、DEFAULT

答案：B

171.常见的硬盘接口方式有IDE接口和0。

A、VGA接口

B、IEEEI394接口

CvDVI接口

D、SCSI接口

答案：D

172.取证大师查看Word文件时,使用哪个视图可以达到与Word程序打开一样的

显示效果0

A、文本视图

B、十六进制视图

Cv预览视图

D、报告视图

答案：C

173.可以设置网络设备的状态,或是显示目前的设置的命令是（）

第48页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

Axipconfig

Bxdir

C、tracert

DxcIs

答案：A

174.下面用于由源地址到目的地址传送邮件的协议是0。

AxPOP

BvUDP

CvARP

D、SMTP

答案：D

175.下面不属于Hash算法的是（）

A、MD5

B、SHA

C、CRC

D、SUM

答案：D

176.文件头部信息存储在（）中。

A、DBR

B、FAT

C、DATA

D、FDT

第49页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

答案：C

177.在电子物证检验中，用于检验文件是否修改过扩展名的技术是O。

A、散列值分析

B、扩展名分析

C、加密分析

D'文件签名分析

答案:D

178.鉴定单位可对送检材料暂时保存,但保存期限一般不超过（）个月。

Av1

Bv2

Cx3

D、6

答案：D

179.用于手机取证的分析软件是O。

A∖ForensicSIM

BxFoxPro

C、Format

D、FORTRAN

答案：A

180.对送检的材料采用专用的设备进行克隆，目的是保持原始电子信息的（）o

A、完整性

B、派生性

第50页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

C、时限性

D、多样性

答案：A

181.不能用来进行硬盘分区的软件工具是（）。

AxFdisk

BxDM

CxCopy

DxPartitionMagic

答案：C

182.计算机中为了计算方便,会用到各种进制的计数方法,通常用最后一个字母

来标识数制,42H表示在（）下这个数是42o

Av二进制

B、八进制

C、十进制

Dv十六进制

答案：D

183.（）是微型计算机的核心，由运算器和控制器两部分组成。也是是决定计算机

系统性能的重要指标

A、CPU

Bx主机

C、显卡

答案：A

第51页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

184.关闭笔记本电脑的最佳办法是什么？（）

A、拔下计算机背部的电源插头

B、从墙上拔下插座

C、拿掉笔记本电脑的电池

D、同时采取A和C两种方法

答案：D

185.对可能影响案件侦办且容易损坏或丢失的电子数据进行提取另存属于（）

A、收集证据

B、提取固定易丢失数据

C、电子证据检查

D、电子证据分析

答案：B

186.电子数据的特点不包括（）。

A、依赖介质性

B、易复制性

Cx不易破坏性

D、表现形式多样性

答案：C

187,下列不属于证据种类的是O。

A、物证

B、电子数据

C、视听资料

第52页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

D、分析意见

答案：D

188.检查现场所有可能有效的证据是指（）

A、取证准备

B、证据识别

C、证据收集

D、证据分析

答案：B

189.（）是英文StructuredQueryLanguage的缩写，中文意思是结构化查询语言，

其功能强大,可查询数据库,还能定义、修改'插入、管理数据库及规定数据库的

安全性能等,已逐步成为关系数据库的标准语言

A、SQL

B、CQO

C、EQL

D、ELL

答案：A

190.计算机的软件系统一般分为（）两大部分。

A、系统软件和应用软件

B、操作系统和计算机语言

C、程序和数据

D、DOS和WINDoWS

答案：A

第53页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

191.关于邮件数据文件扩展名,错误的是：（）

A、OfficeOutIook的邮件数据扩展名为.PST

BxOutlookExpress的邮件数据扩展名为.DBX

GFoxmaiI的邮件数据扩展名为.oCX

D、邮件扩展名被更改,可以通过文件签名来检验

答案：C

192.扩展名为.MP4的文件通常是一个（）

A、视频文件

B∖音频文件

C、文本文件

Dx图片文件

答案：A

193.电子物证检验结果可以作为案件侦查线索或0。

A、决策依据

B、可靠根据

C、法庭证据

D、研究基础

答案：C

194.Windows操作系统用文件的（）将文件与浏览器关联。

A、签名

BtMD5哈希值

Cv扩展名

第54页，共76页5/7

电子物证专业考试复习题库（含答案）

基础（精讲）+冲刺（仿真）+督学（测评）+口诀（速记）+经典（资料）

D、元数据文件

答案：C

195.在电子物证检验中，用于检验文件内容一致性的技术是（）o

A、文件签名分析

B、散列分析

C'关键字搜索

D、数据恢复

答案：B

196.苹果手机采用的操作系统是O

AxAndroi（D）

B⅛Windows

C、DOS

D、IOS

答案：D

197.Iinux系统中拥有最高权限的用户是（）

Axadministrator

Btadmin

C4root

D∖guest

答案：C

198.MD5哈希算法输出数据的长度是（）。

A、32

第55页，共76页5/7

电子物证专业考试复习题库