2023-2024年电子物证专业考试复习题库（含答案）

2023年-2024年电子物证专业考试复习

题库(含答案)

单选题

1.安卓手机的软件安装包格式为o

A、msi

B、exe

C、apk

D、ipa

参考答案：C

2.电子证据、数字证据、计算机证据三者之间的关系是()。

A、电子证据包含数字证据、数字证据包含计算机证据

B、电子证据包含计算机证据、计算机证据包含数字证据

C、计算机证据包含电子证据、电子证据包含数字证据

D、数字证据包含电子证据、计算机证据包含电子证据

参考答案：A

3.在Windows操作系统中用于打开注册表编辑器的命令是Oo

A、msconfig

B、open

C、regedit

D、read

参考答案：C

4.关于日志分析，错误的是：()

A、删除但未被覆盖的日志可以进行日志恢复

B、可以通过关键词搜索查找被删除的日志

C、日志分析无法定位攻击者的操作

D、日志分析可以查看入侵者访问网页木马的相关信息

参考答案：C

5.Windows操作系统怎么在命令行里面查看ip详细信息()

A、ipconfig

B、ifconfig

C、ipconfig/all

D、ifconfig/all

参考答案：C

6.windows系统中拥有最高权限的用户是()

A、administrator

B、admin

C、root

D、guest

参考答案：A

7.下列属于计算机输出设备的是0。

A、打印机

B、键盘

C、鼠标

D、扫描仪

参考答案：A

8.可以同时查看本机IP地址和MAC地址的命令是()。

A、ping

B、dir

C、Format

D、ipconfig/all

参考答案：D

9.通常一个完整的邮件通常不包括()。

A、邮件头

B、正文

C、附件

D、邮件尾

参考答案：D

10.按照检验过程，电子物证检验的四个阶段是()。

A、案件受理一一提取数据一一检验数据一一分析数据并得出结果

B、案件受理一一提取数据一一检验数据一一形成鉴定文书

C、提取数据一一检验数据一一分析数据并得出结果一一形成鉴定文

书

D、提取数据一一分析数据一一检验数据一一形成鉴定文书

参考答案：C

11.下列属于基本系统进程的是()

A、winlogon,exe

B、termsvr.exe

C、wins,exe

D、snmp.exe

参考答案：A

12.在进行电子物证检验时，如果嫌疑人将多个JPEG图片的扩展名改

为了其他名称，需要通过()方法才能找到这些文件。

A、散列值比对

B、关键字搜索

C、文件签名分析

D、文本风格比对

参考答案：C

13.在计算机系统里,硬盘的每扇区的默认大小为：()

A、512字节

B、1024字节

C、512位

D、1024位

参考答案：A

14.下面关于计算机证据、电子证据和数字证据概念之间关系表述正

确的是()。

A、电子证据是数字证据的一个子集

B、电子证据就是计算机证据

C、数字证据是计算机证据的一个子集

D、数字证据是电子证据的一个子集

参考答案：D

15.安卓手机连接电脑获取数据需要在手机中打开什么设置()

A、开发者模式

B、测试者模式

C、使用者模式

D、高级模式

参考答案：A

16.下面输出长度可以为512位的Hash算法的是()

A、MD5

B、SHA

C、CRC

D、SUM

参考答案：B

17.IPv6规定的IP地址长度是()位。

A、32

B、64

C、128

D、256

参考答案：C

18.IP地址172.16.128.19是（）。

A、Internet地址

B、环回地址

C、MAC地址

D、私有地址

参考答案：D

19.电子邮箱是()，具有指向特定人的特点。

A、网络特征

B、标识特征

C、唯一特征

D、准确特征

参考答案：A

20.如果对象将多个JPEG图片的文件的扩展名改为其他名称，需要通

过()可以快速找到这些文件？

A、散列值比对(MD5)

B、散列值比对(SHAT)

C、文件签名分析

D、以上答案均不正确

参考答案：C

21.以下属于MAC地址的是？()。

A、72.168.1.1

B、255.255.255.0

C、1C-4B-D6-AD-26

D、1C-4B-D6-AD-26-D7

参考答案：D

22.域名通常与下面哪个相对应？()

A、MAC地址

B、网络

C、IP地址

D、以上都不是

参考答案：C

23.不能用来进行数据恢复的工具软件是()。

A、Encase

B、ExifShow

C、EasyRecovery

D、FinalData

参考答案：B

24.扩展名为PNG文件通常是一个()。

A、视频文件

B、音频文件

C、文本文件

D、图片文件

参考答案：D

25.以下关于文件删除的说法中，不正确的是：()

A、文件目录项的首字节改变为十六进制值E5。

B、文件数据所占的簇被更新为未分配状态。

C、文件数据被填充为OOh。

D、文件的数据仍然保留在原位置。

参考答案：C

26.能深入操作系统底层查看slack空间、未分配空间等数据的工具

是()。

A、EasyRecovery

B、FinalData

C、Nslookup

D、Encase

参考答案：D

27.下接口中是显示器接口的是()

A、VGA

B、PCI-e

C、SATA

D、IDE

参考答案：A

28.对存储介质只读设备的作用叙述不正确的是0。

A、能使证据盘数据的属性不发生变化

B、保证取证和检验过程的有效性

C、对源存储介质做逐位精确的备份

D、可方便地将证据盘接入计算机取证专用设备,直接进行取证和分析

参考答案：C

29.电子证据是由电子设备存储或传输的有侦查作用或证据价值的电

子信息及()。

A、所属硬件

B、派生物

C、软件

D、程序

参考答案：B

30.在MBR扇区中用于描述分区表信息的信息长度为：()

A、16字节

B、32字节

C、64字节

D、128字节

参考答案：C

31.扩展名为WPS文件通常是一个()。

A、视频文件

B、音频文件

C、文本文件

D、图片文件

参考答案：C

32.安卓系统可以使用什么命令对应用及其数据进行备份()

A、ad(B)

B、shell

C、backup

D、mount

参考答案：C

33.多备份原则属于下列哪个过程()

A、证据发现

B、证据提取

C、证据分析

D、证据保全

参考答案：D

34.以下哪个对象无法计算散列值：()

A、FAT分区上的文件夹

B、文件

C、物理硬盘

D、逻辑分区

参考答案：A

35.现在手机的通讯标准不包括为0

A、2G

B、4G

C、5G

D、6G

参考答案：D

36.信息都是通过各种()在计算机中进行存储的.

A、字符编码

B、字符串

C、数字

参考答案：A

37.在一个驱动器上,最小的可以写入数据的单位为,在一个

文件系统上，最小的可以写入数据的单位为.()

A、比特和字节

B、扇区和簇

C、卷和驱动器

D、内存和磁盘

参考答案：B

38.文件签名一般在文件的()位置

A、文件头

B、文件尾

C、文件中间

D、以上都正确

参考答案：A

39.计算机中有许多存储信息容量的单位,下面说法正确的是0。

A、1TB=1O24MB

B、lMB=1024X1024X1024B

C、1GB=1O24X1024KB

D、1MB=1O24B

参考答案：C

40.只要某个地方的电缆断开或一个节点出现问题，整个网络就会崩

溃的网络拓扑结构是()。

A、星型结构

B、环型结构

C、树型结构

D、总线型结构

参考答案：D

41.在一个文件的物理大小和逻辑大小之间存在的区域我们称之为()。

A、未使用磁盘空间

B、文件残留区

C、未分配扇区

D、未分配簇

参考答案：B

42.不属于电子数据证据特点的是()。

A、易破坏性

B、易复制性

C、易传播性

D、易恢复性

参考答案：D

43.电子物证鉴定意见可以作为案件侦查线索或0。

A、结论依据

B、法庭证据

C、研究基础

D、理论标准

参考答案：B

44.()不是电子邮件所用的编码。

A、Base64

B、Unicode

C、R-Studio

D、Quoted-Printable

参考答案：C

45.数据不能装满操作系统所定义的最小块时剩余的空间是()。

A、未分配空间

B、物理空间

C、逻辑空间

D、slackspace

参考答案：D

46.在FAT文件系统中，文件的真实类型数据存储在()中。

A、DBR

B、FAT

C、FDT

D、DATA

参考答案：D

47.扩展名为DOCX文件属于()结构。

A、db

B、xml

C、emf

D、mdb

参考答案：B

48.常见的加密方法不包含：()

A、系统设置法

B、软件加密法

C、硬件加密法

D、社会工程学

参考答案：D

49.计算机中存储的信息采用的是()。

A、二进制

B、八进制

C、十进制

D、十六进制

参考答案：A

50.注册表五大根键的数据保存在()文件中。

A、操作系统日志

B、配置单元

C、服务器日志

D、数据库日志

参考答案：B

51.下列()属于图像格式。

A、MP3

B、MP4

C、JPG

D、MOV

参考答案：C

52.()不是Windows下克隆硬盘时使用的软件工具。

A、dd

B、Safeback

C、SnapBack

D、Encase

参考答案：A

53.从事电子物证检验与分析的人员，应当取得()才能从事电子物证

检验与分析工作。

A、电子数据鉴定人资格证书

B、培训证书

C、勘查证

D、相关专业毕业证

参考答案：A

54.关于Encase软件的使用方法叙述错误的是0。

A、过滤器只能根据文件属性查找相关文件信息

B、查询可以搜索文件残留区内的相关信息

C、关键字搜索可以根据文件内容查找相关文件信息

D、关键字搜索可以搜索文件残留区和未分配空间内的相关信息

参考答案：B

55.以下说法中正确的是()。

A、对于鉴定意见不一致的案件，由高级鉴定人员出具鉴定文书

B、鉴定文书需两名以上人员签字有效

C、鉴定单位对送检材料有权自行处理,无需征求送检单位意见

D、鉴定过程中要对使用的检验方法进行详细记录,而对检验环境不做

要求

参考答案：B

56.在Linux系统上,用什么命令获取MAC地址()

A、ipconfig

B、ifconfig

C、ipconfig-a

D、ifconfig-a

参考答案：C

57.以下关于文件删除的说法中，不正确的是：()

A、文件目录项的首字节改变为十六进制值E5

B、文件数据被填充为00h

C、文件数据所占的簇被更新为未分配状态

D、文件的数据仍然保留在原位置

参考答案：B

58.通过查看数码相机拍摄照片的()信息,可以对其原始性进行检验。

A、EXIF

B、EXTF

C、EIXF

D、EFIX

参考答案：A

59.关于只读设备的描述,错误的是：()

A、只读设备可以防止证据源不被修改

B、只读设备可能会有读写开关

C、只读锁可以有IDE/SATA/SCSI等各类接口

D、8750Pro只读锁通过IDE接口与分析主机相连

参考答案：D

60.SHA-1哈希算法输出数据的长度是()位。

A、160

B、128

C、256

D、512

参考答案：A

61.数据库常用的数据模型不含有下面哪项()

A、层次模型

B、网状模型

C、关系模型

D、数据模型

参考答案：D

62.不属于常见文件系统的是：()

A、FAT32

B、NTFS

C、EXT2

D、UPS

参考答案：D

63.NTFS采用什么来记录文件的名字、起始位置与分配空间？()

A、FAT表

B、$Bitmap

C、MFT表

D、MBR

参考答案：C

64.硬盘中的DBR是()时创建的。

A、格式化

B、分区

C、创建文件

D、计算机启动

参考答案：A

65.下列不属于现场勘查取证的基本原则是()

A、不损害原则

B、避免使用原始证据原则

C、记录所做操作

D、第三方记录原则

参考答案：D

66.解除冻结电子数据的,应当在()日内制作协助解除冻结通知书,送

交电子数据持有人、网络服务提供者或者有关部门协助办理。

A、1

B、2

C、3

D、4

参考答案：C

67.在现场不关闭电子设备的情况下直接分析和提取电子系统中的数

据属于()。

A、收集证据

B、提取固定易丢失数据

C、电子证据检查

D、在线分析

参考答案：D

68.以下不是操作系统的是()。

A、NetWare

B、Dreamweaver

C、UNIX

D>WindowsXP

参考答案：B

69.扩展名为.BMP的文件通常是一个()

A、视频文件

B、音频文件

C、文本文件

D、图片文件

参考答案：D

70.下面可用于测试网络是否连通的命令是()。

A、ping

B、tracert

C、nslookup

D、ipconfig

参考答案：A

71.以下()字符串是正确的MD5散列值。

A、C3030772311CE42BE4AEE12A618DD262

B、C09EAF8B227BD6F8271G7A07ED7C09EA20181

C、A15F88AD972F674DB10B4FF88A15D7E784370ADF88A

D、ABE3D46F09683D6EB

参考答案：A

72.下面不支持单个文件大于4GB的文件系统是0。

A、FAT32

B、NTFS

C、exFAT

D、以上均不支持

参考答案：A

73.能把多块独立的物理硬盘按不同方式组合起来形成一个逻辑硬盘,

并能提供比单个硬盘更高的性能及数据冗余功能的是()。

A、简单磁盘捆绑技术

B、跨区卷技术

C、RAID技术

D、JBOD技术

参考答案：C

74.以下不属于电子物证综合检验分析软件的是0。

A、FTK

B、UFS

C、Encase

D、X-ways

参考答案：B

75.常用的命令中，()可以检查某系统是否存在，测试你自己的网卡，

测试某一域名的IP地址。

A、ping

B、msts

C、cmd

D、ip

参考答案：A

76.分配给某个文件的区域但没有被占满的空间称为()。

A、未分配空间

B、松弛空间

C、自由空间

D、多余空间

参考答案：B

77.在电子物证检验中，用于搜索手机尾号是86正确的grep语法表达

式是0。

A、1#{8}86

B、1#{9}86

C、1[3578]#{4}86

D、1{3578}#{4}86

参考答案：A

78.计算机系统时间提取的正确方法是：()

A、记下取证人员赶到现场时手表上提示的日期和时间

B、打开计算机,记下计算机系统日期和时间

C、打开计算机,记下计算机系统日期和时间，并记录下与当前标准日

期和时间的差值

D、打开机箱，拔下硬盘数据线和电源线，开机进入BIOS,记录显示的

系统日期和时间，并记录与当前标准时间的差值

参考答案：D

79.勘查现场嫌疑人计算机处于开机状态,正常的操作是：()

A、直接关机,现场拆卸嫌疑人计算机硬盘并连接只读锁作现场取证工

作

B、在嫌疑人计算机上安装取证软件作现场取证工作

C、直接关机,现场拆卸嫌疑人计算机硬盘并连接复制机生成副本

D、固定易丢失数据后关机并封存

参考答案：D

80.下列软件中，哪一个属于系统软件()。

A、Photoshop

B、Windows7

C、Winzip

D、Excel

参考答案：B

81.在EnCase中，可用于检验文件内容一致性的方法是()。

A、哈希值

B、文件头

C、访问时间

D、文件签名

参考答案：A

82.()是数据库系统中所有更新活动的操作序列。

A、数据库日志

B、数据库文件

C、MDF文件

参考答案：A

83.下面可以验证电子文档内容是否被改过的命令是()。

A、Format

B、MD5Sum

C>dir

D、Ipconfig

参考答案：B

84.00-13-CE-B7-B6-BA是()。

A、IP地址

B、环回地址

C、MAC地址

D、私有地址

参考答案：C

85.以下软件中，()不是操作系统。

A、Windows10

B、unix

C、linux

D、WPS

参考答案：D

86.下面不是Windows操作系统日志文件的是()。

A、系统日志

B、应用程序日志

C、安全性日志

D、用户操作日志

参考答案：D

87.传输控制协议(TCP)位于0SI七层协议的0。

A、物理层

B、数据链路层

C、网络层

D、传输层

参考答案：D

88.下面软件中，可以用来读取手机SIM卡中的数据的是()。

A、ExifReader

B、SIMManager

C>FoxMail

D、diskcopy

参考答案：B

89.硬盘的分区可由DOS外部命令()来实现。

A、Fdisk

B、dir

C、ipconfig

D、Format

参考答案：A

90.下面不是数据库的是()。

A、Orcale

B、SyBase

C、SQLServer

D、Nslookup

参考答案：D

91.下列()不属于视频格式。

A、MP3

B、MP4

C、JPG

D、MOV

参考答案：C

92.一个MBR可以分几个主分区()

A、3

B、5

C、4

D、2

参考答案：C

93.下面属于电子数据取证的是()。

A、现场勘验检查

B、远程勘验

C、电子物证检验

D、以上都是

参考答案：D

94.集成电路卡识别码也称为()。

A、IMSI

B、MEID

C、ICCID

D、IMEI

参考答案：C

95.下列哪些不是硬盘接口()

A、IDE

B、SAS

C、SATA

D、HDMI

参考答案：D

96.收集、提取电子数据，应当由()名以上侦查人员进行。

A、1

B、2

C、3

D、4

参考答案：B

97.在FAT文件系统中,根目录的首地址存储在()中。

A、DBR

B、FAT

C、FDT

D、DATA

参考答案：A

98.在一个文件的物理大小和逻辑大小之间在的区域我们称之为什

么：()

A、未使用磁盘空间

B、未分配簇

C、未分配扇区

D、文件残留区

参考答案：D

99.进行文件一致性检验时,经过MD5演算后得到的散列值是()。

A、32bit

B、64bit

C、128bit

D、256bit

参考答案：C

100.如果查到的IP地址为192.168.7.69,这是一个()。

A、公有地址

B、私有地址

C、A类IP地址

D、动态IP地址

参考答案：B

101.手机安卓系统是哪个公司开发()

A、微软

B、Google

C、诺基亚

D、Intel

参考答案：B

102.以下()字符串是正确的MD5散列值。

A、EBABE3D46F09683D6EB

B、F8B227BD6F8271G7A07ED7C09EA2018111FD

C、D972F674DB10B4FF88A15D7E784370ADF88AC33

D、D3030772311CE42BE4AEE12A618DD262

参考答案：D

103.查询某域名对应的IP地址的网络命令是()。

A、FPort

B、Ipconfig

C、Ipconfig/all

D、Nslookup

参考答案：D

104.拥有技术成熟、性能稳定、容量大、价格低等优点的硬盘是0。

A、机械硬盘

B、固态硬盘

C、混合硬盘

参考答案：A

105.下面属于加密算法的是()。

A、EFS

B、MSN

C、NTFS

D、FAT

参考答案：A

106.SATA3.0的传输速率是()o

A、6.OGb/s

B、6.OGB/s

C、3.OGb/s

D、3.OGB/s

参考答案：A

107.下面不属于复合型文件的是()。

A、压缩文件

B、注册表文件

C、记事本文件

D、OFFICE文件

参考答案：C

108.当我们查看一个文件的属性时,可以看到文件的大小、创建时间、

修改时间、访问时间等属性。其中文件的大小指的是()。

A、文件实际占用的扇区数

B、文件实际占用的字节数

C、文件实际占用的簇数

D、以上所有描述均正确

参考答案：B

109.勘查现场嫌疑人计算机处于关机状态,正常的操作是：()

A、重新开机运行操作系统并安装取证软件作现场取证工作

B、重新开机运行操作系统固定易丢失数据后关机并封存

C、现场拆卸嫌疑人计算机硬盘并连接只读锁作现场取证工作

D、封存计算机

参考答案：D

110.目前的硬盘转速没有()。

A、3600rpm

B、7200rpm

C、lOOOOrpm

D、15000rpm

参考答案：A

111.()是CDMA手机的身份识别码,也是每台CDMA手机或通讯平板唯

一识别码

A、MEID

B、IMEI

C、IMSI

D、ICCID

参考答案：A

112.磁盘在格式化时被划分成许多同心圆，这些同心圆轨迹就叫做()

A、磁道

B、扇区

C、柱面

D、簇

参考答案：A

113.现场勘查人员必须是经过现场勘查相关的培训才能执行勘查任

务，因为现场勘查工作是后续所有取证分析工作的基础，是保证证据

的()的第一步

A、司法有效性

B、科学性

C、多样性

D、合理性

参考答案：A

114.0是可交换图像文件的缩写，是一个为数码相机使用的图像文件

格式而制定的标准规格。

A、JPEG

B、Exif

C、GIF

D、BMP

参考答案：B

115.在UNIX系统中，每个文件在系统中有一个0,其中包含文件所有

者的详细信息、文件的权限、文件的时间信息、文件的类型等信息。

A、i-node

B、C/H/S

C、分区

D、簇

参考答案：A

116.针对诺基亚手机的取证,连接数据线后需要在手机屏幕上选择什

么模式？()

A、PC套件

B、大容量存储

C、多媒体传送

D、将PC连接至互联网

参考答案：A

117.可以进行文件一致性检验的命令是()。

A、Format

B、dir

C>MD5Sum

D、Ipconfig

参考答案：C

118.一个完整的计算机系统通常包括()。

A、硬件系统和软件系统

B、机算机及其外部设备

C、主机、键盘与显示器

D、办公软件和应用软件

参考答案：A

119.取相关的易丢失电子数据，并保护存储介质中的静态数据不被修

改或破坏是指()

A、取证准备

B、证据识别

C、证据收集

D、证据提取及固定

参考答案：D

120.远程勘验结束后,应当及时制作()。

A、远程勘验工作记录

B、鉴定文书

C、工作记录

D、勘查笔录

参考答案：A

121.Windows系统为曾经打开过的文档在Recent文件夹中建立文件

的文件类型是()。

A、.Ink

B、.xls

C、.dbx

D、.exe

参考答案：A

122.IPv6地址的长度由()个字节组成。

A、4

B、8

C、16

D、32

参考答案：C

123.安卓

6.0系统手机所采用的数据区加密方式为()

A、文件加密

B、全磁盘加密

C、特殊加密

D、极限加密

参考答案：B

124.电子证据的固定与封存是保证电子证据完整性、真实性和原始性

的操作规程，目的就是通过制定严格的取证规则，从程序上规范取证

过程，确保电子证据的0。

A、完整性

B、有效性

C、真实性

D、原始性

参考答案：B

125.下面可以获得网卡MAC地址的命令是()。

A、ping

B、ipconfig

C、tracert

D、nslookup

参考答案：B

126.提取当前屏幕显示的内容作为证据,可使用键盘上的()键

A、Scroll

B、Print

C、Del

D、工作对象

参考答案：B

127.MD5的哈希值是()位的十六进制字符。

A、16

B、32

C、64

D、128

参考答案：B

128.以下哪个不是手机的操作系统。()

A、SymbianOS

B、GoogleAndroi(D)

C、AppleiOS

D、LINUX

参考答案：D

129.属于新式硬盘，简称为SSD的硬盘是()。

A、机械硬盘

B、固态硬盘

C、混合硬盘

参考答案：B

130.在计算机中用于标识二进制数的字母是()。

A、B

B、C

C、D

D、E

参考答案：A

131.下列哪种存储设备在断电后其存储信息会很快丢失？()

A、ROM

B、U盘数据

C、RAM

D、硬盘数据

参考答案：C

132.在电子证据取证过程中，核心和关键的一步是Oo

A、保护现场和现场勘查

B、分析数据

C、追踪

D、提交结果

参考答案：B

133.在NTFS文件系统中，最小的分配单位()。

A、簇

B、扇区

C、1KB

D、字节

参考答案：A

134.下面对电子物证检验对象说法错误的是()。

A、包括各种电子设备和部件

B、包括电子设备中储存的电子信息

C、不包括电子设备中传输的电子信息

D、包括磁盘未分配空间中的信息

参考答案：C

135.下面用于和内存交换数据的文件是()。

A、page,sys

B、pagefiles,sys

C、pagefile,sys

D、file,sys

参考答案：C

136.哪些操作易磨损硬盘，故不应经常使用。（）

A、高级格式化

B、低级格式化

C、硬盘分区

D、向硬盘拷贝文件

参考答案：B

137.在电子证据检查中，通过已知内容设置（），对存储设备的数据文

件或二进制数据进行搜索,是数据检验的有效方法。

A、时间

B、条件

C、关键字

D、位置

参考答案：C

138.IDE、SCSI、SATA和SAS描述了（）设备的接口类型。

A、CPU

B、U盘

C、硬盘

D、RAM芯片

参考答案：C

139.关于服务器服证,错误的是：()

A、服务器关机时一般采用正常关机方式

B、服务器一般采用IDE硬盘

C、在RAID阵列中会有多块硬盘

D、非正确关闭服务器可能会导致数据库出错

参考答案：B

140.一个字节等于。位。

A、8

B、16

C、32

D、64

参考答案：A

141.用来检验数码照片属性的软件工具有()。

A、ExifReader

B、Safeback

C>Whois

D、EasyRecovery

参考答案：A

142.在电子物证检验中，用于检验文件内容是否被修改的技术方法是

Oo

A、散列值分析

B、文件扩展名分析

C、文件加密分析

D、文件签名分析

参考答案：A

143.所有计算机(节点)都连到中心节点上的网络拓扑结构是0。

A、星型

B、环型

C、双星双环型

D、总线型

参考答案：A

144.以下哪个信息是手机身份的唯一标识符()

A、GPT

B、UUID

C、IMEI

D、IEEI

参考答案：C

145.在现场实施勘验,提取、固定现场存留的与案件有关的电子证据

和其他相关证据属于()

A、现场勘查

B、远程勘验

C、电子证据检查

D、电子证据分析

参考答案：A

146.文件签名恢复是根据()特征进行恢复文件的。

A、文件头

B、扩展名

C、文件内容

D、以上都是

参考答案：A

147.在进行硬盘克隆时，对目标盘的要求叙述正确的是()。

A、无论是新的目标盘或用过的目标盘，对其容量都没有特殊要求

B、如果是新的目标盘,直接将源盘中的数据进行复制即可

C、如果是用过的目标盘，将里面的数据全部删除即可

D、如果是用过的目标盘，要用专用设备对其先进行严格擦除

参考答案：D

148.电子证据取证步骤是()。

A、追踪一分析数据一保护现场和现场勘查一提交结果

B、保护现场和现场勘查一分析数据一追踪一提交结果

C、追踪一保护现场和现场勘查一分析数据一提交结果

D、保护现场和现场勘查一分析数据一提交结果一追踪

参考答案：B

149.苹果手机连接电脑获取数据可以使用以下哪种软件()

A、Itunes

B、AD(B)

C、ED(B)

D、GDB

参考答案：A

150.未使用的空间和文件删除后未再分配的空间是()。

A、文件碎片空间

B、空闲空间

C、未分配空间

D、逻辑文件空间

参考答案：C

151.针对WindowsMobile手机的取证,连接数据线后需要在手机屏幕

上选择什么模式？()

A、PC套件

B、ActiveSync

C、多媒体传送

D、系列模式

参考答案：B

152.扩展名为.mp3的文件通常是一个()

A、视频文件

B、音频文件

C、文本文件

D、图片文件

参考答案：B

153.在综合性电子物证检验工具中，用于检验文件内容一致性的技术

是()。

A、文件签名分析

B、关键字搜索

C、散列分析

D、数据恢复

参考答案：C

154.需要根据所掌握的案情信息准备到现场进行勘查的人员和设备

是指0

A、取证准备

B、证据识别

C、证据收集

D、证据分析

参考答案：A

155.计算机中有许多存储信息容量的单位,下面说法正确的是0。

A、5TB=5X1024MB

B、1MB=1O24B

C、3MB=1024X1024X1024B

D、4GB=4X1024X1024KB

参考答案：D

156.公安部于。年出台了《公安机关鉴定机构登记管理办法》和《公

安机关鉴定人登记管理办法》，规定地市级以上机构可开展电子物证

等八类检验鉴定项目，将电子物证纳入检验鉴定范围。

A、2004

B、2005

C、2006

D、2007

参考答案：C

157.以下属于XML文件结构的是()。

A、db

B、docx

C、jpg

D、doc

参考答案：B

158.下面0软件可以用来读取手机SIM卡中的数据。

A、ExifReader

B、diskcopy

C>FoxMail

D、SIMManager

参考答案：D

159.只读锁连接硬盘设备进行只读操作，错误的是：()

A、先开启只读锁电源，再连接硬盘设备

B、主盘模式不能识别的设备,尝试将硬盘跳线设置为CS模式

C、只读锁接口与硬盘不匹配的，采用转换器进行连接

D、确保只读锁未打开“读写”功能

参考答案：A

160.下列()不属于图像格式。

A、BMP

B、MP4

C、JPG

D、PNG

参考答案：B

161.Windows7中操作系统日志文件的扩展名是()。

A、evt

B、txt

C、log

D、evtx

参考答案：D

162.下面()软件可以用来读取手机SIM卡中的数据。

A、ExifReader

B、diskcopy

C、FoxMail

D、SIMManager

参考答案：D

163.“取证大师”自动取证后的分析结果需到哪个视图查看？()

A、“搜索结果”视图

B、“取证结果”视图

C、“索引结果”视图

D、“案例”视图

参考答案：B

164.新建的Excel工作簿中默认有()张工作表。

A、2

B、3

C、4

D、5

参考答案：B

165.每台机器上网都必须有合法的()地址。

A、IP

B、MAC

C、URL

D、HTML

参考答案：A

166.Windows系统格式化硬盘，是将()。

A、全部数据清零

B、全部数据写入1

C、根目录区清零

D、根目录区写入1

参考答案：C

167.手机SIM卡不包括以下哪种规格()

A、SIM

B、Mini-SIM

C、Micro-SIM

D、Big-SIM

参考答案：D

168.磁盘分区中用于存储文件或文件夹的一组扇区，它是分区的基本

存储单元,也称为分配单元的是？()

A、磁道

B、扇区

C、柱面

D、簇

参考答案：D

169.对送检的材料采用专用的设备进行克隆，目的是保持原始电子信

息的0。

A、多样性

B、派生性

C、时限性

D、完整性

参考答案：D

170.Windows操作系统中保存机器IP地址对应的注册表文件是()。

A、SAM

B、SYSTEM

C、USERS

D、DEFAULT

参考答案：B

171.常见的硬盘接口方式有IDE接口和()。

A、VGA接口

B、IEEE1394接口

C、DVI接口

D、SCSI接口

参考答案：D

172.取证大师查看Word文件时，使用哪个视图可以达到与Word程序

打开一样的显示效果()

A、文本视图

B、十六进制视图

C、预览视图

D、报告视图

参考答案：C

173.可以设置网络设备的状态,或是显示目前的设置的命令是()

A、ipconfig

B、dir

C、tracert

D、cis

参考答案：A

174.下面用于由源地址到目的地址传送邮件的协议是Oo

A、POP

B、UDP

C、ARP

D、SMTP

参考答案：D

175.下面不属于Hash算法的是0

A、MD5

B、SHA

C、CRC

D、SUM

参考答案：D

176.文件头部信息存储在()中。

A、DBR

B、FAT

C、DATA

D、FDT

参考答案：C

177.在电子物证检验中，用于检验文件是否修改过扩展名的技术是()。

A、散列值分析

B、扩展名分析

C、加密分析

D、文件签名分析

参考答案：D

178.鉴定单位可对送检材料暂时保存，但保存期限一般不超过()个月o

A、1

B、2

C、3

D、6

参考答案：D

179.用于手机取证的分析软件是()。

A、ForensicSIM

B、FoxPro

C、Format

D、FORTRAN

参考答案：A

180.对送检的材料采用专用的设备进行克隆，目的是保持原始电子信

息的0。

A、完整性

B、派生性

C、时限性

D、多样性

参考答案：A

181.不能用来进行硬盘分区的软件工具是0。

A、Fdisk

B、DM

C、Copy

D、PartitionMagic

参考答案：C

182.计算机中为了计算方便，会用到各种进制的计数方法,通常用最

后一个字母来标识数制,42H表示在()下这个数是42o

A、二进制

B、八进制

C、十进制

D、十六进制

参考答案：D

183.()是微型计算机的核心，由运算器和控制器两部分组成。也是是

决定计算机系统性能的重要指标

A、CPU

B、主机

C＞显卡

参考答案：A

184.关闭笔记本电脑的最佳办法是什么？()

A、拔下计算机背部的电源插头

B、从墙上拔下插座

C、拿掉笔记本电脑的电池

D、同时采取A和C两种方法

参考答案：D

185.对可能影响案件侦办且容易损坏或丢失的电子数据进行提取另

存属于()

A、收集证据

B、提取固定易丢失数据

C、电子证据检查

D、电子证据分析

参考答案：B

186.电子数据的特点不包括()。

A、依赖介质性

B、易复制性

C、不易破坏性

D、表现形式多样性

参考答案：C

187.下列不属于证据种类的是()。

A、物证

B、电子数据

C、视听资料

D、分析意见

参考答案：D

188.检查现场所有可能有效的证据是指()

A、取证准备

B、证据识别

C、证据收集

D、证据分析

参考答案：B

189.()是英文StructuredQueryLanguage的缩写，中文意思是结构化

查询语言，其功能强大，可查询数据库，还能定义、修改、插入、管理

数据库及规定数据库的安全性能等，已逐步成为关系数据库的标准语

A、SQL

B、CQO

C、EQL

D、ELL

参考答案：A

190.计算机的软件系统一般分为()两大部分。

A、系统软件和应用软件

B、操作系统和计算机语言

C、程序和数据

D、DOS和WINDOWS

参考答案：A

191.关于邮件数据文件扩展名，错误的是：0

A、OfficeOutlook的邮件数据扩展名为.PST

B、OutlookExpress的邮件数据扩展名为.DBX

C、Foxmail的邮件数据扩展名为.ocx

D、邮件扩展名被更改，可以通过文件签名来检验

参考答案：C

192.扩展名为.MP4的文件通常是一个()

A、视频文件

B、音频文件

C、文本文件

D、图片文件

参考答案：A

193.电子物证检验结果可以作为案件侦查线索或()。

A、决策依据

B、可靠根据

C、法庭证据

D、研究基础

参考答案：C

194.Windows操作系统用文件的()将文件与浏览器关联。

A、签名

B、MD5哈希值

C、扩展名

D、元数据文件

参考答案：C

195.在电子物证检验中，用于检验文件内容一致性的技术是()。

A、文件签名分析

B、散列分析

C、关键字搜索

D、数据恢复

参考答案：B

196.苹果手机采用的操作系统是()

A、Androi(D)

B、Windows

C、DOS

D、IOS

参考答案：D

197.linux系统中拥有最高权限的用户是()

A、administrator

B、admin

C、root

D、guest

参考答案：C

198.MD5哈希算法输出数据的长度是()。

A、32

B、128

C、256

D、512

参考答案：B

199.利用电子物证综合检验工具搜索到被删除的OutlookExpress收

发的邮件,导出时要添加的扩展名是()。

A、.xls

B、.dat

C>.dbx

D>.eml

参考答案：D

200.如果对象将多个JPEG图片的文件的扩展名改为其他名称，需要

通过()可以快速找到这些文件？

A、散列值比对(MD5)

B、散列值比对(SHA-1)

C、文件签名分析

D、以上都错

参考答案：C

201.下面不是硬盘接口类型的是0。

A、VGA接口

B、IDE接口

C、SATA接口

D、SCSI接口

参考答案：A

202.软件一致性检验的内容不包括()。

A、安装过程对比

B、开发软件所用思想对比

C、显示内容对比

D、代码对比

参考答案：B

203.Windows作为主流操作系统,不支持的分区结构是()。

A、MBR磁盘分区

B、动态磁盘分区

C、GPT磁盘分区

D、APM分区

参考答案：D

204.下列文件扩展名中哪个不属于图片格式的后缀名？()。

A、TIF

B、JPG

C、TXT

D、PNG

参考答案：C

205.磁盘驱动器在向磁盘读取和写入数据时，最小的可以写入数据的

单位为()。

A、内存块

B、扇区

C、卷

D、比特

参考答案：B

206.电子物证检验结果可以作为案件侦查线索或()。

A、结论依据

B、法庭证据

C、研究基础

D、理论标准

参考答案：B

207.通过0可以查询被调查网站注册时的注册人、管理人、技术人员

等联系信息。

A、Orcale数据库

B、SQLServer数据库

C、Whois数据库

D、SyBase数据库

参考答案：C

208.以下()对象无法计算散列值。

A、文件

B、FAT分区上的文件夹

C、逻辑分区

D、物理硬盘

参考答案：B

209.UNIX操作系统下,我们查看文件的访问时间、修改时间等信息是

基于其采用了()的数据结构记录文件的属性。

A、关系模型

B、node号

C、i-node

D、f节点

参考答案：C

210.下面可用作视频文件格式的是()。

A、JPG

B、MP4

C、TIF

D、PNG

参考答案：B

211.下面支持单个文件大于4GB的文件系统是()。

A、FAT32

B、FAT16

C、eFAT

D、FAT12

参考答案：C

212.打开注册表的命令：()

A、regedit,exe

B、ipconfig,exe

C、Format,exe

D、ping,exe

参考答案：A

213.文件系统是操作系统与驱动器之间的接口。在一个文件系统上,

最小的可以写入数据的单位为0。

A、磁盘

B、簇

C、比特

D、字节

参考答案：B

214.在NTFS文件系统中，$MFT中的文件记录大小一般是固定的，均为

Oo

A、4KB

B、、8KB

C、16KB

D、1KB

参考答案：D

215.对IP地址描述正确的是()。

A、IP地址的长度由8个字节组成

B、IP地址的长度由16个字节组成

C、在网络上，一个IP地址代表了多个网络节点

D、IP地址的长度由4个字节组成，采用标准的点分十进制表示法书

写

参考答案：D

216.电子物证检验工作开始之前,检验人员要()。

A、只对送检的材料编号拍照

B、对送检的材料直接检验

C、只对送检的硬盘及其它存储设备的信息进行克隆复制

D、对送检的存储设备中的信息进行克隆复制，并进行编号、拍照

参考答案：D

217.扩展名为DOC文件使用的字符编码是()。

A、ASCII

B、GB2312

C、Unicode

D、base64

参考答案：C

218.MD5的哈希值是多少位的十六进制字符：()

A、16

B、32

C、64

D、128

参考答案：B

219.一个硬盘最多可以分为。个主分区。

A、1

B、2

C、3

D、4

参考答案：D

220.下面对电子物证检验对象说法错误的是()。

A、包括各种电子设备和部件

B、包括电子设备中储存的电子信息

C、包括电子设备中传输的电子信息

D、不包括磁盘未分配空间

参考答案：D

221.视频文件在磁盘中是以()方式保存的。

A、二进制

B、十六进制

C、八进制

D、十进制

参考答案：A

222.能深入操作系统底层查看所有的数据一一包括slack空间、未分

配空间、和Windows交换分区数据的数据恢复工具是()。

A、EasyRecovery

B、FinalData

C、Nslookup

D、Encase

参考答案：D

223.下面不是文件系统的是()。

A、Windows

B、UFS

C、NTFS

D、Ext2/Ext3

参考答案：A

224.按照Hash算法,Hash具有单向性,不可逆性,常用来检验0。

A、数据的完整性

B、数据的安全性

C、数据的唯一

参考答案：A

225.假设当前分区文件系统的簇大小为8KB,有一个大小为17KB的文

件要存储到该分区，那么该文件将会分配一个多大的物理空间？()

A、17KB

B、18KB

C、20KB

D、24KB

参考答案：D

226.下面不属于硬盘接口类型的是()。

A、IDE接口

B、SCSI接口

C、SATA接口

D、VGA接口

参考答案：D

227.IDE、SCSI>SATA和SAS描述了()设备的接口类型。

A、C