数字取证附有答案

数字取证[复制]1.判断电子数据是否具有证明力能常有3条标准，它们不包括（）[单选题]*A客观性B唯一性(正确答案)C合法性D关联性2.以下哪个通常不是获取电子数据的来源（）[单选题]*A内存数据B存储介质C网络数据包D保险柜中的文件(正确答案)3.数据取证的搜索方法通常不包括（）[单选题]*A基于数据内容的搜索B基于数据指纹的搜索C基于文件大小的搜索(正确答案)D基于痕迹的搜索4.内存取证的主要方法（途径）不包括（）[单选题]*A冷启动攻击B使用接口C使用休眠文件D使用SWAP文件(正确答案)5.数据取证的关联分析是指以某个关键信息为联结点，关键信息的类型通常不包括（）[单选题]*A人员信息B资金信息C数据规模(正确答案)D文件内容6.WinD.ows系统记录系统事件的日志文件是（A.）[单选题]*A.System.evtx(正确答案)B.SeCurity.evtxC.AppliCAtion.evtxD.Event.evtx7.WinD.ows系统记录安全事件的日志文件是（）[单选题]*A.System.evtxB.SeCurity.evtx(正确答案)C.AppliCA.tion.evtxD.Event.evtx8.WinD.ows记录系统应用程序事件的日志文件是（）[单选题]*A..System.evtxB.SeCurity.evtxC.Event.evtxD.AppliCAtion.evtx(正确答案)9.记录NTFS分区中文件的创建、重命名、内容变更、删除等操作的元文件是（）[单选题]*A.$J文件(正确答案)B.$MFT文件C.$QuotA文件D.$C.hAnge文件10.W3C.的IIS日志中，表示客户端IP的字段是（）[单选题]*A.C-ip(正确答案)B.C-portC.s-ipD.s-port11.W3C.的IIS日志中，表示客户端端口的字段是（）[单选题]*A.C.-ipB.C.-port(正确答案)C.s-ipD.s-port12.W3C.的IIS日志中，表示服务器IP的字段是（）[单选题]*A.C.-ipB.C.-portC.s-ip(正确答案)D.s-port13.W3C.的IIS日志中，表示服务器端口的字段是（）[单选题]*A.C.-ipB.C.-portC.s-ipD.s-port(正确答案)14.以下关于Linux操作系统及其取证，不正确的描述是（）[单选题]*A.Linux的文件系统结构是树状的。B.Linux的任何一个分区都必须挂载到某个目录上。C.Linux是一个开源系统，安全性高，针对它的木马攻击很少见。(正确答案)D.通过检查系统进程、非法登录、操作日志等可得知Linux系统是否被入侵。15.检查Linux服务器是否提供非法服务的工作内容通常不包括（）[单选题]*A.检查系统开放的服务B.检查WeB.服务日志和数据C.检查数据库日志和数据D.检查用户登录日志(正确答案)16.KaliLinux用于磁盘镜像分析工具是（）[单选题]*A.autopsy(正确答案)B.binwalkC.bulk_extractorD.hashdeep17.KaliLinux用于分析某个文件中是否存在多个文件的工具是（）.[单选题]*A.autopsyB.binwalk(正确答案)C.bulk_extractorD.hashdeep18.KaliLinux用于扫描给定的目录或文件的工具是（）[单选题]*A.autopsyB.binwalkC.bulk_extractor(正确答案)D.hashdeep19.KaliLinux用于计算文件散列值的工具是（）[单选题]*A.autopsyB.binwalkC.bulk_extractorD.hashdeep(正确答案)20.A.ndroid物理镜像的分析通常不包含（）[单选题]*A.使用硬盘数据分析工具WinHex分析物理镜像B.使用开源取证工具A.utoPsy分析物理镜像C.统计格式化字符串(正确答案)D.使用计算机取证工具分析物理镜像。21.A.ndroid操作系统的密码类型通常不包括（）[单选题]*A.图案密码B.数字密码C.混合密码D.凯撒密码(正确答案)22.可用于查看Windows事件日志信息的工具是（）[单选题]*A.eventvwr.exe(正确答案)B.LogParserC.volatilityD.X-WaysForensics23.可用于在Windows系统中进行进行IIS日志分析的工具是（）[单选题]*A.eventvwr.exeB.LogParser(正确答案)C.volatilityD.X-WaysForensics24.可用于内存数据分析的工具是（）[单选题]*A.eventvwr.exeB.LogParserC.volatility(正确答案)D.X-WaysForensics25.可用于在Windows系统中进行电子数据的搜索、恢复、分析的综合取证工具是（）[单选题]*A.eventvwr.exeB.LogParserC.volatilityD.X-WaysForensics(正确答案)26.volatility用于查看已加载的动态连接库的插件是（）[单选题]*A.dlllist(正确答案)B.dumpfilesC.filescanD.iehistory27.volatility用于转储文件的插件是（）[单选题]*A.dlllistB.dumpfiles(正确答案)C.filescanD.iehistory28.volatility用于扫描打开的文件列表的插件是（）[单选题]*A.dlllistB.dumpfilesC.filescan(正确答案)D.iehistory29.volatility用于查看IE访问历史的插件是（）[单选题]*A.dlllistB.dumpfilesC.filescanD.iehistory(正确答案)30.在Wireshark中，设置抓取或显示源IP为88的包过滤器是（）[单选题]*A.ip.addr==88B.ip.src==88(正确答案)C.ip.dst==88D.notip.addr==8831.在Wireshark中，设置抓取或显示IP为88的包过滤器是（）[单选题]*A.ip.addr==88(正确答案)B.ip.src==88C.ip.dst==88D.notip.addr==8832.在Wireshark中，设置抓取或显示目的IP为88的包过滤器是（）[单选题]*A.ip.addr==88B.ip.src==88C.ip.dst==88(正确答案)D.notip.addr==8833.在Wireshark中，设置抓取或显示IP不是88的包过滤器是（）[单选题]*A.xorip.addr==88B.orip.src==88C.andip.dst==88D.notip.addr==88(正确答案)34.电子邮件（SMTP）头部中，表示收件人的电子邮件地址的字段是（）[单选题]*A.To(正确答案)B.C.cC.B.ccD.From35.电子邮件（SMTP）头部中，表示抄送的字段是（）[单选题]*A.ToB.C.c(正确答案)C.B.ccD.From36.电子邮件（SMTP）头部中，表示暗送的字段是（）[单选题]*A.ToB.C.cC.B.cc(正确答案)D.From37.电子邮件（SMTP）头部中，表示撰写邮件者的字段是（）[单选题]*A.ToB.C.cC.B.ccD.From(正确答案)38.电子邮件（SMTP）表示传送邮件主体的命令是（）[单选题]*A.D.A.TA.(正确答案)B.HELOC.MA.ILD.HELP39.电子邮件（SMTP）表示发送方向接收方问候的命令是（）[单选题]*A.D.A.TA.B.HELO(正确答案)C.MA.ILD.HELP40.电子邮件（SMTP）表示开始邮件传输的命令是（）[单选题]*A.D.A.TA.B.HELOC.MA.IL(正确答案)D.HELP41.电子邮件（SMTP）表示要求服务器返回所支持的命令列表（）[单选题]*A.D.A.TA.B.HELOC.MA.ILD.HELP(正确答案)42.HTTP请求的头部字段中，表示客户端能处理的自然语言的是（）[单选题]*A.A.ccept-C.harsetB.User-A.gentC.A.cceptD.A.ccept-Language(正确答案)43.HTTP请求的头部字段中，表示浏览器及其平台的信息的是（）[单选题]*A.A.ccept-C.harsetB.User-A.gent(正确答案)C.A.cceptD.A.ccept-Language44.HTTP请求的头部字段中，表示客户端能处理的页面类型的是（）[单选题]*A.A.ccept-C.harsetB.User-A.gentC.A.ccept(正确答案)D.A.ccept-Language45.HTTP请求的头部字段中，表示客户端可以接受的字符集的是（）[单选题]*A.A.ccept-C.harset(正确答案)B.User-A.gentC.A.cceptD.A.ccept-Language46.HTTP响应的头部字段中，表示服务器及其平台信息的是（）[单选题]*A.Server(正确答案)B.C.ontent-EncodingC.C.ontent-languageD.C.ontent-Length47.HTTP响应的头部字段中，表示内容是如何被压缩编码的是（）[单选题]*A.ServerB.C.ontent-Encoding(正确答案)C.C.ontent-languageD.C.ontent-Length48.HTTP响应的头部字段中，表示页面所使用的自然语言的是（）.[单选题]*A.ServerB.C.ontent-EncodingC.C.ontent-language(正确答案)D.C.ontent-Length49.HTTP响应的头部字段中，表示以字节计算的页面长度的是（）[单选题]*A.ServerB.C.ontent-EncodingC.C.ontent-languageD.C.ontent-Length(正确答案)50.HTTP状态码中，表示请求的资源被找到且成功返回的是（）[单选题]*A.200(正确答案)B.301C.401D.40451.HTTP状态码中，表示请求的资源未被修改，服务器不会返回任何资源的是（）[单选题]*A.200B.304(正确答案)C.401D.40452.HTTP状态码中，表示客户端对未被授权访问的文件提出请求的是（）[单选题]*A.200B.301C.401(正确答案)D.40453.HTTP状态码中，表示所请求的资源不存在的是（）[单选题]*A.200B.301C.401D.404(正确答案)54.以下缩写中，表示多用途互联网邮件扩展的是（）[单选题]*A.MIME(正确答案)B.SMTPC.POPD.IMA.P55.以下缩写中，表示简单邮件传输协议的是（）[单选题]*A.MIMEB.SMTP(正确答案)C.POPD.IMA.P56.以下缩写中，表示邮局协议的是（）[单选题]*A.MIMEB.SMTPC.POP(正确答案)D.IMA.P57.以下缩写中，表示互联网报文访问协议的是（）[单选题]*A.MIMEB.SMTPC.POPD.IMA.P(正确答案)58.下列关于A.ndroid操作系统的取证，不正确的是（）[单选题]*A.短信/彩信、通话记录等是其用于取证分析的逻辑数据。B.一般的计算机取证工具不适用于对其进行取证分析。(正确答案)C.其密码类型有图案密码、数字密码等。D.可使用WinHex对其物理镜像进行分析。59.下列关于伪基站及其取证，不正确的是（）[单选题]*A.伪基站是一种利用GSM单向认证缺陷的非法无线电通信设备。B.伪基站通常安放在汽车或者一个比较隐蔽的地方。C.伪基站会使用SSL协议，将敏感信息加密，发送给客户。(正确答案)D.伪基站会搜索一定范围内的GSM移动电话信息。60.下列关于P2P网贷系统及其取证，不正确的是（）[单选题]*A.P2P网贷系统是一种面向个人的在线借贷金融服务。B.为提高安全性，绝大部分P2P网贷系统都要求用户使用数字证书进行认证。(正确答案)C.P2P网贷系统旨在匹配投资人与贷款人，并电子化、自动化管理借贷关系。D.其取证要抓的环节:识别、准备、固定、检验、分析、报告。61.下列关赌博网站及其取证，不正确的是（）[单选题]*A.网站赌博产业可以按照老板、开发、代理、推广、洗钱等进行角色分类。B.统计表明，一些看似正规的棋牌游戏公司有参加网络赌博的嫌疑。C.赌博网站很隐蔽，很少受到D.D.oS攻击。(正确答案)D.可使用网站取证工具对赌博网站进行取证。62.下列关于区块链及其取证，不正确的是（）[单选题]*A.数据区块的敏感内容以加密方式保存。(正确答案)B.区块链是按照时间顺序，将数据区块以顺序相连的方式组织的链式数据结构。C.区块链是以密码学方式保证的不可伪造的分布式记账系统。D.区块链取证分析对象包括钱包、交易行为、交易双方身份。63.下列关于智能系统及其取证的描述，不正确的是（）[单选题]*A.智能系统取证是指综合运用各种取证技术对涉案数据进行取证。B.智能车辆的数字取证属于智能系统取证。C.对Web服务器的数字取证属于智能系统取证。(正确答案)D.对无人机的数字取证属于智能系统取证。64.下列关于恶意代码的描述，不正确的是（）[单选题]*A.一个软件被看作是恶意代码，主要依据是创作者意图，而不是恶意代码本身。B.恶意代码是一种计算机病毒。(正确答案)C.恶意代码种类有病毒、蠕虫、木马、后门、逻辑炸弹、流氓软件、僵尸网络、Rootkit等。D.恶意代码有以下3个明显的共同特征:目的性、传播性、破坏性。65.下列关于木马的描述，不正确的是（）[单选题]*A.隐藏在正常程序中的一段具有特殊功能的恶意代码。B.木马的特征包括隐蔽性、欺骗性、顽固性、危害性。C.木马是一种被破坏的程序。(正确答案)D.木马是一种后门程序。66.下列关于Rootkit的描述，不正确的是（）[单选题]*A.Rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。B.MacOS不会受到Rootkit攻击。(正确答案)C.Rootkit的三要素就是隐藏、操纵、收集数据。D.Rootkit通过加载特殊的驱动，修改系统内核，实现信息隐藏。67.下列关于硬盘镜像文件生成，错误的是（）[单选题]*A.硬盘复制机生成B.WinHex生成C.Wireshark生成(正确答案)D.命令生成68.下列对于电子证物的处理，那个操作是正确的（）[单选题]*A.手机运送过程中尽可能屏蔽手机信号(正确答案)B.开机状态的计算机要立即关机C.要记录线缆以及线缆和主机的连线方式D.电子证物只要注意防潮防震就行了69.下列关于现场勘验检查程序的描述，不正确的是（）.[单选题]*A.保护现场B.收集证据C.提取、固定证据D.在线提取(正确答案)70.在进行现场勘查时，正确的操作是（）[单选题]*A.可以立即关闭正在打印的打印机。B.不要立即关闭处于运行状态的电脑。(正确答案)C.对于带有还原卡的电脑，可按照正常关机程序关机。D.在嫌疑人的电脑上安装取证软件。71.下列关于远程勘验的描述，不正确的是（）[单选题]*A.在线提取B.截屏C.录像D.SQL注入(正确答案)72.下列关于嫌疑人可能采取的反取证手段的描述，不正确的是（）[单选题]*A.对文档内容进行加密B.使用数据擦除工具C.对数据进行B.ase64编码(正确答案)D.使用硬盘加密工具73.下列关于电子数据及取证的描述，不正确的是（）[单选题]*A.电子数据是案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据。B.电子数据证据的本质就是二进制数字，而文本、视频、音频、图像等只不过是电子数据证据的不同表现形式。C.电子数据取证必须使用电子设备对数据进行提取、分析、存档。(正确答案)D.电子数据取证涉及法律和技术两个层面，其实质为采用技术手段获取、分析、固定电子数据作为认定事实的科学。74.下列关于电子数据的存储介质完整性保护，正确的描述是（）[单选题]*A.使用SHA.256算法，计算整个存储介质的哈希值。(正确答案)B.使用A.ES256算法，对整个存储介质进行加密。C.使用合法机构发放的证书，对整个存储介质进行签名。D.制作存储介质的镜像。75.下列关于文件的哈希值的描述，正确是（）[单选题]*A.若修改了文件的最后访问时间，其哈希值通常会变。B.若修改了文件的创建时间，其哈希值通常会变。C.使用WinHex修改了文件内容的一个比特，其哈希值通常会变。(正确答案)D.若对文件进行压缩，压缩之后的文件哈希值通常与原文件相同。76.在Wireshark中，设置抓取或显示MA.C.地址为A.0:00::04:C.5:84的包过滤器是（）[单选题]*A.eth.addr==A.0:00::04:C.5:84(正确答案)B.eth.src==A.0:00::04:C.5:84C.eth.dst==A.0:00::04:C.5:84D.eth.addr!=A.0:00::04:C.5:8477.在Wireshark中，设置抓取或显示源MA.C.地址为A.0:00::04:C.5:84的包过滤器是（）[单选题]*A.eth.addr==A.0:00::04:C.5:84B.eth.src==A.0:00::04:C.5:84(正确答案)C.eth.dst==A.0:00::04:C.5:84D.eth.addr!=A.0:00::04:C.5:8478.在Wireshark中，设置抓取或显示目的MA.C.地址为A.0:00::04:C.5:84的包过滤器是（）[单选题]*A.eth.addr==A.0:00::04:C.5:84B.eth.src==A.0:00::04:C.5:84C.eth.dst==A.0:00::04:C.5:84(正确答案)D.eth.addr!=A.0:00::04:C.5:8479.在Wireshark中，设置抓取或显示MA.C.地址不为A.0:00::04:C.5:84的包过滤器是（）[单选题]*A.eth.addr==A.0:00::04:C.5:84B.eth.src==A.0:00::04:C.5:84C.eth.dst==A.0:00::04:C.5:84D.eth.addr!=A.0:00::04:C.5:84(正确答案)80.volatility用于解析MFT记录的插件是（）[单选题]*A.mftparser(正确答案)B.netscanC.pslistD.psscan81.volatility用于查看网络通信连接的插件是（）[单选题]*A.mftparserB.netscan(正确答案)C.pslistD.psscan83.volatility用于列举出系统进程（但不能检测到隐藏的进程）的插件是（）[单选题]*A.mftparserB.netscanC.pslist(正确答案)D.psscan84.volatility用于可以找到先前已终止(不活动)的进程以及被rootkit隐藏的进程的插件是（）[单选题]*A.mftparserB.netscanC.pslistD.psscan(正确答案)85.volatility用于以树的形式查看进程列表的插件是（）[单选题]*A.pstree(正确答案)B.svcscanC.pslistD.psscan86.volatility用于查看Windows服务列表的插件是（）[单选题]*A.pstreeB.svcscan(正确答案)C.pslistD.psscan87.默认的FTP服务器监听端口是（）[单选题]*A.21(正确答案)B.23C.25D.8088.默认的Telnet服务