【MOOC】电子数据取证技术-南京邮电大学 中国大学慕课MOOC答案

【MOOC】电子数据取证技术-南京邮电大学中国大学慕课MOOC答案单元测验-基本概念-电子数据1、【单选题】以下不是电子数据的是哪一个？本题答案：【证言】2、【多选题】本次课程中，提到将电子数据纳入了哪些法律文件中作为证据之一？本题答案：【中华人民共和国刑事诉讼法#中华人民共和国民事诉讼法#中华人民共和国行政诉讼法】3、【判断题】只要是电子数据就都是证据本题答案：【错误】4、【判断题】电子借条不可以当作证据使用本题答案：【错误】5、【填空题】电子数据是案件发生过程中形成的，以数字化形式存储、处理、传输的，能够（）的数据。本题答案：【证明案件事实】单元测验-基本概念-电子数据取证1、【单选题】以下不可以作为电子数据证据的是哪一个本题答案：【证人证言的电子记录】2、【单选题】电子数据取证的取和证是一个闭环的过程，主要目的是形成什么？本题答案：【证据链】3、【单选题】针对电子数据取证和公证，以下哪个描述是正确的？本题答案：【电子数据取证的目的在于形成证据链】4、【单选题】以下行为中，作为电子数据取证人员的基本要求，你觉得哪一个行为不太合适？本题答案：【为获取更有利的证据，利用技术手段对服务器进行攻击】5、【多选题】本次课程中，提到将电子数据纳入了哪些法律文件中作为证据之一？本题答案：【中华人民共和国刑事诉讼法#中华人民共和国民事诉讼法#中华人民共和国行政诉讼法】6、【多选题】司法鉴定四大类包括以下哪些本题答案：【法医#物证#环境损害】7、【判断题】在收集提取的若干电子数据中，其中在案件发生过程中形成的，与案件事实相关的电子数据不可以作为证据。本题答案：【错误】8、【判断题】电子借条在发生借款期间进行过公证，或者由证人可以对借款事实作证，或者经过第三方司法鉴定机构鉴定其真实性之后，均可以作为证据加以使用。本题答案：【正确】9、【判断题】电子数据取证与数据恢复本质上是一样的，都是为了获得有效的电子数据本题答案：【错误】10、【判断题】电子数据取证与应急响应本质是类似的，都是为了恢复系统，使得系统能够正常运行本题答案：【错误】单元测验-取证基础1、【单选题】下列计算机系统组成中，电子数据取证最关心的是？本题答案：【存储器】2、【单选题】在电子数据取证现场，需要克隆目标计算机的硬盘数据，通常情况下不考虑以下哪个指标？本题答案：【硬盘品牌】3、【单选题】你所知道的操作系统，以下哪一个不是嵌入式设备可能用到的操作系统？本题答案：【macOS】4、【单选题】关于松弛空间的相关描述，以下哪一个是错误的？本题答案：【电子数据存入磁盘介质时，通常会刚好用完分配的存储空间】5、【单选题】以下哪一个协议是与邮件传输直接相关的协议？本题答案：【SMTP】6、【多选题】从计算机组成角度看，下列哪些属于计算机组成的一部分？本题答案：【运算器#控制器#输入输出设备#存储器】7、【多选题】按存储原理分，存储器可以分为以下的哪几种？本题答案：【磁存储#光存储#电存储】8、【多选题】以下哪些属于操作系统的基本功能？本题答案：【进程管理#内存管理#文件系统#网络通信】9、【多选题】通信协议中最关心的三要素是以下的哪三个？本题答案：【语法学#语义学#同步规则】10、【判断题】内存通常用于处理程序，速度较快，且掉电之后数据将丢失。本题答案：【正确】11、【判断题】外存通常用于存储数据，掉电之后数据仍可以保存与其中。本题答案：【正确】12、【判断题】网络通信协议又称通信规程，是指通信双方对数据传送控制的一种约定。本题答案：【正确】13、【填空题】数据的存储单位中，1GB等于多少MB（请填写具体数值）本题答案：【1024】14、【填空题】磁盘主引导扇区的结束标志字为十六进制的那个数？（请填写不包含0x或者H的十六进制数）本题答案：【55AA】15、【填空题】计算机能够进行数据处理，所采用的最基本的数制是几进制？本题答案：【2##%_YZPRLFH_%##二##%_YZPRLFH_%##2进制##%_YZPRLFH_%##二进制】单元测验-法律规制1、【单选题】以下不属于英美法系的国家是本题答案：【中国】2、【单选题】以下哪个场景不可以使用冻结手段？本题答案：【主观感觉案件是需要的】3、【单选题】以下哪一个是关于电子数据的描述，而不是物证的相关描述本题答案：【电子数据看不见、摸不到，不能等同于以外观形式分类的传统物证】4、【单选题】以下哪一个是关于电子数据的描述，而不是书证的相关描述本题答案：【是虚拟存在，输出的硬拷贝不能体现其所有内容】5、【单选题】电子数据要作为证据使用时，需需符合三性要求，以下哪个描述是不正确的本题答案：【公安机关可以根据案件需要，采用不符合电子数据特性的技术手段收集】6、【单选题】以下哪一个不是非法证据，不用作为非法证据加以排除？本题答案：【未以封存状态移送的，但做出补正及合理解释的】7、【多选题】法律规则是指采取一定的结构形式具体规定人们的以下哪些行为规范？本题答案：【法律权利#法律义务#法律后果】8、【多选题】以下可以视作电子数据原件的有哪些本题答案：【电子数据的制作者制作的与原件一致的副本#直接来源于电子数据的打印件#其他可以显示、识别的输出介质】9、【多选题】在两高一部的规定里，电子数据的收集提取和审查判断中，可能用到以下哪些关键技术本题答案：【冻结电子数据#数字签名、数字证书#访问操作日志#使用封存和校验值】10、【判断题】英美法系主要靠法典来维系和建设法律本题答案：【错误】11、【判断题】大陆法系主要靠历史的案例来维系和建设法律本题答案：【错误】12、【判断题】英美法系主要靠历史的案例来维系和建设法律本题答案：【正确】13、【判断题】大陆法系主要靠法典来维系和建设法律本题答案：【正确】14、【填空题】认定犯罪嫌疑人、被告人与存储介质的（），可以通过核查相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。本题答案：【关联性】15、【填空题】电子数据要作为证据使用，需符合三性要求：客观性、关联性以及（）。本题答案：【合法性】16、【填空题】ISO/IEC的国际标准中，用以描述“电子证据识别、收集、获取和保存指南”的标准号是ISO/IEC（请填序号，不需要年份即可）本题答案：【27037##%_YZPRLFH_%##27037:2012】单元测验-取证技术基础1、【单选题】以下描述正确的是哪一个？本题答案：【杜绝在原始数据上直接进行数据分析】2、【单选题】以下的哪种做法是正确的？本题答案：【文件哈希可能会产生碰撞，需要对镜像文件计算2到3个哈希值，以保证其数据的完整性】3、【单选题】在案件现场，发现能够进行数据采集的时间非常有限，此时，建议的数据采集方法通常为以下的哪一种？本题答案：【稀疏采集】4、【单选题】时间允许的情况下，以下哪个采集顺序是最为正确的电子数据采集顺序？本题答案：【寄存器、CPU缓存、RAM、HDD】5、【单选题】针对电子数据取证过程中的数据恢复，以下说法正确的是？本题答案：【电子数据的恢复通常只能在数据文件删除之后相应存储位置没有写入新数据的情况下进行】6、【单选题】已知纽约时间为5月1日12:00，关于东京的区时，以下正确的是？本题答案：【5月2日2:00】7、【多选题】电子数据取证的过程中，使用文件过滤的方式对于电子数据进行查找，使用的是文件的哪些属性本题答案：【文件名、扩展名#访问时间、修改时间#逻辑大小、物理大小#哈希及文件签名】8、【多选题】一下关于文件哈希，描述不正确的是哪些本题答案：【从文件扩展名看，不同类型的文件，其哈希值不可能一样#使用不同应用可以打开的两个文件，其哈希值不可能一样#两个文件，其MD5哈希值如果相同，其SHA1值也应该相同】9、【多选题】文件时间主要包括以下的哪些时间本题答案：【创建时间#修改时间#访问时间】10、【判断题】我们知道，“52617221”是rar文件签名的特征，也就是说，使用十六进制编辑器从某文件的内容发现“52617221”，即表明该文件为rar文件。本题答案：【错误】11、【判断题】某文件的扩展名为“.doc”，也即表明该文件为word的文档，可以使用word将其打开。本题答案：【错误】12、【判断题】某文件的扩展名为“.jpg”，系统会选择默认打开该类型图片的应用程序尝试打开该文件。本题答案：【正确】13、【填空题】元数据一般是指（）中的数据，是对一个文件信息的丰富和补充。本题答案：【数据】14、【填空题】网络数据是利用各种协议进行传输的过程，正常情况下，网络数据传输是一个（）的过程。本题答案：【动态】15、【填空题】克隆一般指磁盘到磁盘的数据采集方法，与之相对应的，镜像一般指磁盘到（）的数据采集方法。本题答案：【文件##%_YZPRLFH_%##镜像文件##%_YZPRLFH_%##影像文件##%_YZPRLFH_%##映像##%_YZPRLFH_%##镜像】单元测验-原则流程1、【单选题】以下选项中，不属于电子数据取证的硬件设备的是（）本题答案：【移动终端取证软件】2、【单选题】在进行电子数据取证时，可以使用自启动取证光盘对计算机进行不拆机取证。以下哪个不属于自启动光盘套件？本题答案：【FTKImager】3、【单选题】在现场勘验的过程中，所可能用到的取证手段不包括以下的哪一个？本题答案：【电子数据关联分析】4、【单选题】在电子数据的整个取证过程中，使用合规取证工具的主要目的是：本题答案：【取得的证据具有较高的证明力】5、【多选题】计算机证据国际组织IOCE之计算机取证原则中，以下描述正确的是：本题答案：【取证过程必须符合规定和标准#获取电子证据时，不得改变证据的原始性#接触原始证据的人员应该得到培训#任何对电子数据进行获取、访问、存储或传输的活动必须有完整记录#任何人接触电子证据时，必须对其在该证据上的任何操作活动负责】6、【多选题】英国首席警官协会（ACPO）都针对电子数据取证提出原则，以下描述正确的是：本题答案：【取证人员不能采取任何动作改变电子数据，以影响作为证据使用的可信性#如果需要访问原始数据，取证人员必须具备相应能力，能够给出证据解释行为的关联性和可能影响的后果#所有对于电子数据的动作应当被审计并且记录，第三方机构能够根据这些记录完整地检查和重现整个流程#取证人员完全有能力确保取证符合法律和相关规定】7、【多选题】电子数据取证的基本步骤中，以下描述正确的是：本题答案：【评估：电子数据取证人员应针对工作作出全面的评估，以决定下一步采取的行动#获取：电子数据必须保存于原始状态中，防止被不正确的处理方法所影响、损害或删除#分析：提取出有用证据，分析判断其中的关联性，将数据转换为可读可见的形式#报告：所有操作都必须以日志形式记录，所有的结果都必须以报告形式记录展现】8、【判断题】在电子数据取证获得认可的基本原则中，所谓的流程合法是指：取证流程符合国家和地方的法律法规，但从事取证的人员可以未经法律授权。本题答案：【错误】9、【判断题】电子数据取证获得认可的基本原则可以概括为：流程合法、方法可靠、人员专业、过程可查、工具合规。本题答案：【正确】10、【填空题】电子数据取证获得认可的基本原则可以概括为：流程合法、（）、人员专业、过程可查、工具合规。本题答案：【方法可靠】11、【填空题】电子数据取证获得认可的基本原则可以概括为：流程合法、方法可靠、（）、过程可查、工具合规。本题答案：【人员专业】单元测验-主机取证1、【单选题】以下说法，错误的是？本题答案：【无法从休眠文件中获得内存数据】2、【单选题】关于LNK文件，以下说法错误的是？本题答案：【在另一位置打开同名文件后，LNK文件的创建时间会发生变化】3、【单选题】在主机取证中，关于社交应用的取证，不包括以下哪个？本题答案：【浏览器记录】4、【单选题】在内存取证的过程中，内存反映了操作系统和应用程序最重要的“当前运行”的状态信息，通常情况下，不包括以下哪个信息？本题答案：【打开的文件内容】5、【多选题】以下文件中可能存在图片的包括哪几个？本题答案：【正常图片文件#删除的图片文件#符合文件中嵌入的图片#压缩文档中的图片】6、【多选题】关于社交应用取证，以下描述正确的是本题答案：【能够获取社交应用的基本信息#能够进行人物关系的构建#能够进行资金流向的还原#能够进行删除数据的恢复】7、【判断题】如果LNK文件中有其嵌入时间，且与LNK文件的创建、访问、修改时间基本相同，则表示其指向的目标文件在LNK文件创建后并没有被打开过。本题答案：【正确】8、【判断题】针对嫌疑人修改系统命令进行的反取证，只需在嫌疑人机器上运行对应的机器指令即可判别。本题答案：【错误】9、【填空题】针对电子邮件的取证，主要包括（）以及邮件内容的查看和分析。本题答案：【邮件头】10、【填空题】Windows的事件日志（EventLog）主要包括：（）、应用程序日志、安全日志等。本题答案：【系统日志】Windows取证实验-随堂测验1、【单选题】分析出该案例中相关操作系统信息，操作系统版本为（）。本题答案：【WindowsXP5.1】2、【单选题】该案例中回收站总共有几条删除文件的记录？（）本题答案：【7】3、【单选题】分析出该案例中，系统安装日期为以下的哪一个（）。本题答案：【2012-01-1916:20:55】4、【单选题】分析出该案例中，最后一次正常关机时间为以下的哪一个（）。本题答案：【2012-05-0914:09:05】5、【单选题】通过文件过滤功能过滤出“被删除的后缀为jpg或者rar”文件总数为（）。本题答案：【9】6、【多选题】根据取证软件自动取证分析结果，得知该对象可能使用了哪些类型的反取证技术手段（）。本题答案：【虚拟容器#信息隐写#数据擦除#突网工具】7、【填空题】分析出该案例中，该对象登录Windows的用户名为（）。本题答案：【administrator##%_YZPRLFH_%##Administrator】8、【填空题】根据前面取证分析结果，在邮件客户端解析结果中提炼关键字，找出该对象用过的支付宝帐号（）。本题答案：【zhs518@126.com】9、【填空题】根据案件分析结果，设置合理的关键字信息，通过“关键字搜索”获取对象新手机号码（）。本题答案：10、【填空题】分析出该案例中，该对象使用的skype登陆账号为（）。本题答案：【zhangsan1681】单元测验-手机取证1、【单选题】以下描述，不正确的是（）本题答案：【同一型号的手机产品（例如定制机）在存储方式上都是相同的】2、【单选题】针对智能手机的取证，以下描述错误的是（）本题答案：【采用手机密码绕过技术进行数据获取时，无需履行相关的申请手续】3、【单选题】Android操作系统架构，分为4个主要功能层，不包括以下哪个（）。本题答案：【用户界面层（UserInter