電子物證專業考試復習題庫(含答案)

一'單選題

1.IP地址172.16.128.19是0o

A、Internet地址

B、環回地址

C、MAC地址

D、私有地址

答案：D

2.電子郵箱是()，具有指向特定人的特點。

A、網絡特征

B、標識特征

C、唯一特征

D、準確特征

答案：A

3.如果對象將多個JPEG圖片的文件的擴展名改為其他名稱,需要通過0可以快

速找到這些文件？

A、散列值比對(MD5)

B、散列值比對(SHA-1)

C、文件簽名分析

D、以上答案均不正確

答案：C

4.以下屬于MAC地址的是？()。

A、72.168.1.1

B、255.255.255.0

C、1C-4B-D6-AD-26

D、1C-4B-D6-AD-26-D7

答案：D

5.域名通常與下面哪個相對應？()

A、MAC地址

B、網絡

C、IP地址

D、以上都不是

答案：C

6.不能用來進行數據恢復的工具軟件是()o

AxEncase

B、ExifShow

C、EasyRecovery

D、FinalData

答案：B

7.擴展名為PNG文件通常是一個()。

A、視頻文件

B、音頻文件

C、文本文件

D、圖片文件

答案：D

8.以下關于文件刪除的說法中，不正確的是：()

A、文件目錄項的首字節改變為十六進制值E5。

B、文件數據所占的簇被更新為未分配狀態。

C、文件數據被填充為OOh。

D、文件的數據仍然保留在原位置。

答案：C

9.能深入操作系統底層查看sIack空間'未分配空間等數據的工具是()o

A、EasyRecovery

B、FinalData

CxNsIookup

D、Encase

答案：D

10.下接口中是顯示器接口的是()

A、VGA

B、PCI-e

C、SATA

D、IDE

答案：A

11.安卓手機的軟件安裝包格式為()

A、msi

B、exe

Cxapk

D、ipa

答案：C

12.電子證據、數字證據、計算機證據三者之間的關系是()。

A、電子證據包含數字證據、數字證據包含計算機證據

B、電子證據包含計算機證據、計算機證據包含數字證據

C、計算機證據包含電子證據、電子證據包含數字證據

D、數字證據包含電子證據、計算機證據包含電子證據

答案：A

13.在Windows操作系統中用于打開注冊表編輯器的命令是()o

Axmsconfig

B、open

Cxregedit

Dxread

答案：C

14.關于日志分析，錯誤的是：()

A、刪除但未被覆蓋的日志可以進行日志恢復

B、可以通過關鍵詞搜索查找被刪除的日志

C、日志分析無法定位攻擊者的操作

D、日志分析可以查看入侵者訪問網頁木馬的相關信息

答案：C

15.Windows操作系統怎么在命令行里面查看ip詳細信息()

Axipconfig

B、ifconfig

Cxipconfig/aII

D、ifconfig/alI

答案：C

16.windows系統中擁有最高權限的用戶是()

A、administrator

B、admin

C、root

D、guest

答案：A

17.下列屬于計算機輸出設備的是0。

A、打印機

B、鍵盤

C、鼠標

D、掃描儀

答案：A

18.可以同時查看本機IP地址和MAC地址的命令是()。

A、ping

B、dir

C、Format

D、ipconfig/aII

答案：D

19.通常一個完整的郵件通常不包括()。

A、郵件頭

B、正文

C、附件

D、郵件尾

答案：D

20.按照檢驗過程,電子物證檢驗的四個階段是()。

A、案件受理——提取數據——檢驗數據——分析數據并得出結果

B、案件受理——提取數據——檢驗數據—形成鑒定文書

C、提取數據——檢驗數據——分析數據并得出結果——形成鑒定文書

D、提取數據——分析數據——檢驗數據—形成鑒定文書

答案：C

21.下列屬于基本系統進程的是()

Axwinlogon.exe

B、termsvr.exe

Cxwins.exe

D、snmp.exe

答案：A

22.在進行電子物證檢驗時,如果嫌疑人將多個JPEG圖片的擴展名改為了其他名

稱,需要通過()方法才能找到這些文件。

A、散列值比對

B、關鍵字搜索

C、文件簽名分析

D、文本風格比對

答案：C

23.在計算機系統里,硬盤的每扇區的默認大小為：()

A、512字節

B、1024字節

G512位

D、1024位

答案：A

24.下面關于計算機證據、電子證據和數字證據概念之間關系表述正確的是()<>

A、電子證據是數字證據的一個子集

B、電子證據就是計算機證據

C、數字證據是計算機證據的一個子集

D、數字證據是電子證據的一個子集

答案：D

25.安卓手機連接電腦獲取數據需要在手機中打開什么設置()

A、開發者模式

B、測試者模式

C、使用者模式

D、高級模式

答案：A

26.下面輸出長度可以為512位的Hash算法的是()

A、MD5

B、SHA

C、CRC

D、SUM

答案:B

27.IPv6規定的IP地址長度是()位。

A、32

B、64

C、128

D、256

答案：C

28.對存儲介質只讀設備的作用敘述不正確的是()。

A、能使證據盤數據的屬性不發生變化

B、保證取證和檢驗過程的有效性

C、對源存儲介質做逐位精確的備份

D、可方便地將證據盤接入計算機取證專用設備,直接進行取證和分析

答案：C

29.電子證據是由電子設備存儲或傳輸的有偵查作用或證據價值的電子信息及()o

A、所屬硬件

B、派生物

C、軟件

D、程序

答案：B

30.在MBR扇區中用于描述分區表信息的信息長度為:()

A、16字節

B、32字節

C、64字節

D、128字節

答案：C

31.擴展名為WPS文件通常是一個()。

A、視頻文件

B、音頻文件

C、文本文件

D、圖片文件

答案：C

32.安卓系統可以使用什么命令對應用及其數據進行備份()

A、ad(B)

B、sheII

C、backup

D、mount

答案：C

33.多備份原則屬于下列哪個過程()

A、證據發現

B、證據提取

C、證據分析

D、證據保全

答案：D

34.以下哪個對象無法計算散列值：()

A、FAT分區上的文件夾

B、文件

C、物理硬盤

D、邏輯分區

答案：A

35.現在手機的通訊標準不包括為()

A、2G

B、4G

C、5G

D、6G

答案：D

36.信息都是通過各種()在計算機中進行存儲的.

A、字符編碼

B、字符串

C、數字

答案：A

37.在一個驅動器上,最小的可以寫入數據的單位為,在一個文件系統上,

最小的可以寫入數據的單位為,0

A、比特和字節

B\扇區和簇

C、卷和驅動器

D、內存和磁盤

答案:B

38.文件簽名一般在文件的()位置

A、文件頭

B、文件尾

C、文件中間

D、以上都正確

答案:A

39.計算機中有許多存儲信息容量的單位,下面說法正確的是()。

A、1TB=1024MB

B、1MB=1024X1024X1024B

C、1GB=1024X1024KB

D、1MB=1024B

答案：c

40.只要某個地方的電纜斷開或一個節點出現問題,整個網絡就會崩潰的網絡拓

撲結構是()。

A、星型結構

B、環型結構

C、樹型結構

D、總線型結構

答案：D

41.在一個文件的物理大小和邏輯大小之間存在的區域我們稱之為()o

A、未使用磁盤空間

B、文件殘留區

C、未分配扇區

D、未分配簇

答案：B

42.不屬于電子數據證據特點的是()。

A、易破壞性

B、易復制性

C、易傳播性

D、易恢復性

答案：D

43.電子物證鑒定意見可以作為案件偵查線索或()。

A、結論依據

B、法庭證據

C、研究基礎

D、理論標準

答案：B

44.()不是電子郵件所用的編碼。

AxBase64

B、Unicode

C、R-Studio

D、Quoted-PrintabIe

答案：C

45.數據不能裝滿操作系統所定義的最小塊時剩余的空間是()。

A、未分配空間

B、物理空間

C、邏輯空間

D、sIackspace

答案：D

46.在FAT文件系統中,文件的真實類型數據存儲在()中。

A、DBR

B、FAT

C、FDT

D、DATA

答案：D

47.擴展名為DOCX文件屬于()結構。

A、db

B、xml

C、emf

D、mdb

答案：B

48.常見的加密方法不包含：()

A、系統設置法

B、軟件加密法

C、硬件加密法

D、社會工程學

答案：D

49.計算機中存儲的信息采用的是()。

A、二進制

B、八進制

C、十進制

D、十六進制

答案：A

50.注冊表五大根鍵的數據保存在()文件中。

A、操作系統日志

B、配置單元

C、服務器日志

D、數據庫日志

答案：B

51.下列()屬于圖像格式。

A、MP3

B、MP4

C、JPG

D、MOV

答案：c

52.()不是Windows下克隆硬盤時使用的軟件工具。

A、dd

B、Safeback

C、SnapBack

D、Encase

答案：A

53.從事電子物證檢驗與分析的人員,應當取得()才能從事電子物證檢驗與分析

工作。

A、電子數據鑒定人資格證書

B、培訓證書

C、勘查證

D、相關專業畢業證

答案：A

54.關于Encase軟件的使用方法敘述錯誤的是()。

A、過濾器只能根據文件屬性查找相關文件信息

B、查詢可以搜索文件殘留區內的相關信息

C、關鍵字搜索可以根據文件內容查找相關文件信息

D、關鍵字搜索可以搜索文件殘留區和未分配空間內的相關信息

答案：B

55.以下說法中正確的是()。

A、對于鑒定意見不一致的案件,由高級鑒定人員出具鑒定文書

B、鑒定文書需兩名以上人員簽字有效

C、鑒定單位對送檢材料有權自行處理,無需征求送檢單位意見

D、鑒定過程中要對使用的檢驗方法進行詳細記錄,而對檢驗環境不做要求

答案：B

56.在Linux系統上,用什么命令獲取MAC地址()

A、ipconfig

B、ifconfig

C、ipconfig-a

D、ifconfig-a

答案：c

57.以下關于文件刪除的說法中，不正確的是：()

A、文件目錄項的首字節改變為十六進制值E5

B、文件數據被填充為00h

C、文件數據所占的簇被更新為未分配狀態

D、文件的數據仍然保留在原位置

答案：B

58.通過查看數碼相機拍攝照片的()信息,可以對其原始性進行檢驗。

A、EXIF

B、EXTF

C、EIXF

D、EFIX

答案：A

59.關于只讀設備的描述,錯誤的是：()

A、只讀設備可以防止證據源不被修改

B、只讀設備可能會有讀寫開關

C、只讀鎖可以有IDE/SATA/SCSI等各類接口

D、8750Pro只讀鎖通過IDE接口與分析主機相連

答案：D

60.SHA-1哈希算法輸出數據的長度是()位。

A、160

B、128

C、256

D、512

答案:A

61.數據庫常用的數據模型不含有下面哪項()

A、層次模型

B、網狀模型

C、關系模型

D、數據模型

答案:D

62.不屬于常見文件系統的是：()

A、FAT32

B、NTFS

GEXT2

D、UPS

答案：D

63.NTFS采用什么來記錄文件的名字、起始位置與分配空間？()

A、FAT表

B、$Bitmap

GMFT表

D、MBR

答案：C

64.硬盤中的DBR是()時創建的。

A、格式化

B、分區

C、創建文件

D、計算機啟動

答案：A

65.下列不屬于現場勘查取證的基本原則是()

A、不損害原則

B、避免使用原始證據原則

C、記錄所做操作

D、第三方記錄原則

答案：D

66.解除凍結電子數據的,應當在()日內制作協助解除凍結通知書,送交電子數據

持有人'網絡服務提供者或者有關部門協助辦理。

A、1

B、2

C、3

D、4

答案：C

67.在現場不關閉電子設備的情況下直接分析和提取電子系統中的數據屬于()。

A、收集證據

B、提取固定易丟失數據

C、電子證據檢查

D、在線分析

答案：D

68.以下不是操作系統的是()。

AxNetWare

B、Dreamweaver

CvUNIX

D、WindowsXP

答案：B

69.擴展名為.BMP的文件通常是一個()

A、視頻文件

B、音頻文件

C、文本文件

D、圖片文件

答案：D

70.下面可用于測試網絡是否連通的命令是()。

A、ping

B、tracert

C、nsIookup

D、ipconfig

答案：A

71.以下()字符串是正確的MD5散列值。

A、C3030772311CE42BE4AEE12A618DD262

B、C09EAF8B227BD6F8271G7A07ED7C09EA20181

C、A15F88AD972F674DB10B4FF88A15D7E784370ADF88A

D、ABE3D46F09683D6EB

答案：A

72.下面不支持單個文件大于4GB的文件系統是()。

A、FAT32

B、NTFS

GexFAT

D、以上均不支持

答案：A

73.能把多塊獨立的物理硬盤按不同方式組合起來形成一個邏輯硬盤,并能提供

比單個硬盤更高的性能及數據冗余功能的是()。

A、簡單磁盤捆綁技術

B、跨區卷技術

GRAID技術

D、JBOD技術

答案:C

74.以下不屬于電子物證綜合檢驗分析軟件的是()。

A、FTK

B、UFS

C、Encase

D、X-ways

答案：B

75.常用的命令中，()可以檢查某系統是否存在,測試你自己的網卡，測試某一域

名的IP地址。

A、ping

B、msts

C、cmd

D、ip

答案：A

76.分配給某個文件的區域但沒有被占滿的空間稱為()。

A、未分配空間

B、松弛空間

C、自由空間

D、多余空間

答案：B

77.在電子物證檢驗中，用于搜索手機尾號是86正確的grep語法表達式是（）。

A、1#{8}86

B、1#{9}86

G1[3578]#{4}86

D、1{3578}#{4}86

答案：A

78.計算機系統時間提取的正確方法是：（）

A、記下取證人員趕到現場時手表上提示的日期和時間

B、打開計算機,記下計算機系統日期和時間

C、打開計算機,記下計算機系統日期和時間,并記錄下與當前標準日期和時間的

差值

D、打開機箱,拔下硬盤數據線和電源線,開機進入BIOS,記錄顯示的系統日期和

時間,并記錄與當前標準時間的差值

答案：D

79.勘查現場嫌疑人計算機處于開機狀態,正常的操作是：（）

A、直接關機,現場拆卸嫌疑人計算機硬盤并連接只讀鎖作現場取證工作

B、在嫌疑人計算機上安裝取證軟件作現場取證工作

C、直接關機,現場拆卸嫌疑人計算機硬盤并連接復制機生成副本

D、固定易丟失數據后關機并封存

答案：D

80.下列軟件中，哪一個屬于系統軟件()。

AxPhotoshop

B、Windows7

CxWinzip

D、ExceI

答案：B

81.在EnCase中，可用于檢驗文件內容一致性的方法是()。

A、哈希值

B、文件頭

C、訪問時間

D、文件簽名

答案：A

82.()是數據庫系統中所有更新活動的操作序列。

A、數據庫日志

B、數據庫文件

GMDF文件

答案：A

83.下面可以驗證電子文檔內容是否被改過的命令是()。

A、Format

B\MD5Sum

C、dir

DxIpconfig

答案：B

84.00-13-CE-B7-B6-BA是()。

A、IP地址

B、環回地址

C、MAC地址

D、私有地址

答案：c

85.以下軟件中，()不是操作系統。

A、Windows10

B、unix

CxIinux

D、WPS

答案:D

86.下面不是Windows操作系統日志文件的是()。

A、系統日志

B、應用程序日志

C、安全性日志

D、用戶操作日志

答案:D

87.傳輸控制協議(TCP)位于OSI七層協議的()0

A、物理層

B、數據鏈路層

C、網絡層

D、傳輸層

答案：D

88.下面軟件中，可以用來讀取手機SIM卡中的數據的是()。

A、ExifReader

B、SIMManager

C\FoxMaiI

Dvdiskcopy

答案：B

89.硬盤的分區可由DOS外部命令0來實現。

A、Fdisk

B、dir

C、ipconfig

D、Format

答案：A

90.下面不是數據庫的是0。

AxOrcaIe

B、SyBase

C、SQLServer

DvNslookup

答案：D

91.下列()不屬于視頻格式。

A、MP3

B、MP4

C、JPG

D、MOV

答案:C

92.一個MBR可以分幾個主分區()

A、3

B、5

C、4

D、2

答案：C

93.下面屬于電子數據取證的是Oo

A、現場勘驗檢查

B、遠程勘驗

C、電子物證檢驗

D、以上都是

答案：D

94.集成電路卡識別碼也稱為0。

A、IMSI

B、MEID

C、ICCID

D、IMEI

答案：c

95.下列哪些不是硬盤接口()

A、IDE

B、SAS

C、SATA

D、HDMI

答案：D

96.收集、提取電子數據，應當由()名以上偵查人員進行。

A、1

B、2

C、3

D、4

答案：B

97.在FAT文件系統中，根目錄的首地址存儲在()中。

A、DBR

B、FAT

C、FDT

D、DATA

答案:A

98.在一個文件的物理大小和邏輯大小之間在的區域我們稱之為什么：()

A、未使用磁盤空間

B、未分配簇

C、未分配扇區

D、文件殘留區

答案：D

99.進行文件一致性檢驗時,經過MD5演算后得到的散列值是()o

A、32bit

B、64bit

G128bit

D、256bit

答案：c

100.如果查到的IP地址為192.168.7.69,這是一個()。

A、公有地址

B、私有地址

C、A類IP地址

D、動態IP地址

答案：B

101.手機安卓系統是哪個公司開發()

A、微軟

B、Google

C、諾基亞

D、InteI

答案：B

102.以下()字符串是正確的MD5散列值。

A、EBABE3D46F09683D6EB

B、F8B227BD6F8271G7A07ED7C09EA2018111FD

C、D972F674DB10B4FF88A15D7E784370ADF88AC33

D、D3030772311CE42BE4AEE12A618DD262

答案:D

103.查詢某域名對應的IP地址的網絡命令是()。

A、FPort

B、Ipconfig

C、Ipconfig/aII

D、NsIookup

答案：D

104.擁有技術成熟'性能穩定'容量大'價格低等優點的硬盤是()。

A、機械硬盤

B、固態硬盤

C、混合硬盤

答案：A

105.下面屬于加密算法的是()。

A、EFS

B、MSN

GNTFS

D、FAT

答案：A

106.SATA3.0的傳輸速率是()。

Av6.OGb/s

B、6.OGB/s

C、3.OGb/s

D、3.OGB/s

答案：A

107.下面不屬于復合型文件的是()。

A、壓縮文件

B、注冊表文件

C、記事本文件

D、OFFICE文件

答案：C

108.當我們查看一個文件的屬性時,可以看到文件的大小、創建時間、修改時間、

訪問時間等屬性。其中文件的大小指的是()。

A、文件實際占用的扇區數

B、文件實際占用的字節數

C、文件實際占用的簇數

D、以上所有描述均正確

答案:B

109.勘查現場嫌疑人計算機處于關機狀態,正常的操作是：()

A、重新開機運行操作系統并安裝取證軟件作現場取證工作

B、重新開機運行操作系統固定易丟失數據后關機并封存

C、現場拆卸嫌疑人計算機硬盤并連接只讀鎖作現場取證工作

D、封存計算機

答案：D

110.目前的硬盤轉速沒有()。

A、3600rpm

B、7200rpm

Cx10000rpm

Dx15000rpm

答案：A

111.()是CDMA手機的身份識別碼,也是每臺CDMA手機或通訊平板唯一識別碼

A、MEID

B、IMEI

C、IMSI

D、ICCID

答案：A

112.磁盤在格式化時被劃分成許多同心圓,這些同心圓軌跡就叫做()

A、磁道

B、扇區

C、柱面

D、簇

答案：A

113.現場勘查人員必須是經過現場勘查相關的培訓才能執行勘查任務,因為現場

勘查工作是后續所有取證分析工作的基礎,是保證證據的()的第一步

A、司法有效性

B、科學性

C、多樣性

D、合理性

答案：A

114.()是可交換圖像文件的縮寫,是一個為數碼相機使用的圖像文件格式而制定

的標準規格。

A、JPEG

B、Exif

C、GIF

D、BMP

答案:B

115.在UNIX系統中，每個文件在系統中有一個()，其中包含文件所有者的詳細信

息'文件的權限、文件的時間信息、文件的類型等信息。

A、i-node

B、C/H/S

C、分區

D、簇

答案：A

116.針對諾基亞手機的取證,連接數據線后需要在手機屏幕上選擇什么模式？()

A、PC套件

B、大容量存儲

C、多媒體傳送

D、將PC連接至互聯網

答案：A

117.可以進行文件一致性檢驗的命令是()。

AvFormat

B、dir

GMD5Sum

D、Ipconfig

答案：C

118.一個完整的計算機系統通常包括()。

A、硬件系統和軟件系統

B、機算機及其外部設備

C、主機、鍵盤與顯示器

D、辦公軟件和應用軟件

答案：A

119.取相關的易丟失電子數據,并保護存儲介質中的靜態數據不被修改或破壞是

指()

A、取證準備

B、證據識別

C、證據收集

D、證據提取及固定

答案：D

120.遠程勘驗結束后,應當及時制作()。

A、遠程勘驗工作記錄

B、鑒定文書

C、工作記錄

D、勘查筆錄

答案：A

121.Windows系統為曾經打開過的文檔在Recent文件夾中建立文件的文件類型

是()。

Ax.Ink

B\.xIs

C、.dbx

D、.exe

答案：A

122.IPv6地址的長度由()個字節組成。

A、4

B、8

C、16

D、32

答案：c

123.安卓6.0系統手機所采用的數據區加密方式為()

A、文件加密

B、全磁盤加密

C、特殊加密

D、極限加密

答案：B

124.電子證據的固定與封存是保證電子證據完整性、真實性和原始性的操作規程,

目的就是通過制定嚴格的取證規則,從程序上規范取證過程,確保電子證據的()。

A、完整性

B、有效性

C、真實性

D、原始性

答案：B

125.下面可以獲得網卡MAC地址的命令是()。

Axping

B、ipconfig

C、tracert

DxnsIookup

答案：B

126.提取當前屏幕顯示的內容作為證據,可使用鍵盤上的()鍵

A、ScrolI

B、Print

GDel

D、工作對象

答案：B

127.MD5的哈希值是()位的十六進制字符。

A、16

B、32

C、64

D、128

答案：B

128.以下哪個不是手機的操作系統。()

A、SymbianOS

B、GoogIeAndroi(D)

C、AppIeiOS

D、LINUX

答案:D

129.屬于新式硬盤,簡稱為SSD的硬盤是()。

A、機械硬盤

B、固態硬盤

C、混合硬盤

答案：B

130.在計算機中用于標識二進制數的字母是()。

A、B

B、C

C、D

D、E

答案：A

131.下列哪種存儲設備在斷電后其存儲信息會很快丟失？()

A、ROM

B、U盤數據

C、RAM

D、硬盤數據

答案：C

132.在電子證據取證過程中，核心和關鍵的一步是()。

A、保護現場和現場勘查

B、分析數據

C、追蹤

D、提交結果

答案：B

133.在NTFS文件系統中，最小的分配單位0。

A、簇

B、扇區

C、1KB

D、字節

答案：A

134.下面對電子物證檢驗對象說法錯誤的是()o

A、包括各種電子設備和部件

B、包括電子設備中儲存的電子信息

C、不包括電子設備中傳輸的電子信息

D、包括磁盤未分配空間中的信息

答案：C

135.下面用于和內存交換數據的文件是()。

A、page.sys

B、pagefiIes.sys

CxpagefiIe.sys

D、file.sys

答案：C

136.哪些操作易磨損硬盤，故不應經常使用。()

A、高級格式化

B、低級格式化

C、硬盤分區

D、向硬盤拷貝文件

答案：B

137.在電子證據檢查中，通過已知內容設置(),對存儲設備的數據文件或二進制

數據進行搜索,是數據檢驗的有效方法。

A、時間

B、條件

C、關鍵字

D、位置

答案：c

138.IDE、SCSI、SATA和SAS描述了()設備的接口類型。

A、CPU

B、U盤

C、硬盤

D、RAM芯片

答案：c

139.關于服務器服證,錯誤的是：()

A、服務器關機時一般采用正常關機方式

B、服務器一般采用IDE硬盤

C、在RAID陣列中會有多塊硬盤

D、非正確關閉服務器可能會導致數據庫出錯

答案：B

140.一個字節等于()位。

A、8

B、16

C、32

D、64

答案:A

141.用來檢驗數碼照片屬性的軟件工具有()。

AxExifReader

BxSafeback

C、Whois

D、EasyRecovery

答案:A

142.在電子物證檢驗中，用于檢驗文件內容是否被修改的技術方法是()。

A、散列值分析

B、文件擴展名分析

C、文件加密分析

D、文件簽名分析

答案：A

143.所有計算機(節點)都連到中心節點上的網絡拓撲結構是()。

A、星型

B、環型

C、雙星雙環型

D、總線型

答案：A

144.以下哪個信息是手機身份的唯一標識符()

A、GPT

B、UUID

C、IMEI

D、IEEI

答案：C

145.在現場實施勘驗,提取、固定現場存留的與案件有關的電子證據和其他相關

證據屬于()

A、現場勘查

B、遠程勘驗

C、電子證據檢查

D、電子證據分析

答案：A

146.文件簽名恢復是根據()特征進行恢復文件的。

A、文件頭

B、擴展名

C、文件內容

D、以上都是

答案：A

147.在進行硬盤克隆時,對目標盤的要求敘述正確的是()。

A、無論是新的目標盤或用過的目標盤，對其容量都沒有特殊要求

B、如果是新的目標盤,直接將源盤中的數據進行復制即可

C、如果是用過的目標盤，將里面的數據全部刪除即可

D、如果是用過的目標盤,要用專用設備對其先進行嚴格擦除

答案：D

148.電子證據取證步驟是()。

A、追蹤-分析數據-保護現場和現場勘查一提交結果

B、保護現場和現場勘查T分析數據T追蹤T提交結果

C、追蹤一保護現場和現場勘查-分析數據一提交結果

D、保護現場和現場勘查一分析數據T提交結果一追蹤

答案：B

149.蘋果手機連接電腦獲取數據可以使用以下哪種軟件()

A、Itunes

B、AD(B)

C、ED(B)

D、GDB

答案：A

150.未使用的空間和文件刪除后未再分配的空間是()。

A、文件碎片空間

B、空閑空間

C、未分配空間

D、邏輯文件空間

答案：C

151.針對WindowsMobiIe手機的取證,連接數據線后需要在手機屏幕上選擇什么

模式？()

A、PC套件

B、ActiveSync

C、多媒體傳送

D、系列模式

答案：B

152.擴展名為.mp3的文件通常是一個()

A、視頻文件

B\首頻文件

C、文本文件

D、圖片文件

答案：B

153.在綜合性電子物證檢驗工具中，用于檢驗文件內容一致性的技術是()。

A、文件簽名分析

B、關鍵字搜索

C、散列分析

D、數據恢復

答案：C

154.需要根據所掌握的案情信息準備到現場進行勘查的人員和設備是指()

A、取證準備

B、證據識別

C、證據收集

D、證據分析

答案：A

155.計算機中有許多存儲信息容量的單位,下面說法正確的是()。

A、5TB=5X1024MB

B、1MB=1024B

G3MB=1024X1024X1024B

D、4GB=4X1024X1024KB

答案：D

156.公安部于()年出臺了《公安機關鑒定機構登記管理辦法》和《公安機關鑒定

人登記管理辦法》，規定地市級以上機構可開展電子物證等八類檢驗鑒定項目，

將電子物證納入檢驗鑒定范圍。

A、2004

B、2005

C、2006

D、2007

答案：C

157.以下屬于XML文件結構的是()。

A、db

B、docx

C、jpg

Dvdoc

答案：B

158.下面()軟件可以用來讀取手機SIM卡中的數據。

A、ExifReader

B、diskcopy

C、FoxMaiI

DxSIMManager

答案：D

159.只讀鎖連接硬盤設備進行只讀操作,錯誤的是：()

A、先開啟只讀鎖電源，再連接硬盤設備

B、主盤模式不能識別的設備,嘗試將硬盤跳線設置為CS模式

C、只讀鎖接口與硬盤不匹配的，采用轉換器進行連接

D、確保只讀鎖未打開“讀寫”功能

答案:A

160.下列()不屬于圖像格式。

A、BMP

B、MP4

C、JPG

D、PNG

答案：B

161.Windows7中操作系統日志文件的擴展名是0。

A、evt

B、txt

Cxlog

D、evtx

答案：D

162.下面()軟件可以用來讀取手機SIM卡中的數據。

A、ExifReader

Bxdiskcopy

CxFoxMaiI

D、SIMManager

答案：D

163.“取證大師”自動取證后的分析結果需到哪個視圖查看？()

A、“搜索結果”視圖

B、“取證結果”視圖

C、“索引結果”視圖

D、“案例”視圖

答案：B

164.新建的Excel工作簿中默認有()張工作表。

A、2

B、3

C、4

D、5

答案：B

165.每臺機器上網都必須有合法的()地址。

A、IP

B、MAC

C、URL

D、HTML

答案:A

166.Windows系統格式化硬盤，是將0o

A、全部數據清零

B、全部數據寫入1

C、根目錄區清零

D、根目錄區寫入1

答案：C

167.手機SIM卡不包括以下哪種規格()

A、SIM

B、Mini-SIM

GMicro-SIM

D、Big-SIM

答案：D

168.磁盤分區中用于存儲文件或文件夾的一組扇區,它是分區的基本存儲單元,

也稱為分配單元的是？()

Av磁道

B、扇區

C、柱面

D、簇

答案：D

169.對送檢的材料采用專用的設備進行克隆，目的是保持原始電子信息的()。

A、多樣性

B、派生性

C、時限性

D、完整性

答案：D

170.Windows操作系統中保存機器IP地址對應的注冊表文件是()。

A、SAM

B、SYSTEM

GUSERS

D、DEFAULT

答案：B

171.常見的硬盤接口方式有IDE接口和()。

AvVGA接口

B、IEEE1394接口

C、DVI接口

D、SCSI接口

答案：D

172.取證大師查看Word文件時，使用哪個視圖可以達到與Word程序打開一樣的

顯示效果()

A、文本視圖

B、十六進制視圖

C、預覽視圖

D、報告視圖

答案:C

173.可以設置網絡設備的狀態,或是顯示目前的設置的命令是()

Axipconfig

B、dir

Cxtracert

D、cIs

答案:A

174.下面用于由源地址到目的地址傳送郵件的協議是()o

A、POP

B、UDP

GARP

D、SMTP

答案：D

175.下面不屬于Hash算法的是()

A、MD5

B、SHA

C、CRC

D、SUM

答案：D

176.文件頭部信息存儲在()中。

A、DBR

B、FAT

C、DATA

D、FDT

答案：C

177.在電子物證檢驗中，用于檢驗文件是否修改過擴展名的技術是()。

A、散列值分析

B、擴展名分析

C、加密分析

D、文件簽名分析

答案:D

178.鑒定單位可對送檢材料暫時保存，但保存期限一般不超過()個月。

A、1

B、2

C、3

D、6

答案：D

179.用于手機取證的分析軟件是0。

AvForensicSIM

B、FoxPro

CxFormat

D、FORTRAN

答案：A

180.對送檢的材料采用專用的設備進行克隆，目的是保持原始電子信息的0o

A、完整性

B、派生性

G時限性

D、多樣性

答案：A

181.不能用來進行硬盤分區的軟件工具是()。

A、Fdisk

B、DM

C、Copy

D、PartitionMagic

答案：c

182.計算機中為了計算方便,會用到各種進制的計數方法,通常用最后一個字母

來標識數制,42H表示在()下這個數是42O

Av二進制

B、八進制

C、十進制

D、十六進制

答案：D

183.()是微型計算機的核心，由運算器和控制器兩部分組成。也是是決定計算機

系統性能的重要指標

A、CPU

B、主機

C\顯卡

答案：A

184.關閉筆記本電腦的最佳辦法是什么？()

A、拔下計算機背部的電源插頭

B、從墻上拔下插座

C、拿掉筆記本電腦的電池

D、同時采取A和C兩種方法

答案：D

185.對可能影響案件偵辦且容易損壞或丟失的電子數據進行提取另存屬于()

A、收集證據

B、提取固定易丟失數據

C、電子證據檢查

D、電子證據分析

答案：B

186.電子數據的特點不包括()。

A、依賴介質性

B、易復制性

C、不易破壞性

D、表現形式多樣性

答案：C

187.下列不屬于證據種類的是()。

A、物證

B、電子數據

C、視聽資料

D、分析意見

答案：D

188.檢查現場所有可能有效的證據是指()

A、取證準備

B、證據識別

C、證據收集

D、證據分析

答案：B

189.()是英文StructuredQueryLanguage的縮寫，中文意思是結構化查詢語言，

其功能強大,可查詢數據庫，還能定義、修改'插入、管理數據庫及規定數據庫的

安全性能等,已逐步成為關系數據庫的標準語言

A、SQL

B、CQO

C、EQL

D、ELL

答案：A

190.計算機的軟件系統一般分為()兩大部分。

A、系統軟件和應用軟件

B、操作系統和計算機語言

C、程序和數據

D、DOS和WINDOWS

答案：A

191.關于郵件數據文件擴展名，錯誤的是：()

A、OfficeOutlook的郵件數據擴展名為.PST

B、OutlookExpress的郵件數據擴展名為.DBX

GFoxmaiI的郵件數據擴展名為.ocx

D、郵件擴展名被更改，可以通過文件簽名來檢驗

答案：C

192.擴展名為.MP4的文件通常是一個()

A、視頻文件

B、音頻文件

C、文本文件

D、圖片文件

答案：A

193.電子物證檢驗結果可以作為案件偵查線索或()。

A、決策依據

B、可靠根據

C、法庭證據

D、研究基礎

答案：C

194.Windows操作系統用文件的()將文件與瀏覽器關聯。

A、簽名

B、MD5哈希值

C、擴展名

D、元數據文件

答案：C

195.在電子物證檢驗中，用于檢驗文件內容一致性的技術是()o

A、文件簽名分析

B、散列分析

C、關鍵字搜索

D、數據恢復

答案：B

196.蘋果手機采用的操作系統是()

AxAndroi(D)

B、Windows

C、DOS

D、IOS

答案：D

197.linux系統中擁有最高權限的用戶是()

Axadministrator

B、admin

C\root

D、guest

答案：C

198.MD5哈希算法輸出數據的長度是()。

A、32

B、128

C、256

D、512

答案：B

199.利用電子物證綜合檢驗工具搜索到被刪除的OutlookExpress收發的郵件,

導出時要添加的擴展名是()。

A、.xIs

B、.dat

C、.dbx

Dx.emI

答案：D

200.如果對象將多個JPEG圖片的文件的擴展名改為其他名稱,需要通過()可以

快速找到這些文件？

A、散列值比對(MD5)

B、散列值比對(SHA-1)

C、文件簽名分析

D、以上都錯

答案：C

201.下面不是硬盤接口類型的是()。

A、VGA接口

B、IDE接口

C、SATA接口

D、SCSI接口

答案：A

202.軟件一致性檢驗的內容不包括()。

A、安裝過程對比

B、開發軟件所用思想對比

C、顯示內容對比

D、代碼對比

答案：B

203.Windows作為主流操作系統,不支持的分區結構是()。

A、MBR磁盤分區

B、動態磁盤分區

C、GPT磁盤分區

D、APM分區

答案：D

204.下列文件擴展名中哪個不屬于圖片格式的后綴名？()。

A、TIF

B、JPG

C、TXT

D、PNG

答案：C

205.磁盤驅動器在向磁盤讀取和寫入數據時,最小的可以寫入數據的單位為()<)

A、內存塊

B、扇區

C、卷

D、比特

答案：B

206.電子物證檢驗結果可以作為案件偵查線索或()。

A、結論依據

B、法庭證據

C、研究基礎

D、理論標準

答案：B

207.通過()可以查詢被調查網站注冊時的注冊人、管理人、技術人員等聯系信息。

A、Orcale數據庫

B、SQLServer數據庫

GWhois數據庫

D、SyBase數據庫

答案：C

208.以下()對象無法計算散列值。

A、文件

B、FAT分區上的文件夾

C、邏輯分區

D、物理硬盤

答案：B

209.UNIX操作系統下，我們查看文件的訪問時間、修改時間等信息是基于其采用

了()的數據結構記錄文件的屬性。

A、關系模型

B、node號

C\i-node

D、f節點

答案：c

210.下面可用作視頻文件格式的是()。

A、JPG

B、MP4

C、TIF

D、PNG

答案：B

211.下面支持單個文件大于4GB的文件系統是()。

AFAT32

B、FAT16

C、eFAT

D、FAT12

答案：c

212.打開注冊表的命令：()

A、regedit.exe

B、ipconfig.exe

CxFormat.exe

Dxping.exe

答案：A

213.文件系統是操作系統與驅動器之間的接口。在一個文件系統上,最小的可以

寫入數據的單位為()。

A、磁盤

B、簇

C、比特

D、字節

答案：B

214.在NTFS文件系統中，$MFT中的文件記錄大小一般是固定的，均為()。

A、4KB

B、、8KB

C、16KB

D、1KB

答案：D

215.對IP地址描述正確的是()。

A、IP地址的長度由8個字節組成

B、IP地址的長度由16個字節組成

C、在網絡上，一個IP地址代表了多個網絡節點

D、IP地址的長度由4個字節組成,采用標準的點分十進制表示法書寫

答案：D

216.電子物證檢驗工作開始之前,檢驗人員要()。

A、只對送檢的材料編號拍照

B、對送檢的材料直接檢驗

C、只對送檢的硬盤及其它存儲設備的信息進行克隆復制

D、對送檢的存儲設備中的信息進行克隆復制，并進行編號、拍照

答案：D

217.擴展名為DOC文件使用的字符編碼是()。

A、ASCII

B、GB2312

C、Unicode

D、base64

答案：c

218.MD5的哈希值是多少位的十六進制字符：()

A、16

B、32

C、64

D、128

答案：B

219.一個硬盤最多可以分為()個主分區。

A、1

B、2

C、3

D、4

答案：D

220.下面對電子物證檢驗對象說法錯誤的是()。

A、包括各種電子設備和部件

B、包括電子設備中儲存的電子信息

C、包括電子設備中傳輸的電子信息

D、不包括磁盤未分配空間

答案：D

221.視頻文件在磁盤中是以()方式保存的。

A、二進制

B、十六進制

C、八進制

D、十進制

答案：A

222.能深入操作系統底層查看所有的數據——包括slack空間、未分配空間、和

Windows交換分區數據的數據恢復工具是()。

AxEasyRecovery

BxFinalData

CxNsIookup

D、Encase

答案:D

223.下面不是文件系統的是()。

AxWindows

B、UFS

GNTFS

D、Ext2/Ext3

答案:A

224.按照Hash算法,Hash具有單向性,不可逆性,常用來檢驗()。

A、數據的完整性

B、數據的安全性

C、數據的唯一

答案：A

225.假設當前分區文件系統的簇大小為8KB,有一個大小為17KB的文件要存儲到

該分區,那么該文件將會分配一個多大的物理空間？0

A、17KB

B、18KB

C、20KB

D、24KB

答案：D

226.下面不屬于硬盤接口類型的是()。

A、IDE接口

B、SCSI接口

C、SATA接口

D、VGA接口

答案：D

227.IDE、SCSI、SATA和SAS描述了()設備的接口類型。

A、CPU

B、U盤

C、硬盤

D、RAM芯片

答案:c

228.數據量大,無法或者不便提取的，經()批準,可以對電子數據進行凍結。

A、縣級以上公安機關負責人

B、偵查人員

C、勘驗人員

D、案件偵辦負責人

答案:A

229.以下關于加密說法,不正確的是？()

A、加密包括對稱加密和非對稱加密兩種

B、信息隱蔽是加密的一種方法

C、密鑰的位數越多,信息的安全性就越高

D、如果沒有信息加密的密鑰，只要知道加密程序的細節就可以對信息進行解密

答案：D

230.電子證據的特點不包括()。

A、依賴介質性

B、易復制性

C、不易破壞性

D、表現形式多樣性

答案：C

231.以下哪些是屬于取證軟件？()

A、EnCase

B、取證大師

C、FTK

D、X-Ways

E、以上都是

答案：E

232.計算機中為了計算方便,會用到各種進制的計數方法,通常用最后一個字母

來標識數制,23H表示在()下這個數是23O

A、二進制

B、十進制

C、八進制

D、十六進制

答案：D

233.對存儲介質只讀設備的作用敘述不正確的是()。

A、能使證據盤數據的屬性不發生變化

B、對源存儲介質做逐位精確的備份

C、保證取證和檢驗過程的有效性

D、可方便地將證據盤接入計算機取證專用設備,直接進行取證和分析

答案：B

234.用戶對硬盤進行重新分區,并重新安裝操作系統后,原來硬盤上存放的信息

Oo

A、部分保留在未分配空間

B、全部被覆蓋

C、全部保留在未分配空間

D、全部保留在已分配空間

答案：A

235.用于查詢本地IP地址和網卡MAC地址的命令是()。

A、nsIookup

B、psIist

C、tracert

D、ipconfig-aII

答案：D

236.以下對文件進行邏輯刪除的說法中，不正確的是()。

A、保存被刪除文件的數據區被填充為00h

B、文件內容仍保存在數據區中，并未刪除

C、被刪除文件在數據區所占的簇被更新為未分配狀態

D、文件目錄項的首字節改變為十六進制E5

答案：A

237.擴展名為DOC文件通常是一個()。

A、視頻文件

B、音頻文件

C、文本文件

D、圖片文件

答案：C

238.下面對IP地址描述錯誤的是0。

A、IP地址的長度由4個字節組成

B、IP地址的長度由32位二進制組成

C、在網絡上，一個IP地址代表了多個網絡節點

D、IP地址采用標準的點分十進制表示法書寫

答案：C

239.假設當前分區文件系統的簇大小為4KB,有一個大小為17KB文件要存儲到該

分區,那么該文件將會被分配一個OKB的物理空間。

A、16

B、17

C、18

D、20

答案：D

240.對送檢的檢材，依據送檢要求,經技術檢驗后,只給出檢出內容,不做主觀評

價的是()。

A、鑒定書

B、檢驗報告

C、結果匯總

D、檢驗意見書

答案：B

241.進行與時間有關的文件屬性檢驗時，獲得創建時間的遞歸目錄列表的命令是

()o

A、dir/t:c/a/s/o:d(t表示時間,c表示創建)

B、dir/t:a/a/s/o:d

C、dir/t:w/a/s/o:d

D、dir/t:s/a/s/o:d

答案：A

242.在FAT32文件系統中，最小的可以寫入數據的單位為()。

A、磁盤

B、簇

C、比特

D、字節

答案:B

243.()是一個為數碼相機使用的圖像文件格式而制定的標準規格。

A、Encase

B、Exif

GQuickViewPlus

D、APNIC

答案:B

244.對已經被破壞或刪除的辦公文檔碎片的檢驗方法敘述錯誤的是()o

A、可根據文檔的內容設置關鍵字進行查找

B、可根據文檔關聯關系設置關鍵字進行查找

C、可根據文檔屬性設置關鍵字進行查找

D、可根據文檔結構信息設置關鍵字進行查找

答案：B

245.Windwos系統格式化硬盤,是將()。

A、全部數據清零

B、全部數據寫入1

C、根目錄區清零

D、根目錄區寫入1

答案：C

246.在現場提取的易丟失數據以及現場在線分析時生成和提取的電子數據應當

計算其完整性校驗值并制作、填寫()

A、現場勘驗檢查筆錄

B、固定電子證據清單

C、勘驗檢查照片記錄表

D、封存電子證據清單

答案：B

247.NTFS采用什么來記錄文件的名字、起始位置與分配空間？()