數字取證[復制]1.判斷電子數據是否具有證明力能常有3條標準，它們不包括（）[單選題]*A客觀性B唯一性(正確答案)C合法性D關聯性2.以下哪個通常不是獲取電子數據的來源（）[單選題]*A內存數據B存儲介質C網絡數據包D保險柜中的文件(正確答案)3.數據取證的搜索方法通常不包括（）[單選題]*A基于數據內容的搜索B基于數據指紋的搜索C基于文件大小的搜索(正確答案)D基于痕跡的搜索4.內存取證的主要方法（途徑）不包括（）[單選題]*A冷啟動攻擊B使用接口C使用休眠文件D使用SWAP文件(正確答案)5.數據取證的關聯分析是指以某個關鍵信息為聯結點，關鍵信息的類型通常不包括（）[單選題]*A人員信息B資金信息C數據規模(正確答案)D文件內容6.WinD.ows系統記錄系統事件的日志文件是（A.）[單選題]*A.System.evtx(正確答案)B.SeCurity.evtxC.AppliCAtion.evtxD.Event.evtx7.WinD.ows系統記錄安全事件的日志文件是（）[單選題]*A.System.evtxB.SeCurity.evtx(正確答案)C.AppliCA.tion.evtxD.Event.evtx8.WinD.ows記錄系統應用程序事件的日志文件是（）[單選題]*A..System.evtxB.SeCurity.evtxC.Event.evtxD.AppliCAtion.evtx(正確答案)9.記錄NTFS分區中文件的創建、重命名、內容變更、刪除等操作的元文件是（）[單選題]*A.$J文件(正確答案)B.$MFT文件C.$QuotA文件D.$C.hAnge文件10.W3C.的IIS日志中，表示客戶端IP的字段是（）[單選題]*A.C-ip(正確答案)B.C-portC.s-ipD.s-port11.W3C.的IIS日志中，表示客戶端端口的字段是（）[單選題]*A.C.-ipB.C.-port(正確答案)C.s-ipD.s-port12.W3C.的IIS日志中，表示服務器IP的字段是（）[單選題]*A.C.-ipB.C.-portC.s-ip(正確答案)D.s-port13.W3C.的IIS日志中，表示服務器端口的字段是（）[單選題]*A.C.-ipB.C.-portC.s-ipD.s-port(正確答案)14.以下關于Linux操作系統及其取證，不正確的描述是（）[單選題]*A.Linux的文件系統結構是樹狀的。B.Linux的任何一個分區都必須掛載到某個目錄上。C.Linux是一個開源系統，安全性高，針對它的木馬攻擊很少見。(正確答案)D.通過檢查系統進程、非法登錄、操作日志等可得知Linux系統是否被入侵。15.檢查Linux服務器是否提供非法服務的工作內容通常不包括（）[單選題]*A.檢查系統開放的服務B.檢查WeB.服務日志和數據C.檢查數據庫日志和數據D.檢查用戶登錄日志(正確答案)16.KaliLinux用于磁盤鏡像分析工具是（）[單選題]*A.autopsy(正確答案)B.binwalkC.bulk_extractorD.hashdeep17.KaliLinux用于分析某個文件中是否存在多個文件的工具是（）.[單選題]*A.autopsyB.binwalk(正確答案)C.bulk_extractorD.hashdeep18.KaliLinux用于掃描給定的目錄或文件的工具是（）[單選題]*A.autopsyB.binwalkC.bulk_extractor(正確答案)D.hashdeep19.KaliLinux用于計算文件散列值的工具是（）[單選題]*A.autopsyB.binwalkC.bulk_extractorD.hashdeep(正確答案)20.A.ndroid物理鏡像的分析通常不包含（）[單選題]*A.使用硬盤數據分析工具WinHex分析物理鏡像B.使用開源取證工具A.utoPsy分析物理鏡像C.統計格式化字符串(正確答案)D.使用計算機取證工具分析物理鏡像。21.A.ndroid操作系統的密碼類型通常不包括（）[單選題]*A.圖案密碼B.數字密碼C.混合密碼D.凱撒密碼(正確答案)22.可用于查看Windows事件日志信息的工具是（）[單選題]*A.eventvwr.exe(正確答案)B.LogParserC.volatilityD.X-WaysForensics23.可用于在Windows系統中進行進行IIS日志分析的工具是（）[單選題]*A.eventvwr.exeB.LogParser(正確答案)C.volatilityD.X-WaysForensics24.可用于內存數據分析的工具是（）[單選題]*A.eventvwr.exeB.LogParserC.volatility(正確答案)D.X-WaysForensics25.可用于在Windows系統中進行電子數據的搜索、恢復、分析的綜合取證工具是（）[單選題]*A.eventvwr.exeB.LogParserC.volatilityD.X-WaysForensics(正確答案)26.volatility用于查看已加載的動態連接庫的插件是（）[單選題]*A.dlllist(正確答案)B.dumpfilesC.filescanD.iehistory27.volatility用于轉儲文件的插件是（）[單選題]*A.dlllistB.dumpfiles(正確答案)C.filescanD.iehistory28.volatility用于掃描打開的文件列表的插件是（）[單選題]*A.dlllistB.dumpfilesC.filescan(正確答案)D.iehistory29.volatility用于查看IE訪問歷史的插件是（）[單選題]*A.dlllistB.dumpfilesC.filescanD.iehistory(正確答案)30.在Wireshark中，設置抓取或顯示源IP為88的包過濾器是（）[單選題]*A.ip.addr==88B.ip.src==88(正確答案)C.ip.dst==88D.notip.addr==8831.在Wireshark中，設置抓取或顯示IP為88的包過濾器是（）[單選題]*A.ip.addr==88(正確答案)B.ip.src==88C.ip.dst==88D.notip.addr==8832.在Wireshark中，設置抓取或顯示目的IP為88的包過濾器是（）[單選題]*A.ip.addr==88B.ip.src==88C.ip.dst==88(正確答案)D.notip.addr==8833.在Wireshark中，設置抓取或顯示IP不是88的包過濾器是（）[單選題]*A.xorip.addr==88B.orip.src==88C.andip.dst==88D.notip.addr==88(正確答案)34.電子郵件（SMTP）頭部中，表示收件人的電子郵件地址的字段是（）[單選題]*A.To(正確答案)B.C.cC.B.ccD.From35.電子郵件（SMTP）頭部中，表示抄送的字段是（）[單選題]*A.ToB.C.c(正確答案)C.B.ccD.From36.電子郵件（SMTP）頭部中，表示暗送的字段是（）[單選題]*A.ToB.C.cC.B.cc(正確答案)D.From37.電子郵件（SMTP）頭部中，表示撰寫郵件者的字段是（）[單選題]*A.ToB.C.cC.B.ccD.From(正確答案)38.電子郵件（SMTP）表示傳送郵件主體的命令是（）[單選題]*A.D.A.TA.(正確答案)B.HELOC.MA.ILD.HELP39.電子郵件（SMTP）表示發送方向接收方問候的命令是（）[單選題]*A.D.A.TA.B.HELO(正確答案)C.MA.ILD.HELP40.電子郵件（SMTP）表示開始郵件傳輸的命令是（）[單選題]*A.D.A.TA.B.HELOC.MA.IL(正確答案)D.HELP41.電子郵件（SMTP）表示要求服務器返回所支持的命令列表（）[單選題]*A.D.A.TA.B.HELOC.MA.ILD.HELP(正確答案)42.HTTP請求的頭部字段中，表示客戶端能處理的自然語言的是（）[單選題]*A.A.ccept-C.harsetB.User-A.gentC.A.cceptD.A.ccept-Language(正確答案)43.HTTP請求的頭部字段中，表示瀏覽器及其平臺的信息的是（）[單選題]*A.A.ccept-C.harsetB.User-A.gent(正確答案)C.A.cceptD.A.ccept-Language44.HTTP請求的頭部字段中，表示客戶端能處理的頁面類型的是（）[單選題]*A.A.ccept-C.harsetB.User-A.gentC.A.ccept(正確答案)D.A.ccept-Language45.HTTP請求的頭部字段中，表示客戶端可以接受的字符集的是（）[單選題]*A.A.ccept-C.harset(正確答案)B.User-A.gentC.A.cceptD.A.ccept-Language46.HTTP響應的頭部字段中，表示服務器及其平臺信息的是（）[單選題]*A.Server(正確答案)B.C.ontent-EncodingC.C.ontent-languageD.C.ontent-Length47.HTTP響應的頭部字段中，表示內容是如何被壓縮編碼的是（）[單選題]*A.ServerB.C.ontent-Encoding(正確答案)C.C.ontent-languageD.C.ontent-Length48.HTTP響應的頭部字段中，表示頁面所使用的自然語言的是（）.[單選題]*A.ServerB.C.ontent-EncodingC.C.ontent-language(正確答案)D.C.ontent-Length49.HTTP響應的頭部字段中，表示以字節計算的頁面長度的是（）[單選題]*A.ServerB.C.ontent-EncodingC.C.ontent-languageD.C.ontent-Length(正確答案)50.HTTP狀態碼中，表示請求的資源被找到且成功返回的是（）[單選題]*A.200(正確答案)B.301C.401D.40451.HTTP狀態碼中，表示請求的資源未被修改，服務器不會返回任何資源的是（）[單選題]*A.200B.304(正確答案)C.401D.40452.HTTP狀態碼中，表示客戶端對未被授權訪問的文件提出請求的是（）[單選題]*A.200B.301C.401(正確答案)D.40453.HTTP狀態碼中，表示所請求的資源不存在的是（）[單選題]*A.200B.301C.401D.404(正確答案)54.以下縮寫中，表示多用途互聯網郵件擴展的是（）[單選題]*A.MIME(正確答案)B.SMTPC.POPD.IMA.P55.以下縮寫中，表示簡單郵件傳輸協議的是（）[單選題]*A.MIMEB.SMTP(正確答案)C.POPD.IMA.P56.以下縮寫中，表示郵局協議的是（）[單選題]*A.MIMEB.SMTPC.POP(正確答案)D.IMA.P57.以下縮寫中，表示互聯網報文訪問協議的是（）[單選題]*A.MIMEB.SMTPC.POPD.IMA.P(正確答案)58.下列關于A.ndroid操作系統的取證，不正確的是（）[單選題]*A.短信/彩信、通話記錄等是其用于取證分析的邏輯數據。B.一般的計算機取證工具不適用于對其進行取證分析。(正確答案)C.其密碼類型有圖案密碼、數字密碼等。D.可使用WinHex對其物理鏡像進行分析。59.下列關于偽基站及其取證，不正確的是（）[單選題]*A.偽基站是一種利用GSM單向認證缺陷的非法無線電通信設備。B.偽基站通常安放在汽車或者一個比較隱蔽的地方。C.偽基站會使用SSL協議，將敏感信息加密，發送給客戶。(正確答案)D.偽基站會搜索一定范圍內的GSM移動電話信息。60.下列關于P2P網貸系統及其取證，不正確的是（）[單選題]*A.P2P網貸系統是一種面向個人的在線借貸金融服務。B.為提高安全性，絕大部分P2P網貸系統都要求用戶使用數字證書進行認證。(正確答案)C.P2P網貸系統旨在匹配投資人與貸款人，并電子化、自動化管理借貸關系。D.其取證要抓的環節:識別、準備、固定、檢驗、分析、報告。61.下列關賭博網站及其取證，不正確的是（）[單選題]*A.網站賭博產業可以按照老板、開發、代理、推廣、洗錢等進行角色分類。B.統計表明，一些看似正規的棋牌游戲公司有參加網絡賭博的嫌疑。C.賭博網站很隱蔽，很少受到D.D.oS攻擊。(正確答案)D.可使用網站取證工具對賭博網站進行取證。62.下列關于區塊鏈及其取證，不正確的是（）[單選題]*A.數據區塊的敏感內容以加密方式保存。(正確答案)B.區塊鏈是按照時間順序，將數據區塊以順序相連的方式組織的鏈式數據結構。C.區塊鏈是以密碼學方式保證的不可偽造的分布式記賬系統。D.區塊鏈取證分析對象包括錢包、交易行為、交易雙方身份。63.下列關于智能系統及其取證的描述，不正確的是（）[單選題]*A.智能系統取證是指綜合運用各種取證技術對涉案數據進行取證。B.智能車輛的數字取證屬于智能系統取證。C.對Web服務器的數字取證屬于智能系統取證。(正確答案)D.對無人機的數字取證屬于智能系統取證。64.下列關于惡意代碼的描述，不正確的是（）[單選題]*A.一個軟件被看作是惡意代碼，主要依據是創作者意圖，而不是惡意代碼本身。B.惡意代碼是一種計算機病毒。(正確答案)C.惡意代碼種類有病毒、蠕蟲、木馬、后門、邏輯炸彈、流氓軟件、僵尸網絡、Rootkit等。D.惡意代碼有以下3個明顯的共同特征:目的性、傳播性、破壞性。65.下列關于木馬的描述，不正確的是（）[單選題]*A.隱藏在正常程序中的一段具有特殊功能的惡意代碼。B.木馬的特征包括隱蔽性、欺騙性、頑固性、危害性。C.木馬是一種被破壞的程序。(正確答案)D.木馬是一種后門程序。66.下列關于Rootkit的描述，不正確的是（）[單選題]*A.Rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權限的工具。B.MacOS不會受到Rootkit攻擊。(正確答案)C.Rootkit的三要素就是隱藏、操縱、收集數據。D.Rootkit通過加載特殊的驅動，修改系統內核，實現信息隱藏。67.下列關于硬盤鏡像文件生成，錯誤的是（）[單選題]*A.硬盤復制機生成B.WinHex生成C.Wireshark生成(正確答案)D.命令生成68.下列對于電子證物的處理，那個操作是正確的（）[單選題]*A.手機運送過程中盡可能屏蔽手機信號(正確答案)B.開機狀態的計算機要立即關機C.要記錄線纜以及線纜和主機的連線方式D.電子證物只要注意防潮防震就行了69.下列關于現場勘驗檢查程序的描述，不正確的是（）.[單選題]*A.保護現場B.收集證據C.提取、固定證據D.在線提取(正確答案)70.在進行現場勘查時，正確的操作是（）[單選題]*A.可以立即關閉正在打印的打印機。B.不要立即關閉處于運行狀態的電腦。(正確答案)C.對于帶有還原卡的電腦，可按照正常關機程序關機。D.在嫌疑人的電腦上安裝取證軟件。71.下列關于遠程勘驗的描述，不正確的是（）[單選題]*A.在線提取B.截屏C.錄像D.SQL注入(正確答案)72.下列關于嫌疑人可能采取的反取證手段的描述，不正確的是（）[單選題]*A.對文檔內容進行加密B.使用數據擦除工具C.對數據進行B.ase64編碼(正確答案)D.使用硬盤加密工具73.下列關于電子數據及取證的描述，不正確的是（）[單選題]*A.電子數據是案件發生過程中形成的，以數字化形式存儲、處理、傳輸的，能夠證明案件事實的數據。B.電子數據證據的本質就是二進制數字，而文本、視頻、音頻、圖像等只不過是電子數據證據的不同表現形式。C.電子數據取證必須使用電子設備對數據進行提取、分析、存檔。(正確答案)D.電子數據取證涉及法律和技術兩個層面，其實質為采用技術手段獲取、分析、固定電子數據作為認定事實的科學。74.下列關于電子數據的存儲介質完整性保護，正確的描述是（）[單選題]*A.使用SHA.256算法，計算整個存儲介質的哈希值。(正確答案)B.使用A.ES256算法，對整個存儲介質進行加密。C.使用合法機構發放的證書，對整個存儲介質進行簽名。D.制作存儲介質的鏡像。75.下列關于文件的哈希值的描述，正確是（）[單選題]*A.若修改了文件的最后訪問時間，其哈希值通常會變。B.若修改了文件的創建時間，其哈希值通常會變。C.使用WinHex修改了文件內容的一個比特，其哈希值通常會變。(正確答案)D.若對文件進行壓縮，壓縮之后的文件哈希值通常與原文件相同。76.在Wireshark中，設置抓取或顯示MA.C.地址為A.0:00::04:C.5:84的包過濾器是（）[單選題]*A.eth.addr==A.0:00::04:C.5:84(正確答案)B.eth.src==A.0:00::04:C.5:84C.eth.dst==A.0:00::04:C.5:84D.eth.addr!=A.0:00::04:C.5:8477.在Wireshark中，設置抓取或顯示源MA.C.地址為A.0:00::04:C.5:84的包過濾器是（）[單選題]*A.eth.addr==A.0:00::04:C.5:84B.eth.src==A.0:00::04:C.5:84(正確答案)C.eth.dst==A.0:00::04:C.5:84D.eth.addr!=A.0:00::04:C.5:8478.在Wireshark中，設置抓取或顯示目的MA.C.地址為A.0:00::04:C.5:84的包過濾器是（）[單選題]*A.eth.addr==A.0:00::04:C.5:84B.eth.src==A.0:00::04:C.5:84C.eth.dst==A.0:00::04:C.5:84(正確答案)D.eth.addr!=A.0:00::04:C.5:8479.在Wireshark中，設置抓取或顯示MA.C.地址不為A.0:00::04:C.5:84的包過濾器是（）[單選題]*A.eth.addr==A.0:00::04:C.5:84B.eth.src==A.0:00::04:C.5:84C.eth.dst==A.0:00::04:C.5:84D.eth.addr!=A.0:00::04:C.5:84(正確答案)80.volatility用于解析MFT記錄的插件是（）[單選題]*A.mftparser(正確答案)B.netscanC.pslistD.psscan81.volatility用于查看網絡通信連接的插件是（）[單選題]*A.mftparserB.netscan(正確答案)C.pslistD.psscan83.volatility用于列舉出系統進程（但不能檢測到隱藏的進程）的插件是（）[單選題]*A.mftparserB.netscanC.pslist(正確答案)D.psscan84.volatility用于可以找到先前已終止(不活動)的進程以及被rootkit隱藏的進程的插件是（）[單選題]*A.mftparserB.netscanC.pslistD.psscan(正確答案)85.volatility用于以樹的形式查看進程列表的插件是（）[單選題]*A.pstree(正確答案)B.svcscanC.pslistD.psscan86.volatility用于查看Windows服務列表的插件是（）[單選題]*A.pstreeB.svcscan(正確答案)C.pslistD.psscan87.默認的FTP服務器監聽端口是（）[單選題]*A.21(正確答案)B.23C.25D.8088.默認的Telnet服務