數(shù)字取證[復(fù)制]1.判斷電子數(shù)據(jù)是否具有證明力能常有3條標(biāo)準(zhǔn)，它們不包括（）[單選題]*A客觀性B唯一性(正確答案)C合法性D關(guān)聯(lián)性2.以下哪個(gè)通常不是獲取電子數(shù)據(jù)的來(lái)源（）[單選題]*A內(nèi)存數(shù)據(jù)B存儲(chǔ)介質(zhì)C網(wǎng)絡(luò)數(shù)據(jù)包D保險(xiǎn)柜中的文件(正確答案)3.數(shù)據(jù)取證的搜索方法通常不包括（）[單選題]*A基于數(shù)據(jù)內(nèi)容的搜索B基于數(shù)據(jù)指紋的搜索C基于文件大小的搜索(正確答案)D基于痕跡的搜索4.內(nèi)存取證的主要方法（途徑）不包括（）[單選題]*A冷啟動(dòng)攻擊B使用接口C使用休眠文件D使用SWAP文件(正確答案)5.數(shù)據(jù)取證的關(guān)聯(lián)分析是指以某個(gè)關(guān)鍵信息為聯(lián)結(jié)點(diǎn)，關(guān)鍵信息的類(lèi)型通常不包括（）[單選題]*A人員信息B資金信息C數(shù)據(jù)規(guī)模(正確答案)D文件內(nèi)容6.WinD.ows系統(tǒng)記錄系統(tǒng)事件的日志文件是（A.）[單選題]*A.System.evtx(正確答案)B.SeCurity.evtxC.AppliCAtion.evtxD.Event.evtx7.WinD.ows系統(tǒng)記錄安全事件的日志文件是（）[單選題]*A.System.evtxB.SeCurity.evtx(正確答案)C.AppliCA.tion.evtxD.Event.evtx8.WinD.ows記錄系統(tǒng)應(yīng)用程序事件的日志文件是（）[單選題]*A..System.evtxB.SeCurity.evtxC.Event.evtxD.AppliCAtion.evtx(正確答案)9.記錄NTFS分區(qū)中文件的創(chuàng)建、重命名、內(nèi)容變更、刪除等操作的元文件是（）[單選題]*A.$J文件(正確答案)B.$MFT文件C.$QuotA文件D.$C.hAnge文件10.W3C.的IIS日志中，表示客戶(hù)端IP的字段是（）[單選題]*A.C-ip(正確答案)B.C-portC.s-ipD.s-port11.W3C.的IIS日志中，表示客戶(hù)端端口的字段是（）[單選題]*A.C.-ipB.C.-port(正確答案)C.s-ipD.s-port12.W3C.的IIS日志中，表示服務(wù)器IP的字段是（）[單選題]*A.C.-ipB.C.-portC.s-ip(正確答案)D.s-port13.W3C.的IIS日志中，表示服務(wù)器端口的字段是（）[單選題]*A.C.-ipB.C.-portC.s-ipD.s-port(正確答案)14.以下關(guān)于Linux操作系統(tǒng)及其取證，不正確的描述是（）[單選題]*A.Linux的文件系統(tǒng)結(jié)構(gòu)是樹(shù)狀的。B.Linux的任何一個(gè)分區(qū)都必須掛載到某個(gè)目錄上。C.Linux是一個(gè)開(kāi)源系統(tǒng)，安全性高，針對(duì)它的木馬攻擊很少見(jiàn)。(正確答案)D.通過(guò)檢查系統(tǒng)進(jìn)程、非法登錄、操作日志等可得知Linux系統(tǒng)是否被入侵。15.檢查L(zhǎng)inux服務(wù)器是否提供非法服務(wù)的工作內(nèi)容通常不包括（）[單選題]*A.檢查系統(tǒng)開(kāi)放的服務(wù)B.檢查WeB.服務(wù)日志和數(shù)據(jù)C.檢查數(shù)據(jù)庫(kù)日志和數(shù)據(jù)D.檢查用戶(hù)登錄日志(正確答案)16.KaliLinux用于磁盤(pán)鏡像分析工具是（）[單選題]*A.autopsy(正確答案)B.binwalkC.bulk_extractorD.hashdeep17.KaliLinux用于分析某個(gè)文件中是否存在多個(gè)文件的工具是（）.[單選題]*A.autopsyB.binwalk(正確答案)C.bulk_extractorD.hashdeep18.KaliLinux用于掃描給定的目錄或文件的工具是（）[單選題]*A.autopsyB.binwalkC.bulk_extractor(正確答案)D.hashdeep19.KaliLinux用于計(jì)算文件散列值的工具是（）[單選題]*A.autopsyB.binwalkC.bulk_extractorD.hashdeep(正確答案)20.A.ndroid物理鏡像的分析通常不包含（）[單選題]*A.使用硬盤(pán)數(shù)據(jù)分析工具WinHex分析物理鏡像B.使用開(kāi)源取證工具A.utoPsy分析物理鏡像C.統(tǒng)計(jì)格式化字符串(正確答案)D.使用計(jì)算機(jī)取證工具分析物理鏡像。21.A.ndroid操作系統(tǒng)的密碼類(lèi)型通常不包括（）[單選題]*A.圖案密碼B.數(shù)字密碼C.混合密碼D.凱撒密碼(正確答案)22.可用于查看Windows事件日志信息的工具是（）[單選題]*A.eventvwr.exe(正確答案)B.LogParserC.volatilityD.X-WaysForensics23.可用于在Windows系統(tǒng)中進(jìn)行進(jìn)行IIS日志分析的工具是（）[單選題]*A.eventvwr.exeB.LogParser(正確答案)C.volatilityD.X-WaysForensics24.可用于內(nèi)存數(shù)據(jù)分析的工具是（）[單選題]*A.eventvwr.exeB.LogParserC.volatility(正確答案)D.X-WaysForensics25.可用于在Windows系統(tǒng)中進(jìn)行電子數(shù)據(jù)的搜索、恢復(fù)、分析的綜合取證工具是（）[單選題]*A.eventvwr.exeB.LogParserC.volatilityD.X-WaysForensics(正確答案)26.volatility用于查看已加載的動(dòng)態(tài)連接庫(kù)的插件是（）[單選題]*A.dlllist(正確答案)B.dumpfilesC.filescanD.iehistory27.volatility用于轉(zhuǎn)儲(chǔ)文件的插件是（）[單選題]*A.dlllistB.dumpfiles(正確答案)C.filescanD.iehistory28.volatility用于掃描打開(kāi)的文件列表的插件是（）[單選題]*A.dlllistB.dumpfilesC.filescan(正確答案)D.iehistory29.volatility用于查看IE訪(fǎng)問(wèn)歷史的插件是（）[單選題]*A.dlllistB.dumpfilesC.filescanD.iehistory(正確答案)30.在Wireshark中，設(shè)置抓取或顯示源IP為88的包過(guò)濾器是（）[單選題]*A.ip.addr==88B.ip.src==88(正確答案)C.ip.dst==88D.notip.addr==8831.在Wireshark中，設(shè)置抓取或顯示IP為88的包過(guò)濾器是（）[單選題]*A.ip.addr==88(正確答案)B.ip.src==88C.ip.dst==88D.notip.addr==8832.在Wireshark中，設(shè)置抓取或顯示目的IP為88的包過(guò)濾器是（）[單選題]*A.ip.addr==88B.ip.src==88C.ip.dst==88(正確答案)D.notip.addr==8833.在Wireshark中，設(shè)置抓取或顯示IP不是88的包過(guò)濾器是（）[單選題]*A.xorip.addr==88B.orip.src==88C.andip.dst==88D.notip.addr==88(正確答案)34.電子郵件（SMTP）頭部中，表示收件人的電子郵件地址的字段是（）[單選題]*A.To(正確答案)B.C.cC.B.ccD.From35.電子郵件（SMTP）頭部中，表示抄送的字段是（）[單選題]*A.ToB.C.c(正確答案)C.B.ccD.From36.電子郵件（SMTP）頭部中，表示暗送的字段是（）[單選題]*A.ToB.C.cC.B.cc(正確答案)D.From37.電子郵件（SMTP）頭部中，表示撰寫(xiě)郵件者的字段是（）[單選題]*A.ToB.C.cC.B.ccD.From(正確答案)38.電子郵件（SMTP）表示傳送郵件主體的命令是（）[單選題]*A.D.A.TA.(正確答案)B.HELOC.MA.ILD.HELP39.電子郵件（SMTP）表示發(fā)送方向接收方問(wèn)候的命令是（）[單選題]*A.D.A.TA.B.HELO(正確答案)C.MA.ILD.HELP40.電子郵件（SMTP）表示開(kāi)始郵件傳輸?shù)拿钍牵ǎ單選題]*A.D.A.TA.B.HELOC.MA.IL(正確答案)D.HELP41.電子郵件（SMTP）表示要求服務(wù)器返回所支持的命令列表（）[單選題]*A.D.A.TA.B.HELOC.MA.ILD.HELP(正確答案)42.HTTP請(qǐng)求的頭部字段中，表示客戶(hù)端能處理的自然語(yǔ)言的是（）[單選題]*A.A.ccept-C.harsetB.User-A.gentC.A.cceptD.A.ccept-Language(正確答案)43.HTTP請(qǐng)求的頭部字段中，表示瀏覽器及其平臺(tái)的信息的是（）[單選題]*A.A.ccept-C.harsetB.User-A.gent(正確答案)C.A.cceptD.A.ccept-Language44.HTTP請(qǐng)求的頭部字段中，表示客戶(hù)端能處理的頁(yè)面類(lèi)型的是（）[單選題]*A.A.ccept-C.harsetB.User-A.gentC.A.ccept(正確答案)D.A.ccept-Language45.HTTP請(qǐng)求的頭部字段中，表示客戶(hù)端可以接受的字符集的是（）[單選題]*A.A.ccept-C.harset(正確答案)B.User-A.gentC.A.cceptD.A.ccept-Language46.HTTP響應(yīng)的頭部字段中，表示服務(wù)器及其平臺(tái)信息的是（）[單選題]*A.Server(正確答案)B.C.ontent-EncodingC.C.ontent-languageD.C.ontent-Length47.HTTP響應(yīng)的頭部字段中，表示內(nèi)容是如何被壓縮編碼的是（）[單選題]*A.ServerB.C.ontent-Encoding(正確答案)C.C.ontent-languageD.C.ontent-Length48.HTTP響應(yīng)的頭部字段中，表示頁(yè)面所使用的自然語(yǔ)言的是（）.[單選題]*A.ServerB.C.ontent-EncodingC.C.ontent-language(正確答案)D.C.ontent-Length49.HTTP響應(yīng)的頭部字段中，表示以字節(jié)計(jì)算的頁(yè)面長(zhǎng)度的是（）[單選題]*A.ServerB.C.ontent-EncodingC.C.ontent-languageD.C.ontent-Length(正確答案)50.HTTP狀態(tài)碼中，表示請(qǐng)求的資源被找到且成功返回的是（）[單選題]*A.200(正確答案)B.301C.401D.40451.HTTP狀態(tài)碼中，表示請(qǐng)求的資源未被修改，服務(wù)器不會(huì)返回任何資源的是（）[單選題]*A.200B.304(正確答案)C.401D.40452.HTTP狀態(tài)碼中，表示客戶(hù)端對(duì)未被授權(quán)訪(fǎng)問(wèn)的文件提出請(qǐng)求的是（）[單選題]*A.200B.301C.401(正確答案)D.40453.HTTP狀態(tài)碼中，表示所請(qǐng)求的資源不存在的是（）[單選題]*A.200B.301C.401D.404(正確答案)54.以下縮寫(xiě)中，表示多用途互聯(lián)網(wǎng)郵件擴(kuò)展的是（）[單選題]*A.MIME(正確答案)B.SMTPC.POPD.IMA.P55.以下縮寫(xiě)中，表示簡(jiǎn)單郵件傳輸協(xié)議的是（）[單選題]*A.MIMEB.SMTP(正確答案)C.POPD.IMA.P56.以下縮寫(xiě)中，表示郵局協(xié)議的是（）[單選題]*A.MIMEB.SMTPC.POP(正確答案)D.IMA.P57.以下縮寫(xiě)中，表示互聯(lián)網(wǎng)報(bào)文訪(fǎng)問(wèn)協(xié)議的是（）[單選題]*A.MIMEB.SMTPC.POPD.IMA.P(正確答案)58.下列關(guān)于A.ndroid操作系統(tǒng)的取證，不正確的是（）[單選題]*A.短信/彩信、通話(huà)記錄等是其用于取證分析的邏輯數(shù)據(jù)。B.一般的計(jì)算機(jī)取證工具不適用于對(duì)其進(jìn)行取證分析。(正確答案)C.其密碼類(lèi)型有圖案密碼、數(shù)字密碼等。D.可使用WinHex對(duì)其物理鏡像進(jìn)行分析。59.下列關(guān)于偽基站及其取證，不正確的是（）[單選題]*A.偽基站是一種利用GSM單向認(rèn)證缺陷的非法無(wú)線(xiàn)電通信設(shè)備。B.偽基站通常安放在汽車(chē)或者一個(gè)比較隱蔽的地方。C.偽基站會(huì)使用SSL協(xié)議，將敏感信息加密，發(fā)送給客戶(hù)。(正確答案)D.偽基站會(huì)搜索一定范圍內(nèi)的GSM移動(dòng)電話(huà)信息。60.下列關(guān)于P2P網(wǎng)貸系統(tǒng)及其取證，不正確的是（）[單選題]*A.P2P網(wǎng)貸系統(tǒng)是一種面向個(gè)人的在線(xiàn)借貸金融服務(wù)。B.為提高安全性，絕大部分P2P網(wǎng)貸系統(tǒng)都要求用戶(hù)使用數(shù)字證書(shū)進(jìn)行認(rèn)證。(正確答案)C.P2P網(wǎng)貸系統(tǒng)旨在匹配投資人與貸款人，并電子化、自動(dòng)化管理借貸關(guān)系。D.其取證要抓的環(huán)節(jié):識(shí)別、準(zhǔn)備、固定、檢驗(yàn)、分析、報(bào)告。61.下列關(guān)賭博網(wǎng)站及其取證，不正確的是（）[單選題]*A.網(wǎng)站賭博產(chǎn)業(yè)可以按照老板、開(kāi)發(fā)、代理、推廣、洗錢(qián)等進(jìn)行角色分類(lèi)。B.統(tǒng)計(jì)表明，一些看似正規(guī)的棋牌游戲公司有參加網(wǎng)絡(luò)賭博的嫌疑。C.賭博網(wǎng)站很隱蔽，很少受到D.D.oS攻擊。(正確答案)D.可使用網(wǎng)站取證工具對(duì)賭博網(wǎng)站進(jìn)行取證。62.下列關(guān)于區(qū)塊鏈及其取證，不正確的是（）[單選題]*A.數(shù)據(jù)區(qū)塊的敏感內(nèi)容以加密方式保存。(正確答案)B.區(qū)塊鏈?zhǔn)前凑諘r(shí)間順序，將數(shù)據(jù)區(qū)塊以順序相連的方式組織的鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)。C.區(qū)塊鏈?zhǔn)且悦艽a學(xué)方式保證的不可偽造的分布式記賬系統(tǒng)。D.區(qū)塊鏈取證分析對(duì)象包括錢(qián)包、交易行為、交易雙方身份。63.下列關(guān)于智能系統(tǒng)及其取證的描述，不正確的是（）[單選題]*A.智能系統(tǒng)取證是指綜合運(yùn)用各種取證技術(shù)對(duì)涉案數(shù)據(jù)進(jìn)行取證。B.智能車(chē)輛的數(shù)字取證屬于智能系統(tǒng)取證。C.對(duì)Web服務(wù)器的數(shù)字取證屬于智能系統(tǒng)取證。(正確答案)D.對(duì)無(wú)人機(jī)的數(shù)字取證屬于智能系統(tǒng)取證。64.下列關(guān)于惡意代碼的描述，不正確的是（）[單選題]*A.一個(gè)軟件被看作是惡意代碼，主要依據(jù)是創(chuàng)作者意圖，而不是惡意代碼本身。B.惡意代碼是一種計(jì)算機(jī)病毒。(正確答案)C.惡意代碼種類(lèi)有病毒、蠕蟲(chóng)、木馬、后門(mén)、邏輯炸彈、流氓軟件、僵尸網(wǎng)絡(luò)、Rootkit等。D.惡意代碼有以下3個(gè)明顯的共同特征:目的性、傳播性、破壞性。65.下列關(guān)于木馬的描述，不正確的是（）[單選題]*A.隱藏在正常程序中的一段具有特殊功能的惡意代碼。B.木馬的特征包括隱蔽性、欺騙性、頑固性、危害性。C.木馬是一種被破壞的程序。(正確答案)D.木馬是一種后門(mén)程序。66.下列關(guān)于Rootkit的描述，不正確的是（）[單選題]*A.Rootkit是攻擊者用來(lái)隱藏自己的蹤跡和保留root訪(fǎng)問(wèn)權(quán)限的工具。B.MacOS不會(huì)受到Rootkit攻擊。(正確答案)C.Rootkit的三要素就是隱藏、操縱、收集數(shù)據(jù)。D.Rootkit通過(guò)加載特殊的驅(qū)動(dòng)，修改系統(tǒng)內(nèi)核，實(shí)現(xiàn)信息隱藏。67.下列關(guān)于硬盤(pán)鏡像文件生成，錯(cuò)誤的是（）[單選題]*A.硬盤(pán)復(fù)制機(jī)生成B.WinHex生成C.Wireshark生成(正確答案)D.命令生成68.下列對(duì)于電子證物的處理，那個(gè)操作是正確的（）[單選題]*A.手機(jī)運(yùn)送過(guò)程中盡可能屏蔽手機(jī)信號(hào)(正確答案)B.開(kāi)機(jī)狀態(tài)的計(jì)算機(jī)要立即關(guān)機(jī)C.要記錄線(xiàn)纜以及線(xiàn)纜和主機(jī)的連線(xiàn)方式D.電子證物只要注意防潮防震就行了69.下列關(guān)于現(xiàn)場(chǎng)勘驗(yàn)檢查程序的描述，不正確的是（）.[單選題]*A.保護(hù)現(xiàn)場(chǎng)B.收集證據(jù)C.提取、固定證據(jù)D.在線(xiàn)提取(正確答案)70.在進(jìn)行現(xiàn)場(chǎng)勘查時(shí)，正確的操作是（）[單選題]*A.可以立即關(guān)閉正在打印的打印機(jī)。B.不要立即關(guān)閉處于運(yùn)行狀態(tài)的電腦。(正確答案)C.對(duì)于帶有還原卡的電腦，可按照正常關(guān)機(jī)程序關(guān)機(jī)。D.在嫌疑人的電腦上安裝取證軟件。71.下列關(guān)于遠(yuǎn)程勘驗(yàn)的描述，不正確的是（）[單選題]*A.在線(xiàn)提取B.截屏C.錄像D.SQL注入(正確答案)72.下列關(guān)于嫌疑人可能采取的反取證手段的描述，不正確的是（）[單選題]*A.對(duì)文檔內(nèi)容進(jìn)行加密B.使用數(shù)據(jù)擦除工具C.對(duì)數(shù)據(jù)進(jìn)行B.ase64編碼(正確答案)D.使用硬盤(pán)加密工具73.下列關(guān)于電子數(shù)據(jù)及取證的描述，不正確的是（）[單選題]*A.電子數(shù)據(jù)是案件發(fā)生過(guò)程中形成的，以數(shù)字化形式存儲(chǔ)、處理、傳輸?shù)模軌蜃C明案件事實(shí)的數(shù)據(jù)。B.電子數(shù)據(jù)證據(jù)的本質(zhì)就是二進(jìn)制數(shù)字，而文本、視頻、音頻、圖像等只不過(guò)是電子數(shù)據(jù)證據(jù)的不同表現(xiàn)形式。C.電子數(shù)據(jù)取證必須使用電子設(shè)備對(duì)數(shù)據(jù)進(jìn)行提取、分析、存檔。(正確答案)D.電子數(shù)據(jù)取證涉及法律和技術(shù)兩個(gè)層面，其實(shí)質(zhì)為采用技術(shù)手段獲取、分析、固定電子數(shù)據(jù)作為認(rèn)定事實(shí)的科學(xué)。74.下列關(guān)于電子數(shù)據(jù)的存儲(chǔ)介質(zhì)完整性保護(hù)，正確的描述是（）[單選題]*A.使用SHA.256算法，計(jì)算整個(gè)存儲(chǔ)介質(zhì)的哈希值。(正確答案)B.使用A.ES256算法，對(duì)整個(gè)存儲(chǔ)介質(zhì)進(jìn)行加密。C.使用合法機(jī)構(gòu)發(fā)放的證書(shū)，對(duì)整個(gè)存儲(chǔ)介質(zhì)進(jìn)行簽名。D.制作存儲(chǔ)介質(zhì)的鏡像。75.下列關(guān)于文件的哈希值的描述，正確是（）[單選題]*A.若修改了文件的最后訪(fǎng)問(wèn)時(shí)間，其哈希值通常會(huì)變。B.若修改了文件的創(chuàng)建時(shí)間，其哈希值通常會(huì)變。C.使用WinHex修改了文件內(nèi)容的一個(gè)比特，其哈希值通常會(huì)變。(正確答案)D.若對(duì)文件進(jìn)行壓縮，壓縮之后的文件哈希值通常與原文件相同。76.在Wireshark中，設(shè)置抓取或顯示MA.C.地址為A.0:00::04:C.5:84的包過(guò)濾器是（）[單選題]*A.eth.addr==A.0:00::04:C.5:84(正確答案)B.eth.src==A.0:00::04:C.5:84C.eth.dst==A.0:00::04:C.5:84D.eth.addr!=A.0:00::04:C.5:8477.在Wireshark中，設(shè)置抓取或顯示源MA.C.地址為A.0:00::04:C.5:84的包過(guò)濾器是（）[單選題]*A.eth.addr==A.0:00::04:C.5:84B.eth.src==A.0:00::04:C.5:84(正確答案)C.eth.dst==A.0:00::04:C.5:84D.eth.addr!=A.0:00::04:C.5:8478.在Wireshark中，設(shè)置抓取或顯示目的MA.C.地址為A.0:00::04:C.5:84的包過(guò)濾器是（）[單選題]*A.eth.addr==A.0:00::04:C.5:84B.eth.src==A.0:00::04:C.5:84C.eth.dst==A.0:00::04:C.5:84(正確答案)D.eth.addr!=A.0:00::04:C.5:8479.在Wireshark中，設(shè)置抓取或顯示MA.C.地址不為A.0:00::04:C.5:84的包過(guò)濾器是（）[單選題]*A.eth.addr==A.0:00::04:C.5:84B.eth.src==A.0:00::04:C.5:84C.eth.dst==A.0:00::04:C.5:84D.eth.addr!=A.0:00::04:C.5:84(正確答案)80.volatility用于解析MFT記錄的插件是（）[單選題]*A.mftparser(正確答案)B.netscanC.pslistD.psscan81.volatility用于查看網(wǎng)絡(luò)通信連接的插件是（）[單選題]*A.mftparserB.netscan(正確答案)C.pslistD.psscan83.volatility用于列舉出系統(tǒng)進(jìn)程（但不能檢測(cè)到隱藏的進(jìn)程）的插件是（）[單選題]*A.mftparserB.netscanC.pslist(正確答案)D.psscan84.volatility用于可以找到先前已終止(不活動(dòng))的進(jìn)程以及被rootkit隱藏的進(jìn)程的插件是（）[單選題]*A.mftparserB.netscanC.pslistD.psscan(正確答案)85.volatility用于以樹(shù)的形式查看進(jìn)程列表的插件是（）[單選題]*A.pstree(正確答案)B.svcscanC.pslistD.psscan86.volatility用于查看Windows服務(wù)列表的插件是（）[單選題]*A.pstreeB.svcscan(正確答案)C.pslistD.psscan87.默認(rèn)的FTP服務(wù)器監(jiān)聽(tīng)端口是（）[單選題]*A.21(正確答案)B.23C.25D.8088.默認(rèn)的Telnet服務(wù)