Q:Linux文件系統結構中的數據位圖(DataBitmap)的用途是什么?試結合示例加以說明Q:Is是Linux系統中常用命令，利用該命令是否能夠判斷一個指定目錄上是否掛載有文件系Q:什么是監管鏈?它由誰構建?Q:專家證人和非專家證人的主要區別是什么?什么樣的人能充當專家證人?Q:Segal'Law揭示數字取證中的什么問題?如何面對該類問題?Q:何為數字取證中的克隆操作?為何需要克隆操作?如何進行?Q:通常很多已被刪除的信息依然可以由Mactime工具展示出來，這樣查到的已刪除文件和未刪除文件有什么不同?如何定位已刪除文件在文件系統中所處的文件位置?出現在目錄列表中，如何訪問該文件以便從中獲取時間信Q:如果數字取證中嫌疑人經常使用瀏覽器訪問互聯網，那么以互聯網行為為主線，可以從哪些方面獲取相關證據信息，這些信息又能證明什么?2.臨時文件(網頁緩存),會顯示如“最近一次訪問的時間”在TIF中一、填空題(每空1分，共32分)3、向一塊硬盤寫入數據之前，首先需要將其分區和格式化，這個過程一般可以分為()、()、()4、硬盤分區可以分為()()、(),分區操作所做的事情是對()進行修改。7、對稱加密技術的典型算法為(),非對稱加密技術的典型算法為()二選擇題(每空2分，共20分)A.FAT-16B.NTFSC.FAT32A位于0柱面，0磁道，1扇區A支持長文件名D全選7、FAT記錄()而目錄項記錄著()A文件的名字文件的大小B文件的起始簇文件的最后一個簇(EOF)D文件的大小文件的分割9、驅動上數據可以被寫入的最小區域是(),驅動上文件被寫入的最小區域是()三、名詞解釋(每小題4分，共20分)四、簡答題(每小題4分，共28分)1.在計算機取證的過程中，不管發生了什么緊急情況，調查者都必須遵循的原則是什么?⑤當前打開的套接字上的應用程序⑥當前登錄用戶3.Windows系統中初始響應指的是什么?現場數據收集的主要步驟包括哪些?2.現場數據收集包括一下3步：4.口述你知道的證據獲取技術包括哪些?答：①對計算機系統和文件的安全獲取技術；5.基本過程模型有哪些步驟?6.電子證據與傳統證據的區別有哪些?7.Windows系統取證方法的主要流程是什么?③申請取證8.日志分析有哪些?包括什么內容?9.Windows2000/XP安全管理的常用方法有哪些?(至少寫出6個)答：①創建2個管理員賬戶②使用NTFS分區1.Windows系統下取證方法的主要流程是什么?我們文件數據一般的隱藏術有哪些，談談你的看法?②凍結硬件⑤分析報告⑥文件歸檔①操作系統本身自帶功能②利用FAT鏃大小2.闡述事件響應過程模型執行步驟及其工作內容?3.簡述硬盤的結構與數據組織，寫出一般文件的刪除與恢復方法?硬盤上的數據按照其不同的特點和作用大致可分為5部分：②刪除方法平時使用的!!答：和3答題②③一致5.計算機取證模型有哪些?分別闡述其特點?一、選擇題(每小題2分，共20分)A.協議分析B.鏡像技術C.數據挖掘D7、以下不屬于文件系統的是()。8、以下不屬于數據分析技術的是()。A.對已刪除文件的恢復、重建技術B.A.tracerouteB.pingC.ipconfig功能，以下()是這類工具。A.FTKB.snifferproC.QuickViewPlusD.NTI-DOC二、填空題(每空2分，共40分)簇件分配表、目錄區和數據區。其中()包括硬盤主引導記錄MBR和硬盤分區表DPT;將()中起始其中()階段彩色的WindowsXP的log7、()是一種不可逆的加密算法，它可以說是文件的數字指紋三、判斷題(每小題2分，共20分)這些形式的數據，恢復一般都有效。()對2、數字引動設備主要包括PDA、移動硬盤、手機等。()錯6、encase不具備關鍵字查找功能。()錯作。()錯對10、在linux系統中可