计算机取证判断题

计算机取证判断

1.Big5 是繁体字的一种编码格式（√）
2.CRC 校验算法是字节顺序敏感的（√）
3.E01 证据文件只能被 EnCase 取证软件所支持
4. FAT32 文件系统向下兼容 NTFS 文件系统
5. IDE 接口 硬盘可以支持热插拔
6 .MBR 扇区通常最后两个字节十六进制值为 0x55AA（√）
7 .RAID5 磁盘阵列需要至少三块硬盘（√）
8 .Shift+Del 删除的文件是不可以恢复的
9. Windows Server 2008 的关机时要通过正常方式关机（√）
10. 磁盘是计算机的重要外设, 没有磁盘, 计算计就不能运行。
11. 格式化操作不会破坏磁盘的信息。
12. 计算机证据的分析主要分为对主机数据的分析和对网络数据的分析。（√）
13. 计算机证据的鉴定， 就是针对收集和保全的计算机数据进行可信性的证明。（√）
14. 电子证据是指法庭上可能成为证据的以二进制形式存储或传送的信息。（√）
15. 未分配空间一般没有什么内容， 对取证分析意义不大
16. 文本样式的编码设置得不合理会导致查看的文本为乱码（√）
17.文件逻辑大小可以大于其物理大小
18. 相同文件系统下单个扇区容量会比簇的容量大
19、对于误删除，错误格式化，硬盘主引导记录、分区表或目录分配表损坏但又没有用其他数据覆盖这些形式的数据，恢复一般都有效。（√）
20、数据库系统、网络服务器、防火墙都提供了日志功能。（√）
21、恶意代码是一种程序，它通过把代码在不被察觉的情况下镶嵌到另一段程序中，从而达到破坏被感染电脑数据。计算机病毒、特洛伊木马、计算机蠕虫等都属于恶意代码。（√）
22、证物的完整性验证和和数字时间戳都是通过计算哈希值来实现的。（√）
23、在进行现场勘查的过程中，如果操作系统正在批量下载信息或杀毒，我们不应该立即终止这些操作。
24、在提取易失性信息的过程中可以使用目标系统上的程序实施提取。
25、计算机证物应存储在正常室温的环境下，避免遭受湿气、磁力、灰尘、烟雾、水及油的影响。（√）
26、在 linux 系统中可以使用 kill 命令杀死某个进程。（√）
27、Linux 中的日志等级 none 表示不记录任何信息。（√）
28、手机取证时一般将手机调成飞信模式再进行取证。（√）
29、计算机仿真取证技术可以很大程度上弥补传统静态取证证据获取能力的不足。
30、开机状态下 Windows 的用户密码信息是以明文形式保存在注册表中的。
31、现场勘验时可以通过 PE 工具直接清除 windows 密码后进行开机取证。
32、对手机取证时应保证待检测手机的数据、信号畅通，以便及时接受到最新的证据。
33、iPhone 手机微信中获取的语音文件属于证据形式中的声像资料，而不是电子数据。
34、在进行硬盘克隆（对位复制）前必须对目标盘进行擦除。（√）
35、Aff 与 E01 格式支持镜像压缩，可根据实际需求选择压缩比，减少文件占用的空间与镜像制作的时间。（√）
36、Linux 系统主要日志有应用程序日志、系统日志和安全日志。
37、计算机取证只能由调查人员对原始存储介质进行备份，同时，备份过程应由嫌疑人、被害人或在场人共同确认，以免日后对证据的可采性滋生争议。
38、在电子证据取证过程中，为了保全证据通常使用数字签名和数字时间戳技术。其中数字签名用于验证传送对象的完整性以及传送者的身份，时间戳可以证明数字证据在特定的时间和日期是存在的，且从该时刻到出庭这段时间不曾被修改过。（√）
39、注册表工具 Autoruns 具有全面自启动程序检测功能，找出那些被在系统启动和登录期间自运行的程序。（√）
40、计算机证据具有多样性、电子性、准确性、脆弱性和挥发性特点。
41、在手机取证时，不要随便对手机进行开机和关机操作，同时应采用屏蔽措施阻止手机与外界通信。（√）
42、内存取证工具 Volatility 只能用于 Windows 平台，它可以从运行进程、网络套接字、网络连接、DLL 和注册表配置单元中提取信息。
43、一般情况下，源盘生成的 E01 镜像，占用的空间小于同一块盘生成的 DD 镜像。
44、Linux 日志配置文件为/etc/rsyslog.conf，它设置了日志记录的具体规则和具体位置。（√）
45、网络取证中，文件的时间属性对于还原事件发生的真实次序非常重要。文件下载时，文件创建时间为开始下载时间，文件修改时间为下载结束时间。