一、 填空题(每空1分,共32分) 1、计算机证据的来源有( )、( )、( ) 2、存储设备与服务器的连接方式通常有( )、( )、( )
3、向一块硬盘写入数据之前,首先需要将其分区和格式化,这个过程一般可以分为( )、( )、( ) 三个步骤,安装文件系统是其中的( ) 4、硬盘分区可以分为( )( )、( ),分区操作所做的事情是对( )进行修改。 5、操作系统启动扇区位于( ),它包括( )和( )
6、NTFS将其数据一般存放在( ) 7、对称加密技术的典型算法为( ),非对称加密技术的典型算法为( )
8、信息隐藏技术主要分为( )和( ) 9、( )与( )是电子签名法要解决的首要问题。 10、( )是计算机取证的核心和关键 11、( )功能十分强大,能够对FAT和NTFS分区中的文件删除、格式化分区进行数据恢复,也能够对没有文件系统结构信息即FAT表和目录区被破坏后的数据进行恢复。
12、为了确保取证工具输出的完整性,当电子文件被转移或传输的过程中计算( )是十分必要的。
13、Windows操作系统维护三个相互独立的日志文件( )( )( )
14、在计算机上维护有关应用程序,安全性系统事件的日志,可以使用( )查看并管理事件日志。 15、自从WIN95操作系统开始( )就成为了Windows及其所支持的应用程序的中心配置数据库。 二 选择题(每空2分,共20分) 1、WinXP主要的文件系统是( )
A.FAT-16 B.NTFS C.FAT32 D.FAT-12 2、当关闭计算机时,主要丢失的是什么信息? A. RAM中的数据 B. 正在运行的进程 C. 当前的网络连接 D.全选 3、FAT表的定义是
A包括主引导记录区和逻辑分区
B 正在运行的系统在分区上读取并定位数据的时候产生
C 包括文件名和文件属性的表 D 由文件名、被删除的文件的名字以及文件的属性构成的表
4、以下哪一项是关于分区表的描述 A 位于0柱面,0磁道,1扇区 B 位于主引导记录区
C 用于追踪硬盘驱动器上的分区
D 以上所有的
5、哪个选项FAT文件系统中分割文件的路径? A FAT表 B 目录结构
C 卷引导记录区 D 主控文件表
6、NTFS文件系统具有以下什么特点? A支持长文件名
B支持文件加密管理功能
C对文件也是以目录形式来组织的 D全选
7、FAT记录( )而目录项记录着( ) A 文件的名字 文件的大小
B 文件的起始簇 文件的最后一个簇(EOF) C文件的最后一个簇(EOF)文件的起始簇 D 文件的大小 文件的分割
8、Encase 软件是如何恢复一个删除的文件的
A 在FAT表中读取被删除文件的名字并根据其起始簇号和逻辑大小寻找文件
B 在目录项中读取被删除的文件的名字并在未分配的簇中寻找文件的名字
C 从目录项中获得被删文件的起始簇号和大小以获得数据的起始地址和所需簇的数量
D在FAT表中获取被删除文件的起始簇号和大小寻找文件以获得数据的起始地址和所需簇的数量
9、驱动上数据可以被写入的最小区域是( ),驱动上文件被写入的最小区域是( )
A BIT BYTE B 扇区 簇 C 卷 驱动 D 内存 磁盘 10、主引导记录区的分区表为物理驱动器准备了几个逻辑分区()
A 1 B 2 C 4 D 24
三、名词解释(每小题4分,共20分) 1、计算机取证 2、文件系统 3、数据恢复
4、电子数据鉴定
5、自由空间、闲散空间
四、简答题(每小题4分,共28分) 1、列举几例有关计算机的犯罪 2、计算机取证的基本原则
3、FAT文件系统中第一个扇区是引导(启动)扇区。请对FAT引导扇区做一个详细的描述 4、法律执行过程模型的内容 5、列举易失性系统信息有哪些
6、计算机取证的技术有哪六大类?
7、对EnCase软件的功能做一个简单介绍
因篇幅问题不能全部显示,请点此查看更多更全内容