數(shù)字取證[復(fù)制]1.判斷電子數(shù)據(jù)是否具有證明力能常有3條標(biāo)準(zhǔn)，它們不包括（）[單選題]*A客觀性B唯一性(正確答案)C合法性D關(guān)聯(lián)性2.以下哪個通常不是獲取電子數(shù)據(jù)的來源（）[單選題]*A內(nèi)存數(shù)據(jù)B存儲介質(zhì)C網(wǎng)絡(luò)數(shù)據(jù)包D保險柜中的文件(正確答案)3.數(shù)據(jù)取證的搜索方法通常不包括（）[單選題]*A基于數(shù)據(jù)內(nèi)容的搜索B基于數(shù)據(jù)指紋的搜索C基于文件大小的搜索(正確答案)D基于痕跡的搜索4.內(nèi)存取證的主要方法（途徑）不包括（）[單選題]*A冷啟動攻擊B使用接口C使用休眠文件D使用SWAP文件(正確答案)5.數(shù)據(jù)取證的關(guān)聯(lián)分析是指以某個關(guān)鍵信息為聯(lián)結(jié)點(diǎn)，關(guān)鍵信息的類型通常不包括（）[單選題]*A人員信息B資金信息C數(shù)據(jù)規(guī)模(正確答案)D文件內(nèi)容6.WinD.ows系統(tǒng)記錄系統(tǒng)事件的日志文件是（A.）[單選題]*A.System.evtx(正確答案)B.SeCurity.evtxC.AppliCAtion.evtxD.Event.evtx7.WinD.ows系統(tǒng)記錄安全事件的日志文件是（）[單選題]*A.System.evtxB.SeCurity.evtx(正確答案)C.AppliCA.tion.evtxD.Event.evtx8.WinD.ows記錄系統(tǒng)應(yīng)用程序事件的日志文件是（）[單選題]*A..System.evtxB.SeCurity.evtxC.Event.evtxD.AppliCAtion.evtx(正確答案)9.記錄NTFS分區(qū)中文件的創(chuàng)建、重命名、內(nèi)容變更、刪除等操作的元文件是（）[單選題]*A.$J文件(正確答案)B.$MFT文件C.$QuotA文件D.$C.hAnge文件10.W3C.的IIS日志中，表示客戶端IP的字段是（）[單選題]*A.C-ip(正確答案)B.C-portC.s-ipD.s-port11.W3C.的IIS日志中，表示客戶端端口的字段是（）[單選題]*A.C.-ipB.C.-port(正確答案)C.s-ipD.s-port12.W3C.的IIS日志中，表示服務(wù)器IP的字段是（）[單選題]*A.C.-ipB.C.-portC.s-ip(正確答案)D.s-port13.W3C.的IIS日志中，表示服務(wù)器端口的字段是（）[單選題]*A.C.-ipB.C.-portC.s-ipD.s-port(正確答案)14.以下關(guān)于Linux操作系統(tǒng)及其取證，不正確的描述是（）[單選題]*A.Linux的文件系統(tǒng)結(jié)構(gòu)是樹狀的。B.Linux的任何一個分區(qū)都必須掛載到某個目錄上。C.Linux是一個開源系統(tǒng)，安全性高，針對它的木馬攻擊很少見。(正確答案)D.通過檢查系統(tǒng)進(jìn)程、非法登錄、操作日志等可得知Linux系統(tǒng)是否被入侵。15.檢查Linux服務(wù)器是否提供非法服務(wù)的工作內(nèi)容通常不包括（）[單選題]*A.檢查系統(tǒng)開放的服務(wù)B.檢查WeB.服務(wù)日志和數(shù)據(jù)C.檢查數(shù)據(jù)庫日志和數(shù)據(jù)D.檢查用戶登錄日志(正確答案)16.KaliLinux用于磁盤鏡像分析工具是（）[單選題]*A.autopsy(正確答案)B.binwalkC.bulk_extractorD.hashdeep17.KaliLinux用于分析某個文件中是否存在多個文件的工具是（）.[單選題]*A.autopsyB.binwalk(正確答案)C.bulk_extractorD.hashdeep18.KaliLinux用于掃描給定的目錄或文件的工具是（）[單選題]*A.autopsyB.binwalkC.bulk_extractor(正確答案)D.hashdeep19.KaliLinux用于計算文件散列值的工具是（）[單選題]*A.autopsyB.binwalkC.bulk_extractorD.hashdeep(正確答案)20.A.ndroid物理鏡像的分析通常不包含（）[單選題]*A.使用硬盤數(shù)據(jù)分析工具WinHex分析物理鏡像B.使用開源取證工具A.utoPsy分析物理鏡像C.統(tǒng)計格式化字符串(正確答案)D.使用計算機(jī)取證工具分析物理鏡像。21.A.ndroid操作系統(tǒng)的密碼類型通常不包括（）[單選題]*A.圖案密碼B.數(shù)字密碼C.混合密碼D.凱撒密碼(正確答案)22.可用于查看Windows事件日志信息的工具是（）[單選題]*A.eventvwr.exe(正確答案)B.LogParserC.volatilityD.X-WaysForensics23.可用于在Windows系統(tǒng)中進(jìn)行進(jìn)行IIS日志分析的工具是（）[單選題]*A.eventvwr.exeB.LogParser(正確答案)C.volatilityD.X-WaysForensics24.可用于內(nèi)存數(shù)據(jù)分析的工具是（）[單選題]*A.eventvwr.exeB.LogParserC.volatility(正確答案)D.X-WaysForensics25.可用于在Windows系統(tǒng)中進(jìn)行電子數(shù)據(jù)的搜索、恢復(fù)、分析的綜合取證工具是（）[單選題]*A.eventvwr.exeB.LogParserC.volatilityD.X-WaysForensics(正確答案)26.volatility用于查看已加載的動態(tài)連接庫的插件是（）[單選題]*A.dlllist(正確答案)B.dumpfilesC.filescanD.iehistory27.volatility用于轉(zhuǎn)儲文件的插件是（）[單選題]*A.dlllistB.dumpfiles(正確答案)C.filescanD.iehistory28.volatility用于掃描打開的文件列表的插件是（）[單選題]*A.dlllistB.dumpfilesC.filescan(正確答案)D.iehistory29.volatility用于查看IE訪問歷史的插件是（）[單選題]*A.dlllistB.dumpfilesC.filescanD.iehistory(正確答案)30.在Wireshark中，設(shè)置抓取或顯示源IP為88的包過濾器是（）[單選題]*A.ip.addr==88B.ip.src==88(正確答案)C.ip.dst==88D.notip.addr==8831.在Wireshark中，設(shè)置抓取或顯示IP為88的包過濾器是（）[單選題]*A.ip.addr==88(正確答案)B.ip.src==88C.ip.dst==88D.notip.addr==8832.在Wireshark中，設(shè)置抓取或顯示目的IP為88的包過濾器是（）[單選題]*A.ip.addr==88B.ip.src==88C.ip.dst==88(正確答案)D.notip.addr==8833.在Wireshark中，設(shè)置抓取或顯示IP不是88的包過濾器是（）[單選題]*A.xorip.addr==88B.orip.src==88C.andip.dst==88D.notip.addr==88(正確答案)34.電子郵件（SMTP）頭部中，表示收件人的電子郵件地址的字段是（）[單選題]*A.To(正確答案)B.C.cC.B.ccD.From35.電子郵件（SMTP）頭部中，表示抄送的字段是（）[單選題]*A.ToB.C.c(正確答案)C.B.ccD.From36.電子郵件（SMTP）頭部中，表示暗送的字段是（）[單選題]*A.ToB.C.cC.B.cc(正確答案)D.From37.電子郵件（SMTP）頭部中，表示撰寫郵件者的字段是（）[單選題]*A.ToB.C.cC.B.ccD.From(正確答案)38.電子郵件（SMTP）表示傳送郵件主體的命令是（）[單選題]*A.D.A.TA.(正確答案)B.HELOC.MA.ILD.HELP39.電子郵件（SMTP）表示發(fā)送方向接收方問候的命令是（）[單選題]*A.D.A.TA.B.HELO(正確答案)C.MA.ILD.HELP40.電子郵件（SMTP）表示開始郵件傳輸?shù)拿钍牵ǎ單選題]*A.D.A.TA.B.HELOC.MA.IL(正確答案)D.HELP41.電子郵件（SMTP）表示要求服務(wù)器返回所支持的命令列表（）[單選題]*A.D.A.TA.B.HELOC.MA.ILD.HELP(正確答案)42.HTTP請求的頭部字段中，表示客戶端能處理的自然語言的是（）[單選題]*A.A.ccept-C.harsetB.User-A.gentC.A.cceptD.A.ccept-Language(正確答案)43.HTTP請求的頭部字段中，表示瀏覽器及其平臺的信息的是（）[單選題]*A.A.ccept-C.harsetB.User-A.gent(正確答案)C.A.cceptD.A.ccept-Language44.HTTP請求的頭部字段中，表示客戶端能處理的頁面類型的是（）[單選題]*A.A.ccept-C.harsetB.User-A.gentC.A.ccept(正確答案)D.A.ccept-Language45.HTTP請求的頭部字段中，表示客戶端可以接受的字符集的是（）[單選題]*A.A.ccept-C.harset(正確答案)B.User-A.gentC.A.cceptD.A.ccept-Language46.HTTP響應(yīng)的頭部字段中，表示服務(wù)器及其平臺信息的是（）[單選題]*A.Server(正確答案)B.C.ontent-EncodingC.C.ontent-languageD.C.ontent-Length47.HTTP響應(yīng)的頭部字段中，表示內(nèi)容是如何被壓縮編碼的是（）[單選題]*A.ServerB.C.ontent-Encoding(正確答案)C.C.ontent-languageD.C.ontent-Length48.HTTP響應(yīng)的頭部字段中，表示頁面所使用的自然語言的是（）.[單選題]*A.ServerB.C.ontent-EncodingC.C.ontent-language(正確答案)D.C.ontent-Length49.HTTP響應(yīng)的頭部字段中，表示以字節(jié)計算的頁面長度的是（）[單選題]*A.ServerB.C.ontent-EncodingC.C.ontent-languageD.C.ontent-Length(正確答案)50.HTTP狀態(tài)碼中，表示請求的資源被找到且成功返回的是（）[單選題]*A.200(正確答案)B.301C.401D.40451.HTTP狀態(tài)碼中，表示請求的資源未被修改，服務(wù)器不會返回任何資源的是（）[單選題]*A.200B.304(正確答案)C.401D.40452.HTTP狀態(tài)碼中，表示客戶端對未被授權(quán)訪問的文件提出請求的是（）[單選題]*A.200B.301C.401(正確答案)D.40453.HTTP狀態(tài)碼中，表示所請求的資源不存在的是（）[單選題]*A.200B.301C.401D.404(正確答案)54.以下縮寫中，表示多用途互聯(lián)網(wǎng)郵件擴(kuò)展的是（）[單選題]*A.MIME(正確答案)B.SMTPC.POPD.IMA.P55.以下縮寫中，表示簡單郵件傳輸協(xié)議的是（）[單選題]*A.MIMEB.SMTP(正確答案)C.POPD.IMA.P56.以下縮寫中，表示郵局協(xié)議的是（）[單選題]*A.MIMEB.SMTPC.POP(正確答案)D.IMA.P57.以下縮寫中，表示互聯(lián)網(wǎng)報文訪問協(xié)議的是（）[單選題]*A.MIMEB.SMTPC.POPD.IMA.P(正確答案)58.下列關(guān)于A.ndroid操作系統(tǒng)的取證，不正確的是（）[單選題]*A.短信/彩信、通話記錄等是其用于取證分析的邏輯數(shù)據(jù)。B.一般的計算機(jī)取證工具不適用于對其進(jìn)行取證分析。(正確答案)C.其密碼類型有圖案密碼、數(shù)字密碼等。D.可使用WinHex對其物理鏡像進(jìn)行分析。59.下列關(guān)于偽基站及其取證，不正確的是（）[單選題]*A.偽基站是一種利用GSM單向認(rèn)證缺陷的非法無線電通信設(shè)備。B.偽基站通常安放在汽車或者一個比較隱蔽的地方。C.偽基站會使用SSL協(xié)議，將敏感信息加密，發(fā)送給客戶。(正確答案)D.偽基站會搜索一定范圍內(nèi)的GSM移動電話信息。60.下列關(guān)于P2P網(wǎng)貸系統(tǒng)及其取證，不正確的是（）[單選題]*A.P2P網(wǎng)貸系統(tǒng)是一種面向個人的在線借貸金融服務(wù)。B.為提高安全性，絕大部分P2P網(wǎng)貸系統(tǒng)都要求用戶使用數(shù)字證書進(jìn)行認(rèn)證。(正確答案)C.P2P網(wǎng)貸系統(tǒng)旨在匹配投資人與貸款人，并電子化、自動化管理借貸關(guān)系。D.其取證要抓的環(huán)節(jié):識別、準(zhǔn)備、固定、檢驗、分析、報告。61.下列關(guān)賭博網(wǎng)站及其取證，不正確的是（）[單選題]*A.網(wǎng)站賭博產(chǎn)業(yè)可以按照老板、開發(fā)、代理、推廣、洗錢等進(jìn)行角色分類。B.統(tǒng)計表明，一些看似正規(guī)的棋牌游戲公司有參加網(wǎng)絡(luò)賭博的嫌疑。C.賭博網(wǎng)站很隱蔽，很少受到D.D.oS攻擊。(正確答案)D.可使用網(wǎng)站取證工具對賭博網(wǎng)站進(jìn)行取證。62.下列關(guān)于區(qū)塊鏈及其取證，不正確的是（）[單選題]*A.數(shù)據(jù)區(qū)塊的敏感內(nèi)容以加密方式保存。(正確答案)B.區(qū)塊鏈?zhǔn)前凑諘r間順序，將數(shù)據(jù)區(qū)塊以順序相連的方式組織的鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)。C.區(qū)塊鏈?zhǔn)且悦艽a學(xué)方式保證的不可偽造的分布式記賬系統(tǒng)。D.區(qū)塊鏈取證分析對象包括錢包、交易行為、交易雙方身份。63.下列關(guān)于智能系統(tǒng)及其取證的描述，不正確的是（）[單選題]*A.智能系統(tǒng)取證是指綜合運(yùn)用各種取證技術(shù)對涉案數(shù)據(jù)進(jìn)行取證。B.智能車輛的數(shù)字取證屬于智能系統(tǒng)取證。C.對Web服務(wù)器的數(shù)字取證屬于智能系統(tǒng)取證。(正確答案)D.對無人機(jī)的數(shù)字取證屬于智能系統(tǒng)取證。64.下列關(guān)于惡意代碼的描述，不正確的是（）[單選題]*A.一個軟件被看作是惡意代碼，主要依據(jù)是創(chuàng)作者意圖，而不是惡意代碼本身。B.惡意代碼是一種計算機(jī)病毒。(正確答案)C.惡意代碼種類有病毒、蠕蟲、木馬、后門、邏輯炸彈、流氓軟件、僵尸網(wǎng)絡(luò)、Rootkit等。D.惡意代碼有以下3個明顯的共同特征:目的性、傳播性、破壞性。65.下列關(guān)于木馬的描述，不正確的是（）[單選題]*A.隱藏在正常程序中的一段具有特殊功能的惡意代碼。B.木馬的特征包括隱蔽性、欺騙性、頑固性、危害性。C.木馬是一種被破壞的程序。(正確答案)D.木馬是一種后門程序。66.下列關(guān)于Rootkit的描述，不正確的是（）[單選題]*A.Rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權(quán)限的工具。B.MacOS不會受到Rootkit攻擊。(正確答案)C.Rootkit的三要素就是隱藏、操縱、收集數(shù)據(jù)。D.Rootkit通過加載特殊的驅(qū)動，修改系統(tǒng)內(nèi)核，實(shí)現(xiàn)信息隱藏。67.下列關(guān)于硬盤鏡像文件生成，錯誤的是（）[單選題]*A.硬盤復(fù)制機(jī)生成B.WinHex生成C.Wireshark生成(正確答案)D.命令生成68.下列對于電子證物的處理，那個操作是正確的（）[單選題]*A.手機(jī)運(yùn)送過程中盡可能屏蔽手機(jī)信號(正確答案)B.開機(jī)狀態(tài)的計算機(jī)要立即關(guān)機(jī)C.要記錄線纜以及線纜和主機(jī)的連線方式D.電子證物只要注意防潮防震就行了69.下列關(guān)于現(xiàn)場勘驗檢查程序的描述，不正確的是（）.[單選題]*A.保護(hù)現(xiàn)場B.收集證據(jù)C.提取、固定證據(jù)D.在線提取(正確答案)70.在進(jìn)行現(xiàn)場勘查時，正確的操作是（）[單選題]*A.可以立即關(guān)閉正在打印的打印機(jī)。B.不要立即關(guān)閉處于運(yùn)行狀態(tài)的電腦。(正確答案)C.對于帶有還原卡的電腦，可按照正常關(guān)機(jī)程序關(guān)機(jī)。D.在嫌疑人的電腦上安裝取證軟件。71.下列關(guān)于遠(yuǎn)程勘驗的描述，不正確的是（）[單選題]*A.在線提取B.截屏C.錄像D.SQL注入(正確答案)72.下列關(guān)于嫌疑人可能采取的反取證手段的描述，不正確的是（）[單選題]*A.對文檔內(nèi)容進(jìn)行加密B.使用數(shù)據(jù)擦除工具C.對數(shù)據(jù)進(jìn)行B.ase64編碼(正確答案)D.使用硬盤加密工具73.下列關(guān)于電子數(shù)據(jù)及取證的描述，不正確的是（）[單選題]*A.電子數(shù)據(jù)是案件發(fā)生過程中形成的，以數(shù)字化形式存儲、處理、傳輸?shù)模軌蜃C明案件事實(shí)的數(shù)據(jù)。B.電子數(shù)據(jù)證據(jù)的本質(zhì)就是二進(jìn)制數(shù)字，而文本、視頻、音頻、圖像等只不過是電子數(shù)據(jù)證據(jù)的不同表現(xiàn)形式。C.電子數(shù)據(jù)取證必須使用電子設(shè)備對數(shù)據(jù)進(jìn)行提取、分析、存檔。(正確答案)D.電子數(shù)據(jù)取證涉及法律和技術(shù)兩個層面，其實(shí)質(zhì)為采用技術(shù)手段獲取、分析、固定電子數(shù)據(jù)作為認(rèn)定事實(shí)的科學(xué)。74.下列關(guān)于電子數(shù)據(jù)的存儲介質(zhì)完整性保護(hù)，正確的描述是（）[單選題]*A.使用SHA.256算法，計算整個存儲介質(zhì)的哈希值。(正確答案)B.使用A.ES256算法，對整個存儲介質(zhì)進(jìn)行加密。C.使用合法機(jī)構(gòu)發(fā)放的證書，對整個存儲介質(zhì)進(jìn)行簽名。D.制作存儲介質(zhì)的鏡像。75.下列關(guān)于文件的哈希值的描述，正確是（）[單選題]*A.若修改了文件的最后訪問時間，其哈希值通常會變。B.若修改了文件的創(chuàng)建時間，其哈希值通常會變。C.使用WinHex修改了文件內(nèi)容的一個比特，其哈希值通常會變。(正確答案)D.若對文件進(jìn)行壓縮，壓縮之后的文件哈希值通常與原文件相同。76.在Wireshark中，設(shè)置抓取或顯示MA.C.地址為A.0:00::04:C.5:84的包過濾器是（）[單選題]*A.eth.addr==A.0:00::04:C.5:84(正確答案)B.eth.src==A.0:00::04:C.5:84C.eth.dst==A.0:00::04:C.5:84D.eth.addr!=A.0:00::04:C.5:8477.在Wireshark中，設(shè)置抓取或顯示源MA.C.地址為A.0:00::04:C.5:84的包過濾器是（）[單選題]*A.eth.addr==A.0:00::04:C.5:84B.eth.src==A.0:00::04:C.5:84(正確答案)C.eth.dst==A.0:00::04:C.5:84D.eth.addr!=A.0:00::04:C.5:8478.在Wireshark中，設(shè)置抓取或顯示目的MA.C.地址為A.0:00::04:C.5:84的包過濾器是（）[單選題]*A.eth.addr==A.0:00::04:C.5:84B.eth.src==A.0:00::04:C.5:84C.eth.dst==A.0:00::04:C.5:84(正確答案)D.eth.addr!=A.0:00::04:C.5:8479.在Wireshark中，設(shè)置抓取或顯示MA.C.地址不為A.0:00::04:C.5:84的包過濾器是（）[單選題]*A.eth.addr==A.0:00::04:C.5:84B.eth.src==A.0:00::04:C.5:84C.eth.dst==A.0:00::04:C.5:84D.eth.addr!=A.0:00::04:C.5:84(正確答案)80.volatility用于解析MFT記錄的插件是（）[單選題]*A.mftparser(正確答案)B.netscanC.pslistD.psscan81.volatility用于查看網(wǎng)絡(luò)通信連接的插件是（）[單選題]*A.mftparserB.netscan(正確答案)C.pslistD.psscan83.volatility用于列舉出系統(tǒng)進(jìn)程（但不能檢測到隱藏的進(jìn)程）的插件是（）[單選題]*A.mftparserB.netscanC.pslist(正確答案)D.psscan84.volatility用于可以找到先前已終止(不活動)的進(jìn)程以及被rootkit隱藏的進(jìn)程的插件是（）[單選題]*A.mftparserB.netscanC.pslistD.psscan(正確答案)85.volatility用于以樹的形式查看進(jìn)程列表的插件是（）[單選題]*A.pstree(正確答案)B.svcscanC.pslistD.psscan86.volatility用于查看Windows服務(wù)列表的插件是（）[單選題]*A.pstreeB.svcscan(正確答案)C.pslistD.psscan87.默認(rèn)的FTP服務(wù)器監(jiān)聽端口是（）[單選題]*A.21(正確答案)B.23C.25D.8088.默認(rèn)的Telnet服務(wù)