计算机取证技术期末考试.pdf
本资源摘要信息涵盖计算机取证技术的重要知识点,包括数据恢复、电子证据特点、计算机取证过程、硬盘逻辑结构、文件系统、数据分析技术、网络连接测试、嗅探工具、加密算法、入侵检测、数字签名、注册表等。
一、选择题
1. EasyRecovery 是一种数据恢复软件,它在恢复数据时并不向硬盘写任何东西,而是在内存中镜像文件的FAT表和目录区。
2. 在数据恢复中,PC3000、FinalData、Encase、FixRAR 等软件可以使用。
3. 电子证据的特点包括脆弱性、隐蔽性、不可挽救性和对系统的依赖性。
4. 计算机取证过程中包括协议分析、镜像技术、数据挖掘和过程还原等步骤。
5. 计算机取证技术的发展趋势包括动态取证技术、计算机取证挖掘算法和柔性挖掘技术、取证工具和过程的标准化等。
二、填空题
1. 当执行删除文件操作时,系统将目录区中该文件的第一个字符改为“E6H”,并将文件所占的文件簇在文件分配表中对应表项值全部置“0”。
2. 计算机对硬盘的读写是以扇区为基本单位的,扇区是数据存储和磁盘管理的最基本单位。
3. 硬盘上的数据按照其不同的特点和作用大致可分为五部分:主引导扇区、操作系统引导扇区、文件分配表、目录区和数据区。
4. 操作系统启动分为五个阶段:预引导阶段、引导阶段、加载内核阶段、初始化内核阶段和登录阶段,其中初始化内核阶段彩色的Windows XP 的logo 以及进度条显示在屏幕中央。
5. Windows 系统的主要日志有应用程序日志、系统日志和安全日志。
6. 非对称加密算法又称为公钥加密算法,其公钥与私钥是不同的。
7. MD5是一种不可逆的加密算法,可以说是文件的数字指纹。
8. Windows 操作系统下常用的数据包截获技术主要有用户层数据包截取技术和内核层数据包截取技术。
9. 入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。
10. 未分配给任何卷的可用磁盘空间称为未分配空间,分配给文件的最后一个簇中会有未被当前文件占用的剩余空间,这部分空间一般被称为slack空间。
11. 在电子证据取证过程中,数字签名用于验证传送对象的完整性以及传送者的身份。
12. Internet Explorer 的访问历史记录关联了三种类型的文件夹:cache、cookies 和 history,其中cache目录主要将访问的网站内容保存在本地,以便用户下一次登录时不必再次下载同样的图形和网页文件。
13. 注册表是Windows 系统存储关于计算机配置信息的数据库,是Windows 操作系统的核心。
14. 电子邮件是通过Internet 传递的邮件系统,可以通过SMTP 协议发送和接收邮件。