电子数据取证分析师考前冲刺试题及答案(三)

考试总分:100分

考试类型:模拟试题

作答时间:90分钟

已答人数:70

试卷答案:没有

试卷介绍: 对于想考证的小伙伴来说,电子数据取证分析师考前冲刺试题及答案是必备资料,快来在线进行测试吧。

开始答题

试卷预览

  • 1. 以下选项中,不属于视频文件格式的是( )

    AMPG

    BAVI

    CPCX

    DASF

  • 2. Windows7中回收站文件夹名称为( )。

    ARecycled

    B$Recycle.Bin

    CRECYCLER

    DSystemVolumeInformation

  • 3. MD5的哈希值是( )位的十六进制字符。

    A32位

    B16位

    C40位

    D64位

  • 4. 作为证据使用的存储媒介、电子设备和电子数据应当在( )固定或封存。

    A证人面前

    B公安机关

    C嫌疑人面前

    D现场

  • 5. 关于镜像文件的描述,错误的是

    AE01可用取证大师生成

    BDD镜像采用分卷时,扩展名通常为.001、.002…

    CDD镜像可用硬盘复制机生成

    D取证大师加载采用分卷的镜像文件时要选中所有文件

  • 1. 易失数据主要存在于计算机内存中。

    A

    B

  • 2. 现场提取电子数据,必须要有见证人。

    A

    B

  • 3. Search for keywords创建的关键字保存在案例文件中?

    A

    B

  • 4. 证物封存可以采用整机封存的方式,也可以对单一介质或部件进行封存。

    A

    B

  • 5. 收集、提取电子数据,必须由侦查人员进行收集、提取电子数据。

    A

    B

  • 1. iPhone一般具备两种存储设备,即随机访问内存(RAM)和非易失性内存(Flash)。下列选项中,哪些数据会经常存储非易失性内存(Flash)中。

    A系统进程及服务

    B日志文件

    C驱动程序

    D操作系统

  • 2. Android的Recovery模式可能提供哪些功能?

    A清除cache分区数据

    B以root用户运行

    C清除data分区数据

    D执行recovery升级

  • 3. 硬盘连接到计算机后,无法被操作系统识别的原因有

    A电源线、数据线没接好

    B硬盘接口针脚断裂

    C硬盘物理损坏

    D转接卡(如果有的话)连接不正确

  • 4. 通常Windows系统中涉及文件的3个时间属性,M代表Modify,表示最后修改时间;A代表Access,表示最后访问时间;C代表Create,表示创建时间;下列说法不正确的有( )

    AM始终要晚于C

    B在FAT32格式的分区中,A中仅包含日期,不包含时间

    CM、A、C时间是不能被任何工具修改的,因此是可信的

    D文件的M、A、C时间一旦发生变化,文件的哈希值随之改变

  • 5. 对扣押的原始存储介质或者提取的电子数据,可以通过( )、( )、统计、( )、( )等方式进行检查。

    A恢复

    B破解

    C关联

    D比对

  • 1. “数字指纹”
  • 2. 存储介质
  • 3. FAT文件系统删除与恢复原理
  • 4. 硬盘复制机格式化和擦除的区别擦除:物理级写入操作,通常将磁盘中所有二进制位写0,包括扇区标识等信息均被擦除,因此会造成磁盘的不识别状态,时间更长。
  • 5. FAT文件系统的删除原理