文章总结: 该文档为2025网络安全行业职业技能大赛理论题库,涵盖电子数据取证、密码学、云安全、物联网及法律法规。内容涉及取证法律依据、加密算法原理、数据恢复技术与场景分析。重点考察电子数据完整性、云服务责任、供应链安全及取证工具使用,强调合法合规与实操。 综合评分: 80 文章分类: CTF,网络安全,数据安全,技术标准,政策法规
72. 不能提升暴力破解速度的方法为(C)。
A.升级更高频率CPU
B.增加更多计算单元的GPU
C.增加更大容量硬盘
D.增加多台机器
暴力破解的性能核心逻辑:暴力破解是高算力密集型任务,速度取决于单位时间内可完成的哈希 / 密钥尝试次数,核心依赖计算能力(CPU/GPU/ 集群),与硬盘容量无直接关联。更大容量硬盘仅用于存储字典、彩虹表或临时数据,无法提升计算效率,甚至在硬盘读写不是瓶颈时,增加容量对破解速度无任何帮助。
73. 以下不是校验算法的是(D)。
A.MD5
B.SHA
C.SHA256
D.AES
校验算法(哈希 / 摘要算法)的核心是生成数据 “指纹”,用于完整性校验,不可逆且固定输出长度,MD5、SHA、SHA256 均属于此类,可通过对比哈希值判断数据是否被篡改。
74. 以下是校验算法的是(D)。
A.DES
B.AES
C.RSA
D.SHA
校验算法的核心定义:校验算法(哈希 / 摘要算法)用于生成数据 “指纹” 以验证完整性,不可逆且输出固定长度哈希值,核心功能是校验而非加密。
75. 校验算法主要用途(B)。
A.破解用户密码
B.固定电子证据
C.加密传输数据
D.以上皆是
校验算法的核心用途定位:校验算法(如 MD5、SHA256、CRC 等)的核心作用是生成数据的唯一 “数字指纹”,用于验证数据在传输、存储或处理过程中的完整性,判断是否被篡改或损坏,并非用于破解密码、加密传输或直接破解数据。
76. 原始存储介质封存包装最好选择(C)。
A.铁盒子
B.塑料袋
C.防静电袋
D.牛皮纸
原始存储介质封存的核心需求:电子存储介质(硬盘、U 盘、存储卡等)对静电敏感,静电可能击穿电子元件导致数据损坏或丢失,封存包装需优先具备防静电能力;同时要防止物理损伤、化学污染,兼顾封存后无法启动 / 使用的取证规范要求
77. 存储介质封存包装不能使用(D)。
A.原始包装
B.防静电防磁袋
C.硅胶保护套
D.冰块冷冻包装
存储介质封存的核心要求:电子存储介质(硬盘、U 盘、存储卡等)需避免物理损伤、静电破坏、潮湿与化学腐蚀,同时要保证封存后无法启动 / 修改数据,符合电子取证规范
78. 搭建虚拟机恶意软件分析平台的主要目的是(D)
A.方便静态分析
B.方便动态分析
C.方便反编译
D.在受控的环境运行和调试恶意软件
核心目的定位:虚拟机恶意软件分析平台的核心价值是提供隔离、可控的安全环境,让分析人员能安全执行、调试恶意软件,同时避免其感染主机或扩散到外部网络,这是搭建该平台的根本目的。
79. 在电子数据取证中,逆向工程分析通常用于什么目的?A
A.分析恶意软件的内部结构、通信机制和漏洞利用方式
B.优化合法应用程序的用户界面和体验
C.将高级语言编写的源代码翻译成机器码
D.修复受损的操作系统文件
电子数据取证中逆向工程的核心定位:逆向工程在电子数据取证领域的核心作用是拆解二进制程序(如恶意软件),通过反汇编、动态调试等手段还原其逻辑与行为,获取攻击路径、隐藏机制、C2 通信等关键证据,支撑案件溯源与定性。
80. 进行Windows平台恶意软件的逆向工程时,最核心的工具组合是?
A.数据库管理工具(如SQLiteExpert)
B.网络封包分析工具(如Wireshark)
C.磁盘镜像挂载工具(如FTKImager)
D.反汇编器/反编译器(如IDAPro)与动态调试器(如x64dbg)
逆向工程核心任务定位:Windows 恶意软件逆向的核心是还原二进制代码逻辑、分析执行流程与行为,需要静态反汇编 / 反编译工具(拆解代码、生成伪代码)和动态调试工具(实时跟踪运行状态、断点调试、内存分析)协同完成,这是逆向工程的基础工具组合。
81. 对云服务进行功能分析以支持取证时,重点关注的方面是?A
A.云服务提供商提供的API接口、日志记录能力及数据存储架构
B.云数据中心服务器的具体物理位置和品牌
C.用户访问云服务时使用的个人电脑配置
D.云服务订阅的月度费用和支付方式
云服务取证功能分析的核心逻辑:云环境取证依赖对数据的获取、分析与溯源,而 API 接口决定证据能否合法获取、日志记录能力决定溯源链条是否完整、数据存储架构决定证据定位与提取路径,这三者是支撑取证的核心功能维度。
82. 在调查涉及企业云存储账户的可疑活动时,以下哪项是最重要的数据来源?C
A.员工个人手机中的社交媒体缓存
B.公司局域网核心交换机的流量镜像
C.云服务管理控制台中的用户活动日志和文件操作日志
D.办公室门禁系统的刷卡记录
核心数据来源定位:调查企业云存储账户可疑活动的关键是获取账户内用户操作与文件交互的直接记录,云服务管理控制台的用户活动日志(如登录、权限变更)和文件操作日志(如上传、下载、删除)能精准追溯行为主体、时间、操作内容,是定位与取证的核心数据源。
83. 在取证过程中,发现数据库中存在xp_cmdshell被调用的记录,这表明?B
A.正常的数据库维护操作
B.攻击者可能通过注入执行系统命令
C.数据库备份程序运行
D.服务器硬件自检
xp_cmdshell 的核心属性:xp_cmdshell 是 SQL Server 的扩展存储过程,默认禁用,核心功能是让 SQL Server 执行操作系统命令,其权限与 SQL Server 服务账户一致,是攻击者通过 SQL 注入获取系统权限的关键手段。
84. 在Linux中,MySQL错误日志常见默认存储路径是?A
A./var/log/mysql/error.log
B./etc/mysql/error.log
C./var/lib/mysql/error.log
D./usr/share/mysql/error.log
Linux 平台 MySQL 日志路径的主流配置:在 Debian/Ubuntu 等主流发行版中,通过 APT 包管理器安装的 MySQL,默认配置将错误日志指向 /var/log/mysql/error.log,这是最常见的默认路径。
85. 在Linux中,MySQL数据文件默认存储路径是?C
A./var/log/mysql
B./etc/mysql
C./var/lib/mysql
D./usr/bin/mysql
Linux 系统中,/var/lib 目录专门用于存储各类应用程序的运行时数据、数据库文件等持久化数据,这是系统目录的通用规范。而 MySQL 在主流 Linux 发行版(Debian/Ubuntu、CentOS/RHEL)中,通过包管理器(APT、Yum)安装后,默认将数据文件(如数据库文件夹、ibdata1 等系统表空间文件、.frm/.ibd 表文件)存储在 /var/lib/mysql 路径下,这是 MySQL 官方推荐且发行版默认配置的核心数据存储路径。
86. 甲县公安机关在办理故意制作、传播计算机病毒的行政案件中,关于证据保全的说法正确的是(D)。
A.经公安机关办案部门负责人批准,与该案有关的需要作为证据的计算机、移动硬盘等物品可以扣押
B.对该计算机病毒程序进行功能性鉴定,鉴定期间计入扣押、查封期间
C.因抓捕时嫌疑人意图删除该病毒程序,民警未向公安机关办案部门负责人汇报,先行对涉案计算机、移动硬盘进行先行登记保存
D.该案依法变更为乙县公安机关管辖,扣押的计算机、移动硬盘等物品应当随案移交给乙县公安机关
法律依据:《公安机关办理行政案件程序规定》明确了行政案件中扣押、先行登记保存、鉴定期间计算、管辖变更时涉案财物移送等证据保全规则,是判断的核心标准。
87. 阿某制作了大量恐怖音视频,并通过微信朋友圈、博客、贴吧等网络平台传播,同时,利用极端方式煽动、胁迫当地群众违反法律非法结婚,以暴力手段阻止学龄儿童到当地政府开办的学校学习。关于该案,下列说法错误的是(D)。
A.阿某涉嫌宣扬恐怖主义、极端主义罪和利用极端主义破坏法律实施罪
B.公安机关对存储在境外服务器的公开发布的视频,进行证据固定时可以通过网络在线提取
C.阿某通过博客、微信朋友圈、贴吧等网络平台发布的信息属于电子数据
D.侦办案件过程中,公安机关制作的阿某讯问笔录电子稿属于电子数据
罪名认定核心法条:根据《刑法》第 120 条之三、之四及相关司法解释,制作传播恐怖音视频构成宣扬恐怖主义、极端主义罪;利用极端主义煽动胁迫群众破坏婚姻、教育等法律实施,构成利用极端主义破坏法律实施罪。
88. 在线收集、固定电子数据时,可以通过哪些技术手段保证证据的收集、固定和防篡改?D
A.使用电子签名
B.使用哈希值校验
C.使用区块链
D.以上都正确
根据《市场监督管理行政执法电子数据取证暂行规定》第二十六条,在线收集、固定电子数据时,电子签名、哈希值校验、区块链均为合法有效的防篡改技术手段
89. 网络在线提取时,应当采用哪种方式记录相关信息?D
A.仅需制作笔录或证据报告
B.仅需采用截屏、录屏、录像中的一种方式记录
C.只需记录远程计算机信息系统的访问方式
D.应当制作笔录或证据报告,并采用截屏、录屏、录像等其中一种或几种方式记录规定信息
法规依据:《市场监督管理行政执法电子数据取证暂行规定》第二十七条、《公安机关办理刑事案件电子数据取证规则》第二十五条、第二十六条均明确,网络在线提取电子数据时,需同时满足 “制作笔录 / 证据报告” 和 “采用截屏、录屏、录像等方式记录关键信息” 两项要求,缺一不可。
90. 根据GB/T29362-2023,本文件适用于法庭科学领域对哪些对象进行电子数据搜索检验?C
A.仅适用于存储介质
B.仅适用于在线网络数据
C.存储介质及保全备份数据文件
D.仅适用于运行中的电子设备
GB/T 29362-2023《法庭科学 电子数据搜索检验规程》第 1 章 “范围” 明确规定,本文件适用于法庭科学领域中对电子数据存储介质及其保全备份数据文件进行电子数据搜索检验的活动,不局限于单一存储介质或在线数据,也不专门针对运行中的电子设备。
91. 根据GB/T29362-2023,以下哪一项是电子数据搜索检验中处理有故障的存储介质的正确做法?B
A.立即尝试加电启动并修复
B.在排除风险或修复前不宜直接检验
C.直接进行物理拆解以取出存储芯片
D.仅通过外部接口尝试读取数据
GB/T 29362-2023 明确,故障存储介质需先诊断故障类型、排除风险或专业修复,再进行搜索检验,避免数据进一步损坏或丢失。
92. 在移动终端取证过程中,SIM卡作为重要数据源需要妥善处理,以下关于SIM卡取证操作规范的描述正确的是?A
A.使用专业的写保护读卡设备进行数据提取
B.直接将SIM卡插入普通手机进行读取
C.使用通用读卡器复制SIM卡数据
D.忽略SIM卡因其存储数据价值有限
移动终端取证中,SIM 卡数据提取需遵循 “只读原则” 与 “证据保全优先”,防止数据篡改或丢失。
93. 安卓设备取证中经常会使用特殊启动模式,以下关于TWRP恢复模式在取证中主要作用的描述正确的是?B
A.主要用于设备系统备份和还原操作
B.可以获取root权限执行底层数据提取
C.专门用于解锁设备屏幕密码
D.用于恢复误删除的用户文件数据
TWRP 自带 ADB 与文件管理器,在解锁 Bootloader 后可获得系统级 root 权限,能绕过正常系统限制读取 Data 等加密 / 底层分区,执行物理镜像提取、关键数据导出等取证核心操作,是其在安卓取证中的核心作用。
94. 物联网设备种类繁多且技术特点各异,以下关于智能家居设备数据提取主要特点的描述哪项最准确?C
A.所有设备都采用标准化的通信协议
B.设备存储空间充足且数据保存完整
C.通信协议多样化和接口不统一
D.数据加密简单易于直接解析
不同品牌 / 类型设备采用 Wi-Fi、Zigbee、蓝牙等多种通信协议,接口存在封闭性、格式不统一等问题,这是智能家居设备数据提取的最典型特点,也是取证与数据整合的主要难点。
95. 车载电子系统取证是物联网取证的重要领域,在进行车载信息系统数据提取时,取证人员需要特别关注的是?D
A.车辆品牌和型号信息
B.车载娱乐系统版本
C.车辆外观和内饰状况
D.车载电子系统的实时数据
车载电子系统的实时数据(如 EDR 事件数据、ECU 运行参数、GPS 轨迹、CAN 总线数据等)具有易失性,断电或重启可能导致数据丢失 / 覆盖,且这些数据是还原车辆状态、事故过程的核心证据,取证中需优先固定、实时提取并确保原始性,是数据提取的重中之重。
96. 根据《公安机关办理刑事案件电子数据取证规则》,在办理某案件中,公安机关需要对嫌疑人的电子设备进行勘验取证。以下操作描述中,哪一项是不规范的?A
A.在未能够确认是否有数据自毁功能的情形下,侦查人员立刻将正在运行的电子设备关闭,避免系统损坏。
B.侦查人员对电子数据持有人质疑的物证进行了拍照记录,并在笔录中详细注明了拍照的原因和电子数据的存储位置。
C.在侦查活动中发现能够证明犯罪嫌疑人有罪或者无罪的电子数据,侦查人员对原始存储介质进行了扣押与封存,并记录封存状态。
D.侦查人员在对原始存储介质封存之前拍摄照片,且在封存后对封存对象实施信号屏蔽措施。
未确认是否存在数据自毁功能时,立刻关闭正在运行的电子设备,可能触发自毁程序导致数据丢失 / 篡改,且易失性数据(如内存数据)会因断电无法固定,严重违反数据保全原则。
97. 依据《公安机关办理刑事案件电子数据取证规则》,公安机关在电子数据取证过程中遵循了多项规定和原则。以下关于现场提取电子数据的情境描述,判断哪一项是不符合规定的?C
A.在某案件现场,侦查人员遇到正在运行的服务器,无法立即扣押。为了防止数据丢失,他们选择了现场提取服务器上的数据,并实时计算了提取数据的完整性校验值。
B.侦查人员在现场发现了一个通过安全措施保护的手机,为了防止数据被远程擦除,进行了信号屏蔽操作,并在现场提取了电子数据。
C.侦查人员在一个案件现场发现计算机内存中可能有关键数据。由于数据处于易失状态,侦查人员决定立即关闭电脑,以便安全提取硬盘中的数据。
D.侦查人员面对一台无法扣押的个人电脑,现场采取了必要的保护措施,断开了网络连接,然后使用外部存设备以确保不在原始存储介质上写入任何数据,并提取了所需的电子信息。
内存数据属于易失性数据,断电(关机)会导致数据永久丢失。正确做法应是先固定内存数据(如用内存镜像工具),而非直接关机,该操作违反 “优先固定易失性数据” 的核心原则
98. 网络在线提取电子数据时,如果无法进行录像,应当如何处理?C
A.可以不进行任何记录,只需提取数据。
B.可以由一名侦查人员独立提取数据,不需要见证人。
C.应当采用拍照或截获计算机屏幕内容等方式记录相关信息。
D.可以选择在事后补充记录提取过程。
无法录像时,拍照或截获屏幕内容是法定替代记录方式,可完整留存访问方式、时间、工具、路径、校验值等关键信息,确保数据可追溯与不可篡改。
99. 针对勘查现场关闭状态的计算机,其操作系统时间提取的正确方法是(D)
A.记下取证人员到达现场时手表上提示的日期和时间
B.开启计算机,记下计算机系统日期和时间
C.开启计算机,记下计算机系统日期和时间,并记录下与当前标准日期的差值
D.断开硬盘数据线和电源线,开机进入BIOS,记录显示的系统日期和时间,并记录下与当前标准日期的差值
断开硬盘数据线和电源线后进入 BIOS,可避免系统启动时修改时间,同时记录 BIOS 时间与标准时间差值,既固定原始时间基准,又为后续时间戳校验提供依据,符合电子数据取证的完整性与可追溯要求。
100. 从SCADA系统的工程师站进行数据提取时,以下哪项数据优先级最高?A
A.项目配置文件、控制逻辑图和报警历史数据库
B.操作系统本身的临时文件和缓存
C.工程师站的上网浏览历史记录
D.安装在工程师站上的办公文档
这三类数据是 SCADA 系统的核心资产:配置文件定义系统拓扑与参数,控制逻辑图还原设备控制流程,报警历史数据库记录异常事件时序,直接支撑故障溯源、责任认定与系统恢复,是工业控制取证的核心目标。
101. 在分析网络取证数据时,NetFlow或sFlow数据主要用于回答什么问题?A
A.网络中发生了哪些通信会话(源/目标、端口、流量大小、时间)
B.通信数据包的具体内容是什么
C.网络设备是否存在已知漏洞
D.数据在传输过程中是否被加密
NetFlow/sFlow 核心是采集与聚合 “流记录”,包含源 IP、目的 IP、源端口、目的端口、协议类型、流量大小(字节 / 包数)、会话起止时间等关键元数据,直接用于还原通信会话的基本特征,是流量分析与取证的核心价值。
102. 对一张严重刮损的CD-ROM进行数据恢复,最可能采用哪种技术?B
A.用软布擦拭光盘表面后再次尝试读取
B.使用专业设备通过多次读取和误差校正来尝试恢复
C.将光盘放入冰箱冷冻后再读取
D.使用高倍率显微镜手动读取凹坑(Pits)和平地(Lands)
专业设备可通过降低读取转速、多次重复读取受损扇区,并结合 CD-ROM 本身的 Reed-Solomon 纠错机制与专业软件的深度纠错算法,最大限度还原数据,是严重刮损光盘恢复的主流技术路径。
103. 在追踪以太坊上的加密货币洗钱活动时,除了交易记录,还应重点分析什么?
A.智能合约的创建和调用日志,以及相关代币(如ERC-20)的转移记录
B.以太坊网络所有节点的IP地址
C.矿工打包交易时收取的手续费(GasFee)多少
D.以太坊客户端的版本更新历史
智能合约日志可还原合约执行过程与调用关系,ERC-20 转移记录能追踪代币流向,二者是揭露混币、跨链、DeFi 协议洗钱路径的关键,可补全交易记录外的资金链路与行为逻辑。
二、多选题
1. 分析 BitLocker、VeraCrypt 等加密容器时,内存中可能残留密钥、明文片段等关键数据,下列哪些工具可用于此类场景的内存取证?ABCD
A.Volatility
B.Rekall
C.MemProcFS
D.DumpIt
E.VeraCrypt
Volatility 开源跨平台内存取证框架,支持多系统内存镜像分析 解析内存镜像,提取 BitLocker/VeraCrypt 的密钥、加密容器明文片段、进程内存中的加密会话信息,是内存取证的主流工具
Rekall 与 Volatility 同源的内存取证工具,支持实时内存分析与镜像解析 可直接读取运行中系统的实时内存,定位加密软件的内核态数据(如 BitLocker 的加密密钥缓存),适合现场快速取证
MemProcFS 内存镜像挂载与实时分析工具,支持文件系统式访问内存数据 将内存镜像挂载为虚拟文件系统,可直接检索加密容器的明文数据块、密钥存储位置,操作直观且高效
DumpIt 轻量级内存镜像捕获工具 快速生成完整的物理内存镜像,为 Volatility、Rekall 等工具提供分析数据源,是内存取证的前置必备工具(先捕获,后分析)
VeraCrypt 开源磁盘加密工具 用于创建和管理加密容器,无内存数据提取或分析能力,不属于取证工具
2. E01文件能够提供的功能有?ABCD
A.压缩功能
B.哈希值功能
C.密码保护功能
D.提取元文件信息
E.同态加法
A. 压缩功能 支持 E01 全称是 Expert Witness Compression Format,压缩是其原生核心功能,采用无损压缩算法(如 deflate),可在创建镜像时选择压缩级别,不破坏原始数据,这是该格式区别于 raw 镜像的关键特性。
B. 哈希值功能 支持 根据 EWF 格式规范,生成 E01 镜像时会自动计算并嵌入 整体哈希(MD5/SHA-256) 和 分段哈希,哈希值存储在镜像头部的元数据区,可通过ewfinfo等工具直接读取,用于后续完整性校验,是电子证据合法性的必备条件。
C. E01 格式规范本身无加密字段,但 FTK Imager、AccessData Forensic Toolkit 等主流取证工具,在创建 E01 镜像时提供内置加密选项(基于 AES 算法),将密码保护与镜像格式绑定,形成 “带密码的 E01 文件”,属于行业实操中的扩展功能。
D. 提取元文件信息 支持 E01 强制存储丰富的取证元数据,包括:源存储介质型号 / 序列号、镜像创建时间戳、取证人员信息、使用的取证工具版本、哈希值记录等。通过ewf-tools或 FTK Imager 可直接导出元数据报告,无需解析镜像内容。
3. 常用的对称加密算法有?ABD
A.DES
B.3DES
C.RSA
D.AES
E.CKKS
A. DES 对称加密 经典对称加密算法,使用 56 位密钥,虽安全性已不足,但属于对称加密范畴。
B. 3DES 对称加密 DES 的改进版本,通过三次 DES 运算提升密钥长度(112/168 位),本质仍为对称加密。
C. RSA 非对称加密 基于大整数分解难题的非对称加密算法,使用公钥加密、私钥解密,不属于对称加密。
D. AES 对称加密 目前主流的对称加密标准,支持 128/192/256 位密钥,广泛用于数据加密与取证场景。
E. CKKS 同态加密 属于同态加密算法,核心优势是支持加密数据的直接运算,既非对称加密也非传统对称加密。
4. 下列哪些属于非对称加密算法?AB
A.RSA
B.ECC
C.IDEA
D.AES
E.DES
A. RSA 非对称加密 基于大整数分解难题设计,是应用最广泛的非对称加密算法之一,常用于密钥交换、数字签名。
B. ECC 非对称加密 全称椭圆曲线密码,基于椭圆曲线离散对数难题,相比 RSA 具有密钥长度更短、运算效率更高的优势,适合资源受限场景。
C. IDEA 对称加密 属于分组对称加密算法,使用 128 位密钥,曾用于 PGP 等加密软件,加解密共用同一密钥。
D. AES 对称加密 目前主流的分组对称加密标准,支持 128/192/256 位密钥,广泛用于数据加密,不属于非对称范畴。
E. DES 对称加密 经典分组对称加密算法,56 位密钥,安全性较低,已被 3DES、AES 替代,加解密密钥相同。
5. 物联网可以划分为哪几个层次?ABCD
A.网络层
B.平台层
C.感知层
D.应用层
E.逻辑层
A. 网络层 物联网的 “通信桥梁”,负责将感知层采集的数据传输到平台层,同时实现设备与平台、设备与设备的互联互通 5G/4G、Wi-Fi、Zigbee、蓝牙、网关、边缘计算节点
B. 平台层 物联网的 “数据中枢”,负责数据的存储、解析、计算、设备管理与协议适配,是连接感知层与应用层的核心 物联网平台(IoT Platform)、云服务器、大数据分析引擎、设备管理系统
C. 感知层 物联网的 “末梢神经”,负责采集物理世界的信息(如温度、湿度、位置),或接收指令控制终端设备 传感器、RFID 标签、摄像头、智能门锁、控制器
D. 应用层 物联网的 “价值输出端”,面向具体行业场景提供解决方案,将数据转化为实际应用价值 智慧家居、工业物联网、智能交通、智慧医疗、环境监测系统
6. 以下哪些属于 Nginx 日志的常用字段?ABCD
A.$remote_addr
B.$request_time
C.$http_user_agent
D.$server_protocol
E.$document_root
A.$remote_addr 常用 客户端的 IP 地址 用于溯源访问来源、识别恶意 IP、统计地域访问分布
B.$request_time 常用 整个请求的处理时长(单位:秒) 用于分析接口响应性能、定位慢请求、优化服务瓶颈
C.$http_user_agent 常用 客户端的用户代理信息(浏览器 / 爬虫标识) 用于区分访问设备类型、识别爬虫程序、过滤恶意请求
D.$server_protocol 常用 客户端请求使用的协议版本(如 HTTP/1.1、HTTP/2) 用于统计协议分布、适配不同协议的处理逻辑
E.$document_root 非日志常用字段 当前请求对应的网站根目录路径
7. 以下哪些工具适用于电子数据取证中的Windows注册表提取?BD
A.Wireshark
B.EnCase
C.Notepad++
D.FTK Imager
E.7-Zip
A. Wireshark 不适用 功能为网络抓包与协议分析,专注于流量数据,无法识别和解析注册表文件(如 SYSTEM、SOFTWARE)格式。
B. EnCase 适用 专业电子数据取证工具,支持直接挂载、解析注册表文件,可提取用户账户、系统配置、软件安装记录、最近访问文件等关键取证信息。
C. Notepad++ 不适用 文本 / 代码编辑器,注册表为二进制格式,直接打开会显示乱码,无法解析其结构化数据。
D. FTK Imager 适用 主流取证镜像工具,支持只读模式挂载注册表 hive 文件,可快速浏览和导出注册表项与键值,且不会修改原始数据。
E. 7-Zip 不适用 压缩 / 解压工具,仅能处理压缩包文件,无注册表解析能力。
8. 数据恢复工具需具备 “提取丢失数据(误删、格式化、介质故障等)” 的核心功能,下列哪些工具软件不能用来进行数据恢复?ABCD
A.WinRAR
B.Notepad++
C.TeamViewer
D.360杀毒
E.Revuca
A. WinRAR 不能 压缩 / 解压工具,用于文件打包、解包与压缩格式转换 无扫描磁盘残留数据、恢复丢失文件的能力
B. Notepad++ 不能 文本 / 代码编辑器,支持语法高亮、多标签编辑 仅能打开已存在的文件,无法识别和恢复被删除的文件数据
C. TeamViewer 不能 远程控制与桌面共享工具,用于跨设备远程运维 与数据恢复无关联,不涉及磁盘数据扫描与还原
D. 360 杀毒 不能 杀毒软件,用于病毒查杀、系统防护 仅能处理恶意程序,无法恢复误删或介质故障导致的丢失数据
E. Revuca(应为 Recuva) 能 专业数据恢复工具
9. 硬盘接口是连接硬盘与计算机主板的关键部件,直接影响数据传输速度和兼容性,以下属于常见硬盘接口类型的是?ABDE
A.SATA
B.NVMe
C.VGA
D.SAS
E.IDE
A. SATA 是 串行 ATA 接口,目前消费级机械硬盘(HDD)和入门级固态硬盘(SSD)的主流接口,传输速率适中,兼容性强,支持热插拔。
B. NVMe 是 非易失性内存主机控制器接口规范,专为 SSD 设计,基于 PCIe 通道,传输速度远高于 SATA,是高性能固态硬盘的核心接口。
C. VGA 否 视频图形阵列接口,用于连接显卡与显示器,输出模拟视频信号,与硬盘数据传输无关联。
D. SAS 是 串行连接 SCSI 接口,主要用于企业级存储场景,支持高可靠性、高传输速率,可兼容 SATA 设备,常见于服务器硬盘。
E. IDE 是 并行 ATA 接口,老式硬盘的主流接口,传输速率较低,现已被 SATA 接口取代,仅在老旧设备中可见。
10. 注册表编辑器中的“根键”有?ABCDE
A.HKEY_CLASSES_ROOT
B.HKEY_CURRENT_USER
C.HKEY_LOCAL_MACHINE
D.HKEY_USERS
E.HKEY_CURRENT_CONFIG
A. HKEY_CLASSES_ROOT HKCR 存储文件关联、COM 组件注册、快捷方式等配置 分析用户常用软件、文件打开方式、恶意程序注册痕迹
B. HKEY_CURRENT_USER HKCU 存储当前登录用户的个性化配置(桌面、浏览器、软件偏好等) 提取用户行为习惯、最近访问记录、账户相关信息
C. HKEY_LOCAL_MACHINE HKLM 存储计算机硬件、系统服务、驱动程序、全局软件配置 分析系统安装的软件、驱动加载记录、系统启动项、安全策略
D. HKEY_USERS HKU 存储所有用户的配置文件(包括默认用户与已登录用户) 排查多用户环境下的配置差异、提取未登录用户的行为痕迹
E. HKEY_CURRENT_CONFIG HKCC 存储当前硬件配置文件的快照(基于 HKLM 的硬件分支) 分析系统当前硬件状态、驱动适配信息
11. 分析加密容器时,哪些工具可用于内存取证?ABC
A.Volatility Framework
B.Rekall
C.Magnet RAM Capture
D.FTK Imager
E.WinHex
A. Volatility Framework 适用 开源跨平台内存镜像分析框架,支持多系统内存解析 可从内存镜像中提取 BitLocker/VeraCrypt 等加密容器的密钥、明文片段、进程加密会话信息,是内存取证的主流工具
B. Rekall 适用 与 Volatility 同源的内存取证工具,支持实时内存分析和镜像解析 能直接读取运行中系统的实时内存,定位加密软件的内核态缓存数据,适合现场快速取证
C. Magnet RAM Capture 适用 专业内存镜像捕获工具,轻量且高效
12. 从 APK 文件中获取资源和代码的步骤包括?ABC
A.使用apktool解包APK
B.提取classes.dex文件
C.使用JADX反编译DEX为Java代码
D.直接修改APK中的XML资源文件
E.重新打包APK并签名
A. 使用 apktool 解包 APK 是 专业 APK 反编译工具,可完整解包 APK 中的资源文件(XML、图片、音频等)和 DEX 文件,且能保留资源的目录结构 第一步:解包原始 APK,分离资源文件与可执行代码文件,为后续提取和反编译打下基础
B. 提取 classes.dex 文件 是 APK 文件中存储 Java 编译后字节码(Dalvik/ART 字节码)的核心文件,可能包含 1 个或多个 classes.dex(如 classes2.dex) 第二步:从解包后的目录中提取 DEX 文件,该文件是获取原始 Java 代码的唯一来源
C. 使用 JADX 反编译 DEX 为 Java 代码 是 高效 DEX 反编译工具,可直接将 Dalvik/ART 字节码反编译为可读性极强的 Java 源代码(支持批量反编译、代码检索) 第三步:将 DEX 字节码转换为可理解的 Java 代码,完成 “代码获取” 的核心目标;同时 JADX 也可直接解析 APK 中的资源文件
13. 获取固件代码时,常用的解包工具包括?AB
A.binwalk
B.firmware-mod-kit
C.7-Zip
D.dd
E.unzip
A. 适用 开源固件分析工具,支持扫描固件中的文件系统、压缩包、分区表、签名等特征,可自动提取嵌入式文件 快速定位固件内的隐藏分区、压缩模块和可执行代码,是固件逆向的首选工具
B. firmware-mod-kit 适用 专门针对嵌入式设备固件的解包 / 重打包套件,支持多种文件系统(如 SquashFS、JFFS2) 可完整解包固件中的根文件系统,提取系统配置、二进制程序、驱动等核心代码,适配路由器、IoT 设备固件
14. 获取程序样本的注意事项包括?ABCD
A.在隔离沙箱中分析,防止主机感染
B.记录样本来源和获取时间
C.计算哈希值校验完整性
D.遵守法律,避免非法传播
E.直接在生产环境运行样本
A. 在隔离沙箱中分析,防止主机感染 是 未知程序样本可能包含病毒、木马、勒索软件等恶意代码,直接在本地运行会导致主机沦陷、数据泄露 沙箱 / 虚拟机可隔绝样本与生产环境的交互,既能安全分析样本行为,又能避免主机被感染
B. 记录样本来源和获取时间 是 样本的来源(如威胁情报平台、可疑邮件附件)和获取时间是取证分析的关键元数据 用于追溯样本传播路径、关联同类攻击事件,同时满足取证报告的溯源要求
C. 计算哈希值校验完整性 是 对样本计算 MD5、SHA-256 等哈希值,可验证样本是否被篡改、是否与已知恶意样本匹配 哈希值是样本的 “数字指纹”,可用于威胁情报库比对,也能证明样本在分析过程中未被修改
D. 遵守法律,避免非法传播 是 恶意程序样本属于网络安全相关敏感数据,非法获取、传播可能违反《网络安全法》等法律法规 确保样本获取和分析行为合法合规,避免法律风险
15. 对传统的物证检验,电子物证检验具有的难度是?ACD
A.检验需要随时跟踪最新技术
B.电子物证不易损坏
C.电子物证检材性质和状况差异较大
D.电子物证检验更加依赖于案件侦查掌握的情况
E.电子证据的真实性不容易受到质疑
A. 检验需要随时跟踪最新技术 是 电子设备和存储技术更新极快(如从机械硬盘到 NVMe SSD、从本地存储到云存储),加密算法、反取证技术也在不断升级,检验人员必须持续学习新工具、新方法,而传统物证(如指纹、痕迹)的检验技术相对稳定。
B. 电子物证不易损坏 否 这是电子物证的特点而非难度,且电子物证实际易受磁场、静电、物理撞击等影响导致数据丢失,该表述本身不准确。
C. 电子物证检材性质和状况差异较大 是 电子物证的载体种类繁多(手机、电脑、U 盘、IoT 设备等),存储格式、系统版本差异极大,部分检材还可能存在数据损坏、加密、碎片化等问题;而传统物证(如刀具、文件)的形态和检验标准相对统一。
D. 电子物证检验更加依赖于案件侦查掌握的情况 是 电子数据具有海量、无序的特点,若缺乏案件侦查提供的方向(如涉案账号、时间范围、目标文件类型),检验人员很难从海量数据中定位关键证据;传统物证检验则更依赖自身的形态分析,对案件背景的依赖度较低。
E. 电子证据的真实性不容易受到质疑 否 电子数据易被篡改、伪造且不留痕迹(如修改文件时间戳、伪造日志),其真实性和完整性的验证难度远高于传统物证,是电子物证检验的难点之一,该表述与事实相反。
16. 以下对RAID叙述正确的是?CDE
A.RAID级别指磁盘阵列中硬盘容量大小
B.RAID级别不同,硬盘容量大小也就不同
C.RAID即独立磁盘冗余阵列
D.RAID还提供了数据恢复功能
E.RAID级别不同,为用户提供的磁盘阵列在性能上和安全性的表现上也不同
A. RAID 级别指磁盘阵列中硬盘容量大小 错误 RAID 级别是硬盘的组合模式与数据分布策略(如 RAID 0、RAID 1、RAID 5),和硬盘容量大小没有直接关联,相同容量的硬盘可组成不同级别 RAID。
B. RAID 级别不同,硬盘容量大小也就不同 错误 硬盘容量由硬盘本身的硬件参数决定,和 RAID 级别无关。不同级别 RAID 的可用容量会有差异(如 RAID 1 可用容量为单盘容量,RAID 5 会牺牲 1 块盘容量做校验),但不是硬盘本身的容量不同。
C. RAID 即独立磁盘冗余阵列 正确 这是 RAID 的英文全称直译,也是该技术的标准定义,核心是通过多块独立硬盘的冗余配置实现不同的存储目标。
D. RAID 还提供了数据恢复功能 正确 带冗余机制的 RAID 级别(如 RAID 1、RAID 5、RAID 6)可通过校验数据或镜像数据,在单块甚至多块硬盘故障时恢复数据;仅 RAID 0 无冗余、无恢复能力,整体而言 RAID 具备数据恢复特性。
E. RAID 级别不同,为用户提供的磁盘阵列在性能上和安全性的表现上也不同 正确 不同级别 RAID 的设计目标不同:
- RAID 0:无冗余,性能最高,安全性最低;
- RAID 1:镜像模式,安全性高,读性能提升,写性能无优势;
- RAID 5:兼顾性能与安全性,支持单盘故障恢复。
17. FAT文件系统中删除文件时主要修改了?BC
A.DBR
B.FAT
C.FDT
D.MBR
E.$MFT
B. FAT 是 FAT(文件分配表)记录每个簇的使用状态。删除文件时,系统会将该文件占用的所有簇在 FAT 表中的标记置为 “空闲”,释放簇空间。
C. FDT 是 FDT(文件目录表)存储文件的元数据(文件名、大小、起始簇、创建时间等)。删除文件时,系统会将文件名的第一个字节改为特殊删除标记(0xE5),标记该文件条目为已删除。
18. 下列哪些是决策树算法的优点?ACE
A.模型易于理解和解释
B.不容易产生过拟合现象
C.可以处理类别型数据和数值型数据
D.对输入数据的微小变化不敏感
E.对缺失值不敏感
A. 模型易于理解和解释 核心优点 决策树是白盒模型,树形结构可直接转化为 if-else 业务规则,可视化后无需专业背景也能解读,这是区别于神经网络、SVM 等黑盒模型的关键优势。
B. 不容易产生过拟合现象 典型缺点 未做限制的决策树会过度拟合训练数据的噪声,极易产生过拟合。需通过剪枝(预剪枝 / 后剪枝)、限制树深度等手段才能缓解,本身不具备抗过拟合能力。
C. 可以处理类别型数据和数值型数据 核心优点 - 对类别型数据:通过信息增益、基尼系数直接划分,无需独热编码等预处理;
- 对数值型数据:自动寻找最优划分阈值(如 “年龄> 30”);
这是决策树相比逻辑回归、SVM 的显著优势。
D. 对输入数据的微小变化不敏感 典型缺点 决策树具有高方差特性,训练数据的微小改动(如增减单个样本)可能导致树的分支结构大幅变化,稳定性差。集成算法(随机森林、GBDT)才解决了这一问题。
E. 对缺失值不敏感 改进后优点 传统 ID3 算法对缺失值敏感,但C4.5/CART 算法内置了缺失值处理策略:
1. 对缺失特征的样本,按权重分配到不同分支;
2. 划分节点时,仅用无缺失值的样本计算信息增益 / 基尼系数;
在工程实践中,改进后的决策树可直接处理含缺失值的数据,无需额外预处理。
19. 以下哪些算法属于聚类算法?ACD
A.K-Means
B.逻辑回归(Logistic Regression)
C.DBSCAN
D.层次聚类(Hierarchical Clustering)
E.决策树(Decision Tree)
A. K-Means 是 经典的划分式聚类算法,通过预先设定簇的数量 k,迭代计算簇中心并分配样本,使簇内样本相似度最高、簇间相似度最低。
B. 逻辑回归 (Logistic Regression) 否 属于监督学习中的分类算法,用于预测样本属于某一类别的概率,需要依赖带标签的训练数据。
C. DBSCAN 是 基于密度的聚类算法,无需预先设定簇数量,可自动识别任意形状的簇,同时能标记噪声点,对异常值更鲁棒。
D. 层次聚类 (Hierarchical Clustering) 是 分为凝聚式(从单个样本开始逐步合并)和分裂式(从全样本开始逐步拆分)两类,最终生成聚类树(谱系图),可灵活选择聚类粒度。
E. 决策树 (Decision Tree) 否 属于监督学习,可用于分类或回归任务,通过特征划分构建树形结构,需要带标签的训练数据。
20. 在评估分类模型性能时,哪些指标是常用的?ABCE
A.准确率(Accuracy)
B.F1分数(F1-Score)
C.精确率(Precision)
D.均方误差(MSE)
E.召回率(Recall)
A. 准确率(Accuracy) 是公式:TP+TN+FP+FNTP+TN,表示预测正确的样本占总样本的比例。适用于正负样本均衡的场景,缺点是在样本不均衡时会严重失真。
B. F1 分数 (F1-Score) 是公式:2×Precision+RecallPrecision×Recall,是精确率和召回率的调和平均数。适用于样本不均衡或需要同时兼顾精确率和召回率的场景(如欺诈检测、疾病诊断)。
C. 精确率 (Precision) 是公式:TP+FPTP,表示预测为正类的样本中,实际为正类的比例。核心关注 “预测的正例准不准”,适用于垃圾邮件识别等场景。
D. 均方误差 (MSE) 否公式:n1∑i=1n(yi−yi^)2,衡量回归模型预测值与真实值的平均平方差。仅用于回归任务(如房价预测、销量预测),与分类模型无关。
E. 召回率 (Recall) 是公式:TP+FNTP,表示实际为正类的样本中,被预测为正类的比例。核心关注 “真实的正例找没找全”,适用于疾病筛查、安防告警等场景。
21. 不能用来进行数据恢复的工具软件是?AE
A.Exif Show
B.R-Studio
C.EasyRecovery
D.FinalData
E.Firefox
A. Exif Show 图片元数据查看工具,用于读取照片的拍摄时间、设备、分辨率、GPS 等 EXIF 信息 仅能查看图片属性,无磁盘扫描、文件碎片重组能力,与数据恢复无关
E. Firefox 开源网页浏览器
22. 以下属于常见硬盘接口类型的是?ABDE
A.光纤通道
B.SCSI接口
C.VGA接口
D.SAS接口
E.SATA接口
A. 光纤通道 是 高速串行传输接口,传输速率高、延迟低、抗干扰能力强,支持长距离传输 企业级存储区域网络(SAN)、大型数据中心
B. SCSI 接口 是 早期主流的服务器 / 工作站硬盘接口,支持多设备串联,兼容性强 老旧服务器、工业控制设备
C. VGA 接口 否 视频图形阵列接口,用于传输模拟视频信号,连接显卡与显示器 显示器、投影仪等显示设备
D. SAS 接口 是 串行 SCSI 接口,兼容 SATA 设备,传输速率高、可靠性强 中高端服务器、企业级存储设备
E. SATA 接口 是 串行 ATA 接口,成本低、兼容性好、支持热插拔 消费级台式机 / 笔记本硬盘、入门级服务器
23. 根据《市场监督管理行政执法电子数据取证暂行规定》,关于电子数据取证的要求,下列说法正确的有哪些?ABCDE
A.应当由两名以上具备行政执法资格的人员进行
B.执法人员应当具备相应的专业知识和技能
C.应当对取证过程进行全程记录
D.提取电子数据应当制作笔录
E.笔录应当由执法人员、电子数据持有人(提供人)签名或者盖章
A. 两名以上具备行政执法资格人员进行 第八条:现场收集、提取电子数据,应当由两名以上具备行政执法资格的人员进行 双人执法是合法性基础,必要时可聘请专业人员辅助
B. 执法人员具备相应专业知识和技能 第八条:可指派或聘请有专门知识的人员辅助;第三条:遵循技术标准 取证需技术能力支撑,专业人员辅助保障数据真实合法
C. 对取证过程全程记录 第二章一般规定、第二十一条等:现场 / 在线提取均需截屏、录屏、录像等记录;执法全程文字 + 音像留痕 全程记录覆盖方法、工具、校验值等,确保取证可追溯
D. 提取电子数据制作笔录 第二十一条:现场提取应制作笔录,列明存储介质、方法、数据信息、校验值等;网络在线提取需制作笔录或证据报告 笔录是电子数据合法性与完整性的核心文书载体
E. 笔录由执法人员、持有人(提供人)签名或盖章 第二十一条及配套执行要求:持有人无法 / 拒绝签名的,注明情况并录音录像,必要时邀请见证人 签名盖章确认证据来源,特殊情况需留痕佐证
24. 根据GB/T 29362-2023,电子数据搜索检验的硬件设备要求包括以下哪些?ABDE
A.电子物证检验工作站
B.只读设备
C.普通个人电脑
D.解密设备
E.照录像设备
A. 电子物证检验工作站 符合 核心处理设备,提供稳定高效的计算环境,保障检验流程的顺利进行 标准明确列为必备硬件,用于连接只读设备、加载镜像、运行检验软件
B. 只读设备 符合 防止检验中对原始检材数据写入,保障原始数据完整性 标准要求通过只读方式连接检材,避免数据篡改,是电子数据取证的关键设备
C. 普通个人电脑 不符合 无专用防护与稳定性能设计 缺乏只读接口、数据隔离、防写保护等取证专用功能,无法满足标准对硬件安全性和稳定性的要求
D. 解密设备 符合 处理加密检材,支持解密后的数据搜索检验 标准将其列入硬件设备,适配加密数据的检验场景(对应标准 8.3 条款)
E. 照录像设备 符合 对检材编号、外观、连接状态等进行影像记录,留存取证过程 用于检材拍照、全程记录,保障检验过程的可追溯性(对应标准 5.1、6 章)
25. 电子数据跨境传输合规要求包括?ACDE
A.GDPR
B.设备型号
C.数据本地化
D.安全评估
E.数据加密
A. GDPR 是 欧盟个人数据跨境传输的核心法规,规定充分保护认定、适当保障措施(如 SCC、BCR)等跨境传输条件European Data Protection Board 第五章(第 44-50 条)专门规范个人数据跨境传输,是企业向欧盟及欧洲经济区(EEA)跨境传输个人数据的合规基础European Data Protection Board
B. 设备型号 否 仅为硬件规格标识,与数据跨境传输的法律、技术合规要求无直接关联 不涉及数据跨境的合法性、安全性与合规性,不属于合规要求范畴
C. 数据本地化 是 部分国家 / 地区要求特定数据(如重要数据、个人敏感信息)优先在境内存储,限制未经许可的跨境传输 中国《网络安全法》《数据安全法》对关键信息基础设施运营者有境内存储要求;GDPR 等也可能要求特定数据在合规区域存储
D. 安全评估 是 重要数据及达到规定数量的个人信息跨境传输前,需通过国家网信部门组织的安全评估中央网络安全和信息化委员会办公室 中华人民共和国国家互联网信息办公室 中国《数据出境安全评估办法》明确要求,评估通过是数据合法出境的重要前提中央网络安全和信息化委员会办公室 中华人民共和国国家互联网信息办公室
E. 数据加密 是 传输中(如 TLS 1.3)与静态存储(如 AES-256)采用加密技术,防止数据泄露或篡改 是 GDPR、中国《个人信息保护法》等法规要求的核心技术保障措施,也是安全评估的重要内容
26. 电子数据取证流程包括?ABCE
A.保护现场
B.固定证据
C.分析数据
D.修改数据
E.数据恢复
A. 保护现场 是 取证第一步,封存涉案电子设备(计算机、手机、存储介质等),切断电源防止数据自动销毁或覆盖,记录设备连接状态、运行环境,避免无关人员接触。
B. 固定证据 是 核心环节,通过只读设备对原始存储介质制作镜像文件(如 dd 命令、FTK Imager 工具),计算镜像文件的哈希值(MD5/SHA-256),确保镜像与原始数据完全一致,后续分析均基于镜像而非原始介质。
C. 分析数据 是 对固定后的镜像文件进行深度解析,包括恢复删除文件、提取系统日志、解析加密数据、定位涉案文件等,常用工具如 Volatility、binwalk、取证大师等。
D. 修改数据 否 电子数据取证的红线操作,任何对原始数据或镜像数据的修改都会导致证据失效,违反司法取证的合法性要求。
E. 数据恢复 是 分析环节的重要分支,针对被删除、格式化、损坏的电子数据,通过技术手段重组文件碎片、修复文件系统,还原可用于举证的完整数据。
三、判断题
1. 电子数据是一种离散不连续的信息表示。A
A.对
B.错
电子数据的本质是以二进制(0 和 1)的离散形式存储和表示的信息,无论是文本、图片、视频还是日志文件,最终都会被转换为一系列离散的电信号或磁信号进行存储。
2. 电子数据具有隐蔽无形性、客观真实性、特殊存储性等特性。A
A.对
B.错
电子数据的核心特性就包含隐蔽无形性、客观真实性、特殊存储性这三点
3. 电子数据具有易失破坏性、分散隐蔽性、实时自动性、多样复合性等技术特性。A
A.对
B.错
易失破坏性:电子数据可被轻易篡改、删除且不留痕迹,同时内存数据断电即失,存储介质的物理损坏(如硬盘坏道)也会直接导致数据丢失。
分散隐蔽性:数据可能分散存储在多个介质或分区中,还可通过隐藏、加密、碎片存储等方式隐蔽存在,常规手段难以发现。
实时自动性:电子设备会自动、实时生成各类数据(如系统日志、操作记录、通信报文),无需人工干预,能完整还原行为发生的时间线。
多样复合性:电子数据的形态多样,涵盖文本、图像、音频、视频、程序代码等,且不同类型数据可相互关联、复合印证(如视频文件 + 元数据 + 访问日志)。
4. 从电子数据的组成形式来看,可以分为主要内容信息电子数据和辅助信息电子数据。A
A.对
B.错
从电子数据的组成形式与证据作用划分,确实可以分为主要内容信息电子数据和辅助信息电子数据,二者相互配合形成完整的证据链
5. 从电子数据的表现形式来说,有静态和动态的电子数据。A
A.对
B.错
从电子数据的表现形式和存在状态划分,确实可以分为静态电子数据和动态电子数据,二者的核心区别在于是否随时间或操作发生实时变化
6. 从电子数据承载技术来看,可将电子数据分为借助影像、借助信息网络技术、借助计算机、由网络通信而生成的电子数据等。A
A.对
B.错
从承载技术这一维度划分电子数据,核心依据是数据生成、存储、传输所依赖的技术载体,题目中提及的分类方式是符合实际取证场景的
7. 电子证据是指由信息技术形成的符合证据的合法性、关联性和真实性的数据或信息。A
A.对
B.错
电子证据作为法定证据类型之一,核心定义就是由信息技术手段形成、存储、传输,且同时满足证据 “三性”(合法性、关联性、真实性)的电子数据或信息
8. 一般在法律中通常将涉及案件信息的电子数据称之为电子证据。A
A.对
B.错
所有涉及案件信息的电子数据都能直接被称为电子证据。
9. 从宏观来看,电子数据与电子证据有技术上的本质区别。B
A.对
B.错
从技术层面来看,电子数据与电子证据没有本质区别,二者的核心差异在于法律属性,而非技术形态
10. 电子数据不可以作为电子证据。B
A.对
B.错
电子数据可以成为电子证据,二者并非互斥关系,而是包含与被转化的关系
11. 电子数据的客观真实性受到各种因素的影响,在法庭中需要对其进行审查判断。A
A.对
B.错
电子数据的客观真实性极易受到多种因素干扰,因此在法庭质证和裁判过程中,必须对其真实性进行严格审查判断
12. 证据的合法性审查是指对证据在收集、鉴定、运用的主体、程序、来源方面是否符合法律的规定形式进行审查。A
A.对
B.错
证据的合法性审查是证据采信的核心环节之一,其审查范围明确覆盖收集、鉴定、运用的主体、程序、来源三个维度
13. 电子数据关联性规则实际上是建立在一般证据关联性规则之上。A
A.对
B.错
电子数据关联性规则的核心逻辑,是完全建立在一般证据关联性规则的基础之上,并未脱离传统证据规则的框架
14. 证据的证明力又可称证明力或证据价值,一般是指证据资料对案件事实认定的影响力。A
A.对
B.错
证据的证明力(又称证据价值),其核心定义就是指证据资料对案件事实认定的影响力与证明作用大小,
15. 我国《刑事诉讼法》未规定非法证据排除规则。B
A.对
B.错
我国《刑事诉讼法》对非法证据排除规则有明确且系统的规定,核心依据与规则要点如下中华人民共和国最高人民法院公报:
核心法律条文支撑
第 50 条明确禁止以非法方法收集证据、不得强迫自证其罪;
第 56 条(原第 54 条)界定非法证据范围与排除标准:非法言词证据(如刑讯逼供获取的供述、暴力威胁获取的证言)必须绝对排除;物证、书证取证程序违法且无法补正 / 合理解释的,也应排除;
第 57-58 条还规定了证据合法性的证明责任、调查程序与排除后果,覆盖侦查、审查起诉、审判全流程。
规则核心逻辑
非法证据不得作为起诉意见、起诉决定和判决的依据;
当事人及其辩护人、诉讼代理人可申请排除非法证据并需提供相关线索或材料;
检察机关承担证据收集合法性的证明责任。
16. 电子数据取证就是电子数据司法鉴定。B
A.对
B.错
电子数据取证和电子数据司法鉴定不是同一概念,二者属于电子数据司法应用流程中前后衔接但相互独立的两个环节
17. 电子数据司法鉴定是一种带有技术性质的特殊法律活动。A
A.对
B.错
电子数据司法鉴定兼具技术专业性与法律严肃性,属于典型的带有技术性质的特殊法律活动
18. 电子数据取证是指对能够为法庭接受的、足够可靠和有说服性的、存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。A
A.对
B.错
这个定义准确概括了电子数据取证的核心内涵:
目标:获取能被法庭接受、具备可靠性与说服力的电子证据
对象:存在于计算机及相关外设中的电子数据
核心流程:包含确认、保护、提取、归档这几个关键环节
这与电子数据取证在司法实践和专业领域的标准定义是一致的。
19. 电子数据取证的模型包括基本过程模型、取证模型、事件响应过程模型、抽象数字取证模型、综合数字取证模型等。A
A.对
B.错
电子数据取证领域确实存在这些典型模型,具体说明如下:
基本过程模型:由 Farmer 和 Venema 提出,是早期经典模型,包含保护隔离、记录现场、查找证据、提取打包、建立保管链等环节。
取证模型:是对各类取证流程与方法的统称,涵盖不同场景下的取证框架。
事件响应过程模型:侧重应急响应,包含准备、侦测、初始响应、备份、调查、恢复、报告等阶段。
抽象数字取证模型(抽象过程模型):Reith 等人提出,从抽象层面描述取证过程,不局限于具体场景。
综合数字取证模型:整合多种模型优点,适配复杂取证场景,覆盖取证全流程。
20. 科学性的电子数据取证不仅涉及到所采用的技术方法的科学性,还包括程序和规则的科学性。A
A.对
B.错
科学性是电子数据取证的核心原则,其科学性同时体现在两个维度:
技术方法科学性:需采用符合科学原理的技术手段(如哈希校验、写保护、镜像备份等),使用经检验的专业工具,操作流程可重复、可验证,确保数据完整性与真实性。
程序和规则科学性:取证过程需遵循法定程序与标准规范(如审批、见证、全程录像、保管链记录等),符合证据合法性与可采性要求,保证取证行为的合规性与可追溯性。
21. 电子数据取证合法性指的是电子数据取证活动必须严格依照法律的规定进行,包括电子数据取证的主体、电子数据取证的程序等都不能违反法律的规定。A
A.对
B.错
电子数据取证的合法性核心就是取证活动必须严格依法进行,重点包含两大核心要素:
取证主体合法:如刑事侦查中需由 2 名以上具备资质的侦查人员开展,技术性工作可由专业人员配合,严禁无权限主体非法取证。
取证程序合法:需履行审批、见证、全程记录等法定流程,使用合规工具与方法,保证取证全流程可追溯、符合法律与规范要求。
22. 电子数据取证的及时性原则,要求取证人员尽可能早地进入虚拟现场,并立即进行电子数据取证。A
A.对
B.错
及时性原则的核心是基于电子数据易篡改、易灭失的特性,要求取证人员尽早介入虚拟现场并立即开展取证工作,以防止数据被破坏或丢失。该原则要求在确保合法性与程序合规的前提下,第一时间保护现场、固定证据、建立保管链,避免证据因延迟取证而失效。这一原则在司法实践和行业规范中均被明确强调,是电子数据取证的重要原则之一
23. 电子数据取证标准化包括取证设备、人员配置、操作程序、检验方法标准等方面规范化和标准化。A
A.对
B.错
电子数据取证标准化的核心目标是通过多维度规范,确保取证结果可靠、可重复、可追溯,其覆盖范围与题干描述完全一致,具体如下:
取证设备标准化:需使用经认证的专业设备(如写保护器、取证硬盘、镜像工具等),并定期校验其性能与准确性,防止因设备问题导致数据损坏或篡改。
人员配置标准化:要求取证人员具备相应资质与培训经历,明确人员数量(如刑事案件中需 2 名以上侦查人员)与职责分工,避免无资质人员操作。
操作程序标准化:规范取证全流程,包括现场保护、介质封存、数据提取、保管链记录等环节,确保每一步操作可记录、可追溯,符合法定程序与行业规范。
检验方法标准化:采用经验证的检验方法(如哈希校验、镜像备份、元数据分析等),保证检验过程可重复、结果可验证,符合技术标准与科学原理。
24. 可重复或可验证原则要求电子数据取证所获取的数据或所判断的结果,在相同条件下能被其他人重复或者验证。A
A.对
B.错
可重复或可验证原则(也称可重现、可复现原则)是电子数据取证的核心原则之一,核心要求是:在相同取证条件(如相同设备、相同方法、相同环境)下,其他具备资质的人员能够重复整个取证流程,且获取的数据、得出的结果与原过程保持一致,同时结果可通过哈希校验、镜像比对等技术手段验证。该原则是确保取证结果客观、可靠、可采的关键保障,也是司法实践与行业规范的明确要求。
25. 根据数据内容不可读的原因可以分为四种不同的数据内容分析方法:乱码分析、加密信息分析、口令破解、隐藏数据发现。A
A.对
B.错
根据数据内容不可读的不同原因,对应的四种核心分析方法与题干描述完全吻合,具体如下:
乱码分析:针对因编码不匹配、文件格式损坏等导致的内容乱码,通过解析编码规则、修复文件结构等方式还原可读内容。
加密信息分析:针对加密导致的不可读,通过分析加密算法、密钥体系等,为解密或破解提供技术依据。
口令破解:针对因口令保护导致的不可访问,采用字典攻击、暴力破解等方法获取口令,以解锁数据。
隐藏数据发现:针对数据被隐藏(如隐写、分区隐藏、文件伪装等)导致的不可读,通过专门技术定位并提取隐藏数据。
26. 在进行数据内容分析时,常借助各种工具辅助分析,这些工具包括二进制数据查看工具、编码转换工具、密码破解工具、文件内容查看工具等。A
A.对
B.错
在电子数据内容分析中,题干所列工具均为核心辅助工具,各自承担明确分析用途:
二进制数据查看工具(如 WinHex、HxD):用于底层字节级检查,定位文件结构、隐藏数据或异常字节,是乱码分析、隐藏数据发现的基础工具。
编码转换工具(如 CyberChef、iconv):解决编码不匹配导致的乱码问题,支持 Base64、Hex 等多种编码格式互转,还原可读内容。
密码破解工具(如 Hashcat、John the Ripper):针对加密或口令保护数据,通过字典、暴力等方式破解,获取访问权限。
文件内容查看工具(如 Autopsy、取证大师):支持直接预览 Office、SQLite 等多种格式文件内容,快速提取关键信息,提升分析效率。
27. 常见的密码破解方法包括密钥空间攻击、字典攻击、查表攻击、解码攻击、重置攻击等。A
A.对
B.错
题干中所列的均为常见密码破解方法,具体说明如下:
密钥空间攻击:即暴力破解,通过穷举密钥空间内所有可能的密钥组合来尝试破解,是最基础的密码破解方法之一。
字典攻击:利用预先准备的包含常见密码、单词、短语等的字典文件,系统地尝试其中的条目来破解密码,效率高于暴力破解。
查表攻击:如彩虹表攻击,通过预先计算并存储大量明文及其对应的哈希值,在破解时通过查找表快速匹配哈希值以获取明文,适用于破解哈希加密的密码。
解码攻击:针对经过编码(如 Base64 等)处理的密码或数据,通过对应的解码方法尝试还原原始密码或数据内容。
重置攻击:利用密码重置功能的漏洞或通过社会工程学等手段,绕过正常验证流程来重置目标密码,从而获取访问权限。
28. 在司法实践中,数据恢复一般仅指硬件层面的恢复。B
A.对
B.错
在司法实践中,数据恢复不仅包括硬件层面(如硬盘磁头损坏、闪存芯片故障等)的恢复,还涵盖逻辑层面的恢复,如误删除文件、分区表损坏、文件系统异常、数据被格式化或加密等场景,通过软件扫描、元数据重构、碎片重组等方式即可实现,且逻辑恢复在电子数据取证中更为常见。题干中 “仅指硬件层面” 的表述不符合实际情况。
29. 在应用层面上,电子数据司法鉴定是研究如何对电子数据进行获取、保存、分析和出示的法律规范和科学技术。B
A.对
B.错
电子数据司法鉴定的核心定义是:鉴定人运用信息科学与技术和专门知识,对电子数据存在性、真实性、功能性、相似性等专门性问题进行检验、分析、鉴别和判断并提供鉴定意见的活动,核心服务于诉讼中的专门性问题认定,而非单纯 “研究获取、保存、分析和出示的法律规范和科学技术”
30. 电子数据司法鉴定相对于一般的司法鉴定没有什么特殊性。B
A.对
B.错
电子数据司法鉴定相比一般司法鉴定有显著特殊性,核心体现在以下维度:
对象特性特殊:电子数据易篡改、易丢失、与载体可分离,需特殊固定与校验(如哈希校验、写保护)保障真实性,而一般司法鉴定对象多为稳定实物。
技术依赖特殊:需计算机、密码学、数据恢复等专业技术,依赖专用工具(如取证大师、WinHex),一般鉴定更侧重经验与常规仪器。
流程规范特殊:强调 “先固定、后提取”,需全程留痕形成证据链,防止数据污染,这与普通物证鉴定流程差异明显。
鉴真规则特殊:需同时验证载体同一性与数据完整性,常需专业鉴定补充司法人员的技术认知短板。
31. 电子数据司法鉴定启动程序解决司法鉴定启动权性质、由谁决定以及如何启动问题。A
A.对
B.错
电子数据司法鉴定启动程序的核心任务,正是界定启动权的性质(如公权力主导、当事人申请权等)、明确启动决定主体(如办案机关、当事人、法院等),并规范启动的具体方式与流程(如委托、受理、审批等),与题干表述完全一致。这一程序是保障鉴定合法性与规范性的基础环节,确保鉴定活动依法、有序开展。
32. 电子数据司法鉴定实施程序则是受理鉴定后,司法鉴定人根据委托要求,完成相关事项的鉴定过程。A
A.对
B.错
电子数据司法鉴定实施程序的核心定义就是,鉴定机构受理委托后,指派具备资质的司法鉴定人,依据委托要求制定方案、开展检验分析、记录过程、出具意见并归档的完整过程,与题干表述完全吻合,符合《司法鉴定程序通则》及电子数据鉴定专项规范的要求。
33. 电子数据司法鉴定出具意见程序解决如何根据法律要求制作、流转司法鉴定文书及其他相关材料。A
A.对
B.错
依据《司法鉴定程序通则》第四章及电子数据司法鉴定规范,出具意见程序的核心任务就是按法律与技术要求制作符合格式的鉴定文书,完成复核、签发、送达、归档等流转环节,并规范补正、解释说明等后续工作,与题干表述完全一致
34. 电子数据司法鉴定人出庭程序是司法鉴定人就自己所作出的意见准备材料、积极出庭质证的程序。A
A.对
B.错
依据《司法鉴定程序通则》第五章及电子数据司法鉴定规范,该程序核心是鉴定人在接到法院通知后,准备鉴定相关材料、出庭接受质证,包括庭前准备(梳理鉴定过程、准备资质证明与技术材料)、庭审质证(陈述鉴定依据、回答控辩双方及法官提问)、庭后核对笔录等环节,与题干表述完全一致。
35. 从质量控制角度看,电子数据司法鉴定必须能够保证鉴定意见的准确性在一个可预见的微小波动范围内。A
A.对
B.错
从质量控制角度,电子数据司法鉴定需通过方法验证、设备校准、过程留痕、结果复核等措施,确保证鉴定意见的准确性处于可预见的微小波动范围内,符合 CNAS 认可准则、《司法鉴定程序通则》及电子数据鉴定专项规范中对结果可靠性与可复现性的核心要求,题干表述与行业规范及实践一致。
36. 计算机中存储的电子数据包括了存储在硬盘、光盘、U盘上,人为输入或者计算机系统自动生成的文件。A
A.对
B.错
根据《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》,计算机中的电子数据既包括存储在硬盘、光盘、U 盘等电子介质上的内容,也涵盖人为输入的文档、程序等,以及计算机系统自动生成的日志、缓存等文件,与题干表述完全一致。
37. 根据《商用密码应用安全性评估管理办法》,重要网络与信息系统运行前,未开展商用密码应用安全性评估的,由网信部门责令改正,给予警告。B
A.对
B.错
依据《商用密码应用安全性评估管理办法》第十七条规定,重要网络与信息系统运行前未开展商用密码应用安全性评估的,由密码管理部门而非网信部门责令改正、给予警告,题干中 “网信部门” 的主体表述错误。
38. 根据《商用密码应用安全性评估管理办法》,对于本办法施行前已经投入运行的重要网络与信息系统,其运营者应当立即停止系统运行并进行改造。B
A.对
B.错
依据《商用密码应用安全性评估管理办法》第二十条,本办法施行前已投入运行的重要网络与信息系统,运营者应按第九条规定开展商用密码应用安全性评估,而非 “立即停止系统运行并进行改造”。仅当评估未通过时,才需改造且改造期间应采取必要措施保证系统运行安全,题干表述与法规要求不符。
39. 根据GB/T 45574-2025《数据安全技术敏感个人信息处理安全要求》,如果个人或组织只是处理个人信息,但没有决定处理的目的和方式,便不属于个人信息处理者。A
A.对
B.错
GB/T 45574-2025 中 “个人信息处理者” 的定义与《个人信息保护法》一致,即需在个人信息处理活动中自主决定处理目的和处理方式。若仅处理个人信息但不决定处理目的与方式,通常属于数据处理的执行方(如受托处理者),而非个人信息处理者,题干表述符合标准与法律规定。
40. 根据GB/T 45574-2025《数据安全技术敏感个人信息处理安全要求》,如果一个自然人的信息被用来识别或关联自己,那么这个自然人可称之为个人信息主体。A
A.对
B.错
GB/T 45574-2025 与《个人信息保护法》一致,将个人信息主体定义为个人信息所标识的自然人,即其信息可被单独或结合其他信息识别、关联到自身的自然人,题干表述与标准及法律定义相符。
41. 根据GB/T 43698-2024《网络安全技术软件供应链安全要求》,运维团队中的厂商、外包等非自有维护人员,其访问权限可根据其技术能力和项目经验由团队负责人灵活分配。B
A.对
B.错
GB/T 43698-2024 对非自有维护人员(厂商、外包)的访问权限有严格的最小必要与审批管控要求,权限分配需基于岗位职责、最小特权原则,经审批并记录,不可仅按技术能力和项目经验 “灵活分配”。题干中 “灵活分配” 的表述不符合标准中访问控制的合规要求。
42. 进行现场取证的时候,首先要关闭电脑电源,拔下硬盘。B
A.对
B.错
现场取证并非首先关闭电脑电源、拔下硬盘。根据《公安机关办理刑事案件电子数据取证规则》等规范,对开机状态设备需先保护现场、记录状态、提取易失性数据(如内存、进程、网络连接等),避免关机导致数据丢失;仅确认无易失性数据或可安全关机时,才按流程断电、封存介质,题干表述不符合规范流程。
43. 加密容器内文件不能通过运行时打开容器进行提取。B
A.对
B.错
加密容器(如 VeraCrypt、BitLocker 等)的核心机制是运行时挂载并解密,挂载后容器会作为逻辑磁盘呈现,可直接通过系统文件管理器访问、复制、导出内部文件,这是加密容器的常规使用与文件提取方式,题干表述与实际机制完全相反。
44. 校验值的计算是对任意长度的数据压缩成固定长度的数据,该过程是单向的,不可逆的。A
A.对
B.错
校验值(如哈希值、消息摘要)的计算本质是通过哈希函数将任意长度数据映射为固定长度结果,且该过程是单向不可逆的 —— 从校验值无法反推原始数据,这是其核心特性。例如 MD5 生成 128 位、SHA - 256 生成 256 位固定长度校验值,且均无法由校验值恢复原文。
45. 进行电子数据固定时,需要对所有在计算机尾部的线缆进行标记,并且拍照。A
A.对
B.错
电子数据固定的核心规范(如《公安机关办理刑事案件电子数据取证规则》)要求对原始存储介质封存前后拍照、记录线缆连接关系
46. 在有条件的情况下,存储电子数据的普通台式机应当整机封存。A
A.对
B.错
依据《公安机关办理刑事案件电子数据取证规则》等规范,电子数据取证以扣押原始存储介质为原则,在有条件(可扣押、不影响证据完整性且具备封存条件)时,普通台式机作为原始存储介质应整机封存,确有必要时也可将内部存储介质与设备分别封存,题干表述符合取证核心原则
47. 复制硬盘的时候,源盘和目标盘必须大小相同。B
A.对
B.错
硬盘复制分两种核心场景:按文件复制时,目标盘容量≥源盘已用数据总量即可,无需大小相同;仅逐扇区复制(如电子数据取证的全盘镜像)要求目标盘≥源盘容量,但并非 “必须相同”。题干中 “必须大小相同” 的表述过于绝对,不符合实际操作逻辑与技术规范。
48. 开机状态的取证操作可能会改变证据内容。A
A.对
B.错
开机状态下的取证操作,即使是合规流程,也可能改变证据内容 —— 例如运行取证工具会占用内存、生成日志,正常关机 / 重启会写入系统日志并可能清除易失性数据,甚至简单的文件浏览也会修改文件访问时间、更新系统注册表。即便用写保护设备,实时交互仍可能对系统状态产生不可逆改变,这也是电子数据取证强调最小干预与全程留痕的核心原因。
49. 数据库存储结构有两个维度,一个是它的物理存储结构,另一个是它的逻辑存储结构。A
A.对
B.错
数据库存储结构的核心维度就是物理存储结构和逻辑存储结构,二者相互独立又关联:物理存储结构描述数据在磁盘等介质上的实际文件组织(如数据文件、日志文件、控制文件等);逻辑存储结构是数据库内部的逻辑组织方式(如表空间、段、区、块、表、索引等),用户通过逻辑结构访问数据,DBMS 负责映射到物理存储。主流数据库(Oracle、SQL Server、MySQL、达梦等)均遵循这一核心架构,题干表述符合数据库存储的基础理论。
50. 只有在服务器上才会安装数据库。B
A.对
B.错
数据库的安装场景并非仅限服务器,实际上在多种终端设备和环境中都可以部署数据库
51. 数据库的数据文件一般不保存在文件系统中。B
A.对
B.错
主流数据库(MySQL、SQL Server、PostgreSQL、SQLite 等)的数据文件几乎都保存在文件系统中,由操作系统文件系统管理其存储与访问。例如 MySQL 的 ibdata1、.ibd 文件,SQL Server 的.mdf/.ndf 文件,SQLite 的.db/.sqlite 文件,均以标准文件形式存于指定目录,DBMS 通过文件系统接口读写这些文件。即使是云数据库,其底层数据也仍依托云存储的文件系统(如分布式文件系统)进行存储,只是用户通常不直接操作物理文件。
52. 数据库内容的取证只能通过数据库管理系统打开数据库才可以。B
A.对
B.错
数据库内容取证并非只能通过数据库管理系统(DBMS)打开数据库,还存在多种离线取证与专业工具取证方式
53. 数据库一般提供查询、插入、更新、删除操作。A
A.对
B.错
主流数据库(如 MySQL、SQL Server、PostgreSQL、SQLite 等)均原生支持查询(SELECT)、插入(INSERT)、更新(UPDATE)、删除(DELETE)这四类核心数据操作,它们被称为 CRUD(增删改查),是数据库管理系统(DBMS)的基础功能,用于满足数据的检索、新增、修改和移除需求,适用于各类数据管理场景。
54. 目前移动智能终端主流操作系统为Windows7。B
A.对
B.错
Windows 7 是微软发布的桌面端操作系统,仅用于 PC,并非移动智能终端的系统。目前移动智能终端主流操作系统是 Android、iOS、HarmonyOS(鸿蒙)等,Windows 7 从未适配手机、平板等移动设备,且微软移动操作系统(如 Windows Phone)早已停止支持。
55. 电子数据作为证据时必须保证完整性。A
A.对
B.错
电子数据作为法定证据,完整性是其具备证据能力与证明力的核心前提之一。根据 “两高一部”《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》,电子数据取证必须通过扣押原始介质、计算完整性校验值、制作备份等方式保护完整性,审查时也需重点核验是否存在篡改、增删等情形,若完整性无法保证则不得作为定案依据。民事诉讼中,电子数据的完整性同样是法院判断其真实性与可采性的关键因素,例如微信聊天记录、邮件等电子证据,若存在剪辑、修改且无合理解释,将不被采信。
56. 移动智能终端的取证主要通过对芯片的读取来实现。B
A.对
B.错
移动智能终端取证以非芯片读取的常规方法为主,芯片读取仅为特殊场景的补充手段
57. 安卓手机取证大部分时候需要对手机进行ROOT操作。B
A.对
B.错
安卓手机取证大部分时候无需 ROOT 操作,主流场景可通过以下非 ROOT 方式完成
58. 提取智能终端中的数据,最好使用专业的取证工具。A
A.对
B.错
提取智能终端数据时,使用专业取证工具是最佳选择
59. iPhone的硬件加密方式通过手机SIM卡实现。B
A.对
B.错
iPhone 的硬件加密核心由 SoC 内置的安全隔区(Secure Enclave) 与 AES 硬件引擎实现,与 SIM 卡无关
60. 正常情况下,iPhone的锁屏密码可以无限制尝试。B
A.对
B.错
正常情况下,iPhone 锁屏密码存在严格的尝试次数与延迟限制,并非无限制尝试
61. 安卓手机支持全盘加密。A
A.对
B.错
安卓手机支持全盘加密(Full-Disk Encryption, FDE),但有版本与机型限制
62. 所有的安卓手机均可以使用第三方recovery来进行ROOT。B
A.对
B.错
并非所有安卓手机都能使用第三方 recovery 进行 ROOT
63. iOS的越狱和Android的ROOT都是获取系统最高权限的方法。A
A.对
B.错
iOS 越狱与 Android 的 ROOT,核心都是通过技术手段获取系统最高权限(Unix/Linux 体系中的 root 权限),突破厂商限制以修改系统文件、安装非官方应用或进行深度定制。二者虽实现原理、生态限制不同,但核心目标与权限等级一致。
64. iPhone微信的所有聊天记录都保存在plist文件中。B
A.对
B.错
iPhone 微信的核心聊天记录存储在加密的 SQLite 数据库文件(EnMicroMsg.db) 中,而非 plist 文件。plist 文件仅用于存储少量配置信息(如偏好设置、账号参数等),不包含聊天内容。二者功能与存储内容完全不同,不能混淆。
65. 没有安装地图类软件的情况下,无法读取手机的地理位置。B
A.对
B.错
没有安装地图类软件,手机依然能读取地理位置
系统原生定位能力:iOS/Android 均内置系统级定位 API(如 Android 的 LocationManager、iOS 的 Core Location),无需地图类软件即可通过 GPS、基站、Wi‑Fi 等方式获取位置坐标。
自带工具应用:手机自带的指南针、天气、相机(地理标记)等应用,可在获取定位权限后读取并使用地理位置信息。
系统底层定位服务:即使无任何应用主动请求,手机在开启定位后仍可通过底层服务(如基站注册)被动获取位置信息。
66. iPhone上QQ的所有聊天记录保存在sqlite数据库内。A
A.对
B.错
iPhone 上 QQ 的核心聊天记录均存储在 SQLite 数据库文件(如 QQ.db)中,该文件位于应用沙盒的 Documents/contents/[QQ 号] 目录下,包含文本消息、聊天时间、发送方等结构化数据,是本地聊天记录的主要存储载体。
67. 短消息内容一般都存储在sqlite文件中。A
A.对
B.错
主流智能手机(Android、iOS)的短消息内容一般都存储在 SQLite 数据库文件中,如 Android 的 mmssms.db、iOS 的 sms.db,这类文件以结构化方式管理短信的发送号码、内容、时间等数据,方便系统与应用高效读写与检索。
68. 邮件一般分为IMAP和POP3两种不同的接收方式。A
A.对
B.错
邮件接收的主流标准协议正是 IMAP(Internet Message Access Protocol)和 POP3(Post Office Protocol version 3),二者负责客户端从邮件服务器获取邮件
69. 所谓数据恢复是指因各种原因导致数据损失时把保留在存储介质(Media)上的数据重新拼接整理的过程。A
A.对
B.错
数据恢复的核心场景中,当数据因误删、文件系统损坏等逻辑问题丢失时,数据往往仍以碎片形式保留在存储介质上,恢复过程核心就是通过技术手段扫描残留数据、修复索引信息,并将这些碎片重新拼接整理,还原为完整可用的数据。即使是硬件故障场景,在修复硬件后,也常需对介质上的残留数据进行拼接整理以完成恢复。
70. 格式化过的硬盘不能进行数据恢复。B
A.对
B.错
日常的快速格式化(高级格式化)仅清除文件系统索引(如 FAT、MFT),数据本身仍保留在扇区中,只要未被新数据覆盖,就能通过数据恢复软件找回。仅低级格式化(全盘逐扇区重写)或 SSD 开启 TRIM 后,数据才难以恢复,但并非绝对无法恢复。题干的 “不能进行数据恢复” 表述过于绝对,因此判断为错。
71. 磁头与磁盘都有个“磁”,这两个“磁”是完全相同的材料所组成。B
A.对
B.错
部件 核心材料 功能与特性
磁头 铁芯(铁氧体、坡莫合金等软磁材料)+ 铜线圈,表面有耐磨涂层 软磁材料磁导率高、矫顽力低,用于高效读写磁场信号
磁盘 盘基(铝合金、玻璃等非磁性材料)+ 磁性涂层(钴合金、氧化铁等硬磁材料) 硬磁材料矫顽力高,可稳定保存磁化状态以存储数据
72. 微软的Windows操作系统常用的分区格式是RAID。B
A.对
B.错
Windows 常用的分区格式(文件系统)是 NTFS、FAT32、exFAT 等,用于管理单个分区的文件存储与组织;而 RAID 是多块物理磁盘的冗余阵列技术,目的是提升性能或提供容错,并非分区格式,二者概念完全不同。
73. 若按存储介质分类,可将数据恢复分为磁存储、光存储、半导体存储数据恢复。A
A.对
B.错
按存储介质分类时,数据恢复的主流类别正是磁存储(如机械硬盘、磁带)、光存储(如 CD、DVD、蓝光光盘)、半导体存储(如 SSD、U 盘、闪存卡)三类,分别对应不同介质的存储原理与恢复技术路线,题干表述符合该分类标准。
74. SAS是新一代的SCSI技术,和现在流行的SATA硬盘相同,采用串口技术。A
A.对
B.错
SAS(Serial Attached SCSI)是并行 SCSI 的串行化升级版本,属于新一代 SCSI 技术;SATA(Serial ATA)则是并行 ATA 的串行化版本,二者均采用串行传输技术以提升速度、优化布线。
75. 为了避免灰尘进入硬盘盘体,出厂时其内部都是真空状态。B
A.对
B.错
硬盘出厂时内部并非真空状态,而是充满洁净空气(普通空气盘)或氦气(氦气盘),且空气盘带有带过滤膜的通气孔,用于平衡内外气压,同时阻止灰尘进入。真空环境会导致磁头无法正常悬浮,也无法平衡气压,不符合硬盘的工作原理。
76. 硬盘的分区主要包括:主分区、扩展分区和逻辑分区。A
A.对
B.错
在主流的 MBR 分区表体系中,硬盘分区核心类型就是主分区、扩展分区和逻辑分区,三者共同构成基本磁盘的分区结构。其中主分区最多 4 个,扩展分区最多 1 个(用于承载逻辑分区),逻辑分区在扩展分区内创建且数量无限制。虽 GPT 分区表无扩展 / 逻辑分区概念
77. 磁盘上的每个磁道被划分成若干个弧段,这些弧段便是扇区。A
A.对
B.错
机械硬盘的每个磁道会被等分为若干弧段,这些弧段就是扇区,它是磁盘读写的最小物理单位,常规大小为 512 字节或 4KB,题干表述与磁盘物理结构的基本定义完全一致。
78. 硬盘通常由重叠的一组盘片构成,每个盘面都被划分为数目相等的磁道,并从外缘的1磁道开始编号。B
A.对
B.错
硬盘磁道编号从外缘的0 磁道开始,而非 “1 磁道”,0 磁道通常用于存放引导记录等关键信息。题干中 “从外缘的 1 磁道开始编号” 的表述错误
79. 磁头与磁盘是硬盘中最重要的部件。A
A.对
B.错
对于机械硬盘(HDD)而言,磁头负责读写数据,磁盘(盘片)是数据存储的核心介质,二者是硬盘实现数据存储与读写的最核心部件,共同构成硬盘的核心工作单元。
80. 实际操作中只要硬盘的盘片不损坏或者损坏不严重,其他部件无论损坏多严重,硬盘上的数据都是可以恢复的。B
A.对
B.错
即使盘片完好,其他部件严重损坏也可能导致数据无法恢复。例如机械硬盘固件彻底损坏且无法修复、磁头组件损坏后划伤盘片(即使初始盘片完好)、固态硬盘主控与闪存芯片间映射关系完全丢失且无法重建,或是关键电路损坏无法找到匹配替换件等情况,都会造成数据恢复失败。
81. 电子数据取证设备的校验周期通常是18个月。B
A.对
B.错
目前国内并无统一规定电子数据取证设备的校验周期为 18 个月,行业常见周期多为 12 个月(如符合计量要求的复制 / 写保护设备),且需结合设备类型、使用频率、精度要求及法规标准灵活调整,高频或关键场景可能缩短至 6-9 个月
82. 电子数据取证报告需由取证人员签字。A
A.对
B.错
依据《公安机关办理刑事案件电子数据取证规则》《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》等法规,电子数据取证报告(含提取笔录、勘验笔录等)需由取证人员签名或盖章,以保障取证行为的合法性、真实性与可追溯性
83. Skype中的拨号记录可以解析。A
A.对
B.错
Skype 的拨号(通话)记录可通过多种方式解析:本地main.db(SQLite 数据库)存储着通话时间、时长、联系人等关键信息,可通过 SQL 查询或取证工具提取;在线端可导出通话历史并借助专用解析工具处理;专业取证软件还能从内存、未分配空间等位置恢复已删除记录。
84. Passware Kit是一款密码破解工具。A
A.对
B.错
Passware Kit 是一款主流的密码破解(恢复)工具,支持对 Office 文档、PDF、压缩包、加密磁盘(如 BitLocker、FileVault2)、Windows 账户等 300 + 类型的密码进行恢复,可通过字典、暴力破解、掩码等多种攻击方式实现,广泛用于电子数据取证与数据恢复场景。题干表述符合实际情况。
85. 勘查现场嫌疑人计算机处于开机状态,正常的操作是固定易丢失数据后关机并封存。A
A.对
B.错
依据《公安机关办理刑事案件电子数据取证规则》,勘查现场遇嫌疑人计算机开机时,核心操作是先固定内存、网络连接、进程信息等易丢失数据,再关机并封存原始存储介质,以保障数据完整性与取证合法性。固定易失数据是因为这类数据在关机或重启后会丢失,封存则能防止数据被篡改。
86. 绕过IOS系统限制的技术称为越狱。A
A.对
B.错
iOS 越狱(Jailbreaking)的核心就是通过技术手段(如内核漏洞利用、权限提升)绕过苹果施加的系统限制(含签名机制、沙盒、Root 权限封锁等),获取设备最高权限,进而安装未获官方认证的应用、修改系统文件等
87. 内存取证中易丢失的数据类型是ROM数据。B
A.对
B.错
内存取证中易丢失的数据类型是 RAM(随机存取存储器)数据,其特点是断电即失,包含进程、网络连接、加密密钥等易失性信息。而 ROM(只读存储器)属于非易失性存储,断电后数据不会丢失,通常存储 BIOS 等固化程序,与 “易丢失数据” 的属性完全相反。题干混淆了 RAM 与 ROM 的核心特性。
88. Web服务器日志通常存储在/var/log目录。A
A.对
B.错
在 Linux/Unix 系统中,Apache、Nginx 等主流 Web 服务器的日志默认存储在/var/log目录下(如/var/log/apache2、/var/log/nginx),这是类 Unix 系统的标准日志存储路径
89. 根据GB/T 29362-2023,在对多媒体文件内容进行搜索时,宜选用具备相应内容识别功能的软件或工具。A
A.对
B.错
GB/T 29362-2023《法庭科学 电子数据搜索检验规程》8.5 明确指出,对多媒体文件可进行内容识别处理后再搜索检验,核心要求即宜选用具备相应内容识别功能的软件或工具
90. 文件GB/T 29362-2023《法庭科学 电子数据搜索检验规程》所界定的术语和定义与GA/T 1568《法庭科学电子物证检验术语》不可通用,不存在引用或采纳关系。B
A.对
B.错
GB/T 29362-2023 的规范性引用文件中明确包含 GA/T 1568《法庭科学 电子物证检验术语》,两者术语和定义存在引用与采纳关系,可通用
91. 为了规范市场监督管理行政执法电子数据取证工作,提升执法人员电子数据取证能力,提高行政执法效能,根据《中华人民共和国行政处罚法》、《中华人民共和国行政强制法》、《市场监督管理行政处罚程序规定》四项法律法规,制定《市场监督管理行政执法电子数据取证暂行规定》。B
A.对
B.错
《市场监督管理行政执法电子数据取证暂行规定》第一条明确其制定依据为《中华人民共和国行政处罚法》《中华人民共和国行政强制法》《市场监督管理行政处罚程序规定》这三项法规
92. 根据《市场监督管理行政执法电子数据取证暂行规定》,本规定适用于市场监督管理部门在行政执法过程中开展的电子数据收集提取、查封扣押、检查分析、证据存储等全部取证活动。A
A.对
B.错
《市场监督管理行政执法电子数据取证暂行规定》第二条明确规定,市场监督管理部门及其执法人员在行政执法过程中围绕电子数据的收集提取、查封扣押、检查分析、证据存储等活动,适用本规定
93. 数据库集群的恢复只需要恢复主节点数据,从节点数据可以自动同步。B
A.对
B.错
数据库集群恢复并非只恢复主节点即可,从节点自动同步仅适用于部分故障场景(如主节点短暂宕机后重启、从节点断连后重连)。在全集群崩溃、主从数据差异过大、从节点数据损坏或丢失等情况下,仅恢复主节点无法让从节点自动同步完整数据,通常需要通过全量备份 + 增量日志回放、重建从节点等方式手动或半手动恢复从节点数据,确保集群数据一致性。
94. 遇到使用强加密算法(如AES-256)且密码未知的文件时,暴力破解是唯一可行的方法。B
A.对
B.错
面对 AES - 256 等强加密且密码未知的文件,暴力破解绝非唯一可行方法,还有多种更高效的替代方案:
字典攻击:利用常见密码字典、个人信息定制字典尝试匹配,适合弱密码场景,效率远高于暴力破解。
掩码攻击:若记得密码部分特征(如长度、部分字符),可缩小搜索范围,大幅提升破解效率。
已知明文攻击:若有加密前 / 后对应的明文片段,可利用加密算法特性缩短破解时间。
侧信道攻击:通过分析系统日志、内存镜像、电磁泄漏等获取密钥相关线索。
社会工程学:通过沟通、线索挖掘等方式获取密码,如联系文件提供方、查找密码记录等。
利用算法 / 实现漏洞:若加密实现存在缺陷(如密钥管理不当、IV 重用等),可针对性破解(AES - 256 算法本身无已知致命漏洞,但实现层面可能有问题)。
95. Web应用防火墙(WAF)的日志只能记录被拦截的请求,无法记录通过的合法请求。B
A.对
B.错
WAF 日志并非只能记录被拦截请求,多数主流 WAF(如阿里云、AWS、Azure、华为云等)支持配置记录通过的合法请求(即访问日志 / 正常请求日志),默认可能仅记录攻击拦截日志,但可通过开启全量日志、访问日志等功能,同时记录拦截请求与合法请求,满足审计、排障与合规需求
96. 对于有物理坏道的机械硬盘,可以通过更换电路板(PCB)来解决问题并完成数据恢复。B
A.对
B.错
物理坏道源于盘片磁介质的物理损伤(如划痕、磁层脱落等),属于盘体内部硬件故障,而 PCB(电路板)仅负责硬盘的供电、信号传输与控制,与盘片上的物理坏道无直接关联。更换 PCB 只能解决电路板自身故障(如芯片烧毁、电容损坏),无法修复盘片上的物理坏道,也不能直接完成数据恢复。对于物理坏道,通常需通过专业设备屏蔽坏道区域、镜像可读数据等方式抢救数据,而非更换 PCB。
97. 公安机关向有关单位和个人调取电子数据,应当经县级以上公安机关负责人批准,开具《调取证据通知书》。B
A.对
B.错
根据《公安机关办理刑事案件电子数据取证规则》第四十一条规定,公安机关调取电子数据只需经办案部门负责人批准,而非县级以上公安机关负责人批准,同时需开具《调取证据通知书》。县级以上公安机关负责人批准的情形常见于冻结电子数据等其他取证措施,并非调取电子数据的要求。
98. 公安机关跨地域调查取证的,可以将《办案协作函》和相关法律文书及凭证传真或者通过公安机关信息化系统传输至协作地公安机关。A
A.对
B.错
依据《公安机关办理刑事案件电子数据取证规则》第四十二条,公安机关跨地域调查取证时,可将《办案协作函》及相关法律文书、凭证通过传真或公安机关信息化系统传输至协作地公安机关,协作地办案部门审查确认并加盖本地办案部门印章后,即可代为调查取证。这一规定明确了该传输方式的合法性与可行性,能提升跨地域取证效率,契合实际办案需求。
99. 在 Linux 系统中,默认的系统日志目录是/var/log。A
A.对
B.错
在主流 Linux 发行版(如 Ubuntu、CentOS、Debian、Fedora 等)中,默认的系统日志目录均为 /var/log,该目录下存放着各类核心系统日志文件,如系统通用日志(syslog/messages)、安全认证日志(auth.log/secure)、内核日志(kern.log)、定时任务日志(cron)等,是 Linux 系统日志存储的标准默认路径。
100. 在 IIS 日志中,记录客户端 IP 地址的标准字段是client-ip。B
A.对
B.错
IIS 的 W3C 标准日志格式中,记录客户端 IP 地址的标准字段是c-ip,而非 “client-ip”。例如日志文件头部的 #Fields 字段中会明确标注 c-ip,对应的记录值即为客户端 IP 地址,这是 IIS 日志的默认且标准的字段命名规范。
101. 《刑法》规定的“非法获取计算机信息系统数据罪”,其入罪标准要求违法所得或造成经济损失1万元以上。B
A.对
B.错
根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条规定,非法获取计算机信息系统数据罪的入罪标准(情节严重)为违法所得五千元以上或者造成经济损失一万元以上,而非 “违法所得或造成经济损失 1 万元以上”,题干混淆了违法所得的金额门槛
102. 对信息网络安全监管,归属政府部门公安机关管理。A
A.对
B.错
国家网信部门统筹协调网络安全监管,国务院电信主管部门、公安部门等在各自职责内负责网络安全保护与监管,形成多部门协同的监管体系
103. 电子数据取证需避免污染证据。A
A.对
B.错
电子数据具有易篡改、易丢失的特性,取证核心原则之一就是防止证据污染,确保其真实性与完整性。无论是《公安机关办理刑事案件电子数据取证规则》还是司法实践中的取证规范,均要求通过写保护设备、制作备份、哈希值校验、全程记录等方式避免原始数据被修改,这是电子数据具备证据效力的关键前提
104. 电子数据取证需一名见证人。B
A.对
B.错
根据 “两高一部”《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》等规范,电子数据取证的见证人规则如下:
一般要求有符合条件的见证人,但未强制限定 “一名”,同一现场多个系统可由一名见证,也可按情况邀请一至两名;
客观原因无法找到符合条件见证人的,可在笔录注明并全程录像替代,并非必须有一名见证人。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:南有禾木 北渚《DIDCTF-理论题》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论