计算机取证习题.doc

计算机取证习题 Q:计算机中的质量保障（Quality Assurance）主要涉及哪些内容？ A:质量保障指一个包含很多规则的文件方面很完备的系统，用以确保分析结果的准确性 和可靠性，包括： 同行评审报告、证据的处理、案件文书以及实验室人员的培训 Q:在计算机取证中选择取证工具时需要注意些什么？ A:要根据NIST和NIJ的标准，在使用前要进行验证，在更新好也要进行验证。 Q:Linux文件系统结构中的数据位图（Data Bitmap）的用途是什么？试结合示例加以说明 A:数据位图的每一位对应着一个数据块，用0或者1表示该数据块是否空闲。如1010表示 第一个数据块和第三个数据块不是空闲的，第二个和第四个是空闲的。 Q:ls是Linux系统中常用命令，利用该命令是否能够判断一个指定目录上是否挂载有文件 系统？为什么？ A:使用ls命令可以查知该目录根结点i结点编号 Q:什么是监管链？它由谁构建？ A:监管链即连续的证据，是按时间顺序排列的文件或书面记录，显示仙子证据的捕获、 保管、控制、传输、分析和处理扥信息。由取证人员构建 Q:专家证人和非专家证人的主要区别是什么？什么样的人能充当 计算机取证是信息技术领域的一个关键部分，它涉及到在犯罪调查中收集、分析和保护电子证据的过程。以下是关于计算机取证的一些重要知识点： 1. 质量保障（Quality Assurance）：在计算机取证过程中，质量保障旨在确保分析结果的准确性和可靠性。这包括同行评审报告，以检查分析过程的严谨性；证据的妥善处理，防止污染或篡改；案件文书的完整性，记录每一步操作；以及实验室人员的持续培训，以保持专业技能的最新。 2. 取证工具的选择：工具的选择应当遵循NIST（美国国家标准与技术研究院）和NIJ（美国国家司法研究所）制定的标准。工具在使用前和更新后都需进行验证，以确认其性能和合规性。 3. Linux文件系统的数据位图（Data Bitmap）：数据位图用于跟踪文件系统中数据块的使用情况。每个位代表一个数据块的状态，1表示已分配，0表示空闲。例如，位串"1010"表明第一个和第三个数据块被占用，而第二和第四个数据块是空闲的。 4. `ls`命令在Linux中的应用：虽然`ls`命令可以显示目录中的文件和子目录，但它不能直接判断一个指定目录是否挂载了文件系统。要确定挂载状态，通常需要使用`mount`或`df`命令。 5. 监管链（Chain of Custody）：监管链是证据管理的关键，由取证人员建立并维护。它记录了证据从发现到分析的全过程，确保证据的完整性和合法性。 6. 专家证人与非专家证人：专家证人是具备特定领域专业知识的个人，能够在法庭上解释复杂的科技概念。非专家证人则提供基于个人经验的证词。任何能清楚、准确地传达他们专业领域知识以帮助法庭理解证据的人，都可以成为专家证人。 7. Segal’s Law：此定律指出，当有多份可能矛盾的证据时，确定真实性的难度增加。在数字取证中，应对不同来源的证据进行标准化处理，并确保证据一致性。 8. 克隆操作：克隆是数字取证的重要步骤，目的是创建原始证据的精确副本，以避免直接操作原始证据导致的破坏。克隆操作通常通过专业的取证工具进行，确保数据的逐比特复制。 9. 已删除文件的恢复：Mactime等工具可以恢复已删除文件。已删除文件没有路径，但可以通过其i节点编号找到。由于文件系统中i节点通常是按顺序分配的，所以相邻的i节点可能指向同一文件的位置。 10. Linux ext3/4的日志文件：日志文件通常不直接在目录列表中显示，但可以通过`tune2fs`等工具找出其存储位置和i节点信息，进而访问其中的时间信息。 11. 互联网行为证据：在数字取证中，可以从浏览器cookies（存储用户偏好和访问信息）、临时文件（缓存网页）、历史记录和注册表（记录访问URL）等多个方面获取互联网行为证据，这些信息可以揭示嫌疑人的网络活动模式和时间线。 这些知识点构成了计算机取证的核心要素，理解并掌握它们对于进行有效的电子证据调查至关重要。