电子取证简答题（含答案解析）.docx

电子取证简答题 1， 简述什么叫短流存储，并指出短扇区分配表的用途。 答:所有比一个头里面已知的特定大小还短的流，被作为短流 存储，因而插入 短流容量流。短扇区分配表是用于建造流的扇区标识符链。 2， 简述碎片产生的过程。 答:碎片是由于创建或删除文件及文件夹、安装新软件、从 Internet 下载文件 等情况时所致。计算机在保存整个文件和文件夹时，它们首先会被保存在可用的储 存空间。在大部分硬盘空间使用后，多数后续的文件夹将在整个卷中保存为几段。 当删除文件或文件夹后，随后空出的空间被新储存的文件随机填充，这就是碎片产 生的过程。卷的碎片越多，计算机文件的输入和输出性能就会越低。 3， 什么情况下的碎片可以被还原, 答:有的文件对文件自身要求很高，多一个字节少一个字节都 不能成功还原这 个文件，要对文件碎片成功的还原，需要该文件是对自身要求不高的文件格式，这 样即可还原这个文件的其中一部分可用内容。因此，能被还原的文件碎片，与其文 件所用的文件格式框架有关。 4， 简述一下司法鉴定的流程。 答:一，严格按照法律依据，紧紧围绕鉴定要求，进行计算机 取证和鉴定分析。 二，检材的接收与克隆，并加上数字签名与 MD5 校验，记录可 能造成数据变 化的操作以及可能造成的影响。 三，根据案情特点，制定鉴定方案。 四，综合分析方法，对检材进行分析鉴定。 五，制作计算机证据鉴定意见，制作鉴定结论。 5， 简述非对称加密的基本原理。 答:非对称加密技术允许任何人对信息进行加密处理后，将它 发送给另一个 人，而不需要预先交换密钥。在非对称加密过程中，实现 Internet 上的第三数据 报文的交换，需要提供两种密钥支持:公共密钥和私人密钥，公共密钥用于加密， 私人密钥用于解密。 6， 简述一下微软的 EFS 加密文件系统的特点。 答:一，基于非对称加密的EFS 加密机制和操作系统紧密结合。 二， EFS 加密系统对用户是透明的，即windows 下同一个帐 户访问该加密文件 是公开透明的，而不同帐户访问则会被拒绝。 三， EFS 加密只对NTFS5.0 以上版本的数据有效。 7， 基于云计算概念搭建的电子物证云实验室的特点有哪些, 答:1，设备领先，使用最先进、最成熟的产品来丰富工作中的 多种需求。 2，技术领先，使用必威体育精装版的云计算技术、云存储技术、证据保全技术、数据恢 复技术以及密码破解技术。 3，管理领先，依据实践需求，使证据鉴定管理系统不仅具备管理的合理性， 还具有实践性及可操作性。 4，兼顾办案侦查、现场办案、培训、交流实践功能。 5，预留方案升级和可扩展性。