计算机取证习题Q:计算机中的质量保障(QualityAssurance)主要涉及哪些内容?A:质量保障指一个包含很多规则的文件方面很完备的系统,用以确保分析结果的准确性和可靠性,包括:同行评审报告、证据的处理、案件文书以及实验室人员的培训Q:在计算机取证中选择取证工具时需要注意些什么?A:要根据NIST和NIJ的标准,在使用前要进行验证,在更新好也要进行验证。Q:Linux文件系统结构中的数据位图(DataBitmap)的用途是什么?试结合示例加以说明A:数据位图的每一位对应着一个数据块,用0或者1表示该数据块是否空闲。如1010表示第一个数据块和第三个数据块不是空闲的,第二个和第四个是空闲的。Q:ls是Linux系统中常用命令,利用该命令是否能够判断一个指定目录上是否挂载有文件系统?为什么?A:使用ls命令可以查知该目录根结点i结点编号Q:什么是监管链?它由谁构建?A:监管链即连续的证据,是按时间顺序排列的文件或书面记录,显示仙子证据的捕获、保管、控制、传输、分析和处理扥信息。由取证人员构建Q:专家证人和非专家证人的主要区别是什么?什么样的人能充当专家证人?A:专家和增人可以给出他们自己的观点,在法律意义上能够帮助法官或者陪审团理解说明他们不熟悉的证据的人就可以充当专家证人。Q:Segal’Law揭示数字取证中的什么问题?如何面对该类问题?A:Segal’Law是说一个人有一块表就可以判断时间,如果有两块时间不同的表就无法确定哪个时间是对的。面对该类问题,规定一个标准时间Q:何为数字取证中的克隆操作?为何需要克隆操作?如何进行?A:数字取证中的克隆操作是对硬盘的数据进行逐比特拷贝。原因:1.数字证据是非常不稳定的,对证据的研究、检查不能在原始证据上进行2.硬盘有可能会崩溃,因此要多克隆以作为后备3.一旦误操作有机会重新开始方法:需要一个取证意义上干净的硬盘;从原电脑中移出原硬盘;将原硬盘和克隆设备或其他电脑连接;应用取证镜像工具来克隆Q:通常很多已被删除的信息依然可以由Mactime工具展示出来,这样查到的已删除文件和未删除文件有什么不同?如何定位已删除文件在文件系统中所处的文件位置?A:已删除的文件不再有路径名,只能显示其i结点编号。可以根据该文件的i结点编号查找文件系统中与之相邻或相近的i结点编号,因为文件创建时i结点的编号是按次序排列的,因此该文件的目录位置极有可能和i结点编号与之最接近的文件相同。Q:Linux的ext3/4的文件自通日志保存在一个文件中,该文件有大量时间信息,但该文件不会出现在目录列表中,如何访问该文件以便从中获取时间信息?A:因为不在目录中显示,所以不能通过名字找到,可以通过tune2fs明星显示日志文件的保存位置,i节点编号等信息,然后通过在这些信息去找到它Q:如果数字取证中嫌疑人经常使用浏览器访问互联网,那么以互联网行为为主线,可以从哪些方面获取相关证据信息,这些信息又能证明什么?A:1.cookies,cookies一般保存在index。Dat里面,包括URL信息访问日期时间,用户名等信息2.临时文件(网页缓存),会显示如“最近一次访问的时间”在TIF中3.历史记录,分成按日期、星期、月份,在index.dat显示访问的URL和时间4.注册表,ntuser.dat文件中,有近期访问的URL,键的名称按时间顺序排列。