A. 文件头位于一个文件开始的部分。 B. 文件头的内容决定了操作系统能否识别该文件并用相应的程序打开或运行该文件。 C. 文件头是一般是一串十进制字符。 D. 文件头数据如果被改动过,即使文件的扩展名不变,也很可能导致文件无法打开。
A. 散列值比对 (MD5) B. 散列值比对 (SHA-1) C. 文件签名分析 D. 以上答案均不正确
A. 文件目录项的首字节改变为十六进制值E5 B. 文件数据所占的簇被更新为未分配状态 C. 文件数据被填充为00h。 D. 文件的数据仍然保留在原位置。
A. FAT32 B. NTFS C. HFS D. LINUX
A. 簇 B. 扇区 C. 柱面 D. 磁道
A. 每个盘片有两个面,这两个面都是用来存储数据的 B. 随着读写磁头沿着盘片半径方向上下移动,每个盘片被划分成若干个同心圆磁道 C. 磁道被划分成若干个段,每个段称为一个扇区。扇区的编号是按0,1,„„顺序进行的 D. 硬盘柱面、磁道、扇区的划分表面上是看不到任何物理痕迹的
A. 通过正则表达可以实现关键词模糊匹配和批量搜索 B. 未分配空间中的数据无法进行关键词搜索 C. 通过创建索引并不能加快关键词搜素的速度 D. 残留区域中的数据无法进行关键词搜索
A. 柱面 B. 扇区 C. 磁道 D. 簇
A. 取证过程中常用的硬盘镜像文件格式包括.DD/.AFF/.E01/.img/.vmdk/.gho等格式。 B. Aff与E01格式支持镜像压缩,可根据实际需求选择压缩比,减少文件占用的空间与镜像制作的时间。 C. 制作镜像的过程中一定要计算哈希值,用以确保和追溯嫌疑盘及其镜像文件中数据的原始性 D. 同一块硬盘制作出的任何格式镜像文件的哈希值一定是相同的。
A. 硬盘复制过程中不应该改变源盘中的数据 B. 硬盘复制过程中要先对源盘进行格式化 C. 硬盘复制前先接入硬盘再打开电源开关 D. 硬盘复制机不需要再接外接只读锁
微信支付 
支付宝支付