电子物证最终版

本重点所有内容都为个人猜测，仅为大家复习提供一个方向，是非不再辩诉，此版为最终版本，之后不再更新。最后感谢万一组合、满红姐对本重点的付出。另选择题在题库中，估计题库总题在80~150之间，建议大家像做科一般多做两遍即能达到很高的正确率。

电子物证

填空题

1．电子数据的特点：表现形式的多样性与复杂性、依赖介质与无形性、易破坏性、易复制性、时限性、易传播性。

2．电子数据的审查：客观性审查、关联性审查、法律性审查。

3．电子数据取证：现场勘查检查、远程勘验、电子物证检验。

4．电子物证的固定方法：完整性校验方法、备份方法、封存方法。

5．电子物证检验：提取数据、检验数据、分析数据并得出结果、形成鉴定文书4个阶段。

6．电子物证检验的常用技术和工具

① 保全备份技术及工具镜像——Linux dd命令、Encase、Forensic Toolkit、SafeBack、NTI；硬件克隆——The Forensic Dossier、DC8201、Image MASSter Solo-IV ② 数据擦除技术及工具同上

③ 数据恢复技术及工具FinalData。EasyRecovery。FileRecovery。PhotoRecovery。Encase。Forensic Toolkit。GetFree。R-Studio ④ 数据搜索技术及工具Encase。Forensic Toolkit。X-Ways Forensic资源管理器

⑤ 密码破解技术及工具Encase。Forensic Toolkit。X-Ways Forensic

⑥ 文件一致性检验技术及工具Encase。Forensic Toolkit。MD5SUM

7．存储介质的擦除：存储介质的擦除标准（ChinaBMB21-2007 （6次））、命令擦除法、软件擦除法、硬件擦除法 8．保全备份：命令备份法（#dd if=/dev/hdb of=/dev/hdc）软件备份法、硬件备份法 9．电子物证检验工具encase：

① 案例文件：一个案例详细信息的文件

② 证据文件：encase分析方法的核心部分是证据文件 ③ 哈希值：根据文件或磁盘内容生成的用于描述文件唯一性的数字，即数字指纹 ④ 文件签名：.doc、.jpeg ⑤ 文件松弛区：文件逻辑结束位置和物理结束位置之间的区域，这个区域的字节是以前文件残留下来的

⑥ GREP：#（0~9），？（重复0或者1次）详情P55,实际在多选题有出现过。 10．电子物证检验与分析过程与对应表单： ① 案件受理——《鉴定委托书》《固定电子证据清单》《封存电子证据清单》《委托鉴定检材清单》《原始证据使用记录》《鉴定受理登记表》《不予受理函》

② 检材的保存及处理——《送检（补充）检材和样本》

③ 检验与分析——《鉴定管理流程表》 ④ 相关文书的形成与签发——《鉴定文书审批单》《备考表》 ⑤ 出庭等。

11．案例管理及证据操作

案例结构：由证据文件、案例文件、encase程序配置文件3部分组成

证据操作：encase证据文件（.e01、.e02、.e03）包含已获取的设备内容，集合了可分析的元数据、设备的哈希值以及所获得的设备内容；逻辑证据文件（.101、.102、.103）包含了在预览嫌疑计算机中的文件时，复制出来的有代表性的个别文件；原始数据镜像；单个文件包括目录

12．证据的分析与检验文本样式包括 ① ASCII：美国信息交换标准代码 ② GB2312：国标码（中华人民共和国国家汉字信息交换用编码）

③ GB10830：国标10830汉字字符集 ④ Big-5：大五码（繁体中文字符集）

⑤ Unicode：统一码、万国码、单一码 ⑥ UTF-8：万国码 13．RAID：告诉你已知条件问你采取哪一种RAID级别。（如采用RAID0/1/2/3/4/5/6等） 14．数据搜索

物理搜索：不考虑逻辑存储关系，针对物理扇区进行搜索； 逻辑搜索：按照逻辑存储关系在文件中进行遍历搜索。 15．FTK2.0检验工具：是第一个且唯一的一个集成Oracle数据库的司法工具。 16．文件系统和存储层 应用级存储层 FAT或NTFS文件系统 文件 EXT2或EXT3文件系统 文件 目录 Inode或数据位图 块 分区 绝对扇区 19．常见的数据库日志：保存路径%ORACLE_BASE%\\admin\\SID\\bdump

注册表的键值：Windows日志目录项五大根键： HKCR：HKEY_CLASSES_ROOT(缩写HKCR) HKCU：HKEY_CURRENT_USER(缩写HKCU)

HKLM：HKEY_LOCAL_MACHINE(缩写HKLM)

HKU：HKEY_USER

HKCC：HKEY_CURRENT_CONFIG(缩写HKCC)

1.HKCU

（1）OpenSaveMRU——对话框窗口历史记录

（2）RecentDocs——最近运行文件 （3）RunMRU——开始—》运行执行过的命令

（4）UserAssist——用户访问过的系统对象

（5）TypedURLs——最近20个地址栏输入的URL地址及文件路径 2.HKLM

（1）Uninstall———计算机上的安装程序 （2）Run——自动运行的程序名及路径

信息分类层 目录或文件夹 存储空间管理层 FAT或MFT 分配单元层 簇 数据分类层 分区 物理层 绝对扇区或C/H/S 文件系统存储层 分配单元层没个分配单元的大小取决于3个方面：文件系统类别、分区大小和系统管理员的经验。

17．Quick View Plus：万能文件查看工具。 18．日志文件的检验 ① 日志保存路

径：%systemroot%\\system32\\config ② 应用程序日志后缀：AppEvent.evt ③ 安全日志后缀：SecEvent.evt ④ 系统日志后缀：SysEvent.evt ⑤ Win7日志多了一个XML的格式 ⑥ 服务器日志：Windows系统下网络服务器日志格式主要有：Microsoft IIS日志文件格式（Microsoft IIS Log Format)、NCSA公用日志文件格式（NCSA Common Log File Format)、W3C扩展日志文件格式（W3C Extended Log File Format）和ODBC日志记录格式（即根据已知英文你翻译对应的中文意思）

（3）HKLM Services——Windows服务程序 （4）GUID——网卡最后设置的IP地址、默认网关

（5）USB——所有的USB设备

（6）USBSTOR——曾经使用过的USB设备 20．交换文件的检验：交换文件即虚拟内存所使用的隐藏系统文件。当系统内存不足是，会把内存中临时不用的内容交换到页交换文件中，文件名为pagefile.sys。在命令行使用dir/ah

21．打印脱机文件：SHD是一个镜像文件，包含打印操作的信息；SPL是打印的数据。 22．删除文件的方法：

① 逻辑删除——即删除到回收站； ② 物理删除——清空回收站；

③ 粉碎删除——普通办法无法恢复； ④ 数据擦除——用软件对数据擦除，普通办法无法恢复。

23．回收站的特点：FAT文件系统为

RECYCLED，NTFS文件系统为RECYCLER，重命名DC0.X（X为文件后缀名） 24．Cookies文件的检验：在Cookies文件夹里面，格式为“用户名@网站[数字].X”（X为文件后缀名）

25．手机取证收缴手机的保管与封装 ①关闭状态不要开启。

②开启状态拍照记录或文字记录，记录屏幕上信息内容、时间，及时关闭

③隔离网络，防止外来短信和店货，需要手机信号屏蔽袋，用防静电指套装入防静电袋 26．SIM卡短信存储原理：每个SMS空间占176字节——第1个字节：Status（状态字节） ① 00000000——没使用 ② 00000001——已读 ③ 00000011——未读 ④ 00000101——已发 ⑤ 00000111——未发

27．IMEI通过手机输入*#06#查得

名词解释

28．电子证据定义：

广义——只要是以电子形式存储、处理、传输的信息都是电子数据。

狭义——即刑事诉讼法和民事诉讼中所规

定的电子数据，应该是指“由电子设备产生、存储或传输的有证据价值的电子数据”，即电子数据证据，简称电子证据。

29．电子物证检验：是指公安司法鉴定机构的电子数据鉴定人员按照技术规程，运用专业知识、仪器设备和技术方法，对受理委托鉴定的检材进行检查、验证、鉴别、判定、并出具检验鉴定意见的过程。

30．数据完整性校验：是指用一种特定的算法对原始数据计算出一个校验值，然后再对校验或保全备份的数据用同样的算法计算一次校验值，如果和原始数据计算的校验值一样，就说明数据是完整的。算法有Hash、MD5、SHA、CRC4种算法，使用最多的是hash。

31．电子数据取证的概念（不确定）：对能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设或电子设备中的电子数据的确定、收集、保护、分析、归档以及法庭出示的过程。

32．电子物证的概念（不确定）：保存与案/事件相关电子数据的电子设备、存储介质。

33．注册表的检验（可能是3选1）：分为联机注册表检验、远程注册表检验和脱机注册表检验。

① 联机注册表检验在被检验计算机上直接对注册表进行检验，检验方法可以直接使用操作系统自带的注册表编辑器或注册表编辑工具reg.exe进行检验。

② 远程注册表检验是通过网络对远程计算机的注册表进行联机检验，需要远程计算机开启Remote Registry服务，并且需要拥有登陆远程计算机的账号和密码。

③ 脱机注册表检验是指在电子物证检验工作站上对保全备份复件中的注册表进行的检验。

简答题

34．电子数据的法律地位：（也许让你列举几条法律）

① 《中华人民共和国刑法修正案（七）》 ② 《中华人民共和国刑事诉讼法》 ③ 《中华人民共和国民事诉讼法》

④ 《最高人民法院关于适用<中华人民共和国刑事诉讼法>的解释》

⑤ 《关于办理死刑案件审查判断证据若干问题的规定》

⑥ 《中国人民共和国行政诉讼法》 ⑦ 《公安机关办理行政案件程序规定》 证据：(一)物证; (二)书证 (三)被侵害人陈述和其他证人证言;(四)违法嫌疑人的陈述和申辩;(五)鉴定意见;（六)勘验、检查、辨认笔录，现场笔录;（七)视听资料、电子数据。

35．电子数据取证的原则： ① 及时性原则 ② 合法性原则 ③ 全面性原则

④ 专业人士取证或协助原则 ⑤ 潜在证人协助原则

⑥ 利用专用技术工具取证原则 ⑦ 保全设备和固定原则 ⑧ 保密原则。

36．电子物证检验的基本原则： ① 不要对原始数据进行直接分析

② 检验分析数据的计算机系统及辅助软件必须保证安全、可信 ③ 分析前对数据进行签名

④ 必须对检验过程中计算机系统的原始状态、周围环境、分析时的方法、具体操作产生的结果等进行详细描述和记录，并将文件归档，这些文件必须注明人员的姓名、操作时间、地点等附加说明

⑤ 必须对进行检验的检材做好防水、防磁、防静电、防振保护、交接要有记录。

37．QQ聊天记录的检验

①存储在%system%\\用户\\用户名\\我的文档\\TencentFiles\\QQ号码

②对于聊天过程中发送和接收的音频文件

可以在Audio文件夹进行浏览检验；

③对于聊天过程中接收的好友文件可以在FileRecv文件夹进行浏览检验；

④对于聊天过程中发送的图片可以通过Image文件夹进行浏览检验；

⑤聊天内容是以加密的方式保存在Msg2.0.db文件中。获得密钥时，可以将检验的QQ号码文件粘贴在检验使用的电脑QQ对应的文件夹中，登陆对方的QQ后即可查看聊天记录；不知道密钥时，通过电子数据取证工具设置关键字搜索，或许会在虚拟内存文件中找到聊天内容。

38．电子物证检验与分析条件（自行删减）① 电子物证检验与分析人员条件：

a.应该具有从事电子物证检验与分析所需要的专业知识和工作经验，经过公安司法部门的专业培训并考试合格，取得公安司法部门颁发的《电子数据鉴定人资格证书》后方可从事电子物证检验与分析工作

b.电子物证检验与分析人员应该具有良好的职业道德，应当依法独立、客观、公正地进行鉴定，并对自己作出的检验鉴定结论负责。

② 电子物证检验与分析实验室条件： a.环境条件（实验室的设施、检验场地及能源、照明、通风、湿度温度应满足检验需要）、b.设备条件（计算机、打印机、网络设备、扫描设备、数码相机、光盘刻录设备、局域网、各种类型接口设备、读卡器、碎纸机、复印机；专业设备有①硬盘复制设备②只读锁③数据擦除设备④动态仿真设备⑤密码解析设备⑥专用机/综合勘查平台⑦手机取证设备）、

c.软件条件（操作系统、系统软件、取证工具软件应是正版或经过权威部门认证，有虚拟机、office、WPS、Encase、X-Ways、EasyReconvery等）、

d.实验室管理条件（必须要有专门人员进行管理）。

39．文件的时间检验

① 如果修改时间等于创建时间，那么文件是原始文件，既没有被修改也没用被剪切。 ② 如果修改时间早于创建时间，则文件被修改或移动过。

③ 如果在硬盘上大量的文件具有很近的访问时间，这些文件极有可能被同一工具软件扫描过，比如杀毒软件。如果在一个文件夹的一些图像和视频文件有很近的访问时间，并且没有其他的图像和视频具有相似的访问时间，则这些图像和视频文件可能被一个图像或视频预览工具访问或打开过，例如Windows资源管理器以缩略图的方式查看。 ④ 在一个文件夹中，如果一些文件的修改时间等于创建时间，并且有很近的创建时间或者修改时间，那么这些文件有可能是从网上批量下载的。

⑤ 文件复制的时候，文件创建时间为复制时间，文件修改时间与源文件一致。 ⑥ 文件下载的时候，文件创建时间为开始下载的时间，文件修改时间为下载结束时间。用IE下载时是下载到临时目录再复制。 ⑦ 压缩文件解压时，通常情况下WinRAR、WinZIP下文件的创建时间为解压时间，文件修改时间与压缩的文件一致。

40．还有一个简答是从前三章出有5个小点，具体大家自己查阅猜测。

案例分析题步骤（从8.1~8.3三个里面抽） 进行检验步骤

① 对存储介质进行常规检验

提取 操作系统、本地用户、时区、网络配置、安装软件、服务、共享、网络映射、硬件信息。

② 对存储介质中删除文件的检验

<恢复>用取证大师或Encase软件搜索有删

除痕迹的常见文件，过滤.doc .txt .网页、图片文件信息。 ③ 针对性检验

<网络活动> 利用犯罪账户信息设置合适的搜索关键字。查找、恢复历史上网痕迹记录，查看IE地址栏、IE收藏夹、IE历史记录、临时文件、Cookie的记录。 ④ 结合案情深入分析

<数据库>过滤后台数据库信息，细化、明确实际交易情况，如涉案金额、人员、账号、物流等。

聊天工具下的聊天记录，分析、整理、导出文件。 使用软件提取XXX网页残留信息，转换为可视电子证据。

<水印>分析检材磁盘分区，查明创建、修改时间，从逻辑上检验检材真伪提取水印时间、查看是否与创建、修改时间保持一致，可能人为篡改、复制、移动过

以8.2网络敲诈为例分析

① 对找到的同一文件夹中图文件的时间属性分析，发现文件的创建时间和修改时间比较分散，基本可以确定绝大部分图片不是复制下来的，而是本机生产或编辑、修改的；

② 发现在敲诈信提及的发布色情图片的N个网址，可通过进一步调查，搜索上传网站的图片，并与本机图片的内容和文件时间属性进一步对比，判断网站上图片是否来源本机；

③ 本机登陆的QQ号的聊天记录中有询问关于看、录电视节目方法的信息，说明本机操作者有从电视节目中录制视频片段并截取案件相关图像的可能。

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库电子物证最终版在线全文阅读。