本重点所有内容都为个人猜测，仅为大家复习提供一个方向，是非不再辩诉，此版为最终版本，之后不再更新。

最后感谢万一组合、满红姐对本重点的付出。

另选择题在题库中，估计题库总题在80~150之间，建议大家像做科一般多做两遍即能达到很高的正确率。

电子物证填空题1．电子数据的特点：表现形式的多样性与复杂性、依赖介质与无形性、易破坏性、易复制性、时限性、易传播性。

2．电子数据的审查：客观性审查、关联性审查、法律性审查。

3．电子数据取证：现场勘查检查、远程勘验、电子物证检验。

4．电子物证的固定方法：完整性校验方法、备份方法、封存方法。

5．电子物证检验：提取数据、检验数据、分析数据并得出结果、形成鉴定文书4个阶段。

6．电子物证检验的常用技术和工具①保全备份技术及工具镜像——Linux dd 命令、Encase、Forensic Toolkit、SafeBack、NTI；硬件克隆——The Forensic Dossier、DC8201、Image MASSter Solo-IV②数据擦除技术及工具同上③数据恢复技术及工具FinalData。

EasyRecovery。

FileRecovery。

PhotoRecovery。

Encase。

Forensic Toolkit。

GetFree。

R-Studio ④数据搜索技术及工具Encase。

Forensic Toolkit。

X-Ways Forensic资源管理器⑤密码破解技术及工具Encase。

Forensic Toolkit。

X-Ways Forensic⑥文件一致性检验技术及工具Encase。

Forensic Toolkit。

MD5SUM7．存储介质的擦除：存储介质的擦除标准（ChinaBMB21-2007 （6次））、命令擦除法、软件擦除法、硬件擦除法8．保全备份：命令备份法（#dd if=/dev/hdb of=/dev/hdc）软件备份法、硬件备份法9．电子物证检验工具encase：①案例文件：一个案例详细信息的文件②证据文件：encase分析方法的核心部分是证据文件③哈希值：根据文件或磁盘内容生成的用于描述文件唯一性的数字，即数字指纹④文件签名：.doc、.jpeg⑤文件松弛区：文件逻辑结束位置和物理结束位置之间的区域，这个区域的字节是以前文件残留下来的⑥GREP：#（0~9），？（重复0或者1次）详情P55,实际在多选题有出现过。

10．电子物证检验与分析过程与对应表单：①案件受理——《鉴定委托书》《固定电子证据清单》《封存电子证据清单》《委托鉴定检材清单》《原始证据使用记录》《鉴定受理登记表》《不予受理函》②检材的保存及处理——《送检（补充）检材和样本》③检验与分析——《鉴定管理流程表》④相关文书的形成与签发——《鉴定文书审批单》《备考表》⑤出庭等。

11．案例管理及证据操作案例结构：由证据文件、案例文件、encase程序配置文件3部分组成证据操作：encase证据文件（.e01、.e02、.e03）包含已获取的设备内容，集合了可分析的元数据、设备的哈希值以及所获得的设备内容；逻辑证据文件（.101、.102、.103）包含了在预览嫌疑计算机中的文件时，复制出来的有代表性的个别文件；原始数据镜像；单个文件包括目录12．证据的分析与检验文本样式包括①ASCII：美国信息交换标准代码②GB2312：国标码（中华人民共和国国家汉字信息交换用编码）③GB10830：国标10830汉字字符集④Big-5：大五码（繁体中文字符集）⑤Unicode：统一码、万国码、单一码⑥UTF-8：万国码13．RAID ：告诉你已知条件问你采取哪一种RAID级别。

（如采用RAID0/1/2/3/4/5/6等）14．数据搜索物理搜索：不考虑逻辑存储关系，针对物理扇区进行搜索；逻辑搜索：按照逻辑存储关系在文件中进行遍历搜索。

15．FTK2.0检验工具：是第一个且唯一的一个集成Oracle数据库的司法工具。

16．文件系统和存储层分配单元层没个分配单元的大小取决于3个方面：文件系统类别、分区大小和系统管理员的经验。

17．Quick View Plus：万能文件查看工具。

18．日志文件的检验①日志保存路径：%systemroot%\system32\config②应用程序日志后缀：AppEvent.evt③安全日志后缀：SecEvent.evt④系统日志后缀：SysEvent.evt⑤Win7日志多了一个XML的格式⑥服务器日志：Windows系统下网络服务器日志格式主要有：Microsoft IIS日志文件格式（Microsoft IIS Log Format)、NCSA公用日志文件格式（NCSA Common Log File Format)、W3C扩展日志文件格式（W3C Extended Log File Format）和ODBC日志记录格式（即根据已知英文你翻译对应的中文意思）19．常见的数据库日志：保存路径%ORACLE_BASE%\admin\SID\bdump 注册表的键值：Windows日志目录项五大根键：HKCR：HKEY_CLASSES_ROOT(缩写HKCR)HKCU：HKEY_CURRENT_USER(缩写HKCU)HKLM：HKEY_LOCAL_MACHINE(缩写HKLM)HKU：HKEY_USERHKCC：HKEY_CURRENT_CONFIG(缩写HKCC)1.HKCU（1）OpenSaveMRU——对话框窗口历史记录（2）RecentDocs——最近运行文件（3）RunMRU——开始—》运行执行过的命令（4）UserAssist——用户访问过的系统对象（5）TypedURLs——最近20个地址栏输入的URL地址及文件路径2.HKLM（1）Uninstall———计算机上的安装程序（2）Run——自动运行的程序名及路径FAT或NTFS 文件系统EXT2或EXT3文件系统应用级存储层文件文件信息分类层目录或文件夹目录存储空间管理层FAT或MFT Inode或数据位图分配单元层簇块数据分类层分区分区物理层绝对扇区或C/H/S绝对扇区文件系统存储层（3）HKLM Services——Windows服务程序（4）GUID——网卡最后设置的IP地址、默认网关（5）USB——所有的USB设备（6）USBSTOR——曾经使用过的USB设备20．交换文件的检验：交换文件即虚拟内存所使用的隐藏系统文件。

当系统内存不足是，会把内存中临时不用的内容交换到页交换文件中，文件名为pagefile.sys。

在命令行使用dir/ah21．打印脱机文件：SHD是一个镜像文件，包含打印操作的信息；SPL是打印的数据。

22．删除文件的方法：①逻辑删除——即删除到回收站；②物理删除——清空回收站；③粉碎删除——普通办法无法恢复；④数据擦除——用软件对数据擦除，普通办法无法恢复。

23．回收站的特点：FAT文件系统为RECYCLED，NTFS文件系统为RECYCLER，重命名DC0.X（X为文件后缀名）24．Cookies文件的检验：在Cookies文件夹里面，格式为“用户名@网站[数字].X”（X 为文件后缀名）25．手机取证收缴手机的保管与封装①关闭状态不要开启。

②开启状态拍照记录或文字记录，记录屏幕上信息内容、时间，及时关闭③隔离网络，防止外来短信和店货，需要手机信号屏蔽袋，用防静电指套装入防静电袋26．SIM卡短信存储原理：每个SMS空间占176字节——第1个字节：Status（状态字节）①00000000——没使用②00000001——已读③00000011——未读④00000101——已发⑤00000111——未发27．IMEI通过手机输入*#06#查得名词解释28．电子证据定义：广义——只要是以电子形式存储、处理、传输的信息都是电子数据。

狭义——即刑事诉讼法和民事诉讼中所规定的电子数据，应该是指“由电子设备产生、存储或传输的有证据价值的电子数据”，即电子数据证据，简称电子证据。

29．电子物证检验：是指公安司法鉴定机构的电子数据鉴定人员按照技术规程，运用专业知识、仪器设备和技术方法，对受理委托鉴定的检材进行检查、验证、鉴别、判定、并出具检验鉴定意见的过程。

30．数据完整性校验：是指用一种特定的算法对原始数据计算出一个校验值，然后再对校验或保全备份的数据用同样的算法计算一次校验值，如果和原始数据计算的校验值一样，就说明数据是完整的。

算法有Hash、MD5、SHA、CRC4种算法，使用最多的是hash。

31．电子数据取证的概念（不确定）：对能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设或电子设备中的电子数据的确定、收集、保护、分析、归档以及法庭出示的过程。

32．电子物证的概念（不确定）：保存与案/事件相关电子数据的电子设备、存储介质。

33．注册表的检验（可能是3选1）：分为联机注册表检验、远程注册表检验和脱机注册表检验。

①联机注册表检验在被检验计算机上直接对注册表进行检验，检验方法可以直接使用操作系统自带的注册表编辑器或注册表编辑工具reg.exe进行检验。

②远程注册表检验是通过网络对远程计算机的注册表进行联机检验，需要远程计算机开启Remote Registry服务，并且需要拥有登陆远程计算机的账号和密码。

③脱机注册表检验是指在电子物证检验工作站上对保全备份复件中的注册表进行的检验。

简答题34．电子数据的法律地位：（也许让你列举几条法律）①《中华人民共和国刑法修正案（七）》②《中华人民共和国刑事诉讼法》③《中华人民共和国民事诉讼法》④《最高人民法院关于适用<中华人民共和国刑事诉讼法>的解释》⑤《关于办理死刑案件审查判断证据若干问题的规定》⑥《中国人民共和国行政诉讼法》⑦《公安机关办理行政案件程序规定》证据：(一)物证; (二)书证(三)被侵害人陈述和其他证人证言;(四)违法嫌疑人的陈述和申辩;(五)鉴定意见;（六)勘验、检查、辨认笔录，现场笔录;（七)视听资料、电子数据。

35．电子数据取证的原则：①及时性原则②合法性原则③全面性原则④专业人士取证或协助原则⑤潜在证人协助原则⑥利用专用技术工具取证原则⑦保全设备和固定原则⑧保密原则。

36．电子物证检验的基本原则：①不要对原始数据进行直接分析②检验分析数据的计算机系统及辅助软件必须保证安全、可信③分析前对数据进行签名④必须对检验过程中计算机系统的原始状态、周围环境、分析时的方法、具体操作产生的结果等进行详细描述和记录，并将文件归档，这些文件必须注明人员的姓名、操作时间、地点等附加说明⑤必须对进行检验的检材做好防水、防磁、防静电、防振保护、交接要有记录。

37．QQ聊天记录的检验①存储在%system%\用户\用户名\我的文档\TencentFiles\QQ号码②对于聊天过程中发送和接收的音频文件可以在Audio文件夹进行浏览检验；③对于聊天过程中接收的好友文件可以在FileRecv文件夹进行浏览检验；④对于聊天过程中发送的图片可以通过Image文件夹进行浏览检验；⑤聊天内容是以加密的方式保存在Msg2.0.db文件中。