取证复习资料 10页

一、判断题1.()计算机取证一定要用取证软件来进行取证才能找到有效证据。2.()电子证据是指“以电子形式存在的、用作证据使用的一切材料及其派生物”。3.()收集到的电子证据只要是真实的就可以作为法庭的证据。二、名词解释题.1．动态取证.（内存数据,通讯状态,IE自动提交数据获取;通讯程序帐号/密码的获取;仿真运行的数据-例如财务数据/数据库）取证人员依照法律规定和取证程序，由具有法律资格人员对于开机或者联网状态下的计算机及其相关计算机设备（包括交换机，路由器等）的内存数据，系统运行状态等进行相关的数据实时监控，分析和保存。从中发现相关的犯罪证据，作出具有法律效应的检测分析报告以证明违法犯罪事实的存在。（通常采用动态仿真系统，将待分析的硬盘中的操作系统模拟运行起来，然后再进行取证分析，提取一些在静态取证过程中无法获得的数据（如系统中已保存的各种密码），以及分析木马、恶意代码程序等）2．静态取证.（各种存储介质的获取与复制）取证人员依照法律规定和取证程序，由具有法律资格人员对计算机硬件的原始数据进行保全，检查，分析，然后从中找出与案件有关的数字证据，并作出具有法律效应的检测分析报告以证明违法犯罪事实的存在。（就是直接分析硬盘中的文件内容，不需要将硬盘中的操作系统运行起来。）3．磁盘镜像.（指复制到相同功能的存储装置中以起到增强数据整合度，增强容错功能，增加吞吐量等作用。指复制到不同的装置或数据格式，主要用于数据备份）磁盘镜像”一词一般有两种不同含义。一种是指复制到相同功能的存储装置中以起到增强数据整合度，增强容错功能，增加吞吐量等作用（如RAID）。这时对应英文一般为DiskMirror，以下称为磁盘镜。另一种含义是指复制到不同的装置或数据格式，主要用于数据备份。这时对应英文一般为DiskImage，以下称为磁盘像。通常在使用中这两者都称为“镜像”或“磁盘镜像”。（：又称磁盘映像，是将两个或两个以上的磁盘或磁盘子系统上生成同一个数据的镜像视图。）4．只读锁.（通过屏蔽写信号，确保不会修改犯罪嫌疑人的硬盘）只读隔离保护器（只读锁）提供了计算机海量存储设备基于硬件的安全写保护方案，从硬件的层面阻止了写入通道，能有效的保护存储设备中的电子数据取证的安全性，数据能够从源盘读出来，但不会被意外修改，从而保证电子数据司法鉴定的有效性和数据完整性，是取证分析的必备工具。（：用于保护连接的硬盘中的数据，避免数据被篡改，确保电子介质的访问操作符合司法规范。）5．主动取证.主动取证是指主动获取犯罪证据，作为证明犯罪者非法行为的电子数据证据的技术。主要包括蜜网，蜜罐技术，动态监听与日志保全技术以及网络侦查陷阱。6．司法鉴定.司法鉴定是指在诉讼活动中鉴定人运用科学技术或者专门知识对诉讼涉及的专门性问题进行鉴别和判断并提供鉴定意见的活动。7．证据固定.（应当提取什么样的电子证据，如何提取并有效的固定电子证据，是问题的关键。1固定硬盘2部分文件的固定3固定易丢失的证据）\n证据固定是为保护证据的完整性，真实性，原始性，对证据固定和封存。针对电子证据的固定可分为，克隆硬盘，部分文件的固定，易丢失证据的固定。（由于有些证据因各种原因可能随时灭失或者发生变化，从而影响证据的认定，因此需要通过一些方式，把这些证据及时固定下来。）8．MD5.（为计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护）MD5全称是报文摘要算法常被用来验证网络文件传输的完整性，防止文件被人篡改。此算法对任意长度的信息逐位计算，产生一个二进制长度为128位（十六进制长度为32位）的“指纹”（或称“报文摘要”），而不同的文件产生相同的报文摘要的可能性非常小9．蜜罐技术没有业务上的用途，因此所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷，主要用以监视、检测和分析攻击。它用真实的或虚拟的系统模拟一个或多个易受攻击的主机，给入侵者提供一个容易攻击的目标，从而发现攻击者采用的手段。.（蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。）10.数字隐藏.数字隐藏（数据隐写术）是一种隐秘通信技术，它是将隐秘信息嵌入到其他正常媒体中，（如文本，图像，音频，视频）通过对藏有隐秘信息的载体的传输，实现隐秘信息的传递。（或者：数据隐写是将需要保密传输的信息隐藏在载体文件中，在载体文件的掩护下，秘密信息得以安全保密的传输，而且数据隐写术还可以和密码术进行有效的结合，进一步提高安全性）。（：或者采用将重要信息隐藏在一个看似平常的文件中来实现对重要信息的保密。）11.存储介质.（指存储数据的载体。软盘、光盘、DVD、硬盘、闪存、U盘、CF卡、SD卡、MMC卡、SM卡、记忆棒（MemoryStick）、xD卡等）存储介质是指存储数据的载体。比如软盘、光盘、DVD、硬盘、闪存、U盘、CF卡、SD卡、MMC卡、SM卡、记忆棒（MemoryStick）、xD卡等。目前最流行的存储介质是基于闪存（Nandflash）的，比如U盘、CF卡、SD卡、SDHC卡、MMC卡、SM卡、记忆棒、xD卡等。12.硬盘柱面、扇区、磁道.（磁盘柱面：所有盘面上的同一磁道构成一个圆柱扇区：信息以脉冲串的形式记录在这些轨迹中，这些同心圆不是连续记录数据，而是被划分成一段段的圆弧，每段圆弧叫做一个扇区（操作系统以扇区（Sector）形式将信息存储在硬盘上，每个扇区包括512个字节的数据和一些其他信息。）磁道：磁盘在格式化时被划分成许多同心圆，这些同心圆轨迹叫做磁道硬盘中，不同盘片相同半径的磁道所组成的圆柱称为柱面。磁盘上的每个磁道被等分为若干个弧段，这些弧段便是磁盘的扇区。硬盘的读写以扇区为基本单位当磁盘旋转时，磁头若保持在一个位置上，则每个磁头都会在磁盘表面划出一个圆形轨迹，这些圆形轨迹就叫做磁道。13.低格.（从硬盘生产厂家出品的硬盘通常还是“盲盘”，对其划分磁道和扇区这个工作必须完成以后才能在上面记录数据）低级格式化就是将空白的磁盘划分出柱面和磁道，再将磁道划分为若干个扇区，每个扇区又划分出标识部分ID、间隔区GAP和数据区DATA等。可见，低级格式化是高级格式化之前的一件工作，它不仅能在DOS环境来完成，也能在Windows\nNT系统下完成。而且低级格式化只能针对一块硬盘而不能支持单独的某一个分区。每块硬盘在出厂时，已由硬盘生产商进行低级格式化，因此通常使用者无需再进行低级格式化操作。（简称低格，也称硬盘物理格式化。它的作用是检测硬盘磁介质，划分磁道，为每个磁道划分扇区，并根据用户选定的交叉因子安排扇区在磁道中的排列顺序。）14.MBR.（即主引导记录区，位于整个硬盘的0磁道0柱面1扇区。它由两部分组成，分别是主引导记录MBR（mainbootrecord）和分区表DPT（diskpartitiontable）。）MBR，即主引导记录，是对IBM兼容机的硬盘或者可移动磁盘分区时，在驱动器最前端的一段引导扇区。MBR描述了逻辑分区的信息，包含文件系统以及组织方式。此外，MBR还包含计算机在启动的第二阶段加载操作系统的可执行代码或连接每个分区的引导记录（VBR）。这个MBR代码通常被称为引导程序。（：主引导记录区，位于整个硬盘的0磁道0柱面1扇区。它负责磁盘操作系统(DOS)对磁盘进行读写时分区合法性的判别、分区引导信息的定位，它由磁盘操作系统(DOS)在对硬盘进行初始化时产生的）15.分区.（就是将硬盘划分为一个个的逻辑区域。）分区：是物理磁盘的一部分，其作用如同一个物理分隔单元。分区通常指主分区或扩展分区。16.NTFS文件系统（是WindowsNT环境的文件系统。）是一个基于安全性的文件系统，它是建立在保护文件和目录数据基础上，同时照顾节省存储资源，减少磁盘占用量的一种先进的文件系统。.17.AES.高级加密标准（英语：AdvancedEncryptionStandard，缩写：AES），在密码学中又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES，已经被多方分析且广为全世界所使用。经过五年的甄选流程，高级加密标准由美国国家标准与技术研究院（NIST）于2001年11月26日发布于FIPSPUB197，并在2002年5月26日成为有效的标准。2006年，高级加密标准已然成为对称密钥加密中最流行的算法之一。（：高级加密标准，在密码学中又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准）18.DES.DES全称为DataEncryptionStandard，即数据加密标准，是一种使用密钥加密的块算法，1976年被美国联邦政府的国家标准局确定为联邦资料处理标准（FIPS），随后在国际上广泛流传开来。19.MAC地址.MAC（MediaAccessControl或者MediumAccessControl）地址，意译为媒体访问控制，或称为物理地址、硬件地址，用来定义网络设备的位置。在OSI模型中，第三层网络层负责IP地址，第二层数据链路层则负责MAC地址。因此一个主机会有一个MAC地址，而每个网络位置会有一个专属于它的IP地址。（物理地址、硬件地址，用来定义网络设备的位置。）20.IP地址.（互联网协议地址，是以TCP/IP协议进行数据通信的双方必须的、符合标准格式的节点（主机或路由器等）地址标识符，同一网络上联网的节点IP地址不能重复（冲突）。）IP地址是指互联网协议地址（英语：InternetProtocolAddress，又译为网际协议地址），是IPAddress的缩写。IP地址是IP协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。目前还有些ip代理软件，但大部分都收费。\n（互联网协议地址，IP地址是IP协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。）21.邮件客户端.（指使用IMAP/APOP/POP3/SMTP/ESMTP/协议收发电子邮件的软件。用户不需要登入邮箱就可以收发邮件。）邮件客户端通常指使用IMAP/APOP/POP3/SMTP/ESMTP/协议收发电子邮件的软件。用户不需要登入邮箱就可以收发邮件。（指使用IMAP/APOP/SMTP/ESMTP协议收发电子邮件的软件。用户不需要登入邮箱就可以收发邮件。）22.硬盘接口.（硬盘与主机系统间的连接部件，作用是在硬盘缓存和主机内存之间传输数据。现在的硬盘接口综合起来说可以分成如下几种：IDE（即ATA）、SCSI、IEEE1394（即火线）、SerialATA（串行ATA）与USB.）硬盘接口是硬盘与主机系统间的连接部件，作用是在硬盘缓存和主机内存之间传输数据。不同的硬盘接口决定着硬盘与计算机之间的连接速度，在整个系统中，硬盘接口的优劣直接影响着程序运行快慢和系统性能好坏。（：硬盘与主机系统间的连接部件，作用是在硬盘缓存和主机内存之间传输数据。）23.硬盘拷贝机.（指对硬盘进行复制，将硬盘的所有数据通过物理复制的方式进行克隆。常规的拷贝方式包括：硬盘到硬盘，分区到分区，硬盘到分区，分区到硬盘，硬盘到文件，分区到文件等方式。）是指对硬盘进行复制，将硬盘的所有数据通过物理复制的方式进行克隆。（又称硬盘拷贝机、硬盘克隆机，它是司法过程中对嫌疑人计算机取证的常用工具之一。用于硬盘对硬盘的复制，在实现完全复制的同时，可使用CRC、MD5等校验技术检验生成的复制数据与源硬盘数据的一致性。）24.系统日志.系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。系统日志包括系统日志、应用程序日志和安全日志。25.IDS.入侵检测系统IDS(IntrusionDetectionSystem)：完成入侵检测功能的软件、硬件组合，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警（入侵检测系统”。依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。）26.端口.（传输层提供应用程序与网络之间的各接口点称为端口，它是个预定义的内部地址（编号），以16位字标识，提供从应用程序到传输层或从传输层到应用程序之间的一条通路。）"端口"是英文port的意译，可以认为是设备与外界通讯交流的出口。端口可分为虚拟端口和物理端口，其中虚拟端口指计算机内部或交换机路由器内的端口，不可见。例如计算机中的80端口、21端口、23端口等。物理端口又称为接口，是可见端口，计算机背板的RJ45网口，交换机路由器集线器等RJ45端口。电话使用RJ11插口也属于物理端口的范畴。（或是设备与外界通讯交流的出口。端口可分为虚拟端口和物理端口，其中虚拟端口指计算机内部或交换机路由器内的端口，不可见。）27.SIM卡密码.SIM卡密码分为PIN码、PIN2码,PUK码和PUK2码共四种,这四种密码的初始码是由提供SIM卡的移动网络运营商提供的,四种密码的关系如下:\nPIN码(PIN1)是SIM卡的个人识別密码。•PUK码(PUK1)由8位数字组成,这是用户无法更改的。•PIN2码是设定手机计费时使用的。•如果PIN2码输入三次错误,手机就需要用PUK2码解锁28.系统启动项.就是开机的时候系统会在前台或者后台运行的程序。29.数字指纹.数字指纹是利用数字作品中普遍存在的元余数据与随机性,向被分发的每一份软件、图像或者其它数字拷贝中引人一定的误差,使得该拷贝是唯一的,从而可以在发现被非法再分发的拷贝时,可以根据该拷贝中的误差跟踪到不诚实原始购买者的一种数字作品版权保护技术。（或是将不同的标志性识别代码——指纹，利用数字水印技术嵌入到数字媒体中，然后将嵌入了指纹的数字媒体分发给用户。发行商发现盗版行为后，就能通过提取盗版产品中的指纹，确定非法复制的来源，对盗版者进行起诉，从而起到版权保护的作用。）-三、画图1.画出一般的加密解密过程。.2.画出计算机取证与司法鉴定的层次功能表.3.画出数字水印的嵌入和提取过程.4.画出信息隐藏系统的一般模型.5.TcP/IP协议与Is0(模型)的对应关系6.手机取证的一般流程.获取证物---提取数据---检查分析---报告分析四、分析1、计算机犯罪现场勘査基本步骤：（1）研究案情，观察、巡视现场，确定中心现场和勘查范围；（2）根据现场环境和案情，确定勘查顺序。一般以计算机为中心向外围勘查，对于比较大的现场可采用分片、分区的办法同时进行；（3）.用照相、录像、绘图、笔录等方法将原始现场“固定”下来。对显示器屏幕上图像、文字也要用照相、录像的方法及时取证。拍照屏幕显示内容时，相机速度应为1／30秒或更低，光圈为5.6或8，不要用闪光灯；\n（4）在确保不破坏计算机内部信息的前提下，寻找可能与犯罪有关的可疑痕迹物证，如手印、足迹、工具痕迹、墨水等痕迹，系统手册、运行记录、打印资料等文件，磁盘、磁带、光盘和优盘等存储器件。（或现场安保--现场拍照或记录现场设备连接状态—收集相关外部证物—处理计算机—是否关机—若是则提取系统时间/若不是则固定易丢失数据—介质复制—封存证物—填写清单）2、计算机取证、网络取证、手机取证的异同点分析.计算机取证：是指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据，并据此提起诉讼。网络取证：是抓取、记录和分析网络事件以发现安全攻击或其他的问题事件的来源。手机取证：是从手机SIM卡、手机内/外置存储卡以及移动网络运营商数据库中收集、保全和分析相关的电子证据,并最终从中获得具有法律效力、能被法庭所接受的证据的过程。计算机取证的主要方法有对文件的复制，被删除文件的恢复，缓冲区内容获取，系统日志分析等等，是一种被动式的事后措施，不特定于网络环境。网络取证更强调对网络安全的主动防御功能，主要通过对网络数据流，审计，主机系统日志等的实时监控和分析，发现对网络系统的入侵行为，记录犯罪证据，并阻止对网络系统的进一步入侵。取证的数据源不同数字证据只是片断或摘要容易被改变模糊的证据形式3、如何对一块带有操作系统的嫌疑硬盘进行取证.第一步：连接嫌疑硬盘将嫌疑人的硬盘与只读锁连接第二步：连接取证计算机第三步：连接只读锁电源第四步：开始工作4、分析说明对硬盘做司法鉴定报告里主要要有哪些内容?.一般包括标题、编号、基本情况、检案摘要、检验过程、检验结果、落款、附件及附注等内容。（一）标题：写明司法鉴定机构的名称和委托鉴定事项；　　（二）编号：写明司法鉴定机构缩略名、年份、专业缩略语、文书性质缩略语及序号；　　（三）基本情况：写明委托人、委托鉴定事项、受理日期、鉴定材料、鉴定日期、鉴定地点、在场人员、被鉴定人等内容。　　鉴定材料应当客观写明委托人提供的与委托鉴定事项有关的检材和鉴定资料的简要情况，并注明鉴定材料的出处；　　（四）检案摘要：写明委托鉴定事项涉及案件的简要情况；　　（五）检验过程：写明鉴定的实施过程和科学依据，包括检材处理、鉴定程序、所用技术方法、技术标准和技术规范等内容；　　（六）检验结果：写明对委托人提供的鉴定材料进行检验后得出的客观结果；\n　　（七）分析说明：写明根据鉴定材料和检验结果形成鉴定意见的分析、鉴别和判断的过程。引用的资料应当注明出处；　　（八）鉴定意见：应当明确、具体、规范，具有针对性和可适用性；　　（九）落款：由司法鉴定人签名或者盖章，并写明司法鉴定人的执业证号，同时加盖司法鉴定机构的司法鉴定专用章，并注明文书制作日期等；（十）附注：对司法鉴定文书中需要解释的内容，可以在附注中作出说明。　司法鉴定文书附件应当包括与鉴定意见、检验报告有关的关键图表、照片等以及有关音像资料、参考文献等的目录。附件是司法鉴定文书的组成部分，应当附在司法鉴定文书的正文之后。（或者报告包括有调查人员提供的分析结果、鉴定流程及使用的设备（软件、硬件）等详细描述。通常电子数据鉴定报告的容量较大，要求的报告形式也多种多样，可能包括图片、声音、影像等。因此，除提供纸页式的鉴定报告外，还会将大量数据资料作为附件存放在CD-ROM）5、系统用户分析包括哪些内容?.（1）用户列表（2）用户属性（3）用户相关的文档（所有权等）五、简答1.文档碎片在电子取证中有什么应用?.能够获取文件闲散区域中的内容,并能够利用搜索算法获取该内容的关键字等能够对存储介质上已删除的数据块进行恢复,但不能专门用来对文档碎片证据进行提取、分析等通过分析word文档作者信息和时间戳信息的存储方法和格式,从破损的word文档中提取作者信息和时间戳信息2.列举4种注册表在电子取证中的应用。.（1）查看和分析自启动位置可以给调查者提供线索，被调查的活动是用户执行的结果，还是恶意软件或攻击者执行的结果。(2)查看最近打开或存储的文件，可以得到近来关于用户活动的线索。（3）通过对犯罪嫌疑人计算机Windows注册表的查看和分析，调查员可以快速掌握其相关信息，如最后一次的登录时间、最近打开的网页、最近打开的文件和Outlook/OutlookExpress帐户密码等关键信息（4）通过大量分析注册表可以跟踪和定位攻击者，利用有效的技术手段把注册表文件作为有效证据起诉攻击者（或1可以查看最近使用文件列表；2、保留了可移动存储设备信息；3、查看和分析自启动位置可以给调查者提供线索：被调查的活动是用户执行的结果，还是恶意软件或攻击者执行的结果；4、可以查看用户信息项。）3.列举4种以上的网络证据源。（1.）手机短信形式电子证据的收集。（2.）电子邮件形式电子证据的收集。（3.）网络聊天形式电子证据材料的收集。.（4）防火墙日志，IDS日志，其它网络工具所产生的记录和日志等。（或1防火墙和路由器，2数据包嗅探器和协议分析器、3入侵检测系统、远程访问服务器、4安全事件管理（SEM）软件、5网络取证分析工具）4.如何获取易丢失的证据?.\n（1）打印。对网络犯罪案件在文字内容上有证明意义的情况下，可以直接将有关内容打印在纸张上的方式进行取证。（2）拷贝。是将计算机文件拷贝到软盘、活动硬盘或光盘中的方式。（3）拍照、摄像。如果该证据具有视听资料的证据意义，可以采用拍照、摄像的方法进行证据的提取和固定，以便全面、充分地反映证据的证明作用。同时对取证全程进行拍照、摄像，还具有增加证明力、防止翻供的作用。（4）制作司法文书。一般包括检查笔录和鉴定。（5）查封、扣押。对于涉及案件的证据材料、物件，为了防止有关当事人进行损毁、破坏，可以采取查封、扣押的方式，将有关材料置于司法机关保管之下。（6）公证。由于电子证据极易被破坏、一旦被破还又难以恢复原状，所以，通过公证机构将有关证据进行公证固定是获取电子证据的有效途径之一（或1．运行可信的cmd.exe程序2．记录系统时间和日期3．确定哪些人登录到该系统（包括远程用户）4．记录所有文件的创建、修改和访问时间5．确定打开的端口）5.“取证大师”能完成的工作有哪些?.静态存储介质分析、傻瓜式操作自动取证，在线状态下动态获取相关信息，简单操作打打勾就完成取证分析内容，方便快捷打印取证报告；提取各种硬盘中嫌疑人所安装的操作系统的各种信息包括操作系统开关机时间、安装日期、网络信息、服务信息、安装软件列表、共享文件夹信息、用户最后一次登录时间等；直接察看用户最近访问的文档、USB设备的使用情况；打印信息记录分析调查；上网记录分析调查；即时通讯软件聊天记录自动分析；邮件调查；全球领先的WEB邮件分析功能；反取证软件检测技术；文档自动分类和快速提取查找加密文件；（或自动取证；并行取证；电子邮件；即时通讯软件信息自动分析；上网记录自动分析；支持恢复已删除访问记录；文档自动分类和快速提取；直观的用户行为痕迹分析；独创的反取证软件检测；格式化分区数据恢复；支持对加密光盘进行调查。）6.实际取证一般要用哪些工具设备\n常用的计算机取证设备有ENCASEX-WAYSFTK效率源DataCompass等工具。目前国内的计算机取证设备不少，包括DataCopyKing多功能复制擦除检测一体机、DataCompass数据指南针司法取证专版（简称DC）、网警计算机犯罪取证勘察箱等。（或电子证据只读锁；硬盘复制机；现场取证勘查箱；高性能取证分析综合平台；动态仿真系统；密码恢复系统。）7.常见硬盘接口类型及差异分析从整体的角度上，硬盘接口分为IDE、SATA、SCSI和光纤通道四种。（1）IDE硬盘IDE和ATA是一种硬盘,分为33,66,100,133接口频率。（2）SATASATA,就是现在的主流,串口硬盘；又分为SATA1为150频率，SATA2具说可达到速度可达300M/S。（3）SCIS硬盘SCIS硬盘主要用于服务器,可达万转以上.性能最强。一般分为50针、68针和80针三种。（4）光纤通道硬盘光纤通道的主要特性有：热插拔性、高速带宽、远程连接、连接设备数量大8.如何应用关联分析来进行网络取证?在电子数据的鉴定过程中，可以应用关联分析技术，对各种线索进行关联分析，发掘同一事件的不同数据间的联系。如：用户名关联，密码关联，时间关联，关系人关联。9.如何控掘文档碎片中的证据?.文档碎片的获取技术必须结合文档系统存储介质底层技术以及结合内存获取技术来获取必要的文档碎片,比如交换分区中文档碎片的获取等（文档碎片数据的获取）利用可信技术中的完整性度量存储和报告特征使得检测文档碎片中的有害代码变得容易.数字调查人员就能够来检测软件损害以及系统内的恶意代码等（文档碎片有害代码检测）当取证调查人员在取证过程中,收集到文档碎片集合后,对文档碎片按照合适的类型进行分类（文档碎片分类）进行文档碎片的重组分析（文档碎片重组）10.反取证技术的研究有什么意义?.（1）可以了解入侵者有哪些常用手段用来掩盖甚至擦除入侵痕迹（2）可以在了解这些手段的基础上，开发出更加有效，实用的计算机取证工具，从而加大对计算机犯罪的打击力度，保证信息系统的安全性。11.手机取证的证据源有哪些?.手机的SIM卡、手机内存、外置存储卡、移动运营商和短信服务提供商。12.简述WINDOWS文件系统数据恢复的基本原理。..我们在创建文件的时候，文件系统会创建文件文件名、属性信息、文件内容，但我们在删除文件的时候，文件系统只会将我们的文件属性设置为“已删除”，将我们文件内容所占的空间设置为未使用，这样文件系统的shell(windows系统就是explorer)就不会显示出已删除的文件，磁盘上的文件，如果我们没有彻底的粉碎它，只是按了一下delete按钮，那它的内容仍然存在在我们的磁盘上，只不过文件系统的shell向我们撒了谎，并没有显示它。因此，只要我们能够掌握文件系统的实现原理，就可以将delete的文件找回来，这就是为什么会有数据恢复软件存在的根本原因。13.数据恢复技术在电子取证中有哪些应用利用数据恢复技术进行电子取证：1提取删除和格式化后的数据2空闲存储空间及残留数据分析3设备破坏后数据的提取\n