取证复习资料 11页

一、判断题1.（）计算机取证一定要川取证软件来进行取证方能找到有效证据。2.（）电子证据是指“以电子形式存在的、用作证据使用的一切材料及其派生物”。3.（）收集到的电子证据只要是真实的就可以作为法庭的证拋。二、名词解释题.1.动态収证.（内存数据，通讯状态，IEft动提交数据获取;通讯程序帐号/密码的获収;仿真运行的数据-例如财务数据/数据库）取证人员依照法律规定和取证程序，由具奋法律资格人员对于开机或者联网状态卜'的计算机及K相关计算机设备（包栝交换机，路由器等）的A存数裾，系统运行状态等进行相关的数据实吋监控，分析和保存。从屮发现相关的犯罪证掘，作出具有法律效应的检测分析报告以证明违法犯罪事实的存在。（通常采用动态仿真系统，将待分析的硬盘中的操作系统模拟运行起来，然后再进行取证分析，提取一些在静态取证过程中无法获得的数据（如系统中已保存的各种密码），以及分析木马、恶意代码程序等）2.静态取证.（各种存储介质的获取与fi制）取证人员依照法律规定和収证程序，由A有法律资格人员对计筇机硬件的原始数据进行保全，检查，分析，然后从中找出与案件有关的数字证据，并作出具有法律效应的检测分析报告以证明违法犯罪事实的存在。（就是直接分析硬盘中的文件内容，不需要将硬盘中的操作系统运行起来。）3.磁盘镜像.（指制到相同功能的存储装置中以起到增强数据整介度，增强容错功能，增加吞吐量等作用。指复制到不同的装置或数据格式，主要用于数裾备份）磁盘镜像”一词一般有两种不同含义。一种是指复制到和M功能的存储装置中以起到增强数据整合度，增强容错功能，增加吞吐量等作用（如RAID）。这时对应英文一般为DiskMirror,以卜称为磁盘镜。M—种含义是指复制到不同的装置或数裾格式，主要用于数裾备份。这时对应英文一般为DiskImage,以卜‘称为磁盘像。通常在使川屮这两者都称为“镜像”或“磁盘镜像”。（:又称磁盘映像，是将两个或两个以上的磁盘或磁盘子系统上生成同一个数据的镜像视图。）4.只读锁.（通过屏蔽写信号，确保不会修改犯罪嫌疑人的硬盘）只读隔离保护器（只读锁）提供了计算机海fi存储设备菽于硬件的安全写保护方案，从硬件的®面阻止了写入通道，能有效的保护存储设备中的屯子数据収证的安全性，数据能够从源盘读出来，但不会被意外修改，从而保证电了数据司法鉴定的冇效性和数据完整性，是取证分析的必备工具。（:用于保护连接的硬盘中的数据，避免数据被篡改，确保电子介质的访问操作符合司法规范。）5.主动取证.主动取证是指主动获取犯罪证据，作为证明犯罪者非法行为的电子数据证据的技术。主要包括蜜网，蜜罐技术，动态监听与日志保全技术以及网络侦査陷阱。6.司法鉴定.nJ法鉴定是指在诉讼活动中鉴定人运用科学技术或者专门知识对诉讼涉及的专门性问题进行鉴別和判断并提供鉴定意见的活动。7.证据凼定.（应当提取什么样的电子证据，如何提取并有效的凼定电子证据，是M题的关键。1固定硬盘2部分文件的固定3固定易丢失的证据）\n证据固定是为保护证椐的完整性，真实性，原始性，对证裾固定和封存。针对电了证据的固定可分为，克隆硬盘，部分文件的岡定，易丢失证据的同定。（由于有些证据因各种原因可能随时灭失或者发生变化，从而影响证据的认定，因此需要通过一些方式，把这些证据及时固定下来。）1.MD5.（为计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护）MD5全称是报文摘要总法常被用来验证M络文件传输的完整性，防止文件被人篡改。此算法对任意长度的信息逐位计算，产生一个二进制K度为128位（十六进制长度为32位）的“指纹”（或称“报文摘要”），而不同的文件产生相同的报文摘要的可能性非常小2.蜜鰌技术没有业务上的用途，因此所柯流入/流出蜜罐的流朵都预示着扫描、攻击及攻陷，主要用以监视、检测和分析攻击。它川真实的或虚拟的系统模拟一个或多个易受攻击的主机，给入侵者提供一个容易攻击的目标，从而发现攻击者采用的手段。.（蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。）3.数字隐藏.数字隐藏（数据隐写术）是一种隐秘通信技术，它是将隐秘信息嵌入到芄他正常媒体屮，（如文本，图像，音频，视频）通过对藏有隐秘信息的载体的传输，实现隐秘信息的传递。（或者：数据隐写是将需要保密传输的信息隐藏在载体文件中，在载体文件的掩护下，秘密信息得以安全保密的传输，而且数据隐写术还可以和密码术进行有效的结合，进一步提高安全性）。（：或者采用将重要信息隐藏在一个看似平常的文件中来实现对重要信息的保密。）4.存储介质.（指存储数据的载体。软盘、光盘、DVD、硬盘、闪存、U盘、CF卡、SD卡、MMC卡、SM卡、记忆棒（MemoryStick）、xD卡等）存储介质是指存储数据的载体。比如软盘、光盘、DVD、硬盘、闪存、U盘、CFP、SD卡、MMC卡、SM卡、记忆摊（MemoryStick）、xD卡等。目侃最流行的存储介质足基于闪存（Nandflash）的，比如U盘、CF卡、SD卡、SDHC卡、MMC卡、SM卡、记忆棒、xD卡等。5.硬盘柱面、扇区、磁道.（磁盘柱面：所有盘面上的同一磁道构成一个圆柱扇区：信息以脉冲中的形式记录在这些轨迹中，这些M心圆不是连续记录数据，而是被划分成一段段的圆弧，每段圆弧叫做一个扇区（操作系统以扇区（Sector）形式将信息存储在硬盘上，每个扇区包括512个字节的数据和一些其他信息。）磁道：磁盘在格式化时被划分成许多同心圆，这些同心圆轨迹叫做磁道硬盘中，不同盘什相同半径的磁道所组成的閼柱称为柱而。磁盘上的每个磁道被等分为若干个弧段，这些弧段便是磁盘的扇区。硬盘的读写以扇区为基本单位当磁盘旋转吋，磁头若保持在一个位置上，则每个磁头都会在磁盘表面划出一个圆形轨迹,这些圆形轨迹就叫做磁道。6.低格.（从硬盘生产厂家出品的硬盘通常还是“盲盘”，对其划分磁道和扇区这个工作必须完成以后才能在上而记录数据）低级格忒化就是将空a的磁盘划分出柱而和磁道，再将磁道划分为荇t•个扇区，每个扇区乂\n划分出标识部分ID、间隔区GAP和数据区DATA等。可见，低级格式化是高级格式化之前的一件工作，它不仅能在DOS环境来完成，也能在WindowsNT系统下完成。而且低级格式化从能针对一块硬盘Klj不能支持单独的某一个分区。每块硬盘在岀厂吋，已由硬盘生产尚进行低级格式化，因此通常使用者无需再进行低级格式化操作。（简称低格，也称硬盘物理格式化。它的作用是检测硬盘磁介质，划分磁道，为每个磁道划分扇区，并根据用户选定的交叉因子安排扇区在磁道中的排列顺序。）1.MBR.（即主引导记录区，位于整个硬盘的0磁道0柱Ifti1扇区。它由两部分组成，分别是主引导记录MBR（mainbootrecord）和分区表DPT（diskpartitiontable）。）MBR,即主引导记录，是对IBM兼容机的硬盘或者可移动磁盘分区吋，在驱动器最前端的一段引导扇区。MBR描述了逻辑分区的信息，包含文件系统以及组织方式。此外，MBR还包含计算机在启动的第二阶段加载操作系统的可执行代码或连接每个分区的引导记录（VBR）。这个MBR代码通常被称为引导程序。（:主引导记录区，位于整个硬盘的0磁道0柱面1扇区。它负责磁盘操作系统（DOS）对磁盘进行读写时分区合法性的判别、分区引导信息的定位，它由磁盘操作系统（DOS）在对硬盘进行初始化时产生的）2.分区.（就是将硬盘划分为一个个的逻辑区域。）分区：足物现磁盘的一部分，其作川如同一个物理分隔单元。分区通常指主分区或扩展分区。3.NTFS文件系统（是WindowsNT环境的文件系统。）是一个菽于安全性的文件系统，它是建立在保护文件和FI录数据菽础h,同时照顾节省存储资源，减少磁盘占川量的一种先进的文件系统。.4.AES.商级加密标准（英语：AdvancedEncryptionStandard,缩写：AES），在密码学中乂称Rijndael加密法，是美国联邦政府釆用的一•种区块加密标准。这个标准用来替代原先的DES,己经被多方分析且广为全世界所使用。经过五年的甄选流程，高级加密标准山美国国家标准与技术研究院（NIST）于2001年11月26円发布于FIPSPUB197,并在2002年5月26R成为科效的称准。2006年，商级加密标准已然成为对称密钥加密屮最流行的算法之一。（:高级加密标准，在密码学中又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准）5.DES.DES全称为DataEncryptionStandard,即数据加密标准,是一种使用密钥加密的块算法，1976年被笑国联邦政府的国家怀准局确定为联邦资料处理标准（FIPS）,随后在国际上广泛流传开来。6.MAC地址.MAC（MediaAccessControl或者MediumAccessControl）地址，意译力媒体访M控制，或称为物理地址、硬件地址，用來定义网络设备的位置。在0S1模型中，第三层网络层负责1P地址，第二层数据链路层则负责MAC地址。因此一个主机会奋•一个MAC地址，而每个网络位置会有一个专属于它的IP地址。（物理地址、硬件地址，用来定义网络设备的位置。）7.IP地址.（互联网协议地址，是以TCPJP协议进行数据通信的双方必须的、符合标准格式的节点（主机或路曲器等）地址标识符，同一网络上联网的节点1P地址不能重复（冲突）。）IP地址是指互联M协议地址（奥语：InternetProtocolAddress,又译为网际协议地址），是IPAddress的缩写。IP地址是IP协议提供的一种统一的地址格式，它为互联网上的每-•个网\n络和毎一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。n前还有些ip代理软件,但大部分都收赀。（互联网协议地址，ip地址是ip协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。）1.邮件客广端.（指使用1MAP/AP0P/P0P3/SMTP/ESMTP/协议收发电子邮件的软件。用户不需要登入邮箱就可以收发邮件。）邮件客P端通常指使用IMAP/APOP/POP3/SMTP/ESMTP/协议收发电子邮件的软件。用P不需要登入邮箱就可以收发邮件。（指使用IMAP/APOP/SMTP/ESMTP协议收发电子邮件的软件。用户不需要登入邮箱就可以收发邮件。）2.硬盘接口.（硬盘与主机系统间的连接部件，作用是在硬盘缓存和主机内存之间传输数据。现在的硬盘接UI综合起来说可以分成如卜‘几种：IDE（即ATA）、SCSI、IEEE1394（即火线）、SerialATA（串行ATA）与USB.）硬盘接口是硬盘与主机系统间的连接部件，作用是在硬盘缓存和主机内存之间传输数据。不同的硬盘接口决定着硬盘与计算机之间的连接速度，在整个系统中，硬盘接口的优劣直接影响着程序运行快慢和系统性能好坏。（:硬盘与主机系统间的连接部件，作用是在硬盘缓存和主机内存之间传输数据。）3.硬盘拷W机.（指对硬盘进行S制，将硬盘的所有数据通过物理S制的方式进行克隆。常规的拷W方式也括：硬盘到硬盘，分区到分区，硬盘到分区，分区到硬盘，硬盘到文件，分区到文件等方式。）足指对硬盘进行复制，将硬盘的所奋数据通过物理复制的方式进行克隆。（又称硬盘拷贝机、硬盘克隆机，它是司法过程中对嫌疑人计算机取证的常用工具之一。用于硬盘对硬盘的复制，在实现完全复制的同时，可使用CRC、MD5等校验技术检验生成的复制数据与源硬盘数据的一致性。）4.系统曰志.系统円志是记录系统中硬件、软件和系统问题的信息，M时还nJ以监视系统中发生的事件。用户可以通过它来检杏错误发生的原因，或者寻找受到攻布时攻缶者留下的痕迹。系统日志包括系统日志、应用程序LI志和安全U志。5.IDS.入侵检测系统IDS（lntrusionDetectionSystem）：完成入佼检测功能的软件、硬件组合，该系统对系统资源的非授权使用能够做出及时的判断、记录和报膂（入侵检测系统”。依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。）6.端II.（传输层提供应用程序与网络之W的各接口点称为端口，它是个预定义的内部地址（编号），以16位字标识，提供从应用程序到传输层或从传输层到应用程序之间的一•条通路。）"端U"是英文port的意译，可以认为是设备与外界通讯交流的出U。端U可分为虚拟端1_1和物理端口，K•中虚拟端口指计算机A部或交换机路由器内的端口，不可见。例如计算机中的80端口、21端口、23端口等。物理端口又称为接口,是可见端口,计算机背板的RJ45网口，交换机路凼器集线器等RM5端口。电诂使用R门1插口也属于物理端口的范畴。（或是设备与外界通讯交流的出口。端口可分为虚拟端口和物理端口，其中虚拟端口指计算机内部或交换机路由器内的端口，不可见。）\n27.SIM卡密码.SIM[:•密码分为PIN码、PIN2奶，PUK码和PUK2码共四种，这四种密码的初始码是由提供SIM卡的移动网络运营商提供的，四种密码的关系如卜\nPIN码(PIN1)是SIM卡的个人识別密码。•PUK码(PUK1)由8位数字组成，这是用户无法更改的。•HN2码是设定手机计费吋使川的。•如來PIN2码输入三次错误，手机就需要用PUK2码解锁28.系统启动项.就是开机的时候系统会在前台或者台运行的程序。29.数字指纹.数字指纹是利用数字作品中啓遍存在的元余数据与随机性，A被分发的每一份软件、阁像或者它数字拷W屮引人一定的误差，使得该拷W是唯一的，从而可以在发现被非法再分发的拷W吋，可以根据该拷W屮的误差跟踪到不诚实原始购买者的一种数字作品版权保护技术。(或是将不同的标志性识别代码——指纹，利用数字水印技术嵌入到数字媒体中，然后将嵌入了指纹的数字媒体分发给用户。发行商发现盗版行为后，就能通过提取盗版产品中的指纹，确定非法复制的来源，对盗版者进行起诉，从而起到版权保护的作用。)，三、画图1.画出一般的加密解密过程。.2.岡出计算机取证与司法鉴定的层次功能表.3.画出数字水印的嵌入和提取过程.4.O出信息隐藏系统的一般模型.5.TcP/IP协议与IsO(模型)的对;、V:关系在模型中不存在6.手机取证的一般流程.获取证物---提取数据…检查分析---报告分析四、分析1、计算机犯罪现场勘査基本步骤：(1)研究案悄，观察、巡视现场，确定中心现场和勘査范围；(2)根裾现场环境和案情，确定勘杏顺序。一般以计算机为屮心句外M勘杏，对于比较人的现场可采用分什、分区的办法同时进行；(3).用照相、录像、绘图、笔录等方法将原始现场“固定”下来。对姑示器屏幕上图像、文字也要用照相、录像的方法及时取证。拍照屏幕显示内容时，相机速度应为1/30秒或更\n低，光圈为5.6或8,不要川闪光灯；（4）在确保不破坏计算机内部信息的前提下，寻找可能与犯罪有关的可疑痕迹物证，如手印、足迹、工具痕迹、墨水等痕迹，系统手册、运行记录、打印资料等文件，磁盘、磁带、光盘和优盘等存储器件。（或现场安保••现场拍照或记录现场设备连接状态一收集相关外部证物一处理计算机一是否关机一若是则提取系统时间/若不是则固定易丢失数据一介质复制一封存证物一填写清单）2、计算机取证、网络取证、手机取证的异同点分析.计算机取证：是指运用计算机辨析技水，对计算机犯罪行为进行分析以确汄罪犯及计算机证据，并裾此提起诉讼。网络取证：是抓取、记录和分析网络事件以发现安全攻击或其他的M题事件的来源。手机取证：是从手机SIM卡、手机内/外置存储卡以及移动网络运营商数据库中收集、保全和分析相关的电子证据，并最终从屮获得具奋法律效力、能被法庭所接受的证据的过程。计算机取证的主要方法冇对文件的S制，被删除文件的恢fi，缓冲区A容获取，系统U志分析等等，是一种被动式的事后措施，不特定于网络环境。网络取证疋强调对网络安全的主动防御功能，主要通过对网络数据流，市计，主机系统円忐等的实时监控和分析，发现对网络系统的入侵行为，记录犯罪证据，并阯止对网络系统的进一步入侵。取证的数据源不同数字证据只是八断或摘要祚易被改变模糊的证裾形式3、如何对一块带冇操作系统的嫌疑硬盘进行取证.第-•步：连接嫌疑硬盘将嫌疑人的硬盘与只读锁连接第二步：连接取证计算机笫三步：连接只读锁电源第四步：开始工作4、分析说明对硬盘做司法鉴定报告里主要要有哪些内容？.一般包括标题、编号、基本情况、检案摘耍、检验过程、检验结果、落款、附件及附注等内（一）标题：写明司法鉴定机构的名称和委托鉴定事项；（二）编号：写明司法鉴定机构缩略名、年份、专业缩略语、文书性质缩略语及序号；（三）基本情况：写明委托人、委托鉴定事项、受理日期、鉴定材料、鉴定门期、鉴定地点、在场人员、被鉴定人等内各。鉴定材料俺当客观写明委托人提供的与委托鉴定事项有关的检材和鉴定资料的简要情况，并注明鉴定材料的出处：（四）检案摘嬰：写明委托鉴定事项涉及案件的简耍情况；（五）检验过程：写明鉴定的实施过程和科学依裾，包括检材处理、鉴定程序、所川技术方法、技术标准和技术规范等内界；\n（六）检验结果：写明对委托人提供的鉴定材料进行检验得出的客观结果；（七）分析说明：写明根据鉴定材料和检验结果形成鉴定意见的分析、鉴别和判断的过程。引川的资料应当注明出处；（八）鉴定意见：应当明确、具体、规范，具柯针对性和可适用性；（九）落款：由司法鉴定人签名或者盖章，并写明司法鉴定人的执业证号，同时加盖司法鉴定机构的W法鉴定专用章，并注明文书制作日期等；（十）附注：对司法鉴定文15中需要解释的内容，可以在附注中作山说H刀。司法鉴定文15附件应当包括与鉴定意见、检验报告冇关的关键图表、照什等以及冇关音像资料、参考文献等的0录。附件是司法鉴定文书的组成部分，应当附在司法鉴定文书的正文之后。（或者报告包括冇调査人员提供的分析结果、鉴定流程及使用的设备（软件、硬件）等详细描述。通常电子数据鉴定报告的界景较人，要求的报告形式也多种多样，可能包括图仲、声音、影像等。因此，除提供纸页式的鉴定报告外，还会将大量数据资料作为附件存放在CD-ROM）5、系统用户分析包括哪些内容？.（1）用户列表（2）用户属性（3）用户相关的文档（所有权等）五、简答1.文捫碎片在电子取证中有什么应用？.能够获取文件闲散区域中的A容，并能够利用搜索算法获取该A容的关键字等能够对存储介质上己删除的数据块进行恢复，但不能专门用来对文档碎片证据进行提取、分析等通过分析word文档作者信息和时间戳信息的存储方法和格式，从破损的word文档屮提取作者信息和时间戳信息2.列举4种注册表在电子取证中的应用。.（1）查看和分析A启动位置可以给调査者提供线索，被调查的活动是用户执行的结果，还是恶意软件或攻击者执行的结果。（2）查看最近打开或存储的文件，可以得到近来关于用户活动的线索。（3）通过对犯罪嫌疑人计算机Windows注册表的杏看和分析，调杏员可以快速掌握相关信，&，如最G—次的登录吋间、最近打开的网页、最近打开的文件和Outlook/OutlookExpress帐户密码等关键信息（4）通过大虽分析注册表可以跟踪和定位攻击者，利川冇效的技术手段把注册表文件作为乜效证据起诉攻击冇（或1可以查看最近使用文件列表；2、保留了可移动存储设备信息；3、查看和分析自启动位置可以给调査者提供线索：被调査的活动是用户执行的结果，还是恶意软件或攻击者执行的结果；4、可以查看用户信息项。）3.列平4种以上的网络证据源。（1.）手机短信形式电子证据的收集。（2.）电了邮件形式电了•证裾的收集。（3.）M络聊天形式电子证据材料的收集。.（4）防火墙日志，IDS日志，其它网络工具所产生的圮录和日志等。\n（或1防火墙和路由器，2数据包嗅探器和协议分析器、3入侵检测系统、远程访问服务器、4安全事件管理（SEM）软件、5网络取证分析工具）1.如何获取易丢失的证据?.（1）打印。对M络犯罪案件在文字内界上柯证明意义的情况下，可以直接将有关内界打印在纸张上的方式进行取证。（2）拷贝。是将计算机文件拷贝到软盘、活动硬盘或光盘中的方式。（3）拍照、摄像。如果该证据具有视听资料的证裾意义，可以采用拍照、摄像的方法进行证据的提取和固定，以便全面、充分地反映证据的证明作川。同吋对取证全程进行拍照、摄像，还其有增加证明力、防止翻供的作用。（4）制作司法文书。一般乜括检查笔录和鉴定。（5）查封、扣押。对于涉及案件的证据材料、物件，为了防止奋关当事人进行损毁、破坏,可以采取杏封、扣押的方式，将柯关材料置于W法机关保管之下。（6）公证。由于电了•证据极易被破坏、一旦被破还又难以恢复原状，所以，通过公证机构将有关证据进行公证固定是获収屯子证裾的有效途径之一（或1.运行可信的cmd.exe程序2.记录系统时间和日期3.确定哪些人登录到该系统（包括远程用户）4.记录所有文件的创建、修改和访问时间5.确定打开的端口）2.“取证大师”能完成的工作冇哪些?.静态存储介质分析、傻瓜式操作动収证，在线状态下动态获取相关信息，简单操作打打勾就完成取证分析内容，方便快捷打印取证报告；提取各种硬盘屮嫌疑人所安装的操作系统的各种信息包括操作系统丌关机时间、安装曰期、网络信息、服务信息、安装软件列表、共亨文件夹信息、川户最后一次登录吋间等；直接察看用户最近访fuj的文捫、USB设备的使用情况；打印信息记录分析调査；上网id录分析调查；即吋通讯软件聊天记录自动分析；邮件调查；全球领先的WEB邮件分析功能；反取证软件检测技术；文档A动分类和快速提収查找加密文件；（或自动取证；并行取证；电子邮件；即时通讯软件信息自动分析；上网记录自动分析；支持恢复已删除访问记录；文档自动分类和快速提取；直观的用户行为痕迹分析；独创的反取证软件检测；格式化分区数据恢复；支持对加密光\n盘进行调查。1.实际取证一般要用哪些工具设备常用的计算机取证设备有ENCASEX-WAYSFTK效率源DataCompass等工具。R前国内的计算机取证没备不少，包拈DataCopyKing多功能S制擦除检测一体机、DataCompass数裾指南针司法取证专版（简称DC）、网警计算机犯罪取证勘察筘等。（或电子证据只读锁；硬盘复制机；现场取证勘査箱；高性能取证分析综合平台；动态仿真系统；密码恢复系统。）2.常见硬盘接口类型及差异分析从整体的角度上，硬盘接UI分为IDE、SATA、SCSI和光纤通道四种。（1）IDE硬盘IDE和ATA是一种硬盘，分为33,66，100，133接U频率。（2）SATASATA，就足现在的主流，串U硬盘；乂分为SATA1为150频率，SATA2具说可达到速度可达300M/S。（3）SCIS硬盘SC1S硬盘主要用于服务器，可达万转以上.性能蝻强。一般分为50针、68针和80针三种。（4）光纤通道硬盘光纤通道的主要特性有：热插拔性、高速带宽、远程连接、连接设备数量大3.如何应用关联分析来进行M络取证？在电子数据的鉴定过程中，可以应用关联分析技术，对各种线索进行关联分析，发掘同一事件的不M数据间的联系。如：用户名关联，密码关联，时间关联，关系人关联。4.如何控掘文档碎片中的证据？.文档碎片的获取技术必须结合文档系统存储介质底层技术以及结合内存获収技术来获取必要的文捫碎片，比如交换分区中文捫碎R的获取等（文捫碎片数裾的获取）利用讨信技术中的完整性度量存储和报告特征使得检测文档碎片中的有害代码变得容认数字调杏人员就能够来检测软什损害以及系统内的恶意代码等（文档碎片有害代码检测）当取证调杏人员在取证过程屮，收集到文档碎片集合后，对文档碎片按照合适的类型进行分类（文档碎片分类）进行文档碎什的重组分析（文档碎片重组）1（）.反取证技术的研究有什么意义?.（1）可以了解入侵者冇哪些常用手段用来掩盖S至擦除入侵痕迹（2）可以在了解这些手段的基础上，开发fli更加有效，实用的计算机収证工具，从而加大对计算$L犯罪的打击力度，保证信息系统的安全性。11.手机取证的证据源有哪些？.手机的SIM卡、手机内存、外置存储卡、移动运营商和短倍服务提供商。12.简述WINDOWS文件系统数据恢fi的基木原理。..我们在创建文件的时候，文件系统会创逑文件文件名、属性信息、文件内界，但我们在删除文件的时候，文件系统只会将我们的文件属性设置为“己删除”，将我们文件内容所占的空间没置为未使用，这样文件系统的shell（windows系统就是explorer）就不会M示岀已删除的文件，磁盘上的文件，如果我们没右彻底的粉碎只是按了一下delete按钮，那它的内界仍然存在在我们的磁盘上，只不过文件系统的shell⑸我们撒了谎，并没有显示它。\n因此，只要我们能够掌握文件系统的实现原理，就可以将delete的文件找冋来，这就是为什么会有数据恢复软件存在的根本原因。11.数据恢S技术在电子取证中有哪些应用利川数据恢复技术进行电子取证：1提取删除和格式化后的数据2空闲存储空间及残留数据分析3设备破坏后数据的提収数裾恢复技术是指把保留在存储介质上的数据重新恢复的过S,即使数据被删除、黑客攻击或存储介质出现物理故障、电路烧毁、坏道、磁火损坏，数裾恢复技术也能使相关数据完好无损地恢复、便于后期计算机取证、电子物证收集丁.作的顺利幵展。