电子物证初级试卷

电子物证初级试卷

It was last revised on January 2, 2021

2009年度机关刑事科学技术 和技术侦查队伍专业考试试卷

科目名称：电子物证 级 别：初、中级

应考人员注意事项：

1．本试卷共40题，由单项选择题、多项选择题、判断题和论述分析题四部分组成； 2．答题前，请先将姓名、准考证号、工作单位填写在试卷封面密封线左侧相应的位置上，并核对无误；

3．请用蓝、黑钢笔或圆珠笔答题，字迹要工整、清楚；

4．答案须写在规定的括弧内，不得在试卷上做标记，否则视为废卷； 5．多专业合一的试卷请按指导语要求解答本专业内容试题。

一、单项选择题（共15题，每题1分，共15分。每题的备选项中，只有１个最符合题意。）

1．犯罪的本质特征是（ ）。

A．犯罪是应受刑罚惩罚的行为，具有应受刑罚惩罚性 B．犯罪是触犯刑律的行为，具有刑事违法性

C．犯罪是严重危害社会的行为，具有严重的社会危害性 D．犯罪是触犯法律的行为，具有违法性 2．管制的期限为（ ）。

A．1个月以上6个月以下 B．3个月以上1年以下 C．6个月以上1年以下 D．3个月以上2年以下

3．我国刑法所规定的共同犯罪人包括（ ）。

A．主犯、从犯、教唆犯 B．主犯、从犯、胁从犯、教唆犯 C．实行犯、组织犯、帮助犯 D．主犯、帮助犯、胁从犯

4．在侦查阶段，机关为了查明案情，在必要的时候，可以进行侦查实验，但应经（ ）。

A．县级以上机关负责人批准 B．地、市级以上机关负责人批准 C．同级人民批准 D．上级人民批准

5．我国刑事诉讼期间的计算单位为（ ）。

A．年、月、日 B．时、日、月 C．时、日 D．日、月

6．拘传的持续时间最长不得超过（ ）。

A．12小时 B．24小时 C．36小时 D．48小时

7．物证同一认定的常用方法有（ ）。

A．筛选法

B．推断法 C．比对法 D．物证法

8．客体的相对稳定性是同一认定的（ ）。

A．唯一根据

B．现实基础 C．理论基础 D．可行条件

9．进行电子物证检验时，以下说法不正确的是（ ）。

A．对于同一案件，采用不同的检验方法，检验结果可能会有明显差异 B．在检验前应按检验程序对硬盘进行克隆备份

C．鉴定单位对送检材料有权自行处理，无需征求送检单位意见 D．检验人员应通过一定的专业技术培训，并获得相应的鉴定资格 10．不能用来进行数据恢复的工具软件是（ ）。

A．Encase B．Exif Show C．EasyRecovery D．FinalData

11．对IP地址描述正确的是（ ）。

A．IP地址的长度由8个字节组成 B．IP地址的长度由16个字节组成

C．在网络上，一个IP地址代表了多个网络节点

D．IP地址的长度由4个字节组成，采用标准的点分十进制表示法书写

12．Windows系统为曾经打开过的文档在Recent文件夹中建立文件的文件类型是（ ）。

A． .lnk B． .xls C． .dbx D． .exe

13．对送检的材料采用专用的设备进行克隆，目的是保持原始电子信息的（ ）。

A．多样性 B．派生性 C．时限性 D．完整性

14．可以进行文件一致性检验的命令是（ ）。

A．Fport B．Arp C．MD5Sum D．Ipconfig

15．下面不是硬盘接口类型的是（ ）。

A．VGA接口 B．IDE接口 C．SATA接口 D．SCSI接口

二、多项选择题（共10题，每题2分，共20分。每题的备选项中有2-4项符合题意。错选，本题不得分；少选，所选的每个选项得分。）

1．我国刑法规定的主刑有（ ）。

A．管制 B．没收财产 C．罚金 D．有期徒刑 E．拘役

2．下列关于犯罪故意的表述中正确的有（ ）。

A．明知危害结果可能发生，希望这一结果发生，是直接故意 B．明知危害结果必然发生，希望这一结果发生，是直接故意 C．明知危害结果可能发生，放任这一结果发生，是间接故意 D．已经预见危害结果必然发生，放任这一结果发生，是间接故意E．预见到危害结果可能发生，轻信能够避免

3．机关为了收集证据，查明案情，可以依法进行以下侦查行为（A．讯问犯罪嫌疑人 B．扣押书证、物证 C．勘验、检查

D．搜查 E．批准和执行逮捕

4．侦查人员进行下列侦查活动时，必须有见证人在场的是（ ）。

A．搜查

B．扣押物证、书证 C．现场勘验 D．鉴定

）。

E．侦查实验

5．现场勘验、检查的任务是（ ）。

A．发现、收集和研究犯罪的痕迹和物证 B．分析研究罪犯作案情况

C．分析研究罪犯作案手段和动机 D．判断案件性质 E．确定犯罪嫌疑人

6．物证同一认定的常用方法有（ ）。

A．综合评断法 B．科技检测法 C．比对法 D．观察法 E．排除法

7．常用的硬盘分区工具有（ ）。

A．Partition Magic B．DM C．BootManager

D．Fdisk E．FORMAT

8．相对传统的物证检验，电子物证检验具有的难度是（A．检验需要随时跟踪最新技术 B．电子物证不易损坏

C．电子物证检材性质和状况差异较大

）。

D．电子物证检验更加依赖于案件侦查掌握的情况 E．电子证据的真实性不容易受到质疑 9．一封完整的电子邮件由以下（ ）部分组成。

A．邮件库 B．邮件正文 C．邮件日志 D．附件 E．邮件头

10．在进行电子物证检验过程中，为保证原证据不被改变或损坏，正确的做法是（ ）。

A．尽早收集证据，以防原证据被改变或计算机系统状态被改变 B．如果需要浏览，要直接通过USB接口将其连到计算机进行检验 C．绝不允许用有证据的驱动器启动计算机

D．目标盘如果是用过的，事先可以不用处理，直接克隆即可 E．原证据创建副本时，必须是逐位复制的准确拷贝 三、判断题（共10题，每题1分，共10分。） 1．共同犯罪只能由故意构成。（ ）

2．单位犯罪的，只处罚单位，不处罚自然人。（ ）

3．侦查机关办案部门或者侦查人员认为鉴定结论不确切或者有错误，经县级以上

机关负责人批准，可以补充鉴定或者重新鉴定。（ ）

4．鉴定人违反规定会见当事人及其委托的人或接受其请客送礼的，应当回避，不能再担任本案的鉴定人。（ ）

5．外围现场是指犯罪嫌疑人实施主要作案活动的场所，或遗留犯罪物证较集中的地

点。（ ）

6．在物证鉴定过程中，综合评断阶段的主要任务是对物证特征差异点的评断。

（ ）

7．在检验前对源硬盘做克隆时，对目标硬盘的唯一要求是反复擦除过。（ ） 8．Exif是可交换图像文件的缩写，是专门为数码相机的照片设定的，可以记录数字照

片的属性信息和拍摄数据。（ ）

9．在进行Windows系统文件时间属性检验时，可以通过资源管理器直接查看访问时

间。（ ）

10．对于FAT和NTFS文件系统，一个硬盘最多能有1个主分区。（ ） 四、论述分析题（共5题，共55分。）

1．请列出常见的加密方法有哪几种？并任选一种进行举例说明。（8分） 2．电子证据与传统证据相比具有什么特点（ 12分）

3．常见的存储介质只读设备有哪些这类设备的作用是什么（10分） 4．在进行计算机取证现场勘查时，主要完成哪几方面工作？（10分）

5．简要案情：2008年×月×日，警方抓获了通过互联网传播淫秽色情照片的嫌疑人孙某，并从其家中收缴电脑一台。检验要求：从数码相机制造厂家、型号、时间等各方面对嫌疑人电脑中多张淫秽色情照片的数码照片属性信息进行检验。请你结合电子物证检验技术方法与规范要求，简述进行检验时的主要步骤，并给出检验结论。（15分）