数据取证技术面试题

最近在自学数据取证下面是我整理的问题和答案，仅供参考如果发现错误可以联系QQ：1024275440
数据取证技术面试题
1.什么是数据取证
电子取证是指从计算机设备中获取信息，供案、事件调查使用。
2.数据取证有几种方式
（2.1）硬盘取证
（2.2）内存取证
3.硬盘数据取证
（3.1）PC硬盘复制
硬盘有机械硬盘和SSD闪存硬盘，从数据获取的角度来看，获取方式大同小异，在取证硬盘数据的时候应该使用专用的取证Linux启动光盘，避免常规系统使用页交换空间带来的数据损坏风险。
在使用专用取证Linux系统之后把一块大小不小于被检查计算机硬盘大小的硬盘通过USB方式或者其他接口的方式连接到被检查的计算机上，使用命令提示符:
dd if=/dev/sda of=/dev/sd （dd镜像硬盘）来进行硬盘复制。
可以使用硬盘复制机来制作镜像盘。
（3.2）手机硬盘数据获取
可以使用chip-off方法将闪存从手机吹下来，也可是使用JTAG法简单的通过跳线的方法将手机置于调试状态下，以获取手机内部存储芯片数据。
4.电子数据的固定
电子数据的固定即在获取数据之后别有用心的操作或日常的误操作都有可能修改其中数据，所以需要一种方式保证相关数据不会被修改（不会被污染）这就是电子数据固定。
目前主流的固定方式是使用常见的Hash算法比如SHA-1、SHA-256、SHA-512等，MD5 hash值存在MD5冲突问题因此被逐步淘汰，如果怀疑数据被篡改可以重新计算数据Hash值来进行判断是否被污染。
5.硬盘分区和数据恢复
（5.1）PC分区解析
数据恢复的基本单位是分区，如果已经获取了硬盘分区，需要根据MBR或者GPT方案来解析各个分区。
BIOS自检之后会把硬盘的第一个扇区的加载到内存固定位置（0x7C00）并把系统控制权交给他，这个扇区又称主引导扇区（Master Boot Record MBR）
0x1BEH~0x1FDH为分区表大小为0x40H,分区表之后的WORD大小地址是判断MBR扇区是否有效的标记，如果有效则为0x55AAH ,这个时候因为没有加载操作系统，因此CPU还是16位的实时模式。
0x1BEH~0x1FDH（偏移）40个字节是分区表，假如内存基址是0x7C00H,那么分区表是0X7C00H+0X1BEH。
（5.2）MBR分区
40个字节的分区表在很大程度是一样的，在这0x40个字节中，每0x10字节就表示一个分区，所以最多表示4个分区，这个4个分区也成为了主分区，但有些时候一块硬盘只能设置4个分区太少了，所以只好牺牲1个或多个主分区，把他们变成拓展分区，一个扩展分区又可以划分为若干个逻辑分区。
（5.3）GPT分区
GPT分区与UEFI相辅相成，正在逐步代替老的MBR-BIOS组合，在GPT分区方案中硬盘的第一个扇区将硬盘所有空间放在一个主分区中，在接下来的分区中定义各个分区，每个分区的定义为0x80字节。
第一个分区0x1BF-0x1CE（这是原MBR分区表第一个项的位置）处定义了一个主分区。在第二个扇区中定义EFI PART为ANDROID MMC DISK（Android闪存）从第三个扇区开始每隔0x80字节定义一个分区，直至所有分区定义完成。
6.常见数据恢复工具和取证工具
常见数据恢复工具:WinHex、R-studio、EasyRecovery、FinalData
常见取证工具:Encase、FTK、SafeAnalyzer
7.基于文件系统的数据恢复原理
我们先来了解一下文件在文件系统中是如何存储的，以一个简单的NTFS文件系统为例,在创建分区（也就是文件系统）时，除了写入分区头，还会把硬盘上一段连续的空间划分成两部分，即索引区（MFT表）和数据区。
索引区被划分成若干个文件登记项（File Entry 每个1KB），数据区被划分成若干个数据块（每个数据块4KB与内存页大小一致）。
当把一个文件复制到该文件系统中时，该文件的文件名、创建时间、最后一次修改时间、最近一次访问时间、共享属性等信息都会被记录在文件登记项中。
此外文件的数据记录在那些数据块中也会体现在文件登记项中，文件内容将被写入到数据区相关数据块中。
8.什么是剩磁恢复
剩磁恢复是针对10多年前的80GB容量的硬盘，对这种硬盘如果在超净室里拆开，就会发现其体积和现在几TB的硬盘是一样的，只是现在硬盘存储的密度变大了，存储密度增大极大压缩了剩磁的存在空间，以至于现在的硬盘中已经基本没有剩磁的存在了，1次覆盖足以擦除扇区中的数据。
9.扇区被写入数据的三种情况
（1）原文件登记项被覆盖，但是原文件占用的数据块没有收到影响
这种情况因为文件登记缺失，文件名和文件创建时间、最后一次修改时间、最近一次访问时间、共享属性等信息全部丢失，因为数据块没有覆盖可以通过文件开头的4字节文件签名判断文件类型需要逐扇区扫描开头是否有指定文件类型的文件签名根据文件特征或特征信息熵等技巧能找到文件最可能存放的位置，理论上就可以恢复这些文件了。
（2）原文件登记项没有收到影响，但是原文件占用的数据块全部或部分被覆盖了
在这种情况下，如果原文件所占的数据块全部被覆盖，则数据恢复失败，如果部分数据块被覆盖，则恢复出来的文件是残缺的，对于专业数据恢复人员来说这类不完整的文件才是分析的重点，分析不完整文件的思路是利用文件的格式根据所属文件的格式进行部分修复，例如利用流特征的自同步特性从残缺的数据中推算出图片中某个片段的起始位置，然后补上JPG文件头从而恢复数据，另一种思路是根据数据在文件中的存储编码寻找数据
（3）原文件登记项被覆盖，且原文件占用的数据块全部或部分被覆盖
这是最棘手的情况，仍然可以通过特征码方法或残缺页文件修复进行尝试性 恢复

本文地址：https://blog.csdn.net/qq_18811919/article/details/112604736