A V A N C E R A D E F O R E N S I S K A V E R K T Y G DT Kontakt: Mattias Weckstén Telefon: 7396

Relevanta dokument
Avancerade IT-Forensiska Verktyg I

DIG IN TO Dator och nätverksteknik

D A T A U T V I N N I N G F R Å N D I G I T A L A L A G R I N G S M E D I A K U N S K A P S P R O V DT

Filsystem. Varför? Hur? För att kunna lagra data mer permanent än i RAM. Vettig organisation Vettiga namn

Spårbarhet i digitala system. Biografi. Spårbarhet. Osynlig övervakning och de spår vi lämnar efter oss

Laboration 3 MEN ---- STOPP! GÖR INTE DET

Laboration 3. Du har just brutit mot din egen policy. Vad måste du nu göra?

Allmänt om programvaror och filer i Windows.

Laboration 0. Enhetsbokstaven anges med ett kolon efter och man läser ofta ut detta, exempelvis C:(sekolon).

komplett kopia av hårddisken 20 minu En instabil dator som ofta drabbas av fel får du snabbt på rätt kurs med en kopia av Windows och alla program.

IDE USB kabel Windows XP, Vista 7 löäzxcvbnmqwertyuiopåasdfghjklöäz [Version 1.4, ]

Operativsystem - Windows 7

LABORATIONSRAPPORT Operativsystem 1 Laboration 1, Ghost, pingpong och Windows 2003 installation

Kopiera musik och program till hårddisken och skicka sedan skivorna på semester i förrådet. Spara skivorna

MS-DiskOperativSystem Sammanfattning och Övningar

Paragon Alignment Tool

Operativsystem - Filsystem

Om Mappar Uppgift 1: Skapa en mapp på Skrivbordet... 2 Om enheter... 3 Uppgift 2: Byt namn på din nya Höst -mapp till Vår...

Marcus Wilhelmsson 12 april 2013

LAB 1 MS-DOS MicroSoft-DiskOperating System -Microsoft MS-DOS = synonymt med DOS -IBM PC-DOS -Novell DR-DOS

Analysstrategi. Förutsättningar. Översikt. Windowsbaserade system. Initial respons Juridisk översyn Forensisk duplicering (292)

Det går att fixa på egen hand! Licens för 3 datorer ingår Kompatibel med Windows XP & Vista (Alla Versioner)

Administration / Disk Management. EC Utbildning AB

Dagens agenda. Lagring & berarbetning av data. Filer och filformat Metadata Komprimering Kryptering Olika typer av data Filsystem Databaser

Innehåll 1. Mediafakta Disketter, CD-skivor, DVD-skivor och USB-minnen 3. Kassetter Svarsmedier vid förfrågningar...

File Carving. Obduktion av lagringsmedia. 17 maj 2018 Martin Karresand Informationssäkerhet och IT-arkitektur

eller Snabbkurs i filhantering Tema: Mappar och filer i Windows samt Lagringsenheterna OBS! Endast för medlemmar i SeniorNet, Klubb Södertälje!

Linuxadministration I 1DV417 - Laboration 3 Installation av ny hårddisk, RAID och logisk volymhantering

Flytt av. Vitec Mäklarsystem

Att använda DVD-RAM-skivor

Steg 1 Minnen, mappar, filer Windows 10

Användarhandledning för koppling av dokument

En Jämförelse mellan EnCase och BackTrack

Handbok för Nero ImageDrive

Magnus Palm. Lättläst IT

Filhantering utforskaren avslöjar hur information lagras

Ashampoo Rescue Disc

Boot Camp Installationshandbok

Välkomna till NADA. Datalogi, grundkurs 1, 15hp. (Numerisk Analys och DAtalogi) och kursen. DA2001 (Föreläsning 1) Datalogi 1 Hösten / 28

7,5 högskolepoäng. Operativsystem och Systemarkitektur. IT-Tekniker och Systemarkitekt-programmet

SNABBGUIDE TILL LÄRANÄRA

Boot Camp Installationshandbok

Din guide till. Byte av databas. Från MSDE till SQL Express

Lathund för Svenskt Näringsliv

Filhanteraren/Den här datorn

Steg 1 Minnen, mappar, filer Windows 7

Installation av WinPig Slakt

Tips och tricks. Några bra tips. Lägg till sökvägar

F3 Datarepresentation teckenkodning och datakompression EDAA05 Datorer i system! Roger Henriksson!

Se till att posten är i Ändringsläge. Gå till rullgardinsmenyn under Föremål och välj Lägg in bild.

F3 Datarepresentation teckenkodning och datakompression

Meditech. CardioVisions. version 1.19.xx. Installationshandledning

Tipsen är skrivna utifrån Windows 10. Det kan se lite annorlunda ut i Windows 7 och 8 men tipsen bör fungera för alla operativsystemen.

Installationsanvisning för LUQSUS-K version 3.0b

F2 Datarepresentation talbaser, dataformat och teckenkodning EDAA05 Datorer i system! Roger Henriksson!

7,5 högskolepoäng. Operativsystem och Systemarkitektur. IT-Tekniker och Systemarkitekt-programmet

Fö 8: Operativsystem II. Minneshantering. Minneshantering (1) Minneshantering (2) Minneshantering och Virtuelltminne.

Bengans datorhörna WINDOWSTIPS

A. Datorn från grunden

LEX INSTRUKTION - LEXTALK

REGION SKÅNE VDI KLIENTINSTALLATION

Steg 1 Minnen, mappar, filer Windows 8

Filhantering utforskaren avslöjar

Lab 7, 48 steg till ett bättre liv i Unix-labbet

Kommandotolken hittar du under Start->Program->Tillbehör->Kommandotolken

Laboration 2 i datorintro för E1 Detta dokument innehåller instruktioner och övningar för introduktion till E-programmets datorsystem och web-mail.

Operativsystem och Systemarkitektur. 7,5 högskolepoäng. IT-Tekniker och Systemarkitekt-programmet. Namn: Personnummer: (Ifylles av student)

Dokumentnamn/Document Name: Installation Blankett.doc

Om du misstänker att värdens privata nyckel har manipulerats kan du skapa en ny genom att utföra följande steg:

Din manual HP COMPAQ EVO D310 MICROTOWER

INSTALLATION AV VITEC MÄKLARSYSTEM

Installationsguide, Marvin Midi Server

7,5 högskolepoäng. Operativsystem och Systemarkitektur. IT-Tekniker och Systemarkitekt-programmet

Installationsanvisningar HogiaLön Plus

Välkomna till NADA. Datalogi, grundkurs 1, 15hp. (Numerisk Analys och DAtalogi) och kursen. DA2001 (Föreläsning 1) Datalogi 1 Hösten / 28

Kursansvarig. Välkomna till NADA. Datorn som verktyg. Datalogi, grundkurs 1, 15hp

Installera Windows Custom PostScript- eller PCL-skrivardrivrutin

F2 Datarepresentation talbaser, dataformat och teckenkodning

Installationsanvisning för LUQSUS version 2.0

Instruktioner för att kunna programmera på skolans datorer

Ladda upp filer fra n PLC till PC

7 Mamut Client Manager

Linuxadministration I 1DV417 - Laboration 2 Filsystemet och kickstart. Marcus Wilhelmsson

Backup till extern hårddisk eller USB-minne

Introduktion till datorer och nätverk vid institutionen för naturgeografi och ekosystemvetenskap

1284_omslag.qxd :13 Sida 1 ECDL START OFFICE 2003 Allmän IT Windows XP Word 2003 Outlook 2003

Eclipse. Kort genomgång

Before a disk based investigation. Image and tools Hashes FTK Imager

DDR PC SOFTWARE 2 RELEASENOTES VERSION 2.5. Swerob Service AB Global Robot Parts AB

Föreläsning 2. Operativsystem och programmering

HANDBOK MOBILE HARD DRIVES DESKTOP HARD DRIVES. Rev. 024

Installation/uppdatering av Hogia Personal fr.o.m. version 13.1

Bildbaskontoret Version 2

Uppdatera Mobilus Professional till version * Filen MpUpdate.exe får inte köras när du startar denna uppdatering.

Filregistrering. Motsvarande vägledningar för vänstermeny hittar du längre ner i dokumentet

Fedora 14. Hur man hämtar ISO-avbilder och skapar CD- och DVD-media. Fedora Documentation Project

KommunOffice. Bilagehantering. Copyright Triplan Oy

BACKUP HD-SERIENS ANVÄNDARHANDBOK

Ordning och reda i datorn. Såhär?

Redovisning av bl.a. kontrolluppgifter, näringsuppgifter samt frågor mot centrala. skatteregistret med ADB-medier MEDIE FAKTA.

Transkript:

A V A N C E R A D E F O R E N S I S K A V E R K T Y G I DT2005 2010-03-17 Kontakt: Mattias Weckstén Telefon: 7396 Instruktioner: Tentamen består av 55 frågor. Varje fråga har ett korrekt svarsalternativ. Tycker du att det finns flera korrekta svar ska du gissa på det som verkar mest korrekt. Använd bifogat svarsformulär för att svara på frågorna. Markera rätt svar på formuläret med ett kryss. Om du markerat fel, sudda eller fyll den felaktiga rutan helt. Betygsgränser: 0-39 rätt U 40-45 rätt 3 46-50 rätt 4 51-55 rätt 5 LYCKA TILL!

1. Den minsta datamängd du kan skriva till en hårddisk är. Den minsta datamängd en fil kan skrivas till är. A. En bit / en byte. B. En sektor/ ett kluster. C. En volym/ en disk. D. En partition/ en MFT. 2. Vilka slutsatser kan du dra om en hårddisk är byglad i läge CS? A. Det är en IDE-drive. B. Det är en SATA-drive. C. Det är en SCSI-drive. D. A+B+C 3. Vad hittar du på en hårddisks Cylinder 0, Huvud 0, Sektor 1? A. MBR B. MFT C. VBR D. VBS 4. Vad kallas den första sektorn på en volym? A. FAT B. VBR C. MBR D. VBD 5. Vad skiljer mellan USB 1.1 och USB 2? A. Kontakten. B. Spänningsnivåerna. C. Överföringshastigheten. D. A+B+C 6. Vad åstadkommer RAID 0? A. Ökad läs och skrivprestanda. B. Ökad läsprestanda. C. Ökad redundans och läsprestanda. D. Ökad redundans. 7. FAT organiserar och folderposten håller ordning på. A. Filnamn/ storlek. B. Filernas startkluster/ slutkluster. C. Filernas slutkluster/ startkluster. D. Filstorlek/ fragmentering.

8. En fils logiska storlek visas som: A. Antalet sektorer som den logiska filen ockuperar. B. Antalet kluster som den logiska filen ockuperar. C. Antalet byte som den logiska filen ockuperar. D. Antalet bitar som den logiska filen ockuperar. 9. En fils fysiska storlek är: A. Alltid större än den logiska storleken. B. Antalet byte i den logiska filen plus antalet byte slack från filens slut till klustrets slut. C. A+B D. Varken A eller B. 10. Hur återskapar EnCase en raderad fil? A. Den läser filens namn från FAT och identifierar filen utifrån dess startkluster och logiska storlek. B. Den läser filens namn från folderposten och letar reda på motsvarande filnamn i det oallokerade utrymmet. C. Den identifierar filen genom att hämta filens startkluster och storlek från folderposten. D. Den identifierar filen genom att hämta filens startkluster och storlek från FAT. 11. Vilket filsystem har en övre gräns för filnamn på 64 tecken? A. ISO 9660 Level 1 B. ISO 9660 Level 3 C. Joliet D. UDF 12. Folderposten i ett FAT-filsystem har den logiska storleken: A. 0 byte. B. 8 byte. C. 16 byte. D. En sektor. 13. Hur stänger man generellt sett ner en dator i samband med datautvinning, som kör Windows XP? A. Använder funktionen Shut down i startmenyn. B. Genom att dra ur strömkabeln från datorn. C. Genom att dra ur strömkabeln från vägguttaget. D. Genom att dra ur strömkabeln från hårddisken.

14. Hur stänger man generellt sett ner en dator i samband med datautvinning, som kör Windows 2000 Server? A. Använder funktionen Shut down i startmenyn. B. Genom att dra ur strömkabeln från datorn. C. Genom att dra ur strömkabeln från vägguttaget. D. Genom att dra ur strömkabeln från hårddisken. 15. Om en körande dators terminalfönster visar tecknet \ i prompten kan man anta att den kör: A. Red Hat. B. Unix. C. En Linux-distribution med root inloggad. D. MS-DOS 16. Vilket av följande material är minst lämpligt för att förvara en hårddisk i? A. Papperspåse. B. Plastpåse. C. Aluminumfolie. D. Wellpapp. 17. Ur forensisk synvinkel, varför är det lämpligt att köra wipe på en hårddisk innan du använder den i ett fall? A. Beviskedjan. B. Korskontaminering. C. För att kunna använda olika filsystem. D. Det finns inget behov av att köra en wipe. 18. Vilken systemfil ändras då man skapar en bootdisk från EnCase? A. IO.SYS B. COMMAND.COM C. DRVSPACE.BIN D. A+B+C 19. I Linux, vad innebär att en hårddisk har benämningen hdb? A. Primär master. B. Primär slav. C. Sekundär master. D. Sekundär slav.

20. EnCase bevisfil kan bäst beskrivas som: A. En spegling av källan, till en andra hårddisk. B. En sektorvis avbildning av en hårddisk, skriven till motsvarande sektorer på en andra hårdisk. C. En bitströmsavbild av källdata, skriven till motsvarande sektorer på en andra hårddisk. D. En bitströmsavbild av källdata, skriven till en eller flera filer på en andra hårddisk. 21. Hur verifierar EnCase att bevisfilen innehåller en exakt kopia av källdatat? A. Genom att jämföra MD5-summan för källan och MD5-summan från bevisfilen. B. Genom att jämföra CRC-värdena för källan och CRC-värdena från bevisfilen. C. Genom att jämföra MD5-summan för källan och MD5-summan för hela bevisfilen. D. Genom att jämföra CRC-värdet för källan och CRC-värdet för hela bevisfilen. 22. MD5-algoritmen skapar en summa på bitar. A. 32 B. 64 C. 128 D. 256 23. En bevisfil har arkiverats till fem CD. Segment 3 ligger på CD 3. Kan man verifiera datat i segment 3 separat medans det fortfarande ligger på CD? A. Ja. Med hjälp av CRC. B. Ja. Med hjälp av MD5. C. Nej. Alla segmenten krävs för att sedan verifiera med hjälp av CRC. D. Nej. Alla segmenten krävs för att sedan verifiera med hjälp av MD5. 24. Kommer EnCase Gallery-view att visa en.jpeg-fil om den döpts om till.txt? A. Ja, Gallery-view tar bara hänsyn till filsignaturen. B. Ja, men endast om filsignaturanalys genomförts. C. Ja, men endast efter hashanalys genomförts. D. Nej, Gallery-view kommer att hantera filen som en textfil. 25. I EnCase kan man alltid se den exakta positionen för markerat data i bevisfilen genom att titta på: A. Statusraden. B. Dixonboxen. C. Diskvyn. D. Hexvyn.

26. Filer i temp-foldern tas bort när: A. Vyn som genererade filen stängs. B. Det aktuella caset stängs. C. EnCase stängs. D. Filen använts färdigt. 27. Om 1 bit kan representera två olika utfall, hur många utfall kan 8 bitar representera? A. 8 B. 16 C. 128 D. 256 28. Om tecknet A visas som värdet 41h så kallas denna representation: A. ASCII B. Hexadecimal C. Decimal D. Binär. 29. Vilken av följande texter ger inte en träff för följande GREP-uttryck: \x00\x01\0xee[\0x55-\0xaa].. A. \0x00\0x01\0xee\0x55\0x77\0xaa B. \0x00\0x01\0xee\0x77\0x77\0xaa C. \0x00\0x01\0xee\0xaa\0x77\0xaa D. \0x00\0x01\0xee\0xcc\0x77\0xaa 30. Vilken av följande texter ger en träff för följande GREP-uttryck: 1a juli, 2?0?10 A. 1a juli, 2010 B. 1a juli, 210 C. 1a juli, 10 D. A+B+C. 31. Vilken av följande texter ger inte en träff för följande GREP-uttryck: [#]ABC[ \-]45[ \-]DEFG[#] A. 3ABC45DEFG6 B. 3ABC 45-DEFG6 C. 3ABC-45-DEFG6 D. 3ABC 45 DEFG6

32. Vart lagras sökuttrycken i EnCase? A. I respektive case-fil. B. I filen KEYWORDS.INI. C. A+B. D. Varken A eller B. 33. Kan vi vara säkra på att EnCase hitta ett ord eller en fras i en fil som är fragmenterad på hårddisken (dvs. inte ligger i konsekutiva kluster)? A. Ja, EnCase klarar både fysisk och logisk sökning. B. Ja, om man avmarkerar File Slack i sökdialogen. C. Nej, endast om klustren är konsekutiva. D. Nej, EnCase kan bara göra fysiska sökningar. 34. Vad är en fil-header? A. Ett unikt set av tecken i början av filen som identifierar filens typ. B. Ett 128-bitars värde som är unikt för en specifik fil, baserat på filens innehåll. C. Rubriken i filnamnet. D. Synonymt med filändelse. 35. Om en fils signatur är okänd, men den har en känd filändelse, kommer EnCase efter en signaturanalys att klassificera den som: A. Alias (Signature Mismatch). B. Unknown. C. Match. D.!Bad Signature. 36. Om en fils signatur är känd, men filändelsen stämmer inte med signaturen, kommer EnCase efter en signaturanalys att klassificera den som: A. Alias (Signature Mismatch). B. Unknown. C. Match. D.!Bad Signature. 37. Om en fils signatur är känd och filändelsen stämmer med signaturen, kommer EnCase efter en signaturanalys att klassificera den som: A. Alias (Signature Mismatch). B. Unknown. C. Match. D.!Bad Signature.

38. EnCase kan skapa hashvärden för: A. Fysiska enheter. B. Logiska volymer. C. Filer eller set av filer. D. A+B+C. 39. Vilken del av bevisfilen analyserar EnCase under verifieringsprocessen för att få fram MD5-summan? A. Avbildningsdatat. B. Hela bevisfilen. C. Casedatat. D. Varken A, B eller C. 40. Filsystemet FAT lagrar datum och tid i, medans NTFS lagrar datum och tid i. A. DOS-foldern/ lokal tid. B. Zulu/ GMT. C. Lokal tid/ GMT. D. SYSTEM.DAT/ NTUSER:DAT. 41. Vart lagrar Windows tidszoninställningarna? A. BIOS. B. Registryn. C. INFO2. D. DOS-foldern eller MFT. 42. När en textfil på en WindowsXP-dator skickas till papperskorgen så ändras det korta filnamnet till DC0.txt. Vilken av följande påståenden om det korta filnamnet stämmer bäst? A. D=DOS, C=textfil, 0=index number,.txt=filens ursprungliga ändelse. B. D=Deleted, C=textfil, 0=index number,.txt=filens ursprungliga ändelse. C. D=Deleted, C=volymnamn, 0=index number,.txt=filens ursprungliga ändelse. D. D=DOS, C=volymnamn, 0=index number,.txt=filens ursprungliga ändelse. 43. När ett dokument öppnas i Windows skapas en länk med dokumentets filnamn i foldern. A. Shortcut. B. Recent. C. Temp. D. History.

44. Efterssom denna Windowsfil består av innehållet i RAM när datorn stängs av, så kommer den att ha samma storlek som RAMet och ligga i rotfoldern. A. HIBERFIL.SYS B. WIN386.SWP C. PAGEFILE.SYS D. NTUSER.DAT 45. Hur många logiska partitioner tillåter partitionstabellen på master boot record för en fysisk disk, enligt IBM PC-standard? A. 1 B. 2 C. 4 D. 8 46. Den första sektorn i en partition kallas: A. Fysisk sektor 0. B. Aktiv primärpartition. C. MBR. D. VBR. 47. I Windows 2000 finns information om en specifika användares inställningar i filen NTUSERS.DAT. Vart hittar vi denna fil? A. C:\ B. C:\WINDOWS\ C. C:\Documents and Settings\username D. C:\Documents and Settings\All Users\Application Data 48. Modulen för det virtuella filsystemet VFS monterar data som, medan modulen för fysisk diskemulering PDE monterar data som. A. Nätverksdisk/ Emulerad disk. B. Emulerad disk/ Nätverksdisk. C. Virtuell volym/ Fysisk volym. D. Virtuell fil/ Fysisk disk. 49. är en substitutionskodning som används i registryn. används för att koda binära data som text. A. MD5/ ROT-13 B. ROT-13/ BASE-64 C. BASE-64/ ASCII D. ASCII/ MD5

50. Vad av följande gör det möjligt att identifiera MBR och VBR på en hårddisk? A. HBR i sektor -1. B. Genom att starta i första sektorn av FAT och gå ett steg bakåt. C. Genom signaturanalys. D. Varken A, B eller C. 51. finns både i den lokala och globala vyn. A. Keywords. B. File Signatures. C. Hash Sets. D. Projects. 52. Vilket läge ska du ställa debug logging om du vill debugga men måste vara säker på att ingen information om ditt case läker ut? A. Off. B. Stack. C. Heap. D. EnCase har inte debug logging. 53. En fil tar upp tre kluster om fyra sektorer vardera på hårddisken. I det sista klustret nyttjar filen endast 200 byte. Det outnyttjade utrymmet i den påbörjade sektorn i sista klustret kallas och de outnyttjade sektorerna i sista klustret kallas. A. RAM-slack/ sektorslack. B. Sektorslack/ filslack. C. Filslack/ sektorslack. D. Filslack/ RAM-slack. 54. Vad innebär Zoned-Bit Recording? A. Antalet bitar som krävs för att representera en byte varierar. B. Antalet byte i en sektor varierar. C. Antalet sektorer på ett spår varierar. D. Antalet spår på en skiva varierar. 55. Vad anger den blå triangeln i bilden? A. Att enheten innehåller filer och foldrar. B. Att enheten är direktuppkopplad. C. Att avbildning pågår. D. Att sökning pågår.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss