2. 计算机
  3. Great care must be taken to capture clues from a computer or device during a forensics exercise. Which of the following does not

Great care must be taken to capture clues from a computer or device during a forensics exercise. Which of the following does not

admin2013-12-19  17
问题 Great care must be taken to capture clues from a computer or device during a forensics exercise. Which of the following does not correctly describe the efforts that should be taken to protect an image?
选项 A、The original image should be hashed with MD5 and/or SHA-256.
B、Two time-stamped images should be created.
C、New media should be properly purged before images are created on them.
D、Some systems must be imaged while they are running.
答案D
解析 D正确。获取实时系统和使用网络存储器系统上的证据将使得问题更加复杂化,因为你不能为了复制硬盘驱动器而关闭这个系统。关键业务系统一般不能停机。所以,这些系统和一些其他类似使用即时加密的系统在运行时都必须进行映像。因此,这个答案“一些系统在运行时必须进行映像”本身是正确的。然而,这并不是问题中所描述的是为了保护映像而采取的措施,它是为了避免中断业务操作而采取的措施。
A不正确。因为使用MD5或者SHA-256对原始映像进行散列是在调查过程中为保护原始映像而采取的措施。为了确保原始映像不被修改,在分析前后为创建文件和目录创建信息摘要对于证明原始映像的完整性是十分重要的。MD5和SHA-256正是用以确保映像数据完整性的两种散列算法。
B不正确。因为在调查过程中应该创建两个时间戳以确保数据的完整性。原始媒体应该创建两个副本:一个主要映像(存储在档案馆中的控制副本)和一个工作映像(用于分析和证据收集)。这两个副本应该有时间戳,显示证据是什么时间收集到的。调查人员使用副本映像进行工作,因为这样即保存了原始证据,又可以防止在检查过程中对原始证据的意外更改,并且可以在需要时重新复制映像。
C不正确。因为如果新创建的映像需要保存到一个新的媒介上时,这个媒介必须“清除”所有残留数据。在创建一个映像并把它保存到新的媒介之前应清除该新媒介上的内容,是确保没有任何旧数据会污染这些映像的一个必要措施。调查人员必须确保该新媒介上的内容已被正确清除,即新媒介未包含任何残留数据。有时候会出现从盒子里(压缩包装)刚拿出的磁盘包含供应商没有清除掉的旧数据的情况,这样会引发一些事故。
转载请注明原文地址:https://kaotiyun.com/show/XfhZ777K
0

CISSP认证

相关试题推荐
随机试题
最新回复(0)