还剩15页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
《数据安全与恢复》总复习题-、单项选择题
251.检查、排除计算机的故障,应遵循的原则A检查、排除计算机的故障,应遵循的原则B由外到内、由软到硬C由内到外、由硬到软D由外到内、由硬到软答案A
2.下列文档的扩展名哪一个是批处理文件的扩展名?A A..bakB B..basC C..batD D..cab答案C
3.主引导扇区位于整个硬盘的那个位置A A.0磁道0柱面0扇区B B.0磁道0柱面1扇区C C.0磁道1柱面1扇区D D.1磁道1柱面1扇区答案B
4.系统中一般有几个FATA A.1个B B.2个答案正确
37.凡仅有两种稳定的物理状态,能方便地检测出属于哪种稳定状态,两种稳定状态又容易相互转换的物质或元器件,都可以用来记忆二进制代码“0”和“1”,称这样的物质或元器件为存储介质或记录介质()答案正确
38.逻辑恢复指的是病毒感染、误格式化、误分区、误克隆、误操作、网络删除、操作时断电等数据丢失的恢复()答案正确
39.命令FDISK/MBR”除可以重新建立主磁盘的主引导记录外,还可以清除分区表()答案错误
40.使用EasyRecovei^y修复文档时,由于EasyRecoveiry不能自动对待修复的文档进行备份,所以,在修复前必须对待修复文件进行备份,以防损坏()答案错误
41.数据恢复,简单地说,就是把遭受破坏、或由硬件缺陷导致不可访问或不可获得、或由于误操作等各种原因导致丢失的数据还原成正常数据()答案错误
42.因为GHOST可以对硬盘进行备份,所以,无论用哪种方式和参数使用GHOST对要恢复数据的硬盘做过备份后,都可以放心的对原硬盘进行恢复,如果不成功,还可以使用GHOST备份的数据再次进行恢复答案错误
43.硬盘的分区规则是一个分区的所有扇区必须连续,硬盘可以有最多4个物理上的分区,这4个物理分区可以是1个主分区或者3个主分区加一个扩展分区()答案错误
44.硬盘低级格式化(low levelformat)简称低格,也称硬盘物理格式化(physical format)它的作用是检测硬盘磁介质,划分磁道,为每个磁道划分扇区,并根据用户选定的交叉因子安排扇区在磁道中的排列顺序等()答案正确
三、填空题
(31)
1.进行数据恢复以前,一般先用软件对源盘进行磁盘健康检测,测试硬盘的磁头是否健康、磁盘坏道量和坏道位置、磁盘是否加密或剪切等等;然后用软件对源盘进行扇区级镜像,对镜像数据分析而不是直接分析源盘数据答案mhdd winhex
2.数据恢复领域涉及到的文件系统有WINDOWS下的、,LINUX下的,UNIX下的,MAC下的o答案Fat NtfsExt2/Ext3Ufsl/Ufs2Hfs+
3.手工分析与恢复数据最好的软件是;自动恢复数据常用的软件有两种,分别是和Recover MyFiles,其中前一中自动恢复软件对依赖文件系统的恢复比较有效,后一种对不依赖文件系统的文件比较有效答案winhex easyrecovery
4.FAT文件系统由、、、四部分构成,根目录的FDT表存在于部分中答案DBR FAT1FAT2数据区数据区
5.FAT中每一个文件或文件夹都有一个目录项,由目录项可得到该文件或文件夹的和两个重要信息,但是对于高位簇清的问题不适用答案起始簇号文件占有簇数
6.FAT中对于不连续文件的恢复,通常需要分析该文件的o答案文件结构
7.主引导记录MBR中有分区表信息,分区表一共有分区表项答案
48.如果一块磁盘提示未初始化,通常是它的MBR中的标志被破坏,只要用十六进制编辑器重写该标志就可解决问题答案55AA
9.扩展分区中每个逻辑分区中的DBR,都有一个隐含扇区大小参数,该隐含扇区大小的参考起始位置是扩展分区中的答案第一个EMBR
10.NTFS中一个文件的起始簇号和文件占用的簇数这两个重要信息,从该文件的属性中可得到答案
8011.NTFS中的文件都由管理,它的起始位置可以由得到答案MFT表DBR中BPB
12.NTFS中每个文件的文件名存在于三个地方,分别是MFT项的属性中、该文件的索引项中、日志文件中,文件名都是以码存放的答案30Unicode
13.NTFS中每个MFT项的大小是(即两个扇区的大小)答案Ik
14.RAID的实现有两种,分别是由专门的RAID控制器实现的和由软件实现的常用的RAID组合有、o答案硬RAID软RAID RAID10RAID
5315.计算机系统是由硬件系统和两大系统构成的磁盘存储器属于存储器,一般分为软盘存储器和硬盘存储器答案软件外
16.硬盘驱动器由、和三个部分组成答案盘体电路部分接口
17.硬盘的类型参数中,柱面数的英文缩写为,磁头数的英文缩写为一,扇区数的英文缩写为o答案c hs
18.DOS环境下检测磁盘最好的工具是一软件,该工具软件还具有修复坏道功能,除此工具软件外,工具软件也不错答案:MHDD HDDR
19.MFT,主文件表Master FileTable的简称,它是NTFS文件系统的核心MFT由一个一个的也称为文件记录组成,每个文件记录占用个字节的空间分区中每个文件和文件夹的信息都生成一个文件记录存于MFT中访问文件和文件夹时都要先访问MFT,在MFT中找到该文件的记录,根据记录中的信息找到文件内容并对其进行访问答案MFT项
102420.NTFS文件系统被创建时,会同时建立一些重要的系统信息,这些系统信息也是以文件的形式存在,被称为该类文件的文件名以“”符号开头,表示其为隐藏的系统文件,用户不能直接访问一共有个答案元文件$
1621.如果一个NTFS分区的大小超过2G,则该分区的簇的大小默认是.答案4k
22.NTFS文件系统比FAT32更稳定、更安全视整个分区都是数据区,文件以为单位分配存储空间,簇编号从开始答案簇
023.MBR中引导代码损坏的修复如果使用DOS命令法,该命令为C:\答案:FDISK/MBR
24.硬盘分区的类型有、扩展分区,在扩展分区基础上可以建分区答案主分区逻辑
25.FAT短文件名目录项中文件名是大写的码答案:ASCII码
26.FAT32文件系统中存储长文件名是码.答案UNICODE
27.NTFS中文件名出现在三个地方,分别是中、中、日志文件中都是_____________________________码表Zj\o答案30属性中、索引项中、UNICODE
28.硬盘在使用前,需先经过—和高级格式化,才能存放数据答案分区
29.FAT32文件系统中DBR的备份位于其DBR扇区之后______个扇区,NTFS文件系统的DBR备份位于位置他们的DBR备份有个答案6本分区的最后一个扇区
130.MBR是指o答案主引导扇区
31.DBR是指o答案操作系统引导扇区
四、问答题
91.
1、MBR的开始标志是什么,有哪几部分构成?FAT和NTFS文件系统的开始标志是什么?答案开始标志是33CO8E有4部分构成,分别是开始标志33CO8E、引导代码、分区表、结束标志55AAFAT文件系统的开始标志EB5890NTFS文件系统的开始标志EB
52902.、FAT文件系统下,有一个文件名为“
123456789.TXT的文件,该文件存储时会产生长文件名目录项吗,为什么?写该文件的短文件名,并指出短见文件名和长文件名分别用什么码表示?答案会的,因为该文件名的字符数已经超出了短文件名的
8.3结构短文件名为123456~
1.TXT短文件名用ANSI码表示长文件名用Unicode码表示
3.FAT文件系统下,文件被完全删除的特点是什么?格式化的特点是什么?答案删除特点清空与该文件相关的FAT表项、父目录的FDT表中短文件名目录项首字节修改为E
5、文件起始簇号的高16位清
0、文件数据区内容不变格式化特点重写DBR,FAT表和根目录的FDT表均被清空,子目录的FDT表不变
4.NTFS文件系统的MFT表由一个一个的MFT项构成,$Mft和$也1元文件的MFT项号分别是多少?每个项的大小是多少给出
10、
30、
80、
90、AO、B0属性的名称答案$Mft和$笈01元文件的MFT项号分别是0号项和5号项,每个项的大小事1KB10属性标准信息属性,含有文件建立时间和修改时间30属性文件名属性,含有该文件的文件名80属性数据属性,含有该文件的起始簇号和文件占有簇数90属性索引跟属性,含有该目录下子目录和文件的索引项A0属性索引分配属性,含有索引项缓冲区的地址和大小B0属性位图属性,含有MFT表的占有情况
5.硬盘常用的接口有哪几种?答案:IDE SATASCSI SAS
6.GHOST镜像和WINHEX镜像的区别答案用GHOST软件对磁盘或分区进行的镜像,是一种文件系统层的操作该镜像不包含由于删除和格式化而丢失的数据例如500G的硬盘存有10G的数据,镜像后的容量还是10GWINHEX的镜像指一种基于物理层面的、扇区级的镜像,是一种真正意义上的克隆例如500G的硬盘不管存有多少数据,要扇区级镜像至少需要一个500G容量的硬盘接收
7.什么情况下需要镜像答案1误删除、格式化、分区等操作丢失数据时目的是防止操作系统写入数据覆盖有用数据2需要进行不可逆的操作例如进行CHKDSK自动修复分区命令操作3磁盘存有坏道对源盘操作可能加大坏道范围4更换磁头组建防止换磁头时划伤盘片5阵列恢复阵列由多块磁盘构成,阵列重组必须要分析结构,计算参数这要求所有盘都挂到恢复用机上,这很困难6电子取证要求不能对源盘产生任何的写入操作
8.MBR扇区损坏的原因有哪些?答案
1、计算机运行中突然断电
2、计算机运行中非法关机
3、计算机运行中非法重启
4、病毒破坏
9.请问该硬盘共有几个分区?分别叫什么分区?主分区、扩展分区、逻辑分区等,顺序上的第几个分区如答有N个分区;第一个分区是XX分区,…答案4个、第一个是主分区、第二个是主分区、第三个是扩展分区中第一逻辑分区、第四个是第二逻辑分区
五、分析与设计题
111.一个文件,文件名为“SJHF.DOC”,ANSI码为534A48462E444F43,如果该文件被完全删除,分别写出在FAT和NTFS文件系统下的手工恢复方法答案FAT系统下1搜索e54A48462E444F43,得到该文件的目录项2由目录项得到该文件的起始簇号和占有的簇数3定位该文件,复制文件到新文件,以DOC保存该文件NTFS系统下1搜索53004A00480046002E0044004F004300,得到该文件的MFT项2分析该MFT项中的80属性,由数据运行计算文件的开始簇号和占有的簇数3定位该文件,复制文件到新文件,以D0C保存该文件
2.一个文件的80属性的数据运行列表,列表值为2120ED0522480748222128C8DB,根据列表值计算该文件的每一部分的起始簇号和簇数答案第一部分2120ED05起始簇号:5ED1517大小2032簇第二部分2248074822起始簇号5ED+22481517+8776大小7481864簇第三部分2128C8DB起始簇号5ED+2248+DBC81517+8776-9272大小2840簇
3.一个客户的硬盘的D分区是FAT文件系统,打开时提示“未格式化”,用WINHEX逻辑打开该分区,搜索“EB5890”未果,搜索“F8FF FF0F”,假设在1660扇区处发现该标志,由上可得该分区的DBR和FAT1损坏,FAT2完好,假设该分区有卷标“wxd”,给出恢复该分区的方法答案1搜索卷标名“wxd”,得到该卷标的目录项所在位置就是根目录的FDT表起始扇区2由根目录FDT表位置往上退一个扇区,该扇区号减去FAT2起始扇区号得到FAT表大小3由FAT2起始位置和大小,修复FAT14求出相邻的两个目录之间的扇区数和簇数搜索两个相邻的2E2020获得参数,得到每簇扇区数二簇数/扇区数5物理打开磁盘,读取分区表得到该分区的大小和隐含扇区数6复制一个好的FAT系统的DBR覆盖该系统的DBR,将每簇扇区数、分区大小、隐含扇区数填写到DBR中o7重启系统
4.假设NTFS系统下有一个文件“校历.xls”,请使用30和80属性恢复删除的文件答案
(1)先在一个文本文件中输入文件名“校历.xsl,以Unicode码保存
(2)将“校历.xsl”的unicode码输入到“搜索”中,通过搜索文件名所在的30属性,从而定位到该文件的MFT项
(3)从MFT项中分析其80属性的数据运行,从而找到该文件的开始簇号及文件的大小
(4)定位该文件,选中所有内容,保存
5.给出利用
90、A0属性定位一个文件的方法(例如J:\打印机\xy校历.xsl)答案分析根目录的MFT项(5号),由A0属性的数据运行可以先找到根目录的索引缓冲区,缓冲区里有根目录下所有文件和文件夹的索引项,通过搜索“打印机”文件名,找到“打印机”文件夹的索引项,该索引项中有“打印机”文件夹的MFT项号定位到“打印机”文件夹的MFT项号,同理,分析该项找到它的索引缓冲区,找到文件“xy校历.xsl”的索引项,由索引项找到该文件的MFT项号,定位到该文件的MFT项,由80属性得到该文件
6.通过捌ft元文件的MFT项中的B0属性(位图属性),分析MFT表的使用情况答案定位到$Mft元文件的MFT项(0号项),分析B0属性的数据运行,找到B0属性中指定的缓冲区,这里有MFT表的使用情况(每个字节8位,每一位对应MFT表中的一个MFT项,“1”表示该项占用,“0”表示未占用)
7.使用30和80属性恢复删除的文件(例如校历.x用)答案
(1)先在一个文本文件中输入文件名“校历.xsl,以Unicode码保存
(2)将“校历.xsl”的unicode码输入到“搜索”中,通过搜索文件名所在的30属性,从而定位到该文件的MFT项
(3)从MFT项中分析其80属性的数据运行,从而找到该文件的开始簇号及文件的大小
(4)定位该文件,选中所有内容,保存
8.分析DBR中BPB各个的参数的含义1BPB中读出的分区扇区总数跟分区表中读出的扇区总数一样吗?如果不一样是什么关系?2BPB中读出的隐含扇区数的参考点是哪里?答案
1、不一样分区表中读出的扇区总数比BPB中读出的分区扇区总数少一个扇区
2、主分区的隐含扇区的参考点是硬盘的开始处,扩展分区中逻辑分区的隐含扇区的参考点是扩展分区的开始处
9.客户磁盘中D分区打开后,无法看到任何文件和文件夹,但是看该分区用量,却发现很多空间都被使用
1、分析该问题是怎么造成的?
2、解决的方法?答案分析该问题一般为根目录FDT表被破坏,而FAT表没有破坏的情况,对于该问题可以分区按格式化方法解决方法使用WINHEX磁盘快照恢复
10.客户磁盘中分C、D、E三个分区,其中D分区提示“未格式化”
1、分析造成该问题的方法?
2、解决的方法?答案分析“未格式化”问题一般为DBR损坏,可以将备份DBR重写分区的0扇区但有时候也可能是$B00T文件损坏,该文件占用分区的前16扇区,实际使用0-6扇区,0扇区为DBR,1-6扇区为NTLDR加载程序如果该分区不是系统分区,则只需将DBR修复就可以,如果是系统分区,还有将1-6扇区修复,不然操作系统将无法启动这6个扇区具有通用性,可以从其他NTFS分区中获得方法
1、物理打开磁盘为什么不是直接逻辑打开该分区
2、定位备份DBR只需先定位该分区下一分区开始,然后往前退一个扇区就是备份DBR
3、重写分区DBR
4、重写1-6扇区
11.80010100OB FE BF FC3F0000007E86BB00是分区表中截取的一部分,分析这些16进制数的含义.答案80010100OB FEBF FC3F0000007E86BB00最前面的“80”是一个分区的激活标志,表示系统可引导;“010100”表示分区开始的磁头号为01,开始的扇区号为01,开始的柱面号为00;“0B”表示分区的系统类型是FAT32,其他比较常用的有04FAT
16、07NTFS;“FEBFFC表示分区结束的磁头号为254,分区结束的扇区号为
63、分区结束的柱面号为764;“3F000000”表示首扇区的相对扇区号为63;“7E86BB00”表示总扇区数为12289622C)C.3个D)D.4个答案B
5.硬盘数据的几个部分中,那个部分是唯一的()A A.MBRB B.DBRC C.FATD D.DATA区答案A
6.Easy Recovery工具的作用是A)A.磁盘镜象B)B.数据恢复C)C.DBR恢复D)D.MBR恢复答案B
7.NTFS把磁盘分成两大部分,其中大约12%分配给(),以满足不断增长的文件数量该文件对这12%的空间享有独占权,余下的88%的空间被分配用来存储文件A A.MBRB B.DBRC C.FATD D.MFT答案D
8.捷波的“恢复精灵”(Recove可Genius)的作用是()A A.硬盘保护卡B B.主板BIOS内置的系统保护C C.虚拟还原工具D D.杀毒软件提供的系统备份答案C
9.数据恢复的第一步一般是做什么的恢复A A.分区恢复B B.主引导扇区记录O C.文件分配表的恢复D D.数据文件的恢复答案A
10.当用户将需要数据恢复的设备送来时,需要向用户了解的信息有A A.数据丢失发生的原因,当时进行了什么操作,之后有无任何其它操作B B.存储设备的使用年限;容量大小,操作系统版本和分区的类型、大小O C.要恢复的数据在什么分区上,什么目录里;什么文件类型;大概数量D D.以上都是答案D1L附加的收费可能来自A A.加急费B B.数据刻录或转储成本费C C.上门服务费D.以上都是答案D
12.FDT在FAT12/16中采用方式,在FAT32中采用方式A A.固定、固定B B.非固定、固定C C.固定、非固定D D、非固定、非固定答案C
13.关于NTFS的元文件,以下论述正确的是AA.$MFTMirr是$研丁的完整映像,所以,为了安全可靠,每个NTFS分区,都有两份完全一样的$MFT,就象FAT分区的FAT表B B.$MFTMirr是$\^丁的完整部分像C C.$Boot文件就是其DBRD D.$Root是该分区中的根目录,是最高一级目录答案D
14.进入正式数据恢复操作流程以后,如果与初检结果判断偏差较大,操作风险和费用等急剧升高时,要:A A.停止继续工作,先行与用户沟通,取得书面认可补充协议后,再继续进行B B.先进行恢复,然后再与用户沟通C C.取消服务答案A
15.进行数据恢复工作的首要原则是A A.决不能对送修数据产生新的伤害二次损伤,再次损伤B B.必须签定数据恢复服务流程工作单服务合同书O C.遇到问题及时与客户协商答案A
16.联机存储器又可以称为A A.近线存储器B B.在线存储器C C.离线存储器答案B
17.数据恢复时,我们应该选择什么样的备份方式A A.磁盘到磁盘的备份B B.文件到文件的备份C C.扇区到扇区的备份答案C
18.下面不属于电存储技术的设备是A A.CMOS芯片B B.闪存C C.Zip磁盘答案C
19.下面所列文档中含有不属于EasyRecovery可以修复的组是A A.ACCESS.WORD、OUTLOOKB B.EXCEL POWERPOINT、ZIPC C.ACESS.WORD、JPEG答案C
20.已经知道,MBR可以定位DBR,同样DBR又可以定位很多的项,选择下面不是直接由DBR确定的项:A A.FAT1的起始扇区B B.FDT的起始扇区C C.文件的结束簇号答案C
21.在Windows95系统中,文件或目录实际存储着两个名字,一个短文件名和一个长文件名如果是短文件名,则存储在
8.3格式的32字节的目录项中当创建一个长文件名时,其对应短文件名的存储按以下几个原则处理,其中不正确的是A A.Windows95取长文件名的前6个字符加上“1”形成短文件名,其扩展名不变〜B B.如果已存在这个名字的文件,则符号“”后的数字自动增加〜C C.如果有DOS和Windows
3.x非法的字符,则取消创建相应的短文件名答案C
22.操作易损坏硬盘,故不应经常使用A A.高级格式化B B.低级格式化C C.硬盘分区D D.向硬盘拷答案B
23.硬盘驱动器A A.全封闭,耐震性好,不易损坏B B.不易碎,不象显示器那样要注意保护C C.耐震性差,搬运时要注意保护D D.不用时应套入纸套,防止灰尘进入答案C
24.磁盘的载体表面涂有一层,用于存储信息A A.塑料B B.磁性材料C C.去磁物D D.防霉物答案B
25.磁盘一个扇区的容量为A A.128BB B.256BC C.512BD D.1024B答案C
二、判断题
441.一块磁盘可以分4个主分区和一个扩展分区答案错误
2.NTFS文件系统的DBR中读出的分区大小就是该分区的实际大小答案错误
3.FAT表中每个FAT表项的值是文件下一簇的簇号答案正确
4.Diskgenius是一款分区表修复软件,是国人李大海编写的答案正确
5.用WINHEX物理打开磁盘时不会读取DBR参数答案正确
6.Mhdd是一款磁盘检测工具,它能读取磁盘的P表进行坏道修复答案错误
7.数据恢复人员在恢复磁盘时,为保护源盘数据安全,要养成做镜像的好习惯答案正确
8.分区被格式化后,在恢复根目录下的文件时,只能按照不依赖文件系统来恢复答案错误
9.FAT32文件系统中的DBR备份扇区号,是DBR扇区号加上6答案正确
10.索引项中的文件名是ANSI编码的答案错误
11.一般不将扩展DOS分区设为活动分区答案正确
12.MBR就是硬盘的主引导记录答案正确
13.把制作好的光盘映象ISO刻录成实际物理光盘,一定要刻录机和刻录软件答案正确
14.在本地计算机中,只能运行一台虚拟计算机系统答案错误
15.虚拟计算机系统中的硬件有变化时,本地计算机也要重新配置BIOS答案错误
16.一般地,要构造虚拟计算机系统,本地计算机系统中的内存容量要尽量的大答案正确
17.在本地计算机系统中要与虚拟WINDOWS系统计算机进行网络通信,就要求一定要连接网络连接线答案错误
18.一般硬盘可以分区为两个扩展分区和一个主分区答案错误
19.利用GHOST软件可以对WINDOWS XP系统进行备份答案正确
20.如果把操作系统所在分区升级成动态磁盘后,也可以还原为基本磁盘答案错误
21.把基本磁盘升级为动态磁盘后,其上的数据不会丢失,可以直接使用答案正确
22.在硬盘的分区表遭到各种情况的破坏后,利用DISKGEN软件,都可以进行修复答案正确
23.在进行了0磁道损坏的修复后,就不能再利用FDISK来对硬盘进行分区了答案错误
24.文件在任意情况下的删除,只要不被覆盖,都是可以恢复的
25.从理论上来讲,文档的密码总是可以破解的,但是,在实际中,如果破解时间太长,工程上也认为是不可破解答案正确
26.当硬盘上的分区有数据时、如果该硬盘的分区表损坏后,数据就不可能再恢复了答案错误
27.在FAT32文件系统中,如果用命令SHIFT+DEL”来删除了文件,当使用恢复工具软件来进行恢复时,一般情况下是不正常的答案错误
28.要恢复操作系统所在分区上的被删除的文件,一般情况下恢复的几率比较小,这也说明了不要在操作系统所在分区上保存文件答案正确
29.硬盘上一般用于保存数据的分区,最好使用NTFS文件系统答案正确
30.U盘使用NTFS文件系统要优于FAT32文件系统答案错误
31.在日常工作中,最好事先就安装好数据恢复工具软件,一旦出现文件的误删除,就可以马上进行恢复,成功率是最高的;答案正确
32.winrar密码的加密强度比office密码加密强度下,所以相同密码的条件下更容易答案错误
33.Adobe Acrobat的存取限制密码是文档的所有者用于保护文档而设置的,该密码不影响使用者打开和浏览PDF文档,但保护文档不被修改、打印、选取文字和图形(包括将它们拷贝至剪贴板)、添加/修改注释等()答案正确
34.FinalData也可以用以恢复数码存储设备上的数据()答案正确
35.PhotoRescue支持多种数码相机储存介质,包括Smart Media记忆卡、Compact Flash(CF卡)、MemoryStick记忆卡、MicroDrive(微型硬盘)等()答案正确
36.Word Recovery作为Word插件,可以修复没有密码保护的文档,不能修复有密码保护的文档,即使知道其密码()。
个人认证
优秀文档
获得点赞 0
