阿摩線上測驗 登入

107年 - 107 警察特種考試_三等_警察資訊管理人員:數位鑑識執法#69647

科目:數位鑑識執法 | 年份:107年 | 選擇題數:0 | 申論題數:10

試卷資訊

所屬科目:數位鑑識執法

選擇題 (0)

申論題 (10)

⑴Locard’s exchange principle
⑵Bit stream copy
⑶Write blocking device(Write blocker)
⑷File slack space
⑸Chain of custody
⑴何謂「易揮發證據(Volatile evidence)」?請以最常見的 Windows 作業系統為例, 列舉易揮發證據並說明其在犯罪偵查上的可能用途。 (15 分)
⑵根據我國政府機關(構)資安事件數位證據保全標準作業程序之規定,於數據封 緘作業時有那些程序需遵守?(10 分)
⑴此步驟的內容與目的為何?(10 分)
⑵現場重建後的報告中,通常會做 Timeline analysis,Relational analysis 以及 Functional analysis 三種分析報告,請舉例說明此三份分析報告的意涵。 (15 分)
四、假設在犯罪現場查扣一台筆電與一個 USB 介面之外接式硬碟,初步檢查發現此外接 式硬碟內容含有犯罪證據,而筆電內沒有犯罪證據。因查扣當時該硬碟並未連接筆 電,所以某甲雖承認該筆電是他所有,但推說硬碟是行蹤不明的某乙所有,且該硬 碟從未連上筆電,以此主張他和犯罪事件無關。面對某甲陳述,請問你會採用那些 數位鑑識步驟來證明某甲所述為非?(假設筆電使用 Windows 作業系統。回答本題 時請說明該擷取那些證據,使用那些工具以及採取那些步驟。) (25 分)