计算机取证调查员的需求量很大。计算机取证调查员通常被称为数字取证工程师,需要了解基本的 IT 技能、了解计算机架构和网络、能够与各个团队协作并撰写详细报告。数字取证专业人员必须具备分析和调查技能以及对细节的高度关注。
以下是 25 个面试问题,可帮助您为下一次计算机取证面试做好准备。
什么是 MD5 校验和?MD5 校验和是一个 128 位值,有助于识别文件的唯一性。您可以有两个文件名,但每个文件名都有不同的校验和。您使用这些校验和来比较两个不同的文件以确定它们是否相同。
虽然计算机取证调查人员在“调查”过程中使用许多数据源,但以下是最常见的:
日志文件 网络流量 系统镜像 数据库 应用数据 用户数据列出一些用于加密数据的常见加密算法一些常见的包括三重 DES、RSA、Blowfish、Twofish 和 AES。
ISO 文件包含多个文件和可执行文件的应用程序或 CD 映像。大多数应用程序软件都可以制作成 ISO,然后将其挂载为虚拟驱动器并可以浏览 ISO 中的文件。新的 Windows 版本具有内部 ISO 安装功能。
什么是 .sam 文件?SAM(安全帐户管理器)文件在 Windows 计算机中用于存储用户密码。它用于对远程和本地 Windows 用户进行身份验证,并可用于获取对用户计算机的访问权限。
什么是数据挖掘?数据挖掘是记录尽可能多的数据以创建报告和分析用户输入的过程。例如,您可以挖掘来自各个网站的数据,然后记录用户与该数据的交互,以评估用户登录时访问的网站区域。
什么是数据雕刻?数据雕刻与数据挖掘不同,数据雕刻在不使用文件系统的情况下搜索硬盘驱动器上的原始数据。它允许计算机取证调查员从硬盘驱动器恢复已删除的文件。当硬盘数据损坏时,数据雕刻对于计算机取证调查人员查找数据至关重要。
什么是地理标记?地理标记是指将地理信息添加到数字媒体中。标准的地理标记方法是将 GPS 坐标添加到数据、照片和视频中。它可用于跟踪人和物体并向文件添加上下文。
您有什么类型的电子邮件分析经验?计算机取证依赖于电子邮件分析。您应该熟悉 MS Exchange 等电子邮件服务器以及 Gmail 和 Yahoo 等免费网络平台。
什么是隐写术?隐写术将消息隐藏在消息中。换句话说,某人可以发送一封内容为一件事的电子邮件,但每隔三个单词就包含一条对收件人有意义的第二条消息。
常见的端口号有哪些?TCP 端口号是计算机和应用程序创建的虚拟连接。常见的端口号为 FTP 的 21、Web 服务的 80、SMTP 的 25 和 DNS 的 53。
描述 SHA-1 哈希值安全散列算法1是创建160位或20字节消息摘要的散列算法。
描述一下您的虚拟化体验不要在这里撒谎。诚实地讲述您的虚拟化经验,但一定要描述您熟悉的虚拟基础架构,即 Virtualbox、VMWare 等。确保您确定您所使用过的操作系统类型。您不必证明您是系统管理员,但您至少需要了解虚拟存储、分区、如何登录虚拟机以及虚拟化的好处以及安全问题。它可以通过结合资源的使用和最大限度地减少公司必须购买的硬件数量来节省公司的资金。但是,如果虚拟机蔓延存在问题,当管理员复制一台机器并忘记它时,就会产生漏洞,因为这些机器没有经过修补或强化。这是一个普遍存在的问题。
您将如何处理从加密硬盘驱动器检索数据?首先,确定所使用的加密方法。对于简单的加密类型,请尝试查找配置文件。使用 EaseUS Data Recovery、Advanced EFS Data Recovery 或 Elcomsoft Forensic Disk Decryptor 等工具。您还可以使用暴力方法。
DNS 通过什么端口运行?53
与云相关的安全问题有哪些?最大的问题是数据泄露或泄露以及帐户劫持的可能性增加。云中人攻击是特定于云使用的新威胁。它类似于 MitM 攻击,攻击者窃取用户令牌,该令牌用于验证设备而无需额外登录。云计算引入了不安全的 API 使用,这在 OWASP 十大漏洞列表中进行了讨论。
请描述 OWASP 十大漏洞列表中列出的一些漏洞?该列表每年更新一次,列出当前十大应用程序安全风险。跨站脚本攻击是年复一年出现在列表中的一项。但当前列表中的其他问题包括 SQL、操作系统和 LDAP 注入、安全配置错误、敏感数据暴露和保护不足的 API。
如何在十六进制级别判断 FAT12 中的文件已被删除?针对 FAT 分区运行 fsstat 以收集详细信息。运行 fls 以获取有关图像文件的信息。这是有关已删除文件和元数据信息的全面更新。
有哪些工具可以用来恢复已删除的文件?Recuva、Pandora 恢复、ADRC 数据恢复、directionslete、活动 UNDELETE、活动分区或文件恢复等等。阅读 Infosec 的7 个最佳计算机取证工具,了解有关取证工具的更多信息。
什么是嵌入式系统?嵌入式系统是安装在设备上以执行某些任务的计算机系统。如今,嵌入式系统存在于许多设备中,例如电器、汽车,甚至玩具。随着互联网事物 (IoT) 的日益普及,嵌入式系统将成为计算机取证调查人员日益重要的信息来源。
您如何了解当前的网络安全趋势?这是一个个人问题;确保您可以分享您经常访问的时事通讯、网站和网络安全播客。其中可能包括 InfoSec 的网络安全每周综述、Cyberwire、IT 白皮书以及来自 Nessus、Metasploit 和 SANS 等公司的播客或网络研讨会。
您如何处理不同利益相关者的相互冲突的指示?这个问题是看你如何处理冲突。您首先应咨询您的直接主管,解释冲突并寻求有关如何进行的指导。
如果您需要加密和压缩数据以进行传输,您会首先做什么,为什么?压缩,然后加密。由于加密会占用资源并且执行起来可能很麻烦,因此首先压缩数据是有意义的。
威胁、脆弱性和风险有什么区别?潜在攻击者可能会利用从未被识别为风险的系统漏洞来构成威胁。使用此答案为这三个术语提供了上下文,但您可以单独定义它们。
威胁是指发生攻击的可能性。漏洞是系统中的弱点。风险是可能对系统或组织造成损害的项目。描述您的家庭网络在网络安全相关职位中,面试官通常想了解您对安全是否蔓延到个人生活中的兴趣。确保您了解路由器的安全功能或特定的 ISP。请务必提及您已添加到家庭网络的任何安全措施。
如果您缺乏经验,数字取证面试技巧在面试过程中,您可能还会被要求描述您对各种操作系统的熟悉程度、您使用 Encase 和/或 FTK 或其他工具的经验。计算机取证仍在发展;许多申请人有教育经验,但需要现实世界的经验。如果您缺乏实际经验,您仍然可以讨论您在业余时间所做的事情,以了解当前趋势以及您与其他候选人的区别。这是一个需求旺盛、机会充足的领域。祝你好运!
