2022年全国职业院校技能大赛高职组“信息安全管理与评估”赛项-第2阶段-赛题

第二阶段竞赛项目试题

本文件为信息安全管理与评估项目竞赛-第二阶段试题，第二阶段内容包括：网络安全事

件响应、数字取证调查和应用程序安全。

本次比赛时间为180分钟。

介绍

竞赛有固定的开始和结束时间，选手必须决定如何有效的分配时间。请阅读以下指引！

（1）当竞赛结束，离开时请不要关机；

（2）所有配置应当在重启后有效；

（3）除了CD-ROM/HDD/NET驱动器，请不要修改实体机的配置和虚拟机本身的硬件设置。

所需的设备、机械、装置和材料

所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。

评分方案

本项目模块分数为350分。

项目和任务描述

随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信

息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性

和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络

安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助

A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中

的漏洞或者恶意代码，帮助其巩固网络安全防线。

本模块主要分为以下几个部分：

●网络安全事件响应

●数字取证调查

●应用程序安全

本部分的所有工作任务素材或环境均已放置在指定的计算机上，参赛选手完成后，填写

在电脑桌面上“信息安全管理与评估竞赛-第二阶段答题卷”中。选手的电脑中已经安装好

Office软件并提供必要的软件工具（Tools工具包）。

2/8

工作任务

第一部分网络安全事件响应

任务1：应急响应

A集团的WebServer服务器被黑客入侵，该服务器的应用系统被上传恶意软件，重要文件

被破坏，作为一个信息安全工程师需要针对企业发生的网络安全事件启动应急响应，根据企

业提供的环境信息进行数据取证调查，调查服务器被黑客攻击的相关信息，发现被黑客放置

在服务器上的恶意软件或后门程序，分析黑客如何入侵进服务器。

本任务素材包括：Server服务器虚拟机（VMWare格式）

受攻击的Server服务器已整体打包成虚拟机文件保存，请选手自行导入分析,WebServer

服务器的基本配置参见如下，若题目中未明确规定，请使用默认配置。

Linux：root/123456

Mysql：web/chinaskills@2022

请按要求完成该部分的工作任务，答案有多项内容的请用换行分隔。

任务1：应急响应

序号任务要求答案

1提交攻击者的IP地址（5分）

2识别攻击者使用的操作系统（5分）

3找出攻击者资产收集所使用的平台（10分）

提交攻击者目录扫描所使用的工具名称（10

4

分）

提交攻击者首次攻击成功的时间，格式：DD

5

/MM/YY:HH:MM:SS（10分）

找到攻击者写入的恶意后门文件，提交文件

6

名（完整路径）和后门密码（10分）

找到攻击者隐藏在正常web应用代码中的恶意

7

代码，提交该文件名（完整路径）（10分）

识别系统中存在的恶意程序进程，提交进程

8

名（10分）

找到文件系统中的恶意程序文件并提交文件

9

名（完整路径）（10分）

3/8

第二部分数字取证调查

任务2：操作系统取证

A集团某电脑系统感染恶意程序，导致系统关键文件被破坏，该集团的技术人员已及时发

现入侵行为，并对系统内存和硬盘做了镜像固定。请根据A集团提供的磁盘镜像和内存镜像的

原始证据，分析并提取入侵行为证据。（本题所需要分析的操作系统为windows系列或linux

系列）。

本任务素材包括：内存镜像（*.vmem）。

请按要求完成该部分的工作任务。

任务2：操作系统取证

序号任务要求答案

请找出管理员保存此镜像的时间（格式

1为：yyyy-mm-ddhour:minute:second;

东八区)（10分）

请找出管理员用户登录密码的hash值（10

2

分）

请找出桌面上某文件里存在的可疑信息

3

（15分）

请找出用户在环境变量中留下的有关KEY的

4

痕迹（15分）

任务3：网络数据包分析

A集团工作人员截获了含有攻击行为的网络数据包，请根据A集团提供的网络数据包文件，

分析数据包中的恶意的攻击行为，按答题卡的要求完成该部分的工作任务。

本任务素材包括：捕获的网络数据包文件（*.pcap）。

请按要求完成该部分的工作任务，答案有多项内容的请用换行分隔。

任务3：网络数据包分析

序号任务要求答案

该流量中一共有多少条爆破记录（15

1

分）

2该盲注操作的字典内容是什么（15分）

藏有flag的数据库内有哪些数据表，以

3group_concat结果形式提交答案（15

分）

4/8

4题目中的flag答案是什么（15分）

任务4：计算机单机取证

对给定取证镜像文件进行分析，搜寻证据关键字（线索关键字为“evidence1”、

“evidence2”、……、“evidence10”，有文本形式也有图片形式，不区分大小写），请

提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文

件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中，您可

能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术，还需要熟悉常用的文件

格式（如办公文档、压缩文档、图片等）。

本任务素材包括：取证镜像文件（*.E01）

请根据赛题环境及现场答题卡任务要求提交正确答案。

任务4：计算机单机取证

证据编号属性答案

1文件名（存在于镜像中的文件名）

evidence1

2镜像中原文件Hash码（MD5）（7分）

1文件名（存在于镜像中的文件名）

evidence2

2镜像中原文件Hash码（MD5）（7分）

1文件名（存在于镜像中的文件名）

evidence3

2镜像中原文件Hash码（MD5）（7分）

1文件名（存在于镜像中的文件名）

evidence4

2镜像中原文件Hash码（MD5）（7分）

1文件名（存在于镜像中的文件名）

evidence5

2镜像中原文件Hash码（MD5）（7分）

1文件名（存在于镜像中的文件名）

evidence6

2镜像中原文件Hash码（MD5）（7分）

5/8

1文件名（存在于镜像中的文件名）

evidence7

2镜像中原文件Hash码（MD5）（7分）

1文件名（存在于镜像中的文件名）

evidence8

2镜像中原文件Hash码（MD5）（7分）

1文件名（存在于镜像中的文件名）

evidence9

2镜像中原文件Hash码（MD5）（7分）

1文件名（存在于镜像中的文件名）

evidence10

2镜像中原文件Hash码（MD5）（7分）

注：表格中每个证据的答案必须全部答对才得分。

6/8

第三部分应用程序安全

任务5：应用程序安全分析

A集团在移动样本监控过程中发现病毒样本，你的团队需要协助A集团对该病毒样本进行

逆向分析、对黑客攻击的信息进行调查取证，提交相关信息取证分析报告。

本任务素材包括：驱动程序文件（*.sys）

请根据赛题环境及现场答题卡任务要求提交正确答案。

任务5：应用程序安全分析

序号任务要求答案

1木马所使用的保护壳名称（20分）

木马所使用的算法编码表的CRC32校验

2

码（大写）（20分）

3最终的key（flag{}）（20分）

任务6：代码审计

A集团发现其发布的应用程序遭到了恶意攻击，A集团提供了应用程序的主要代码，您的

团队需要协助A集团对该应用程序代码进行分析，找出存在的脆弱点。

本任务素材清单：Web程序文件（*.php）

请根据赛题环境及现场答题卡任务要求提交正确答案。

任务5：代码审计

序号任务要求答案

1存在主要安全问题的代码行（10分）

2请指出可能导致威胁的名称（10分）

3请解释怎样使代码变得安全（10分）

7/8

附录A:分值分配表

序号描述分值

B网络安全事件响应、数字取证调查、应用程序安全350

B1应急响应80

B2操作系统取证50

B3网络数据包分析60

B4计算机单机取证70

B5应用程序安全分析60

B6代码审计30

8/8

信息安全管理与评估第二阶段

网络安全事件响应

数字取证调查

应用程序安全

竞赛试题

1/8

第二阶段竞赛项目试题

本文件为信息安全管理与评估项目竞赛-第二阶段试题，第二阶段内容包括：网络安全事

件响应、数字取证调查和应用程序安全。

本次比赛时间为180分钟。

介绍

竞赛有固定的开始和结束时间，选手必须决定如何有效的分配时间。请阅读以下指引！

（1）当竞赛结束，离开时请不要关机；

（2）所有配置应当在重启后有效；

（3）除了CD-ROM/HDD/NET驱动器，请不要修改实体机的配置和虚拟机本身的硬件设置。

所需的设备、机械、装置和材料

所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。

评分方案

本项目模块分数为350分。

项目和任务描述

随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信

息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性

和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络

安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助

A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中

的漏洞或者恶意代码，帮助其巩固网络安全防线。

本模块主要分为以下几个部分：

●网络安全事件响应

●数字取证调查

●应用程序安全

本部分的所有工作任务素材或环境均已放置在指定的计算机上，参赛选手完成后，填写

在电脑桌面上“信息安全管理与评估竞赛-第二阶段答题卷”中。选手的电脑中已经安装好

Office软件并提供必要的软件工具（Tools工具包）。

2/8

工作任务

第一部分网络安全事件响应

任务1：应急响应

A集团的WebServer服务器被黑客入侵，该服务器的应用系统被上传恶意软件，重要文件

被破坏，作为一个信息安全工程师需要针对企业发生的网络安全事件启动应急响应，根据企

业提供的环境信息进行数据取证调查，调查服务器被黑客攻击的相关信息，发现被黑客放置

在服务器上的恶意软件或后门程序，分析黑客如何入侵进服务器。

本任务素材包括：Server服务器虚拟机（VMWare格式）

受攻击的Server服务器已整体打包成虚拟机文件保存，请选手自行导入分析,WebServer

服务器的基本配置参见如下，若题目中未明确规定，请使用默认配置。

Linux：root/123456

Mysql：web/chinaskills@2022

请按要求完成该部分的工作任务，答案有多项内容的请用换行分隔。

任务1：应急响应

序号任务要求答案

1提交攻击者的IP地址（5分）

2识别攻击者使用的操作系统（5分）

3找出攻击者资产收集所使用的平台（10分）

提交攻击者目录扫描所使用的工具名称（10

4

分）

提交攻击者首次攻击成功的时间，格式：DD

5

/MM/YY:HH:MM:SS（10分）

找到攻击者写入的恶意后门文件，提交文件

6

名（完整路径）和后门密码（10分）

找到攻击者隐藏在正常web应用代码中的恶意

7

代码，提交该文件名（完整路径）（10分）

识别系统中存在的恶意程序进程，提交进程

8

名（10分）

找到文件系统中的恶意程序文件并提交文件

9

名（完整路径）（10分）

3/8

第二部分数字取证调查

任务2：操作系统取证

A集团某电脑系统感染恶意程序，导致系统关键文件被破坏，该集团的技术人员已及时发

现入侵行为，并对系统内存和硬盘做了镜像固定。请根据A集团提供的磁盘镜像和内存镜像的

原始证据，分析并提取入侵行为证据。（本题所需要分析的操作系统为windows系列或linux

系列）。

本任务素材包括：内